孫夢(mèng)龍 丁夢(mèng)雨

非法獲取個(gè)人征信數(shù)據(jù)的風(fēng)險(xiǎn)彌漫在征信機(jī)構(gòu)等組織的內(nèi)外部。中國人民銀行曾通報(bào)個(gè)別商業(yè)銀行員工利用職務(wù)便利，非法獲取個(gè)人征信信息的問題①參見2016年《中國人民銀行關(guān)于加強(qiáng)征信合規(guī)管理工作的通知》。。司法實(shí)踐中的刑事案件有跡可循，諸如方某甲、沈某原利用平安銀行辦公電腦系統(tǒng)非法查詢個(gè)人征信報(bào)告出售②參見（2015）甬慈刑初字第644號(hào)案。、顏某利用農(nóng)村信用社內(nèi)勤權(quán)限非法查詢個(gè)人征信報(bào)告出售③參見（2017）湘1382刑初422號(hào)案。等。內(nèi)部工作人員亦存在非法獲取個(gè)人征信數(shù)據(jù)的可能，例如，湖北某支行劉某某盜用賬號(hào)非法查詢個(gè)人征信報(bào)告出售④參見（2016）鄂1221刑初125號(hào)案。。征信機(jī)構(gòu)亦具備非法行為的條件，據(jù)銀罰決字【2023】71-73號(hào)，2023年8月，中國人民銀行針對(duì)百行征信違反信用信息采集等的行為予以處罰⑤參見中國人民銀行官方網(wǎng)站行政處罰公示銀罰決字【2023】71-73號(hào)。。外部風(fēng)險(xiǎn)更為嚴(yán)重，最高檢檢察機(jī)關(guān)依法懲治侵犯公民個(gè)人信息犯罪典型案例⑥參見《關(guān)于印發(fā)檢察機(jī)關(guān)依法懲治侵犯公民個(gè)人信息犯罪典型案例的通知》，載最高檢官網(wǎng)。、北京法院侵犯公民個(gè)人信息犯罪三起典型案例⑦參見《北京高院召開北京法院侵犯公民個(gè)人信息犯罪案件審判情況新聞通報(bào)會(huì)》載中國法院網(wǎng)。，皆包括非法獲取個(gè)人征信數(shù)據(jù)的案件。

我國已出臺(tái)若干保護(hù)個(gè)人征信數(shù)據(jù)的規(guī)范，如《征信業(yè)管理?xiàng)l例》（以下簡(jiǎn)稱《條例》）、《征信機(jī)構(gòu)管理辦法》（以下《機(jī)構(gòu)管理辦法》）、《征信業(yè)務(wù)管理辦法》（以下簡(jiǎn)稱《業(yè)務(wù)管理辦法》）等，這為個(gè)人征信數(shù)據(jù)的保護(hù)起到良好的作用。實(shí)踐的需求推動(dòng)《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)安法》）《中華人民共和國個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)保法》）《中華人民共和國數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)安法》）相繼制定，造就個(gè)人征信數(shù)據(jù)的屬性不斷變得多元，呈現(xiàn)行政責(zé)任、刑事責(zé)任、民事責(zé)任并存的格局，同時(shí)造成若干歸責(zé)困境。

一、個(gè)人征信數(shù)據(jù)的屬性與歸責(zé)

非法獲取個(gè)人征信數(shù)據(jù)可觸發(fā)刑事責(zé)任、行政責(zé)任、民事責(zé)任，三種責(zé)任具有不同的法律構(gòu)造。

（一）個(gè)人征信數(shù)據(jù)的三元屬性

首先，個(gè)人征信數(shù)據(jù)是征信相關(guān)法中的信用信息。個(gè)人征信數(shù)據(jù)最早為征信領(lǐng)域法所規(guī)制。1999年中國人民銀行《關(guān)于開展個(gè)人消費(fèi)信貸的指導(dǎo)意見》出臺(tái)，要求金融機(jī)構(gòu)從銀行信用記錄做起，對(duì)每一位消費(fèi)貸款客戶建立個(gè)人檔案，我國的個(gè)人征信數(shù)據(jù)庫建設(shè)自始奠基。2005年《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》頒布，個(gè)人征信數(shù)據(jù)庫的管理走上規(guī)范化道路。據(jù)《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》①《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》第四條規(guī)定個(gè)人信用信息的類型。，個(gè)人征信數(shù)據(jù)的范圍基本界定。2013年頒布的《條例》《機(jī)構(gòu)管理辦法》未直接對(duì)個(gè)人征信數(shù)據(jù)予以界定。2021年《業(yè)務(wù)管理辦法》進(jìn)一步明確個(gè)人征信數(shù)據(jù)的概念②《征信業(yè)務(wù)管理辦法》第三條規(guī)定信用信息的概念。。其次，個(gè)人征信數(shù)據(jù)是刑法中的公民個(gè)人信息。個(gè)人征信數(shù)據(jù)成為刑法的規(guī)制對(duì)象始自2015年《刑法修正案（九）》對(duì)刑法第二百五十三條的修改。隨后，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡(jiǎn)稱法釋〔2017〕10號(hào)）明確“征信信息”為侵犯公民個(gè)人信息罪的客體③法釋〔2017〕10號(hào)第五條，“征信信息”作為重點(diǎn)保護(hù)的客體被強(qiáng)調(diào)，個(gè)人征信數(shù)據(jù)當(dāng)然為刑法中的“公民個(gè)人信息”。。最后，個(gè)人征信數(shù)據(jù)為《個(gè)保法》中的敏感個(gè)人信息④依據(jù)中國人民銀行征信中心、百行征信、樸道征信公開的實(shí)際收集的數(shù)據(jù)類別，亦可得出此結(jié)論。。一是個(gè)人征信數(shù)據(jù)是《個(gè)保法》中的個(gè)人信息。從定義來看，個(gè)人征信數(shù)據(jù)不屬匿名化處理后的信息，個(gè)人征信數(shù)據(jù)的識(shí)別性更加突出，其主要目的為判斷個(gè)人在金融信貸領(lǐng)域的信用狀況。從構(gòu)成來看，個(gè)人征信數(shù)據(jù)包括個(gè)人基本信息、其他反映金融信貸情況的信息?！睹穹ǖ洹贰秱€(gè)保法》《網(wǎng)安法》皆規(guī)定個(gè)人信息的概念，定義基本一致，核心要點(diǎn)在“識(shí)別性”。作為識(shí)別自然人信用狀況的個(gè)人征信數(shù)據(jù)亦為規(guī)范意義中的個(gè)人信息。二是個(gè)人征信數(shù)據(jù)屬于個(gè)人信息中的敏感個(gè)人信息。《個(gè)保法》規(guī)定“敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”。在最高檢檢察機(jī)關(guān)依法懲治侵犯公民個(gè)人信息犯罪典型案例中，涉?zhèn)€人征信案件在列，該案犯罪團(tuán)伙非法獲取并出售公民個(gè)人征信數(shù)據(jù)共計(jì)31萬余條，違法所得錢款450余萬元。以個(gè)人征信數(shù)據(jù)作為詐騙手段的犯罪案件亦不在少數(shù)，例如席某詐騙案中，席某謊稱可消除不良征信，騙取他人巨額財(cái)物⑤參見（2019）內(nèi)0202刑初45號(hào)案。。由此，個(gè)人征信數(shù)據(jù)的泄露與非法使用，不僅造成人格尊嚴(yán)的侵害，還會(huì)造成人身、財(cái)產(chǎn)的危害，個(gè)人征信數(shù)據(jù)應(yīng)為敏感個(gè)人信息屬實(shí)。

