蓝小燕　秦昌盛　梁　干　杨雅淇　张艺千



互联网征信中个人信息权益保护探析

蓝小燕秦昌盛梁干杨雅淇张艺千

摘要：互联网征信快速发展的同时也对个人信息权益保护提出了新的挑战。关于互联网征信行业存在的问题，可运用实证分析法，结合案例和行业数据，从法律体系、征信系统、行业监管三个视角加以分析；在此基础上，可考虑通过健全法律体系、规范征信系统运行、完善行业协会监管等路径，寻求社会信用体系建设和个人信息权益的平衡与协调，进而实现社会信用体系建设的进一步突破创新。

关键词：互联网征信；信息权益；行业自律；社会信用体系

一、引言

20世纪90年代初期，中国人民银行开始推动金融信用领域征信，所谓征信，即对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动[1]。近年来，随着互联网技术的发展，我国的征信业务从线下传统金融领域向互联网领域延伸。有学者认为，互联网征信是以开放式的互联网为载体，利用大数据、云计算等新兴高科技，通过抓取、采集和整理个人以及企业在使用互联网时所留下的数据信息，同时辅以其他渠道获取的数据信息而进行信用评估与服务的活动[2]。随着2015年1月央行发布决定放开个人征信业务的通知，芝麻信用管理有限公司、腾讯征信有限公司等八家互联网征信公司获准开展个人征信业务，至此互联网征信正式纳入社会征信体系。

二、我国互联网征信行业的发展现状

(一)互联网征信蓬勃发展

为确保P2P融资平台信贷信息真实、保障投资者利益，上海资信有限公司首创网络金融征信系统，开互联网征信之先河。截至2016年2月29日，网络金融征信系统NFCS累计签约机构835家，累计报数机构345家。NFCS系统收录客户数共5270385人，有贷款记录的人数为1983342人，贷款账户累计总数为3323091笔,累计贷款金额1540亿元，累计成功入库数6644万条①。除央行和上海资信公司外，互联网个人征信市场也逐渐向民营征信机构开放。目前，芝麻信用管理公司已推出“芝麻信用”产品，依靠阿里巴巴和蚂蚁金服互联网金融平台，收集用户的网络购物、转账理财、信用卡还款、社交关系等方面信息，与之匹配到信用历史、行为偏好、履约能力、身份特质、人脉关系五个维度，从而评价用户的信用情况。最高人民法院与芝麻信用签署对失信被执行人信用惩戒合作备忘录，第三方商业征信机构首次得到最高人民法院官方授权，通过互联网联合惩戒失信者；拉卡拉集团依靠旗下“考拉征信”，利用其十年积累起来的便民、电商、金融及近亿级个人用户和百万线下商户日常经营的相关数据，形成相应信用报告。

(二)互联网征信发展中暗藏权利冲突

在互联网征信开展得如火如荼的背后，同时也隐藏着巨大风险。传统征信基于建设社会信用体系和保障公共利益的目的，主要依靠公权力开展；而信息权的设立初衷则是保护个人权益，属于私人权属范围。由于信用信息与个人隐私存在重合，征信的开展必然导致公权力与个人信息权益的冲突；在信息交流更加频繁、监管体制不够完善的互联网征信领域，这种冲突将愈演愈烈，其本质在于公权力与私权利、不同利益、效率与自由之间的博弈，在互联网征信中的各个环节都有所体现。一方面，个人信息保密权与征信机构征集信息主体的信息并制作个人信用报告存在冲突；另一方面，个人信息支配权与征信机构对征信信息的使用之间存在冲突。可以说，个人征信是在社会信用体系建设与个人信息权益保护两者的博弈中一路走来的。研究互联网征信中个人信息权益保护问题，即寻求社会信用体系建设与个人信息主体权益保护两者间的平衡与妥协。

三、互联网征信中存在的个人信息危机——以法律体系、系统运行、行业自律为视角

(一)法律体系不健全

针对传统征信领域我国虽出台了《征信业管理条例》(以下简称《条例》)、《征信机构管理办法》、《电信和互联网用户个人信息保护规定》等规范文件，部分地方政府也出台了地方性法规，但这些法规规章对个人信息权益的规定并不明确，司法实践各地存在诸多差异，应对互联网征信的配套措施也未能及时跟进。

首先，《条例》仅规定了征信业监督管理的框架，欠缺相关配套措施与具体规定。例如《条例》第十三条②规定了信息主体享有同意权，但对于信息主体的授权时间、授权方式均未明确规定，实践中信息主体相对于征信中心处于弱势地位，同意条款通常以格式条款的形式呈现给信息主体，使得同意权形同虚设。再如《条例》第十五条③提及的信息主体的知情权，虽规定了信息提供者有报送不良信息时的告知义务，但对于告知的方式、内容和期限等均缺乏统一标准。

