论个人信用信息转移权在我国的应用：理据与规制

摘要：个人信用信息不仅具有人格价值，还蕴含着重大的财产价值，已经成为新时代金融业发展的重要资源。个人信用信息基于个人信息转移权应用于金融业的发展具有重大的理论价值和实践价值，我国有必要借鉴域外开展个人信用信息转移以发展相关产业的实践经验，为此需要构建完善的个人信用信息转移法律制度以作为支撑和保障。个人信用信息转移法制化的方法和路径为：通过修法或法律解释的方法，将信用信息纳入《个人信息保护法》和《民法典》中个人信息的范围；完善个人信息转移权制度，将个人信息转移权纳入《民法典》第1037条个人信息决定权体系，以确保该权利得到《民法典》的保护。同时，应对征信业法规中的信用信息概念加以完善，新设本人信用信息管理业，并确立准入标准和营业行为规制。以此为开端，推动健全相关法律制度，期待未来将个人信息转移权扩张应用至更多行业，以数据共享推动相关产业的发展。

关键词：信用信息转移权；信用信息；数据可携带权；数据共享；本人信用信息管理业

作者简介：董新义，中央财经大学法学院副教授（北京  100081）

DOI编码：10.19667/j.cnki.cn23-1070/c.2023.02.011

引    言

党的二十大报告提出，要完善“社会信用等市场经济基础制度”“加快发展数字经济，促进数字经济和实体经济深度融合”。国家“十四五”规划也提出：“充分发挥海量数据和丰富应用场景优势，促进数字技术与实体经济深度融合，赋能传统产业转型升级，催生新产业新业态新模式……鼓励企业开放搜索、电商、社交等数据，发展第三方大数据服务产业。”国务院《社会信用体系建设规划纲要（2014—2020年）》提出，“积极推广信用产品的社会化应用，促进信用信息互联互通、协同共享”，从而促进金融业的大力发展。个人信用信息（为论述方便，若无特殊说明，以下信用信息均指个人信用信息）可以反映出特定个人的信用状况，因此它同时兼具人格属性与财产属性，这种“双重性”使得信用信息成为新时代中国金融业发展的重要资源。

然而，“产业发展，制度先行”，信用信息在金融业的互联互通与协同共享，需要法制对信用信息的可转移、可携带给予支撑和保障。值得称道的是，2021年8月我国通过的《个人信息保护法》，正式确立了个人信息转移权制度，1为信用信息的转移提供了一般性法制保障。信息转移权或者数据转移权2的英文名称为“right to data portability”，其起源于欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）第20条规定。 3本质上讲，数据转移权是指数据主体对个人数据所享有的无障碍地将此类数据从收集其数据的控制者处传输给其他控制者的权利。凭借该权利，享有信息转移权的用户可以要求信息处理者将个人数据转移给其他信息处理者，使得数据主体对个人数据的控制能力提高到前所未有的水平。

从促进产业发展的情况来看，信息转移权的应用场景非常广阔，它“将促进用户福利，打破数据壁垒与数据垄断，促进数据共享与数据流通”4。而个人信用信息转移权（若无特别说明，以下信用信息转移权均指个人信用信息转移权）是个人对本人信用信息基于个人信息转移权一般性制度而具体化的一种权利。本文以信用信息转移权在金融业的应用为视角，旨在探讨引入信用信息转移权这一权利的正当性和可行性，并在我国法制语境下探索信用信息转移权法制化与监管的方法和路径，为信用信息的转移提供法律保障，从而激发和培育信用信息管理业的发展潜力，为增进金融消费者福祉、促进金融新产业新业态新模式作出贡献。

一、信用信息转移权的引入符合我国金融业发展的时代需求

信用信息是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息等信息，信用信息处理业务在我国多被称为征信业务，5其本质属于金融业，是需要持牌经营的特许行业。“不以规矩，不成方圆”，法规缺位将直接导致信用信息转移业务的开展无法可依，因而目前构建信用信息转移相关法律制度可谓正当其时，契合数字经济信息共享的时代需求。

（一）我国信用信息转移相关制度缺位

在我国，信用信息处理业务相对于银行业务、证券业务等的法律规制，长期以来都是“短板”。我国对信用信息处理的法律规制始于征信业立法。2013年1月，国务院颁布一部行政法规《征信业管理条例》（以下简称《征信业条例》），之后中国人民银行于2013年12月、2021年9月分别制定了部门规章《征信机构管理办法》（以下简称《征信机构办法》）和《征信业务管理办法》（以下简称《征信业务办法》），至此，我国征信业领域法律规范中形成了 “一体两翼”格局。在这些法规中，《征信业条例》第2条第2款规定了征信业务的概念，即“是对企业和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活動”。该《条例》并未规定信用信息的定义，亦未将信用信息转移权相关业务纳入征信业务范围予以调整。《征信机构办法》只是规定了征信机构的设立、变更、终止（第2章）、高级任职人员管理（第3章）、监督管理（第4章）和罚则（第5章），并未对如何开展征信业务作出规范，更不用说个人信用信息的转移业务。而对于《征信业务办法》，值得称道的是，它以“信用信息”为对象，对其处理行为作出了全面规范：总则定义了“信用信息” （第3条第2款），第2至第5章分别从信用信息的“采集”“整理、保存、加工”“提供、使用”和“安全”方面对征信业务中的信用信息处理和保护作出了详细规定。在保护个人信息主体权利方面，《征信业务办法》较好地吸收了《个人信息保护法》的规定，强调了个人信息主体同意权、知情权和异议投诉权，但并未对《个人信息保护法》所规定的个人信息转移权在应用于征信业务方面作出任何规定。因而，缺乏对信用信息转移权的法律规制，可谓是现行征信法律规范的一大缺憾。

（二）信用信息的共享和保护亟需信用信息权法制保障

承上所述，虽有法律规范缺位，但金融业创新发展却亟需信用信息的转移。从国家发展战略来看，2019年，中国人民银行印发《金融科技（FinTech）发展规划（2019—2021年）》，强调金融科技要“赋能金融服务提质增效”“拓宽金融服务渠道”“提升金融服务效率”，以及在“增强金融风险技防能力”的框架下“加大金融信息保护力度”。可以说，信用信息的转移符合金融业务未来发展方向，具有多重价值。

1.大量信用信息需要共享

进入大数据时代，传统的货币融通已开始转向基于数据的信用融通，个人金融数据成为金融业新经济中数量最庞大的基础生产资料，金融机构积累的个人金融数据规模亦随之大幅扩张，1尤其体现在互联网金融之中。据统计，2022年第二季度，我国非银行支付机构处理网络支付业务2555.21亿笔，金额78.53万亿元；而支付系统共处理支付业务2581.21亿笔，金额2742.47万亿元；2截至2022年6月，我国网民规模为10.51亿，互联网普及率为74.4%。据权威统计，2022年，我国电子商务交易规模将达到42.93万亿元，网购用户规模将达到8.41亿元。3

