摘要:個人信息保護是征信機構(gòu)維護信息主體合法權(quán)益的主要內(nèi)容,對于促進征信機構(gòu)合規(guī)和穩(wěn)健運行具有重要意義。本文以全球征信機構(gòu)益博睿(Experian)個人信息保護模式為借鑒,就其在個人信息采集、信息使用、信息披露等方面的個人信息保護作了全面梳理,并結(jié)合中國征信機構(gòu)個人信息保護的實踐提出了完善個人信息保護制度、規(guī)范第三方機構(gòu)使用個人信息行為、提高個人信息保護意識、完善個人信息保護渠道的意見建議。
關(guān)鍵詞:益博睿 ?個人 ? 信息保護
一、引言與綜述
保護個人信息是征信業(yè)信息安全的生命線,隨著征信業(yè)的快速發(fā)展,征信個人信息采集、使用的范圍、方式不斷擴大,侵犯個人信息及隱私安全、未經(jīng)授權(quán)隨意使用個人信息謀取利益的事件頻發(fā),個人信息保護在征信業(yè)的發(fā)展中上升到關(guān)鍵層次。如何保護個人信息,相關(guān)學(xué)者們進行了大量研究。胡向臘(2019)基于個人信息保護的現(xiàn)狀,從法律、救濟等方面提出保護個人信息。鄧輝(2020)的研究認為應(yīng)建立專門的監(jiān)管機構(gòu)實現(xiàn)個人信息保護的目標。史博文(2020)的研究提出司法和行政相結(jié)合的個人信息保護模式,認為保護個人信息安全應(yīng)注重技術(shù)等基礎(chǔ)設(shè)施的建設(shè)。朱曉娟(2021)的研究認為應(yīng)理清個人信息保護的邊界,個人信息保護應(yīng)兼顧與商業(yè)利益的平衡。張健華(2021)的研究認為個人信息保護中政府及監(jiān)管部門應(yīng)建立明確的個人信息保護法規(guī),穩(wěn)定征信業(yè)務(wù)市場秩序。
縱觀學(xué)者的研究多集中于征信機構(gòu)外部的法律機制完善、技術(shù)基礎(chǔ)設(shè)施的健全,但忽視了個人信息采集、加工、使用的主體,即征信機構(gòu)如何實現(xiàn)個人信息保護的目標。因此,探究征信機構(gòu)自身如何與外部監(jiān)管機構(gòu)、行政法律規(guī)范協(xié)同實現(xiàn)個人信息保護是本文的研究重點。本文將通過探究征信機構(gòu)個人信息保護的先進實踐經(jīng)驗,提升個人信息保護的有效性。
作為全球著名的個人征信機構(gòu),益博睿(Experian)是全球領(lǐng)先的信息服務(wù)公司和征信機構(gòu),主要從事征信業(yè)務(wù),旨在向世界各地的客戶提供信息數(shù)據(jù)和分析工具,其總部位于愛爾蘭都柏林,并在英國諾丁漢、美國加利福尼亞和巴西圣保羅設(shè)有運營總部,并在巴西設(shè)立征信局從事巴西的征信業(yè)務(wù)。作為全球領(lǐng)先的征信公司,益博睿在個人信息保護方面形成獨特的管理模式和經(jīng)驗,為信息主體合法權(quán)益的保護發(fā)揮了積極作用。
二、益博睿個信信息保護模式
(一) 制訂信息保護政策
2017年9月22日,益博睿制訂了《Ask Experian for Advice privacy policy》,專門披露了個人隱私及信息保護政策的內(nèi)容,從收集信息主體信息的類型、向第三方提供信息的方式、信息主體權(quán)利等方面明確了信息主體的信息保護措施。同時明晰了信息主體與信息征集機構(gòu)的權(quán)利與義務(wù),在征集個人信息時,明確告知個人如使用征信服務(wù),個人需同意本政策條款;如果不同意隱私信息保護條款,則公司拒絕提供征信服務(wù)。
(二)明確告知收集個人信息的類型
益博睿在征集個人信息前明確告知信息主體采集的信息類型,主要包括個人信息和非個人信息。個人信息是指個人自有的身份標識信息;非個人信息是聚合信息及人口統(tǒng)計信息、IP地址和其他信息,非個人信息不會顯示個人的特定身份標識。
