关键词:数据保护 信息公开 诚信制度
随着我国经济改革的发展,诚信制度建设被不断提及,特别是在证券市场,诚信制度建设已经成为促进我国资本市场健康发展的重要保障。在此背景下,各行业监管者都在构建各自领域内的诚信制度,制定出台了一些诚信规则。这些规则对我国诚信制度的构建必然会有一定的积极作用。然而,我们也应当看到,目前颁布的这些规则缺乏较为合理的制度基础,往往是针对一个问题而制定一条条文,对于整个诚信制度的立法理念、法律基础等基础性的问题并没有一个系统而完整的诠释,而这些恰恰是境外诚信制度发展的主线。境外诚信制度的发展表明,诚信制度首先必须解决数据保护与信息公开之间的矛盾,而在协调这两者关系时,各个国家和地区都会有自己平衡的方式。这种平衡的方式会直接影响到诚信制度相关规则的内容,因而也直接影响了诚信制度的构建。本文将以数据保护与信息公开之间的平衡为研究对象,通过分析欧美诚信制度发展史,总结欧美国家如何游走在数据保护与信息公开之间,然后结合目前的相关制度背景,对我国目前已颁布的诚信规则进行分析。
一、数据保护与信息公开
(一)数据保护与信息公开的冲突
数据保护最初起源于19世纪对个人隐私权保护的讨论,并随着现代社会的发展逐步完善。具体来说,隐私权是指自然人享有私人生活安宁与私人信息依法受到保护、不受他人非法侵扰、知悉、搜集、利用和公开的一种人格权,而且权利主体对他人在何种程度可以介入自己的私生活,对自己是否向他人公开隐私权以及公开的范围和程度等具有决定权。[1]隐私权包含了两层权利内容:第一层权利指原则上个人的私生活和私人信息不受他人非法侵犯、知悉、搜集、利用和公开;第二层权利指个人享有放弃受到这种保护的权利,有权决定是否允许他人介入自己的私生活,公开受到保护的信息。随着社会的发展,隐私权的地位不断得到提高,目前已被视作一项基本人权,纳为宪法保护的范畴。[2]随着对非自然人相关信息保护的重视,隐私权保护逐步扩大到了数据保护的概念,法人等非自然人的“隐私权”也得到了关注。
而在隐私权得到逐步保护的同时,随着现代社会的发展,政府为了更好的履行其职责,私人机构为了扩大市场份额,都对掌握公民、法人和其他机构的信息产生了需求。20世纪信息技术的快速发展,使信息的收集和处理更为方便。最终,政府和私人机构对个人信息的需求加上高效率的技术能力使各种专业巨型数据库应运而生。[3]这些数据库需要大量征集个体信息,并将其加以整理和使用。使用的最主要方式就是公开信息。这种公开就会与数据保护之间产生冲突。以诚信数据库为例。诚信制度涉及多方主体,各方基于自身的考虑,都会对诚信制度有着不同的诉求。其中,信用信息主体和信用信息管理者的不同诉求恰恰就体现了数据保护与信息公开之间的矛盾和冲突。
信用信息主体是所有信用信息的源头,通常来说,机构或者个人都可能成为信用信息主体。在证券市场中,任何证券市场的参与者,包括投资者(个人投资和机构投资者)、证券公司、上市公司,都会因其行为形成与其有关的信用信息,也因此,都可能成为信用信息主体。[4]信用信息主体是信用信息产生的源头,一切的信用信息,无论是失信信息还是守信信息,都源自他们的行为,信用信息被使用后也主要是对他们的权益产生影响。因此,信用信息主体是诚信制度中最为基础的一个主体,他们的利益诉求也是诚信制度构建中必须着重考虑的。而对他们而言,最大的诉求在于对其信用信息的保护。
信用信息管理者,就是对信用信息进行征集、处理,并将信用信息或信用信息相关产品提供给他人使用的机构。信用信息管理者是诚信数据库的运行者,目前来看,主要由机构承担了这个角色。信用信息管理者可以是隶属政府部门的机构,也可以是完全市场化运作的私人机构。我国目前主要由政府部门或隶属政府部门的机构承担了信用信息管理者的角色。信用信息管理者是整个诚信制度的中枢。对信用信息管理者而言,最佳的诚信制度是将信用信息归入公共产品,信息的征集和公开与否都不受限制。
因此,在现代社会中,任何一个数据库的构建中都会存在数据保护与信息公开之间的矛盾和冲突。而具体到诚信数据库,这种矛盾和冲突就体现在信用信息主体与信用信息管理者不同的诉求中。信用信息主体与信用信息管理者是诚信制度中最为关键的两方主体,二者之间诉求的协调与平衡将直接关系到诚信制度基础的稳固。也因此,在诚信制度构建中,应当对数据保护与信息公开之间的冲突给予充分的重视。
(二)数据保护与信息公开之间的平衡
数据保护与信息公开之间的冲突并不是无法平衡和协调的。解决二者冲突的关键在于隐私权或数据的保护是受到限制的,而非无限制的。
