顾敏康，白银

(湘潭大学信用风险管理学院，湖南湘潭，411105)

一、引言

世界上主要有三种信用管理运作模式，即完全市场化运作的美国模式、以政府和中央银行为主导的欧洲模式、以行业协会为驱动力的日本模式。这些模式下的信用制度主要适用于传统金融或商业领域的征信活动，它们“普遍将私人信用的征集和使用限制在交易领域”[1]。而我国目前全力建设的社会信用体系是社会主义市场经济体制和社会治理体制的重要组成部分，其价值之一就在于推进以信用为基础的新型监管机制的构建与完善，涵盖政务诚信、商务诚信、社会诚信以及司法公信力四大领域①，所收集的信用信息既包括公共信用信息，也包括市场信用信息。因此，在整体上呈现采集范围大、适用领域广、功能价值高等特点。本文称我国社会信用体系下的信用建设为“大信用”建设，目的就是为了与金融或商业领域的“小信用”相区分。

“大信用”的建设不仅需要收集和利用交易领域的资信信息，还需要收集和利用能够服务于社会治理的信用信息。当然，这一庞大体系能否顺利运转，将依赖于对海量的与私密信息存在重合的信用信息的收集、处理和应用。2021年5月，江苏南通市民房女士在查询个人征信报告时，发现其职业信息“工作单位”一栏中竟然出现“专业做鸡十年”的字样[2]。这一事件暴露出相关征信机构在信用信息管理方面存在的不足，令不少信用主体质疑现行信息处理机制的可靠性和安全性，也增加了信用主体对信用信息控制者保护信息隐私的不信任和担忧。譬如，哪些信息属于社会信用信息？社会信用信息收集后是否会被信用信息控制者不当利用或者泄露？如何有效地保护信息隐私？这些是信用主体最为关心的问题，也是社会信用体系建设所亟须解决的问题。

二、“大信用”背景下的隐私挑战：信用信息利用与保护的博弈

“大信用”背景下需要收集与利用的信用信息，不仅涉及信用主体的公共领域信息，还涉及信用主体的私人领域信息，这在一定程度上增加了信用主体信息隐私被侵害的风险。信用信息和信息隐私之间边界的日益模糊，导致两者范围处于不断扩张的动态变化之中，也加大了准确识别信用信息和信息隐私的难度，对信用主体保护自身合法权益提出了更高的要求。

(一)信用信息和信息隐私的边界模糊

罗伯特·弗罗斯特(Robert Frost)在《修墙》(Mending Wall)中写道：“在筑墙之前应当知道，把什么围在墙内，把什么置于墙外。”[3]讨论信用信息和信息隐私的范围或边界，也是为了明确“大信用”背景下信用信息处理过程中信息隐私保护的范畴。本文通过梳理两者范围不断扩张且边界日益模糊的现状，以揭示当前信用信息隐私保护所存在的客观困境。

1.信用信息的边界不断被外推扩大

信用信息是指具有信用识别性的信息，而信用是确定信用信息范围的基础。目前关于“信用”的学理认识缺乏统一性，主要存在以下三种学说：其一，“信誉与商誉说”，认为信用是指信用主体在特定期限内所具有的付款或还款能力，从而在社会上获得的信赖和评价[4−5]。这一学说得到传统征信研究者的支持，但由于局限于资信信息的收集和利用，难以全局性地解决我国“社会诚信意识和信用水平偏低，履约践诺、诚实守信的社会氛围尚未形成，重特大生产安全事故、食品药品安全事件时有发生”的问题②，也无法满足树立诚信文化理念和弘扬诚信传统美德的社会信用体系建设的内在要求，更不能与《社会信用体系建设规划纲要(2014—2020年)》(以下简称《信用纲要》)提出的服务于社会治理体制的规划相衔接，故而在功能上存在一定的局限性。其二，“三维信用论”，认为信用由“诚信度”“合规度”和“践约度”三个维度构成[6]。该理论将信用范围扩展到守德、守法和履约，属于当前最为广义的信用解释论述。但因其涵盖过多的道德内容，故以该理论为基础确定和收集的信用信息可能体量庞杂。另外，如果据此对一般性的背德行为实施失信联合惩戒，则存在“道德绑架”的问题，有违“法律是道德的底线”原则，也不具有实际操作性。其三，“守法与履约说”，认为社会信用是指信用主体遵守法定义务或者履行约定义务的状况，包括履约信用和守法信用两个维度[7−8]。相较而言，该学说更为合理。因为这一学说不仅传承了我国传统信用所强调的“守约重诺”，而且兼顾了我国社会信用体系建设服务于市场经济和社会治理的双重政策性要求，其中的“守法”与“履约”标准可以从当前的法律体系中找到基础，能够较好地与其他部门法相衔接。然而，并非所有的“守法”和“履约”行为信息能够反映信用主体的信用状况。如新上路的司机由于紧张撞到行人，可能被追究交通肇事的刑事责任，这种行为虽然触犯了刑法，却未必与个人的信用状况直接关联。因此，该学说还需要通过增加信用相关性来确定信用信息范围，以避免不加区分地将所有违法和违约行为都纳入信用评价范围，从而最终影响信用评级的公正性和合理性。

尽管学界对于“信用”的内涵与外延尚未形成定论，但现有的政策性文件已经在“大信用”建设中增加了“诚信、合规和监管属性”的用语[9]。在此背景下，反映或描述信用主体信用状况的信用信息范围将被进一步扩大，并突破“信誉与商誉说”所提出的个人信用信息范围，包括个人身份识别信息、个人信用交易信息、社会公共记录以及经个人同意的其他与信用相关的信息等[10]。同时，这也增加了私密信息被纳入信用信息范围的风险。以我国现行的地方性社会(公共)信用信息法规与规章为例，这些条例或办法一般对公共信用信息实行信用信息“目录制管理”，对市场信用信息的采集与利用适用以“一般性同意原则”“特殊同意采集清单”和“禁止采集清单”相结合的“同意−禁止”管理模式[11]。而“目录制管理”和“禁止采集清单”所采用的信用信息收集方式均为“明文列举+兜底概括”模式。前者采用正向列举的方式，列举可采集利用的信用信息范围；后者则采用反向列举的方式，列举禁止采集的信用信息范围。尽管如此，面对海量的信用信息，“明文列举”方式实际上无法穷尽所有，使得开放性的“兜底概括”最终演变为确定信用信息收集和利用范围的主要规则。这样不仅不能从根本上解决信用信息范围不清的问题，反而因为模糊的“兜底概括”导致个人信用信息的边界被不断外推扩大[9]。

2.信息隐私界定主观且变动性强

信息隐私是从隐私分类中提炼出的一种隐私类型[12]。《中华人民共和国民法典》(以下简称《民法典》)第1032 条第2 款规定，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”，其中，不愿为他人知晓的私密信息就是本文所讨论的信息隐私。但该定义所使用的“不愿”一词增加了对信息隐私判断的主观性，导致信息隐私的内涵极富有弹性，所涵盖的范围也十分模糊。而针对其上位概念的隐私，我国的立法保护起步较晚，且明显滞后。1986年的《中华人民共和国民法通则》中未有关于“隐私”和“隐私权”的规定；1988年《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》将“以书面、口头等形式宣扬他人的隐私”的行为认定为侵害公民名誉权的行为；2009年的《中华人民共和国侵权责任法》仅提及隐私权和保护医疗隐私的内容；即便是在2020年的《民法典》中，也只是对隐私的概念和侵害形式进行了抽象规定。总体而言，在民事立法层面，我国对隐私和隐私权的规定还不够具体，缺乏实质性的认定标准。

