征信領(lǐng)域個(gè)人信息泄露的防范與救濟(jì)制度研究

1、征信領(lǐng)域個(gè)人信息泄露的防范與救濟(jì)制 度研究唐建漆世濠中國(guó)人民銀行南昌中心支行中國(guó)人民銀行萍鄉(xiāng)市中心支行摘要：美國(guó)和歐盟的相關(guān)立法從個(gè)人信息泄露的防范和救濟(jì)兩個(gè)方面入手，為個(gè)人信 息安全保護(hù)在事前和事后都提供了有力保障，相關(guān)實(shí)踐對(duì)完善我國(guó)在該領(lǐng)域的 制度建設(shè)和監(jiān)管手段具有較高的借鑒意義。應(yīng)整合現(xiàn)行規(guī)則，借鑒域外經(jīng)驗(yàn)，結(jié) 合當(dāng)前實(shí)際，完善個(gè)人信息泄露防范立法、加強(qiáng)全流程的信息泄露防范技術(shù)要 求、借助行業(yè)監(jiān)管優(yōu)勢(shì)提高監(jiān)管質(zhì)效、構(gòu)建信息泄露通知規(guī)則、豐富信息泄露責(zé) 任體系。關(guān)鍵詞：征信;個(gè)人信息泄漏;信息泄露防范機(jī)制;信息泄露救濟(jì);信息泄露通知;作者簡(jiǎn)介：唐建（1963）,男，江西南昌人，助理會(huì)計(jì)師，

2、主要研究方向?yàn)檎?信理論與實(shí)務(wù)；作者簡(jiǎn)介：漆世濠（1990）,男，江西萍鄉(xiāng)人，法學(xué)碩士，主要研究方向?yàn)檎?信理論與實(shí)務(wù)。收稿日期：2017-09-12study on personal information leakage prevention and relief mechanism in the credit fieldtang tian qi shihaonanchang c entral sub-branch o fth e peoplelsbankof china; pingxiang city central sub-branch of the people's bank

3、 of china;abstract：based on the prevention and relief of personal information leakage, the related legislation practices of the united states and the european union provides a strong guarantcc for the security of persorial infooieition protection in both beforehand and afterwards respects. these pra

4、ctices are of high significance to the consummation of this field institutional construction and supervision methods in china. we should integrate the current rules, learn from foreign experiences, fully consider the real ity, improve the lcgislation in preventing personal infooiation leakage, stren

5、gthen the whole-process technology requirements for information leakage prevention, enhance the supervision quality and efficiency with industrial regulatory advantages, establish infotmation leakage notice rules, and enrich infonnation leakage liability system.keyword：credit reference; personal inf

6、ormation leakage; information leakage prevention mechanism; information leakage relief; information leakage notice;received： 2017-09-12我國(guó)征信領(lǐng)域個(gè)人信息保護(hù)相關(guān)規(guī)定近年來(lái)，我國(guó)立法高度關(guān)注個(gè)人信息尤其是征信領(lǐng)域個(gè)人信息的保護(hù)，通過(guò)制 定完善相關(guān)立法，不斷提升保護(hù)力度。第一，征信領(lǐng)域相關(guān)立法通過(guò)明確征信業(yè)務(wù)規(guī)則，促進(jìn)個(gè)人信息保護(hù)。2013年 通過(guò)的征信業(yè)管理?xiàng)l例明確了信用信息采集、查詢和使用等方面的業(yè)務(wù)規(guī)則, 通過(guò)書(shū)面授權(quán)、約定用途等機(jī)制，切實(shí)保護(hù)信息主體的知

