信用报告制度的完善及身份窃取行为的预防,本文主要内容关键词为:身份论文,信用论文,制度论文,报告论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
美国公平信用报告法,建立了比较完善的信用信息制度,其中涉及客户信用信息的获取、使用、转让等多方面的规则,这些规则有利于完善和健全我国的客户信息保护制度。目前我国身份窃取事件日益增多,客户身份信息亟待加以保护,因此,借鉴美国信用报告制度,加强并且完善信用报告制度是目前解决身份信息滥用的当务之急。
一、美国公平信用报告法的发展
美国《公平信用报告法》FCRA(Fair Credit Re-porting Act)最初在1970年通过。1989年开始,美国讨论FCRA的现代化问题,并且在1996年形成了《客户信用报告改革法》(Consumer Credit Reporting Re-form Act),该法严格限制债权人和其他人对客户信用报告机构完成的数据的使用。这一法律修订案于1997年10月1日生效。
公平信用报告法主要规定了客户在信贷调查时,有权要求告知信用调查的性质和范围、正在编辑的信息种类以及收到报告的人员姓名等。客户必须在限定时间内对调查请求作出响应。客户有权利要求任何错误的或误解的材料重新调查,并且,如果未经核实,就必须从档案中删除。如果对报告中某部分正确性有怀疑,客户有权利在档案中存入他们自己的一百字左右的声明,来阐明他们关于这件事的立场,这些声明将成为永久记录的一部分。客户有权充分了解任何一家信用报告机构对自己信用状况的评价,并且具有对不实负面信息的申诉权利。当事人有权取得自身的资信调查报告和复本,其他合法使用客户资信调查报告的机构或人必须符合法定条件,否则即使当事人同意也属违法行为。[1]
1996年,国会又出台两个法令,分别修改和补充了公平信用报告法,它们是智能授权法和债务催收改进法。前者在原法律规定的合法取得客户信用报告的五种情况中,授权联邦调查局可以侦察目的为由取得所需的客户信用调查报告;后者授权联邦政府机构可以在债务催收活动中,根据需要取得客户信用调查报告。[1]
2003年,国会又对FCRA进行了修订,制定了《公平和正确信用交易法》(Fair and Accurate Credit Transactions Act/FACT),增加了客户改进信用报告正确性,预防身份窃取,限制金融机构使用共享的敏感信息推销金融产品。该法增加规定,从其他机构获得客户信用报告信息的金融机构,不能使用这一信息对客户进行市场行销,除非金融机构明确显著地向客户披露这一信息,并且给予客户选择接受这一市场行销的机会①。FACT的很多规定,涉及披露信用评分、向信用报告机构提供的信息的正确性、客户对信息提供者直接提出异议的权利、提供给信用报告机构的负面消息的披露、风险等级的披露、处理包含了欺诈警告的客户信用报告的程序,以及向客户提供被偷盗的文件的规则。此外,该法还规定每年信用报告机构提供一个免费的信用报告,并且要在合理的费用基础上,保证客户对信用评价的访问。[2]
美联储的规则是为了执行FCRA而制定的,2004年7月16日,该规则进行了修订。
二、客户信用报告的相关法律关系
(一)公平信用报告法的适用
公平信用报告法主要适用于调整“客户信用报告机构”的有关行为,以及对“客户信用报告”的使用。“客户信用报告机构”包括“完全或部分地从事收集或评估客户信用信息或其他信息,以便将客户信用报告提供给第三方当事人”的机构,不论是收费性质的或合作性质的②。“客户信用报告”一般是“由客户信用报告机构做出的有关客户信誉、信用级别、信用度、品质、一般名誉、个人特性或生活方式的报告,它全部或部分地用作或将用作确认客户是否适合获得客户信用、受雇或其他本法规定的目的”③。因此,如果一家公司在内部为自己的商业活动使用信用信息,不向第三方当事人提供,它不构成“客户信用报告机构”。如果它只向第三方当事人提供并不属于“客户信用报告”的信息或文件,它也不构成“客户信用报告机构”。[2]
(二)客户信用报告的内容
