征信领域电子授权的法律问题及解决方案研究

■李 寅，漆世濠

近年来，随着互联网金融的蓬勃发展，网上银行、手机银行以及许多手机APP为人们提供了许多线上信贷产品，由于该类产品和渠道具备运营成本低、客户体验佳、审批流程快等特点，迅速得到了授信机构和贷款客户双方的青睐。据网贷之家发布的《2017年中国网络借贷行业年报》显示，截至2017年底，我国网络借贷行业正常运营平台数量达到1931家，总体贷款余额已达12245.87亿元，同比增长50%，预计2018年年底网络借贷行业贷款余额将超过1.5万亿元。《征信业管理条例》第18条规定：“向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。”该规定明确了个人信用信息查询的书面授权要求，增加信息主体对个人信用信息的控制权，以强化对其合法权益的保护。但在线上信贷业务迅猛发展的现状下，通过线上签署信用报告查询授权书，成为业务操作中不可避免的一环，随之产生的征信查询电子授权有效性问题，在实践中引发了诸多争议，成为我国征信市场和互联网金融业务健康发展亟待明确的重要问题。

一、争议焦点一：电子授权是否属于“书面同意”

明确个人信用报告查询电子授权的效力，首先要解决一个问题，即电子形式是否属于“书面”，进而判断电子授权是否满足《征信业管理条例》中“书面同意”的要求。随着技术不断革新，电子形式的信息交换在社会经济中的使用迅速增多，联合国国际贸易法委员会（UNCITRAL）早在1984年即对数据电文的法律效力开展了系统性研究，并于1996年6月通过了《贸易法委员会电子商业示范法》（以下简称《示范法》）。《示范法》创设了“功能等同方法（Functional Equivalent Approach）”以认定数据电文的法律效力。其认为，传统上各国法律要求采取“书面形式”主要有以下原因：一是确保存在可视的证据，证明各当事方确有订立契约的意向；二是帮助各当事方意识到订立该项契约的后果；三是确保文件能够被所有人识别并阅读；四是确保文件恒久不变，进而永久性地记录相关交易；五是通过复制使每个当事方持有相同的副本；六是便于以有形的形式储存相关信息和数据。关于所有上述功能和作用，电子记录也基本能够实现，而且就数据内容和来源的查阅而言，其可靠度和调取速度更高。鉴于此，《示范法》第5条规定：“不得仅仅以某项信息采用数据电文形式为由而否定其法律效力、有效性或可执行性。”

借鉴国际经验，我国相关立法也确认了数据电文具备书面形式的法律效力。如1999年《合同法》第11条规定：“书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式”，明确将数据电文纳入书面形式的范围。因此，书面形式并不局限于纸质形式，不能仅因个人信用报告查询授权的电子形式，否认其具备“书面形式”的法律效力。但是，不管《示范法》中还是在我国现行的法律体制下，并非所有的数据电文都能够被认定为“书面形式”。正如《贸易法委员会电子商业示范法颁布指南》中所提到：“并不是说数据电文在所有情况下都具备书面形式的效力”。《示范法》第6条规定，若一项数据电文所含信息可以调取以备日后查用，则可认定其符合“书面形式”的要求。类似地，我国2004年通过的《电子签名法》第4条规定：“能够有形地表现所载内容，并可以随时调取查用的数据电文，视为符合法律、法规要求的书面形式。”

可见，数据电文要能够随时调取查用，才能构成“书面形式”，该要求在征信业务实践中也至关重要。信息主体的授权书，是决定金融机构的查询行为是否合规的最重要的法律文书。只有当电子形式的授权书被完整准确地留存，并能够被调取查阅，才能确保征信监管以及征信异议处理等环节的正常有序运转。一是确保征信管理部门能够有效开展现场检查，通过调取电子授权书进行核实，对接入机构的征信业务进行有效的现场监管。二是当信息主体否认授权、并就接入机构的查询行为提出异议时（尤其是在拒贷等情况下），确保能提供相应的电子授权材料，证实查询行为的合规性。

