張子紅 王晶晶

隨著征信業(yè)的蓬勃發(fā)展，人們的目光更多地聚焦到了個人信息保護領(lǐng)域。本文從征信領(lǐng)域個人信息保護的國際實踐共識入手，介紹了其發(fā)展歷程和時代特征，分析了當前我國征信業(yè)個人信息保護在法治領(lǐng)域的“雙保護模式”，并對個人信息保護領(lǐng)域重點問題深入探討，為進一步做好相關(guān)工作建言獻策。

Cover Story

征信領(lǐng)域個人信息保護的國際經(jīng)驗

個人信息對社會經(jīng)濟發(fā)展至關(guān)重要

個人信息的數(shù)字化和產(chǎn)業(yè)化應(yīng)用，推動了數(shù)字經(jīng)濟時代的變革和創(chuàng)新。無論是行政機關(guān)電子政務(wù)、金融機構(gòu)授信放貸，還是電子商務(wù)獲客營銷等，個人信息在經(jīng)濟生活的運用給人們帶來了諸多便利。而個人信息保護機制的缺失，勢必會引發(fā)社會對信息產(chǎn)業(yè)和互聯(lián)網(wǎng)平臺的信任危機。個人信息的無序使用，不僅會引發(fā)信息濫用亂象，損害公民人身財產(chǎn)合法權(quán)益，也會阻礙個人信息的良性流通共享，破壞公平有序的社會秩序，影響整體經(jīng)濟的發(fā)展節(jié)奏。在此背景下，在大數(shù)據(jù)產(chǎn)業(yè)、云計算經(jīng)濟發(fā)展蒸蒸日上的同時，健全個人信息保護機制迫在眉睫。

征信領(lǐng)域的個人信息保護有其特殊性

共享債務(wù)人的債務(wù)信息是征信業(yè)務(wù)區(qū)別于其他信息服務(wù)領(lǐng)域的主要特征，是個人信息領(lǐng)域的特殊實踐。征信機構(gòu)通過債務(wù)信息共享機制來判斷債務(wù)人的融資能力;而信息主體則是通過讓渡自身的部分個人信息，以獲取在信貸、就業(yè)或其他領(lǐng)域資質(zhì)的權(quán)益。征信領(lǐng)域的個人信息主要體現(xiàn)于兩類信息：一是個人在金融、商品交易等領(lǐng)域的歷史負債記錄;二是判斷其償債意愿和償債能力的信息，例如房貸、車貸和貸款擔保等金融負債信息，賒購、水電氣繳費等商業(yè)信用信息，以及欠稅信息等。一個國家的征信體系主要有三大作用：一是協(xié)助放貸機構(gòu)對借款人的信用狀況進行客觀、正確評估，提升信貸管理決策水平;二是有助于規(guī)范借款人行為，為按時還款的社會公眾特別是低收入人群提供利用自身優(yōu)質(zhì)信譽獲取信貸機會的機制，進一步促進普惠金融的發(fā)展;三是在宏觀政策制定和支持審慎監(jiān)管方面發(fā)揮重要作用，為中央銀行或金融監(jiān)管部門實施監(jiān)督提供信息支持，是維護金融穩(wěn)定的有效工具。

征信領(lǐng)域的個人信息保護和個人信息共享就像一枚硬幣的兩面，其價值取向是既對立又統(tǒng)一的保護和利用的利益衡量。一是個人隱私保護與個人訴求之間的對立統(tǒng)一關(guān)系。個人既有隱私不受侵犯的需求，也有通過讓渡和共享信息獲取信貸機會的訴求。唯有在做好個人信息保護的基礎(chǔ)上，對個人信息有條件地限制讓渡共享，才能實現(xiàn)這兩個需求。二是發(fā)展和安全的對立統(tǒng)一關(guān)系。個人信息保護作為一種安全需求，體現(xiàn)了社會公平正義的內(nèi)在要求，而個人信息有限共享作為征信業(yè)健康發(fā)展和維護金融穩(wěn)定的宏觀需要，體現(xiàn)了社會公共利益的需求。因此，個人信息保護需要平衡好社會公平正義和社會公共利益之間的關(guān)系。綜上，征信領(lǐng)域的個人信息保護在權(quán)衡這兩種對立統(tǒng)一關(guān)系中形成了一種動態(tài)平衡。

