个人信用信息权益的法治化保护

2024-03-04周烁赵旭东

理论探索 2024年1期

周烁赵旭东

〔摘要〕信用是形成良好营商环境的基石，完善个人征信制度是建设法治化营商环境的应有之义。在个人征信制度的发展过程中，存在着重信息规模、轻信息质量，重信息采集、轻信息保护，重事前审批，轻精准监管的问题。应从信用信息的采集、处理和披露三方面出发，保护信息主体权益。在信息采集环节，明确个人信息的采集范围，保障个人对信息采集的知情权与选择权，制定个人信息采集标准；在信息处理环节，平衡信息安全与数据共享，完善个人信用报告中信息错误的异议纠纷处理机制；在信息披露环节，区别设置个人信息披露条件，并按照使用目的制定精细化的个人信用报告，以期实现个人信用报告制度中信息主体权益的保护。

〔关键词〕法治化营商环境，个人信用信息权益，信息采集，信息处理，信息披露

〔中图分类号〕D923〔文献标识码〕A 〔文章编号〕1004-4175（2024）01-0021-07

党的二十大报告强调，要“构建高水平社会主义市场经济体制”，“完善产权保护、市场准入、公平竞争、社会信用等市场经济基础制度，优化营商环境”，“營造市场化、法治化、国际化一流营商环境”。〔1〕信用是形成良好营商环境的基石，因为现代市场经济的本质是信用经济，市场主体守信履约，市场与个人相互信任，形成良好的信用链条，是维系错综复杂的市场交换关系和正常有序的市场秩序的必要条件〔2〕。目前，我国信用报告系统已收录11亿自然人的信用信息，个人是市场占比最多的主体、是市场经济的服务对象，个人征信是信用体系建设的基础工作，是优化营商环境的底层逻辑和应有之义，构建好个人信用报告制度，对健全普惠性现代金融体系、防范信用风险、建设法治政府发挥着重要作用。然而，既有的优化营商环境举措多是站在商主体、企业等市场主体立场考量，忽视了消费者、个人的权益保护，长期以来有关个人信用权益的制度供给明显不足。随着个人信用信息的采集与应用，这一问题的弊端逐渐显现，由于征信是以个人信用信息为客体，需要对个人信息进行采集、处理分析与披露，因此存在着隐私保护和信息共享难以平衡的弊病，信息泄露、信息滥用、个人信用报告错误的情况时有发生。综观过去的实践，个人征信呈现出“重信息规模，轻信息质量；重信息采集，轻信息保护；重事前审批，轻精准监管”的特点，保障信用主体权益的需求日益迫切。为此，应当从个人信用信息采集、处理和披露的三个环节入手，把好信息采集的入口，稳定信息处理的关口，优化信息披露的出口，发挥好个人征信在信用体系建设中的重要作用，真正落实信用主体权益保障的法治要求。

一、明确信用信息采集边界，保障个人信息采集知情权

个人信用信息采集环节是信用报告生成的源头，完整、准确地采集个人信息，能帮助金融机构准确评估个人信用状况，提供更精准的金融服务，减少信息滥用的风险，减轻社会公众担忧，有助于构建互信共赢、公平竞争的商业生态，从而为更好地建设法治化营商环境提供基本支撑。但是目前信息采集环节存在着一系列问题，主要表现在以下方面：一是对于应当采集的信息类型边界不清。虽然《征信业管理条例》第14条第1款规定禁止采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息等生物信息，但随着科技的进步，部分征信机构越过这一边界，在人脸识别、指纹识别越加发达的今天，个人敏感信息采集的边界为何，需要更为明确的法律规定。二是非法或过度采集个人信息，未经信息主体同意或超出主体授权范围进行信息采集，如某农信社在信贷中未事先取得有关采集信息的同意授权书，在没有获得信息主体同意的情况下，向征信机构报送记载信息主体的不良记录①。三是采集的个人信息不准确，如信息录入错误、更新滞后、数据报送机构错报漏报等。