（二）非法獲取個(gè)人征信數(shù)據(jù)的民事與刑事的歸責(zé)模式

第一，刑事中的歸責(zé)依據(jù)主要為《刑法》第二百五十三條。首先，從行為模式看，包括竊取、以其他方法非法獲取兩種，從語義上分析，竊取為非法獲取的一種典型方式，以其他方法非法獲取屬于兜底條款。此外，法釋〔2017〕10號(hào)對(duì)以其他方法非法獲取進(jìn)行列舉，主要包括“購買、收受、交換，在履行職責(zé)、提供服務(wù)過程中收集”。因此，非法獲取個(gè)人征信數(shù)據(jù)包括竊取，購買、收受、交換，在履行職責(zé)、提供服務(wù)中收集等方式。其次，以入罪情節(jié)來看，情節(jié)嚴(yán)重為入罪門檻，情節(jié)特別嚴(yán)重為量刑升格條件。據(jù)法釋〔2017〕10號(hào)，情節(jié)嚴(yán)重具體包括“非法獲取個(gè)人征信數(shù)據(jù)五十條以上的”等四種情形。情節(jié)特別嚴(yán)重指主要造成人身、財(cái)產(chǎn)的嚴(yán)重后果或數(shù)量特別大。

第二，民事中，非法獲取個(gè)人征信數(shù)據(jù)的侵權(quán)責(zé)任涉及多部法律、行政法規(guī)和部門規(guī)章，但以引致條款為主。非法獲取個(gè)人征信數(shù)據(jù)亦包括竊取、以其他方式非法獲取兩種，與刑事責(zé)任不同，對(duì)個(gè)人造成損失損害是成立民事責(zé)任的前提?；镜臍w責(zé)依據(jù)在《民法典》《個(gè)保法》。《民法典》明確宣示個(gè)人信息受法律保護(hù)，不得非法獲取，并規(guī)定不承擔(dān)民事責(zé)任的情形等規(guī)則，但未規(guī)定歸責(zé)原則。《個(gè)保法》明確規(guī)定個(gè)人信息的歸責(zé)原則、賠償數(shù)額的確定方式，第六十九條規(guī)定，非法獲取個(gè)人征信數(shù)據(jù)的歸責(zé)原則為過錯(cuò)推定。

（三）非法獲取個(gè)人征信數(shù)據(jù)的行政歸責(zé)模式

第一，非法獲取個(gè)人征信數(shù)據(jù)在征信領(lǐng)域法中的行政歸責(zé)模式。《條例》第三十八條、《業(yè)務(wù)管理辦法》第八條構(gòu)建的非法獲取個(gè)人征信數(shù)據(jù)的行政責(zé)任包括財(cái)產(chǎn)罰和行為罰。其中財(cái)產(chǎn)罰主要為罰款，沒收違法所得的適用則可供裁量。罰款為“雙罰制”，分別對(duì)單位、單位的直接責(zé)任人員處以罰款，幅度為單位五萬至五十萬元、個(gè)人一萬至十萬元。行為罰是指吊銷征信機(jī)構(gòu)的個(gè)人征信業(yè)務(wù)經(jīng)營許可。在監(jiān)管對(duì)象上，分為征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)兩類。