从隐私权的定义本身来看,至少在两个地方可以实现信用信息公开与隐私权保护之间的和谐共处。首先,隐私权第一层次权利内容中是指“非法”侵扰、知悉、搜集、利用和公开。如果基于一些其他目的,侵扰、知悉、搜集、利用和公开不是非法,而是合法的,那么这些行为就不会构成侵犯隐私权。[5]其次,隐私权包含的第二层次权利内容,即权利主体对他人在何种程度可以介入自己的私生活,对自己是否向他人公开隐私权以及公开的范围和程度等具有决定权,成为隐私权可克减性的另一个突破口。当信用信息主体本人同意放弃部分的隐私权后,相关的信用信息的征集、处理和使用就从侵犯隐私权变为不侵犯隐私权。
基于数据保护或隐私权的这种受限性,诚信制度中数据保护与信息公开之间的冲突也存在平衡的可能性,表现在:(1)为了实现构建诚信数据库的公共利益目的,如保护金融稳定、防范金融风险、惩罚失信行为,等等,诚信数据库收集、利用和公开某些信用信息,主要是失信信息的行为应是合法的;(2)对于无法从公共利益角度讨论,但又是衡量信息主体信用状况所必需的信息,可以通过信息主体的同意达到隐私权保护和信用信息公开之间的平衡;(3)对于已经公开的信息,信用信息管理者对其收集、处理和公开应不会涉及侵犯隐私权的问题。
为更好地在各国立法中实现保护数据和信息公开的双重目的,部分国际组织也基于数据保护的受限性,就数据征集和使用中数据保护和公开之间的平衡制定了相关标准。1980年,OECD发布了保护个人数据的隐私和跨境流动指引(the OECD Guidelines on Protection of Privacy and Transborder Flows of Personal Data)。为了在隐私保护和信息自由流动之间找到一个平衡点,OECD提出几项有关数据保护的原则:(1)目的明确化原则(Purpose Specification Principle),即数据收集的目的需要明确;(2)使用限制原则(Use Limitation Principle),即个人数据的使用应该受到限制;(3)安全保护原则(Security SafeguardsPrinciple),即数据的收集和贮存应该有相应的制度保障;(4)公开的原则(Openness Principle),即应该有一个公开个人数据的收集和处理过程的政策;(5)个人参加原则(Individual Participation Principle),即数据主体有权参与到数据的收集中、有权查询数据并纠正错误信息;(6)搜集限制原则(Collection Limitation Principle),即数据的收集应仅为收集时宣称的目的进行;(7)资料内容正确性原则(Data Quality Principle),即数据应准确并得到及时的更新;(8)责任原则(Accountability Principle),即数据的收集者有责任采取适当的措施保证上述原则得以遵守。[6]
联合国也于1990年12月通过了《计算机处理个人数据文件的指导纲领》(Guidelines for the Regulation of Computerized Personal DataFiles)(也被称为公平信息实践,Fair Information Practices)。该纲领第一部分就平衡隐私权与信息公开提出几项各国立法时应包含的原则,包括:(1)合法公平原则(principle of lawfulness and fairness),即个人信息不应以不公平和不合法的方式收集,也不应为了违反联合国宪章规定的宗旨和原则的目的而被使用;(2)正确原则(principle of accuracy),即记录的信息应准确、完整和相关(accuracy, completeness and reliance) ;(3)目的明确原则(principle of purpose specification),即文档的使用目的应公布,除非得到有关个人的同意,否则不应为与公布的使用目的不相符的其他目的披露信息;(4)权益主体查询原则(principle of interested person access),即提出身份证明的任何个人,有权知悉有关其的信息是否被处理,并有权获得一份以可理解的方式提供的有关其的信息;(5)不歧视原则(principle of non-discrimination),即可能引起非法或武断歧视的信息不应被汇编,特别是有关种族、肤色、性生活、政治观点、宗教、哲学或其他信仰、协会成员资格或工会成员资格等;(6)安全保护原则(principle of security),即应采取必要的保护个人数据档案的安全措施。[7]