其实，国外也存在对隐私和信息隐私的内涵与外延认定模糊的问题。在理论上，关于隐私较为经典的观点有：Warren 和Brandeis 提出将隐私权定义为“独处的权利”[13]；Westin 认为隐私权是指他人所享有的对其信息予以公开的权利[14]；Tom Gerety 认为隐私是指他人控制个人身份的亲密度[3]；等等。并产生了包括“独处权理论”“限制接触理论”“私密理论”“个人信息的自我控制理论”“人格权理论”和“亲密关系理论”在内的隐私认定理论[15]。在实践中，信息隐私保护的立法模式主要有两种，分别是以保障“信息自决权”为进路的欧洲模式和通过隐私权以保障个人信息权利为进路的美国模式。虽然这两种模式在形式上存在一定的差异，但因为“人们对信息隐私权与信息自决权的理解已无实质差异，均承认个人对其个人信息拥有控制权或自主决定权”[16]，所以两种模式在根本上均适用“信息自决理论”，且为各国信息保护立法所普遍适用[17]。然而，将隐私的保护交由信用主体自决，虽在一定程度上保护了信用主体的权利，但若信用主体对信息隐私保护具有较高的期待，那么，这种期待之下所保护的信息隐私范围也将随之变大，甚至缺乏可控的范围。最为典型的是，美国采用的个人信息纳入隐私保护范畴的“大隐私”模式[18]，在这一模式下个人信息保护实际上成为隐私保护的一部分，两者基本处于包含与被包含关系。

(二)信用信息的利用对信息隐私保护的挑战

信用信息和信息隐私之间的关系属于交叉关系，这已为学者们充分论证。需要讨论的是当信用信息和信息隐私的范围都在不断扩张的过程中，能否清楚界定两者的范围？如果无法界定清楚，则应当如何处理信用信息的利用与信息隐私保护之间的关系？

1.信用信息的利用无法回避信息隐私的被侵害

个人信用信息和信息隐私均为个人信息的组成部分。关于个人信息(或个人数据)的定义，欧盟《一般数据保护条例》(GDPR)第4 条规定为“个人数据(personal data)是指任何与已识别(identified)或可以识别(identifiable)的有关自然人的数据”。我国《民法典》第1034 条也将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。两者均突出了“可识别性”③，并将“可识别性”作为个人信息的主要特点。这也使得“可识别性”成为个人信用信息和信息隐私的“最大公约数”，即不具有“可识别性”的个人信息，无法反映信用主体的信用状态；不具有“可识别性”的个人信息即便被泄露，一般不会给信用主体造成损害，也不会产生隐私侵权的问题。换言之，正是由于这种“可识别性”的存在，信用主体才会因为被收集的个人信用信息能够识别个人隐私而寻求保护，信用信息控制者才会因为可识别信用主体信用状态而寻求利用，进而导致个人信用信息利用和隐私保护之间不断产生矛盾。

事实上，信息越私密越能准确地反映信用主体的信用状态，最具信用识别性的信息往往依赖于私密性信息。在“大信用”时代到来之前，信用信息实际上已经得到比较普遍的利用。如征信机构提供给金融贷款、担保等行业使用的专业信用报告。再如，在进行交易或合作之前，为达到“知己知彼”，信用主体也会通过收集各类信息来加深对交易或合作对象的了解。这些方式包括但不限于通过微信“朋友圈”了解兴趣爱好，通过“百度”搜索获取履历，通过公司财务报表知晓债权债务情况。但这些信息相对零散，大多是信用主体自主披露的。况且，为了避免所提供的信息给自己带来名誉减损或合作失败的风险，信用主体很少披露对自己不利的信息，这导致所收集的信用信息缺乏完整性。也正因为如此，“在高度流动性的社会和市场中，仅仅依赖社会主体自行披露信息不足以确保交易和交往安全”[19]，更无法满足全面利用信用信息的需求。在这种情况下，逐利的市场主体开始非法采集、刺探他人私密信息，甚至形成一些“黑色”的信息产业链，进一步加大了对信用主体信息隐私的侵害。这一现象也反映出零散、不完整的信用信息已经难以满足市场主体准确识别交易对象信用状况的需求，而需通过其他途径(甚至非法途径)获取交易对象更多的信用信息。因此，想要全面准确地了解信用主体的信用状况，在“熟人社会”可以通过长时间、多方面和深层次的接触与交往来感知，而在普遍缺乏有效交往的“陌生人社会”，不得不依赖于对信用信息的全面挖掘和利用，甚至还需要获取大量信用主体的私密信息，以确保其信用信息或信用状况的准确性和可靠性。

同时，信息的聚合性利用削弱了信用间接识别和信用直接识别的区分价值，导致信用间接识别信息的隐私保护需求陡增。根据信用信息是否可以直接识别信用主体的信用状况，可以划分为直接识别性信用信息和间接识别性信用信息。前者可以根据识别因子直接确认信用主体的信用状况[20]，如存在不履行法定义务的行为信息。后者可以根据复合识别因子识别信用主体的信用状况。在个人数据资料中，某些个人信息单独使用时无法识别信用主体的信用状况，但可以通过组合各种复合识别因子(如个人财产、婚姻状况等信息)，进行对照、分析来确定信用主体的信用状况[20]。然而，在大数据(信息)聚合的背景下，“信用画像”所需要的具备复合识别因子特征的信用信息越来越庞杂，间接识别性信用信息的识别功能也被前所未有地放大。这意味着一些信用主体原本不太在意的信息，经过信息聚合处理后，可以用来分析信用主体的信用等级状况，也可能被提炼出非常私密的信息，而这些信息一旦被不当使用，就会侵害信用主体的信息隐私。概言之，海量的信用信息聚合在推进信用信息精准分析和使用的同时，也将导致个人信用信息和隐私信息的交叉领域扩大，这不仅给信息隐私的保护带来更大的挑战，甚至在未来会成为限制信用信息利用的新因素。

2.不同场景中信息隐私认定标准不一

海伦·尼森鲍姆(Helen Nissenbaum)认为隐私权“既不是一种保密权，也不是一种控制权，而是一种获得适当流动个人信息的权利”[21]，并在其“场景理论”中提出了“场景相关信息标准”(Context-relative Informational Norms)，认为隐私的保护“取决于相关信息类型的功能、主体各自的角色、信息的发送人和接收者，以及信息从发送人发送给接收人的原则”[21]。这一理论推动了静态的隐私保护向动态的隐私保护发展，采用“发展”和“矛盾特殊性”的唯物辩证法，为信用主体提供了形式上较为妥当的隐私保护方式，因此受到理论界和实务界的青睐。

