個人征信法律規制比較研究——以信息主體同意權為視角

姚朝兵

（南京大學 法學院，江蘇 南京 210093）

信息共享與隱私保護之間的利益沖突是征信無法回避的問題，實現二者之間的利益平衡歷來是各國征信立法上的重要考量，同意權作為信息主體控制其個人信用信息的制度機制，在平衡信息共享與隱私保護之間的利益沖突上扮演著重要的角色。在立法層面上，各國征信立法對信息主體同意權的態度千差萬別甚至截然相反，我國的地方征信立法和行業征信立法對此也曾長期立場分歧。2012年國務院頒布了《征信業管理條例》（以下簡稱“條例”），對信息主體同意權作了統一的規定，結束了各地方征信立法及其與中國人民銀行的行業立法之間各自為政的局面。《條例》關于信息主體同意權的制度設計可謂別出心裁，但從比較法及我國征信業發展的現實需求的角度來看卻存在諸多未盡合理之處。基于此，本文從比較法的角度探究域外征信立法關于信息主體同意權的不同立法例及其現實基礎，在參酌域外經驗的基礎上立足于我國征信業發展的現實狀況提出我國征信立法的改進措施。

一、個人征信與信息主體同意權

個人征信是指由專業化的征信機構依法采集、保存、整理、加工并向信息使用者提供個人信用信息以滿足信息使用者對個人信用信息需要的業務活動。個人征信涉及四方當事人：信息主體、信息提供者、征信機構及信息使用者。征信機構作為中介組織，一方面通過信息提供者和信息主體采集個人信用信息，另一方面將整理加工后的個人信用信息以信用報告的形式提供給信息使用者。[1](p59)個人征信的整個過程圍繞個人信用信息進行，個人信用信息也是征信機構處理的唯一對象。

個人信用信息是指能夠反映特定個人的信用狀況的各種信息資料，是對在商業交易或授信活動中判斷交易對方信用度及信用能力有用的信息，[2](p94)由兩個部分構成：一是有關個人信用狀況的客觀記錄，包括身份識別信息、商業信用信息、公共記錄信息以及特殊信用信息（主要是影響個人信用狀況的訴訟和處罰信息）；二是由征信機構作出的主觀評價信息，即個人信用評價信息和評級信息。[3](p161)個人信用信息不僅包含個人的身份識別信息，而且還包含反映個人以往信用交易狀況的經濟和財產方面的信息，這些信息一般是個人不愿他人知悉或他人不便知悉的私人信息，屬于個人信息隱私的范疇，承載著個人的尊嚴、自由和安全價值。

個人信用信息的隱私屬性使得征信存在這樣一種悖論：信息主體傾向于對其個人信用信息的流動加以控制，而征信機構和信息使用者則渴望削弱信息主體的控制而使個人信用信息得以自由流動和共享。兩種價值訴求的博弈使得征信體現為一個權利控制與權利讓渡、權利主張與權利限制彼此妥協的漫長過程。[4](p68)在征信中，信息主體將其在個人信息之上的部分權利讓渡給征信機構和信息使用者，從而限制信息主體對其個人信用信息的控制權，促進信息的流動以滿足信息使用者對個人信用信息的需求。這種權利讓渡和權利限制的正當性基礎在于：一方面，個人信用信息通過征信機構向信息使用者公開，使信息使用者能夠了解和驗證信息主體的個人信用，減少因信息不對稱所帶來的信用風險、道德風險和逆向選擇，以維護交易安全，同時，征信也降低了信息使用者的信息成本，提高了信用交易的效率；另一方面，征信具有促進鼓勵誠信和懲戒失信的社會誠信機制建設，維護誠信經濟發展，創造誠信社會秩序的功能。[5]換言之，征信制度由于具有提高信用交易效率、維護信用交易安全和促進社會誠信秩序的目的和功能而使得其對隱私權的一定程度上的克減具備了正當性。

但是，征信畢竟只是在一定程度上犧牲而非完全剝奪信息主體對其個人信用信息的控制權，其對個人隱私權的克減應建立在利益平衡的基礎之上，即征信應當尋求權利保護與信息共享之間的平衡，信息主體同意權正是保持信息主體對其個人信用信息控制權和實現這種利益平衡的制度工具。信息主體同意權是指信息主體對其個人信用信息的采集、處理和使用的決定權，其制度功能在于：賦予信息主體在征信過程中對其個人信用信息的一定程度的控制權，防止個人信用信息被濫用所導致的對個人隱私的侵犯，既滿足了信息使用者對信息共享的需求，又可以將個人信用信息的公開限定在一定的范圍之內，從而平衡權利保護與信息共享之間的利益沖突，實現征信效率與個人權利保護之間的良性互動與和諧共存。

