论社会信用信息权利:范畴、内容及其体系*

2023-09-08张路

时代法学 2023年3期

张路

(湘潭大学信用风险管理学院,湖南湘潭 411105)

一、问题的提出

党的二十大报告指出:“构建全国统一大市场,深化要素市场化改革,建设高标准市场体系。完善产权保护、市场准入、公平竞争、社会信用等市场经济基础制度,优化营商环境。” 社会信用体系是社会主义市场经济体制和社会治理体制的重要组成部分,社会信用信息的理论与制度建设更是其中的关键环节:守信激励与失信约束的奖惩机制离不开对社会信用信息的处理;以信用为基础的新型监管方式离不开对信用信息的收集、分类、加工、利用;建立在信用信息处理之上的信用评价、评分与评级制度有利于减少市场信息不对称现象,降低交易的风险。农业社会围绕土地要素积累财富,工业社会机器则逐步取代了土地成为重要的生产要素。信息社会,信息数据成为新的生产要素(1)数据治理研究报告——数据要素权益配置路径(2022年)[EB/OL].(2022-07-29)[2023-06-14].https://wenku.so.com/d/7e117f35d6ecce2e9dea2c83489e798a.。2022年12月19日中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)。“数据二十条”将数据的类型分为了公共数据、企业数据、个人数据,并明确提出了数据资源持有权、数据加工使用权与数据产品经营权“三权分置”的构想(以下简称“数据三权”)。征信是最早对信息数据进行开发利用的领域,随着社会的发展,信用信息正逐步成为大数据时代的“老天爷”(2)罗培新.社会信用法原理·规则·案例[M].北京大学出版社,2018.1.。2016年7月29日,《泰州市公共信用信息条例》发布,这是我国首部关于公共信用信息管理的市级地方性法规。2017年3月30日,《湖北省社会信用信息管理条例》公布,这是我国首部关于社会信用信息管理的省级地方性法规。上海市紧随其后于2017年6月23日发布了《上海市社会信用条例》,条例对社会信用信息进行了更为细化的规定。截至2022年底,我国共计出台22个省级地方性社会信用条例、12个市级地方性社会信用条例。其他省市的社会信用条例也在紧锣密鼓的筹划与制定中。

现有的社会信用相关立法在加快信用信息利用的同时,对主体信用信息权利也给予了相应的保护。“权益保护”成为地方性社会信用条例规定中的重要内容。但围绕社会信用信息权利仍存在以下基础理论问题:第一,社会信用信息权利的范畴。何谓社会信用信息权利?“社会信用信息权利”中的“社会信用信息”与《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)所规定的“个人信息”“数据”是什么样的关系?哪些主体分别享有哪些社会信用信息权利?第二,社会信用信息权利的内容。在明确社会信用信息权利主体与类型后,各信息主体享有的权利具体有哪些?上述权利行使的对象、要件是什么?第三,社会信用信息权利的体系。新的“数据三权”形成后势必对现有的社会信用信息权利体系产生影响。是否应当将社会信用信息定位为权利?赋权后如何协调各项权利间的关系?在社会信用体系建设持续推进与“数据二十条”出台的大背景下,本文即围绕上述问题展开分析、讨论,并针对性提出相关的对策建议。

二、社会信用信息权利的范畴界定

(一)社会信用信息权利的内涵

明确社会信用信息权利的涵义应先界定“社会信用信息”概念,同时应明确其与“个人信息”“数据”间的关系。对于社会信用信息的定义,地方性社会信用立法目前都进行了规定(3)如《湖北省社会信用信息管理条例》第3条第1款规定:“本条例所称社会信用信息,是指可用于识别自然人、法人和其他组织(以下简称信用主体)信用状况的数据和资料,包括公共信用信息和市场信用信息。”《上海市社会信用条例》第2条第2款规定:“本条例所称社会信用信息,是指可以用于识别、分析、判断信息主体守法、履约状况的客观数据和资料。”。分析其表述,社会信用信息概念特点有四:一是“社会”为信用信息的领域。具体表现为政务、商务、司法与狭义的社会领域,上述领域涵盖了社会生活各方面,体现了社会信用体系建设及其影响的广泛性;二是该信息与特定的主体相联系(信息主体或信用主体),包括自然人、法人、非法人组织(或其他组织)。三是该信息能够用于识别、分析、判断特定主体的信用状况。目前的理论与地方性信用立法中对于“信用状况”主要形成了社会评价说、履行承诺的意愿与能力说、三维构成说、义务履行状态说、信誉及社会责任说等观点(4)《GB/T22117—2018 信用基本术语》2.1“信用 credit:个人或组织履行承诺的意愿和能力。”吴晶妹.三维信用论[M].北京:当代中国出版社,2013.34;门中敬.信誉及社会责任:社会信用的概念重构[J].东方法学,2021,(2).。其中主流观点为义务履行状态说。此说也是目前最为科学、合理的“信用”判断标准(5)张路.社会信用信息的规范定义及其标准阐释[J].征信,2022,(10).。即社会信用为特定主体在社会各领域中履行法定义务或约定义务的状态。四是社会信用信息的载体或形式是客观数据。数据记录了信息,信息是数据的内容,数据是信息的载体或形式。

综上,社会信用信息是自然人、法人与非法人组织在社会各领域履行法定义务或约定义务状态的客观数据。相应的,社会信用信息权利即指自然人、法人与非法人组织对其信用信息依法所享有的权利。社会信用信息权利是一个复合的概念,其中既包括了自然人的个人信用信息权利,也包括了法人、非法人组织的信用信息权利,二者不能等同和混淆。

首先,个人信用信息权利属于个人信息权利的范畴,而法人、非法人组织信用信息权利属于数据权利的范畴。在我国立法中由于同时采用了“信息”(information)和“数据”(data)两个概念,且经常相互进行定义,容易发生混淆(6)如《个人信息保护法》第4条将个人信息定义为电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息。其中“电子方式”即为数据。而《数据安全法》第3条规定,本法所称数据,是指任何以电子或其他方式对信息的记录。。严格来讲,二者的确有区别。数据侧重的是对信息的记录,而信息则是有意义的数据,是把数据放到一定的背景下,对数字进行解释和赋予意义(7)程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021.74.。杂乱无章不能为人识别任何内容的乱码构成数据但不构成信息,信息同样也可以通过其他形式予以呈现。但在立法中无须严格进行区分,因为不包含信息的数据本身并没有任何意义,也没有保护的必要。《民法典》《数据安全法》《个人信息保护法》所关注的重点是信息与数据重叠的区域。比较法上对于个人信息的保护规定,也有“个人数据”的表述,如德国的《联邦数据保护法》、欧盟的《一般数据保护条例》(“GDPR”)。因此,广义的数据包括了个人数据(个人信息),也包括法人、非法人组织的数据。但由于我国《民法典》第111条、第127条同时规定了“个人信息”与“数据”的保护,如认为数据即是信息,则第111条与第127条明显存在竞合,第111条将构成第127条的特别条款。为准确界分该两条,不妨从狭义角度理解数据,即第127条所称“数据”指法人、非法人组织数据,而个人数据则适用第111条,称之为“个人信息”。