按照FCRA的规定,客户信用报告机构不可以在客户信用报告中包含如下信息:10个月之前破产案件,七年前的民事诉讼、民事判决和逮捕记录,七年前的已支付的税务案件,七年前的用于盈亏收款或付费的账户,七年前的其他不利的信息,但刑事犯罪记录除外;前款规定的排除,不适用于如下目的的使用:一个主要金额超过150000美元的贷款交易;价值150000美元的人寿保险;年薪达75000美元的个人雇用④。如果客户对客户信用报告的有关信息存在异议,并且通知了客户信用报告机构,客户信用报告机构必须在每一份客户信用报告中包含这一客户异议⑤。
当信用报告的使用者做出一个不利的信用判断,使用者必须将这一判断通知客户。使用者不需要为不利的信用判断解释原因,也不需要为客户公开文件,以使客户了解什么信息实质上导出这一不利的信用判断⑥。当不利的信用判断部分地从信用报告之外的信息源得出,则要求使用者将这一信息本身告知客户,但不必告知信息的来源。在这种情况下,使用者必须告知客户有知晓这种信息的权利⑦。客户可以选择将客户的姓名和地址从客户信用报告机构提供的目录中删除,并且客户应当通知客户信用报告机构,这一请求在5日后生效,有效期限为5年⑧。应当注意的是,在形成客户信用历史的过程中使用的那些信息,可以用于开发其他产品,诸如欺诈预防产品、信用风险管理产品等。
(三)客户信用报告的使用目的
在FCRA第604和第625条中,列举了所有客户信用报告可以使用的情况,甚至包括不是为了建立信用目的的使用。
客户信用报告机构只能在如下情况下提供客户信用报告:(1)按照有权发出指令的法院的指令,或按照在联邦大陪审团前进行的诉讼程序中发出的传票,而提供客户信用报告。(2)按照客户的书面指示而提供。(3)向有理由相信具有如下目的的人提供:为信用交易或信用延展、或检查、收集客户账户的信息、雇用目的、涉及该客户的保险业务、判断客户是否适宜接受由政府机构批准的许可或其他救济,该政府机构按照法律有权审查申请人的金融能力或情况;作为潜在的投资者或服务提供者,或现有的保险者,希望使用这些信息,用于评估或估价现有的贷款责任的信用或预付风险;其他对这些信息有合法商业需要的人,该人将信息用于由客户发起的商业交易,或者用于检查账户,判断客户是否继续符合账户条款。(4)按照州或地方儿童抚养执行机构的负责人的要求而提供,如果该机构向客户信用报告机构证明:客户信用报告对于判断个人做出儿童抚养支付的能力或判断这种支付的适当水平是必需的;客户和该儿童的父子(女)关系;这些机构至少在十天前通知客户,将要求该客户信用报告,并且客户信用报告将只被用于儿童抚养目的,不会用于其他民事、行政或刑事诉讼中,或用于其他目的⑨。
在为雇用目的而提供客户信用报告时,使用该客户信用报告的人,要向客户信用报告机构保证来自客户信用报告的信息将不会被用于违反联邦或州的公平雇用机会法或规则,并且在该报告被获得或导致被获得之前,要向客户做出清楚和显著的书面披露,披露该报告将用于雇用目的;客户也要以书面形式,授权由该客户信用报告机构提供报告。如果为雇用目的使用客户信用报告,在全部或部分地以该报告为基础,作出对客户不利的决定之前,该机构应当向客户提供报告的复制件⑩。
(四)对客户的披露及相关问题
信用报告机构应当告知客户如下信息:(1)披露客户信用报告中的所有信息,但有关信用评分或其他风险评分或对客户的预测的信息除外;(2)信息的来源,但是,用于构成客户信用报告的单独获得的信息来源,以及实际用于其他目的的信息来源除外;(3)在大多数情况下,如果接受报告用于雇用目的,在客户申请的两年内;如果接受报告用于其他目的,在客户申请的一年内,每一个客户信用报告的使用者的身份标识(姓名、地址和电话号码)(11)。
信用评分向客户进行披露时,要按照客户对信用评分的要求,向客户提供一份报告书,指出信息和信用评分模式可能不同于由贷款人所用的信用评分,以及一份包含下列内容的通知:客户当前的信用评分或以前为信用延展目的的信用评分;在所用的信用评分模式下,可能的信用评分范围;在所用的信用评分模式下,对客户信用评分有影响的所有关键因素;信用评分产生的时间,以及做出信用评分的人或机构的名称(12)。客户有权利对信息提出异议,一般来说,有权要求信用报告机构调查有关的异议。作为调查的结果,信用报告机构必须删除有关的错误或在文件中写明有关的争议点。信用报告机构必须应客户的请求,将删除的情况或争议点向客户指定的接受者发送,以挽救客户的信誉。信用报告机构必须向客户告知提出异议的权利(13)。客户还可以接受他的客户信用报告的复制件,并且在很多情况下这种复制件是免费的(14)。例如,失业的客户在寻找工作时、寻求社会救济金以及客户相信他受到欺诈时,都有权利要求客户信用报告的免费复制件(15)。
