对个人征信信息主体权益保护的思考——基于对商业银行监管的视角

对个人征信信息主体权益保护的思考——基于对商业银行监管的视角摘要近年来，商业银行违规查询使用客户个人信用报告、侵犯客户信息权益的现象时有发生。通过对商业银行侵害客户征信信息权益的表现形式、深层原因等进行分析，借鉴国外征信业成熟国家维护信息主体权益的经验做法，从加强对商业银行监管的角度提出如何维护客户征信信息权益的建议。一、商业银行侵害个人客户征信信息主体权益的表现形式（一）因数据录错导致信用报告背离真实情况，案例描述：王女士，状告某银行错报其“婚姻状况”，导致其信用报告展示为“已婚”，严重侵犯了其声誉。经调查，是该行工作人员在办理信用卡业务时，将其婚姻状况录错所致的。由于个人信用报告信息绝大部分是由各商业银行总行通过接口程序将自身信贷系统中的数据报送至个人征信系统，因此商业银行信贷系统数据的准确性将直接影响到客户个人信用报告的准确性。如果商业银行工作人员疏忽大意，没有认真审核客户原始资料，错误将客户的婚姻状况、居住情况录错，就会导致客户“被结婚”“被购房”，甚至会影响其他商业银行对其的信贷决策、审批流程，如要求客户提供配偶的情况、对客户执行二套房贷政策，从而损害客户的经济权益。（二）因系统程序出错或更新不及时导致信用报告记录不实案例描述：2012年中国人民银行扬州市中心支行在开展个人征信执法检查时，发现当地某银行自2011年9月后个人信贷业务就未在个人征信系统中进行过更新，经了解，是其上级机构系统升级所致；此外，抽查某银行60笔个人信贷业务，发现信用报告中的“剩余还款期数”均比其信贷系统多1期。在商业银行自身信贷系统数据正确的情况下，客户信用报告记录与实际不符的原因大多出在数据报送环节，因此由于报送程序出错或报送不及时，极有可能导致客户信用报告中的信息形成逾期或长期得不到更新，误导他行对客户信用状况的判别和信贷决策，客户贷款申请也极有可能遭拒贷。（三）异议处理不及时、不规范案例描述：吴先生，2006年在某银行有一笔个人消费贷款，2008年在他行申请信用卡时发现，其信用报告中有两笔该贷款，且逾期12次。经核查，该银行为吴某出具了证明，并向征信中心提出异议申请（仅写了异议申请的报告，并传真给征信中心）。由于异议一直未解决，导致吴某在他行的贷款没有得到批准，造成一定经济损失。根据中国人民银行《个人信用信息基础数据库异议处理规程》有关规定，我们认为，此案例中该银行作为代理人直接向征信中心提出异议申请时，没有严格按照规定提交相关申请材料，导致征信中心无法及时受理并解决客户的异议，并影响了吴某在他行的贷款审批。（四）未经授权违规查询个人信用报告案例描述：郭先生，状告民生银行和南京银行未经其本人授权，以信用卡审批和贷款审批名义私查其信用报告，侵犯其隐私权。中国人民银行南京分行营管部调查认定属实，依据《个人信用信息基础数据库管理暂行办法》对两家银行均处以2万元的罚款。为规范商业银行查询行为，中国人民银行在个人征信系统上线之前就发布了《个人信用信息基础数据库管理暂行办法》，该办法第13条规定除对已发放个人信贷进行贷后风险管理的，商业银行查询个人信用报告应当取得被查询人的书面授权。但部分商业银行违反规定，在客户授权前或授权要素不全的情况下查询，甚至未经客户授权，以“二次客户开发”等名义擅自查询客户信用报告，令客户对自身信息安全担忧。（五）非法出售客户个人征信记录案例描述：2012年3.15央视媒体曝光了国内3家银行员工非法售卖客户征信记录的事件，在全国引起较大反响，随后不久江苏银行上海某支行在未与客户发生业务关系的情况下，查询了3万余人的个人信用报告，并将部分查询结果提供给某公司的事件再度引发了公众对个人征信信息安全的担忧。虽然《个人信用信息基础数据库管理暂行办法》规定，商业银行应当建立保证个人信用信息安全的管理制度，不得将个人信用报告用于规定以外的其他用途，并对违反规定的行为明确处罚办法，但依然有部分商业银行为利益驱动选择“铤而走险”，将客户的征信记录作为商品非法售卖，不仅侵害了客户的信息权益，在信息落到不法分子手中进行信用卡、身份证伪造骗贷时，进一步损害客户的经济权益。