我國征信領域中的個人信息雙保護機制

張子紅 王晶晶

隨著征信業的蓬勃發展，人們的目光更多地聚焦到了個人信息保護領域。本文從征信領域個人信息保護的國際實踐共識入手，介紹了其發展歷程和時代特征，分析了當前我國征信業個人信息保護在法治領域的“雙保護模式”，并對個人信息保護領域重點問題深入探討，為進一步做好相關工作建言獻策。

Cover Story

征信領域個人信息保護的國際經驗

個人信息對社會經濟發展至關重要

個人信息的數字化和產業化應用，推動了數字經濟時代的變革和創新。無論是行政機關電子政務、金融機構授信放貸，還是電子商務獲客營銷等，個人信息在經濟生活的運用給人們帶來了諸多便利。而個人信息保護機制的缺失，勢必會引發社會對信息產業和互聯網平臺的信任危機。個人信息的無序使用，不僅會引發信息濫用亂象，損害公民人身財產合法權益，也會阻礙個人信息的良性流通共享，破壞公平有序的社會秩序，影響整體經濟的發展節奏。在此背景下，在大數據產業、云計算經濟發展蒸蒸日上的同時，健全個人信息保護機制迫在眉睫。

征信領域的個人信息保護有其特殊性

共享債務人的債務信息是征信業務區別于其他信息服務領域的主要特征，是個人信息領域的特殊實踐。征信機構通過債務信息共享機制來判斷債務人的融資能力;而信息主體則是通過讓渡自身的部分個人信息，以獲取在信貸、就業或其他領域資質的權益。征信領域的個人信息主要體現于兩類信息：一是個人在金融、商品交易等領域的歷史負債記錄;二是判斷其償債意愿和償債能力的信息，例如房貸、車貸和貸款擔保等金融負債信息，賒購、水電氣繳費等商業信用信息，以及欠稅信息等。一個國家的征信體系主要有三大作用：一是協助放貸機構對借款人的信用狀況進行客觀、正確評估，提升信貸管理決策水平;二是有助于規范借款人行為，為按時還款的社會公眾特別是低收入人群提供利用自身優質信譽獲取信貸機會的機制，進一步促進普惠金融的發展;三是在宏觀政策制定和支持審慎監管方面發揮重要作用，為中央銀行或金融監管部門實施監督提供信息支持，是維護金融穩定的有效工具。

征信領域的個人信息保護和個人信息共享就像一枚硬幣的兩面，其價值取向是既對立又統一的保護和利用的利益衡量。一是個人隱私保護與個人訴求之間的對立統一關系。個人既有隱私不受侵犯的需求，也有通過讓渡和共享信息獲取信貸機會的訴求。唯有在做好個人信息保護的基礎上，對個人信息有條件地限制讓渡共享，才能實現這兩個需求。二是發展和安全的對立統一關系。個人信息保護作為一種安全需求，體現了社會公平正義的內在要求，而個人信息有限共享作為征信業健康發展和維護金融穩定的宏觀需要，體現了社會公共利益的需求。因此，個人信息保護需要平衡好社會公平正義和社會公共利益之間的關系。綜上，征信領域的個人信息保護在權衡這兩種對立統一關系中形成了一種動態平衡。

征信領域個人信息保護國際實踐

歐洲的個人信息保護采用統一立法方式，主要強調的是個人對信息的自主決定權利，采取了比較嚴格的保護標準和信息處理原則。美國的個人信息保護以分門別類、分散立法為主，主要體現信息流動和隱私保護之間的平衡關系。從全球視角審視，征信領域的個人信息保護實踐在個人信息保護機制、信息主體權利界定等方面，已經形成了一定的共識。主要表現在以下幾個方面：

一是公開透明規則。這包括兩個方面：第一，征信機構透明化，即信息主體可以獲知本國征信服務機構的基本情況;第二，征信業務透明化，即征信機構要披露信息采集的目的、范圍、來源、處理規則和流程，以及個人權利、異議投訴等。

二是信息限制處理規則。這包括四個方面：第一，信息采集和使用目的要有明確的限制范圍;第二，信息采集要相關性、必要和最小化;第三，信息采集和查詢要同意授權;第四，負面信息要限期展示等。