第二，非法獲取個(gè)人征信數(shù)據(jù)在《個(gè)保法》中的行政歸責(zé)模式?！秱€(gè)保法》未排除對(duì)征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)的適用①《個(gè)人信息保護(hù)法》第十條規(guī)定：任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息；不得從事危害國家安全、公共利益的個(gè)人信息處理活動(dòng)。，征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)獲取個(gè)人征信數(shù)據(jù)的行為是個(gè)人信息處理行為，在處理個(gè)人征信數(shù)據(jù)的場(chǎng)景中，征信機(jī)構(gòu)等屬個(gè)人信息處理者的范疇②《個(gè)人信息保護(hù)法》第四條規(guī)定：個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。第七十三條規(guī)定：個(gè)人信息處理者，是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。。就征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)而言，個(gè)人征信數(shù)據(jù)的監(jiān)管主體仍是中國人民銀行及其分支機(jī)構(gòu)?！稐l例》《業(yè)務(wù)管理辦法》規(guī)定信用信息的監(jiān)管主體為中國人民銀行及其分支機(jī)構(gòu)，中國人民銀行及其分支機(jī)構(gòu)屬《個(gè)保法》所規(guī)定的“在職責(zé)范圍內(nèi)”履行個(gè)人信息保護(hù)職責(zé)的部門。另外，在中國人民銀行履職范圍之外的部分，征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)之外的組織、個(gè)人，非法獲取個(gè)人征信數(shù)據(jù)的行為受網(wǎng)信部門、公安機(jī)關(guān)管理③《個(gè)人信息保護(hù)法》第六十條規(guī)定：國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。。據(jù)《個(gè)保法》第六十六條，非法獲取個(gè)人征信數(shù)據(jù)的行政處罰亦是“雙罰制”，包括兩種情形三個(gè)階段（見下圖）。

行政歸責(zé)模式

二、非法獲取個(gè)人征信數(shù)據(jù)的歸責(zé)困境

多重責(zé)任疊加愈加放大歸責(zé)困境。非法獲取個(gè)人征信數(shù)據(jù)的行政責(zé)任具有執(zhí)法依據(jù)多樣、管轄主體多元的特點(diǎn)。同一行為可觸犯不同規(guī)范，可由多個(gè)主體歸責(zé)，導(dǎo)致不同的責(zé)任。行政責(zé)任與刑事責(zé)任裁量標(biāo)準(zhǔn)不同，導(dǎo)致案件移送不便，阻隔行刑歸責(zé)的銜接。個(gè)人的歸責(zé)能力畸弱是民事歸責(zé)的突出問題。

（一）行政歸責(zé)存在多層次的競(jìng)合

首先，非法獲取個(gè)人征信數(shù)據(jù)的行為者為征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)時(shí)，根據(jù)《個(gè)保法》《條例》，監(jiān)管主體皆為中國人民銀行及其分支機(jī)構(gòu)，但存在適用《條例》還是《個(gè)保法》予以處罰的疑問。非法獲取個(gè)人征信數(shù)據(jù)的行為既符合《條例》，亦符合《個(gè)保法》，兩者具有完全不同處罰條款、處罰思路、法律地位。一是非法獲取個(gè)人征信數(shù)據(jù)的行政處罰規(guī)定不同。《條例》規(guī)定的比較簡(jiǎn)略，采用單位和個(gè)人皆處罰的“雙罰制”，情節(jié)嚴(yán)重則可吊銷經(jīng)營許可?！秱€(gè)保法》規(guī)定的較為復(fù)雜，不僅規(guī)定警告、禁業(yè)限制等處罰，還區(qū)分出“拒不改正”和“情節(jié)嚴(yán)重”兩種情況，情節(jié)嚴(yán)重的處罰額度也比較高，可上至五千萬元。二是對(duì)非法獲取個(gè)人征信數(shù)據(jù)的行為，《個(gè)保法》與《條例》的處罰思路完全不同?！稐l例》沒有警告的階段，直接對(duì)不法行為者處以罰款，《個(gè)保法》則規(guī)定有警告的階段，只有在警告等處罰手段后“拒不改正”，才會(huì)上升到罰款層面。在“拒不改正”之前，《個(gè)保法》的處罰力度較小，在“拒不改正”之后，處罰力度比《條例》大許多。三是《個(gè)保法》與《條例》存在制定時(shí)間與法律位階的錯(cuò)位。從法律位階看，《條例》屬行政法規(guī)，規(guī)則的適用限在征信信息領(lǐng)域；《個(gè)保法》為法律，具有適用的普遍性，關(guān)系所有的個(gè)人信息保護(hù)問題。以特別法優(yōu)先一般法來看，《條例》作為征信領(lǐng)域法，規(guī)定的是征信領(lǐng)域的專門問題，應(yīng)適用《條例》；以新法優(yōu)先舊法來看，《個(gè)保法》是在《條例》生效之后制定的法律，包涵保護(hù)個(gè)人信息的普適性規(guī)則，應(yīng)適用《個(gè)保法》。完全不同的兩套行政處罰方式都具備執(zhí)法依據(jù)，歸責(zé)的競(jìng)合不可避免。此外，依據(jù)《網(wǎng)安法》第四十四和六十五條，公安機(jī)關(guān)也具備對(duì)征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)的處罰權(quán)。在非法行為者是征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)時(shí)，同一行為可觸發(fā)三種行政歸責(zé)模式。

