当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
2022-11-24 10:35:14
浏览量:0
2021
对于个人信息保护不同国家区域有不同的价值取向。欧盟倾向于认为个人信息保护是基本人权,而美国认为个人的基本权利是在数据利益和个人信息隐私权益两者之间进行权衡取舍。而对于数据流通的司法介入,美国法院更关心的是不同主体的经济协调性和利益平衡问题,而不是个人隐私权益。
美国立法和监管机构对于消费者信息自由流通对消费金融以及整体经济发展的贡献,一直持肯定的态度,并且认为高度使用个人信用信息,对个人也是有利的,因为可使个人较容易获得授信机会,甚至可以低于平均利率取得所需贷款。因此,实用主义占上风,同时立法者面对众多利益集团的游说,使得美国对于个人信用信息利用限制较少,并容许在各类型商业交易中使用个人信用信息。目前美国联邦层面的法律普遍采取选择退出(opt-out)的机制。
本文作为美国金融消费数据隐私合规系列文章的第一篇,介绍美国消费者报告行业背景、美国金融消费数据隐私保护相关的法律法规以及其监管机构。后续文章将介绍几部与个人数据保护密切相关的联邦法案。例如,《金融隐私权法案》(Right to Financial Privacy Act,RFPA)《公平信用报告法》(Fair Credit Reporting Act, FCRA)《格雷姆-里奇-布莱利法案》(Gramm-Leach-Bliley Act,GLBA),通过对法案内容的的初步了解,以窥见美国金融消费数据隐私合规的轮廓。
如果要了解美国金融数据合规,就必须从美国消费金融和消费者报告行业的发展历程说起。美国金融行业隐私保护问题是随着消费金融的发展而逐渐凸显的。尤其是在第二次世界大战以后,美国人口急速成长,人口迁徙增加,对于商品、劳务及住宅的需求明显成长,美国政府也积极推出消费金融政策,使得消费金融快速成长。在1946年,消费金融总额约为550亿美元,至1970年通过公平信用报告法案时,消费金融总额5,560亿美元,消费性支出占国内生产总值的三分之二以上,消费金融的发展极大带动了美国经济的发展。
随着信用卡和其它消费借贷产品的业务膨胀,对个人信用的评估和甄选的需求也愈加凸显,这种需求成为了消费者报告产业(credit reporting industry)快速发展的主要动力。*早期的消费者报告,是地区性且内容较为单一,所收集信息较少,且格式并未标准化,消费者报告机构(credit bureau, credit reporting agency或consumer reporting agency)通过人工处理信用信息,不定期更新,保管期限也不确定。美国联邦贸易委员会(FTC)在向国会报告中提到,在消费者报告信息未普及前,消费者申请贷款时,银行授信人员若非对客户早已熟识,通常必须确认消费者个人信息,包括客户与其他债权人往来情况。若客户是初次与该银行往来,或在当地并无长久的社会关系,可能无法取得贷款,或仅仅取得小额度贷款,这些程序可能必须耗费相当长的时间,且主要依据银行授信人员的经验判断决定。
互联网的发展使得消费者报告体系现代化,让消费者信用信息快速流通得以实现,消费者可以快速取得授信。区域性小型消费者报告机构也逐渐转变为全国性大型消费者报告机构。目前美国消费者报告体系主要由Equifax,Experian,以及Trans Union等三大消费者报告机构组成。消费者报告机构的信息来源,包括债权人及其他信息提供者,这三家消费者报告机构每一家每月收到的信用信息笔数达20亿笔以上。消费者个人信息交由这些大型信息库集中收集并通过特定算法得出消费者报告后,供各行业作为商业决策依据,例如信贷、保险、租房、市场营销和就业等领域。快速而高效的授信让消费者可以更快、更容易地取得贷款,授信机构自身业务风险也大大降低,极大促进了消费经济和资金流转速度。