与此同时，金融领域在借贷、融资等活动中储备和集中了大量信息，如金融消费者在交易中所留下的个人信息及产品选择记录和其他浏览、消费痕迹等。4这些数据的价值极高，依据欧盟GDPR的规定，如果企业组织未经允许造成了个人信息泄露，将会面临最高达企业全球营业额总值4%的巨额罚款或最高1亿美元的制裁，这也从另一角度认可了个人信息所具有的财产价值。5此外，这些信息以其价值巨大被广泛应用于金融领域。例如，在银行业，各类银行通过全方位地掌握和分析潜在客户信息，确定其对融资产品的购买倾向和购买力，从而为其量身打造融资产品。同时，在风险预测方面，银行运用的人工神经网络（ANN）、支持向量机（SVM）和多层感知器（MLPs）等人工智能方法，甚至可以将破产风险预测的精度提高到80%以上，6这些数据能够帮助银行量化评估信贷用户的偿还能力和破产风险，从而极大程度地降低呆账率、坏账率；在保险业，保险机构以精算为业务核心，也充分依赖各类数据的应用，使得保险公司能够分析预测得知被保险人的风险发生概率，进而更加精准地确定保险费率；在基金业，基金管理人为从海量的数据中挖掘出具有经济价值的信息，通常运用大数据技术筛选数据，进而找到更为优质的投资对象；在证券业，大数据技术的应用更为广泛，例如通过人工智能、大数据分析研判行情走向，挖掘新的业务形态与投资机会。

2.客户对本人信用信息的被动地位不利于共享和保护

从我国目前情况来看，客人对本人信用信息不具控制地位，从而影响信用信息共享，同时也使得信用信息的保护处于不利境地，具体表现如下：

一方面，个人对本人信用信息的利用处于被动地位。如上所述，信用信息的应用在金融领域方兴未艾。然而，各金融机构为了防止客户流失，都对自己客户的信用信息采取了信息保密和独占的措施。至此，信用数据作为一种能够支撑这种垄断力的资源，由金融机构独享并完全控制，因此难以被共享。例如，对于参与银行业务中一部分具有私有性和保密性的客戶信息，只有与借款人发生业务关系的银行才有资格掌握，而其他银行无法通过其他途径获得。1而当一家银行充分了解客户个人信息，处于信息垄断地位时，为了防备竞争对手对客户资源的争夺，其更愿意将优良客户的某些重要信息进行隐瞒、不予报告。2尽管我国目前也有多家商业银行参与开放银行经营活动，3但从现有开放银行商业模式来看，主要包括“三角模式”（即个人客户、银行和第三方机构各自形成合同关系）以及“线性模式”（即个人客户与银行、银行与第三方机构之间形成合同关系）两种类型。4无论哪一种类型，商业银行都是个人信息的控制者，在信用信息输出中起着决定作用，而个人客户在此过程中则处于被动的地位。开放银行的理想目的是督促银行与第三方机构履行信息披露义务，以期破除信息不对称与信息过载的双重困境。通过相应的法律责任条款来倒逼银行和第三方机构积极作为，使得处于信息弱势地位的个人客户能够掌握充足的有效信息，在信息对称的基础上作出符合内心真意的理性决策。5但现实中开放银行的目的更多的是为了增强自身盈利能力，而不是赋予客户要求开放银行将本人信息进行转移的权利，换言之，它不是客户通过自己的判断、行使自身权利而获得福祉提升或者享受更为个性化的、精准化的、定向的产品或服务。

另一方面，信用信息被侵害事件层出不穷。在我国金融实践中，信用信息被泄露、倒卖、非法交易的犯罪案件也频频发生。例如，黑客对实施电子交易的银行攻陷进而非法窃取个人信息，客户因此遭受巨额损失的情况并不鲜见。6此外，当泄露风险大于利用价值时应当尽可能少采集，但是风险与收益都是难以量化的，为满足实际需要，个人信用信息的采集边界在不断进行拓展。7因此，实践中出现了个人金融信息被秘密收集、利用的问题以及共享过限问题。譬如，头部互联网企业有良好的数据共享生态链，旗下子集团通过对数据的共享为用户带来了优质体验的同时也存在不少侵害事件。例如，一些平台企业曾被曝出利用电子商城个人用户大数据信息以催收债务，被用户质疑侵犯个人隐私的事件，在该事件中，平台企业对于用户信息的记录正是基于其所属企业集团数据生态的数据共享。8

二、信用信息转移权及其法律规制的理论证成

长期以来，我国信用信息及其处理和产业发展的相关法规建设都是 “短板”。信用信息的可转移直接起源于一般的个人信息转移权（或称可携带权），是个人信息转移权应用于金融业而特定化的权利，将其引入金融业具有正当性和必要性。

（一）信用信息的可转移在本质上属于个人信息转移权的行使

从个人数据保护的历史和现实双重维度来评价，GDPR无疑是迄今为止发达国家集团通过的最为严厉的一部相关法律，为全球个人数据法制建设树立了新的标杆。1GDPR第20条规定了数据转移权的完整定义，即数据主体享有的以结构化、通用化和机器可读的格式接收他提供给控制者的有关他的个人数据，并将这些数据传输给另一个控制者，而不受原数据控制者阻碍的权利。2换言之，数据转移权指的是数据主体享有的将本人数据提供给数据控制者或者转移给第三方数据控制者的权利。在GDPR确立数据转移权之后，英国、澳大利亚、印度、马来西亚、美国加尼福利亚州等国家或地区的法律都相继引入了数据转移权。3在早期，个人信息问题主要体现在对隐私权的保护上，隐私权的含义甚至被描述为控制个人信息的权利。4在美国，学者Arthur R. Miller认为，个人有能力控制信息的流通。5另一学者Westin认为，隐私是指个人、组织、机构决定何时、如何以及在何种程度上与他人交换个人信息的权利。6本质上，数据转移权是由个人信息自决权派生而来的一种权利。

而对于信用信息的转移，依据个人信息转移权的内涵，其核心内容为将信用信息还权于个人，使个人对本人信用信息享有主动权，从而能够最大程度地积极利用并有效保护本人信用信息。在个人的要求下，本人信用信息不仅可以提供给金融机构，也可以提供给具有核心服务能力的金融科技企业，进而促进这些企业对个人信用信息多样化的分析和利用，让之前不能实现的综合性账户信息查询、精准化金融商品或服务的销售成为可能。

信用信息的转移将在数据的产业利用领域发挥重要的作用。其不仅可以使数据市场更加活跃，还可以绕过信息服务的有形、无形的规制。但需要指出的是，在2010年前后法律尚未明确规定数据转移权的情况下，英國、芬兰、法国、日本等国家就已经在自己的商业实践中创建并运营着大量的以信息传输为基础的自我控制的流通平台，7促使医疗、金融、SNS等领域的信息传输变得更加活跃，社会中也因此产生了大量的以信用信息转移为基础的大数据分析服务产业。