其次，征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)營機(jī)構(gòu)以外的組織、個(gè)人不屬《條例》的規(guī)范對(duì)象。征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)營機(jī)構(gòu)以外的組織、個(gè)人非法獲取個(gè)人征信數(shù)據(jù)，雖不存在是否適用《條例》的問題，卻也存在法律適用的競(jìng)合。依據(jù)《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）第二十五條規(guī)定，非法獲取個(gè)人信息的，公安機(jī)關(guān)應(yīng)按照《網(wǎng)安法》第六十四條的規(guī)定處罰。《個(gè)保法》亦規(guī)定非法獲取個(gè)人信息的處罰，但《個(gè)保法》頒布在2021年，制定的時(shí)間比《網(wǎng)安法》和《規(guī)定》稍晚，在《個(gè)保法》制定時(shí)，公安機(jī)關(guān)已經(jīng)具有處理非法獲取個(gè)人信息的行政處罰權(quán)，結(jié)合《個(gè)保法》，履行個(gè)人信息保護(hù)職責(zé)的部門應(yīng)包括網(wǎng)信部門、公安機(jī)關(guān)。征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)營機(jī)構(gòu)以外的組織、個(gè)人非法獲取個(gè)人征信數(shù)據(jù)的，網(wǎng)信部門、公安機(jī)關(guān)皆可依據(jù)《個(gè)保法》第六十六條予以行政處罰。公安機(jī)關(guān)作為《個(gè)保法》中的履行個(gè)人信息保護(hù)職責(zé)部門，同時(shí)具備適用《個(gè)保法》第六十六條、《網(wǎng)安法》第六十四條進(jìn)行執(zhí)法的依據(jù)。對(duì)非法獲取個(gè)人征信數(shù)據(jù)的行為，公安機(jī)關(guān)可同時(shí)依據(jù)兩套行政處罰制度予以處罰，歸責(zé)的競(jìng)合也不可避免。故不法行為者是征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)營機(jī)構(gòu)以外的組織、個(gè)人，可同時(shí)觸發(fā)兩種行政歸責(zé)模式。

（二）刑事責(zé)任與行政責(zé)任的歸責(zé)銜接存在多維度的阻隔

首先，刑事責(zé)任與行政責(zé)任歸責(zé)標(biāo)準(zhǔn)不貫通。一是非法獲取個(gè)人征信數(shù)據(jù)刑事責(zé)任的歸責(zé)標(biāo)準(zhǔn)較明確。如前所述，刑法規(guī)定，侵犯公民個(gè)人信息罪的入罪標(biāo)準(zhǔn)為情節(jié)嚴(yán)重，法釋〔2017〕10號(hào)解釋情節(jié)嚴(yán)重的標(biāo)準(zhǔn)時(shí)，采用極為量化的指標(biāo)[1]。綜合入罪的若干項(xiàng)主要指標(biāo)，從數(shù)量上看，非法獲取個(gè)人征信數(shù)據(jù)五十條以上為情節(jié)嚴(yán)重，在刑事司法實(shí)踐中，一般需核實(shí)侵犯公民個(gè)人征信數(shù)據(jù)的實(shí)際數(shù)量，據(jù)此作為定罪量刑的標(biāo)準(zhǔn)。從違法所得來看，以非法獲取個(gè)人征信數(shù)據(jù)獲利五千元以上為情節(jié)嚴(yán)重，在實(shí)踐中，犯罪所得的數(shù)額是重要的量刑參照。據(jù)此，一般情況下，非法獲取個(gè)人征信數(shù)據(jù)的入罪，有兩條主要的、可混合適用的、直觀且明確的平行標(biāo)準(zhǔn)，數(shù)量在五十條以上及犯罪所得在五千元以上。二是非法獲取個(gè)人征信數(shù)據(jù)的行政責(zé)任歸責(zé)標(biāo)準(zhǔn)不明確。非法獲取個(gè)人征信數(shù)據(jù)的行為者是征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)時(shí)，依據(jù)《條例》，對(duì)單位和個(gè)人分別可處罰五萬至五十萬元、一萬至十萬元的罰款，情節(jié)嚴(yán)重的吊銷經(jīng)營許可，但歸責(zé)門檻、處罰幅度都沒有一個(gè)明確的量化指標(biāo)，諸如何種情形應(yīng)處罰何種罰款額度，“情節(jié)嚴(yán)重”如何判斷，都沒有具體的指標(biāo)。中國人民銀行及其分支機(jī)構(gòu)，網(wǎng)信部門、公安機(jī)關(guān)適用《個(gè)保法》第六十六條處罰征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)，其他組織、個(gè)人時(shí)，同樣存在這一問題，“拒不改正”尚容易辨別，“情節(jié)嚴(yán)重”則缺少標(biāo)準(zhǔn)。

其次，行政歸責(zé)的管轄權(quán)割裂。非法獲取個(gè)人征信數(shù)據(jù)的行政歸責(zé)涉及多個(gè)類別的主體。具有管轄權(quán)的行政主體為中國人民銀行及其分支機(jī)構(gòu)、網(wǎng)信部門、公安機(jī)關(guān)，行政行為的對(duì)象包括征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)，其他組織、個(gè)人。不法行為者是征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)時(shí)，管轄的主體既為中國人民銀行及其分支機(jī)構(gòu)又為公安機(jī)關(guān)；不法行為者是其他組織、個(gè)人時(shí)，管轄的主體既是網(wǎng)信部門又是公安機(jī)關(guān)。公安機(jī)關(guān)在辦理案件中發(fā)現(xiàn)的涉嫌犯罪案件自然不必移送。中國人民銀行及其分支機(jī)構(gòu)移送的對(duì)象為征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫，網(wǎng)信部門移送的對(duì)象為其他組織、個(gè)人。

