个人信用信息保护的立法框架研究

郑绿峰

（451191　河南医学高等专科学校　河南 郑州）

个人信用信息保护的立法框架研究

郑绿峰

（451191河南医学高等专科学校河南 郑州）

个人信用信息具有财产属性，而一方面公众对个人信用信息缺乏保护意识，另一方面个人信用信息保护的立法还相当不完善，导致信息安全问题日益凸显。借鉴欧美个人信用信息保护的立法模式，结合我国的实际情况，拟构建以《个人信用信息保护法》为核心的多部门法协同作用及行业自律机制体系为辅的全方位的个人信用信息保护框架。

个人信用信息；立法模式；立法框架；行业自律机制；保护

个人信用信息是与个人信用评价相关的信息，其承载着较多的经济价值和利益，是经济领域中的重要信息。正如陆小华在《信息财产权——民法视角中的新财富保护模式》中所说：“信息资源不仅本身就是财富，而且在创造财富。”随着经济社会的迅猛发展，科技的力量越来越强大，信息传递方式的快速演进使得信息时代真正来到每个人的身边，沟通的方式越来越多，资讯的传播越来越自由，人与人的距离也越来越近，繁多的资讯传播途径给人们的生活带来了极大的便利。但是，随着个人信息价值的极度攀升，对信息的争夺和占有成为在经济上占据优势的重要条件。巨大的利益驱动，使得个人的信用信息在高效和便利的环境下无所循行，加之我国公众对个人信用信息缺乏相应的保护意识，使得信息安全及隐私泄露问题日益严重，个人信息泄露恶性事件频繁发生。

一、个人信用信息的含义

“信用”从词源上来看，古已有之。《左传·宣公十二年》：“王曰：‘其君能下人，必能信用其民矣，庸可几乎？’”人类历史发展到今天，“信用”这个词已经包含着极其丰富的内涵。从法律的角度理解“信用”，它实际上有两层含义，一是指当事人之间的一种关系，只要“契约”规定的双方的权利和义务不是即时交割的，存在时间差，此时就存在信用问题；第二层含义是指双方当事人按照“契约”规定享有的权利和承担的义务。

个人信用信息是个人信息中的一部分，是指与个人信用能力和个人信用行为相关的信息，涵盖各类可能影响个人信用的因素。［1］个人信息是指与其他信息对照可以识别特定个人信息的总和。它包括个人识别资料，如姓名、性别、年龄、出生日期、身份证号码、电话、住址、股东账号等，也包括个人背景，如职业、教育程度、收入状况、个人履历、个人健康与医疗信息等及其它资料。在理论研究和立法实践中，个人信用信息经常作为个人信息（欧盟及其成员国立法中称为“个人数据”，日本、挪威、冰岛等国家称为“个人资料”）的下位概念而被使用，换而言之，个人信用信息是法律规制下的信息中表征主体信用状况的信息，是一个附属于个人信息的子概念。［2］个人信用信息产生于个人的信用交易活动并表征特定个人的信用表现和偿付能力，分散存在于金融、电信、财税以及其他交易领域，在征信业中，经征信机构收集和整理后便形成个人信用报告这一重要的个人信用信息表现形式。

二、我国个人信用信息立法保护的现状

当前，我国个人信用信息保护的立法还相当不完善。①个人信用信息立法地方先行。由于我国个人征信是先在一些城市进行试点，然后又在全国范围内展开，所以，我国有关个人征信的立法是首先以地方立法的形式出现的。2001年，深圳出台了《深圳市个人信用征信及信用评级管理办法》，2003年，上海出台了《上海市个人信用征信管理试行办法》，分别对此两个城市的个人征信行为进行规范。这些地方性法规对规范试点城市的个人征信行为、保护个人信用信息起到了很好的效果，同时，为全国性立法积累了经验。②就法律的适用范围而言，全国性立法相当匮乏，保护个人信息的法律条款数量较为有限、适用范围相对狭窄，没有专门的针对所有信息控制人均适用的统一的个人信息保护法。目前，全国性的针对个人信用信息保护的法律法规只有一部，即中国人民银行2005年公布的《个人信用信息基础数据库管理暂行办法》。虽然该办法在内容上还存在一些缺陷和漏洞，例如缺乏争议信息的封存制度、错误信息导致个人损害的民事赔偿制度等，但它却是我国个人信息保护立法史上的一座里程碑，开创了我国特殊领域的个人信息保护立法。③缺乏专门的保护监督机构，当个人的信用信息遭受侵害后，没有一个专门的机构来处理这些侵权行为，从而导致个人信用信息的保护不能落到实处，维权也较为困难。

