姚舒嶸

（中國(guó)人民銀行西安分行，陜西 西安 710075）

一、個(gè)人信用信息保護(hù)的發(fā)展情況

（一）個(gè)人信用信息的法律內(nèi)涵

二十世紀(jì)90年代以來(lái)，為了積極服務(wù)消費(fèi)金融等領(lǐng)域，我國(guó)征信業(yè)逐漸興起。2004年，《建設(shè)企業(yè)和個(gè)人征信體系總體方案專題報(bào)告》明確了中國(guó)征信業(yè)建設(shè)的目標(biāo)，即形成覆蓋全國(guó)的信用信息服務(wù)網(wǎng)絡(luò)。2006 年3 月，人民銀行征信中心成立，對(duì)全國(guó)銀行信貸數(shù)據(jù)進(jìn)行采集和整合，并對(duì)征信機(jī)構(gòu)進(jìn)行嚴(yán)格規(guī)范，逐步完善覆蓋全社會(huì)的征信體系。根據(jù)2021年《征信業(yè)務(wù)管理辦法》第三條規(guī)定，信用信息，是指依法采集，為金融等活動(dòng)提供服務(wù)，用于識(shí)別判斷企業(yè)和個(gè)人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評(píng)價(jià)信息。在信貸規(guī)模持續(xù)擴(kuò)張、互聯(lián)網(wǎng)金融迅速發(fā)展的背景下，個(gè)人信用信息的采集不再局限于金融機(jī)構(gòu)的信貸信息。依法設(shè)立的、獨(dú)立于信用交易雙方的第三方市場(chǎng)化個(gè)人征信機(jī)構(gòu)，如百行征信、樸道征信等，通過(guò)采集、整理、加工個(gè)人網(wǎng)絡(luò)信貸信息和非信貸數(shù)據(jù)，幫助沒(méi)有任何信貸記錄的用戶補(bǔ)充個(gè)人信用信息并享受金融服務(wù)。［1］

在大數(shù)據(jù)時(shí)代背景下，人們對(duì)于個(gè)人信息安全的重視程度日益增強(qiáng)。隨著征信業(yè)的不斷發(fā)展，個(gè)人信用信息的保護(hù)也越來(lái)越受到社會(huì)公眾的關(guān)注。以《一般數(shù)據(jù)保護(hù)條例》（GDPR）為代表的境外隱私法規(guī)引起了廣泛的關(guān)注，其提出了更加嚴(yán)格的適應(yīng)現(xiàn)代化發(fā)展的數(shù)據(jù)保護(hù)要求。2021年8月，全國(guó)人大常委會(huì)審議通過(guò)了《個(gè)人信息保護(hù)法》，首次提出了“敏感個(gè)人信息”的處理規(guī)則和“個(gè)人信息跨境提供”的規(guī)則，這些規(guī)定與《一般數(shù)據(jù)保護(hù)條例》等法規(guī)相互呼應(yīng)，為金融賬戶、信貸記錄、征信信息、交易消費(fèi)記錄等特殊個(gè)人財(cái)產(chǎn)信息提供了有力的保護(hù)。

（二）個(gè)人信用信息中的權(quán)利保護(hù)

央行征信管理局?jǐn)?shù)據(jù)顯示，截至2022 年底，央行征信系統(tǒng)共收錄11.6 億自然人、1 億戶企業(yè)和其他組織信息，2022 年全年，個(gè)人和企業(yè)信用報(bào)告日均查詢量分別達(dá)1143.2萬(wàn)次和32.6萬(wàn)次。當(dāng)前，信用報(bào)告廣泛應(yīng)用于金融機(jī)構(gòu)的貸前審批、風(fēng)險(xiǎn)定價(jià)和貸后風(fēng)險(xiǎn)管理等環(huán)節(jié)。

