信用报告制度的完善及身份窃取行为的预防1.docx
《信用报告制度的完善及身份窃取行为的预防1.docx》由会员分享,可在线阅读,更多相关《信用报告制度的完善及身份窃取行为的预防1.docx(7页珍藏版)》请在冰豆网上搜索。
信用报告制度的完善及身份窃取行为的预防1
信用报告制度的完善及身份窃取行为的预防
(1)
这篇"信用报告制度的完善及身份窃取行为的预防"论文是程序自动抓取于互联网上,查看更多请点击:
论文频道:
lwxz/ 关键词:
信用报告/信用信息/身份窃取
内容提要:
随着信息手段的多样化、客户使用电子支付方式的规模化,客户身份被窃取的事件也屡屡不断地发生。
在电子商务过程中获得客户身份的企业,如何正当使用身份信息,在我国急待立法加以调整。
我们应借鉴美国信用报告制度,加强我国客户身份信息保护。
美国公平信用报告法,建立了比较完善的信用信息制度,其中涉及客户信用信息的获取、使用、转让等多方面的规则,这些规则有利于完善和健全我国的客户信息保护制度。
目前我国身份窃取事件日益增多,客户身份信息急待加以保护,因此,借鉴美国信用报告制度,加强并且完善信用报告制度是目前解决身份信息滥用的当务之急。
一、美国公平信用报告法的发展
美国《公平信用报告法》FCRA(FairCreditRe-portingAct)最初在1970年通过。
1989年开始,美国讨论FCRA的现代化问题,并且在1996年形成了《客户信用报告改革法》(ConsumerCreditReportingRe-formAct),该法严格限制债权人和其他人对客户信用报告机构完成的数据的使用。
这一法律修订案于1997年10月1日生效。
公平信用报告法主要规定了客户在信贷调查时,有权要求告知信用调查的性质和范围、正在编辑的信息种类以及收到报告的人员姓名等。
客户必须在限定时间内对调查请求作出响应。
客户有权利要求任何错误的或误解的材料重新调查,并且,如果未经核实,就必须从档案中删除。
如果对报告中某部分正确性有怀疑,客户有权利在档案中存入他们自己的一百字左右的声明,来阐明他们关于这件事的立场,这些声明将成为永久记录的一部分。
客户有权充分了解任何一家信用报告机构对自己信用状况的评价,并且具有对不实负面信息的申诉权利。
当事人有权取得自身的资信调查报告和复本,其他合法使用客户资信调查报告的机构或人必须符合法定条件,否则即使当事人同意也属违法行为。
[1]
1996年,国会又出台两个法令,分别修改和补充了公平信用报告法,它们是智能授权法和债务催收改进法。
前者在原法律规定的合法取得客户信用报告的五种情况中,授权联邦调查局可以侦察目的为由取得所需的客户信用调查报告;后者授权联邦政府机构可以在债务催收活动中,根据需要取得客户信用调查报告。
[1]
XX年,国会又对FCRA进行了修订,制定了《公平和正确信用交易法》(FairandAccurateCreditTransactionsAct/FACT),增加了客户改进信用报告正确性,预防身份窃取,限制金融机构使用共享的敏感信息推销金融产品。
该法增加规定,从其他机构获得客户信用报告信息的金融机构,不能使用这一信息对客户进行市场行销,除非金融机构明确显著地向客户披露这一信息,并且给予客户选择接受这一市场行销的机会(注:
FACTAct§214)。
FACT的很多规定,涉及披露信用评分、向信用报告机构提供的信息的正确性、客户对信息提供者直接提出异议的权利、提供给信用报告机构的负面消息的披露、风险等级的披露、处理包含了欺诈警告的客户信用报告的程序,以及向客户提供被偷盗的文件的规则。
此外,该法还规定每年信用报告机构提供一个免费的信用报告,并且要在合理的费用基础上,保证客户对信用评价的访问。
[2]
美联储的规则V是为了执行FCRA而制定的,XX年7月16日,该规则进行了修订。