（一）明确个人信用信息采集范围

个人信用信息是个人信息当中能够识别、涉及或能够合理地与个人金融信用相关联的信息，经过长时间的发展，大部分信息类别已较为明确，如财产信息、账户信息和借贷信息等，但是，对于个人敏感信息，其采集边界为何，人脸识别、虹膜识别等生物识别信息能否采集，学界仍在广泛讨论，目前主要有三种观点。其一是严格限制观点。这一观点认为，个人敏感信息的采集应受到严格的限制和监管，它强调个人隐私权的重要性，主张将敏感信息的采集范围限制在最小化，并提倡建立更加严格的法律法规来约束敏感信息的使用，因为敏感信息“不欲为他人所知，公开将使特定个人私生活平稳遭破坏或受到歧视，原则上应禁止归集、处理或利用，纵使当事人同意亦须经法定程序之审查或有明文规定始得为之”〔3〕。其二是利益平衡观点。这一观点认为，在征信中采集个人敏感信息，是出于个人利益和社会利益的平衡，该行为固然有潜在风险，但也应考虑其必要性，在合理的情况下采集敏感信息能够提供更准确的信用评估和风险管理〔4〕。其三是自主控制观点。这一观点强调个人对敏感信息的自主控制权，它主张个人应该有权利决定信息的采集范围、使用方式和共享路径，具备撤回同意授权的权利和删除敏感信息的权利，应当加强个人对信息的管理能力和知情权，通过用户授权和透明的信息政策来实现个人对敏感信息的控制〔5〕。

笔者认为，应平衡好个人信息利益与社会公共利益的关系，在现有法律规定的基础上适当扩展信用信息采集边界，将与征信相关的包含个人生物特征识别信息的敏感信息纳入采集范围。

第一，个人信用信息具有准公共属性。由于个人的信用行为和履约能力会直接影响他人的信贷消费机会和金融稳定，而金融机构的健康运行对整个经济体系的稳定和发展至关重要。因此，个人信用信息的采集和共享可视为服务于公共利益的措施，旨在维护金融系统的稳健运行。

第二，个人信用信息的采集既是为了完善个人信用档案，也是为了满足金融机构开展金融业务的客观需要。在金融服务和产品的提供过程中，个人金融信息是不可或缺的要素，它既用于评估个人的信用状况、履约能力和风险定价，是建立个体信任度的重要指标，也用于金融机构作出合理决策、降低信贷风险，对维护金融稳定和促进经济增长具有重要作用。

第三，基于平衡协调、公私兼顾的理念，应在两个冲突的法益之间尽可能寻求最大程度的平衡。美国法学家庞德提出了价值等级秩序，即在相互冲突的利益中，应考虑哪一利益获得保障，哪一利益需要牺牲，以实现整个利益纲目内的最多数利益〔6〕244-251。在信用信息的采集过程中，个人的隐私权利和金融机构的业务需求可能存在一定的冲突，在这种情况下，合理的个人金融信息利用和共享规则实际上是为了在信息主体、金融机构以及共享信息的第三方之间实现最大限度的利益平衡。

第四，法经济学理论中的交易成本理论，强调了信息在市场交易中的重要性。科斯认为，市场中的交易并非完美，存在信息不对称和交易成本的问题，交易成本包括交易的搜索成本、谈判成本及合同签订、执行和监督的成本。之后威斯和斯蒂格利茨的研究拓展了信息不对称理论，将其应用于银行信贷市场。他们认为，在银行信贷市场中借款人和银行之间的信息分布并不对称，借款人通常拥有更多关于自身财务状况、信用风险和还款能力的信息，而银行很难获得完整准确的借款人信息。这种信息不对称使得银行在评估借款人的信用风险时难以准确判断其还款能力和履约意愿，从而导致逆向选择，银行过度贷款给高风险借款人，风险增加〔7〕。也正因如此，征信制度得以建立并普遍存在，适度采集个人敏感信息，并通过多方流转、比对、再识别以及再利用等方式，能够完成价值重造，形成清晰的个人征信图像，降低交易成本。

（二）保障个人对信用信息采集的知情权

适当扩大信用信息采集边界后，应当保障信息主体对于信息采集的知情权，将知情同意作为采集个人信息的前提，这是权责一致的要求，也是法治社会个人自主决定权的核心内涵。尤其是涉及个人生物特征识别信息等敏感信息，应当通过制度构建，让信用主体充分知悉采集情况。