二、信息主體同意權的比較法考察

（一）信息主體同意權的制度模式。

在以信息自由流動為價值追求的美國，信息主體同意權并無存在的空間，而在強調個人信息自決權的歐盟國家，信息主體同意權作為一項法定權利是征信立法的基本共識，日本及我國臺灣地區的征信立法對信息主體同意權也持肯定態度。各國和各地區征信立法對信息主體同意權的立場和態度有所差異，總體而言存在兩種模式：一是信息主體對信息的采集和使用均享有同意權，可概括為信息主體同意權的二元模式，二是信息主體僅對信息的采集享有同意權，可概括為信息主體同意權的一元模式。

1.信息主體同意權的二元模式：以德國、法國和意大利為例。

在信息主體同意權的二元模式下，征信機構采集和向信息使用者提供個人信用信息都需要征得信息主體的同意。二元模式以歐盟《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》（以下簡稱“指令”）以及德國、法國和意大利等歐盟國家的立法為代表。《指令》規定成員國處理個人數據（“個人數據”是歐盟及其成員國立法對“個人信息”的稱謂，本文在涉及歐盟及其成員國的法律內容時均沿用這一稱謂——筆者注）應經數據主體明確表示同意，這里的“處理”包括收集個人數據和提供給第三人使用。《德國聯邦數據保護法》規定除法律規定的特殊情形外，個人數據的收集和處理必須獲得數據主體的同意才是被許可的，這里的“處理”也包括通過一定的方式向第三方公開個人數據，征信機構向信息使用者提供個人信用信息顯然屬于向第三方公開個人數據，屬于數據“處理”的范疇。同樣，在法國，征信機構不僅要在每次將個人數據錄入數據庫時必須告知數據主體本人并經其本人書面同意，而且每次發布信用報告時都必須再次取得信息主體的書面同意。[6](p44)《意大利個人數據保護法》也規定私營征信機構采集和使用個人正面信息應經信息主體同意。[7](p2)

2.信息主體同意權的一元模式：以日本和我國臺灣地區為例。

一元模式要求征信機構在采集個人信用信息時應征得信息主體的同意，而在征信機構向信息使用者提供個人信用信息時無需再經信息主體同意，即僅賦予信息主體對信息采集的同意權。一元模式以日本和我國臺灣地區的征信立法為代表。《日本個人信息保護法》規定征信機構向其會員采集信息主體的個人信用信息時應當取得信息主體的同意，但征信機構在事先通知信息主體或者在信息主體處于容易知悉征信機構是以向第三人提供信用信息為目的的情形下，無需征得信息主體的同意便可向第三人提供個人信用信息。我國臺灣地區“個人資料保護法”也規定征信機構收集個人信用信息應經信息主體同意，但信息使用者以與信息收集之特定目的相符的目的使用個人信用信息則無需信息主體的同意，換言之，只要對個人信用信息的使用不超出征信機構收集該信息時所定的目的，信息使用者使用個人信用信息無需征得信息主體的同意。

（二）信息主體同意權行使的保障機制。

為了抑制征信機構和信息使用者利用其強勢地位阻礙信息主體行使同意權，使信息主體同意權流于形式，無論是采一元模式還是二元模式的國家和地區都在其征信立法中設置了信息主體同意權行使的保障機制，以保證信息主體的同意是其真實的意思表示。這些保障措施主要體現在兩個方面：一是要求信息主體的同意必須以明示方式作出，二是要求信息主體的同意必須是在被充分告知信息的情形下作出。換言之，信息主體的同意應為明示同意和知情同意。明示同意是指個人信用信息的采集或使用原則上必須征得信息主體的明確同意，信息主體必須以積極行動的方式做出同意的意思表示，簡單的不作為并不能構成同意；[8](p73)知情同意是指個人信用信息的采集或使用必須事先告知信息主體有關采集信息的內容、性質和目的、儲存期限以及接收者或者接收者的種類等，并征得信息主體同意。[9](p30)