征信領(lǐng)域個人信息保護國際實踐

歐洲的個人信息保護采用統(tǒng)一立法方式，主要強調(diào)的是個人對信息的自主決定權(quán)利，采取了比較嚴格的保護標準和信息處理原則。美國的個人信息保護以分門別類、分散立法為主，主要體現(xiàn)信息流動和隱私保護之間的平衡關(guān)系。從全球視角審視，征信領(lǐng)域的個人信息保護實踐在個人信息保護機制、信息主體權(quán)利界定等方面，已經(jīng)形成了一定的共識。主要表現(xiàn)在以下幾個方面：

一是公開透明規(guī)則。這包括兩個方面：第一，征信機構(gòu)透明化，即信息主體可以獲知本國征信服務(wù)機構(gòu)的基本情況;第二，征信業(yè)務(wù)透明化，即征信機構(gòu)要披露信息采集的目的、范圍、來源、處理規(guī)則和流程，以及個人權(quán)利、異議投訴等。

二是信息限制處理規(guī)則。這包括四個方面：第一，信息采集和使用目的要有明確的限制范圍;第二，信息采集要相關(guān)性、必要和最小化;第三，信息采集和查詢要同意授權(quán);第四，負面信息要限期展示等。

三是數(shù)據(jù)質(zhì)量規(guī)則。征信系統(tǒng)要采取措施確保數(shù)據(jù)的準確性。

四是安全保護規(guī)則。征信機構(gòu)要確保數(shù)據(jù)安全，避免數(shù)據(jù)丟失、濫用等情況。

五是責任擔當規(guī)則。征信機構(gòu)要擔當個人信息保護的主要責任。

六是個人權(quán)利保護規(guī)則。這主要指信息主體對本人信息享有的同意權(quán)、查詢權(quán)、異議權(quán)、糾錯權(quán)和救濟權(quán)等。例如，本人有權(quán)查詢自己的信用報告，本人對可能造成不良影響時的知情權(quán)，個人發(fā)現(xiàn)信用報告信息不準確時有權(quán)提出異議，要求提供數(shù)據(jù)機構(gòu)和征信機構(gòu)修改錯誤，對于侵害個人權(quán)益的行為，個人有權(quán)投訴或提起訴訟等。

我國征信領(lǐng)域個人信息保護的實踐發(fā)展與現(xiàn)狀

第一，我國征信領(lǐng)域個人信息保護實踐經(jīng)歷了從無到有、逐步完善的發(fā)展歷程。我國的征信體系建設(shè)數(shù)十年的發(fā)展歷程，也是我國征信領(lǐng)域個人信息保護法制建設(shè)從無到有、不斷發(fā)展完善的過程。1999年，上海資信有限公司開始試點個人征信業(yè)務(wù)，而當時國內(nèi)個人信息保護相關(guān)的法律法規(guī)和制度建設(shè)尚未起步。2004年，國務(wù)院批準了我國首個征信業(yè)頂層設(shè)計——《建設(shè)企業(yè)和個人征信體系總體方案專題報告》，當時也尚未開展對征信領(lǐng)域的個人信息保護立法。2005年，人民銀行創(chuàng)建了金融信用信息基礎(chǔ)數(shù)據(jù)庫，從制度設(shè)計上開始加入了個人信息保護元素;人民銀行出臺的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》，在部門規(guī)章層面對征信業(yè)務(wù)個人信息保護進行規(guī)范，要求征信中心和商業(yè)銀行通過完善制度和技術(shù)手段來保護個人信息，并對泄露和非法使用個人信息行為進行處罰。2011年發(fā)布的《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》，從個人金融信息角度進一步強化信息保護要求，規(guī)范金融機構(gòu)合法處理個人金融信息，明確保護金融消費者合法權(quán)益的相關(guān)要求。

2013年，國務(wù)院出臺了我國規(guī)范征信業(yè)的第一部行政規(guī)章《征信業(yè)管理條例》（以下簡稱《條例》），是我國征信業(yè)發(fā)展的里程碑，對我國個人信息保護發(fā)展意義深遠。在《條例》規(guī)范下，征信領(lǐng)域的信息采集、加工處理、保存和使用等業(yè)務(wù)規(guī)則的整體業(yè)務(wù)鏈條上，均滲透貫徹了個人信息保護理念：信息采集的同意告知;不良信息的告知;信息使用的授權(quán);信息來源和使用渠道要清晰、信息錯誤可異議和糾錯等;信息主體有知情權(quán)、同意權(quán)、異議救濟權(quán)等。