7、情權(quán)和自主選擇權(quán)，進(jìn) 而促使信用信息僅在信息主體授權(quán)的范圍內(nèi)被查詢、使用，防范信息違規(guī)查詢及 泄露風(fēng)險(xiǎn)。個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法以專(zhuān)章規(guī)定安全管理事宜, 通過(guò)明確內(nèi)控制度、用戶設(shè)置、信息系統(tǒng)功能等方面的要求，防范征信數(shù)據(jù)泄露 風(fēng)險(xiǎn)。此外，2014年發(fā)布的征信機(jī)構(gòu)信息安全管理規(guī)范則通過(guò)技術(shù)層面規(guī) 范征信機(jī)構(gòu)信息系統(tǒng)的建設(shè)、運(yùn)行和維護(hù)，保護(hù)個(gè)人信息的安全。第二，民事和刑事立法不斷重視個(gè)人信息保護(hù)領(lǐng)域的規(guī)范。在民事領(lǐng)域，今年3 月15日通過(guò)的民法總則的第五章規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任 何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得 非法收集、使用、加工、傳

8、輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人 個(gè)人信息?！痹谛淌骂I(lǐng)域，2009年通過(guò)的刑法修正案(七)和2015年通過(guò) 的刑法修正案(九)相繼將嚴(yán)重侵犯?jìng)€(gè)人信息安全的行為入罪，并新設(shè)“侵 犯公民個(gè)人信息罪”這一罪名。2017年5月8日，最高人民法院和最高人民檢 察院共同發(fā)布關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋 和7起侵犯公民個(gè)人信息犯罪典型案例，進(jìn)一步明確定罪量刑的標(biāo)準(zhǔn)。第三，網(wǎng)絡(luò)安全立法關(guān)注網(wǎng)絡(luò)信息安全，互聯(lián)網(wǎng)征信活動(dòng)受到更多規(guī)制。2016 年11月7 fi通過(guò)的網(wǎng)絡(luò)安全法高度重視信息安全問(wèn)題，該法設(shè)專(zhuān)章為網(wǎng)絡(luò) 運(yùn)營(yíng)者規(guī)定了一系列義務(wù)，要求其建立健全用戶信息保護(hù)制度，在合

9、法、正當(dāng)、 必要的原則下收集使用個(gè)人信息，明示收集使用信息的目的、方式和范圍，不得 泄露、篡改、毀損其收集的個(gè)人信息，不得未經(jīng)授權(quán)向他人提供個(gè)人信息，并應(yīng) 采取相關(guān)技術(shù)措施確保個(gè)人信息安全。有多家機(jī)構(gòu)主要在互聯(lián)網(wǎng)端通過(guò)大數(shù)據(jù)等 技術(shù)開(kāi)展征信業(yè)務(wù)。2015年，中國(guó)人民銀行通知8家機(jī)構(gòu)做好個(gè)人征信業(yè)務(wù)的 準(zhǔn)備工作。網(wǎng)絡(luò)安全法的通過(guò)，將約束上述機(jī)構(gòu)的互聯(lián)網(wǎng)征信業(yè)務(wù)活動(dòng)，為 個(gè)人信息提供更加針對(duì)性的保護(hù)。上述三大方面的立法，為我國(guó)征信領(lǐng)域的個(gè)人信息安全提供了諸多方面的保護(hù)。 但我們應(yīng)當(dāng)看到，在當(dāng)前的行業(yè)環(huán)境下，征信市場(chǎng)收集儲(chǔ)存的信息體量不斷擴(kuò) 大，個(gè)人信息的流動(dòng)越來(lái)越頻繁、便捷，信息盜用和網(wǎng)絡(luò)入侵技術(shù)

10、飛速發(fā)展，現(xiàn) 有的相關(guān)立法仍有待進(jìn)一步完善，比如征信專(zhuān)門(mén)立法有待優(yōu)化細(xì)化、民事刑事領(lǐng) 域頂層立法過(guò)于概括、網(wǎng)絡(luò)安全立法適用范圍有限等。當(dāng)前，國(guó)外的成熟立法主 要通過(guò)兩個(gè)方面對(duì)個(gè)人信息進(jìn)行保護(hù):一是信息泄露的防范，二是信息發(fā)生泄漏 后的救濟(jì)。有必要在剖析、總結(jié)域外立法經(jīng)驗(yàn)的基礎(chǔ)上，探索完善我國(guó)的個(gè)人信 息保護(hù)立法體系。二、個(gè)人信息泄露防范的域外法律制度(-)美國(guó)相關(guān)立法和執(zhí)法實(shí)踐在美國(guó)，涉及征信領(lǐng)域個(gè)人信息泄露防范的立法主要有公平信用報(bào)告法(fair credit reporting act,簡(jiǎn)稱(chēng)fcra)、金融服務(wù)現(xiàn)代化法 (graminleach-bl訂ey act,簡(jiǎn)稱(chēng)glba)。同時(shí)，美

