查看原文
其他

李爱君:个人征信信息法律规制研究|中国应用法学·专题策划

李爱君 中国应用法学 2023-10-15



✪ 李爱君‍

中国政法大学民商经济法学院教授、博士生导师,中国政法大学互联网金融法律研究院院长

【编者按】社会信用体系,已经发展成为国家治理体系和治理能力现代化的重要组成部分,对于实现中国式现代化具有重大意义。近年来,我国在推进社会信用体系建设方面,着力良多,成效显著。个人信用信息作为社会信用体系的核心组成部分,其规范发展的重要意义不言而喻。随着互联网时代的发展和数据技术的跃进,海量的个人信用数据得以被捕捉、利用,为社会信用体系建设和个人征信行业的发展带来了前所未有的机遇,同时也给个人信用信息保护与数据安全带来了巨大的风险。个人信用信息作为一种基础要素,从长远的角度来看,只有平衡个人信用信息的保护与利用,才能够推动我国社会信用体系建设圆满完成,并保障个人征信业的健康、有序、快速发展。鉴于此,《中国应用法学》特此组织“个人信用信息法律规制研究”专题,邀请专家学者与行业代表,就该问题的不同面相进行深入剖析。本期特此编发中国政法大学民商经济法学院李爱君教授撰写的《个人征信信息法律规制研究》,以飨读者。


*因篇幅限制,注释等有删减,如需引用请参见期刊原文。欢迎个人分享,媒体转载请联系本公众号。


个人征信信息法律规制研究


文|李爱君

(本文刊载于《中国应用法学》2023年第2期)

内容提要:我国高度重视信用体系构建,个人征信体系作为信用体系的重要组成部分,其构建完善始终是理论研究与实务探索中的重要议题。个人征信体系的构建以个人征信信息的高覆盖度采集与高效利用为基础,个人征信行业的发展则以个人征信信息的有效规制为前提。本文辨析征信中“信”的概念,明确个人征信信息的具体范围,并就其性质、属性进行界定,就个人征信信息规制中存在的立法位阶低、行业标准缺失、信息质量较低、个人信息保护不足、信息融合共享不足等问题进行了剖析,从完善立法、制定行业标准、推进机构信息治理机制构建、促进信息共享等方面提出了个人征信信息的法律规制路径。

关键词:信用  征信  个人征信信息  法律规制


文 章 目 录


引言

一、个人征信信息的界定

(一)个人征信的界定

(二)个人征信机构的外延

(三)个人征信信息的性质

(四)个人征信信息的属性

二、我国个人征信信息规制中存在的问题

(一)征信行业立法层级较低、体系化不足

(二)缺乏统一个人征信信息标准

(三)个人征信信息质量不高

(四)个人征信信息保护不足

(五)个人征信信息融合共享不足

三、完善个人征信信息规制的法律路径

(一)完善征信业立法

(二)建立统一的个人征信信息标准

(三)推进个人征信机构构建完善数据治理机制

(四)推进个人征信信息融合共享

(五)完善个人征信信息监管机制


▐  引  言


人无信不立,业无信不兴,国无信则衰。信用是现代市场经济发展的基石,信用体系的构建对于市场经济的健康快速发展具有重要意义。党中央、国务院对于我国信用体系的构建工作也始终保持高度重视,多次就其构建提出要求。2021年《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中指出,要健全社会信用体系,培育具有国际竞争力的企业征信机构和信用评级机构,加强征信监管,推动信用服务市场健康发展。2021年《要素市场化配置综合改革试点总体方案》提出,充分发挥征信平台和征信机构作用,建立公共信用信息同金融信息共享整合机制;《“十四五”数字经济发展规划》提出,加强征信建设,提升征信服务供给能力。党的二十大报告中在“加快构建新发展格局,着力推动高质量发展”章节中指出要深化要素市场化改革,建设高标准市场体系,完善社会信用等市场经济基础制度。个人征信作为信用体系的重要组成部分,其规范发展的重要意义不言自明。


随着互联网时代的发展和数据技术的跃进,海量的个人征信数据得以被捕捉、利用,为个人征信行业的发展带来了前所未有的机遇,同时也给个人信息保护与数据安全带来了巨大的风险。个人征信信息是个人征信行业发展的基础资源,从长远的角度来看,平衡个人征信信息的保护与利用,才能够保障个人征信业的健康、有序、快速发展。有鉴于此,个人征信信息的法律规制成了当前我国个人征信行业进一步市场化、法治化发展不得不面对的重要课题。本文就个人征信信息的边界、性质、属性等进行辨析,提出当前个人征信信息规制不足带来的问题,并从立法完善、标准制定、内部治理、信息共享推进等方面提出完善个人征信信息规制的路径。


▐  一、个人征信信息的界定


(一)个人征信的界定


1.信用与征信之“信”的概念辨析


从英文表达来看,信用即“Credit”,而征信的表达包括“Credit Reference”“Credit Checking”“Credit Investigation”“Credit Reporting”等,若据此,则征信中的“信”所指的即为信用。然“信用”一词在中文中,随其语境而具有不同的内涵。若要辨析征信之概念,尤其是征信之“信”是否等同于“信用”,则首先应当就信用的内涵进行明确。


