《个人信息保护法》视角下征信合规体系构建*

陈禹衡

（东南大学法学院， 江苏南京 211189）

2021 年11 月1 日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，标志着我国继在《中华人民共和国民法典》（以下简称《民法典》）第四编“人格权”第六章“隐私权和个人信息保护” 中规定了公民个人信息保护的内容后，以专门立法的模式来强化个人信息保护，细化保护的具体内容，通过系统性规定提升对个人信息的保护密度。 受到《个人信息保护法》的影响，我国原有的征信合规体系也随之发生变化，并在征信管理法规层面进行调整与适配。2022 年1 月1 日，《征信业务管理办法》（中国人民银行令〔2021〕第4 号）正式生效，相较于以往的《征信业管理条例》《征信机构管理办法》 等规范文件，《征信业务管理办法》规定得更加细致，也对已有的征信合规业务产生更大影响。 有鉴于此，在《个人信息保护法》施行之后，应该将其和已有征信管理法规相配合，调整现有的征信合规体系，将法律规范的内容转化为具体的合规制度，尤其注重在个人信用信息的采集、加工、使用全流程中保障合规制度的有效运行，加强征信合规监管制度建设，通过《个人信息保护法》构建我国征信合规体系的法治防线。

一、问题提出：现有征信合规体系的运行模式不足

现有征信合规体系的构建由来已久，早在2016年11 月24 日，中国人民银行就发布了《关于加强征信合规管理工作的通知》（银发〔2016〕300 号，以下简称《征信合规通知》），强调了构建征信合规体系的重要性。在征信系统的运行过程中，征信合规是评价其运行状况的重要指标， 征信合规与否决定了征信机构日常运转是否公平公正， 确保征信合规能够防止征信机构得出错误的征信报告， 从而维系正常经济活动的运转。我国的征信合规体系虽然建设较早，但是在处理模式和监管制度上仍然存在不足，在《个人信息保护法》颁布后，现有征信合规体系可以参考其中的规定加以完善。

（一）征信合规体系处理模式运转不畅

传统征信合规体系的处理模式主要依照 《征信业管理条例》和《征信合规通知》的规定，而这两者都存在一定不足。 《征信业管理条例》只规定了部分征信业务规则以及监督管理内容， 并未明确提出如何构建征信合规体系，在具体内容上规定得不够详细。《征信合规通知》 主要强调征信合规体系的重要性，倡导自查自纠制度以及征信合规教育， 对个人征信业务合规的实质内容规定得较为粗疏， 没有规定征信合规体系的具体业务内容。简言之，传统征信合规体系因为法律规范规定得不够详细， 所以在实际适用过程中因为合规程序和实质业务的缺失而存在运转不畅的弊端。

第一， 现有征信合规体系没有对公民个人信用信息进行类型化区分， 因为征信管理法规中并未对征信系统所采集的个人信用信息划分具体类型，导致公民个人信用信息的采集边界被无限扩张。 已有征信管理法规中对个人信用信息采集范围的规定多为反向禁止规定，如《征信业管理条例》第14 条规定的“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”，并未从正面解释公民个人信用信息属于个人信息中的何种类型， 导致征信机构在判断新型个人信用信息是否应该被采集时缺乏明确标准。 而一旦不具有信用评价价值的个人信用信息大量涌入征信系统，只会徒增系统负荷，无法与其他个人信用信息进行整合， 对个人信用评价没有参考作用，也就无从实现失信惩戒或激励的目的。

第二， 现有征信系统中的征信业务处理原则主要参考行政法上的比例原则， 包括目的正当性原则、必要性原则以及狭义比例原则。 目的正当性原则要求目的明确和目的特定，必要性原则要求采集个人信用信息应该限制在能够实现信用评价目标的最小范围内，狭义比例原则要求基于公共利益采集公民个人信用信息，并在价值权衡后维系价值平衡。 虽然借鉴比例原则开展征信业务能够较大程度地满足征信系统的需要，但是比例原则毕竟是通用性的行政事务处理原则， 主要是保障公民权利，限制国家权力，而在征信业务中仅适用比例原则却忽视了征信业务的特征，没有体现出对个人信用信息的特殊保护。 简言之，征信系统缺乏专门且有效的处理原则会导致其业务难以开展，造成运行程序和结果上不合规，因此需要参照《个人信息保护法》来补正处理原则。

