個人信用信息法益及刑法保護:以互聯網征信為視角

張勇

內容摘要：個人信用信息兼具私權和公共屬性，其法益內容既包括個人隱私權在內的人格權及其衍生的財產權，也有涉及國家和社會公共安全、利益及秩序的“超個人法益”。在互聯網征信領域，法律需要合理設定征信機構、信息提供者和使用者的保護義務，實行多元化、多層次的保護，對個人信用信息侵權犯罪行為予以刑法規制。我國個人信息保護立法存在碎片化問題，需要運用體系解釋方法，加強刑法體系的內外部銜接;運用利益衡量方法，對互聯網征信的侵權行為進行實質判斷，實現個人信用信息法益的整體刑法保護。

關鍵詞：互聯網征信 個人信用信息 超個人法益 體系解釋

中國分類號：DF6文獻標識碼：A文章編號：1674-4039-（2019）01-0058-67

引言

信用是市場的基石，市場經濟是信用經濟。信用是保障市場交易的基礎。隨著我國個人信貸市場業務規模快速增長，不良貸款余額和不良負債率居高不下，因個人信用不良引發的社會矛盾突出，經濟欺詐和逃廢債行為相當普遍。眾多P2P網貸機構在給小微企業帶來融資機會和需求的同時，也給網貸行業自身以及整個社會制造了安全風險，跑路、詐騙、倒閉等現象持續出現。面對社會信用缺失的嚴重狀況，迫切需要加強個人信用征信體系建設。然而，我國信用征信市場化起步較晚，政府主導的社會征信體系覆蓋率不夠廣泛，征信數據源單一，難以實現信息資源共享。同時，互聯網技術的應用和商業模式的創新使得征信業獲得快速發展。2015年初，芝麻信用、騰訊征信等國內八家機構根據中國人民銀行發布的《關于做好個人征信業務準備工作的通知》，準備申請牌照進入個人征信領域。在電子商務的推波助瀾下，互聯網個人征信逐漸滲透到金融消費行為和商業活動當中，但在互聯網征信開放、信息共享的模式下，個人信息、信用信息與隱私的邊界模糊化。許多征信機構以社交網絡和電子商務為平臺，采集大量涉及個人信用的信息，但較少考慮個人信息安全和隱私權、人格權保護問題。他們采集和使用的成本很低，非法獲取和濫用個人信息違法犯罪現象趨于嚴重，并借助互聯網不斷放大其社會危害效應。立法者和司法者也面臨著如何在個體權利、公共利益、社會秩序和國家安全之間進行價值平衡的問題。筆者擬對互聯網征信中個人信用信息的權利屬性、法益內容以及侵權行為類型進行分析，從系統論角度對個人信用信息刑法保護體系問題加以探討。

一、個人信用信息的權利屬性與法益內容

“信用”一詞在不同領域有不同的含義。道德上的信用作為一種美德，其核心是誠實不欺，于個人主要是指誠實人格或可信賴的品質;于社會則指普遍的信任和責任承諾。經濟上的信用即市場信用，主要是指行為人在商業交易或信貸活動中遲延履行對應義務的權利或能力。法律上的信用關注的是經濟活動相對人或社會對特定主體在經濟活動中履行義務的能力的信賴和評價。筆者所指的“個人信用”，即自然人和法人履行法定或者約定義務的心理態度及其行為能力。能夠評價其經濟能力和履約能力的個人信息，即為“個人信用信息”。

（一）個人信用信息的內涵及其可識別性

各國立法對于個人信息的界定不盡相同，一般都以公民個體的識別性為標準。有的國家將個人信息界定為可以有效識別公民個體身份即個體屬性的相關信息，如美國《隱私權法》中的個人信息包括：社會保障號碼、駕照號碼或者其他國家授予的身份證件號碼;銀行賬號、信用卡或借記卡號碼，以及其他銀行賬號、信用卡號碼。〔1 〕有的國家則否定個人信息的個體屬性，將其界定為能有效識別公民個體社會屬性的相關信息。如德國《聯邦數據保護法》第3條第1款將個人數據界定為“有關已識別或可識別的自然人（或數據主體）個人或實際關系的個體數據”。〔2 〕日本《個人資料保護法》將個人資料界定為“得以直接或間接方式識別該個人之資料，”并將保護客體分為“個人資訊”“個人資料”“保有個人資料”，并分別課以不同層次的義務加以保護。〔3 〕

