陳禹衡

（東南大學(xué)法學(xué)院， 江蘇南京 211189）

2021 年11 月1 日，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）正式施行，標(biāo)志著我國繼在《中華人民共和國民法典》（以下簡稱《民法典》）第四編“人格權(quán)”第六章“隱私權(quán)和個人信息保護” 中規(guī)定了公民個人信息保護的內(nèi)容后，以專門立法的模式來強化個人信息保護，細化保護的具體內(nèi)容，通過系統(tǒng)性規(guī)定提升對個人信息的保護密度。 受到《個人信息保護法》的影響，我國原有的征信合規(guī)體系也隨之發(fā)生變化，并在征信管理法規(guī)層面進行調(diào)整與適配。2022 年1 月1 日，《征信業(yè)務(wù)管理辦法》（中國人民銀行令〔2021〕第4 號）正式生效，相較于以往的《征信業(yè)管理條例》《征信機構(gòu)管理辦法》 等規(guī)范文件，《征信業(yè)務(wù)管理辦法》規(guī)定得更加細致，也對已有的征信合規(guī)業(yè)務(wù)產(chǎn)生更大影響。 有鑒于此，在《個人信息保護法》施行之后，應(yīng)該將其和已有征信管理法規(guī)相配合，調(diào)整現(xiàn)有的征信合規(guī)體系，將法律規(guī)范的內(nèi)容轉(zhuǎn)化為具體的合規(guī)制度，尤其注重在個人信用信息的采集、加工、使用全流程中保障合規(guī)制度的有效運行，加強征信合規(guī)監(jiān)管制度建設(shè)，通過《個人信息保護法》構(gòu)建我國征信合規(guī)體系的法治防線。

一、問題提出：現(xiàn)有征信合規(guī)體系的運行模式不足

現(xiàn)有征信合規(guī)體系的構(gòu)建由來已久，早在2016年11 月24 日，中國人民銀行就發(fā)布了《關(guān)于加強征信合規(guī)管理工作的通知》（銀發(fā)〔2016〕300 號，以下簡稱《征信合規(guī)通知》），強調(diào)了構(gòu)建征信合規(guī)體系的重要性。在征信系統(tǒng)的運行過程中，征信合規(guī)是評價其運行狀況的重要指標(biāo)， 征信合規(guī)與否決定了征信機構(gòu)日常運轉(zhuǎn)是否公平公正， 確保征信合規(guī)能夠防止征信機構(gòu)得出錯誤的征信報告， 從而維系正常經(jīng)濟活動的運轉(zhuǎn)。我國的征信合規(guī)體系雖然建設(shè)較早，但是在處理模式和監(jiān)管制度上仍然存在不足，在《個人信息保護法》頒布后，現(xiàn)有征信合規(guī)體系可以參考其中的規(guī)定加以完善。

（一）征信合規(guī)體系處理模式運轉(zhuǎn)不暢

傳統(tǒng)征信合規(guī)體系的處理模式主要依照 《征信業(yè)管理條例》和《征信合規(guī)通知》的規(guī)定，而這兩者都存在一定不足。 《征信業(yè)管理條例》只規(guī)定了部分征信業(yè)務(wù)規(guī)則以及監(jiān)督管理內(nèi)容， 并未明確提出如何構(gòu)建征信合規(guī)體系，在具體內(nèi)容上規(guī)定得不夠詳細?！墩餍藕弦?guī)通知》 主要強調(diào)征信合規(guī)體系的重要性，倡導(dǎo)自查自糾制度以及征信合規(guī)教育， 對個人征信業(yè)務(wù)合規(guī)的實質(zhì)內(nèi)容規(guī)定得較為粗疏， 沒有規(guī)定征信合規(guī)體系的具體業(yè)務(wù)內(nèi)容。簡言之，傳統(tǒng)征信合規(guī)體系因為法律規(guī)范規(guī)定得不夠詳細， 所以在實際適用過程中因為合規(guī)程序和實質(zhì)業(yè)務(wù)的缺失而存在運轉(zhuǎn)不暢的弊端。

第一， 現(xiàn)有征信合規(guī)體系沒有對公民個人信用信息進行類型化區(qū)分， 因為征信管理法規(guī)中并未對征信系統(tǒng)所采集的個人信用信息劃分具體類型，導(dǎo)致公民個人信用信息的采集邊界被無限擴張。 已有征信管理法規(guī)中對個人信用信息采集范圍的規(guī)定多為反向禁止規(guī)定，如《征信業(yè)管理條例》第14 條規(guī)定的“禁止征信機構(gòu)采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息”，并未從正面解釋公民個人信用信息屬于個人信息中的何種類型， 導(dǎo)致征信機構(gòu)在判斷新型個人信用信息是否應(yīng)該被采集時缺乏明確標(biāo)準。 而一旦不具有信用評價價值的個人信用信息大量涌入征信系統(tǒng)，只會徒增系統(tǒng)負荷，無法與其他個人信用信息進行整合， 對個人信用評價沒有參考作用，也就無從實現(xiàn)失信懲戒或激勵的目的。

