刘 维

(上海交通大学 凯原法学院，上海 200030)

我国信用联合奖惩机制备受国内外关注，其中，行政权力的运行边界及对收集使用信用信息的约束是最为学者关注的两大问题。国内有代表性观点认为，社会信用体系存在有效性边界，更存在致命的合法性问题[1]。国外有观点认为，无处不在的监控、日益成熟的大数据技术、高度渗入市场的政府，以及政府与大公司之间的信息合作，毫无限制地收集、转移个人信息，对个人的评价只是体现为一个“信用数值”，个人据此享受相应的优惠或劣等待遇，由此产生的“法外之地”将成为一套替代性的法律体系[2]。

本文关注的是使用机构基于何种合法性基础收集信用信息并基于何种规则使用信用信息，不涉及信用联合奖惩行政权力性质的研究。我国现行法对本文关注的问题缺乏明确规定，学术界对相关法理的研究亦付之阙如。我国《民法典》第1030条规定：民事主体与征信机构等信用信息处理者之间的关系，适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。这条规定，一方面厘清了个人信息与信用信息之间的关系，另一方面为社会信用立法和个人信息保护立法留下了空白，提出了规范的要求。我国理论界对个人信息自决权存在认识上的误区，导致信用信息的收集机制僵化；且由于信用信息的使用规则不完善，导致征信使用泛化，公共权力渗透到市场领域，形成了“一处失信、处处受限”的错误观念，实践中的问题凸显。

本文第一部分在界定信用信息属性的基础上，介绍了信用信息的基本类型，旨在为本文的分析提供基本的分析工具和分析框架。第二部分梳理我国信用信息收集和使用的现行规则，指出了当前信用信息收集和使用中存在的主要问题，即同意机制僵化和征信使用泛化。第三部分研究收集信用信息的合法性基础及最佳的制度安排。这部分通过对退出机制和同意机制两种不同机制展开功能和体系上的比较，发现两者在信用场景中呈现融合趋势，进而给出了相关制度建议。第四部分研究信用信息的使用规则，认为应当根据不同类型的使用机构、不同使用行为的法理基础建立差异化的使用规则，强化目的限定原则(1)《个人信息保护法(草案)》第6条规定：处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理。的指引功能。

一、信用信息的属性和类型

明确信用信息的属性和类型，是规制信用信息收集和使用行为的基础，可依此确定规制信用信息收集和使用行为的法律，应区分不同类型的信用信息和不同的使用场景以便讨论不同的规则。

信用信息是一种体现信用主体信用状况的信息(2)《上海市社会信用条例》第2条第2款规定：本条例所称社会信用信息是指可用以识别、分析、判断信息主体守法、履约状况的客观数据和资料；《河北省社会信用信息条例》第3条规定：本条例所称社会信用信息是指可用以识别、分析、判断具有完全民事行为能力的自然人、法人和非法人组织(以下简称信用主体)遵守法律、法规和规章，履行法定义务或者约定义务状况的客观数据和资料。。首先，信用信息具有识别性，是能够识别特定主体的信息，这就决定了其法律适用的依据。我国《征信业管理条例》和各省市的信用立法均以识别性作为信用信息的特征。一些没有针对信用信息进行特别立法的国家或地区，以《个人信息保护法》或特定行业中的个人信息法作为规制信用信息的法律(3)如，《德国信息保护法》规定了信用信息收集处理的特别条款；美国没有综合性的个人信息保护法，但在各行业中存在相关法案。，我国《民法典》第1030条也做了相同处理。其次，信用信息具有场景属性，其承载着特定主体的信用状况，需要区分不同场景设定差异化的规则。一则信息在不同的场景中具有不同的属性，只有被用于评价用户信用状况时才具有信用属性。比如用户向银行贷款，一旦银行同意贷款则产生了该用户的贷款信息，只有该信息被用于评估用户履约能力时，才具有信用属性；如果被用于婚恋场景，则只是体现信用主体的资产能力，不具有信用属性。