三是數據質量規則。征信系統要采取措施確保數據的準確性。

四是安全保護規則。征信機構要確保數據安全，避免數據丟失、濫用等情況。

五是責任擔當規則。征信機構要擔當個人信息保護的主要責任。

六是個人權利保護規則。這主要指信息主體對本人信息享有的同意權、查詢權、異議權、糾錯權和救濟權等。例如，本人有權查詢自己的信用報告，本人對可能造成不良影響時的知情權，個人發現信用報告信息不準確時有權提出異議，要求提供數據機構和征信機構修改錯誤，對于侵害個人權益的行為，個人有權投訴或提起訴訟等。

我國征信領域個人信息保護的實踐發展與現狀

第一，我國征信領域個人信息保護實踐經歷了從無到有、逐步完善的發展歷程。我國的征信體系建設數十年的發展歷程，也是我國征信領域個人信息保護法制建設從無到有、不斷發展完善的過程。1999年，上海資信有限公司開始試點個人征信業務，而當時國內個人信息保護相關的法律法規和制度建設尚未起步。2004年，國務院批準了我國首個征信業頂層設計——《建設企業和個人征信體系總體方案專題報告》，當時也尚未開展對征信領域的個人信息保護立法。2005年，人民銀行創建了金融信用信息基礎數據庫，從制度設計上開始加入了個人信息保護元素;人民銀行出臺的《個人信用信息基礎數據庫管理暫行辦法》，在部門規章層面對征信業務個人信息保護進行規范，要求征信中心和商業銀行通過完善制度和技術手段來保護個人信息，并對泄露和非法使用個人信息行為進行處罰。2011年發布的《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》，從個人金融信息角度進一步強化信息保護要求，規范金融機構合法處理個人金融信息，明確保護金融消費者合法權益的相關要求。

2013年，國務院出臺了我國規范征信業的第一部行政規章《征信業管理條例》（以下簡稱《條例》），是我國征信業發展的里程碑，對我國個人信息保護發展意義深遠。在《條例》規范下，征信領域的信息采集、加工處理、保存和使用等業務規則的整體業務鏈條上，均滲透貫徹了個人信息保護理念：信息采集的同意告知;不良信息的告知;信息使用的授權;信息來源和使用渠道要清晰、信息錯誤可異議和糾錯等;信息主體有知情權、同意權、異議救濟權等。

2021年1月11日，中國人民銀行草擬了《征信業務管理辦法（征求意見稿）》并向社會公開征求意見，堅持征信為民，規范征信業務及其相關活動，加強征信監督管理，促進征信業健康發展。

第二，我國征信領域的個人信息保護具有鮮明的時代特色。我國發展進入了新時代，當前我國征信領域的個人信息保護具有鮮明的時代特征。黨的十九屆五中全會明確把“堅持以人民為中心”作為“十四五”時期經濟社會發展必須遵循的重要原則。為踐行全心全意為人民服務的根本宗旨，我國征信領域個人信息保護秉持“征信為民”基本理念，將個人信息保護作為貫穿征信業務開展各個環節的底線，采取了比歐洲實踐更為嚴格的個人同意權雙跨機制，采用信息采集、信息查詢雙同意機制。歐洲的大多數國家的信貸登記系統實行“強制征信”體制，征信機構從放貸機構采集借款人信息，以告知原則取代本人同意。這種同意權雙跨機制，給予個人在數據分享方面足夠的自主權和選擇權，讓愿意貢獻和分享信息的主體有機會分享經濟紅利，也使不愿意分享數據的個人有選擇權。這種機制體現了我國征信體系建設以人民為中心，堅持人民立場的法治精神。