益博睿在告知個人征集信息類型的同時,告知個人相關(guān)信息征集的渠道:益博睿在收集個人自有信息時,告知個人將在提交查詢或注冊服務(wù)時采集個人提供的信息,諸如姓名、地址和電子郵件地址等;而對于非個人信息,益博睿告知個人將通過訪問個人網(wǎng)站歷史瀏覽記錄、服務(wù)器日志文件、電腦緩存文件及個人自愿提供的其他信息征集。
益博睿明確告知個人,如果其將任何非個人信息與個人信息相結(jié)合,如相結(jié)合的信息能準確識別個人特征,益博睿將個人和非個人信息相結(jié)合的信息視為個人信息而加以保護。
(三)告知人個如何使用其信息
益博睿明確說明了其利用個人信息的主要方法:一是用于提供個性化體驗服務(wù)。根據(jù)個人的互聯(lián)網(wǎng)訪問記錄、表現(xiàn)出的興趣愛好,可能向個人提供個性化的征信服務(wù),也可能提供與訪問活動相關(guān)的信息或服務(wù)。二是用于電子郵件通信。益博睿使用個人信息向個人推送個人傾向和關(guān)注的相關(guān)新聞和信息。三是用于其他服務(wù)。益博睿利用個人資料和信息,向個人推送可能關(guān)注和有興趣的產(chǎn)品、計劃、服務(wù)和促銷活動。四是用于大數(shù)據(jù)促銷。益博睿根據(jù)個人信息用于其可能關(guān)注的互聯(lián)網(wǎng)抽獎、競賽和相關(guān)促銷活動。五是用于益博睿內(nèi)部業(yè)務(wù)目的。益博睿將個人信息用于數(shù)據(jù)分析和審計、信用報告等。此外,益博睿也可能使用個人信息來加強益博睿公司自身數(shù)據(jù)庫的信息建設(shè)。
而對于非個人信息,益博睿則采取廣泛使用的原則,向個人說明,由于非個人信息沒有顯著的個人特征,外部不能依賴非個人信息準確識別個人身份。因此,益博睿明確告知個人,非個人信息將可能用于任何目的,同時為保護信息主體合法權(quán)益,保留為任何目的向其他第三方披露此類非個人信息的權(quán)利。
益博睿同時也向個人說明,益博??梢耘c其關(guān)聯(lián)公司和合作伙伴一道,將個人信息與從其他來源收集的數(shù)據(jù)進行合成,在法律允許的范圍內(nèi)直接或間接的用于在線營銷等方面。如果個人信息與其他來源收集的數(shù)據(jù)合成,益博睿將采取合理化的措施,以保證個人信息的完整性和質(zhì)量。
(四)規(guī)范向第三方披露個人信息的行為
一是明確告知個人信息將可能向關(guān)聯(lián)的子公司披露,以加強自身的數(shù)據(jù)庫建設(shè),更好地滿足個人多樣化的征信產(chǎn)品和服務(wù)需求。二是用于商業(yè)伙伴時,益博??赡芸紤]政策及法律法規(guī)的影響,在允許的情況下將個人信息、非個人或非識別特征信息披露給第三方合作伙伴。三是用于研究調(diào)查等目的時,益博??赡軙虻谌脚秱€人信息。四是益博睿保留轉(zhuǎn)讓個人信息的權(quán)利。五是當用于執(zhí)法、執(zhí)行緊急情況時可能向第三方披露個人信息。六是如涉及個人明確的身份標識,益博睿會在去除明顯的身份標識,對數(shù)據(jù)加工處理后再向第三方披露。
(五)給予個人信息主體充分的合法權(quán)利
一是給予及時更新個人信息的權(quán)利。益博睿向個人信息更新提供了更加快捷的信息更新渠道,個人電子郵件和數(shù)據(jù)報文方式均可實現(xiàn)個人信息的及時更新。二是對于電腦緩存文件提取個人信息的渠道,益博睿明確給予個人禁止的權(quán)利,如個人不愿通過緩存文件向益博睿提供個人信息,可在互聯(lián)網(wǎng)游覽網(wǎng)頁時對益博睿選擇禁止提取信息。三是在合理可行的情況下,給予信息主體禁止關(guān)聯(lián)其他服務(wù)的權(quán)利,諸如在隱私保護等合理可行的情況下,個人信息不愿用于第三方服務(wù)機構(gòu)、不愿用于營銷組織時,均可請求在數(shù)據(jù)庫中刪除個人信息,
(六)出臺保護個人信息的措施