第一，采集个人敏感信息时，需明确告知信息主体信息采集的范围，并取得信用主体的明示或默示同意。同意是为了实现个人行动自由和信息自主而进行的一种意思表示，以达到法律规定的效果〔8〕。目前个人可查询的信用信息主要以信用报告的形式呈现，对于未呈现出的个人信息的采集、处理情况，个人难以知悉，所以征信场景下的查询权的范围实际上不同于其他个人信息处理活动中的查询范围〔9〕。由于信用主体的信息权益不仅关乎个人利益，同时涉及债权人利益、社会公共利益等，因此信息采集应当兼顾信息的完整获取和信息隐私保护之间的平衡关系，兼顾信用系统的效率与个人知情权之间的关系，既要为信息采集活动的稳定运行留有适当的空间，又要保护信息主体的知情权、异议权、修复权。笔者认为，在权利平衡的过程中，可以对不同敏感度的信息限定不同的同意程度，在确定个人征信信息采集限度基础上，有选择地保留个人自主决定的弹性空间。具体而言，可根据信用信息的类别，赋予信用主体不同的同意程度。其一是敏感且与个人信用报告关联较弱的个人信息，如婚育信息、生物识别信息等，此类信息或高度表征个人人格尊严，或不当泄露时会对个人造成严重危害，应非必要不采集，必须采集时须明确告知并取得单独授权，经信息主体书面签字同意后方可采集。其二是敏感但与个人信用报告关联较强的个人信息，如消费交易记录等，这类信息主要涉及个人财产安全，采集时须明确告知，同时，可采用风险评估机制，降低过程风险。其三是非敏感的个人信息，为了降低个人信用信息收集的成本，征信机构和信息提供者可采取概括同意的方式〔10〕。

第二，采集个人信息中的不良信息时，须明确告知信息主体。不良信息包括逾期还款记录、欺诈行为、违约记录等，具体而言，应从告知方式和内容两方面保障信息主体知情权。一是告知方式透明清晰，金融机构应以透明清晰的方式告知信息主体采集不良信息的目的、使用方式及可能产生的不良后果；二是告知内容全面准确，金融機构应全面告知信息主体采集不良信息的详细情况，如信息采集范围、来源等，使其对自身的不良信用信息有充分的了解，明确这些信息对信用评价和金融服务产生的影响。

第三，减少采集同类同质信息，或告知信息主体后允许其自由选择。从经济学角度看，由于信息采集中存在挤入效应，当采集较多同类信息时，个人会减少提供信息的意愿，且个人提供信息的意愿会受到决策环境的影响，即使有知情同意原则，在信息获取中也很有可能做出次优选择〔11〕。因此可通过法律法规或部门规章，赋予信息主体对需采集信息的选择权，如获取生物信息时可自主选择虹膜、指纹、人脸等其中一种，减少同类别个人信息采集数目，或赋予信用主体一定的选择空间。

（三）制定明确的个人信息采集标准

第一，建立个人信息采集质量管理机制。制定详细的信息更新规则，实施适当的信息提交标准和程序，确保个人信息根据预定的周期或触发事件进行更新，防止因信息更新不及时所导致的个人权益受损。

第二，制定符合行业需求的个人信息采集技术标准，并建立个人信用信息全流程的保障机制，对于不同程度的信息分级对待、高质量采集，避免采集过程中的不准确、不清晰。

第三，实施个人信息采集和处理事前备案和事后追责机制。为了业务工作的需要，金融机构采集个人信息时必须将采集的目的、方式和信息覆盖范围进行说明，并且做好信息保存和采集的情况记录，将所有信息提交有关监管部门进行备案并作出法律承诺。监管部门应开展有重点的主动审查研究工作，对审查中发现的问题依法进行指导纠正。必要时，运用适当的方式将备案审查工作情况对外公布，使得备案审查制度的作用和效果以公众看得见的方式显现出来。在发生金融风险事件时，应严格追究相关主体的责任，总结经验，预防风险再次发生。