11、聯(lián)儲(chǔ)和美國(guó)聯(lián)邦貿(mào)易委員會(huì) 還分別制定了v條例(regulation v)和保密條例(safeguards rule), 以細(xì)化、完善上述國(guó)會(huì)立法。此外，美國(guó)國(guó)會(huì)于2015年開(kāi)始審議新的數(shù)據(jù)安 全和泄露通知法(草案)(data security and breach notification act of 2015)，該法草案對(duì)現(xiàn)有立法進(jìn)行了完善和補(bǔ)充。公平信用報(bào)告法和v條例主要通過(guò)規(guī)范信用報(bào)告的提供和使用，將個(gè)人 信息的披露和流動(dòng)控制在法定的用途以內(nèi)，同時(shí)，還限制了信息使用者對(duì)信用 報(bào)告的進(jìn)一步的使用和披露。第一，征信機(jī)構(gòu)只能在特定情況下提供信用報(bào)告， 如法院命令、信息主體中請(qǐng)或用于信貸、雇傭

12、、保險(xiǎn)等用途。征信機(jī)構(gòu)在提供報(bào) 告前，應(yīng)要求信息使用者證明其用途在上述范圍之內(nèi)，且承諾不會(huì)用于其他目 的。第二，除非法律明確的例外規(guī)定，任何信息使用者不得將從征信機(jī)構(gòu)獲取的 信用報(bào)告向第三方進(jìn)行提供、出售。第三，消費(fèi)者享有拒絕權(quán)，以阻止信息使用 者與其關(guān)聯(lián)機(jī)構(gòu)共享該消費(fèi)者的征信信息。金融服務(wù)現(xiàn)代化法主耍通過(guò)規(guī)范金融機(jī)構(gòu)的信息使用行為以及相關(guān)保密措施 和政策，全面保護(hù)消費(fèi)者的“非公開(kāi)個(gè)人信息”。第一，每個(gè)金融機(jī)構(gòu)均有“積 極、持續(xù)”的義務(wù)尊重客戶隱私，并采取相關(guān)行政、技術(shù)和物理措施，保護(hù)客戶 非公開(kāi)個(gè)人信息安全，防范非法入侵和盜用。第二，金融機(jī)構(gòu)應(yīng)當(dāng)向客戶提供“明確、醒目”的保密通知(priva

13、cy notice),告知本機(jī)構(gòu)的保密政策，包括 收集信息的范圍、共享信息的對(duì)象、保護(hù)信息的措施等。第三，客戶享有拒絕權(quán), 阻止金融機(jī)構(gòu)向非關(guān)聯(lián)機(jī)構(gòu)共享非公開(kāi)個(gè)人信息。2002年，美國(guó)聯(lián)邦貿(mào)易委員 會(huì)制定了保密條例，細(xì)化了金融服務(wù)現(xiàn)代化法的規(guī)定，對(duì)金融機(jī)構(gòu)的保 密政策提出了更高的要求。該條例要求金融機(jī)構(gòu)指定專(zhuān)人負(fù)責(zé)協(xié)調(diào)保密事宜，識(shí) 別公司各個(gè)領(lǐng)域及環(huán)節(jié)的個(gè)人信息安全風(fēng)險(xiǎn)，評(píng)估當(dāng)前保密措施的有效性，并 根據(jù)業(yè)務(wù)安排和安全測(cè)試結(jié)果，對(duì)保密計(jì)劃進(jìn)行評(píng)估調(diào)整(見(jiàn)表1)。美國(guó)聯(lián)邦的相關(guān)立法設(shè)置了諸多個(gè)人信息保護(hù)規(guī)則，除此之外，美國(guó)執(zhí)法機(jī)構(gòu) 的執(zhí)法實(shí)踐則進(jìn)一步明確、細(xì)化了個(gè)人信息保護(hù)的法律要求。美國(guó)聯(lián)邦貿(mào)

