淺析征信視角下的個人信用數據法律保護

摘要：隨著信用經濟的發展，在個人信用征信過程中，個人信用數據被不當使用、侵害個人權益的現象較為嚴重，而目前我國尚無較全面的保護體系。個人信用數據法律保護以征信正當性、隱私權之證成性以及社會公共利益有限性為價值理念支撐。在探究價值理念的基礎上，相應具體法律規則設定呼之欲出，設置旨在保護被征信人的信用數據支配權、知情權以及損害賠償請求權等規則尤為重要，同時應當規定信用征信機構以及信用數據使用者履行相應義務、承擔相應責任。

關鍵詞：信用征信；個人信用數據；支配權

作者簡介：姚佳(1979－)，女，黑龍江哈爾濱人，中國人民大學法學院博士研究生，從事銀行法、證券法與保險法等金融法研究。

中圖分類號：D923.49 文獻標識碼：A 文章編號：1000-7504(2008)06-0088-06 收稿日期：2008-07-18

隨著信用經濟的不斷發展，個人消費信貸以及信用交易日新月異，雖然其提高了效率，帶來了便捷，但同時也伴隨著一定的信用風險。個人消費信貸或信用交易的成敗取決于對個人信用程度的了解，而了解對方信用程度的媒介則是個人信用數據。在社會化大分工的背景下，獲取、了解與分析個人信用數據的手段或方式通常是依靠個人信用征信活動。當下，征信活動對個人信用數據的利用產生了很多的問題，這使得人們越來越關注與強調個人信用數據的法律保護。本文擬通過一定的理論探討與分析，試圖尋找一個恰當的支點，探究如何通過法律途徑充分保護個人信用數據，以期權利保護肇始創建，權利受損時有據可循。

一、個人信用數據法律保護的必要性

一般而言，在消費信貸或信用交易中，授信主體或信用交易主體為了降低交易風險，便需要比較充分地了解個人的信用數據，同時，個人為了獲得相應授信或信用交易，則可能會將自己的信用數據主動或應授信主體、信用交易主體的要求進行披露。現實生活中，授信主體、信用交易主體可通過一定的途徑取得個人信用數據。既可以自行向個人或相關主體采集，也可以委托專門的信用征信機構進行采集。從理論上講，個人才是自身信用數據的真正權利人，因此，信用數據使用主體、信用征信機構基于合法、特定目的使用個人信用數據之后，其對個人信用數據負有一定的保密義務，在未經個人同意的情況下，無權將個人信用數據擅自用于其他用途。但在目前的實踐中，卻經常存在著信用數據使用主體或信用征信機構未經個人同意、不當地披露個人信用數據的情況。

毋庸置疑，個人對自身信用數據的權益應當受到保護，信用數據使用主體、信用征信機構不當披露個人信用數據的行為應當受到法律規制。然而我國現階段對個人信用數據的法律保護，完全處于一種不自覺的狀態，相關規定散見于個別法律規范之中，有如蜻蜓點水。從目前的情況看，個人信用數據的相關問題僅在中國人民銀行《個人信用信息基礎數據庫管理暫行辦法》、《上海市個人信用征信管理試行辦法》以及《深圳市個人信用征信及信用評級管理辦法》等文件中有所規定。總體來講，上述規范并不系統、全面，而且價值取向不清，立法效力層次較低，同時亦沒有充分地考慮對個人的權益的保護。因此。欲充分地保護個人的信用數據權益，必須提升個人信用數據保護的立法效力層次、提高立法質量、明確立法的價值取向。

二、個人信用數據法律保護的價值理念支撐

在研究如何構建某一法律制度之前，我們必須先探清法律保護的價值目標，誠如伯納德·施瓦茨所言：“法律隨著它所調整的那個社會運動的主流向前發展。每一個社會都有它自己的必然會通過法律秩序力圖實現的目標反映出來的價值觀念。實現法律目標的途徑是：承認一定的利益，確定法律確認這些利益的限度，在確定的限度內盡力保護得到承認的利益。”下面將從征信正當性、隱私權保護之證成性以及社會公共利益有限性的角度，分析個人信用數據保護所蘊涵的法律理念，以期尋求相應理論上的支撐。

