個人信用信息商用的合理性標準研究

姚舒嶸

（中國人民銀行西安分行，陜西 西安 710075）

一、個人信用信息保護的發展情況

（一）個人信用信息的法律內涵

二十世紀90年代以來，為了積極服務消費金融等領域，我國征信業逐漸興起。2004年，《建設企業和個人征信體系總體方案專題報告》明確了中國征信業建設的目標，即形成覆蓋全國的信用信息服務網絡。2006 年3 月，人民銀行征信中心成立，對全國銀行信貸數據進行采集和整合，并對征信機構進行嚴格規范，逐步完善覆蓋全社會的征信體系。根據2021年《征信業務管理辦法》第三條規定，信用信息，是指依法采集，為金融等活動提供服務，用于識別判斷企業和個人信用狀況的基本信息、借貸信息、其他相關信息，以及基于前述信息形成的分析評價信息。在信貸規模持續擴張、互聯網金融迅速發展的背景下，個人信用信息的采集不再局限于金融機構的信貸信息。依法設立的、獨立于信用交易雙方的第三方市場化個人征信機構，如百行征信、樸道征信等，通過采集、整理、加工個人網絡信貸信息和非信貸數據，幫助沒有任何信貸記錄的用戶補充個人信用信息并享受金融服務。［1］

在大數據時代背景下，人們對于個人信息安全的重視程度日益增強。隨著征信業的不斷發展，個人信用信息的保護也越來越受到社會公眾的關注。以《一般數據保護條例》（GDPR）為代表的境外隱私法規引起了廣泛的關注，其提出了更加嚴格的適應現代化發展的數據保護要求。2021年8月，全國人大常委會審議通過了《個人信息保護法》，首次提出了“敏感個人信息”的處理規則和“個人信息跨境提供”的規則，這些規定與《一般數據保護條例》等法規相互呼應，為金融賬戶、信貸記錄、征信信息、交易消費記錄等特殊個人財產信息提供了有力的保護。

（二）個人信用信息中的權利保護

央行征信管理局數據顯示，截至2022 年底，央行征信系統共收錄11.6 億自然人、1 億戶企業和其他組織信息，2022 年全年，個人和企業信用報告日均查詢量分別達1143.2萬次和32.6萬次。當前，信用報告廣泛應用于金融機構的貸前審批、風險定價和貸后風險管理等環節。

個人信用信息涉及公民的基本民事權利，基于其可識別特定自然人身份的特點，常與民法中的人格權相關聯，如姓名權、隱私權、名譽權等。《民法典》第一千零三十四條明確規定了個人信息的保護規則，即自然人的個人信息受法律保護，個人信息中的私密信息，適用隱私權的相關規定，沒有規定的，適用個人信息保護的有關規定，即適用《數據安全法》《網絡安全法》《個人信息保護法》等特別法律規定。《個人信息保護法》第五十八條對提供重要互聯網平臺服務的個人信息處理者提出了“守門人”要求，即規定了個人信息處理者的特別保護義務，要求其健全個人信息保護合規制度體系，制定平臺規則，開展并接受各類外部監督。個人信用信息屬于個人信息的下位概念［2］，上述規定為個人信用信息保護提供了法律支撐，同時為合理有效利用個人信用信息指明了方向。

二、個人信用信息商用現狀及存在問題

（一）個人信用信息商用現狀

隨著互聯網的普及和大數據技術的成熟，個人信用信息的商業價值日益凸顯。用戶在阿里、京東、美團、滴滴等為代表的互聯網平臺上的消費、支付、社交、出行等活動產生的大量非結構化數據被進一步分析，成為傳統信貸信息之外判斷個人償債能力和意愿的重要依據。［3］2015年至今，阿里“芝麻信用”、京東“小白信用”、美團“信任分”等產品相繼推出，對企業金融類業務拓展提供了重要支撐，如小額借貸、信用免押等。同時，該類個人信用支付模式也逐漸覆蓋到更多的生活消費服務場景，如出行、住宿、商城和招聘等多個領域。2021年，為進一步規范征信業務，保護個人信用信息主體的合法權益，央行制定公布了《征信業務管理辦法》，對個人信用信息采集、整理、保存和加工等行為進行了嚴格規范。然而，個人信用信息的合理化商業使用仍缺乏明確標準。