三、身份窃取行为的预防
为预防身份窃取行为,公平信用报告法主要采取两种措施:一是警报,二是阻止来自身份窃取行为获得的信息的使用。警报又分为两种:一次性欺诈警报(One-call Fraud Alerts),二是长期警报(Extended Alerts)。
一次性欺诈警报,是指按照客户的要求,如果其以善意声称,怀疑客户已经或正成为欺诈或相关犯罪行为(包括身份窃取)的受害人,客户信用报告机构应当:(1)在该客户的文件中包含一个欺诈警报,并且与使用这一文件而产生的信用评分一道提供这一警报,时间上从这一要求之日起不超过90天,除非该客户要求在这一期限届满之前取消这一欺诈警报,并且客户信用报告机构收到这一取消要求的适当证据;(2)向其他客户信用报告机构提及这一欺诈警报。
在客户信用报告机构将欺诈警报包含在客户文件中的情况下,客户信用报告机构应当:向客户披露,客户有权按照第612(d)条规定,要求客户文件的免费复制件;并且在披露之后不超过三个工作日内,向客户提供按照第609条所要求的全部披露,不向客户收取费用(16)。
长期警报是按照客户的要求,客户信用报告机构应当:(1)在客户文件中包含这一欺诈警报,并且与使用这一文件而产生的信用评分一道提供这一警报,时间上从这一要求之日起为七年时间,除非该客户要求在这一期限届满之前取消这一欺诈警报,并且客户信用报告机构收到这一取消要求的适当证据;(2)在要求开始之后的五年时间内,将客户从客户信用报告机构制作的客户目录中取消;并且(3)向其他客户信用报告机构提及这一长期警报。
在客户信用报告机构将长期欺诈警报包含在客户文件中的情况下,客户信用报告机构应当向客户披露,客户有权按照第612(d)条规定,在申请之后的12个月内,要求客户文件的两份免费复制件;在披露之后不超过3个工作日内,向客户提供按照第609条所要求的全部披露,不向客户收取费用(17)。如果要求警报的客户指定了电话号码,用以身份校验目的,在授权新的贷款计划或信用延展之前,这一客户信用报告的使用者应当使用这一电话号码或采取合理的措施与客户联系,以校验客户的身份并且确定是否批准新的贷款计划,这不构成身份窃取(18)。客户信用报告机构对客户信用报告进行转售时,应当包含由其他客户信用报告机构发出的欺诈警报(19)。对来自身份窃取行为的信息使用的阻止,是使客户信用报告机构负有阻止在客户文件中报告这些信息的责任,客户信用报告机构对客户阻止请求的责任,应当是阻止这一信息在今后的使用。如果客户视这些信息来自于声称的身份窃取行为,在收到这一信息之日起不超过4个工作日,客户信用报告机构应当迅速通知信息的提供者:该信息可能来自于身份窃取;身份窃取报告已经制作为文件;客户按照本条规定,已经做出阻止使用的请求;以及阻止的生效日期(20)。客户信用报告机构可以解除这种阻止,如果客户信用报告机构合理地确定:信息被错误阻止使用,或客户错误地要求阻止;信息被阻止或客户要求阻止,是基于对事实的误传;客户因阻止交易或交易而获得了商品、服务或金钱(21)。
四、我国信用报告制度的现状
目前,中国人民银行先后制定了《个人信用信息基础数据库管理暂行办法》、《中国人民银行关于落实〈个人信用信息基础数据库管理暂行办法〉有关问题的通知》、《个人信用信息基础数据库信用报告本人查询规程》、《个人信用信息基础数据库异议处理规程》和《中国人民银行信用评级管理指导意见》。各地也制订了个人信用征信管理的地方规定。
