个人征信主体权益保护制度研究成果

个人征信主体权益保护制度问题研究

一、个人征信主体权益保护的必要性

（一）问题提出的背景

出于市场经济主体的内在需要，个人征信数据必然要开放，但开放之后却极易伤害到个人征信主体，并带来相关的法律问题。一是个人隐私权的问题，在进行信用调查过程中，不可避免地会触及到个人的隐私问题，因而对个人信用信息资料的使用应有明确的目的和合理的规范；二是消费者的知情权问题，目前个人征信系统的联网或信息资料的采集，都是通过与商业银行的银行卡或消费者信贷系统直接联接或登录（也即采集信息不经过信息主体同意），金融消费者应该事先被告知自己的信用资料将会被其他银行所共有，一旦产生不良行为将影响个人的信用记录；三是个人信息数据的真实性问题，信息资料的真实性是整个征信的基础，对个人信息数据的真实性进行保护也是一个法律问题；四是个人信用无形资产的受益权问题，个人征信公司利用个人的信息资料获取经济利益，保护个人信用这个无形资产不被所有者以外的人无偿使用的法律问题。

至此，我国一方面对个人征信业务需求日趋扩大，一方面由于法律制度的不完善，个人信用侵权行为时有发生。正是基于这样的背景，本文提出了个人征信主体权益保护问题，并试图从制度建设层面加以研究。

（二）相关概念

1.个人征信的内涵及特征。个人征信，是指征信机构通过合法渠道采集、调查、整理、分析消费者个人的资信，以信用调查报告的形式提供给个人信用信息使用者，作为其授信决策的参考依据。此类个人征信机构在国外通常被称为消费者信用报告机构（Credit Reporting Agen－cies，CRAs）或信用局（Credit Bureaus）。个人征信机构以管理和维护大型个人资料数据库作为其运作特色，以消费者信用报告和消费者信用评分为主要产品，并以商业银行、零售商等授信机构、保险公司、人事招聘部门作为其主要服务对象。在发达国家，征信公司提供的个人信用报告已成为商业银行发放消费贷款的重要参考依据。

从个人征信机构的运作实践来看，个人征信具有三个显著特征：第一，个人征信具有网络效应（network effect），即参与信用信息共享安排的银行越多，信用报告给银行带来的效用越大。这是因为，一方面银行对潜在借款人的资信状况掌握越全面和及时，对个人信用报告的信任度越高；另一方面，平均每家银行摊销的数据库固定成本越少，有利于降低个人信用报告的价格。网络效应体现了联合征信的价值以及个人征信行业标准化的重要性。第二，个人征信具有较强的规模经济效应，这是由个人征信行业的高固定成本、低边际成本特性决定的。随着查询次数的增多，个人征信机构每生产一份信用报告所增加的成本很小。个人征信在某种程度上具有“自然垄断”的特征（Pagano and Japelli，1993）。第三，个人征信存在一定的正外部性和负外部性。个人征信的正外部性主要是指其对信用文化的培育及守信意识的灌输作用以及对消费信贷市场稳定发展的促进作用。但由于个人征信涉及到信息公开与隐私保护的矛盾，对个人隐私的不当传播会造成一定的负外部性。

个人征信的上述特征对我国建立个人征信体系至少有两点启示：第一，要建立覆盖全国的大规模的个人征信数据库，而且应覆盖足够多的自然人口并包含足够多部门的数据；第二，个人征信的外部性要求政府对征信行业进行监管，并制订相应的行业准则和法律法规。

2.主体权益的涵义。主体权益，是指被征信人享有的受法律保护的，不能被非法侵犯的利益或权利。其内容包括：知情权、异议权、纠错权、司法救济权。

3.其他相关概念。涉及到以下多个概念：

①个人信用信息。是指个人在信用交易活动中形成的履行或未履行义务的相关记录或数据。通常，个人信用信息包括个人基本资料、个人商业信用状况、个人社会公共记录和个人守法信息等四个方面。个人基本资料包括姓名、性别、年龄、籍贯、学历、婚姻状况、住址、电话、工作单位等；个人商业信用状况包括银行贷款及还款情况、信用卡使用情况等过往的信用交易记录；个人社会公共记录包括从事职业、社保缴费情况、纳税情况等；个人守法情况指有无刑事、行政与民事违法记录等[1]。

②隐私权。隐私是指个体不愿公开的个人信息。隐私权一般是指自然人享有的对其个人，与公共利益无关的信息、私人活动和私有领域进行支配的一种人格权。或曰，隐私权是法律赋予公民对涉及个人隐私的事项作为或不作为、或要求他人作为或不作为的权利[2]。

③信用权。则是指民事主体就其所具有的经济能力在社会中获得的相应信赖与评价而享有的保有和维护的人格权；信用权是资信利益的法权形态[3]。在信用信息征集过程中,部分采集信息可能会涉及个人隐私，可能会侵害到个人隐私权和信用权,因此对被征信数据主体进行法律保护要体现信用信息公开与信用权、隐私权保护的适度平衡。

④同意权。指征信机构收集个人的信用资料，必须征得个人的同意，这种同意原则上必须是书面形式。除法律规定允许的场合,提供个人信用资料也必须得到本人同意，从而次生信用资料传播的控制权。