我國征信領域的個人信息保護鮮明地體現了我國依法治國的發展理念，是習近平法治思想的具體體現。《法治社會建設實施綱要（2020—2025年）》明確提出要加快推進社會信用體系建設，進一步強化和規范信用信息歸集共享，推動出臺信用方面的法律，切實保障公民基本權利。2020年5月28日出臺的《民法典》第四編第六章單設“隱私權和個人信息保護”專章，為我國個人信息保護奠定法理基礎。《個人信息保護法》也正在醞釀出臺，對個人信息的保護將進一步加強。2020年，中國人民銀行副行長陳雨露在第三屆進博會上提出，構建適應數字時代高質量發展的現代征信體系的重點之一，是要完善征信業法律法規和相關配套機制。通過完善法律法規配套機制，征信機構要在《民法典》《征信業管理條例》等法律法規框架下依法合規收集數據，征信業務各方參與機構規范使用數據，信息主體權益保護做到有法可依，切實維護好信息主體合法權益。

我國征信領域個人信息的“雙保護模式”

第一，我國已經形成了以憲法為統領，刑法和民商法為總體框架的個人信息保護法律體系。《中華人民共和國憲法》提出“國家尊重和保障人權”，結合《民法典》將“信用”納入人格權名譽權，個人信用正式成為公民的一項具體民事權利。個人信用信息應在憲法框架下建立起配套有效的法律保障機制。

刑法領域的《刑法修正案（九）》及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，全面系統地規定了侵犯公民個人信息罪的定罪量刑標準和相關法律適用問題，確立了我國現行侵犯公民個人信息最嚴厲的刑事懲戒機制。

民事領域的《民法典》和即將出臺的《個人信息保護法》搭建了我國個人信用信息保護的民商事法治框架。首先，《民法典》將“信用”歸至名譽權范圍、民事主體對信用評價有查詢權和異議權，這標志著信用侵權正式納入民法人格權侵權保護機制;另外，通過單設“隱私權和個人信息保護”專章，從個人信息定義、處理、權益保護等方面建立個人信息保護機制;最后《民法典》明確其個人信息保護規則適用于征信領域。其次，即將出臺的《個人信息保護法》將是我國首部針對個人信息保護的立法。該法對個人信息定義、信息主體權利進行規定，對信息處理者及國家機關在處理個人信息時的處理規則進行要求，對違法處理個人信息的法律責任進行明確。

除此之外，各行業對個人信息保護采取分散立法的保護機制。全國人民代表大會常務委員會《關于加強網絡信息保護的決定》提出個人信息保護的范圍、規范網絡活動中收集、適用個人信息行為等。《網絡安全法》提出了網絡運行機構的信息保護義務，并對侵害個人信息合法權利違法行為進行懲治。《消費者權益保護法》提出經營者對消費者信息的保密、補救義務等保護要求。即將出臺的《數據安全法》提出了對信息數據的分級管理義務、安全保護義務等。

第二，征信領域目前已建立了以《征信業管理條例》為統領、多部部門規章為輔助的個人信息保護專項制度體系。《征信業管理條例》全篇共47條，大部分條款都與個人信息保護有關。《征信業管理條例》嚴格規范了個人征信業務規則，賦予了信息主體同意權、知情權、查詢權、異議權和救濟權等權益。這些規定不僅從權益保護角度賦予個人信息保護權利，而且也對征信活動各參與方在數據質量、異議數據處理、信息采集和查詢等環節增加個人信息保護要求;同時加強監管權限，設置違規的懲罰措施，保障個人信息保護措施的落實。

人民銀行配套發布了《個人信用信息基礎數據庫管理暫行辦法》，對個人信用信息基礎數據庫的數據報送與整理、個人信用報告查詢及異議處理等方面提出個人信息保護要求。《征信投訴辦理規程》《征信機構監管指引》《征信機構管理辦法》等系列配套措施，規范和引導征信機構做好個人信息保護工作。

綜上所述，我國征信領域的個人信息保護，在《憲法》統領下，形成了以刑法和民商法為總體法律保護模式、征信業領域專項法律保護模式為主的雙保護機制。這代表著我國征信領域個人信息保護法制框架已經搭建成型，初步形成了在憲法基礎上的，由刑事責任追究、民事救濟、行政監督等各項制度組成的綜合性法律保護體系。