但是,随着消费者报告行业的发展,消费者报告机构的良莠不齐和信用交易量的剧增使得消费者报告行业在数据信息和服务等方面产生的一系列问题,包括报告内容错误、消费者隐私泄露、身份盗窃等问题。从上个世纪60年代起,美国开始制定各种与消费者报告有关的法规,并在之后的几十年当中不断地完善和修订,在立法、司法、执法上形成一个相对完整的消费者报告行业监管体系。
美国在联邦层面没有关于个人数据保护的综合性立法,目前主要针对特定行业个人数据保护立法。与个人金融消费数据与隐私保护相关的主要法律有:
《金融隐私权法案》(Right to Financial Privacy Act)
《公平信用报告法》(Fair Credit Reporting Act)
《公平准确信用交易法案》(Fair and Accurate Credit Transactions Act)
《格雷姆-里奇-布莱利法案》(Gramm-Leach-Bliley Act)
《银行保密法》(Bank Secrecy Act)
《国内税收法案》(Internal Revenue Code)
《身份盗用与假冒防范法案》(Identify Theft and Assumption Deterrence Act)
以及各州金融数据隐私保护相关法律,FTC 发布的相关规则和指南
《金融隐私权法案》(Right to Financial Privacy Act,RFPA)1978年,规定在银行或其他特定机构向联邦政府机构披露个人财务信息之前,联邦政府机构应该向个人提供通知和提出反对的机会,通常是出于执法目的要求披露个人财务信息。
《公平信用报告法》(Fair Credit Reporting Act,FCRA)1970年,致力于确保消费者信用局档案中的信息的准确性、公平性和隐私保护。该法律规定了消费者报告机构、信息提供者、报告使用者以及其他相关机构在收集、访问、使用和共享个人消费者报告信息过程中的义务以及个人消费者的权利。根据联邦贸易委员会(FTC)发布的《2020年隐私和数据安全报告》,FTC已经对100多家违反FCRA的公司进行了调查,并收取了超过6500万美元的民事罚款。
《公平准确信用交易法案》(Fair and Accurate Credit Transactions Act,FACTA)2003年,在FCRA基础上增加了许多与消费者报告准确性和身份盗窃有关的条款。
《格雷姆-里奇-布莱利法案》(Gramm-Leach-Bliley Act,GLBA)又名《金融服务现代化法案》(Financial Services Modernization Act)1999年,要求金融机构向客户发送初始和年度隐私通知,并允许客户选择不与非关联第三方共享其非公开个人信息。它还要求金融机构实施合理的安全政策和程序,以保护客户或者消费者的敏感个人信息。自2005年以来,FTC已提起了约35起案件,指控违反了GLBA及其实施条例,涉及到数亿消费者的数据安全。
《银行保密法》(Bank Secrecy Act,BSA,BSA)1970年,立法目的不仅是帮助打击洗钱活动,而且确保银行和金融机构不被用作洗钱活动的工具。根据BSA,各种金融机构必须努力发现和监测潜在的洗钱活动,并将其报告给当局,以便采取执法行动。BSA由金融犯罪执法网络(FinCE)执行,该组织针对金融机构规定了各种合规义务。
《国内税收法案》(Internal Revenue Code,IRC)1986年,有专门的个人隐私保护规定。
其他金融消费者保护相关的法律与上述法律存在密切关系:《身份盗用与假冒防范法案》(Identify Theft and Assumption Deterrence Act,ITADA)《诚实借贷法》(Truth in Lending Act ,TILA)《平等信用机会法》(Equal Credit Opportunity Act,ECOA)《电子资金转移法》(Electronic Funds Transfer Act,EFTA)《公平债务催收法》(Fair Debt Collection Practices Act,FDCPA)《情报授权法》(Intelligence Authorization Act, IAA)和《债务催收改进法》(Debt Collection Improvement Act,DCIA)等。
