美国征信法律变迁的启示
一、美国征信法律的特点
一国法律的制定往往受到该国的风俗习惯、社会结构、文化特点等因素的影响。因此,各国国情的差别也必然体现在各国法律各具特点。
(一)征信法律的分散性
独立后的美国强调公民自由和小政府,注重行业自律,反对政府过多的监管。美国宪法中没有明确的隐私保护条款,只是在宪法第一、第三、第四和第九修正案等法律,或在诸如“受宪法第十四修正案第一章保护个人自由的概念”等只言片语零星体现隐私保护精神。时至今日,美国并没有制定类似《欧盟数据保护指令》这样较为严格的覆盖所有领域的数据采集、使用的一般性法规。美国涉及数据采集和使用的条款因领域不同而对应不同的法律。如在信用信息方面哪些可以获取、哪些属于机密或隐私,如何采集等问题上需要综合《信息自由法》、《隐私权法》、《公平信用报告法》和《统一商业秘密法》等多部法律法规。
与美国征信法律形成鲜明对比的是欧洲国家的《欧盟数据保护指令》。欧洲国家在二战后得到一个重要教训就是保护个人隐私。二战期间,纳粹德国之所以能够肆意抓捕迫害犹太人,冻结侵占犹太人财产一个重要原因就是能够轻易获得犹太人的居住、财产等隐私信息。因此,欧洲国家都信奉同一个理念——保护公民的数据隐私,视隐私权为人权的一部分。保护个人隐私被写入了许多欧洲国家的宪法。欧盟于1995年通过了《数据保护指令》,规定了有关信息隐私权的总体框架,该指令适用于包括信息收集、加工和储存的个人资料的处理,使用范围不仅包括征信活动,还包括医疗、市场营销等一系列涉及个人信息交易、共享、传播的活动,是欧盟范围内最重要的信用管理法律。
(二)信用监管机构多元化
与美国征信法律类似,美国没有一个专门的信用监管机构,监管权主要分属于5个政府部门——财政部货币监理局、美联储、联邦存款保险公司、联邦贸易委员会和国家信用联盟管理办公室。各监管部门依据法律监管各自的监管对象,但信用信息保护往往是其众多职能中的一部分。例如,联邦贸易委员会的职责是反对市场垄断,保护消费者权益,信用行业的监管只是其众多事务的一部分。其次,不仅在联邦层面,在州的层面也存在许多监管机构,甚至经常存在重复监管的现象。直到2012年,美国联邦政府根据《多德-弗兰克法案》整合了多个部门的消费者权益保护职能,将年收入大于700万美元的大型征信机构纳入消费者金融保护局管辖。与之相对应的是欧盟在欧洲理事会下设一个专门的机构部长委员会负责消费者个人资料隐私权的保护,欧盟各成员国也都成立专门的独立机构负责数据隐私的保护。
(三)在同意权上主要采用“选退”方式
同意权是指个人享有是否同意征信机构采集或被他人、有关机构使用其信息的权利。目前,实现信息主体消费权的方式主要是“选进(opt-in)”和“选退(opt-out)”两种方式。所谓“选进”是指在采集或利用信息主体信息前需要取得信息主体的同意。“选退”指除非信息主体明确提出拒绝采集或使用其信息,否则视其默许同意。美国征信监管法律在实现同意权上主要采用“选退”模式。例如,一些贷款机构或保险公司为了有针对性地向目标客户群推销产品需要定期向征信机构索取消费者信用信息,这不需要事先征得消费者同意,但消费者有权要求相关机构停止这一行为。而在欧洲,保险公司和贷款机构必须事先征得消费者同意。此外,在向非关联第三方共享个人信用信息、从事共同营销机构间信息共享等业务上,美国均采用“选退”方式。只有在公司因人员招聘需要查询信用信息以及贷款机构、保险机构查询信息主体医疗信息时才明确要求事先取得信息主体的书面同意。在应该使用“选退”还是“选进”条款的问题上,不仅在美国本土引发巨大争议,欧盟与美国就信息跨界流动谈判时明确指出美国在这一机制上与欧盟差别如此巨大,以至于欧盟拒绝承认《美国金融服务现代化法案》的“同意原则”效力等同于《安全港协议》中的类似原则。学者普
遍认为美国的征信立法更加着眼于促进征信业发展,而欧盟更加注重个人隐私保护。