在征信实践中，已有诸多采取电子授权的案例。如中国银行江西省分行于2016年推出“中银E贷-个人网络消费贷款”产品，其是依托网络渠道，利用互联网、大数据技术获取并整合各类客户信息，开发的全流程线上消费贷款产品。客户仅需通过该行网页或手机APP等入口注册实名客户，通过身份核验后，在线签署征信信息查询授权书，发起贷款申请。该行《网络信贷产品征信查询电子授权方案》认为，依据《中华人民共和国合同法》第11条规定，个人客户在网络贷款系统在线签署授权书，是客户与金融机构之间的电子数据交换，且授权书以数据电文的形式保存在系统后台，能够随时调取，具备安全性和不可抵赖性，故而符合书面形式的要求，与信息主体签署的纸质授权书效力等同。

此外，人民银行近期制定发布的《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级管理办法》也明确将合法的电子授权认定为书面同意（《金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准》第7.1项和8.1项）。由此可认定，在现行的法律制度和征信监管框架下，只要电子授权符合相关法定要求，就属于“书面”的范畴。

二、争议焦点二：电子签名的法律效力

根据《合同法》和《电子签名法》等确定的“技术中立原则”，数据电文属于书面形式，不能因载体改变而否定数据电文的法律效力（高富平和俞迪飞，2004），因此信用报告查询的电子授权在形式上符合《征信业管理条例》中“书面授权”的要求。然而电子授权满足怎样的条件，才能形成与纸质授权相同的法律效力呢？换而言之，如何让信息主体“点击屏幕”的行为产生“在纸上签名或盖章”的法律效力？

为了解决该问题，首先分析纸质签名或盖章的功能和本质。传统的社会经济活动中，为了保证交易的安全性与真实性，一些法律文书通常要求当事人在签字盖章后才发生法律效力。如《合同法》第32条规定：“当事人采用合同书形式订立合同的，自双方当事人签字或者盖章时合同成立。”之所以有该类规定，是因为签字盖章有其独特的不可替代的功能。《贸易法委员会电子商业示范法颁布指南》对此进行了精辟阐述，其认为，签字具有两大方面的功能，一是能够确定签名人的身份，该功能实现，是基于假定每个人手写的笔迹不同（或每个印章不同），并且仿冒他人签名较难实现；二是能使签署人与文件内容发生关系，即能够代表签名人对文件内容予以认可，该功能实现，是基于假定理性人不会在不看文件内容或不同意文件内容的情况下，在文件上签字或者盖章。

在电子签名的虚拟环境中，文本是以电子形式进行存储、展现和传递的，而在这种无形的载体上，传统的手写签名和盖章无法进行。鉴于此，理论研究和立法实践逐渐形成了共识，即只要电子签名满足一定的要求和标准，就能够起到与手写签名或者盖章同等的功能和作用，即与后者具备同等的法律效力（邓杰，2006）。《示范法》第7（1）（a）款规定，如果数据电文使用了一种方法，鉴定了签名人的身份，并且表明其认可了数据电文内含的信息，则认为满足了签字的要求。我国《电子签名法》第2条规定：“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”上述规定，凸显了“识别身份”和“认可内容”两大关键性功能要素。因此，要构建信用报告查询电子授权的法律机制，应确保电子签名能够实现“识别身份”和“认可内容”两大功能，以获得“签字”的完整法律效果。

（一）电子签名功能之一：对信息主体身份的确认

在实践中，身份确认不仅仅发生于信用报告查询授权环节，可能在信息主体登录线上信贷产品申请页面或者开始申请流程时，就要进行严格的身份认证流程。许多有关征信电子授权的争议也常常与线上冒名贷款争议交织，信息主体认为线上授信机构未能充分识别贷款申请者的身份，一方面不当发放了贷款，另一方面违规查询了其信用报告。