三、个人信用信息保护的立法模式

基于立法理念的不同，在个人信用信息保护的立法上形成了两种典型的代表模式。

（一）以欧洲国家为代表的统一立法模式

统一立法模式是指由国家制定一部个人信息保护的基本法来统一规范个人信用信息的保护。自20世纪70年代以来，欧洲各国相继制定了自己的个人信息保护法，将包括个人信用信息在内的个人信息均纳入法律中加以保护。如最早的联邦德国黑森州1970年通过的《黑森数据保护法》、1973年瑞典的《瑞典数据法》、1977年德国的《联邦资料保护法》等。此后，冰岛、英国、荷兰、爱尔兰、葡萄牙、比利时等欧洲国家都制定了个人资料保护法。［3］但是各国对个人信息保护的标准并不统一，欧洲议会和欧盟理事会在总结各国立法和实践的基础上，于1995年10月24日制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，该《指令》为个人信息提供了全方位、综合性的保护，在个人信息的保护上具有其独特性，也使欧洲个人信息的保护更加趋于统一化和规范化。

（二）以美国为代表的分散立法模式

分散立法模式是指国家不统一制定个人信息保护基本法，而是在各个行业和领域针对各种事项进行单独立法的模式。美国是分散立法的典型代表国家之一，在涉及个人信用信息保护的不同领域分别进行立法，如《信息公开法》、《公平信用报告法》、《诚实信贷法》、《公平信用和贷记卡公开法》等。在个人信用信息保护的立法上，美国没有欧盟那样的统一立法，而是采取“条块分割”的方式对不同行业的个人信用信息通过分别立法予以保护，除了规范政府部门收集和利用个人信用信息的隐私立法之外，还有针对个人信用信息隐私保护的专门立法。此外，美国还有大量的有关个人信用信息保护的判例法和各州立法，以及关于个人信用信息保护的行业自律规范。

四、我国个人信用信息保护的立法框架

在立法模式的选择上，我国应当立足自身的社会经济发展的具体情况和法律传统，并借鉴欧盟和美国立法中的合理之处做出科学合理的选择。我国属于大陆法系国家，通过统一立法创制个人信用信息保护制度符合我国一贯的立法传统。因此，我国可以借鉴欧盟的立法经验，制定一部统一的、全国范围内统一适用的、对所有个人信用信息给予充分保护的《个人信用信息保护法》。同时考虑到个人信用信息广泛存在于金融、电信、电子商务、电子政务以及其他行业的交易之中，统一立法不可能面面俱到的为其设计恰到好处的保护制度，因此又可以借鉴美国的分散立法模式的优点，在统一立法所确立的最低保护标准之外，授权有关行业的主管部门通过行业立法的形式制定适用于该行业的更高的保护标准，从而建立起完善的个人信用信息保护制度。

（一）我国个人信用信息保护立法框架的总体设计

鉴于个人信用信息保护的广泛性与复杂性，个人信用信息法律保护的框架也应当是多法联动、有机运行的体系，个人信用信息保护的立法也必然是一个多学科和多部门法综合研究的结果。所以，个人信用信息立法应构建一个整体框架，综合各部门的法律对个人信用信息进行统一保护。也正如拉伦茨所指出的，“法律规范并非彼此无关地平行并存，其间有各种脉络关联”，“发现个别法规范、规整之间，及其与法秩序主导原则间的意义脉络，并得以概观的方式，质言之，以体系的形式将之表现出来，乃是法学最重要的任务之一”。［4］

（二）个人信用信息法律保护框架的核心——制定和颁布统一的《个人信用信息保护法》

《个人信用信息保护法》是个人信用信息保护的基本法，该法可以通过个人信用信息的界定、个人信用信息的收集和使用、个人信用信息的管理与维护、信息主体的权利、信用信息使用者的义务、个人信用信息的跨国流动、法律责任与救济等的相关规定，明确对个人信用信息的法律保护，从而使个人信用信息得到基本的保护。《个人信用信息保护法》不仅要规范商业银行和征信机构等主要掌握和控制个人信用信息的机构收集和使用个人信用信息的行为，而且还应当对其他任何掌握和控制个人信用信息的机构和个人收集和使用个人信用信息的行为予以规制，对公共部门和私人部门收集和使用个人信用信息使用相同的标准和原则，对存在于各部门的个人信用信息隐私提供平等的保护。［5］

（三）个人信用信息法律保护框架的法律辅助体系

如前所述，除了《个人信用信息保护法》外，其他多个部门法的相关法律对个人信用信息的保护起辅助与补充的作用。

在宪法及其相关法领域，我国《宪法》规定的“公民的人格尊严不受侵犯”、“公民住宅不受侵犯”、“公民享有通信自由和通信秘密的权利”、“国家尊重和保障人权”等相关条款均可解释为个人信息应当受到法律保护的宪法依据。另外，《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了“个人信息”的保护问题。