（二）明确信用信息转移权的正当性

尽管《个人信息保护法》已规定了个人信息转移权的基本法律条文，但并未规定该制度可应用于哪些产业，学界和实务界对此也存在不同意见。8而对于本文所研究的个人信息转移权应用于金融业而产生的信用信息转移权，更是没有任何规定。承上所述，传统金融机构普遍存在“数据资源独占与闲置”的问题，尤其是各个金融机构内部存有的大量数据资源、信息资源，这些数据既不能被精准加工以实现其派生价值，也不能用以进一步提升客户体验，因此个人对于本人信用信息的利用完全处于被动地位。具体而言，金融机构控制着绝大多数金融业务数据与金融业务接触点，而客户只能通过金融机构App或者网点获取金融服务，如此不仅其办事效率受制于某一家或几家的金融机构，同时也无法获知其他金融机构的新产品和新服务，因而难免错过许多更为优质的、更能满足自身期望和需求的产品或服务。

更为重要的是，在这个要求发展普惠金融的大数据时代，信用信息包含着诸多个人隐私，而个人作为信息主体，理应享有主张其隐私被合理利用的权利；另一方面，信用信息作为宝贵的无形财产还蕴含着巨大的经济价值，关注并加强对信用信息的利用和保护、打破数据提供者与数据控制者之间信息不对称与信息过载的障碍迫在眉睫。正如部分学者所主张的那样，加强对以“数据转移权”为代表的个人数据权利的研究尤为重要。1

（三）对信用信息转移权规制的价值和功能

在明确信用信息转移的价值功能后，为保障信用信息主体权利的真正实施，促进金融业健康可持续发展，需要制定相关制度、规则和机制，从而使得该信息主体行使信用信息转移权，使得信用信息这种特别信息对新产业新业态新模式的发展有法可依、有规可循。

1.促进对信用信息和数据的合理利用

在利用信用信息转移推进金融业发展过程中，必然关涉数据主体“同意权”制度，即数据主体享有的要求数据控制者提供数据或转移数据的权利。被提供或被转移的数据指的是“纯粹的能识别出数据主体本人（仅限于本人）的个人数据”，即仅属于本人的数据。一般而言，学者们都认为数据转移权根源于信息自决理论。2也就是说，“我的数据我做主、我的数据为我服务”，数据主体有权对自身的信息和数据进行控制和支配。2002年欧盟的《普遍服务指令》第29条工作组3认为，数据转移权的主要目的是加强对个人数据的控制，以确保个人在数据生态系统中发挥积极的作用。数据转移权可以促进组织之间用户对受控的和有限的个人数据进行共享，进而优化服务和客户体验。4

基于数据转移权是数据主体人权在数字世界的反映这一观念，通过法律制度赋予数据主体以数据转移权，可以增强数据主体对自身数据的控制能力。以往数据主体基于访问权只能取得无检索功能的数据副本，但基于转移权，数据主体能获取可供机读的、结构化的电子形式数据。正是因为数据主体对个人信息和数据享有同意权，才为引入数据转移权的正当性提供了依据。通过赋予用户获取和转移其数据的权利，用户可以进一步加强对自身数据的控制，以获得更好的服务和用户体验。具体而言有三个方面：首先，用户可以在同类服务的不同服务商之间轻松转换，比如要求银行把自己的支付数据转移到另一家支付机构，从而增强服务质量的竞争，这使得用户弃用某个服务商变得更加容易；其次，用户还可以把数据导入第三方，利用这些数据产生与数据原有用途具有补充性的服务和产品，如通过数据分析提供的服务；最后，用户的个人自由和人格尊严也能被更好地维护。

2.惠及金融消费者保护

通过立法确立信用信息的可转移制度，能够让客户享有更多的自决权，企业将因为数据转移权的应用而更有动力去提高个人信息保护力度，如此能够让客户有更多选择权，从而在客观上促进数据控制企业提高信息保护力度。随着金融产品结构和服务模式愈趋复杂，金融消费者在消费金融商品或接受金融服务的过程中的弱势地位愈趋深化。长期以来，由于金融机构安全保障机制不到位，金融消费者个人信息频遭泄露和窃取使得如何保障金融消费者的个人信息安全成为法律规制层面的重要议题。然而，金融消费者除了因为经营者对个人信息保护不力致使信息泄露而遭受损失以外，更可能因为经营者对个人信息的不当收集、不当利用、不当共享而受损。1因此，对金融消费者个人信息的保护愈发受到人们的重视。由于金融商品和服务的专业性强，金融消费者的个人数据也更为复杂，对于数据控制者来说，金融消费者个人数据的商业价值随着其复杂程度而不断攀升。此种情况下，数据控制者往往设置诸多壁垒来阻碍金融消费者将个人数据转移给他人，变相地侵害了金融消费者的财产权。

从促进市场的公平和良性竞争的角度而言，用户的信息和数据实现便捷转移与共享能有效促进个人数据最大程度地发挥其公共性价值，从而使数据主体以及数据控制者都能平等地享受到数据这一公共基础设施所带来的价值。这对于处在市场交易弱势地位的金融消费者来说无疑是益处颇多的。2因此，在金融消费纠纷、金融侵权事件频发的时代背景下，为加强对广大金融消费者的保护力度，合理引入数据转移权显得十分必要。

3.助推金融业务开疆拓土进而扩容金融生态

在大数据时代，个人数据日益成为企业竞争的核心，其带来的商业价值不容小觑。对于数据控制者来说，谁拥有广大用户的第一手数据，谁就在市场竞争中拥有优势地位。互联网生态竞争下的大型网络平台更是放大了这种优势。为了保持优势，数据控制者往往会阻碍数据主体向其他数据服务商转移相应的个人数据，比如提高数据转移所需的成本。而数据转移权能够有效消除个人数据传输和转移过程中的多余壁垒，为广大用户提供便利，实现数据在同类或者相似的服务商之间的快速流转和便捷使用。在这种情况下，个人数据由多个企业主体利用，有助于促使各主体之间自由竞争，继而在金融领域内实现金融消费者利益最大化。这不仅有利于银行、证券公司、保险公司、基金公司等金融机构对储存的客户的银行信息、信用卡信息、收支明细和保险加入信息等进行统合管理，同时也能使金融机构和金融科技企业为个人提供适配性高的金融商品成为可能。因此，数据转移权能够有效防止“锁定效应”3的出现，有益于保护用户在面对垄断性机构时免受“店大欺客”的遭遇，4同时有利于促进不同数据控制者之间的公平竞争，促进数据生态系统与相应产业的良性发展。5

三、信用信息转移权的域外规制与产业实践：基于信息转移权在金融场景的应用

迄今，主要发达经济体大多在个人信息、数据保护法律中确立了信息（数据）转移权制度，并以该制度为基础，将信用信息作为信息转移权行使客体而应用于金融领域，并构建了相应的信用信息转移权法律规范。