当然，这种理论也不是完美的，因为在“场景理论”中，隐私认定标准并非一成不变的。不同场景中的隐私认定标准和隐私保护期待也是不同的。如科研诚信领域的信用信息采集，应当专注于学术研究领域，而不应期待信用信息控制者采集过多生活领域的信用信息。贷款领域应当更专注履约情况，而不应期待信用信息控制者采集与履约完全不相关的兴趣爱好信息。也就是说，信用信息的采集和利用应当依据不同的场景，遵守不同的动态规则，符合各方对信息隐私保护与信用信息流动的合理预期[22]。然而，这种“场景化”和“合理预期”相结合的后果是，信用主体和信用信息控制者均对信息隐私的认定具有更大的主观性，导致信息隐私的范围也更难得到统一。可见，这种场景和风险导向理念存在恣意和不确定性，容易加剧信息隐私保护和信用信息利用中的乱象[23]。

不仅如此，信用信息和信息隐私之间还存在交互性。《民法典》将信息隐私定义为不愿为他人知晓的私密信息。按照该定义，信用主体提供的愿意为他人所知晓的私密信息，可能因为信用主体的公开或“同意”使用而变成一般信息，或“因高度公开而不属于隐私”[24]，从而无法适用现有的隐私保护规则。况且，《民法典》采用的“同意豁免”规则，将“权利人明确同意”作为“处理他人的私密信息”的例外情形④，这也为信用信息控制者处理经信用主体同意利用的私密信息提供了免责事由，导致信用主体丧失了主张隐私侵害的请求权基础。在征信实践方面，信息隐私作为个人信用信息被收集后加以利用的情况十分常见，如包括身份、婚姻、居住地、职业等内容的个人基本信息，以及个人征信系统从其他部门采集的、可以反映客户收入、缴欠费或其他资产状况的信息，为降低金融交易的风险，这些信息均被纳入需要采集利用的个人信用信息范畴[25]。与此同时，信用信息也存在转化为信息隐私的可能性。如信用主体的不良信用信息，在法定的保存或披露期限届满后应当被及时删除⑤。这意味着：被信用信息平台删除后的不良信用信息，将由一种方便于多元主体利用的“公共”信息，转化为信用主体具有更多自决权利的“私人”信息。如果信用主体不愿为他人所知晓，那么这部分信息也将成为信用主体的信息隐私。

3.公益需求弱化了信息隐私保护观念

相较于传统的拉上窗帘、关上大门就可以控制的空间隐私，或避人耳目即可控制的行为(活动)隐私，信息隐私通常难以得到有效的控制。一方面，信息隐私获取容易，而且“侵权的隐蔽性更高、侵权的范围会更广、程度会更深”[5](83)。另一方面，信用信息的利用可以增加“信息资本”，满足多元主体的公益与私益，从而被视为一种社会基础性资源，由此产生的社会普遍需要也正竭力为部分信息隐私的利用“正名”。

首先，“信息资本”下的信用信息价值巨大。2011年德国在汉诺威工业博览会率先提出“工业4.0”(Industrie 4.0)⑥的概念[26]。目前，该国将“通过创建自动化、与外部环境交流以及个性化的数字产品来发展经济”作为国家战略[27]，而其中的“交流”“个性化”以及“数字产品”无一不涉及信息的利用。除此之外，各国一般将“工业4.0”建立在信息和生产技术通过数据基础设施实现互联的网络物理系统(cyber-physical systems)基础上，以强化机器之间或机械与工件(workpieces)之间的直接交流和通信，实现自我管理[28]。在此环境下，不仅信息的自动化管理成为趋势，而且信息的利用也将进一步渗入各行各业之中，转化为至关重要的生产要素或资本。作为信息的下位概念，信用信息更是建立现代经济的基础与前提[5](176)，亦有论者提出了“信誉经济”(reputation economy)的概念，认为在“信誉经济”里，信用主体可以像使用现金一样使用自己的信誉，并将其用作债务抵押或担保以达到原本无法达到的交易[29]。这无疑突显了信用信息以及从中“提炼”出的信用等级或信誉的重要价值。倘若我国的信用主体拥有对信用信息的绝对控制权，那么信用信息控制者在处理个人信用信息时就需要不断获得信用主体的同意，必然会降低信用信息处理的效率，增加信用信息利用的成本，进而影响信用信息的“集合效应与规模化效应”[30]。这不仅不利于我国合法信息产业的可持续发展，反而与全球“信誉经济”的发展趋势相悖。

其次，信用信息红利下的利用主体多元化和利用目的公益化已经成为趋势。《信用纲要》围绕政务诚信、商务诚信、社会诚信和司法公信四大重点领域，共计列举了与人民群众切身利益和经济社会健康发展密切相关的34 个方面的具体任务。可见，我国目前的社会信用体系建设也是一种服务于私益和公益的信用管理系统建设。其潜在的使用主体几乎涵盖所有社会成员，诸如在食品安全领域，可以通过查询食品生产者和销售者的信用状况后决定是否选购，以提高质量保障水平；在普通的民间借贷中，可以通过查询对方的信用状况后决定是否借贷，以降低“欠债不还”的风险。凡此种种，使得信用信息的利用逐步成为一种新的提高公共利益和个人生活品质的社会福利。

最后，在私益和公益的博弈中，对信息隐私保护的同时不宜过度限制信用信息的利用。关于个人信息利用与隐私保护平衡的问题，学界的主流观点是，不应过度保护隐私而阻碍对信息的利用。如有论者认为“隐私政策的哲学基础过于强调隐私对个人的重要性，而忽视了其更广泛的社会重要性”[31]；有论者认为，“在网络时代，隐私和个人信息保护是个体尊严、自由、自主的重要内容，可这并不意味着隐私和个人信息保护应当成为绝对主义的意识形态”[32]；还有论者从制度经济学的角度出发，认为“对特定信息的隐私权保障给相关主体带来的利益如果小于给社会带来的效率增加，则应取消对该隐私权的保护”[10]。这些观点大多围绕个人信息的流通价值和公共价值展开，所关注的是对社会公益的保护。就信用信息而言，“信用体系的构建需要必要的信用信息传递、共享和披露机制作为支撑，信用信息的运行应以信息利用为目的”[8]。简言之，相较于客观存在的信息，信用信息产生于对信息的信用识别性筛选和聚合，其主要功能由保护逐渐转为利用。在这种情形下，传统民法学者所主张的绝对隐私保护观点，可能更易招致集体主义、公共安全主义论者的诟病，而不利于形成合理的隐私保护观念。

三、“知情同意”规则的发展、适用现状与存在的不足

“知情同意”规则作为信息保护制度的核心制度，为各国所普遍适用，我国个人信息和个人信用信息的采集也将这一规则作为基本原则。然而，该规则在理论上虽可以保护信用主体的隐私权，但在实践中却存在种种局限。

