非法獲取個人征信數據的歸責困境及疏解

孫夢龍 丁夢雨

非法獲取個人征信數據的風險彌漫在征信機構等組織的內外部。中國人民銀行曾通報個別商業銀行員工利用職務便利，非法獲取個人征信信息的問題①參見2016年《中國人民銀行關于加強征信合規管理工作的通知》。。司法實踐中的刑事案件有跡可循，諸如方某甲、沈某原利用平安銀行辦公電腦系統非法查詢個人征信報告出售②參見（2015）甬慈刑初字第644號案。、顏某利用農村信用社內勤權限非法查詢個人征信報告出售③參見（2017）湘1382刑初422號案。等。內部工作人員亦存在非法獲取個人征信數據的可能，例如，湖北某支行劉某某盜用賬號非法查詢個人征信報告出售④參見（2016）鄂1221刑初125號案。。征信機構亦具備非法行為的條件，據銀罰決字【2023】71-73號，2023年8月，中國人民銀行針對百行征信違反信用信息采集等的行為予以處罰⑤參見中國人民銀行官方網站行政處罰公示銀罰決字【2023】71-73號。。外部風險更為嚴重，最高檢檢察機關依法懲治侵犯公民個人信息犯罪典型案例⑥參見《關于印發檢察機關依法懲治侵犯公民個人信息犯罪典型案例的通知》，載最高檢官網。、北京法院侵犯公民個人信息犯罪三起典型案例⑦參見《北京高院召開北京法院侵犯公民個人信息犯罪案件審判情況新聞通報會》載中國法院網。，皆包括非法獲取個人征信數據的案件。

我國已出臺若干保護個人征信數據的規范，如《征信業管理條例》（以下簡稱《條例》）、《征信機構管理辦法》（以下《機構管理辦法》）、《征信業務管理辦法》（以下簡稱《業務管理辦法》）等，這為個人征信數據的保護起到良好的作用。實踐的需求推動《中華人民共和國網絡安全法》（以下簡稱《網安法》）《中華人民共和國個人信息保護法》（以下簡稱《個保法》）《中華人民共和國數據安全法》（以下簡稱《數安法》）相繼制定，造就個人征信數據的屬性不斷變得多元，呈現行政責任、刑事責任、民事責任并存的格局，同時造成若干歸責困境。

一、個人征信數據的屬性與歸責

非法獲取個人征信數據可觸發刑事責任、行政責任、民事責任，三種責任具有不同的法律構造。

（一）個人征信數據的三元屬性

首先，個人征信數據是征信相關法中的信用信息。個人征信數據最早為征信領域法所規制。1999年中國人民銀行《關于開展個人消費信貸的指導意見》出臺，要求金融機構從銀行信用記錄做起，對每一位消費貸款客戶建立個人檔案，我國的個人征信數據庫建設自始奠基。2005年《個人信用信息基礎數據庫管理暫行辦法》頒布，個人征信數據庫的管理走上規范化道路。據《個人信用信息基礎數據庫管理暫行辦法》①《個人信用信息基礎數據庫管理暫行辦法》第四條規定個人信用信息的類型。，個人征信數據的范圍基本界定。2013年頒布的《條例》《機構管理辦法》未直接對個人征信數據予以界定。2021年《業務管理辦法》進一步明確個人征信數據的概念②《征信業務管理辦法》第三條規定信用信息的概念。。其次，個人征信數據是刑法中的公民個人信息。個人征信數據成為刑法的規制對象始自2015年《刑法修正案（九）》對刑法第二百五十三條的修改。隨后，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱法釋〔2017〕10號）明確“征信信息”為侵犯公民個人信息罪的客體③法釋〔2017〕10號第五條，“征信信息”作為重點保護的客體被強調，個人征信數據當然為刑法中的“公民個人信息”。。最后，個人征信數據為《個保法》中的敏感個人信息④依據中國人民銀行征信中心、百行征信、樸道征信公開的實際收集的數據類別，亦可得出此結論。。一是個人征信數據是《個保法》中的個人信息。從定義來看，個人征信數據不屬匿名化處理后的信息，個人征信數據的識別性更加突出，其主要目的為判斷個人在金融信貸領域的信用狀況。從構成來看，個人征信數據包括個人基本信息、其他反映金融信貸情況的信息?！睹穹ǖ洹贰秱€保法》《網安法》皆規定個人信息的概念，定義基本一致，核心要點在“識別性”。作為識別自然人信用狀況的個人征信數據亦為規范意義中的個人信息。二是個人征信數據屬于個人信息中的敏感個人信息?！秱€保法》規定“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”。在最高檢檢察機關依法懲治侵犯公民個人信息犯罪典型案例中，涉個人征信案件在列，該案犯罪團伙非法獲取并出售公民個人征信數據共計31萬余條，違法所得錢款450余萬元。以個人征信數據作為詐騙手段的犯罪案件亦不在少數，例如席某詐騙案中，席某謊稱可消除不良征信，騙取他人巨額財物⑤參見（2019）內0202刑初45號案。。由此，個人征信數據的泄露與非法使用，不僅造成人格尊嚴的侵害，還會造成人身、財產的危害，個人征信數據應為敏感個人信息屬實。

