冉克平

一、问题的提出

在人类社会的形成发展过程中，个人、团体的信用状况构成各方实施资源交换的重要基石，其功能在于为陌生人之间决定是否建立信任关系提供合理的预期利益。①在行动者拒绝授予相对人信任的情况下，原有的利益不变；在行动者授予相对人信任的情况下，预期获得的利益等于可能所得与成功概率的乘积减去可能所失与失败概率的乘积；如果被减数大于减数，即成功概率与失败概率的比例大于可能所失与可能所得的比例，一个理性行动者应该给予相对人信任。参见〔美〕詹姆斯·S.科尔曼：《社会理论的基础》上，邓方译，北京：社会科学文献出版社，2008年，第93页。我国的信用文化源远流长。《论语·为政》有云：“人而无信，不知其可也。”传统儒家文化将信用作为五常（仁义礼智信）之道，是个人立身之本。在现代社会中，信任已成为与人力资本并列的社会资本，甚至被视为国家繁盛和竞争力的重要表征。〔1〕

我国现有法律不乏与“信用”有关的规范，个人信用保护问题在司法实务中也已积累了一些经验。《民法典》第1024条指出名誉权的客体包括信用评价，表明在立法政策上“信用权”并非单独作为一项民事权利加以规定，而是被置于名誉权的范围内，这是沿袭《民法通则》和《侵权责任法》的立法选择的结果。〔2〕《民法典》将“信用”归属于名誉权范畴，首次明确了信用权的体系定位，标志着我国信用权制度的重大发展。

随着网络信息技术的不断进步和数字经济的蓬勃发展，“数字化声誉”成为衡量个体信用的重要指标，并在市场交易和社会治理中发挥着不可或缺的作用。〔3〕个人可被采集与聚合的信息如购物习惯、财务状况、守信情况、健康状态等均可成为个人信用评价的自变量。基于“数字信誉”的重要价值，市场上涌现出诸如“蚂蚁信用”“腾讯信用”等数字化信用评分机制。〔4〕在算法和大数据的背景下，个人信用信息催生了商业新模式“信誉经济”的快速崛起。随着《民法典》《个人信息保护法》等法律的实施，如何平衡个人信用信息的法律保护与合理利用，尤其是个人信用信息为满足公共利益需求而被征信机构所利用，成为规制数字时代个人信用权理论与实务研究的重点。本文拟从个人信用信息公共属性的视角解读和评价现有的个人信用权制度，以期抛砖引玉。

二、个人信用权的构造及其载体的公共属性

（一）个人信用权的法律构造

传统的个人信用以征信机构、商业银行以及用户个人等多方主体形成征信系统。信息提供者的核心是商业银行，还包括担保机构、法院等，征信机构则接收、保存、识别、评价来自于信息提供者的用户的信用资料。这些反映用户在不同金融机构的借款、担保等信息构成了征信机构对个人信用作出评价的依据。征信机构充当“信息交换的枢纽”，对用户个人的信用评估具有专门性与排他性。①《征信业管理条例》第7 条第4 款规定：“未经国务院征信业监督管理部门批准，任何单位和个人不得经营个人征信业务。”《深圳市个人信用征信及信用评级管理办法》第5条规定：“任何单位从事个人信用征信及评级业务，须经深圳市人民政府和中国人民银行深圳市中心支行批准，并依法办理工商登记手续。个人不得从事个人信用征信及评级业务。”个人信用的评价对象是自然人的偿债能力与偿债意愿，并以此划分信用等级的高低。〔5〕此种专业性的个人信用评价属于法律建构的信用权，实质上是通过征信制度体系对个人的信用状态进行量化评估并由国家权力予以背书，体现了近代社会“形式合理性”的发展趋势。