(一)征信之正當性

征信活動天然服務于信用經濟社會，在征信活動開展之時，其初始目標即要對信用數據使用者負責，使交易過程中的道德風險與逆向選擇降至最低，可以說，正當性是征信行為的首要價值目標。所謂“正當性，是指人的行為方式、人的利益、愿望等符合社會生活中現行規范和政策的要求，或者符合社會發展的客觀需要和人民的利益。它有兩種方式：一是道德正當性，是正當化的產物，即合理性；一是合法性”。可以說，探究征信的正當性可以深刻地反映出法律對社會利益以及個人權利保護的合理性與合法性。

其一，征信活動體現了社會經濟發展的客觀需要，既維護了社會利益，又充分地保護了個人利益。毋庸置疑，個人信用數據的所有權理應屬于個人，其對自己的信用數據享有絕對的支配權，他人不得使用、侵犯，然而隨著社會經濟的發展，信用交易、消費信貸自身具有的信息不對稱性使得個人如果想要獲得授信或完成信用交易，則必須要讓對方了解、掌握甚至使用自己的信用數據。而相應地，個人數據被收集或使用，表象上是服務于某具體的民商事活動，但本質上則是社會經濟發展的要求，假設個人不讓渡對自身信用數據的使用權能，則信用交易很可能無法充分進行，如果大規模的信用交易無法進行，則社會經濟將無法充分地發展。不難看出，征信活動之于社會經濟發展與個人利益實現具有一定的合理性。

其二，征信活動以充分地保護個人利益為其內在規定性。在法治社會中，征信活動不僅僅只是表現為采集、使用這些簡單的行為，其本身也包含了保護個人權益、要求信用征信機構、信用數據使用者履行義務等法治意蘊。如前所述，個人是信用數據的真正權利人，基于消費信貸、信用交易的需要，是否披露自身的信用數據完全取決于個人的意思自治。因而，充分地保護個人的權益則成為必須。這就要求信用征信機構以及信用數據使用者必須要對個人負責，不僅要在采集信用數據時征得個人的同意，而且要基于特定、合理目的使用信用數據。另外，如果要轉讓或許可他人使用個人信用數據，必須要事先征得個人的同意。可以說，無論是理論界還是實務界，對個人信用數據使用的合法性都是比較關注的。美國早在20世紀70年代曾就數據使用合法性這一問題進行了深入的官方調查，于1973年完成了題為“電腦、記錄與公民的權利”報告，在報告中第一次提出了“信息正當運用原則”。也有學者提出，在征信過程中，對個人信用數據進行采集等行為時必須遵循目的特定原則。所謂目的特定原則，是指個人信用數據的收集、保存、處理、利用均應當按照明確的預定目的進行，除法律另有規定或經本人授權外，不得無明確預定目的、逾越預定目的或者擅自變更預定目的，而對個人信用數據加以收集、保存、處理、利用。由此可見，充分地保護個人利益、規范信用征信機構與信用數據使用主體的行為，恰恰是合法性的內在要求。

(二)隱私權保護之證成性

談及隱私權，人們不禁會追溯至一百多年前，美國的兩位法學家沃倫和布蘭戴斯在《哈佛法律評論》上發表的《隱私權》一文，自那以后，公民的隱私權保護便成為一個重要的理論和司法實踐問題。所謂隱私權，指“自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權，而且權利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權”。可以說，隱私權作為現代文明與法治發展水平的重要標志之一，從產生之初即宣示著人類自由與尊嚴至上。