（二）非法獲取個人征信數據的民事與刑事的歸責模式

第一，刑事中的歸責依據主要為《刑法》第二百五十三條。首先，從行為模式看，包括竊取、以其他方法非法獲取兩種，從語義上分析，竊取為非法獲取的一種典型方式，以其他方法非法獲取屬于兜底條款。此外，法釋〔2017〕10號對以其他方法非法獲取進行列舉，主要包括“購買、收受、交換，在履行職責、提供服務過程中收集”。因此，非法獲取個人征信數據包括竊取，購買、收受、交換，在履行職責、提供服務中收集等方式。其次，以入罪情節來看，情節嚴重為入罪門檻，情節特別嚴重為量刑升格條件。據法釋〔2017〕10號，情節嚴重具體包括“非法獲取個人征信數據五十條以上的”等四種情形。情節特別嚴重指主要造成人身、財產的嚴重后果或數量特別大。

第二，民事中，非法獲取個人征信數據的侵權責任涉及多部法律、行政法規和部門規章，但以引致條款為主。非法獲取個人征信數據亦包括竊取、以其他方式非法獲取兩種，與刑事責任不同，對個人造成損失損害是成立民事責任的前提?；镜臍w責依據在《民法典》《個保法》?！睹穹ǖ洹访鞔_宣示個人信息受法律保護，不得非法獲取，并規定不承擔民事責任的情形等規則，但未規定歸責原則?！秱€保法》明確規定個人信息的歸責原則、賠償數額的確定方式，第六十九條規定，非法獲取個人征信數據的歸責原則為過錯推定。

（三）非法獲取個人征信數據的行政歸責模式

第一，非法獲取個人征信數據在征信領域法中的行政歸責模式?！稐l例》第三十八條、《業務管理辦法》第八條構建的非法獲取個人征信數據的行政責任包括財產罰和行為罰。其中財產罰主要為罰款，沒收違法所得的適用則可供裁量。罰款為“雙罰制”，分別對單位、單位的直接責任人員處以罰款，幅度為單位五萬至五十萬元、個人一萬至十萬元。行為罰是指吊銷征信機構的個人征信業務經營許可。在監管對象上，分為征信機構、金融信用信息基礎數據庫運行機構兩類。

第二，非法獲取個人征信數據在《個保法》中的行政歸責模式?！秱€保法》未排除對征信機構、金融信用信息基礎數據庫運行機構的適用①《個人信息保護法》第十條規定：任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息；不得從事危害國家安全、公共利益的個人信息處理活動。，征信機構、金融信用信息基礎數據庫運行機構獲取個人征信數據的行為是個人信息處理行為，在處理個人征信數據的場景中，征信機構等屬個人信息處理者的范疇②《個人信息保護法》第四條規定：個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。第七十三條規定：個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。。就征信機構、金融信用信息基礎數據庫運行機構而言，個人征信數據的監管主體仍是中國人民銀行及其分支機構?！稐l例》《業務管理辦法》規定信用信息的監管主體為中國人民銀行及其分支機構，中國人民銀行及其分支機構屬《個保法》所規定的“在職責范圍內”履行個人信息保護職責的部門。另外，在中國人民銀行履職范圍之外的部分，征信機構、金融信用信息基礎數據庫運行機構之外的組織、個人，非法獲取個人征信數據的行為受網信部門、公安機關管理③《個人信息保護法》第六十條規定：國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。。據《個保法》第六十六條，非法獲取個人征信數據的行政處罰亦是“雙罰制”，包括兩種情形三個階段（見下圖）。