在我国《民法典》体系中，狭义名誉权（品德、声望、才能）与信用权相对应。但是狭义的个人名誉权与个人信用权具有明显差异，具体而言。（1）前者作为绝对权，系一定范围的社会公众在道德伦理层面对权利人作出的社会评价，属于哈耶克所说的“自生自发秩序”，具有分散性与不可计量性；后者属于人为建构的权利，产生于征信机构和信息提供者，系专业机构在经济层面对权利人作出的社会评价，属于组织秩序的构成部分，具有集中性与可计量性。个人信用权的法律结构与个人荣誉权类似，不同的是个人信用权是征信机构针对个人的信用信息确认的积极或消极的信用评价，而荣誉权是管理机构针对有突出贡献或表现的个人创造的积极正面的荣誉评价。〔6〕（2）前者具有防止权利不受侵害的消极权能，并不包含如同姓名权所具有的决定、变更、使用的积极权能；后者的义务人（征信机构与信息提供者）可能因为信息不准确等原因产生评估风险，仅仅依靠消极权能保护个人信用权会显得捉襟见肘，还应增加更正、删除等作为个人信用权的积极权能。〔7〕（3）前者以及其他人格权如生命权、肖像权以及隐私权等均是自然人与生俱来的固有权利，如同民事权利能力须臾不可分离，始于人的出生，终于死亡；〔8〕后者并不具有人格权的固有性，而是以信贷或者赊销等交易为前提，这是该权利与其他人格权最为明显的差异。（4）前者与人格不可分离，不能丧失更不能被非法剥夺，因为人格权根源于道德权利，诉诸“我之为人”的人的尊严；〔9〕后者可以与人格适当分离。当个人被宣告破产，个人信用评价存在重大瑕疵，信用权所承载的经济价值已十分微渺。但是，当法定的期限结束后，失信的个人又可以重建信用。②2021 年实施的《深圳经济特区个人破产条例》第95 条规定：“自人民法院宣告债务人破产之日起三年，为免除债务人未清偿债务的考察期限。”这表明个人信用权的人格依附性较弱。

近年来，互联网和人工智能等技术的飞速发展极大地改变了人们的行为模式和生活方式，我们日益处于现实世界与虚拟世界的双层空间之中。在以信息资源为核心的数字经济时代，大数据在商业领域变现盈利有两个重要途径：一是精准营销，二是信用评估。〔10〕电子商务平台（简称“平台机构”）和互联网金融的兴起催生了市场化的征信机构。平台机构在社会交往中扮演着日渐重要的角色，凭借规模化与系统化的收集、处理个人信息的能力，可以时刻对个人各个维度和场景的数据（金融借贷、转账支付、投资、购物、出行、住宿、生活、公益等）进行记录、追踪和评价，在降低征信制度运行成本的同时使得个人信用信息得到了更为及时、准确和广泛的刻画。〔11〕征信机构针对个人的信用评价所构造的是个人“经济声誉”，是信用评价机构在债务履行风险层面对信用主体作出的专业性社会评价。在个人经济信用评价之外，公共管理机构还将信用主体的违法违规违纪违约等更为宽泛意义上的失信行为，甚至道德义务方面的行为纳入综合性社会评价体系，构建个人的“公共声誉”。经济声誉与公共声誉都旨在对个人的既往行为赋予特定意义，并通过人工智能和算法对个人的信用和诚信状况进行衡量和评估，是个人维护自身社会评价的基础。但值得注意的是，经济声誉是以基于偿债能力和偿债意愿的个人自我形象呈现，公共声誉已经超出了这一指涉范围，应当归属于社会诚信体系的范畴。

（二）个人信用信息的公共属性

在传统社会中，对个人的声誉评价依赖于共同体内部的近距离观察或熟人之间的口耳相传。但是，在信息高速流通的数字时代，为预防乃至消除市场主体之间信息不对称的弊端，建立激励市场主体的“声誉机制”，以个人信用信息为载体构建数字化的声誉评分机制势在必行。官方的征信机构可以与取得合法征信业务资质的市场机构开展商业合作，利用商业平台获取个人信用信息。由此生成的数字信用评价产品可以依法提供给金融信贷交易之外的其他信息使用者作为重要参考，例如，在融资租赁、租房、交通、商业服务甚至公共事业服务等场景中为交易双方提供信用服务。〔12〕个人在信用系统下的数字化镜像已经成为个体参与经济和社会活动的新型人格和身份标识，并脱离个人的实体而日益工具化。〔13〕个人信用权以位于数字世界内容层的个人信息为载体，这是数字时代的个人信用权与传统社会的信用评价最大的差异之处。

