論我國征信機構營業的法律風險及其防范

陽建勛 鄧成明

摘要：我國征信機構在信息采集與儲存、信息異議與不良信息、信息使用等方面面臨著諸多法律風險，既可能因為損害個人隱私、企業商業秘密及企業商譽等承擔侵權責任，也可能因為違反國家規定使用信用或提供錯誤的信用報告承擔責任。盡管現行征信立法未能就上述風險在征信機構、信息提供者與信息使用者之間明確責任分擔及其構成要件，但是征信機構在日常營業中應當采取切實措施加以防范。

關鍵詞：征信機構；營業風險：風險防范

文章編號：1003-4625（2015）02-0057-04

中圖分類號：F832.39

文獻標志碼：A

一、我國征信機構營業活動的主要法律風險

（一）信息采集、保存等所面臨的法律風險

（1）信息采集對個人信息存在侵害風險。由于征信信息的采集可能涉及個人隱私信息，征信機構可能會因為采集了公民個人的非公開信息而侵犯個人的隱私權，由此承擔侵權責任。美國的《公平信用報告法》規定信用報告機構應當公平、中立地履行職責，并尊重消費者的隱私權。《歐盟數據保護指令》第1條也要求成員國保護與個人數據處理相關的隱私權。

我困《侵權責任法》第2條第2款規定的民事權益，包括生命權、肖像權、榮譽權及隱私權等人身、財產權益，從而明確將隱私權納入了保護范疇。2013年最新修訂的《消費者權益保護法》第14條規定了消費者享有個人信息依法得到保護的權利。《征信業管理條例》（以下簡稱《條例》）第3條規定從事征信業務及相關活動不得侵犯個人隱私。依據《條例》第14條規定，征信機構不得采集個人信息包括宗教信仰、基因、指紋、血型、疾病和病史等方面的信息；經征信機構明確告知提供該信息可能產生的不利后果并取得信息主體書面同意，可以采集的個人信息包括個人的收入、存款、有價證券、商業保險、不動產及納稅數額等方面的信息。前者是絕對隱私信息，即絕對禁止征信機構以任何理由、任何形式采集該類信息；后者屬于相對隱私信息，即在征得信息主體書面同意的前提下，可以納入征信系統。不過，需要注意的是，該條規定對于個人信息的保護范圍遠遠小于民法上的隱私權保護范圍。就理論分析而言，個人征信信息的采集與隱私權的保護之間存在一定的現實沖突，平衡這種沖突的立法選擇最終取決于公共利益與個人利益的平衡。我國有關個人信息保護的法律規定散見于《民法通則》的人格權規定、全國人大常委會頒布的《加強網絡信息保護的決定》《消費者權益保護法》第14條及《條例》的相關規定，尚未有專門的個人信息保護立法。在金融領域，金融消費者的個人信息保護問題隨著近年來社會征信體系建設的推進備受社會關注。面對法律規定的缺失，法學界不少人寄希望于通過“金融隱私權”的方式加強金融領域的個人信息保護。但也有人認為，個人信息資料不完全屬于隱私的范疇，個人信息與個人隱私盡管在內容上存在一定的重合，但是整體上而言個人信息概念遠遠超出隱私信息的范圍，故個人信息資料權不宜納入隱私權的范疇，而應當是相對獨立于隱私權的一種權利，未來“人格權法”應當明確規定個人信息權。鑒于我國現行個人信用信息保護的立法滯后于現實需求，還沒有實現征信專門立法與一般性的民法保護之間的協調，因此我國征信機構不僅要依據《條例》采集個人信用信息，而且要嚴格依據民法及其他法律中個人信息保護的相關規定采集個人信用信息。

（2）信息采集對企業商業秘密及企業商譽存在侵害的風險。依據《條例》第21條第1款的規定，征信機構采集企業信用信息的渠道主要有：信息主體自身提供；交易相對方提供；行業協會提供；有關政府部門依法公開及法院依法公布裁判等。同時，征信機構不得采集法律、行政法規禁止采集的信息。如屬于商業秘密的企業經營信息和技術信息就不屬于征信機構的信息采集范圍。這就需要征信機構在信息采集的過程中依法對企業信息予以判斷。