征信領域個人信息保護應關注的重點內容

推動立法建設以完善征信領域個人信息保護舉措

一是加強征信領域個人信息保護立法層級。征信業務機制具有一定的特殊性和專業性。法律層面的《民法典》，包括正在征求意見的《個人信息保護法》等，都是對個人信息保護的原則性的籠統規定，目前并沒有針對征信領域個人信息保護的基本法律。各領域的分散立法不能完全有效解決征信領域個人信息保護的具體痛點。《征信業管理條例》作為國務院行政規章，其法律位階效力偏低，行政規范對涉及個人信息基本權利保護和限制相關內容無法進一步規定。有必要出臺征信業管理法律，在《民法典》和即將出臺的《個人信息保護法》的保護框架下，將個人征信準入和業務開展原則納入法治范疇。將第三方機構的獨立性原則、征信活動中的公正性原則和個人信息隱私保護原則等納入征信業法治體系;在法律層面對征信領域的信用信息定義、信用信息收集的有限使用原則和告知義務、個人知情同意權、查詢權、異議權、救濟權等方面進行明確規范。

二是修訂完善《征信業管理條例》。首先，落實新法對征信業務的規范要求。針對《民法典》《個人信息保護法》《數據安全法》等新出臺和將出臺的系列法律中個人信息保護的新原則要求，應盡快修訂《征信業管理條例》，將其落實到行政法規具體舉措中。其次，總結國內實踐經驗完善征信業務規則，例如，對于信息收集使用的同意和授權要求，實踐中信息收集、使用者以格式合同、“霸王條款”的方式取得用戶同意，通過惡意軟件甚至非法買賣等方式獲得信息，這些行為使得個人的“知情同意”原則受到嚴重弱化，因此有必要修訂完善《條例》的授權條款等。

建立配套措施以強化征信領域個人信息保護權益力度

監管機構應在國家法律和行政法規的框架下，出臺配套部門規章細化個人信息保護權益具體要求。一是目的特定要求。收集和查詢個人信息應當有明確特定目的，且不能逾越特定目的范圍。二是知情權要求。信息收集應當對信息主體履行告知義務，包括信息收集機構名稱、收集目的等。三是同意授權要求。不同性質、不同目的的信息處理活動要分別取得授權，不得采取一攬子打包方式。四是查詢權要求。征信機構應當公示個人信息查詢渠道、查詢方式和條件等。五是救濟權要求。可借鑒國外立法經驗，探索設立集體訴訟制度，建立暢通的個人信息保護民事渠道等。

加強監管力度以落實征信領域個人信息保護要求

維護信息主體的權益是征信監管的核心要義。一是依法合規開展征信監管業務。正在修訂的《中國人民銀行法（征求意見稿）》第五條第一款第（十六）項、第三十九條、第四十四條，從法律上明確人民銀行管理征信業、信用評級業和推動建立社會信用體系的職責，更是從設立監管基礎征信系統和征信市場管理的角度，對征信業監督管理進行了法律制度的頂層設計。二是根據國家即將頒布的《個人信息保護法》《數據安全法》等提出對征信業務個人信息保護的新規范要求，積極出臺監管配套政策以落實，規范個人信息在征信領域的依法合規使用。三是適時出臺《個人金融信息保護暫行辦法》和《征信業務管理辦法》，引導個人信息在金融領域里的依法合規使用，在征信業務范圍內加強對個人信息的規范管理。四是加大處罰力度，對于破壞征信市場信息安全和個人信息保護違法行為，依法從嚴懲處。2020年12月30日，人民銀行對深圳鵬元征信公司違法開展個人征信業務等行為開出了近2000萬元的罰單，創下行業內最大罰單紀錄。這將在征信領域的個人信息保護形成有效的監管震懾。

“十四五”時期，隨著我國經濟社會邁入轉型和高質量發展的關鍵時期，我國征信市場也迎來了黃金發展期。在當前時代背景下，需要全社會共同努力，進一步做好個人信息保護，規范信息應用，切實加強個人信息保護，推動我國征信體系建設開啟新發展格局。

（張子紅為中國人民銀行征信中心主任，王晶晶為中國人民銀行征信中心法律事務部業務經理。本文僅為個人觀點，不代表所在任職機構觀點。本文編輯/秦婷）