⑤知情权。即个人有权了解征信机构收集、保有的信用资料的内容、性质、使用目的和利用者的姓名。个人还要求征信机构对其信用资料进行解释,从而次生信用资料解释请求权。

⑥异议权。即个人对本人信用报告中的错误信息持否定或不同意见并要求更正的权利。个人在异议过程中,相应产生了调查请求权、错误订正请求权、投诉权以及司法救助权。

⑦纠错权。如果经证实，被征信人信用报告中所记载的信息存在错误，被征信人有权要求数据报送机构和征信机构对错误信息进行修改。

⑧司法救济权。被征信人认为征信机构提供的信用报告中的信息有误，损害了主体的利益，向征信机构提出异议后仍不能得到满意的解决，有权向法院提出起诉，以法律手段维护其权益。

（三）对个人征信主体权益进行制度保护的必要性

随着现代金融业的发展，一个人的信用状况已不单纯是个人的私事，而直接关系到个人的履约能力和他人预期利益的实现，作为交易相对人有权了解其信用状况。个人信用信息的适度开放是社会信用体系建设的前提和基础，如果禁止个人信用信息的披露无疑会大大阻碍征信业的发展，而对个人信用信息的使用不加以限制和规范则无异是对个人权利的践踏。因此，征信体系的健康发展在信息公开以确保市场效率的前提下，同时还要考虑的是对个人信用信息的合理保护问题。

1.强化对信用隐私权的法律保护是国际立法趋势。信用隐私因关乎个人资产、信用状况乃至交易安全，被侵犯的后果较为严重，因此，各国纷纷通过立法来架构各自的信用权保护体系,在最大限度上保护个人信用信息和交易安全。西方征信发达国家都制定了多部法律对公民信用信息权加以适度保护，特别是美国已经形成了较为完备的法律保护体系，对于征信后发国家有很大的借鉴意义。

2.立法保护能够体现知情权与信用权之间的平衡。知情权与隐私权之间的力量关系是此消彼长的，对知情权保护的多一些，隐私权的保护范围就会相应地减少，反之，人们知情的范围就当然地予以减少。因此，如何在个人信用征信制度的建设中协调隐私权与知情权的关系是不可回避的问题。在制定信用权法律之初，就应力求在其间寻求平衡。一是促进信息利用，使征信机构利用个人信息合法化；二是限制政府权力，防止行政机关或征信机构滥用个人信息，侵犯隐私。

3.法律规范确保公民合法的信用权不被侵犯。在现代信息社会里，网络普及、科技发达，伴随着信用权从私密性模式到控制权模式的转变，个人信息被赋予了财产性特征，成为具有巨大商业价值或社会利用价值的资源，信用信息隐私被侵犯的可能性也在加大，因此，公民有正当权利排除他人对个人信息的不当使用及出现纠纷时有明确的法律救济途径。

二、发达国家的征信立法理论和我国的相关规定

加强对个人信息的法律保护已经成为人们的共识，各主要发达国家和地区都相继开展了个人信息保护的专门立法。有资料显示,已经有50多个国家和地区制定了个人信息法律体系。我国在多部法律中对公民隐私权做了规定,对信用权的规定还不是非常明确,部分法规规章对公民信用权有所涉及。

（一）发达国家征信业的个人征信主体权益保护理论和启示

1.隐私权保护理论。美国通过《隐私权法》及大量的技术性法律规范强调了隐私权保护，其隐私权保护是一种扩张保护机制，涵盖了大陆法系中其他人格权的概念，具有一般人格权的功能。而德国《个人资料保护法》人格权的概念，仅指一般人格权。其立法目的是为了保护个人人格权在个人资料处理时免受侵害。

2.信息控制权理论。信息控制权理论把信息主体对其所有相关的信息作为权利保护对象，把个人信息控制权定义为“个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利”。个人信息是内涵复杂的概念，包括了个人的姓名、肖像、名誉、隐私等人格权已经保护了的对象，由于各种信息法律保护的目的、要求都有很大的差异，把个人信息控制权作为人格权体系下的一个独立权利的话，将会给人格权的基础理论和权利体系划分带来矛盾，所以采用信息控制权在理论上并不成立。

3.信用权保护理论。信用权是指民事主体享有在社会上与其经济能力相适应的社会评价的利益为内容的权利。对于信用权的性质，目前我国法学界有人格权、财产权和混合权利三种观点，对其性质目前未有一致的意见，但一般都认为信用权具有财产属性，与一般的人格权有着明显的区别。信用权的具体权项包括了信用利益利用权、信用利益的保有权和信用利益的维护权。

综上，我们可以得到三点启示：一是信用权应当作为公民的一项基本权利。如我国台湾地区就将信用权确立为人格权，对信用权侵害规定了精神损害赔偿。二是立法保护个人信用权是各国的通行做法。通过立法规定个人享有的各项权利，规定信用信息提供者、使用者、征信机构的义务及法律责任是必要的,知情权、更正权、维护权和保密权等都是个人信用权的组成部分。三是设立专门机构对信用权侵害进行审查是有效的救济途径。如美国对侵害个人信用权的行为规定了行政责任、刑事责任、民事责任，并由专门的机构-联邦贸易委员会来执行。日本也设立专门机构对个人提出的疑问进行审查，这有利于个人在权利受到侵犯时得到及时救济。