其次，传统征信领域司法实践存在较大差异[3]，主要体现在侵权认定、举证责任分配以及责任承担三大方面。就侵权认定方面，笔者查阅大量涉及个人征信侵权案件的判决文书后发现，因信息主体过错导致的不良信用记录，征信中心与金融机构一般不承担侵权责任，但非因信息主体过错导致的不良信用记录，金融机构是否侵权则在差异化判决。如在“周雅芳诉中国银行股份限公司上海市分行名誉权纠纷案④”中，因被告上海分行未尽合理审查义务，导致原告周雅芳被第三人冒名申办信用卡，后该第三人逾期还款造成原告不良信用记录，上海市第一中级人民法院认为侵犯名誉权的损害后果应当是降低周雅芳社会评价，同时认定相对封闭的征信系不会随意传播信用记录，因此无损害后果，原告败诉。而在另一案件“王春生诉张开峰、江苏省南京工程高等职业学校、招商银行股份有限公司南京分行、招商银行股份有限公司信用卡中心侵权纠纷案⑤”中，原告被他人盗用、冒用自己姓名申办信用卡，他人透支消费后导致其产生不良信用纪录，最高法认为此种情形对当事人从事社会经济活动具有重大不良影响，使当事人产生精神痛苦，妨碍其内心安宁，降低其社会评价，构成侵权，判决中金融机构也承担20%的责任。两案同为公报案例，但因没有统一的认定征信机构侵权的构成要件，对不良信用记录是否会造成损害结果认识不清，导致了截然不同的判决结果。

最后，民营机构通过互联网渠道开展个人征信，给个人信息权益保护带来新的挑战。相对于传统征信机构，网络用户更容易被互联网征信机构的“格式条款”限制，且信息征集的范围也被扩大，几乎一切互联网行为记录都可能被征集。另外，开放互联网征信后，征信的数据安全、信息流通需要更高的技术保障，2014年中国人民银行发布《征信机构信息安全规范》行业标准的通知，但对并未纳入从事互联网征信的民营征信机构，该行业标准是否适用尚待考证。

(二)征信体系不健全

健全的征信体系是信用发挥作用的基石，但我国征信体系仍存在诸多困境。

一是互联网征信行业混乱，表现为两个方面：第一，征信主体混乱。《条例》虽明确规定:“征信机构是指依法设立、主要经营征信业务的机构。”但实际上互联网征信行业素质参差不齐，市场上从事互联网征信的机构呈现鱼龙混杂的现象；

二是信用评价方法不合理。互联网征信机构的信用评价方法还在不断完善的探寻过程中，尚未建成成熟完备的评价方法。互联网征信信息主体范围较小，影响有限，其覆盖范围仅局限于6.68亿网民的一部分。同时，互联网征信的后果也仅仅影响着互联网交易行为，而对线下行为影响有限。

三是互联网征信信息孤岛。一方面，行业间征信信息难以实现共享。征信信息作为赢利工具的大数据，主观上企业不愿意共享，客观上现有技术不足以支撑转移共享。另一方面，互联网征信机构与央行征信系统间难以实现共享。由于征信机构缺乏统一的征信模式和信息标准，信用信息呈现错综复杂、纷繁各异的特点，难以对接央行征信系统，征信体系仍处于封闭与分割的状态。

(三)征信监管不力

除了法律体系和征信系统不健全外，个人信息权益保护还面临征信监管不力的挑战。笔者认为，导致征信监管不力的原因主要有以下三个：一是监管主体单一。根据《条例》，中国人民银行及其派出机构依法对征信业进行监督管理，我国实行单一主体监管体制。由此可见，征信管理部门既是征信系统建设的监管者，同时又是征信系统的建设者及被监管者，既是裁判员又是运动员，这必然导致监管不力[4]。二是监管水平落后于互联网征信发展水平。基于互联网个人征信固有特点，不同于传统征信，因此适用于传统征信的监管方式无法顺利运用到互联网征信中。三是征信监管法律法规不完善，缺乏细致的办法、条例将监管职能具体化，仅就《条例》中的抽象性规定难以实现有效监管。由于征信是市场经济行为，征信问题的解决仅靠政府监管远远不够，也应当充分发挥市场调节的作用。