二、客户信用报告的相关法律关系
(一)公平信用报告法的适用
公平信用报告法主要适用于调整“客户信用报告机构”的有关行为,以及对“客户信用报告”的使用。
“客户信用报告机构”包括“完全或部分地从事收集或评估客户信用信息或其他信息,以便将客户信用报告提供给第三方当事人”的机构,不论是收费性质的或合作性质的(注:
FCRA§603(d),FCRA§603(f),15USC§1681a(f))。
“客户信用报告”一般是“由客户信用报告机构做出的有关客户信誉、信用级别、信用度、品质、一般名誉、个人特性或生活方式的报告,它全部或部分地用作或将用作确认客户是否适合获得客户信用、受雇或其他本法规定的目的”(注:
FCRA§603(d),15USC§1681a(d))。
因此,如果一家公司在内部为自己的商业活动使用信用信息,不向第三方当事人提供,它不构成“客户信用报告机构”。
如果它只向第三方当事人提供并不属于“客户信用报告”的信息或文件,它也不构成“客户信用报告机构”。
[2]
(二)客户信用报告的内容
按照FCRA的规定,客户信用报告机构不可以在客户信用报告中包含如下信息:
10个月之前破产案件,七年前的民事诉讼、民事判决和逮捕记录,七年前的已支付的税务案件,七年前的用于盈亏收款或付费的帐户,七年前的其他不利的信息,但刑事犯罪记录除外;前款规定的排除,不适用于如下目的的使用:
一个主要金额超过150000美元的贷款交易;价值150000美元的人寿保险;年薪达75000美元的个人雇用(注:
FCRA§605(a))。
如果客户对客户信用报告的有关信息存在异议,并且通知了客户信用报告机构,客户信用报告机构必须在每一份客户信用报告中包含这一客户异议(注:
FCRA§605(f))。
当信用报告的使用者做出一个不利的信用判断,使用者必须将这一判断通知客户。
使用者不需要为不利的信用判断解释原因,也不需要为客户公开文件,以使客户了解什么信息实质上导出这一不利的信用判断(注:
FCRA§615(a),15USC§1681m(a))。
当不利的信用判断部分地从信用报告之外的信息源得出,则要求使用者将这一信息本身告知客户,但不必告知信息的来源。
在这种情况下,使用者必须告知客户有知晓这种信息的权利(注:
FCRA§615(b),15USC§1681m(b))。
客户可以选择将客户的姓名和地址从客户信用报告机构提供的目录中删除,并且客户应当通知客户信用报告机构,这一请求在5日后生效,有效期限为5年(注:
FCRA§604(e))。
应当注意的是,在形成客户信用历史的过程中使用的那些信息,可以用于开发其他产品,诸如欺诈预防产品、信用风险管理产品等。
(三)客户信用报告的使用目的
在FCRA第604和第625条中,列举了所有客户信用报告可以使用的情况,甚至包括不是为了建立信用目的的使用。
客户信用报告机构只能在如下情况下提供客户信用报告:
(1)按照有权发出指令的法院的指令,或按照在联邦大陪审团前进行的诉讼程序中发出的传票,而提供客户信用报告。
(2)按照客户的书面指示而提供。
(3)向有理由相信具有如下目的的人提供:
为信用交易或信用延展、或检查、收集客户帐户的信息、雇用目的、涉及该客户的保险业务、判断客户是否适宜接受由政府机构批准的许可或其他救济,该政府机构按照法律有权审查申请人的金融能力或情况;作为潜在的投资者或服务提供者,或现有的保险者,希望使用这些信息,用于评估或估价现有的贷款责任的信用或预付风险;其他对这些信息有合法商业需要的人,该人将信息用于由客户发起的商业交易,或者用于检查帐户,判断客户是否继续符合帐户条款。
(4)按照州或地方儿童抚养执行机构的负责人的要求而提供,如果该机构向客户信用报告机构证明:
客户信用报告对于判断个人做出儿童抚养支付的能力或判断这种支付的适当水平是必需的;客户和该儿童的父子(女)关系;这些机构至少在十天前通知客户,将要求该客户信用报告,并且客户信用报告将只被用于儿童抚养目的,不会用于其他民事、行政或刑事诉讼中,或用于其他目的(注:
FCRA§604(a))。
在为雇用目的而提供客户信用报告时,使用该客户信用报告的人,要向客户信用报告机构保证来自客户信用报告的信息将不会被用于违反联邦或州的公平雇用机会法或规则,并且在该报告被获得或导致被获得之前,要向客户做出清楚和显著的书面披露,披露该报告将用于雇用目的;客户也要以书面形式,授权由该客户信用报告机构提供报告。
如果为雇用目的使用客户信用报告,在全部或部分地以该报告为基础,作出对客户不利的决定之前,该机构应当向客户提供报告的复制件(注:
FCRA§604(b))。
(四)对客户的披露及相关问题
信用报告机构应当告知客户如下信息:
(1)披露客户信用报告中的所有信息,但有关信用评分或其他风险评分或对客户的预测的信息除外;
(2)信息的来源,但是,用于构成客户信用报告的单独获得的信息来源,以及实际用于其他目的的信息来源除外;(3)在大多数情况下,如果接受报告用于雇用目的,在客户申请的两年内;如果接受报告用于其他目的,在客户申请的一年内,每一个客户信用报告的使用者的身份标识(姓名、地址和电话号码)(注:
FCRA§609,15USC§1681g)。
信用评分向客户进行披露时,要按照客户对信用评分的要求,向客户提供一份报告书,指出信息和信用评分模式可能不同于由贷款人所用的信用评分,以及一份包含下列内容的通知:
客户当前的信用评分或以前为信用延展目的的信用评分;在所用的信用评分模式下,可能的信用评分范围;在所用的信用评分模式下,对客户信用评分有影响的所有关键因素;信用评分产生的时间,以及做出信用评分的人或机构的名称(注:
FCRA§609(f))。
客户有权利对信息提出异议,一般来说,有权要求信用报告机构调查有关的异议。
作为调查的结果,信用报告机构必须删除有关的错误或在文件中写明有关的争议点。
信用报告机构必须应客户的请求,将删除的情况或争议点向客户指定的接受者发送,以挽救客户的信誉。
信用报告机构必须向客户告知提出异议的权利(注:
FCRA§611,15USC§1681i)。
客户还可以接受他的客户信用报告的复制件,并且在很多情况下这种复制件是免费的(注:
FCRA§§609(a),612(a)(b)(c);12USC§§1681g(a),1681j(a)(b)(c).)。
例如,失业的客户在寻找工作时、寻求社会救济金以及客户相信他受到欺诈时,都有权利要求客户信用报告的免费复制件(注:
FCRA§612(b)(c);12USC§1681j(b)(c))。
三、身份窃取行为的预防
为预防身份窃取行为,公平信用报告法主要采取两种措施:
一是警报,二是阻止来自身份窃取行为获得的信息的使用。
警报又分为两种:
一次性欺诈警报(One-callFraudAlerts),二是长期警报(ExtendedA-lerts)。
一次性欺诈警报,是指按照客户的要求,如果其以善意声称,怀疑客户已经或正成为欺诈或相关犯罪行为(包括身份窃取)的受害人,客户信用报告机构应当:
(1)在该客户的文件中包含一个欺诈警报,并且与使用这一文件而产生的信用评分一道提供这一警报,时间上从这一要求之日起不超过90天,除非该客户要求在这一期限届满之前取消这一欺诈警报,并且客户信用报告机构收到这一取消要求的适当证据;
(2)向其他客户信用报告机构提及这一欺诈警报。
在客户信用报告机构将欺诈警报包含在客户文件中的情况下,客户信用报告机构应当:
向客户披露,客户有权按照第612(d)条规定,要求客户文件的免费复制件;并且在披露之后不超过三个工作日内,向客户提供按照第609条所要求的全部披露,不向客户收取费用(注:
FCRA§605(A)(a))。
长期警报是按照客户的要求,客户信用报告机构应当:
(1)在客户文件中包含这一欺诈警报,并且与使用这一文件而产生的信用评分一道提供这一警报,时间上从这一要求之日起为七年时间,除非该客户要求在这一期限届满之前取消这一欺诈警报,并且客户信用报告机构收到这一取消要求的适当证据;
(2)在要求开始之后的五年时间内,将客户从客户信用报告机构制作的客户目录中取消;并且(3)向其他客户信用报告机构提及这一长期警报。
在客户信用报告机构将长期欺诈警报包含在客户文件中的情况下,客户信用报告机构应当向客户披露,客户有权按照第612(d)条规定,在申请之后的12个月内,要求客户文件的两份免费复制件;在披露之后不超过3个工作日内,向客户提供按照第609条所要求的全部披露,不向客户收取费用(注:
FCRA§605(A)(b))。
如果要求警报的客户指定了电话号码,用以身份校验目的,在授权新的贷款计划或信用延展之前,这一客户信用报告的使用者应当使用这一电话号码或采取合理的措施与客户联系,以校验客户的身份并且确定是否批准新的贷款计划,这不构成身份窃取(注:
FCRA§605(A)(h)
(1)(B)(ii))。
客户信用报告机构对客户信用报告进行转售时,应当包含由其他客户信用报告机构发出的欺诈警报(注:
FCRA§605(A)(f))。
对来自身份窃取行为的信息使用的阻止,是使客户信用报告机构负有阻止在客户文件中报告这些信息的责任,客户信用报告机构对客户阻止请求的责任,应当是阻止这一信息在今后的使用。
如果客户视这些信息来自于声称的身份窃取行为,在收到这一信息之日起不超过4个工作日,客户信用报告机构应当迅速通知信息的提供者:
该信息可能来自于身份窃取;身份窃取报告已经制作为文件;客户按照本条规定,已经做出阻止使用的请求;以及阻止的生效日期(注:
FCRA§605(B)(a)(b))。
客户信用报告机构可以解除这种阻止,如果客户信用报告机构合理地确定:
信息被错误阻止使用,或客户错误地要求阻止;信息被阻止或客户要求阻止,是基于对事实的误传;客户因阻止交易或交易而获得了商品、服务或金钱(注:
FCRA§605(B)(c))。
四、我国信用报告制度的现状
目前,中国人民银行先后制定了《个人信用信息基础数据库管理暂行办法》、《中国人民银行关于落实<个人信用信息基础数据库管理暂行办法>有关问题的通知》、《个人信用信息基础数据库信用报告本人查询规程》、《个人信用信息基础数据库异议处理规程》和《中国人民银行信用评级管理指导意见》。
各地也制订了个人信用征信管理的地方规定。
XX年12月,中国人民银行负责建立的全国统一的个人信用信息基础数据库在全国部分金融机构试运行。
XX年8月31日,全部国有商业银行、股份制商业银行、城市商业银行实现全国联网。
XX年1月1日,信用信息基础数据库正式投入运行。
XX年11月,在中国人民银行下建立了中国人民银行征信中心,征信中心负责信用信息基础数据库的日常运行和管理。
商业银行作为信息提供人,按照中国人民银行发布的信用信息数据库标准及其有关要求,向信用数据库报送企业和个人信用信息。
商业银行在办理相关业务时,可以向信用信息基础数据库查询企业和个人信用报告。
人民银行征信中心采集数据的权威性、时效性都要强于地方征信公司。
人民银行征信系统和地方征信公司目前处于相互补充并且相互竞争的状况。
同时,暂行办法还规定,商业银行不得向未经信贷征信主管部门批准建立或变相建立的信用信息数据库,提供个人信用信息。
信用信息只能用于如下目的:
(1)审核个人贷款申请;
(2)审核个人贷记卡、准贷记卡申请;(3)审核个人作为担保人;(4)对已发放的个人信贷进行贷后风险管理;(5)受理法人或其他组织的贷款申请或其作为担保人,需要查询其法定代表人及出资人信用状况。