2004年12月,中国人民银行负责建立的全国统一的个人信用信息基础数据库在全国部分金融机构试运行。2005年8月31日,全部国有商业银行、股份制商业银行、城市商业银行实现全国联网。2006年1月1日,信用信息基础数据库正式投入运行。2006年11月,在中国人民银行下建立了中国人民银行征信中心,征信中心负责信用信息基础数据库的日常运行和管理。商业银行作为信息提供人,按照中国人民银行发布的信用信息数据库标准及其有关要求,向信用数据库报送企业和个人信用信息。商业银行在办理相关业务时,可以向信用信息基础数据库查询企业和个人信用报告。人民银行征信中心采集数据的权威性、时效性都要强于地方征信公司。人民银行征信系统和地方征信公司目前处于相互补充并且相互竞争的状况。同时,暂行办法还规定,商业银行不得向未经信贷征信主管部门批准建立或变相建立的信用信息数据库,提供个人信用信息。信用信息只能用于如下目的:(1)审核个人贷款申请;(2)审核个人贷记卡、准贷记卡申请;(3)审核个人作为担保人;(4)对已发放的个人信贷进行贷后风险管理;(5)受理法人或其他组织的贷款申请或其作为担保人,需要查询其法定代表人及出资人信用状况。
为了更好地保护我国信用信息安全,2009年2月28日,我国《刑法修正案》(七)增加了《刑法》第253条之一,规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2009年10月13日,国务院法制办公布《征信管理条例》(征求意见稿),该征求意见稿对于信用信息的界定、类型,征信机构设立标准、征信机构收集、保存、加工、提供信用信息的限制条件、不得收集的个人信息类型等作出了详细规定,非常有特色的是,该征求意见稿意图建立“中国征信中心”,负责全国统一信用信息基础数据库的建设、运行和管理,并且对其经营方式进行了较为详细的规定。目前该《征信管理条例》正在审议完善当中。
从我国信用信息管理体制来看,我国信用信息立法和管理存在着如下几点问题:
(一)信用信息内容薄弱,质量不高
目前,我国个人信用信息只局限于自然人身份识别信息、职业和居住地址等基本信息、商业银行提供的企业和个人在贷款、信用卡、准贷记卡、担保等信用活动中形成的交易记录。信用信息数据库更加侧重于金融信用领域的信息资料,但是通过这些数据库并不能形成全面明晰的客户信用评价。在信用信息的收集中,也欠缺不可以收集项目的详细清单,对于不应进行收集的客户敏感信息并未形成比较明确的立法规范,各地征信机构掌握标准不统一。目前信用信息的征信范围较窄,信息时效性不高。因此,信用信息资料质量和范围的局限,必将影响着今后对客户信用水平的客观评价。
(二)征信服务中心的职能单一、整合性不足
目前,我国主要的征信服务机构,是由中国人民银行信贷征信主管部门批准建立的征信中心。该征信中心的职能过于单一,只负责采集、整理、保存金融方面的信用信息,为商业银行和个人提供信用报告查询服务,为货币政策制定、金融监管和法律、法规规定的其他用途提供有关信息服务。此外,在工商、海关、法院、公安、统计、质监、医疗、零售业、人才市场等部门,也保存着大量个人信用信息。这些征集机构行政关系复杂、职权不清,非常重要的是他们之间的协调共享机制并未建立起来,导致对于客户信用信息的管理混乱、多元收集重复收集问题比较突出,这也增加了身份窃取的风险。由于各部门等级不同、地域不同,难以建立全国统一高效的信用征集机构,无法对客户信用信息进行整合,并且以此为基础形成客户信用的评价结果。
(三)客户信用信息使用目的单一
目前,客户信用信息的使用目的仅局限于审核贷款、信用卡、准贷记卡申请;审核个人作为担保人的信用状况;对已发放的个人信贷进行贷后风险管理,以及查询其法定代表人及出资人信用状况。对金融机构收集的信用信息只能由商业银行使用,不能由其他机构使用。客户信用信息的使用还仅仅局限于金融业务方面,信用报告在通信、就业、安全认证、司法部门强制执行等多样化的使用形式,还未完全充分开发和应用起来。
(四)客户信用信息的保护水平较低
目前,我国关于客户信用信息的保护,还处于比较混乱的状态。各种信用征集机构有利用自己收集的信息的冲动,金融机构使用共享信息进行市场行销,也是今后越来越普遍的现象。我国相关信用信息的立法仅规定了根据个人申请提供其本人信用报告的情况,对于信用信息的商业性利用、共享等,还欠缺明确详尽的规定,这导致了客户信用信息保护水平较低。
(五)欠缺身份窃取行为及其预防措施
身份窃取行为及其预防措施,是客户信用报告规定系统中非常重要的环节。在美国《公平信用报告法》刚颁布之时,也没有对这一问题进行规定。在2003年,则专门制定了《公平和正确信用交易法》,预防身份窃取行为。我国对于身份窃取行为,未在《个人信用信息基础数据库管理暂行办法》中体现出来,这不符合信息社会对身份保护的时代要求。