第三， 当前社会的科技进步导致征信系统面临许多全新的危险，比如大数据犯罪、网络爬虫犯罪、流量劫持犯罪等， 那么征信合规体系也需要随之升级，以应对不同的处理场景。《个人信息保护法》中根据社会发展的现实状况创设了两类全新场景， 分别是自动化决策场景与公共场所采集信息场景， 这两种场景是科技与信息相结合的结果， 技术进步对公民个人信用信息的利用程度进一步加深， 随之而来的是征信合规的压力进一步增大。有鉴于此，为了征信系统的正常运行，需要参考《个人信息保护法》的规定来优化征信合规体系， 应对新技术场景所带来的未知风险， 而具体的合规强化路径则需要基于不同的风险语境展开探讨。

（二）征信合规体系监管制度存在纰漏

创设征信合规体系的初衷就是应用于监管金融业务，其体系构成和金融秩序的安全稳定密切相关，并和公民日常生活紧密相联。 不良征信记录对公民的影响十分严重， 会使一名遵纪守法的好公民转瞬间沦为社会中的“信用难民”，难以进行正常的借贷、消费等金融活动。有鉴于此，加强对征信合规体系的监管， 需要督促征信机构在合规框架内从事征信业务，而非滥用征信制度、违反征信合规。 当前征信合规体系监管制度的纰漏有两处： 一是征信合规监管机构的层级架构存在不足， 二是跨境征信合规监管体系不够完善。前者是征信合规监管内部的不足，而后者是征信合规监管外部的缺陷。

在《个人信息保护法》发布之前，征信合规监管主要是由中国人民银行主导的专门监督，《征信业管理条例》 第4 条规定中国人民银行及其派出机构依法对征信业进行监督管理。 专门监督机制保证了征信业务处理的专业性， 但是在处理具体的征信合规问题时，一方面缺乏上层机关的宏观指引，难以把握国家对网络信息治理的整体趋势，另一方面缺乏对基层征信合规制度的切实关注，导致征信合规监管工作难以深入基层，而实际上正是基层的征信合规工作存在较多问题。 有鉴于此，在征信合规监管机构的体系架构上，可以参考《个人信息保护法》第60条规定的三级监管机构制度， 扩张监管机构的层级，并尝试设立配套的法律规范体系，帮助监管机构强化监督职能，从而和个人信息保护的整体趋势保持一致。

在跨境征信合规监管制度上， 一直以来我国缺乏强有力的实质监管，存在潜藏的征信合规风险，影响跨境经贸合作。当前世界经贸合作非常紧密，征信数据的跨境流动需求日益增长， 跨境征信合规监管关系到我国的经济安全。因此，征信合规监管制度需要针对征信数据跨境流动的实际情况，参考域外《个人数据保护指令》《欧美安全港框架协议》《APEC 隐私框架协议》等制度规范，保障个人信用信息的数据传输工作。总之，我国跨境征信合规监管体系亟须完善， 需要借助合规制度来强化对跨境数据流动的监管，并将法律规范转化为实质合规内容，进而规范个人信用信息跨境传输行为。

二、《个人信息保护法》 颁布后征信合规的处理升级

《个人信息保护法》对公民个人信息的采集、加工和使用进行了统筹规定， 而公民个人信用信息是征信机构发布征信报告的基础， 保护个人信用信息的具体策略应该是平衡个人利益与公共利益， 而征信合规制度则是保持平衡的具体执行手段， 以确保其不会影响社会公共利益。

（一）个人信用信息的类型化区分

《个人信息保护法》中对于个人信息的定义和划分， 有助于征信合规系统对个人信用信息进行类型化区分，从而构建有针对性的征信合规体系。 《个人信息保护法》第4 条规定“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”；而第28 条则另行规定了 “敏感个人信息是一旦泄露或者非法使用， 容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息， 以及不满十四周岁未成年人的个人信息”。由此观之，《个人信息保护法》 是在框定个人信息概念的基础上，强调对敏感个人信息的特殊保护，这种全新的划分模式为个人信用信息的类型化奠定了理论基础。