(四)征信法律根据新业态和民众诉求不断修正
美国立法体系具有较快的响应能力。在立法初期,许多法律条款往往并不是最优,但是美国立法机构会根据行业反馈、民众诉求迅速调整。表1展示了自1970年以来美英法德四国的征信法律的修改次数。在1970年到2003年的30年间,美国征信法律先后大小修改多达20次,平均每年修改0.6次;而在此期间英法德三国修改次数均不超过5次,远低于美国。特别是在1990年至2000年10年间,征信业快速发展,公众对征信业务发展所带来的个人隐私问题日益关注,美国立法机构先后14次修改相关法律以回应民众诉求和适应新的业态发展。
表1 信用法律修改次数
| 国家 | 监管机构个数 | 涉及信用法律个数 | 法律修改次数 | 平均每年修改次数 |
| 1970年——2003年 | ||||
| 美国 | 5 | 3 | 20 | 0.6 |
| 英国 | 2 | 3 | 2 | 0.06 |
| 法国 | 2 | 2 | 2 | 0.06 |
| 德国 | 1 | 1 | 5 | 0.12 |
| 1990年——2000年 | ||||
| 美国 | 5 | 3 | 14 | 1.4 |
| 英国 | 2 | 3 | 1 | 0.1 |
| 法国 | 2 | 2 | 2 | 0.2 |
| 德国 | 1 | 1 | 3 | 0.3 |
二、美国征信法律变迁
正如上文所提到,美国征信法律体系的建立并不是一蹴而就的,而是通过在多部法律中引入相关条款并经历多次修改才形成一个较为完善的法律框架体系。
(一)《公平信用报告法》
在美国十六部与信用有关的法律中,《公平信用报告法》是迄今为止最重要的征信法律。该法于1970年制定,1971年4月实施,是在征信市场蓬勃发展,众多金融机构将个人信用报告或信用评分作为授信依据的历史条件下出台。它明确定义了征信机构,规范了报告制作、传播、对违约记录的处理等事项。在消费者隐私权方面,赋予信息主体知情权、同意权、重
建信用记录权、异议权、救济权等五项权利。最引人注目的是首次提出了合法取得信息主体信息报告的五种情况:1.信贷审查;2.聘用雇员的背景调查;3.承保保险公司信用调查;4.法院命令或联邦陪审团的传票;5.颁发牌照或发放社会福利的审查。
作为首部直接涉及征信业的法律,该法不可避免地存在不足与漏洞。首先,在异议权方面,该法仅规定消费者只能向征信机构提交异议,却忽略了向数据最终提供方——报数机构(银行、保险公司、电信运营商等)提交异议的情况。该法在数据质量上也没有明确要求报数机构应确保报送数据的及时、准确、完整。异议和数据纠错的主要承担者是征信机构。然而由于数据纠错所涉及的核查、更正、反馈需要一定的成本,这使得征信机构往往对消费者的异议诉求反应消极和被动。对于异议处理时限,该法也没有明确的表述,而是含糊表达为“应在合理的时间范围内”。这些漏洞给消费者异议带来了很多困难。联邦贸易委员会在1992年一份调查显示异议处理时限平均长达23个月。
在知情权方面,该法同样存在上述问题。它仅提出征信机构需要履行知情权,而对数据提供机构则完全没有提及。因此,消费者无法知道银行收集了自己哪些信息,这些信息又与哪些机构进行了分享。另一个重要的遗漏就是已经广泛运用的信用评分。消费者无法了解到自己在征信机构的信用评分,以及这些评分是如何测算出来的。
(二)《公平信用报告改革法》与《消费者报告就业说明法》
由于上述存在的问题,《公平信用报告法》并没有很好的保证消费者的异议权和知情权,并且伴随着信用报告行业内滥用情况越来越多地被公诸于众,要求对《公平信用报告法》变革的社会呼声也日益高涨。1996年,时任美国总统克林顿签署了《公平信用报告改革法》,这是第一部对《公平信用报告法》做出修正和补充的法案。