在我國立法中，個人信息的內涵呈現不斷擴大的趨勢。《關于加強網絡信息保護的決定》第1條將個人信息規定為，“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”;《關于依法懲處侵害公民個人信息犯罪活動的通知》對“公民個人信息”也作了與前者相同的規定。《網絡安全法》第76條規定，個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”。這一定義刪去了隱私信息，“隱私性”不再是公民個人信息的要素，并由“能夠單獨識別”擴大到了“能夠單獨或者與其他信息結合識別”，可識別性從狹義變為了廣義范疇。2017年3月《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第1條所界定的“公民個人信息”，在《網絡安全法》所確立的“廣義的可識別性”基礎上又增加了“活動情況”要素;個人信息類型又加入了“賬號密碼”“財產狀況”“行蹤軌跡”三種，使得公民個人信息分為兩類：個人身份認證信息和可能影響人身、財產安全的個人信息。前者要求具有廣義的可識別性，后者則對可識別性沒有要求。可以看出，被納入法律保護范圍的個人信息類型在不斷增加。然而，與立法上采取的一貫擴張態勢不同，司法上一直將個人信息限定為特定類型的信息，盡管通過司法解釋逐步擴大了公民個人信息的保護范圍，仍然呈現出進退反復的情況。〔4 〕

根據現行立法和司法解釋規定，互聯網征信中個人信用信息的本質特征在于，其具有個人身份或個體特征的可識別性。可識別性即指與特定個體具有一定的關聯性與專屬性，通過這些信息符號能夠把信息主體直接識別出來，或者與其他信息互相結合間接識別出能夠評價其經濟能力和履約能力。其中，能夠直接識別的個人信息如個人姓名、家庭住址、電話號碼、電子郵箱地址等，爭議很少;但隨著云計算、大數據等信息技術的運用，許多征信機構通過分析互聯網用戶的消費信息、網頁搜集信息、社交網絡上的個人信用信息、智能手機的位置信息等，使很多價值密度低的數據更易被賦予可識別性特征。如果某種個人信用信息雖具有一定的敏感性，但無法明確知道該個人的身份，也即無法特定化，不具有可識別性，就不應成為個人信用信息。諸如事關公共生活的個人信息、非專有個人信息、無效的個人信息，除非其屬于能夠識別其經濟能力和履約能力的，一般不需要納入刑法保護的范圍。從具體內容來看，個人信用信息主要包括：（1）個人基本資料，通常包括姓名、性別、年齡、籍貫、學歷、政治傾向、婚姻狀況、住址、電話、工作單位、工資收入等;（2）個人商業信用狀況，包括個人收入、資產、銀行貸款及其還款情況、信用卡使用情況等過往的商業信用交易記錄，以及有無破產記錄等;（3）社會公共記錄，包括從事的職業、社會保險金繳納情況、納稅情況等;（4）守法情況，主要指有無刑事、行政與民事違法記錄等。

（二）個人信用信息的人格權及財產權屬性

在國外立法中，關于個人信息權利性質的歸屬，主要有兩種進路：第一種以美國立法為代表，將個人信息歸類于個人隱私的范疇，倡導以隱私權保護個人信息權;即便在當下美國，在私法領域內的隱私權被賦予了更加豐富的內涵，擴充為信息隱私權、空間隱私和自我決定的隱私。〔5 〕如美國學者弗瑞德（Fried）就認為，隱私權的核心并非是限制他人對本人私人生活的干預，而是保護本人對其個人信息的控制權。〔6 〕第二種以德國立法為典型，將個人信息權稱為“信息自決權”，系指個人有權自行決定，是否將個人資料交付與提供利用。個人資料非經個人許諾，不得任意搜集、儲存、運用與傳遞，〔7 〕德國聯邦憲法法院通過一系列判決，〔8 〕超越防止國家濫用個人數據的初始功能，將信息自決權構建為普遍意義上的公民個體對于其個人信息進行搜集、使用和處理的決定權。當然，這一決定權并非排他性的支配權，德國聯邦憲法法院在相關判決中，同時明確了符合顯著公共利益、基于法律保留的合目的、透明、必要與合比例這四項基本原則。〔9 〕作為歐洲層面個人數據保護的大憲章，《歐洲數據保護基本條例》立法理由第1條也明確規定，個人數據保護權是自然人應享有的基本權利，這顯然是繼受了信息自決權的內涵。事實上，當前人們對信息隱私權與信息自決權的理解已無實質差異，均承認個人對其個人信息擁有控制權或自主決定權，具體包括個人信息告知權、更正權、封鎖權以及刪除權等，這些內容的拓展使個人信息成為多面向、多維度、體系化的權利整體。〔10 〕