个人信息作为个人信用权的载体，在技术上具有非独占性和非排他性，其一旦产生就具有自然流动的特性，他人不可能独占。因此，在个人信息保护领域一直存在着信息主体对个人信息收集、使用的控制、自决与数据企业意图最大可能地自由使用个人信息之间的冲突。〔14〕然而，个人是否对个人信息享有相应的权益，在学理上存在较大的分歧。①个人信息究竟是权利抑或权益在民法理论界存在较大争议。前说参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，《法学研究》2018年第2期；后说参见杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，《比较法研究》2015年第6期。还有学者认为，个人信息是包括个人信息主体知情权、决定、查询、更正、复制、删除等权能在内的一组权利束。在功能上，个人信息权利束既是个人制衡信息处理者的工具，也是国家对数据处理者的规制策略，参见王锡锌：《国家保护视野中的个人信息权利束》，《中国社会科学》2021年第11期。本文赞同个人信息权利束说。在大数据时代，不仅在技术上无法实现个人信息完全由个人控制，而且缺乏经济效益。所谓的个人信息自决权至多只是学术上关于个人信息支配的误导性理论表述，而不是私权体系中的具体权利类型，更不是受侵权行为法保护的民事权利。〔15〕个人信息权益呈现出一种概括性、框架性、集合性的权益结构，是目的与手段相结合的、具有多元多层级构造的权益集合。从目的性法益角度看，个人信息权益既包括风险预防层面上宪法规定的公民尊严相关的权益，也包括损害救济层面上的隐私权、名誉权、财产权等民事法益；从手段性法益角度看，《个人信息保护法》所规定的“个人在个人信息处理活动中的权利”这一概念主要是国家落实个人信息积极保护义务而对个人进行赋权的产物。〔16〕个人信息权益并非绝对且完全排他，而是要受到诸如国家安全、言论自由、经济交易安全等方面的限制，立法或司法也要考虑到个人利益与社会利益之间的平衡。〔17〕当信息被用来标识、记录、描述某个人时，这些信息仍然可以被用来标识、记录、描述其他人，因此该信息并不归属于某个人。信息的公共性和可共享性决定了个人信息本身的公共属性。〔18〕个人信息的公共性与分享性使其传播和利用具备正当性，例如通过平台机构实现数据的互惠分享，这构成互联网赖以生存的基础生态规则。〔19〕平台机构在为用户提供服务的同时，也同步实现了对用户个人信息的归集。在自动化算法的驱动之下，个人的数字声誉画像被纳入平台机构的总体运行目标之中，个人的隐私选择在很大程度上取决于平台机构目标的动态调适。〔20〕数字时代个人信息的焦点不只是如何保护个人控制的权利，更是如何设计和维护更合理的社会信息沟通系统。由于绝大多数的个人信息均处于完全的个人控制（绝对隐私信息）与绝对的社会控制（公共数据）的谱系之间，因此不同个人信息的公共属性仍然存在着强弱程度的差异。

个人信用信息是个人在社会网络中因特定行为而形成的数字化声誉的载体，如果个人信用信息被不当地呈现，就会给金融贷款人和其他授信人带来严重的信用风险。征信机构作为个人信用信息的交换枢纽，应当全面反映个人在不同场景的信用信息，否则金融机构和其他授信人就无法对欲开展的业务进行全面、准确的风险评估。出于掩饰隐藏自身负面形象的强烈动机，个人通常不会同意披露对其信用评价不利的信用信息，因此个人信息使用的知情同意机制就会失灵。但是，个人信用信息的公共属性会限制个人对其信用信息的自决权或控制权，法律赋予征信机构强制性地采集个人相关信用信息的权力，将某些具有强烈公共属性的个人信用信息转化为信息公共资源，对其进行强制披露而不需要经过个人的同意。基本的个人信用信息、网络认证信息以及连接信息等共同构成数字时代市场和社会展开的基础设施，此类公共信息是公共管理和服务机构在依法履行职责过程中获得的各类信息资源，具有典型的公共利益属性。〔21〕由于这些功能旨在维系数字市场的生长与扩展，因此需要将个人信息纳入强制收集和使用的范畴，而非简单由个人同意决定，以免产生“反公地悲剧”。