四、互联网征信个人信息保护的建议

(一)健全互联网征信法律体系

结合我国互联网个人征信的特点，兼顾信息权保护的需要，综合学界现有理论，首先应确定知情同意、限制收集、限制使用[5]和信息安全等基本原则，意即个人信息的收集利用必须取得知情同意且以必要为限，对于征集的个人信息必须保障数据安全。现行的法律法规已基本确立上述原则，但还需加快出台相关司法解释，将信息主体行使知情权、同意权的方式、内容具体化，将网络信息合理分类完善征集范围。其次，针对司法实践中的不同做法，应尽快出台司法解释或发布公报案例，确定互联网征信侵权案件的案由和归责原则，将举证责任分配与责任承担方式合理化规范化。从完善法律体系角度，还应出台《社会信用法》，弥补相关缺漏，除详细列明个人信息主体的权利义务以及侵权责任外，还应规定征信机构及相关公权力机关信息公开，协调征信过程中个人与社会的利益冲突，个人信息权在合理范围内让步于征信机构，征信机构也应更好保障信息安全。

(二)规范互联网征信系统运行

建立健全征信体系，主要从准入机制、技术层面、信息共享、人员管理几个方面入手。完善互联网征信机构的准入机制，在实操层面加强管理，规定从事互联网征信业务必须经行政部门审核批准，使互联网征信业在源头上得到严格管理，并积极借鉴国外先进技术，结合我国信用现状，提高信息评价方法的科学性、合理性；同时，统一信息评价标准，以建设社会信用体系为目标，统筹协调各行业信用信息的共享，权衡征信机构与社会的利益，对于互联网征信，由于其仍处于不成熟的萌芽期，强行纳入央行征信系统不具有可行性，应在条件成熟时再考虑纳入央行征信系统[6]。对于征信人员,应严格遵守征信从业资格，保障征信人员整体的素质水平，加强专业培训与法律教育，按照“最小权限原则[7]”赋予征信人员接触数据的权限，最大程度上降低征信风险。另外，还应完善民营机构与司法机关的信息共享机制，促进芝麻信用与最高人民法院同步失信被执行人数据的完善，便于第三方征信机构能及时掌握最新的失信被执行人数据，当即对其进行联合惩戒。另外，促进惩戒机制具体化，如限制失信被执行人申请贷款、融资、预定三星级以上宾馆、酒店、在互联网的奢侈品交易等高消费行为，全面限制和压缩失信被执行人生存空间，促进社会信用水平的提升，发挥征信的真正作用。

(三)加强互联网征信行业自律

加强征信监管关键是完善监管主体，构建以征信监督管理部门的公共监管为主、以行业协会等自律组织的社会监管为辅的监管体系。在现代法治国家，行业协会在社会监管中扮演着不可或缺的角色。因此，我国互联网征信业的监管应当更多依靠行业协会的力量。近期，由中国人民银行、银监会、证监会、保监会牵头组建的中国互联网金融协会正式挂牌成立，其职能为指导、监督中国互联网金融企业规范化发展。只有完善的个人征信系统才能最大限度地保障金融系统的安全发展，因此，中国互联网金融协会内部应当设立专门的征信监管机构，并在此基础上制定互联网征信行业规章等规范性文件、为会员提供行业指引、创设信息共享平台以及提供适当的争端解决机制。协会征信监管机构可以有效分享征信监督管理部门的监管权力，搭建一座政府与征信企业沟通的桥梁。(作者单位：西南政法大学经济法学院)

该论文是重庆市大学生创新训练项目《互联网金融领域个人征信制度法律问题研究》的部分科研成果。

注解：

①数据来源于上海资信有限公司官方微信公众号：《网络金融征信系统NFCS动态》http://mp.weixin.qq.com/s__biz=MzA3NzExMTEwNw==&mid=411692091&idx=1&sn=a86ae787191f75674fd615a67df1200d&3rd=MzA3MDU4NTYzMw==&scene=6#rd

②《征信业管理条例》第十三条:“采集个人信息应当经信息主体本人同意，未经本人同意不采集。但是，依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息，不作为个人信息。”

③《征信业管理条例》第十九条：“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的，应当在合同中作出足以引起信息主体注意的提示，并按照信息主体的要求作出明确说明。”

④《最高人民法院公报》2012年第9期(总第191期)。

⑤《最高人民法院公报》2008年第10期(总第144期)。

参考文献：

[1]王晓明.征信体系构建制度选择与发展路径[M].北京:中国金融出版社.2015.006

[2]李真.中国互联网征信发展与监管问题研究征信.[J].2015(7):9.

[3]张钱.个人征信侵权责任认定中存在的问题分析[J].法学论坛,2014(03):64.

[4]张雅婷.我国企业和个人征信系统发展探析[J].征信.2015(03):35-37.

[5]侯富强.大数据时代互联网个人信息危机与治理[J].中国特色社会主义研究,2015(07):41

[6]黄玺.互联网金融背景下我国征信业发展的思考[J]征信,2014(05):52

[7]侯富强.大数据时代互联网个人信息危机与治理[J].中国特色社会主义研究,2015(07):42-43

作者简介：蓝小燕(1994.4-)，女，广东省河源市人，就读于西南政法大学经济法学院。