在國內，也有學者認為，應將個人信息權看作是一種新型權利。在權利內涵上，個人信息權是個人以其自身信息為權利客體，對其個人信息所享有的相關權利是其人格的重要組成部分。在權利性質上，個人信息權兼有人格權和財產權，〔11 〕《消費者權益保護法》《網絡安全法》《民法總則》《刑法》等現有法律構成了個人信息的法律保護框架。雖然《侵權責任法》第2條首次納入隱私權的概念，個人信息被納入個人權利的客體，《民法總則》第111條規定個人信息受法律保護，任何組織和個人不得非法收集、使用、加工、傳輸他人個人信息;不得非法買賣、提供或者公開他人個人信息。但沒有明確公民個人信息的權利屬性，即對于公民個人信息應當屬于人格權、財產權，還是一種獨立權利避而不談。隱私權不僅獲得人格權法和財產權法雙重保護，而且獲得國內法、國際法、行業自治法以及技術創新措施等多元保護。〔12 〕所謂“個人信息權”其實是理論上的概念，將個人信息作為獨立法益在刑法中予以保護缺乏前置根據，對個人信息權利屬性的界定，脫離不了現行法律規定。

從傳統個人法益角度，刑法之所以將侵犯個人信用信息的行為犯罪化，就在于這種行為威脅或損害了個人隱私在內的人格尊嚴和個人信息自決的自由，以及由人格權延伸出來的財產利益。（1）個人信用信息權利主要是一種人格權，從實體層面包括隱私權、肖像權、姓名權等，整體而言超出了個人隱私權。《解釋》將“公民個人信息”分為“識別特定自然人身份”或“反映特定自然人活動情況”兩類信息，明顯不限于隱私權范疇。隨著現代信息社會發展，隱私權已從傳統的消極權利演變為積極的“信息隱私權”。從形式層面則表現為個人信息自決權，即公民對他人收集和利用本人信息擁有是否同意的選擇權。或者說，信息權利主體得以直接控制與支配其個人信息，并決定其個人信息是否被收集、處理與利用以及以何種方式、目的、范圍收集、處理與利用。刑法應將個人信用信息確認為一種“具體人格權”，明確規定個人信用信息主體的知情、同意、查詢、更正、補充、刪除、封鎖等權利。當然，法律并非無限制地保護信用信息自決權，個人也不能將其所有的信用信息自決權理解成其擁有絕對的、毫無限制的支配權。對個人信用信息自決權的限制，仍要符合法律保留原則和比例原則。〔13 〕（2）個人信用信息還具有人格權延伸出來的財產權屬性，其財產利益是現代社會精神性人格利益商業化的典型。按照傳統的人格權理論，人格權受到侵害之后不能申請財產賠償。反過來說，財產權受侵害后也不能要求精神賠償;自然人死亡之后，其個人信用信息的商業價值的利用問題也無法得到解決，因為人格權不能轉讓或者繼承。正因為個人信用信息的人格權和財產權的屬性區分不明確，導致被害人很難提起刑事附帶民事賠償的要求。刑法要遏制侵犯個人信用信息的犯罪，就必須加大其犯罪成本，最有效的做法就是承認個人信用信息的財產屬性，將其中的人格權與財產權分開。在刑事附帶民事訴訟中，受害人既可以申請精神損害賠償，也可以申請財產侵害賠償。這樣顯然更有利于個人信用信息權的保護。