（二）我国个人征信主体权益保护的相关规定

1.现有的法律规范对个人隐私权和信用权保护已有涉及。如，《民法通则》、《民事诉讼法》、《刑事诉讼法》等对涉及公民隐私的内容都通过实体法律和诉讼程序进行了一定的保护；《刑法》部分条款对侵害被征信人信息利益的违法犯罪也有规定；对个人信用权保护也已经在部门规章和地方法规、规章中有所体现。

2.适应征信业发展需要，征信立法步伐加快。人民银行作为征信业的管理部门，已经出台了《个人信用信息基础数据库管理暂行办法》，对收集、记录、整理和保存被征信人信息进行了明确的规定。地方政府也强化了对个人征信业和征信信息保护的立法，如深圳市以政府规章的形式出台了《深圳市个人信用征信及信用评级管理办法》、上海市制定了《个人信用征信管理暂行办法》，在加强地方征信体系建设的同时对个人征信信息进行保护。

3.强化对个人隐私权和信用权保护的具体措施。《个人信用信息基础数据库管理暂行办法》采取的保护措施，一是收集的信息内容仅限于与个人信用相关的信息。二是客观、公正地记录、整理、保存金融机构报送的个人信用信息，不对个人信用信息进行主观改动。三是严格管理信息的用途。商业银行只能经当事人书面授权，在审核个人贷款、信用卡申请或审核是否接受个人作为担保人等个人信贷业务以及对已发放的个人贷款及信用卡进行信用风险跟踪管理时，才可以向个人信用信息基础库查询当事人的信用报告。同时，商业银行不得将查询结果用于其它目的。四是维护知情权并尊重异议权。个人可以通过授权商业银行和征信中心查询其本人的信用报告。凡个人认为系统提供的个人信用报告不准确的，可以向系统提出书面异议申请。如果系统经过必要调查和核实后，无法证明个人所提异议的准确性，不能按照个人要求将有关资料进行更正时，允许个人对有关异议内容附注个人声明。

三、目前我国个人征信主体权益保护的现状与问题

我国个人征信业从上世纪80年代起步，历经20多年的发展，如今市场对个人征信业务的需求日趋扩大，个人征信在社会经济发展过程中的作用也日益显现。但是目前我国还未建立专门的个人征信法规，个人信用侵权行为时有发生。

（一）现状调查与问题归纳

1.现状调查——长治案例。课题组在现状调查中采取的形式，一是汇总分析全市个人征信系统的数据；二是设计银行业机构调查问卷，共调查有贷款权限的银行业机构100家；三是设计个人调查问卷，共调查信用报告查询人及异议申请人100人；四是整理2006年以来全市人行系统接收投诉的案例，走访消费者协会、法院接收投诉或诉讼的情况。调查显示：

①个人征信权益大部分得到保护。一是同意权和异议权得到基本满足。据调查，86％的银行业机构在信用卡申请表或贷款合同中注明“您的信息将进入人行个人征信系统，不及时还款会影响信用记录”等内容；86％的被调查人认为信用报告中的个人信息真实准确。同时，银行业机构基本能按照人行有关要求，做好异议处理工作。2008年6月-2009年5月、2009年6月-2010年5月、2010年6月-2011年5月，被查个人信用报告存在异议的分别为38人、56人、33人，其中提出异议申请的25人、38人、28人，分别占比65.79％、67.86％、84.85％，全部予以回复，其中97％的申请得到银行及时处理。二是知情权和解释权得到部分满足。89％的银行业机构定期发放信用卡对账单或还款提醒通知；69％的被调查人能够定期收到银行的信用卡对帐单或还款提醒通知。当信用报告存在瑕疵时，被调查人可以向银行解释说明。69％的被调查人反映银行业机构认可有关解释说明。三是投诉渠道主要是当地人行。72％的被调查人认为有投诉渠道，主要向当地人行投诉。四是对退出权的要求尚不强烈。由于征信系统建设刚刚起步，多数人尚未考虑退出权问题。仅有12％的被调查人表示以无法获得银行贷款为代价，存在退出意愿。

②银行侵犯个人征信权益的问题仍较突出。一是盗用身份信息办理贷款。29％的被调查人认为自己或所了解的人曾被他人套用身份信息办理贷款；部分县出现因身份信息被盗用造成信用记录不良，到人行投诉或法院诉讼的情况。但值得注意的是，此类案件在事实认定清楚甚至法院已判决的情况下，由于贷款尚未结清，银行业机构无法修改数据，造成侵权问题迟迟无法解决。二是违规查询信用报告。首先是查询次数超过正常值，据调查，2010年单笔业务查询个人征信系统的平均为1.69次，基本符合正常值；但仍有23家大于等于4次，其中3家为6次。其次是存在查询个人信用报告用于核实POS机商户的个人身份等违规查询情况，11％的被调查人认为银行业机构存在违规查询泄露个人信用信息的情况。三是异议更正不及时。按照异议处理相关规定，基层央行征信管理部门受理异议处理申请后，应立即转交征信服务中心，征信服务中心收到后转至相应的商业银行协查，商业银行经过查询核实回复给征信服务中心，再返回到当地人民银行征信管理部门，然后通知申请人，环节较多；加之部分商业银行的异议信息纠错工作集中在总行，个人征信异议处理子系统的权限未下放到基层行，而且限定15个工作日内办结，相对焦急的异议申请人时间较长。四是信息披露不及时。银行业机构对某些重要信息披露不及时，将侵害贷款人知情权，甚至会造成信用记录不良。如在利率等信贷要件变化时，仅有39％的被调查人收到银行业机构提醒通知。在贷款人不知情的情况下，银行业机构收取额外费用的现象依然存在。调查问卷显示，24家银行业机构和35％的被调查人反映贷款或信用卡收取除利息以外的其他未告知费用，是造成信用记录不良、侵害贷款人权益的一个隐患。