其次,个人信用信息权利属于人格权范畴,而法人、非法人组织信用信息权利属于财产权范畴。个人信用信息与人格尊严、人格自由相关。德国通过“小普查案”(Mikrozensus)和“人口普查案”(Volkszählungsentscheidung)借助一般人格权形式创设并发展了个人信息自决权(8)丁晓东.个人信息保护:原理与实践[M].北京:法律出版社,2021.24.。根据个人信息自决权的观念,如果任由他人收集、处理或者利用自己的个人信息,而自己毫不知情,或者没有能力阻止,那么无异于将个人置于受人支配的地位(9)杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J].比较法研究,2015,(6).。而个人信用信息在个人信息基础上叠加了识别信用状态的特点,在社会生活中尤其重要。罗马法很早就有针对欠债者的“人格减等”制度,拖欠欠款的信息构成了最早的信用信息,欠债将遭到公民资格的相应剥夺(10)江平.罗马法基础[M].北京:中国政法大学出版社,1991.59.。现代征信业通过对个人信用信息的处理得出相应的信用评价,影响自然人的就业、教育、消费、求学、贷款等诸多方面。同时,滞后与错误的信用信息记录也将对自然人的人身、财产造成潜在侵害风险。法人与非法人组织信用信息权利则应当纳入财产权,一方面,我国《民法典》虽规定法人与非法人组织享有名称权等人格权,但法人与非法人组织为组织体,遭受侵害后并不会感受到精神痛苦,也不包含对人格尊严、人格自由等伦理价值的贬损;另一方面,《民法典》第1013条规定法人、非法人组织的名称可以进行“转让”,可见其为完全的支配权,这也是财产权的典型特性。法人、非法人组织信用信息还构成了其“无形的资产”。曾经的国民品牌“三鹿奶粉”因为“三聚氰胺”事件而口碑崩塌,生产商三鹿乳业集团因此关闭;恒大地产集团由于不能按期兑付商票债务违约而导致融资困难,一度导致全国各地项目停工停产。同时,通过对法人、非法人组织的信用信息的处理,还能有效反映出其经营和发展状况。企业的营收数据能够体现企业的经营水平、市场占有率及产品或服务的市场受欢迎程度。结合历史的营收数据,还能预测该企业未来的发展状况,从而影响到投资者、消费者对于该企业的信心。上述诸多方面都是财产性的体现。

最后,个人信用信息权利与法人、非法人组织信用信息权利保护适用的法律法规也不同。个人信用信息权利保护应适用《网络安全法》《民法典》《数据安全法》《个人信息保护法》《征信业管理条例》等法律法规的规定;法人与非法人组织信用信息权利除尚在构想中的“数据三权”外,目前则无专项针对性的立法规定,对其的保护零星散见于其他法律法规中。司法实践中针对法人与非法人组织的信用信息侵害保护主要适用《反不正当竞争法》,尤其是其中“商业秘密”保护条款的规定(11)典型案件如(2015)浦民三(知)初字第528号,(2016)沪73民终242号的“上海函授信息咨询有限公司诉北京百度网讯科技有限公司、上海图软件技术有限公司不正当竞争纠纷案”,(2019)浙8601民初1987号,(2020)浙01民终5889号的“深圳市计算机系统有限公司、腾讯科技(深圳)有限公司与浙江搜道网络技术有限公司、杭州聚客通科技有限公司不正当竞争纠纷案”。。

(二)社会信用信息权利的类型

如前所述,社会信用信息主体为自然人、法人与非法人组织,依据主体标准可将社会信用信息权利分为个人信用信息权利、法人与非法人组织信用信息权利两类。其中,法人与非法人组织的信用信息权利属于数据权利范畴,因此也可称之为信用数据权利。

1.个人信用信息权利

自然人对其信用信息依法享有的权利为个人信用信息权利,其中的“个人”即指自然人。从比较法来看,绝大多数的国家或地区都将个人信息限定于自然人的信息,而不包括法人等组织体的信息。只有少数国家的立法将法人的某些信息列入个人信息中。如南非《个人信息保护法》第1条,德国《民法典》《商法典》规定的一个人有限公司法人、无限公司或两合公司中的特殊情况等(12)程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021.59.。而从我国《民法典》《个人信息保护法》的规定来看,个人信息就是指自然人的信息。因此,个人信用信息权利的主体也仅为自然人。

个人信用信息属于个人信息范畴,依据《个人信息保护法》第4章“个人在个人信息处理活动中的权利”规定,个人信用信息权利包括知情权、决定权、查阅权、复制权、信息转移权、更正权、补充权、删除权、解释说明权以及与死者个人信息保护相关权利。上述权利围绕自然人对于其信用信息处理的知情同意展开。知情权是权利体系的核心与基础;散射交叉的系列权能是知情权的具体外在表现(13)姚佳.个人信息主体的权利体系——基于数字时代个体权利的多维观察[J].华东政法大学学报,2022,(2).。亦有观点从国家保护、公法的视角总结为个人信息权利束(14)王锡锌.国家保护视野中的个人信息权利束[J].中国社会科学,2021,(11).。

关于个人信用信息权利主体,部分地方性社会信用立法规定为完全民事行为能力人(15)如《上海市社会信用条例》第2条规定:“本条例所称社会信用,是指具有完全民事行为能力的自然人、法人和非法人组织(以下统称信息主体),在社会和经济活动中遵守法定义务或者履行约定义务的状态。本条例所称社会信用信息,是指可以用以识别、分析、判断信息主体守法、履约状况的客观数据和资料。”。限制民事行为能力与无民事行为能力人既无信用信息,当然也不存在相应的个人信用信息权利。理由是社会信用立法应当给予未成年人保护(16)罗培新.社会信用法原理·规则·案例[M].北京大学出版社,2018.39.。但应当承认无民事行为能力人、限制民事行为能力人(未成年人)也拥有信用信息。因为信用信息既包含失信信息,同样还包含了守信信息。如强调对未成年人的保护,只需对其个人信用信息处理作特殊性规定即可。此外,还应当注意区分个人信用信息权利主体与权利行使主体。个人信用信息权利为自然人所享有,不应以民事行为能力为限;而个人信用信息权利的行使,则应当具备相应的民事行为能力。《个人信息保护法》第31条对此进行了规定,将年龄定于14周岁。结合《民法典》相关民事行为能力的规定,应当认为不满14周岁的未成年人以及精神、智力状况经认定后达不到14周岁水平的成年人,应当取得父母或其他监护人的同意,不得独立行使个人信用信息权利。