（3）征信機構在信息存儲方面存在的風險。2012年3月，央視3.15晚會曝光銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導致部分用戶銀行卡賬號被盜。這個典型的數據信息泄密事件凸顯了網絡時代征信機構在信息存儲方面存在的現實風險。為防范信息存儲方面的風險，征信機構應當按照國家信息安全保護等級測評標準，對信用信息系統的安全情況進行測評。依據《征信機構管理辦法》第31條規定，信用信息系統安全保護等級為二級的，應當每兩年進行測評；等級為三級及以上的，應當每年進行測評。征信機構出現可能發生信息泄露征兆的，將會受到中國人民銀行及其分支機構的重點監管。

（二）信用信息異議與不良信息方面的法律風險

（1）信用信息異議的含義。所謂信用信息異議是指信息主體認為征信機構采集、保存、提供的信息存在錯誤、遺漏的，向征信機構或者信息提供者提出異議，要求更正。

（2）信息主體的信息異議權與征信機構的核查義務。《條例》第25條賦予了信息主體以異議權，同時對征信機構課予核查義務。征信機構收到異議后，應按照規定對相關信息作出存在異議的標注，進行核查和處理并將結果書面答復異議人。異議處理期限是20日，自收到異議之日算起。處理結果有三種情形：一是相關信息確有錯誤、遺漏，征信機構予以更正；二是相關信息不存在錯誤、遺漏，則取消異議標注；三是經核查后仍然不能確認是否存在錯誤或遺漏的，就將核查情況和異議內容予以記載。

（3）不良信息方面的法律風險。不良信息是指對信息主體的信用狀況具有不良影響的負面信息。不良信息包括信息主體在借貸、保險等經濟活動中未按照合同履行義務的相關信息，有的甚至將手機欠費、水電欠費等相關信息都納入了信用信息范圍。不良信息還包括對信息主體的行政處罰信息，如環保部門對企業的環境處罰信息、稅務部門對企業的欠稅公告信息、質量技術監督部門對企業制售假冒偽劣商品的處罰信息等。另外，要求信息主體履行義務的法院裁判及強制執行等也往往被視為是不良信息。由于不良信息對于信用主體的信用狀況具有負面影響，一旦征信機構在采集或提供不良信息時違反法律規定，就極有可能被信用主體訴其侵權。

（三）信息使用方面的法律風險

《條例》對征信機構在信息使用方面規定了較多的義務，征信機構如果不能履行這些義務就要承擔相應的法律責任。此即征信機構在信息使用方面所面臨的主要法律風險。

（1）遵循信息主體書面同意原則才提供查詢的義務。信息使用者需要查詢個人信息的，除法律另有規定外，征信機構只有在信息使用者取得了信息主體本人書面同意并約定用途后才能提供查詢服務。征信機構違反上述規定提供查詢服務給信息主體合法權益造成了損害的，應當承擔侵權責任。

（2）格式合同的提示說明義務。從法律視角看，征信機構為取得個人信息主體書面同意而與之簽訂的協}義是一種格式合同。這種合同條款是征信機構事先提供的，在簽訂合同過程中也未與對方協商。此種做法確實能夠提高效率，有助于提供經濟效益也是格式合同在現代社會中盛行的重要原因，但是需要征信機構應當注意防范相關法律風險。因為《合同法》《消費者權益保護法》及《條例》等相關法律法規都明確規定了作為格式合同提供方的征信機構，負有提示說明義務，即應當在簽訂協議時按照信息主體的要求作出明確說明，并作出足以引起信息主體注意的提示。此種提示說明義務應當是征信機構的主動義務，即無論信息主體是否要求說明，征信機構都要向對方明確予以說明。否則，征信機構不能據此免責。

（3）征信機構工作人員的依法依規查詢與保密義務。征信機構應當明確規定其工作人員查詢個人信息的權限與程序，并對查詢情況進行登記。工作人員負有依照規定的權限和程序查詢信息的義務，對于工作中獲取的信息負有保密義務。

（4）相對保障信息準確性的義務。征信機構應當采取合理措施，確保其提供信息的準確性。需要明確的是，這并未規定征信機構絕對負有保障其所提供信息準確的義務，只是一種相對性的義務，即只要盡到了采取合理措施的義務即可。

（5）禁止關聯信任報告的問題。由于征信活動存在道德風險，我國有些地方性的征信規定，如《上海企業信用征信管理試行辦法》第11條和《江蘇省企業信用征信管理暫行辦法》第20條明確禁止關聯信用報告。所謂關聯信用報告，是指由與被征信企業之問存在可能影響征信活動公正性的資產關聯或者其他利害關系的征信機構出具的有關該企業信用狀況的征信產品。盡管后來制定的《條例》及《征信機構管理辦法》沒有明確規定征信機構禁止出具關聯信用報告的義務，但是從法理上分析，為克服征信活動的道德風險，防范金融風險和維護金融穩定，征信機構理應承擔此義務。此外，盡管征信立法沒有賦予其義務，但是從公司法上的關聯交易規定也可以推斷出征信機構應當承擔此義務。