個(gè)人信用信息涉及公民的基本民事權(quán)利，基于其可識(shí)別特定自然人身份的特點(diǎn)，常與民法中的人格權(quán)相關(guān)聯(lián)，如姓名權(quán)、隱私權(quán)、名譽(yù)權(quán)等?！睹穹ǖ洹返谝磺Я闳臈l明確規(guī)定了個(gè)人信息的保護(hù)規(guī)則，即自然人的個(gè)人信息受法律保護(hù)，個(gè)人信息中的私密信息，適用隱私權(quán)的相關(guān)規(guī)定，沒(méi)有規(guī)定的，適用個(gè)人信息保護(hù)的有關(guān)規(guī)定，即適用《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等特別法律規(guī)定?！秱€(gè)人信息保護(hù)法》第五十八條對(duì)提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)的個(gè)人信息處理者提出了“守門人”要求，即規(guī)定了個(gè)人信息處理者的特別保護(hù)義務(wù)，要求其健全個(gè)人信息保護(hù)合規(guī)制度體系，制定平臺(tái)規(guī)則，開(kāi)展并接受各類外部監(jiān)督。個(gè)人信用信息屬于個(gè)人信息的下位概念［2］，上述規(guī)定為個(gè)人信用信息保護(hù)提供了法律支撐，同時(shí)為合理有效利用個(gè)人信用信息指明了方向。

二、個(gè)人信用信息商用現(xiàn)狀及存在問(wèn)題

（一）個(gè)人信用信息商用現(xiàn)狀

隨著互聯(lián)網(wǎng)的普及和大數(shù)據(jù)技術(shù)的成熟，個(gè)人信用信息的商業(yè)價(jià)值日益凸顯。用戶在阿里、京東、美團(tuán)、滴滴等為代表的互聯(lián)網(wǎng)平臺(tái)上的消費(fèi)、支付、社交、出行等活動(dòng)產(chǎn)生的大量非結(jié)構(gòu)化數(shù)據(jù)被進(jìn)一步分析，成為傳統(tǒng)信貸信息之外判斷個(gè)人償債能力和意愿的重要依據(jù)。［3］2015年至今，阿里“芝麻信用”、京東“小白信用”、美團(tuán)“信任分”等產(chǎn)品相繼推出，對(duì)企業(yè)金融類業(yè)務(wù)拓展提供了重要支撐，如小額借貸、信用免押等。同時(shí)，該類個(gè)人信用支付模式也逐漸覆蓋到更多的生活消費(fèi)服務(wù)場(chǎng)景，如出行、住宿、商城和招聘等多個(gè)領(lǐng)域。2021年，為進(jìn)一步規(guī)范征信業(yè)務(wù)，保護(hù)個(gè)人信用信息主體的合法權(quán)益，央行制定公布了《征信業(yè)務(wù)管理辦法》，對(duì)個(gè)人信用信息采集、整理、保存和加工等行為進(jìn)行了嚴(yán)格規(guī)范。然而，個(gè)人信用信息的合理化商業(yè)使用仍缺乏明確標(biāo)準(zhǔn)。

（二）個(gè)人信用信息商用過(guò)程中的法律問(wèn)題

隨著各種信用支付工具的普及，個(gè)人信用信息是否可以被商用的問(wèn)題引起了廣泛關(guān)注。根據(jù)杭州互聯(lián)網(wǎng)法院發(fā)布的十大典型案例，數(shù)據(jù)只有流通利用起來(lái)才有價(jià)值，但必須保障數(shù)據(jù)安全和個(gè)人信息權(quán)利。因此，在商業(yè)使用個(gè)人信用信息的過(guò)程中，必須審慎考慮數(shù)據(jù)安全和個(gè)人信息權(quán)利的問(wèn)題。

