论欧盟征信机构监管法律制度
添加时间:2015-11-22 17:23:31 来源:中国征信杂志
征信机构作为借款人信用信息的数据库,是金融市场上借贷双方之间的信息中介,有助于减少出借人与借款人的信息不对称情形,提高金融市场授信效率,促进实体经济发展。征信机构提供借款人信用报告,有助于包括银行在内的出借人提高信贷质量,防范金融风险,维护金融体系稳定。欧盟征信机构在金融市场上的地位十分重要,是欧洲经济发展的重要推动力。
欧盟征信机构类型
根据2013年欧盟政策研究中心和欧盟征信研究所联合发布的报告——《欧盟征信报告制度改革建议》表明:欧盟征信机构依其性质不同分为公共征信机构(Public Credit Registers, PCRs)和私人征信机构(Private Credit Reference Agencies, CRAs),其主要功能在于帮助出借人对借款人进行信用风险评估,进而决定是否授信。然而由于各国征信市场成熟程度、法律架构、文化传统、语言差异以及金融需求在内的一系列因素使得欧盟出现了公共征信模式、私人征信模式和混合征信模式三种类型。具体来说,以法国和比利时为代表的公共征信模式,征信市场只有公共征信机构;在英国为代表的私人征信模式,其只有私营征信机构存在;而在德国为代表的混合征信模式中,公共征信机构和私人征信机构并存。
公共征信机构
公共征信机构最早是由各国金融监管机构为评估金融机构资产组合的信用风险而设立的,例如,德国在1934年建立了第一家公共征信机构,随后法国于1946年、意大利和西班牙于1962年建立了各自的公共征信机构。第一,从设立宗旨来看,欧盟各国基于金融稳定和监管需求,通过法律授权公共权力机构(通常是央行)设立公共征信机构,实现征信数据收集和分配,以实现审慎监管银行金融机构和评估借款人的负债情况的目标。第二,在征信数据收集方式上,公共征信机构具有鲜明的强制性,各国法律要求有关机构必须将征信数据向公共征信机构报告, 公共征信机构的主管机构在征信数据失真和缺失时有权责令相关机构改正,否则将予以处罚。第三,在征信数据收集范围上,公共征信机构具有特定性,其重点集中收集借款人信用信息,但是排除来自银行业之外的信息。第四,在征信数据的使用方面,欧盟公共征信机构通常只向金融机构出借人提供借款人信用报告,并不提供信用分数等其他服务。
私人征信机构
私人征信机构通常为私有,通过出借人或者公共渠道(如法院、公共登记机构、税务机关等)收集征信信息,经过内部加工和处理后,向出借人提供信用报告。需要指出的是,私人征信机构在征信数据的收集、流动和使用方面,要通过和出借人通过事先合同约定,以互惠原则为基础,出借人向私人征信机构汇集征信数据、私人征信机构向出借人提供征信信息,同时收取一定费用,以此实现征信数据的分配。
欧盟私人征信机构通常是营利性机构,在各国数据保护法的范围内依法向银行、信用卡公司、消费金融公司、租赁公司、公共事业公司、通讯公司等客户提供各种类型的征信报告,既包括借款人的历史违约或者迟延等负面信息,也包括借款人资产和负债情况、担保情况、债务期限结构、付款模式等正面信息。除此之外,私人征信机构还提供其他多样化、个性化的征信数据,如信用分数服务等。总之,欧盟私人征信机构具备信用信息来源广泛、内容全面、信用报告个性化的优势,可以满足差异化的征信需求。
在整个欧盟,公共征信机构和私人征信机构共存互补,不仅使得公共征信机构有效实现了金融监管和信用风险防范的主要功能,而且使得私人征信机构可以提供全面、个性化的信用报告,形成了完善的征信报告系统,实现了征信综合效益最大化。
欧盟征信机构监管框架
欧盟对征信机构形成了综合性监管架构,分为欧盟指令、成员国法律和征信行业准则三维度,多数欧盟国家在上述法律制度框架内设立了专门的数据保护部门来监督其征信法律法规的执行情况,维护个人作为数据主体的合法权益,以实现恰当地平衡信用信息分享和个人隐私权保护的征信立法宗旨。
欧盟指令