实践中，许多线上授信机构采取了多种途径对借款人的身份进行识别，如中国银行江西省分行报备的《网络信贷产品征信查询电子授权方案》中提到，该行要求客户在网页或手机APP等线上信贷产品申请入口先以姓名和身份证号码等关键信息进行实名注册，再通过支付密码、手机短信验证、动态口令等组合验证方式进行身份验证，能够有效确认客户身份。捷信消费金融有限公司在线上信贷业务中，则采取了更为综合、更为有效的身份验证方式，包括四要素验证（即姓名、身份证号、银行卡号和手机号四种要素完全一致）、活体生物特征识别验证（如要求申请人对准手机摄像头做出眨眼、摇头等特定动作）、PIN码验证等。

可见，实践中市场主体为适应互联网金融发展趋势，充分利用移动终端开展信贷业务，创新采取了许多线上身份验证的手段，主要有三类：一是基于公钥基础设施（Public Key Infrastructure，PKI）的公钥密码技术，该方式的核心包括数字签名、权威认证机构和可信时间戳，利用密码学成果及相关技术手段保证电子签名的可靠性，是目前世界范围内最广为接受的电子签名实现方法之一，中国金融认证中心即采用该项技术；二是基于生物特征，如指纹、声音等；三是基于能够识别身份的电子签名制作数据，如密码、PIN码等。

上述技术手段能否实现有效的身份识别，尚无定论，相关主管部门并未明确电子签名的技术标准和要求，司法实践中形成的规则也极为有限。目前，我国司法实践仅直接认定第一种电子签名（基于PKI的公钥密码技术）的效力，对于第三种电子签名，法院则常常以电子签名制作数据是否具有“私有性、唯一性和秘密性”为标准，判断电子签名是否由本人做出。如在2014年上海市徐汇区人民法院审理的“刘丽梅诉交通银行股份有限公司上海漕河泾支行财产损害赔偿纠纷案”中，法院认为“由于密码具有私有性、唯一性和秘密性的特点，在正常情况下，密码为持卡人设定并仅由其掌握，他人并不知晓，故而无论是持卡人本人或其授权的其他人使用了密码进行交易，都应视为本人的行为。”

综上，应结合现有的先进技术手段（如基于PKI的公钥密码技术）以及司法实践中明确的相关认定标准（如电子签名制作数据的“私有性、唯一性和秘密性”标准），明确征信电子授权的身份验证环节应采用的技术标准，确保电子授权由信息主体本人做出。近日，中国互联网金融协会发布的《互联网金融个体网络借贷电子合同安全规范（征求意见稿）》在此方面进行了有益尝试，其明确“对签名人身份的正确标识是可靠电子签名的根本”，并明确了线上核验的若干方法，如通过信息核验（四要素验证等）、政府权威数据库核验、生物特征识别技术进行人证合一确认或电子认证服务机构颁发的数字证书核验等。

最后还有一点值得思考，倘若信用报告查询的电子授权不符合法定的要件或标准，是否意味着查询机构必然构成违规查询，并承担败诉结果。笔者认为该点值得商榷。我国民事诉讼中采取优势证据标准，即“对于有关的主张或事实，当事人提出的证据必须使法官确信其成立的可能性大于其不成立的可能性”（萨仁，2002），法官在审理过程中，会综合双方的证据，认定说服力强、盖然性占优势的一方主张。若查询机构能够证明其通过了相关技术手段验证信息主体身份，即便该类手段不符合主管部门规定的技术标准，倘若信息主体没有足够证据予以反证，应当认定电子授权由信息主体本人做出，查询行为并不违规。

（二）电子签名功能之二：对信息主体真实意思表示的确认

有效的电子签名应能实现的第二重功能为“认可内容”，即能够表明签名人认可电子签名所对应的内容。长期以来，大多数信息主体多年在互联网上养成了“跳过相关线上合同内容、急于享受签约后服务”的惯性，倾向于忽视合同内容而直接点击“同意”进行签订。然而在互联网环境下，如果授信机构在获取信息主体的电子授权环节忽视了该现状，容易滋生法律隐患。