根據(jù)《征信業(yè)務(wù)管理辦法》相關(guān)規(guī)定，信息使用者應(yīng)當(dāng)建立并遵守信用協(xié)議，依照約定履行關(guān)于處理個(gè)人信用信息的義務(wù)。（2018）浙0192民初302號(hào)“徐某訴芝麻信用管理有限公司隱私權(quán)糾紛案”對(duì)個(gè)人信用信息商業(yè)使用的合法性進(jìn)行了判定。案件中，原告徐某通過(guò)支付寶客戶端開(kāi)通了“芝麻信用”服務(wù)，同時(shí)與芝麻信用管理有限公司簽訂了《芝麻信用服務(wù)協(xié)議》。隨后，原告收到了芝麻信用平臺(tái)發(fā)出的被執(zhí)行案件信息。原告認(rèn)為被告侵犯其隱私權(quán)，要求刪除其被執(zhí)行案件信息，并賠償其個(gè)人征信損失5 萬(wàn)元。當(dāng)事人雙方就個(gè)人被執(zhí)行案件信息的可公開(kāi)性產(chǎn)生爭(zhēng)議，法院認(rèn)為，被執(zhí)行案件信息來(lái)源于某高級(jí)人民法院，屬于可公開(kāi)內(nèi)容，且被告提供的被執(zhí)行人信息僅原告本人可以查閱，因此未侵犯原告的隱私權(quán)。這一案件明確了信息主體對(duì)國(guó)家機(jī)關(guān)依法向社會(huì)公眾公開(kāi)的內(nèi)容不享有隱私權(quán)，同時(shí)表明對(duì)于政府、法院等國(guó)家機(jī)關(guān)依法公開(kāi)的個(gè)人信用信息可以進(jìn)行合理化的商業(yè)使用。

從這個(gè)案例可以看出，企業(yè)商業(yè)使用個(gè)人信用信息的過(guò)程中，信用協(xié)議是保護(hù)數(shù)據(jù)安全的有力保障，但對(duì)于信用協(xié)議的具體規(guī)定內(nèi)容未在法律上作明確劃分，即信用協(xié)議從合同的種類上看屬于無(wú)名合同，適用《民法典》合同編的一般規(guī)則，按照第四百七十條之規(guī)定訂立合同的主要條款。然而，當(dāng)前無(wú)論是立法規(guī)定還是司法實(shí)踐上，均未對(duì)個(gè)人信用信息的具體類型作出細(xì)分，也未對(duì)個(gè)人信用信息處理者在制定格式條款時(shí)的注意義務(wù)作出特殊規(guī)定，這可能導(dǎo)致機(jī)構(gòu)違規(guī)收集使用個(gè)人信用信息、未盡審慎義務(wù)進(jìn)行授權(quán)等情況的發(fā)生。［4］個(gè)人信用信息作為敏感個(gè)人信息，其授權(quán)使用相較于普通的授權(quán)合同，具有更強(qiáng)的私密性。因此，在法律適用過(guò)程中，應(yīng)當(dāng)理出更加合理、清晰的保護(hù)規(guī)則，以確保個(gè)人信用信息得到更好的保護(hù)。

三、個(gè)人信用信息商用過(guò)程中信息處理者的合理性認(rèn)定

（一）個(gè)人信用信息商用的基本原則

1.自愿原則。個(gè)人信用信息屬于《個(gè)人信息保護(hù)法》中的敏感個(gè)人信息，根據(jù)《個(gè)人信息保護(hù)法》關(guān)于“敏感個(gè)人信息的處理規(guī)則”的規(guī)定，商用個(gè)人信用信息應(yīng)當(dāng)采用要式合同，取得個(gè)人信用信息主體的單獨(dú)同意，并向個(gè)人信用信息主體告知處理該類信息的必要性以及對(duì)個(gè)人權(quán)益的影響，處理限制民事行為能力人的個(gè)人信用信息，應(yīng)當(dāng)取得監(jiān)護(hù)人的同意。

2.公平原則。根據(jù)《征信業(yè)管理?xiàng)l例》第十九條和《民法典》第四百九十六條之規(guī)定，個(gè)人信用信息處理者采集、使用個(gè)人信用信息時(shí)，若通過(guò)格式合同約定服務(wù)內(nèi)容的，應(yīng)當(dāng)首先遵循公平原則進(jìn)行制定，對(duì)可能免除或者限制其責(zé)任的條款，應(yīng)在格式合同中作出足以引起個(gè)人信用信息主體注意的提示，并根據(jù)個(gè)人信用信息主體要求進(jìn)行明確說(shuō)明。在個(gè)人信用信息商用的過(guò)程中，個(gè)人信用信息主體對(duì)個(gè)人信用信息應(yīng)當(dāng)享有充分的知情權(quán)、同意權(quán)和決定權(quán)，相關(guān)信息只能在約定范圍內(nèi)進(jìn)行處理，一旦出現(xiàn)泄露或者非法使用，個(gè)人信用信息處理者應(yīng)當(dāng)承擔(dān)相應(yīng)的違約責(zé)任，若涉及刑事犯罪的，則應(yīng)當(dāng)由公權(quán)力機(jī)關(guān)追究其刑事責(zé)任。例如，《芝麻信用服務(wù)協(xié)議》中多次提及“您需特別關(guān)注和充分理解粗體字的內(nèi)容”“您同意我們向第三方采集并在適用的法律法規(guī)許可的范圍內(nèi)向信息使用者依法提供這些信息時(shí)，您已經(jīng)充分理解并知曉該等信息被提供和使用的風(fēng)險(xiǎn)”等內(nèi)容，均是起到對(duì)個(gè)人信用信息主體的知情權(quán)的保障作用。

