陽建勛 鄧成明

摘要：我國征信機構(gòu)在信息采集與儲存、信息異議與不良信息、信息使用等方面面臨著諸多法律風險，既可能因為損害個人隱私、企業(yè)商業(yè)秘密及企業(yè)商譽等承擔侵權(quán)責任，也可能因為違反國家規(guī)定使用信用或提供錯誤的信用報告承擔責任。盡管現(xiàn)行征信立法未能就上述風險在征信機構(gòu)、信息提供者與信息使用者之間明確責任分擔及其構(gòu)成要件，但是征信機構(gòu)在日常營業(yè)中應當采取切實措施加以防范。

關(guān)鍵詞：征信機構(gòu)；營業(yè)風險：風險防范

文章編號：1003-4625（2015）02-0057-04

中圖分類號：F832.39

文獻標志碼：A

一、我國征信機構(gòu)營業(yè)活動的主要法律風險

（一）信息采集、保存等所面臨的法律風險

（1）信息采集對個人信息存在侵害風險。由于征信信息的采集可能涉及個人隱私信息，征信機構(gòu)可能會因為采集了公民個人的非公開信息而侵犯個人的隱私權(quán)，由此承擔侵權(quán)責任。美國的《公平信用報告法》規(guī)定信用報告機構(gòu)應當公平、中立地履行職責，并尊重消費者的隱私權(quán)?！稓W盟數(shù)據(jù)保護指令》第1條也要求成員國保護與個人數(shù)據(jù)處理相關(guān)的隱私權(quán)。

我困《侵權(quán)責任法》第2條第2款規(guī)定的民事權(quán)益，包括生命權(quán)、肖像權(quán)、榮譽權(quán)及隱私權(quán)等人身、財產(chǎn)權(quán)益，從而明確將隱私權(quán)納入了保護范疇。2013年最新修訂的《消費者權(quán)益保護法》第14條規(guī)定了消費者享有個人信息依法得到保護的權(quán)利?！墩餍艠I(yè)管理條例》（以下簡稱《條例》）第3條規(guī)定從事征信業(yè)務及相關(guān)活動不得侵犯個人隱私。依據(jù)《條例》第14條規(guī)定，征信機構(gòu)不得采集個人信息包括宗教信仰、基因、指紋、血型、疾病和病史等方面的信息；經(jīng)征信機構(gòu)明確告知提供該信息可能產(chǎn)生的不利后果并取得信息主體書面同意，可以采集的個人信息包括個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)及納稅數(shù)額等方面的信息。前者是絕對隱私信息，即絕對禁止征信機構(gòu)以任何理由、任何形式采集該類信息；后者屬于相對隱私信息，即在征得信息主體書面同意的前提下，可以納入征信系統(tǒng)。不過，需要注意的是，該條規(guī)定對于個人信息的保護范圍遠遠小于民法上的隱私權(quán)保護范圍。就理論分析而言，個人征信信息的采集與隱私權(quán)的保護之間存在一定的現(xiàn)實沖突，平衡這種沖突的立法選擇最終取決于公共利益與個人利益的平衡。我國有關(guān)個人信息保護的法律規(guī)定散見于《民法通則》的人格權(quán)規(guī)定、全國人大常委會頒布的《加強網(wǎng)絡信息保護的決定》《消費者權(quán)益保護法》第14條及《條例》的相關(guān)規(guī)定，尚未有專門的個人信息保護立法。在金融領(lǐng)域，金融消費者的個人信息保護問題隨著近年來社會征信體系建設的推進備受社會關(guān)注。面對法律規(guī)定的缺失，法學界不少人寄希望于通過“金融隱私權(quán)”的方式加強金融領(lǐng)域的個人信息保護。但也有人認為，個人信息資料不完全屬于隱私的范疇，個人信息與個人隱私盡管在內(nèi)容上存在一定的重合，但是整體上而言個人信息概念遠遠超出隱私信息的范圍，故個人信息資料權(quán)不宜納入隱私權(quán)的范疇，而應當是相對獨立于隱私權(quán)的一種權(quán)利，未來“人格權(quán)法”應當明確規(guī)定個人信息權(quán)。鑒于我國現(xiàn)行個人信用信息保護的立法滯后于現(xiàn)實需求，還沒有實現(xiàn)征信專門立法與一般性的民法保護之間的協(xié)調(diào)，因此我國征信機構(gòu)不僅要依據(jù)《條例》采集個人信用信息，而且要嚴格依據(jù)民法及其他法律中個人信息保護的相關(guān)規(guī)定采集個人信用信息。