二、完善信息处理与传输机制，优化个人信息处理异议权

在信息处理环节，征信机构利用其强大的分析能力，将个人更新的数据和信用账户与其自身数据库中的记录进行匹配，通过数据挖掘等流程最终生成信用报告等产品。有效的信息安全措施可保护个人免受数据泄露和滥用的风险，增强市场参与主体的信任感；合理的数据共享机制能够促进信息的流通，提高市场效率，降低交易成本；同时，通过实现数据的跨界共享，也可以更准确地评估风险，形成全局视野，促使政府制定更科学的政策，推动营商环境的法治化。因此，完善信息传输处理机制，有利于构建可信赖的商业生态，为各方提供更加安全高效的营商环境。但个人信用信息在这个庞大的数据生态里进行转换和传递的复杂过程中，仍面临着不容忽视的问题。一是信息处理中的安全隐患。个人信息在传送过程中涉及第三方处理和传递，主体和接口较多，可能会出现传输风险，此时数据的完整性、保密性及安全性受到破坏，也存在未经授权的第三方访问窃取个人信息的风险。二是信息错误问题。在信息处理过程中可能出现错误信息，修复错误的异议机制通常需验证和调整多个数据源，涉及全国多个主体，信息源头较多、流动环节庞杂，跨区域协作增加了信息修复的难度，导致个人信用评估的偏差，损害了信息主体权益。

（一）平衡信息安全与数据共享

数字经济遵循“共建共治共享”的价值理念，个人信用信息处理过程包括数据传输、储存和计算等，具体而言，信用信息通过上游多机构采集后，会汇总到征信机构，征信机构的内部也会进行数据的共享，如京东金融和考拉信贷将信息提供给百行征信，征信机构再进行加工、整理和筛选。这一过程信息传输链条较长，涉及多类型信息与多主体的参与，如借贷抵押等金融信息、涉诉相关信息、财产被冻结信息等，涉及信用信息主体、征信等金融机构、借贷平台或企业等多个主体。在数字政府的建设过程中，政府部门拥有丰富的个人政务数据，同时随着营商环境的优化，平台企业和金融机构通过拥有丰富的数据资源和技术优势成为新兴的社会权力主体，相较于传统的国家权力，这种社会权力更具有数字解析性和算法干涉性的特征，对个人隐私权产生更为隐蔽和精准的干涉。个人信息数据的交流互通日益频繁，平衡信息安全与数据共享，保障个人信息权益成为信息处理的应有之义。

事实上，信息安全与数据共享是一体两面。个人数据的安全性关系到数据的准确、真实，如果数据接入传输错误或数据泄露，将损害个体对征信制度的信任，进而影响整个数字治理体系的可持续发展。数据共享是征信制度发展的重要方式，信息在不同主体之间进行共享，能够更好地实现融通，提升服务效能，提高征信的科学性和精准性。然而，数据安全与共享之间存在一定的矛盾。过度强调数据安全可能导致信息孤岛，各个机构封闭式管理，无法形成协同效应，反之过度强调数据共享可能导致数据滥用，对公众和社会信息安全造成潜在威胁。如何在数据安全与共享之间找到平衡成为信息处理中亟待解决的问题。对此，笔者认为应从建设安全可控的共享平台、引入区块链技术、完善隐私计算技术三个方面予以保障。

第一，建设安全可控的共享平台，确保共享平台具备高度的安全性，能够防范处理风险，抵御网络攻击，实现信息安全共享。一是在制度层面，充分考虑隐私权、数据安全的要求，制定数据共享协议和行为守则，规范共享平台各方的权责和行为，确保共享平台的运行符合法律框架。二是在管理层面，建设合理的数据管理体系，强调数据治理，确保数据的质量和可信度，包括数据分类、数据归属、数据溯源等，以便对数据进行精细化管理，提高数据的可控性。三是在监督层面，建立有效的监管和审查机制，设立专门的监管机构负责对平台的运行进行监督。定期的审查和评估可以确保平台按照法规和标准的要求进行运营，及时发现和解决潜在的安全问题。

第二，引入区块链技术保障信息安全。区块链技术具有分布式、永久性、不易篡改和去中心化的特点，记录的数据可以在全网搜索〔12〕。利用区块链技术，能够实现数据的可追溯性，保证信息准确完整。所以应在个人金融信息处理过程中引入区块链技术，在保证个人信息安全的前提下进行数据协同和数据处理，在个人信用评级时，合理筛选个人信息，提升量化决策效果。此外，还可在区块链中使用保密和加密技术，对个人敏感信息进行加密储存，在传输时信息发送者使用公钥加密，信息接收者使用私钥解密，使用代码替代个人信息，并对敏感信息去标识化，利用更为安全的方式引入输入，保护个人隐私不被泄露。