二、欧美诚信制度中数据保护与信息公开的平衡
欧美等发达国家在构建各自诚信制度时,从不同方面实现着数据保护与信息公开之间的平衡。具体来说,美国首先是在诚信制度得到一定发展后开始关注对相关数据的保护(具体表现为对隐私权的重视),欧盟则基于其第二次世界大战(以下简称二战)中特殊的经历,在战后建立诚信制度时就明确了严格的数据保护制度。
(一)美国:逐步加强对隐私权的保护
美国对隐私权的保护与诚信制度的出现大致都发生在19世纪,[8]不过,在很长一段时间内,美国诚信制度都处于政府监管之外,最终将诚信制度纳入政府监管的主要原因就在于公民对自己隐私权的逐步关注。
英国殖民时期对公民住宅不受限制的搜查使美国人在独立后即在宪法第四修正案中直接规定禁止不合理的搜集和抓捕,而这成了美国保护隐私权的雏形。1890年美国最高院法官Warren和Brandeis发表了“隐私权”的文章,系统论述了公民应享有独处的权利(right to be left alone),第一次提出了保护个人隐私,个人隐私权不容侵犯的观点。[9]殖民时期的经历、宪法修正案的规定和《隐私权》的论述,共同构成了美国20世纪隐私权立法的基础。美国陆续就隐私权保护问题出台了一系列法律,例如《1974年隐私法案》(the Privacy Act of 1974)、 《1978年金融隐私权法案》(the Right to Financial Privacy Act of 1978)、《1986年电子通讯隐私法案》(the Electronic Communications Privacy Act of1986)和《1994年执法中的通讯协助法案》(the Communications Assistance for Law Enforcement Act of 1994)。[10]
诚信制度方面,尽管在1873年美国银行危机后,就有部分州的立法机构提出对信用机构进行监管,不过,相关法律一直未能出台。诚信行业在很长时间内都是依赖司法机构的判决进行监管,法官成为诚信行业最初的监管者。[11]然而,早期法官主要关注的是信用机构提供错误信息引发的纠纷,并没有关注信用信息主体的隐私权问题。1906年成立的诚信行业自律机构—联合信用局(Associated Credit Bureaus) ,也主要致力于进行信息交流和制定行业标准化,未将信用信息主体的相关权益纳入其考虑范围。[12]直至“二战”后,随着消费者维权意识的增强,为应对社会对信用报告行业引发的有关隐私权保护的质疑,美国才在原有法律基础上,制定和完善了信用管理法律。目前美国形成了以《公平信用报告法》为核心,由直接的信用管理法律、保护个人隐私的法律、规范政府信息公开的法律共同组成的信用管理法律框架体系。[13]这个法律框架体系不断完善的过程,也是美国不断加强对隐私权保护的过程。
1970年制定的《公平信用报告法》是美国第一部针对信用行业制定的法律,也是美国现在诚信领域最重要、最基本的法律。该法出台的背景就是当时公众对信息隐私权的关注,因此,具体条文重点关注了信用信息主体享有的相关权利。该法案规定消费者有权充分了解任何一家信用机构对自己信用状况的评价及依据,消费者对不实信息具有提出异议的权利,同时规定了信用报告可使用的目的,只有符合这些目的,消费者信用报告才能得以使用。这是美国首部对信用报告行业做出规范的法律,赋予消费者一定的权利、对信用报告机构的行为进行一定的限制,应该说对规范这个行业具有一定的积极意义。然而,该法案规定下,整个美国信用信息共享系统实际上仍然是不向消费者公开的。消费者依然不知道谁收集了他们的信息,自己信息又因为何种目的被哪几个机构共同分享了。[14]
1996年克林顿总统签署的《消费者信用报告改革法》赋予了信用信息主体更多的权利:(1)信用信息主体对其信用信息有异议的,信用机构必须进行调查;信息有错误的,必须在30天内消除错误;(2)信用信息主体对自己的信用信息有争议时,可以直接与银行沟通,银行希望与其附属机构共享信用信息主体的信息的,必须通知信用信息主体;(3)信用报告使用者需要证明其获取信用报告的目的以及报告不会被用于其他目的。[15]2003年颁布的《公平和正确信用交易法》进一步增加了信用信息主体享有的权利。美国国会承认了消费者自我监督的益处,因而规定信用信息主体有权每年从任一全国性信用报告机构处免费获得一份信用报告;有权查看其信用分数;可选择包含医疗信息的报告是否披露。[16]