行政歸責模式

二、非法獲取個人征信數據的歸責困境

多重責任疊加愈加放大歸責困境。非法獲取個人征信數據的行政責任具有執法依據多樣、管轄主體多元的特點。同一行為可觸犯不同規范，可由多個主體歸責，導致不同的責任。行政責任與刑事責任裁量標準不同，導致案件移送不便，阻隔行刑歸責的銜接。個人的歸責能力畸弱是民事歸責的突出問題。

（一）行政歸責存在多層次的競合

首先，非法獲取個人征信數據的行為者為征信機構、金融信用信息基礎數據庫運行機構時，根據《個保法》《條例》，監管主體皆為中國人民銀行及其分支機構，但存在適用《條例》還是《個保法》予以處罰的疑問。非法獲取個人征信數據的行為既符合《條例》，亦符合《個保法》，兩者具有完全不同處罰條款、處罰思路、法律地位。一是非法獲取個人征信數據的行政處罰規定不同。《條例》規定的比較簡略，采用單位和個人皆處罰的“雙罰制”，情節嚴重則可吊銷經營許可?！秱€保法》規定的較為復雜，不僅規定警告、禁業限制等處罰，還區分出“拒不改正”和“情節嚴重”兩種情況，情節嚴重的處罰額度也比較高，可上至五千萬元。二是對非法獲取個人征信數據的行為，《個保法》與《條例》的處罰思路完全不同?！稐l例》沒有警告的階段，直接對不法行為者處以罰款，《個保法》則規定有警告的階段，只有在警告等處罰手段后“拒不改正”，才會上升到罰款層面。在“拒不改正”之前，《個保法》的處罰力度較小，在“拒不改正”之后，處罰力度比《條例》大許多。三是《個保法》與《條例》存在制定時間與法律位階的錯位。從法律位階看，《條例》屬行政法規，規則的適用限在征信信息領域；《個保法》為法律，具有適用的普遍性，關系所有的個人信息保護問題。以特別法優先一般法來看，《條例》作為征信領域法，規定的是征信領域的專門問題，應適用《條例》；以新法優先舊法來看，《個保法》是在《條例》生效之后制定的法律，包涵保護個人信息的普適性規則，應適用《個保法》。完全不同的兩套行政處罰方式都具備執法依據，歸責的競合不可避免。此外，依據《網安法》第四十四和六十五條，公安機關也具備對征信機構、金融信用信息基礎數據庫運行機構的處罰權。在非法行為者是征信機構、金融信用信息基礎數據庫運行機構時，同一行為可觸發三種行政歸責模式。

其次，征信機構、金融信用信息基礎數據庫運營機構以外的組織、個人不屬《條例》的規范對象。征信機構、金融信用信息基礎數據庫運營機構以外的組織、個人非法獲取個人征信數據，雖不存在是否適用《條例》的問題，卻也存在法律適用的競合。依據《公安機關互聯網安全監督檢查規定》（以下簡稱《規定》）第二十五條規定，非法獲取個人信息的，公安機關應按照《網安法》第六十四條的規定處罰。《個保法》亦規定非法獲取個人信息的處罰，但《個保法》頒布在2021年，制定的時間比《網安法》和《規定》稍晚，在《個保法》制定時，公安機關已經具有處理非法獲取個人信息的行政處罰權，結合《個保法》，履行個人信息保護職責的部門應包括網信部門、公安機關。征信機構、金融信用信息基礎數據庫運營機構以外的組織、個人非法獲取個人征信數據的，網信部門、公安機關皆可依據《個保法》第六十六條予以行政處罰。公安機關作為《個保法》中的履行個人信息保護職責部門，同時具備適用《個保法》第六十六條、《網安法》第六十四條進行執法的依據。對非法獲取個人征信數據的行為，公安機關可同時依據兩套行政處罰制度予以處罰，歸責的競合也不可避免。故不法行為者是征信機構、金融信用信息基礎數據庫運營機構以外的組織、個人，可同時觸發兩種行政歸責模式。

