单建军

（中国人民银行襄阳市中心支行，湖北 襄阳 441021）

一、引言与文献综述

近年来，大数据在个人征信行业中广泛应用，有效发挥了个人征信提升市场交易效能的作用，但同时也对个人征信信息内涵、外延和处理程序形成新的冲击。随着个人征信信息采集范围不断延伸、数据处理日益智能化和隐蔽化、信息储存规模急剧膨胀，大数据等科学技术的广泛应用造成个人征信权益保护与征信市场发展的矛盾加剧，如何在大数据时代背景下实现个人信息保护与征信行业发展之间的平衡，成为当前我国个人征信业务发展面临的突出问题。为此，本文研究大数据时代背景下我国个人征信信息采集问题，提出规范个人征信信息采集的政策建议，对促进我国个人征信业务可持续健康发展具有重要现实意义。

关于个人征信信息采集。曾江（2009）认为，征信信息采集者与信息主体之间存在信息不对称，造成征信机构与个人法律地位的不平等，并衍生出损害个体权益的风险。李朝晖（2008）认为，美国明确规定征信机构采集个人征信信息的范围，可以采集个人必要的包括负面信息和正面信息在内的全面个人信用信息。白云（2001）指出，英国法律规定征信机构必须持牌经营，经过本人同意才可以采集使用个人信息；德国法律规定采集个人征信信息必须通知信息主体，并在双方约定的范围内进行。刘红熠和杨妮妮（2016）认为，互联网平台公司抓取个人社交和行为等信息，有可能涉及禁止采集或限制采集的信息。林洹民（2018）认为，设定明确、严格的个人征信信息采集范围远比限制个人信息采集程序有效，限制个人征信信息采集范围能从根源上保护个人征信权益。王惠（2018）认为，对个人征信信息的采集和使用进行规范，有利于个人征信业发展，从而有助于建立覆盖全社会的征信系统。李邵华（2020）认为《征信业管理条例》对个人征信信息采集仅有原则性规定，对个人隐私界定及保护较模糊，缺乏法律层面的具体操作说明，需要通过法律规范个人征信信息采集范围与形式。夏金莲（2020）认为，个人征信信息的采集范围应限定在过去即在非付经济交往中形成的信息，在缺乏这方面信息的时候才能够采集反映个人偿付能力和意愿的其他信息。

关于大数据与个人征信业务发展的关系。现有研究普遍分析大数据应用的技术可行性、造成的征信监管挑战和对个人征信权益保护的影响。王秋香（2015）认为，大数据技术应用推动个人征信业务的创新发展，也给征信行业监管造成巨大冲击。刘新海（2015）认为，大数据技术并不能改变个人征信行业发展模式。刘渠景和宋立志（2016）认为，大数据技术的广泛推广能够增强个人金融信息的市场价值，但个别征信机构非法采集并使用个人征信信息，严重侵害个人征信权益。周高印（2017）分析大数据征信与传统征信的区别，指出应明确个人征信信息采集的原则与方式，采取集中监管并实施行为监管。时明生（2018）提出应建立全国统一的个人征信信息应用平台。万存之（2018）认为，大数据与个人征信在原理上有所差异，两者关于个人信息权益保护的内容和方式是不同的，大数据不能直接运用于个人征信。李福军和姜云峰（2019）认为，大数据技术的运用与过低的违法成本造成个人征信信息的滥采，运用金融科技手段有助于保护个人征信信息。部分学者聚焦于大数据时代背景下个人征信信息保护问题，研究如何构建与时俱进的信息安全屏障。杨庆明等（2013）总结归纳美英日等国个人征信主体信息权益保护模式，综合分析各种模式的共性特点和显著差异。丘峰艳（2015）指出我国个人征信主体具有知情权等多项权利。相丽玲和陈秀兰（2019）认为，应该构建“法律法规、保护技术、保护标准”三位一体的保障机制。