14、易委員 會(huì)(ftc)是個(gè)人信息保護(hù)領(lǐng)域的主要監(jiān)管部門(mén)，該部門(mén)在執(zhí)法中形成的個(gè)案決 定具有重要參考意義。第一，關(guān)于技術(shù)保密手段，ftc耍求在數(shù)據(jù)處理的整個(gè)流 程中進(jìn)行保密處理，并使用行業(yè)通行的可靠的保密措施，同時(shí)明確了密碼安全、 網(wǎng)絡(luò)入侵監(jiān)測(cè)、遠(yuǎn)程訪問(wèn)監(jiān)控、保密措施更新、物理硬件管理等方面的義務(wù)。第 二，關(guān)于數(shù)據(jù)處理的范圍，ftc要求數(shù)據(jù)的采集、保存和適用均不得超出業(yè)務(wù)需 要。第三，關(guān)于新產(chǎn)品的開(kāi)發(fā)，ftc要求在產(chǎn)品開(kāi)發(fā)過(guò)程中重視信息安全保護(hù)， 同時(shí)應(yīng)就新產(chǎn)品對(duì)常見(jiàn)風(fēng)險(xiǎn)的抵抗能力進(jìn)行測(cè)試。1,2此外，美國(guó)聯(lián)邦貿(mào)易委員會(huì)在關(guān)于個(gè)人信息保護(hù)執(zhí)法的一份報(bào)告中指岀，在判 斷信息處理者是否存在違規(guī)時(shí)，并不

15、是要求其采取完美的安全保障措施，單單 有數(shù)據(jù)泄露的事實(shí)也不一定意味著信息處理者已構(gòu)成違規(guī)。在執(zhí)法過(guò)程中，聯(lián)邦 貿(mào)易委員會(huì)的調(diào)查主要集屮于“合理性”，即信息處理者的信息保護(hù)安全措施 必須是合理的。聯(lián)邦貿(mào)易委員會(huì)將根據(jù)信息處理者擁有的個(gè)人信息的數(shù)量和敏感 性、數(shù)據(jù)處理行為的規(guī)模和復(fù)雜性、提高安全性并減少漏洞的可行方法的成本等 因素進(jìn)行綜合判斷。3表1美國(guó)個(gè)人信息泄露防范的現(xiàn)行立法體系下載原表(-)歐盟相關(guān)立法實(shí)踐相比美國(guó)較為分散的立法模式以及相關(guān)發(fā)展中國(guó)家較為落后的立法現(xiàn)狀，歐盟 擁有目前最為完善的綜合性個(gè)人信息保護(hù)立法。1995年，歐盟通過(guò)了與個(gè)人 數(shù)據(jù)處理和自由流轉(zhuǎn)相關(guān)的個(gè)人權(quán)利保護(hù)指令(95

16、/46/ec)(以下簡(jiǎn)稱(chēng)指令)， 成為個(gè)人信息保護(hù)領(lǐng)域的主要法律規(guī)范。第一，指令適用于對(duì)個(gè)人數(shù)據(jù)的任 何操作，包括存儲(chǔ)、披露、收集或處理。第二，明確了相關(guān)數(shù)據(jù)處理的原則，包 括公平合法處理數(shù)據(jù)、以特定合法的口的收集與使用數(shù)據(jù)、不得過(guò)度采集數(shù)據(jù)、 確保數(shù)據(jù)的準(zhǔn)確性與及時(shí)性、未經(jīng)去個(gè)人化處理的數(shù)據(jù)保留期不能超過(guò)必耍的時(shí) 間限度。第三，明確了數(shù)據(jù)處理的條件，分別為信息主體明確同意、為履行與信 息主體之間的協(xié)議的必要、履行法律義務(wù)的必要或?yàn)樾畔⒅黧w或公共的利益。此后，為應(yīng)對(duì)數(shù)據(jù)時(shí)代的挑戰(zhàn)，歐盟于2016年4月14日通過(guò)了一般數(shù)據(jù)保護(hù) 條例(general data protection regulat