（二）刑事責任與行政責任的歸責銜接存在多維度的阻隔

首先，刑事責任與行政責任歸責標準不貫通。一是非法獲取個人征信數據刑事責任的歸責標準較明確。如前所述，刑法規定，侵犯公民個人信息罪的入罪標準為情節嚴重，法釋〔2017〕10號解釋情節嚴重的標準時，采用極為量化的指標[1]。綜合入罪的若干項主要指標，從數量上看，非法獲取個人征信數據五十條以上為情節嚴重，在刑事司法實踐中，一般需核實侵犯公民個人征信數據的實際數量，據此作為定罪量刑的標準。從違法所得來看，以非法獲取個人征信數據獲利五千元以上為情節嚴重，在實踐中，犯罪所得的數額是重要的量刑參照。據此，一般情況下，非法獲取個人征信數據的入罪，有兩條主要的、可混合適用的、直觀且明確的平行標準，數量在五十條以上及犯罪所得在五千元以上。二是非法獲取個人征信數據的行政責任歸責標準不明確。非法獲取個人征信數據的行為者是征信機構、金融信用信息基礎數據庫運行機構時，依據《條例》，對單位和個人分別可處罰五萬至五十萬元、一萬至十萬元的罰款，情節嚴重的吊銷經營許可，但歸責門檻、處罰幅度都沒有一個明確的量化指標，諸如何種情形應處罰何種罰款額度，“情節嚴重”如何判斷，都沒有具體的指標。中國人民銀行及其分支機構，網信部門、公安機關適用《個保法》第六十六條處罰征信機構、金融信用信息基礎數據庫運行機構，其他組織、個人時，同樣存在這一問題，“拒不改正”尚容易辨別，“情節嚴重”則缺少標準。

其次，行政歸責的管轄權割裂。非法獲取個人征信數據的行政歸責涉及多個類別的主體。具有管轄權的行政主體為中國人民銀行及其分支機構、網信部門、公安機關，行政行為的對象包括征信機構、金融信用信息基礎數據庫運行機構，其他組織、個人。不法行為者是征信機構、金融信用信息基礎數據庫運行機構時，管轄的主體既為中國人民銀行及其分支機構又為公安機關；不法行為者是其他組織、個人時，管轄的主體既是網信部門又是公安機關。公安機關在辦理案件中發現的涉嫌犯罪案件自然不必移送。中國人民銀行及其分支機構移送的對象為征信機構、金融信用信息基礎數據庫，網信部門移送的對象為其他組織、個人。

最后，標準的不貫通、管轄權的割裂，共同造成行政責任與刑事責任歸責移送的不銜接。行政責任與刑事責任歸責標準的不貫通，是歸責移送不銜接的基礎原因。依據《中華人民共和國行政處罰法》第二十七條，違法行為涉嫌犯罪的，應先移送司法機關對犯罪行為進行處理?！秱€保法》第六十四條在個人信息保護領域對這一規定予以確認。在非法獲取個人征信數據的歸責中，行政責任裁量標準不明確、不量化，行政處罰的行政行為主體考慮非法獲取個人征信數據的數量、違法所得的數額等量化內容成為不必要，行政行為的主體往往處在只知行政處罰不知是否涉嫌犯罪的境地，不自覺地以行政處罰代替刑事處罰，導致歸責移送的不銜接。行政管轄的割裂，放大標準不貫通的弊端，固化歸責移送不銜接的問題。征信機構經由中國人民銀行審批獲得經營資格，金融信用信息基礎數據庫運行機構屬中國人民銀行管理的事業單位，兩者都與自身的監管機構存在千絲萬縷的聯系，行政處罰標準與刑事責任標準的不貫通，恰可為監管機構模糊被監管者不法行為的性質留下空間。依據《個保法》第六十四條，履行個人信息保護職責的部門發現涉嫌犯罪的不法行為，應移送公安機關處理，這是行政責任與刑事責任間的單向移送?！缎姓幜P法》規定的移送制度是雙向的，對依法不需要追究刑事責任或者免予刑事處罰，但應當給予行政處罰的，司法機關應當及時將案件移送有關行政機關。行政管轄的割裂，放大這種單向移送的不銜接問題。公安機關具有對任何組織、個人非法獲取個人征信數據的行政處罰權，在公安機關處理的涉嫌犯罪不法行為中，征信機構等最終被判定沒有達到犯罪標準的，是否需要移送中國人民銀行及其分支機構，便存在矛盾。