2.法人与非法人组织信用数据权利

“数据二十条”将数据分为公共数据、企业数据、个人数据,由此对应了公共信用数据、企业信用数据、个人信用数据。公共信用数据,依据《全国公共信用信息基础目录(2022年版)》的规定,是指国家机关和法律、法规授权的具有管理公共事务职能的组织(“公共管理机构”)在履行法定职责、提供公共服务过程中产生和获取的信用信息。公共信用数据主体为国家机关以及法律、法规授权的具有管理公共事务职能的组织。我国《民法典》将法人分为营利法人、非营利法人与特别法人,国家机关可以纳入特别法人范畴,管理公共事务职能的组织可以分别纳入法人和非法人组织范畴。企业有公司、个人独资企业、合伙企业,依次可以纳入营利法人与非法人组织范畴。可见,“数据二十条”的数据分类方式强调了数据的公共性与私益性,但与主体的数据分类方式并无实质性的冲突。

相对于个人信用信息权利,法人与非法人组织信用数据权利认定更为复杂:一是法人、非法人组织的信用数据来源广泛。既包括其在履行职责或提供服务中获取的个人信用信息,也包括其他非个人信用信息。如公共管理机构每年的财政预算、支出,企业的商品门类、营销数量、财务报表、营收状况信息等;二是信用数据的处理状况不同。并非所有公共管理机构或企业都会对自身的信用数据进行系统的收集处理,履行职责或提供服务中的信用数据完全有可能被其他主体所获取。因此,此前司法实践中对法人与非法人组织的数据(信用数据)保护往往适用《反不正当竞争法》的保护方式。而“数据三权”提出以后,情况则有所改变:

第一,明确数据“三权”的权利主体为处理者,当法人与非法人组织具备处理者身份时依法享有“数据三权”。欧盟《一般数据保护条例》(“GDPR”)第4条“定义”对“处理者”进行了界定。“处理者”是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他实体(17)欧盟《一般数据保护条例》(GDPR)[M].瑞栢律师事务所译.北京:法律出版社,2018.42.。我国立法上未区分“控制者”与“处理者”,而是统一采用了“处理者”的表述。依据《个人信息保护法》第4条第2款的规定,“处理”是指收集、存储、使用、加工、传输、提供、公开、删除等行为。处理者即进行上述数据处理活动的主体,包括自然人、法人与非法人组织。其中数据处理者主要为法人与非法人组织中的公共管理机构与企业。因此,当法人与非法人组织具备处理者身份,即对信用数据进行处理时,可以适用最新的“数据三权”进行保护。“数据二十条”为法人与非法人组织信用数据提供了全新的权利保护模式。

第二, 当法人、非法人组织不具备处理者身份,即其未对自身信用数据进行(收集)处理时,此时他人可以获取并使用该信用数据,除非其违反了法律法规的强制性规定。如侵犯了该法人、非法人组织的商业秘密,或者构成了其他不正当竞争行为。此种模式即为现行法立场,未对法人、非法人组织的数据赋权,而属于事实上的保护或法益保护模式(18)周汉华.数据确权的误区[J].法学研究,2023,(2).。理由是法人与非法人组织的信用数据属于财产权,对于信用数据的处理并不会涉及人格尊严、人格自由等伦理价值,而法人、非法人组织对于有财产价值的信用数据自然会采取必要的保护措施,防止其为他人获取。此时事实上的保护或法益的保护模式已足以。

综上,当“数据二十条”提出的“数据三权”落实为立法后,法人与非法人组织将享有作为处理者的信用数据资源持有权、信用数据加工使用权、信用数据产品经营权三项权利。

除依法享有上述权利外,自然人、法人与非法人组织还享有信用(信息)修复权与异议权两项特殊性权利。2021年7月22日,市场监督管理总局通过并发布了《市场监督管理信用修复管理办法》;2023年1月13日,国家发展改革委发布《失信行为纠正后的信用信息修复管理办法(试行)》,其中第2条规定:“信用主体依法享有信用信息修复的权利。”此外,《民法典》第1029条规定民事主体发现信用评价不当的,有权提出异议并请求采取更正、删除等必要措施。从《民法典》的规定来看,异议针对的是信用评价,但从有利于民事主体保护的角度出发,应准予对本条进行一定的扩张,即除信用评价外,其他信用信息处理记录情况也应当准许民事主体进行异议,这也是为了保障社会信用信息的准确与质量。

三、社会信用信息权利的内容明晰

(一)自然人:个人信用信息权利的内容

依据《个人信息保护法》第4章的规定,个人信用信息权利包括知情权、决定权、查阅权、复制权、信息转移权、更正权、补充权、删除权、解释说明权、死者个人信息保护相关权利。以下就其内容分述之:

1.知情权、决定权

自然人的知情权、决定权源于个人信息保护的知情同意原则。知情同意,又称“告知同意”。无论是信息自决理论或公平信息实践理论,都将该原则作为个人信息保护的基本原则(19)丁晓东.个人信息保护:原理与实践[M].北京:法律出版社,2021.33.。知情权系体现信息自决观念的重要基础性、核心权利(20)姚佳.论个人信息处理者的民事责任[J].清华法学,2021,(3).。比较法上,欧盟《一般数据保护条例》(“GDPR”)同样遵循该原则,并于多处予以体现(21)欧盟《一般数据保护条例》(GDPR)[M].瑞栢律师事务所译.北京:法律出版社,2018.42-46.。之所以将其区分为知情权与决定权两项权利,是因为我国《个人信息保护法》第13条规定了个人信息处理的7项合法性事由。若处理者处理个人信用信息的合法性事由系本条第1项“取得个人同意”,则自然人享有知情权与决定权,可以同意或拒绝对特定个人信用信息的处理;而处理者以第2项至第7项作为个人信用信息处理合法性时,则不需要征得自然人的同意,除法律、行政法规规定应当保密或不需要告知外,应当告知个人信用信息处理情况,此时自然人仅享有知情权。依据《个人信息保护法》第17条的规定,知情(告知)的内容应当包括个人信用信息处理者的名称或者姓名、联系方式、处理目的、处理方式、处理的信息种类、保存期限、个人行使权利的方式、程序以及法律、行政法规规定的应当告知的其他事项。