最后，標(biāo)準(zhǔn)的不貫通、管轄權(quán)的割裂，共同造成行政責(zé)任與刑事責(zé)任歸責(zé)移送的不銜接。行政責(zé)任與刑事責(zé)任歸責(zé)標(biāo)準(zhǔn)的不貫通，是歸責(zé)移送不銜接的基礎(chǔ)原因。依據(jù)《中華人民共和國行政處罰法》第二十七條，違法行為涉嫌犯罪的，應(yīng)先移送司法機(jī)關(guān)對(duì)犯罪行為進(jìn)行處理。《個(gè)保法》第六十四條在個(gè)人信息保護(hù)領(lǐng)域?qū)@一規(guī)定予以確認(rèn)。在非法獲取個(gè)人征信數(shù)據(jù)的歸責(zé)中，行政責(zé)任裁量標(biāo)準(zhǔn)不明確、不量化，行政處罰的行政行為主體考慮非法獲取個(gè)人征信數(shù)據(jù)的數(shù)量、違法所得的數(shù)額等量化內(nèi)容成為不必要，行政行為的主體往往處在只知行政處罰不知是否涉嫌犯罪的境地，不自覺地以行政處罰代替刑事處罰，導(dǎo)致歸責(zé)移送的不銜接。行政管轄的割裂，放大標(biāo)準(zhǔn)不貫通的弊端，固化歸責(zé)移送不銜接的問題。征信機(jī)構(gòu)經(jīng)由中國人民銀行審批獲得經(jīng)營資格，金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)屬中國人民銀行管理的事業(yè)單位，兩者都與自身的監(jiān)管機(jī)構(gòu)存在千絲萬縷的聯(lián)系，行政處罰標(biāo)準(zhǔn)與刑事責(zé)任標(biāo)準(zhǔn)的不貫通，恰可為監(jiān)管機(jī)構(gòu)模糊被監(jiān)管者不法行為的性質(zhì)留下空間。依據(jù)《個(gè)保法》第六十四條，履行個(gè)人信息保護(hù)職責(zé)的部門發(fā)現(xiàn)涉嫌犯罪的不法行為，應(yīng)移送公安機(jī)關(guān)處理，這是行政責(zé)任與刑事責(zé)任間的單向移送?！缎姓幜P法》規(guī)定的移送制度是雙向的，對(duì)依法不需要追究刑事責(zé)任或者免予刑事處罰，但應(yīng)當(dāng)給予行政處罰的，司法機(jī)關(guān)應(yīng)當(dāng)及時(shí)將案件移送有關(guān)行政機(jī)關(guān)。行政管轄的割裂，放大這種單向移送的不銜接問題。公安機(jī)關(guān)具有對(duì)任何組織、個(gè)人非法獲取個(gè)人征信數(shù)據(jù)的行政處罰權(quán)，在公安機(jī)關(guān)處理的涉嫌犯罪不法行為中，征信機(jī)構(gòu)等最終被判定沒有達(dá)到犯罪標(biāo)準(zhǔn)的，是否需要移送中國人民銀行及其分支機(jī)構(gòu)，便存在矛盾。

（三）民事歸責(zé)中個(gè)人的訴權(quán)弱小

首先，民事歸責(zé)中，個(gè)人訴權(quán)的實(shí)現(xiàn)存在權(quán)利范圍不明的障礙。非法獲取個(gè)人征信數(shù)據(jù)的民事責(zé)任以個(gè)人信息權(quán)益存在損害為前提。反之，非法獲取個(gè)人征信數(shù)據(jù)，不存在個(gè)人信息權(quán)益的損害，應(yīng)不承擔(dān)民事責(zé)任。在刑事案件中，非法獲取個(gè)人征信數(shù)據(jù)五十條以上為犯罪，例如，梁某侵犯公民個(gè)人信息罪一案中，梁某從其他不法份子手里購買個(gè)人征信報(bào)告127條，因而獲刑①參見（2019）蘇0321刑初639號(hào)案。。此刑事案件中，個(gè)人征信數(shù)據(jù)被梁某非法獲取的特定個(gè)人能否提起民事訴訟，需首先證明是否存在個(gè)人信息權(quán)益的損害。再如，在銀罰決字【2023】71-73號(hào)中，中國人民銀行對(duì)百行征信予以警告、罰款51.5萬元的處罰，理由包括非法獲取信用信息等，雖行政監(jiān)管不排斥民事訴訟，在行政處罰后，個(gè)人能否提起訴訟主張侵權(quán)責(zé)任，也存在個(gè)人信息權(quán)益是否遭受損害的認(rèn)定前提[2]。一是《個(gè)保法》第六十九條所規(guī)定的“個(gè)人信息權(quán)益”具體內(nèi)容，實(shí)踐中并無明確的規(guī)范性解釋[3]?！皞€(gè)人信息權(quán)益”是財(cái)產(chǎn)權(quán)還是人格權(quán)，抑或同時(shí)具備財(cái)產(chǎn)權(quán)、人格權(quán)，沒有清晰的界定[4]。另外，個(gè)人征信數(shù)據(jù)與其他個(gè)人信息不同，它是法律規(guī)定的需要強(qiáng)制收集的數(shù)據(jù)，又是敏感個(gè)人信息，以《個(gè)保法》構(gòu)建的“告知—同意”為核心的個(gè)人信息自決權(quán)為基準(zhǔn)，“個(gè)人信息權(quán)益”之于個(gè)人征信數(shù)據(jù)、一般個(gè)人信息，內(nèi)涵并不完全一致。個(gè)人征信數(shù)據(jù)的特殊性質(zhì)加重“個(gè)人信息權(quán)益”內(nèi)容不明的訴訟難度。二是“個(gè)人信息權(quán)益”的內(nèi)容不明使“造成損害”的數(shù)量計(jì)算落空。非法獲取個(gè)人征信數(shù)據(jù)的行為模式具有特殊性，侵權(quán)者一般不會(huì)只獲取特定個(gè)人的征信數(shù)據(jù)用以侵害特定個(gè)人的權(quán)益。不法行為者非法獲取的個(gè)人征信數(shù)據(jù)存在一定的量級(jí)，特定個(gè)人的個(gè)人征信報(bào)告是確定、唯一的。即使非法行為者獲取大量的個(gè)人征信數(shù)據(jù)，又通過出售等行為攫取不菲的違法所得，個(gè)人在其中的實(shí)際損害為何、不法者通過特定人的征信數(shù)據(jù)獲取的違法所得為何，無論人格權(quán)益抑或財(cái)產(chǎn)權(quán)益，“損害”的量化相當(dāng)困難。如此，個(gè)人的權(quán)利范圍便不清晰，權(quán)利的行使走向真空。

