鄧歡

（中央財經(jīng)大學 法學院，北京 100081）

個人征信中信息主體的隱私權(quán)保護研究

鄧歡

（中央財經(jīng)大學 法學院，北京 100081）

隱私權(quán)的概念從“不被干擾”擴展為“信息的控制權(quán)”，針對隱私權(quán)的保護也應該從被動轉(zhuǎn)化為主動。個人征信行為下的隱私權(quán)保護應該在規(guī)范個人征信行為下，保證當事人對個人信用信息的參與和控制。從比較法的角度，比較分析我國和其他國家個人征信隱私權(quán)保護的法律規(guī)定，我國應該借鑒美國經(jīng)驗，制定綜合性的《個人數(shù)據(jù)保護法》,修改并完善我國個人信用征信隱私權(quán)保護的法律，將隱私權(quán)保護的重心放于信用信息收集之后，賦予信息主體更多的權(quán)利。

個人征信；隱私權(quán)；隱私權(quán)保護

一、隱私權(quán)及個人征信行為下的隱私權(quán)

（一）隱私權(quán)

1890年，美國法學家沃倫和布蘭代斯首次提出隱私權(quán)的概念，認為隱私權(quán)是一項“不被干擾”的權(quán)利。[1]張新寶教授也認為傳統(tǒng)的隱私權(quán)具體是指公民的住居、內(nèi)心世界、財產(chǎn)狀況、社會關系不愿為外界知道的權(quán)利。但隱私權(quán)是一個歷史概念，社會的發(fā)展使得隱私權(quán)的內(nèi)涵和外延不斷擴展，對于隱私權(quán)的界定，張新寶教授增加了“對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權(quán)”，進一步體現(xiàn)了隱私權(quán)的核心特點——個人有權(quán)控制自己的信息。信息化網(wǎng)絡時代的到來，使得個人隱私呈現(xiàn)出數(shù)據(jù)化的特點，涉及到對個人數(shù)據(jù)的收集、存儲和使用的各個環(huán)節(jié)的保護隱私權(quán)利的問題。于是，在傳統(tǒng)隱私權(quán)的基礎上提出了針對私人信息的“信息隱私權(quán)”概念[2]、針對具有財產(chǎn)利益性質(zhì)信息的“金融隱私權(quán)”的概念。

隱私權(quán)的概念從“不被干擾”擴展為“信息的控制權(quán)”，針對隱私權(quán)的保護也應該從被動轉(zhuǎn)化為主動。傳統(tǒng)意義上的隱私權(quán)保護主要是他人對自身隱私的消極不作為，一般只規(guī)范行為活動，保證隱私不被打擾，強調(diào)的是消極地被動地對自身隱私的保護。但在現(xiàn)代社會中，排除他人對個人信息的了解會影響個人信息的公開，從而影響社會信用信息交易的安全。因此，保護當事人對個人信息的權(quán)利是保證當事人對自己個人信息如何公開、對誰公開、公開到何種程度等一系列問題的了解和控制的權(quán)利。[3]據(jù)此，有學者提出了“資訊隱私權(quán)”、“個人信息自決權(quán)”、“個人信息權(quán)利”等概念。

（二）個人征信系統(tǒng)下的隱私權(quán)

傳統(tǒng)的隱私權(quán)包括私人生活安寧權(quán)和個人信息隱私權(quán)兩大基本權(quán)利。[4]個人征信是對個人信用信息的采集、整理、保存、加工，并向信息使用者提供的活動，主要涉及的是信息主體的個人信息。在這個業(yè)務流程中,被收集、加工、處理和出售的唯一對象是消費者的個人信用信息,這就不可避免地涉及到消費者個人信息隱私權(quán)的問題。[5]個人隱私權(quán)的侵犯，既可能損害當事人從事經(jīng)濟活動方面的經(jīng)濟利益，也可能損害當事人享受正常安寧生活的精神利益。[6]本文認為，我們要在規(guī)范個人征信行為下，保證當事人對個人信用信息的參與和控制。

規(guī)范征信行為，是傳統(tǒng)意義上隱私權(quán)的保護，通過規(guī)范征信行為，使個人隱私免受干擾。具體到法律規(guī)定中體現(xiàn)為：（1）規(guī)定個人信息的采集范圍：個人征信法律應對個人信息的采集范圍作出規(guī)定，明確規(guī)定個人敏感信息禁止采集和限制采集的范圍；（2）規(guī)定個人信息的采集和使用方式：個人征信法律應對個人信息的采集方式作出規(guī)定，明確規(guī)定個人信息在什么條件下才可以采集，個人信息的使用應受什么限制；（3）規(guī)定個人信息的保存時限：個人信息具有及時性，個人征信法律應對個人信息的儲存時限作出規(guī)定。