第二， 現(xiàn)有征信系統(tǒng)中的征信業(yè)務(wù)處理原則主要參考行政法上的比例原則， 包括目的正當(dāng)性原則、必要性原則以及狹義比例原則。 目的正當(dāng)性原則要求目的明確和目的特定，必要性原則要求采集個人信用信息應(yīng)該限制在能夠?qū)崿F(xiàn)信用評價目標(biāo)的最小范圍內(nèi)，狹義比例原則要求基于公共利益采集公民個人信用信息，并在價值權(quán)衡后維系價值平衡。 雖然借鑒比例原則開展征信業(yè)務(wù)能夠較大程度地滿足征信系統(tǒng)的需要，但是比例原則畢竟是通用性的行政事務(wù)處理原則， 主要是保障公民權(quán)利，限制國家權(quán)力，而在征信業(yè)務(wù)中僅適用比例原則卻忽視了征信業(yè)務(wù)的特征，沒有體現(xiàn)出對個人信用信息的特殊保護。 簡言之，征信系統(tǒng)缺乏專門且有效的處理原則會導(dǎo)致其業(yè)務(wù)難以開展，造成運行程序和結(jié)果上不合規(guī)，因此需要參照《個人信息保護法》來補正處理原則。

第三， 當(dāng)前社會的科技進步導(dǎo)致征信系統(tǒng)面臨許多全新的危險，比如大數(shù)據(jù)犯罪、網(wǎng)絡(luò)爬蟲犯罪、流量劫持犯罪等， 那么征信合規(guī)體系也需要隨之升級，以應(yīng)對不同的處理場景?！秱€人信息保護法》中根據(jù)社會發(fā)展的現(xiàn)實狀況創(chuàng)設(shè)了兩類全新場景， 分別是自動化決策場景與公共場所采集信息場景， 這兩種場景是科技與信息相結(jié)合的結(jié)果， 技術(shù)進步對公民個人信用信息的利用程度進一步加深， 隨之而來的是征信合規(guī)的壓力進一步增大。有鑒于此，為了征信系統(tǒng)的正常運行，需要參考《個人信息保護法》的規(guī)定來優(yōu)化征信合規(guī)體系， 應(yīng)對新技術(shù)場景所帶來的未知風(fēng)險， 而具體的合規(guī)強化路徑則需要基于不同的風(fēng)險語境展開探討。

（二）征信合規(guī)體系監(jiān)管制度存在紕漏

創(chuàng)設(shè)征信合規(guī)體系的初衷就是應(yīng)用于監(jiān)管金融業(yè)務(wù)，其體系構(gòu)成和金融秩序的安全穩(wěn)定密切相關(guān)，并和公民日常生活緊密相聯(lián)。 不良征信記錄對公民的影響十分嚴重， 會使一名遵紀守法的好公民轉(zhuǎn)瞬間淪為社會中的“信用難民”，難以進行正常的借貸、消費等金融活動。有鑒于此，加強對征信合規(guī)體系的監(jiān)管， 需要督促征信機構(gòu)在合規(guī)框架內(nèi)從事征信業(yè)務(wù)，而非濫用征信制度、違反征信合規(guī)。 當(dāng)前征信合規(guī)體系監(jiān)管制度的紕漏有兩處： 一是征信合規(guī)監(jiān)管機構(gòu)的層級架構(gòu)存在不足， 二是跨境征信合規(guī)監(jiān)管體系不夠完善。前者是征信合規(guī)監(jiān)管內(nèi)部的不足，而后者是征信合規(guī)監(jiān)管外部的缺陷。

在《個人信息保護法》發(fā)布之前，征信合規(guī)監(jiān)管主要是由中國人民銀行主導(dǎo)的專門監(jiān)督，《征信業(yè)管理條例》 第4 條規(guī)定中國人民銀行及其派出機構(gòu)依法對征信業(yè)進行監(jiān)督管理。 專門監(jiān)督機制保證了征信業(yè)務(wù)處理的專業(yè)性， 但是在處理具體的征信合規(guī)問題時，一方面缺乏上層機關(guān)的宏觀指引，難以把握國家對網(wǎng)絡(luò)信息治理的整體趨勢，另一方面缺乏對基層征信合規(guī)制度的切實關(guān)注，導(dǎo)致征信合規(guī)監(jiān)管工作難以深入基層，而實際上正是基層的征信合規(guī)工作存在較多問題。 有鑒于此，在征信合規(guī)監(jiān)管機構(gòu)的體系架構(gòu)上，可以參考《個人信息保護法》第60條規(guī)定的三級監(jiān)管機構(gòu)制度， 擴張監(jiān)管機構(gòu)的層級，并嘗試設(shè)立配套的法律規(guī)范體系，幫助監(jiān)管機構(gòu)強化監(jiān)督職能，從而和個人信息保護的整體趨勢保持一致。