经过多次修改后,目前,美国信用信息主体已经享有了较多制约和平衡信用机构的权利,具体见下图。
来源:Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems, New York: Springer Berlin Heidelberg, 2006。
从美国诚信制度发展历程可以看到,美国诚信制度与数据保护制度最初是互不相干,各自发展的。在一段较长的时间里,美国都只是站在信息公开的一端,认可信息公开的必要性,之后,在意识到数据保护的必要性后,才开始通过不断赋予信用信息主体(消费者)相关权利,制约信用信息管理者在信息公开方面享有的权利,以达到保护信用信息主体相关数据的目的。从目前的规则来看,赋予信用信息主体的权利主要包括了就信息使用中的相关情况获得通知、对与自己相关的信用信息的知情权、选择退出信用信息共享机制的权利等。
(二)欧盟:严格的数据保护机制
与美国不同,欧盟自“二战”后就对诚信制度中数据的保护提出了较高的要求。这与欧盟诚信制度的特征及“二战”中欧洲国家的经历有密切的联系。
欧洲诚信制度与美国形成的时间大致相同,然而,经过一百多年的发展后,两地诚信制度出现较大的差别。美国的信用机构以私人机构为主,而欧洲主要由国家中央银行运作公共信用登记系统。相对于私人机构,政府支持下的信用机构更强大,也更容易引发公民的维权意识。而“二战”期间,德国纳粹利用政府掌握的个人信息,对犹太人进行了大规模的屠杀,这更使欧洲人对于政府,特别是一个极权政府掌握个人信息抱有极大的戒心。[17]正是基于这两个原因,战后欧洲加强了数据保护方面法令的制定,诚信制度中的数据保护也不例外。
“二战”结束后,欧洲国家就同意将隐私定义为一种基本人权,并在1948年《人权宣言》(Universal Declaration of Human Rights of 1948)中确认下来。宣言第12条规定:“任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”此后,欧洲多项国际条约中都对隐私权作出了明确规定。[18]
20世纪六七十年代,自动化技术和电脑在信息存贮和处理中的运用,重新唤起了欧洲人对“二战”经历的恐惧,贯彻有关隐私权方面的条约或准则的公众压力开始加大,一些国家开始制定隐私法案。最早的有关隐私权和数据保护方面的立法出现在西德的海默,之后是瑞典1973年《数据保护法》,此后几乎所有欧洲国家都出台了各自的数据保护法。[19]2001年欧盟在其成员国立法的基础上,颁布了《关于与欧共体机构和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》(Regulation(EC)No. 45/2001 of the European Parliament and of the Council and 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data)(以下简称《个人数据保护指令》),为其成员国数据保护制度制定了最低的标准。该指令规定了几个合法进行数据处理需要满足的先决条件:(1)数据主体必须明确同意进行数据处理;(2)数据处理是为了履行基于数据主体利益而制定的合同所必需的;(3)数据处理是公共利益所必需的;(4)数据处理是数据主体重大利益所必需的;或者(5)控制者或者第三方有合法利益这么做,且该利益不侵犯保护数据主体隐私权的利益时,才能进行数据处理。[20]
《个人数据保护指令》还赋予了信息主体(即指令规定的数据主体)广泛的权利:(1)有权知悉控制信息的主体的身份、进行数据处理的目的、信息的任何(包括潜在的)接收方,有权查询和纠正信息。为保证信息主体履行该项权利,指令规定消费者可以向任何数据控制者提出申请,查询是否它们处理的个人数据与其有关,有权获得数据副本,并且如果需要,有权更正或删除数据。[21](2)对于所谓的敏感信息,如种族血统、政治观点、宗教或哲学信仰、工会成员资格等,除非得到数据主体明确同意,否则不得处理,有关有罪判决的信息,必须由官方控制处理,如果国内有特别的保护措施,也可由私人机构控制处理。[22](3)如果数据处理只是为了数据控制人的合法权利这一目的,或者如果数据被用于直接的销售目的,则消费者有权反对进行数据处理。[23]此外,指令还规定了严格的披露或者通知制度。在对个人数据进行任何自动化处理前,必须通知政府部门。[24]