二、商业银行损害个人客户征信信息主体权益的原因剖析（一）主观因素——疏忽管理、漠视客户权益、对《个人信用信息基础数据库管理暂行办法》领会不透1．疏忽管理。检查中发现，商业银行或多或少存在违规查询、授权制度执行不严、用户离职不及时停用、设置公共用户等问题，这些问题均有可能导致损害客户信息权益。问题根源之一在于商业银行认识不到位，管理粗放。2．漠视客户权益。从违规查询到非法出售信用报告，无不体现出商业银行对客户信息权益的漠视，在损害客户权益的同时，也损害了银行的声誉和形象，引发公众对银行的“信任危机”。据调查，不少非恶意个人逾期记录仅仅是因为遗忘或是贷款利率卜调，少还上调利息所致，如果商业银行能给予及时提醒，这种非恶意的逾期记录一定会大幅减少。3．对《个人信用信息基础数据库管理暂行办法》领会不透。目前《个人信用信息基础数据库管理暂行办法》对商业银行查询个人信用报告的范围、授权要求、用户及信息安全管理、异议处理、违规处罚均有明确规定。但一些商业银行对严令禁止的行为不清、对违规行为的责任追究制度不明，不按制度查询，不按制度管理，必然产生极大的风险隐患。（二）客观因素——缺少法规、系统故障1．缺少法规。综观商业银行对客户信息安全方l面的法律法规，仅有《中华人民共和国商业银行法》《储蓄管理条例》，但这两部法规涉及客户信息安全的规定均是从存款人角度制定，未从贷款人角度明确，因此对个人信用报告信息查询使用方面违规行为没有约束力。《个人信用信息基础数据库管理暂行办法》虽是针对个人信用报告查询使用制定的，但只是部门规章，级别较低，处罚金额较小，对商业银行的约束力较弱。2.系统故障。非人为的系统故障是导致信用报告信息不实的客观因素之一。系统故障，可能会产生数据漏报、数据重复、数据无法上报等问题，并导致个人信用报告中出现贷款重复、贷款未结清、错误的异议信息得不到纠正等现象。在当前查询个人信用报告已经成为商业银行审贷必经环节的情况下，与实不符的信用报告可能会误导银行的审贷决策。三、客户信息主体权益保护的国际经验综观国际上征信业发展相对成熟的国家，均对消费者信息主体权益给予了严格的保护，尤其注重通过法律制度来规范信用信息流转和传播巾涉及的信息提供者、使用者、征信机构与信息主体之间的权利和义务，明确法律责任、监督部门等保护信息主体的信息安全，防止损害客户信息权益。（一）征信立法是保护客户信息主体权益的必由之路美国信用管理的法律体系建于20世纪60年代，包括《公平信用报告法》《公平债务催收作业法》《平等信用机会法》等16部法律，核心是《公平信用报告法》。英国与征信有关的法律是消费信贷和数据保护方面的法案，即1974年的《消费信用法》和1998年的《数据保护法》。法国保护个人信息主体权利的主要法律是1978年的《法国数据处理、数据文件及个人自由法》。德国没有专门的征信管理法，有关征信管理的法律规定散见于商法、民法、银行法和数据保护法中，2001年5月生效的《联邦数据保护法》是大陆法系国家最有代表性的一部个人数据保护法。欧盟1995年《个人数据保护指令》是其15个会员国修订数据保护立法的依据，共34条，包括数据控制人的义务及数据主体的权利两部分。（二）国外征信法律对个人信息在收集、传播、使用环节的保护1．收集环节。美国规定，在合理的动机和目的下，如出于信贷活动、就业、保险等目的，征信机构收集和获取消费者个人信用信息不需要经过信息主体授权。英国对信息采集的目的和范围有两个原则：(1)不得超过已经声明的目的所要求的范围采集、保存和使用数据；(2)敏感数据不能作为采集范围（特殊目的除外）。“必须公平合理地取得八人信息，不允许以欺骗手段从数据主体那里取得信息，必须要征得个人同意”。法国要求数据应公平合法地获得与处理。德国要求只有在法律允许或者数据主体同意时，个人数据的收集、处理和使用才被许可。2．传播、使用环节。