在跨境征信合規(guī)監(jiān)管制度上， 一直以來我國缺乏強有力的實質(zhì)監(jiān)管，存在潛藏的征信合規(guī)風(fēng)險，影響跨境經(jīng)貿(mào)合作。當(dāng)前世界經(jīng)貿(mào)合作非常緊密，征信數(shù)據(jù)的跨境流動需求日益增長， 跨境征信合規(guī)監(jiān)管關(guān)系到我國的經(jīng)濟安全。因此，征信合規(guī)監(jiān)管制度需要針對征信數(shù)據(jù)跨境流動的實際情況，參考域外《個人數(shù)據(jù)保護指令》《歐美安全港框架協(xié)議》《APEC 隱私框架協(xié)議》等制度規(guī)范，保障個人信用信息的數(shù)據(jù)傳輸工作?？傊?，我國跨境征信合規(guī)監(jiān)管體系亟須完善， 需要借助合規(guī)制度來強化對跨境數(shù)據(jù)流動的監(jiān)管，并將法律規(guī)范轉(zhuǎn)化為實質(zhì)合規(guī)內(nèi)容，進而規(guī)范個人信用信息跨境傳輸行為。

二、《個人信息保護法》 頒布后征信合規(guī)的處理升級

《個人信息保護法》對公民個人信息的采集、加工和使用進行了統(tǒng)籌規(guī)定， 而公民個人信用信息是征信機構(gòu)發(fā)布征信報告的基礎(chǔ)， 保護個人信用信息的具體策略應(yīng)該是平衡個人利益與公共利益， 而征信合規(guī)制度則是保持平衡的具體執(zhí)行手段， 以確保其不會影響社會公共利益。

（一）個人信用信息的類型化區(qū)分

《個人信息保護法》中對于個人信息的定義和劃分， 有助于征信合規(guī)系統(tǒng)對個人信用信息進行類型化區(qū)分，從而構(gòu)建有針對性的征信合規(guī)體系。 《個人信息保護法》第4 條規(guī)定“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”；而第28 條則另行規(guī)定了 “敏感個人信息是一旦泄露或者非法使用， 容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息， 以及不滿十四周歲未成年人的個人信息”。由此觀之，《個人信息保護法》 是在框定個人信息概念的基礎(chǔ)上，強調(diào)對敏感個人信息的特殊保護，這種全新的劃分模式為個人信用信息的類型化奠定了理論基礎(chǔ)。

征信系統(tǒng)采集、加工、使用個人信用信息，首先需要遵循《個人信息保護法》中對個人信息的定義，因為個人信用信息從屬于個人信息。 個人信息在記錄模式上要求“以電子或者其他方式記錄”，說明個人信用信息的記錄方式趨于多樣化， 這歸功于個人信息記錄技術(shù)的發(fā)展， 極大地拓展了個人信用信息的采集范圍。在技術(shù)特征上，個人信息要求具有已識別或者可識別的特征，且排除了匿名化的情況，這意味著個人信用信息的采集過程也必須做到可溯源和可識別， 并通過識別性來維系公民對信息商業(yè)化利用的“信賴利益”。 如果個人信用信息難以被識別或者因為匿名化而難以溯源， 那么個人信用信息就不具備人身屬性， 也無法反映個人在正常社會交往過程中的信用程度， 此時所采集的個人信用信息并不合規(guī)，缺乏進一步加工和使用的信用價值。

在明確了個人信用信息的結(jié)構(gòu)特征之后， 可以進一步明確其屬于個人敏感信息， 并將信息處理的情境和目的作為考量因素。 個人敏感信息中的 “敏感”是指法律規(guī)制的高反應(yīng)度，其法律基準是信息處理的權(quán)益侵害風(fēng)險， 而具體的風(fēng)險內(nèi)容則是指向除個人信息權(quán)益之外的人格尊嚴和人身、財產(chǎn)權(quán)利。第一，個人敏感信息涉及人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害， 而個人信用信息和個人隱私以及個人社會評價密切相關(guān)， 與個人隱私相關(guān)意味著與個人信用相關(guān)的秘密不受侵犯， 這是一種被動防御性的權(quán)利保障， 確保信息所有者不被外界無故窺探， 否則當(dāng)事人的人格尊嚴實際上就受到了不法侵害。 因此，將個人信用信息歸屬于個人敏感信息，符合個人敏感信息的劃分目的。第二，個人敏感信息的類型中包括金融賬戶， 而這正是個人信用信息所直接對應(yīng)的信息類型。在市場經(jīng)濟中，個人在市場交易中的行為被征信機構(gòu)收集后加以評價， 其中金融賬戶的評價信息是對個人信用的直觀體現(xiàn)。 比如第二代征信系統(tǒng)在個人信用評價上增加了對金融賬戶的測評，新增“最近2 年的逾期金額”等選項，就可以通過對金融賬戶的全面測評提高征信報告的可信度。因此，將個人信用信息歸納為個人敏感信息，在信息收集范圍上也契合征信體系的需求。

總之， 將個人信用信息歸納為 《個人信息保護法》中的個人敏感信息，意味著征信合規(guī)體系在處理個人信用信息時需要更加謹慎， 信息采集范圍也不能過分擴張， 而是需要依據(jù)信息的使用目的加以嚴格限制， 并在個人敏感信息的使用場景下探討對個人信用信息的整合與利用， 確保個人信用信息的采集、加工、使用做到全流程合規(guī)。