征信系统采集、加工、使用个人信用信息，首先需要遵循《个人信息保护法》中对个人信息的定义，因为个人信用信息从属于个人信息。 个人信息在记录模式上要求“以电子或者其他方式记录”，说明个人信用信息的记录方式趋于多样化， 这归功于个人信息记录技术的发展， 极大地拓展了个人信用信息的采集范围。在技术特征上，个人信息要求具有已识别或者可识别的特征，且排除了匿名化的情况，这意味着个人信用信息的采集过程也必须做到可溯源和可识别， 并通过识别性来维系公民对信息商业化利用的“信赖利益”。 如果个人信用信息难以被识别或者因为匿名化而难以溯源， 那么个人信用信息就不具备人身属性， 也无法反映个人在正常社会交往过程中的信用程度， 此时所采集的个人信用信息并不合规，缺乏进一步加工和使用的信用价值。

在明确了个人信用信息的结构特征之后， 可以进一步明确其属于个人敏感信息， 并将信息处理的情境和目的作为考量因素。 个人敏感信息中的 “敏感”是指法律规制的高反应度，其法律基准是信息处理的权益侵害风险， 而具体的风险内容则是指向除个人信息权益之外的人格尊严和人身、财产权利。第一，个人敏感信息涉及人格尊严受到侵害或者人身、财产安全受到危害， 而个人信用信息和个人隐私以及个人社会评价密切相关， 与个人隐私相关意味着与个人信用相关的秘密不受侵犯， 这是一种被动防御性的权利保障， 确保信息所有者不被外界无故窥探， 否则当事人的人格尊严实际上就受到了不法侵害。 因此，将个人信用信息归属于个人敏感信息，符合个人敏感信息的划分目的。第二，个人敏感信息的类型中包括金融账户， 而这正是个人信用信息所直接对应的信息类型。在市场经济中，个人在市场交易中的行为被征信机构收集后加以评价， 其中金融账户的评价信息是对个人信用的直观体现。 比如第二代征信系统在个人信用评价上增加了对金融账户的测评，新增“最近2 年的逾期金额”等选项，就可以通过对金融账户的全面测评提高征信报告的可信度。因此，将个人信用信息归纳为个人敏感信息，在信息收集范围上也契合征信体系的需求。

总之， 将个人信用信息归纳为 《个人信息保护法》中的个人敏感信息，意味着征信合规体系在处理个人信用信息时需要更加谨慎， 信息采集范围也不能过分扩张， 而是需要依据信息的使用目的加以严格限制， 并在个人敏感信息的使用场景下探讨对个人信用信息的整合与利用， 确保个人信用信息的采集、加工、使用做到全流程合规。

（二）征信机制处理原则的再升级

《个人信息保护法》第5-8 条规定了信息处理的5 项基本原则，即合法、正当、必要、诚信原则；目的限制原则；收集最小化原则；公开、透明原则；完整性、准确性原则，作为处理个人信息的整体性原则，其可以统筹指导个人信用信息的处理。 个人信用信息作为个人信息的重要组成部分， 应该和个人信息在处理原则上保持整体协调一致， 并根据个人信用信息和征信系统的特殊需求进行适当的调整和补充。诚如上文所述，传统征信系统主要使用行政法上的比例原则， 并调整比例原则的内容以适用于征信系统的特殊环境。 但是，仅适用正当性原则、必要性原则以及狭义比例原则显然无法覆盖征信全流程，甚至会因为处理原则的缺失而影响征信系统的正常运行。 《征信业管理条例》第三章规定了征信业务规则，虽然规定得较为细致，包括采集、保存、加工、使用等诸多环节，但是缺乏宏观层面的原则指引，当征信业务处理中出现全新问题时， 难以给出解决问题的大体方向。