（一）欧盟

2002年欧洲出台的《通用服务条例》（Universal Service Directive ， Directive 2002/22/EC）的第30條对“号码可传输性”进行了规定，要求各成员国应确保所有公共电话服务和移动服务的用户可以独立于提供服务的企业以保留其号码。2002年的《框架指令》（Frame work Directive， Directive 2002/21/EC）（以下简称《指令》）则对数据可移植性进行了更为明确性的规定，对于交互式内容，可通过应用程序接口系统的互操作性进行有关移植。根据第29条工作组的条款，数据传输性被视为数据控制者所应用的附加保护权利，可以赋予数据主体权利。同时，该条款鼓励个人信息的传输，指出允许数据传输性可以使企业和数据主体进行数据处理时最大程度地利用平衡和透明的方式，进而使不公平或歧视性做法减少，大幅度降低了将不准确的数据用于决策目的的风险，这将有利于企业和数据主体的共赢。该条款对数据传输性进行了较为明确的定义，突出了个人数据传输性的巨大潜力，为GDPR引入数据转移权奠定了法律基础。1然而，互联网的普及和信息产业的飞速发展为个人数据保护带来了巨大的隐患，该《指令》在实施过程中也存在着诸多缺陷。此外，随着个人数据保护权利法律地位的提高，《指令》已不能满足时代的需求，制定新的数据保护法律迫在眉睫，因此GDPR的修订也被提上日程。

2012年欧洲委员会颁布《数据保护指令草案》，首次提出“数据转移权”这一概念，该草案的第18条对“数据转移权”进行了详细的定义，即数据转移权是指数据主体拥有的获得个人数据副本并传给另一个数据控制者的权利，传输方式为电子或者其他通用的形式。数据转移权的提出，是对数据主体权利的丰富和完善；22014年3月，欧洲议会对《数据保护指令草案》进行了修订，合并了第18条的“数据转移权”与第15条的“信息获取权”；2016年3月，数据转移权以独立条款的身份出现于GDPR的第20条；2018年5月25日，GDPR正式生效，数据转移权合法独立的权利地位得到完全确立。正式生效的GDPR成为欧盟史上最严格的数据保护法，其为个人信息保护树立了一个新的世界标准，从多个方面为个人数据保护提供助力。3GDPR第20条对数据转移权进行了详细的规定：数据主体有权下载并在不同数据控制者之间传输其提供的与数据主体相关的个人数据。4这表明用户拥有了查询、访问自己在数据网络世界中的个人信息的权利，同时有权选择将自己的个人数据下载并以经过整理的、机器可读的方式传输给另一个数据控制者。5另外，根据第29条工作组发布的指南，在数据下载的格式中还应满足互操性，即不同功能的单元之间仍能够相互通信，共享信息。6互操性的实现，使得用户在传输数据时对数据接收主体的选择更加自由，更大程度地方便用户进行数据传输。此外，GDPR规定了数据转移权的适用范围：首先，接收、传输个人数据要以不侵害他人的权利为前提；其次，如果是出于公共权力执行的目的或是数据控制者被赋予了合法职权，则数据转移权不再适用。7欧盟设立数据转移权有以下两个立法初衷：一是权利保障，即最大化地满足数据主体对于个人数据的控制，这主要表现在数据接收权的设计上；二是产业竞争，即有效促进大数据市场间的自由竞争，这主要表现在数据转移权的设立上。综合来看，GDPR的整体目的就在于数据主体享有对数据的控制权。8

2020年12月15日，欧盟公布了《数字服务法》（Digital Services Act，简称DSA）提案，规范了作为中介机构的平台在提供数字服务时应承担将消费者与商品、服务和内容相连接的法律责任和义务，强化了对消费者个人数据的保护与利用。信息传输权在促进数据流通、发挥经济效益的同时，也需加强信息安全保障，该提案正是权衡数据流通和信息保护两种法益的产物。

（二）英国

为保护信用信息，早在1974年，英国政府即针对信用信息制定了《消费信贷法》（Consumer Credit Act 1974），该法规定参与提供个人信用数据的机构需征得英国公平贸易委员会的许可，同时，它还详细规定了诸如未经本人同意公开个人信息是违法行为以及对错误信息的修改、删除权等条款。1984年，英国又颁布了《数据保护法》，以进一步补充《消费信贷法》。该法扩大了收集、登记信息范围、管理主体权利等内容，但由于只保护与消费信贷相关的个人数据，仍存在一定的局限性。1998年，为适应欧盟的《数据保护指令》，英国修改了《数据保护法》，主要从个人数据的范围、数据保护原则、数据主体权利以及不适用本法的情形等八个方面对英国的个人信息保护制度作出规定。1

此后，英国于2011年开始推进政府部门层面的统合性项目，将其应用于金融、能源、通信、流通四个领域。此时，信息主体有直接接触和控制企业与个人信息的权限的“我的数据”（midata）政策（后演变为“mydata”模式）已经开始实施。该政策的内容是保障个人对自我信息控制和利用的同时，允许企业将个人信息进行新的资产化，为企业开发新的商业项目打开了再投入、再利用的大门。虽然当时的英国并未制定数据转移权等管理规定，但是通过修改《企业规制改革法》（The Enterprise and Regulatory Reform Act 2013）明确规定了对于前述四个领域的客户数据，企业有义务让第三人接触。

英国在正式脱欧之前，欧盟成员的身份使得其同样需要遵守欧盟GDPR的规定，对用户数据进行监管和保护。根据此前英国信息监管局的声明，2019年7月8日英国航空公司就曾因网站被攻击造成约50万客户的数据被泄露，进而违反欧盟GDPR的规定，被罚款1.8339亿英镑。2更早以前，英国新的《数据保护法》已于2018年5月生效，取代了实施近20年的旧《数据保护法》。这部新的《数据保护法》中同样包括“数据转移权”的规定，应为欧盟GDPR在英国落地的响应。3新《数据保护法》的第二部分为欧盟GDPR内容介绍，其余部分则是补充了一些英国国内法律，总的来说与欧盟数据保护框架一致。4因此从短期来看，欧盟GDPR的保护模式将在英国境内继续沿用，但长期而言，立法者可能在国内推行具有英国特色的“英国版GDPR”。与欧盟数据保护机制相比，英国的监管规定将更加宽松，使英国企业将个人数据转移至其他地区时更容易，更便于其在英国开展业务。5

在英国商业实践中，“我的数据”项目（https：//mydex.org）向个人提供了个人信息管理服务。“MyDex”平台向利用者提供个人数据储存（personal data store）、管理服务（personal data services）以及身份证明服务（identity as a services）等，其中它提供的个人数据交易服务的流程如下图所示：6

（三）美国

美国对于个人信息保护与上述国际组织或国家不同，美国采用保护隐私从而统一保护个人信息的模式，注重行业自律并辅之以专项立法。美国政府认为，对于新兴领域，应由其自由竞争、自行发展，政府不应过度干涉。因此，美国并未在联邦层面制定一部统一的一般性的个人信息保护法律，而是采取自律管理和政府监管相结合的方式保护个人信息。同时，美国通过特别法规范特定政府部门、特定行业或特定类型的个人信息利用行为；在商业领域的个人信息或消费者个人信息的利用主要遵循《公平信息准则》，实施自律管理；而个人信息的保护和救济主要是通过发达的侵权救济制度（司法救济）来实现，与此同时，联邦贸易委员会还针对企业欺诈消费者、不公平信息行为予以处罚。1

