顧敏康，白銀

(湘潭大學(xué)信用風(fēng)險管理學(xué)院，湖南湘潭，411105)

一、引言

世界上主要有三種信用管理運作模式，即完全市場化運作的美國模式、以政府和中央銀行為主導(dǎo)的歐洲模式、以行業(yè)協(xié)會為驅(qū)動力的日本模式。這些模式下的信用制度主要適用于傳統(tǒng)金融或商業(yè)領(lǐng)域的征信活動，它們“普遍將私人信用的征集和使用限制在交易領(lǐng)域”[1]。而我國目前全力建設(shè)的社會信用體系是社會主義市場經(jīng)濟體制和社會治理體制的重要組成部分，其價值之一就在于推進以信用為基礎(chǔ)的新型監(jiān)管機制的構(gòu)建與完善，涵蓋政務(wù)誠信、商務(wù)誠信、社會誠信以及司法公信力四大領(lǐng)域①，所收集的信用信息既包括公共信用信息，也包括市場信用信息。因此，在整體上呈現(xiàn)采集范圍大、適用領(lǐng)域廣、功能價值高等特點。本文稱我國社會信用體系下的信用建設(shè)為“大信用”建設(shè)，目的就是為了與金融或商業(yè)領(lǐng)域的“小信用”相區(qū)分。

“大信用”的建設(shè)不僅需要收集和利用交易領(lǐng)域的資信信息，還需要收集和利用能夠服務(wù)于社會治理的信用信息。當(dāng)然，這一龐大體系能否順利運轉(zhuǎn)，將依賴于對海量的與私密信息存在重合的信用信息的收集、處理和應(yīng)用。2021年5月，江蘇南通市民房女士在查詢個人征信報告時，發(fā)現(xiàn)其職業(yè)信息“工作單位”一欄中竟然出現(xiàn)“專業(yè)做雞十年”的字樣[2]。這一事件暴露出相關(guān)征信機構(gòu)在信用信息管理方面存在的不足，令不少信用主體質(zhì)疑現(xiàn)行信息處理機制的可靠性和安全性，也增加了信用主體對信用信息控制者保護信息隱私的不信任和擔(dān)憂。譬如，哪些信息屬于社會信用信息？社會信用信息收集后是否會被信用信息控制者不當(dāng)利用或者泄露？如何有效地保護信息隱私？這些是信用主體最為關(guān)心的問題，也是社會信用體系建設(shè)所亟須解決的問題。

二、“大信用”背景下的隱私挑戰(zhàn)：信用信息利用與保護的博弈

“大信用”背景下需要收集與利用的信用信息，不僅涉及信用主體的公共領(lǐng)域信息，還涉及信用主體的私人領(lǐng)域信息，這在一定程度上增加了信用主體信息隱私被侵害的風(fēng)險。信用信息和信息隱私之間邊界的日益模糊，導(dǎo)致兩者范圍處于不斷擴張的動態(tài)變化之中，也加大了準確識別信用信息和信息隱私的難度，對信用主體保護自身合法權(quán)益提出了更高的要求。

(一)信用信息和信息隱私的邊界模糊

羅伯特·弗羅斯特(Robert Frost)在《修墻》(Mending Wall)中寫道：“在筑墻之前應(yīng)當(dāng)知道，把什么圍在墻內(nèi)，把什么置于墻外?！盵3]討論信用信息和信息隱私的范圍或邊界，也是為了明確“大信用”背景下信用信息處理過程中信息隱私保護的范疇。本文通過梳理兩者范圍不斷擴張且邊界日益模糊的現(xiàn)狀，以揭示當(dāng)前信用信息隱私保護所存在的客觀困境。