2.查阅权、复制权、信息转移权

《民法典》第1029条规定了民事主体可以依法查询自身的信用评价。《个人信息保护法》第45条规定了查阅权、复制权、转移权。查阅、复制、转移是个人信用信息积极权能的体现,目的在于确保自然人对与己相关信用信息处理情况有所了解和掌握,防止信用信息的错误记录、遗漏等情形造成对自然人人身财产的侵害。

查阅权,也被称为“查询权”或“访问权”(Right of Access),它不仅是落实知情原则和透明性原则要求的重要保障,同时也是其他个人信息权利行使的前提(22)龙卫球.中华人民共和国个人信息保护法释义[M].北京:中国法制出版社,2021.202.。所有对个人信用信息进行处理的处理者,包括公共管理机构与市场主体,都应当是个人信用信息查阅权行使的对象,除依据法律、法规应当保密的信息外,都应为自然人提供查阅的渠道和方式。

复制权,即自然人有权要求处理者提供其个人信用信息及处理情况的副本,形式包括纸质书面或电子介质形式。

转移权,又称为“可携带权”(data portability)。依据《个人信息保护法》第45条第3款的规定,自然人有权要求处理者将其个人信用信息转移至其指定的处理者。转移的方式可以是提供,也可以是传输。转移权有利于打破发展在先企业对海量用户的锁定效应,进而促进信息自由流动和市场充分竞争,同时也可能给中小企业带来更大的合规压力(23)丁晓东.论数据携带权的属性、影响与中国应用[J].法商研究,2020,(1).。对于个人信用信息转移权的行使有如下限制:一是应符合国家网信部门规定的条件。国家网信部门结合我国的实际情况,将制定更为具体的转移条件,尤其跨境的信息与数据转移,因涉及国家安全,要求将更加严格。二是当事人协议的限制。个人信用信息有其特殊性,征信机构有时会采取有偿方式与自然人签订协议,对特定的个人信用信息进行收集处理。此时自然人不得违反协议的内容要求行使转移权。三是合法性与合理性事由的限制。如在合理的范围内处理自然人自行公开或者已经合法公开的个人信用信息,自然人无法行使转移权。

3.更正权、补充权

《民法典》第1029条规定民事主体发现信用评价不当的,有权提出异议并请求采取更正、删除等必要措施。《个人信息保护法》第46条也规定了更正权、补充权。欧盟《一般数据保护条例》(“GDPR”)称之为“更正权”(Right to Rectification)。

更正、补充限于个人信用信息不准确或者不完整的情形。不准确(Inaccurate personal information)是指错误记载信用信息,既包括实质性的错误,也包括非实质性的错误。不完整(Incomplete personal information)是指处理者有能力对个人信用信息全面搜集处理但未进行,以致信用信息残缺的状况。由于个人信用信息数量庞大、涉及面广,理论上要求处理者搜集并处理自然人全部的个人信用信息较为困难,因此准确性与完整性的要求应当采主客观相结合的判断标准。主观标准即处理者的信息技术处理水平,客观标准即法律法规的明确规定、行业或社会一般的信息技术水平等,以此来认定处理者是否尽到必要的义务。

4.删除权

《个人信息保护法》第47条同时还规定了5项删除权行使的情形。结合个人信用信息特点,第1项与个人信用信息处理的目的相关,处理目的已经实现、无法实现或者为实现处理目的不再必要的,处理者应主动删除个人信用信息。如自然人与个人征信机构约定提供个人信用信息用于信用评价,当信用评价目标完成后,个人征信机构应删除自然人提供的个人信用信息。

第2项为处理者停止提供产品或服务,或保存期限已届满。如市场上诸多APP在运营时要求获取自然人的部分个人信用信息,当APP终止运营时应删除此类信息。关于保存期限,《征信业务管理办法》第20条规定了征信机构采集的个人不良信息的保存期限为5年。其他的个人信用信息,如自然人与信用服务机构有特殊约定期限的,应当依照其约定,在期限届满后予以删除。

第3项为自然人撤回其对个人信用信息处理的同意。此种情形下限于处理个人信用信息合法性事由系《个人信息保护法》第13条第1项规定的“取得个人的同意”。合法性消失,处理者自然应当删除此前获得的个人信用信息,但此前的处理行为效力不受影响。

第4项、第5项为法律、行政法规、约定情形。个人信用信息处理受到《民法典》《数据安全法》《个人信息保护法》《征信业管理条例》等法律法规限制,征信机构或企业还可能通过有偿方式签订协议获取特定个人信用信息。因此当处理者行为违反法律、行政法规、协议的约定情形时,自然人有权请求处理者删除相关个人信用信息。

上述5项情形都属处理者应当主动履行个人信用信息删除义务,在处理者未履行删除义务时,自然人有权请求其删除。“删除”从文义应理解为完全抹去处理的个人信用信息,即完全从数据库中删除对应的个人信用信息数据。当然,并非所有个人信用信息都能完全删除,有的受限于成本因素,有的受限于技术性因素(24)[美]迈克尔·费蒂克,戴维·C·汤普森.信誉经济[M].王臻译.北京:中信出版集团,2016.35.。无法完全抹去个人信用信息时,也应当采取对应技术手段达到删除效果,如断开链接、屏蔽查询等。

5.解释说明权

在个人信息处理为主要内容的合同中,由信息处理者提供的《用户协议》和《隐私政策》往往内容固定、语言冗长而晦涩,个人为了快速获得服务无暇进行仔细地阅读和审查(25)杨显滨.网络平台个人信息处理格式条款的效力认定[J].政治与法律,2021,(4).。占据市场优势地位的经营者为了实现经济利益的最大化,通常单方预先拟定不公平的合同条款,使得相关合同中缺乏充分通知、侵犯用户权益的格式条款仍旧大量存在(26)夏庆锋.网络合同中不当格式条款的纠正规则[J].江淮论坛,2020,(2).。为此,《个人信息保护法》第48条规定了解释说明权。

个人信用信息解释说明权的对象为处理者制定的处理规则,包括个人信用信息处理的目的、处理方式、处理的信息种类与保存期限等。涉及个人信用信息处理的网络协议具有专业性,往往较为复杂。理想的状况下处理者对协议内容的说明越详尽细致越有利于保护个人信用信息权利,但此可能提高了个人信用信息获取处理的成本。因此,本条将解释说明权设定为由自然人主动提出,即处理者的解释说明属于被动性的义务。同时也应强调协议内容应尽量通俗易懂,对内容的释明程度符合行业标准或达到一般人认识水平。

