摘要：作为一种个人信用评价的声誉机制，个人信用评分是政府和市场的新型社会治理手段，是建设现代信用型社会的重要标志。但是，从目前已经实施个人信用评分的各地方政府的实施情况来看，已然出现了一些问题，如泛化与滥用危机、个人信用信息隐私保护等。我国的个人信用评分机制具有十分显著的时代烙印，在个人信用信息的获取、使用和隐私保护等方面有着诸多的挑战，并且与世界上的信用发达国家之间有着很明显的差距。尽快完善我国的个人信用评分机制，在个人信用评分机制中全面落实《个人信息保护法》的相关规定，平衡好个人信用信息获取、使用与隐私保护之间的冲突，对个人信用评分机制进行违法性审查，建立健全侵犯个人隐私和违法使用个人信息的救济体系，建立相关个人信用评价行业协会，以此来促进相关行业的自律。并且尽快让个人信用评分机制在现行的法治体系内统一建设，着手构建一个系统性的法律控制机制，防止各地方政府任意地创设和应用。

关键词：个人信用评分；个人信用信息隐私保护；权利救济程序

中图分类号：F832.4  文献标识码：A  文章编号：1005-6432（2023）14-0000-04

[DOI]10.13939/j.cnki.zgsc.2023.14.000

1 前言

在现今社会，信息作为交易的工具，有时也可能成为交易的对象。尤其是互联网时代的到来，信息作为一种辅助手段对公共部门和私营部门的决策都產生了至关重要的作用。声誉机制便是其作为工具发挥作用的代表[1]。声誉机制最早广泛用于私营部门尤其是金融行业，用于解决交易中存在的安全和陌生交易双方的不信任问题，并且还发挥了对交易主体的自我监督作用，通过对交易主体的既往交易进行信用评价，使交易主体更好的督促自身履行约定，维护交易的安全。因此，声誉机制被视为现代社会中尤其是在金融行业、互联网虚拟空间等交易场景中解决交易信任与安全等相关问题的最有前景方案之一。

个人信用评价机制即可视为声誉机制。个人信用评分，是以信息大数据为基础，以信息识别、分类、存储等科学技术为支撑，以法律、法规等相关制度为保障的一种个人信用信息管理、评价的制度，是我国推进现代化信用型法治社会建设的重要方式。信用文化在我国有着生动而源远的历史。我国建设个人信用评分体系，具有深厚的土壤基础，当今的信息技术又提供了极好的能力支撑。但是对于技术的运用，必须与相关法制体系的建立健全同步推进，防止技术的发展侵犯了个人的合法权益。

2   个人信用评分的基本内涵与属性

关于“信用”一词的理解，从不同知识背景的学科角度，不同的运用、解释场合，得出的结论也会大相径庭。正因为如此，近年来，关于信用，从管理学、社会学、经济学、心理学等各学科、各层面都展开了相关研究，研究结果各有千秋，呈现出百家争鸣的繁荣景象。但是令人沮丧的是，法学界对于信用的研究和系统的阐述，却十分的少见。

要解决“个人信用评分是什么”这个问题，必须要先回答“个人信用是什么”这个问题。首先要明确的是“个人信用”并不等于“个人诚信”，但是部分学者和实践中往往把二者混淆。尽管两者间存在着一定的联系，但是从法律角度来看其基本内涵却存在着明显的差异。“个人诚信”有着非常丰富的内涵，通常来讲，其不仅是个人道德层面的要求，更是对人生价值的高追求。是一种非标准性的、难以量化的价值，在不同人的眼里，甚至不同的时代，对于个人诚信的看法和水准都不尽相同。“个人信用” 则更倾向于在经济活动方面的意义，例如所谓的“契约精神”便是个人信用的另一种表达方式。“信用（credit）”这个词汇在过去主要作为“守信”的含义在经济、金融方面的使用，从而排除了在法律和道德领域中纠缠不清的诸多价值因素，它更强调契约双方或多方外在行为的客观性[2]。 从法律视野对“个人信用”进行厘清，应当将“遵守法定之义务”和“履行约定之义务”作为其最基本的两个概念要素进行考量。对此，可以试图对“个人信用”作出如下定义：自然人在社会活动中对于法定义务的遵守和约定义务的履行情况就是其个人信用。但有部分学者认为仅有完全民事行为能力的自然人才有个人信用，而一刀切的把所有限制民事行为能力人和无民事行为能力人排除在外是有待商榷的，此举也不利于信用型社会建立，在青少年普遍早熟化、刑责年龄下调至12周岁的大环境下，或不利于引导青少年养成诚信的传统美德。

“评分”则是利用大数据等工具和手段对自然人的个人信用信息按照一定的标准和规则进行真实的排名、打分等以示区分的方法。评分可以使利用个人信用做出决策的个人和机构快速有效的做出更加正确、客观的判断。

