1、信用报告制度的完善及身份窃取行为的预防关键词: 信用报告/信用信息/身份窃取 内容提要: 随着信息手段的多样化、客户使用电子支付方式的规模化,客户身份被窃取的事件也屡屡不断地发生。在电子商务过程中获得客户身份的企业,如何正当使用身份信息,在我国急待立法加以调整。我们应借鉴美国信用报告制度,加强我国客户身份信息保护。 美国公平信用报告法,建立了比较完善的信用信息制度,其中涉及客户信用信息的获取、使用、转让等多方面的规则,这些规则有利于完善和健全我国的客户信息保护制度。目前我国身份窃取事件日益增多,客户身份信息急待加以保护,因此,借鉴美国信用报告制度,加强并且完善信用报告制度是目前解决身份信息滥用
2、的当务之急。一、美国公平信用报告法的发展美国公平信用报告法FCRA(Fair Credit Re-porting Act)最初在 1970 年通过。1989 年开始,美国讨论 FCRA 的现代化问题,并且在 1996 年形成了客户信用报告改革法 (Consumer Credit Reporting Re-form Act) ,该法严格限制债权人和其他人对客户信用报告机构完成的数据的使用。这一法律修订案于 1997 年 10 月 1 日生效。公平信用报告法主要规定了客户在信贷调查时,有权要求告知信用调查的性质和范围、正在编辑的信息种类以及收到报告的人员姓名等。客户必须在限定时间内对调查请求作出响
3、应。客户有权利要求任何错误的或误解的材料重新调查,并且,如果未经核实,就必须从档案中删除。如果对报告中某部分正确性有怀疑,客户有权利在档案中存入他们自己的一百字左右的声明,来阐明他们关于这件事的立场,这些声明将成为永久记录的一部分。客户有权充分了解任何一家信用报告机构对自己信用状况的评价,并且具有对不实负面信息的申诉权利。当事人有权取得自身的资信调查报告和复本,其他合法使用客户资信调查报告的机构或人必须符合法定条件,否则即使当事人同意也属违法行为。11996 年,国会又出台两个法令,分别修改和补充了公平信用报告法,它们是智能授权法和债务催收改进法。前者在原法律规定的合法取得客户信用报告的五种情
4、况中,授权联邦调查局可以侦察目的为由取得所需的客户信用调查报告;后者授权联邦政府机构可以在债务催收活动中,根据需要取得客户信用调查报告。12003 年,国会又对 FCRA 进行了修订,制定了公平和正确信用交易法 (Fair and Accurate CreditTransactions Act/FACT) ,增加了客户改进信用报告正确性,预防身份窃取,限制金融机构使用共享的敏感信息推销金融产品。该法增加规定,从其他机构获得客户信用报告信息的金融机构,不能使用这一信息对客户进行市场行销,除非金融机构明确显著地向客户披露这一信息,并且给予客户选择接受这一市场行销的机会(注:FACT Act214)
5、 。FACT 的很多规定,涉及披露信用评分、向信用报告机构提供的信息的正确性、客户对信息提供者直接提出异议的权利、提供给信用报告机构的负面消息的披露、风险等级的披露、处理包含了欺诈警告的客户信用报告的程序,以及向客户提供被偷盗的文件的规则。此外,该法还规定每年信用报告机构提供一个免费的信用报告,并且要在合理的费用基础上,保证客户对信用评价的访问。2美联储的规则 V 是为了执行 FCRA 而制定的,2004 年 7 月 16 日,该规则进行了修订。二、客户信用报告的相关法律关系(一)公平信用报告法的适用公平信用报告法主要适用于调整“客户信用报告机构”的有关行为,以及对“客户信用报告”的使用。 “