（三）民事歸責中個人的訴權弱小

首先，民事歸責中，個人訴權的實現存在權利范圍不明的障礙。非法獲取個人征信數據的民事責任以個人信息權益存在損害為前提。反之，非法獲取個人征信數據，不存在個人信息權益的損害，應不承擔民事責任。在刑事案件中，非法獲取個人征信數據五十條以上為犯罪，例如，梁某侵犯公民個人信息罪一案中，梁某從其他不法份子手里購買個人征信報告127條，因而獲刑①參見（2019）蘇0321刑初639號案。。此刑事案件中，個人征信數據被梁某非法獲取的特定個人能否提起民事訴訟，需首先證明是否存在個人信息權益的損害。再如，在銀罰決字【2023】71-73號中，中國人民銀行對百行征信予以警告、罰款51.5萬元的處罰，理由包括非法獲取信用信息等，雖行政監管不排斥民事訴訟，在行政處罰后，個人能否提起訴訟主張侵權責任，也存在個人信息權益是否遭受損害的認定前提[2]。一是《個保法》第六十九條所規定的“個人信息權益”具體內容，實踐中并無明確的規范性解釋[3]?！皞€人信息權益”是財產權還是人格權，抑或同時具備財產權、人格權，沒有清晰的界定[4]。另外，個人征信數據與其他個人信息不同，它是法律規定的需要強制收集的數據，又是敏感個人信息，以《個保法》構建的“告知—同意”為核心的個人信息自決權為基準，“個人信息權益”之于個人征信數據、一般個人信息，內涵并不完全一致。個人征信數據的特殊性質加重“個人信息權益”內容不明的訴訟難度。二是“個人信息權益”的內容不明使“造成損害”的數量計算落空。非法獲取個人征信數據的行為模式具有特殊性，侵權者一般不會只獲取特定個人的征信數據用以侵害特定個人的權益。不法行為者非法獲取的個人征信數據存在一定的量級，特定個人的個人征信報告是確定、唯一的。即使非法行為者獲取大量的個人征信數據，又通過出售等行為攫取不菲的違法所得，個人在其中的實際損害為何、不法者通過特定人的征信數據獲取的違法所得為何，無論人格權益抑或財產權益，“損害”的量化相當困難。如此，個人的權利范圍便不清晰，權利的行使走向真空。

其次，民事歸責中，過錯推定的歸責模式削弱個人的訴訟權利?！秱€保法》規定，個人信息的侵權歸責原則為過錯推定[5]，行為者對個人信息權益造成損害，可證明沒有過錯時，將不承擔民事責任。例如，在許某某侵權案中①參見（2023）遼03民終1358號案。，法院認為某公司確實損害許某某母親的個人信息權益，但某公司可證明自己不存在過錯，所以不應承擔侵權責任。在個人信息國家保護的模式中[6]，個人要主張非法獲取個人征信數據的侵權責任，在“個人信息權益”和“造成損害”范圍不明時，除要舉證個人信息權益遭受損害，還要期待行為者對自己無過錯的證明不能。同等情形下的刑事責任、行政責任則容易證立。此外，《個保法》第七十條確立個人信息保護的公益訴訟制度，在刑事案件、行政案件中，檢察院等法定主體可通過刑事附帶民事公益訴訟等方式實現民事歸責[7]。但對個人信息權益的保護也不能完全寄望利益中立、任務繁重的公共實體。個人不僅應在個人信息權益的保護中具備主體地位，還應具有相當的維權能力。侵權責任與刑事責任、行政責任的聯系千絲萬縷。非法獲取個人征信數據可觸發行政處罰、刑事犯罪，也可引發侵權責任，三者存在競合也不等同個人需將自身權益的保護完全托付給國家。

