一般而言,征信机构,作为借款人信用信息的“数据库”,是金融市场上借贷双方之间的信息中介。征信机构有助于减少出借人与借款人的信息不对称情形,提高金融市场授信效率,促进实体经济发展。从金融监管和金融安全角度来看,征信机构提供借款人信用报告,有助于包括银行在内的出借人提高信贷质量,防范金融风险,维护金融体系稳定。基于上述理论,欧盟成员国普遍建立了公共征信机构和私人征信机构,形成了欧盟三大征信模式:公共征信模式、私人征信模式和混合征信模式。欧盟征信机构在金融市场上的地位十分重要,是欧洲经济发展的重要推动力。
一、欧盟征信机构类型
(一)公共征信机构
公共征信机构收集征信数据信息主要在于两个目标:一是审慎监管银行金融机构,监控银行体系健康和稳健运行;二是评估和监控借款人的负债情况。欧盟公共征信机构依法全面收集满足特定贷款数额门槛之上授信对象的征信数据(该门槛随国别不同而不同),但是对于低于该门槛的数据则不予收集,例如小额贷款的征信信息被排除出公共征信机构收集范围之外,各国立法者和监管者认为小额贷款宏观上对于国家金融体系的稳定并不构成威胁,微观上对借款人负债影响不大。
(二)私人征信机构
私人征信机构通过出借人或者公共渠道(如法院、公共登记机构、税务机关等)收集征信信息,经过内部数据加工和处理后,向出借人提供信用报告。需要指出的是,私人征信机构在征信数据的收集、流动和使用方面,要通过和出借人通过事先合同约定,以互惠原则(theprincipleofreciprocity)为基础,出借人向私人征信机构汇集征信数据、私人征信机构向出借人提供征信信息,同时收取一定费用,以此实现征信数据的分配。
在整个欧盟,私人征信机构的数量超过了公共征信机构的数量,只有在少数国家,私人征信机构数量寥寥。欧盟公共征信机构和私人征信机构共存互补,不仅使得公共征信机构有效实现了金融监管和信用风险防范的主要功能,而且使得私人征信机构可以为需求者提供全面、个性化的信用报告,形成了完善的征信报告系统,实现了征信综合效益最大化。
二、欧盟征信机构监管框架
(一)欧盟指令
其次,欧盟《消费者信用指令》(ConsumerCreditDirective,2008/48/EC)第8条和第9条分别对信用获取义务和征信机构信息数据库获取的问题做了规定。该指令强调征信机构获取充分征信信息以进行信用评估的重要性,同时对个人获取征信数据库信用信息的适当性进行了说明,征信机构必须遵从数据保护法案,确保数据主体可以无歧视地获取征信机构数据库的个人信用信息。
最后,欧盟《资本要求指令IV》(Capitalrequirementsdirective,CRDIV,2013/36/EU)和《资本要求规则》(Capitalrequirementsregulation,CRR,REGULATION(EU)No.575/2013)对于征信机构的规定、对征信报告系统和征信机构的活动有重要影响,对用于信用风险模型评估的征信数据规则做了明确规定,并且要求个人信用评价必须出于谨慎目的(prudentialpurpose)。
(二)欧盟成员国法律
国家
监管机构
适用法律
奥地利
奥地利数据保护委员会
奥地利数据保护法(DSG2000)
比利时
财政部
经济事务部
中央个人征信登记法(2001年10月)
捷克
数据保护办公室
数据保护法、商法典
德国
联邦数据保护局
德国联邦数据保护法(BDSG)
丹麦
丹麦数据保护局
个人数据保护法(Persondataloven)
芬兰
数据保护监察员
司法部
信用数据法
个人数据法
希腊
数据保护局(DPA)、国会
个人数据保护法等
克罗地亚
无
克罗地亚登记法
匈牙利
国会
征信机构和金融企业法
爱尔兰
数据保护局
数据保护局规章
意大利
数据保护法、行为准则(CodeofConduct)
荷兰
荷兰数据保护局
个人数据保护法
挪威
波兰
经济部
个人数据保护总视察员