(一)“知情同意”规则的发展与适用现状

1.“知情同意”规则的产生与发展

“知情同意”规则(或“告知−同意”规则)起源于对信息隐私或数据隐私的保护。20世纪六七十年代，美国各界普遍意识到政府与企业对个人大规模的信息采集会给信息隐私的保护带来巨大的挑战，在此背景下，企业的“知情同意”规则被论者提出[30](89)。1970年欧洲的第一部个人信息保护立法《德国黑森州信息法》便将告知同意原则作为个人信息收集原则予以确定[33]。20世纪70年代，“公平实践原则”(Fair Information Practices)的原始版本开始渗透到一些最早的数据隐私法和政府报告中[34]。这一原则的主要内容之一就是信息的采集应当经信息主体同意。1973年美国“关于个人数据自动系统的建设小组”(Advisory Committee on Automated Personal Data Systems)发布的《记录、计算机和公民的权利》(Records,Computers and the Rights of Citizens)报告，提出将“公平实践原则”作为一套保护记录保存系统中个人数据隐私的原则[34]。此后，包括“知情同意”在内的“公平实践原则”在各国普遍适用，如1980年经济合作与发展组织(OECD)制定的《隐私保护与个人数据跨境流通指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)⑦，1995年欧盟颁行的《数据保护指令》(Data Protection Directive)⑧，以及2004年亚太经合组织制定的《APEC 隐私框架》(APEC Privacy Framework)⑨等。2016年欧盟颁行的《一般数据保护条例》(GDPR) 更是将“知情同意”规则作为大多数信息收集、使用和披露的合法性保障⑩。为此，有学者指出包括“知情同意”规则在内的公平实践原则已然成为“现代信息隐私法的基石”[35]。

2.“知情同意”规则在我国法律法规中的适用现状

2013年我国《征信业管理条例》第13 条规定，“采集个人信息应当经信息主体本人同意，未经本人同意不得采集。……”2020年我国《民法典》第1035 条规定，处理个人信息应当征得该自然人或者其监护人同意。2021年我国《个人信息保护法》第13 条将“取得个人的同意”作为个人信息处理者处理个人信息的一般情形。这些法律和行政法规均将“知情同意”规则作为个人信息采集和利用的基本规则，同样也为信息概念之下的信用信息的采集和利用提供了约束和指导。

在社会信用立法层面，我国尚未出台统一的社会信用法，信用信息收集的主要依据是国务院和国务院办公厅颁布的信用建设相关的指导性文件，以及地方先行先试的社会(公共)信用信息法规与规章。其中，国务院和国务院办公厅颁布的相关指导性文件并没有具体规定信用信息的范围，仅明确了信用信息的采集方式，如《信用纲要》《国务院办公厅关于进一步完善失信约束制度构建诚信建设长效机制的指导意见》(以下简称《诚信建设长效机制指导意见》)均强调，我国应当制定全国统一的信用信息采集和分类管理标准，对(公共)信用信息实施目录制管理⑪。《征信业管理条例》《诚信建设长效机制指导意见》指出，在收集使用个人信用信息时应取得本人同意⑫。地方性社会(公共)信用信息法规与规章，主要有两种：一种是仅规定信用信息收集、信用评级、信用信息异议申请等信息管理的地方性法规与规章，如《内蒙古自治区信用信息管理办法》《江苏省个人信用征信管理暂行办法》。另一种则是在前者基础上进一步规定信用信息应用和信用奖惩措施等内容的综合性信用地方性法规，如《南京市社会信用条例》《福州市社会信用管理办法》。两者在内容上虽有一定的差异，但在信用信息的管理和保护方面基本相同，即对公共信用信息的采集主要适用“目录制管理”，而对市场信用信息的采集主要适用“同意−禁止”管理模式。

整体而言，地方立法是对中央法律法规和规范性文件的落实。其中，地方立法在公共信用信息方面实现“目录制管理”与中央层面的社会信用体系建设纲要或指导意见相衔接，实施的“同意−禁止”管理则主要与《征信业管理条例》相衔接。但是，“目录制管理”和“同意−禁止”管理模式中的“禁止采集清单”采用的均是“明文列举+兜底概括”，不能从根本上解决信用信息范围不清的问题。加之，“在个人尊严与便利必须服从于公共利益或私性正义之处划出一条明确界线”是一项艰巨的任务[13]，在信用信息和隐私信息之间划分界限同样是一项艰巨的任务，甚至是不可能完成的任务。此外，中央和地方均将“不得侵害个人隐私”作为信用信息利用和保护的基本原则。这样一来，虽然对信息隐私保护具有立法指导和规则补充的功能，但仍旧依赖于具体的制度给予保障。与之不同，“同意−禁止”管理模式中的“一般性同意原则”和“特殊同意采集清单”所适用的“知情同意”规则，至少可以保障信用主体在信用信息被收集之前，形式上对一般的信用信息具有支配权和控制权。

(二)“知情同意”规则存在的不足

“知情同意”规则虽然为各国信息立法所追捧，也是我国社会信用立法中信息隐私保护的基本规则，然而，这一规则存在许多“乌托邦”式的愿景[36]，单纯依赖该规则还不能全面地保护信用主体的信息隐私。

1.信用主体管理和保护自身信用信息的负担加重

“知情同意”规则得以适用的前提是信用主体充分“知情”和有效“同意”，但实践中该前提通常难以满足。其一，不同意的成本过高，信用主体选择“同意”与否的权利受限。一方面，普通的网络信息收集机构一般要求用户注册相关账号之后选择“同意”提供隐私信息，并将此作为用户获取相关产品或服务的前提，“如果某人不同意个人数据共享的条件，他面对的是一个垄断者并陷入拒绝服务的境地。这限制了自由选择，甚至使之成为不可能”[37]。另一方面，公共信用信息管理部门与信用主体的地位相差悬殊，对信用信息的收集和利用存在一定的权威性和强制性。为避免相关公共优惠和便利的减损，信用主体很少拒绝向其提供信用信息。其二，信用主体知情困难，作出的同意决定存在意思表示瑕疵的问题。正如论者所指出的“世界上最大的数据库可能由没人阅读但法律要求作出的隐私政策组成”[38]，这些隐私政策中的不少内容晦涩难懂，信用主体大多会对此望而却步[39]，更不会基于对隐私政策的理解，作出“同意”与否的选择，故而存在意思表示瑕疵的问题。虽然一些法律规定了有效“同意”的认定标准，如欧盟GDPR 第4 条第11 项在定义“同意”时，规定了“同意”需要满足“自由作出的”“充分知悉的”“不模糊的”的特征。并在第7 条专门规定了“同意的条件”：①信息控制者负有证明数据主体“已经同意”的举证责任；②书面声明的同意应当满足容易理解、语言清晰等要求；③数据主体有权随时撤回其同意；④谨慎分析同意是否自由作出。从形式上保障信用主体的“同意权”得到实现，但均未考虑到信用主体是否真正具有“同意”的能力，而这才是“同意权”保障信用主体合理隐私期待的根本。其三，“同意”导致信用信息的控制权丧失，不利于信用主体对未来信用信息利益的保护。“知情同意”规则实际上“是对用户数据收集和使用的一次性取得授权，而不可能对不断自动产生的新数据逐一进行授权意见的征询”[12](10)。对于不擅于管理信息隐私的信用主体来说，这将意味着一次不经意的同意，涵摄极其宽泛的义务内容，而加剧被“收集、分析、使用和出售有关他们的信息的协议所产生的累积效应(cumulative effects)”[40]。同时，由于信用主体“缺乏评估收集、使用和披露其数据所带来的未来危害风险的能力”[41]，“不容易知道他们的数据在未来会如何与其他数据结合，从而得出令人惊讶和强大的推断，而这些推断可能会被用来损害他们的利益”[41]。因此，通过设置“知情同意”规则，让信用主体控制自己的信息，这在互联网传播环境中只是一种“梦想”，因为任何信息一旦进入信息流，信用主体就在事实上丧失了控制信息的能力[12](36)。