（2）信息采集對企業(yè)商業(yè)秘密及企業(yè)商譽存在侵害的風險。依據(jù)《條例》第21條第1款的規(guī)定，征信機構(gòu)采集企業(yè)信用信息的渠道主要有：信息主體自身提供；交易相對方提供；行業(yè)協(xié)會提供；有關(guān)政府部門依法公開及法院依法公布裁判等。同時，征信機構(gòu)不得采集法律、行政法規(guī)禁止采集的信息。如屬于商業(yè)秘密的企業(yè)經(jīng)營信息和技術(shù)信息就不屬于征信機構(gòu)的信息采集范圍。這就需要征信機構(gòu)在信息采集的過程中依法對企業(yè)信息予以判斷。

（3）征信機構(gòu)在信息存儲方面存在的風險。2012年3月，央視3.15晚會曝光銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導致部分用戶銀行卡賬號被盜。這個典型的數(shù)據(jù)信息泄密事件凸顯了網(wǎng)絡時代征信機構(gòu)在信息存儲方面存在的現(xiàn)實風險。為防范信息存儲方面的風險，征信機構(gòu)應當按照國家信息安全保護等級測評標準，對信用信息系統(tǒng)的安全情況進行測評。依據(jù)《征信機構(gòu)管理辦法》第31條規(guī)定，信用信息系統(tǒng)安全保護等級為二級的，應當每兩年進行測評；等級為三級及以上的，應當每年進行測評。征信機構(gòu)出現(xiàn)可能發(fā)生信息泄露征兆的，將會受到中國人民銀行及其分支機構(gòu)的重點監(jiān)管。

（二）信用信息異議與不良信息方面的法律風險

（1）信用信息異議的含義。所謂信用信息異議是指信息主體認為征信機構(gòu)采集、保存、提供的信息存在錯誤、遺漏的，向征信機構(gòu)或者信息提供者提出異議，要求更正。

（2）信息主體的信息異議權(quán)與征信機構(gòu)的核查義務?！稐l例》第25條賦予了信息主體以異議權(quán)，同時對征信機構(gòu)課予核查義務。征信機構(gòu)收到異議后，應按照規(guī)定對相關(guān)信息作出存在異議的標注，進行核查和處理并將結(jié)果書面答復異議人。異議處理期限是20日，自收到異議之日算起。處理結(jié)果有三種情形：一是相關(guān)信息確有錯誤、遺漏，征信機構(gòu)予以更正；二是相關(guān)信息不存在錯誤、遺漏，則取消異議標注；三是經(jīng)核查后仍然不能確認是否存在錯誤或遺漏的，就將核查情況和異議內(nèi)容予以記載。

（3）不良信息方面的法律風險。不良信息是指對信息主體的信用狀況具有不良影響的負面信息。不良信息包括信息主體在借貸、保險等經(jīng)濟活動中未按照合同履行義務的相關(guān)信息，有的甚至將手機欠費、水電欠費等相關(guān)信息都納入了信用信息范圍。不良信息還包括對信息主體的行政處罰信息，如環(huán)保部門對企業(yè)的環(huán)境處罰信息、稅務部門對企業(yè)的欠稅公告信息、質(zhì)量技術(shù)監(jiān)督部門對企業(yè)制售假冒偽劣商品的處罰信息等。另外，要求信息主體履行義務的法院裁判及強制執(zhí)行等也往往被視為是不良信息。由于不良信息對于信用主體的信用狀況具有負面影響，一旦征信機構(gòu)在采集或提供不良信息時違反法律規(guī)定，就極有可能被信用主體訴其侵權(quán)。

（三）信息使用方面的法律風險

《條例》對征信機構(gòu)在信息使用方面規(guī)定了較多的義務，征信機構(gòu)如果不能履行這些義務就要承擔相應的法律責任。此即征信機構(gòu)在信息使用方面所面臨的主要法律風險。