第三，完善隐私计算技术。征信中必须有足够的数据量、丰富的特征维度才能得到真正有意义的结果，这就需要多个实体机构共同提供数据。传统的、集中式的数据使用方式存在数据安全、法律合规等诸多风险，而隐私保护计算能够从技术上实现原始数据不出库进行价值流通的目标，促进跨领域多维度数据的融合，构建“数据可用不可见”的合作新模式。因此，应完善隐私保护计算技术，解决建模、预测、匹配等场景下的隐私安全问题，为加强数据合作，丰富信用信息维度共享保驾护航〔13〕，从而构建起更加丰富立体的信用主体画像。

（二）完善对个人信用报告中错误信息的异议纠纷处理机制

个人信用报告是个人信用信息的主要呈现载体，目前信用报告信息错误的状况时有发生，比如基本信息错误，被冒名贷款成为失信人，出现未经允许在个人名下开立账户等，造成这些问题的原因是多方面的。一是在线下办理金融业务时，部分银行或机构受限于条件或技术能力，过度依赖人工保存与审核，并且疏于对非关键信息的审查。二是目前央行征信系统对接的系统较多②，可能出现信息先后不一致的问题，而审核机制不完善，系统也无法自主报错及更新。三是特别事项无法按照现有流程进行处理，影响处理时效，如小微接入机构和跨区处理异议，小微接入机构数量庞大且类型较多，监管难度大；跨区异议的处理受限于属地管理，处理时与其他地区的沟通难度大、时间长，且缺乏有效的异地征信异议处理平台〔14〕。

对于信用报告出现错误的问题，现在有两种主要的救济方式，一是通过征信机构和金融机构内部异议与纠正来解决，二是诉诸司法途径，法院通常将此类案件纳入名誉权的保护范畴。但仅依据名誉权不足以对信用提供完整的保护，因为名誉权仅仅涵盖了与人格名誉利益相关的信用利益，而不包含其所受到的潜在财产损失〔15〕，所以相较而言，征信机构异议机制更为高效便捷。在这一问题上央行也在不断改进，比如在二代征信系统中，个人信用信息已实现T+1更新，信息录入征信中心数据库后24小时展示新信息，但是在上游，仍然存在异议回复不及时、异议处理制度建设不完善、对冒用身份发放贷款和信用卡等难点问题回避责任久拖不决的情形。对此，笔者认为可以从健全保护主体与保护机制两个方面保护个人信用信息。

第一，加强个人信用信息保护机构的监管力度，健全保障个人征信权利的组织体系。中国人民银行设有金融消费者权益保护局与征信管理局，以维护信用信息主体合法权益，不过金融消费者权益保护局需要拟订发展规划和业务标准、统筹开展金融消费者教育，也要推动普惠金融。征信作为金融中的一项业务，处理起来力量有限，而央行的征信中心不僅负责金融信用信息基础数据库（征信系统），也负责动产融资统一登记公示系统、应收账款融资服务平台建设、运行和管理，所涉业务较多，所以对于金融机构的链条末端，直接面对个人的网点，监管力度有限。因此，应当对症下药，进一步完善监管机制，建立健全“征信中心+征信分中心+接入机构”的信息保护组织体系，强化金融消费者权益保护局与征信管理局的监管力量，建立起法院、金融机构、征信机构、个人征信权利保护机构的立体化的纠纷解决渠道，完善行业组织与信用服务机构的协同监管机制，健全对于个人信用信息的联动保护。

第二，优化征信机构处理错误信息的机制。其一，对于跨区异议处理难等难点问题，可以下放征信系统监管权限，丰富基层人民银行的监管手段，实行跨区交叉检查。其二，借助智能化技术手段对虚假信息、错误信息进行常态化治理，对信息是否正确、是否正确处理开展定期的自纠自查，特别是对于村镇银行、小额贷款公司等小微接入机构，要定期对异议解决机制是否有效进行专项检查，并且跟踪整改。其三，个人有权知悉相关的办理周期和处理进度，对此，可以完善异议流程的处理链条，运用电子化手段向个人公开处理进度，让处理流程更加公开透明。