2.信用信息控制者侵害他人信息隐私的风险增大

“知情同意”规则是基于信用主体与信用信息控制者在信用信息利用和保护方面的合意(合同)展开的。而信用信息控制者在此类合同中通常是具有优势地位的一方，这加大了信用信息控制者侵害他人信息隐私的风险。其一，由于实践中“知情同意”规则的载体一般是信用主体只能选择同意或不同意的格式条款，加之我国隐私侵权责任采用的是“同意豁免”规则，导致信用信息控制者在制定“知情同意”规则时为规避隐私侵权的风险，更多地将其作为一种免责声明，而不是作为确保信用主体信息隐私安全的保证[42]，这在一定程度上加大了信用信息控制者侵害隐私的风险。其二，“知情同意”规则具有合同效力，信用信息控制者可能在授权范围内随意地使用信用信息，而不考虑这种使用会给信用主体带来潜在的风险[30](92)。并且，在合同关系中法律责难的依据主要在于行为人违背相应的约定义务。因此，在信用信息隐私保护高度依赖“知情同意”规则与其他权利的前提下，信用信息控制者可能会花大量成本于隐私政策与其他形式主义的合规上[30](109)，以便尽可能地减少需要承担的义务或扩大可利用的信用信息范围。其三，信用信息控制者利用其优势地位，不仅可以“迫使”信用主体“同意”，还可以在信用主体不知情的情况下设计接口，最大限度地收集信用信息，并诱使信息披露[42]，这增加了信用主体信息隐私泄露的风险。更因为所收集的信用信息往往涉及与信用主体相似或有联系的第三方的隐私信息，也会给第三方的隐私保护带来负面影响[42]。

3.信用信息控制者获取和利用的信用信息不完整

个人信用信息既包括良好信用信息也包括不良信用信息。在“大信用”时代，信用信息将作为社会资源配置和市场交易考虑的基础信息，信用主体为确保获取更多的社会资源和交易机会，通常具有强烈的动机隐藏不良信用信息。“知情同意”规则的适用，显然为这一动机的实现提供了可行的途径，其结果是最终收集的良好信用信息数量要远远超过不良信用信息的数量。不仅如此，基于“知情同意”规则，信用主体在法律明确规定必须提供的信用信息之外，享有选择提供或不提供某一部分信用信息的权利，以及选择提供这部分信用信息而不提供那部分信用信息的权利。这种选择权的设置将导致信用主体提供的信用信息多寡不一且缺乏统一性，进而不利于信用信息控制者对特定信用主体作出准确、公正的信用评价。

4.信用主体信息隐私被侵害后陷入权利救济困境

在实践中，只有当信用主体的核心隐私领域受到侵害且造成严重后果时，信用主体才可以申请启动与之对应的公力救济。对于信用信息控制者稍微超出授权范围利用信用信息的情形，信用主体一般难以获得公力救济。对于核心隐私以外的隐私被侵害或者核心隐私虽被侵害但未造成严重影响的，信用主体往往只能依赖私力救济。不仅如此，通过具有合同效力的隐私政策来保护隐私也存在困境，因为“当国家通过法令或行政法规强加不可免除的信息提供义务时，它实质上是提供了一种隐私保护的侵权理论。继续使用隐私保护的契约理论将不会有太大的帮助”[43]。

正如万方教授所言“告知逐渐成为信息处理者的一种公法上的义务，而同意则仍属于私法上个人信息自决权益的核心”[44]，不仅信用信息控制者很难合法合理地履行好这一义务，信用主体也缺乏相应的自决能力。这导致“知情同意”规则难以从根本上解决信用信息隐私保护的问题，从而为愈来愈多的学者所诟病。

四、信义义务的引入：信用信息隐私保护的优化路径

随着信用主体对信用信息的控制难度日益增大，隐私侵害事件频繁发生，信用主体对信息隐私保护会产生“徒劳和厌倦之感”[22]。同时，由于“公权力的‘侵权’本性和能力”[46]，纯粹的私力救济和民法保护很难从根本上促使公权力机关尊重和保护信用主体的隐私权。这些导致信用主体丧失了对自身信息隐私保护的信心，使得信息隐私陷入消极保护的困境之中。为此，我国有必要引入严厉的信义义务，以平衡信用主体和信用信息控制者之间的利益，重建信任关系，为解决信息隐私保护难题提供新的途径。

(一)信用信息隐私保护制度的构建依赖于信任关系的重建

在大数据时代，由于信用信息控制者对信息隐私的非法泄露和不当利用，信用主体遭受到各种垃圾信息的骚扰，饱受生活安宁被侵扰的折磨，甚至因此受到信息诈骗而蒙受人身财产损失。加上信用主体和信用信息控制者处于不对等地位，信用信息控制者可以单方面地掌控信用信息处理过程，而信用主体对该过程的绝大多数事项不知情，对于信用信息的流动亦无法实现“控制”[46]，且缺乏有效途径直接参与自身的信息管理。这些都使得信用主体对信用信息控制者产生不信任的感觉，通常不愿意提供自己的信用信息。

显然，信息隐私的披露或者共享，依赖于个人之间、个人和机构之间的信任关系，既要在信任的前提下披露或者共享信用信息，也要在信任的背景下保护好信息隐私，因为信任的期望就是隐私的合理期望[47]。在信用信息的利用和保护过程中，需要努力的是在客观和主观上提高信用主体对信用信息控制者的信任，让信用主体相信信用信息的利用有利于自己，不会因此给自己带来无穷无尽的困扰和伤害。

鉴于此，如何在信用主体和信用信息控制者之间建立信任关系，应该是解决信用信息利用和保护的又一重要问题。在理论上，现代社会的信任主要来自陌生人之间能够建立的信任——“系统信任”[48]，来自对权威的信任、对专业体系的信任以及对规则的信任。其中，对规则之下的法律和制度的信任最为重要[48]，也是产生信任的基础[49]。故信任关系的建立首先应考虑的就是法律制度的完善，通过法律制度来保障信任关系的长期存在。然而，“信任是指在对他人的不确定的未来行为造成负面结果的情况下，对他人的行为确实是肯定的”[50]。在利用个人信用信息时，有必要通过规定严格的法律义务和责任来约束信用信息控制者的行为，以确保信用信息控制者行为的合法性和合理性，进而获得信用主体对信用信息控制者的信任和肯定。

具体而言，一个值得信任的信用信息控制者应当符合以下要求：①诚实地向信用主体解释了其持有和使用信用信息的术语；②基于提供信息保密的假设，谨慎地利用和披露；③穷尽所有能力地保护提供的信用信息不被泄露和不当使用；④忠诚地将信用主体的利益置于自己利益之上，不损害信用主体的利益[51]。在实践中，增加信用信息控制者普通(或非信义)义务或者责任，以及加强对信用信息控制者的监管等传统措施是无法满足上述要求的。因为这样，虽然对信用信息控制者的处理行为具有一定的约束作用，但这种约束是弱化信用信息利用的信息保护性约束，可能阻碍信用信息在合法层面上的最大化利用。而且作为一种传统的保护方式，也难以超越现有的信用信息管理的义务和责任，要求信用信息控制者作为一个“善良的管理人”保护信用主体的信息隐私。与之不同，为了同时满足这些要求，在信用主体和信用信息控制者之间建立信义关系不失为一种经济有效的途径。因为在这种关系中，信用信息控制者负有法定且严格的信义义务和信义责任，需要为了信用主体的利益而行事，这样有助于消除信用主体对信用信息控制者侵害隐私的担忧，并在两者之间建立良性持久的信任关系。

