信用报告制度的完善及身份窃取行为的预防
(二)明确征信机构的信息安全责任
征信机构应当负担信息安全责任,征信机构不能只管征信,不管信息安全,甚至通过出售信息而营利。征信机构应当保障信息准确完善及时有效,不能滥发信用卡,人为增加客户信用信息出现不良记录的风险,甚至人为导致身份窃取行为的增多。
建立客户信用信息披露限制机制,所有披露行为不得损害客户隐私。在进行信息披露时,征信机关要综合考虑所有相关情况,包括披露能否增进社会公共福祉、公共安全,客户信息是否准确或可信,客户信息是否涉及第三方的收入、资产、债务等情况。客户信息的披露,不能损害政府公共利益,不得损害他人的经济利益,关联公司共享被征信人的信用信息也应征得被征信人的同意。应当建立数据公开的范围限制,应当通过立法,将征信机构对于客户信用信息的披露范围加以明确规定,以避免目前针对客户信用信息擅自使用的混乱现象。
此外,征信机构应当负担起保护个人隐私的主要义务,为防止身份窃取建立防范机制。应当建立信用信息使用人的身份认证制度,严格明确信用信息的利用目的,并且建立信用信息提供前向客户的通知机制,超出立法目的的信用信息提供,客户有权禁止使用,从而维护客户保护信用信息的权利。征信机构应当负有保证信用信息正确的责任,当信用信息发生任何变更时,应当进行及时更新。此外,征信机构应当使各种客户信用信息便于查询和访问,应当为此建立廉价高效的访问机制。征信机构为确保信用信息的安全,要加强征信机构内部管理制度,确保内部人员不能擅自对于信用信息数据进行处理或窃取。
(三)建立明晰、高效的错误信用记录更正机制
征集机构的主要工作是确保个人信用信息登记的正确性,并且确保信息的及时性,一旦信用信息出现错误或遗漏的现象,应当加以完善补充。在征信过程中,由于工作人员的差错或其他原因导致了个人信息输入出现错误或没有及时更改过时的信息,会造成个人信用报告的不真实,影响征信机构的信誉,也会给客户今后办理相关业务造成不必要的麻烦。信用报告上的记载实际上对于个人与银行之间发生的金融业务、客户个人的就业等都将发生非常重要的影响,因此,这就要求客户个人信用信息必须准确、及时,且保持最新状况。因此,对于出现的不正确、不完全或错误的信息,应当建立机制确保这种信息能够被立即改正或者删除。
目前,我国征信体系中,异议处理环节较多,速度较慢,客户对此抱怨较多。[4]因此,应当简化个人消除错误信息、更新过时信息的步骤,使这一步骤在成本上更为经济,更为便捷。如果客户按照规定的步骤完成了消除不良信息的各种步骤,征集机构应当保证错误信息不出现在客户的信用报告上,从而防止给客户今后造成不必要的信用影响。此外,有必要建立错误信用的连带更正机制,即提供客户信用信息的机构与征信机构必须都对客户信用信息的更正负有连带责任,以防止只有征信机构更正,而错误信用信息还在整个征信系统中存在的现象。
此外,错误信用信息一般都是由征信机构“单方记录”的,在出现错误信息的情况下,个人往往并不知情,因此,应当及时向客户通告信用报告,让客户及时了解个人信用信息的变动情况。
(四)建立认定不良信用信息的科学评估机制
我国目前的信用报告,并不能区分客观失误和主观恶意违约,征信机构对偶尔逾期与主观连续多次的大额恶意失信并不能够及时地加以区分。从调查来看,异议查询中被征信人对负面信息有异议的原因主要有两种:一是欠信用卡年费,二是未足额还款产生的几元几角几分的利息等。[3]如果因这些原因导致客户信用评估下降,并不科学合理。因此,应当加强银行办卡管理,防止大量推销信用卡导致一人多卡且从不使用,人为导致信用卡年费欠缴的现象增多,而给客户带来不必要的信用损失。
在《征信管理条例》颁布之后,可以预见到的是,许多个人日常生活资料,例如水、电、气缴费等情况都将纳入信用记录中。这些费用的欠缴原因更为复杂,许多情况下是因为疏忽而发生的。因此,如果将此类个人信息计入评估结果,必将导致个人信用评分的下降,而这事实上并不能够反映个人信用的基本面貌。判断是否构成不良信息,需要征信机构通过长期的经验积累,建立判断信用状况和信用评估的机制。
因此,应当建立信用评估的科学体系,将客户各种信用信息进行汇集,并且对不同的指标进行赋值,以便进行量化处理,形成比较科学完整的个人信用评价标准。
