個人信用信息保護的立法框架研究

摘 要：個人信用信息具有財產屬性，而一方面公眾對個人信用信息缺乏保護意識，另一方面個人信用信息保護的立法還相當不完善，導致信息安全問題日益凸顯。借鑒歐美個人信用信息保護的立法模式，結合我國的實際情況，擬構建以《個人信用信息保護法》為核心的多部門法協同作用及行業自律機制體系為輔的全方位的個人信用信息保護框架。

關鍵詞：個人信用信息；立法模式；立法框架；行業自律機制；保護

個人信用信息是與個人信用評價相關的信息，其承載著較多的經濟價值和利益，是經濟領域中的重要信息。正如陸小華在《信息財產權——民法視角中的新財富保護模式》中所說：“信息資源不僅本身就是財富，而且在創造財富?！彪S著經濟社會的迅猛發展，科技的力量越來越強大，信息傳遞方式的快速演進使得信息時代真正來到每個人的身邊，溝通的方式越來越多，資訊的傳播越來越自由，人與人的距離也越來越近，繁多的資訊傳播途徑給人們的生活帶來了極大的便利。但是，隨著個人信息價值的極度攀升，對信息的爭奪和占有成為在經濟上占據優勢的重要條件。巨大的利益驅動，使得個人的信用信息在高效和便利的環境下無所循行，加之我國公眾對個人信用信息缺乏相應的保護意識，使得信息安全及隱私泄露問題日益嚴重，個人信息泄露惡性事件頻繁發生。

一、個人信用信息的含義

“信用”從詞源上來看，古已有之?！蹲髠鳌ば辍罚骸巴踉唬骸渚芟氯?，必能信用其民矣，庸可幾乎？”人類歷史發展到今天，“信用”這個詞已經包含著極其豐富的內涵。從法律的角度理解“信用”，它實際上有兩層含義，一是指當事人之間的一種關系，只要“契約”規定的雙方的權利和義務不是即時交割的，存在時間差，此時就存在信用問題；第二層含義是指雙方當事人按照“契約”規定享有的權利和承擔的義務。

個人信用信息是個人信息中的一部分，是指與個人信用能力和個人信用行為相關的信息，涵蓋各類可能影響個人信用的因素。[1]個人信息是指與其他信息對照可以識別特定個人信息的總和。它包括個人識別資料，如姓名、性別、年齡、出生日期、身份證號碼、電話、住址、股東賬號等，也包括個人背景，如職業、教育程度、收入狀況、個人履歷、個人健康與醫療信息等及其它資料。在理論研究和立法實踐中，個人信用信息經常作為個人信息（歐盟及其成員國立法中稱為“個人數據”，日本、挪威、冰島等國家稱為“個人資料”）的下位概念而被使用，換而言之，個人信用信息是法律規制下的信息中表征主體信用狀況的信息，是一個附屬于個人信息的子概念。[2]個人信用信息產生于個人的信用交易活動并表征特定個人的信用表現和償付能力，分散存在于金融、電信、財稅以及其他交易領域，在征信業中，經征信機構收集和整理后便形成個人信用報告這一重要的個人信用信息表現形式。

二、我國個人信用信息立法保護的現狀

當前，我國個人信用信息保護的立法還相當不完善。①個人信用信息立法地方先行。由于我國個人征信是先在一些城市進行試點，然后又在全國范圍內展開，所以，我國有關個人征信的立法是首先以地方立法的形式出現的。2001年，深圳出臺了《深圳市個人信用征信及信用評級管理辦法》，2003年，上海出臺了《上海市個人信用征信管理試行辦法》，分別對此兩個城市的個人征信行為進行規范。這些地方性法規對規范試點城市的個人征信行為、保護個人信用信息起到了很好的效果，同時，為全國性立法積累了經驗。②就法律的適用范圍而言，全國性立法相當匱乏，保護個人信息的法律條款數量較為有限、適用范圍相對狹窄，沒有專門的針對所有信息控制人均適用的統一的個人信息保護法。目前，全國性的針對個人信用信息保護的法律法規只有一部，即中國人民銀行2005年公布的《個人信用信息基礎數據庫管理暫行辦法》。雖然該辦法在內容上還存在一些缺陷和漏洞，例如缺乏爭議信息的封存制度、錯誤信息導致個人損害的民事賠償制度等，但它卻是我國個人信息保護立法史上的一座里程碑，開創了我國特殊領域的個人信息保護立法。③缺乏專門的保護監督機構，當個人的信用信息遭受侵害后，沒有一個專門的機構來處理這些侵權行為，從而導致個人信用信息的保護不能落到實處，維權也較為困難。