17、ion),對(duì)z前的立法進(jìn)行了統(tǒng)一的 修訂，并將個(gè)人信息保護(hù)及其監(jiān)管力度提高到前所未有的高度。第一，適用范圍 進(jìn)一步擴(kuò)大至歐盟外的機(jī)構(gòu)對(duì)歐盟公民個(gè)人信息的處理行為。第二，新增了 “透 明原則”和“最少夠用原則”兩個(gè)數(shù)據(jù)處理原則，規(guī)定數(shù)據(jù)處理應(yīng)具有透明度， 且應(yīng)限于必要的范圍內(nèi)。第三，信息處理者義務(wù)進(jìn)一步明確，新增了匿名化義務(wù) 和數(shù)據(jù)保護(hù)官制度。第四，其他合規(guī)監(jiān)管手段進(jìn)一步充實(shí)。一是鼓勵(lì)行業(yè)協(xié)會(huì)等 機(jī)構(gòu)制定行為準(zhǔn)則，細(xì)化該條例的相關(guān)要求，并設(shè)置相關(guān)程序推動(dòng)落實(shí)。二是鼓 勵(lì)通過(guò)數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，對(duì)符合合規(guī)要求的信息處理者進(jìn)行認(rèn)證，并予以標(biāo) 識(shí)、激勵(lì)，但該認(rèn)證不會(huì)減少信息處理者的合規(guī)義務(wù)，亦不影響監(jiān)管

18、部門(mén)的任何 監(jiān)管權(quán)力。三、個(gè)人信息泄露救濟(jì)的域外法律制度除了通過(guò)明確征信業(yè)務(wù)規(guī)則和設(shè)置個(gè)人信息保護(hù)義務(wù)之外，國(guó)際上的相關(guān)立法 還著重就個(gè)人信息泄露的救濟(jì)途徑進(jìn)行了規(guī)定，通過(guò)事后的補(bǔ)救措施和懲戒手 段盡量減少信息泄露的后果，同吋提高信息處理機(jī)構(gòu)的違規(guī)成本。(-)信息泄露通知規(guī)則美國(guó)和歐盟的相關(guān)立法均明確了信息泄露通知規(guī)則，要求信息處理者在特定的 情況下，將信息泄露的相關(guān)事宜通知信息主體及監(jiān)管機(jī)構(gòu)。信息泄露通知的目的 有兩方面:一是給信息保護(hù)不力的機(jī)構(gòu)施加聲譽(yù)制裁，促使其改善內(nèi)部流程和政 策，即“將陽(yáng)光作為消毒劑” (sunlight as disinfectant);二是保護(hù)信息主 體的知情權(quán)，

19、使其及吋知曉個(gè)人信息是否被竊取或盜用，并采取措施盡量減輕 損失。4關(guān)于信息泄露通知規(guī)則，美國(guó)目前尚無(wú)統(tǒng)一的聯(lián)邦立法。為應(yīng)對(duì)不斷升級(jí)的個(gè)人 信息泄露事件，加利福尼亞州于2002年制定了第一部數(shù)據(jù)泄露通知法 (california security breach informat io n act, sb1386),作為該州民法 典的一部分。此后，美國(guó)絕人部分州均基于加利福尼亞州立法的體系，制定了 類(lèi)似的數(shù)據(jù)泄露通知法。2015年，美國(guó)國(guó)會(huì)開(kāi)始討論聯(lián)邦層面的個(gè)人信息保護(hù) 立法數(shù)據(jù)安全和泄露通知法(草案)，明確統(tǒng)一的數(shù)據(jù)泄露通知規(guī)則,但目前仍未通過(guò)。歐盟1995年的指令中并未就信息泄露通知進(jìn)行規(guī)定，