三、征信机构对个人信用信息的合理利用及其范围

（一）征信机构对个人公共信用信息的利用及其限度

公共管理和服务机构面向社会提供原始性、机器可读取的公共信息，以促进大数据的开放利用与技术发展创新。公共管理和服务机构应当按照相关技术标准和要求，对列入开放清单的公共信息进行整理、清洗、脱敏、格式转换等处理，并根据开放清单明确的更新频率及时更新数据。〔22〕然而，在高度流动性的社会和市场中，仅仅依赖社会主体自行披露信息并不足以确保交易和交往安全，在某些领域需要对特定信息进行强制披露。〔23〕在我国，公共信用系统由行政机关运行和监管，个人公共信用信息的归集范围由法律明文规定，通过合法程序和权威加以认定，并对其进行标准化处理。个人公共信用信息的创制是将个人行为通过一定程序纳入行政法律关系的过程。如果由个人主动披露可能会存在隐瞒现象，而由社会公众予以披露则存在低效的弊端，因此通过公共机关以特定方式对基本的个人信用信息进行强制性披露就成为理性的选择。近年来，公共信用信息范围加速扩张的趋势非常明显。依据国家发展改革委、中国人民银行编制的《全国公共信用信息基础目录（2022 年版）》，除个人的基础信息和职业资格信息以外，公共信用信息可以分为履行道德义务的良好信息、履行法律法规义务的信息、履行约定义务的信息三类。“遵守法律法规情况信息”被纳入公共信用信息的采集范围属于“基础目录”的重大变化。对此持肯定态度的学者认为，蕴含道德义务和法定义务的社会诚信机制可以减轻行政和司法的运行成本，施加“声誉”风险可以改变相应主体的行为并起到社会惩戒的效果，还可以鼓励社会成员达到更高的道德水平。〔24〕然而，违反法律法规以及约定的情形非常广泛，并非所有的违法违规行为都属于失信行为，两者并不必然关联。尽管失信行为与违法犯罪行为有一些重合之处，但是前者偏于言行不一和违反承诺的举动；后者偏于违反国家制定规则的行为。将违约行为全部视为失信行为则没有考虑合同法的复杂性，如果当事人基于理性的选择实施效率违约，只要委托人和代理人能成功地就合同进行重新协商，损害赔偿这种违约救济方式就只会影响分配而不会导致无效率。〔25〕

个人信用信息以个人清偿债务的能力和意愿为核心，旨在为市场主体预防和控制金融交易风险提供信用支持。征信机构对公共信用信息的使用应当遵循征信目的限制原则，与个人信用评价欠缺足够关联性与必要性的公共信用信息应当被排除在个人信用信息的范围之外，这在本质上属于比例原则的具体展开。征信机构对违法行为信息的归集应当符合判断个人清偿债务的能力和意愿的目的，并基于个人信息利用的合法、正当、最小以及必要性原则予以综合考量。将传统的商业欺诈、制假售假、偷逃骗税、虚报冒领等与支付能力、支付意愿等相关的行为视为个人信用评价的要素具有正当性，但是将个人公共信用信息的范围急剧扩张至所有的违法犯罪行为乃至不文明、不道德的行为，会导致个人信用信息的认定泛化并承载过多的功能。①例如，北京市交通委员会发布实施的《关于轨道交通不文明乘车行为记录个人信用不良信息的实施意见》，将“在列车车厢进食”“大声外放视频或音乐”作为“记录个人信用不良信息的不文明乘车行为”。

（二）同意规则之下征信机构利用个人信用信息的范围

在数字化背景之下，可以大规模、系统化处理信用信息的平台机构已成为最重要的信息提供者。然而，央行相关人员一方面不承认数字信誉评分为征信业务，并认为大数据不可直接用于征信；另一方面亦承认数据公司可以通过数据挖掘、加工、产品开发等方式为信贷机构或其他机构提供风险管理等服务，从而对征信具有一定的辅助作用。〔26〕对此有学者认为，大数据分析预测的行为不符合严格的征信定义。〔27〕还有学者认为，征信业务涉及的是信贷类数据的采集，不宜将大数据评分和画像认定为征信业务。相反，应当在立法上明确大数据评分和画像与征信业务的界限，并通过制定专门的规范引导其沿着正确的轨道发展。〔28〕