根據歐盟《指令》的規定，同意是指“任何數據主體在被通知的情形下自由作出的明確表示其同意處理與其有關的個人數據的意思表示”，同時其第29條工作組的文件要求同意必須滿足四個標準才屬合法有效：一是同意必須是清楚而不含糊的意思表示；二是同意必須是自由作出的；三是同意必須是明確的；四是同意必須是在充分告知信息的情況下作出的。《德國聯邦數據保護法》對同意的合法性標準的要求甚至比《指令》更為嚴格，該法規定同意不僅應建立在數據主體被充分告知信息和意志自由的基礎之上，而且還要求這種同意必須采取書面形式，除非情況特殊使其他形式也具有合理性；如果同意與其他書面聲明一起提供，其在外觀上應當是可區別的。我國臺灣地區“個人資料保護法”也規定，除某些法定情形之外，非公務機關收集和處理個人資料應經當事人書面同意，這種書面同意是指收集者告知信息主體依照該法規定所應告知的事項后所作的書面意思表示。

（三）兩種模式的局限分析。

總體而言，信息主體同意權的一元模式在個人隱私的保護上不如二元模式嚴格，但在嚴格要求征信機構采集個人信用信息應經信息主體同意這一點上二者是一致的，正是這一點使得無論是采一元模式還是二元模式的國家和地區都形成了以公共征信機構為主導的征信業發展格局。具體而言，嚴格要求信息采集應取得信息主體同意的制度安排客觀上形成了行業的進入壁壘，使得由政府主辦且不以營利為目的的公共征信機構處于主導地位，而以營利為目的的私營征信機構則受到很大的制約，只有少數實力雄厚的私營征信機構才能生存下來，以致征信行業出現壟斷競爭的局面。[10](p16)

以德國和意大利為代表的采取二元模式的多數歐盟國家形成了以公共征信機構為主體而私營征信機構不發達的征信業發展格局，[11](p36)而在法國，嚴格要求信息采集應當征得信息主體同意甚至令私人征信機構難以找到生存的空間而只有政府主導下的公共征信系統。[12](p103)同樣，采一元模式的我國臺灣地區，占主導地位的也是公共征信機構，僅有少數幾家私營征信機構具有一定規模和業務水平，而其他大部分私營征信機構并沒有從事一般意義上的征信業務，只是專業的調查公司。[13](p58)采一元模式的日本也不存在市場化運作的以營利為目的的征信機構而只存在行業協會組建的信用信息中心，信用信息中心只接受其會員提供的個人信用信息，也僅對協會會員開放，且不以盈利為目的。[14](p77)

但是，以公共征信機構為主導的征信體系具有很大的局限性。一方面，公共征信機構以監督金融市場、防范金融風險為目標，其僅向銀行等金融機構采集個人信用信息；此外，大部分國家的公共征信機構都設有貸款信息匯報起點，低于匯報起點的貸款信息不在采集的范圍之內。因而公共征信機構所提供的個人信用信息并不全面，不能完全反映信息主體的個人信用狀況，難以滿足市場對個人信用信息復雜多變的需求。另一方面，以營利為目的并以完善消費者個人信用信息質量為服務目標的私營征信機構往往更具活力，其所采集的信息具有種類更多、來源和覆蓋面更廣、更新的速度更快的特點，[15](p71)在滿足信息使用者的需求和拓展新的業務方面更具優勢，可以彌補公共征信機構信息不全面的弊端。但賦予信息主體對信息采集的同意權，使得私營征信機構的發展空間受到嚴重的制約，不能發揮與公共征信機構互補的功能。

三、我國征信立法的制度審視與改革路徑

（一）現行征信立法的制度審視。

《條例》以行政法規的形式對征信過程中信息主體的同意權作了統一的規定，即征信機構采集依法公開的個人信息和不良信息（負面信息）無需征得信息主體同意，但采集個人的正面信息必須征得信息主體的同意；信息使用者使用個人信用信息一律必須取得信息主體的同意。

從正面信息的采集和使用都需要征得信息主體同意來看，《條例》基本采用了歐盟國家的二元模式的制度安排，但在信息主體同意權行使的保障機制上，《條例》遠不如歐盟立法嚴格。首先，其未規定信息采集時的同意應采何種方式；其次，雖然規定信息使用時的同意應當采取書面形式，但對這種書面同意是否應以充分告知信息為前提卻沒有規定；再次，規定在通過格式合同條款取得信息主體同意時信息使用者僅負有“作出足以引起信息主體注意的提示”和“按照信息主體的要求作出說明”兩項義務，這種抽象的規定顯然與歐盟國家普遍采用的“知情同意”規則相去甚遠。這一制度漏洞的存在使得征信機構和信息使用者很容易采取規避行為，導致信息主體的同意權流于形式，信息主體的個人隱私也將在征信中陷入岌岌可危的境地。

