个人信用信息商用的合理性标准研究

姚舒嵘

（中国人民银行西安分行，陕西 西安 710075）

一、个人信用信息保护的发展情况

（一）个人信用信息的法律内涵

二十世纪90年代以来，为了积极服务消费金融等领域，我国征信业逐渐兴起。2004年，《建设企业和个人征信体系总体方案专题报告》明确了中国征信业建设的目标，即形成覆盖全国的信用信息服务网络。2006 年3 月，人民银行征信中心成立，对全国银行信贷数据进行采集和整合，并对征信机构进行严格规范，逐步完善覆盖全社会的征信体系。根据2021年《征信业务管理办法》第三条规定，信用信息，是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析评价信息。在信贷规模持续扩张、互联网金融迅速发展的背景下，个人信用信息的采集不再局限于金融机构的信贷信息。依法设立的、独立于信用交易双方的第三方市场化个人征信机构，如百行征信、朴道征信等，通过采集、整理、加工个人网络信贷信息和非信贷数据，帮助没有任何信贷记录的用户补充个人信用信息并享受金融服务。［1］

在大数据时代背景下，人们对于个人信息安全的重视程度日益增强。随着征信业的不断发展，个人信用信息的保护也越来越受到社会公众的关注。以《一般数据保护条例》（GDPR）为代表的境外隐私法规引起了广泛的关注，其提出了更加严格的适应现代化发展的数据保护要求。2021年8月，全国人大常委会审议通过了《个人信息保护法》，首次提出了“敏感个人信息”的处理规则和“个人信息跨境提供”的规则，这些规定与《一般数据保护条例》等法规相互呼应，为金融账户、信贷记录、征信信息、交易消费记录等特殊个人财产信息提供了有力的保护。

（二）个人信用信息中的权利保护

央行征信管理局数据显示，截至2022 年底，央行征信系统共收录11.6 亿自然人、1 亿户企业和其他组织信息，2022 年全年，个人和企业信用报告日均查询量分别达1143.2万次和32.6万次。当前，信用报告广泛应用于金融机构的贷前审批、风险定价和贷后风险管理等环节。

个人信用信息涉及公民的基本民事权利，基于其可识别特定自然人身份的特点，常与民法中的人格权相关联，如姓名权、隐私权、名誉权等。《民法典》第一千零三十四条明确规定了个人信息的保护规则，即自然人的个人信息受法律保护，个人信息中的私密信息，适用隐私权的相关规定，没有规定的，适用个人信息保护的有关规定，即适用《数据安全法》《网络安全法》《个人信息保护法》等特别法律规定。《个人信息保护法》第五十八条对提供重要互联网平台服务的个人信息处理者提出了“守门人”要求，即规定了个人信息处理者的特别保护义务，要求其健全个人信息保护合规制度体系，制定平台规则，开展并接受各类外部监督。个人信用信息属于个人信息的下位概念［2］，上述规定为个人信用信息保护提供了法律支撑，同时为合理有效利用个人信用信息指明了方向。

二、个人信用信息商用现状及存在问题

（一）个人信用信息商用现状

随着互联网的普及和大数据技术的成熟，个人信用信息的商业价值日益凸显。用户在阿里、京东、美团、滴滴等为代表的互联网平台上的消费、支付、社交、出行等活动产生的大量非结构化数据被进一步分析，成为传统信贷信息之外判断个人偿债能力和意愿的重要依据。［3］2015年至今，阿里“芝麻信用”、京东“小白信用”、美团“信任分”等产品相继推出，对企业金融类业务拓展提供了重要支撑，如小额借贷、信用免押等。同时，该类个人信用支付模式也逐渐覆盖到更多的生活消费服务场景，如出行、住宿、商城和招聘等多个领域。2021年，为进一步规范征信业务，保护个人信用信息主体的合法权益，央行制定公布了《征信业务管理办法》，对个人信用信息采集、整理、保存和加工等行为进行了严格规范。然而，个人信用信息的合理化商业使用仍缺乏明确标准。