之所以在討論個人信用數據法律之時提及隱私權，主要是因為，筆者認為個人信用數據中的一部分是可以比照隱私權進行保護的。如前所述，個人信用數據一般可具體化為個人的年齡、教育程度、職業、收入、銀行存款以及償債能力等內容，但其中有關個人的姓名、性別、職業以及教育程度等數據是并不需要納入隱私權范疇進行保護的，這些數據大部分是可以從公開渠道獲知、并且是個人基本生活范疇的內容，如果將上述數據也納入隱私權范疇，則會使隱私權喪失其“隱秘”之意，法律保護可能會過猶不及。申言之，只有那些代表著個人的能力、資金、抵押擔保等內容，不對外公開，且專屬于個人的，具有一定人格意義的數據才是隱私權所保護的范疇，上述數據也恰恰體現了人之為“社會人”的基本特征，與人之尊嚴、自由密切相關、不可分離。有學者認為，個人數據隱私保護的價值或多或少地集中在“達到個體自我(價值)實現的目標”，分別體現在個體性(individuality)、自治(autonomy)、尊嚴(dignity)、情感釋放(emotional release)、自我評價fserf-evaluation)以及人與人之間的愛、友誼與(或者)信任關系(inter-personal relationships oflove.friendship and／or trust)等方面。筆者對此深表贊同，因此，將一部分可以充分體現個人隱私的信用數據納入隱私權保護的范疇，不僅可以強有力地保護個人信用數據，而且也使得隱私權在信息時代的保護更具有多元化的意義。

(三)社會公共利益有限性

任何一部保護私權的法律，都會規定例外的情況，而此種例外大多基于社會公共利益的價值目標。征信領域也概莫能外，誠如有學者所言，當下“對個人資料控制的自由與公共利益之間的協調的問題更為突出”。社會的進步，經歷了從私權至上到國家逐漸重視社會公共利益的維護，進而從更廣泛的社會范圍內關懷百姓福祉，法律似乎也在遵循類似的軌跡。“法律制度一直維護著一種贊同自由的預設，但是至少在正常時期，現代生活日趨增長的復雜性以及各種相互抵觸的社會力量間的沖突，使法律在某些情形下為了公共利益而對自由進行分配或限制具有了必要性”。

“隱私的本質屬性是與公共利益、群體利益無關的”，個人信用數據的隱私權本身雖然不具備公共利益的屬性，但如果個人信用數據基于特定公共利益目的且在合法范圍內收集、使用，則個人應當服從。如個人信用數據被收集或使用，該數據表象上是服務于某具體的社會公共事件，但本質上則是社會經濟與法治發展的客觀要求。的確，在現實生活中借公共利益之名侵犯公民個人利益的現象時有發生，而當個體與國家之間發生利益沖突時，我們的法律體系通常習慣于站在公權的角度維護其正當性，而對作為公共利益價值源泉的個人利益往往缺乏必要的關懷[9l。正是因為有前述現象的出現，我們在個人信用數據保護方面，要堅持社會公共利益有限性的理念，即嚴格限定公共利益的情形，并且只有在限定的公共利益范圍內、特定的方式下，才可以突破信用數據收集時的目的，對信用數據僅在公共目的之內進行收集與使用，同時保證安全性與保密性。

三、個人信用數據法律保護的規則設定

與上述價值理念相對應，我們將進一步探討相應法律規則設定。可以說，設置相應的規則對實現當事人的權益非常必要。參考借鑒其他國家或地區的法律規定，我國關于個人信用數據法律保護的核心亦應定位為充分尊重與保護個人精神上與經濟上的權利。針對目前急需解決的信用數據被不當使用、保護個人的信用數據安全等問題，筆者認為，鑒于目前我國對個人信用數據保護尚無效力位階較高的成文法，建議國家通過完善有關征信的部門規章或司法解釋等形式嘗試解決上述問題。以下將從當事人權利、義務與責任角度，淺談如何完善個人信用數據保護的法律規則。