该法明确要求征信机构必须就客户提交的异议展开调查,并将调查结果告知客户,同时免费提供一份信用报告。错误信息必须在30天内更正。为了避免客户因同一错误信息到多家征信机构重复提交异议,全国性的大型征信机构间建立了信息更正通知系统,只要其中一家更正了信息,就必须通过系统通知其他机构。
另一个重要变化是首次明确了报数机构的责任和义务。该法要求报数机构必须确保报送数据的准确性,在发现数据错误的情况下,不得将该数据报给征信机构。在已报送数据中发现数据错误时,必须通知相关征信机构。如果报数机构与消费者就报送数据产生异议,报数机构必须对该数据加以标识报送给征信机构。这些条款确保了报数机构报送数据的质量,使消费者的异议权有了全面保障。
第三个重要补充关于附属分支机构间交换的信用信息是否属于信用报告这一范畴的定义。在此前的《公平信用报告法》中对于这一问题没有给出明确解释,从而一直困扰着金融机构,特别是大型金融集团。《公平信用报告改革法》列出了不再被认为是信用报告的情况,认可了附属分支机构间的信息共享,但要求金融机构必须通知客户。
针对滥用情况越来越多的现象,该法细化了信用报告使用者的责任,如必须证明信用信息的使用目的,并保证不会滥用等。增加金融机构对消费者“不利行为”的定义,并规定此情况下履行告知义务的形式和范围。1998年出台的《消费者报告就业说明法》更是针对信用报告越来越广泛用于应聘者背景调查这一现象,规定雇主必须得到应聘者的书面授权才能获取信用报告。
鉴于该法增加了报数机构的义务和责任,将报数机构纳入该法监管对象,因此相应也扩大了征信业务的监管机构,在原来主要由联邦贸易委员会监管的基础上,增加了货币监理局和美联储(主要负责监管金融机构)。
总体而言,《公平信用报告改革法》与《消费者报告就业说明法》的出台,有效弥补了《公平信用报告法》不足与漏洞,顺应了行业变化与民众诉求。
(三)《金融服务现代化法案》
1999年《金融服务现代化法案》的颁布是美国金融史上的重要事件。它标志着美国金融业以《格拉斯—斯蒂格尔法》为基础的分业经营模式的结束,银行、证券、保险跨界混业经营将成为普遍现实。虽然《金融服务现代化法案》是一部旨在促进金融市场发展、提高金融效率的法案,但它也有专门章节阐述对消费者隐私权的保护。
该法在信息流动的问题上与《公平信用报告法》互为补充。《公平信用报告法》主要针对的是金融机构与征信机构、附属机构间的信息流动;而《金融服务现代化法案》则重点强调金融机构与非附属第三方机构的信息共享问题。该法允许金融机构与附属保险公司、证券公司或法律允许的企业分享消费者信息;在消费者已获知并保证对第三者保密的前提下,允许金融机构与作为本机构代表或从事共同营销的非附属机构分享客户信息。为遏制可能出现的信息“导管转移”问题,该法规定:金融机构向非附属分支机构第三方转移信息后,第三方不得将该信息再转给他人,除非再流通对象是依据法律可以直接披露信息的对象。
在知情权方面,法案要求金融机构必须每年为其客户提供一份明确的隐私政策说明书,并在隐私政策说明书阐明客户所拥有的“选退权”。但这一政策在具体执行过程中遭到了广泛批评。许多人认为大部分金融机构的隐私政策说明书所表述的内容使得普通消费者难以理解,其设计样式使法案授予的“选退权”难以执行。
此外,《金融服务现代化法案》还提出了“安全性原则”和“执行原则”。其中,“执行原则”要求各监管部门依据法律监管各自的监管对象,并提出执行权利属于联邦机构而非个人,也就是说消费者无权依据该法向金融机构提起民事赔偿,只能向监管机构申诉。
《金融服务现代化法案》的隐私权条款考虑到混业经营所带来的信息跨行业流动所产生的客户隐私保护问题,并针对这一问题做出了相关规范。但是在诸如同意模式、关联机构间信息共享等条款上被认为存在不足。在金融业隐私保护的议题上,美国一直希望欧盟承认其为消费者提供充分的保护,但欧盟坚持认为《金融服务现代化法案》不符合《安全港协议》原则。
(四)《公平及准确信用交易法》