与美国不同,欧盟在诚信制度发展之初就提出数据保护的要求,并在各国数据保护相关立法和欧盟《个人数据保护指令》标准下,加强了对诚信信息的保护。因此,欧盟诚信制度并未像美国一样经历了从偏向信息公开一端逐步转而开始关注数据保护的历程,而是在较早时候就赋予了信用信息主体较为全面的权利。基于这一发展路径,欧盟信用信息主体享有的权利较之修改后的美国诚信制度下信用信息主体享有的权利就更为广泛和全面。例如,欧盟法下,信用信息主体可以接触到信用制度中的任何一方,包括信用信息管理者、信用信息使用者和信用信息提供者(如银行),并且,消费者可以要求任何一方向其披露信息。信用信息主体有权向任何贮存信息的一方就信息提供异议,可以反对银行与第三方共享信息。[25]
不过,无论美国与欧洲起点如何,殊途同归的是,随着信用信息主体维权意识的增强,目前欧美国家诚信制度中都在强调对信用信息的保护,尝试在数据保护与信息公开之间寻找平衡点。而从目前的制度发展来看,欧美寻找到的平衡点也越来越趋同。具体来说,这个平衡点主要具有以下两个特征:
(1)以隐私权制度或数据保护制度作为基础。欧美诚信制度都与各自保护信用信息的基础制度密切相关,例如美国的隐私权制度,欧盟的数据保护制度。这个基础制度会对信息主体应当享有的一般权利以及信息公开的一般原则做出规定。这些规定一方面作为诚信制度构建的重要指导和依据;另一方面,当诚信制度对信用信息主体权利保护不足时,该制度可以起到补漏的作用,以便为信用信息主体提供全面的保护。
(2)以权利制约权利,最终达到保护数据和公开信息的平衡。尽管美国诚信制度下信用信息主体享有的权利要少于欧盟信用信息主体的权利,不过,欧美都按照同一模式实现着数据保护与信息公开的平衡。这个模式就是在承认信用信息管理者在信息收集、公开方面的权利的同时,赋予信用信息主体足够的权利,以制约和平衡信用信息管理者,最终实现信息公开与数据保护的平衡。
三、我国诚信制度存在的问题及对策
欧美国家对诚信制度进行监管的重要原因就是为了实现数据保护与信息公开的平衡,而在平衡时,欧美国家都依托一定的基础制度构建各自的诚信制度,例如欧洲以各国和欧盟数据保护方面的立法为基础,美国则依托于隐私权方面的立法。我国目前随着诚信制度建设的逐步展开,也必然需要面对如何平衡数据保护与信息公开的问题。从目前的制度环境来看,诚信制度在平衡二者关系时面对的首要问题就在于缺乏一个合理的制度基础,即数据保护基础法律缺失;其次是基于制度基础的缺失而产生的信用信息主体和信用信息管理者权利分配的不均衡问题。这些问题如果得不到很好的解决,短期内将会影响诚信制度功能的发挥,长期来看将会导致诚信制度基础不稳。以下将针对我国目前诚信制度中存在的这些问题,对如何完善我国相关诚信制度提出建议。
(一)完善我国数据保护相关基础制度,夯实诚信制度的基础
从我国目前的相关法律规定来看,在《宪法》和其他基础法律层面,都缺乏对数据保护的基本规定。
首先,《宪法》条文中未明确规定公民享有隐私权。尽管有学者认为,目前的《宪法》中能依稀找出隐私权的影子。例如,我国现行《宪法》第37条人身自由条款、第38条人格尊严条款、第39条住宅自由条款和第40条通信自由和通信秘密条款隐含了对公民隐私权的保护,而2004年《宪法修正案》第24条的尊重和保护人权条款也可以作为我国宪法包括隐私权的基础之一。[26]不过,这个解释相对于国外对隐私权的界定,仍然存有一定的差距。人格尊严从字面来看,并不直接含有保密的意思,而隐私权保护的就是个人信息不为他人知悉。侵犯隐私权的行为可能不一定能构成侵犯人格尊严。如果以目前《宪法》的规定作为我国数据保护的来源,将会降低我国数据保护水平,不利于保护公民、法人和其他组织的信息。
其次,在民法方面的规定中,我们同样难以看到有关数据保护或者隐私权的明确规定。《民法通则》第五章关于民事权利的规定中,并没有对数据保护方面的权利作出任何规定。最高人民法院《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》中虽然出现了“隐私”的字眼,但其规定的是以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为,[27]与美国法下隐私权的概念和欧盟数据保护概念相距甚远。因此,我国在基础法律层面也缺乏对数据保护的规定。