第一， 征信合规要求征信处理原则中增加合法诚信原则， 从遵守法律规范和坚持道德准则两个方面指引征信业务的展开。 合法原则要求征信业务中的各个流程都要遵守法律规定， 在采集个人信用信息的过程中，限定个人信用信息的采集范围和方式。参照《征信业管理条例》第13～15 条的规定，收集的个人信用信息应该和个人征信评价有着内在联系，且不宜将收集范围无限扩大，这和《民法典》第1030条提出的合法、正当、必要原则一致，体现了对个人信用信息的体系性保护。与之相对，诚信原则实际上是征信系统运行过程中的特殊性原则， 强调诚信原则契合征信系统的运行宗旨， 征信系统本身就是为了提供公民征信报告， 如若在采集过程中出现不诚信行为， 那么得出的征信报告就缺乏公信力和参考价值。 比如伪造银行交易流水以获取贷款批准的行为，就是通过假流水来伪造个人信用信息，并在被采集后得出“被优化”的征信报告，自然无法得出对当事人的准确信用评价，缺乏参考价值。 除此以外，在保存、加工和使用个人信用信息的过程中，同样需要遵循合法诚信原则。在保存个人信用信息时，需要参照《征信业管理条例》第16 条规定的征信信息保存时限，对达到一定年限的征信数据及时进行删除，避免影响公民获得公正的信用评价，防止出现“一处失信，处处受限”的情形，这也符合一般公民对征信系统的道德期许， 不能将征信系统作为限制公民正常生活的“枷锁”。在加工和使用公民个人信用信息时，需要在遵守征信管理法规的同时尊重公民对个人信用的一般道德评价标准， 避免出现征信信息泄露的情形，避免个人信用信息被滥用。尤其是在技术风险日益严峻的当下， 个人信用信息的价值被各方所觊觎，如若出现个人信用信息被滥用的情形，那么公民就无异于“裸奔”在社会中，其会被误认为是不诚信之人，受到社会舆论的无端指责。

第二， 征信合规要求征信系统在运行过程中坚持公开透明原则。 《个人信息保护法》要求处理个人信息应当遵循公开透明原则， 所以征信系统在处理公民个人信用信息时也需要公开处理规则， 并且明示处理的目的、方式和范围。实际上，早在《征信业管理条例》 中就对公开个人信用信息的处理规则做出规定，但是缺乏具体的技术规范，导致征信处理规则虽然公开、透明，却在具体的技术性指标上缺乏详细的规定，而《征信业务管理办法》则对其进行了细化，体现了当前征信合规体系公开透明的整体趋向。 与之相对，《个人信息保护法》 的规定可以从宏观层面推动征信合规的公开透明流程。 征信合规中坚持公开透明，要求明示处理的目的、方式和范围，这符合公民对征信系统收集、加工、使用个人信息的正常期许， 也满足公民对高度敏感的个人信用评价的合理期待。明示处理的目的要求征信机构遵照《征信业务管理办法》第12 条的规定，明确告知信息主体采集信用信息的目的，尊重信息主体的知情权。明示处理方式说明征信机构需要告知公民以何种方式加工其个人信用信息，以及对个人信用信息的加工程度，尤其是需要告知公民其信息是否经过大数据算法等新技术的加工，避免算法技术风险导致公民个人的“信用画像”存在缺陷。明示处理的范围是防止个人信用信息采集范围的无限扩张， 比如之前疫苗接种记录纳入征信系统的行为引发社会争议， 就属于个人信用信息采集范围的不当扩张， 这种违规利用征信系统的行为不仅影响了个人信用信息的准确性， 而且会降低征信系统的社会公信力。

（三）针对新增场景优化处理模式

《个人信息保护法》中预设了自动化决策和公共场所采集信息两种应用场景，第73 条规定自动化决策是通过计算机程序自动分析、 评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动，而第26 条则规定在公共场所进行图像采集、个人身份识别信息收集的目的和手段要求。在这两种场景下，公民个人信用信息的采集、加工和使用程序不同以往，公民对于个人信用信息的把控较弱，容易陷入不利境地， 被征信机构强行采集关键的个人信用信息， 而且被采集的个人信用信息更容易被深度加工，被“二次加工”出更具价值的内容。 因此，针对新应用场景下的技术风险，应该加强合规监管，确保在这两种应用场景下征信系统合规。

1.自动化决策场景下优化征信处理

在自动化决策的场景中， 征信处理合规主要在信息采集和信息告知中展开， 并将 《个人信息保护法》第24 条规定的内容应用于征信系统的自动化决策流程中。在自动化决策场景下优化征信处理，本质上是基于事先预防的角度， 有效消弭技术鸿沟所带来的公民认知差异，避免征信系统不断“越界”介入公民日常生活， 防止技术手段升级对公民个人信用信息的不合理使用。