目前，线上信贷产品的相关合同文本（包括信用报告查询授权书）均为格式条款，《消费者权益保护法》第26条规定：“经营者在经营活动中使用格式条款的，应当以显著方式提请消费者注意……与消费者有重大利害关系的内容，并按照消费者的要求予以说明。”如果在获取信息主体的电子授权过程中，未以显著方式提请消费者注意信用报告查询授权的相关内容，可能滋生法律争议。实践中，也有信息主体以“信用报告查询授权条款不够显著明晰”为由，否认自身有授权查询的意思表示，尤其是在一些线上信贷产品中，点击“查看额度”也会触发信用报告被查询，侵害信息主体的知情权。

《征信业管理条例》第19条规定：“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的，应当在合同中做出足以引起信息主体注意的提示，并按照信息主体的要求做出明确说明。”出于对信息主体合法权益的保护，查询、使用个人信用报告的授权必须是清晰、明确的。在互联网环境下，电子授权也应达到该保护效果，才能具备完全的法律效力。

经调查了解，目前相关线上授信产品的电子签名页面主要有以下特征：其一，大部分机构的信用报告查询授权书（或授权条款）均未全文在电子签名页面上展示，而是通过链接形式，需要信息主体进一步点击后才能阅读全文；其二，大部分机构都将查询授权书作为独立于借款合同的单独法律文书，分为两个独立的链接分别展示，但有的机构将查询授权条款包含在借款合同内；三是大部分机构都设有勾选框，默认状态为未勾选，信息主体点击勾选后才能在下一步点击同意，但有的机构未设勾选框，允许信息主体直接点击同意；四是部分机构除查询授权书的链接外，在电子签名页面特别标注了“授权查询征信信息”的内容，对信息主体进行特别的提醒，部分机构则未进行该特别标注。

为确保电子签名能够体现信息主体的真实意思表示，获得完整的法律效力，并为信息主体合法权益提供更全面的保护，应以确保信息主体“先阅读授权书内容再签进行签署”为核心目标，明确电子签名页面及操作流程的相关标准，着力加强对用户的告知和提示，使其在使用过程中意识到自己的点击行为即意味着同意授权。一方面，应在电子签名页面给出足够醒目的提醒。比如，除通过链接形式展示查询授权书外，还应在电子签名页面增加特别说明，对信息主体进行充分有效告知；应将信用报告查询授权书独立于借款合同之外，增加其醒目性，借款合同中条款诸多，且粗体字的内容不在少数（如违约责任等部分），即便借款合同中的征信授权条款也采取加粗设置，也不能起到特殊的提醒作用。另一方面，应在信息主体点击同意前，设置相关前置程序，确认其已知晓授权书内容，如设置一定阅读时间，在此期间内无法点击同意；要求客户手动输入“同意授权查询信用报告”等关键字，确认其授权意图；在签名页面设置勾选框，且勾选框的默认状态应为未勾选，用户通过点击勾选的行为，明确表明同意的意思，欧盟《一般数据保护条例》对此亦进行了特别的规定，核心在于要求信息主体做出“特定、明确”的同意，单纯不作为的沉默（包括默认勾选的勾选框）不能构成同意①欧盟《一般数据保护条例》序言第32条的规定。。

三、征信领域电子授权机制的构建与完善

（一）探索构建符合征信业务特点和趋势的电子授权效力规则

在互联网金融的大潮下，线上信贷产品的发展呈现不可逆转的趋势，也提高了金融服务的可得性，惠及了更多的客户群体。2015年制定的《关于促进互联网金融健康发展的指导意见》虽然明确了诸多监管要求，但总体上仍秉持“鼓励创新、防范风险、趋利避害、健康发展”的总体要求，积极鼓励互联网金融平台、产品和服务创新。