6、客户信用报告机构”包括“完全或部分地从事收集或评估客户信用信息或其他信息,以便将客户信用报告提供给第三方当事人”的机构,不论是收费性质的或合作性质的(注:FCRA603(d) ,FCRA603(f) ,15 USC1681a(f) ) 。 “客户信用报告”一般是“由客户信用报告机构做出的有关客户信誉、信用级别、信用度、品质、一般名誉、个人特性或生活方式的报告,它全部或部分地用作或将用作确认客户是否适合获得客户信用、受雇或其他本法规定的目的”(注:FCRA603(d) ,15 USC1681a(d) ) 。因此,如果一家公司在内部为自己的商业活动使用信用信息,不向第三方当事人提供,它不构成“客户
7、信用报告机构” 。如果它只向第三方当事人提供并不属于“客户信用报告”的信息或文件,它也不构成“客户信用报告机构” 。2(二)客户信用报告的内容按照 FCRA 的规定,客户信用报告机构不可以在客户信用报告中包含如下信息:10 个月之前破产案件,七年前的民事诉讼、民事判决和逮捕记录,七年前的已支付的税务案件,七年前的用于盈亏收款或付费的帐户,七年前的其他不利的信息,但刑事犯罪记录除外;前款规定的排除,不适用于如下目的的使用:一个主要金额超过 150000 美元的贷款交易;价值 150000 美元的人寿保险;年薪达 75000 美元的个人雇用(注:FCRA605(a) ) 。如果客户对客户信用报告的
8、有关信息存在异议,并且通知了客户信用报告机构,客户信用报告机构必须在每一份客户信用报告中包含这一客户异议(注:FCRA605(f) ) 。当信用报告的使用者做出一个不利的信用判断,使用者必须将这一判断通知客户。使用者不需要为不利的信用判断解释原因,也不需要为客户公开文件,以使客户了解什么信息实质上导出这一不利的信用判断(注:FCRA615(a) ,15 USC1681m(a) ) 。当不利的信用判断部分地从信用报告之外的信息源得出,则要求使用者将这一信息本身告知客户,但不必告知信息的来源。在这种情况下,使用者必须告知客户有知晓这种信息的权利(注:FCRA615(b) ,15 USC1681m(
9、b) ) 。客户可以选择将客户的姓名和地址从客户信用报告机构提供的目录中删除,并且客户应当通知客户信用报告机构,这一请求在 5 日后生效,有效期限为 5 年(注:FCRA604(e) ) 。应当注意的是,在形成客户信用历史的过程中使用的那些信息,可以用于开发其他产品,诸如欺诈预防产品、信用风险管理产品等。(三)客户信用报告的使用目的在 FCRA 第 604 和第 625 条中,列举了所有客户信用报告可以使用的情况,甚至包括不是为了建立信用目的的使用。客户信用报告机构只能在如下情况下提供客户信用报告:(1)按照有权发出指令的法院的指令,或按照在联邦大陪审团前进行的诉讼程序中发出的传票,而提供客户
10、信用报告。 (2)按照客户的书面指示而提供。 (3)向有理由相信具有如下目的的人提供:为信用交易或信用延展、或检查、收集客户帐户的信息、雇用目的、涉及该客户的保险业务、判断客户是否适宜接受由政府机构批准的许可或其他救济,该政府机构按照法律有权审查申请人的金融能力或情况;作为潜在的投资者或服务提供者,或现有的保险者,希望使用这些信息,用于评估或估价现有的贷款责任的信用或预付风险;其他对这些信息有合法商业需要的人,该人将信息用于由客户发起的商业交易,或者用于检查帐户,判断客户是否继续符合帐户条款。 (4)按照州或地方儿童抚养执行机构的负责人的要求而提供,如果该机构向客户信用报告机构证明:客户信用报
11、告对于判断个人做出儿童抚养支付的能力或判断这种支付的适当水平是必需的;客户和该儿童的父子(女)关系;这些机构至少在十天前通知客户,将要求该客户信用报告,并且客户信用报告将只被用于儿童抚养目的,不会用于其他民事、行政或刑事诉讼中,或用于其他目的(注:FCRA604(a) ) 。在为雇用目的而提供客户信用报告时,使用该客户信用报告的人,要向客户信用报告机构保证来自客户信用报告的信息将不会被用于违反联邦或州的公平雇用机会法或规则,并且在该报告被获得或导致被获得之前,要向客户做出清楚和显著的书面披露,披露该报告将用于雇用目的;客户也要以书面形式,授权由该客户信用报告机构提供报告。如果为雇用目的使用客户