賦予信息主體權(quán)利是隱私權(quán)保護的外延，使信息主體積極主動地保護自身權(quán)益。具體到法律規(guī)定體現(xiàn)為：（1）知情權(quán)：個人有權(quán)知悉信息管理者是否在收集、儲存、利用、處理、轉(zhuǎn)讓、傳播、公開自己的個人信息,對有上述行為的信息管理者,有權(quán)要求知悉該個人信息的內(nèi)容、用途、使用者的有關信息并接觸該項個人信息記錄；（2）更正異議權(quán)：個人有權(quán)要求信息管理者保證其持有的關于自己的個人信息的準確性、完整性和及時性,對不準確、不完整和不及時的信息有權(quán)要求信息管理者更正或刪除；（3）救濟權(quán)：個人在其個人信息受到非法收集、儲存、利用、處理、轉(zhuǎn)讓、傳播、公開時,有權(quán)要求侵權(quán)人停止侵害、消除影響、賠禮道歉、賠償損失,并可要求精神損害賠償。[4]

二、各國個人征信系統(tǒng)下的隱私權(quán)保護

（一）美國

美國是世界上征信管理體系最發(fā)達的國家，這和其完備的征信法律體系是不可分的。美國采取的是分散立法模式，1970年出臺的《公平信用報告法》，主要規(guī)定征信機構(gòu)在征信行動中的權(quán)利和義務，對于信息使用者的規(guī)定較少。2003年出臺的《公平準確信用交易法》可以說是對《公平信用報告法》的修正案，為信用市場提供了一個長期性、一致性的標準，對隱私權(quán)立法保護有了符合時代的更新。按征信行為過程，美國隱私權(quán)的立法保護包含以下內(nèi)容。

1．個人數(shù)據(jù)的采集和征集過程

美國征信法律的理論假定是：只要信息是充分的，虛假信息就會被驅(qū)除。因此關于采集范圍，美國法律中沒有信用信息的概括式定義，只要征信機構(gòu)認為某一信息對評價自然人的信用狀況是有幫助的，就有權(quán)收集[7]；關于信息采集的方式，美國模式采取的是目的許可，在合理的動機和目的下可以不須信息主體同意。

2.個人信用信息儲存和個人信用報告的制作過程

《公平信用報告法》規(guī)定正面信息保留10年，破產(chǎn)信息保留10年，其他負面信息只能保留7年；在信用信息的存儲時限內(nèi)，當事人除了可以每年一次免費申請查詢外，在當事人被作出“不利行動”的決定后和對于符合特殊弱勢主體的條件下，當事人還可以免費申請查詢，而且在信用報告中有不利于信息主體的內(nèi)容時，應把名稱、住所通知給該信息主體；對于查詢的信息不符合及時性、完整性和準確性時，消費者可以提出異議申請，除認為是“荒謬或不相關”的，個人征信機構(gòu)應予以核實，并負相應的舉證責任；如果異議成立，不僅需要更正或刪除，還需要在原信用信息處更正錯誤，如果異議無法證明異議不成立，也應當刪除，消費者對已核實的信息仍有不同意見的，則可以在信息報告中附加一份聲明。

3．個人信用報告使用的過程

美國模式下的個人征信隱私權(quán)保護主要體現(xiàn)在這一階段，美國法律不僅限定了信息報告的使用，而且在報告使用后賦予了消費者更多的權(quán)利。關于使用方式，美國采取的是目的許可模式，《公平信用報告法》604條對此作出了規(guī)定，明確規(guī)定了信息使用者可以使用信用信息的十種情形，除此之外征信機構(gòu)有判斷權(quán)，自行判斷其目的是否合理；信息使用者根據(jù)信用報告的全部或部分信息作出了不利于信息主體的決定，應當通知該信息主體；消費者發(fā)現(xiàn)征信機構(gòu)、信息使用者或信息提供者侵害隱私權(quán)的，可以向聯(lián)邦貿(mào)易委員會投訴，也可以向州或聯(lián)邦法庭起訴，但美國長期以來主要采取的是自律方式，即依靠征信機構(gòu)的自我約束和行業(yè)協(xié)會的監(jiān)督來實現(xiàn)。[8]