第一，《个人信息保护法》规定个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。 这要求征信系统保证其处理个人信用信息的算法透明、 公开，避免算法黑箱，让公民了解征信系统对个人信用信息的利用以及征信报告的制作流程， 避免公民陷入“自己将被评测， 但他们不能反过来去评测那些评测他们的机构”的劣势处境。 除此以外，避免征信系统在运行过程中出现因为营利目的而产生的差别待遇，同样是为了保障公民个人信用信息被合理利用，防止征信系统算法在处理信息时被渗入的利益因素所干扰，保证征信系统最终得出较为公允的个人信用评价。

第二，《个人信息保护法》 规定通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 这里赋予被采集信息者以知情权，意味着公民个人在信用信息的采集过程中，可以向征信机构提出相应的知情要求，确保自动化决策系统所处理的个人信用信息为被采集者所知晓。 与之相对，《征信业务管理办法》第28 条也规定“征信机构提供信用报告等信用信息查询产品和服务的，应当客观展示查询的信用信息内容，并对查询的信用信息内容及专业名词进行解释说明”， 这标志着征信管理法规自身也逐渐重视对被采集者知情权的尊重。 除此以外，被采集者有权拒绝个人信息处理者仅通过自动化决策的方式作出决定，尊重了被采集者的数据主体自治性，意味着其可以自我决定对个人信用信息的处理方式。 如若征信系统强行要求自动化决策处理，那么处理后得出的征信报告就是不合规且无效的，这就充分地保障了被采集者的个人权利，防止其被自动化决策技术所“绑架”，确保征信系统得出的结论公平公正。

2.公共场所采集信息优化征信处理

在公民的日常生活中， 其一举一动都有可能被征信系统记录并作为征信报告的参考依据， 征信系统希望通过扩大信息采集范围的方式实现全方位测评。值得注意的是，虽然扩大采集范围有助于更好地评估公民个人信用， 但这同时也存在侵犯公民个人隐私的嫌疑，尤其是在公共场所采集个人信用信息，可能会导致公民产生不安全感，而人脸识别、虹膜识别等新技术的应用则加剧了信息泄露的风险。 有鉴于此，征信机构在公共场所收集个人信用信息，应该参照《个人信息保护法》第26 条的规定，一是采集范围需要明确为公共安全所必需， 且只能用于维护公共安全的目的， 二是采集手段需要遵守国家有关规定，设置显著的提示标识，并将这两项内容作为征信合规的实质要求。

将公共场所采集公民个人信用信息的目的限制为维护公共安全的目的， 且采集范围围绕公共安全展开， 就是基于公共利益来采集个人信用信息。 第一， 在征信合规过程中对个人信用信息的采集更加谨慎，相较于在一般场合采集个人信用信息，在公共场所采集需要规范采集目的， 并且对采集的信息种类进行事先考察，确定是为了公共安全，才可以进行信息采集。 第二，以区块链、智能合约为代表的新兴征信技术不断介入公民的生活， 日常生活中公民在公共场所的消费记录等都有可能成为征信系统所采集的数据，那么对于此类个人信用信息的采集，应该事先确保采集技术合规， 符合相关法律对技术的规定，防止技术“越界”侵犯公民个人权利。比如将区块链技术应用于征信系统，就需要遵守包括《区块链信息服务管理规定》在内的诸多法律规范的规定，要求具备与其服务相适应的技术条件， 而且应当制定并公开管理规则和平台公约， 通过征信技术合规确保征信系统合规。第三，公共场所采集个人信用信息要求征信机构设置显著的提示标识， 比如设置标识让公民意识到自己的消费行为正在被记录， 同时应该告知公民被采集信息的使用方向和保存年限， 让公民对自己个人信用信息的利用有清晰的认知， 从而真正落实征信处理合规。

三、《个人信息保护法》 颁布后征信合规的监管完善

征信合规体系的良好运转需要征信监管机构对其进行实时监控，而监控的合规内容，既包含宏观层面的《民法典》《个人信息保护法》之类的法律规范，亦包含微观层面的 《征信业管理条例》《征信业务管理办法》之类的执行规范。当前征信合规监管主要从对内和对外两个维度展开完善：对内需要依据《个人信息保护法》 第60 条的规定来构建三级监管机构，创设全方位监管体系； 对外需要强化对跨境个人信用信息传输的监管， 通过合规监管来规避数据传输风险。