(一)被征信人權利

被征信人所享有的權利與損害救濟途徑直接決定了法律保護的效果，由于我國在征信領域尚未集中關注被征信人所享有的權利，本文擬參考借鑒其他發達國家征信法律或隱私權法等內容，解構被征信人的主要權利。歐洲對隱私權進行保護的四個原則主要是：(a)建立個人信息責任及職責的機制；(b)持續保持個人信息處理的透明過程；(c)建立對敏感數據(諸如種族、族源、政治觀點、宗教信仰、哲學或倫理說服力或者關于身體健康情況、性生活等內容)的特別保護機制；(d)執行權利以及有效監管的手段我們可以看到，有關個人信息隱私權保護是歐洲對個人進行保護的主要方式之一。同時美國有關隱私權保護的法案也試圖直接地給數據保護者一個清晰的、具體的授權。參考《歐洲議會和歐盟理事會1995年10月24日關于涉及個人數據處理的個人保護以及此類數據自由流動的指令(95／46／EC)》(下稱“《歐盟數據保護指令》”、EU Directive 95／46／EC)與美國《公平信用報告法》(Fair Credit Reposing Act，1971)，目前急需在征信法律規范中規定被征信人的信用數據支配權、知情權以及損害賠償請求權。

1 個人信用數據支配權

個人有權根據自己的意愿自主使用自己的個人信用數據或許可他人使用自己的信用數據。此權利非常精到地體現了上述維護個人自由意志的價值理念，也是保護個人信用數據的核心權利之一。其具體表現為：個人不僅有權決定是否使用或許可他人使用自己的信用數據，同時，無論是授信主體還是信用征信機構，其獲得個人信用數據必須征得該主體的同意。可以說，個人信用數據支配權是專屬于個人信用數據保護的特別權利之一，筆者建議我國在完善征信法律規范之時，明確規定被征信人享有信用數據支配權，其他任何主體不得隨意獲取或使用被征信人的信用數據。

2 知情權

被征信人的知情權大致應當包括如下幾個方面：第一，信用征信機構在采集信用數據時，必須告知被征信人信用數據被使用的目的；第二，要求信用征信機構公開本人信用數據的請求權：第三，享有了解、查閱本人信用數據并有權了解信用征信機構向哪些主體披露或即將披露信用數據的權利。關于被征信人的知情權，《歐盟數據保護指令》第10、11條關于“告知數據主體的信息”規定，成員國應當規定，數據處理控制人(本文所指信用征信機構或信用數據使用者)或者其代表人(如有)至少應當向數據主體說明如下信息：(a)數據處理控制人及其代表人(如有)的身份；(b)數據處理目的等內容。美國《公平信用報告法》第609、610條規定了消費者報告機構應消費者的請求，應當向消費者公開相應信息的義務：第606條規定了調查消費者報告公開時，消費者報告機構在一定情況下使用報告時，應事先通知消費者的義務。目前在我國，信用征信機構或信用數據使用主體采集或使用數據之時，尚未賦予被征信人比較全面的知情權，因此建議在完善征信法律規范之時，以適當形式規定被征信人的知情權。

3 損害賠償請求權

損害賠償請求權是對被征信人權利損害救濟的主要方式之一，如不規定相應損害賠償請求權，則其他權利似有虛設之嫌。關于被征信人的損害賠償請求權，《歐盟數據保護指令》第三章專門規定了司法救濟、責任以及經濟制裁等內容，即任何成員國都應當根據本國法律對個人的權利受損給予相應的司法救濟。其中第23條特別規定，任何人如果因為違法的數據處理行為或者違反按照本《歐盟數據保護指令》通過的國內法律規定的任何行為而遭受損害，則他們有權從數據控制人處獲得相應賠償。如果數據處理控制人能夠證明對損害事件不負責任，則其可以全部或部分免除責任。參考歐盟的法律規定，建議我國在完善征信法律規范時，有必要設置相應的損害賠償請求權以彌補因信用征信機構或信用數據使用者的非法或不當行為而給被征信人造成的財產損失以及人格受損。

