益博睿个人征信的信用信息保护实践及对我国的启示

时间：2024-08-31

摘要：个人信息保护是征信机构维护信息主体合法权益的主要内容，对于促进征信机构合规和稳健运行具有重要意义。本文以全球征信机构益博睿（Experian）个人信息保护模式为借鉴，就其在个人信息采集、信息使用、信息披露等方面的个人信息保护作了全面梳理，并结合中国征信机构个人信息保护的实践提出了完善个人信息保护制度、规范第三方机构使用个人信息行为、提高个人信息保护意识、完善个人信息保护渠道的意见建议。

关键词：益博睿个人信息保护

一、引言与综述

保护个人信息是征信业信息安全的生命线，随着征信业的快速发展，征信个人信息采集、使用的范围、方式不断扩大，侵犯个人信息及隐私安全、未经授权随意使用个人信息谋取利益的事件频发，个人信息保护在征信业的发展中上升到关键层次。如何保护个人信息，相关学者们进行了大量研究。胡向腊（2019）基于个人信息保护的现状，从法律、救济等方面提出保护个人信息。邓辉（2020）的研究认为应建立专门的监管机构实现个人信息保护的目标。史博文（2020）的研究提出司法和行政相结合的个人信息保护模式，认为保护个人信息安全应注重技术等基础设施的建设。朱晓娟（2021）的研究认为应理清个人信息保护的边界，个人信息保护应兼顾与商业利益的平衡。张健华（2021）的研究认为个人信息保护中政府及监管部门应建立明确的个人信息保护法规，稳定征信业务市场秩序。

纵观学者的研究多集中于征信机构外部的法律机制完善、技术基础设施的健全，但忽视了个人信息采集、加工、使用的主体，即征信机构如何实现个人信息保护的目标。因此，探究征信机构自身如何与外部监管机构、行政法律规范协同实现个人信息保护是本文的研究重点。本文将通过探究征信机构个人信息保护的先进实践经验，提升个人信息保护的有效性。

作为全球著名的个人征信机构，益博睿（Experian）是全球领先的信息服务公司和征信机构，主要从事征信业务，旨在向世界各地的客户提供信息数据和分析工具，其总部位于爱尔兰都柏林，并在英国诺丁汉、美国加利福尼亚和巴西圣保罗设有运营总部，并在巴西设立征信局从事巴西的征信业务。作为全球领先的征信公司，益博睿在个人信息保护方面形成独特的管理模式和经验，为信息主体合法权益的保护发挥了积极作用。

二、益博睿个信信息保护模式

（一）制订信息保护政策

2017年9月22日，益博睿制订了《Ask Experian for Advice privacy policy》，专门披露了个人隐私及信息保护政策的内容，从收集信息主体信息的类型、向第三方提供信息的方式、信息主体权利等方面明确了信息主体的信息保护措施。同时明晰了信息主体与信息征集机构的权利与义务，在征集个人信息时，明确告知个人如使用征信服务，个人需同意本政策条款;如果不同意隐私信息保护条款，则公司拒绝提供征信服务。

（二）明确告知收集个人信息的类型

益博睿在征集个人信息前明确告知信息主体采集的信息类型，主要包括个人信息和非个人信息。个人信息是指个人自有的身份标识信息;非个人信息是聚合信息及人口统计信息、IP地址和其他信息，非个人信息不会显示个人的特定身份标识。

益博睿在告知个人征集信息类型的同时，告知个人相关信息征集的渠道：益博睿在收集个人自有信息时，告知个人将在提交查询或注册服务时采集个人提供的信息，诸如姓名、地址和电子邮件地址等;而对于非个人信息，益博睿告知个人将通过访问个人网站历史浏览记录、服务器日志文件、电脑缓存文件及个人自愿提供的其他信息征集。

益博睿明确告知个人，如果其将任何非个人信息与个人信息相结合，如相结合的信息能准确识别个人特征，益博睿将个人和非个人信息相结合的信息视为个人信息而加以保护。

（三）告知人个如何使用其信息

益博睿明确说明了其利用个人信息的主要方法：一是用于提供个性化体验服务。根据个人的互联网访问记录、表现出的兴趣爱好，可能向个人提供个性化的征信服务，也可能提供与访问活动相关的信息或服务。二是用于电子邮件通信。益博睿使用个人信息向个人推送个人倾向和关注的相关新闻和信息。三是用于其他服务。益博睿利用个人资料和信息，向个人推送可能关注和有兴趣的产品、计划、服务和促销活动。四是用于大数据促销。益博睿根据个人信息用于其可能关注的互联网抽奖、竞赛和相关促销活动。五是用于益博睿内部业务目的。益博睿将个人信息用于数据分析和审計、信用报告等。此外，益博睿也可能使用个人信息来加强益博睿公司自身数据库的信息建设。