（一）征信合规监管机构的体系构建

《个人信息保护法》第60 条规定了履行个人信息保护职责的三级监管机构，分别是国家网信部门、国务院有关部门以及县级以上地方人民政府有关部门，形成了由中央到地方的统筹监管体制。以往主要由专门机构展开征信合规监管，《征信业管理条例》第4 条规定由中国人民银行作为国务院征信业监督管理部门对征信业进行监督管理， 监管主体既包括中国人民银行，也包括中国人民银行的派出机构。专门监管模式虽然能保证流程上的专业性， 但是监管范围较为狭隘， 无法将监管工作有效扩展至基层合规机构，而基层恰恰是征信合规运行漏洞较多之处，存在征信监管人员不足、 监管手段匮乏等一系列问题。 此外，因为缺乏上层机构的宏观指引，专门监管模式容易和国家监管的整体趋势产生背离， 最终影响征信合规的监管效果。质言之，当前应该完善从基层至顶层的合规监管机制， 针对征信合规过程中潜在的各类问题，做到积极的事先预防，维护征信合规体系的正常运行安全。

参考《个人信息保护法》所构建的三级征信合规监管机构，由上而下分别是国家网信部门、中国人民银行以及县级以上地方人民政府有关部门， 分别对应征信合规的统筹监管、专门监管以及基层监管。第一，国家网信部门主持征信合规的统筹监管，负责统筹协调对个人信用信息的保护与监管， 是国家层面的监管，主要从《民法典》《个人信息保护法》中寻找规范依据， 将个人信用信息视为个人信息的一种加以保护。 当《民法典》和《个人信息保护法》对同一问题的规定发生规范冲突或竞合的时候， 应该优先适用作为特别法的《个人信息保护法》进行解决。第二，中国人民银行负责专门监管的工作，工作中参考《征信业管理条例》《征信机构管理办法》《征信合规通知》在内的专业规范，实现对征信合规的专门监管。专门监管由中国人民银行负责， 可以发挥中国人民银行的专业优势，其本身对征信系统就较为熟悉，因此由其进行监管不容易出现技术偏差， 并可以及时将最新的监管技术应用于征信合规系统。第三，县级以上地方人民政府有关部门主导的基层监管， 能够将征信合规监管的范围向下延伸， 落实征信管理法规，解决基层征信系统使用过程中的实际问题。基层征信合规系统出现问题大多是因为合规制度的规定不够详细， 尤其是征信系统不断迭代升级的技术背景下，第二代征信系统在内控机制、信息报送等诸多方面都进行了升级改进， 而这同时也给基层征信合规监管提出挑战， 所以需要由基层部门贯彻上级的宏观指引和专门指导，完善征信合规监管。

总之，参考《个人信息保护法》构建征信合规监管的三级监管体系，有助于实现对征信合规体系的常态化监管，既贯彻国家层面对于个人信用信息的保护，又兼顾基层征信合规监管工作开展的实际状况。 相较于以往的征信管理法规，《个人信息保护法》摆脱了专门监督的桎梏，并未将监管重心仅置重于中国人民银行，而是将征信合规监管机构向中国人民银行的上下层级之间扩张，向上扩张将国家网信部门涵括在内，向下扩张则是将监管权限赋予地方专门机构，避免专门监管模式出现“鞭长莫及”之虞，为落实征信合规监管制度提供具体可靠的现实路径。