6.死者个人信息保护相关权利

《民法典》第994条规定了对死者人格利益的保护,死者的个人信息(个人信用信息)可以纳入本条“等”的概括中。《个人信息保护法》第49条同样规定了死者个人信息保护相关权利。

自然人死亡后,其个人信用信息不会自然消灭,可能会对生者的权益产生影响。依据本条,行使该项权利的主体为死者的近亲属。“近亲属”的范围,依照《民法典》第1045条的规定,包括配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孙子女、外孙子女。行使上述权利的前提是“为了自身的合法、正当的利益”,如防止近亲属的人身、财产权益遭受侵害。权利的内容具体包括查询、复制、更正、删除等。近亲属的上述权利还受死者生前安排的限制,解释上应明确此种遵循死者安排应以不侵害近亲属权利为限。若死者生前安排与近亲属权利保护发生冲突,应当优先保护近亲属权利,准予其行使死者个人信息保护相关权利。

(二)处理者:法人与非法人组织信用数据权利的内容

1.信用数据资源持有权

作为处理者的法人与非法人组织依法享有信用数据资源持有权。数据资源,广义上是指对一家企业(处理者)而言所有可能会产生价值的数据,是企业生产及管理过程中涉及的一切文件、资料、图表等数据的总称(27)祝守宇,蔡春久.数据标准化企业数据治理的基石[M].北京:中国工信出版集团,电子工业出版社,2023.33.。法人与非法人组织在履行职责或提供服务过程中通常会产生或获取大量数据。信用数据资源即是其产生或获取的信用数据的集合状态,其中包含了个人信用信息(数据)与非个人信用数据。信用数据资源持有权的前提是具备数据处理的合法性与合理性事由。具体可以分为以下情况:

第一, 对个人信用信息持有的合法性与合理性。法人、非法人组织既有可能在履行职责或提供服务过程中从自然人直接获取个人信用信息,也有可能通过其他法人、非法人组织间接获取自然人的个人信用信息,还有可能从公共信用数据中间接获取个人信用信息。视获取方式的不同,应分别审视各环节的合法性与合理性。直接获取个人信用信息,法人与非法人组织应具备《个人信息保护法》第13条及《民法典》第1035条的合法性与合理性事由。从其他法人、非法人组织获取的个人信用信息,由于同时涉及其他法人、非法人组织的信用数据资源持有权与个人信用信息权利,应分别就不同的主体数据处理满足合法性与合理性要求。司法实践中对此种情况创设了“三重授权”原则(28)即“用户授权+平台方/公司授权+用户授权”,参见“北京微梦创科网络技术有限公司诉北京淘友天下技术有限公司、北京淘友天下科技发展有限公司不正当竞争纠纷案”,(2015)海民(知)初字第12602号;(2016)京73民终588号。。授权仅为合法性的事由之一,依据该原则的要求可以得出A处理者对B处理者信用数据具备合法性与合理性,B处理者对于C自然人个人信用信息处理具备合法性与合理性,同时A处理者对于C自然人个人信用信息处理也应具备合法性与合理性。从公共信用数据中获取的个人信用信息时,也应同时满足上述环节的合法性与合理性标准。

第二, 对其他法人、非法人组织的非个人信用数据持有的合法性与合理性。在数据资源持有权确立以前,法人、非法人组织的非个人信用数据原则上是开放的,特殊情形受《反不正当竞争法》的调整保护。在数据资源持有权确立以后,从其他法人、非法人组织获取的非个人信用数据,因涉及上述主体的信用数据持有权,获取及持有也应具备合法性与合理性事由。如征得该法人、非法人组织的同意,此种同意既可以是无偿的方式,也可以通过签订协议以有偿方式获取。又如出于公共利益目的,在合理的限度范围内获取该法人、非法人组织的信用数据。再如通过公开的渠道获得信用数据,并且不侵害法人与非法人组织的商业秘密,不构成反不正当竞争行为等。

第三, 对于法人、非法人组织在履行职责或提供服务中自行产生的信用数据持有合法性。除从自然人、其他法人与非法人组织获取信用数据外,法人与非法人组织在履行职责或提供服务中还可能自行产生信用数据。此类信用数据与自然人、其他法人与非法人组织无关,不涉及其个人信用信息权利与数据资源持有权。如企业本身的财务报表信息、营业额销售记录、纳税信息、企业生产的机器生成的数据等,上述信用数据自产生之日起即应当由生产者企业合法持有。

有观点认为,数据权的客体必须排除个人信息,只能是不可识别特定个人的电子数据(29)何渊.数据法学[M].北京:北京大学出版社,202.50-51.。通过上述分析可知,信用数据资源并不排斥个人信用信息,信用数据资源持有权也并非排除个人信用信息权利。“持有”一词本身即表明该权利并非独占、排他性质的权利,而只是保护作为处理者的法人、非法人组织合法产生或获取的信用数据。

2.信用数据加工使用权

单个的数据经济价值存在“稀薄效应”(30)张新宝.论个人信息权益的构造[J].中外法学,2021,(5).。数据集合只有达到一定规模才能产生经济价值(31)梅夏英.在分享和控制之间数据保护的私法局限和公共秩序构建[J].中外法学,2019,(4).。信用数据资源持有权解决了信用数据集持有的合法性问题,但从“数据资源”到“数据资产”,需要对数据资源进行主动管理并形成有效的控制。看上去杂乱无章的数据将原来看似无关的维度联系起来,经过对这些信息的挖掘、加工和整理,就得到了有意义的统计规律(32)吴军.智能时代大数据与智能革命重新定义未来[M].北京:中信出版社,2016.65.。信用数据资源中的数据只有经过加工使用后才能产生社会、经济价值。

信用数据加工使用权,即处理者依法对其所控制的信用数据资源中的数据加工使用的权利。加工(process)是指处理者对所收集、存储的数据进行筛选、分类、排序、加密、标注、去标识化等活动。使用(use)则有广义和狭义之分。广义的使用是指通过自动或非自动方式对数据进行操作,例如记录、组织、排序、存储、改编或变更、检索、咨询、披露、传播或者以其他方式提供、调整或组合、限制、删除等。狭义的使用不包含存储、加工、传输、提供以及公开,而仅指处理者对数据的分析和利用(33)程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021.71-72.。信用报告、信用评价、信用评分、信用评级是典型的信用数据加工使用方式。与信用数据资源持有权相同,信用数据加工使用属于处理行为,针对其中的个人信用信息加工使用应满足《个人信息保护法》《民法典》规定的合法性与合理性事由。在法人与非法人数据资源持有权确立后,处理者对于其他法人与非法人组织的信用数据加工使用同样应构建并符合合法性与合理性,如满足知情同意、公共利益、公开合理使用等条件。