(六)《刑法修正案》(七)相关规定的局限
《刑法修正案》(七)的相关规定,对于单位范围的限定过于狭窄,仅仅将侵犯公民个人信息罪的主体限定于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,这一规定并不能完全涵盖目前众多的信用征集机构的种类。将受到侵害的“公民个人信息”仅限于在履行职责或提供服务过程中获得的公民个人信息,范围过于狭窄。如果不是在履行职责或提供服务过程中获得的公民个人信息,并不能适用这一规定,这会使许多信用征集机构利用该漏洞免责。此外,“非法提供”的概念也比较模糊,因为我国相关信用信息的法律规定并未完全充分地明确合法提供的类型,因此“非法提供”就难以在实践中加以明确适用。最后,该条规定仅限于保护公民个人信息,对于企业信用信息保护并不能加以适用,而企业信用信息的保护同样重要而迫切。
五、我国客户信用信息制度的完善与身份窃取的预防
(一)建立信息征管机构的统一信息协调机制
应当看到,目前我国客户信用信息的征信机构非常零散、不系统,缺乏统一的协调共享机制。目前最主要的中国人民银行征信中心,虽然其数据库庞大而权威,但也仅仅局限于金融业务中的信息,有些信息并不如地方征信机构更加全面、更有针对性。目前我国大多数的征信机构,长期处于多元化、各自为政,以行业为主导的特点非常明显,因此导致长期以来征信机构之间存在着信息分割、信息获取与共享困难等问题,也导致各征信机构各自形成自己的信用评估体系,久而久之必将导致信用评估标准难以统一、评估报告矛盾冲突多见的问题。
《征信管理条例》(征求意见稿)意图建立一个统一的征信机构,但有许多学者认为,在中国建立大一统的征信机构目前还为时过早。《征信管理条例》所试图建立的中国征信中心本身的定位还存在许多争议,中国征信中心能否担当起客户信用征管的核心机构,还有许多难题需要解决。
《征信管理条例》(征求意见稿)确认了征信中心作为不以营利为目的的国家基础数据库运行维护者的法律地位,相应地明确了金融机构向征信中心提供客户信用信息的法定义务,赋予征信中心自行收集个人、法人及其他组织的证券、期货、保险、外汇等金融信用信息和相关信用信息、依法与行政机关、司法机关以及法律、法规授权的具有管理公共事务职能的组织开展信息共享权利,并规定其收集个人信用信息时不需要征得信息主体同意,数据库中的信息,也不允许个人删除,从而保证了征信中心充分发挥其公共征信机构的市场角色。但是,《征信管理条例》的这一设想未必能够实现,其主要原因就在于目前我国信用征集机构过多,难以通过中国征信中心这一机构的建立就能加以协调统一,中国征信中心的建立实质上需要以政府主导的信用信息协调机制作为前导。
建立专门的客户信用信息协调机制的益处在于:提高客户信息管理的效率,在暂时无法建立统一的征信中心的前提下,可以通过该机制将众多的征信机构的工作加以整合。同时,可以提高受理身份窃取的咨询、投诉、调查及处理的效率。以一个机构为主导,辐射其他组织,将全国征信机构的数据库和相关工作成果加以整合,是建立高效、统一、权威的中国征信中心的基础。
此外,客户信用信息协调机制的建立,可以将一个征信机构发出的身份窃取警报,通过该机制及时向其他征信机构通告。这样可以将不同来源的身份窃取事件加以共享,例如发生在邮政、社保、税收等领域内的身份窃取事件,可以与金融、通信等领域中的个人信用记录相关联,从而建立灵活高效的客户信用保护体系。在美国,也是由联邦贸易委员会与美国三大信用报告机构密切配合,甚至与联邦调查局、邮政局、社会安全局、国税局等部门紧密联合,建立了信息共享机制。
因此,在目前信用征信机构比较分散的状况下,建议对客户信息以目前已有的信用征信机构为主导,建立客户信用信息统一协调机制,加强信息主管机构的统一管理,并且为此制订可操作性的法律规范。
(二)明确征信机构的信息安全责任
征信机构应当负担信息安全责任,征信机构不能只管征信,不管信息安全,甚至通过出售信息而营利。征信机构应当保障信息准确完善及时有效,不能滥发信用卡,人为增加客户信用信息出现不良记录的风险,甚至人为导致身份窃取行为的增多。