为了更好地保护我国信用信息安全,XX年2月28日,我国《刑法修正案》(七)增加了《刑法》第253条之一,规定:
“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
”
XX年10月13日,国务院法制办公布《征信管理条例》(征求意见稿),该征求意见稿对于信用信息的界定、类型,征信机构设立标准、征信机构收集、保存、加工、提供信用信息的限制条件、不得收集的个人信息类型等作出了详细规定,非常有特色的是,该征求意见稿意图建立“中国征信中心”,负责全国统一信用信息基础数据库的建设、运行和管理,并且对其经营方式进行了较为详细的规定。
目前该《征信管理条例》正在审议完善当中。
从我国信用信息管理体制来看,我国信用信息立法和管理存在着如下几点问题:
(一)信用信息内容薄弱,质量不高
目前,我国个人信用信息只局限于自然人身份识别信息、职业和居住地址等基本信息、商业银行提供的企业和个人在贷款、信用卡、准贷记卡、担保等信用活动中形成的交易记录。
信用信息数据库更加侧重于金融信用领域的信息资料,但是通过这些数据库并不能形成全面明晰的客户信用评价。
在信用信息的收集中,也欠缺不可以收集项目的详细清单,对于不应进行收集的客户敏感信息并未形成比较明确的立法规范,各地征信机构掌握标准不统一。
目前信用信息的征信范围较窄,信息时效性不高。
因此,信用信息资料质量和范围的局限,必将影响着今后对客户信用水平的客观评价。
(二)征信服务中心的职能单一、整合性不足
目前,我国主要的征信服务机构,是由中国人民银行信贷征信主管部门批准建立的征信中心。
该征信中心的职能过于单一,只负责采集、整理、保存金融方面的信用信息,为商业银行和个人提供信用报告查询服务,为货币政策制定、金融监管和法律、法规规定的其他用途提供有关信息服务。
此外,在工商、海关、法院、公安、统计、质监、医疗、零售业、人才市场等部门,也保存着大量个人信用信息。
这些征集机构行政关系复杂、职权不清,非常重要的是他们之间的协调共享机制并未建立起来,导致对于客户信用信息的管理混乱、多元收集重复收集问题比较突出,这也增加了身份窃取的风险。
由于各部门等级不同、地域不同,难以建立全国统一高效的信用征集机构,无法对客户信用信息进行整合,并且以此为基础形成客户信用的评价结果。
(三)客户信用信息使用目的单一
目前,客户信用信息的使用目的仅局限于审核贷款、信用卡、准贷记卡申请;审核个人作为担保人的信用状况;对已发放的个人信贷进行贷后风险管理,以及查询其法定代表人及出资人信用状况。
对金融机构收集的信用信息只能由商业银行使用,不能由其他机构使用。
客户信用信息的使用还仅仅局限于金融业务方面,信用报告在通信、就业、安全认证、司法部门强制执行等多样化的使用形式,还未完全充分开发和应用起来。
(四)客户信用信息的保护水平较低
目前,我国关于客户信用信息的保护,还处于比较混乱的状态。
各种信用征集机构有利用自己收集的信息的冲动,金融机构使用共享信息进行市场行销,也是今后越来越普遍的现象。
我国相关信用信息的立法仅规定了根据个人申请提供其本人信用报告的情况,对于信用信息的商业性利用、共享等,还欠缺明确详尽的规定,这导致了客户信用信息保护水平较低。
(五)欠缺身份窃取行为及其预防措施
身份窃取行为及其预防措施,是客户信用报告规定系统中非常重要的环节。
在美国《公平信用报告法》刚颁布之时,也没有对这一问题进行规定。
在XX年,则专门制定了《公平和正确信用交易法》,预防身份窃取行为。
我国对于身份窃取行为,未在《个人信用信息基础数据库管理暂行办法》中体现出来,这不符合信息社会对身份保护的时代要求。
(六)《刑法修正案》(七)相关规定的局限