三、非法獲取個人征信數據歸責困境的疏解進路

疏解個人征信數據的歸責困境，可從解決行政歸責競合，行政責任、刑事責任歸責銜接的阻隔，民事歸責中個人訴權弱小三個方面著手。

（一）統一行政責任歸責模式

首先，可考慮修改《條例》第三十八條，在征信領域法中，將非法獲取個人征信數據的行政處罰指向《個保法》第六十六條。非法獲取個人征信數據行政責任的多層次競合，原因為立法的滯后性和分散性。任何法律都具有一定的滯后性，這是法律固有的特點。數字社會迅速發展，特定的事物往往短期內具有不同的立法需求，如此造成立法的分散無疑放大非法獲取個人征信數據的立法滯后。《條例》頒布在2013年，彼時的網絡社會發展還不充分，信息的載體以紙質文本為主，以數據作為載體的信息存儲方式尚不普遍，非法獲取個人征信的監管矛盾并不突出。其后，信息技術突飛猛進，《網安法》《個保法》《數安法》依次制定，個人征信數據的保護不僅涉及網絡安全還涉及個人信息保護、數據安全。2021年，部門規章《業務管理辦法》出臺，吸收《個保法》的若干精神，擴充個人征信信息的保護范圍，但仍沿用2013年《條例》的處罰制度。《個保法》生效后，在對征信機構、金融信用信息基礎數據庫適用行政處罰方面，中國人民銀行及其分支機構無論適用《條例》抑或《個保法》都具備執法基礎，這種矛盾亟需解決。解決的最優路徑是修改《條例》第三十八條，使其符合《個保法》第六十六條的規定。原因有三，一是《條例》已經制定十年，彼時對個人征信的保護并未涉及個人信息等問題，當下應對其修改以適用數字社會的實際需求。二是基于法律位階[8]，《個保法》作為法律理應得到貫徹執行，修改《條例》適應《個保法》具有立法的法理基礎。三是《個保法》的歸責模式更優。罰金范圍較《條例》的幅度更大，符合當下的經濟社會發展；處罰梯度先柔和后嚴厲，能較好兼顧經濟發展和個人權利保護。

其次，可考慮修改《網安法》第六十五條，由具體的處罰規定變為引致性條款，將對其他組織、個人非法獲取個人征信數據的行政處罰指向《個保法》。原因有二，一是《網安法》頒布在2016年，主要目的為保障網絡安全，彼時制定個人信息保護法的條件尚未成熟，《網安法》針對個人信息的保護也做一些規定，賦予公安機關非法獲取個人信息的處罰權。2021年《個保法》制定，作為專門規范個人信息保護的法律，較《網安法》更為精細，《網安法》中涉及個人信息保護的規定已經完成歷史使命，應調整為引致性條款，以方便涉及個人信息保護的行政處罰適用《個保法》。二是保證行政處罰的公平、統一。按照前述修改，對征信機構、金融信用信息基礎數據庫運行機構非法獲取個人征信數據的處罰適應《個保法》第六十六條；其他組織、個人做出同樣行為亦應得到相同行政處罰，否則將破壞法律適用的平等性。據此修改，結合《中華人民共和國行政處罰法》第二十五條，管轄的重疊將不是問題。無論網信部門、公安機關抑或中國人民銀行及其分支機構，適用法律將具有統一性，法律適用的統一已經消弭管轄的重疊。

（二）完善行政責任、刑事責任歸責的銜接制度

首先，應由網信部門會同有關部門商定非法獲取個人征信數據的行政裁量基準。刑法嚴厲打擊侵犯公民個人征信數據的行為，非法獲取個人征信數據的行為較容易達到刑法的入罪標準，行政責任的適用反倒不緊迫。同時，對非法獲取個人征信數據的行為者行使行政處罰權的管轄部門比較分散，并不是所有部門與司法機關的溝通、聯系都如此密切，這容易造成以行政處罰代替刑事處罰的結果?；诜欠ǐ@取個人征信數據的多方管轄特點，非法獲取個人征信數據的行政責任的處罰裁量標準，應由網信部門會同中國人民銀行、公安機關、檢察機關、人民法院商定細則。網信部門作為個人信息保護的統籌協調機構，應承擔規則制定的責任。中國人民銀行、公檢法機關都是個人征信數據保護場景中的職責部門，多方參與可將實踐中的需求加入規則中。在行政裁量基準的制定中，應采用量化的方式，重點確定《個保法》的行政歸責模式中，第一階段情節未達嚴重、第三階段“情節嚴重”的數額標準。