（三）個人信用信息的“超個人法益”性質

如前所述，個人信息主要是一種人格權，一般認為，人格權是專屬法益，自然不可能向財產法益那樣相加重疊。然而，當侵犯個人信息超過一定數量，就會造成對個人法益疊加而成的集體法益的侵害。在信息網絡社會風險因素和潛在威脅不斷增大的情況下，個人信息的法益保護也出現了公共化的趨勢，追求公共利益、秩序和安全的“超個人法益”就成為社會公眾普遍心態和立法目標選擇。所謂“超個人法益”，是指在法益概念中與個人法益相區別的、又具有某種關聯性的那部分利益，強調自身是全部個人法益的集合。〔14 〕“風險意識加劇了公眾的焦慮感和危機感，如何為個人的存在提供制度上的安全保障開始支配公共政策的走向。” 〔15 〕在信息網絡社會，個人信息關涉公民的人身財產安全，面對個人信息風險，個人自由將會被限縮，社會活動也會因為人們對個人信息泄露的不安受到影響，公眾對信息網絡安全的普遍信賴感值得法律保護。有日本學者指出：“一般的信賴感是指社會成員感受到應該相互遵守的社會生活上的規范或規則被遵守。” 〔16 〕也有德國學者指出，如果將法益作精神化的理解，就應當承認國民對于法秩序的信賴感也是法益的內容。〔17 〕在刑事立法上，也傾向于將抽象危險犯等預防性刑法條款適用于具有“超個人法益”的犯罪領域，法益功能從出罪化轉變為入罪化。〔18 〕根據我國《刑法》第253條之一的規定，侵犯個人信息的行為必須符合“情節嚴重”“情節特別嚴重”的條件，才可構成侵犯公民個人信息罪。如果個人信息被用于違法犯罪、造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果的，或是造成重大經濟損失，此種情況下必將給公眾對個人信息安全的信賴感造成重大沖擊。若是認為該罪法益為個人法益，則很難將個人信息的用途以及造成后果涵射在該罪的法益范圍之內。在我國尚未頒布《個人信息保護法》的前提下，合理利用個人信息的法律規則尚未制定，這時若將該罪的法益單純界定為個人隱私權或信息自決權，可能會過度抑制個人信息的積極利用。將侵犯公民個人信息罪的法益界定為“超個人法益”，即個人信息安全的信賴感，則為個人信息的利用預留更大的空間，也有利于保護個人信息的自決權。

（二）征信中個人信用信息侵權行為類型

近年來，征信主體非法買賣、泄露與濫用個人信用信息的侵權行為泛濫，并借助于網絡載體所產生的波及效應，無限放大其社會危害效應。在電子商務領域，主要存在制假售假、以次充好、虛假宣傳、惡意欺詐、服務違約、恐嚇威脅，以及通過惡意刷單、惡意評價等方式實現“增信”或“降信”，從而侵犯個人信用信息的行為。如旺旺貸“跑路”事件，就將網貸平臺最大的流量入口百度推上風口浪尖。很多受害者投資旺旺貸的主要原因就是其有百度認證。從不同征信主體的侵權行為類型上看，可分為以下幾種情況：

1.個人征信機構的侵權行為。主要包括：（1）在信息采集環節，如果征信主體所采集的信息無法真實、全面地反映信息權利主體實際的信用狀況，就會使授信者對信息主體信用狀況產生錯誤判斷;同時，征信主體可能違反《條例》等法律法規中的禁止性條款和基于合同對信息采集范圍的約定，隨意擴大個人信用信息的搜尋范圍。（2）在征信系統設計環節，如果征信系統設計存在瑕疵，導致對信息數據分析錯誤，影響授信者對個人信用狀況的判斷，使被征信者無法開展信用交易活動，就對個人信用信息權造成侵害。（3）在信息存儲環節，如果個人信用信息不及時更新、對不良信用信息不及時刪除，或者未對個人信用信息采取適當的安全加密措施，被他人攻擊、篡改、非法獲取，就會造成對個人信用信息權的侵害。例如，“數據黑市”滋生的重要原因就在于黑客能夠利用“爬蟲”、“撞庫”等技術手段輕而易舉地獲取數據庫，大量價格低廉的個人信息數據成為部分征信機構的隱形數據源。有的征信機構甚至雇用黑客直接對數據緩存庫實施“拖庫”盜取數據。還有的征信機構雖然通過正規渠道和價格獲得數據接口，但在調用數據時會在“本地設備”上形成一個“緩存庫”，當個人信用信息數據累積到一定程度后，就將這些“緩存庫”拿去進行二次銷售牟利。