《刑法修正案》(七)的相关规定,对于单位范围的限定过于狭窄,仅仅将侵犯公民个人信息罪的主体限定于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,这一规定并不能完全涵盖目前众多的信用征集机构的种类。
将受到侵害的“公民个人信息”仅限于在履行职责或提供服务过程中获得的公民个人信息,范围过于狭窄。
如果不是在履行职责或提供服务过程中获得的公民个人信息,并不能适用这一规定,这会使许多信用征集机构利用该漏洞免责。
此外,“非法提供”的概念也比较模糊,因为我国相关信用信息的法律规定并未完全充分地明确合法提供的类型,因此“非法提供”就难以在实践中加以明确适用。
最后,该条规定仅限于保护公民个人信息,对于企业信用信息保护并不能加以适用,而企业信用信息的保护同样重要而迫切。
五、我国客户信用信息制度的完善与身份窃取的预防
(一)建立信息征管机构的统一信息协调机制
应当看到,目前我国客户信用信息的征信机构非常零散、不系统,缺乏统一的协调共享机制。
目前最主要的中国人民银行征信中心,虽然其数据库庞大而权威,但也仅仅局限于金融业务中的信息,有些信息并不如地方征信机构更加全面、更有针对性。
目前我国大多数的征信机构,长期处于多元化、各自为政,以行业为主导的特点非常明显,因此导致长期以来征信机构之间存在着信息分割、信息获取与共享困难等问题,也导致各征信机构各自形成自己的信用评估体系,久而久之必将导致信用评估标准难以统一、评估报告矛盾冲突多见的问题。
《征信管理条例》(征求意见稿)意图建立一个统一的征信机构,但有许多学者认为,在中国建立大一统的征信机构目前还为时过早。
《征信管理条例》所试图建立的中国征信中心本身的定位还存在许多争议,中国征信中心能否担当起客户信用征管的核心机构,还有许多难题需要解决。
《征信管理条例》(征求意见稿)确认了征信中心作为不以营利为目的的国家基础数据库运行维护者的法律地位,相应地明确了金融机构向征信中心提供客户信用信息的法定义务,赋予征信中心自行收集个人、法人及其他组织的证券、期货、保险、外汇等金融信用信息和相关信用信息、依法与行政机关、司法机关以及法律、法规授权的具有管理公共事务职能的组织开展信息共享权利,并规定其收集个人信用信息时不需要征得信息主体同意,数据库中的信息,也不允许个人删除,从而保证了征信中心充分发挥其公共征信机构的市场角色。
但是,《征信管理条例》的这一设想未必能够实现,其主要原因就在于目前我国信用征集机构过多,难以通过中国征信中心这一机构的建立就能加以协调统一,中国征信中心的建立实质上需要以政府主导的信用信息协调机制作为前导。
建立专门的客户信用信息协调机制的益处在于:
提高客户信息管理的效率,在暂时无法建立统一的征信中心的前提下,可以通过该机制将众多的征信机构的工作加以整合。
同时,可以提高受理身份窃取的咨询、投诉、调查及处理的效率。
以一个机构为主导,辐射其他组织,将全国征信机构的数据库和相关工作成果加以整合,是建立高效、统一、权威的中国征信中心的基础。
此外,客户信用信息协调机制的建立,可以将一个征信机构发出的身份窃取警报,通过该机制及时向其他征信机构通告。
这样可以将不同来源的身份窃取事件加以共享,例如发生在邮政、社保、税收等领域内的身份窃取事件,可以与金融、通信等领域中的个人信用记录相关联,从而建立灵活高效的客户信用保护体系。
在美国,也是由联邦贸易委员会与美国三大信用报告机构密切配合,甚至与联邦调查局、邮政局、社会安全局、国税局等部门紧密联合,建立了信息共享机制。
因此,在目前信用征信机构比较分散的状况下,建议对客户信息以目前已有的信用征信机构为主导,建立客户信用信息统一协调机制,加强信息主管机构的统一管理,并且为此制订可操作性的法律规范。
(作者:
未知本文来源于爬虫自动抓取,如有侵犯权益请联系service@立即删除)
升级会员 