20、但在此后發(fā)生的兒例 數(shù)據(jù)泄露案件中，由于數(shù)據(jù)處理方未能及時(shí)通知，導(dǎo)致大量個(gè)人數(shù)據(jù)被泄露。鑒 于此，歐盟將信息泄露通知規(guī)則作為數(shù)據(jù)保護(hù)規(guī)則改革的重要內(nèi)容，并在2016 年4月14日通過(guò)的一般數(shù)據(jù)保護(hù)條例中新增了相關(guān)規(guī)定。5 根據(jù)美國(guó)和歐盟的相關(guān)立法，信息處理者的信息泄露通知義務(wù)主要包括兩方而： 一是對(duì)信息主體的通知義務(wù)，二是對(duì)監(jiān)管部門(mén)的通知義務(wù)。相關(guān)立法主要通過(guò)“通知條件”“通知時(shí)間”“通知內(nèi)容”和“豁免條件”四個(gè)方面進(jìn)行規(guī)定。從表2中可以看岀，相關(guān)立法均為信息處理者施加了義務(wù)，要求其在信息泄露 事件發(fā)生后或滿足其他條件時(shí)，及時(shí)通知信息主體及監(jiān)管機(jī)構(gòu)，具體通知的內(nèi) 容亦十分詳細(xì)和明確。加利福尼亞

21、州的數(shù)據(jù)泄露通知法甚至述耍求信息處理 者嚴(yán)格按照“發(fā)生什么了” “涉及哪些信息”“我們?cè)谧鍪裁础薄澳隳茏鍪?么” “聯(lián)系方式”幾個(gè)模塊進(jìn)行通知，并提供了標(biāo)準(zhǔn)模板，以不斷提高信息泄 露通知的可讀性，為信息主體提供更多的便利與保護(hù)。(-)信息泄露的法律責(zé)任 第一，監(jiān)管部門(mén)調(diào)查及行政處罰。美國(guó)和歐盟的相關(guān)立法均規(guī)定，監(jiān)管部門(mén)有權(quán) 就信息泄露的責(zé)任方開(kāi)展調(diào)查、收集證據(jù)、進(jìn)行事實(shí)認(rèn)定并作岀處罰決定。歐盟 一般數(shù)據(jù)保護(hù)條例的修訂重點(diǎn)之一就是全面提高行政處罰標(biāo)準(zhǔn)，根據(jù)該法第 83條規(guī)定，信息處理者違反信息處理原則或規(guī)則的(如未經(jīng)許可處理信息)， 可處2000萬(wàn)歐元或侵權(quán)方前一財(cái)年全球營(yíng)業(yè)額4%的罰金;信息處

22、理者未采取合 理的信息保護(hù)措施或未按要求進(jìn)行信息泄露通知的，可處1000萬(wàn)歐元或侵權(quán)方 前一財(cái)年全球營(yíng)業(yè)額2%的罰金。在美國(guó)，如果經(jīng)營(yíng)者未采取合理、適當(dāng)?shù)谋Ｃ?措施保護(hù)個(gè)人信息安全，給消費(fèi)者造成實(shí)質(zhì)性損害，且消費(fèi)者無(wú)法避免，通常 將被美國(guó)聯(lián)邦貿(mào)易委員會(huì)認(rèn)定為聯(lián)邦貿(mào)易委員會(huì)法(federal trade commission act)下的"不公平行為或?qū)嵺`” (unfair act or practice),并 將遭受行政罰款。如在2016年的ashley madison案中，美國(guó)聯(lián)邦貿(mào)易委員會(huì)認(rèn) 定該公司未采取合理措施，限制對(duì)數(shù)據(jù)庫(kù)的進(jìn)入并監(jiān)測(cè)安全系統(tǒng)的有效性，同 時(shí)亦未對(duì)員工開(kāi)展適