(五)建立信用信息征信与监督分离机制
从国际经验看,信用征信系统应该是一个独立的系统。以欧美为代表的征信业,经过近200年的发展,目前已经形成了私营系统、公益系统、复合系统。这些模式的征信系统,都需要在经营机构之上设立信用监管机构,避免对于客户信用信息经营上出现偏差,以及产生严重的身份窃取现象。
美国的消费信用报告机构虽然绝大多数为独立的商业机构,但行业自律较强,相应的法律也很完善,已形成一个行业自律、政府行政监督和法律监管的完整的三方监控体系。一方面消费信用报告机构之间有各种行业协会,如影响巨大的联合信用署公司(Associated Credit Bureaus Inc/ACB)等;另一方面根据公平信用报告法的授权,美国联邦贸易委员会(Federal Trade Commission/FTC)负责对整个消费信用信息报告业进行监管。[4]我国也注意到征信机构与监管机构的分离问题,例如,2007年4月17日,中国人民银行也将其征信中心与征信管理局分设,但是目前全国范围内的征信与监管分离机制还未建立起来。征信机构对于信息的征集、管理、利用等方面,有可能存在违法利用和损害客户利益的现象,这些都需要监管机构及时加以掌控和管理。
目前,《征信管理条例》(征求意见稿)确定中国征信中心是全国统一的征信机构,是独立的法人,不以营利为目的,对外提供有偿服务。然而在《征集管理条例》(征求意见稿)中对于征集与监管分离机制的表述并不清晰。应当将客户信用信息的经营机构与监管机构区分开来,在建立完整的信用信息协调共享机制的前提下,有必要尽快建立全国统一的信用信息征信机构,并且将信用信息的征信评价机构与监管机构加以区分。
因此,应当解决客户信用信息管理机构的监管不力的问题,加强个人信息管理机构的监督,强化对于征信机构的管控,否则刑法修正案中的规定将不能得到较好的落实。建立客户信用信息监管部门,对于信用信息收集、保存和利用的情况,进行及时检查,尤其是对于身份窃取活动及其规范加以严格监督,都是非常必要的。
(六)加强中介机构的管理
目前,我国银行业通过中介办理信用卡或贷款的现象比较常见,但是,我国还没有建立规范中介机构提供信用信息、使用信用报告的法律制度,也没有建立对中介机构的监管制度。众多中小中介机构资质不清、良莠不齐、经营管理不规范,这种现状非常容易导致客户信用信息被窃取,损害客户信用信息的安全。
主要表现在两方面:一是某些银行业务员和中介受利益驱使,为一些没有正当职业或固定工作的社会闲散人员等不具备还款能力或还款能力较差的客户通过包装为其办理信用卡或贷款。二是易产生欺诈行为,被冒名人的征信记录出现负面信息,既影响其正常经济活动,也使金融机构形成呆死账或陷入法律纠纷。因此,出现了本人从未办过信用卡却被银行告知信用卡透支逾期未还,信用报告中也显示其确有某银行的信用卡的现象。有的客户把身份证借给他人办理担保,结果变成自己的贷款;有的客户是为他人作担保,被担保人贷款逾期不还;有的客户是直接把自己的信用出借,即出借自己的信用卡或直接用自己的名字替他人贷款;有的客户是通过车行贷款,还款时委托车行或他人帮助还款,他人的逾期行为均记录到自己的信用上;还有客户对到银行办贷款或信用卡程序不熟悉,为了省事到中介或通过第三方办理,个人的信用报告也提供给中介或第三方,使商业银行的信用数据或个人的基本信息被泄露。[5]在美国,收集、记录、整理各种个人信用信息数据的是信用中介服务机构。信用中介服务机构收集个人信用信息数据、使用信用信息受到法律制度的严格规范。因此,我国应借鉴国外做法,加强信用中介机构的管理。对于信息中介机构,应当建立准入退出机制、设立具体有效的管理机制加以规范和管理,对其使用客户信用信息的行为加以严格监控。
(七)建立身份窃取警报与保护机制
身份窃取警报机制,是征信机构为客户提供的一种增值服务。征信机构使用自动化设备和软件,实时监管客户的信用报告,一旦有人使用客户的姓名开设银行帐号、信用卡,甚至使用信用卡等支付工具进行未经授权的使用,该系统都会自动向客户发出警报,并且向客户提供相关信息,以帮助客户搜集证据,这些证据也可以在此后发生的索赔诉讼中加以使用。