（二）征信機制處理原則的再升級

《個人信息保護法》第5-8 條規(guī)定了信息處理的5 項基本原則，即合法、正當(dāng)、必要、誠信原則；目的限制原則；收集最小化原則；公開、透明原則；完整性、準確性原則，作為處理個人信息的整體性原則，其可以統(tǒng)籌指導(dǎo)個人信用信息的處理。 個人信用信息作為個人信息的重要組成部分， 應(yīng)該和個人信息在處理原則上保持整體協(xié)調(diào)一致， 并根據(jù)個人信用信息和征信系統(tǒng)的特殊需求進行適當(dāng)?shù)恼{(diào)整和補充。誠如上文所述，傳統(tǒng)征信系統(tǒng)主要使用行政法上的比例原則， 并調(diào)整比例原則的內(nèi)容以適用于征信系統(tǒng)的特殊環(huán)境。 但是，僅適用正當(dāng)性原則、必要性原則以及狹義比例原則顯然無法覆蓋征信全流程，甚至?xí)驗樘幚碓瓌t的缺失而影響征信系統(tǒng)的正常運行。 《征信業(yè)管理條例》第三章規(guī)定了征信業(yè)務(wù)規(guī)則，雖然規(guī)定得較為細致，包括采集、保存、加工、使用等諸多環(huán)節(jié)，但是缺乏宏觀層面的原則指引，當(dāng)征信業(yè)務(wù)處理中出現(xiàn)全新問題時， 難以給出解決問題的大體方向。

第一， 征信合規(guī)要求征信處理原則中增加合法誠信原則， 從遵守法律規(guī)范和堅持道德準則兩個方面指引征信業(yè)務(wù)的展開。 合法原則要求征信業(yè)務(wù)中的各個流程都要遵守法律規(guī)定， 在采集個人信用信息的過程中，限定個人信用信息的采集范圍和方式。參照《征信業(yè)管理條例》第13～15 條的規(guī)定，收集的個人信用信息應(yīng)該和個人征信評價有著內(nèi)在聯(lián)系，且不宜將收集范圍無限擴大，這和《民法典》第1030條提出的合法、正當(dāng)、必要原則一致，體現(xiàn)了對個人信用信息的體系性保護。與之相對，誠信原則實際上是征信系統(tǒng)運行過程中的特殊性原則， 強調(diào)誠信原則契合征信系統(tǒng)的運行宗旨， 征信系統(tǒng)本身就是為了提供公民征信報告， 如若在采集過程中出現(xiàn)不誠信行為， 那么得出的征信報告就缺乏公信力和參考價值。 比如偽造銀行交易流水以獲取貸款批準的行為，就是通過假流水來偽造個人信用信息，并在被采集后得出“被優(yōu)化”的征信報告，自然無法得出對當(dāng)事人的準確信用評價，缺乏參考價值。 除此以外，在保存、加工和使用個人信用信息的過程中，同樣需要遵循合法誠信原則。在保存?zhèn)€人信用信息時，需要參照《征信業(yè)管理條例》第16 條規(guī)定的征信信息保存時限，對達到一定年限的征信數(shù)據(jù)及時進行刪除，避免影響公民獲得公正的信用評價，防止出現(xiàn)“一處失信，處處受限”的情形，這也符合一般公民對征信系統(tǒng)的道德期許， 不能將征信系統(tǒng)作為限制公民正常生活的“枷鎖”。在加工和使用公民個人信用信息時，需要在遵守征信管理法規(guī)的同時尊重公民對個人信用的一般道德評價標(biāo)準， 避免出現(xiàn)征信信息泄露的情形，避免個人信用信息被濫用。尤其是在技術(shù)風(fēng)險日益嚴峻的當(dāng)下， 個人信用信息的價值被各方所覬覦，如若出現(xiàn)個人信用信息被濫用的情形，那么公民就無異于“裸奔”在社會中，其會被誤認為是不誠信之人，受到社會輿論的無端指責(zé)。

第二， 征信合規(guī)要求征信系統(tǒng)在運行過程中堅持公開透明原則。 《個人信息保護法》要求處理個人信息應(yīng)當(dāng)遵循公開透明原則， 所以征信系統(tǒng)在處理公民個人信用信息時也需要公開處理規(guī)則， 并且明示處理的目的、方式和范圍。實際上，早在《征信業(yè)管理條例》 中就對公開個人信用信息的處理規(guī)則做出規(guī)定，但是缺乏具體的技術(shù)規(guī)范，導(dǎo)致征信處理規(guī)則雖然公開、透明，卻在具體的技術(shù)性指標(biāo)上缺乏詳細的規(guī)定，而《征信業(yè)務(wù)管理辦法》則對其進行了細化，體現(xiàn)了當(dāng)前征信合規(guī)體系公開透明的整體趨向。 與之相對，《個人信息保護法》 的規(guī)定可以從宏觀層面推動征信合規(guī)的公開透明流程。 征信合規(guī)中堅持公開透明，要求明示處理的目的、方式和范圍，這符合公民對征信系統(tǒng)收集、加工、使用個人信息的正常期許， 也滿足公民對高度敏感的個人信用評價的合理期待。明示處理的目的要求征信機構(gòu)遵照《征信業(yè)務(wù)管理辦法》第12 條的規(guī)定，明確告知信息主體采集信用信息的目的，尊重信息主體的知情權(quán)。明示處理方式說明征信機構(gòu)需要告知公民以何種方式加工其個人信用信息，以及對個人信用信息的加工程度，尤其是需要告知公民其信息是否經(jīng)過大數(shù)據(jù)算法等新技術(shù)的加工，避免算法技術(shù)風(fēng)險導(dǎo)致公民個人的“信用畫像”存在缺陷。明示處理的范圍是防止個人信用信息采集范圍的無限擴張， 比如之前疫苗接種記錄納入征信系統(tǒng)的行為引發(fā)社會爭議， 就屬于個人信用信息采集范圍的不當(dāng)擴張， 這種違規(guī)利用征信系統(tǒng)的行為不僅影響了個人信用信息的準確性， 而且會降低征信系統(tǒng)的社會公信力。

