银行违反征信业管理条例将面临最高50万元罚款
□ 本报记者 李立
在这个信息爆炸的时代,如何保护个人信息安全成为了时代的命题。
国务院近日颁布的《征信业管理条例》(以下简称《条例》),凸显在征信业务活动中切实保护个人信息安全,剑指不当采集和滥用公民信息现象。这个定于今年3月15日起施行的《条例》,无疑为消费者个人信息保护又披铠甲。
根据《条例》,非法获取信息、采集禁止采集的个人信息、未经同意采集个人信息、违法提供或者出售信息、因过失泄露信息、逾期不删除个人不良信息、未按规定对异议信息进行核查和处理的,征信机构、金融信用信息基础数据库运行机构将面临最高50万元罚款,直接责任人面临最高10万元罚款,造成损失的依法承担民事责任,构成犯罪的依法追究刑事责任。
指纹收入等禁限采集
到银行开户办卡,很多人都不会去仔细阅读银行要求签字的协议。而这其中就有一行小字,等于授权银行可以把你的信息给征信机构使用。对此绝大多数人基本注意不到。
今年3月15日起,征信机构以及包括包括银行、保险等机构,采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。这是《条例》提出的明确要求。
事实上,大家还很关心,个人征信服务如何做到将涉及个人隐私数据与合理的征信数据加以区分,对此《条例》给予了明确规范。
《条例》规定,除依法公开的个人信息外,采集个人信息应当经信息主体本人同意,未经同意不得采集;向征信机构提供个人不良信息的,应当事先告知信息主体本人;除法律另有规定外,他人向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途,征信机构不得违反规定提供个人信息。
征信机构禁止采集的个人信息包括:宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
《条例》还明确,征信机构不得采集个人的收入、存款、有价证券、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。
不良信息保存期5年
《条例》规定,征信机构对个人不良信息的保存期限不得超过5年,超过的应予删除,否则将严格追究法律责任。
那么,不良信息是哪些?《条例》指出,对信息主体信用状况构成负面影响的信息为不良信息,如信息主体在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务的信息,对信息主体的行政处罚信息,人民法院判决或者裁定信息主体履行义务以及强制执行的信息,以及国务院征信业监督管理部门规定的其他不良信息。
就不良信息有效期五年的规定,中央财大中国银行研究中心主任郭田勇[微博]提出,希望未来能够有一个更加细化的规定。他认为,只有区别不同的违信情况,设定不同的不良信息保留期,才能对恶意违信者更加具有惩戒效应。
“比如,你的银行卡透支了,过期忘交钱了,这种无意不还和有些人故意不还,应该是不一样的吧。再有,欠20万元和欠200元,是不是也应该有所差异。”他说。
据介绍,国际上一般对个人不良信息都设定了保存时限,但期限不同。如英国规定保留6年;韩国规定保留5年;美国规定,个人破产信息保留10年,其他负面信息保留7年,15万美元以上的负面信息不受保存期限限制。我国香港地区的规定是,个人破产信息保留8年,败诉信息保留7年。
受理投诉30日内答复
《条例》规定,个人对本人信息享有查询权,每年可免费两次向征信机构查询自己的信用报告。
如果查询后认为信息有误、有遗漏怎么办?《条例》还赋予了当事人异议权和投诉权。
个人可以向征信机构或信息提供者(指向征信机构提供信息的单位和个人,以及向金融信用信息基础数据库提供信息的单位)提出异议,要求更正。异议受理部门应在受理后20日内,将处理结果书面答复异议人。
个人认为合法权益受到侵害的,可以向人民银行及其派出机构投诉,受理投诉的机构应在30日内书面答复投诉人。
除了对征信机构,《条例》对银行、保险等信息提供者、信息使用者侵犯个人权益的,同样规定了严格的法律责任。
社会普遍认为,在目前众多的个人信用信息泄露事件中,银行、券商、保险等机构都充当了重要角色,这些机构既是个人信用信息的主要采集者、使用者,同时也是个人信息泄露的源头。
比如,在一些地方,银行与保险之间交换个人信息和信用记录并不鲜见。合作银行只需提供一份名单,月均存款余额万元以上客户的,加上电话,保险公司就可针对不同客户推销不同产品,后再根据实际销售结果跟银行分成。
《条例》明确,银行等向金融信用信息基础数据库提供或者查询信息的机构,如违法提供或者出售信息、因过失泄露信息、未经同意查询个人信息等,将面临最高50万元罚款,直接责任人面临最高10万元罚款,有违法所得的没收,造成损失的依法承担民事责任,构成犯罪的依法追究刑事责任。
同时,银行等向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息,未事先告知信息主体本人,或者未按照约定的用途使用个人信息,情节严重或者造成严重后果的,将面临最高20万元罚款,并承担相应的民事、刑事责任。