三、個人信用信息保護的立法模式

基于立法理念的不同，在個人信用信息保護的立法上形成了兩種典型的代表模式。

（一）以歐洲國家為代表的統一立法模式

統一立法模式是指由國家制定一部個人信息保護的基本法來統一規范個人信用信息的保護。自20世紀70年代以來，歐洲各國相繼制定了自己的個人信息保護法，將包括個人信用信息在內的個人信息均納入法律中加以保護。如最早的聯邦德國黑森州1970年通過的《黑森數據保護法》、1973年瑞典的《瑞典數據法》、1977年德國的《聯邦資料保護法》等。此后，冰島、英國、荷蘭、愛爾蘭、葡萄牙、比利時等歐洲國家都制定了個人資料保護法。[3]但是各國對個人信息保護的標準并不統一，歐洲議會和歐盟理事會在總結各國立法和實踐的基礎上，于1995年10月24日制定了《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》，該《指令》為個人信息提供了全方位、綜合性的保護，在個人信息的保護上具有其獨特性，也使歐洲個人信息的保護更加趨于統一化和規范化。

（二）以美國為代表的分散立法模式

分散立法模式是指國家不統一制定個人信息保護基本法，而是在各個行業和領域針對各種事項進行單獨立法的模式。美國是分散立法的典型代表國家之一，在涉及個人信用信息保護的不同領域分別進行立法，如《信息公開法》、《公平信用報告法》、《誠實信貸法》、《公平信用和貸記卡公開法》等。在個人信用信息保護的立法上，美國沒有歐盟那樣的統一立法，而是采取“條塊分割”的方式對不同行業的個人信用信息通過分別立法予以保護，除了規范政府部門收集和利用個人信用信息的隱私立法之外，還有針對個人信用信息隱私保護的專門立法。此外，美國還有大量的有關個人信用信息保護的判例法和各州立法，以及關于個人信用信息保護的行業自律規范。

四、我國個人信用信息保護的立法框架

在立法模式的選擇上，我國應當立足自身的社會經濟發展的具體情況和法律傳統，并借鑒歐盟和美國立法中的合理之處做出科學合理的選擇。我國屬于大陸法系國家，通過統一立法創制個人信用信息保護制度符合我國一貫的立法傳統。因此，我國可以借鑒歐盟的立法經驗，制定一部統一的、全國范圍內統一適用的、對所有個人信用信息給予充分保護的《個人信用信息保護法》。同時考慮到個人信用信息廣泛存在于金融、電信、電子商務、電子政務以及其他行業的交易之中，統一立法不可能面面俱到的為其設計恰到好處的保護制度，因此又可以借鑒美國的分散立法模式的優點，在統一立法所確立的最低保護標準之外，授權有關行業的主管部門通過行業立法的形式制定適用于該行業的更高的保護標準，從而建立起完善的個人信用信息保護制度。

（一）我國個人信用信息保護立法框架的總體設計

鑒于個人信用信息保護的廣泛性與復雜性，個人信用信息法律保護的框架也應當是多法聯動、有機運行的體系，個人信用信息保護的立法也必然是一個多學科和多部門法綜合研究的結果。所以，個人信用信息立法應構建一個整體框架，綜合各部門的法律對個人信用信息進行統一保護。也正如拉倫茨所指出的，“法律規范并非彼此無關地平行并存，其間有各種脈絡關聯”，“發現個別法規范、規整之間，及其與法秩序主導原則間的意義脈絡，并得以概觀的方式，質言之，以體系的形式將之表現出來，乃是法學最重要的任務之一”。[4]

（二）個人信用信息法律保護框架的核心——制定和頒布統一的《個人信用信息保護法》

《個人信用信息保護法》是個人信用信息保護的基本法，該法可以通過個人信用信息的界定、個人信用信息的收集和使用、個人信用信息的管理與維護、信息主體的權利、信用信息使用者的義務、個人信用信息的跨國流動、法律責任與救濟等的相關規定，明確對個人信用信息的法律保護，從而使個人信用信息得到基本的保護?！秱€人信用信息保護法》不僅要規范商業銀行和征信機構等主要掌握和控制個人信用信息的機構收集和使用個人信用信息的行為，而且還應當對其他任何掌握和控制個人信用信息的機構和個人收集和使用個人信用信息的行為予以規制，對公共部門和私人部門收集和使用個人信用信息使用相同的標準和原則，對存在于各部門的個人信用信息隱私提供平等的保護。[5]

（三）個人信用信息法律保護框架的法律輔助體系

如前所述，除了《個人信用信息保護法》外，其他多個部門法的相關法律對個人信用信息的保護起輔助與補充的作用。

在憲法及其相關法領域，我國《憲法》規定的“公民的人格尊嚴不受侵犯”、“公民住宅不受侵犯”、“公民享有通信自由和通信秘密的權利”、“國家尊重和保障人權”等相關條款均可解釋為個人信息應當受到法律保護的憲法依據。另外，《中華人民共和國護照法》、《中華人民共和國身份證法》直接規定了“個人信息”的保護問題。