（三）針對新增場景優(yōu)化處理模式

《個人信息保護法》中預(yù)設(shè)了自動化決策和公共場所采集信息兩種應(yīng)用場景，第73 條規(guī)定自動化決策是通過計算機程序自動分析、 評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動，而第26 條則規(guī)定在公共場所進行圖像采集、個人身份識別信息收集的目的和手段要求。在這兩種場景下，公民個人信用信息的采集、加工和使用程序不同以往，公民對于個人信用信息的把控較弱，容易陷入不利境地， 被征信機構(gòu)強行采集關(guān)鍵的個人信用信息， 而且被采集的個人信用信息更容易被深度加工，被“二次加工”出更具價值的內(nèi)容。 因此，針對新應(yīng)用場景下的技術(shù)風(fēng)險，應(yīng)該加強合規(guī)監(jiān)管，確保在這兩種應(yīng)用場景下征信系統(tǒng)合規(guī)。

1.自動化決策場景下優(yōu)化征信處理

在自動化決策的場景中， 征信處理合規(guī)主要在信息采集和信息告知中展開， 并將 《個人信息保護法》第24 條規(guī)定的內(nèi)容應(yīng)用于征信系統(tǒng)的自動化決策流程中。在自動化決策場景下優(yōu)化征信處理，本質(zhì)上是基于事先預(yù)防的角度， 有效消弭技術(shù)鴻溝所帶來的公民認知差異，避免征信系統(tǒng)不斷“越界”介入公民日常生活， 防止技術(shù)手段升級對公民個人信用信息的不合理使用。

第一，《個人信息保護法》規(guī)定個人信息處理者利用個人信息進行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。 這要求征信系統(tǒng)保證其處理個人信用信息的算法透明、 公開，避免算法黑箱，讓公民了解征信系統(tǒng)對個人信用信息的利用以及征信報告的制作流程， 避免公民陷入“自己將被評測， 但他們不能反過來去評測那些評測他們的機構(gòu)”的劣勢處境。 除此以外，避免征信系統(tǒng)在運行過程中出現(xiàn)因為營利目的而產(chǎn)生的差別待遇，同樣是為了保障公民個人信用信息被合理利用，防止征信系統(tǒng)算法在處理信息時被滲入的利益因素所干擾，保證征信系統(tǒng)最終得出較為公允的個人信用評價。

第二，《個人信息保護法》 規(guī)定通過自動化決策方式作出對個人權(quán)益有重大影響的決定，個人有權(quán)要求個人信息處理者予以說明，并有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定。 這里賦予被采集信息者以知情權(quán)，意味著公民個人在信用信息的采集過程中，可以向征信機構(gòu)提出相應(yīng)的知情要求，確保自動化決策系統(tǒng)所處理的個人信用信息為被采集者所知曉。 與之相對，《征信業(yè)務(wù)管理辦法》第28 條也規(guī)定“征信機構(gòu)提供信用報告等信用信息查詢產(chǎn)品和服務(wù)的，應(yīng)當(dāng)客觀展示查詢的信用信息內(nèi)容，并對查詢的信用信息內(nèi)容及專業(yè)名詞進行解釋說明”， 這標(biāo)志著征信管理法規(guī)自身也逐漸重視對被采集者知情權(quán)的尊重。 除此以外，被采集者有權(quán)拒絕個人信息處理者僅通過自動化決策的方式作出決定，尊重了被采集者的數(shù)據(jù)主體自治性，意味著其可以自我決定對個人信用信息的處理方式。 如若征信系統(tǒng)強行要求自動化決策處理，那么處理后得出的征信報告就是不合規(guī)且無效的，這就充分地保障了被采集者的個人權(quán)利，防止其被自動化決策技術(shù)所“綁架”，確保征信系統(tǒng)得出的結(jié)論公平公正。

2.公共場所采集信息優(yōu)化征信處理

在公民的日常生活中， 其一舉一動都有可能被征信系統(tǒng)記錄并作為征信報告的參考依據(jù)， 征信系統(tǒng)希望通過擴大信息采集范圍的方式實現(xiàn)全方位測評。值得注意的是，雖然擴大采集范圍有助于更好地評估公民個人信用， 但這同時也存在侵犯公民個人隱私的嫌疑，尤其是在公共場所采集個人信用信息，可能會導(dǎo)致公民產(chǎn)生不安全感，而人臉識別、虹膜識別等新技術(shù)的應(yīng)用則加劇了信息泄露的風(fēng)險。 有鑒于此，征信機構(gòu)在公共場所收集個人信用信息，應(yīng)該參照《個人信息保護法》第26 條的規(guī)定，一是采集范圍需要明確為公共安全所必需， 且只能用于維護公共安全的目的， 二是采集手段需要遵守國家有關(guān)規(guī)定，設(shè)置顯著的提示標(biāo)識，并將這兩項內(nèi)容作為征信合規(guī)的實質(zhì)要求。