1.信用信息的邊界不斷被外推擴大

信用信息是指具有信用識別性的信息，而信用是確定信用信息范圍的基礎(chǔ)。目前關(guān)于“信用”的學(xué)理認識缺乏統(tǒng)一性，主要存在以下三種學(xué)說：其一，“信譽與商譽說”，認為信用是指信用主體在特定期限內(nèi)所具有的付款或還款能力，從而在社會上獲得的信賴和評價[4?5]。這一學(xué)說得到傳統(tǒng)征信研究者的支持，但由于局限于資信信息的收集和利用，難以全局性地解決我國“社會誠信意識和信用水平偏低，履約踐諾、誠實守信的社會氛圍尚未形成，重特大生產(chǎn)安全事故、食品藥品安全事件時有發(fā)生”的問題②，也無法滿足樹立誠信文化理念和弘揚誠信傳統(tǒng)美德的社會信用體系建設(shè)的內(nèi)在要求，更不能與《社會信用體系建設(shè)規(guī)劃綱要(2014—2020年)》(以下簡稱《信用綱要》)提出的服務(wù)于社會治理體制的規(guī)劃相銜接，故而在功能上存在一定的局限性。其二，“三維信用論”，認為信用由“誠信度”“合規(guī)度”和“踐約度”三個維度構(gòu)成[6]。該理論將信用范圍擴展到守德、守法和履約，屬于當(dāng)前最為廣義的信用解釋論述。但因其涵蓋過多的道德內(nèi)容，故以該理論為基礎(chǔ)確定和收集的信用信息可能體量龐雜。另外，如果據(jù)此對一般性的背德行為實施失信聯(lián)合懲戒，則存在“道德綁架”的問題，有違“法律是道德的底線”原則，也不具有實際操作性。其三，“守法與履約說”，認為社會信用是指信用主體遵守法定義務(wù)或者履行約定義務(wù)的狀況，包括履約信用和守法信用兩個維度[7?8]。相較而言，該學(xué)說更為合理。因為這一學(xué)說不僅傳承了我國傳統(tǒng)信用所強調(diào)的“守約重諾”，而且兼顧了我國社會信用體系建設(shè)服務(wù)于市場經(jīng)濟和社會治理的雙重政策性要求，其中的“守法”與“履約”標準可以從當(dāng)前的法律體系中找到基礎(chǔ)，能夠較好地與其他部門法相銜接。然而，并非所有的“守法”和“履約”行為信息能夠反映信用主體的信用狀況。如新上路的司機由于緊張撞到行人，可能被追究交通肇事的刑事責(zé)任，這種行為雖然觸犯了刑法，卻未必與個人的信用狀況直接關(guān)聯(lián)。因此，該學(xué)說還需要通過增加信用相關(guān)性來確定信用信息范圍，以避免不加區(qū)分地將所有違法和違約行為都納入信用評價范圍，從而最終影響信用評級的公正性和合理性。

盡管學(xué)界對于“信用”的內(nèi)涵與外延尚未形成定論，但現(xiàn)有的政策性文件已經(jīng)在“大信用”建設(shè)中增加了“誠信、合規(guī)和監(jiān)管屬性”的用語[9]。在此背景下，反映或描述信用主體信用狀況的信用信息范圍將被進一步擴大，并突破“信譽與商譽說”所提出的個人信用信息范圍，包括個人身份識別信息、個人信用交易信息、社會公共記錄以及經(jīng)個人同意的其他與信用相關(guān)的信息等[10]。同時，這也增加了私密信息被納入信用信息范圍的風(fēng)險。以我國現(xiàn)行的地方性社會(公共)信用信息法規(guī)與規(guī)章為例，這些條例或辦法一般對公共信用信息實行信用信息“目錄制管理”，對市場信用信息的采集與利用適用以“一般性同意原則”“特殊同意采集清單”和“禁止采集清單”相結(jié)合的“同意?禁止”管理模式[11]。而“目錄制管理”和“禁止采集清單”所采用的信用信息收集方式均為“明文列舉+兜底概括”模式。前者采用正向列舉的方式，列舉可采集利用的信用信息范圍；后者則采用反向列舉的方式，列舉禁止采集的信用信息范圍。盡管如此，面對海量的信用信息，“明文列舉”方式實際上無法窮盡所有，使得開放性的“兜底概括”最終演變?yōu)榇_定信用信息收集和利用范圍的主要規(guī)則。這樣不僅不能從根本上解決信用信息范圍不清的問題，反而因為模糊的“兜底概括”導(dǎo)致個人信用信息的邊界被不斷外推擴大[9]。

2.信息隱私界定主觀且變動性強

信息隱私是從隱私分類中提煉出的一種隱私類型[12]?！吨腥A人民共和國民法典》(以下簡稱《民法典》)第1032 條第2 款規(guī)定，“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”，其中，不愿為他人知曉的私密信息就是本文所討論的信息隱私。但該定義所使用的“不愿”一詞增加了對信息隱私判斷的主觀性，導(dǎo)致信息隱私的內(nèi)涵極富有彈性，所涵蓋的范圍也十分模糊。而針對其上位概念的隱私，我國的立法保護起步較晚，且明顯滯后。1986年的《中華人民共和國民法通則》中未有關(guān)于“隱私”和“隱私權(quán)”的規(guī)定；1988年《最高人民法院關(guān)于貫徹執(zhí)行〈中華人民共和國民法通則〉若干問題的意見(試行)》將“以書面、口頭等形式宣揚他人的隱私”的行為認定為侵害公民名譽權(quán)的行為；2009年的《中華人民共和國侵權(quán)責(zé)任法》僅提及隱私權(quán)和保護醫(yī)療隱私的內(nèi)容；即便是在2020年的《民法典》中，也只是對隱私的概念和侵害形式進行了抽象規(guī)定。總體而言，在民事立法層面，我國對隱私和隱私權(quán)的規(guī)定還不夠具體，缺乏實質(zhì)性的認定標準。