依据算法与大数据，信用评价成为跨行业、跨时空、跨媒介的数据集成过程，极大地扩大了信用评价机制的适用范围。平台机构对可以评判个人或者企业交易信用风险的数据进行全方位地采集并提供给征信机构；后者通过算法设置信用评价模型，利用概率统计知识来分析和预测单个行为的相关性，使个人或者企业原来碎片化的声誉信息被有效地系统化整合。〔29〕为了适应平台机构的发展与互联网金融的需求，自2018 年以来，中国人民银行以芝麻信用、腾讯征信等数据公司为基础批准设立了百行征信与朴道征信两家公司，标志着征信机构的市场化，个人信用信息提供者的范围迅速扩张。已经获取征信牌照的商业平台机构利用控制大数据和算法技术的优势，以“信用分”的形式运行并发挥征信的功能，信息提供者与信用评价者合二为一。征信机构及信息提供者采集的个人经济信用信息包括基本信息、信贷信息（借贷、担保等）以及其他可以用以判断个人信用交易风险的信息，后者又被称为“替代信息”，可以覆盖有关个人或企业在公安、司法、工商、电力、税务、银联等领域的基础数据。征信机构采集和利用替代信息刻画企业和个人的信用状况已经成为大数据时代的新趋势。

如果个人信用信息的公共属性较弱，并非依法公开的信息，就需要在信息主体同意的场景之下由征信机构进行合理利用。同意属于意思表示，旨在践行个人的行动自由和信息自决，以实现其所欲实现的法律效果。〔30〕但在实际操作中，同意的认定标准并非泾渭分明，常常被个人信用信息保护与征信体系利益实现这两个价值维度来回拉扯。

现行法并未直接明确可供征信机构、信息提供者进行采集、交易的信用信息范围，而是采取正面概括列举与反面排除相结合的模式。《征信业管理条例》第14 条第1 款规定征信机构、信息提供者禁止采集的个人信息，包括个人的宗教信仰、基因、指纹、血型、疾病和病史信息等法律、行政法规禁止采集的个人信息，这些均被排除在同意权的范围之外。该条第2 款进一步列举征信机构、信息提供者采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息时，需要明确告知个人提供该信息可能产生的不利后果，并取得其书面同意。依据《个人信息保护法》第6条规定，个人信用权人行使同意权所涉个人信息的范围首先应受限于征信信息处理目的。随着数字信用的发展，征信目的已经从最初较为狭窄的“为商业银行和个人提供信用报告查询服务”（《个人信用信息基础数据库管理暂行办法》第3条）演变为更加广泛意义上的“为金融等活动提供服务”（《征信业务管理办法》第2条）。考虑到我国数字征信业务仍处于发展起步阶段，个人信用权体系有待进一步探索与完善，在适用目的限制原则时，应当充分考虑数据企业财产权和征信业发展对市场自由度与灵活度的需要，整体上应当采取较为宽松的价值标准。在法律适用上，对约束个人信息处理活动的处理目的进行解释时，应当留有必要的弹性空间，以促进创新和个人信息的合理利用。〔31〕个人信息能够被转化为信用信息，应当考虑以下因素：信息的生产成本和技术普及情况；信息是否具有一定的普遍性；信息是否对个人偿债能力和偿债意愿的判断具有作用，并能够潜在影响人的偿债行为等。在具体场景中，可以将个人信息作如下划分。（1）高度敏感的个人信息，例如个人的婚育信息、性取向信息等，高度表征着个人的人格尊严且一旦被不当泄露或使用将会对个人人格造成严重危害。加之征信目的与此类信息关联甚微，因此应当将其排除于同意范围之外。不满14 周岁的未成年人的个人信息也具有相似的敏感程度，应当作相同处理。（2）中度敏感的个人信息一般不与人格尊严紧密联系，主要牵涉个人的人身、财产安全，例如消费交易记录、融资贷款信息、履约信息、资产投资状况等。对于此类信息，应当明确告知并经信息主体单独书面同意方能进行采集。同时，对于此类敏感个人信息，可以采用风险评估与风险预防机制，实现对风险的有效管理。〔32〕（3）对于非敏感个人信息的同意，为减少个人信用信息收集的成本，征信机构、信息提供者可以对个人信用权人采取概括同意或推定同意授权的方式。