（二）我國征信立法的改革路徑。

關于征信立法中信息主體同意權的制度安排，我國學界主要有三種方案：一是主張采用歐盟的二元模式，信息的采集和使用都必須征得信息主體的書面同意；二是主張信息的采集不必征求信息主體的書面同意，但使用個人信用信息必須征得信息主體的書面同意；[16](p76)三是主張信息采集和使用都無需征得信息主體的同意。[17](p218)

無論是采納歐盟的二元模式的方案還是取消信息主體同意權的方案都不能實現信息共享與隱私保護之間的合理平衡，也不符合我國的現實需求。首先，完全移植歐盟的二元模式的方案顯然不符合我國的現實需求。如前所述，歐盟的二元模式因其對個人隱私的嚴格保護而制約了私營征信機構的發展，與《條例》所確立的促進公共征信機構和私營征信機構健康發展的立法目標不符。此外，在我國私營征信機構尚不發達的現實背景之下，嚴格的信息采集程序將進一步制約私營征信機構的發展，不利于我國公共征信機構和私營征信機構共同發展、互為補充的征信體系的形成。其次，信息采集和使用均無需征得信息主體同意的方案過于追求信息的自由流動而忽略了個人隱私的保護，同樣與我國征信業發展的現實不符。我國征信業尚處于起步階段，經營中存在許多不規范的行為，尤其是目前存在征信機構運作不規范、不當采集和濫用征信信息并存、非法買賣征信信息時有發生甚至形成“地下”利益鏈條的情形，[18](p42)寬松的信息采集和使用條件必將使得這一情形更加惡化，造成對信息主體隱私的嚴重侵犯。

相較而言，信息的采集不必征求信息主體的書面同意，但使用個人信用信息必須征得信息主體的書面同意這一折中方案較為可取，但這一方案還應當輔以完善的同意權行使的保障機制，才能實現信息共享與隱私保護之間的合理平衡。具體而言，我國征信立法應當從個人信用信息的“寬進嚴出”和完善信息主體同意權行使的保障機制兩個方面來實現制度的改進。

1.個人信用信息的“寬進嚴出”。

所謂“寬進嚴出”即取消《條例》關于征信機構采集信息主體的正面信息必須經信息主體同意的規定，但保留其關于信息使用者使用個人信用信息應征得信息主體同意的規定，理由如下：

第一，征信機構采集個人信用信息無需征得信息主體的同意，并不會造成信息共享與隱私保護之間的利益失衡。首先，征信機構的生存之本在于最大限度地掌握信息主體的個人信用信息，保持信用信息的全面、準確和及時，這無疑需要以征信機構對信息的采集擁有相當的自由度為前提。若賦予信息主體對信息采集的同意權，必將增加征信機構獲得個人信用信息的成本和難度，致使私營征信機構難以為繼。其次，強制性地要求個人信用信息向征信機構公開，事實上是法律為了實現征信的目的而對個人隱私權的合理克減，不至于對個人隱私造成不合理的威脅。一方面，征信機構對個人信用信息的采集和處理都是封閉進行，在這種封閉的環境下，外界非經合法程序無法獲知征信機構所采集和管理的個人信用信息，個人信用信息的公開范圍有限；另一方面，《條例》對征信機構施加了保障個人信用信息安全的義務，該義務的履行可以防止個人信用信息向外界泄露所導致的對信息主體隱私的侵害。

第二，嚴格要求信息使用者使用個人信用信息應當征得信息主體的同意，增強信息主體對其個人信用信息使用的控制，可以防止其個人信用信息被濫用，有效保護個人隱私。事實上，在征信過程中，真正對信息主體的隱私構成威脅的不是信息的采集環節而是征信機構向信息使用者提供個人信用信息的環節。征信機構將分散存在于各個領域的個人信用信息收集起來進行大規模的集中化處理，這些處理過的個人信用信息不僅清晰地反映了信息主體的身份特征，而且還將信息主體的信用交易信息和其他經濟活動信息展現出來。若個人信用信息的使用無需征得信息主體的同意，信息主體的個人信用信息將因處于信息主體無法控制的狀態而在社會上無限蔓延，造成對信息主體隱私權的嚴重侵犯。賦予信息主體對個人信用信息使用的同意權，保證征信機構所采集的個人信用信息只能通過信息主體同意的程序向特定的信息使用者公開，有利于保障信息主體對其個人信用信息的一定程度的控制權，保障其個人隱私不因個人信用信息的濫用而遭受侵害。