因此，在個(gè)人信用信息商用過(guò)程中，應(yīng)嚴(yán)格遵守自愿原則、公平原則，并依照相關(guān)法律法規(guī)，制定合理、透明的服務(wù)協(xié)議，保障個(gè)人信息主體的知情權(quán)、同意權(quán)和決定權(quán)，以保障個(gè)人信用信息的安全和個(gè)人信用信息主體的合法權(quán)益。

（二）個(gè)人信用信息處理者的注意義務(wù)

國(guó)際上，主流的個(gè)人征信模式包括美國(guó)的市場(chǎng)主導(dǎo)型、日本的行業(yè)協(xié)會(huì)主導(dǎo)型、歐盟國(guó)家的政府主導(dǎo)型，這些模式通常采取比較高額的權(quán)利濫用處罰標(biāo)準(zhǔn)，以此降低個(gè)人信用信息泄露、濫用等風(fēng)險(xiǎn)。［5］我國(guó)《個(gè)人信息保護(hù)法》針對(duì)違法處理個(gè)人信息的不同情況，設(shè)置了不同梯次的行政處罰。為避免個(gè)人信用信息被過(guò)度挖掘，個(gè)人信用信息處理者應(yīng)當(dāng)提高注意義務(wù)，通過(guò)約束自身的行為避免強(qiáng)制授權(quán)、過(guò)度索權(quán)和超范圍采集信息。對(duì)于個(gè)人信用信息保護(hù)而言，這種注意義務(wù)可以分為內(nèi)部規(guī)范行為和外部約定行為：一方面，對(duì)機(jī)構(gòu)（或企業(yè)）內(nèi)部，應(yīng)制定嚴(yán)格的內(nèi)部管理制度和操作規(guī)程，建立健全合規(guī)制度體系，設(shè)置數(shù)據(jù)安全事件應(yīng)急預(yù)案和教育培訓(xùn)，并成立專門委員會(huì)等獨(dú)立機(jī)構(gòu)開(kāi)展監(jiān)督；另一方面，對(duì)個(gè)人信用信息主體，應(yīng)明確告知平臺(tái)規(guī)則，就平臺(tái)數(shù)據(jù)規(guī)范和數(shù)據(jù)保護(hù)義務(wù)達(dá)成合意，如數(shù)據(jù)分類管理方式、數(shù)據(jù)加密等安全措施、個(gè)人不良信息的使用、禁止采集的數(shù)據(jù)等。對(duì)于可能產(chǎn)生的不利后果，應(yīng)當(dāng)事先說(shuō)明并取得個(gè)人信用信息主體的明確同意。

（三）個(gè)人信用信息商用的合理保障措施

1.嚴(yán)格履行“告知－同意”規(guī)則

根據(jù)《個(gè)人信息保護(hù)法》相關(guān)規(guī)定，個(gè)人信用信息的收集、處理必須遵循最小化原則，并基于明確、合理的目的，即信息處理者應(yīng)當(dāng)事先明確信息用途，以及采集該信息的必要性，以保障個(gè)人權(quán)益不受損害。除履行法定義務(wù)、約定義務(wù)以及基于公益目的、緊急情況以外，信息處理者應(yīng)當(dāng)在取得個(gè)人同意后才能使用個(gè)人信用信息?！案嬷狻币?guī)則是《個(gè)人信息保護(hù)法》所確立的數(shù)據(jù)保護(hù)核心規(guī)則。［6］個(gè)人信用信息商用的前提是自愿、合法，自愿理解為個(gè)人信用信息主體認(rèn)為提供該信息符合自身利益，合法是指征信機(jī)構(gòu)與個(gè)人信用信息主體訂立的服務(wù)協(xié)議或授權(quán)協(xié)議未違反法律、行政法規(guī)的強(qiáng)制性規(guī)定。同時(shí)，根據(jù)《民法典》第四百九十六條之規(guī)定，服務(wù)協(xié)議或授權(quán)協(xié)議的內(nèi)容應(yīng)當(dāng)在當(dāng)事人雙方權(quán)責(zé)充分表達(dá)、共同商定的基礎(chǔ)上進(jìn)行確定，不得使用無(wú)提示性表達(dá)的制式合同來(lái)確定信息處理規(guī)則。