（二）个人信用信息商用过程中的法律问题

随着各种信用支付工具的普及，个人信用信息是否可以被商用的问题引起了广泛关注。根据杭州互联网法院发布的十大典型案例，数据只有流通利用起来才有价值，但必须保障数据安全和个人信息权利。因此，在商业使用个人信用信息的过程中，必须审慎考虑数据安全和个人信息权利的问题。

根据《征信业务管理办法》相关规定，信息使用者应当建立并遵守信用协议，依照约定履行关于处理个人信用信息的义务。（2018）浙0192民初302号“徐某诉芝麻信用管理有限公司隐私权纠纷案”对个人信用信息商业使用的合法性进行了判定。案件中，原告徐某通过支付宝客户端开通了“芝麻信用”服务，同时与芝麻信用管理有限公司签订了《芝麻信用服务协议》。随后，原告收到了芝麻信用平台发出的被执行案件信息。原告认为被告侵犯其隐私权，要求删除其被执行案件信息，并赔偿其个人征信损失5 万元。当事人双方就个人被执行案件信息的可公开性产生争议，法院认为，被执行案件信息来源于某高级人民法院，属于可公开内容，且被告提供的被执行人信息仅原告本人可以查阅，因此未侵犯原告的隐私权。这一案件明确了信息主体对国家机关依法向社会公众公开的内容不享有隐私权，同时表明对于政府、法院等国家机关依法公开的个人信用信息可以进行合理化的商业使用。

从这个案例可以看出，企业商业使用个人信用信息的过程中，信用协议是保护数据安全的有力保障，但对于信用协议的具体规定内容未在法律上作明确划分，即信用协议从合同的种类上看属于无名合同，适用《民法典》合同编的一般规则，按照第四百七十条之规定订立合同的主要条款。然而，当前无论是立法规定还是司法实践上，均未对个人信用信息的具体类型作出细分，也未对个人信用信息处理者在制定格式条款时的注意义务作出特殊规定，这可能导致机构违规收集使用个人信用信息、未尽审慎义务进行授权等情况的发生。［4］个人信用信息作为敏感个人信息，其授权使用相较于普通的授权合同，具有更强的私密性。因此，在法律适用过程中，应当理出更加合理、清晰的保护规则，以确保个人信用信息得到更好的保护。

三、个人信用信息商用过程中信息处理者的合理性认定

（一）个人信用信息商用的基本原则

1.自愿原则。个人信用信息属于《个人信息保护法》中的敏感个人信息，根据《个人信息保护法》关于“敏感个人信息的处理规则”的规定，商用个人信用信息应当采用要式合同，取得个人信用信息主体的单独同意，并向个人信用信息主体告知处理该类信息的必要性以及对个人权益的影响，处理限制民事行为能力人的个人信用信息，应当取得监护人的同意。

2.公平原则。根据《征信业管理条例》第十九条和《民法典》第四百九十六条之规定，个人信用信息处理者采集、使用个人信用信息时，若通过格式合同约定服务内容的，应当首先遵循公平原则进行制定，对可能免除或者限制其责任的条款，应在格式合同中作出足以引起个人信用信息主体注意的提示，并根据个人信用信息主体要求进行明确说明。在个人信用信息商用的过程中，个人信用信息主体对个人信用信息应当享有充分的知情权、同意权和决定权，相关信息只能在约定范围内进行处理，一旦出现泄露或者非法使用，个人信用信息处理者应当承担相应的违约责任，若涉及刑事犯罪的，则应当由公权力机关追究其刑事责任。例如，《芝麻信用服务协议》中多次提及“您需特别关注和充分理解粗体字的内容”“您同意我们向第三方采集并在适用的法律法规许可的范围内向信息使用者依法提供这些信息时，您已经充分理解并知晓该等信息被提供和使用的风险”等内容，均是起到对个人信用信息主体的知情权的保障作用。

因此，在个人信用信息商用过程中，应严格遵守自愿原则、公平原则，并依照相关法律法规，制定合理、透明的服务协议，保障个人信息主体的知情权、同意权和决定权，以保障个人信用信息的安全和个人信用信息主体的合法权益。