美国虽无统一的个人数据保护层面的数据转移权，但有数据转移和数据访问的相关案例。2007年，为了讨论和解决数据转移问题，非营利性行业组织“数据转移项目”（Data portability project）成立，2008年就有Google和Facebook等巨头公司纷纷加入，该组织于2009年在美国完成注册。2除此之外，美国也有消费者隐私侵权法：2013年7月，修订版的《儿童在线隐私保护法》正式生效，个人照片、IP地址等信息被纳入该法保护的“个人信息”范畴，新增了对相关主体的通知等要求，3并界定了最具争议的数据留存、删除权等新术语。2018年6月，美国加利福尼亚州议会通过《消费者隐私法》。该法赋予消费者作为信息主体享有对个人数据广泛的访问权、知情权及删除权，为个人信息提供了法律保护。42018年7月，为履行GDPR和美国加利福尼亚州消费者隐私保护相关法律义务，由Google牵头，Facebook、Twitter及Microsoft等多家互联网公司巨头共同启动数据传输项目（Data Transfer Project， DTP）来建立开源数据传输平台。DTP是一个机构合作平台，旨在搭建一个拥有开源代码的共同框架，它能连接任意两个网络服务提供者，实现客户原始数据在两个平台无缝的、直接的转移。5另外，Facebook为了缓解之前美国立法者和监管者针对自己“反垄断”调查的担忧，已经允许北美用户自由选择是否将其存储在平台上的照片和视频数据转移到竞争者如Google Photos等平台。 6这一举动是Facebook对于用户数据转移权的典型应用，并且作为经典范例，可能会发挥“鲇鱼效应”，对数据转移权在北美数字市场中的推广与应用产生显著而又深远的影响。

（四）日本

早在2005年4月日本就开始施行《个人信息保护法》，2015年5月的修订进一步增强了数据主体的权利，2017年日本又对该法予以大幅修改。7我们应从以下几个方面理解日本个人信息保护法：首先，需要明确日本关于“个人数据”与“个人信息”的界定，即并不是所有的个人信息都可以被称为个人数据，个人数据是个人信息下的“可易检索的”信息。其次，日本对于“个人数据权属”问题尚存在一定讨论空间，其争议的核心在于如何平衡好个人数据应用与保护之间的限度。目前较为一致的意见是：在不与现行法律存在冲突的前提下，尽可能地拓宽数据流通网络，以实现数据在不同用户平台上流通的便利。8

对于个人信息保护的规制，日本《个人信息保护法》有明确的规定。首先，在该法中讨论了个人信息权利的独立问题，规定了个人享有个人信息收集、个人信息查询以及个人信息利用的权利。同时，该法规定当数据持有者向收集数据的第三方提供数据时，应征得信息主體的同意，由此明确了数据主体对其个人数据所拥有的权利。1其次，在该法中有关个人信息的收集以及查询的规定都涉及了数据的访问权。用户有权对涉及个人数据的部分进行访问，并且用户个人有权决定其信息利用的用途，这一点与GDPR所规定的数据转移权相似，二者均赋予了数据主体选择处理个人数据所使用方式的权利。最后，该法对于日本用户数据的跨境传输规则也进一步明确：在进行跨境数据传输时，同样需要经过当事人的同意。2

同时，近年来日本也受英美等国“我的数据”产业立法和政策的影响，开始关注对个人数据的合理管理和利用。为提高公民个人因数据带来的收益，日本政府从2016年开始构建“信息银行”，试图打造统一的个人数据资产管理和交易平台。从日本政府的构想来看，“信息银行”的全称为“信息利用信用银行制度”，其基本内容是指，基于PDS（personal data store）等个人数据存储系统，由与个人签订数据使用合同的事业者，按照个人确定的条件，代理个人与第三人（事业者）开展数据交易活动，由此所得收益由信息银行向相关个人直接或间接支付。其运作流程如下图所示：3

按照日本政府2017年对“信息银行”发展的初步规划，计划应用于金融、医疗保健、观光、交通等领域，4而目前已经扩大到信息通信、市场营销、化学等领域。从日本“信息银行”运营模式来看，实际上是将个人数据作为个人资产的一部分，并由日本IT团体联盟所认证的“信息银行”事业者进行运用和管理。截至2020年3月，共有包括株式会社DataSign、中部电力株式会社、三井住友信托银行株式会社在内的5家企业，获得了日本IT团体联盟的“信息银行”事业者认证。5

（五）韩国

韩国虽未在《个人信息保护法》的一般性法律中规定个人信息转移权制度，但其在2020年2月4日大幅修订的《信用信息利用与保护法》中引入信用信息转移权制度，并确立本人信用信息管理业的准入、营业行为监管等制度。

其一，该法明确了“信用信息”的定义。《信用信息利用与保护法》第2条第1项规定了信用信息的概念，即指“金融交易等商业交易中，在对交易相对方的信用进行判断时所需的信息。主要是指以下各项信息：（1）可以识别特定信用信息主体的信息［与符合（2）到（4）中任何一项信息相结合的情形同样属于“信用信息”］；（2）可以判断信用信息主体交易内容的信息；（3）可以判断信用信息主体信用程度的信息；（4）可以判断信用信息主体信用交易能力的信息；（5）（1）—（4）项信息以外的、可以判断信用信息主体信用情况所需要的其他信息。

其二，该法确定了“本人信用信息管理业”的新业务。《信用信息利用与保护法》规定和创设了“本人信用信息管理业”，旨在将数据转移权应用于金融业。2020年2月，此法在后续修改时在第9条之2中规定了“本人信用信息管理业”的定义，即它是指为协助本人信用信息主体的信用管理，将下列各项全部或部分信用信息以总统令规定的方式整合起来，提供给该信用信息主体以作为营业的行业。这些可以作为本人信用信息管理业经营的信用信息包括：（1）由总统令规定的第1条之3的（1）中的①和②，以及（2）的信用信息；（2）由总统令规定的第1条之3的（3）中的信用信息；（3）由总统令规定的第1条之3的（4）中的信用信息；（4）由总统令规定的第1条之3的（5）中的信用信息；（5）除此之外，由总统令规定的信用信息主体本人进行信用管理所需的其他信用信息。同时为确保持牌机构经营本人信用信息管理业，该法在“本人信用信息管理业”之外还确立了“本人信用信息管理公司”制度，并规定本人信用信息管理公司是指获得金融委员会（即韩国最高金融监管机构）审批的、从事本人信用信息管理业的商事主体（此法第9条之3规定）。

其三，该法新设了本人信用信息传输要求权。1与本文主题相关的特别值得提及的是，该法新设了个人对本人信用信息的传输要求权。《信用信息利用与保护法》第33条之2（个人信用信息的传输要求）规定了关于本人信用信息转移权的下列事项：信用信息主体可以要求信用信息的提供者和使用者等，将其持有的与本人相关的信用信息传输给符合一定条件的主体；2限定要求传输的本人信用信息的范围以及应予考虑的因素；接到本人传输信用信息要求的信用信息提供者和使用者等的处理和传输义务；确保相关本人信用信息的正确性和最新性的要求，以及信用信息主体有权撤回提出的传输要求；等等。总之，该法对本人信用信息传输要求权内容规定十分详细，值得我国借鉴参考。