(1)信用的内涵


信用者,赊贷交易之总称,经济学中的信用指的是一种建立在授信人对受信人偿付承诺的基础上,使后者无须支付现金就可以获取商品、服务和资金的能力。这一定义延伸至法学领域则表现为对自然人在经济方面能力的社会评价。如史尚宽先生认为,信用是民事主体经济方面综合能力的社会评价,实质上相当于民事主体的商誉,这一观点也与《中华人民共和国民法典》(以下简称《民法典》)的信用界定相一致。《民法典》中将信用与品德、声望、才能等社会评价并举列为名誉的内容,实际上是将信用与道德层面的含义相剥离,专指对民事主体经济相关能力的综合评价。


当前,在我国下至日常生活中的用语使用,上至政策法规、国家标准均对“信用”一词进行了扩张性的解释。在2008年发布的《信用基本术语》(GB/T 22117-2008)中,对于信用的定义为“建立在信任基础上,不用立即付款或担保就可获得资金、物资或服务的能力”,并注明了广义的信用指诚信原则在社会上的广泛应用。可以看到这一阶段的“信用”内涵还限定于经济领域。而在2018年发布的新《信用基本术语》(GB/T 22117-2018)中,则将信用的定义扩大化至“个人或组织履行承诺的意愿和能力”,并将其划分为经济领域的信用和社会领域的信用,其中经济领域的信用界定,与2008年标准的信用定义相一致。又如《社会信用体系建设规划纲要(2014-2020年)》中对于我国社会信用体系构建的规划主要包含政务诚信、商务诚信、社会诚信及司法公信,其中商务诚信建设涵盖了生产、流通、金融、税务、价格工程建设等领域的诚信建设。由此可见,当前从国家层面而言,“信用”的内涵不囿于经济活动中的能力与评价,而扩张至“诚信”的社会道德层面,亦有学者提出信用的概念和作用范围也不仅局限于经济领域,还扩展到社会伦理、道德、正义和法律制度等广泛领域,日常生活中的信任、信心、信誉等也是信用关系的外在表征。综上,信用一词的内涵受其语境之影响颇大,广义的信用包含经济与社会领域的履约意愿与能力,如“社会信用体系”中所言之“信用”;而狭义的信用限于经济领域。


(2)征信之“信”的内涵


征信之“信”未有制度层面的明确定义,可参照《征信业务管理办法》中对征信业务中的“信用信息”的界定加以理解。根据《征信业务管理办法》第3条的规定,依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于这些信息所形成的分析评价信息均纳入“信用信息”的范畴。据此,在征信业务中,我们所讨论的信用信息应当以“为金融等活动提供服务”为限定条件,即征信之“信”指的是受信主体在金融等活动中的信用,即其内涵应为狭义解释之下的、经济活动中的信用。


2.征信的概念


根据我国《征信业管理条例》第2条的规定,征信业务是指对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。2022年开始施行的《征信业务管理办法》中,依然沿用了这一表述,然而,此表述却未能对“征信”进行明确的界定。征信之“信”的内涵于前文已经明确,于此不再赘述。“征信”一词中的“征”是指对于相关信息“采集、整理、保存、加工”等行为,亦包含了对于征信信息证明和验证之意。同时,在实际开展的征信业务中,“向信息使用者提供”包含了出具信用报告、进行信用评估及接受信用信息咨询等业务内容。因此,本文将征信界定为对个人、企业、事业单位等组织的信用信息采集、整理、保存、加工,并据此就其信用情况进行调查验证,形成信用报告、进行信用评估和提供信用信息咨询的活动。


3.个人征信信息的界定


征信依照其信用信息采集对象和服务对象的不同,可划分为企业征信和个人征信。由征信的概念,可将个人征信界定为对个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。个人征信信息则是指依法采集,为金融等活动提供服务,用于识别判断个人信用状况的基本信息、借贷信息、其他相关信息,以及基于这些信息所形成的分析评价信息。其中基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息。借贷信息则是“指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等”。而其他信息的范围则无明确界定。2020年中国人民银行在“长三角征信一体化”工作推进现场交流会上曾明确提出利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动,需要纳入征信监管。替代数据是指在基本信息、借贷信息之外,通过数字技术可获取的、具备判断个人信用状况的数据。遵照数据的双层结构,替代数据即“替代信息”之载体层。据此,“其他信息”或可视为“替代信息”的另一表述,从实务角度来说包含定期费用缴纳信息、纳税信息、租金给付信息以及其他具有定时、定额支付特征的履约信息。分析评价信息包括征信机构基于对前述三类信息的收集、分析、处理,最终形成的个人征信报告、个人信用评级或评分结果,以及提供给受信人或相关第三方的信用信息咨询结果等。


(二)个人征信机构的外延


个人征信机构指开展个人征信业务、提供个人征信服务的机构,严格意义上来讲,其外延应仅涵盖取得个人征信业务经营许可的机构。在我国取得个人征信机构许可的机构仅百行征信和朴道征信两家。但随着《征信业务管理办法》的施行,本文所言之“个人征信机构”应就其外延进行适度的扩大。


根据《征信业务管理办法》第4条之规定,凡从事个人征信业务的,均需取得中国人民银行的个人征信机构许可。由此反推,则依法开展个人征信业务的机构均应为取得许可的个人征信机构。同时,《征信业务管理办法》第50条规定,以“信用信息服务”“信用服务”“信用评分”“信用评级”“信用修复”等名义对外实质提供征信服务的,适用本办法。这表明在《征信业务管理办法》施行后,凡提供实质性个人征信服务的机构均被纳入个人征信机构的外延,需在《征信业务管理办法》规定的18个月内完成合规整改。当前,整改缓冲期尚未结束,部分提供个人征信服务的机构尚未取得相应的营业许可,但从其性质而言,已被纳入个人征信机构的范畴。故而,本文中就“个人征信机构”的相关表述,其外延不仅限于已取得牌照的个人征信机构,亦包括实质上对外提供个人征信服务的机构。而此种扩大化的解释,仅适用于当前新规缓冲期的特殊情形。