在上述研究的基础上，本文系统分析我国个人征信信息采集的现状及大数据等科技对我国个人征信信息采集的冲击，全面总结全球个人征信信息采集管理方面的成熟经验，对于规范我国个人征信业务发展、完善我国个人征信信息保护体系、维护个人征信合法权益具有重大的现实意义。

二、个人征信信息采集存在问题

（一）个人征信信息采集行为不规范，非法采集使用现象屡禁不止

随着征信业的深入发展，当前个人征信已被普遍应用于经济活动，个人征信信息采集边界正在扩大，某些地方将水电气、电信缴费和互联网贷款等信息纳入个人征信系统（表1），在缓解信息不对称、拓展市场交易深度、优化营商环境等方面发挥了助推作用，深刻影响着市场经济的持续发展。然而，大数据等技术催生出个人征信新模式，在提供便利的同时也带来了过度采集个人信息的潜在危险。部分互联网网站、应用软件违法违规采集个人征信信息，通过各种隐藏、诱骗、欺诈的手段并未经本人同意就强行采集个人的各种敏感通信与网络数据，包括用户短信、通话记录、通讯录、接入网络和面部图像等，整个非法采集过程缺乏有效监督。特别是新冠肺炎疫情发生以来，个人信息在越来越多的场合被采集，而被采集人也无法追溯信息采集源。多款网购平台、旅游出行、生活服务和游戏类移动应用涉嫌超范围采集个人隐私信息，《2020年金融行业应用软件安全观测报告》显示，因违规采集个人征信信息，2020 年全国仅金融类应用软件被通报60 余款、被要求整改1336 款、被下架94款。2021年11月，工信部通报38款应用软件存在“违规收集个人信息”问题。此外，不少打着大数据公司、金融科技公司等旗号的企业，在未经授权的情况下非法采集个人信息，甚至用于非法营利。

表1 正被纳入个人征信的信息

（二）个人征信信息法律法规不完善，法律体系整体供给不足

我国虽然出台了《中华人民共和国个人信息保护法》，用于规范个人信息处理活动，但是个人征信信息采集仍是以《征信业管理条例》为基础，个人征信有关法规仍不完整。一是缺少专门的个人征信信息保护法。目前我国专门的个人征信业务法规仅有《征信业管理条例》，其他相关规定分散在不同法律和规章制度中。《征信业管理条例》属于行政法规，法律层级不高，而一些部门规章也只是执行性的行政规范性文件。二是缺乏明确的个人征信信息概念，个人征信信息采集界限不清晰。由于《征信业管理条例》没有对“个人征信信息”这一概念进行明确界定，导致一些机构过度采集个人征信信息行为难以被根除，造成一些非法机构违规采集个人信息现象屡禁不止。《征信业管理条例》仅明确禁止、限制采集的个人征信信息，其中禁止采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律法规明确禁止采集的其他个人信息；限制采集个人的收入、存款、有价证券、商业保险、不动产和纳税金额信息。采用否定列举的方式，仅能缩小个人征信信息采集范围，实质上仍无法限制超范围采集个人征信信息。三是缺乏相应的个人征信信息采集配套制度，在国家层面没有具体的个人征信信息采集法律法规。

（三）个人征信信息采集标准不统一

当前，我国个人征信信息采集标准的规定尚未统一，难以执行到位。首先，《信息安全技术个人信息安全规范》和《信息安全技术大数据服务安全能力要求》为国家推荐标准而非强制标准，对个人信息采集使用的约束力还有待加强。其次，现行的个人征信信息报送标准仅对金融机构有约束力。《个人信用信息基础数据库管理暂行办法》明确了个人征信信息报送标准，个人征信信息主要涉及金融、商业和社会三个方面，其中个人金融征信信息包括银行授信、证券交易、保险赔付等情况；个人商业征信信息包括商业交易、商业履约等情况；个人社会征信信息包括行政处罚、司法判决和社交活动等情况。但是，没有接入征信系统的机构仍无法推行个人征信信息采集标准。例如，由于互联网平台公司采集个人信息缺乏统一标准，且各平台公司之间缺乏通用的个人征信信息共享机制，引发个人信息过度、重复采集的风险。