(二)信用信息控制者与信用主体之间信义关系的证成

信义义务(fiduciary duty)起源于英国法中的衡平法(equity)[52]。由于其高度的灵活性，且以救济为导向(remedy-driven)，能够为特定法律关系中的受害人提供救济，从20世纪(尤其是后半叶)开始呈现出大规模扩张适用的趋势[52](60)。20世纪90年代初，肯尼思·劳顿(Kenneth C.Laudon)教授首创了“信息受托人”(information fiduciaries)的概念[53]，到目前为止，国外关于信息信托的研究已经初具体系，其中影响最为广泛的是耶鲁大学法学院教授杰克·巴尔金(Jack Balkin)的论述[40]。本文讨论的信用主体的信息隐私保护和救济问题，实际上存在于信用主体和信用信息控制者不平等的法律关系之中，故而有必要引入信义义务。

一般认为，作为信义义务产生基础的信义关系，是指“一方(受托人)享有对另一方(受益人)的重大实际利益的自由裁量权”[54]，包括法律上的信义关系和事实上的信义关系[55]。前者是指依据相应法律所形成的信义关系，产生于“当一个人接受或承担对另一个人重大实际利益的裁量权”[56]的情形。其中的“接受或承担”主要存在双方同意、单方承诺和法令三种方式。实践中通常是基于“双方同意”而建立的信义关系，即“一旦双方同意，则产生信义关系，并在转让方和受让方之间出现权力转移”[56]。后者是指在法律没有明文规定的情况下，法官通过“公平正义”和“良心”的理念，拟制推定当事人之间存在信义关系[55]，表现为一方因另一方的专业知识(knowledge)而产生信任，从而形成信义关系[57]。

部分论者认为信义关系产生于身份关系，然而该观点中的“身份关系”实际上可以定位为从义务人承诺中推断出的默示意思的基础。也就是说，此时的信义关系实际上是建立在义务人明显表现和客观行为的基础上[58]，而不是纯粹的身份关系上。因此，越来越多的学者“将信义义务视为直接基于同意和自愿承诺，而非基于身份或预期”[59]。本文所讨论的是学界已经形成共识的基于“双方同意”而成立的信义关系，也可以“视为”基于信用主体和信用信息控制者之间签订的信用信息管理合同而成立的信义关系。

在信用信息控制者和信用主体之间的关系论证中，可以假设其为一种信义关系。这种假设的主要理由是，当前我国信用主体和信用信息控制者之间的关系呈现出不平等性(inequality)、依赖性(dependence)以及脆弱性(vulnerability)等特征⑬，符合信义关系的基本特征[54]，也符合信义义务成立的逻辑[40]。具体表现为：首先，信用信息控制者具有专业的信用信息处理能力，而信用主体则基本只拥有是否“同意”的选择权，对信用信息处理和应用情况缺乏了解。信用信息控制者能够轻易知悉和监控信用主体的行为，而信用主体却很难核实信用信息收集、处理和应用的情况，并对信用信息控制者的信用信息利用和隐私保护进行监督，两者之间形成了一种不平等的关系。其次，在信用主体提供信用信息给信用信息控制者时，基于信用信息控制权的丧失，信用主体虽然存在各种担忧，但也只能依赖信用信息控制者合法合理地处理信用信息，“希望他们不会滥用我们的机密，或以伤害我们的方式泄露关于我们的信息”[40]。这使得信用主体在隐私保护上基本依赖于信用信息控制者。最后，信用主体在信用信息的自我控制、隐私侵害的风险承受以及信用信息的管理监督等方面的能力极其有限，相较于信用信息控制者来说十分脆弱，随时可能遭受信用信息监管者的隐私侵害，当然这种脆弱性也是前述依赖性和不平等性的必然结果[56](82)。然而，根据脆弱性理论(vulnerability theory)，为了保障信用主体的利益，防止信用信息控制者利用这种脆弱性谋取私利，必须对信用信息控制者规定信义义务⑭。当然，信用信息控制者也具有作为受托人的积极性。一方面，信用信息控制者相信自身的专业化信息处理水平，并认同自身的信托角色[40]；另一方面，基于建立的信义关系，作为受信人的信用信息控制者享有对作为受益人的信用主体信用信息的自由裁量权，有权将信用主体的信用信息视为自己的信息来管理。这不仅有助于其提高信用信息收集、使用和应用的效率，减少信用信息管理的成本，而且，由于严格信义义务的存在，信用主体也会提升对信用信息管理者的信任度。综上可见，在两者之间成立法律上的信义关系具有可行性基础。

(三)设定信义义务弥补了“知情同意”规则的不足

信义义务是一系列义务，旨在消除任何牺牲受益人利益的诱惑[59](45)。将信义义务引入信用信息控制者和信用主体关系之中，目的在于消除信用信息控制者利用信用主体信息隐私获利的诱惑，敦促信用信息控制者以“善良的管理人”身份管理好信用主体的信用信息。具体而言，在信用信息的利用和保护方面引入信义义务，可以破解上文提到的“知情同意”规则在信用信息隐私保护上的四种缺陷，具有合理性与可行性。

1.有效减轻信用主体管理和保护自身信用信息的负担

信义义务的引入，可以减轻信用主体不断处理信用信息的负担，缓解信用主体因信用信息失去控制以及怀疑隐私会受到侵害而产生的焦虑。因为信用主体对信用信息的托管，是基于信用信息控制者负有严格的忠实义务展开的，故信用主体有理由相信信用信息控制者在信义责任的约束和威慑下，能够尽职尽责地管理好信用信息。只要有充分的制度保障，信用主体完全可以放心地将其信用信息提供给信用信息控制者利用和管理，而无须面对不断选择是否“同意”收集和利用的困境[30](100)，从而减轻信用主体管理自身信用信息的负担。也可以解决上文所讨论的信用主体“知情”困难、“同意”受限等难题，避免信用主体基于瑕疵的意思作出“同意”收集与利用的决定，而失去对自身信用信息的有效控制，造成信息隐私陷入被动保护的局面。

2.有效降低信用信息控制者侵害他人信息隐私的风险

基于严格的信义义务，信用信息控制者需要对信用主体承担“善良的管理人”义务，这要求信用信息控制者对信用主体信息隐私的保护不能仅局限于以“知情同意”为核心的约定义务，还要承担忠实义务和注意义务等信义关系中的法定义务，这样可以有效避免和降低信用信息控制者仅规避形式上的约定义务而实施隐私侵害行为的现象发生。同时，也可以保护与信用主体信用信息存在关联性的第三人信息隐私。一般而言，信用信息源自信用主体的经济与社会活动，存在于信用主体参加各种经济与社会活动所形成的“行为轨迹”之中。故信用主体的信用信息通常会“掺入”与之存在交往关系的第三人信息，甚至包含了第三人的信息隐私。因此，信用信息利用过程中的信息隐私保护对象不应局限于信用主体，还应当包括与之存在交往关系的第三人。然而，“知情同意”规则却将此类信息的处理权利不加区分地赋予信用主体，实际上无法保障与信用信息存在关联性的第三人的权利。通过建立信义关系，让信用信息控制者统筹处理和保护各方信息隐私，可有效地减少或避免第三人信息隐私被不当收集和利用的情况发生。