(三)个人征信信息的性质


个人征信信息用于评价特定自然人在经济活动中的信用状况,故其必然具有“关联性”的特征,属于个人信息的范畴。又因个人征信信息的规制最终落脚于信息的保护与利用,故而还需明确个人征信信息是否在性质上属于敏感个人信息,以明确其收集、处理之规制标准。如前文所述,个人征信信息包含基本信息、借贷信息、其他信息(替代信息)及基于前述信息所形成的对个人信用的分析评价信息四个部分。


首先,个人征信信息中的基本信息,其性质为敏感个人信息。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第28条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,而个人征信中基本信息的内容如姓名、性别、国籍、职业、婚姻状况、收入情况、证件类信息、手机号码等均为与自然人主体最具关联性的信息,与其人格性权益息息相关,显然在性质上属于敏感个人信息。


其次,借贷信息的性质为敏感个人信息。根据《个人金融信息保护技术规范》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中对“个人金融信息”的界定,个人借贷信息属于个人金融信息。个人金融信息直接关系到自然人的财产权益,一旦泄露必将导致自然人的财产安全风险。因此,借贷信息的性质亦属于敏感个人信息。


再次,其他信息即替代信息的性质应视其具体内容而界定。尽管“其他信息”受限于“为金融等活动提供服务”和“用于识别判断信用状况”的目的限制条件,但其外延较为灵活与宽泛。基于当前实践中个人征信行业的信息分析范围,实际被应用于个人征信评估的信息包含了受信主体的部分行为信息及金融衍生信息,尽管这些信息在通过加工处理后能够辅助明确特定自然人的信用状况,但该信息本身却并不必然与该自然人的人格利益、人身利益乃至财产利益具有强相关性。其收集处理的价值仅在于提高最终的信用评估或判断的准确度。因此,在“其他信息”的外延无法明确的前提之下,无法就其是否为敏感个人信息作出判断,需取决于某项信息的具体内容。


最后,针对受信主体所作出的对其信用状况分析评价的信息,其性质亦属敏感个人信息。此类信息是经过分析、处理后的信息,其价值在于反映信息主体在经济领域的个人信用状况,会直接给受信主体的经济生活带来影响。此外,由于此类信息具有评价属性,一旦泄露或被非法使用则极易对受信人的人格尊严造成侵害。因此,个人征信评价信息属于敏感个人信息的范畴。


综上,个人征信信息中的基本信息、借贷信息及最终作出的信用评价信息的本质是个人敏感信息,经过分析、处理后能够对特定自然人的经济信用状况予以反映,而一旦泄露或者非法使用,则易导致自然人的人格尊严或者人身、财产权益受到侵害。而其他信息由于范围过于宽泛,需视其具体内容来界定其性质。


(四)个人征信信息的属性


对个人征信信息进行收集、分析和处理,以及对个人征信信息处理活动的规范,均要求就其属性进行明确。依照个人征信信息的性质,个人征信信息具有可识别性、人格权益属性、价值性及稀缺性等属性。


1.可识别性


可识别性指的是经由合理利用的方法而识别出特定自然人身份的可能性。鉴于个人征信信息的收集目标即指向对于特定自然人经济信用情况的识别与评价,故而能够指向特定自然人的身份是个人征信信息必然要求。因此,个人征信信息必然具有可识别性,且可识别性为个人征信信息的基础属性。


2.人格利益属性


人格利益是人格权的客体,包含了人基于生命、身体、健康等自然因素以及姓名、肖像、荣誉、自由等社会因素所享有的权益。个人信息本就蕴含着人格利益的表达,而个人征信信息不仅直接指向特定自然人,还是对于该自然人经济信用情况的评价,相较于一般的个人信息,与自然人的荣誉、自由等人格利益要素具有更加直接和紧密的关联性。故而,个人信用信息具有一定的人格利益属性。


3.价值性


个人征信信息服务于个人征信业务。个人征信业务产生于个人信贷市场中的信息不对称风险。于商业银行、贷款公司等放贷方而言,个人征信业务能够降低其服务成本,减小交易风险。于个人受信主体而言,个人征信业务也为其寻求更广泛的融资渠道提供了便利。由此可见,个人征信业务对于个人信贷市场的各方主体而言均具有重要意义。而个人征信信息作为个人征信业务的基础资源,自然是其产生收益、创造价值的关键。因此,个人征信信息的价值属性不言而喻。


4.稀缺性


从经济学上来讲,稀缺性具有两层含义,即绝对稀缺与相对稀缺。其中绝对稀缺是物质上的稀缺,指的是某种资源的总量是有限的;而相对稀缺则是指相对于需求而言的“不足”,而非数量上的多寡。人们的经济活动每分每秒都在进行,个人征信信息显然不可能具有绝对稀缺性。然而,相较于个人征信机构对于个人征信信息的需求以及当前个人信贷市场所需形成的高覆盖度、高准确度的个人征信体系而言,个人征信数据明显呈现稀缺性的属性。例如,世界规模最大、收录人数最多的征信系统——我国人民银行组建的全国金融信用信息基础数据库,截至2022年二季度末共收录11.4亿自然人和9689万户主体信息,百行征信、朴道征信分别覆盖4.96亿人、1.57亿人,从用户覆盖数量上来看已经具有非常庞大的体量。然而,个人征信系统的覆盖用户中仍有相当高比例的无信贷记录用户,此外还有数量巨大的长尾人群未被纳入征信系统。当前已被收集、利用的个人征信信息,显然仍无法满足我国的个人征信体系构建需求,因此,个人征信信息具有稀缺性。