二、征信機構因以上風險可能承擔的法律責任

（一）征信機構侵權責任的構成要件

一般侵權責任具有四個構成要件：一是加害人實施了侵害行為；二是侵害行為給受害人造成損害結果；三是加害人對其侵害行為具有主觀過錯，包括故意與過失；四是侵害行為與損害結果之間具有因果關系。征信機構要對其征信業務活動承擔侵權責任是否需要具備以上四個構成要件尚存在爭議。如在《條例》之前的地方征信立法中，對于征信機構主觀要件的要求并不一致。《湖南省企業信用辦法》第51條規定：“信用信息提供人、被征信企業或個人因故意或重大過失向征信機構提供虛假或偽造的信用信息；或信用信息使用人違法使用企業或個人信用信息，侵犯企業合法權益或個人隱私，給當事人造成損失的，依法承擔民事責任。”該辦法采取的是故意注意與重大過失原則。上海、浙江、湖北及四川等省市的做法與湖南省類似。有的地方性規章如《蘇州市企業信用信息管理辦法》卻并不對主觀要件進行考察，而注重結果，實行嚴格責任原則。

《條例》第38條規定，征信機構違反業務規則侵犯信息主體合法權益并給信息主體造成損害的，依據該規定，征信機構對其征信活動承擔侵權責任的主觀要件是故意與過失。

（二）征信機構與信息提供者之間的責任分擔

（1）《條例》之前的地方性立法規定。已經有學者將《條例》之前地方性立法關于征信機構與信息提供者之間的責任分擔歸結為三種模式：一是信息源責任，明確要求信息提供人要保證信息的合法性、直實性，以《深圳市企業信用信息管理辦法》第16條規定為代表；二是試圖區分信息提供人和征信機構之間的責任，既要求信息提供人對信息的“合法性、直實性”負責，又要求征信機構保持信息的“原始性、準確性、完整性”，實際上由于客觀上難以界分以上義務性要求的內涵而無法界定雙方的民事責任；三是要求征信機構負有核實責任與不良信息糾正責任，并保證信息的“真實性和合法性”。

（2）《條例》關于征信機構與信息提供行之間的責任分擔。《條例》第32條要求征信機構保障其提供信息的準確性。信息主體認為征信機構提供的信息不準確而侵害了其合法權益時，可以依據《條例》第26條第3款規定直接向人民法院起訴。《條例》在“法律責任”章的第41條規定：“信息提供者違反本條例規定，向征信機構、金融信用信息基礎數據庫提供非依法公開的個人不良信，未事先告知信息主體本人，情節嚴重或者造成嚴重后果的，由國務院征信業監督管理部門或者其派出機構對單位處2萬元以上20萬元以下的罰款；對個人處1萬元以上5萬元以下的罰款。”從以上規定來看，《條例》尚未對征信機構與信息提供者之間的責任劃分做出明確的規定，甚至于都沒有在“法律責任”章像第38條規定征信機構承擔侵權責任的具體情形那樣規定信息提供并應當對哪些行為承擔責任。

（三）信用報告的法律性質及其責任分擔

在征信機構所提供的征信產品中，信用報告是其核心產品，可以分為個人信用報告與企業信用評級報告。鑒于信用報告在金融業活動中的廣泛運用及其對信息主體金融活動的重大影響，尤其是美國次貸危機中世界三大信用評級機構的糟糕表現，社會要求信用評級機構對其信用報告承擔法律責任的呼聲日漸高漲。而要求其承擔法律責任的關鍵所在是如何確認信用報告的法律性質。美國早期的司法案件中，評級機構被成功起訴過的案件非常少。這主要是因為信用評級機構被定義為新聞業者，而評級結果被當做是一種“意見”，從而受到了美國憲法第一修正案對新聞出版與言論自由的保護。但是評級機構在實踐中扮演的角色與“新聞業者”并不一致：評級機構從發行人（即信息使用者）處獲得報酬，積極參與金融產品的交易，并且其評級被諸多法律當做一種“基準”或監管許可。美國法院鑒于這些因素不再對信用評級機構給予美國憲法第一修正案的保護，而使其承擔應有的責任。