其實，國外也存在對隱私和信息隱私的內(nèi)涵與外延認定模糊的問題。在理論上，關(guān)于隱私較為經(jīng)典的觀點有：Warren 和Brandeis 提出將隱私權(quán)定義為“獨處的權(quán)利”[13]；Westin 認為隱私權(quán)是指他人所享有的對其信息予以公開的權(quán)利[14]；Tom Gerety 認為隱私是指他人控制個人身份的親密度[3]；等等。并產(chǎn)生了包括“獨處權(quán)理論”“限制接觸理論”“私密理論”“個人信息的自我控制理論”“人格權(quán)理論”和“親密關(guān)系理論”在內(nèi)的隱私認定理論[15]。在實踐中，信息隱私保護的立法模式主要有兩種，分別是以保障“信息自決權(quán)”為進路的歐洲模式和通過隱私權(quán)以保障個人信息權(quán)利為進路的美國模式。雖然這兩種模式在形式上存在一定的差異，但因為“人們對信息隱私權(quán)與信息自決權(quán)的理解已無實質(zhì)差異，均承認個人對其個人信息擁有控制權(quán)或自主決定權(quán)”[16]，所以兩種模式在根本上均適用“信息自決理論”，且為各國信息保護立法所普遍適用[17]。然而，將隱私的保護交由信用主體自決，雖在一定程度上保護了信用主體的權(quán)利，但若信用主體對信息隱私保護具有較高的期待，那么，這種期待之下所保護的信息隱私范圍也將隨之變大，甚至缺乏可控的范圍。最為典型的是，美國采用的個人信息納入隱私保護范疇的“大隱私”模式[18]，在這一模式下個人信息保護實際上成為隱私保護的一部分，兩者基本處于包含與被包含關(guān)系。

(二)信用信息的利用對信息隱私保護的挑戰(zhàn)

信用信息和信息隱私之間的關(guān)系屬于交叉關(guān)系，這已為學(xué)者們充分論證。需要討論的是當(dāng)信用信息和信息隱私的范圍都在不斷擴張的過程中，能否清楚界定兩者的范圍？如果無法界定清楚，則應(yīng)當(dāng)如何處理信用信息的利用與信息隱私保護之間的關(guān)系？

1.信用信息的利用無法回避信息隱私的被侵害

個人信用信息和信息隱私均為個人信息的組成部分。關(guān)于個人信息(或個人數(shù)據(jù))的定義，歐盟《一般數(shù)據(jù)保護條例》(GDPR)第4 條規(guī)定為“個人數(shù)據(jù)(personal data)是指任何與已識別(identified)或可以識別(identifiable)的有關(guān)自然人的數(shù)據(jù)”。我國《民法典》第1034 條也將個人信息定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”。兩者均突出了“可識別性”③，并將“可識別性”作為個人信息的主要特點。這也使得“可識別性”成為個人信用信息和信息隱私的“最大公約數(shù)”，即不具有“可識別性”的個人信息，無法反映信用主體的信用狀態(tài)；不具有“可識別性”的個人信息即便被泄露，一般不會給信用主體造成損害，也不會產(chǎn)生隱私侵權(quán)的問題。換言之，正是由于這種“可識別性”的存在，信用主體才會因為被收集的個人信用信息能夠識別個人隱私而尋求保護，信用信息控制者才會因為可識別信用主體信用狀態(tài)而尋求利用，進而導(dǎo)致個人信用信息利用和隱私保護之間不斷產(chǎn)生矛盾。

事實上，信息越私密越能準確地反映信用主體的信用狀態(tài)，最具信用識別性的信息往往依賴于私密性信息。在“大信用”時代到來之前，信用信息實際上已經(jīng)得到比較普遍的利用。如征信機構(gòu)提供給金融貸款、擔(dān)保等行業(yè)使用的專業(yè)信用報告。再如，在進行交易或合作之前，為達到“知己知彼”，信用主體也會通過收集各類信息來加深對交易或合作對象的了解。這些方式包括但不限于通過微信“朋友圈”了解興趣愛好，通過“百度”搜索獲取履歷，通過公司財務(wù)報表知曉債權(quán)債務(wù)情況。但這些信息相對零散，大多是信用主體自主披露的。況且，為了避免所提供的信息給自己帶來名譽減損或合作失敗的風(fēng)險，信用主體很少披露對自己不利的信息，這導(dǎo)致所收集的信用信息缺乏完整性。也正因為如此，“在高度流動性的社會和市場中，僅僅依賴社會主體自行披露信息不足以確保交易和交往安全”[19]，更無法滿足全面利用信用信息的需求。在這種情況下，逐利的市場主體開始非法采集、刺探他人私密信息，甚至形成一些“黑色”的信息產(chǎn)業(yè)鏈，進一步加大了對信用主體信息隱私的侵害。這一現(xiàn)象也反映出零散、不完整的信用信息已經(jīng)難以滿足市場主體準確識別交易對象信用狀況的需求，而需通過其他途徑(甚至非法途徑)獲取交易對象更多的信用信息。因此，想要全面準確地了解信用主體的信用狀況，在“熟人社會”可以通過長時間、多方面和深層次的接觸與交往來感知，而在普遍缺乏有效交往的“陌生人社會”，不得不依賴于對信用信息的全面挖掘和利用，甚至還需要獲取大量信用主體的私密信息，以確保其信用信息或信用狀況的準確性和可靠性。