因此，电子授权效力规则的探讨和构建，必须充分考虑互联网金融的发展趋势，实现监管和发展的有机统一，在包容、引导金融创新的同时，牢牢守住征信信息安全和信息主体合法权益保护的底线。可从电子授权在理论和实践中的两大争议点（即对信息主体身份的确认和其真实意思表示的确认）入手，以“正面清单”方式明确合法有效的电子授权应具备的各项法律要素，在民商事基本立法尚未明确时，通过征信行业立法对该问题先行研究和规范，为线上信贷业务的更好开展提供法律依据，更好地实现征信作为金融基础设施防范金融风险、维护金融稳定、促进金融业发展的重要作用。

（二）明确有效电子授权的形式与程序要求

针对电子授权效力的两大争议点，结合法律理论、行业实践以及技术创新，明确电子授权的形式与程序标准。首先，在身份识别方面，目前诸多线上授信机构已在实践中探索出一系列身份识别的技术方法，相关行业组织也在探索建立统一的标准（如《互联网金融个体网络借贷电子合同安全规范（征求意见稿）》）。下一步，应结合实践中的典型做法、最新的技术进展以及相关研究成果，通过立法明确身份识别的技术标准。但在标准制定过程中应考虑效率与安全两种对立价值的权衡，在信息主体权益保护和促进互联网金融发展之间找到合适的度。最后，在我国民事诉讼体系下，对于没有满足技术标准要求，但有足够证据证明是信息主体本人做出的，应认定为电子授权有效。但是考虑到授信机构在证据保存、技术水平以及举证能力等方面的优势，在具体的规则设计中，应增加授信机构的举证责任，如要求其先提供能够证明电子授权合法性的初步证据。

其次，在信息主体意思表示的确认方面，应当重点对电子授权的页面展示以及操作流程进行规范，确保信息主体的电子授权能够充分体现其授权的意思表示，遏制个人信息的违规查询和使用，强化信息主体同意权、知情权和控制权的保护。通过在电子签名页面给出足够醒目的提醒（如增加特别说明、设置单独链接等），并要求信息主体在点击同意前，进行相应前置程序，确认其充分知晓授权书内容。此外，还可以要求在电子授权页面增加在线咨询等功能，为信息主体提供征信知识的咨询服务，告知其授权查询后可能产生的正面或负面影响。通过上述制度设计和规范要求，使征信电子授权中点击同意的行为不再是信息主体习惯性的“无意识行为”。

（三）构建与互联网环境相适应的征信监管机制

通过立法构建征信电子授权的效力规则，明确形式与程序要求，能够为行业实践提供明确指引，为信息主体权利保护提供法律依据，但相比立法的“静态规范”，监管和执法的“动态规范”也至关重要。互联网环境下，信息主体的合法权益面临更大的挑战：一是同意权和知情权更易受到侵害，在线下信贷业务办理中，信息主体可以通过面对面交流获知征信查询授权的内容和用途，而在线上，信息主体只能够通过阅读条款等形式自行了解，授权信息的充分获取和知晓更加困难；二是个人信息保护力度亟待加强，互联网环境下个人信息的获取和处理更有隐蔽性，而且扩散途径更多、扩散速度更快，有必要针对性地加大监管和执法力度。

因此，应根据互联网环境下征信业务的特点和风险点，结合征信电子授权的效力规则，加快探索并制订与之相适应的执法框架和措施，提升监管的针对性和有效性，提高执法效率，着力保护信息主体合法权益，确保其同意权和知情权的实现，维护征信信息安全。同时，强化对信息主体的宣传教育，畅通互联网环境下的投诉途径，让信息主体了解自身权利和征信业务规则，成为个人信息保护的积极参与者和践行者，在相关机构违规获取个人信息后，通过便捷适当的渠道及时获得权利救济。