个人信息查询要合规

个人信息查询要合规
吴春林;赵孙富
【期刊名称】《中国信用卡》
【年(卷),期】2013(000)004
【总页数】3页(P56-58)
【作者】吴春林;赵孙富
【作者单位】中国农业银行股份有限公司信用卡中心;上海市前和律师事务所
【正文语种】中文
一、一则典型案例
2011年9月，李某到人民银行查询个人征信报告时，发现A银行于2011年3月以信用卡审批名义查询过其个人征信记录。

李某是A银行客户，2006年曾在A
银行办理了一张借记卡并一直在使用。

李某认为A银行侵犯了其隐私权，向人民
银行投诉，并向法院提起诉讼。

A银行提出两条抗辩：第一，个人信用信息基础数据库是一个共同查询平台，被采集入个人信用信息基础数据库的个人信用信息不再是隐私；第二，李某是其存款客户，查询李某个人信用信息，是为了挖掘现有客户资源，向其营销信用卡，为其提供综合金融服务，并没有对外披露，没有产生损害后果，查询行为不构成侵权。

法院作出A银行侵权成立的判决，人民银行作出对A银行罚款2万元的行政处罚。

二、无授权查询侵权的法律分析
隐私权一词在1890年被美国法学家提出，至今已有100多年的历史。

但在我国，
隐私权是近几年才被大众所熟悉的概念，在个案判决、最高人民法院司法解释中有所体现，2009年颁布的《侵权责任法》在立法上正式确立了隐私权。

所谓隐私权，是指自然人享有的私人生活安宁和私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，简单地说，就是个人私事、个人信息等个人生活领域的事情不为他人知悉，禁止他人干涉的权利，包括隐私隐瞒权、隐私利用权、隐私维护权和隐私支配权。

从《个人信用信息基础数据库管理暂行办法》（以下简称《办法》）第四条可以看出，个人信用信息反映了个人大量的隐私信息，包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。

个人基本信息是指自然人身份识别信息、职业和居住地址等信息；个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录；反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。

被采集入个人信用信息基础数据库的个人信用信息还是不是隐私呢？《办法》第一条和第五条对使用范围和使用要求进行了明确，明确了个人信用信息用于个人信贷业务、安全和合法使用、保密的规定。

由此可见，个人信用信息基础数据库虽然是一个共同查询平台，但被采集入库的个人信用信息的使用主体、使用范围、使用要求都有严格的限制，并不为公众所知悉，因此，个人信用信息基础数据库的个人信用信息当然属于隐私，A银行的第一条抗辩不能成立。

那么，A银行的第二条抗辩是否成立？《办法》第十二条规定：“商业银行办理下列业务，可以向个人信用数据库查询个人信用报告：（一）审核个人贷款申请的；（二）审核个人贷记卡、准贷记卡申请的；（三）审核个人作为担保人的；（四）对已发放的个人信贷进行贷后风险管理的；（五）受理法人或其他组织的贷款申请或其作为担保人，需要查询其法定代表人及出资人信用状况的。

”第十三条规定：“除本办法第十二条第(四)项规定之外，商业银行查询个人信用报告时应当取得被
查询人的书面授权。

书面授权可以通过在贷款、贷记卡、准贷记卡以及担保申请书中增加相应条款取得。

”根据上述规定，除贷后风险管理查询外，其他任何使用都应当取得被查询人的书面授权。

李某并未向A银行申请办理信用卡，A银行查询
李某个人信用报告没有取得李某授权，不具有合法根据。

隐私权包括隐私隐瞒权、隐私利用权、隐私维护权和隐私支配权，排除他人非法侵扰、知悉、收集、利用和公开，A银行侵犯了李某的隐私隐瞒权、隐私利用权、隐私支配权，属于非法知悉、收集、利用李某个人隐私。

A银行认为没有对外披露、没有产生损害后果、查询行为不构成侵权的主张不能成立，没有对外披露只能说明A银行没有侵犯李某的隐
私公开权；A银行未取得李某授权，是李某隐私权隐瞒的对象，非法查询行为本身就是对李某隐私权的侵害，没有产生损害后果的主张不能成立。