一是設(shè)置信息保護防火墻,以防止個人信息的丟失、誤用和更改。二是開通個人信息保護的渠道,一旦個人發(fā)現(xiàn)個人信息竊取、泄露等事件時均可第一時間聯(lián)系益博睿。三是向個人說明可能產(chǎn)生信息泄露的鏈接及網(wǎng)站。
三、我國征信個人信息保護中存在的問題
(一)法律規(guī)范不完善。法律方面,我國對于個人信息保護僅依據(jù)《征信業(yè)管理條例》,但征信業(yè)管理條例對個人信息如何保護、如何杜絕和防范征信業(yè)務(wù)中侵犯個人信息的違法違規(guī)行為未有明確規(guī)定。從征信機構(gòu)業(yè)務(wù)制度規(guī)范而言,征信機構(gòu)面向社會公眾、得到社會公眾認可和接受的信息保護規(guī)范及業(yè)務(wù)規(guī)則尚處于空白,征信機構(gòu)采集信息的業(yè)務(wù)規(guī)范多來自于自身業(yè)務(wù)的合規(guī)性和發(fā)展目標,由服務(wù)對象個人及社會公眾群體、征信機構(gòu)自律組織制訂的約束征信機構(gòu)的業(yè)務(wù)規(guī)范較為缺乏。
(二)個人信息加工、使用和保護的流程、方式、渠道不明確。當前,我國征信機構(gòu)僅在采集個人信息時取得服務(wù)對象的授權(quán)同意,但信息加工的流程、被誰使用、如何保護、在何種渠道傳輸、各環(huán)節(jié)由何主體管理都處于不明確和信息主體不知情的境地,一定程度上造成了個人信息濫用、泛用、誤用。
(三)個人信息保護主觀意識不強、客觀技術(shù)手段應(yīng)用有待提升。作為信息來源的個人,缺乏對個人信息主動保護的意識,缺乏對損害個人信息監(jiān)督舉報的便捷通道。作為征信機構(gòu),對技術(shù)防護,如防火墻、物理隔離、信息凍結(jié)等手段應(yīng)用不足。
四、益博睿信息保護對我國的啟示
(一)完善個人信息保護的制度規(guī)范。建立個人信息保護的規(guī)范,明確征信機構(gòu)、監(jiān)管機構(gòu)和個人信息主體的權(quán)利及義務(wù),明確個人信息采集的范圍和內(nèi)容。
(二)披露個人信息采集的渠道、使用的方式。在建立個人信息披露保護的基礎(chǔ)上,建立對個人信息采集、使用、加工全過程的保護機制,公開信息采集、加工、使用的機構(gòu)及利用方式。
(三)規(guī)范第三方使用個人信息的行為。使用前充分征求個人信息主體的意見;使用中,加強對使用方式、使用內(nèi)容、使用機構(gòu)的公開披露;使用后,建立信息的及時更新、異議處理、更正的渠道。
(四)提高個人信息主體保護自身信息的意識。加強對公民個人信息保護的教育,借助互聯(lián)網(wǎng)等公共渠道適時告知個人可能泄露個人信息的網(wǎng)站及鏈接,注意在生產(chǎn)生活行為中注意保護個人信息安全。
(五)健全個人信息保護的渠道。充分完善防火墻、密碼保護等物理信息防護手段,同時發(fā)動個人建立諸如信息泄露舉報投拆電話、檢舉舉報等保護個人信息的機制。
參考文獻:
[1]胡向臘.互聯(lián)網(wǎng)個人信息保護的法律規(guī)制思考[J]. 武漢冶金管理干部學(xué)院學(xué)報,2019(4).
[2]鄧輝.個人信息保護行政監(jiān)管的經(jīng)驗與啟示[J].信息安全研究,2020(1).
[3]史博文.金融科技領(lǐng)域下個人信息保護制度構(gòu)建[J].上海立信會計金融學(xué)院學(xué)報,2020(5).
[4]朱曉娟.論跨境電商中個人信息保護的制度構(gòu)建與完善[J].法學(xué)雜志,2021(2).
[5]張健華.大數(shù)據(jù)背景下的商業(yè)銀行個人信息保護[J]. ? 清華金融評論,2021(2).
作者簡介:
毛啟忠(1990年-),男,藏族,青海德令哈人,中級會計師,碩士研究生,中國人民銀行西寧中心支行,研究方向:風(fēng)險管理、征信、財務(wù)