（二）個人信用信息商用過程中的法律問題

隨著各種信用支付工具的普及，個人信用信息是否可以被商用的問題引起了廣泛關注。根據杭州互聯網法院發布的十大典型案例，數據只有流通利用起來才有價值，但必須保障數據安全和個人信息權利。因此，在商業使用個人信用信息的過程中，必須審慎考慮數據安全和個人信息權利的問題。

根據《征信業務管理辦法》相關規定，信息使用者應當建立并遵守信用協議，依照約定履行關于處理個人信用信息的義務。（2018）浙0192民初302號“徐某訴芝麻信用管理有限公司隱私權糾紛案”對個人信用信息商業使用的合法性進行了判定。案件中，原告徐某通過支付寶客戶端開通了“芝麻信用”服務，同時與芝麻信用管理有限公司簽訂了《芝麻信用服務協議》。隨后，原告收到了芝麻信用平臺發出的被執行案件信息。原告認為被告侵犯其隱私權，要求刪除其被執行案件信息，并賠償其個人征信損失5 萬元。當事人雙方就個人被執行案件信息的可公開性產生爭議，法院認為，被執行案件信息來源于某高級人民法院，屬于可公開內容，且被告提供的被執行人信息僅原告本人可以查閱，因此未侵犯原告的隱私權。這一案件明確了信息主體對國家機關依法向社會公眾公開的內容不享有隱私權，同時表明對于政府、法院等國家機關依法公開的個人信用信息可以進行合理化的商業使用。

從這個案例可以看出，企業商業使用個人信用信息的過程中，信用協議是保護數據安全的有力保障，但對于信用協議的具體規定內容未在法律上作明確劃分，即信用協議從合同的種類上看屬于無名合同，適用《民法典》合同編的一般規則，按照第四百七十條之規定訂立合同的主要條款。然而，當前無論是立法規定還是司法實踐上，均未對個人信用信息的具體類型作出細分，也未對個人信用信息處理者在制定格式條款時的注意義務作出特殊規定，這可能導致機構違規收集使用個人信用信息、未盡審慎義務進行授權等情況的發生。［4］個人信用信息作為敏感個人信息，其授權使用相較于普通的授權合同，具有更強的私密性。因此，在法律適用過程中，應當理出更加合理、清晰的保護規則，以確保個人信用信息得到更好的保護。

三、個人信用信息商用過程中信息處理者的合理性認定

（一）個人信用信息商用的基本原則

1.自愿原則。個人信用信息屬于《個人信息保護法》中的敏感個人信息，根據《個人信息保護法》關于“敏感個人信息的處理規則”的規定，商用個人信用信息應當采用要式合同，取得個人信用信息主體的單獨同意，并向個人信用信息主體告知處理該類信息的必要性以及對個人權益的影響，處理限制民事行為能力人的個人信用信息，應當取得監護人的同意。

2.公平原則。根據《征信業管理條例》第十九條和《民法典》第四百九十六條之規定，個人信用信息處理者采集、使用個人信用信息時，若通過格式合同約定服務內容的，應當首先遵循公平原則進行制定，對可能免除或者限制其責任的條款，應在格式合同中作出足以引起個人信用信息主體注意的提示，并根據個人信用信息主體要求進行明確說明。在個人信用信息商用的過程中，個人信用信息主體對個人信用信息應當享有充分的知情權、同意權和決定權，相關信息只能在約定范圍內進行處理，一旦出現泄露或者非法使用，個人信用信息處理者應當承擔相應的違約責任，若涉及刑事犯罪的，則應當由公權力機關追究其刑事責任。例如，《芝麻信用服務協議》中多次提及“您需特別關注和充分理解粗體字的內容”“您同意我們向第三方采集并在適用的法律法規許可的范圍內向信息使用者依法提供這些信息時，您已經充分理解并知曉該等信息被提供和使用的風險”等內容，均是起到對個人信用信息主體的知情權的保障作用。

因此，在個人信用信息商用過程中，應嚴格遵守自愿原則、公平原則，并依照相關法律法規，制定合理、透明的服務協議，保障個人信息主體的知情權、同意權和決定權，以保障個人信用信息的安全和個人信用信息主體的合法權益。