数据保护基础制度的缺失,使我国相关诚信规则在制定时缺乏一个合理的制度基础。为弥补这个缺陷,部分诚信规则在自己的条文中规定信用机构应当依法保护个人隐私和商业秘密,[28]希望以此为数据保护与信息公开之间的平衡提供基础。不过,诚信规则多为部门规章、地方性规章等效力层级较低的法律文件,且规定较为零散,不利于有效保护公民、法人和其他组织的信息。从境外的相关制度来看,数据保护基础制度一方面可以成为诚信规则制定时的依据,另一方面还能弥补诚信规则规定的缺失或不足。将数据保护基础制度直接纳入诚信规则中不利于数据保护制度发挥其在诚信制度构建中的补漏作用。
鉴于此,我国在诚信制度构建的同时,也应当积极推进数据保护方面的立法工作。长期来看,最为有效的方法是从《宪法》和基础法律层面对隐私权或数据保护做出明确规定,以此作为构建诚信制度的制度基础。在此基础上构建的诚信制度,即便对于其中的个别制度偶有疏忽,也能通过隐私权或数据保护相关法律制度进行弥补。这是从根本上解决数据保护与信息公开之间冲突的办法。具体来说,《宪法》应规定公民、法人和其他组织对其信息享有的不受非法侵犯的权利;在此原则性规定的基础上,通过借鉴国际组织有关数据保护的相关标准和欧美,特别是欧盟有关数据保护的相关法律,结合我国对数据保护的实际需要,制定专门的数据保护基础法律,或在基础民事法律中,增加有关数据保护的具体规定,对数据保护的范畴,数据搜集、加工和使用过程中必须遵守的原则等做出规定。
不过,考虑到目前我国诚信制度建设已经如火如荼地开展起来,而不管是修改《宪法》还是修改或制定基础法律,耗时都较长。为满足现实的迫切需要,短期内只能在缺乏有关隐私权或数据保护相关基础法律的前提下先行构建诚信制度。而为弥补数据保护基础制度缺失可能带来的失衡问题,相关诚信规则在制定时应当充分考虑数据保护需求,合理分配与信用信息相关的权利;同时,合理吸收借鉴国际组织或境外有关数据保护的最低标准,在诚信规则中对数据保护做出原则性规定,以弥补基础法律制度的缺失。
(二)合理分配相关权利,平衡数据保护与信息公开需求
诚信规则具体制定时,还需要综合考虑信用信息主体和信用信息管理者的需求,在二者之间合理的分配相关权利。只有这样,才能达到既对信用信息主体进行有效保护,又能通过信息公开充分利用诚信信息的目的。从我国目前颁布的相关诚信规则来看,主要存在两个方面的问题:首先,信用信息主体享有的权利不够充分。从前述关于境外数据保护制度的相关介绍可以看到,欧美国家平衡数据保护与信息公开的主要办法是赋予信用信息主体合理的权利,包括知情权、支配权和异议权[29],以制衡信用信息管理者。我国目前的诚信规则尽管也会对信用信息主体的相关权利做出规定,但是,具体的权利范围还有待进一步完善;其次,囿于信用信息主体权利保护不够充分,为避免在信用信息的使用过程中引发相关的纠纷,相关诚信规则对信用信息的征集和公开采取了过于保守的态度。这可能限制诚信信息作用的发挥,制约诚信制度建设的发展。以下将主要结合2012年颁布的《证券期货市场诚信监督管理暂行办法》(以下简称《暂行办法》),对如何合理分配相关权利提出建议。
1.进一步合理规定信用信息主体应当享有的权利
《暂行办法》规定公民、法人和其他组织可以申请查询自己的诚信信息,且当其认为计人的诚信信息应予删除、修改的,可以向中国证监会及其派出机构申请更正。[30]该规定赋予了信用信息主体相应的知情权和异议权,对于平衡数据保护和信息公开之间的关系具有积极的作用。不过,目前规定仍有所欠缺,主要体现在知情权不够全面。
信用信息主体的知情权是信息主体所有权利的核心。只有信用信息主体知道了信息共享的事实,才有可能行使对信用信息的其他权利。因此,信用信息主体的这项权利在诚信制度的构建中尤为重要。对比欧盟《个人数据保护指令》,我们可以看到,《暂行办法》对信用信息主体知情权的保护仍有待进一步完善。《个人数据保护指令》规定,在信用信息管理者获取数据时,必须告知信用信息主体:(1)信用信息管理者的身份;(2)获取信息的目的;(3)信息接收者的身份;(4)查询及更正与其有关的信息的权利;(5)其他进一步的信息,包括对意欲获取的信息进行处理操作的法律基础、信息储存的时间期限、信息主体可随时向欧洲数据保护监督员寻求帮助的权利。[31]也就是说,信用信息主体不仅对与其有关的信用信息享有知情权,还对信用信息管理者和信用信息使用者的身份、信用信息的使用目的、信用信息主体在诚信制度中享有的权利等都具有知情权。特别值得注意的是,这些信息是由信用信息管理者主动告知信用信息主体,而非由信用信息主体主动查询。