（二）歐洲

相對于美國，歐洲國家的立法模式有兩點不同：一是采取集中立法模式，不對征信行業(yè)作特別規(guī)定，而是對個人數(shù)據(jù)的使用作一般規(guī)定，二是因歐盟的存在，實現(xiàn)了跨區(qū)域的保護，以《公約》或《綱領》的形式作原則立法，要求其成員國在原則的大框架下制定本國法?，F(xiàn)在歐洲各國多是以《歐盟個人資料保護綱領》（以下簡稱《綱領》）為標準制定本國立法，而該《綱領》的目的之一就是保障個人自由及基本人權(quán)，尤其是隱私權(quán)益，可見歐洲的立法更傾向于個人隱私權(quán)的保護。歐洲立法主要是通過對個人數(shù)據(jù)的處理和使用的規(guī)范來保護個人隱私權(quán)，主要涉及數(shù)據(jù)控制者（或稱數(shù)據(jù)處理者）、數(shù)據(jù)接受者、數(shù)據(jù)主體和監(jiān)管機構(gòu)四方主體。

1.個人數(shù)據(jù)的采集和征集過程

關于采集范圍，《綱領》提出了敏感信息的概念，對有關種族、血統(tǒng)、出生、政治觀點、宗教或哲學信仰、加入行業(yè)協(xié)會成員情況以及健康或者性生活等敏感個人數(shù)據(jù)的采集是嚴格限制或禁止的，除非得到了數(shù)據(jù)主體的書面同意；關于信息采集方式，《綱領》作了明確的規(guī)定，個人數(shù)據(jù)的收集須征得數(shù)據(jù)主體的同意。

2．個人信用信息儲存和處理過程

歐洲模式下的個人征信隱私權(quán)保護主要體現(xiàn)在這一階段?！毒V領》對信息儲存時限作了原則性的規(guī)定，要求保留數(shù)據(jù)的時間符合采集數(shù)據(jù)的目的，各本國法再根據(jù)具體情況作具體的規(guī)定，例如德國唯一的征信機構(gòu)夏華公司對債務拖欠等不良記錄的規(guī)定，只要核實債務已經(jīng)清償，記錄就予以刪除。除此之外，《綱領》規(guī)定在數(shù)據(jù)的處理過程中，數(shù)據(jù)主體有更強的控制權(quán)，即數(shù)據(jù)處理者或者其代理人在處理數(shù)據(jù)前必須向主體提供下列信息：管理者或者其代理人的身份；該數(shù)據(jù)的計劃使用目的；其他信息如數(shù)據(jù)接收方情況。除法定情形外，只要有合法的理由，數(shù)據(jù)主體有權(quán)在任何時候拒絕對其數(shù)據(jù)進行處理，當該反對意見被證明是正當時，管理者在進行數(shù)據(jù)處理時不得再包括該數(shù)據(jù)。[9]《綱領》12條賦予了數(shù)據(jù)主體查詢的權(quán)利，《德國聯(lián)邦個人資料保護法》更是規(guī)定只要對數(shù)據(jù)有合理的懷疑，數(shù)據(jù)主體就可以行使這一權(quán)利。

3．個人信用信息的使用過程

在歐盟，個人信用信息的使用采取的是“主體授權(quán)”形式，強調(diào)對數(shù)據(jù)主體隱私權(quán)的保護；關于信息主體的救濟權(quán)，歐洲國家的法律規(guī)定較少，只是規(guī)定法律必須允許數(shù)據(jù)主體對不準確或不完整的數(shù)據(jù)加以更正、清除，相對應的，法律強調(diào)了數(shù)據(jù)處理者和監(jiān)管機構(gòu)的責任。

（三）各國個人征信下隱私權(quán)保護法律規(guī)定的比較

各國法律都有關于征信活動中隱私權(quán)保護的規(guī)定，雖略有差異，但大體一致，這說明個人征信行為下的隱私權(quán)保護是必要并重要的。因此，保護個人數(shù)據(jù)隱私應是大勢所趨。從立法模式來看，美國立法是針對不同行業(yè)的信用信息采取分散立法模式，歐洲立法是對個人數(shù)據(jù)保護集中立法，對各個行業(yè)的隱私權(quán)保護都適用，筆者認為，在征信立法中規(guī)定隱私權(quán)的保護，十分不利于征信行業(yè)的整體發(fā)展。