2.個人信用信息提供者的侵權行為。《條例》第15條規定：“信息提供者向征信機構提供個人不良信息，應當事先告知信息主體本人。但是，依照法律、行政法規規定公開的不良信息除外。”然而，在提供個人信用信息過程中，也會產生如下侵權行為：（1）向征信機提供錯誤、過時、遺漏、片面等情形的個人信用信息。征信機構最終提供的信用信息上的瑕疵，導致信息權利主體的信用評價受到貶損。（2）基于故意增刪、修改、涂抹個人信用信息，或是虛構相關涉及征信采集方面的事項，損害他人信用。這些受到貶損或誤導產生的信用信息結論都有可能導致被征信者的信用評價受到影響，從而失去潛在的商業機會和原本預期的商業活動結果。（3）征信行業內部工作人員非法倒賣、幫助倒賣個人信用信息牟利。諸如相關涉及征信行業部門的業務操作人員、系統維護人員等作為“內鬼”為謀取非法利益，違規利用內部信息系統查詢征信報告出售盈利或串通外部人員，為其提供征信ID和密碼、銀行專用網絡，后者用于實施其他違法犯罪或倒賣出售獲利。

3.個人信用信息使用者的侵權行為。信息權利主體對自己的信用信息評估情況及該情況被用作何途享有知情權。如果信息使用者未按照規定及時履行相關告知義務，就可能構成對他人信用信息權的侵害。實踐中經常出現由于銀行未盡責審核或者他人利用虛假的身份資料辦理了貸款、信用卡后逾期不還，信息權利主體莫名被錄入征信“黑名單”，導致本人無法貸款。另外，因授權條款設置不具體、不明顯導致濫用個人信用信息的現象也很常見。許多互聯網銀行、P2P機構在獲取個人信用信息授權時采用電子形式，即信息權利主體申請貸款時在線勾選“同意”授權條款、電子規則、聲明等，但并沒有使用明顯標志進行提示，且授權內容范圍不明。如在“微粒貸”業務中，微信用戶點擊微信錢包中的“微粒貸”查看額度，不慎勾選了授權條款，而被“微眾銀行”以“貸款審批”為由向央行征信中心查詢用戶的信用信息，致使后者的知情同意權受到侵犯。

三、個人信用信息刑法保護的系統思維

從系統論的角度，刑法規范是其整個法律體系的子系統，既以其自身獨有的結構而具有內部封閉性，又同非刑事法律法規的交互作用而獲得其自身的開放性。根據法秩序的一體性與刑法謙抑性理念，刑事違法性與行政或民事違法性具有一致性。不存在具有刑事違法性，而沒有行政或民事違法性的行為;缺少行政或民事違法性的行為，也不可能具有刑事違法性。對上述個人信用信息侵權行為，除了進行形式層面的違法性判斷之外，更重要的是基于系統思維對個人信息立法碎片化予以修復，對個人征信各方主體利益進行利益衡量，從而實現個人信用信息刑法保護的體系化。