（二）跨境征信合规的监管体系完善

跨境征信合规监管是为了配合我国对外经贸发展的整体趋势， 避免征信系统收集的个人信用信息泄露侵害个人权利， 在促进个人信用信息跨境流动的同时加强信息保障。 对于个人信用信息的跨境流动，域外的监管体系各有千秋。欧盟采用严格限制个人数据跨境流动的规制体系， 基于人权保护的传统视角加强对个人信用信息的保护。 美国采用基于市场主导并辅以行业自律为中心的监管模式， 借助双边协议和多边协议来实现对个人信用信息价值利用的最大化。比较来看，欧盟和美国对跨境征信监管之所以采用不同的监管模式， 是因为两者对个人信用的保护观念不同以及个人信用的法益存在差异。 欧盟内部诸国一直以来注重对个人权利的保障， 而个人信用信息作为一种新型权利， 被划入基本人权的范畴并加以保障，随后出台了《与个人数据自动化处理有关的个人保护公约》《个人数据保护指令》《通用数据保护条例》进行全方位保护，通过构建“数字单一市场”提升数字经济竞争力。美国个人信用信息跨境监管体系较为松散， 是因为其自身更依赖市场经济， 对于个人信用信息的保护让位于世界贸易的经济利益， 其更青睐于通过个人信用信息的跨境传输来获取市场经济中的有利地位，其所主导建立的《跨境隐私规则体系》就凸显了这一特征，在“问责制”的基础上采用行业自律模式，监管力度并不严苛。有鉴于此， 我国的跨境征信合规监管体系也应该在我国已有法律规范的基础上， 参照我国征信体系的实际需求来构建跨境征信合规监管体系。

《个人信息保护法》第38 条规定个人信息处理者向境外提供个人信息的基础条件， 即依照该法第40 条的规定通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务以及法律、行政法规或者国家网信部门规定的其他条件。 其中第1-3 项是跨境征信监管合规的实质内容， 而第4项属于兜底条款， 可以据此展开跨境征信合规监管体系建设。

第一，依照《个人信息保护法》第40 条的规定通过国家网信部门组织的安全评估。 这里针对的对象是关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，这两者本应该将其在境内收集和产生的个人信息存储在境内，但是因为有向境外提供的需要，所以要组织对应的安全评估。 这种征信合规监管分为三个部分：一是检查征信收集主体的适格性，要求征信主体对于个人信用信息的处理数量或者属性达到了法律规范的要求；二是评估机构向境外提供个人信用信息的必要性， 必须确保其具有正当合理的要求；三是评估传输行为的正当性，传输手段、传输范围等都必须合规。

第二， 按照国家网信部门的规定经专业机构进行个人信息保护认证。 这要求传输行为需要由专业机构对个人信息保护进行合规认证， 明确合规认证所对应的内容，厘清其中个人信息的范畴，并且确保认证程序合规。 认证内容合规是指个人信用信息的认证范围遵守征信管理法规的规定， 和个人信用信息的采集范围保持相对一致，并且参照《征信业务管理办法》第42 条的规定将采集的信用信息类别向社会公开，接受社会监督。认证程序合规要求认证模式和方式符合法律规定，不能在认证程序中违规操作，而是采用规范化的认证模式并由专人指导。 参考欧盟《通用数据保护条例》中规定的数据保护官的职位设置， 由专门的数据保护官来执行对数据合规的监管，并且设置对应的奖惩程序，保证认证程序的公正性和透明度， 我国也可以设立对个人信用信息的专门监管人员来加强对跨境征信合规的监管。

第三， 按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，这是通过预先设立合同的方式来监管跨境个人信用信息传输， 而合同成立与否则取决于双方权利和义务的设定。对于合同模式下跨境征信的监管合规，需要明确合同中规定的权利和义务的内容合规， 确保个人信用信息的跨境传输的前提成立， 这里权利与义务合规的重点在于两者规定内容的实质相等性， 并且符合国家规定的硬性要求。 两者规定内容的实质相等性要求权利和义务在实质内容上相等同， 不会出现权利义务畸重或者畸轻的不相等情形， 而且其中权利和义务所规定的内容也需要符合国家的硬性规定， 防止个人信用信息的跨境传输违反我国法律规范，确保跨境征信的实质合规。

四、结语

《个人信息保护法》的出台标志着我国对个人信用信息的保护进一步加强，并逐步构建体系化的、更加复杂的、 超越自主管理的个人信息多元治理保护体系。 在此背景下，征信系统所采集、加工和使用的个人信用信息，正是个人信息中的“黄金信息”，和个人的人格尊严、财产利益等有着密切的联系，所以征信机构在处理个人信用信息时应该尤为谨慎， 需要借助合规机制实现征信全流程的合法合规。借助《个人信息保护法》颁布的契机，将其应用于征信系统的合规构建，并配合已有的征信管理法规，在明确个人信用信息所属类型的基础上， 探讨处理规则的升级以及处理模式的优化，并且加强对征信合规的监管，依靠三级监管体系统筹兼顾对内监管， 并逐步完善跨境征信合规监管。