總而言之，取消信息主體對信息采集的同意權，保證了征信機構信息來源的廣泛性和全面性，排除了信息來源的限制對征信業發展的制約；而賦予信息主體對信息使用的同意權，保障了信息主體對其個人信用信息使用的控制，有助于實現對個人隱私的保護。因而，這一制度安排既實現了促進信息共享進而促進征信業發展的目標，同時也為個人隱私提供了充分的保障。

2.完善信息主體同意權行使的保障機制。

信息主體在個人征信中處于弱勢地位，[19](p41)即使賦予信息主體對信息使用的同意權，若沒有權利行使的保障機制，這一權利也將形同虛設。因此，在賦予信息主體對其個人信用信息使用的同意權的同時，還應當設置這一權利行使的保障機制，保證信息主體的同意是在其自由意志之下作出的真實的意思表示。在這一點上，我國可以借鑒歐盟的經驗，在明確要求信息主體的同意應以書面形式作出的前提下，進一步確立同意所應達到的標準，這些標準包括四個方面：一是同意必須是清楚而不含糊的意思表示；二是同意必須是自由作出的；三是同意必須是明確的；四是同意必須是在被充分告知信息的情況下作出的。其中，第一和第三項標準要求信息主體的同意必須明確、清楚而不含糊，對信息主體的同意不能采取“推定同意”的方式；第二項標準要求信息主體必須是在不存在欺詐、脅迫、乘人之危等情形下作出同意，信息使用者不得濫用市場支配地位或迫使信息主體同意；第四項標準要求信息使用者應充分告知信息主體有關個人信用信息使用的目的、范圍等，即所謂“知情同意”。

[1]孫玉榮.個人信用征信過程中的隱私權的保護[J].法學雜志，2006，（3）.

[2]田澤.信用信息共享：韓國征信業的助動力[J].銀行家,2007，（3）.

[3]齊愛民.社會誠信建設與個人權利維護之衡平——論征信體系建設中的個人信息保護[J].現代法學，2007，（5）.

[4]葉世清.征信的法理與實踐研究[M].北京：法律出版社，2010.

[5]楊立新.征信:誠信社會的權利讓渡[N].檢察日報,2004-05-19.

[6]杜金富,等.征信理論與實踐[M].北京：中國金融出版社,2004.

[7]占碩.個人征信制度研究——個人信用信息的征集、使用與信息主體權益的保護[J].征信，2011，（3）.

[8][德]克里斯托弗·庫納.歐洲數據保護法：公司遵守與管制[M].曠野，等.譯.北京：法律出版社,2008.

[9]李朝暉.個人征信法律問題研究[M].北京：社會科學文獻出版社，2008.

[10]國務院發展研究中心考察團.英國、德國和意大利征信機構的特點與啟示[J].經濟研究參考，2003，（82）.

[11]郭熙保，徐淑芳.全球征信體系的制度安排及其影響因素[J].學術研究，2005，（11）.

[12]艾茜.個人征信法律制度研究[M].北京：法律出版社,2008.

[13]中國人民銀行福州中心支行課題組.海峽兩岸征信體系比較與合作探討[J].南方金融，2008，（2）.

[14]陳實.個人征信體系國際比較及其啟示[J].金融論壇,2012，（10）.

[15]何運信.我國多層次征信體系的生成機理與演化路徑[J].宏觀經濟研究，2009，（1）.

[16]吳國平.個人信息開放與隱私權保護——我國征信立法疑難問題探析[J].法學雜志，2005，（3）.

[17]張鵬.個人信用信息的收集、利用和保護——論我國個人征信體系法律制度的建立和完善[M].北京：中國政法大學出版社，2012.

[18]王煜.全面提高征信管理與服務水平[J].中國金融,2013，（6）.

[19]宋偉，袁源，姚遠.個人征信體系信息保護立法的若干思考[J].法治研究，2010，（2）.