23、當(dāng)?shù)男畔踩嘤?xùn)。最終，該公司被處以160 7j美元的高額 罰金。第二，其他行政制裁。除判處高額的罰金外，監(jiān)管部門(mén)還會(huì)對(duì)違規(guī)的信息處理者 施加其他的制裁，旨在要求其提升信息處理業(yè)務(wù)的合規(guī)性。如在ftc于2011年 處理的fajilan案中，信息處理者fajilan公司從美國(guó)三大征信機(jī)構(gòu)處買(mǎi)得信用 報(bào)告，然后將其合成為新的報(bào)告，在線上提供給房屋抵押貸款經(jīng)紀(jì)等機(jī)構(gòu)使用。 但其未能制定有效的信息保護(hù)政策，也未采取有效措施監(jiān)測(cè)并阻止未授權(quán)的網(wǎng) 絡(luò)訪問(wèn)，導(dǎo)致其數(shù)據(jù)庫(kù)被黑客攻擊，323份信用報(bào)告遭到泄露。ftc認(rèn)為該公司 行為已構(gòu)成嚴(yán)重違法。在最終的決定屮，ftc為該公司施加了一系列義務(wù)，以督 促其改進(jìn)信

24、息保護(hù)政策和措施。一是依法保護(hù)個(gè)人信息的安全性、保密性和完整 性，建立、實(shí)施全面的信息安全計(jì)劃，該計(jì)劃的內(nèi)容及功能應(yīng)符合ftc要求;二 是在未來(lái)的20年內(nèi)，該公司應(yīng)由獨(dú)立第三方對(duì)其信息安全工作進(jìn)行兩年一次的 評(píng)估，上述評(píng)估覆蓋的內(nèi)容應(yīng)符合ftc要求;三是在特定吋間內(nèi)，應(yīng)ftc的要求 提供相關(guān)信息保護(hù)合規(guī)性的檔案和材料。第三，民事賠償。歐盟一般數(shù)據(jù)保護(hù)條例第82條明確規(guī)定“因信息泄露而 遭受損失的當(dāng)事方有權(quán)向信息處理者主張經(jīng)濟(jì)賠償”。在美國(guó)，民事賠償也是數(shù) 據(jù)泄露機(jī)構(gòu)應(yīng)承擔(dān)的主要法律責(zé)任。根據(jù)美國(guó)的法律制度，遭受經(jīng)濟(jì)損失的當(dāng)事 方有權(quán)直接提起訴訟，監(jiān)管部門(mén)也有權(quán)代為起訴。2010年的choice

25、 point案屮, ftc作為監(jiān)管部門(mén)起訴該公司，在最后的和解協(xié)議中，ftc除向其處以1000萬(wàn)美 元的罰金外，還要求其支付500萬(wàn)美元對(duì)受損的信息主體進(jìn)行賠償。2007年的 tjx案中，該公司受到了 4500萬(wàn)信用卡信息泄露的消費(fèi)者以及300家受損銀行 的集體訴訟(class action),最終當(dāng)事方通過(guò)和解結(jié)案。表2美國(guó)和歐盟立法關(guān)于信息泄露通知義務(wù)的規(guī)定下載原表四、政策建議(-)細(xì)化完善征信業(yè)務(wù)規(guī)則征信業(yè)管理?xiàng)l例已搭建了較為完善的征信業(yè)務(wù)規(guī)則框架，在信用信息的收 集、使用環(huán)節(jié)均賦予了信息主體較大的控制權(quán)，能夠有效地限制數(shù)據(jù)泄露風(fēng)險(xiǎn)。 但是，在信息處理的許多細(xì)節(jié)方面，還有進(jìn)一步完善的空間