四、个人信用信息利用的限度及其法律救济

（一）个人信用评价的法律限度

名誉涉及他人对特定民事主体的外部社会评价，一方面构成民事主体的社会镜像，另一方面更是个人与他人进行正常交往的基础。个人的社会评价系他人对“我”的人格价值评价交织的结果，必然涉及有关“我”的声誉信息的流动和共享。〔33〕在传统的共同体社会，个人的声誉信息流动范围和频率受到地域的极大限制。如果个人的名誉遭受他人的歪曲或误解，通常可以通过共同体范围内熟人之间的互动逐渐得到澄清。但是在大数据时代，个人处于现实与虚拟的双重世界之中，有关个人数字声誉信息的广泛程度、流动范围及其频率打破了传统共同体社会的地域和空间的限制。个人声誉信息生产于信息主体与信息搜集系统之间的互动，这些信息被聚合后加以分析和利用所产生的价值远大于单个个人信息的价值，其不仅可以使信息主体直接受益，还可以提供各种公共服务。〔34〕就个人信用评价而言，征信机构与信息提供者（各类平台机构）相结合形成的个人数字信用具有强大的网络传播效应与专业权威效果，典型的如个人的芝麻信用评分、腾讯信用评分等。在算法的支配之下，个人在物理世界中的客观信用已经逐渐被征信系统下以数字化呈现的社会镜像所取代，而且数字信用日益发展成为网络空间中的交易和管理工具。

“数字信用”实际上是征信机构与平台机构归集和利用个人的信用信息并量化分析个人经济层面的可信任程度，市场化信用机构常常将其转化为简单分值，旨在为商业交易提供理性化的决策依据，从而满足交易的安全预期。理性化通常的含义是“形式理性化”，所表达的是个人主义、可计算性等特性。〔35〕征信机构和信用提供者构建的个人数字声誉可被视为近代以来形式理性在大数据时代趋于极致的表现，是人类理性欲望追求的重要组成部分。“数字信用”通过计算得出，并以中心化的数据产品形式展示，在功能上包含声誉展示、刺激生产、鼓励消费等，这些功能和身份认证、管理等措施结合起来，就成为一种新型的由平台机构主导的信息基础设施。在个人“数字声誉”的建构过程中，征信机构、信息提供者倾向于尽可能地采集、传播和利用个人的信用信息。〔36〕个人信用信息的数量越大、刻画信用的维度越广，表明信用信息的利用程度越高、信用评价的结果越精确，也意味着个人“数字信用”受侵害的可能性越大。但是，征信机构与公共管理机构过度利用个人信用信息则会对个人“数字声誉”的自主建构和人格尊严带来巨大的妨碍。个人信用权以个人信用信息为载体，然而，法律保护个人信息的目标是使个人静态或动态的数字人格得以在不同的社会情境下正确呈现，以及该数字人格能够被他人客观、完整地认知。〔37〕征信机构和信息提供者对个人信用信息的过度利用可能对个人社会评价构成不当歪曲和贬损，这与个人信息权益保护的角度存在差异。传统隐私理论预设个人可以在独立的私有空间内自主决策和行动，个人本位的隐私保护难以在社会结构层面表征数字时代的规模化特征。当前的主要问题并非孤立的个人隐私侵犯，而是各类数字算法基于规模化运作形成的系统性社会歧视和排斥。

数字信用的创新和发展使征信业务数据化成为大势所趋。然而，由于个人被“异化”为征信系统信用信息的生成者和提供者，个人信用成为评价个人经济声誉的动态工具并形成个人的“数字身份”，这在某种程度上实现了大数据时代“从契约到身份”的回归。在数字化时代，一方面，自然人对其信息权益的支配性大大降低，个人信息权益的排他性被极大弱化。与此相对应，个人信息的公共性逐步增强，个人信息所蕴含的公共利益价值日益凸显。〔38〕征信机构、信息提供者针对个人信用评价所形成的数据产品的适用范围越来越广泛。另一方面，所有人都希望自己从根本上作为自由且道德的主体而被其他人承认，个人只有在得到他人恰如其分的评价时才会感到由衷的自豪。每个个体都有寻求他人承认自己尊严的需求，这种寻求承认的追求是人类精神中异常强大的部分。〔39〕从寻求承认个人尊严出发，应将维护个人的“数字声誉”置于法律上的重要地位和价值，从而为个人社会生活留出更大空间。〔40〕征信机构和信息主体在收集、传播和利用个人信用信息的过程中，负有保护个人“数字声誉”的法定义务，以保障个人的人格尊严和人格的自由发展。征信机构应当对基于大数据分析形成的信用数据产品进行技术和应用层面的规范管理，既有助于引导不同平台生态系统之间的数据融合以逐步实现更大范围内的流动性，也有利于保护个人的信用评价仍然处于伦理道德认可的框架之内。