公共领域和市场领域及公共机构和市场主体，是界定信用信息使用场景及相关规则的基本分析框架。信息的场景理论认为，不同场景决定了不同信息的收集和使用规则，因此，需要根据具体场景来判断信息的收集和使用是否恰当，而不是笼统地进行肯定或否定。“当某种个人信息被分享了，其实我们并不介意信息本身被分享了，而是说以错误的、不合适的方式被分享了。”[3]143产生和使用信用信息的领域不同，处理信用信息的主体不同，信用信息治理的功能就会不同，不同信用信息具有的风险指标也会不同。通常认为，基于公共利益和信息隐私利益、行政法定和市场自治的基本区分，公共信用和市场信用是信用信息的基本分类[3]90，公共信用信息是指国家机关以及法律法规授权的具有管理公共事务职能的组织等信息提供单位依照法律规定，在履行职责或提供社会公共服务过程中所产生的反映主体信用状况的信息；市场信用信息是指企业事业单位等信息提供单位依照法律规定，在生产经营活动中所产生的反映主体信用状况的信用信息(4)我国实践中基本采纳这种分类，如：《征信业管理条例》第2条第2款和第3款规定根据企业、金融机构、国家机关等不同主体的类型进行分类；《上海市社会信用条例》第8条规定本条例所称社会信用信息分为公共信用信息和市场信用信息。。

二、信用信息收集和使用规则存在的主要问题

我国法律法规有关信用信息的收集规定以信息主体的同意为原则，但在信用信息的应用阶段却存在突破同意机制的冲动，从而产生了诸多现实问题。

(一)同意机制僵化

我国关于公共信用的信息收集缺乏专门的规范。鉴于公共信用与政府信息之间存在一定程度的交叠，《政府信息公开条例》能够规范部分公共信用的信息收集(5)2020年7月22日，国家发展改革委、人民银行发布《关于进一步规范公共信用信息纳入范围、失信惩戒和信用修复构建诚信建设长效机制的指导意见(征求意见稿)》第三(五)条规定：公共信用信息的认定部门应当按照政府信息公开或其他有关规定，在本部门、本级政府门户网站或其他指定的网站公开相关信息。。《政府信息公开条例》以信息公开为原则，以不公开为例外。这表明对于落在政府信息范畴内的公共信用信息，应当编制成目录进行公示并原则上可以被收集。但对于政府信息范畴以外的信用信息，收集规则不明确，原则上都应受制于信用主体的信息自决权。

当前，我国市场信用信息收集机制僵化。个人信息保护立法和实践均以个人信息自决为理论基础(6)我国学术界主流观点认为要对个人信息主体进行赋权，立法也基本吸收了个人信息控制理论，赋予信息主体对其信息流转的同意权。，以信息主体的同意为原则，“个人可以决定向谁告知哪些和他相关的信息，哪些可以隐瞒”[4]。依照《征信业管理条例》的规定(7)《征信业管理条例》第20条规定：信息使用者应当按照与个人信息主体约定的用途使用个人信息，不得用作约定以外的用途，不得未经个人信息主体同意向第三方提供。，收集和使用市场信用信息需要遵循用户同意原则，信息主体拥有控制权。如果市场主体之间要相互推送、共享市场信用信息，则必须向信息主体明确告知信息收集使用的目的、方式和范围，并经信息主体同意。我国法律和其他规范没有在同意机制以外规定收集和使用信用信息的情形(8)《信息安全技术个人信息安全规范》第5.6条征得授权同意的例外条款中规定了11种情形，不包含为信用治理目的而收集信息的情形。。

个人信息控制理论的抽象性和静态性忽视了个人信息的其他道德及公共价值，难以适应多样化和复杂化的信息收集使用场景，也“难以就如何回应驱动新型信息实践的价值挑战提出足够的指引”[3]158。这就导致了个人信息控制理论备受质疑。用户同意原则容易导致信用信息收集使用的僵局，无法满足风险防控的现实需求。没有用户愿意信用服务机构和使用机构收集其负面信用信息(9)负面信用信息是指体现信息主体负面信用状况的信息。《征信业管理条例》第44条第3款罗列了负面信用信息的种类，包括：信息主体在借贷、赊购等活动中未按照合同履行义务的信息，对信息主体的行政处罚信息，人民法院判决或者裁定信息主体履行义务或被强制执行的信息，以及国务院征信业监督管理部门规定的其他不良信息。并进而对其联合惩戒，因此一旦用户拒绝，那么信用服务机构便无法收集市场信用信息。虽然可以通过信用服务的购买使用协议取得用户授权，但是如果用户不同意可能就得不到信用服务，或者得不到等值等量的信用服务，因此这样的授权显然流于形式，而且还容易导致用户以为信用服务机构通过强制授权或捆绑授权的方式侵害其权益。例如银行授信的情形，如果用户不授权银行查询征信中心的数据则用户不能贷款，用户虽然表面上有授权但实际上是没有选择的结果。