2021年1月11日，中國人民銀行草擬了《征信業(yè)務(wù)管理辦法（征求意見稿）》并向社會公開征求意見，堅持征信為民，規(guī)范征信業(yè)務(wù)及其相關(guān)活動，加強征信監(jiān)督管理，促進征信業(yè)健康發(fā)展。

第二，我國征信領(lǐng)域的個人信息保護具有鮮明的時代特色。我國發(fā)展進入了新時代，當前我國征信領(lǐng)域的個人信息保護具有鮮明的時代特征。黨的十九屆五中全會明確把“堅持以人民為中心”作為“十四五”時期經(jīng)濟社會發(fā)展必須遵循的重要原則。為踐行全心全意為人民服務(wù)的根本宗旨，我國征信領(lǐng)域個人信息保護秉持“征信為民”基本理念，將個人信息保護作為貫穿征信業(yè)務(wù)開展各個環(huán)節(jié)的底線，采取了比歐洲實踐更為嚴格的個人同意權(quán)雙跨機制，采用信息采集、信息查詢雙同意機制。歐洲的大多數(shù)國家的信貸登記系統(tǒng)實行“強制征信”體制，征信機構(gòu)從放貸機構(gòu)采集借款人信息，以告知原則取代本人同意。這種同意權(quán)雙跨機制，給予個人在數(shù)據(jù)分享方面足夠的自主權(quán)和選擇權(quán)，讓愿意貢獻和分享信息的主體有機會分享經(jīng)濟紅利，也使不愿意分享數(shù)據(jù)的個人有選擇權(quán)。這種機制體現(xiàn)了我國征信體系建設(shè)以人民為中心，堅持人民立場的法治精神。

我國征信領(lǐng)域的個人信息保護鮮明地體現(xiàn)了我國依法治國的發(fā)展理念，是習近平法治思想的具體體現(xiàn)。《法治社會建設(shè)實施綱要（2020—2025年）》明確提出要加快推進社會信用體系建設(shè)，進一步強化和規(guī)范信用信息歸集共享，推動出臺信用方面的法律，切實保障公民基本權(quán)利。2020年5月28日出臺的《民法典》第四編第六章單設(shè)“隱私權(quán)和個人信息保護”專章，為我國個人信息保護奠定法理基礎(chǔ)。《個人信息保護法》也正在醞釀出臺，對個人信息的保護將進一步加強。2020年，中國人民銀行副行長陳雨露在第三屆進博會上提出，構(gòu)建適應(yīng)數(shù)字時代高質(zhì)量發(fā)展的現(xiàn)代征信體系的重點之一，是要完善征信業(yè)法律法規(guī)和相關(guān)配套機制。通過完善法律法規(guī)配套機制，征信機構(gòu)要在《民法典》《征信業(yè)管理條例》等法律法規(guī)框架下依法合規(guī)收集數(shù)據(jù)，征信業(yè)務(wù)各方參與機構(gòu)規(guī)范使用數(shù)據(jù)，信息主體權(quán)益保護做到有法可依，切實維護好信息主體合法權(quán)益。

我國征信領(lǐng)域個人信息的“雙保護模式”

第一，我國已經(jīng)形成了以憲法為統(tǒng)領(lǐng)，刑法和民商法為總體框架的個人信息保護法律體系。《中華人民共和國憲法》提出“國家尊重和保障人權(quán)”，結(jié)合《民法典》將“信用”納入人格權(quán)名譽權(quán)，個人信用正式成為公民的一項具體民事權(quán)利。個人信用信息應(yīng)在憲法框架下建立起配套有效的法律保障機制。

刑法領(lǐng)域的《刑法修正案（九）》及《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，全面系統(tǒng)地規(guī)定了侵犯公民個人信息罪的定罪量刑標準和相關(guān)法律適用問題，確立了我國現(xiàn)行侵犯公民個人信息最嚴厲的刑事懲戒機制。

民事領(lǐng)域的《民法典》和即將出臺的《個人信息保護法》搭建了我國個人信用信息保護的民商事法治框架。首先，《民法典》將“信用”歸至名譽權(quán)范圍、民事主體對信用評價有查詢權(quán)和異議權(quán)，這標志著信用侵權(quán)正式納入民法人格權(quán)侵權(quán)保護機制;另外，通過單設(shè)“隱私權(quán)和個人信息保護”專章，從個人信息定義、處理、權(quán)益保護等方面建立個人信息保護機制;最后《民法典》明確其個人信息保護規(guī)則適用于征信領(lǐng)域。其次，即將出臺的《個人信息保護法》將是我國首部針對個人信息保護的立法。該法對個人信息定義、信息主體權(quán)利進行規(guī)定，對信息處理者及國家機關(guān)在處理個人信息時的處理規(guī)則進行要求，對違法處理個人信息的法律責任進行明確。