▐  二、我国个人征信信息规制中存在的问题


我国个人征信业体系的起步相较于欧美等国较晚,2004年中国人民银行征信中心会同商业银行共同开始组织建设全国统一的个人征信系统,2006年该征信中心实现全国金融机构联网查询,数据涵盖个人账户开立信息、银行信贷信息、信用卡及公积金缴存信息等。2015年初,中国人民银行首次批准芝麻信用、腾讯征信、深圳前海征信、鹏元征信、中诚信征信、中智诚征信、拉卡拉信用、北京华道征信等8家征信机构开展个人征信业务准备工作。2018年和2020年,先后向百行征信与朴道征信发放个人征信牌照。


从其发展的总体情况来看,我国个人征信行业当前虽仍以政府主导为主要特征,但正在逐步向市场化的方向发展,在未来的一段时期内将以“政府+市场”的双驱动模式为主要态势。在个人征信行业的发展促进问题上,个人征信信息的规制问题始终是其核心与关键。互联网时代下个人征信信息的采集成本大大降低,其使用价值却不断攀升,由此,个人征信信息规制中暴露出的问题愈发不容忽视,亟待解决。


(一)征信行业立法层级较低、体系化不足


个人征信信息的法律规制包含两个层面的制度构建。一方面,依照个人征信信息的属性,包含个人信息领域的法律规制,以实现个人征信信息的保护,并就基于个人信息的收集、存储、处理、提供等行为进行基础规制;另一方面,依照个人征信信息的具体内容,包含征信行业的法律规制,以实现个人征信行业中的信息收集行为、信息处理行为以及信息提供服务的标准化、规范化开展。


当前,针对个人信息的保护,我国已形成初具体系化的顶层设计,不仅在《民法典》第111条中就个人信息受法律保护进行了明确,还出台了《个人信息保护法》,《中华人民共和国刑法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》(以下简称《数据安全法》)等立法中也均就个人信息的保护及规范利用进行了规定。针对具体特殊属性的信息如敏感个人信息,当前立法规定了更为严格的收集、使用标准,就特殊行业的信息,相关主管部门也出台了相对应的保护和规范利用文件。


相较之下,征信业的法律规制则暴露出了立法层级较低、体系化不足等问题。法律位阶涉及管辖区域与层级,决定了其所调整的社会关系的具体深度与相关法律权威,法规的体系化则决定了相关制度是否能够为相关主体提供稳定的行为预期,在具体实施层面是否具备指导性和可操作性。立法层级方面,我国征信行业的规范文件包括《个人信用信息基础数据库管理暂行办法》《征信业管理条例》《征信机构管理办法》《信用评级业管理暂行办法》《征信业务管理办法》等,其中以《征信业管理条例》层级最高,为行政法规,其他均为部门规章。从体系化层面,当前的各项法规、规章规范内容较为单薄,且对很多基础性概念未作出统一和明确规定。此外相关规范文件的发布时间相近、名称相似,是我国征信业制度体系构建中“打补丁”“碎片化”的体现。立法层面的不完备与国家政策对于征信体系构建的重视之间的矛盾,亦导致了相关权利义务边界缺乏依据和难成共识,使得个人征信信息规制不足,对征信行业的健康持续发展造成了制约。


综上,从顶层设计的层面而言,个人征信信息法律规制面临的首要问题是征信业相关法规的立法层级较低且缺乏体系化,难以在个人征信信息的各类相关活动中,有效实现引导、规范、监督和管理的作用。


(二)缺乏统一个人征信信息标准


一方面,个人征信信息的信息质量、处理流程直接决定了个人征信业务的准确度;另一方面,征信机构依法、依规获取和处理个人征信信息,保障自然人主体的个人信息权益不受侵害,是个人征信行业健康、规范发展的首要前提。在法规层面,随着《个人信息保护法》的出台,个人信息的处理行为已在很大程度上得到了规范,然而此种规范主要是以个人信息的保护为价值目标。2022年施行的《征信业务管理办法》对于信用信息处理行为,尤其是个人征信信息的处理行为进行了规范,除了遵循《个人信息保护法》的立法理念与基本原则,强调个人征信信息的保护之外,还就征信机构采集、获取、整理、加工信息的行为进行了规范。然而这些规范均为原则性表述,并不能为个人征信信息的收集、处理提供实践层面的行为标准。央行自2005年陆续发布了《个人信用信息基础数据库管理暂行办法》《征信数据元——数元设计与管理》《征信数据元——个人征信数据元》《征信数据元注册与管理办法》《金融信用信息基础数据库用户管理规范》《征信机构信息安全规范》等标准,但其中部分标准主要集中于信息收集范围、信息安全管理等方面,在信息质量管理、信息处理行为规范等方面参考内容不足;部分文件则主要针对央行征信中心的信息管理进行规范,对于个人征信机构的指引作用不足。行业统一标准的缺失使得征信机构所收集的个人征信信息质量不一、其信息处理算法的准确度不一,直接导致不同征信机构对同一自然人主体作出差异巨大的征信评估。一方面可能造成征信机构的良莠不齐,影响其征信服务的公信力;另一方面也可能会带来受信主体对征信机构反向选择所引发的道德风险,给个人征信行业的健康发展和个人征信业务市场的有序竞争带来不利影响。