(二)征信使用泛化

针对信用信息的使用，我国在法律层面缺乏专门立法予以规制。《民法典》第1035条规定应当经过信用主体的同意才能处理个人信息，但将信用信息的使用规则交给社会信用立法或个人信息保护立法去处理。然而，实践中的做法却走在了立法规定之前。

各机构对公共信用信息的共享和使用在实践中几乎不受约束。一些政策文件明确规定行政主体可以将公共信用信息与市场主体共享，如国家知识产权局2019年发布的《专利领域严重失信联合惩戒对象名单管理办法(试行)》第20条规定：国家知识产权局可依申请将严重失信主体联合惩戒对象名单推送给相关行业协会、专业服务机构、平台型企业等，实施社会共治。这种规定只是当前行政机构共享和使用信用信息的一个“缩影”。

行政主体之间对公共信用信息可以任意共享，行政主体对市场信用信息的使用也不受约束。我国政策上鼓励“一口采集、充分共享”(10)国家发展改革委、人民银行发布的《关于进一步规范公共信用信息纳入范围、失信惩戒和信用修复构建诚信建设长效机制的指导意见(征求意见稿)》第三(三)条。，并且要“形成行政性、市场性和行业性等惩戒措施多管齐下，社会力量广泛参与的失信联合惩戒大格局”(11)参见《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》第10条。，即所谓“一处失信、处处受限，一时失信、长期受限”。

由于信用信息使用边界不清，有些地方政府对信用联合惩戒制度的执行存在误解，出台的规范性文件又对信用信息的不当使用推波助澜，导致了征信使用泛化。实践中，行政主体通过分析信用主体的信用情况，不仅可以在本系统内限制信用主体获取公共资源，还可以将信用信息推送给其他行政主体，从而借信用联合奖惩机制将行政权力渗透到市场领域，或者使信用主体的违法行为受到双重或多重评价。

三、信用信息收集规则的完善

信用信息收集规则的完善，有赖于正确理解个人信息控制理论，正确理解信息收集的不同机制在信用场景中的使用异同，从而发现其内在的制度逻辑。

(一)信息主体行使信息自决权的限制

现代社会中的个人信息承载着多重利益，不仅仅体现为私人利益(私人的人格利益和财产利益)，还承载着其他信息控制者的利益(如平台利益)，以及公共利益，即所谓的“个人隐私具有普遍价值(common value)、公共价值(public value)和集体价值(collective value)”[5]。对个人信息利用的调整不应当只考虑保护信息主体的私人利益，还应当尊重信息控制者的利益和公共利益，如“为实现公共利益所必要时，个人又必须让渡个人信息上的部分或全部权利，以保障公共利益的实现”[6]。

在用户同意规则之外设定收集个人信息的合法事由，是信息隐私保护在现代风险社会和新技术时代的重要命题。“技术和社会改变了时代及信息使用的方式，诞生于政治范畴的隐私概念——个体对个人信息披露和使用的控制——已经逐渐失去其卓越地位。”[7]17信息场景理论认为，应更多地反思信息作为公共和私人产品的隐私性质；有必要以一种场景型和关系型的方式来理解隐私保护[7]24，强调具体场景分析的功能和实践。美国信息隐私法针对金融、商业、劳动、医疗、教育、媒体、政府等不同行业进行相关立法，体现了尊重信息隐私的场景属性。“当我们进入信息隐私法领域时，很容易忘记信息这个概念总是基于场景的，具体场景是适用的条件，也是某一主体从事某种行为的具体背景，每一种场景都有各自独立的规范信息流通的规则。”[3]141美国学者认为信息主体对其个人信息不拥有控制权，“信息主体是否控制信息取决于具体场景、信息类型、信息主体、发送者和接收者”[3]148。这种观念与根深蒂固的信息控制观念截然不同，对信息流动持更宽容的立场，“如果仅仅因为违反了既有的信息流动规范，就简单地判断其违法，这可能产生道德问题，同样无条件地接受其流动也会产生问题”[3]205。