2.问题归纳——侵权形式。通过上述案例分析，可将个人信用信息领域的侵权形式归纳为隐私侵权和信用侵权：

①征信中的隐私侵权。一是非法采集隐私信息。采取窥探私人活动、擅自打开消费者的邮件等秘密调查的方式采集个人信用信息；或者，如果消费者个人同意征信机构采集甲信息，而征信机构连乙信息也一并采集，均构成侵权。二是故意非法披露个人信用信息或提供征信产品。信用报告和信用信息的内容绝大多数是个人隐私，如果征信机构将采集的个人信用信息向无权第三方披露或未经消费者同意向不符合法定条件的用户提供征信信息，将构成对被征信个人隐私权的侵犯。三是过失泄露个人信用信息。征信机构采集并储存大量个人信用信息，如果征信机构没有建立完善的安全管理制度和科学规范的业务操作规程，发生人为因素造成的信息泄露，或者怠于解决系统中的各种技术问题，造成系统被侵入、信息泄露、身份盗用或信息错误，也构成对被征信个人隐私权的侵犯。

②征信中的信用侵权。一是在征信产品中包含与事实不符、有损消费者信用的内容。①收集信息有误，如未审核信息提供者的信息的真实性就制作信用报告；②信息处理过程中，对数据分析、匹配错误；③搜集的信息不完整、片面或存在重大遗漏。不准确的信用信息将使人对消费者的信用状况产生误解，导致消费者获得不准确、不公正的评价。二是个人信息存储中的侵权。在征信过程中，如果征信机构拒绝给予消费者查询权、异议权，从而使虚假、错误、残缺、过时的信息得不到纠正，或者不及时更新信用数据，不良信用数据经过法定期限未及时删除，未对信用数据采取适当的保密措施而为人所篡改、制作征信产品向授信机构提供的，可能会造成被征信主体在获得信贷、赊购以及就业中遭遇障碍。

（二）风险点分析与问题的成因

1.风险点分析。课题组在本辖区还通过自行设计《个人征信主体权益保护制度调查问卷》，对个人征信主体权益保护的风险点进行了分析（此次调查共发出问卷150份，回收有效问卷120份）。

①信息征集范围不明确，存在征集来源任意扩大化风险。基于对个人隐私权的尊重及保护，国际上普遍认为个人敏感信息的征集应当受到特别法律的保护。如欧盟法令明确规定，除非取得个人以书面或其它方式明确授权的“明示同意”，不得征集和披露有关信息主体种族、政治观点、宗教及哲学信仰、健康等个人敏感信息。当前，我国个人征信业务的开展仅依托《个人信用信息基础数据管理暂行办法》这一部门规章，效力层极不高，其中仅对信息数据的报送、整理及查询进行了规定，并未对不能采集的敏感信息、非银行信用信息的征集范围、征集方式等做出明确、关键性界定（央行仅笼统规定采集与信用有关的信息，与信用无关的个人隐私，如疾病史、银行存款余额等不采集），致使基层央行在非银行信息采集过程中，为凸显成效一味贪大求多，将电信、水、电、燃气欠费、计生处罚、醉驾等公众存在较大争议或涉及个人隐私的敏感数据一一纳入，未考虑仅凭人民银行与被采集单位的采集协议实现信息的征集入库是否合法、是否应事先取得信息主体的认可，入库信息来源呈无法可依、任意扩大化趋势。问卷调查结果显示，有75％的受访者认为“电信欠费信息”及“水、电、燃气欠缴信息”属公众争议较大、可能助长垄断行业霸王习性的信息数据；70％的受访者认为“计划生育”、“醉驾”等信息属消费者个人隐私，均不应征集入库；而对“公积金”、“社保”及“诉讼”等信息，由于其有侧面佐证个人还款能力及意愿的参考价值，95％的被调查者对其入库持积极及肯定态度。