(二)信用征信機構以及信用數據使用者義務、責任設置

被征信人作為征信關系中的弱勢群體，法律賦予其一定權利，相對應的，信用征信機構以及信用數據使用者則將履行相應的義務、承擔相應的責任。正如法學前輩提出的“法律規范的本身似乎就有‘凡是它所針對的人，在某些方面必然受它拘束，或是負擔某種責任’的意味(責任——obligation——詞包括拉丁文中‘約束’——binding——的意思)”。參考借鑒歐盟、美國的法律規定，應設定信用征信機構以及信用數據使用者的如下義務。

1 信用征信機構的義務與責任

(1)信用數據保密義務。自信用征信機構采集到消費者信用數據之時起，直至對信用數據作出一定評價、并將信用數據及其評價結果提供給信用數據使用者以及其后的一定時期(具體期限可根據實際情況或商業習慣而定)時止，信用征信機構必須對信用數據負有保密義務，并不得以各種形式(除依法或為社會公共利益而應相應政府機關要求)向任何第三人(除信用數據使用者)提供。《歐盟數據保護指令》第二章第八節(第16條、第17條第1項)規定了關于數據處理的保密與安全，要求數據處理控制人必須負有相應的保密義務。美國《公平信用報告法》中雖未直接規定信用征信機構對數據的保密義務，但從其他如嚴格限制使用用途、保護消費者隱私等條款，可推斷出信用征信機構仍對信用數據負有一定的保密義務。

(2)如實告知義務。與被征信人知情權相對應的，信用征信機構應負有相應的如實告知義務，即在向被征信人收集數據時應告知其目的(社會公共利益所需除外)，同時在被征信人提出公開其數據、要求查閱相關數據時，信用征信機構應予配合，并在法律規定的時限內予以反饋。本文上述分析被征信人的知情權時有所提及，《歐盟數據保護指令》第10、11條規定了信用征信機構的如實告知義務。美國《公平信用報告法》規定，信用征信機構在一定的請求下，必須履行公開信息以及告知等義務。我們可以看到，如實告知義務能夠相對全面地保護被征信人權利，我國在完善征信法律法規之時，有必要設定此項義務。

(3)責任承擔方式。與被征信人的損害賠償請求權相對應，信用征信機構對被征信人造成一定經濟或精神損害的，其應承擔相應民事上的損害賠償責任，同時，根據情況，由監管機構對其進行行政處罰等。歐盟與美國的法律規定在上述被征信人的損害賠償請求權的論述中有所體現，于此不再贅述。建議我國在完善征信法律之時，明確、具體規定信用征信機構的責任承擔方式，以充分保護被征信人的權利。

2 信用數據使用主體的義務與責任

與信用征信機構的義務、責任相類似，參考借鑒歐盟、美國的法律規定，信用數據使用主體應負有如下義務、承擔相應責任：(1)在特定目的范圍內使用信用數據的義務；(2)如實告知義務；(3)承擔相應民事賠償責任與行政責任等。建議我國適時規定信用數據使用主體的義務、責任承擔方式，以期法律保護更加完善。

總之，個人信用數據法律保護是關乎個體利益、社會利益的重要命題之一。在現代社會。個人信用數據保護法律不僅僅彰顯保障人們物質權益、精神權利的價值目標，其從更深層次反映了對隱私權、甚或人權的價值保護取向。在如今社會主義和諧社會的背景下，我們嘗試著探究個人信用數據法律保護之現實需求、法律價值理念支撐與相應的規則設置，不但從保護個人的自由意志、公平對待弱者以及“權利本位”路徑闡釋個人信用數據法律保護的價值理念，而且諫言通過設定相應法律規則以切實保護當事人的權益。然而，從理論走到實踐、再從實踐上升為理論，抑或將法律理想轉換為法律現實，法律現實再印證法律理想，等等，這一切都需要由歷史來驗證。限于篇幅，本文在探討理論之余，也在試圖超越理論的界限，希望能將我們的理論回歸現實，以期前瞻性地為實踐建言獻策，積淀些許素材。