信息场景理论因具有合理性而被广泛认可。信用信息的收集是一种特殊的场景，需要根据收集的目的、信用信息的不同类型等具体情况分析收集信用信息的合法性基础，比较法上有退出机制和同意机制两种模式可供参考。

(二)退出机制与同意机制的外在区分

美国和德国的信用体系高度发达，尽管两国没有统一的《社会信用法》或类似信用联合惩戒的法律，但是它们或者在特定行业中制定了收集信用信息的法律如《美国公平信用报告法》，或者在个人信息保护法中有针对信用信息的规定，如《德国信息保护法》的有关规定。总体来说，两国没有赋予信用信息主体对其个人信息的绝对控制权，它们或者出于防范特定场景下安全风险的目的而采取了不经信用信息主体同意的机制即用户退出机制，或者明确了不经信用信息主体同意的法定例外规则即“用户同意+例外”规则。

1.用户退出机制及使用场景的限定

信用服务机构提供的信用报告在美国发挥着重要作用，其记载着用户的消费和其他信用记录，商家可基于特定需要获取该信用报告，不需要经过用户的同意。比如，银行为了确定是否同意申请人的贷款请求以及以何种利率发放贷款，可向信用服务机构申请查询贷款人的信用报告，这些信用报告包含金融信息，如破产申请、判决和抵押、抵押赎回、支票账户等信息[8]。需要注意的是，商家并非在所有情形下都可查询和获取信用报告，信用服务机构需要有合理的理由相信商家具有特定商业用途的目的，比如信用交易、保险承担等，为此必须建立事先询问机制，以确保信用报告用途的正当性。美国案例法要求必须在法规列举的情形中严格解释“合法商业目的”，以防止使用机构超出用途范围获取信用报告。

2.用户同意机制及例外事由

在德国，尽管信用信息主体实际上并不具体阅读合同中的授权条款，但信息主体的同意是信用服务机构和商家收集信用信息的基本原则，《德国信息保护法》没有对此设定例外情形。为“信用报告和信用分值计算”的目的处理个人信息，是该法第31条规定的特别情形，但该条没有为信用场景规定同意机制的例外(12)《德国信息保护法》第31条第1款规定，为决定是否成立、履行或终止与自然人之间的合同关系，只有在如下情形才能使用自然人的信用分值：第一，遵循了信息保护法的条款规定；第二，用于计算信用分值的信息是用于判断自然人将来行为所必要，这种判断乃基于科学上认可的数学统计程序；第三，用于计算信用分值的地址信息和其他信息；第四，如果使用了地址信息，应当在使用这些信息之前通知信息主体，这种通知应当以文件的形式进行。。该法第30条规定了消费信贷的特别情形，其核心在于通知用户，但其适用范围有限，不能扩大到信用服务机构和商家收集信用信息的所有场景(13)《德国信息保护法》第30条规定：第一，任何机构为转移目的商业性收集、存储或者修改可用于评价消费者的信用状况个人信息时，都应该以对待本国贷款人信息请求一样的方式对待其他成员国贷款人的信息请求；第二，任何人因上款提及的机构提供的信息而拒绝订立消费者信贷合同或有关消费者付款的金融支持的合同时，都应当立即将这种拒绝结果及收到的信息通知消费者。如果这样做会危及公共安全或秩序，就不应做出这种通知。。有学者溯源征信机构的兴起和信用市场发展的历史，认为信用报告的使用和征信机构的设立目的是为了降低系统性风险，防止产生过多的消费者债务以及避免银行、金融机构被欺诈[9]62-90。因此，基于这种公共利益背景，银行等主体只有在涉及负面信用信息时才具有《欧盟通用数据保护条例》(14)《欧盟通用数据保护条例》第6(1)(b)条规定，信息处理行为在如下情形是合法的：为履行信息主体作为当事人的合同所必要或者基于信息主体在订立合同之前发出的请求而采取措施；《欧盟通用数据保护条例》第6(1)(f)条规定，为信息控制者或第三方追求的合法利益所必须，除非更需尊重信息主体保护个人信息的基本权利，尤其当该信息主体为小孩时。和《德国信息保护法》(15)《德国信息保护法》Part 2(第二部分)就是执行《欧盟通用数据保护条例》有关规定的，多基于公共利益及其他合法利益对个人信息自决权进行限制。所规定的合法利益，不需经过信用信息主体的同意即可进行信用信息的收集[9]147-148。

