刘璇  中国人民银行盐城市中心支行

摘要:近几年，公开倒卖个人信用信息、信用卡盗刷等信息泄露和金融犯罪事件频发。本文围绕目前我国个人信用信息安全管理的现状，总结发达国家在个人信息保护立法、网络技术手段、监管及信息泄露的救济制度等方面的国际经验，并结合我国实际提出相关政策建议。

关键词：个人；信用信息；安全管理 

一、我国个人信用信息安全管理现状

（一）个人信息安全保护法律体系缺乏系统性

我国尚无专门针对个人信息保护的法律，相关法律分散于各类法律文件，且实践适用性和操作性较弱。《刑法》、《民法总则》和《征信业管理条例》对侵犯个人信息安全、个人信息采集、使用及法律责任进行原则性规定，但均无具体实施细则。《征信机构信息安全管理规范》通过技术层面规范征信机构信息系统运行标准，仅为行业标准，效力层次低，相关法律责任不明。

（二）个人信用信息安全体系的威胁日益严峻

据媒体报道，近几年，黑客利用社保、网贷及理财等平台的系统漏洞，用病毒入侵等技术手段对网络进行攻击，银行信用卡、电子商务平台的客户数据泄露问题颇为严重，电话号码和行业资料公开销售屡见不鲜，给消费者带来信用卡盗刷、冒名办理网贷，进而影响个人信用记录等不良后果。

（三）个人信用信息安全保护监管缺乏统筹协调

由于缺少专门针对个人信息保护的法律，个人信息的监管主体缺乏明确的规定，诸多网贷、众筹融资、网络货币等处于多头和部分监管真空状态。相关机构在收集、使用客户信用信息后，未建立起保密、销毁信息等保护隐私的配套机制，导致客户的隐私信息易被泄露。

二、个人信用信息安全管理的国际经验

    （一）制定严格的个人信息保护方针

  欧盟《一般数据保护法案》（GDPR）明确对数据采集范围、信息主体的数据访问权和知情权、欧盟数据保护局的职责、数据保护官及信息泄露通知规则及行政处罚标准进行规定。日本株式会社日本信用信息中心（JICC）为防止信息泄露、消失和篡改，在组织管理制度上明确了人员的权限和责任，惩罚措施严厉，在物理上技术上注重数据加密措施、信息数据库的备份及防恶意链接  及数据传输时的信息安全管理。韩国政府《个人信息保护综合对策》要求个人使用身份证信息需要事先获得政府批准，在技术9个层面采取有效措施应对黑客攻击，降低了用户信息被盗的风险，同时增强了事后追责的可操作性。

    （二）建立严密的信息安全通道和网络协议

    美国在2011年实施《美国网络空间可信身份国家战略（NSTIC）》，建立“身份属性供应商”渠道，“身份属性供应商”提供一个公共接口进入网站，减少网络公司对用户信息的收集和保管，降低了用户信息泄露的风险。TransUnion（环联）的网站支持使用128位加密的浏览器，配套个人信息联机安全套接字层（SSL）协议，还每年通过独立的合规审计，以保障个人的信用信息数据隐私权。Equifax（艾克飞）通过使用预先安排的信息安全通道来请求和接收数据，并且定期检查和更新网络安全协议，以确保个人信息在任何时候都能保证安全。

    （三)提供信用报告监测和身份欺诈防范服务

    Equifax（艾克飞）2017年发生信息泄露事件，其采取了一系列应对措施，包括为客户提供为期一年的免费信用监控和身份盗窃保护计划，客户可以通过网络进行免费注册，该项目提供了诸如Equifax信用报告、信用文件监控、信用报告锁、社会保险号码监控以及高达100万美元的身份盗窃保险服务，并增添了信用冻结，欺诈预警等服务，并研发信用报告锁定升级产品，赋予消费者充分的信用报告访问控制权，实现自由、方便地锁定和解锁信用报告的功能。

    (四）统筹相关监管部门并明确职责

    日本在采用民间认证的自律机制来配合政府对个人信息保护案件的执法。美国各部门各司其职，美国联邦贸易委员会（FTC）是个人信息保护领域的主要监管部门，负责开展个人信息保护的执法活动；财政部负责金融机构和信息安全的统筹协调；中央情报局负责评估其他国家对美国网络信息系统的威胁；联邦调查局和司法部负责对网络及信息犯罪的调查和起诉工作。

    （五）完善个人信用信息泄露的救济制度

 欧盟的《一般数据保护法案》和美国绝大部分州制定的《数据泄露通知法》均明确规定了个人信息泄露的通知规则，要求信息处理者履行对信息主体及监督者的通知义务。此外，监督部门有权就信息泄露的相关责任机构开展调查、取证、事实认定并给予行政处罚、行政制裁及民事赔偿等法律。

三、对我国个人信用信息安全管理的启示

（一）细化信用信息安全保护细则并加强落实

一是信用信息安全保护细则的内容方面要分层次、分内容，重点在技术保密手段、数据信息处理、新产品开发、产品应用等环节细化要求，规定信息处理者的使各项征信监管工作有章可依，减少主观判定。二是增加数据保护认证机制，对符合规定的信息处理者进行认证，给授予认证标识。

（二）升级核心系统数据加密技术及反欺诈征信产品

一是加强数据加密设置。金融机构及征信机构等信用信息持有者应重点在物理上技术上注重数据加密处理措施、信息数据库的备份，以防止恶意链接，确保这种未经授权的访问能够被确定和保障数据传输时的信息安全。二是确保信用信息数据有效隔离。必须确保信息数据按照收集不同的目的进行隔离，避免信息高度集中带来的泄露风险。三是深入研发反欺诈征信产品。征信机构应为公众提供多样化信息安全服务。征信机构应开发和提供例如信用报告查询监控和通知、信用报告锁以及身份盗窃保险等服务。

（三）加大征信信息安全监管力度

一是建议人民银行牵头建立跨行业、跨部门的信用信息安全协调机制和信息安全保障工作机制，将业务部门、风险管理部门和科技部门职责融合贯穿，实行统筹管理。二是加强监督及检查力度。征信监管部门除了应强化征信数据质量监管手段、积极处理消费者异议外，还应督促相关机构等将信用信息安全纳入风险管理范畴，建立业务持续管理体系，做好信息安全预警和监测工作。

（四）健全数据泄露应急预案制度

一是建立数据泄露事故通知制度。通知的对象要包括监管机构及信息主体本人，明确通知的触发条件、通知的程序、影响评估等规则，还要明确数据泄露事件如果发生应当主动采取的应急和补救措施等。二是丰富信息泄露责任体系。要加大行政处罚，增加其他的行政制裁及民事赔偿，并加强对违规机构的事后跟踪监督，建立信息安全评估制度，防范风险再次发生。

参考文献：

[1]唐建,漆世濠：征信领域个人信息泄露的防范与救济制度研究[J].北京：征信,2017(11)

[2]冯秀芹.浅谈我国个人信息安全的法律保护[J].山西：法制博览,2017(02)