（一）個人信用信息保護立法碎片化及修復

目前，國內涉及個人信息與隱私保護的法律主要有《刑法》《侵權責任法》《網絡安全法》《消費者權益保護法》《征信業管理條例》《征信機構管理辦法》《電信和互聯網用戶個人信息保護規定》等。但在維護信息網絡安全立法思想主導下，個人信息權利的法律保護一直存在不足，缺乏相應的法律規范和制裁體系。我國尚未制定出臺個人信息保護法，現行立法多是間接的、碎片化的、框架性的規定，就像堆積拼接而成的“碎片”，既不系統又不協調，層級低且效力弱。實踐中存在執法部門權限職責不清，個人信息的收集處理規則不科學、不合理，作為個人信息權利保護義務主體的守法成本高，個人維權成本高昂且效率低下等問題。對此，有論者認為，在互聯網時代“必須營造一個公平正義和誠實信用的法治文化生態環境，而這個環境的建設源于多種要素的支撐和相關機制的完善”。〔21 〕在刑事立法方面，對于侵犯個人信息犯罪的刑法規制處于不斷擴張態勢，法益保護的鏈條不斷拉長，擴大了公民個人信息保護范圍和程度。《解釋》分別對“公民個人信息”“違反國家有關規定”“提供公民個人信息”“以其他方法非法獲取公民個人信息”“情節嚴重”“情節特別嚴重”等作了具體規定，明確了定罪量刑的情節標準，但仍未形成對個人信息權利完整的體系化保護。如《網絡安全法》第41條規定，信息收集者必須按照信息提供者同意的方式與范圍使用，不得超出收集個人信息的原始目的使用，但《刑法》以及《解釋》都沒有對非法“使用”個人信息行為做出規定，與《網絡安全法》的上述規定是相脫節的。即使“在《網絡安全法》加大侵犯個人信息違法行為處罰力度、兩高最新司法解釋進一步擴充刑法第253條之一構成要件的背景下，行政法與刑法的界限問題、刑法自身的邊界問題變得非常突出，直接影響到罪與非罪的認定。” 〔22 〕另外，由于缺乏嚴格有效的監督制約機制和良好的行業自律環境，行業組織所發揮的作用也比較有限。上述法律規制方面的漏洞，不僅難以實現個人信用信息法律保護的統一性和有機性，也不能為認定和處理侵犯個人信用信息的行為提供明確依據，由此帶來了司法認定方面的困惑，查證難度和司法成本相當大。司法實踐中，以侵犯公民個人信用信息罪追究刑事責任的案件并不多見，其中未經授權查詢個人信息被處以行政罰款的比例最高，行政處罰內容大都是罰款，“一罰了之”，處罰理由也未披露，違法成本相當低。

從系統論的角度，個人信用信息保護的法律規范之間應當是銜接協調的。只有刑法體系內外部實行多層次的法益保護，將大量侵犯個人信息的違法行為堵截在民事、行政法律領域進行處置，才能更好地發揮刑罰的懲治和預防功效。一方面，在刑法體系內部，涉及對侵犯公民個人信息罪及其關聯罪名的體系解釋問題。實際上，侵犯公民個人信息罪及其關聯罪可以看作是一種罪名集合。侵犯公民個人信息罪在這個“罪群”中處于核心位置，對于銜接和協調其他罪名的罪刑關系具有著重要的紐帶作用。不同罪名的構成要件之間應避免相互重疊，更不能相互沖突和矛盾;同時，準確處理相關罪名與法條競合關系，保持刑法規范適用的統一性和協調性。另一方面，在刑法體系外部，面對互聯網征信領域日益泛濫的非法采集和使用個人信息行為，在行政法監管不到位、處罰軟弱無力的情況下，有必要運用刑事法律手段進行規制。當然，作為保障法、事后法和制裁法，刑法只有在非刑事的前置法管控無效、超出其調整范圍的情況下才可以介入。如果一味予以刑事打擊，加大征信主體的涉罪風險，就會阻礙個人征信市場的發展，不利于互聯網金融安全和社會信用保障。因而，有必要從出罪角度加以考量，避免造成征信主體權益的制度性壓制。應當看到，民法、行政法、刑法等部門立法的價值目標各有側重，相互之間存在交叉競合、沖突矛盾的情況在所難免。因此，對于個人信用信息權利保護的“碎片化”問題，也應當客觀地看待其現實合理性，不能一概否定。

（二）個人信用信息保護的利益衡量及選擇

在互聯網征信領域，個人信用信息法益呈現多元化態勢，個人信用信息的權利屬性決定了兩者之間的矛盾，本質在于兩者所體現的經濟法價值理念不同，前者追求秩序，后者關注自由;個人征信影響信用信息權利的保護，而對信用信息權利的保護會降低征信效率。為了防止人們逾越權利底線追求自身利益而給他人利益帶來損害，法律需要確認合法利益的邊界，協調不同主體利益，建立利益調節機制，既要充分保證個人隱私和人格權益不受損害，又能夠保證個人征信活動的正常開展。〔23 〕從國外立法來看，各國已經意識到衡平征信與信用信息權利保護兩者矛盾的重要性。如美國通過《公平信用報告法》《消費者信用報告改革法》《格萊姆法案》《公平與準確信用交易法》強化了征信機構、信用報告使用者以及信息提供者的義務;歐盟也通過《關于個人數據處理的個人權利保護及此類數據自由流動的指令》等為依據保護信息主體的權益。相比之下，美國寬松的信息保護政策促進了信用信息的有效供給和流通，但也不可避免地提高了民眾的負債率。而歐盟立法更加注重對信用信息權利的保護，但也在一定程度上阻礙了信用市場的發展。〔24 〕隨著互聯網技術的不斷發展，各國有關個人征信的法律規則也在不斷作出調整，在利益沖突和協調的過程中趨同性日益凸顯。