(三)个人征信信息质量不高


当前,我国的个人征信信息主要集中于央行的征信系统和个人征信机构的信息库中,二者所存储的个人征信信息虽在范围和来源上有所区别,却同样存在着信息质量不高的问题。个人征信信息的质量直接决定了个人征信结果的准确性,因此信息质量的等级决定了个人征信行业的发展前景。


1.央行征信系统信息质量


央行征信系统中的个人征信信息以银行信贷信息为核心,还包括个人基本信息以及反映其信用状况的非金融负债信息、法院信息和政府部门公共信息等。2020年1月19日起,中国人民银行二代征信系统切换上线,调整了信息质量的考评方式和考评项目,在系统构架、数据采集管理模式、业务流程等多方面进行了优化,并逐步将非银信息接入系统,采集了16个部门的17类非银行信息,扩大了征信信息的接入范围。然而其个人征信信息在质量层面仍然有待提升。造成个人征信信息质量不足的原因主要包括:第一,央行征信系统对接的机构、部门众多,但各接入机构对于其内部系统信息的质量并无统一的管理标准。尤其是一些政府部门的接入亦不同于银行等金融机构需经过严格的接入审查,其信息系统可能存在着大量沉积信息未更新、录入操作及质量把控流程不规范等问题,对于央行征信系统中个人征信信息的整体质量造成了影响。第二,个人征信信息接入机构对于信息质量没有形成稳定的管理机制,仅在接入审查阶段和接入初期严格把控信息质量,而忽视了后续环节中对于个人征信信息质量的持续管理,致使征信系统中接入了大量低质量个人征信信息。第三,由于征信系统退出机制尚不完善,致使部分个人征信存量信息更新困难,出现不及时、不准确等问题。


2.个人征信机构信息质量


个人征信机构所收集的个人征信信息,其很大一部分是来源于网络信息。由于个人征信信息提供者往往并不具备银行等金融机构严密的验证系统、制度和流程,而互联网上的信息类型多样、体量巨大,其中许多信息甚至难以考证是否确由受信主体本人发起,此类信息的真实度和可信度存在很大问题。此外,个人征信机构及其信息提供者的信息质量管理体系构建并无统一标准,信息质量的把控情况良莠不齐,信息的时效性、准确度等难以考证,对于受信主体的异议及修正请求的验证、处理情况也无法把控。


(四)个人征信信息保护不足


“个人信息保护是征信业发展面临的核心问题。”随着互联网金融行业的发展及信息、数据技术的更新迭代,越来越多的个人征信信息能够被捕捉和利用,个人征信业务的覆盖面不断扩大,准确度也逐步提升。个人征信信息的经济价值,使得其面临被非法收集、过度收集、不当泄露、违法交易以及二次开发等问题。此外个人征信信息的数据化及征信系统、征信业务的网络化,也使得个人征信业务中所面临的个人信息泄露、隐私权遭侵害等风险加剧。


同时,传统征信系统的底层技术对于个人征信信息的保护较为薄弱,与当前我国对于个人信息保护的高度重视不符,给个人征信业的进一步发展带来了挑战。


1.个人征信信息收集边界模糊


根据个人信息采集的最小、必要原则,征信机构的个人信息收集应以服务个人信用风险评估为限度,不得过度采集。《征信业务管理办法》中虽然就信用信息进行了定义,但“为金融等活动提供服务”“其他相关信息”等表述过于模糊,致使信用信息的范畴难以准确界定。此外,由于许多个人征信信息的收集是依托于互联网平台及大数据技术,部分征信机构未经告知、未经风险提示即对个人征信信息进行了收集的情况亦时有发生。个人征信业务中自然人主体的信息仍然面临着被过度收集的风险。


2.个人征信信息处理行为监管不足


随着数据技术、金融科技的快速发展迭代,市场中大量数据服务商开始涉足征信业务,将其通过各种渠道收集的个人征信信息、分析处理后形成的信息分析产品提供给信贷机构,用以进行信贷风险分析、客户推荐等。根据《征信业务管理办法》的规定,以“信用信息服务”“信用服务”“信用评分”“信用评级”“信用修复”等名义对外实质提供征信服务的相关机构,同样适用《征信业务管理办法》,这意味着提供个人征信信息及信息服务的机构被纳入了征信业的监管范围。此举虽从规范的角度扩大了监管范围、完备了个人征信信息处理行为的监管,但其实监管效果却尚难评估。自《征信业务管理办法》施行至今已一年多,尚未出现新持牌的个人征信机构,若当前提供实质个人征信服务的机构未能在缓冲期内取得个人征信的营业许可,监管机构是否能够对无资质的机构行为实现令行禁止?亦有学者指出,《征信业务管理办法》仅扩大了监管范围而未针对各类机构的实际情况分别设置具体监管举措,此种“大一统”的监管方式过于严苛,反而在具体的实施中会出现更多的阻碍与问题。