②信息征集授权未规范，存在征集流程不合法风险。作为个人征信的重要权益之一，同意权是指征信机构采集信用信息原则上须经信息主体授权并同意。对于同意权的行使，日本及法、德、意等欧盟国家采取的是必须获得信息主体的书面或其他方式明确授权的“明示同意”；美、英、澳及加拿大，采用的则是虽无须获得信息主体的明确授权，但应尽事先告知义务，若信息主体未在规定期限内对信息征集行为提出异议则视为同意的“默示同意”原则。当前，由于处于征信体系创设初期，我国采用的是自上而下强制性推进的征集模式，部分信用信息未经过主体授权，仅是2005年个人系统运行后，在贷款合同和信用卡合同中才有条款规定。而信息导入央行征信系统，生成个人信用报告，进行业务查询，以及非银行信息征集未行使告知义务，这种未告知即征信的信息征集模式受到社会公众一定程度的质疑，征信机构可能因未切实履行负面信息告知义务而给个人融资行为带来损失而站上被迫应诉的被告席位，当前因信息征集流程不合法而可能造成的个人征信权益受侵犯的隐存法律风险点值得关注。现实中，征信系统建立之前，由于社会环境、经济环境的影响，社会诚信意识普遍缺失，当年由于银行、企业、个人普遍存在对信用的不重视、操作的不规范，导致现在征信主体权益损失的情况很多。以长治为例，2002-2004年部分银行实行的汽车销售贷款间客制还款方式，贷款人按照约定，将贷款还给了汽车经销商，而由于经销商挪用或者非法占用，未按时归还银行，给贷款人造成了信用污点，这种本应银行、汽车经销商承担责任的信用问题，在未告知的情况下均被记入贷款人名下，成为个人征信司法诉讼最多的情况，严重侵犯了信息主体的权益。当前社会中，仍然由于社会大众对部分行业，部分部门的经营行为有所质疑，对这些行业部门信息纳入征信系统，如不经过本人同意，将存在很大争议。调查问卷显示，120位受访对象中，认为“所有信息”及“贷款、信用卡透支逾期、水电费欠缴等部分信息”入库前应征得本人同意或授权的占比分别为50％和30％，仅3％的受访者持“无所谓”态度，更有70％的被调查者认为“征信机构未履行告知义务而征集个人负面信息会对个人造成损失”。

③信息使用标准不统一，信息保留期限未明朗，存在“征信不公”风险。由于《个人信用信息基础数据库管理暂行办法》未能对拒贷逾期次数、还款宽限期限、异议修改条件及“履告”义务等做出规范性的条款界定，各银行业金融机构的执行或使用标准不尽相同。如辖区农业银行对连续3期或累计6期以上的逾期客户不予放贷；建设银行则执行最高逾期次数超3期、累计逾期次数超6期且近24个月连续3期出现逾期状态的拒贷标准。未统一标准却意图通过拒贷、减少授信、上浮利率等信贷政策运作，实现对信息主体金融活动及融资行为的惩戒性影响及威慑性震慑，效果自然有限；同时，就信用报告本身而言，有的包含了所有金融交易信息，而有的仅有部分银行信息（山西农村信用社信贷交易信息未入库），造成了信息主体间的“征信不公”。各金融机构参考信用报告的标准不一。社会大众对不良记录保存期限极为关注，随着经济条件的好转和信用观念的转变，人们的信用情况也会发生变化，在时间上应给人们一个重塑信用的机会，西方许多国家将不良记录保留期限规定为7年，尽管央行已有意向表示将不良期限定为5年，但条例迟迟未出台，信用信息保存期限预期未明朗化。另外信用报告对金融机构信贷决策是一个综合参考文件，在中国这样一个人情社会，很容易引起不公平处理。上述因素对信息主体而言无疑有失偏颇及公允，极可能通过示范效应让潜在的优质借款人对贷款望而却步甚至失去信心，产生因“征信不公”而诱发“劣币驱逐良币”的隐性风险。调查结果显示，按由高到低的认同度排列，公众心目中的“征信不公”现象依次为“信用报告的使用标准（如拒绝贷款的逾期次数）不同”、“还款宽限期限不同”、“异议修改条件不同”及“‘履告’义务执行情况不同”，占比分别为69％、48％、45％及35％。

④信息更正流程冗长、救济方式操作性不强，存在法律纠纷风险。对于信息主体有权要求征信机构对其不正确、不全面或非最新信息做出纠改及补正的更正权益，现阶段提供了三种救济途径，即异议申请、个人声明及法律仲裁或复议。但在基层实践中，却因存在异议更正时间过长、，一般在15日左右；司法救济过于复杂，有些问题立案都困难，救济方式操作性不强等诸多因素，在影响异议更正权执行效果的同时，也极易引起不必要的法律纠纷。

⑤技术手段达不到，存在征信主体知情权得不到保护的情况。目前无偿为征信主体提供信用报告的仅人民银行各查询点，由于人员、办公环境等原因根本不能满足信用主体的知情权要求。而金融机构在办理业务时，如果对某一客户业务不予办理只一句有不良记录，加以拒绝，不提供任何书面说明。(www.xing528.com)

2.问题的成因。主要体现在以下四个方面：

①民事立法滞后，阻碍了个人征信主体权益保护立法的进程。我国当前的民事立法对隐私权保护和信用权保护没有明确的规定，造成了征信过程中被征信人与征信机构之间的民事法律关系不明晰，制约了征信立法中对被征信人信息权益保护的进一步完善。

②规范征信数据开放的法律不完善，制约了对个人征信主体权益的保护。现行的《商业银行法》和《储蓄存款管理条例》规定商业银行有义务保护个人的信贷和储蓄存款信息,不得随意对外泄露客户资信信息,限制了征信数据的取得和使用,在一定程度上阻碍了征信制度的建立和发展。同时，大量的征信数据掌握在各政府机关手中，难以被征信系统所利用。在规范征信数据开放的法律不完善的前提下，征信数据收集处于“无法可依”的状况，不利于对被征信人信息权益的保护。