三、区分信息披露条件，赋予个人信息披露选择权

信息披露是信用报告制度的最终环节，也是信息呈现的最终方式，能够为金融机构提供更合适和强力的决策支持，创造公平竞争的营商环境。信息披露过程主要包括以下两个问题。第一，违规披露个人信息。信息披露与个人隐私的一大冲突，在于部分金融机构会超出法定或约定的范围查询和提供信息。央行对金融机构的征信查询业务管理有标准的合规流程，银行金融机构必须在取得用户授权同意的情况下，才可以在央行征信中心查询个人征信，但实践中部分机构存在违规行为，如在借款结清后仍进行信息访问，短期内频繁查询信息，或未经信息主体授权私自查询〔16〕。如2020年6月，中国人民银行对厦门国际银行北京分行作出行政处罚，对其未经授权违规查询个人信用报告行为处以警告和罚款〔17〕。第二，非法买卖个人征信。央视3·15晚会曾曝光部分银行员工向他人出售客户个人信息，导致银行客户资金被盗〔18〕。再如部分征信机构，从上游公司获取查询接口，违规将查询接口卖给小贷平台等公司，形成个人信息贩卖的产业链，涉嫌非法提供身份证信息核验查询9800多万次，获利3800万元，造成公民身份信息如身份证照片等信息的大量泄露〔19〕。笔者认为，信息披露过程中个人信用信息权益的保护，应从个人信息披露目的和个人征信使用场景入手，明确不同信息的披露条件，按照使用目的制定精细化的个人信用报告。

（一）严格区别设置个人信息披露条件

信用信息的披露是个人对于个人信用信息的让渡，这是金融契约得以建立的前提。笔者认为，应厘清信息的不同敏感度，对于公开程度不同的信息，披露的主体、条件应有所不同。

1.已公开个人信息的披露条件。对于个人信息中的已公开信息，应当设立允许披露的范围，在此目的范围内均可以披露，仅需对当事人进行事前概括说明。这是因为个人信用信息当中，除了有个人征信权益需要保护，还有个人信用信息的社会公共性需要纳入考量。从生成方式来看，个人信息可分为个人固有信息和个人衍生信息，而个人信用信息属于个人衍生信息，产生于个人与社会其他主体的交互中，这一类信息具有明显的社会性和公共性，不仅受到信息主体的控制，还受授信主体、征信机构和社会公共利益的限制，因此，此类信息的权益应当适当让渡，这样，在保护个人敏感信息的同时，也能够实现信息价值的最大化。我国商业银行法规定了银行对客户的保密义务。不过，此类保密义务并不绝对，法律另有规定的，有关机关可以查询个人储蓄账户。

笔者认为，对于已经公开的信息，可以采取关联方“无需同意”和非关联方“默示同意”的模式，符合允许使用的目的即可。允许使用的目的可以从以下三个方面规定：一是个人或个人授信的相关主体，查询该个人的信用报告；二是用于司法目的，如法庭庭审；三是对于个人的违约信息与经催收后未还贷款等信息，在法律法规规定的机构中共享，实现金融机构和司法行政系统中的数据互通，比如将判决与执行信息、行政处罚信息披露给金融机构与征信系统，将个人金融信息中的违约信息，由金融机构披露给税务、市场监管等部门，实现部门之间的信息互通。

2.未向社会公开信息的披露条件。对于信用报告中涉及个人信贷、保险等与金融活动有关的目的信息，也可以披露，但需要经过数据主体的同意或者授权。比如，用于消费者的信贷交易，涉及提供信贷或审查账户情况等；用于个人的保险承保；用于申请政府相关资格时，体现财务情况；用于评估与现有信贷义务相关的信用或提前偿付风险等情形。

对于此类信息，披露需要有以下条件：第一，需要取得数据主体的明确同意；第二，在披露时，信息披露的一方需要进行审查，审查数据获取对于数据控制者履行责任、保护数据主体权利是必要的，或者涉及另一方主体的利益，或者是用于非公益组织的正当用途等。

（二）按照使用目的制定精细化的个人信用报告

个人信用报告通常用于金融领域，不过随着信用信息服务的社会化，信用报告的应用范围也在逐步扩大，在8家征信机构试点时，其信用分不仅用于债权人评估信用品质，在日常生活中得到广泛使用，如进行健康医疗、进入图书馆、租借充电宝等。同时，个人也会为求职、购房等目的使用个人信用报告〔20〕。在建设社会信用体系的背景下，个人征信的普及有利于提高公民的诚信意识，也能便利个人的生活，但若将所有的信息都汇总成统一的信用报告应用于各个场合，可能会对个人信息保护不当。

随着应用场景的拓展，信息主体对精细化的个人信用报告需求日益迫切。从发展历程看，个人信用报告的功能已经由最初的记录转变为现在的多元目的，包括信息记载、信用评价和风险预判等方面。个人信用报告不仅仅作为“信用档案”对个人信息进行罗列，更成为其他主体对信用主体进行信用状况评价和风险防范的重要依据，这也为制定更加精细化的个人信用报告奠定了基础。具体而言，应当有三个方面的改進。