其次，民事歸責(zé)中，過錯(cuò)推定的歸責(zé)模式削弱個(gè)人的訴訟權(quán)利?！秱€(gè)保法》規(guī)定，個(gè)人信息的侵權(quán)歸責(zé)原則為過錯(cuò)推定[5]，行為者對(duì)個(gè)人信息權(quán)益造成損害，可證明沒有過錯(cuò)時(shí)，將不承擔(dān)民事責(zé)任。例如，在許某某侵權(quán)案中①參見（2023）遼03民終1358號(hào)案。，法院認(rèn)為某公司確實(shí)損害許某某母親的個(gè)人信息權(quán)益，但某公司可證明自己不存在過錯(cuò)，所以不應(yīng)承擔(dān)侵權(quán)責(zé)任。在個(gè)人信息國家保護(hù)的模式中[6]，個(gè)人要主張非法獲取個(gè)人征信數(shù)據(jù)的侵權(quán)責(zé)任，在“個(gè)人信息權(quán)益”和“造成損害”范圍不明時(shí)，除要舉證個(gè)人信息權(quán)益遭受損害，還要期待行為者對(duì)自己無過錯(cuò)的證明不能。同等情形下的刑事責(zé)任、行政責(zé)任則容易證立。此外，《個(gè)保法》第七十條確立個(gè)人信息保護(hù)的公益訴訟制度，在刑事案件、行政案件中，檢察院等法定主體可通過刑事附帶民事公益訴訟等方式實(shí)現(xiàn)民事歸責(zé)[7]。但對(duì)個(gè)人信息權(quán)益的保護(hù)也不能完全寄望利益中立、任務(wù)繁重的公共實(shí)體。個(gè)人不僅應(yīng)在個(gè)人信息權(quán)益的保護(hù)中具備主體地位，還應(yīng)具有相當(dāng)?shù)木S權(quán)能力。侵權(quán)責(zé)任與刑事責(zé)任、行政責(zé)任的聯(lián)系千絲萬縷。非法獲取個(gè)人征信數(shù)據(jù)可觸發(fā)行政處罰、刑事犯罪，也可引發(fā)侵權(quán)責(zé)任，三者存在競(jìng)合也不等同個(gè)人需將自身權(quán)益的保護(hù)完全托付給國家。

三、非法獲取個(gè)人征信數(shù)據(jù)歸責(zé)困境的疏解進(jìn)路

疏解個(gè)人征信數(shù)據(jù)的歸責(zé)困境，可從解決行政歸責(zé)競(jìng)合，行政責(zé)任、刑事責(zé)任歸責(zé)銜接的阻隔，民事歸責(zé)中個(gè)人訴權(quán)弱小三個(gè)方面著手。

（一）統(tǒng)一行政責(zé)任歸責(zé)模式

首先，可考慮修改《條例》第三十八條，在征信領(lǐng)域法中，將非法獲取個(gè)人征信數(shù)據(jù)的行政處罰指向《個(gè)保法》第六十六條。非法獲取個(gè)人征信數(shù)據(jù)行政責(zé)任的多層次競(jìng)合，原因?yàn)榱⒎ǖ臏笮院头稚⑿?。任何法律都具有一定的滯后性，這是法律固有的特點(diǎn)。數(shù)字社會(huì)迅速發(fā)展，特定的事物往往短期內(nèi)具有不同的立法需求，如此造成立法的分散無疑放大非法獲取個(gè)人征信數(shù)據(jù)的立法滯后。《條例》頒布在2013年，彼時(shí)的網(wǎng)絡(luò)社會(huì)發(fā)展還不充分，信息的載體以紙質(zhì)文本為主，以數(shù)據(jù)作為載體的信息存儲(chǔ)方式尚不普遍，非法獲取個(gè)人征信的監(jiān)管矛盾并不突出。其后，信息技術(shù)突飛猛進(jìn)，《網(wǎng)安法》《個(gè)保法》《數(shù)安法》依次制定，個(gè)人征信數(shù)據(jù)的保護(hù)不僅涉及網(wǎng)絡(luò)安全還涉及個(gè)人信息保護(hù)、數(shù)據(jù)安全。2021年，部門規(guī)章《業(yè)務(wù)管理辦法》出臺(tái)，吸收《個(gè)保法》的若干精神，擴(kuò)充個(gè)人征信信息的保護(hù)范圍，但仍沿用2013年《條例》的處罰制度?！秱€(gè)保法》生效后，在對(duì)征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫適用行政處罰方面，中國人民銀行及其分支機(jī)構(gòu)無論適用《條例》抑或《個(gè)保法》都具備執(zhí)法基礎(chǔ)，這種矛盾亟需解決。解決的最優(yōu)路徑是修改《條例》第三十八條，使其符合《個(gè)保法》第六十六條的規(guī)定。原因有三，一是《條例》已經(jīng)制定十年，彼時(shí)對(duì)個(gè)人征信的保護(hù)并未涉及個(gè)人信息等問題，當(dāng)下應(yīng)對(duì)其修改以適用數(shù)字社會(huì)的實(shí)際需求。二是基于法律位階[8]，《個(gè)保法》作為法律理應(yīng)得到貫徹執(zhí)行，修改《條例》適應(yīng)《個(gè)保法》具有立法的法理基礎(chǔ)。三是《個(gè)保法》的歸責(zé)模式更優(yōu)。罰金范圍較《條例》的幅度更大，符合當(dāng)下的經(jīng)濟(jì)社會(huì)發(fā)展；處罰梯度先柔和后嚴(yán)厲，能較好兼顧經(jīng)濟(jì)發(fā)展和個(gè)人權(quán)利保護(hù)。