3.信用数据产品经营权

对信用数据的加工使用会形成信用数据产品。信用数据产品经营权,即处理者依法对信用数据产品享有的占有、使用、收益、处分的权利。数据产品经营权建立在处理者对信用数据资源合法持有、加工使用基础之上,处理者在产品的形成过程中投入了人力、物力、资金、技术、时间等生产成本,凝结了无差别的社会必要劳动,应当将产生的财产利益归属于处理者(34)[德]卡尔·马克思.资本论[M].何小禾译.重庆出版社,2014.5.。随着数据安全技术的发展,如同态加密、数据安全标识、区块链、安全多方计算、零知识证明、群签名与环签名等技术的探索利用(35)张平文,邱泽奇.数据要素五论信息、权属、价值、安全、交易[M].北京:北京大学出版社,2022.219-228.。信用数据产品的经营方式逐渐变得更加灵活、丰富。如A企业保留相应的信用数据,由B企业针对A企业提供的数据运用产品提供相应的服务。信用数据完全可以在不影响个人信用信息权利、法人与非法人组织信用数据权利下进行融通和利用,处理者对信用数据产品经营满足合法性或合理性也将更加便捷。

此外,还应区分信用数据与信用数据产品属于不同信用数据权利的客体。两者之间存在联系,不同的关系影响信用数据产品经营权的权能,具体如下:

第一, 当信用数据产品无法完全“切割”其与个人信用信息、其他法人与非法人组织信用数据间的关系时,信用数据产品经营权受个人信用信息权利、其他法人与非法人组织信用数据资源持有权影响。如产品的运营、功能发挥有赖于对产品背后信用数据资源的持续利用等。在具备合法性与合理性事由前提下,作为处理者的法人、非法人组织可以对其信用数据产品进行占有、使用、收益,但处分权能受限。因产品的处分涉及个人信用信息与其他法人、非法人组织信用数据,应具备处分的合法性与合理性,如征得自然人及法人、非法人组织的同意等。

第二,当信用数据产品能够完全“切割”其与个人信用信息、其他法人与非法人信用数据的关系时,处理者对信用数据产品享有占有、使用、收益、处分的权能。“切割”的方式包括但不限于信用数据产品的运营、功能发挥不依赖背后信用数据资源的持续利用,或虽然依赖信用数据资源,但已对信用数据资源进行了清洗、去标识化等。此时由于产品与自然人、其他法人与非法人组织的权利无关,处分的权能不受限制。信用数据产品的生产者(处理者)可以自行决定对产品的支配方式。

(三)社会信用信息特殊性权利的内容

1.信用(信息)修复权

在失信惩戒机制已成为重要信用监管手段的背景下,必须同时建立让失信主体退出惩戒措施的制度保障,否则会造成信用建设的体系失衡(36)连光阳.信用修复机制的实践误区及法治纠偏[J].东方法学,2023,(4).。我国目前主要由《市场监督管理信用修复管理办法》《失信行为纠正后的信用信息修复管理办法(试行)》规定了信用(信息)修复制度,自然人、法人与非法人组织享有信用(信息)修复权。

依据其规定,信用(信息)修复是指信用主体为积极改善自身信用状况,在纠正失信行为、履行相关义务后,向认定失信行为的单位或者归集失信信息的信用平台网站的运行机构提出申请,移除或终止失信信息的活动。修复的主要方式包括移出严重失信主体名单、终止公示行政处罚信息以及修复其他失信信息。修复的前提一般为主体履行相关义务,纠正违法行为等。由于信用(信息)修复制度尚在建设探索之中,尚未覆盖所有领域失信信息。对于尚未建立信用(信息)修复制度的领域,由国家公共信用信息中心受理修复申请。

2.异议权

2005年《个人信用信息基础数据库暂行管理办法》初步规定了自然人对异议信息的异议流程;2013年《征信业管理条例》第4章专门规定了信用信息的异议与投诉制度;《民法典》第1029条规定了民事主体有权对信用评价不当提出异议并请求采取更正、删除等必要措施;2022年11月,国家发展改革委、中国人民银行起草的《中华人民共和国社会信用体系建设法(向社会公开征求意见稿)》(以下简称《意见稿》)公布,其中第95条明确规定了“信用信息主体的异议权”。

依据《意见稿》的规定,在信用信息收集、加工、提供和保存存在错误、遗漏等情况,侵犯信用信息主体商业秘密、个人隐私和其他合法权益的情形下,信用信息主体可以行使异议权。异议权的主体既包括自然人,也包括了法人与非法人组织。就个人信用信息保护而言,异议权与更正权、补充权、删除权的联系最为紧密,自然人往往是发现其个人信用信息存在不准确、不完整之后提出异议,待处理者核实后采取更正、补充、删除等必要措施。法人、非法人组织的信用信息同样可能存在不准确、不完整的情形,因此可以参照个人信用信息异议程序适用。

四、社会信用信息权利的体系协调

(一)社会信用信息权利体系的理论困境

个人信息、数据的相关研究为近年来学界的关注热点,围绕个人信息、数据权利产生了诸多争议。焦点有二:一是个人信息是利益还是权利;二是要不要对数据进行赋权。

关于个人信息的权属性质主要有法益说、具体人格权说、新型人格权说三种观点。法益说观点认为,我国此前的《民法总则》(包括后来的《民法典》)并未使用“个人信息权”的表述,这意味着立法机关没有将个人信息作为一项具体的人格权,而是作为法律上受保护的利益,即法益来进行保护(37)王利明.中华人民共和国民法总则详解(上)[M].北京:中国法制出版社,2017.465.。承认个人信息的民法保护就等于在将自然人对个人信息的权利界定为绝对权和支配权,而这将会产生很大弊端,会造成信息无法自由地流动,将个人变成一座孤岛而无法进行正常的社会交往(38)丁晓东.个人信息私法保护的困境与出路[J].法学研究,2018,(6).。具体人格权说则认为,个人信息是一种独立的人格权权利类型。是一般人格权在信息时代发展中所形成的新的社会形态的具体展现,是信息时代保护个人人格的要求(39)郑维炜.个人信息权的权利属性、法理基础与保护路径[J].法制与社会发展,2020,(6).。个人信息权以尊重人格尊严和自由为理念,以个人信息的自我决定或自我控制为理论基础,宜定性为人格权(40)吕炳斌.个人信息权作为民事权利之证成:以知识产权为参照[J].中国法学,2019,(4).。个人信息属于人格要素,其内涵明确,外延清楚,可以为他人行为设定禁区,可以成为一项具体人格权(41)叶名怡.论个人信息权的基本范畴[J].清华法学,2018,(5).。新型权利说的观点则认为,可以将个人信息定位为新型的权利,为兼顾信息的利用与保护,应将个人信息权利区别于传统的支配权、绝对权看待。个人信息权与公共利益并非对立的关系(42)付新华.个人信息权的权利证成[J].法制与社会发展,2021,(5).。