对比可以发现,《暂行办法》在信用信息主体知情权方面,还处于初级阶段,仅规定了信用信息主体的查询与其有关的信用信息的权利,未明确信用信息管理者在征集相关诚信信息时是否需要主动告知信用信息主体,其信息将被谁征集、征集后将如何使用等信息。从保护信用信息主体知情权的角度出发,这些信息也应当告知信用信息主体。虽然目前《暂行办法》中对这些信息都有明确规定,不过实际上可能很多人并不知道证券期货市场诚信档案的存在,更无从知道自己对该档案中的信息享有查询权,因此,更适宜在信用信息征集时明确告知信用信息主体。基于《暂行办法》未对此信用信息主体除查询权以外的其他知情权做出明确规定,可以考虑先在实际操作中进一步扩大信用信息主体的知情权。例如,对于将录入诚信档案的行政处罚决定,可在行政处罚决定书中写明该行政处罚将被征集到证券期货市场诚信档案、将基于何种目的被使用、信用信息主体享有何种权利,以此进一步保障信用信息主体享有的知情权,避免产生不必要的纠纷。
2.逐步扩大信用信息可征集、可公开的范围
在公民维权意识逐渐增强的今天,我国数据保护基础制度的缺失使信用信息管理者在使用诚信信息时不得不采取较为谨慎和保守的态度,而这可能限制了诚信档案作用的发挥,阻碍诚信制度的发展。
例如,《暂行办法》在规定信用信息的使用时就采取了严格限制的态度,规定诚信信息属于国家秘密、商业秘密及个人隐私的,不予查询。[32]这可以防止相关数据的披露,但是,也限制了部分信用信息的合理使用。例如,当发行人、上市公司拟委托的证券公司、证券服务机构及其相关从业人员时,信用信息主体基于未来可能存在的委托关系,可能同意信用信息使用者查询一定范围内涉及商业秘密和个人隐私的信用信息,而这些信息可能确实有助于信用信息使用者做出相关决定。然而,《暂行办法》未留例外的规定使信用信息可以发挥作用的空间被缩小了,且如果这些信息一律不予查询,那么诚信档案征集和保留这些信息就毫无价值。
这一问题在此前颁布的《征信管理条例(征求意见稿)》中表现的更为明显。《征信管理条例(征求意见稿)》规定除行政机关、司法机关以及法律、法规授权的具有管理公共事务职能的组织已经依法公开的信息,以及其他已经依法公开的信息外,征信机构收集、保存、加工个人信息都应当得到信息主体的同意。[33]金融机构在对外提供信用信息时,应当取得信息主体的书面同意(向中国征信中心提供信息除外)。[34]这样的规定如果真正实施起来可能导致诚信数据库面临信息来源不足的问题。在诚信数据库的建立中,信息主体是作为诚信数据库的监督对象。对于那些失信的行为人而言,要求其同意将对自己不利的信息提供给诚信数据库,从而为自己未来的行为制造“障碍”,只会导致诚信数据无法获得适当的信息。
事实上,欧美国家在对信用信息主体提供适当的保护同时,也并非一味偏向对信用信息主体的保护。欧美相关制度在通过立法严格限制诚信信息的征集和使用的同时,往往都会预留一定的空间,规定征得信用信息主体同意后,可对某些非法定信息以外的信息进行征集,或将信用信息用于非法定目的以外的其他目的。例如,欧盟规定数据主体对于少量数据拥有征集同意权,包括种族血统、政治观点、宗教或哲学信仰、工会成员资格、关于健康和性生活方面个人数据;[35]而在使用方面,美国规定信用信息基于法定目的可公开外,还规定信用信息可基于信用信息主体同意的目的而公开。具体到我国目前《暂行办法》,随着证券期货市场诚信档案的逐步完善,应当考虑在目前规定的法定信息公开之外,适当增加经信用信息主体同意或授权后的信息公开;对于其他诚信规则,也应在信息征集和使用时注意防止矫枉过正,在保护信用信息主体的信息时,也要为诚信制度的发展预留一定的空间。
【注释】
[1]张新宝:《隐私权的法律保护》,群众出版社2004年版,第12页。
[2]孙平:“政府巨型数据库时代的公民隐私权保护”,载《法学》2007年第7期。
[3]孙平:“政府巨型数据库时代的公民隐私权保护”,载《法学》2007年第7期。
[4]《关于建立证券期货市场诚信档案有关事宜的通知》(证监办发[2007]114号)。
[5]丁邦开、洪庚明:《金融信用法律环境论》,东南大学出版社2006年版,第360页。
[6]http://www. oecd. org/document/18/0,2340,en_2649_34255_ 1815186_1_1_1_1,00. html.
[7]http://www. un. org/documents/ga/res/45/a45t095. htm.