我國刑法將侵犯公民個人信息罪置于《刑法》“侵犯公民人身權利、民主權利罪”一章，作為第253條之一規定在“私自開拆、隱匿、毀棄郵件、電報罪”之后，可見刑法保護的重點是公民個人的隱私權。然而，這種隱私權保護模式已經難以適應現代社會積極利用個體信息的現實需要。從保護個人隱私權的角度出發，必須限定征信中個人信用信息的范圍;但將其完全限制在個人隱私之外顯然是不現實的，只要允許個人信用信息的采集和使用，就必然存在其與個人隱私和人格權保護之間的沖突。對個人信息權利主體而言，他們很難對自身信息價值作出正確估價，很難對信息披露的風險作出評估，也不能確切地知道其個人信息最終會流向何處，或者將會被如何利用。〔25 〕由于信息持有者和使用者之間不平等的談判力量，個人也無法通過與處于強勢地位的征信機構進行談判來有效保護自己的個人信息財產權利。而對于需要積累數以億計的信用信息的征信機構而言，針對每次個人信息的使用逐一進行談判，需要非常高的交易成本，也是難以做到的。

我國征信業尚處于初創階段，在個人信用信息采集和使用方面，宜采取相對寬松的制度政策。基于保護社會公共利益的原則，在某些特殊情況下，可以強制公開個人信用信息，以實現個人信用信息公開的對稱性和公平性。在刑事立法和司法中，應當在堅持罪刑法定原則的基礎上，運用利益衡量的原則和方法，對侵犯個人信用信息行為的社會危害性進行實質判斷。有學者提出將利益分為：具體利益、群體利益、制度利益和社會公共利益，并通過利益層級進行判定。〔26 〕但也不能由此認為社會公共利益就一定要高于具體利益，否則就會導致國家權力的過度擴張，而使個人權利自由空間遭致壓縮。如前所述，個人信用信息所包含的法益可分為個人人格及財產權益、社會公共利益、國家安全利益。原則上，人格權益優于財產權益;財產權益之間價值高者優先;社會公共利益、國家安全利益一般優先于個人的人格及財產利益;但也要考察利益數量和規模大小從而加以判斷，而不能僅將法益性質作為唯一根據。判斷個人信用信息法益性質及其程度，包括個人信用信息的識別性強弱、信息數量規模、侵權行為方式和用途去向、被害人的心理感受、對國家信息安全、社會公共利益的影響等因素，需要司法機關綜合加以考量。〔27 〕

結語

綜上所述，在互聯網征信領域，個人信用信息呈現權利屬性復雜化、法益結構多元化的特點，包括信息主體的知情同意權和自決權，兼具保護國家和社會公共安全、利益及秩序的“超個人法益”，因而需要多層次、體系化的刑法保護，刑法體系自身是一個開放的復雜系統，并不局限于靜態的文本構造，更應從刑事司法功能的動態發揮得到實現。司法機關應加強對相關罪名的體系解釋，加強刑法保護體系內外部的銜接協調，構筑侵犯個人信用信息違法犯罪行為的法律責任和制裁體系;同時，通過運用利益衡量方法進行實質判斷，準確把握入罪門檻與出罪邊界，實現征信各方主體的信息權利的整體刑法保護和適當利益平衡。另外，法律上的利益平衡都不是靜態的，隨著個人征信的行業進步和經濟發展，通過刑事法律與非刑事法律之間的銜接協調，尋求互聯網征信領域不同主體利益的平衡點，在有效保護個人隱私的同時又不過度抑制征信行業的發展創新，從而實現個人信用信息法益刑法保護與信用信息開放之間的動態平衡。