《金融隐私权法案》是对联邦政府调查权力与个人财务信息隐私权利之间的平衡。《情报授权法》和《债务催收改进法》两个法案,对联邦调查局和联邦政府机构对消费者个人信用报告的使用做出豁免规定。
其他法律法规更多是对私营机构对个人金融信息的收集、使用和披露等行为的规制。其中《公平信用报告法》是第一部规范私营企业使用个人信息的联邦法律。
对于金融消费数据保护或者说消费者报告行业的监管,鉴于美国自身政治体制和市场发展背景等原因,呈“双级多头”的管理状态。双级是指除了联邦监管,各州都设有各自的金融数据监管机构。多头监管是指,美国并没有设立一个统一的消费者报告行业监管部门,而是由多个部门从行政和司法方面对金融和非金融机构进行监管、再加上民间行业协会组织的管理自律,*终形成多头监管的格局。
1. 联邦层面的监管主要是美国联邦贸易委员会(FTC)和消费者金融保护局(Consumer Financial Protection Bureau,CFPB)
FTC是美国独立的执法机构,负责保护消费者及加强经济各领域的竞争。FTC的法律授权来自于《联邦贸易委员会法》第5条,该条禁止市场上的不公平或欺诈行为。FTC负责对消费者报告行业法律的执行和权威解释,推动相关的立法等,具有消费者报告交易有关程序制定、调查和执行的权力。同时对消费者报告机构的数据采集整理以及消费者报告报告的出具等行为进行监督。FTC的主要管辖范围包括银行、提供消费者信息的金融机构、消费者报告报告或消费者调查报告机构、信用卡公司、全国的零售企业等。
FTC可以直接对消费者的投诉进行受理,再根据国会的询问展开公开和非公开的调查。一旦FTC确认被调查公司违反了相关法律,即可对其进行裁决。如被调查公司对裁决不服,可向上一级委员会或者法院申请复议和上诉。FTC有权针对很多其他行业进行执法,包括《格雷姆-里奇-布莱利法》(GLBA)《诚实借贷法》(TILA)《反垃圾邮件法》(CAN-SPAM)《儿童在线隐私保护法》(COPPA)《平等信用机会法》(ECOA)《公平信用报告法》(FCRA)《公平债务催收法》(FDCPA)《反电话营销与消费者欺诈滥用行为法》(TCFAPA)。
CFPB是2010年《多德-弗兰克华尔街改革和消费者保护法案》(DoddFrank Wall Street Reform and Consumer Protection Act)也称《多德-弗兰克法案》,为了巩固并扩大了对某些金融产品消费者保护的管辖权,并将美联储(Fed)、FTC、联邦存款保险公司(FDIC)、全国信用社管理局(NCUA)以及住房和城市发展部(DHUD)等7个联邦监管机构的金融消费者保护职能统一到新成立的。
CFPB获得的监管授权基于保护消费者金融权益目的,具体表现为确保消费者得到及时、可理解的信息以便能够在金融交易中做出负责任的决策;确保金融活动的公平性或非歧视性、保护弱势群体利益;防止金融企业在经营过程中的欺骗性或毁谤性行为或实践。以消费者为基本受众的产品或服务的提供商都是潜在的监管对象,CFPB根据确定的度量规则决定是否进行监管。
2. 消费者数据产业协会(Consumer Data Industry Association,CDIA)
CDIA成立于1906年,是美国唯一的消费者报告行业的行业协会,曾颁布了消费者信用报告的标准,并且参与起草了美国信用管理相关法案。目前,CDIA有超过140个会员,包括上文提到的三大消费者报告机构以及其他地方信用局、房屋贷款风险管理公司和债务催收公司等。CDIA以消费者为中心,为协会会员提供消费者报告、抵押贷款报告、租户和就业筛选以及欺诈验证等服务。在美国三大消费者报告机构的支持下,CDIA曾与FTC一同制订了《数据报送资源指南》(Data Reporting Resource Guide),对消费者报告数据的报送做出了若干原则性的规定。按照要求,数据提供机构必须确保数据的准确性、完整性和及时性。
作者: 张晓丽