建立客户信用信息披露限制机制,所有披露行为不得损害客户隐私。在进行信息披露时,征信机关要综合考虑所有相关情况,包括披露能否增进社会公共福祉、公共安全,客户信息是否准确或可信,客户信息是否涉及第三方的收入、资产、债务等情况。客户信息的披露,不能损害政府公共利益,不得损害他人的经济利益,关联公司共享被征信人的信用信息也应征得被征信人的同意。应当建立数据公开的范围限制,应当通过立法,将征信机构对于客户信用信息的披露范围加以明确规定,以避免目前针对客户信用信息擅自使用的混乱现象。
此外,征信机构应当负担起保护个人隐私的主要义务,为防止身份窃取建立防范机制。应当建立信用信息使用人的身份认证制度,严格明确信用信息的利用目的,并且建立信用信息提供前向客户的通知机制,超出立法目的的信用信息提供,客户有权禁止使用,从而维护客户保护信用信息的权利。征信机构应当负有保证信用信息正确的责任,当信用信息发生任何变更时,应当进行及时更新。此外,征信机构应当使各种客户信用信息便于查询和访问,应当为此建立廉价高效的访问机制。征信机构为确保信用信息的安全,要加强征信机构内部管理制度,确保内部人员不能擅自对于信用信息数据进行处理或窃取。
(三)建立明晰、高效的错误信用记录更正机制
征集机构的主要工作是确保个人信用信息登记的正确性,并且确保信息的及时性,一旦信用信息出现错误或遗漏的现象,应当加以完善补充。在征信过程中,由于工作人员的差错或其他原因导致了个人信息输入出现错误或没有及时更改过时的信息,会造成个人信用报告的不真实,影响征信机构的信誉,也会给客户今后办理相关业务造成不必要的麻烦。信用报告上的记载实际上对于个人与银行之间发生的金融业务、客户个人的就业等都将发生非常重要的影响,因此,这就要求客户个人信用信息必须准确、及时,且保持最新状况。因此,对于出现的不正确、不完全或错误的信息,应当建立机制确保这种信息能够被立即改正或者删除。
目前,我国征信体系中,异议处理环节较多,速度较慢,客户对此抱怨较多。[4]因此,应当简化个人消除错误信息、更新过时信息的步骤,使这一步骤在成本上更为经济,更为便捷。如果客户按照规定的步骤完成了消除不良信息的各种步骤,征集机构应当保证错误信息不出现在客户的信用报告上,从而防止给客户今后造成不必要的信用影响。此外,有必要建立错误信用的连带更正机制,即提供客户信用信息的机构与征信机构必须都对客户信用信息的更正负有连带责任,以防止只有征信机构更正,而错误信用信息还在整个征信系统中存在的现象。
此外,错误信用信息一般都是由征信机构“单方记录”的,在出现错误信息的情况下,个人往往并不知情,因此,应当及时向客户通告信用报告,让客户及时了解个人信用信息的变动情况。
(四)建立认定不良信用信息的科学评估机制
我国目前的信用报告,并不能区分客观失误和主观恶意违约,征信机构对偶尔逾期与主观连续多次的大额恶意失信并不能够及时地加以区分。从调查来看,异议查询中被征信人对负面信息有异议的原因主要有两种:一是欠信用卡年费,二是未足额还款产生的几元几角几分的利息等。[3]如果因这些原因导致客户信用评估下降,并不科学合理。因此,应当加强银行办卡管理,防止大量推销信用卡导致一人多卡且从不使用,人为导致信用卡年费欠缴的现象增多,而给客户带来不必要的信用损失。
在《征信管理条例》颁布之后,可以预见到的是,许多个人日常生活资料,例如水、电、气缴费等情况都将纳入信用记录中。这些费用的欠缴原因更为复杂,许多情况下是因为疏忽而发生的。因此,如果将此类个人信息计入评估结果,必将导致个人信用评分的下降,而这事实上并不能够反映个人信用的基本面貌。
判断是否构成不良信息,需要征信机构通过长期的经验积累,建立判断信用状况和信用评估的机制。因此,应当建立信用评估的科学体系,将客户各种信用信息进行汇集,并且对不同的指标进行赋值,以便进行量化处理,形成比较科学完整的个人信用评价标准。
(五)建立信用信息征信与监督分离机制
从国际经验看,信用征信系统应该是一个独立的系统。以欧美为代表的征信业,经过近200年的发展,目前已经形成了私营系统、公益系统、复合系统。这些模式的征信系统,都需要在经营机构之上设立信用监管机构,避免对于客户信用信息经营上出现偏差,以及产生严重的身份窃取现象。