(三)退出机制与同意机制的内在融合

退出机制和同意机制并非两个极端，通过各种限制或例外的配套制度，两者处于相互融合的趋势。

一方面，美国法通过限定收集信用信息的用途，以及事先查询核验和通知用户机制以避免退出机制被滥用，使退出机制的应用范围受到限制。从《美国公平信用报告法》多次修订的历史来看，立法者为了避免将退出机制扩大到其他场景，多次缩小所谓的“合法商业目的”的使用场景(16)比如，美国信用报告原本只是使用于金融服务领域或政府中的安全敏感岗位，后来逐渐扩大到经济生活的其他领域并对消费者造成了越来越多的问题。《美国公平信用报告法》1998年的修订文本明确要求，如果没有消费者的明确书面同意则不得将信用报告用于雇佣目的。，司法实践中对例外情形的解释也趋于严格。另一方面，德国法允许法定情形以及法院在裁判过程中进行利益平衡，使同意机制具有灵活的例外情形，以限制个人信息自决权。首先，《德国信息保护法》明确规定在消费信贷领域和处理负面信用信息时可不经用户同意收集信息。其次，根据德国联邦最高法院的阐述，个人信息自决权是一种与信息有关的财产权，它受制于更高位阶的公共利益[9]145，法院可以在具体案件中做出利益衡量，这就有可能为了言论自由、公共卫生、信用风险等公共利益而让渡个人信息隐私利益。

这些做法缩小了信用场景中同意机制与退出机制间的差距。因此，虽然两种机制的出发点分别处于“一条直线的两个端点”，但实际运行却呈现出相互融合的趋势，以不同的呈现方式限制着个人信息自决权。为了提高信用信息的利用效率和价值，克服信用信息主体同意机制的弊端，以及提升规则适用的确定性，应当建立信用信息主体退出机制，将限定使用用途、事先核验机制以及保障用户知情权作为配套制度，以确保信用信息主体权利的实现，并与信用信息的使用规则相互衔接。

四、信用信息使用规则的完善

信用信息的收集和使用制度既相互独立又彼此关联。信用信息的收集目的通常决定信息使用的范围，但两者面对的主要法律问题不同。收集信用信息是为了查验信用状况，需要确定信息收集的合法性基础；使用信用信息是为了做出恰当决策，是对信用信息进行分析的过程。信用信息分析的过程涉及对信息主体权益的处理，通常伴随着联合奖惩的结果。信用联合奖惩是一种典型的使用场景，为了防范这种场景下的法律风险，需要区分不同的法律关系，做出差别化的处理。但是，信用分析区别于联合奖惩。信用分析本身就是一个信用信息使用的过程。使用主体在完成信用分析之后可能不做出联合奖惩的决定，但不可否认使用主体已经使用了信用信息的事实。因此，需要区分信用分析过程中的约束规则与联合奖惩过程中的约束规则，尤其后者涉及行政主体及行政法定原则的特殊性。

鉴于场景理论以市场主体和行政主体作为分类的基本框架，以及行政主体在信用分析场景中的特殊性，应当根据使用主体是市场主体还是行政主体，阐明信用信息使用过程中所具有的不同法理基础，进而建构不同的规则。

(一)完善市场主体使用信用信息的规则

市场主体可以选择不同个性化的交易对象从事交易，也可以根据交易对象的个性化特征决定交易条件，这是私法自治和合同自由精神的体现。市场主体的信用状况表现为一种个性化的特征。因此，市场主体根据信用状况决定对信息主体提供信用服务或者差别化的服务，这属于私法自治和合同自由的调节范畴，法律不应过度干涉。比如，银行根据贷款人的历史信用可以拒绝为贷款人提供贷款服务，也可以决定以更高的贷款利率提供贷款服务。