而关于数据的争议有权利否认与赋权两种观点。权利否认观点认为,将数据作为一种权利客体对待,忽视了数据本身的无形性、可分享性以及公共性的特点,忽视了信息数据主要通过社群分享来实现自身价值的客观事实(43)梅夏英.在分享和控制之间数据保护的私法局限和公共秩序构建[J].中外法学,2019,(4).。企业数据的保护应当以维护数据的控制为基础,可通过侵权法、合同法和竞争法对围绕数据控制的争夺可能涉及的各种实际利益进行保护(44)梅夏英.企业数据权益原论:从财产到控制[J].中外法学,2021,(5).。数据不同于其他生产要素,无论是否确权,都只适宜以责任规则进行保护。我国法律对个人数据与企业数据的保护水平比责任规则要求,数据确权因此没有实际意义(45)周汉华.数据确权的误区[J].法学研究,2023,(2).。数据具有聚合性、关联性、场景依赖性、非竞争性与非排他性等特征,确权无助于解决数据利用过程中的争议(46)丁晓东.数据公平利用的法理反思与制度重构[J].法学研究,2023,(2).。赋权观点则认为,对企业数据进行确权,是发挥个人信息财产价值的重要途径,与个人信息权益保护并不存在冲突,并不必然导致个人信息保护水平的降低(47)王叶刚.企业数据权益与个人信息保护关系论纲[J].比较法研究,2022,(4).。随着信息时代的到来和数字经济的兴起,我国在国家政策层面、立法层面和司法层面均存在数据确权的需求。在理论上,应将数据财产权确立为与物权、知识产权相并列的第三类具有对世性的财产权利(48)张新宝.论作为新型财产权的数据财产权[J].中国社会科学,2023,(4).。

社会信用信息包含了个人信用信息与信用数据,而个人信用信息与信用数据分别属于个人信息与数据的范畴。因此,围绕个人信息与数据权利的上述基础理论问题争议,深刻影响着社会信用信息权利体系的成立及其协调。如果将个人信息定位为利益,反对数据赋权,则意味着无“社会信用信息权利”,对于个人信用信息可采现有的法益保护模式;对于处理者的信用数据则可以适用《民法典》《反不正当竞争法》等规则进行保护。而承认个人信息的权利属性,对数据进行赋权,则应对社会信用信息权利赋权的必要性进行论证,明确各项权利间的关系,最终实现权利体系协调的效果。

(二)社会信用信息权利体系的困境纾解

1.社会信用信息赋权的必要性

德国学界最早对利益与权利进行了研究和区分。《德国民法典》第823条第1款规定:“故意或有过失地不法侵害他人的生命、身体、健康、自由、所有权或其他权利的人,有义务向该他人赔偿因此而发生的损害”(49)德国民法典(第4版)[M].陈卫佐译注.北京:法律出版社,2015.317.。从中可以看出,所有权以“权”字为后缀,而生命、身体、健康、自由等人格要素未加“权”字。其认为区分利益与权利的关键在于归属效能、排除效能、社会典型公开性三项标准。如利益的上述标准较强,则应当予以保护,反之过度保护则可能侵害一般人的行为自由。对于受到保护的利益,则可以称之为“法益”(das Rechtsgut),即受到法律保护的利益(50)于飞.侵权法中权利与利益的区分方法[J].法学研究,2011,(4).。一旦认定为权利,则除少数权利(如债权外),其即具有了支配性与对世性,凭借权利可以对包含的利益进行占有、使用、收益、处分,并排除他人的侵害。我国理论与立法实践中同样认可利益与权利的区分。如在人格权领域设置一般人格权与具体人格权,具体人格权为人格权利,而一般人格权维护人的尊严与自由,提供对人格利益的兜底性保护。个人信息由于其载体或形式的特殊性,其归属效能、排除效能、社会典型公开性是较弱的,因此很难纳入到权利的范畴,这也是众多观点反对将个人信息定位为权利的重要理由。部分理论界和实务界的人士和有关部门还担心将自然人对个人信息的权益直接确定为“个人信息权”,会导致自然人对其个人信息享有过于绝对的支配权和控制权,以致影响信息自由流动,不利于网络信息社会和数字经济的发展(51)程啸.个人信息保护法理解与适用[M].北京:中国法制出版社,2021.25.。但本文认为,可以将个人信息定位为新型的权利,理由如下:

第一, 定位为利益或权利不仅应考虑某项利益的结构性特点,还应考虑其社会的重要性及未来的发挥趋势。如果某项利益特别的重要,可以将其“破格”上升为权利。我国立法上也有此先例,1986年出台的《民法通则》中也未规定“隐私权”。2001年随着社会的发展,司法解释中最早出现了“隐私”的表述,但并未加“权”作为后缀(52)《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条规定:“自然人因下列人格权利遭受非法侵害,向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理:(一)生命权、健康权、身体权;(二)姓名权、肖像权、名誉权、荣誉权;(三)人格尊严权、人身自由权。违反社会公共利益、社会公德侵害他人隐私或者其他人格利益,受害人以侵权为由向人民法院起诉请求赔偿精神损害的,人民法院应当依法予以受理。”。直至2009年《侵权责任法》出台,才在条文的第2条明确规定了隐私权。个人信息的保护与利用已成为信息社会必不可少的环节。将个人信息定位为权利,有利于强化对自然人人格权的保护,也是顺应时代的要求。