“个人信用评分是什么？”这个问题便迎刃而解。因此，“个人信用评分”可作出如下定义：公共信用评价机构对具有完全民事行为能力的自然人的法定义务和约定义务履行和遵守的情况根据一定的标准和规则作出真实的评价的行为。

3  个人信用及个人信息保护立法现状

2021年9月27日，央行行长签署了中国人民银行令【2021】第4号，公布《征信业务管理办法》，自2022年1月1日起施行，对于征信业的信息获取、整合、储存、提供、使用及监管等方面做出了详尽规定[3]。

近年来，为了解决日益严峻的数据泄露的个人信息保护问题，我国立法机关在不同法律部门进行了一系列修法活动。在2009年2月《刑法修正案》（七）中新增第253条之侵犯公民个人信息罪后，时隔6年之后的《刑法修正案》（九）第17条再次对个人信息保护进行完善。2013年10月，《消费者权益保护法》修订时将消费者的个人信息保护纳入该法，明确表明如果经营者需要获取、使用消费者的个人信息就应当在法律规定的范围内进行。2017年6月1日施行的《网络安全法》则从网络安全的角度出发加强了对个人信息进行保护，并且把个人信息安全问题与国家安全问题紧密相连。2018年8月31日通过的《电子商务法》要求电商应当依法依规获取、使用公民的个人信息。2021年1月1日开始施行的《民法典》在总则编明确规定了“个人信息的保护”。2021年9月1日正式实施的《数据安全法》对个人信息等数据的安全保护作出了规定，要求应当依法予以保密，不得泄露或非法向他人提供。2021年11月1日，关于个人信息保护的专门法《个人信息保护法》正式生效实施。

目前我国关于个人信息安全方面的国家标准《信息安全技术个人信息安全规范》已于2018年5月正式生效。

4   中国个人信用评分体系亟待解决的问题

飞速发展的个人信用评分体系势必涉及到广大公民信息的获取与处理。个人信用信息的获取与处理在个人信用评分体系中是举足轻重的作用，倘若没有个人信用信息的获取与处理这一重要程序，那也就不存在所谓的个人信用评分体系了。在互联网大数据时代，个人信用信息的收集得益于技术的飞速进步变得十分的方便快捷，但是技术是把双刃剑，关键要看使用技术的人。当前的社会中，个人信用信息隐私被他人非法获取侵害的案件不胜枚举。个人信用信息保护在未来很长一段时间里仍面临诸多挑战。

4.1   个人信用信息的非法收集、处理

在经济飞速发展的中国，交易随处可见，故而个人信用信息的使用十分的广泛，所以便凸显出其经济价值，因此个人信用信息面临着被不法分子非法收集、处理和贩卖。虽然执法机构高强度的查处违法收集、贩卖个人信息的行为，但相关行为却屡禁不止。要保护个人信用信息，首先需准确界定个人信用信息的边界，使获取个人信用信息与隐私权的冲突得到平衡。隐私权又称 “私生活秘密权”，虽然目前在学术上关于其相关定义存在不同的理解，但是学者们普遍认为，隐私权是以个人隐私为客体的一项人格权，是指公民享有的私人生活安宁和信息受保护，不被他人非法侵扰、知悉、搜集、利用和公开等的权利。一是“私密空间不被他人所知晓或了解的权利”，二是 “自己的个人信息被自己掌控”。个人信用信息往往又是公民自身一些不愿意被他人所知悉的交易信息或者记录，对于这部分信息的获取是否侵害了公民的隐私权还值得商榷。

4.2   权利受到侵害后公民缺乏救济手段

在整个个人信用评分机制中，由于目前的法制尚且不完善，公民在整个评分机制不同阶段的权利极易受到来自不同对象的侵害，但却很难对其受到的侵害寻求救济。

首先，在个人信用信息被非法收集、贩卖时公民的隐私权受到了严重的侵害，但往往公民并不知道自己的隐私权被侵害，即使知道了自己的隐私权被侵害也往往因为找不到实施侵害的主体或救济方式过于艰难最终而放弃了对侵害寻求救济。即使是个人信用信息被合法的获取，在实务运用的场景中，互联网时代大多数都是提供一份冗长且不显眼的格式合同，并且将签署该公司所提供的合同作为下一步使用产品或服务的必备选项。有些公司要求查询客户的个人信用需要客户进行授权时，往往对于法律规定公民所享有的权利含糊其辞，这对于绝大多数并不懂法律的公民来说并不公平，他们并不清楚自己的个人信息将会用在何处，自己的个人信息是否会被过度使用，在不知不觉中自己的信息就被“合法”的收集了，隐私被一览无遗。在这种“合法”的个人信息收集中，即使自己的权利被侵犯了，在后期的寻求救济中，由于收集主体在收集信息时已经告知被收集人得到了被收集人的授权，因为立法的漏洞和不完善，实践中很难对个人信息收集主体追究法律责任。