银行法
罗马尼亚
677/2001号个人数据处理法
瑞典
数据保护委员会
征信机构法
斯洛文尼亚
斯洛伐克
商法典
西班牙
西班牙数据保护局
土耳其
英国
数据保护专员
数据保护(1998),消费者信用法,SCOR互惠原则等
法国
国家信息与自由委员会(CNIL)
法国数据处理、数据文件及个人自由法
(三)征信行业准则
三、欧盟征信机构征信行为的法律规制
在整个贷款合同订立和履行期间,出借人可以将授信决定报告给征信机构,也可以根据征信机构提供的借款人实时动态信用数据监控贷款合同履行情况,还可以将借款人逾期还款等负面信息向征信机构报告,同时对借款人采取必要的措施维护自身的合法利益。
(一)征信数据信息收集
2.征信信息的范围
欧盟征信机构在个人信用状况信息的收集范围方面包括正面信息和负面信息。正面信息主要涉及借款人收入状况、债务状况、贷款数量和类型、币种、贷款利率、到期日、担保状况、历史还款记录、分期付款状况、通讯公司、自来水、电力、天然气等公共公司个人信用记录等信息。负面信息主要涵盖贷款债务违约数据、迟延付款(逾期)数据、拖欠记录以及破产记录、欺诈记录、司法判决状况等信息。尽管在欧盟大多数成员国,征信机构可以收集和处理各种信息(包括正面信息和负面信息),但是由于法律框架、国别基础设施(nationalinfrastructure)以及文化偏好等因素的差异,丹麦、芬兰、法国和马耳他等欧盟成员国征信机构并不会提供和储存正面信息。究其原因,公共征信机构受到了隐私和其他消费者权益保护法律的限制,如法国只允许法兰西银行(BanquedeFrance)依法收集个人负面信息。
此外,征信信息除了用于贷款人评估借款人信用之外,也可以起到反欺诈和收债等作用,不仅贷款人可以使用,非贷款人也可以使用。这样,征信机构的征信信息,不仅对银行业意义很大,对于其他使用征信信息的行业也有很大影响。
3.征信信息的除外范围
此外,征信机构在收集征信信息时,应当确保征信数据信息的质量和准确度。根据欧盟《数据保护指令》(Directive95/46/EC)第6(1)(c)款和(d)款的规定,出借人应当立即更新征信信息或者由征信机构进行及时更新,如果发现征信数据有误、陈旧,其有义务及时改正所报告的信息,出借人必须确保征信信息的质量和准确度。借款人有权利获取、更新、检查和更正其个人信息,并有助于实现征信信息的准确性,而征信机构确保数据质量不仅仅是数据保护规则的要求,也是评估信用风险的内在需求。
(二)征信数据信息的处理
欧盟数据保护法律框架直接适用于征信机构征信数据处理的整个流程。在欧盟境内,所有征信机构都必须遵守各国为贯彻《数据保护指令》(Directive95/46/EC)第7条关于数据处理流程的法定标准而制定的各国国内法,保证个人数据记录、组成、改编或变更、修复、查询,通过传输、分发或任何其他方式的披露、排列或组合、隔离、删除或销毁等方面处理程序的透明度与公开性,确保个人(数据主体)的知情权。在个人信用数据处理的方面,征信机构要确保在采用计算机数据处理技术等自动化手段以及其他方式的个人数据处理的保密和安全,避免征信信息的非法泄露、破坏、遗失和拦截。
此外,欧盟对于私人征信机构信用评分(creditscore)机制做出了明确规制。一般来说,借款人的信用分数通常被贷款人用来作为判断是否授信的额外标准,并远远超过了信用历史数据的价值,只是信用分数的评估对于不同类型的借款人需要适用不同的信用评分表和权重。欧盟《数据保护指令》保护个人有权利不受此类自动数据处理的影响,并且还规定对于数据主体的自动信用评级必须在特定保障下才能进行。
(三)征信数据信息的储存
欧盟《数据保护指令》对征信机构征信数据信息的储存时限只是做了原则性规定,要求数据保留期限不得长于实现数据收集或处理的目的所必需的期限。由于各国数据保护立法的差异,欧盟征信机构在征信信息储存保留期方面差异很大。