四、我国信用信息转移权法律规制的实现路径与核心内容

（一）信用信息转移权的法制化与业务规制的基本理念

如前所述，我国在《个人信息保护法》中仅仅确立了信息转移权的一般性制度，缺乏可操作性。在征信法律规范中，更是缺乏需要金融特许经营的信用信息转移权制度，相关规定依然十分抽象。未来，我国应在借鉴域外制度和产业实践的基础上，在信用信息相關法律规范中确立信用信息的可转移及其相关制度和规则，为个人信用信息在金融领域的转移应用提供法制保障。

1. 明确个人信息主体对本人信用信息享有一定程度的控制权

要发展“我的数据”产业，需要个人对本人信用信息享有一定程度的控制权，而不能全部受制于金融机构，这种控制权就是前述韩国《信用信息利用与保护法》中所称“信用信息转移请求权”。只有当信用信息不必完全受制于金融机构时，才能保证个人对本人信用信息的知情同意，并在享有此项权利的同时要求金融机构提供更优质的服务。另外，笔者之所以在此强调信息主体对本人信用信息只拥有一定程度的自决权而非全部控制权，是因为在对信用信息转移权法制化时，须处理好数据共享与保护之间的平衡关系。倘若过度保护个人信息及相关数据权利，会对信息共享形成障碍，严格地限制共享将不利于发挥个人信息、数据的经济效用；而若过度鼓励共享，则可能对个人隐私、个人信息等人格权保护带来冲击。为此，应在二者之间寻找一个平衡点，确保信息的有效共享。1

为此，未来我国在细化信用信息转移权制度时，既要注重发挥信用信息的经济效用以促进数据产业的发展，又要注重保护信息主体的个人信息权利，妥善平衡二者之间的关系。在加强保障数据共享中个人信息权利保护的同时，亦应避免个人信息、数据权利的泛化，以免对数据的流通造成不当影响。所谓权利泛化，就是指个人信息权的内涵和外延缺乏明确的边界。2在制定信用信息转移权制度时，应以《个人信息保护法》第45条第3款规定为基础，在信用信息相关法律规范中具体化信用信息转移权的规则，确保个人对本人的信用信息的控制权，为个人合理利用本人信用信息提供法律保障。

2. 坚持个人信用信息保护与促进“我的数据”产业发展相平衡的理念

在大数据蓬勃发展的时代，为打破信用信息数据“独食”“独占”困局，强化数据共享给客户带来新的更大的福祉，需要发展“我的数据”产业，在数据共享的同时强化对个人信息权利的保护，实现和谐与双赢。秉持前述理念，共享和保护兼备的信用信息规制基本内容就应包括以下几个方面：

一是对敏感信息的绝对保护。敏感个人信息承载着高度人格尊严要素，并与宪法所保障的基本权利和自由密切联系，一旦遭受侵害，损害后果严重，因此应严格控制敏感信息从收集、处理到利用、传播的全过程，原则上禁止处理。3亦即法律应当明确规定通常情况下禁止处理敏感个人信息，仅仅在有限且法定的例外情形下才能够进行敏感信息的处理。《个人信息保护法》第28条规定的敏感个人信息，是指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”，并且规定了“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”。依据该条规定，信用信息中的特定身份和金融账户信息显然属于敏感个人信息，应对其强化保护。概言之，信息产业的发展不能以牺牲个人信息为代价，加强对个人敏感信息的保护并不意味着限制信息的转移，而是在保护个人基本权利和自由的基础上促进信息的合法流通和利用。4

二是最大程度利用匿名化信息。根据《个人信息保护法》第73条第4项的规定，匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。其中，在匿名化处理中，对敏感信息进行匿名又最为关键，敏感信息匿名化后就成为脱敏化的信息，也称为数据信息漂白，是指通过脱敏规则（通常是特定算法）对某些敏感信息进行数据的变形和隐藏，并将其转换为虚构数据，阻断数据挖掘者获取真正的敏感隐私信息，从而实现对敏感隐私信息的可靠保护。如果在不违反系统规则的情况下处理和使用实际数据，例如身份证号码、移动电话号码、卡号、客户号码和其他个人信息，则可能就需要对数据进行脱敏处理。5依据《个人信息保护法》第4条有关个人信息定义的规定，匿名化处理后的敏感信息就不再屬于个人信息，不再受《个人信息保护法》的规制。因此企业须不断提高匿名化技术水平，而匿名化处理后的信息发挥着越来越重要的作用，其经济价值和社会意义也被社会广泛认可。尤其对于企业来说，企业所使用的数据并非全是敏感的，对于这类信息，应当最大程度地利用，促进大数据的未来发展，实现其社会价值的最大化。1

三是明确信用信息转移权的内涵和外延。作为一种新型的个人数据权利，欧盟在GDPR中创设的数据转移权赋予“数据主体”接收和转移数据的权利，它不仅改善了数据主体对自身数据的控制，还矫正了数据主体与数据控制者之间的失衡态势。然而，数据转移权的内涵和外延仍不明晰，所以需要参考不同国家立法的价值取向、规制路径和规制结果等，以明确信息转移权的内涵和外延，强化数据主体对数据的控制权。2

（二）信用信息转移权法制化的具体路径

1. 将“信用信息”纳入《民法典》和《个人信息保护法》所规定的“个人信息”概念之中

我国《民法典》第1034条对于个人信息的定义，沿袭了《网络安全法》对于“个人信息”定义的“识别”标准，将可以单独或者结合其他信息识别的具有特定自然人的信息，都纳入“个人信息”的范围。在外延列举上，相较于《网络安全法》的规定，《民法典》中对个人信息内容的列举增加了“电子邮箱、健康信息、行踪信息”。鉴于新增的三项信息符合业已建立的个人信息“识别”标准，同时《信息安全技术  个人信息安全规范》也已将上述三项信息纳入个人信息的范围，因此，《民法典》的这一修改不是对个人信息范围的延伸，而是对数字时代个人信息范围的立法确认。此外，随着个人金融活动网络化及征信采集范围扩大化，个人的信用信息也逐渐具备“识别”个人身份的这一功能，在特定金融及征信领域可以作为反映主体身份的特殊数据表达，并具备产生经济效益的实用价值。鉴于我国最高立法机关的立法惯例和严格程序，在短期内要修改《民法典》与《个人信息保护法》中“个人信息”的定义，以引入“信用信息”概念，并不具可行性和现实性，通过司法解释或者法律解释的方法无疑是最为现实的方案。因而，未来对于《民法典》第1034条第2款所列举的具体个人信息种类，可以通过对“等”的含义进行扩充解释，将“信用信息”纳入“个人信息”范畴，以明确“信用信息”概念在《民法典》的地位。同理，通过对《个人信息保护法》第4条第1款“个人信息”定义中“各种信息”在文义上进行扩充解释，明确将“信用信息”纳入“各种信息”之中，从而将信用信息转移权纳入《个人信息保护法》的调整范畴。