《征信业管理条例》第25条明确规定公民对于个人信用信息享有异议权，但在实务中，许多市场化个人信用评分平台都是根据大数据和自动化算法系统得出公民的个人信用评分，当公民对此信用评分提出异议时，平台往往是回复该评分是系统自动计算得出的，他们无法修改。所以行政法规所规定的公民的异议权形同虚设，此种权利被侵害在实践中一般也难以得到救济。4.3   个人信用评分机制的泛化和滥用

随着建设信用型社会的工作逐步深入，各地政府纷纷建立自己的个人信用评分机制，一时间各种（XX分）层出不穷，截止至2018年1月，已经有12座城市推出了个人信用评分机制，还有许多城市正在设计或准备设计个人信用评分机制。在私营领域，中国目前注册的带有“征信服务”有关的企业多达50余万家，是一个很庞大的数据。无论是私营还是公共部门提供的个人信用评分体系由于算法和标准以及数据量的不同，即使对同一个人的个人信用评分也是各有千秋，再加上各个人信用评分体系之间的信息往往不是共享造成公民的个人信息被重复收集、过度收集的问题，立法的缺失和滞后使该行业形成了很多灰色地带和产生了很多灰色产业链。此外，过于繁多的个人信用评分机制和评分结果各有千秋导致了个人评分机制的权威性大打折扣，对于征信业的发展和建设信用型社会是极为不利的。

5  完善个人信用评分体系的建议

现代社会任何一项体系的完善都离不开来自法律监管的完善和行业的自律性提高。只有把法律规范化、完善化，使司法机关有法可依，被侵害者有请求救济的法律依据，才能有效的倒逼行业从内到外的自我升级。加大行业监督，设立行业相关协会，提高行业自律性。

5.1   提高立法层级，完善法制体系

个人信用评分领域的法律法规依据主要来自于《征信业管理条例》，但是《征信业管理条例》作为行政法规的法律位阶较低，制定时间较久，已远远不能满足当前维护个人信用信息安全的需要，而且《个人信息保护法》刚刚实施，对于如何适用在实务中仍是一片空白。因此，在《个人信息保护法》的基础上，最高院、最高检等有权制定司法解释的机关应当尽快完善对于个人信息的界定、获取和侵害救济方面具体程序的司法解释，完善相关的法制体系。

在未来在制定信用类法律法规时，应该明确厘清个人信用信息的收集权限，防止借收集个人信用信息之名，行侵犯个人隐私权之实。但是，在个人信用信息的收集、处理和运用始终会和个人信用信息保护存在冲突，如果过分的强调个人信息的保护则会造成个人信用信息的收集成本过高，数据的流动性过低，这样不利于个人信用评分机制的建立和信用型社会的建设。但是若对于个人信用信息的保护过弱又会很容易侵犯公民的隐私权，不利于对公民权利的保护。所以，在制定相关法律法规时一定要合理的运用比例原则，使双方的冲突降至最低。以欧盟与美国的个人信息数据保护的尺度對比为例，因为欧盟的立法态度是将个人信息权利视为其基本人权来进行法律保护，故而其对于个人信息的保护力度明显要强于美国。欧盟的个人信息数据保护是通过立法建立完善严密的法律制度来完成的，而美国的个人信息数据等的保护则更侧重于通过行业和市场的自律来完成，我们很难通过简单的论述去确定哪种方式更加有利于个人信息数据的保护，但是过于严苛的个人信息数据保护制度会对个人信用和互联网行业的发展形成掣肘。法律监管的宽松度与经济活跃度的关联性很难通过数据化清晰地表现出来，但是欧盟对于数据处理和保护的高标准对于当地互联网企业发展带来的阻滞作用确实是显而易见的，因此对我们带来了个人信息保护与经济发展间比例问题的思考，个人信息保护的强度在何处才能实现最大化的信息保护与最小化的遏制行业发展的均衡[3]。

对此，公民首先需拥有自决权，即决定自己的个人信用信息是否被收集、处理和使用。但是所谓自决权并不能漫无边际的不受约束，在维护社会公共利益的前提下，公民的自决权应当尽可能的得到保护。明确哪些个人信息是绝对禁止收集的，哪些个人信息是相对禁止收集的，哪些个人信息是可以收集的，并且赋予法规增加或减少上述分类的权力，使其可以依据实际变化做出相应的调整。这样既维护了法律的权威性，又可以使其跟上时代的发展和变化，更好的服务于社会和公民。