③立法体系不完善，立法层次有待提高。目前，征信立法多为部门立法、地方性立法，法律效力低，对被征信人信息没有统一的保护标准和手段，缺乏系统性。人民银行出台的《个人信用信息基础数据库管理暂行办法》属于部门规章，立法的权威性仍显不足。

④具体保护措施上仍有欠缺。一是被征信人信息采集知情权未得到充分尊重。随着征信信息采集范围的不断扩大，少数信息的采集对于个人的信息采集知情权没有予以充分尊重，特别体现在非银行信息的采集过程中，一些被征信人对信息的采集情况并不知情。二是被征信人信用资料准确性、完整性得不到充分保证。现有异议处理机制不能满足所有被征信人的信息纠错要求，致使该部分人的合法权益受到损害。三是商业银行未能严格执行现有的管理办法。部分基层商业银行内控制度不健全，在内部监督和日常管理环节还存在诸多漏洞，体现在信用报告的查询用途选择上较为随意、备案的个人书面授权往往流于形式，信息入库率和准确性没有制度上的保障等。

四、我国个人征信主体权益保护制度设计及方向

保护的目的在于“使用”和“收益”，本着这一精神，我国个人信用权保护的制度框架，应当既保护个人权利，又为信息时代个人数据资料的合理利用提供适当的环境。在制度设计上，既要注重个人对其数据资料的自由意志，又要强调对隐私的保护不应当成为阻碍信息合理流动的障碍，力求隐私权保护及征信业发展之间的平衡。

（一）制度设计的基本原则

1.符合国情原则。世界上没有任何国家的被征信人信息保护制度是照搬照抄的，各色各样的保护制度尽管各有利弊，但归根结底都是同本国国情相适应的。因此，在构建我国被征信人信息保护制度时，首先要坚持的基本原则就是必须符合我国的基本国情。在构建征信体系和设计被征信人信息保护框架时，需要特别考虑下列三个问题：一是我国正处于并将长期处于社会主义初级阶段；二是信用文化泛道德化及社会信用基础脆弱；三是文化传统中缺乏对个人隐私的尊重。这些特点决定了当前完善我国征信体系，促进经济快速、健康发展，构建我国被征信人信息保护体系有必要借助政府行政力量，通过行政手段推动和规范征信机构对征信信息的采集、加工、披露及使用，并逐步培养市场需求。

2.效率优先与信息保护相平衡原则。我国被征信人信息保护制度构建基础既不同于美国也有别于欧盟国家，我国是在一片空白的情况下要实现被征信人信息保护和征信体系建设的双发展，这就需要坚持效率优先与信息保护相平衡原则。效率优先与信息保护相平衡原则要求在构建被征信人信息保护制度时兼顾公众利益和个人利益，在个人利益受到充分保护的前提下，实现公众利益的最大化，并且通过制度安排实现公众与个人、效率与保护的平衡。这就要求通过完善的法律制度明确界定征信机构、被征信人及信息使用者间的权利与义务，在不触犯个人隐私的情况下，尽可能保证征信机构的权利，在法律不明确或作用难以发挥的边缘地带加强政府监管力度，实现制度与监管的有机结合；在信息采集上按照各征信主体的权利与义务设计合理的指标体系，既要充分保证金融效率又要在私人领域充分体现隐私保护，对于那些既体现金融效率又反映一定个人隐私的信用信息，要采取一定的技术处理并限定披露对象及适用范围等手段实现效率与保护间的平衡。

3.预防与救济相结合原则。从征信国家发展经验看，有效的信息保护必然要有一整套完善的制度保障，这套制度至少应包括信息内容确定、信息采集及披露规则、违法违规责任等相关内容，对被征信人信息进行全方位的保护。同时，还必须配以有效的监管，及时发现和杜绝可能侵犯个人隐私和降低金融效率的现象发生。按照预防与救济相结合原则，在构建我国被征信人信息保护制度时，不仅要制定适合我国国情的被征信人信息保护法律体系，还要结合我国实际制定严格的监管制度、异议处理机制、负面信息限期保存原则等救济措施，通过事前预防和事后救济相结合充分保证我国被征信人信息保护体系的健康、顺利运行。

4.以权利制约权力原则。被征信人信息保护与基于社会公共利益目的的信息公开间的冲突，在本质上主要体现在两个层面：权利与权利之间，权利与权力之间。在权利与权力之间存在相互作用。权力的扩大，必然损害权利的行使，其内在的冲突是显而易见的。当个人隐私或商业秘密涉及共同利益、公共需求时，权利与义务主体之间、个人（法人）与社会之间的利益应符合法律衡平利益的价值理念，出于公共利益目标、在一定情况下应对隐私（商事信用）权进行权利限制和权利利用。同时，公共权力应确定出于公共需要，也即来源于权利，受权利制约。公共权力的存在应有助于法律权利的实现而不应成为法律权利实现的桎梏。基于维护社会公共利益目的所做出的信息披露必须在法律程序的控制之下，以防止滥用信息披露权利。