2003年颁布的《公平及准确信用交易法》是继《公平信用报告改革法》后对《公平信用报告法》的又一次重要修正和补充。该法首要解决的是1996年修订案中的临时条款即将到期的问题。《公平及准确信用交易法》将这些临时条款变成永久条款,彻底解决了部分州的信用法律法规与《公平信用报告法》产生抵触的可能性,进一步加强了对消费者保护。
其次,自上世纪90年代末以来美国身份盗窃和欺诈案件持续高发,并由此带来消费者约5千多万美元的财产损失。为了保护消费者免受身份盗用欺诈,该法规定:当消费者发现身份被盗用时,可以要求征信机构可以在信用报告上标注信用盗用及伪造的预警提示,该标注有效期为90天,但应消费者本人要求最多可延长至7年。对于来自于标识了
预警提示的消费者信用申请,信贷机构需要采取“谨慎、合理的调查”以确认该申请是否来自消费者本人。贷款机构或保险公司也不得向标识了预警提示的消费者推销产品。商家在消费者的收据上只能打印卡号的后5位数字,禁止打印卡的到期日等敏感信息以防信息泄露。同时,对因身份盗用引起的不良信用信息,应采取措施恢复消费者的信用历史,如冻结身份盗用所产生的信息并将欺诈预警通知其他征信公司等。
在消费者知情权方面,该法规定消费者有权每年从信用报告机构获得一份免费的信用报告。更重要的是,消费者还可以免费获知自己的信用评分,以及该评分的生成日期、测评公司和对信用评分有负面影响的四个主要因素。
在信息使用方面,因发放信贷或承保而查询客户医疗信息的,必须取得客户的书面同意,即执行“选进”权。
上述5部法律构建了美国征信法律体系的主体框架,除此之外,涉及征信的法律还有《信用修复机构法》、《公平债务催收作业法》、《平等信用机会法》、《多德-弗兰克华尔街改革与消费者保护法案》等多部法律。可以说美国是目前世界上征信法律框架最为完备的国家。
三、对我国的启示
2013年国务院颁布的《征信业管理条例》(以下简称《条例》)是我国首部国家级的征信业管理法规。然而,正如美国征信法律体系建立所展示的那样,一个完备的法律体系并不是一蹴而就的。信息主体权益的保护不仅需要法律保护,更需要有效的监管体系来执行。综上所述,美国征信法律体系的建立提供了以下四点启示:
(一)严格贯彻落实《征信业管理条例》,依法维护信息主体合法权益
一是依据相关法律法规,仔细甄别,严格把关。对于符合条件的征信机构,要按照相关程序和时限要求办理许可备案;对于不符合条件的机构不予许可备案。二是征信监管部门要定期开展现场或非现场检查工作,确保征信机构依法依规经营。三是对于违反法律法规,侵害信息主体合法权益的机构或个人,依法予以处理。
(二)加快制定《条例》的配套制度
《条例》相关规定比较原则,需要制定一系列配套制度。目前人民银行制定了《征信机构管理办法》,作为《条例》的重要配套制度。应进一步加快相关规章的制定,逐步形成以《条例》为主导,征信机构管理、征信业务管理、金融信用信息基础数据库管理为
主体,由行政法规、规章、规范性文件和征信标准构成的多层次征信制度体系。
(三)法规制定要适应征信业新变化
当今互联网技术的进步,使征信业有了全新的技术支撑变化,市场上出现了基于大数据的征信业务。相比传统的征信机构,新的机构具有数据来源广、信息维度多、成本低等特点。
如果得以大规模应用,将从根本上改变征信机构信息获取方式和业务模式。监管部门应充分考虑这些新型机构的特点,根据《条例》的原则不断出台、修改完善相关法规制度,使信息主体权益保护能紧跟时代步伐。
(四)法规制定要反应民众诉求
近几年,随着金融产品不断创新丰富,金融犯罪手法也日益复杂和隐蔽化。身份盗用、金融欺诈案件呈日益高发态势。民众对这一现象日益关注。征信法规应针对此类案件,为消费者提供充分的预防和救济渠道。同时,要求数据提供和征信机构采取必要的安全措施,防止个人信息泄露、丢失和被非法获取等风险。
(本文作者单位:中国人民银行广州分行)