26、。比如，應(yīng)借鑒國(guó)外 立法實(shí)例，明確“最少夠用原則”，對(duì)信息采集處理的限度進(jìn)行規(guī)定。同時(shí)，還 應(yīng)提升征信機(jī)構(gòu)處理信息的透明度，強(qiáng)制要求其向信息主體告知保密政策、信息 收集的范圍、共享信息的對(duì)彖、保護(hù)信息的措施等。(-)加強(qiáng)全流程的信息泄露防范技術(shù)要求在個(gè)人信息泄露的技術(shù)防范措施方面，目前主要的規(guī)則集中于征信機(jī)構(gòu)信息安 全管理規(guī)范中。該文件較為細(xì)致地規(guī)范了征信機(jī)構(gòu)安全管理、安全技術(shù)以及業(yè) 務(wù)運(yùn)作中的各項(xiàng)標(biāo)準(zhǔn)，但由于其法律性質(zhì)僅為行業(yè)標(biāo)準(zhǔn)，效力層級(jí)較低，違規(guī) 的法律后果亦不明確，難以完全滿足現(xiàn)實(shí)需要。同時(shí)，該文件僅適用于征信機(jī)構(gòu), 對(duì)保有大量信用信息的金融機(jī)構(gòu)無(wú)約束力。因此，應(yīng)基于征信機(jī)構(gòu)信息安全管

27、 理規(guī)范的相關(guān)規(guī)定，結(jié)合互聯(lián)網(wǎng)環(huán)境下信息安全保護(hù)的新要求和新挑戰(zhàn)，進(jìn)行 效力層級(jí)更高的立法，并擴(kuò)大適用范圍。(三) 借助行業(yè)監(jiān)管優(yōu)勢(shì)提高監(jiān)管質(zhì)效行業(yè)監(jiān)管能夠充分發(fā)揮成員的自律作用和相互間的制約作用，與政府監(jiān)管形成 有效互補(bǔ)，提高監(jiān)管效率。歐盟一般數(shù)據(jù)保護(hù)條例中規(guī)定的行為準(zhǔn)則機(jī)制、 數(shù)據(jù)保護(hù)認(rèn)證機(jī)制就是充分運(yùn)用行業(yè)內(nèi)部的力量，提升整個(gè)行業(yè)的合規(guī)水平。應(yīng) 逐步建立起行業(yè)監(jiān)管框架，通過(guò)制定行業(yè)規(guī)章制度，規(guī)定機(jī)構(gòu)和人員的共同行 為準(zhǔn)則，懲處和排斥違規(guī)的機(jī)構(gòu)，切實(shí)保護(hù)個(gè)人信息安全，促進(jìn)征信行業(yè)持續(xù) 健康發(fā)展。（四）構(gòu)建信息泄露通知規(guī)則建議借鑒歐美立法實(shí)例中的四大要素構(gòu)建信息泄露通知規(guī)則。一方面，要通過(guò)通

28、 知條件和豁免條件兩個(gè)要素，明確信息泄露通知義務(wù)的觸發(fā)條件，在個(gè)人信息 保護(hù)和通知成本z間進(jìn)行權(quán)衡，如歐盟一般數(shù)據(jù)保護(hù)條例規(guī)定，若信息處理 者采取了加密等保護(hù)措施，能使第三方無(wú)法獲知信息內(nèi)容的技術(shù)，則可以免除 對(duì)信息主體的通知義務(wù)。另一方面，要明確信息泄露通知的時(shí)間和內(nèi)容，確保通 知的及時(shí)性和可讀性，可以借鑒加利福尼亞州的做法，明確通知的主要模塊并 提供標(biāo)準(zhǔn)模板，方便廣大信息主體閱讀，并協(xié)助其及吋采取有效的應(yīng)對(duì)措施。（五）豐富信息泄露責(zé)任體系目前，我國(guó)征信領(lǐng)域信息泄露的法律責(zé)任主要述是一次性的民事賠償和行政處 罰，其中罰款的上限為50萬(wàn)元。對(duì)比國(guó)外的立法，一方面我國(guó)的罰款的金額偏 低，與信息處理機(jī)構(gòu)開(kāi)發(fā)信息安全保護(hù)系統(tǒng)、完善信息安全保護(hù)措施的成木相比 差距其大。應(yīng)適當(dāng)提升罰款金額，提高行政處罰的威懾力。另一方面，一次性的 民事賠償或行政處罰只是對(duì)過(guò)往違規(guī)行