如前所述，個人征信隱私權(quán)的保護也可以分為兩個部分：規(guī)范征信行為和賦予信息主體權(quán)利。各個國家也是通過這兩種形式保護個人征信中個人隱私權(quán)，規(guī)范信息采集的范圍是各國征信法律制度中最基本的規(guī)定。歐盟較美國是較為嚴格的，有敏感數(shù)據(jù)的相關規(guī)定，對敏感數(shù)據(jù)采取“搜集限制”的原則，筆者認為，限制采集范圍減少了信用信息和個人隱私的重疊范圍，體現(xiàn)了對隱私權(quán)的保護，但這樣的規(guī)定使征信機構(gòu)采集的信用信息不完整，制約了征信行為發(fā)揮其作用；對于采集和使用方式，各國主要體現(xiàn)為目的許可和主體授權(quán)兩種形式，美國采取的是目的許可，而歐盟采取的則是主體授權(quán)的形式。筆者認為，主體授權(quán)的采集和使用方式，表面上是法律賦予信息主體同意權(quán)，但征得主體同意的規(guī)定加大了征信行為的成本，降低了征信活動的效率；關于個人信息的保存時限，歐洲國家沒規(guī)定確定的時限，需要視具體信息的情況而定，美國規(guī)定了確定的時限。

在賦予信息主體權(quán)利方面，由于信息主體在個人征信關系中的弱勢地位，各國法律都賦予了當事人控制個人信息的權(quán)利。對于知情權(quán)主要體現(xiàn)在信息主體對個人信用信息被采集后。美國規(guī)定，征信機構(gòu)和信息使用者在對信息主體作出“不利行為”時應告知信息主體，而歐洲國家沒規(guī)定信息主體有被告知的權(quán)利，只是在信息使用和采集的時候會約定或告知使用用途，但約定的用途在實踐中很難核實；對于更正異議權(quán)，美國和歐洲的法律一般都規(guī)定了嚴格的程序，保證權(quán)利得以實行；除此之外，歐洲國家賦予信息主體更多的權(quán)利，使信息主體參與征信活動中，并控制了自己的信息，比如拒絕權(quán)。

三、我國個人征信下隱私權(quán)保護法律規(guī)定

我國征信業(yè)從無到有，逐步發(fā)展，征信行為不規(guī)范和隱私權(quán)不斷受侵犯的情況也逐漸顯現(xiàn)出來，雖然各地方或部門相應出臺了一些規(guī)章，但仍然存在著規(guī)定不全面、各地方不統(tǒng)一、規(guī)章效力低等問題。為規(guī)范征信活動，保護當事人合法權(quán)益，引導促進征信業(yè)健康發(fā)展，《征信業(yè)管理條例》(以下簡稱《條例》)經(jīng)十年磨礪終于出臺。《條例》的出臺，不僅解決了征信業(yè)發(fā)展中無法可依的問題，加強了征信市場的管理，而且規(guī)范了征信機構(gòu)、信息提供者和信息使用者的行為，保護了信息主體權(quán)益，特別是信息主體的隱私權(quán)。

1.個人數(shù)據(jù)的采集和征集過程

關于采集范圍，《條例》第十四條規(guī)定了禁止采集的范圍和限制采集的范圍。相比其他國家，對于敏感數(shù)據(jù)我國是明文禁止的，對于一些財產(chǎn)性質(zhì)的數(shù)據(jù)則采取限制采集的方式；關于采集方式，根據(jù)《條例》第十三條的規(guī)定，我國采取的是主體書面授權(quán)的形式，比其他國家更加嚴格，但信息提供者提供個人不良信息時只是通知信息主體即可，并且金融信用信息基礎數(shù)據(jù)庫在接收從事信貸業(yè)務的機構(gòu)提供的信貸信息時無此限制。

2.個人信用信息儲存的過程

關于儲存時限，《條例》第十六條規(guī)定統(tǒng)一的時限為5年，我國的時限短于美國，這樣縮小了可使用的個人信用信息范圍，間接保護了個人隱私權(quán)，但這樣的規(guī)定是否合理尚需時間予以鑒定；《條例》第二十五條規(guī)定，信息主體認為信息存在錯誤、遺漏的有提出異議、更正的權(quán)利，經(jīng)核查仍不能確認的，征信機構(gòu)對核查情況和異議內(nèi)容應當予以記載；關于信息主體的查詢權(quán)，《條例》規(guī)定，個人信息主體有權(quán)每年兩次免費獲取本人的信用報告，相比其他國家，我國相關規(guī)定過于抽象。

3.個人信用信息使用的過程

關于使用個人信息的限制，《條例》第十八條規(guī)定，信息使用者需要同時滿足兩個條件：一是經(jīng)信息主體的書面同意，二是和信息主體約定使用用途，但在實踐中約定用途很難核實。關于信息主體的救濟權(quán)，《條例》第二十六條規(guī)定，信息主體可以通過行政救濟——向所在地的國務院征信業(yè)監(jiān)督管理部門派出機構(gòu)投訴，或是采取司法救濟——直接向法院起訴，但相比其他國家，這項權(quán)利怎樣具體實現(xiàn)尚需更多規(guī)定的完善。