（1）遵循信息主體書面同意原則才提供查詢的義務。信息使用者需要查詢個人信息的，除法律另有規(guī)定外，征信機構(gòu)只有在信息使用者取得了信息主體本人書面同意并約定用途后才能提供查詢服務。征信機構(gòu)違反上述規(guī)定提供查詢服務給信息主體合法權(quán)益造成了損害的，應當承擔侵權(quán)責任。

（2）格式合同的提示說明義務。從法律視角看，征信機構(gòu)為取得個人信息主體書面同意而與之簽訂的協(xié)}義是一種格式合同。這種合同條款是征信機構(gòu)事先提供的，在簽訂合同過程中也未與對方協(xié)商。此種做法確實能夠提高效率，有助于提供經(jīng)濟效益也是格式合同在現(xiàn)代社會中盛行的重要原因，但是需要征信機構(gòu)應當注意防范相關(guān)法律風險。因為《合同法》《消費者權(quán)益保護法》及《條例》等相關(guān)法律法規(guī)都明確規(guī)定了作為格式合同提供方的征信機構(gòu)，負有提示說明義務，即應當在簽訂協(xié)議時按照信息主體的要求作出明確說明，并作出足以引起信息主體注意的提示。此種提示說明義務應當是征信機構(gòu)的主動義務，即無論信息主體是否要求說明，征信機構(gòu)都要向?qū)Ψ矫鞔_予以說明。否則，征信機構(gòu)不能據(jù)此免責。

（3）征信機構(gòu)工作人員的依法依規(guī)查詢與保密義務。征信機構(gòu)應當明確規(guī)定其工作人員查詢個人信息的權(quán)限與程序，并對查詢情況進行登記。工作人員負有依照規(guī)定的權(quán)限和程序查詢信息的義務，對于工作中獲取的信息負有保密義務。

（4）相對保障信息準確性的義務。征信機構(gòu)應當采取合理措施，確保其提供信息的準確性。需要明確的是，這并未規(guī)定征信機構(gòu)絕對負有保障其所提供信息準確的義務，只是一種相對性的義務，即只要盡到了采取合理措施的義務即可。

（5）禁止關(guān)聯(lián)信任報告的問題。由于征信活動存在道德風險，我國有些地方性的征信規(guī)定，如《上海企業(yè)信用征信管理試行辦法》第11條和《江蘇省企業(yè)信用征信管理暫行辦法》第20條明確禁止關(guān)聯(lián)信用報告。所謂關(guān)聯(lián)信用報告，是指由與被征信企業(yè)之問存在可能影響征信活動公正性的資產(chǎn)關(guān)聯(lián)或者其他利害關(guān)系的征信機構(gòu)出具的有關(guān)該企業(yè)信用狀況的征信產(chǎn)品。盡管后來制定的《條例》及《征信機構(gòu)管理辦法》沒有明確規(guī)定征信機構(gòu)禁止出具關(guān)聯(lián)信用報告的義務，但是從法理上分析，為克服征信活動的道德風險，防范金融風險和維護金融穩(wěn)定，征信機構(gòu)理應承擔此義務。此外，盡管征信立法沒有賦予其義務，但是從公司法上的關(guān)聯(lián)交易規(guī)定也可以推斷出征信機構(gòu)應當承擔此義務。

二、征信機構(gòu)因以上風險可能承擔的法律責任

（一）征信機構(gòu)侵權(quán)責任的構(gòu)成要件

一般侵權(quán)責任具有四個構(gòu)成要件：一是加害人實施了侵害行為；二是侵害行為給受害人造成損害結(jié)果；三是加害人對其侵害行為具有主觀過錯，包括故意與過失；四是侵害行為與損害結(jié)果之間具有因果關(guān)系。征信機構(gòu)要對其征信業(yè)務活動承擔侵權(quán)責任是否需要具備以上四個構(gòu)成要件尚存在爭議。如在《條例》之前的地方征信立法中，對于征信機構(gòu)主觀要件的要求并不一致。《湖南省企業(yè)信用辦法》第51條規(guī)定：“信用信息提供人、被征信企業(yè)或個人因故意或重大過失向征信機構(gòu)提供虛假或偽造的信用信息；或信用信息使用人違法使用企業(yè)或個人信用信息，侵犯企業(yè)合法權(quán)益或個人隱私，給當事人造成損失的，依法承擔民事責任?！痹撧k法采取的是故意注意與重大過失原則。上海、浙江、湖北及四川等省市的做法與湖南省類似。有的地方性規(guī)章如《蘇州市企業(yè)信用信息管理辦法》卻并不對主觀要件進行考察，而注重結(jié)果，實行嚴格責任原則。