將公共場所采集公民個人信用信息的目的限制為維護公共安全的目的， 且采集范圍圍繞公共安全展開， 就是基于公共利益來采集個人信用信息。 第一， 在征信合規(guī)過程中對個人信用信息的采集更加謹慎，相較于在一般場合采集個人信用信息，在公共場所采集需要規(guī)范采集目的， 并且對采集的信息種類進行事先考察，確定是為了公共安全，才可以進行信息采集。 第二，以區(qū)塊鏈、智能合約為代表的新興征信技術(shù)不斷介入公民的生活， 日常生活中公民在公共場所的消費記錄等都有可能成為征信系統(tǒng)所采集的數(shù)據(jù)，那么對于此類個人信用信息的采集，應(yīng)該事先確保采集技術(shù)合規(guī)， 符合相關(guān)法律對技術(shù)的規(guī)定，防止技術(shù)“越界”侵犯公民個人權(quán)利。比如將區(qū)塊鏈技術(shù)應(yīng)用于征信系統(tǒng)，就需要遵守包括《區(qū)塊鏈信息服務(wù)管理規(guī)定》在內(nèi)的諸多法律規(guī)范的規(guī)定，要求具備與其服務(wù)相適應(yīng)的技術(shù)條件， 而且應(yīng)當(dāng)制定并公開管理規(guī)則和平臺公約， 通過征信技術(shù)合規(guī)確保征信系統(tǒng)合規(guī)。第三，公共場所采集個人信用信息要求征信機構(gòu)設(shè)置顯著的提示標(biāo)識， 比如設(shè)置標(biāo)識讓公民意識到自己的消費行為正在被記錄， 同時應(yīng)該告知公民被采集信息的使用方向和保存年限， 讓公民對自己個人信用信息的利用有清晰的認知， 從而真正落實征信處理合規(guī)。

三、《個人信息保護法》 頒布后征信合規(guī)的監(jiān)管完善

征信合規(guī)體系的良好運轉(zhuǎn)需要征信監(jiān)管機構(gòu)對其進行實時監(jiān)控，而監(jiān)控的合規(guī)內(nèi)容，既包含宏觀層面的《民法典》《個人信息保護法》之類的法律規(guī)范，亦包含微觀層面的 《征信業(yè)管理條例》《征信業(yè)務(wù)管理辦法》之類的執(zhí)行規(guī)范。當(dāng)前征信合規(guī)監(jiān)管主要從對內(nèi)和對外兩個維度展開完善：對內(nèi)需要依據(jù)《個人信息保護法》 第60 條的規(guī)定來構(gòu)建三級監(jiān)管機構(gòu)，創(chuàng)設(shè)全方位監(jiān)管體系； 對外需要強化對跨境個人信用信息傳輸?shù)谋O(jiān)管， 通過合規(guī)監(jiān)管來規(guī)避數(shù)據(jù)傳輸風(fēng)險。

（一）征信合規(guī)監(jiān)管機構(gòu)的體系構(gòu)建

《個人信息保護法》第60 條規(guī)定了履行個人信息保護職責(zé)的三級監(jiān)管機構(gòu)，分別是國家網(wǎng)信部門、國務(wù)院有關(guān)部門以及縣級以上地方人民政府有關(guān)部門，形成了由中央到地方的統(tǒng)籌監(jiān)管體制。以往主要由專門機構(gòu)展開征信合規(guī)監(jiān)管，《征信業(yè)管理條例》第4 條規(guī)定由中國人民銀行作為國務(wù)院征信業(yè)監(jiān)督管理部門對征信業(yè)進行監(jiān)督管理， 監(jiān)管主體既包括中國人民銀行，也包括中國人民銀行的派出機構(gòu)。專門監(jiān)管模式雖然能保證流程上的專業(yè)性， 但是監(jiān)管范圍較為狹隘， 無法將監(jiān)管工作有效擴展至基層合規(guī)機構(gòu)，而基層恰恰是征信合規(guī)運行漏洞較多之處，存在征信監(jiān)管人員不足、 監(jiān)管手段匱乏等一系列問題。 此外，因為缺乏上層機構(gòu)的宏觀指引，專門監(jiān)管模式容易和國家監(jiān)管的整體趨勢產(chǎn)生背離， 最終影響征信合規(guī)的監(jiān)管效果。質(zhì)言之，當(dāng)前應(yīng)該完善從基層至頂層的合規(guī)監(jiān)管機制， 針對征信合規(guī)過程中潛在的各類問題，做到積極的事先預(yù)防，維護征信合規(guī)體系的正常運行安全。