3.个人征信信息损害救济困难


首先,技术手段的广泛运用使个人征信信息损害风险更为隐蔽。当前的技术环境下,个人征信机构往往运用自动化算法进行信息采集和处理工作。算法的应用为个人征信业务的开展提升了效率,同时也使得个人信息面临的风险更具隐蔽性和复杂性。第一,算法的自动化使得其运用过程中对个人信息的过度收集、篡改、泄露等情况难以被个人信息主体所察觉。第二,由于技术的复杂性,若其设计或运行之中存在漏洞或瑕疵,其技术性风险对于个人信息主体而言很难规避。第三,在技术处理之下,个人信息往往在瞬息之间即被加工为各类衍生数据,且其流转利用涉及多方主体,信息主体即便发现了个人信息受到侵害也很难进行举证和维权。


其次,根据我国当前的制度构建,一旦个人征信信息发生泄露、相关权益受到侵害,很难得到有效救济。当前我国对个人信息保护十分重视,但相关规范多集中于对违法违规行为的刑法及行政追责,民事层面的追责与救济则稍显不足。一旦自然人的个人征信信息泄露,实际上很难就其财产及非财产损失获得合理赔偿。


(五)个人征信信息融合共享不足


“信用信息共享是一国信用体系构建的核心,是降低信息不对称、遏制欺诈、营造诚信环境的重要手段。”完备的个人征信系统构建离不开个人征信信息的融合共享,但当前的个人征信信息融合共享仍存在极大的不足。从体量上看,我国已建成世界最大的个人征信体系;但从效能上看,距离满足新发展格局要求还有提升空间,这正是由于我国当前个人征信信息尚未充分实现互联互通与融合共享。个人征信信息融合共享不足的原因包括:第一,由于个人征信信息的特殊属性,其中包含了大量涉及个人隐私和关乎自然人人身、财产安全的敏感个人信息,极易在融合共享中产生个人信息和隐私泄露的风险,因而相关信息的控制主体对于其融合共享持谨慎态度。第二,由于尚未形成明确的个人征信信息采集标准,不同机构、部门所掌握的个人征信信息存在着质量不一、精细度不一的情况,这也给个人征信信息的融合共享带来了一定的成本和困难。第三,当前我国的长尾人群数量较大,个人征信信息采集所覆盖的人群范围尚不完全,从其体量来说尚不能满足当前我国个人征信行业的发展需求,个人征信信息的稀缺性和价值性使得部分掌握了较多信息的征信机构为了维持其自身利益和竞争优势,不愿将信息资源释出,给个人征信信息的共享融合造成了阻碍。


▐  三、完善个人征信信息规制的法律路径


(一)完善征信业立法


党的二十大报告指出,到2035年,我国要基本实现国家治理体系和治理能力现代化,全过程人民民主制度更加健全,基本建成法治国家、法治政府、法治社会。个人征信信息的法律规制有赖于个人征信行业的法治化,而个人征信行业的法治化首先应解决“有法可依”的问题。完善征信业立法应从形式和内容两个层面推进,在形式上体现为提高征信业立法位阶,在内容上体现为立法的体系化及具体规范内容的完备化。


1.提高征信业立法位阶


立法的层级越高,法规的权威度就越高,约束力就越强,实施效果就越能得到有效保障。如前所述,当前我国征信业的法规整体呈现位阶较低的特点,从规范力度及规范范围而言较为有限,此外作为征信业监管和司法判决的依据,其效力带来了执法、司法层面力度不足的问题,不利于对征信业活动的指导与惩戒。因此有必要顺应当前征信业发展的态势,梳理征信业中涌现的问题,将现有的行政法规、部门规章等进行整合,形成一部更具权威度的征信业法律。


2.增强征信业立法的体系化


征信业立法的体系化,既要求其自身的具体内容具有体系化,亦要求该立法应与我国现行的法律体系相衔接。就其内部体系化而言,法规的具体内容是司法实践及行政执法的直接依据,征信业立法的体系化是避免司法裁决不一致、执法力度差异化的基本要求。因此,在征信业立法中应避免再采取“细则”“暂行”“试行”等方式,而是通过法典化的路径,对当前零散的征信业法规进行梳理和规整,对核心概念和基本规范进行明确与统一,对征信信息收集管理制度、共享制度以及征信违法行为惩戒力度等要点问题的具体内容进行完善,形成系统化和整体化的立法。就其外部体系化而言,征信业立法应与现行《民法典》《个人信息保护法》《数据安全法》等法律法规做好衔接,在概念及制度构建方面保持一致性。


(二)建立统一的个人征信信息标准


个人征信信息的规制除了需要法律层面的顶层设计,还需就其收集、利用中的具体环节制定标准,既能够更好地规范个人征信信息相关行为,又能够为信息的融合共享奠定基础。央行征信中心已制定《个人信用信息基础数据库管理暂行办法》及一系列实施细则,但其制定时间较早且文件数量多、要点分散,主要集中于对征信中心信息系统的管理标准设计,与当前的个人征信信息体量与技术发展水平较难衔接。2014年央行《征信机构信息安全规范》是发布时间距今最近的征信信息规制标准文件,其中就征信机构安全管理、安全技术及业务运作三方面的内部信息安全管理制定了标准,然而该标准主要集中于信息安全保障层面,其中业务运作章节较为笼统,对于信息质量管理及具体的信息处理活动未给出参照标准。因此,应当充分结合当前个人征信行业的发展现状,由央行牵头统一制定更为完备、具体、精细的个人征信信息管理标准。标准应主要包含以下内容:


1.个人征信信息分类分级标准


个人征信信息分类分级标准的制定一方面应以个人征信业务的开展流程和需求为参照,另一方面应以个人征信信息的信息安全为价值取向。既不可为促进个人征信行业的发展而损害个人信息主体的合法权益,亦不可过度保护而形成个人征信信息的应用壁垒。具体而言,应以《数据安全法》《个人信息保护法》及《网络数据分类分级指引》等为参照,采取“正面分级+负面清单”的分类分级模式。“正面分级”是指根据个人征信信息的体量、精确度、时效性、关联性等因素对信息进行分级划分,根据信息的级别划分确定其采集、处理的限度、流程及风险注意事项。“负面清单”是严格参照相关法律法规的规定,将无授权、低价值、超出存储时限的个人征信信息纳入负面清单,排除在个人征信业务的信息处理范围之外。


2.个人征信信息质量标准


征信数据的全面性、准确性和及时性是征信系统权威性与平稳运行的关键。因此,只有提升个人征信信息的整体质量,加强个人征信系统的信息质量管理,才能构建起具备高精确度、高利用率的个人征信体系。提升个人征信信息质量首先要从其源头做起,即对于个人征信信息的收集环节进行把控。根据《征信业务管理办法》第9条、第17条的规定,征信机构应当对信息提供者的信息质量进行审查,同时应采取措施提高征信系统信息的准确性,保障信息质量。依照个人征信的业务实践,个人征信信息质量标准应具备以下评估标准:第一,是否获得个人信息主体授权和同意;第二,是否具有真实性和可验证性;第三,信息的实效性;第四,与个人信用情况判定的相关性;第五,信息的完整性。


3.个人征信信息收集标准


个人征信信息的收集标准制定应以保障个人征信信息主体的隐私权和知情权为核心原则,就信息收集的信息项目及收集方式进行明确。在个人征信信息的收集范围方面,应严格遵照《个人信息保护法》,明确可采集的信息范围,制定禁止采集的信息目录。同时以最小、必要的原则进行收集,在收集过程中判定收集客体是否为敏感个人信息,针对其不同性质区别制定采集限度和采集流程。在收集方式方面,除了对于个人同意原则的坚决履行,还应对个人征信信息采集所使用的技术手段的安全性、准确性制定标准,尤其注意对于自动化技术手段中是否以信息主体的“知悉”作为必要运作指令。


4.个人征信信息处理标准


个人征信信息处理标准的制定,旨在保障个人征信信息在形成信用分析结果的过程中具有安全性、准确性、及时性和公正性。安全性要求个人征信信息处理机制应当符合相应的技术安全标准,避免个人信息泄露等风险的发生。准确性要求个人征信信息的处理过程,不可对信息进行扭曲和篡改,其流程设计应当如实反映信息主体的信用状况。及时性要求个人征信机构的信息处理流程,应当设置合理时限,既不可为追求业务量而过分追求处理速度,亦不应过度复杂化和拖延处理进度,影响相关主体获取个人征信结果的时效。公正性要求个人征信信息处理的全流程,应当合法合规并设置有效的监督机制,确保信息处理流程的客观、科学。


(三)推进个人征信机构构建完善数据治理机制


个人征信机构数据治理机制的构建和完善是保障个人征信信息质量的要求,同时也是保障个人征信信息安全、提升个人征信服务质量、规范个人征信业务市场运作的必然要求。如果说构建统一的个人征信信息标准是从外部规范个人征信信息的相关活动,那么推进个人征信机构构建完善数据治理机制,则是从内部确保个人征信信息质量、提高个人征信信息处理效率、保护个人征信信息安全。依照《征信业务管理条例》及《征信业务管理办法》的框架式规定,个人征信机构应在内部机制层面构建个人征信信息治理制度,在个人征信信息收集、处理,个人征信信息质量管理,信息安全保障,相关业务人员的录用、培训等方面进行明确规范,为高质量的个人征信信息融通共享构建基础。


1.个人征信信息的收集、处理


征信机构内部的个人征信信息收集、处理机制应以国家的法律法规为依据,参照行业统一的个人征信信息收集标准和质量标准构建。在当前尚未形成统一标准的情况下,个人征信机构内部应当以符合国家法律法规为机制构建的最低原则,从信息收集范围、收集方式、处理流程、处理时效以及这些活动的内部风控管理等内容出发,以保障个人信息主体的隐私权、知情权为首要价值,以征信信息处理结果的准确性、公正性为最终目标,构建起稳定的个人征信信息收集、处理内部机制,使自身的个人信用情况评估活动及其他相关业务活动规范化、标准化。


2.个人征信信息质量评估及管理


个人征信机构应就本机构内部收集、产生的个人征信信息进行分类分级,分别制定质量评估方案,依照不同征信业务的具体场景和精确度需求,提取相应质量等级的信息进入征信服务和产品加工环节。此外,应制定长效的个人征信信息质量管理机制,对于超出利用时效的征信信息予以筛选或更新,对于信息主体提出异议的征信信息予以验证及修正。在个人征信行业形成、发布统一的个人征信信息质量标准后,参照该标准就本机构信息库内的数据予以梳理和更新。个人征信信息数据质量的管理乃是一项长期工作,信息的质量评级会随着其入库时长而发生变化,亦可能因制度、标准的变迁而改变。因此,个人征信信息的质量评估及管理方案须兼具稳定性与灵活性,方能为个人征信业务的高效、高质开展提供优质的信息资源。