（二）个人信用权受侵害的法律救济

在数字时代，对于个人信用权的侵权损害，既是对个人名誉权的侵害，又表现为对个人信用信息权益的侵害。在2021 年《个人信息保护法》颁布实施之前，大多数案件皆依据《最高人民法院关于审理名誉权案件若干问题的解答》按照名誉权侵权处理侵害个人信用权案件。①我国司法审判实践主要从名誉权侵权损害为个人信用权的救济路径，参见“周某某诉中国银行股份有限公司上海市分行名誉权纠纷案”，上海市第一中级人民法院（2011）沪一中民一（民）终字第2988 号民事判决书；“霍某与某银行名誉权纠纷案”，安徽省高级人民法院（2018）皖民申1747号民事判决书；“邱某与某银行名誉权纠纷案”，福建省高级人民法院（2018）闵申4193号民事判决书。个人信用权保护与个人信息权益体系借助“个人信用信息”得以贯通，而征信机构、信息提供者或者第三人对于他人个人信用权的侵害实质上体现为侵害个人信用信息权益，这意味着借助个人信息权益的保护路径可以处理实务中有关信用权纠纷问题。依据《民法典》第995 条规定，在认定个人信用权的侵权时，《个人信息保护法》应当优位于《民法典》规定的名誉权侵权损害条款。征信机构、信息提供者或者第三人以信息处理者的法律地位侵害个人信用信息，应以《个人信息保护法》第69 条为请求权基础。个人信息涵盖了各种人身和财产权益，例如姓名权、肖像权、隐私权等具体人格权，侵犯个人信息权益可能同时侵害具体人格权和财产权。然而，即使出现这种情况，仍属于《个人信息保护法》第69 条规定的侵犯个人信息权益需要承担侵权责任的情形。〔41〕个人信用信息的侵害主体，既可能是征信机构、信息提供者，例如信息提供者对信用信息的不当报送和错误记录、征信机构对不良信息的超期记载、对个人信用信息的不当分析等；也可能是第三人未经同意或未按约定使用他人信用信息报告；还有可能是前述主体共同侵权。②一种典型情形是第三人假冒、盗用他人的身份信息，向银行贷款不还产生不良信息；另一种典型情形是第三人故意或者过失地借助强制执行的方式查封他人的不动产，导致被查封的个人形成不良个人信用信息。不过应当注意的是，因第三人不具有信息处理者的身份，在处理此类案件时应当追究第三人的一般侵权责任或网络用户侵权责任。受害人社会评价的降低是名誉权侵权责任认定中的重要损害事实，以侮辱诽谤的行为为第三人所知悉为必要。然而，在个人信用权的场合，信用信息通常记载于征信机构与信息提供者的电子系统中而缺乏公开性。这也是我国大量司法实践判决认为征信系统的信用评价报告并不构成对个人信用权侵害的原因①相关案例参见“周某某诉中国银行股份有限公司上海市分行名誉权纠纷案”，上海市第一中级人民法院（2011）沪一中民一（民）终字第2988 号民事判决书；“张某某与中国某银行股份有限公司上海分行、某中心一般人格权纠纷案”，上海市宝山区人民法院（2013）宝民一（民）初字第14 号民事判决书；“张庆鹏、哈尔滨银行股份有限公司龙江支行名誉权纠纷案”，黑龙江省哈尔滨市中级人民法院（2020）黑01民终5330号民事判决书。，但也有判决持相反意见。②判决认为，银行征信记录虽尚未向社会公众全面公开，但已在银行系统发生作用且与相关部门实行信息联动，个人信用因此受到贬损。参见“中国工商银行股份有限公司天津广厦支行与魏学庆名誉权纠纷案”，天津市第二中级人民法院（2014）二中民一终字第0317号民事判决书；“大连银行股份有限公司与大连泰安房地产开发有限公司名誉权纠纷案”，辽宁省高级人民法院（2016）辽民申4819号判决书。域外司法实践对社会评价降低的判定并不以“社会公开性”为前提，如日本相关判例认为，在认定新闻报道侵害名誉权时，只要刊载内容发行从而处于可被读者了解的状态，即可认为社会评价降低。〔42〕个人信用评价主要在金融领域发挥作用。而金融机构评判个人信用的标准就是征信系统中的信用记录，这意味着一旦不良信息进入征信系统，其已经处于“公开状态”。因此，对个人信用评价降低的判断无须要求“社会公众公开性”，仅要求错误信用信息已在征信系统中记载且个人有遭受不实信用状况的不利影响的可能即可。