（二）個人信用信息處理者的注意義務

國際上，主流的個人征信模式包括美國的市場主導型、日本的行業協會主導型、歐盟國家的政府主導型，這些模式通常采取比較高額的權利濫用處罰標準，以此降低個人信用信息泄露、濫用等風險。［5］我國《個人信息保護法》針對違法處理個人信息的不同情況，設置了不同梯次的行政處罰。為避免個人信用信息被過度挖掘，個人信用信息處理者應當提高注意義務，通過約束自身的行為避免強制授權、過度索權和超范圍采集信息。對于個人信用信息保護而言，這種注意義務可以分為內部規范行為和外部約定行為：一方面，對機構（或企業）內部，應制定嚴格的內部管理制度和操作規程，建立健全合規制度體系，設置數據安全事件應急預案和教育培訓，并成立專門委員會等獨立機構開展監督；另一方面，對個人信用信息主體，應明確告知平臺規則，就平臺數據規范和數據保護義務達成合意，如數據分類管理方式、數據加密等安全措施、個人不良信息的使用、禁止采集的數據等。對于可能產生的不利后果，應當事先說明并取得個人信用信息主體的明確同意。

（三）個人信用信息商用的合理保障措施

1.嚴格履行“告知－同意”規則

根據《個人信息保護法》相關規定，個人信用信息的收集、處理必須遵循最小化原則，并基于明確、合理的目的，即信息處理者應當事先明確信息用途，以及采集該信息的必要性，以保障個人權益不受損害。除履行法定義務、約定義務以及基于公益目的、緊急情況以外，信息處理者應當在取得個人同意后才能使用個人信用信息。“告知－同意”規則是《個人信息保護法》所確立的數據保護核心規則。［6］個人信用信息商用的前提是自愿、合法，自愿理解為個人信用信息主體認為提供該信息符合自身利益，合法是指征信機構與個人信用信息主體訂立的服務協議或授權協議未違反法律、行政法規的強制性規定。同時，根據《民法典》第四百九十六條之規定，服務協議或授權協議的內容應當在當事人雙方權責充分表達、共同商定的基礎上進行確定，不得使用無提示性表達的制式合同來確定信息處理規則。

2.根據數據敏感度進行細分

《個人信用信息基礎數據庫管理暫行辦法》對個人信用信息的報送標準作了分類，包括金融、商業、社會類數據三個方面，其中，金融類數據包括銀行授信、證券交易、保險賠付等；商業類數據包括商業交易、履約情況等；社會類數據包括行政處罰、司法判決等。［7］然而，大數據時代背景下，互聯網信息平臺采集個人信用信息缺乏統一標準。可以對個人信用信息的處理進行以下簡要劃分：一是對法定公開的信息依法無需同意，如依法可收集的公開裁判文書、執行決定書等；二是對用于識別特定人的基本信息“概括性提示+同意”，如收集個人姓名、電話、身份證號碼等，應取得本人授權；三是對可能對個人社會信用評價產生一定不利影響的特定信息“告知特定目的+單獨同意”，如違約情況、理財情況、交易情況等；四是對可能對個人精神權利產生重大不利影響的特定信息禁止采集，如按照《征信業管理條例》及其他強制性規定所保護的宗教信仰、基因、指紋、血型、疾病、病史等特定敏感數據。

結論與展望

隨著互聯網時代的不斷發展，個人信用信息保護面臨了更為嚴峻的挑戰。特別是近期ChatGPT 等大數據平臺的涌現，更加強化了個人信用信息保護的必要性。2020 年，最高人民法院工作報告中明確指出，要嚴懲侵犯公民個人信息的犯罪，依法審理網絡信息平臺濫用個人征信數據案件。征信業相比其他行業的數據收集而言，數據敏感性更高，傳播范圍也更廣，因此對征信機構的注意義務提出了更高要求。然而，在商事領域中，個人信用信息的使用與征信系統的強制收集不同，是個人信用信息主體主動憑借信用換取利益的過程，因此應當充分考慮各方利益的表達。同時，鑒于歐盟對個人數據濫用的高額處罰，個人信用信息是否可以跨境流通，以及如何平衡不同國家立法間的跨境數據保護規則，是未來需要進一步研究的方向。