3.确保信用信息控制者收集和利用信用信息的完整性

信用信息控制者基于信义关系，享有“信息受托人”的自由裁量权，这样有助于免除信用信息控制者采集和使用信息的合规困境[30](100)，丰富信用信息控制者的信用信息库，保障信用信息控制者高效地获取和利用更为完整的信用信息。这可以避免在“知情同意”规则下，信用主体基于信息自决权，热衷于选择性地提供良好信用信息，而拒绝提供或缺漏提供不良信用信息，最终影响到信用评级的公正性和准确性。这些完整的信用信息也有助于推动信用信息的规模化和产业化运作，促进信用信息服务行业的成长和创新[60]，能够为社会提供更多满足市场经济发展和社会治理的信用商品和服务。

4.确保信用主体信息隐私被侵害后得到充分救济

信义义务(责任)的引入将信息隐私保护的责任转向信用信息控制者，这突破了传统信息流通缓慢背景下“政府−用户”的两端隐私保护模式，更加契合海量信用信息高速流通的大数据时代隐私需要及时保护的要求[61]。而且，信用信息控制者在违背信义义务之后，所应承担的责任也将不再单纯地根据合同条款进行判断，还应基于司法(执行)程序依据审慎义务与忠诚义务的标准进行判断。如此一来，可以督促信用信息控制者在信用信息的处理过程中，对信用主体提供的所有信息持谨慎态度，综合考虑这些行为现在以及未来是否存在侵害信用主体信息隐私的风险，并将风险控制到最低。这些都有助于控制信用信息控制者牺牲信用主体利益而获利的机会主义(opportunism)倾向[62]，最大限度地保障信用主体的权益。

除此之外，引入信义义务有助于另辟蹊径地解决信用信息和信息隐私界定不清的困境。如上文所述，即便是在法学理论上，在信用信息和信息隐私之间划分泾渭分明的界限，也是困难重重的。让信用主体基于“知情同意”规则，全面考虑信用信息披露所带来的不利影响，或准确地判断哪些信息属于自己的隐私而拒绝同意采集和使用，属于无法实现的期望。因此，需要信用信息控制者引入具有专门知识的工作人员，从专业的角度去识别和保护具体场景中的信息隐私，并依据所处理的信用信息特征(包括性质、范围和目的)，处理行为的隐私侵害可能或致损风险等级，以及以法定或信用行业规定方式定期审查结果，进行相应升级或适当调整，以提高信息隐私保护水平[63]。

(四)信义关系下信用信息控制者的义务责任框架构建

将信用义务引入信用主体和信用信息控制者的关系中，并非完全否认以“知情同意”规则为核心的信息自决隐私保护框架，而是要求信用信息控制者以信息受托人的身份参与信用信息隐私保护，以此提高信用信息控制者的义务标准，并据此增加其问责制[63]。具体而言，信用信息控制者应当基于“双方同意”与信用主体成立信义关系。由于“在当事人的交易持续性和固有自由裁量权导致难以订立完全合同的情况下，法律将信义义务确立为默示法律”[59](51)，并通过“默示法律”的方式，解决“私人秩序”下意思自治的“市场失灵”问题[64]。这使得信义义务虽然基于合意成立，并以合同为载体，但不同于普通的合同关系，因为其内容不仅包含约定义务，还包含法定义务[64]。信用信息控制者需要履行超出约定义务之外的忠实义务和注意义务(或者勤勉义务)，并在其违反这些义务时承担信义 责任。

首先，在信义义务的基础理论层面。关于忠义义务，有论者认为“忠义义务不仅仅是其(信义义务)必要构成部分，还是信义实践的核心元素”，其内容包括“避免受信人利益冲突”“积极奉献”“诚实守信”“公平正义”等[65]。也有论者认为忠义义务禁止代理人滥用代理权，并要求受托人为了委托人的“最大”利益或甚至“只”为委托人的利益而行动，由此来协调利益冲突。这主要包括避免利益冲突规则(the conflict of interest rule)和避免义务冲突规则(the conflict of duty rule)，前者是指“受托人避免牟取个人利益与履行为受益人利益行事的义务之间的冲突”[54]，即在交易中，受托人自身利益和受益人利益发生冲突时，受托人不应获取或有责任返还该项交易(未授权)的收益。后者则是指“要求受托人避免个人义务与牟取他人利益之间的冲突”[54]。两者实际上存在一定的重叠，核心内容都包括受托人应当为委托人利益行事。而相较于信义立法国家所普遍规定且内容相对确定的忠实义务，注意义务的内涵更为模糊，也还没有被各国立法所普遍规定⑮。就其内容而言，注意义务的标准主要包括“合理”(reasonableness)和“谨慎”(prudence)两项，且通常依据行业规范和实践的要求，参照理智的或谨慎的人在相似情况下可能采取的何种行为来确定[66]。由于信用信息控制者之间的经验与能力差别很大，而且不同场景中信用信息控制者所管理的信用信息情形不一样，因此，注意义务的内涵应当在个案中作出具体判断[52](39−40)。但这并不意味着可以随意作出判断，而应当保证信用信息控制者的注意水平处于行业最低注意水平和最优注意水平的“滑尺”之间[52](131)。

其次，在信用信息处理的具体操作层面。一方面，信用信息控制者应当遵守忠实义务。在信用信息的利用过程中，信用信息控制者必须以信用主体的利益为中心，为信用主体的利益行事。在未经信用主体授权的情况下，获取的利益应当返还给信用主体。其具体内容至少包括：①不得滥采滥用信用主体的信息。在信息采集和利用时应当遵循信用相关性原则和最小损害原则，避免各种信息未来的不当聚合给信用主体带来信息隐私侵害。②不得通过所掌握的信用信息窃取信用主体的机会。信用信息控制者的职责在于客观地收集、分析信用主体的信用信息，为合法的需求者提供准确可靠的信用信息或信用产品。除法律法规要求其主动公示相关信用信息，信用信息控制者不宜以信用主体具有不良信用记录，主动地去干扰信用主体的经济社会活动，甚至阻碍信用主体的发展机会。③设计的信用信息管理系统必须避免与信用主体产生利益冲突。如应当禁止设计系统漏洞，以诱导信用主体提供与信用不相关或者可归属于核心隐私的信息。另一方面，信用信息控制者应当遵守注意义务。这要求信用信息控制者在信用信息处理过程中，遵守合法性、信用关联性、使用限制性、信息最小化与准确性原则，比照“理性人”谨慎态度合理行事，甚至要求信用信息控制者“以受托人的特殊能力为基础”[67]来管理信用信息，减少信用信息“不当累积”给信用主体带来的信息隐私侵害。与此同时，也应当避免对信用信息控制者提出极为苛刻的要求，而削减其收集和利用信用信息的积极性。其具体义务主要包括：①技能要求。谨慎的信用信息控制者应当具备必要的技能和专业知识。这要求相关从业人员参加隐私信息保护培训，获取相应的准入和从业资格。②风险性要求。信用信息的利用必然具有隐私侵害的风险，信用信息控制者应当将隐私侵害的风险控制在合理范围。③流动性要求。信用信息的价值在于共享利用，信用信息控制者应当合法合理地推动信用信息的流通和共享，而非让获取的信用信息停滞不动，阻碍信用信息的有效利用。