其次，可考慮修改《網(wǎng)安法》第六十五條，由具體的處罰規(guī)定變?yōu)橐滦詶l款，將對(duì)其他組織、個(gè)人非法獲取個(gè)人征信數(shù)據(jù)的行政處罰指向《個(gè)保法》。原因有二，一是《網(wǎng)安法》頒布在2016年，主要目的為保障網(wǎng)絡(luò)安全，彼時(shí)制定個(gè)人信息保護(hù)法的條件尚未成熟，《網(wǎng)安法》針對(duì)個(gè)人信息的保護(hù)也做一些規(guī)定，賦予公安機(jī)關(guān)非法獲取個(gè)人信息的處罰權(quán)。2021年《個(gè)保法》制定，作為專門規(guī)范個(gè)人信息保護(hù)的法律，較《網(wǎng)安法》更為精細(xì)，《網(wǎng)安法》中涉及個(gè)人信息保護(hù)的規(guī)定已經(jīng)完成歷史使命，應(yīng)調(diào)整為引致性條款，以方便涉及個(gè)人信息保護(hù)的行政處罰適用《個(gè)保法》。二是保證行政處罰的公平、統(tǒng)一。按照前述修改，對(duì)征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)非法獲取個(gè)人征信數(shù)據(jù)的處罰適應(yīng)《個(gè)保法》第六十六條；其他組織、個(gè)人做出同樣行為亦應(yīng)得到相同行政處罰，否則將破壞法律適用的平等性。據(jù)此修改，結(jié)合《中華人民共和國行政處罰法》第二十五條，管轄的重疊將不是問題。無論網(wǎng)信部門、公安機(jī)關(guān)抑或中國人民銀行及其分支機(jī)構(gòu)，適用法律將具有統(tǒng)一性，法律適用的統(tǒng)一已經(jīng)消弭管轄的重疊。

（二）完善行政責(zé)任、刑事責(zé)任歸責(zé)的銜接制度

首先，應(yīng)由網(wǎng)信部門會(huì)同有關(guān)部門商定非法獲取個(gè)人征信數(shù)據(jù)的行政裁量基準(zhǔn)。刑法嚴(yán)厲打擊侵犯公民個(gè)人征信數(shù)據(jù)的行為，非法獲取個(gè)人征信數(shù)據(jù)的行為較容易達(dá)到刑法的入罪標(biāo)準(zhǔn)，行政責(zé)任的適用反倒不緊迫。同時(shí)，對(duì)非法獲取個(gè)人征信數(shù)據(jù)的行為者行使行政處罰權(quán)的管轄部門比較分散，并不是所有部門與司法機(jī)關(guān)的溝通、聯(lián)系都如此密切，這容易造成以行政處罰代替刑事處罰的結(jié)果?；诜欠ǐ@取個(gè)人征信數(shù)據(jù)的多方管轄特點(diǎn)，非法獲取個(gè)人征信數(shù)據(jù)的行政責(zé)任的處罰裁量標(biāo)準(zhǔn)，應(yīng)由網(wǎng)信部門會(huì)同中國人民銀行、公安機(jī)關(guān)、檢察機(jī)關(guān)、人民法院商定細(xì)則。網(wǎng)信部門作為個(gè)人信息保護(hù)的統(tǒng)籌協(xié)調(diào)機(jī)構(gòu)，應(yīng)承擔(dān)規(guī)則制定的責(zé)任。中國人民銀行、公檢法機(jī)關(guān)都是個(gè)人征信數(shù)據(jù)保護(hù)場(chǎng)景中的職責(zé)部門，多方參與可將實(shí)踐中的需求加入規(guī)則中。在行政裁量基準(zhǔn)的制定中，應(yīng)采用量化的方式，重點(diǎn)確定《個(gè)保法》的行政歸責(zé)模式中，第一階段情節(jié)未達(dá)嚴(yán)重、第三階段“情節(jié)嚴(yán)重”的數(shù)額標(biāo)準(zhǔn)。

其次，應(yīng)建立非法獲取個(gè)人征信數(shù)據(jù)案件的雙向移送機(jī)制。所謂雙向移送制度，是指在非法獲取個(gè)人征信數(shù)據(jù)的行政處罰中發(fā)現(xiàn)涉嫌犯罪的，中國人民銀行及其分支機(jī)構(gòu)、網(wǎng)信部門應(yīng)將案件移送至公安機(jī)關(guān)；公安機(jī)關(guān)在處理涉嫌侵犯公民個(gè)人信息罪的過程中，發(fā)現(xiàn)達(dá)不到犯罪標(biāo)準(zhǔn)的，行為者如果是征信機(jī)構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)，應(yīng)將案件移送給中國人民銀行及其分支機(jī)構(gòu)接受行政處罰。具體而言，雙向案件移送制度的結(jié)構(gòu)包括三個(gè)主體、兩個(gè)方向。中國人民銀行及其分支機(jī)構(gòu)、網(wǎng)信部門將非法獲取個(gè)人征信數(shù)據(jù)犯罪案件移送給公安機(jī)關(guān)，這是貫徹《個(gè)保法》第六十四條規(guī)定的基本要求；公安機(jī)關(guān)將達(dá)不到犯罪標(biāo)準(zhǔn)的案件移送給中國人民銀行及其分支機(jī)構(gòu)，依據(jù)在《中華人民共和國行政處罰法》第二十七條，即對(duì)不必追究刑事責(zé)任以及免于追究刑事責(zé)任的案件，應(yīng)及時(shí)移送至行政機(jī)關(guān)。對(duì)公安機(jī)關(guān)處理的不涉嫌犯罪的非法獲取個(gè)人征信數(shù)據(jù)案件，則不必移送，如前述修改，公安機(jī)關(guān)可直接依據(jù)《個(gè)保法》第六十六條處罰。