在民事法領域，輔助體系的相關法律主要是保護個人隱私權的法律。我國目前明確規定隱私權的法律只有《中華人民共和侵權責任法》，另外就是最高人民法院出臺的《關于確定民事侵權精神損害賠償責任若干問題的解釋》中規定侵害他人隱私的，受害人可以向法院起訴請求精神損害賠償。但是二者沒有對隱私權的內容進行明確規定，也沒有規定具體的保護措施，使得在個人信用信息被大量使用的當今社會，主體的隱私權得不到法律的保障。

在經濟法領域，因為大量個人信用信息在經濟領域流動，輔助體系的法律更多。主要通過修改現有的法律和制定新的法律來達到保護個人信用信息的目的。應當制定《信用消費者保護法》、《金融監管法》等，加大對消費者信用信息保護的力度；通過完善《商業銀行法》、《反不正當競爭法》和《消費者權益保護法》等實現對個人信用信息保護的補充。

在刑法領域，輔助體系的最后一道防線應當得到鞏固。通過將個人信用信息侵權造成嚴重后果的行為規定為犯罪，利用《刑法》的嚴厲制裁措施，遏制個人信用信息的侵權行為。目前，我國《刑法》也有一些罪名對違信行為進行懲治，但都是間接對違信行為進行懲治，而關于信用違法的直接罪名在我國刑法中處于空白狀態。對信用發展的某些嚴重違信行為可以設立單獨的刑法罪名進行刑事追究。且要進一步完善《中華人民共和國刑法修正案（七）》和《中華人民共和國刑法修正案（九）》中有關保護個人信息的相關條款加大對個人信用信息的保護力度。

除此之外，還可以通過進一步完善《互聯網電子公告服務管理規定》、《個人信用信息基礎數據庫管理暫行辦法》、《民事訴訟法》、《刑事訴訟法》等相關法律中對個人信用信息或個人隱私進行保護的條款，從多領域多途徑進一步加強對個人信用信息的保護力度。

（四）個人信用信息法律保護框架的行業自律機制輔助體系

在建立完善的法律體系的同時，還應根據我國國情，采用歐盟的國家主導模式，鼓勵產業界建立相應的自律機制，通過行業自律組織和個人信息保護執法機關頒布實踐性的司法解釋，可使之更具操作性。張新寶教授在接受記者采訪時曾說：“就我國而言，國家立法主導模式更符合我國的國情，但同時也要鼓勵產業界建立相應的自律機制?！盵6]

在建立行業自律機制時，可以借鑒美國和日本的經驗，特別是日本，通過建立民間認證制度，配合政府的執法保障，收到了良好的效果。1999年日本工業標準（JIS）制定了《關于個人信息保護管理體制要求事項》（又稱JISQ15001），該要求事項已適用于很多行業。2001年3月廢除了實行多年的《信息處理服務產業安全對策實施事業所認定制度》，制定了比較重視管理的“安全管理系統評估制度”（ISMS制度），并啟用了ISO/IEC17799—1（BS7799）國際標準（這又被稱為第三者認證制度）。[7]這些制度旨在給予那些對個人信息保護良好的企業一個外在的評價標準，獲得上述安全認證的企業可據此提升自身形象和商業信譽，對企業今后的發展非常有利，因此受到企業的重視。

綜上所述，我國應采取統一立法與行業立法并舉的折中立法模式，這樣既可以實現歐盟立法所追求的對個人信用信息的嚴格保護，也可以兼顧美國立法所追求的促進個人信用信息的自由流動進而實現其商業價值，促進社會經濟的發展之目的。

參考文獻：

[1]白云.個人信用信息法律保護研究[M].北京：法律出版社，2013：10.

[2]周悅麗.個人信用信息的法律保護研究[J].法學雜志，2007（4）：158.

[3]白云.個人信用信息法律保護研究[M].北京：法律出版社，2013：173.

[4]【德】卡爾·拉倫茨.法學方法論[M]，陳愛娥譯，北京：商務印書館，2003：316.

[5]姚朝兵.個人信用信息隱私保護的制度構建——歐盟及美國立法對我國的啟示[J].理論與探索，2013， 36（3）：23.

[6]尚曉宇.網絡個人資料保護應采取國家主導立法模式[N].檢查日報，2003， 10（27）.

[7]謝青.日本的個人信息保護法制及啟示[J].政治與法律，2006，（6）：156.

作者簡介：

鄭綠峰（1976～ ），女，河南鄭州人，碩士研究生，主要從事民商法方面的研究。