最后，信用信息控制者在违反忠实义务和注意义务时应当承担信义责任。严格的信用义务需要有完善的责任体系予以保障，在“英美法系，违反信义义务的责任形式有很多种，包括利益归入、推定信托、禁止令、损失赔偿、恢复原状、解散公司和刑事处罚等”[68]。我国《信托法》虽然没有明确表述“忠实义务”和“注意义务”，但规定了信托义务的主要内容包括“为受益人的最大利益处理信托事务”“不得利用信托财产为自己谋取利益”以及“不得将信托财产转为其固有财产”等⑯，还规定了违背义务的受信人应当承担“所得利益归入信托财产”、恢复原状、给予赔偿的责任，这些都与国外信义义务的承担方式相通。基于此，我国可以在未来的全国性社会信用立法中明确规定，当信用信息控制者违背信义义务、侵害信用主体利益时，适用现有的信托责任。除此之外，还可考虑引入惩罚性赔偿[63]，以惩罚违反信义义务的信用信息控制者，对其潜在的侵害信用主体隐私的行为形成足够的威慑[52](46)。

五、结语

随着“大信用”时代的到来，包括个人信用信息在内的社会信用信息被普遍利用已成趋势。在这种背景下，由于大数据(信息)的聚合和智能处理，信用主体在一定程度上丧失了对信用信息的控制能力，继续单纯地寄希望于通过“信息自决”来保护信息隐私，已经无法从根本上解决问题。为了更有效地保护信息隐私，有必要根据“双方同意”建立信义关系，来处理信用信息利用和信息隐私保护问题。这样一来，可以在“国家与社会合作的主要领域”——征信机制和社会诚信监督机制中[69]，将信用主体针对国家的正当程序权利主张转嫁到信用信息控制者身上。而且通过借鉴合作治理中的意思自治与国家监管[70]，将个人正当程序权利与合作治理方法结合起来，形成类似公共参与治理的“二元治理”(binary governance)结构[71]。在这一结构中，信用信息控制者在收集、处理和应用信用主体信用信息时，应当充当“善良的管理人”，履行包括忠义义务和注意义务在内的信义义务，以实现保护信用主体信息隐私之目的[72]。同时，信用信息控制者基于信义关系，获得处理信用主体信用信息的自由裁量权，可以发挥其信息处理的专业能力，合法高效地利用信用信息。因此，引入信义义务，可以有效地解决信用信息利用和信息隐私保护的利益平衡问题。

注释：

① 参见《社会信用体系建设规划纲要(2014—2020年)》《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》。

② 参见《社会信用体系建设规划纲要(2014—2020年)》第一部分“社会信用体系建设总体思路”第一点“发展现状”。

③ “可识别性即指与特定个体具有一定的关联性与专属性，通过这些信息符号能够把信息主体直接识别出来，或者与其他信息互相结合间接识别出能够评价其经济能力和履约能力。”详见张勇：《个人信用信息法益及刑法保护：以互联网征信为视角》，载《东方法学》2019年第1 期。

④ 参见《民法典》第1033 条规定“除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：……(五)处理他人的私密信息；……”

⑤ 《征信业管理条例》第16 条第1 款规定“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除”。《浙江省公共信用信息管理条例》第16 条规定“不良信息的保存和披露期限为五年，……不良信息保存和披露期限届满后，应当在信用档案中及时删除该信息。……”

⑥ 一般认为，第一次工业革命的标志是蒸汽机的广泛使用；第二次工业革命的标志是电力的发明和广泛应用；第三次工业革命的标志是信息技术的使用。

⑦ See Part 2.“Basic principles of national application ” of Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

⑧ See Art 7 of Data Protection Directive.

⑨ See Part iii “APEC information privacy principles” of APEC Privacy Framework.

⑩ See Art.6 “Lawfulness of processing” of GDPR.

⑪ 参见《社会信用体系建设规划纲要(2014—2020年)》第5 部分“完善以奖惩制度为重点的社会信用体系运行机制”第2 点“建立健全信用法律法规和标准体系”；《国务院办公厅关于进一步完善失信约束制度构建诚信建设长效机制的指导意见》第2 部分“科学界定公共信用信息纳入范围和程序”和第3 部分“规范公共信用信息共享公开范围和程序”。其中，前者强调的是对“信用信息”实施目录制管理，后者强调的是对“公共信用信息”实施目录制管理。

⑫ 我国《征信业管理条例》第13 条第1 款“采集个人信息应当经信息主体本人同意，未经本人同意不得采集。但是，依照法律、行政法规规定公开的信息除外”。《国务院办公厅关于进一步完善失信约束制度构建诚信建设长效机制的指导意见》第14 项“加大个人隐私保护力度”规定，“各地区、各有关部门应当遵循合法、正当、必要、最小化原则，严格按照公共信用信息目录收集使用个人信用信息，明示收集使用信息的目的、方式和范围并经本人同意，法律、法规另有规定的从其规定。……”

⑬ “脆弱性”是指“对伤害的易受性”，See Lac Minerals Ltd v International Corona Resources Ltd,[1989]2 SCR574,61 DLR (4th) 14,La Forest J [Lac Minerals cited to SCR].at 663.索宾卡(Sopinka)法官认为依赖性和脆弱性为信义关系存在不可或缺的要素，See Paul B.Miller:“A Theory of Fiduciary Liability”.McGill Law Journal,Vol.56,No.2.2011.

⑭ “脆弱性理论(vulnerability theory)，即受益人相对于受托人而言，地位不平等，具有脆弱性，必须依赖于受托人的能力与决策，譬如监护关系中的被监护人与监护人，为了保障受益人的利益，防止委托人利用这种脆弱性谋取利益，必须对其课以信义义务。” 详见徐化耿:《信义义务研究》，北京：清华大学出版社2021年版，第80 页。“脆弱性理论(vulnerability theory)认为，当某法律关系中存在脆弱性时，则应该适用信义义务。”详见史欣媛：《我国股权众筹投资者适当性制度的构建》，载《现代经济探讨》2017年第2 期。

⑮ 英国法上信义义务仅包括忠实义务一项；美国法上则包括忠实义务和注意义务(勤勉、谨慎义务)；我国《信托法》将忠实义务和注意义务同时放置于信义义务之下，更接近美国。参见徐化耿:《信义义务研究》，北京：清华大学出版社2021年版，第38 页。

⑯ 《中华人民共和国信托法》第25 条规定，“ 受托人应当遵守信托文件的规定，为受益人的最大利益处理信托事务。受托人管理信托财产，必须恪尽职守，履行诚实、信用、谨慎、有效管理的义务”。第26 条规定，“ 受托人除依照本法规定取得报酬外，不得利用信托财产为自己谋取利益。受托人违反前款规定，利用信托财产为自己谋取利益的，所得利益归入信托财产”。第27 条规定，“受托人不得将信托财产转为其固有财产。受托人将信托财产转为其固有财产的，必须恢复该信托财产的原状；造成信托财产损失的，应当承担赔偿责任”。