（三）強(qiáng)化民事歸責(zé)中的個(gè)人訴權(quán)

首先，強(qiáng)化民事歸責(zé)中的個(gè)人訴權(quán)可訴諸司法解釋。對(duì)個(gè)人征信數(shù)據(jù)的“個(gè)人信息權(quán)益”的解釋，應(yīng)基于敏感個(gè)人信息的特點(diǎn)考慮，不應(yīng)只局限在《個(gè)保法》以“告知—同意”為中心構(gòu)建起來的個(gè)人信息自決權(quán)，還應(yīng)包括《民法典》中的個(gè)人信息人格權(quán)。這些內(nèi)容以侵權(quán)法為樞紐，可達(dá)到較好的聯(lián)結(jié)。同時(shí)，對(duì)“造成損害”亦應(yīng)做出擴(kuò)大解釋。非法獲取個(gè)人征信數(shù)據(jù)的行為者不可能只獲取特定個(gè)人的數(shù)據(jù)，其違法所得、侵犯的征信數(shù)據(jù)造成的實(shí)際損害難以分離、量化到具體的個(gè)人。個(gè)人在論證非法獲取個(gè)人征信數(shù)據(jù)具有損害方面具有操作的困難，“造成損害”應(yīng)包括個(gè)人為維護(hù)個(gè)人信息權(quán)益而耗費(fèi)的成本、被非法獲取的個(gè)人征信數(shù)據(jù)暴露的范圍等。①我國臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》的個(gè)人信息損害賠償制度值得借鑒，其第二十八條規(guī)定“如被害人不易或不能證明其實(shí)際損害額時(shí)，得請(qǐng)求法院依侵害情節(jié)，以每人每一事件新臺(tái)幣五百元以上二萬元以下計(jì)算”。其次，強(qiáng)化民事歸責(zé)中的個(gè)人訴權(quán)還需重新構(gòu)造非法獲取個(gè)人征信數(shù)據(jù)的歸責(zé)原則。一是《個(gè)保法》中，個(gè)人信息的民事侵權(quán)歸責(zé)原則為過錯(cuò)推定，這種模式有待優(yōu)化，可考慮修改《個(gè)保法》第六十九條，增加無過錯(cuò)責(zé)任一項(xiàng)?；跇I(yè)務(wù)經(jīng)營等原因，在特定個(gè)人信息遭受非法獲取時(shí)，持有特定個(gè)人信息、負(fù)有個(gè)人信息保護(hù)義務(wù)的企業(yè)等組織應(yīng)承擔(dān)無過錯(cuò)責(zé)任。具體而言，在其他組織、個(gè)人，非法獲取個(gè)人征信數(shù)據(jù)的場(chǎng)景中，具有個(gè)人征信數(shù)據(jù)保護(hù)義務(wù)的組織應(yīng)承擔(dān)無過錯(cuò)責(zé)任。該種責(zé)任與非法獲取個(gè)人征信數(shù)據(jù)的其他組織、個(gè)人連帶承擔(dān)。二是可考慮在《個(gè)保法》第六十九條中增加禁止非法獲取個(gè)人信息一項(xiàng)?！秱€(gè)保法》中的“處理個(gè)人信息”應(yīng)做限縮，理解為本身帶著合法的權(quán)限、合理的目的處理行為，如此可與《民法典》的責(zé)任免除制度對(duì)接。如果本身帶著非法的目的，自不應(yīng)討論過錯(cuò)的存在與否，不應(yīng)適用《個(gè)保法》第六十九條的過錯(cuò)推定原則，而應(yīng)直接按照損害承擔(dān)侵權(quán)責(zé)任。只有本身帶著合法的權(quán)限、合理的目的處理個(gè)人信息時(shí)造成損害的，才適用過錯(cuò)推定原則和《民法典》的責(zé)任免除制度?；趯?duì)此處的限縮解釋，在《個(gè)保法》第六十九條，還應(yīng)明確增加禁止非法獲取個(gè)人信息的規(guī)定。

四、結(jié)語

非法獲取個(gè)人征信數(shù)據(jù)的歸責(zé)困境，亟需通過統(tǒng)一行政責(zé)任的歸責(zé)模式，構(gòu)建刑、行歸責(zé)銜接制度，在民事歸責(zé)中強(qiáng)化個(gè)人訴權(quán)來解決。前述歸責(zé)困境，既是非法獲取個(gè)人征信數(shù)據(jù)的專屬困境，又是個(gè)人信息保護(hù)領(lǐng)域的普遍問題，對(duì)非法獲取個(gè)人征信數(shù)據(jù)的歸責(zé)困境的解決，本就帶著解決個(gè)人信息保護(hù)領(lǐng)域的普遍歸責(zé)問題的隱性審視。個(gè)人信息保護(hù)多主體多結(jié)構(gòu)的歸責(zé)模式，一方面表明在社會(huì)發(fā)展中，立法者一刻不停地緊盯個(gè)人信息保護(hù)，采取多種措施；另一方面也表明個(gè)人信息保護(hù)的全部核心問題并未完全揭開面紗，亟需在法律的不斷適應(yīng)中解決實(shí)際需求。