在民事法领域，辅助体系的相关法律主要是保护个人隐私权的法律。我国目前明确规定隐私权的法律只有《中华人民共和侵权责任法》，另外就是最高人民法院出台的《关于确定民事侵权精神损害赔偿责任若干问题的解释》中规定侵害他人隐私的，受害人可以向法院起诉请求精神损害赔偿。但是二者没有对隐私权的内容进行明确规定，也没有规定具体的保护措施，使得在个人信用信息被大量使用的当今社会，主体的隐私权得不到法律的保障。

在经济法领域，因为大量个人信用信息在经济领域流动，辅助体系的法律更多。主要通过修改现有的法律和制定新的法律来达到保护个人信用信息的目的。应当制定《信用消费者保护法》、《金融监管法》等，加大对消费者信用信息保护的力度；通过完善《商业银行法》、《反不正当竞争法》和《消费者权益保护法》等实现对个人信用信息保护的补充。

在刑法领域，辅助体系的最后一道防线应当得到巩固。通过将个人信用信息侵权造成严重后果的行为规定为犯罪，利用《刑法》的严厉制裁措施，遏制个人信用信息的侵权行为。目前，我国《刑法》也有一些罪名对违信行为进行惩治，但都是间接对违信行为进行惩治，而关于信用违法的直接罪名在我国刑法中处于空白状态。对信用发展的某些严重违信行为可以设立单独的刑法罪名进行刑事追究。且要进一步完善《中华人民共和国刑法修正案（七）》和《中华人民共和国刑法修正案（九）》中有关保护个人信息的相关条款加大对个人信用信息的保护力度。

除此之外，还可以通过进一步完善《互联网电子公告服务管理规定》、《个人信用信息基础数据库管理暂行办法》、《民事诉讼法》、《刑事诉讼法》等相关法律中对个人信用信息或个人隐私进行保护的条款，从多领域多途径进一步加强对个人信用信息的保护力度。

（四）个人信用信息法律保护框架的行业自律机制辅助体系

在建立完善的法律体系的同时，还应根据我国国情，采用欧盟的国家主导模式，鼓励产业界建立相应的自律机制，通过行业自律组织和个人信息保护执法机关颁布实践性的司法解释，可使之更具操作性。张新宝教授在接受记者采访时曾说：“就我国而言，国家立法主导模式更符合我国的国情，但同时也要鼓励产业界建立相应的自律机制。”［6］

在建立行业自律机制时，可以借鉴美国和日本的经验，特别是日本，通过建立民间认证制度，配合政府的执法保障，收到了良好的效果。1999年日本工业标准（JIS）制定了《关于个人信息保护管理体制要求事项》（又称JISQ15001），该要求事项已适用于很多行业。2001年3月废除了实行多年的《信息处理服务产业安全对策实施事业所认定制度》，制定了比较重视管理的“安全管理系统评估制度”（ISMS制度），并启用了ISO/IEC17799—1（BS7799）国际标准（这又被称为第三者认证制度）。［7］这些制度旨在给予那些对个人信息保护良好的企业一个外在的评价标准，获得上述安全认证的企业可据此提升自身形象和商业信誉，对企业今后的发展非常有利，因此受到企业的重视。

综上所述，我国应采取统一立法与行业立法并举的折中立法模式，这样既可以实现欧盟立法所追求的对个人信用信息的严格保护，也可以兼顾美国立法所追求的促进个人信用信息的自由流动进而实现其商业价值，促进社会经济的发展之目的。

［1］白云.个人信用信息法律保护研究［М］.北京：法律出版社，2013：10.

［2］周悦丽.个人信用信息的法律保护研究［J］.法学杂志，2007（4）：158.

［3］白云.个人信用信息法律保护研究［М］.北京：法律出版社，2013：173.

［4］【德】卡尔·拉伦茨.法学方法论［М］，陈爱娥译，北京：商务印书馆，2003：316.

［5］姚朝兵.个人信用信息隐私保护的制度构建——欧盟及美国立法对我国的启示［J］.理论与探索，2013， 36（3）：23.

［6］尚晓宇.网络个人资料保护应采取国家主导立法模式［N］.检查日报，2003， 10（27）.

［7］谢青.日本的个人信息保护法制及启示［J］.政治与法律，2006，（6）：156.

郑绿峰（1976～ ），女，河南郑州人，硕士研究生，主要从事民商法方面的研究。

河南省社科联、河南省经团联2015年度调研课题，编号：SKL—2015—224.