欧盟《数据保护指令》(EU 95/46/EC),规定了征信信息的收集、保存、处理、获取和删除规则,违反该指令的法律责任以及在欧盟内部以及欧盟外部各国之间的跨国界征信信息的流动规则,构成了欧盟征信机构基础的监管框架。另一方面,该指令赋予了个人在征信信息被使用时享有的一系列权利。
其次,欧盟《消费者信用指令》(2008/48/EC)规定,在明确征信机构获取充分征信信息进行信用评估的重要性的同时,要求征信机构必须遵从数据保护法案,确保个人可以无歧视地获取征信机构数据库中的个人信用信息。
最后,欧盟《资本要求指令》关于征信机构的规定对征信报告系统和征信机构的活动有重要影响,对用于信用风险模型评估的征信数据规则做了明确规定,并且要求个人信用评价必须出于谨慎目的。
欧盟成员国法律
总的来说,在成员国层面,征信机构应当遵守成员国个人数据保护法律、消费者保护法律、银行法以及其他部门法(例如商法典等)。目前,欧盟成员国对于征信机构的监管框架主要内容为:监管机构权力、征信机构义务、消费者权利、征信机构法律责任以及跨境数据流动规则等。
征信行业准则
在行业行为准则层次,各国规定差异较大,刘荣、孟灿霞在《欧盟国家征信行业监管框架研究》中指出,仅有10个国家制定了公共行为准则和行业指南,对数据报送机构、数据种类、收集、保存、用途以及信息主体的权利等做出了详细规定。例如,意大利《私营机构处理消费者信用信息的行为准则》和《信用信息系统与利益平衡的规定》要求处理个人正面信息必须得到书面同意,处理个人负面信息只需通知个人,无须得到个人认可。
欧盟征信行为的法律规制
欧盟制定了一系列个人数据保护规则,建立了完善的征信机构监管框架,合理平衡了征信信息共享与个人隐私保护的关系。本文将从征信机构征信行为的获取、处理、储存和利用四个维度对征信行为的法律规制进行论述。对于征信机构的市场准入监管问题,一般认为,成立征信机构向国家数据保护机构登记即可。
征信信息收集
一是征信信息的来源。从征信信息的来源来看,欧盟征信机构基于类型不同而有所差异。正如前文所述,欧盟公共征信机构依法从金融机构处收集、获取正面信息和负面信息。对于私人征信机构,据欧洲征信协会2012年报告显示,其征信信息源主要是银行、租赁公司、信用卡公司、政府部门、法院、按揭贷款提供商、保险公司,以及自来水、电力、天然气等公共事业公司、通信公司、消费金融公司、个体网络借贷(P2P)出借人等。从贷款类型看,大多数私人征信机构获取的征信信息范围包括借款人家庭购物贷款/按揭贷款、无担保贷款和信用卡/储值卡信用记录,此外还有公共事业公司和通信公司中的个人还款记录以及家庭还款贷款、发薪日贷款等个人小额债务信用记录。可见,私人征信机构收集来源广泛,信用数据收集门槛很低。
二是征信信息的范围。在法律层面,欧盟《数据保护指令》及贯彻该指令的成员国数据保护法律要求征信机构采集征信信息必须符合特定、明确、合法的目的,并且这些数据的采集是适当、相关、适量的。出借人从征信机构收集信息的范围应当仅限于评估借款人信用状况的基本信息。
然而,从征信的范围来看,欧盟各国对于什么信息可以收集,什么信息不能收集的规定各不相同。据统计,欧盟征信机构收集个人身份识别信息范围是借款人的名字、住址、原住址、出生日期、纳税人识别号、身份证号、护照编号以及出生登记号等,各国征信机构个人身份识别信息范围规定不一而足。
欧盟征信机构在个人信用状况信息的收集范围方面包括正面信息和负面信息。正面信息主要涉及借款人收入状况、债务状况、贷款数量和类型、币种、贷款利率、到期日、担保状况、历史还款记录、分期付款状况、通讯公司、自来水、电力、天然气等公共公司个人信用记录等信息。负面信息主要涵盖贷款债务违约数据、迟延付款(逾期)数据、拖欠记录以及破产记录、欺诈记录、司法判决状况等信息。尽管在欧盟大多数成员国,征信机构可以收集和处理各种信息(包括正面信息和负面信息),但是由于法律框架、国别基础设施以及文化偏好等因素的差异,丹麦、芬兰、法国和马耳他等欧盟成员国征信机构并不会提供和储存正面信息。究其原因,公共征信机构受到了隐私和其他消费者权益保护法律的限制。