而对于非个人信息，益博睿则采取广泛使用的原则，向个人说明，由于非个人信息没有显著的个人特征，外部不能依赖非个人信息准确识别个人身份。因此，益博睿明确告知个人，非个人信息将可能用于任何目的，同时为保护信息主体合法权益，保留为任何目的向其他第三方披露此类非个人信息的权利。

益博睿同时也向个人说明，益博睿可以与其关联公司和合作伙伴一道，将个人信息与从其他来源收集的数据进行合成，在法律允许的范围内直接或间接的用于在线营销等方面。如果个人信息与其他来源收集的数据合成，益博睿将采取合理化的措施，以保证个人信息的完整性和质量。

（四）规范向第三方披露个人信息的行为

一是明确告知个人信息将可能向关联的子公司披露，以加强自身的数据库建设，更好地满足个人多样化的征信产品和服务需求。二是用于商业伙伴时，益博睿可能考虑政策及法律法规的影响，在允许的情况下将个人信息、非个人或非识别特征信息披露给第三方合作伙伴。三是用于研究调查等目的时，益博睿可能会向第三方披露个人信息。四是益博睿保留转让个人信息的权利。五是当用于执法、执行紧急情况时可能向第三方披露个人信息。六是如涉及个人明确的身份标识，益博睿会在去除明显的身份标识，对数据加工处理后再向第三方披露。

（五）给予个人信息主体充分的合法权利

一是给予及时更新个人信息的权利。益博睿向个人信息更新提供了更加快捷的信息更新渠道，个人电子邮件和数据报文方式均可实现个人信息的及时更新。二是对于电脑缓存文件提取个人信息的渠道，益博睿明确给予个人禁止的权利，如个人不愿通过缓存文件向益博睿提供个人信息，可在互联网游览网页时对益博睿选择禁止提取信息。三是在合理可行的情况下，给予信息主体禁止关联其他服务的权利，诸如在隐私保护等合理可行的情况下，个人信息不愿用于第三方服务机构、不愿用于营销组织时，均可请求在数据库中删除个人信息，

（六）出台保护个人信息的措施

一是设置信息保护防火墙，以防止个人信息的丢失、误用和更改。二是开通个人信息保护的渠道，一旦个人发现个人信息窃取、泄露等事件时均可第一时间联系益博睿。三是向个人说明可能产生信息泄露的链接及网站。

三、我国征信个人信息保护中存在的问题

（一）法律规范不完善。法律方面，我国对于个人信息保护仅依据《征信业管理条例》，但征信业管理条例对个人信息如何保护、如何杜绝和防范征信业务中侵犯个人信息的违法违规行为未有明确规定。从征信机构业务制度规范而言，征信机构面向社会公众、得到社会公众认可和接受的信息保护规范及业务规则尚处于空白，征信机构采集信息的业务规范多来自于自身业务的合规性和发展目标，由服务对象个人及社会公众群体、征信机构自律组织制订的约束征信机构的业务规范较为缺乏。

（二）个人信息加工、使用和保护的流程、方式、渠道不明确。当前，我国征信机构仅在采集个人信息时取得服务对象的授权同意，但信息加工的流程、被谁使用、如何保护、在何种渠道传输、各环节由何主体管理都处于不明确和信息主体不知情的境地，一定程度上造成了个人信息滥用、泛用、误用。

（三）个人信息保护主观意识不强、客观技术手段应用有待提升。作为信息来源的个人，缺乏对个人信息主动保护的意识，缺乏对损害个人信息监督举报的便捷通道。作为征信机构，对技术防护，如防火墙、物理隔离、信息冻结等手段应用不足。

四、益博睿信息保护对我国的启示

（一）完善个人信息保护的制度规范。建立个人信息保护的规范，明确征信机构、监管机构和个人信息主体的权利及义务，明确个人信息采集的范围和内容。

（二）披露个人信息采集的渠道、使用的方式。在建立个人信息披露保护的基础上，建立对个人信息采集、使用、加工全过程的保护机制，公开信息采集、加工、使用的机构及利用方式。

（三）规范第三方使用个人信息的行为。使用前充分征求个人信息主体的意见;使用中，加强对使用方式、使用内容、使用机构的公开披露;使用后，建立信息的及时更新、异议处理、更正的渠道。

（四）提高个人信息主体保护自身信息的意识。加强对公民个人信息保护的教育，借助互联网等公共渠道适时告知个人可能泄露个人信息的网站及链接，注意在生产生活行为中注意保护个人信息安全。

（五）健全個人信息保护的渠道。充分完善防火墙、密码保护等物理信息防护手段，同时发动个人建立诸如信息泄露举报投拆电话、检举举报等保护个人信息的机制。

参考文献：

[1]胡向腊.互联网个人信息保护的法律规制思考[J]. 武汉冶金管理干部学院学报，2019（4）.

[2]邓辉.个人信息保护行政监管的经验与启示[J].信息安全研究，2020（1）.

[3]史博文.金融科技领域下个人信息保护制度构建[J].上海立信会计金融学院学报，2020（5）.