三、国际经验

（一）美国

美国个人信息保护以分门别类、分散立法为主，主要体现为信息流动和隐私保护之间的平衡关系，构建以《公平信用报告法》和《平等信用机会法》为核心、囊括十余部法律在内的法律体系。其中，《公平信用报告法》用于规范个人征信信息，以“公平、准确、隐私”为核心，对个人征信信息采集、征信机构及其义务、个人信息主体权利等方面进行明确，主要是约束征信机构、个人信息采集者、个人信息传播者的行为，监督征信机构公平公正地提供征信服务，并保护个人征信权益。一是对个人征信信息采集范围进行规定。法律明确仅能在个人进行授信、求职、购买保险或者经直接明示时采集个人信息，明令禁止采集性别、婚姻状况、身体状况、价值取向、种族、肤色、政治立场、宗教信仰、国籍、犯罪嫌疑、司法文书等个人信息。此外，个人之间交易活动的信息、集团内部和关联公司之间的交易活动、信用卡发卡行给予消费者授信额度被列入禁止信息采集内容。对大部分信息，如果个人信息主体没有明确禁止对其信息进行采集，均视为同意采集其信息。部分信息必须在取得个人信息主体同意的前提下才能采集，如未经授权，征信机构不得采集支票账户、储蓄账户、证券账户、保险单、收入、信用卡授信额度以及拖欠税款等信息。二是对个人信息采集方式进行控制，采取自愿的信息采集原则，自愿的基础是信息提供者认为提供的信息符合自身利益，而征信机构通过契约的形式采集个人信息被认为是合法的。此外，注重对个人信息的质量控制，征信机构应当采取科技手段采集除敏感信息外的其他信息，以合理的程序最大限度地保证个人信息的准确性并及时更新。同时，美国注重发挥行业协会自律管理作用。美国征信协会主要包括全国信用管理协会、消费者信用协会和美国国际信用收账协会。协会承担行业自律、信息共享、信用宣传、学术交流等职能，颁布个人信用报告标准，制定《数据报送资源指南》，要求报送数据内容必须符合法律规范，制定严格的职业道德标准维护行业的稳定、公允和健康发展，并受理对协会企业的投诉。

（二）欧盟

欧洲个人信息保护采用统一立法方式，主要强调的是个人对信息的自主决定权利，采取清晰的信息处理原则和较为严格的保护标准。一是明确个人信息保护的原则。为应对大数据应用的挑战，欧盟《通用数据保护条例》明确了个人信息处理应遵循合法、正当、透明、最少、安全等原则，禁止收集处理反映个人种族或民族起源、政治观点、宗教、哲学信仰、是否工会组织成员、个人基因识别、生物信息、或涉及健康、性生活或性取向的数据，处理16 岁以下儿童的个人数据必须获得该儿童父母或监护人的同意或授权。二是对个人信息采集做出限制性规定，允许采集正面信息，但严格限定所采集的信息要与信用活动直接相关，主要是信用付款记录等，严禁采集个人收入、资产、纳税等方面的信息，禁止在个人信用报告中显示涉及收入、存款、生活方式和消费习惯等信息。三是制定严格的个人信息保护标准，创建“一站式”服务机制。信息控制者和处理者主要经营地所在成员国的监管机构是主要监管机构，主要监管机构和其他相关监管机构之间相互合作协助，并在必要时与欧盟信息保护委员会进行合作，以确保《通用数据保护条例》在适用与执行上的一致性。个人有权了解征信机构收集、保存的个人信用信息。