2.根據(jù)數(shù)據(jù)敏感度進(jìn)行細(xì)分

《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法》對(duì)個(gè)人信用信息的報(bào)送標(biāo)準(zhǔn)作了分類，包括金融、商業(yè)、社會(huì)類數(shù)據(jù)三個(gè)方面，其中，金融類數(shù)據(jù)包括銀行授信、證券交易、保險(xiǎn)賠付等；商業(yè)類數(shù)據(jù)包括商業(yè)交易、履約情況等；社會(huì)類數(shù)據(jù)包括行政處罰、司法判決等。［7］然而，大數(shù)據(jù)時(shí)代背景下，互聯(lián)網(wǎng)信息平臺(tái)采集個(gè)人信用信息缺乏統(tǒng)一標(biāo)準(zhǔn)?？梢詫?duì)個(gè)人信用信息的處理進(jìn)行以下簡(jiǎn)要?jiǎng)澐郑阂皇菍?duì)法定公開(kāi)的信息依法無(wú)需同意，如依法可收集的公開(kāi)裁判文書(shū)、執(zhí)行決定書(shū)等；二是對(duì)用于識(shí)別特定人的基本信息“概括性提示+同意”，如收集個(gè)人姓名、電話、身份證號(hào)碼等，應(yīng)取得本人授權(quán)；三是對(duì)可能對(duì)個(gè)人社會(huì)信用評(píng)價(jià)產(chǎn)生一定不利影響的特定信息“告知特定目的+單獨(dú)同意”，如違約情況、理財(cái)情況、交易情況等；四是對(duì)可能對(duì)個(gè)人精神權(quán)利產(chǎn)生重大不利影響的特定信息禁止采集，如按照《征信業(yè)管理?xiàng)l例》及其他強(qiáng)制性規(guī)定所保護(hù)的宗教信仰、基因、指紋、血型、疾病、病史等特定敏感數(shù)據(jù)。

結(jié)論與展望

隨著互聯(lián)網(wǎng)時(shí)代的不斷發(fā)展，個(gè)人信用信息保護(hù)面臨了更為嚴(yán)峻的挑戰(zhàn)。特別是近期ChatGPT 等大數(shù)據(jù)平臺(tái)的涌現(xiàn)，更加強(qiáng)化了個(gè)人信用信息保護(hù)的必要性。2020 年，最高人民法院工作報(bào)告中明確指出，要嚴(yán)懲侵犯公民個(gè)人信息的犯罪，依法審理網(wǎng)絡(luò)信息平臺(tái)濫用個(gè)人征信數(shù)據(jù)案件。征信業(yè)相比其他行業(yè)的數(shù)據(jù)收集而言，數(shù)據(jù)敏感性更高，傳播范圍也更廣，因此對(duì)征信機(jī)構(gòu)的注意義務(wù)提出了更高要求。然而，在商事領(lǐng)域中，個(gè)人信用信息的使用與征信系統(tǒng)的強(qiáng)制收集不同，是個(gè)人信用信息主體主動(dòng)憑借信用換取利益的過(guò)程，因此應(yīng)當(dāng)充分考慮各方利益的表達(dá)。同時(shí)，鑒于歐盟對(duì)個(gè)人數(shù)據(jù)濫用的高額處罰，個(gè)人信用信息是否可以跨境流通，以及如何平衡不同國(guó)家立法間的跨境數(shù)據(jù)保護(hù)規(guī)則，是未來(lái)需要進(jìn)一步研究的方向。