法国、希腊个人数据保护与征信管理制度

  近期由中国人民银行组织的代表团考察了法国、希腊两国有关征信管理的立法和实践。此次考察给我们留下深刻印象的是,两国都比较妥善地处理了个人数据保护与征信管理之间的关系,发挥了征信法律制度在保护公民基本权利和促进经济发展方面的积极作用。 
  一、关于个人数据的保护 
  法国、希腊分别根据有关的国际公约,建立了本国的征信法律制度。法国制定并修订了《隐私和数据保护法》,希腊也制定并修订了“在个人数据处理方面保护个人”的法律。上述立法将“个人数据”定义为与已识别的或可识别的自然人有关的信息,其中的自然人也常被称为“数据主体”。数据处理指的是公共机构、社会团体、自然人等收集、记录、组织、储存、变更、更正、散布、删除个人数据的活动。 
  数据主体享有以下一些基本权利:1、任何人都有权向有关机构查询其个人数据是否已被收集和处理。2、在收集个人数据时,有关机构必须以适当而明确的方式将下列事项通知数据主体:本人或其代表人身份、个人全部数据及其来源、处理数据的目的、数据的接收者、数据处理的进展情况等。3、任何人都有权向有关机构获得本人的数据及其复印件。4、任何人发现其数据不准确、不完全或者含糊、过时的,可以要求收集、处理该数据的机构予以更正、重新分类、及时更新、清除。5、任何人都有权拒绝将其个人数据用于商业目的,或者交由第三人用于商业目的。6、法国还允许个人要求国家信息自由委员会(CNIL)在国家安全机关、国防部门、公安机关的资料中,核实其个人数据。CNIL应当核实该数据的相关性和准确性。它可以及时更新数据,也可以要求有关机关更新或者清除这些数据。7、任何人发现行政机关、企业或者自然人实施了侵害其数据权利的行为,都可以要求法院予以制止。 
  有关机构在处理个人数据时,应当具备下列条件:1、数据主体明确表示同意;2、数据主体在签订合同前提出了有关的要求或者为履行合同所必需;3、为履行有关机构的法定义务所必需;4、为保护数据主体的合法权益所必需;5、为维护公共利益所必需等。 
  二、关于征信管理制度 
  法国的CNIL,直接向议会负责并报告工作。其设立的初衷是保障信息技术的发展用于为公民服务,而不得侵犯公民的尊严、隐私权和自由。委员会由17人组成。他们分别来自国民议会、参议院、最高法院、全国会计办公室等。委员会的经费直接由预算安排,其雇员属于政府付薪的职员。各政府机关、公共团体、公司、个人都必须尽其所能地协助委员会的工作,而不得出于任何借口加以阻挠。在法国,开展个人数据处理业务的机构统称数据管理员。他们必须履行下列义务:1、向CNIL报告有关的个人数据档案;2、维护公民的信息自由权;3、保证个人数据的安全性和保密性,不得曲解个人数据或者向无关的第三人泄露数据;4、接受委员会的现场检查。 
  希腊设立了个人数据保护局。在希腊,开展个人数据处理业务的机构,也称为管理人。法、希两国的有关监管机关依法履行下列职责:1、负责向公民宣传有关的权利义务,解答数据管理人的有关咨询;2、对公民提出的投诉开展调查,并通知处理结果;3、间接进入国家安全机关和公安机关的档案系统,进行必要的检查;4、监控IT系统及其应用程序是否采取了必要的预防措施,保证信息系统安全。 
  监管机关依法行使下列权力:1、有权获得履行监管职责所必需的全部信息;2、有权命令封闭、删除、销毁某些数据,在一定期间内禁止处理某些数据;3、有权将相关违法行为提交司法机关处理,追究违法行为人的法律责任;4、有权对违法行为人予以行政处罚,处罚种类包括警告、罚款、吊销执业许可证等。希腊的个人数据保护局还有权制定个人数据保护方面的规则,制定相关的收费标准,依职权主动开展检查监督,向议会提出有关立法建议等。 
  三、法、希两国征信法律制度中 
  可资借鉴的内容 
  (一)从法、希两国征信立法的指导思想上看,它们都着重保护数据主体的合法权利,避免处理那些可能给数据主体造成损害或者痛苦的数据,禁止将个人数据用于商业目的。它们都要求数据管理人在收集和处理个人数据时坚持公正、客观的原则,并尊重个人隐私权。对敏感数据的收集和处理,还必须得到数据主体的明确同意。我国的征信法律制度在个人信息的使用上,一般应坚持经被征信人同意方可使用的原则。但是使用个人信息时,有些可以不经被征信人的同意。
  (二)法、希两国的有关法律注重实现保护个人数据和维护市场秩序之间的平衡。收集和处理个人数据,需要评价个人的信用记录,并公开和传播其评价结果,这样势必涉及个人隐私权,因此法律适当区分了涉及个人隐私的数据和合乎国际惯例的数据,并规定合法使用个人数据的用户类型和传播目的,从而既保护了个人的隐私权,又能使与其进行信用交易的市场主体了解他们所需要的信息。这些都是我国的征信立法可以借鉴的。  来源:《金融时报》  信用中国  编辑:王运连