（三）英国

英国《消费信贷法》和《数据保护法》明确规范个人征信信息的采集和使用行为。一是明确规范个人征信活动。《消费信贷法》规定，个人信用信息只能用于调查消费者的偿债能力或支付能力，不得用于其他非法商业用途，合理界定消费者与信贷提供者之间涉及第三方征信活动内容，最大限度保护个人的知情权，明确要求从事个人信息服务的征信机构必须取得信用许可证。二是明确个人征信信息采集和使用标准。《数据保护法》规定，征信机构应该充分实行告知义务，在采集个人信息时，必须将个人信息采集的内容、目的和处理方式告知当事人，征信机构不得超过已声明使用目的的数据采集范围，不能采集个人敏感信息，采集的个人征信信息主要包括基本信息和信用信息，其中基本信息主要来自政府部门和公共机构，用于确认个人身份；信用信息主要来自私人部门和法院的判决（见表2）。三是构建多部门协同管理体系。英国信息专员办公室负责公共信息的使用和个人信息的保护，受理个人信息业务投诉。信息专员负责监管个人信息保护等法律的实施，信息专员有权对相关机构进行调查，提出警告；对拒绝承担义务者实施法律制裁。英国专门设立信息法庭受理个人信息诉讼请求，公平交易署负责个人征信业务的市场准入，颁发个人征信业务牌照。

（四）加拿大

加拿大专门制定《个人信息保护与电子文件法》，用于规范个人征信活动。加拿大与欧盟个人信息立法保护的理念是相通的，法律效力是互相认可的。一是明确个人征信信息采集范围。《个人信息保护和电子文件法》规定个人信息为“个人识别信息”，但不包括姓名、职务、办公地址、办公电话，明确商业活动为包括销售、换货、出租、会员活动和筹款在内具有商业特征的活动，确定在开展商业活动时采集个人信息必须遵守有明确目的、必经当事人同意、有限采集等原则，严格限制个人信息采集范围。二是专设机构保护个人征信权益。《个人信息保护和电子文件法》主要约束从事个人征信业务的组织机构，包括并不限于个人征信信息的采集、处理和运用等相关的工作；专门设立个人信息保护专员办公室，具体负责个人信息保护法的组织实施、保护个人征信权利和组织开展司法救援。三是制定个人信息保护规则。坚持有限采集原则，采集个人征信信息的范围是受到限制的，法律规定征信机构只能为定义好的目的采集恰好够用的信息，而且只能以公平和合法的手段采集信息。

表2 英国个人信息采集情况

（五）日本

一是专门进行征信立法。日本《个人信息保护法》确立了个人信息保护的基本原则及方针，明确国家与地方政府以及行业机构的责任义务，规定个人的信息为能够有效识别个人的相关信息，对个人信息确立了目的明确化、利用限制、收集限制、资料内容完整正确、安全保护、公开、个人参加、责任等八项原则。征信机构可以通过正当手段，多形式采集个人征信信息。个人信息包括个人基本情况、贷款情况和违约情况。二是建立公共征信与同业共享机制。日本实行征信信息共享使用管理机制，征信企业行业协会为会员机构提供个人信用信息交换服务，主要借助协会企业信息共享系统，统一采集、使用个人信用信息。征信行业协会会员机构有义务向平台提供已采集的征信信息，平台对个人信息数据进行有针对性的采集和处理，并按照统一的数据规范向协会会员机构提供数据查询服务。三是注重行业自律和协会保护。征信行业协会主要采取通报批评以及取消会员资格等行政处罚手段，对个人信息采集机构发挥自律约束作用。