參考《個人信息保護法》所構(gòu)建的三級征信合規(guī)監(jiān)管機構(gòu)，由上而下分別是國家網(wǎng)信部門、中國人民銀行以及縣級以上地方人民政府有關(guān)部門， 分別對應(yīng)征信合規(guī)的統(tǒng)籌監(jiān)管、專門監(jiān)管以及基層監(jiān)管。第一，國家網(wǎng)信部門主持征信合規(guī)的統(tǒng)籌監(jiān)管，負責(zé)統(tǒng)籌協(xié)調(diào)對個人信用信息的保護與監(jiān)管， 是國家層面的監(jiān)管，主要從《民法典》《個人信息保護法》中尋找規(guī)范依據(jù)， 將個人信用信息視為個人信息的一種加以保護。 當(dāng)《民法典》和《個人信息保護法》對同一問題的規(guī)定發(fā)生規(guī)范沖突或競合的時候， 應(yīng)該優(yōu)先適用作為特別法的《個人信息保護法》進行解決。第二，中國人民銀行負責(zé)專門監(jiān)管的工作，工作中參考《征信業(yè)管理條例》《征信機構(gòu)管理辦法》《征信合規(guī)通知》在內(nèi)的專業(yè)規(guī)范，實現(xiàn)對征信合規(guī)的專門監(jiān)管。專門監(jiān)管由中國人民銀行負責(zé)， 可以發(fā)揮中國人民銀行的專業(yè)優(yōu)勢，其本身對征信系統(tǒng)就較為熟悉，因此由其進行監(jiān)管不容易出現(xiàn)技術(shù)偏差， 并可以及時將最新的監(jiān)管技術(shù)應(yīng)用于征信合規(guī)系統(tǒng)。第三，縣級以上地方人民政府有關(guān)部門主導(dǎo)的基層監(jiān)管， 能夠?qū)⒄餍藕弦?guī)監(jiān)管的范圍向下延伸， 落實征信管理法規(guī)，解決基層征信系統(tǒng)使用過程中的實際問題。基層征信合規(guī)系統(tǒng)出現(xiàn)問題大多是因為合規(guī)制度的規(guī)定不夠詳細， 尤其是征信系統(tǒng)不斷迭代升級的技術(shù)背景下，第二代征信系統(tǒng)在內(nèi)控機制、信息報送等諸多方面都進行了升級改進， 而這同時也給基層征信合規(guī)監(jiān)管提出挑戰(zhàn)， 所以需要由基層部門貫徹上級的宏觀指引和專門指導(dǎo)，完善征信合規(guī)監(jiān)管。

總之，參考《個人信息保護法》構(gòu)建征信合規(guī)監(jiān)管的三級監(jiān)管體系，有助于實現(xiàn)對征信合規(guī)體系的常態(tài)化監(jiān)管，既貫徹國家層面對于個人信用信息的保護，又兼顧基層征信合規(guī)監(jiān)管工作開展的實際狀況。 相較于以往的征信管理法規(guī)，《個人信息保護法》擺脫了專門監(jiān)督的桎梏，并未將監(jiān)管重心僅置重于中國人民銀行，而是將征信合規(guī)監(jiān)管機構(gòu)向中國人民銀行的上下層級之間擴張，向上擴張將國家網(wǎng)信部門涵括在內(nèi)，向下擴張則是將監(jiān)管權(quán)限賦予地方專門機構(gòu)，避免專門監(jiān)管模式出現(xiàn)“鞭長莫及”之虞，為落實征信合規(guī)監(jiān)管制度提供具體可靠的現(xiàn)實路徑。

（二）跨境征信合規(guī)的監(jiān)管體系完善

跨境征信合規(guī)監(jiān)管是為了配合我國對外經(jīng)貿(mào)發(fā)展的整體趨勢， 避免征信系統(tǒng)收集的個人信用信息泄露侵害個人權(quán)利， 在促進個人信用信息跨境流動的同時加強信息保障。 對于個人信用信息的跨境流動，域外的監(jiān)管體系各有千秋。歐盟采用嚴格限制個人數(shù)據(jù)跨境流動的規(guī)制體系， 基于人權(quán)保護的傳統(tǒng)視角加強對個人信用信息的保護。 美國采用基于市場主導(dǎo)并輔以行業(yè)自律為中心的監(jiān)管模式， 借助雙邊協(xié)議和多邊協(xié)議來實現(xiàn)對個人信用信息價值利用的最大化。比較來看，歐盟和美國對跨境征信監(jiān)管之所以采用不同的監(jiān)管模式， 是因為兩者對個人信用的保護觀念不同以及個人信用的法益存在差異。 歐盟內(nèi)部諸國一直以來注重對個人權(quán)利的保障， 而個人信用信息作為一種新型權(quán)利， 被劃入基本人權(quán)的范疇并加以保障，隨后出臺了《與個人數(shù)據(jù)自動化處理有關(guān)的個人保護公約》《個人數(shù)據(jù)保護指令》《通用數(shù)據(jù)保護條例》進行全方位保護，通過構(gòu)建“數(shù)字單一市場”提升數(shù)字經(jīng)濟競爭力。美國個人信用信息跨境監(jiān)管體系較為松散， 是因為其自身更依賴市場經(jīng)濟， 對于個人信用信息的保護讓位于世界貿(mào)易的經(jīng)濟利益， 其更青睞于通過個人信用信息的跨境傳輸來獲取市場經(jīng)濟中的有利地位，其所主導(dǎo)建立的《跨境隱私規(guī)則體系》就凸顯了這一特征，在“問責(zé)制”的基礎(chǔ)上采用行業(yè)自律模式，監(jiān)管力度并不嚴苛。有鑒于此， 我國的跨境征信合規(guī)監(jiān)管體系也應(yīng)該在我國已有法律規(guī)范的基礎(chǔ)上， 參照我國征信體系的實際需求來構(gòu)建跨境征信合規(guī)監(jiān)管體系。