第一，合理划分精细化的信用信息类别，明确对应信息披露方和披露范围。目前的信用报告制度中，根据内容，将个人信息划分为财务信息、卡类信息、履约信息等，在精细化个人信用报告中，其使用目的更为多元，包括贷款评估、租赁资格、就业背景核查等。在制定精细化的报告时，需要详细界定使用目的，并根据用途和目的对信息进行不同类别的区分，明确不同类别的哪些信息可以被披露，以及披露给何种机构或个人，这需要建立合法、透明的信息披露机制，确保信息在使用目的范围内得到合理利用。

第二，赋予个人是否披露的选择权。除已有的人民银行征信报告外，对于其他方面的个人信用报告，信息主体可以选择不接受征信机构的隐私政策和服务条框，不将个人信息对此类主体进行披露，对不披露的部分，需要在信用报告制度中予以指出。

第三，探索建设服务于不同消费场景的专业信用机构。有学者提出，可以建立基于电信运营商数据的征信平台，建设电信信用信息基础数据库〔21〕，正如前文所述，对于不同的消费生活场景，可以推出服务于不同情况下的的更为精细化的个人信用报告，对特定领域需要专有平台作为支撑，因此应探索建设不同领域的专业机构，此类主体可以隶属于现有征信机构，作为现有功能的补充，提供多层次多样化的个人征信服务。

注释：

①参见淄博淄川农村商业银行股份有限公司、张勇名誉权纠纷，（2021）鲁03民终466号。

②如商业银行、农村信用社、信托公司、财务公司、汽车金融公司、消费金融公司、小额贷款公司等各类放贷机构均已接入央行征信系统。

参考文献：

〔1〕习近平.高举中国特色社会主义伟大旗帜为全面建设社会主义现代化国家而团结奋斗——在中国共产党第二十次全国代表大会上的报告〔N〕. 人民日报，2022-10-26.

〔2〕杨柳.以信用建设为重点营造国际一流营商环境〔EB/OL〕.http：//opinion.people.com.cn/n1/2019/0705/c1003-31217142.html.

〔3〕范姜真微.个人资料自主权之保护与个人资料之合理利用〔J〕.法学丛刊，2012（01）：69-103.

〔4〕丁晓东.论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析〔J〕.现代法学，2019，（03）：96-110.

〔5〕Nicholas C. Romano Jr. & Jerry Fjermestad. Privacy and Security in the Age of Electronic Customer Relationship Management〔J〕.International Journal of Information Security and Privacy， 2007（01）：65-86.

〔6〕庞德.法理学：第3卷〔M〕.廖德宇，译.北京：法律出版社，2007.

〔7〕Andrew Weiss，Joseph E. Stiglitz， Credit Rationing in Markets with Imperfect Information， 71 The American Economic Review 393（1981）.

〔8〕叶名怡.论个人信息权的基本范畴〔J〕.清华法学，2018（05）：145-147.

〔9〕程啸，王苑.论我国个人信息保护法中的查阅复制权〔J〕.法律适用，2021（12）：17-27.

〔10〕冉克平.数字时代个人信用权的构造与规制〔J〕.中国法学，2023（04）：49-68.

〔11〕何佳，高彧，孟涓涓，等.个人信息披露决策：强制收集与挤入效应〔J〕.经济研究，2022（05）：158-175.

〔12〕李文华.美国对加密货币的证券监管及对中国的启示〔J〕.首都师范大学学报（社会科学版），2020（03）：160-169.

〔13〕王伟.信用法治视角下的共享经济监管〔J〕.法学论坛，2022（03）：132-141.

〔14〕单建军.国际视角下的中国信用修复机制建设研究〔J〕.金融发展评论，2020（02）：40-52.

〔15〕李曉安.《民法典》之“信用”的规范性分析〔J〕.理论探索，2020（04）：100-110.

〔16〕叶文辉.征信与个人隐私的冲突和协调性研究〔J〕.征信，2013（11）：40-43.

〔17〕财经网金融讯.厦门国际银行因六项违规被罚292万，年内已领罚近1300万超去年全年〔EB/OL〕. https.//new.qq.com/rain/a/20211105A06ZVL00.