（六）韩国

韩国征信法律体系完善，保障征信业务有序规范发展。一是专门进行个人信息保护立法。韩国颁布《信用信息使用与保护法》及其实施细则专门对个人信用信息的采集进行规范，明确个人征信信息采集内容包括三类：姓名、性别、职业、地址等基本信息，信用卡、担保、租赁、迟付、退票、债务等信用交易信息，法院裁决、纳税、公共缴费等公共信息。随着大数据、区块链、人工智能等金融科技的发展，个人征信信用信息数据来源逐步扩大，在未经本人同意的情况下，可以将经过处理无法识别特定个人的假名信息用于统计和研究等目的。二是搭建全方位的个人信息保护体系。个人信息保护委员会统筹个人信息保护政策，制定基本计划和实施方案，并对征信机构是否采集有关国家秘密、商业秘密、个人政治思想、宗教信仰、私生活等信息进行检查并作出相应处罚。韩国金融服务委员会确定个人信息数据类型范围和建立数据共享系统、数据交换平台、数据监管机构，有效保护个人隐私权。三是实行融合发展。韩国征信业发展采取公共部门与私人部门并存的混合发展模式，公共征信机构包括综合性的韩国征信信息院及专业性的金融行业协会，私营征信公司不仅从公共机构采集信息，同时通过其他渠道收集其他征信信息，对外提供信用评级和征信报告等服务。公共征信系统能够保障低成本、高效率地提供征信基础信息服务，私营征信机构发挥市场运营机制比较灵活的优点，从而实现两者的错位竞争。

为积极应对大数据对个人征信的影响，减缓征信市场发展和个人征信权益保护之间的矛盾，发达国家主动回应个人征信发展的挑战，全面重塑个人征信业务规则和个人征信信息保护制度，及时调整个人征信权益内容和保护程度。针对大数据特性规范个人征信信息采集范围成为各国个人征信行业发展共识，在坚持个人信息采集相关性、必要性和最小化原则下，必须明确限制个人信息采集范围和使用目的、个人信息采集和查询须经本人同意授权、个人负面信息展示必须有期限等方面。研究国际成熟的个人征信管理经验对我国大数据时代背景下加强个人征信信息采集管理具有重要借鉴意义。

四、政策建议

在大数据时代背景下，我国应在全面分析个人征信信息采集现状的基础上，积极借鉴国际成熟经验，全面适应当前个人征信信息采集规则的变化，运用法治化、市场化和科技手段对个人征信信息采集进行规范和明确，合理平衡个人征信市场发展与个人征信权益保护的矛盾，依法保护个人征信权益。

（一）加强征信法律法规制度供给，夯实个人征信信息保护基石

只有设定好个人征信信息的采集规则，切实做到依法依规、有理有据，才能夯实个人征信信息保护的制度基础。一是适应经济形势的发展和变化，修订《征信业管理条例》，研究制定专门征信法。二是建立个人征信信息采集基本制度。尽快建立个人征信业务办法，明确个人征信信息采集遵循的原则，细化个人征信信息采集规则，明示个人征信信息采集标准，规范个人征信信息采集机构行为。三是应尽快出台相关配置制度，满足征信业发展的需要。目前，《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》和《中华人民共和国数据安全法》已逐步构建起我国个人信息保护的法律体系，各部门应依据法律精神要求出台个人征信信息采集的具体规定，对个人征信信息采集进行积极指导和规范，有效保护个人征信权益。

（二）明确个人征信信息采集范围，划定个人征信业务边界

严格落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，建立个人征信信息全生命周期安全保护机制，运用匿踪查询、去标记化等措施，严防个人征信信息误用、滥用，切实保护个人隐私安全。一是明晰个人征信信息概念。明确个人征信信息是指为金融经济活动提供服务、用于判断个人信用状况的相关信息，包括但不限于个人的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息，以及基于前述信息对个人信用状况形成的分析、评价类信息。对个人征信信息的认定必须秉承谨慎态度，并经过充分讨论、科学论证和征求民意。二是细化个人征信信息采集范围。合理评估公共利益和个人权益之间的矛盾，依法依规明确纳入征信采集内容。对个人信息采集实行清单式管理，依法制定个人信息绝对禁止采集内容和个人信息相对禁止采集事项，严禁采集民族、政治信仰、疾病史、财产等个人敏感信息，便于征信机构操作。同时，应为个人征信信息采集划定红线。秉承个人征信信息采集应当遵循“最少、必要”的原则，不得过度采集，不得以欺骗、胁迫、诱导、收费、非法渠道、其他侵害信息主体合法权益的方式采集个人征信信息，个人征信信息的采集必须是合法的、准确的和可持续的。