[8]美国第一家从事商业报告的机构—Mercantile Agency于1841年出现,参见Sylla, R.(2002),A Historical Premier on the Business of Credit Rating, in M. Miller(ed.)Credit Reporting Systems and the Rating Agencies and the Global Financial System(Kluwer Academic Publisher, Boston), pp. 19 -41;对隐私权的保护可追溯至美国尚处于英国殖民统治的期间,立法对隐私权的保护最早出现在美国独立后制定的宪法第四修正案。
[9]Warren and Brandeis, “The Right to Privacy”,Harvard Law Review, Vol. IV, No.5(1890).
[10]Jentzsch, N.,Financial Privacy : An International Comparison of Credit Reporting Systems , New York : Springer Berlin Heidelberg, 2006, p. 155.
[11]Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems,New York:Springer Berlin Heidelberg, 2006,p.64.
[12]Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems, New York: Springer Berlin Heidelberg, 2006, p.65.
[13]丁邦开、何俊坤:《社会信用法律制度》,东南大学出版社2006年版,第71~72页。
[14]Reidenberg,J. R. and P. M. Schwartz,Data Privacy Law: A Study of United States Data Protection Michie, Charlottesville, 1996, p. 299.
[15]Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems , New York:Springer Berlin Heidelberg, 2006, p. 127
[16]Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems , New York:Springer Berlin Heidelberg, 2006,pp.132-135.
[17]Samuelson, P.,“Privacy as Intellectual Property?”,Stanford Law Review 52(5):1125-74.
[18]例如,1950年公布的欧洲人权公约(Council of Europe’ s European Convention on Human Rights )、 1966年公民权利和政治权利公约(International Covenant on Civil and Political Rights of 1966) 、 1980年OECD隐私保护和个人资料跨界流通的指南(the OECD Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data of 1980),1981年欧洲理事会公约(the Council of Europe Convention of 1981) , 1990年联合国电脑个人资料档案的管理准则(UN Guidelines Concerning Computerized Personal Data Files of 1990),1997年阿姆斯特丹条约(Amsterdam Treaty of 1997)
[19]Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems, New York: Springer Berlin Heidelberg, 2006,p. 139.
[20]Regulation (EC) No. 45/2001 of the European Parliament and of the Council and 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, article 8.
[21]Jentzsch, N.,Financial Privacy : An International Comparison of Credit Reporting Systems , New York : Springer Berlin Heidelberg, 2006, p. 142.
[22]Regulation (EC) No. 45/2001 of the European Parliament and of the Council and 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, article 8.
[23]Regulation (EC) No.45/2001 of the European Parliament and of the Council and 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, article 14(b)。不过,对于银行将负面信息传递给信用报告机构,信息主体并不能行使该项权利,因为银行系统的稳定通常被认为是一个高过个人隐私权利益的公共利益。参见Jentzsch, N. ,Financial Privacy: An International Comparison of Credit Reporting Systems,New York:Springer Berlin Heidelberg, 2006,p.144。
[24]Regulation (EC) No. 45/2001 of the European Parliament and of the Council and 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, article 19.
[25]Jentzsch, N.,Financial Privacy: An International Comparison of Credit Reporting Systems , New York: Springer Berlin Heidelberg, 2006,p.143.
[26]周伟:《宪法基本权利:原理·规范·应用》,法律出版社2006年版,第133~134页。
[27]最高人民法院《关于贯彻执行(中华人民共和国民法通则)若干问题的意见(试行)》第140条。
[28]例如,《征信管理条例(征求意见稿)》第5条。
[29]具体来说,信用信息主体主要享有知情权、支配权和异议权。知情权指信用信息主体有权知悉信用信息管理者是否在收集、储存、利用、处理、转让、传播、公开自己的信用信息,对有上述行为的信用信息管理者,信用信息主体有权要求知悉与其有关的信息的内容、用途、使用者的有关信息并接触与其有关的信息记录。支配权指信用信息主体对于某些信用信息,有权决定是否愿意有信用信息管理者征集并使用。异议权具体指信用信息主体对与其有关的信用信息的准确性、完整性和及时性提出异议,并要求信息管理者更正或删除有关信息的权利。参见王锐、熊键、黄桂琴:“完善我国个人信用体系的法学思考”,载《中国法学》2002年第4期;谈李荣:《金融隐私权与信用开放的博弈》,法律出版社2008年版,第140页。
[30]《证券期货市场诚信监督管理暂行办法》第16条第(1)项,第20条。
[31]Regulation (EC) No. 45/2001 of the European Parliament and of the Council and 18December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data,articlell.
[32]《证券期货市场诚信监督管理暂行办法》第19条。
[33]《征信管理条例(征求意见稿)》第16条。
[34]《征信管理条例(征求意见稿)》第37条。
[35]Regulation (EC) No. 45/2001 of the European Parliament and of the Council and 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data, article 10.