2. 以《个人信息保护法》中一般信息转移权制度作为信用信息转移权法制化的基本指引

欲构建信用信息转移权的规制路径，首先就要明确其规制目标和方向。《个人信息保护法》明确了个人信息转移权的一般性规定，以基本法律的形式确立了个人数据转移权的法律地位。同时，《民法典》也确立了个人信息私法保护的基本原则和规定。从法律体系来看，在个人信息保护领域中，《个人信息保护法》就《民法典》而言属于特别法，也是新法，应当被优先适用。因此，对于信用信息转移权的规制目标和方向，应当以《个人信息保护法》第45条第3款为基本指引。但是，为了保持与《民法典》在个人信息保护（包括个人信息转移权制度）规定上的协调和统一，减少法律规定之间的冲突，应当处理好数据共享与个人信息保护之间的界限与交叉关系，可以通过对《民法典》（人格权编）第五章（名誉权和荣誉权）与第六章（隐私权和个人信息保护）相关规定进行修改或者予以法律解释，尤其是要对《民法典》第1037条个人信息决定权进行修改或者法律解释，将《个人信息保护法》第45条第3款之个人信息转移权直接纳入《民法典》第1037条之中，从而奠定该权利接受《民法典》保护和规制的法律基础。之后，还有必要审视个人信息转移权制度与《网络安全法》和《数据安全法》相关制度协调适用的问题，通过修法或者法律解释的方法解决可能存在的法律冲突。

我国在已经确立个人信息转移权的一般性制度的背景下，应从以下几个方面构建和完善信用信息转移法律制度：首先，在个人信息保护的规则层面，应参考借鉴欧盟、美国、英国等地区和国家的个人信息保护规则的合理内容，不断完善个人信息保护的合法性原则、信息安全原则、敏感个人信息保护规则等，持续提高我国个人信息的保护标准。1其次，在个人信息的利用层面，应在《个人信息保护法》中，通过信息敏感度、隐私性等指标，对个人信息（数据）按重要程度进行细化分类及处理，从而在个人数据转移权的积极权能中，对不同种类信用信息的处分和限制范围加以有效界定，以此来平衡数据共享和个人信息保护的交叉部分，进而为数据转移权的规则制定提供可用的数据基础。最后，在具体制度层面，我国需要在《个人信息保护法》中对个人数据转移权进行详细的规定，具体化数据转移权这一权利，即规定允许数据主体下载个人数据，通过此种方式数据主体就可以清楚地知道自己被收集了哪些个人数据，以及这些数据是如何被存储和处理的，从而增强数据主体对个人数据的控制力。2

3. 对信用信息的转移所应遵循的“知情同意规则”进行优化

在个人信息保护中，知情同意规则是核心规则。但是，这一规则在实际适用中也遇到了一些困境，比如，新冠疫情防控过程中，为抗疫防疫目的而广泛收集个人信息不可避免，在上述情况下，此类信息的收集很难满足授权同意的形式要求和实体要求。可资借鉴的是，GDPR规定了包括个人同意、合同、法定义务、切身利益、公共利益及合法利益等处理数据合法性的六种依据，此种安排考虑到保护个人信息和维护公众社会利益这两项价值观的平衡问题，故其收集和处理个人信息的法律基础更加充分。由此可见，在不同领域选取不同的信息共享及保护策略较为可取。因此，我们可以充分利用《个人信息保护法》第13条第1款第2至第7项规定的处理个人信息不需取得个人同意的规则，特别是第7项“法律、行政法规规定的其他情形”的同意例外规则，对信用信息利用时个人信息保护中的同意规则作出修改，比如在信用信息商业化利用领域中，对于非敏感数据的收集阶段强化事前明示同意，而在加工、利用、提供阶段则要求企业充分履行事前通知义务，采取“默示同意、明示退出”的同意方式，如此既能保障信用信息的合理利用又能使信息得到有效的保护。

（三）在征信法律规范中完善“信用信息”概念，并新设“信用信息管理业”制度

在前述征信业三部法规中，《征信业务办法》专门就“信用信息”的定义及信用信息的采集、整理、保存、加工、提供、使用和安全作出了规范，这无疑是我国信用信息业务法制化的重大进步。未来，我国要构建信用信息转移制度，从而保障信用信息共享相关行业的发展，对此，笔者认为，应以征信业相关法律规范为基础，从完善“信用信息”概念与新设“信用信息管理业”规制制度入手。

1. 完善“信用信息”概念

如前所述，目前仅有《征信业务办法》第3条第2款界定了信用信息概念，它规定信用信息是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析評价信息。这一概念较《征信业务管理办法（征求意见稿）》（简称“征求意见稿”）第3条对信用信息的规定进行了重大的修改。《征信业务办法》吸纳社会意见优化了“征求意见稿”有关“信用信息”的表述，比如增加了“依法采集”的限定语以突出对征信业务的法律规制意图，以“基本信息”替代“征求意见稿”的“身份、地址、交通、债务、财产、支付……等信息”，都是值得称赞之处。但是，《征信业务办法》放弃了“征求意见稿”关于信用信息“定义+列举”的立法模式，3无疑是一种倒退。这是因为，缺少典型信用信息类型的列举，会使征信业务对象信息变得抽象和原则化，不利于信用信息主体主张自己的权利，进而难以实现个人信用信息保护，也不利于对征信机构征信业务的规制。

当然，“征求意见稿”中“信用信息”定义中所列举的个别信息类型，也是值得商榷的。例如“地址、交通”等信息就很难被认定为信用信息，反倒是一般的隐私信息。未来，我国有必要完善《征信业务办法》中的“信用信息”概念的立法模式：一是回归到“定义+列举”的立法方式，先完善定义；二是借鉴前述韩国做法，将信用信息的种类分类为“可以识别特定信用信息主体的信息”“可以判断信用信息主体的交易内容的信息”“可以判断信用信息主体的信用程度的信息”以及“可以判断信用信息主体的信用交易能力的信息”等，可以判断信用信息主体的信用所需的信息作为信用信息种类加以列举；三是再辅之具体信用信息种类的列举。采取前述立法模式，能够很好地实现“信用信息”概念抽象和具体的有机结合，确保信用信息概念的完善。

2. 确立本人信用信息管理业态及其监管制度

现行《征信业务办法》只有第四章“信用信息提供、使用”相关规定（第21—31条）与本人信用信息管理业务的规制最为相似，但是这些条文仅仅规定了征信机构对信用信息使用者的审查义务、信用信息使用者使用信息的合规义务、信息主体的查询权以及征信机构的其他义务等，但并无本人信用信息管理业和信用信息转移权的相关规定。为此，我国可以借鉴韩国法律的规定和做法，在《征信业条例》《征信机构办法》和《征信业务办法》中，在现行征信业务种类的基础上，新设“本人信用信息管理业务”，允许经金融机构许可的征信机构或第三方从事以本人信用信息管理为营业内容的业务，并确定相应的规章制度。

首先，应当确定本人信用信息管理业务的准入制度。此部分需要对《征信机构办法》进行修改，即规定符合一定条件的征信机构或第三方，经监管机构批准方可从事本人信用信息管理业。可以在《征信机构办法》中规定从事本人信用信息管理机构的准入条件，包括最低资本金、董事、监事、高级管理人员的任职资格、互联网技术人力和物质设备，特别是要有信息安全和金融消费者保护的基础设施和系统作为支撑。