第二, 个人信息客体存在不确定性的特点,但不足以否定其权利的地位。除生命、身体、健康等物质性人格权外,众多的精神性人格权如姓名、肖像、名誉、荣誉、隐私等都具有相当程度的客体不确定性,赋权的关键在于某一项权利法律概念的“核心区域”是否明确。菲利普·赫克(Ph. Heck)曾形象地描述此种现象:概念的核心、距离最近的词义、概念的延伸使我们逐渐认识了陌生的词。它好比黑暗中被月晕围绕的月亮(53)[德]伯恩·魏德士.法理学[M].丁晓春,吴越译.北京:法律出版社,2013.79.。随着对个人信息研究的深入展开,“个人信息”概念的核心区域正逐步明确。比较法上对于个人信息的认定,经历了识别说到关联说的发展,我国立法充分汲取了上述观点合理性,在《个人信息保护法》第4条采用了“已识别和可识别自然人有关信息”的表述,并对典型的个人信息类型进行了列举。上述举措即充分明确了个人信息概念的核心区域,有助于在实践中对个人信息进行认定。

第三, 个人信息处理合法性与合理性事由及“动态系统”理论的加入,将个人信息定位为权利不会造成信息流通的阻塞。虽然将个人信息定位为权利,但应将其区别于传统的支配权、绝对权。我国《民法典》《个人信息保护法》对于个人信息的处理设立了合法性与合理性事由,这些规定构成了个人信息处理的依据与免责事由。在具体的侵害认定中,裁判者也可以充分借鉴并使用“动态系统”理论,在个案中明确个人信息权利保护的边界(54)王利明.民法典人格权编中动态系统论的采纳与运用[J].法学家,2020,(4).。

而关于数据赋权的问题,在“数据二十条”业已出台的背景下,是否赋权已无争议的必要,关键为所赋之权为何种属性的权利,会不会造成对数据利用与保护的阻碍。对于数据处理者而言,赋权完成后的保护范围明显超过现有法律规定。以企业为例,A企业仍可以从多种渠道获取B企业数据资源中的数据:一是以知情同意原则为合法性,直接向自然人获取个人信息处理的权限;二是B企业在获得自然人知情同意前提下,将其中个人信息提供或共享给A企业,即“三重授权”原则。不涉及个人信息或其他企业数据的部分则可以通过协议提供或共享给A企业;三是A企业具备数据处理的其他合法性与合理性事由。可见,“数据三权”也并非传统意义上的支配权、绝对权,其排除的仅仅是非法获取或处理数据的行为。

综上,可以将个人信息与数据定位为权利,社会信用信息为个人信息与数据在社会信用领域的延伸,同样应当将社会信用信息权利定位为新型权利。

2.社会信用信息处理合法性与合理性事由确立

将个人信息定位为权利,数据赋权完成后,为有效协调权利间的关系,还应规定个人信息与数据处理的合法性与合理性制度。社会信用信息权利体系的有效协调也在合法性与合理性事由中确立。

目前个人信用信息处理的合法性可以适用《个人信息保护法》第13条规定的7项。公共管理机构处理个人信用信息主要适用该条第2至第7项,无需征得自然人的同意,但除有法律、行政法规规定应当保密或者不需要告知的情形外,应当告知自然人信息的处理情形。市场性质的处理者则主要适用该条的第1项合法性事由,即取得个人的同意。之所以如此区分,主要在于个人信用信息处理关系中,公共管理机构权力由法律法规明确规定,履行法定的职能或提供公共服务,处理行为带有公共性,公共管理机构与自然人并非平等地位。而市场性质处理者与自然人处于平等地位,应保障自然人对个人信用信息处理的知情权、决定权。由于公共管理机构处理个人信用信息源于权力与公共性的逻辑,对其处理行为应当严格遵循法定解释的原则。依据《全国公共信用信息基础目录(2022年版)》的表述,公共管理机构包括国家机关与法律、法规授权的公共企事业单位、群团组织、人民团体等。目前各级公共管理机构都有对个人信用信息的处理与需求,而国家发展改革委和中国人民银行分别主持建设的公共信用信息、金融信用数据平台为全国个人信用信息汇总中心。除合法性事由外,《个人信息保护法》第13条、《民法典》第1036条还规定了个人信息处理的合理性事由。合理性即对个人信用信息的处理行为应符合行业的标准、惯例,不违背生活常识和一般人的社会认知。

法人、非法人组织的信用数据处理合法性与合理性事由目前则无明确的立法规定。参考《民法典》《个人信息保护法》的相关规定,未来应当专门确立。具体可遵循如下思路:一是法律、法规规定应当予以公开的信息。《政府信息公开条例》《企业信息公示暂行条例》中规定了涉及法人、非法人组织信用数据应当予以公开,其他主体在合理范围内可以对上述信用数据进行使用。二是履行法定义务职责或法定义务所必需、为订立履行合同所必需。此项规定主要是便于国家机关及法律、法规授权管理公共事务的组织获取法人、非法人组织信用数据以及便利市场主体交易。三是实施新闻报道、舆论监督等公共利益所必要的情形。作为私益的数据权利不能对抗正常的社会舆论监督权,后者所体现的公共利益在重要性上大于对信用数据私益的保护,但对其处理不得超过必要的限度。

五、结语

2014年6月14日,国务院发布了《社会信用体系建设规划纲要(2014—2020年)》,正式全面启动了我国的社会信用体系建设工作。此后国务院及国务院办公厅又对社会信用体系建设中的守信联合激励和失信联合惩戒、以信用为基础的新型监管机制、构建诚信建设长效机制等多次发布相关的指导意见。近年来,地方性社会信用立法也已呈“星火燎原”之势,在推进社会信用体系相关制度建设的同时,也注重对主体社会信用信息权利的保护。2022年11月14日,国家发展改革委、中国人民银行会同社会信用体系建设部际联系会议成员单位和其他有关部门(单位)研究起草了《中华人民共和国社会信用体系建设法(向社会公开征求意见稿)》,标志着社会信用体系的立法进入了崭新的阶段。

在社会信用体系建设持续推进与“数据二十条”出台的大背景下,本文立足于社会信用信息权利的范畴、内容及体系进行了分析。社会信用信息权利即自然人、法人与非法人组织对其信用信息依法所享有的权利,包括自然人的个人信用信息权利与处理者法人、非法人组织信用数据权利。个人信用信息权利包括知情权、决定权、查阅权、复制权、信息转移权、更正权、补充权、删除权、解释说明权、死者个人信息保护相关权利。作为处理者的法人与非法人组织信用数据权利包括信用数据资源持有权、信用数据加工使用权、信用数据产品经营权。自然人、法人与非法人组织还享有信用(信息)修复权、异议权。个人信息与数据区别于传统的支配权、绝对权,属于新型的权利,故社会信用信息权利也属于新型的权利。未来应当依托现有的《民法典》《个人信息保护法》展开解释,确立社会信用信息处理合法性与合理性事由,有效实现社会信用信息权利体系的协调。