其次，應建立非法獲取個人征信數據案件的雙向移送機制。所謂雙向移送制度，是指在非法獲取個人征信數據的行政處罰中發現涉嫌犯罪的，中國人民銀行及其分支機構、網信部門應將案件移送至公安機關；公安機關在處理涉嫌侵犯公民個人信息罪的過程中，發現達不到犯罪標準的，行為者如果是征信機構、金融信用信息基礎數據庫運行機構，應將案件移送給中國人民銀行及其分支機構接受行政處罰。具體而言，雙向案件移送制度的結構包括三個主體、兩個方向。中國人民銀行及其分支機構、網信部門將非法獲取個人征信數據犯罪案件移送給公安機關，這是貫徹《個保法》第六十四條規定的基本要求；公安機關將達不到犯罪標準的案件移送給中國人民銀行及其分支機構，依據在《中華人民共和國行政處罰法》第二十七條，即對不必追究刑事責任以及免于追究刑事責任的案件，應及時移送至行政機關。對公安機關處理的不涉嫌犯罪的非法獲取個人征信數據案件，則不必移送，如前述修改，公安機關可直接依據《個保法》第六十六條處罰。

（三）強化民事歸責中的個人訴權

首先，強化民事歸責中的個人訴權可訴諸司法解釋。對個人征信數據的“個人信息權益”的解釋，應基于敏感個人信息的特點考慮，不應只局限在《個保法》以“告知—同意”為中心構建起來的個人信息自決權，還應包括《民法典》中的個人信息人格權。這些內容以侵權法為樞紐，可達到較好的聯結。同時，對“造成損害”亦應做出擴大解釋。非法獲取個人征信數據的行為者不可能只獲取特定個人的數據，其違法所得、侵犯的征信數據造成的實際損害難以分離、量化到具體的個人。個人在論證非法獲取個人征信數據具有損害方面具有操作的困難，“造成損害”應包括個人為維護個人信息權益而耗費的成本、被非法獲取的個人征信數據暴露的范圍等。①我國臺灣地區《個人資料保護法》的個人信息損害賠償制度值得借鑒，其第二十八條規定“如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算”。其次，強化民事歸責中的個人訴權還需重新構造非法獲取個人征信數據的歸責原則。一是《個保法》中，個人信息的民事侵權歸責原則為過錯推定，這種模式有待優化，可考慮修改《個保法》第六十九條，增加無過錯責任一項。基于業務經營等原因，在特定個人信息遭受非法獲取時，持有特定個人信息、負有個人信息保護義務的企業等組織應承擔無過錯責任。具體而言，在其他組織、個人，非法獲取個人征信數據的場景中，具有個人征信數據保護義務的組織應承擔無過錯責任。該種責任與非法獲取個人征信數據的其他組織、個人連帶承擔。二是可考慮在《個保法》第六十九條中增加禁止非法獲取個人信息一項?！秱€保法》中的“處理個人信息”應做限縮，理解為本身帶著合法的權限、合理的目的處理行為，如此可與《民法典》的責任免除制度對接。如果本身帶著非法的目的，自不應討論過錯的存在與否，不應適用《個保法》第六十九條的過錯推定原則，而應直接按照損害承擔侵權責任。只有本身帶著合法的權限、合理的目的處理個人信息時造成損害的，才適用過錯推定原則和《民法典》的責任免除制度?；趯Υ颂幍南蘅s解釋，在《個保法》第六十九條，還應明確增加禁止非法獲取個人信息的規定。

四、結語

非法獲取個人征信數據的歸責困境，亟需通過統一行政責任的歸責模式，構建刑、行歸責銜接制度，在民事歸責中強化個人訴權來解決。前述歸責困境，既是非法獲取個人征信數據的專屬困境，又是個人信息保護領域的普遍問題，對非法獲取個人征信數據的歸責困境的解決，本就帶著解決個人信息保護領域的普遍歸責問題的隱性審視。個人信息保護多主體多結構的歸責模式，一方面表明在社會發展中，立法者一刻不停地緊盯個人信息保護，采取多種措施；另一方面也表明個人信息保護的全部核心問題并未完全揭開面紗，亟需在法律的不斷適應中解決實際需求。