12、信用报告,在全部或部分地以该报告为基础,作出对客户不利的决定之前,该机构应当向客户提供报告的复制件(注:FCRA604(b) ) 。(四)对客户的披露及相关问题信用报告机构应当告知客户如下信息:(1)披露客户信用报告中的所有信息,但有关信用评分或其他风险评分或对客户的预测的信息除外;(2)信息的来源,但是,用于构成客户信用报告的单独获得的信息来源,以及实际用于其他目的的信息来源除外;(3)在大多数情况下,如果接受报告用于雇用目的,在客户申请的两年内;如果接受报告用于其他目的,在客户申请的一年内,每一个客户信用报告的使用者的身份标识(姓名、地址和电话号码) (注:FCRA609,15 USC16
13、81g) 。信用评分向客户进行披露时,要按照客户对信用评分的要求,向客户提供一份报告书,指出信息和信用评分模式可能不同于由贷款人所用的信用评分,以及一份包含下列内容的通知:客户当前的信用评分或以前为信用延展目的的信用评分;在所用的信用评分模式下,可能的信用评分范围;在所用的信用评分模式下,对客户信用评分有影响的所有关键因素;信用评分产生的时间,以及做出信用评分的人或机构的名称(注:FCRA609(f) ) 。客户有权利对信息提出异议,一般来说,有权要求信用报告机构调查有关的异议。作为调查的结果,信用报告机构必须删除有关的错误或在文件中写明有关的争议点。信用报告机构必须应客户的请求,将删除的情况
14、或争议点向客户指定的接受者发送,以挽救客户的信誉。信用报告机构必须向客户告知提出异议的权利(注:FCRA611,15 USC1681i) 。客户还可以接受他的客户信用报告的复制件,并且在很多情况下这种复制件是免费的(注:FCRA609(a) ,612(a) (b) (c) ;12 USC1681g(a) ,1681j(a) (b) (c) ) 。例如,失业的客户在寻找工作时、寻求社会救济金以及客户相信他受到欺诈时,都有权利要求客户信用报告的免费复制件(注:FCRA612(b) (c) ;12 USC1681j(b) (c) ) 。三、身份窃取行为的预防为预防身份窃取行为,公平信用报告法主要采取
15、两种措施:一是警报,二是阻止来自身份窃取行为获得的信息的使用。警报又分为两种:一次性欺诈警报(Onecall Fraud Alerts) ,二是长期警报(Extended A-lerts) 。一次性欺诈警报,是指按照客户的要求,如果其以善意声称,怀疑客户已经或正成为欺诈或相关犯罪行为(包括身份窃取)的受害人,客户信用报告机构应当:(1)在该客户的文件中包含一个欺诈警报,并且与使用这一文件而产生的信用评分一道提供这一警报,时间上从这一要求之日起不超过 90 天,除非该客户要求在这一期限届满之前取消这一欺诈警报,并且客户信用报告机构收到这一取消要求的适当证据;(2)向其他客户信用报告机构提及这一欺
16、诈警报。在客户信用报告机构将欺诈警报包含在客户文件中的情况下,客户信用报告机构应当:向客户披露,客户有权按照第 612(d)条规定,要求客户文件的免费复制件;并且在披露之后不超过三个工作日内,向客户提供按照第 609 条所要求的全部披露,不向客户收取费用(注:FCRA605(A) (a) ) 。长期警报是按照客户的要求,客户信用报告机构应当:(1)在客户文件中包含这一欺诈警报,并且与使用这一文件而产生的信用评分一道提供这一警报,时间上从这一要求之日起为七年时间,除非该客户要求在这一期限届满之前取消这一欺诈警报,并且客户信用报告机构收到这一取消要求的适当证据;(2)在要求开始之后的五年时间内,将