美国的消费信用报告机构虽然绝大多数为独立的商业机构,但行业自律较强,相应的法律也很完善,已形成一个行业自律、政府行政监督和法律监管的完整的三方监控体系。一方面消费信用报告机构之间有各种行业协会,如影响巨大的联合信用署公司(Associated Credit Bureaus Inc/ACB)等;另一方面根据公平信用报告法的授权,美国联邦贸易委员会(Federal Trade Commission/FTC)负责对整个消费信用信息报告业进行监管。[4]
我国也注意到征信机构与监管机构的分离问题,例如,2007年4月17日,中国人民银行也将其征信中心与征信管理局分设,但是目前全国范围内的征信与监管分离机制还未建立起来。征信机构对于信息的征集、管理、利用等方面,有可能存在违法利用和损害客户利益的现象,这些都需要监管机构及时加以掌控和管理。
目前,《征信管理条例》(征求意见稿)确定中国征信中心是全国统一的征信机构,是独立的法人,不以营利为目的,对外提供有偿服务。然而在《征集管理条例》(征求意见稿)中对于征集与监管分离机制的表述并不清晰。应当将客户信用信息的经营机构与监管机构区分开来,在建立完整的信用信息协调共享机制的前提下,有必要尽快建立全国统一的信用信息征信机构,并且将信用信息的征信评价机构与监管机构加以区分。
因此,应当解决客户信用信息管理机构的监管不力的问题,加强个人信息管理机构的监督,强化对于征信机构的管控,否则刑法修正案中的规定将不能得到较好的落实。建立客户信用信息监管部门,对于信用信息收集、保存和利用的情况,进行及时检查,尤其是对于身份窃取活动及其规范加以严格监督,都是非常必要的。
(六)加强中介机构的管理
目前,我国银行业通过中介办理信用卡或贷款的现象比较常见,但是,我国还没有建立规范中介机构提供信用信息、使用信用报告的法律制度,也没有建立对中介机构的监管制度。众多中小中介机构资质不清、良莠不齐、经营管理不规范,这种现状非常容易导致客户信用信息被窃取,损害客户信用信息的安全。
主要表现在两方面:一是某些银行业务员和中介受利益驱使,为一些没有正当职业或固定工作的社会闲散人员等不具备还款能力或还款能力较差的客户通过包装为其办理信用卡或贷款。二是易产生欺诈行为,被冒名人的征信记录出现负面信息,既影响其正常经济活动,也使金融机构形成呆死账或陷入法律纠纷。因此,出现了本人从未办过信用卡却被银行告知信用卡透支逾期未还,信用报告中也显示其确有某银行的信用卡的现象。有的客户把身份证借给他人办理担保,结果变成自己的贷款;有的客户是为他人作担保,被担保人贷款逾期不还;有的客户是直接把自己的信用出借,即出借自己的信用卡或直接用自己的名字替他人贷款;有的客户是通过车行贷款,还款时委托车行或他人帮助还款,他人的逾期行为均记录到自己的信用上;还有客户对到银行办贷款或信用卡程序不熟悉,为了省事到中介或通过第三方办理,个人的信用报告也提供给中介或第三方,使商业银行的信用数据或个人的基本信息被泄露。[5]在美国,收集、记录、整理各种个人信用信息数据的是信用中介服务机构。信用中介服务机构收集个人信用信息数据、使用信用信息受到法律制度的严格规范。因此,我国应借鉴国外做法,加强信用中介机构的管理。对于信息中介机构,应当建立准入退出机制、设立具体有效的管理机制加以规范和管理,对其使用客户信用信息的行为加以严格监控。
(七)建立身份窃取警报与保护机制
身份窃取警报机制,是征信机构为客户提供的一种增值服务。征信机构使用自动化设备和软件,实时监管客户的信用报告,一旦有人使用客户的姓名开设银行账号、信用卡,甚至使用信用卡等支付工具进行未经授权的使用,该系统都会自动向客户发出警报,并且向客户提供相关信息,以帮助客户搜集证据,这些证据也可以在此后发生的索赔诉讼中加以使用。