综上所述，A银行的第二条抗辩也不能成立。

三、无授权查询的几种表现形式
商业银行在办理信用卡业务时，登录人民银行个人信用信息基础数据库查询个人信用报告是一项日常工作，尽管人民银行对查询作出了明确规定，但工作实务中，基于认识偏差、管理等方面的原因，在一定程度上存在无授权查询的现象，主要表现为以下几种形式：
1.基于二次营销的查询
近年来，商业银行开始逐渐重视现有客户资源的挖掘，通过对现有客户的再评价，筛选出优质客户对其开展综合业务营销。

再评价的一个重要依据就是客户个人信用信息，由于认识上的偏差，商业银行往往没有意识到查询客户个人信息会构成侵权。

2.基于伪冒申请的查询
伪冒申请，是指犯罪嫌疑人盗用他人身份申请办理信用卡，基于伪冒申请的查询，当然没有取得被查询人的授权，客观上已经构成侵权。

被查询人往往事后在办理贷
款等业务时发现个人信息被查询，甚至其名下的信用卡已经产生欠款。

3.基于操作原因的查询
由于技术、操作权限、操作人员权利意识等方面的原因，操作人员在查询客户个人信用信息上存在一定的随意性，在同事请求帮忙查询时往往会给予配合，甚至帮助亲友做一些查询。

更为严重的是，个别操作人员会利用查询的便利，大量窃取客户个人信用信息，出卖以牟利，此类案件已经多次被媒体披露。

四、规范个人信用信息查询
为了规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设，国务院制定并颁布了《征信业管理条例》（以下简称《条例》），并于2013年3月15日施行。

《条例》第十八条规定：“向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。

但是，法律规定可以不经同意查询的除外。

”该条规定对个人信息查询进行了规范，明确规定了查询个人信息的条件：一是应当取得信息主体本人的书面同意；二是应当约定用途，不得超约定范围使用，不经信息主体本人同意查询需有法律规定。

虽然《办法》第十二条规定审核个人贷款申请，审核个人贷记卡、准贷记卡申请，审核个人作为担保人的，对已发放的个人信贷进行贷后风险管理，受理法人或其他组织的贷款申请及其作为担保人，需要查询其法定代表人及出资人信用状况等五种情况可无需取得被查询人的书面授权，但是《条例》规定不经信息主体本人同意查询需有法律规定，《办法》仅为部门规章，效力层级低于法律，因此，《条例》施行后，《办法》第十二条规定的无需信息主体本人同意即可查询的五种情形将不再适用，查询也应当取得被查询人的书面同意。

随着公众对隐私权利的逐渐重视，商业银行因查询、使用个人信用信息引发的侵权案件时有发生，形成了一定的法律风险和声誉风险，应该引起重视。

为规范个人信用信息查询，防范信用卡业务经营风险，笔者提出以下建议：
1.要按照《条例》要求，对领用合约等协议文本进行修订。

《条例》第十九条规定：“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的，应当在合同中作出足以引起信息主体注意的提示，并按照信息主体的要求作出明确说明。

”第二十条规定：“信息使用者应当按照与个人信息主体约定的用途使用个人信息，不得用作约定以外的用途，不得未经个人信息主体同意向第三方提供。

”因此，商业银行要对领用合约等协议文本进行梳理，按照《条例》的相关要求及时修订相关协议文本，在信息查询、使用等方面取得客户书面授权，为催收外包等业务提供合法依据。

2.要加强个人信用信息查询、使用专项培训，培养个人信用信息保护意识，严格按照法律和制度要求开展个人信用信息查询工作，合法使用个人信用信息，避免无授权操作和超权限操作。

3.要在系统控制、使用权限、操作流程等方面加强管理，通过技术手段设置查询发起的条件，监控查询的账户数量，控制无授权查询，及时发现并制止违规查询操作。

4.要严格落实信用卡申请进件的“三亲见”制度，即亲访客户、亲见客户签名、亲见客户身份证明和资信证明原件，确保申请人资料的真实性、手续的完整性，切实防范伪冒申请发生，对已造成伪冒申请的，要及时、主动与被伪冒人取得联系，做好解释、沟通工作，及时为其调整不良征信记录，争取被伪冒人的谅解。

一旦拖到被伪冒人发现后提出，商业银行将会处于非常被动的地位，往往会引发投诉、诉讼、媒体关注，导致被罚款、败诉及被媒体曝光等不良后果。