四、完善我國個人征信下隱私權(quán)保護法律規(guī)定的建議

通過比較，我國的法律更傾向于歐洲模式，在嚴格規(guī)范征信行為對個人隱私權(quán)的嚴格保護。但筆者認為，嚴格規(guī)范征信行為保護隱私權(quán)是以制約征信業(yè)發(fā)展為代價的，對隱私權(quán)的保護重點應放在信用信息收集后，也就是在信息主體對信用信息失去控制的階段，賦予信息主體更多的權(quán)利，我國征信業(yè)尚處于起步階段，對于隱私權(quán)的保護缺乏經(jīng)驗，我國應更多借鑒美國模式，達到隱私權(quán)保護和征信業(yè)發(fā)展相平衡的狀態(tài)。

首先，我國現(xiàn)行立法采取的是單獨立法模式，但筆者認為，在征信立法中規(guī)定隱私權(quán)的保護，十分不利于征信行業(yè)的整體發(fā)展。一部法律有其法律價值，代表個人權(quán)益的自由、人權(quán)價值與代表社會利益的秩序、安全價值之間,因為兩種價值需求主體的利益取向不同,必然存在對立和沖突。[10]當征信立法中個人權(quán)益價值過度強調(diào)時，必然引起社會權(quán)益價值的制衡，影響征信立法作用的發(fā)揮。因此，我國應制定綜合性的《個人數(shù)據(jù)保護法》。在個人隱私安全得到充分法律保護的前提下，為征信業(yè)單獨立法，將更有利于征信行業(yè)的發(fā)展。

其次，我國應盡快出臺與《條例》配套的司法解釋和相關規(guī)定。雖然我國《條例》傾向于保護個人隱私的安全。但是《條例》對個人隱私保護的規(guī)定與國外相比還是較為粗糙，例如我國對于查詢權(quán)的規(guī)定較為抽象，沒有對查詢數(shù)據(jù)的范圍、查詢程序等問題作出具體規(guī)范。[11]另外，我國征信立法只是賦予信息主體救濟權(quán)，但這項權(quán)利的實現(xiàn)需要更多程序性的法律規(guī)定。為了落實保護好個人數(shù)據(jù)，應該盡快出臺相配套的司法解釋和相關規(guī)定，細化個人隱私保護的相關條款，使《條例》具有更強的操作性。

最后，我國應借鑒美國隱私權(quán)保護模式，將個人隱私權(quán)保護的重心轉(zhuǎn)移于信息主體對信用信息失去控制的階段，修改有關不適應的條款。例如，我國應逐漸放松對信用信息采集的限制，限制采集范圍減少了信用信息和個人隱私的重疊范圍，體現(xiàn)了對隱私權(quán)的保護，但這樣的規(guī)定使征信機構(gòu)采集的信用信息不完整，制約了征信行為發(fā)揮其作用，我國應借鑒美國“不利行動”后的通知行為，賦予信息主體在因信用信息作出不利決定后的知情權(quán)。

[1]Warren and Brandeis．The Right to Privacy[J]．Harvard Law Review，1890，4（5）：208．

[2]齊愛民.美國信息隱私立法透析[J].時代法學，2005，（2）：110.

[3]蔣坡.個人數(shù)據(jù)信息的法律保護[M].北京：中國政法大學出版社，2008：2.

[4]王銳，熊鍵，黃桂琴.完善我國個人信用征信體系的法學思考[J].中國法學，2002，（2）：84.

[5]孫玉榮.個人信用征信過程中的隱私權(quán)的保護[J].法學雜志，2006，（3）：69.

[6]張鵬.個人信用信息的收集、利用和保護[M].北京：中國政法大學出版社，2012：207.

[7]談李榮.金融隱私權(quán)與信息披露的沖突與制衡[M].北京：中國金融出版社，2004：183.

[8]董寶茹.歐盟與美國對征信領域中金融消費者保護的比較研究[J].上海金融，2013，（10）：99.

[9]王銳，熊鍵.信用征信業(yè)立法的國際比較[J].浙江金融，2002，（5）：16-17.

[10]陳東升.沖突與權(quán)衡.法律價值選擇的方法論思考[J].法制與社會發(fā)展，2003，（1）：54.

[11]高克州王娟.國內(nèi)外個人數(shù)據(jù)保護的比較研究——以《征信業(yè)管理條例》為視角[J].征信，2013，（10）：47.

[責任編輯：董建軍]

D923

A

1674-3288（2014）04-0081-04

2014-06-16

鄧歡(1990-)，女，江西南昌人，中央財經(jīng)大學法學院2012級碩士研究生，研究方向：金融法。