5.2   构建公开、透明、操作性强且具有可救济途径的程序

实体法是否能够公正的施行有赖于其是否拥有一套合理、公正的程序，只有程序正义方能体现实体正义。

制定一套合理、公正的程序必须要做好权力的分配工作，明确监督与被监督的关系，设立专门的公共职能部门进行监管或设立相应的行业协会协助行业提高自律性，内外双管齐下帮助行业自我升级，切实保障被侵权人能够及时有效的寻求到救济。

2018年欧盟实施的《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）是根据1995年的《计算机数据保护法》所制定的，GDPR 的意义在于推动强制执行隐私条例，规定了企业收集用户数据时的新标准；另一方面，也给予了用户更多的信息自决权。

根据GDPR第51条，欧洲数据保护委员会是欧盟数据保护的监管者，欧盟成员国则根据GDPR的要求强化监管或者新增监管部门。数据保护官（Data Protection Officer，以下简称DPO）是GDPR明确指出的企业内承担数据保护合规相关职责的职能角色，关于数据保护官（DPO）的设立要求，GDPR并未规定所有的企业都必须设立，但是以下三种情况必须设立：1.机构为公共主体；2.机构对数据主体的数据监控和使用是系统性和常规化的，且规模较大；3.机构涉及获取、处理和存储一些敏感数据，例如医疗健康数据、金融账户数据、生物识别数据等等。GDPR第 55—58 条规定了监管者的权力与义务，使其可以通过启动、参与相关法律程序让违反GDPR的行为受到法律的制裁。而美国相关的监管者主要是美国联邦贸易委员会（简称FTC）与美国消费者金融保护委员会（简称CFPB），其可在《公平信用报告法》（Fair Credit Reporting Act，简称FCRA）所规定的框架内履行自身的监督和管理职责。

较之于具有上百年历史的欧美征信业，中国的个人信用评分行业尚处于萌芽阶段。因此，当我们在设计一套公正、合理且可操作性强的救济程序时，我们可以借鉴欧美发达国家已经建立起来的体系，并用来优化完善最终制定出一套适应我国国情的高效救济程序。

5.3   解决目前个人信用评分的泛化与滥化危机

现在中国大陸的个人信用评分机制主要分为公私两种。公共个人信用评分机制以央行征信、各地方政府推出的信用分为主；私营个人信用评分机制以百行征信、八家征信服务公司为主。

作为具有官方背景的个人信用评分体系应该在全国范围内统一标准，包括统一收集标准、统一评价标准等。使信用分能够真正的发挥实质性作用，以促进我国经济的繁荣和信用型社会的建设。在经济全球化的今天，统一标准不仅可以使不同地域的人交易更加畅通，个人信用信息可以共享，增加信用分的准确性，而且可以提高地方政府的公信力。

对于私营个人信用评分机制，因为注册企业众多，其中难免存在想浑水摸鱼的企业，希望能从这个崭新的行业中分得一杯羹。对此，提高私营个人信用评价企业的准入门槛是最直接和最高效的措施之一。虽然营利是企业的特性，但是并不能以追求利益是企业的特性为借口来降低私营个人信用评分机制的准入门槛。反之，应与公共个人信用评分机制的标准一致甚至更高，为私营个人信用评分机制设立一道合理的“高门槛”，让有能力跨过这道门槛的企业在市场化的条件下充分竞争，形成公私结合的个人信用评分机制，可以很好地解决当下个人信用评分机制的泛化与滥化危机。

6  结论

随着城镇工业化的进程不断推进，有着更多的人开始选择离开中国传统的以血缘、亲缘、地缘为纽带的熟人社会，踏入以信用、身份、标签为依据的乡陌生人社会。曾经在熟人社会人际交往中能够起支撑作用的人格信用在更大范围的人际交往中却显得苍白无力，而蓬勃发展的制度信用则在陌生人社会脱颖而出且大显身手[4]。个人信用评分机制在我国诞生的时间并不长，一切都处于探索的初期阶段，但是有几个原则应该贯穿始终并长期坚守，包括第三方个人信用评价机构的独立自主性原则、个人信用评价活动中的客观公正性原则、个人信息获取和使用中的隐私权益保护原则等，笔者认为，这几个原则对于个人信用评分机制的建设至关重要，乃体系之“基石”，应该被定为整个体系中所涉及相关法律的基本原则。

参考文献：

[1]应飞虎，涂永前.公共规制中的信息工具[J].中国社会科学，2010（4）.

[2]焦国成.中国社会信用体系建设的理论与实践[M].北京：中国人民大学出版社，2009：57.

[3]吴旭莉.大数据时代的个人信用信息保护——以个人征信制度的完善为契机[J].厦门大学学报（哲学社会科学版），2019（1）.

[4]蒋琳，尤一炜.北大教授沈岿：社会信用体系建设目标不是建立“完人”社会[N].南方都市报，2019-06-14（AA14）.

[作者简介]尚云开（1995—），男，江西南昌人，浙江农林大学法律专业，硕士研究生。