例如,在美国,身份盗用保护服务每月的费用为10美元到20美元不等,如LifeLock和TransUnion公司,Suze Orman公司的Identity Theft Kit和Identity Guard服务项目,就提供这种服务。这些公司会监管客户的信用报告,一旦有人用客户的名字开设账号,服务会向客户发出警报,并帮助客户打赢欺诈官司。此外,这种系统还可以为客户提供其他增值服务,例如在线信用报告、在线信用证人,以及管理与改进用户信用评级的工具,[6]有些信用监管机构还可以通过扫描整个网络,查找是否有人在线上使用客户的信息进行交易。Identity Guard的Total Protection计划每月收费17美元,能提供信用监管、信用积分、安全软件和公共记录搜索等服务,以及用来辨别姓名、地址和其他与客户身份相关的特性,其中还包括通行证、欠税财产和有无犯罪史等。除了这些以外,还包括客户信用报告中每一次做出的改变。[6]有些信用监管机构还可以为已发生的身份窃取行为承担责任。例如,TrustedID承诺将为重新恢复客户的身份买单,偿还客户合法的费用,以及最高提供5000美元的丢失补偿金。LoudSiren也提供盗贼盗用的金钱、辩护律师的费用和丢失的金钱。Debix提供的25000美元也能覆盖到客户的花费、辩护律师的费用,最多也能提供2000美元的丢失补偿。[6]
因此,我国征信机构应当通过身份窃取的预警和保护机制,将巨大的信用信息资源盘活,利用信用信息的庞大资源进行增值性经营。建立身份窃取预警和保护机制,可以保障身份窃取行为一旦发生,用户能够及时了解身份窃取事件,可以保障身份窃取现象对于重要客户不会发生,也可以为客户提供及时重要的线索,以追查身份窃取者。在这种服务达到一定规模的情况下,也可以由征信者为已发生的身份窃取行为承担责任,从而减轻客户的身份窃取损害风险。
(八)建立信用安全冻结机制
客户使用安全冻结机制,可以将自己的信用状况冻结,在这种情况下,征信机构就不会给客户发送信用报告,同时客户自己的通信、就业、贷款等活动和服务,也将无法办理。冻结信用机制,可以使得客户选择特定的时间,对自己的信用报告进行冻结,在特定的时间内防止个人敏感身份资料被窃取。例如,在客户出国时,或者当发生了身份窃取事件之后,客户都可以在特定的时间内申请冻结自己的信用状况,从而使“身份窃贼”利用客户的名义进行通信和金融等活动时,无法调取客户的信用报告。因此,在我国建立信用冻结机制,也是一种预防身份窃取的必要措施。
综上所述,我国个人信用信息及其使用还有相当多的方面需要完善,应当借鉴美国公平信用报告法及其相关规则,建立我国个人信用征信及使用的完善机制,切实保障客户信用。我国《征信管理条例》的制订与完善,试图建立全国统一的中国征信中心,但该机构的建立,应当以建立信用信息协调共享机制为前提,尽快结束目前我国信用征集机构多元化、多样化、协调共享性差的现象。应当借鉴美国公平信用报告法的规定,提高客户信用报告的使用效率,开拓客户信用报告的使用领域,将客户信用报告应用于更广泛的领域;建立身份窃取行为的预防机制,完善《刑法修正案》(七)的相关规定,从征集管理条例制订之初,对身份窃取问题加以规范,从而保障客户信用信息的安全。
注释:
①FACT Act§214.
②FCRA§603(d),FCRA§603(f),15 USC§1681a(f).
③FCRA§603(d),15 USC§1681a(d).
④FCRA§605(a).
⑤FCRA§605(f).
⑥FCRA§615(a),15 USC§1681m(a).
⑦FCRA§615(b),15 USC§1681m(b).
⑧FCRA§604(e).
⑨FCRA§604(a).
⑩FCRA§604(b).
(11)FCRA§609,15 USC§1681g.
(12)FCRA§609(f).
(13)FCRA§611,15 USC§1681i.
(14)FCRA§§609(a),612(a)(b)(c);12 USC§§1681g(a),1681j(a)(b)(c).
(15)FCRA§612(b)(c);12 USC§1681j(b)(c).
(16)FCRA§605(A)(a).
(17)FCRA§605(A)(b).
(18)FCRA§605(A)(h)(1)(B)(ii).
(19)FCRA§605(B)(A)(f).
(20)FCRA§605(B)(a)(b).
(21)FCRA§605(B)(c).
标签:征信管理条例论文; 征信机构论文; 客户信息论文; 征信体系论文; 职业征信论文; 征信业务论文; 个人管理论文; 客户管理论文; 信用论文;