公司与消费者之间双向的信用评价，是当下一种重要的商业模式和市场机制，这是私法自治和合同自由精神的体现。在美国，用户在Facebook、Instagram 等社交网站上的发帖内容可能影响保险公司的费率。乘坐出租车时用户给司机做出信用评价，同时司机也给用户做出信用评价，一旦信用不高，司机和用户在使用打车软件时就会受到影响。一些市场主体还积极创建记录用户信用信息的数据库。例如，美国一家公司推出一款软件产品用于维护酒吧和餐馆的秩序，这个软件有一个“异常顾客清单”。如果顾客因为斗殴、性侵、袭击、毒品、盗窃或其他不良行为而进入该清单，美国所有的酒吧都可以通过此软件查询到该顾客的不良信用。只要一个酒吧禁止该顾客进入，则美国所有的酒吧都可能禁止该顾客进入。至于顾客进入该清单的事由，则由酒吧的所有人和管理者决定[10]。

可见，当信用信息的使用主体为市场主体时，使用主体与信息主体之间即为民事法律关系，由双方主体根据真实意思自愿处分有关权益，信用信息的使用原则上不再受到其他规则的限制。如果涉及的信息为市场信用信息，则只受到收集规则的制约，只能在收集的目的范围内使用该信用信息(17)我国《信息安全技术个人信息安全规范》第7.3条规定：使用个人信息时，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。；如果这种信息是公开的公共信用信息，则其收集和使用行为均不受约束。但这并非没有例外，市场主体的身份在不同场景中具有可变性，当使用主体在特定场景中因法律授权而享有特定公共事务管理职能时，该使用主体便具有了行政主体身份，此时其不仅需要受制于信息收集的目的，还需要遵循行政主体使用信用信息的规则。

(二)完善行政主体使用信用信息的规则

当使用主体为行政主体时，使用信用信息的法律风险主要来自两个方面。第一，行政权力缺乏严格控制。行政主体一旦进行联合奖惩，则涉及行政法律关系的建立或变更，因此需要遵循行政法定原则。如工商部门从信用服务机构获取相对人的有关履约记录，通过分析这些信用信息，从而决定是否给予相对人的市场准入资格(如是否颁发工商执照)，此时工商部门需要遵循行政法定原则，但目前在规范层面缺少相应控制。第二，信用信息的使用规范缺失。使用场景包含“分析信用信息”和“限制市场准入资格”两个环节，分析信用信息的环节已经独立地构成了对信用信息的使用，相应的规范缺失；限制市场准入资格的环节也属于信用信息的使用场景，但涉及行政权力的控制。本文仅分析信用信息这个环节中的信息使用规则，着眼于信用信息使用风险的防范。

1.征得同意例外规则及适用范围

行政主体分析信用信息的过程，涉及对信用信息权益的处分，需要遵循正当程序原则，理应按照法律规定的权限和程序进行。信用信息是一种个人信息，位列《民法典》第四编“人格权”的范畴。《民法典》第1035条规定，处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：(一)征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；(二)公开处理信息的规则；(三)明示处理信息的目的、方式和范围；(四)不违反法律、行政法规的规定和双方的约定。可见，行政主体对信用信息的使用应当遵循法定条件和程序，其中征得信用信息主体的同意是一个基本原则，是否需要通过社会信用立法明确例外规则及其适用范围，需要权衡考量特定场景中的公共利益与信息隐私利益。

比较法对信用信息的使用也有类似的约束规则。美国法对信息的挖掘设置了例外情形。一方面，美国宪法第四修正案禁止不合理的搜查和扣押，体现了对信息挖掘持有非常保守和严格的立场。信息挖掘类似于数字搜查，按照宪法第四修正案的框架，搜查行为必须取得法院令状，且必须合理相信该搜查行为将提供刑事犯罪的证据时才可实施。另一方面，美国的法律对于国土安全领域的信息挖掘持有更为宽松的立场。波斯纳认为，在恐怖主义全球化以及大规模杀伤性武器扩散的背景下，政府在收集、存储、筛选、检索个人信息方面有着迫切的需求[11]。美国立法者为了解决这种需求，在《隐私法案》中做了平衡的规定。按照该法案第552条a款j项 的规定，个体有权决定何种信息可被联邦政府机构收集、保存、使用或披露，但“如果系统记录处于中央情报局或执法部门保管且包含识别罪犯的犯罪历史信息、用于刑事调查的信息、指向特定人的刑事程序报告”除外。