（二）制度设计的框架建议

理想的方式，应是从上而下三个层次建立个人征信主体权益保护制度框架。第一个层次是《宪法》应当对个人隐私权作出明确规定，给《民法通则》等单行法和部门法律确立个人信用信息采集、使用及保护提供符合《宪法》规定的前提。第二个层次是完善《民法通则》等民事基本法律和配套法律，在保护个人隐私的前提下，对公民的个人信息的提供和使用予以明确的规定，同时对个人失信行为制定具体的惩罚措施。第三个层次是通过征信专门立法对个人征信权益保护进行制度性安排。但目前我国前两个法律层面尚不完善,因此,第三层次的征信法律制度建设需覆盖前者部分内容,具体如下：

1.建立完善的征信法律体系。

①建立健全关于隐私权保护的法律。结合我国实际情况应加快制定我国关于隐私权保护的专门法律。在隐私权专门法律制定过程中，可针对当前我国征信业发展的迫切需要，在相关法律中增加隐私保护条款，待隐私权保护的专门法律颁布后再做统一调整，如在民事法律增加隐私权保护相关内容，并考虑与征信的契合；在未来制定的规范征信业务的《信用信息法》中增加对隐私权保护和信用信息公开等相关内容。

②制定征信管理专门法律。加快《信用信息法》、《征信管理条例》等征信专门法律法规的出台，从制度设计上为征信提供一套完整的活动准则，从征信信息的采集、披露、使用到监管主体、征信主体各方的权利义务等等方面进行全面翔实的规范，使征信法律关系各方当事人的所有行为都有法可依，尽量避免侵权行为的发生。与此同时，征信法律还应设计一套完整的救济程序（包括：异议处理机制、负面信息保存年限规定、仲裁机制等），以保证被征信人权利的充分实现。

③修改完善配套法律。首先，在相关法律中增加征信内容，在《人民银行法》中，应明确赋予人民银行行使征信管理的职权，并赋予人民银行对业务开展的监督检查权和行政处罚权；在《合同法》、《物权法》中也应考虑增加征信管理相关内容。其次，解除相关法律对征信发展的障碍，对部分现行法律进行适当调整，为征信业的发展提供良好的法律环境，如进一步修改完善《商业银行法》、《统计法》、《反不正当竞争法》及《贷款通则》等相关法律法规中抑制征信业发展的条款。再次，逐步建立相关边缘法，在建立信用管理相关法律的同时，我国需要建立一些更为基础的法律，如《信息自由法》、《个人隐私权法》、《个人破产法》等基础法，为我国信息保护体系的建立奠定良好的法律基础。

④明确个人征信权益保护内容。要着重明确维护个人以下权利：一是个人知情权。法律应规定个人享有对信息收集人的身份、信息收集目的、使用方式、保管情况等的知情权，以及个人有权向征信机构查询本人的信用报告。可借鉴美国方式，一年内征信机构免费向个人提供一次查询信用报告机会；或者在负面记录被纳入征信系统之前，要求征信机构（或银行机构）履行提前告知的义务，以给个人提供纠正的时间。二是个人异议权。法律应规定个人在行使知情权的过程中发现自己的信用报告有误时，有权向征信机构提出异议，要求征信机构进行修改或更正，征信机构有义务及时进行更正。如征信机构未能解决信用信息错误问题，个人有权要求征信机构一次性删除其全部信息。三是个人救济权。法律应明确受理个人征信投诉的征信监督管理部门及受理程序，依法对侵犯信息主体权益的机构或个人进行行政处罚。同时，信息主体也有权通过民事诉讼程序获得救济,对侵犯个人权益行为严重、构成犯罪的，还应依法追究刑事责任。

2.合理确定各征信主体的权利义务。

①被征信主体的权利义务。被征信主体在征信活动中的主要义务是隐私权克减容忍义务。对个人隐私权的克减实际上是所有与该隐私主体有关的当事人如贷款银行、现实的或者潜在的交易双方当事人的知情权要求的结果。被征信主体的权利主要体现在：个人信息同意权（默示同意）、个人信息更正权、个人信息知情权、个人信息支配权、个人信息维护权及平等授信权等方面。

②信息提供主体的权利和义务。信息提供主体的义务主要体现在两个方面：一是保护隐私权和商业秘密义务；二是保证信息正确性义务。信息提供主体的权利主要是获取和使用信用信息。

③征信机构的权利和义务。征信机构作为独立于市场交易双方的第三者应该保持中立，公正、客观地为市场提供及时、准确的信用信息，其义务主要体现在：一是尊重隐私和商业秘密的义务；二是保证信息的准确性和时效性义务；三是妥善保管信用信息，不得滥用的义务。征信机构作为征信信息的加工和披露者，也有权利从征信信息提供者处得到准确、完整、客观的信用信息，有权依法对信用信息进行加工、整理，按照法定用途向征信信息使用者披露信息。

④信息使用主体的权利和义务。对于信息使用主体来说，其最主要义务是保护隐私和商业秘密的义务，不得非法滥用被征信人的信用信息；其最主要的权利是合理使用被征信人的信息，并以此作为自己决策的依据。