其次，确立信用信息管理业的营业行为监管制度。在实体法方面，一是可在《征信业务办法》中完善营业行为监管制度，需要增加或者明晰相关主体的诚实信用、信义义务等；二是明确与违法违规行为相配套的法律责任，特别是要规定损害赔偿责任。本人信用信息管理业者要严格遵循《个人信息保护法》第57条规定的个人信息泄露通知义务和采取补救措施义务。此外，应当在数据储存、传输、提供环节构建数据泄露通知制度，使用户和企业在面临数据泄露时及时止损和自我调节。1在程序法方面，确立对违法违规行为追责的法律程序，以构建当事人信用信息权利之救济通道。

最后，应当设立与本人信用信息管理业相配套的监管制度。应侧重于对信用信息管理机构的信息管理模式、信息提供和使用行为等进行监督和管理。在监管制度上，需要制定兼具刚性规制和柔性调节的监督制度。例如，将行政执法和解制度适用于信用信息管理业，将信用信息管理机构的合规治理情况作为适用执法和解程序的条件之一，以激励企业的自我规制功能，同时发挥行业自律功能，扬长避短，实现政府规制和自律规制的合作。

（四）在征信业法律规范中确立信用信息转移权及业务监管细则

現有《征信业条例》仅规定了同意权（第13、14条）、知情权（第15、17条）、异议权（第25条）、救济权（第26条）和重建信用记录权（第25条）共5项征信权利。而《征信业务办法》也只是规定了同意权（第23条）、知情权（第25条）、异议投诉权（第26条）等权利，但这两个法规均未规定本人信用信息转移权。2为了构建信用信息转移权利体系，促进信用信息转移权的行使和保护，未来我国在修改《征信业条例》和《征信业务管理办法》时，极有必要确立信用信息转移权及配套规定。但需特别指出的是，根据《个人信息保护法》第45条第3款有关“符合国家网信部门规定条件”的规定，中国人民银行在推动制定信用信息转移权制度时，应与国家网信部门协商后制定。

1. 确定信用信息使用者和转移者的范围及判定方式

信用信息的主要使用场景多集中于金融活动与针对个人的征信识别过程。如前文所述，个人信用信息的使用者和储存者担负着维护个人私权利和社会利益双重利益的义务，所以应当具备相应的从业资质。如果允许非征信或金融相关企业收集完整的信用信息，一旦这些信息被利益相关企业不法交易或使用，就难以保证个人的信用信息安全。

因此，对于信用信息接收主体的准入条件，可以借鉴韩国《信用信息利用与保护法》的相关规定，规定信用信息的接收者应符合以下条件：其一，接收者应从事信用信息行业；其二，该类主体应具备特殊的行政许可，亦即符合特殊的准入条件；其三，其营业内容应为收集和评价用户个人的信用信息；其四，信用信息的收集应基于用户本人同意。这些条件中，“基于用户的同意”最为复杂。对此，笔者认为，应当规定企业提供一个选项供客户自主选择，“默示同意、明示退出”，如果客户不愿意接受，可以主动明示。此种制度设计既有利于客户信息的保护，又有助于促进企业对信用信息的利用。

2. 限定可转移信用信息的种类及范围

个人信息主体确定其本人信用信息的前置条件是本人的同意。在此基础上，应按照前文所述，应依据信息的私密性和敏感性对信息进行分类，对敏感信息和脱敏信息选取不同的处理方式，从而确保对个人基本隐私信息的保护。

在限定可转移信用信息的种类及范围时，也可借鉴韩国法中由总统令确定的做法，在征信法律规范中明确可转移的信息种类和范围。从韩国《信用信息利用与保护法》及其总统令的规定可以看出，对于可要求转移的信用信息的一般种类，必须是信息主体个人给予或本人信用信息管理机构收集的一手信息，或者是由于信息系统内部产生的原生权利义务信息，同时禁止信用信息在个人不知情的情况下被使用者和收集者二次传输。因此，我国也可借鉴前述韩国的做法，在征信法律规范中规定可用于转移和利用的信用信息种类与范围，具体包括：一是信息主体直接授权或同意的信息；二是各个信用信息主体与提供者、使用者之间因先前权利义务关系所产生的信息；三是由计算机等信息处理装置进行处理的信息；四是信用信息提供者和使用者等非基于信用信息生成和加工的信息。

3. 确定用于可转移信用信息的处理技术手段及方式

为促进信用信息的合理利用，征信机构或第三方应加强技术研发，提高信用信息脱敏化或匿名化技术水平，使得更多的脱敏数据或匿名化数据的转移以推动金融业发展。同时，为了便于信息主体个人在多个征信机构和金融机构中了解本人信用信息数据，还应当对多个信用信息传输和存储机构之间的信息编码技术手段进行统一规定。例如，采取通用的编码技术，统一信用信息共享及等级评价标准，从而确保信息主体个人对于授权范围内的信用信息可随时查阅，以促进信用信息转移权益的实现。

（五）构建信用信息转移权遭受侵害的私力救济措施

信用信息转移权的核心是个人对本人信用信息的知悉、处分进而控制的权利。在私法视域下，信用信息转移权应当作为一项财产权利，因此，对于此项权利的具体处分应包括信用信息的发送、允许公开、撤回、撤销、不予公开的情形等，应当在征信法律规范中予以具体规定，甚至在《个人信息保护法》规定这些权利内容。从域外规定来看，韩国《信用信息利用与保护法》规定信用信息提供者和使用者在不能确定信用信息主体是本人的情况下，享有拒绝传输要求或停止、中断传输的权利。我国国家网信部门可以借鉴韩国前述原则性规定，确立信用信息转移权的实施细则，特别是对转移要求的方法、撤回转移要求的方法及拒绝或停止、中断的方法及具体实施日期等作出详细规定，以确保信息主体的私力救济的实施。

结    语

受篇幅所限，本文仅仅研究了个人信息转移权制度应用于金融业发展这一种商业模式，且只是对信用信息转移及其规制的基本理论、路径及制度框架进行了探讨。借鉴域外经验，通过完善我国相关法律制度，未来个人信息转移权制度应当进一步推广应用于医疗保健、观光、交通、信息通讯、市场营销、化学等诸多领域。但该权利的应用需要结合具体场景，还要防止不正当竞争与恶性竞争，结合企业与用户的合法权益确定是否赋予以及在何种程度上赋予该权利。1同时，在确立具体产业、具体场景的个人信息转移权制度及其实施细则时，均应秉持系统论立法思想。在法规内容方面，需处理好个人信息转移权在《个人信息保护法》《民法典》《数据安全法》《网络安全法》中的规定与相关行政法规和规章法律条文的协调、统一、衔接和配套；在立法部门协作方面，要处理好中央行业监管机构与国家网信部门、司法部、公安部等中央部委关于个人信息转移权立法的权限分工，使其形成合力构建个人信息合理共享和保护的工作格局。信息转移权作为数据共享的一项新兴的基础性信息权利，其法制化进程也应当与时俱进，以个人信息的合理利用和保护为指引，适时地推进我国信息转移权利产业应用的创新发展，为数据共享助力产业发展提供法制保障。