（三）坚决打击违法采集个人征信信息行为，发挥司法执法震慑作用

一是强化个人征信信息的司法保护。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯个人信息犯罪的定罪量刑标准和有关法律适用问题做出比较全面、系统的规定，司法机关应加大非法采集个人信息的惩戒力度，定期发布非法采集个人信息的典型案例，发挥案件警示作用，普及个人信息司法保护知识。二是加大执法问责力度，严厉惩治侵犯个人信息的违法行为，通过官方网站、微博、微信公众号、小程序等公开举报方式，全面打通违法行为线索收集渠道，依法处置违法采集个人信息行为，加大追责力度，提高处罚标准，坚决严惩违法采集个人信息行为。督促落实《常见类型移动互联网应用程序必要个人信息范围规定》，对一些用户规模大、问题突出的App，应采取公开曝光、约谈、下架等处罚措施，持续整治违法违规采集使用个人信息问题。加快通报互联网企业应用软件产品的违规行为，对应用商店采取强制措施，强制取消不符合个人信息安全规定、有重大风险隐患的应用软件的使用资格。三是加强个人征信业务监管。从事个人征信业务活动必须经过中国人民银行批准持牌经营，对于非法从事个人征信业务行为，依法依规严肃查处。

（四）制定个人征信信息采集技术标准，发挥金融科技助推作用

一是建立个人征信信息采集质量控制机制。中国人民银行征信系统应对同一类信息提供者实行适当的信息报送标准和程序，确保个人征信信息的持续准确性。制定详细、明确的信息更新规则，确保个人征信信息按事先约定的周期或触发事件更新。二是加快针对非银行金融机构信用信息系统和征信系统的开发和应用。立足于行业的业务特性和数据特点，制定符合行业需求的信用信息归集和处理标准，并通过引入大数据、区块链等现代化信息处理手段对数据进行处理和加工，促进相关信用数据实现有效开发利用。同时，加强与现有其他各类信用信息系统的有机对接、协同联动和共享共用，共同推动守信激励和失信惩戒机制全面发挥作用。三是实行个人征信信息采集报备制管理。凡是开展个人征信业务需要采集个人信息的征信机构，应将采集缘由、采集内容、采集方法、信息应用范围、信息保管、内部相关制度等内容报备中国人民银行，并对个人征信信息安全进行法律承诺。

（五）加强个人征信行业自律管理，树立个人征信信息保护栅栏

行业自律管理是一种有效的制度安排，已被世界各国广泛采用。行业自律可以弥补公共监督的缺陷，对于推动行业发展是必不可少的。成立征信企业行业协会，充分发挥行业协会的组织领导和自律惩戒作用，注重对征信机构的经营管理，加强日常经营行为的纪律约束，营造合规经营、稳健发展的环境，借助行业内部监督助推个人征信业务持续稳健发展。一是由征信行业协会组织各征信机构共同制定征信行业的信息采集技术标准、信用报告的标准文本等一系列行业技术标准，从而保障各种信用信息主体与征信企业之间实现信息共享，促进征信企业信息采集和处理效率的提高。二是征信行业协会在中国人民银行的指导下，构建完备合理的协会章程及配套自律准则，尤其应加入会员违规惩戒措施、纠纷处置、社会责任及监督等条款，认真规范征信机构的行为，并逐步建立健全管理制度，推动征信事业健康发展，从而真正发挥征信行业作为社会信用制度建设的基石作用。三是征信行业协会要定期向中国人民银行报告自身运营状况、学术活动开展情况、会费支出情况及对会员进行自律管理等情况。同时，设置举报箱、投诉热线、网络投诉专栏等，接受会员单位和社会公众的监督。