美国规定，除当事人有权取得自身的信用调查报告和复本，其他合法使用消费者信用调查报告的机构或个人必须符合信贷、就业、保险、获得政府许可证或其他利益等8个条件。金融机构不得向非关联第三方披露客户非公开个人信息，除非金融机构已明确告知消费者，且消费者有权终止该信息披露。英国明确只为合法、特定的目的才能使用个人数据。使用或者披露个人数据的方式不能与其目的相违背。如果使用个人数据的目的是有期限的，则使用期不能超过该期限。法国规定数据处理必须得到数据主体同意；数据因具体、明确且合法目的收集获得后不得以与该目的相矛盾的方式进行处理。德国强调个人数据的存储、修改和使用必须符合法律规定、取得数据主体授权同意。（三）国外征信法律对个人数据质量及安全保护的要求美国要求对征信机构提供信息的机构，必须保证信息的准确性，并负有协助征信机构对信息再调查的义务。金融机构有尊重客户隐私的义务，并保护客户的非公开个人信息的安全性和机密性。英国规定个人数据必须准确，及时更新；必须采取安全措施防止个人数据未经授权被更改、披露及销毁。法国规定个人数据应准确、完整，如有必要，保持更新。银行工作人员都要对客户、第三者提交的非公开资料保密。欧盟强调个人数据资料必须正确且随时更新。应当采取适当的安全措施，保护自动化数据文档中的个人数据，使其免受破坏或意外丢失，同时免受未经授权的获取、变更或分解。（四）国外征信法律赋予信息主体的权利征信法制健全的国家普遍在法律上赋予了消费者知情权、异议权、投诉权和纠错权，来维护其个人信息权益。美国每个人有权查看自己的信用档案，了解自己的信用数据；对于其信用数据存有异议时，有权要求征信机构对该数据进行再调查，纠正或删除不准确的信息。英国规定个人有权知道被收集了什么信息及谁使用了这些信息，有权在支付了合理费用之后向征信机构查询本人信用报告，并在适当的情况下要求修改。德国规定数据主体对自身数据享有知情权、异议权和投诉权，若数据主体认为数据控制者在收集、处理和使用其数据时损害了个人合法权益，数据主体有权向联邦数据保护专员投诉。四、强化商业银行维护客户信息权益的建议（一）健全信用信息管理法律制度通过立法保障客户信息主体权益，是国际通行做法，也是征信业发展的必然要求。目前《个人信用信息基础数据库管理暂行办法》由于法律层级较低，处罚金额少，商业银行违规成本较低，对商业银行制约力相对较弱。《征信管理条例》目前尚未出台，《个人征信信息保护暂行规定》仍在研讨之中。可以说，当前我国在信用信息管理方面的法律制度依然是空白，这与个人征信系统使用的现状要求明显不符。建议尽快出台《征信管理条例》《个人征信信息保护暂行规定》，并制定相应的实施细则，从立法上明确商业银行在查询使用个人信用报告中涉及影响客户信息权益的权利和义务，提高对商业银行违规违法行为处罚金额。（二）强化对商业银行的监督管理商业银行在个人征信系统建设和使用中同时兼具信息采集者、提供者和使用者三种角色，是信用报告流转环节中的关键。因此，维护客户信息权益必须从商业银行信用信息采集、使用、管理等环节把关，加强现场核查，强化监督管理。要核查商业银行是否将信息真实、准确、完整地录入相关业务系统；信息向征信系统报送、商业银行查询信用报告是否得到客户的书面授权；是否在规定的业务范围内、符合规定的程序下查询信用报告；是否采取了可靠的安全措施，确保只有得到内部授权的人员才能接触信用报告等，要督查商业银行是否建立了从信用信息采集、使用、管理各个环节维护客户信息权益的制度和规章。要加强对商业银行工作人员的培训和资格考核，增强其维护客户信息权益的责任和意识。（三）改进个人征信系统相关功能目前人民银行在开展对商业银行征信执法检查时，需提前向征信中心申请反馈商业银行查询记录，不能随时掌握商业银行的查询情况，基层人民银行核查商业银行的违规查询行为具有一定的难度，不便于加强对商业银行的监管。建议进一步完善个人征信系统，增加商业银行查询记录下载功能，以便于基层人民银行随时加强对商业银行的督查；同时，建议个人征信系