3.合理规范征信信息的采集、披露及使用范围。

①规范征信信息的采集。我国信用法律应将个人征信信息的范围限定于与个人信用有关的信息，即与个人的经济状况、偿债能力直接或间接相关的个人信息。此外，还应禁止征信机构收集涉及个人隐私的、与个人信用无关的信息,如个人基因、疾病和病史、宗教信仰、收入状况等。个人信息征集应包括正面和负面信息,以便全面掌握其信用状况。基于信用信息采集的相关性、特定目的性、准确性、及时性等原则，参照国外对征信信息采集范围的规定，本文认为应把以下信息纳入我国征信信息范围：个人基本信息；银行信用记录；社会公共信用记录；查询记录。同时，征信机构应采取适当的措施确保其收集的个人信息准确、及时、完整，并能够及时纠正其中的错误信息。此外,信息报送机构也要对所报送信息的质量承担责任。

②规范征信信息的披露。信息披露是被征人信息保护与征信效率相冲突的关键。为此，必须依据保护与效率相平衡的原则，合理确定我国征信信息的披露方式。要充分借鉴美国等征信国家信息披露经验，对不同来源的不同信用信息进行综合评价，依据其对被征信人信用的影响程度进行排列，并以此对被征信人信用状况做出综合评价。

③规范征信信息的使用。征信信息的使用从广泛意义上讲主要有两类使用主体：一类是消费者本人，消费者通过对自己征信报告的查询，了解自己的信用信息，既体现了知情权，也是实现个人信息支配权、个人信息更正权、个人信息维护权等权利的途径。另一类就是第三方的使用，这也正是征信制度的落脚点和最终意义。一般情况下，各类授信主体在决定是否向被征信人予以授信或雇用时使用，主要包括金融机构、公用事业单位、商业企业、用人单位等主体，征信机构之间交换信息时也可以使用被征信人信用信息。除此之外，法律、法规明确规定的主体也可以使用。除法律规定以外，征信机构不得向第三方随意泄露个人的信息。个人信用资料的使用应该有明确的目的和合理的范围，即信息服务的对象应该是根据法定的或约定的事由，在“合法合理”的原则下确定。一般情况下，合法的信息使用者包括:与信息主体进行信贷交易或信用交易的金融机构和商业机构；信息主体授权的其他自然人或法人；依职权进行调查的司法机关和行政机关。此外，对于超出一定期限的负面信息征信机构不得对外披露和使用。

4.确定适合我国国情的监管模式。

目前我国仅有《个人信用信息基础数据库管理暂行办法》已经出台,《征信管理条例》《企业征信系统管理办法》等法律制度尚未出台，这对于商业银行合规操作、个人信用信息权益保护非常不利。鉴于国务院对中国人民银行管理征信业的授权以及中国人民银行近几年在社会信用体系建设中的地位、作用和取得的成绩，本文认为应当尽快依法律或行政法规授权的形式明确中国人民银行作为征信监管部门的主体资格、监管职责、监管权限，以解决征信领域主体之间的争议，履行受理投诉、行政复议职责，维护好个人征信主体的合法权益。

建立以人民银行为主的监管机制是符合我国国情的。第一，人民银行监管具有天然优势。基于人民银行对金融机构的监管权，人民银行在征信监管中具有天然优势，也应该发挥重要作用。另外，值得一提的是，作为社会信用的宏观管理者，人民银行在金融效率优先与被征信人信息保护的平衡上也具有一定的优势。第二，人民银行在征信建设中已经取得一定成绩与经验。人民银行自1997年开始建立征信系统以来，目前已经取得了巨大的成绩。企业和个人征信系统成功实现全国联网运行，在全国范围内率先实现了银行信贷信息共享，并且随着人民银行非银行信息采集、中小企业征信（主要是为没有贷款的中小企业建立信用档案）及农村信用体系建设步伐的加快，将陆续实现企业和个人工商、纳税、诉讼、公积金缴存等非银行信用信息的全国共享。可以说人民银行已经积累了足够的经验，能够胜任我国征信体系建设和被征信人信息保护体系建设的监管者。

注释

［1］张新宝.隐私权的法律保护［M］.北京:群众出版社，1997，4-6

［2］李秀芬.论隐私的法律保护范围［J］.当代法学，2004，（7）：第18卷（4）

［3］吴汉东.论信用权［J］.法学，2001，（1）：44.

参考文献

［1］王利明.中国民法典草案建议稿及说明［M］.北京：中国法制出版社，2004

［2］谈李荣.金融隐私权与信息披露的冲突与制衡［M］.北京：中国金融出版社，2004

［3］龙西安.个人信用、征信与法［M］.北京：中国金融出版社，2004

［4］周汉华.个人信息保护前沿问题研究［M］.北京：法律出版社，2006

［5］艾茜.个人征信法律制度研究［M］.北京：法律出版社，2008

［6］喻敬明，林钧越，孙杰.国家信用管理体系［M］.北京：社会科学文献出版社，2000

［7］李宝军.个人征信系统中的隐私权保护［J］.人民论坛，2010（8）

［8］车克军.我国被征信人信息权益保护的现状与问题［J］.金融时报，2011（11）

［9］编写组.征信前沿问题研究［I］.中国经济出版社，2010.1.

中国人民银行长治市中心支行课题组

课题主持人：李保根

课题组组长：常　奎

执　笔　人：王锦荣　赵修平