（二）个人信用信息处理者的注意义务

国际上，主流的个人征信模式包括美国的市场主导型、日本的行业协会主导型、欧盟国家的政府主导型，这些模式通常采取比较高额的权利滥用处罚标准，以此降低个人信用信息泄露、滥用等风险。［5］我国《个人信息保护法》针对违法处理个人信息的不同情况，设置了不同梯次的行政处罚。为避免个人信用信息被过度挖掘，个人信用信息处理者应当提高注意义务，通过约束自身的行为避免强制授权、过度索权和超范围采集信息。对于个人信用信息保护而言，这种注意义务可以分为内部规范行为和外部约定行为：一方面，对机构（或企业）内部，应制定严格的内部管理制度和操作规程，建立健全合规制度体系，设置数据安全事件应急预案和教育培训，并成立专门委员会等独立机构开展监督；另一方面，对个人信用信息主体，应明确告知平台规则，就平台数据规范和数据保护义务达成合意，如数据分类管理方式、数据加密等安全措施、个人不良信息的使用、禁止采集的数据等。对于可能产生的不利后果，应当事先说明并取得个人信用信息主体的明确同意。

（三）个人信用信息商用的合理保障措施

1.严格履行“告知－同意”规则

根据《个人信息保护法》相关规定，个人信用信息的收集、处理必须遵循最小化原则，并基于明确、合理的目的，即信息处理者应当事先明确信息用途，以及采集该信息的必要性，以保障个人权益不受损害。除履行法定义务、约定义务以及基于公益目的、紧急情况以外，信息处理者应当在取得个人同意后才能使用个人信用信息。“告知－同意”规则是《个人信息保护法》所确立的数据保护核心规则。［6］个人信用信息商用的前提是自愿、合法，自愿理解为个人信用信息主体认为提供该信息符合自身利益，合法是指征信机构与个人信用信息主体订立的服务协议或授权协议未违反法律、行政法规的强制性规定。同时，根据《民法典》第四百九十六条之规定，服务协议或授权协议的内容应当在当事人双方权责充分表达、共同商定的基础上进行确定，不得使用无提示性表达的制式合同来确定信息处理规则。

2.根据数据敏感度进行细分

《个人信用信息基础数据库管理暂行办法》对个人信用信息的报送标准作了分类，包括金融、商业、社会类数据三个方面，其中，金融类数据包括银行授信、证券交易、保险赔付等；商业类数据包括商业交易、履约情况等；社会类数据包括行政处罚、司法判决等。［7］然而，大数据时代背景下，互联网信息平台采集个人信用信息缺乏统一标准。可以对个人信用信息的处理进行以下简要划分：一是对法定公开的信息依法无需同意，如依法可收集的公开裁判文书、执行决定书等；二是对用于识别特定人的基本信息“概括性提示+同意”，如收集个人姓名、电话、身份证号码等，应取得本人授权；三是对可能对个人社会信用评价产生一定不利影响的特定信息“告知特定目的+单独同意”，如违约情况、理财情况、交易情况等；四是对可能对个人精神权利产生重大不利影响的特定信息禁止采集，如按照《征信业管理条例》及其他强制性规定所保护的宗教信仰、基因、指纹、血型、疾病、病史等特定敏感数据。

结论与展望

随着互联网时代的不断发展，个人信用信息保护面临了更为严峻的挑战。特别是近期ChatGPT 等大数据平台的涌现，更加强化了个人信用信息保护的必要性。2020 年，最高人民法院工作报告中明确指出，要严惩侵犯公民个人信息的犯罪，依法审理网络信息平台滥用个人征信数据案件。征信业相比其他行业的数据收集而言，数据敏感性更高，传播范围也更广，因此对征信机构的注意义务提出了更高要求。然而，在商事领域中，个人信用信息的使用与征信系统的强制收集不同，是个人信用信息主体主动凭借信用换取利益的过程，因此应当充分考虑各方利益的表达。同时，鉴于欧盟对个人数据滥用的高额处罚，个人信用信息是否可以跨境流通，以及如何平衡不同国家立法间的跨境数据保护规则，是未来需要进一步研究的方向。