“9·11”事件后，美国国土安全执法部门大量获取犯罪记录、行踪、社交聊天记录等个人信息以创建信息库用于信息挖掘。比如，联邦调查局的恐怖分析审查中心创建了“禁飞名单”和“进一步审查名单”，针对每个人的威胁程度进行飞行审查分类(分为绿色、黄色和红色三类)，将个体的威胁程度使用到飞行场景中形成飞行安全系统。这些信息挖掘对个人信息隐私构成了严重威胁，有学者建议在信息挖掘项目中引入正当程序，以克服和纠正信息匹配过程中可能发生的错误[12]；也有学者认为安全和自由之间不是“零和游戏”，必须监管这些项目，确保以一种平衡和可控的方式分析数据并做出审查决定[13]。

《德国信息保护法》以公共部门和市场主体为区分基础规定了不同的信息处理原则，公共部门分析负面信用信息的情形可能被纳入同意机制的例外情形。该法第3条规定，公共部门应被允许处理个人信息，如果这种处理行为是信息控制者履行其职务所必要的，或者这种处理行为是行使法定的官方权力所必要的。按照该条规定，如果教育主管部门有权判断申请人是否具备教师从业资格，那么其也应当被允许分析申请人的信用信息，因为这种信用信息的分析是教育部门履行其职责所必要的信息处理行为。该法第22条、第23条则进一步明确了公共利益的例外情形，包括社会安全和社会保护、医学治疗和健康保障、需要紧急保护的公共利益等。有学者认为，征信机构对金融信用信息的使用具有公共利益属性[9]147，金融机构可以处理个人的负面信用信息，无须征得信用信息主体的同意。

综上，美国、德国与我国都规定了信用信息处理行为原则上应当征得信息主体的同意。美国和德国均设定了使用信用信息的例外规则，但宽窄不一。美国将例外情形严格限定在刑事调查和国土安全领域，德国则限定于范围更宽的社会安全等公共利益领域，但都要求公共部门是为了履行某项法定职权所必要。

2.征得同意例外规则的完善

我国在行业标准层面借鉴了美国和德国的相关做法，目前可以进一步在社会信用立法或个人信息保护法中完善相关规则。在个人信息保护层面，《信息安全技术个人信息安全规范》第5.6条规定了须征得授权同意的11种例外情形，这里仅以第3种情形为例进行说明。从第3种情形可以看出，我国对征得授权同意例外情形的规定比较严格，必须与公共安全、公共卫生、重大公共利益直接相关。比如，防控新冠肺炎病毒与公共卫生利益直接相关，教育主管部门不得依据申请人在入境口岸时瞒报自身携带病毒的记录而拒绝向申请人颁发教师从业资格证书，因为两者之间不直接相关。但是，卫生主管部门或疫情防控部门为了确定密切接触者的范围，可以获取并分析病毒携带者的行踪轨迹，因为“密切接触者的范围”“病毒携带者的行踪轨迹”与公共卫生利益直接相关。同理，卫生主管部门或疫情防控部门不能主张为了防控疫情的需要而收集分析信息主体的婚恋信息、存款信息或贷款履约信息等，因为这些信息与防控疫情不直接相关。《信息安全技术个人信息安全规范》需要从两个方面进一步完善。

第一，该规范第5.6条未能区分行政主体与市场主体，只是笼统地规定个人信息控制者，因市场主体对信用信息的使用应征得信息主体的同意(前文已述)，这不仅会限制市场主体使用信用信息的自由，而且因没有限定“法定职权的范围”而可能导致行政主体收集信用信息的权力不受约束。比如，卫生主管部门或疫情防控部门只能在其法定职权的范围内收集直接相关的信息，而不能超越法定职权的范围收集信息，不能主张为了降低金融风险的目的而收集分析申请人的支付、还款记录，也不能主张为了飞行安全的目的而收集分析申请人的犯罪记录，等等。因此，建议在征得同意的例外规则中进一步区分行政主体和市场主体，增加行政主体为履行法定职权之必要而收集分析信用信息的限定。