除此之外，各行業(yè)對個人信息保護采取分散立法的保護機制。全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》提出個人信息保護的范圍、規(guī)范網(wǎng)絡(luò)活動中收集、適用個人信息行為等?！毒W(wǎng)絡(luò)安全法》提出了網(wǎng)絡(luò)運行機構(gòu)的信息保護義務(wù)，并對侵害個人信息合法權(quán)利違法行為進行懲治?！断M者權(quán)益保護法》提出經(jīng)營者對消費者信息的保密、補救義務(wù)等保護要求。即將出臺的《數(shù)據(jù)安全法》提出了對信息數(shù)據(jù)的分級管理義務(wù)、安全保護義務(wù)等。

第二，征信領(lǐng)域目前已建立了以《征信業(yè)管理條例》為統(tǒng)領(lǐng)、多部部門規(guī)章為輔助的個人信息保護專項制度體系?！墩餍艠I(yè)管理條例》全篇共47條，大部分條款都與個人信息保護有關(guān)?！墩餍艠I(yè)管理條例》嚴格規(guī)范了個人征信業(yè)務(wù)規(guī)則，賦予了信息主體同意權(quán)、知情權(quán)、查詢權(quán)、異議權(quán)和救濟權(quán)等權(quán)益。這些規(guī)定不僅從權(quán)益保護角度賦予個人信息保護權(quán)利，而且也對征信活動各參與方在數(shù)據(jù)質(zhì)量、異議數(shù)據(jù)處理、信息采集和查詢等環(huán)節(jié)增加個人信息保護要求;同時加強監(jiān)管權(quán)限，設(shè)置違規(guī)的懲罰措施，保障個人信息保護措施的落實。

人民銀行配套發(fā)布了《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》，對個人信用信息基礎(chǔ)數(shù)據(jù)庫的數(shù)據(jù)報送與整理、個人信用報告查詢及異議處理等方面提出個人信息保護要求?！墩餍磐对V辦理規(guī)程》《征信機構(gòu)監(jiān)管指引》《征信機構(gòu)管理辦法》等系列配套措施，規(guī)范和引導(dǎo)征信機構(gòu)做好個人信息保護工作。

綜上所述，我國征信領(lǐng)域的個人信息保護，在《憲法》統(tǒng)領(lǐng)下，形成了以刑法和民商法為總體法律保護模式、征信業(yè)領(lǐng)域?qū)ｍ椃杀Ｗo模式為主的雙保護機制。這代表著我國征信領(lǐng)域個人信息保護法制框架已經(jīng)搭建成型，初步形成了在憲法基礎(chǔ)上的，由刑事責任追究、民事救濟、行政監(jiān)督等各項制度組成的綜合性法律保護體系。

征信領(lǐng)域個人信息保護應(yīng)關(guān)注的重點內(nèi)容

推動立法建設(shè)以完善征信領(lǐng)域個人信息保護舉措

一是加強征信領(lǐng)域個人信息保護立法層級。征信業(yè)務(wù)機制具有一定的特殊性和專業(yè)性。法律層面的《民法典》，包括正在征求意見的《個人信息保護法》等，都是對個人信息保護的原則性的籠統(tǒng)規(guī)定，目前并沒有針對征信領(lǐng)域個人信息保護的基本法律。各領(lǐng)域的分散立法不能完全有效解決征信領(lǐng)域個人信息保護的具體痛點?！墩餍艠I(yè)管理條例》作為國務(wù)院行政規(guī)章，其法律位階效力偏低，行政規(guī)范對涉及個人信息基本權(quán)利保護和限制相關(guān)內(nèi)容無法進一步規(guī)定。有必要出臺征信業(yè)管理法律，在《民法典》和即將出臺的《個人信息保護法》的保護框架下，將個人征信準入和業(yè)務(wù)開展原則納入法治范疇。將第三方機構(gòu)的獨立性原則、征信活動中的公正性原則和個人信息隱私保護原則等納入征信業(yè)法治體系;在法律層面對征信領(lǐng)域的信用信息定義、信用信息收集的有限使用原則和告知義務(wù)、個人知情同意權(quán)、查詢權(quán)、異議權(quán)、救濟權(quán)等方面進行明確規(guī)范。