17、客户从客户信用报告机构制作的客户目录中取消;并且(3)向其他客户信用报告机构提及这一长期警报。在客户信用报告机构将长期欺诈警报包含在客户文件中的情况下,客户信用报告机构应当向客户披露,客户有权按照第 612(d)条规定,在申请之后的 12 个月内,要求客户文件的两份免费复制件;在披露之后不超过 3 个工作日内,向客户提供按照第 609 条所要求的全部披露,不向客户收取费用(注:FCRA605(A) (b) ) 。如果要求警报的客户指定了电话号码,用以身份校验目的,在授权新的贷款计划或信用延展之前,这一客户信用报告的使用者应当使用这一电话号码或采取合理的措施与客户联系,以校验客户的身份并且确定是
18、否批准新的贷款计划,这不构成身份窃取(注:FCRA605(A) (h) (1) (B) (ii) ) 。客户信用报告机构对客户信用报告进行转售时,应当包含由其他客户信用报告机构发出的欺诈警报(注:FCRA605(A) (f) ) 。对来自身份窃取行为的信息使用的阻止,是使客户信用报告机构负有阻止在客户文件中报告这些信息的责任,客户信用报告机构对客户阻止请求的责任,应当是阻止这一信息在今后的使用。如果客户视这些信息来自于声称的身份窃取行为,在收到这一信息之日起不超过 4 个工作日,客户信用报告机构应当迅速通知信息的提供者:该信息可能来自于身份窃取;身份窃取报告已经制作为文件;客户按照本条规定,已
19、经做出阻止使用的请求;以及阻止的生效日期(注:FCRA605(B) (a) (b) ) 。客户信用报告机构可以解除这种阻止,如果客户信用报告机构合理地确定:信息被错误阻止使用,或客户错误地要求阻止;信息被阻止或客户要求阻止,是基于对事实的误传;客户因阻止交易或交易而获得了商品、服务或金钱(注:FCRA605(B) (c) ) 。四、我国信用报告制度的现状目前,中国人民银行先后制定了个人信用信息基础数据库管理暂行办法 、 中国人民银行关于落实个人信用信息基础数据库管理暂行办法有关问题的通知 、 个人信用信息基础数据库信用报告本人查询规程 、 个人信用信息基础数据库异议处理规程和中国人民银行信用评
20、级管理指导意见 。各地也制订了个人信用征信管理的地方规定。2004 年 12 月,中国人民银行负责建立的全国统一的个人信用信息基础数据库在全国部分金融机构试运行。2005 年 8 月 31 日,全部国有商业银行、股份制商业银行、城市商业银行实现全国联网。2006 年 1 月 1日,信用信息基础数据库正式投入运行。2006 年 11 月,在中国人民银行下建立了中国人民银行征信中心,征信中心负责信用信息基础数据库的日常运行和管理。商业银行作为信息提供人,按照中国人民银行发布的信用信息数据库标准及其有关要求,向信用数据库报送企业和个人信用信息。商业银行在办理相关业务时,可以向信用信息基础数据库查询企
21、业和个人信用报告。人民银行征信中心采集数据的权威性、时效性都要强于地方征信公司。人民银行征信系统和地方征信公司目前处于相互补充并且相互竞争的状况。同时,暂行办法还规定,商业银行不得向未经信贷征信主管部门批准建立或变相建立的信用信息数据库,提供个人信用信息。信用信息只能用于如下目的:(1)审核个人贷款申请;(2)审核个人贷记卡、准贷记卡申请;(3)审核个人作为担保人;(4)对已发放的个人信贷进行贷后风险管理;(5)受理法人或其他组织的贷款申请或其作为担保人,需要查询其法定代表人及出资人信用状况。为了更好地保护我国信用信息安全,2009 年 2 月 28 日,我国刑法修正案 (七)增加了刑法第 2
22、53 条之一,规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 ”2009 年 10 月 13 日,国务院法制办公布征信管理条例 (征求意见稿) ,该征求意见稿对于信用信息的界定、类型,征信机构设立标准、征信机构收集、保存、加工、提供信用信息的限制条件、不得收集的个人信息类型等作出了详细规定,非常有特色的是,该征求意见稿意图建立“中国征信中心” ,负责全国统一信用信息基础数据库的建设、运行和