第二，《信息安全技术个人信息安全规范》第5.6条规定的例外场景并非针对信用信息的分析，多数场景并不具有直接相关性。比如“根据个人信息主体要求签订和履行合同所必需的”，这与行政主体使用信用信息的场景没有直接相关性，相反，行政主体需要使用信用信息的场景极为广泛。目前，国家各职能部门都在积极推进信用联合奖惩，都涉及使用信用信息的环节，《信息安全技术个人信息安全规范》第5.6条却未作规定，联合奖惩面临合法性的质疑。比如，环保部门针对环境信用记录好、信用评估高的诚信企业……适当减少检查频次，降低抽检率；而针对存在违法违规记录等失信企业……商请工商部门将其列入经营异常名录(18)参见环境保护部2016年出台的《关于积极发挥环境保护作用促进供给侧结构性改革的指导意见》第16条。。这些场景多不属于《信息安全技术个人信息安全规范》第5.6条所规定的11种例外情形，而只是行政主体履行法定职权之必要。鉴于信用信息治理目的和行政主体履行法定职权的社会公共性，应当创设除信用信息治理目的外因其他目的而使用信用信息的规则即例外规则，可将前文提及的“直接相关”作为使用信用信息的限定条件。

以上例外规则，不应区分信用信息的种类而有所不同。在基于正面信用信息而进行联合奖励的场景中，尽管信息主体的权益会得到增加而不是减损，但仍然涉及信用信息的私权属性，因此行政主体对正面信用信息的使用仍需遵循征得同意的例外规则。只有当行政主体在有关场景中不再保持行政主体的身份时，才无须遵循例外规则。换言之，当行政主体作为市场主体参与市场活动时，此时其身份为市场主体，应当允许其按照市场机制使用有关信用信息。尽管征得同意的例外规则与按照市场机制使用信用信息时都无须征得信息主体的同意，但两者在本质上是不同的，前者以同意为原则，只是因为满足了一定条件才无须征得信息主体的同意。《个人信息保护法(草案)》第13条第3项回应了这一现实需求，即个人信息处理者为履行法定职责或者法定义务所必需方可处理个人信息。这一规定中的“所必需”，限定了行政主体处理个人信息必须与履行法定职责直接相关。该项规定结合《个人信息保护法(草案)》第6条的目的限定原则，对解释信用联合奖惩和解决当前征信使用泛化的问题具有重要价值。

五、结 语

实证研究表明，尽管德国和美国在隐私概念的理解、法律调控的实体规则和机构等方面存在巨大差异，但是两国公司的高级隐私官员都认为隐私是一个演变的、前瞻的和场景的社会价值，而不单纯以个人同意和控制为中心[7]12，应将对个人信息和信用信息的理解置于更稳定的理论和价值体系中。由于对个人信息控制理论的理解出现偏差，加之信用信息使用规范的缺失，我国存在同意机制僵化和征信使用泛化的问题。在建构和规范我国信用联合奖惩机制的过程中，需要对症下药，避免因僵化理解个人信息自决权而使信用信息治理的目标落空；避免不区分信用信息的使用主体而笼统地使用信用信息并进行联合奖惩。

信用信息收集使用规则的完善应当以信用信息的场景属性为出发点，根据不同类型的信息接收者，结合不同场景的信用治理目的，改革当前收集信用信息的同意机制，填补使用信用信息的规范空白。第一，建立信用信息的主体退出机制。市场主体为了评估交易相对方的支付能力或信用状态，应当放弃信用信息主体形式上的同意要件，允许市场主体可以不经信用信息主体同意而向信用机构获取信用报告，以此促进信用产业的发展，同时应当保障用户知情权并确保收集信用信息评估目的的正当性，即建立信息主体的退出机制。因此，建议设立如下规则：为信用评估的目的使用机构可向信用服务机构获取交易相对方的信用信息；信用信息主体享有知情权，信用服务机构和使用机构应当在收集信用信息后告知信息主体并允许其查询信用报告；使用机构在向信用服务机构请求获取信用信息时，应当说明获取信用信息的具体目的，信用服务机构应建立相应机制进行审查。第二，区分市场主体和行政主体，设定差异化的使用规则。当市场主体作为使用主体时，尊重私法自治和合同自由的精神，允许市场主体在信用信息收集用途的范围内使用信用信息；如果市场主体被依法授予了公共管理职能或者当行政主体作为信用信息使用主体时，基于信用信息的私权属性，应当原则上遵循征得同意的规则。鉴于信用治理目的和行政主体履行法定职权的社会公共属性，可为行政主体的使用行为创设例外规则，即因履行法定职权之必要而使用直接相关的信用信息时，不必征得信息主体的授权同意。