例如,在美国,身份盗用保护服务每月的费用为10美元到20美元不等,如LifeLock和TransUnion公司,Suze Orman公司的Identity Theft Kit和IdentityGuard服务项目,就提供这种服务。这些公司会监管客户的信用报告,一旦有人用客户的名字开设帐号,服务会向客户发出警报,并帮助客户打赢欺诈官司。此外,这种系统还可以为客户提供其他增值服务,例如在线信用报告、在线信用证人,以及管理与改进用户信用评级的工具,[6]有些信用监管机构还可以通过扫描整个网络,查找是否有人在线上使用客户的信息进行交易。Identity Guard的Total Protection计划每月收费17美元,能提供信用监管、信用积分、安全软件和公共记录搜索等服务,以及用来辨别姓名、地址和其他与客户身份相关的特性,其中还包括通行证、欠税财产和有无犯罪史等。除了这些以外,还包括客户信用报告中每一次做出的改变。[6]有些信用监管机构还可以为已发生的身份窃取行为承担责任。例如,TrustedID承诺将为重新恢复客户的身份买单,偿还客户合法的费用,以及最高提供5000美元的丢失补偿金。LoudSiren也提供盗贼盗用的金钱、辩护律师的费用和丢失的金钱。Debix提供的25000美元也能覆盖到客户的花费、辩护律师的费用,最多也能提供2000美元的丢失补偿。[6]
因此,我国征信机构应当通过身份窃取的预警和保护机制,将巨大的信用信息资源盘活,利用信用信息的庞大资源进行增值性经营。建立身份窃取预警和保护机制,可以保障身份窃取行为一旦发生,用户能够及时了解身份窃取事件,可以保障身份窃取现象对于重要客户不会发生,也可以为客户提供及时重要的线索,以追查身份窃取者。在这种服务达到一定规模的情况下,也可以由征信者为已发生的身份窃取行为承担责任,从而减轻客户的身份窃取损害风险。
(八)建立信用安全冻结机制
客户使用安全冻结机制,可以将自己的信用状况冻结,在这种情况下,征信机构就不会给客户发送信用报告,同时客户自己的通信、就业、贷款等活动和服务,也将无法办理。冻结信用机制,可以使得客户选择特定的时间,对自己的信用报告进行冻结,在特定的时间内防止个人敏感身份资料被窃取。例如,在客户出国时,或者当发生了身份窃取事件之后,客户都可以在特定的时间内申请冻结自己的信用状况,从而使“身份窃贼”利用客户的名义进行通信和金融等活动时,无法调取客户的信用报告。因此,在我国建立信用冻结机制,也是一种预防身份窃取的必要措施。
综上所述,我国个人信用信息及其使用还有相当多的方面需要完善,应当借鉴美国公平信用报告法及其相关规则,建立我国个人信用征信及使用的完善机制,切实保障客户信用。我国《征信管理条例》的制订与完善,试图建立全国统一的中国征信中心,但该机构的建立,应当以建立信用信息协调共享机制为前提,尽快结束目前我国信用征集机构多元化、多样化、协调共享性差的现象。应当借鉴美国公平信用报告法的规定,提高客户信用报告的使用效率,开拓客户信用报告的使用领域,将客户信用报告应用于更广泛的领域;建立身份窃取行为的预防机制,完善《刑法修正案》(七)的相关规定,从征集管理条例制订之初,对身份窃取问题加以规范,从而保障客户信用信息的安全。
注释:
[1]周宏亮,穆文全.信用卡风险管理[M].北京:中国金融出版社,2002.
[2]Donald I.Baker,Roland E.Brandel&James H.Pannabecker.The Law Of Electronic Fund Transfer Systems[M].New York:Warren Gorham and Lamont,2004.
[3]关伟.个人信用报告异议处理面临的困难及建议[J].西部金融,2010,(11):60-61.
[4]王锐,熊键.美国公正信用报告法及其相关案例分析——对我国消费者隐私权保护的几点建议[J].河北法学,2002,(7):107-111.
[5]王希军,姜庆东.个人信用报告查询使用过程中存在的问题和隐患——关于200位查询者的调查与分析[J].征信,2010,(4).
[6]木瓜.身份盗用保护:拿什么让人相信你?[J].微电脑世界,2008,(9).