二是修訂完善《征信業(yè)管理條例》。首先，落實新法對征信業(yè)務(wù)的規(guī)范要求。針對《民法典》《個人信息保護法》《數(shù)據(jù)安全法》等新出臺和將出臺的系列法律中個人信息保護的新原則要求，應(yīng)盡快修訂《征信業(yè)管理條例》，將其落實到行政法規(guī)具體舉措中。其次，總結(jié)國內(nèi)實踐經(jīng)驗完善征信業(yè)務(wù)規(guī)則，例如，對于信息收集使用的同意和授權(quán)要求，實踐中信息收集、使用者以格式合同、“霸王條款”的方式取得用戶同意，通過惡意軟件甚至非法買賣等方式獲得信息，這些行為使得個人的“知情同意”原則受到嚴重弱化，因此有必要修訂完善《條例》的授權(quán)條款等。

建立配套措施以強化征信領(lǐng)域個人信息保護權(quán)益力度

監(jiān)管機構(gòu)應(yīng)在國家法律和行政法規(guī)的框架下，出臺配套部門規(guī)章細化個人信息保護權(quán)益具體要求。一是目的特定要求。收集和查詢個人信息應(yīng)當有明確特定目的，且不能逾越特定目的范圍。二是知情權(quán)要求。信息收集應(yīng)當對信息主體履行告知義務(wù)，包括信息收集機構(gòu)名稱、收集目的等。三是同意授權(quán)要求。不同性質(zhì)、不同目的的信息處理活動要分別取得授權(quán)，不得采取一攬子打包方式。四是查詢權(quán)要求。征信機構(gòu)應(yīng)當公示個人信息查詢渠道、查詢方式和條件等。五是救濟權(quán)要求?？山梃b國外立法經(jīng)驗，探索設(shè)立集體訴訟制度，建立暢通的個人信息保護民事渠道等。

加強監(jiān)管力度以落實征信領(lǐng)域個人信息保護要求

維護信息主體的權(quán)益是征信監(jiān)管的核心要義。一是依法合規(guī)開展征信監(jiān)管業(yè)務(wù)。正在修訂的《中國人民銀行法（征求意見稿）》第五條第一款第（十六）項、第三十九條、第四十四條，從法律上明確人民銀行管理征信業(yè)、信用評級業(yè)和推動建立社會信用體系的職責，更是從設(shè)立監(jiān)管基礎(chǔ)征信系統(tǒng)和征信市場管理的角度，對征信業(yè)監(jiān)督管理進行了法律制度的頂層設(shè)計。二是根據(jù)國家即將頒布的《個人信息保護法》《數(shù)據(jù)安全法》等提出對征信業(yè)務(wù)個人信息保護的新規(guī)范要求，積極出臺監(jiān)管配套政策以落實，規(guī)范個人信息在征信領(lǐng)域的依法合規(guī)使用。三是適時出臺《個人金融信息保護暫行辦法》和《征信業(yè)務(wù)管理辦法》，引導(dǎo)個人信息在金融領(lǐng)域里的依法合規(guī)使用，在征信業(yè)務(wù)范圍內(nèi)加強對個人信息的規(guī)范管理。四是加大處罰力度，對于破壞征信市場信息安全和個人信息保護違法行為，依法從嚴懲處。2020年12月30日，人民銀行對深圳鵬元征信公司違法開展個人征信業(yè)務(wù)等行為開出了近2000萬元的罰單，創(chuàng)下行業(yè)內(nèi)最大罰單紀錄。這將在征信領(lǐng)域的個人信息保護形成有效的監(jiān)管震懾。

“十四五”時期，隨著我國經(jīng)濟社會邁入轉(zhuǎn)型和高質(zhì)量發(fā)展的關(guān)鍵時期，我國征信市場也迎來了黃金發(fā)展期。在當前時代背景下，需要全社會共同努力，進一步做好個人信息保護，規(guī)范信息應(yīng)用，切實加強個人信息保護，推動我國征信體系建設(shè)開啟新發(fā)展格局。

（張子紅為中國人民銀行征信中心主任，王晶晶為中國人民銀行征信中心法律事務(wù)部業(yè)務(wù)經(jīng)理。本文僅為個人觀點，不代表所在任職機構(gòu)觀點。本文編輯/秦婷）