欧盟《数据保护指令》第7条确立了征信机构收集个人征信信息的法律标准, 在理论上,征信机构收集个人征信信息原则上应当通知借款人,告知其征信信息内容、目的和用途,并取得个人的明确同意,但是欧盟征信机构在收集个人征信信息类型方面进行了区分处理。对于借款人正面信息,欧盟征信机构在收集上述个人信用信息时,应当事先通知个人,并取得借款人个人的明确同意。而对于负面信息,大多数欧盟征信机构基于该指令第7条第(f)款所规定的合法利益原则,只需通知借款人,在不影响隐私权在内的个人基本权利和自由的前提下不必征得借款人同意。事实上,欧盟征信机构收集、处理个人负面信息在许多情况下并不需要借款人的任何同意。至于征信信息的除外范围,原则上包括借款人的种族或者民族、政治主张、宗教或哲学信仰、工会会员身份以及与健康或性生活相关的个人信息,征信机构禁止收集个人敏感数据,即非征信数据是被禁止收集和储存的。
征信信息的处理
在欧盟境内,所有征信机构都必须依法保证个人数据记录、组成、改编或变更、修复、查询、通过传输、分发或任何其他方式的披露、排列或组合、隔离、删除或销毁等方面处理程序的透明度与公开性,确保个人的知情权。在个人信用数据处理的方面,征信机构要确保在采用计算机数据处理技术等自动化手段以及其他方式的个人数据处理的保密和安全,避免征信信息的非法泄露、破坏、遗失和拦截。
另外,欧盟对于私人征信机构信用评分机制做出了明确规制。一般来说,借款人的信用分数通常被贷款人用来作为判断是否授信的额外标准,并远远超过了信用历史数据的价值。欧盟《数据保护指令》保护个人有权利不受此类自动数据处理的影响,并且还规定对于数据主体的自动信用评级必须在特定保障下才能进行。
征信信息的储存
欧盟《数据保护指令》对征信数据信息的储存时限只是做了原则性规定,要求数据保留期限不得长于实现数据收集或处理的目的所必需的期限。由于各国数据保护立法的差异,欧盟征信机构在征信信息储存保留期方面差异很大。在征信信息储存方面,要求征信机构保证征信数据的质量与准确性,监测与防范欺诈数据信息;还要确保征信信息安全和保密,防止被意外或非法毁灭或者意外遗失、变更、未经许可披露或获取,并且防止任何其他非法形式的处理。
征信信息的使用
根据欧盟《数据保护指令》的规定,征信机构作为数据控制人使用征信数据,必须向借款人披露相关数据,包括出借人等数据处理人的身份和数据采集的目的,并且只能根据特定的、明晰的、合法的目的来使用有关个人信用信息,除了历史的、统计的或科学的目的等法定情形外不得以与这些目的不相容的方式使用个人数据。但是,该指令对于征信机构征信数据的分享与使用规则没有做出具体规定。通常欧盟征信机构通常是在出借人提出请求的情况下使用个人征信信息,提供个人信用报告或者信用分数,从而帮助出借人评估借款人的个人信用,实现公平授信。
在跨境数据流动方面,欧盟《数据保护指令》倡导征信信息在成员国之间的自由流动与跨界使用,然而由于各国数据保护水平、市场结构、法律机制与文化传统的差异,跨境数据流动与使用的规模与需求并不高。研究表明,虽然私人征信机构中有43%的机构从事跨界数据分享和利用业务,但是体量和规模很小。
总结
欧盟在征信机构监管方面形成了完善的法律框架,着重突出了对个人隐私权的保护,妥善地平衡了征信信息的获取、交换与个人隐私权的保护。欧盟征信业市场较为成熟,公共征信机构和私人征信机构并存并立,形成了相对完整的社会信用体系。然而,互联网大数据时代的到来,大数据、云计算等技术的大量使用,使得征信机构可以随心所欲地获取各种个人信息,并且用于信用征信以外的其他目的,在个人不知情的情况下侵犯其隐私权。这显然超出了《数据保护指令》的规制范围,对此欧盟启动了新的数据保护立法进程。在新法案《一般数据保护条例》尚未出台的当下,未来欧盟征信机构监管法律应当从侧重个人的权利保护转变为加强个人权利保护的同时,更加侧重征信机构作为数据控制人的义务,这是互联网时代数据保护立法理念的重要转变。
当前我国正处于个人征信体系逐步完善的重要阶段,面临征信体系完善和个人隐私权保护的双重挑战,我们借鉴欧盟征信机构监管机制和互联网大数据时代的应对策略,对我国信用体系完善与个人隐私权保护益处良多。