在个人信用权受到侵害时，将面临个人信用权的侵权损害赔偿问题。整体来看，责任形式既表现为对个人名誉权财产价值被侵害的填补，也表现为对个人信用信息受损害的补偿。在损害填补时，赔偿范围以个人信用权人遭受法律上的损害为限，包括物质或精神的非自愿丧失。〔43〕精神损害表现为个人因错误的个人信用报告遭受的精神痛苦，信用评价的降低程度对判断精神损害程度具有参考意义。需要指出的是，侵害个人信用权场合下的精神损害赔偿请求权并不以精神损害达严重程度为必要。由于《个人信息保护法》第69 条关于侵害个人信息权益承担损害赔偿责任的规定相对《民法典》第1183 条关于精神损害赔偿的规定而言属于特别法〔44〕，因而应当优先适用《个人信息保护法》。又因为《个人信息保护法》第69 条的“损害”包括精神损害且未要求精神损害达严重程度，所以个人信用权受侵害的精神损害赔偿请求权不受《民法典》第1183条的限制。

五、结论

随着数字经济的迅猛发展，个人信用权不再仅依赖于封闭共同体内部的传统社会信用评价，而是以位于数字世界内容层的个人信用信息为载体。信息的非独占性和非排他性决定了个人信用信息的公共属性，为保障交易交往的安全和效率有必要适当地限制个人对其信用信息的自决权或控制权，从而将个人信用信息转化为信息公共资源。数字时代下个人信用信息制度不应该仅关注信用主体的控制权利，更应该追求信用信息流通的社会效益与个人信用主体权益保护之间的平衡。

在个人经济信用评价之外，公共管理机构还在更为宽泛的社会行动层面对信用主体作出综合性社会评价，以构建个人“公共声誉”。近年来，公共信用信息的范围加速扩张，使得“公共信用”的概念泛化，诸多不属于失信行为的违法、违规、违约甚至背德的行为被纳入公共信用信息的范畴。征信机构在收集、处理个人公共信用信息的过程中应当遵循征信目的限制原则，与个人信用评价欠缺足够的关联性、必要性的公共信用信息应当被排除在个人信用信息的范围之外，避免以偿债能力与偿债意愿为评价对象的个人信用信息的认定泛化并承载过多的功能。随着征信业务进一步市场化，个人信用信息提供者的范围迅速扩张，信用信息的种类也逐渐增加。考虑到我国征信系统的发展现状，应当宽松把握目的限制原则，以助数字经济与征信行业的健康发展。

在数字时代，对于个人信用权的侵权损害，既是对个人名誉权的侵害，又表现为对个人信用信息权益的侵害。个人信用权保护与个人信息权益体系借助“个人信用信息”得以贯通。在认定个人信用权的侵权时，《个人信息保护法》应当优位于《民法典》规定的名誉权侵权损害条款。个人信用评价是否降低的判断仅要求错误信用信息已记载在征信系统中，个人有遭受不实信用状况不利影响的可能即可。侵害个人信用权的损害后果除个人信用评价降低之外，还包括精神损害与财产损害，其中精神损害赔偿请求权并不以所受精神损害达到的严重程度为前提。