征信数据保留期
违约记录在偿还债务后保留5-7年,正面信息是付款后3个月
违约记录保留10年,其他数据则一直保存
塞浦路斯
违约记录保留5年,正面信息保留期限不定
征信数据保留至贷款债务消灭后4年
根据《德国联邦数据保护法》(BDSG)的规定数据保留期不同,违约数据在还债后保留3年,负面信息一般保留3年,其他类型数据最高保留期限是6年
违约数据保留期限最长为5年,或者债务清偿完毕为止
违约记录保留10年,正面信息保留5年,欺诈记录保留5年
违约记录保留6年,公共数据保留3年
个人信用记录账户关闭之日后的第4年消除个人信用记录
违约记录在还债后保留1-5年,其他记录在贷款债务未清偿前均存在,债务消灭后最长保留5年
违约记录保留3年,其他记录在贷款债务清偿后保留1-3年
信用记录在账户关闭后保留5年
违约记录保留3年
信用记录在债务清偿后保留4年
信用记录保留至贷款清偿完毕后4年
征信记录保留6年
最后,欧盟征信机构作为数据控制人根据《数据保护指令》要求确保征信信息安全和保密,必须采取适当的技术措施和组织措施来保护个人数据以防止它们被意外或非法毁灭或者意外遗失、变更、未经许可披露或获取,并且防止任何其他非法形式的处理。
(四)征信数据信息的使用
(五)征信信息共享与隐私权保护
此外,《欧盟消费者信用指令》(ConsumerCreditDirective)第8条和第9条规定,出借人具有评估信用义务(obligationtoassesscreditworthiness);而消费者具有征信数据库信息获取权(Databaseaccess)。欧盟成员国应当确保,出借人在决定授信的结论做出之前,应当合法从消费者或者征信机构获得充分的征信信息后评估消费者信用。消费者具有无歧视地平等获取征信机构数据库中个人征信信息的权利,这与欧盟数据保护法律的要求是一致的。
综上,欧盟现行的征信机构监管法律框架平衡了个人权利保护和数据共享,不仅使消费者(借款人)根本性的隐私权得到了世界最高水平的法律保护,而且实现了社会效益的最大化。
四、欧盟征信机构的法律责任
欧盟层面的征信立法没有对征信机构的法律责任进行明确规定。《数据保护指令》第23条规定,因非法的处理操作或任何与依照本指令制定的国内法不符的行为而受到损害的任何人,有权要求控制人赔偿其遭受的损失。控制人如果能证明他对导致损害发生的事件没有责任,可以免除全部或部分的责任(liability)。第24条规定,成员国应采取合适的措施,来确保本指令内容的贯彻执行,特别应对违反依照本指令所制定的法律的行为加以处罚。可以看出,欧盟《数据保护指令》关于征信机构的法律责任和处罚部分规定并不明确,需要各成员国以立法形式贯彻该指令,制定明确、具体的法律。因此本文从欧盟现存的三大典型征信模式中的代表国家,即法国、德国和英国的数据保护法出发,分析欧盟征信机构应相应的法律责任特点。
(一)法国征信机构的法律责任
(二)德国征信机构的法律责任
德国《联邦数据保护法》(FederalDataProtectionAct)对征信机构的违法行为规定了民事、行政和刑事责任。
其次,该法对征信机构承担行政责任的情形做出了详细列举性规定。征信机构未经许可,收集、处理通常不可获取的个人数据,无论故意还是过失,均构成行政违法行为,应当处以50000欧元以下罚款;征信机构未经许可、私自以数据恢复程序获取个人数据、非法获取处理程序内的个人数据;非法传输错误个人数据、非法获得数据主体同意、非法向第三方传输个人数据等,不论故意或者过失,实施上述行为均构成行政违法,应处以300000欧元以下罚款。
(三)英国征信机构的法律责任
五、总结
当下,我国正处于个人征信体系逐步完善、互联网技术大量应用的时代,我国面临征信体系的完善和个人隐私权保护的双重挑战,借鉴欧盟征信机构监管机制和互联网大数据时代的应对策略,对我国信用体系完善与个人隐私权保护益处良多。