《條例》第38條規(guī)定，征信機構(gòu)違反業(yè)務規(guī)則侵犯信息主體合法權(quán)益并給信息主體造成損害的，依據(jù)該規(guī)定，征信機構(gòu)對其征信活動承擔侵權(quán)責任的主觀要件是故意與過失。

（二）征信機構(gòu)與信息提供者之間的責任分擔

（1）《條例》之前的地方性立法規(guī)定。已經(jīng)有學者將《條例》之前地方性立法關(guān)于征信機構(gòu)與信息提供者之間的責任分擔歸結(jié)為三種模式：一是信息源責任，明確要求信息提供人要保證信息的合法性、直實性，以《深圳市企業(yè)信用信息管理辦法》第16條規(guī)定為代表；二是試圖區(qū)分信息提供人和征信機構(gòu)之間的責任，既要求信息提供人對信息的“合法性、直實性”負責，又要求征信機構(gòu)保持信息的“原始性、準確性、完整性”，實際上由于客觀上難以界分以上義務性要求的內(nèi)涵而無法界定雙方的民事責任；三是要求征信機構(gòu)負有核實責任與不良信息糾正責任，并保證信息的“真實性和合法性”。

（2）《條例》關(guān)于征信機構(gòu)與信息提供行之間的責任分擔。《條例》第32條要求征信機構(gòu)保障其提供信息的準確性。信息主體認為征信機構(gòu)提供的信息不準確而侵害了其合法權(quán)益時，可以依據(jù)《條例》第26條第3款規(guī)定直接向人民法院起訴。《條例》在“法律責任”章的第41條規(guī)定：“信息提供者違反本條例規(guī)定，向征信機構(gòu)、金融信用信息基礎(chǔ)數(shù)據(jù)庫提供非依法公開的個人不良信，未事先告知信息主體本人，情節(jié)嚴重或者造成嚴重后果的，由國務院征信業(yè)監(jiān)督管理部門或者其派出機構(gòu)對單位處2萬元以上20萬元以下的罰款；對個人處1萬元以上5萬元以下的罰款?！睆囊陨弦?guī)定來看，《條例》尚未對征信機構(gòu)與信息提供者之間的責任劃分做出明確的規(guī)定，甚至于都沒有在“法律責任”章像第38條規(guī)定征信機構(gòu)承擔侵權(quán)責任的具體情形那樣規(guī)定信息提供并應當對哪些行為承擔責任。

（三）信用報告的法律性質(zhì)及其責任分擔

在征信機構(gòu)所提供的征信產(chǎn)品中，信用報告是其核心產(chǎn)品，可以分為個人信用報告與企業(yè)信用評級報告。鑒于信用報告在金融業(yè)活動中的廣泛運用及其對信息主體金融活動的重大影響，尤其是美國次貸危機中世界三大信用評級機構(gòu)的糟糕表現(xiàn)，社會要求信用評級機構(gòu)對其信用報告承擔法律責任的呼聲日漸高漲。而要求其承擔法律責任的關(guān)鍵所在是如何確認信用報告的法律性質(zhì)。美國早期的司法案件中，評級機構(gòu)被成功起訴過的案件非常少。這主要是因為信用評級機構(gòu)被定義為新聞業(yè)者，而評級結(jié)果被當做是一種“意見”，從而受到了美國憲法第一修正案對新聞出版與言論自由的保護。但是評級機構(gòu)在實踐中扮演的角色與“新聞業(yè)者”并不一致：評級機構(gòu)從發(fā)行人（即信息使用者）處獲得報酬，積極參與金融產(chǎn)品的交易，并且其評級被諸多法律當做一種“基準”或監(jiān)管許可。美國法院鑒于這些因素不再對信用評級機構(gòu)給予美國憲法第一修正案的保護，而使其承擔應有的責任。