《個人信息保護法》第38 條規(guī)定個人信息處理者向境外提供個人信息的基礎(chǔ)條件， 即依照該法第40 條的規(guī)定通過國家網(wǎng)信部門組織的安全評估、按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證、 按照國家網(wǎng)信部門制定的標(biāo)準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)以及法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。 其中第1-3 項是跨境征信監(jiān)管合規(guī)的實質(zhì)內(nèi)容， 而第4項屬于兜底條款， 可以據(jù)此展開跨境征信合規(guī)監(jiān)管體系建設(shè)。

第一，依照《個人信息保護法》第40 條的規(guī)定通過國家網(wǎng)信部門組織的安全評估。 這里針對的對象是關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，這兩者本應(yīng)該將其在境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)，但是因為有向境外提供的需要，所以要組織對應(yīng)的安全評估。 這種征信合規(guī)監(jiān)管分為三個部分：一是檢查征信收集主體的適格性，要求征信主體對于個人信用信息的處理數(shù)量或者屬性達到了法律規(guī)范的要求；二是評估機構(gòu)向境外提供個人信用信息的必要性， 必須確保其具有正當(dāng)合理的要求；三是評估傳輸行為的正當(dāng)性，傳輸手段、傳輸范圍等都必須合規(guī)。

第二， 按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證。 這要求傳輸行為需要由專業(yè)機構(gòu)對個人信息保護進行合規(guī)認證， 明確合規(guī)認證所對應(yīng)的內(nèi)容，厘清其中個人信息的范疇，并且確保認證程序合規(guī)。 認證內(nèi)容合規(guī)是指個人信用信息的認證范圍遵守征信管理法規(guī)的規(guī)定， 和個人信用信息的采集范圍保持相對一致，并且參照《征信業(yè)務(wù)管理辦法》第42 條的規(guī)定將采集的信用信息類別向社會公開，接受社會監(jiān)督。認證程序合規(guī)要求認證模式和方式符合法律規(guī)定，不能在認證程序中違規(guī)操作，而是采用規(guī)范化的認證模式并由專人指導(dǎo)。 參考歐盟《通用數(shù)據(jù)保護條例》中規(guī)定的數(shù)據(jù)保護官的職位設(shè)置， 由專門的數(shù)據(jù)保護官來執(zhí)行對數(shù)據(jù)合規(guī)的監(jiān)管，并且設(shè)置對應(yīng)的獎懲程序，保證認證程序的公正性和透明度， 我國也可以設(shè)立對個人信用信息的專門監(jiān)管人員來加強對跨境征信合規(guī)的監(jiān)管。

第三， 按照國家網(wǎng)信部門制定的標(biāo)準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，這是通過預(yù)先設(shè)立合同的方式來監(jiān)管跨境個人信用信息傳輸， 而合同成立與否則取決于雙方權(quán)利和義務(wù)的設(shè)定。對于合同模式下跨境征信的監(jiān)管合規(guī)，需要明確合同中規(guī)定的權(quán)利和義務(wù)的內(nèi)容合規(guī)， 確保個人信用信息的跨境傳輸?shù)那疤岢闪ⅲ?這里權(quán)利與義務(wù)合規(guī)的重點在于兩者規(guī)定內(nèi)容的實質(zhì)相等性， 并且符合國家規(guī)定的硬性要求。 兩者規(guī)定內(nèi)容的實質(zhì)相等性要求權(quán)利和義務(wù)在實質(zhì)內(nèi)容上相等同， 不會出現(xiàn)權(quán)利義務(wù)畸重或者畸輕的不相等情形， 而且其中權(quán)利和義務(wù)所規(guī)定的內(nèi)容也需要符合國家的硬性規(guī)定， 防止個人信用信息的跨境傳輸違反我國法律規(guī)范，確保跨境征信的實質(zhì)合規(guī)。

四、結(jié)語

《個人信息保護法》的出臺標(biāo)志著我國對個人信用信息的保護進一步加強，并逐步構(gòu)建體系化的、更加復(fù)雜的、 超越自主管理的個人信息多元治理保護體系。 在此背景下，征信系統(tǒng)所采集、加工和使用的個人信用信息，正是個人信息中的“黃金信息”，和個人的人格尊嚴、財產(chǎn)利益等有著密切的聯(lián)系，所以征信機構(gòu)在處理個人信用信息時應(yīng)該尤為謹慎， 需要借助合規(guī)機制實現(xiàn)征信全流程的合法合規(guī)。借助《個人信息保護法》頒布的契機，將其應(yīng)用于征信系統(tǒng)的合規(guī)構(gòu)建，并配合已有的征信管理法規(guī)，在明確個人信用信息所屬類型的基礎(chǔ)上， 探討處理規(guī)則的升級以及處理模式的優(yōu)化，并且加強對征信合規(guī)的監(jiān)管，依靠三級監(jiān)管體系統(tǒng)籌兼顧對內(nèi)監(jiān)管， 并逐步完善跨境征信合規(guī)監(jiān)管。