3.个人征信信息安全保障


应针对个人征信信息的特殊属性,建立信息安全管理体制,对个人征信业务的整体流程进行监控,对于可能发生个人征信信息泄露的关键环节应定期开展信息安全风险排查,设置数据安全风险预警系统,充分利用技术手段防范个人征信信息安全风险。此外应明确各业务环节的个人征信信息安全责任人,制定归责追责机制,一旦出现个人信息泄露等安全问题,对相应的责任人进行追责。


4.业务人员的录用和培训


第一,为确保内部个人征信信息治理制度的切实实施,应当在相关业务人员选聘时即选择具有相关资质或业务经验的人员负责信息治理相关岗位的工作,必要时通过专业知识考试选拔等方式进行人员筛选。第二,因个人征信领域的政策法规及个人信息保护领域的法规仍在不断地更新完善之中,且信息技术的发展也呈现快速发展之势,应定期对个人征信信息治理相关业务人员开展培训,对其进行专业知识、技能的教育培训。第三,应加强相关岗位业务人员的风险意识,使其充分认识到个人征信信息治理的重要意义及个人征信信息相关活动违法违规可能产生的不利后果和法律责任。


(四)推进个人征信信息融合共享


个人征信信息的充分融合共享,对于提高个人征信信息利用效率、最大限度激发信息价值、精确个人征信评价具有至关重要的作用。“征信的本质是实现信息分享,全面反映信息主体的信用状况”,个人征信信息的融合共享有助于我国个人征信体系的构建,一方面提高个人征信业务覆盖范围,另一方面也为更多的金融机构提供准确的个人征信信息服务。推进个人征信信息的融合共享,首先,应明确划分个人征信信息融合共享中的权责,设置容错机制,避免政务部门、相关机构因过度惧怕可能产生的个人信息泄露风险追责而拒绝共享信息。其次,应设置适当的激励机制,鼓励个人征信信息融合共享。对于政务部门,可将个人征信信息的融合共享工作作为其工作考核评估的指标之一,通过信息质量、信息覆盖率等细化指标的设置,既推进了相关部门信息共享的积极性,也为其信息质量管理提供了动力。对于市场中的各类机构主体,可参照美国的个人征信运行模式,依照机构上报至共享平台的符合质量标准的信息体量为参照,向其赋予相应的信息查询权限,以此激发机构主体的数据融合共享意愿。最后,可通过区块链技术中的联盟链架构方式构建个人征信信息的共享平台,优化个人信用信息融合共享机制。联盟链去中心化的结构能够打破各信息控制主体之间的壁垒,促进信息流通;其不可篡改的特征可确保共享信息的真实性;此外点对点的信息传输方式更有利于防范个人信息泄露风险的发生。


(五)完善个人征信信息监管机制


个人征信信息规制的各个环节,无论是相关立法的落地、标准的制定、个人征信机构内部管理体制的完善,还是信息共享的推进,均离不开监管机构的推动及监督管理。因此,还应进一步完善我国个人征信信息监管机制,优化监管协调体系,提升监管科技水平、改进监管模式与手段,实现个人征信信息的高质、高效规制。


第一,提升监管科技水平。当前个人征信行业所开展的各项信息活动,从信息采集到征信结果的披露、查询,均与互联网环节和数据技术密不可分。个人征信信息处理业务中科技含量的不断提升,要求监管机构探寻更有力的监管路径。因此,监管机构应根据个人征信行业的发展现状与趋势和个人征信信息的规制需求,探索标准化、自动化信息处理与监管系统建设,扩大监管科技投入,提升个人征信信息在线监管水平。


第二,优化监管协调体系。《征信业管理条例》中明确规定中国人民银行为征信业的监督管理机构。《个人信息保护法》中则将国家网信部门确立为个人信息保护的监管主体。个人征信信息既涉及征信业的业务开展,同时也属于个人信息中需重点保护的类别,其相关活动监管应当在两部门的沟通协调下共同开展。需就个人征信信息监管构建权责清晰的监管协调体系,避免监管漏洞或重复监管。






编辑:杨   奕

排版:覃宇轩


往期回顾
REVIEW

目录|《中国应用法学》2023年第2期

徐建刚:《民法典》第1032条(隐私权)评注

姜 伟 曹吴清:反腐败追逃追赃国际合作的若干问题




中国应用法学

《中国应用法学》是国内专注法律应用和审判理论研究的学术期刊,由最高人民法院主管,中国应用法学研究所主办,2021年入选CSSCI来源期刊扩展版目录,2022年入选中国人文社会科学核心期刊目录。办刊宗旨为:对司法实践问题及司法体制改革进行深入探讨,反映司法实务的最新动态和研究方向。围绕司法实践中的前沿问题,聚焦与司法应用有关的、社会性的、实证性的和冲突性的研究成果,立足高端、关注热点、把握前瞻、彰显权威、引领变革,努力打造理论法学成果向应用法学成果转化的高端研究平台。主要栏目包括:"习近平法治思想研究"“高端论坛”“本期特稿”“权威解读”“专题策划”“法学专论”“涉外法治研究”“法律评注”等。


《中国应用法学》投稿网站:

https://zyyf.cbpt.cnki.net/

《中国应用法学》订阅邮箱及二维码:

zgyyfx_issue@163.com

刊号:CN10-1459/D.

订刊电话:010-67555935/13204279637

订刊传真:010-67107848(刘老师)


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存