同時，信息的聚合性利用削弱了信用間接識別和信用直接識別的區(qū)分價值，導(dǎo)致信用間接識別信息的隱私保護需求陡增。根據(jù)信用信息是否可以直接識別信用主體的信用狀況，可以劃分為直接識別性信用信息和間接識別性信用信息。前者可以根據(jù)識別因子直接確認信用主體的信用狀況[20]，如存在不履行法定義務(wù)的行為信息。后者可以根據(jù)復(fù)合識別因子識別信用主體的信用狀況。在個人數(shù)據(jù)資料中，某些個人信息單獨使用時無法識別信用主體的信用狀況，但可以通過組合各種復(fù)合識別因子(如個人財產(chǎn)、婚姻狀況等信息)，進行對照、分析來確定信用主體的信用狀況[20]。然而，在大數(shù)據(jù)(信息)聚合的背景下，“信用畫像”所需要的具備復(fù)合識別因子特征的信用信息越來越龐雜，間接識別性信用信息的識別功能也被前所未有地放大。這意味著一些信用主體原本不太在意的信息，經(jīng)過信息聚合處理后，可以用來分析信用主體的信用等級狀況，也可能被提煉出非常私密的信息，而這些信息一旦被不當(dāng)使用，就會侵害信用主體的信息隱私。概言之，海量的信用信息聚合在推進信用信息精準分析和使用的同時，也將導(dǎo)致個人信用信息和隱私信息的交叉領(lǐng)域擴大，這不僅給信息隱私的保護帶來更大的挑戰(zhàn)，甚至在未來會成為限制信用信息利用的新因素。

2.不同場景中信息隱私認定標準不一

海倫·尼森鮑姆(Helen Nissenbaum)認為隱私權(quán)“既不是一種保密權(quán)，也不是一種控制權(quán)，而是一種獲得適當(dāng)流動個人信息的權(quán)利”[21]，并在其“場景理論”中提出了“場景相關(guān)信息標準”(Context-relative Informational Norms)，認為隱私的保護“取決于相關(guān)信息類型的功能、主體各自的角色、信息的發(fā)送人和接收者，以及信息從發(fā)送人發(fā)送給接收人的原則”[21]。這一理論推動了靜態(tài)的隱私保護向動態(tài)的隱私保護發(fā)展，采用“發(fā)展”和“矛盾特殊性”的唯物辯證法，為信用主體提供了形式上較為妥當(dāng)?shù)碾[私保護方式，因此受到理論界和實務(wù)界的青睞。

當(dāng)然，這種理論也不是完美的，因為在“場景理論”中，隱私認定標準并非一成不變的。不同場景中的隱私認定標準和隱私保護期待也是不同的。如科研誠信領(lǐng)域的信用信息采集，應(yīng)當(dāng)專注于學(xué)術(shù)研究領(lǐng)域，而不應(yīng)期待信用信息控制者采集過多生活領(lǐng)域的信用信息。貸款領(lǐng)域應(yīng)當(dāng)更專注履約情況，而不應(yīng)期待信用信息控制者采集與履約完全不相關(guān)的興趣愛好信息。也就是說，信用信息的采集和利用應(yīng)當(dāng)依據(jù)不同的場景，遵守不同的動態(tài)規(guī)則，符合各方對信息隱私保護與信用信息流動的合理預(yù)期[22]。然而，這種“場景化”和“合理預(yù)期”相結(jié)合的后果是，信用主體和信用信息控制者均對信息隱私的認定具有更大的主觀性，導(dǎo)致信息隱私的范圍也更難得到統(tǒng)一?？梢?，這種場景和風(fēng)險導(dǎo)向理念存在恣意和不確定性，容易加劇信息隱私保護和信用信息利用中的亂象[23]。

不僅如此，信用信息和信息隱私之間還存在交互性?！睹穹ǖ洹穼⑿畔㈦[私定義為不愿為他人知曉的私密信息。按照該定義，信用主體提供的愿意為他人所知曉的私密信息，可能因為信用主體的公開或“同意”使用而變成一般信息，或“因高度公開而不屬于隱私”[24]，從而無法適用現(xiàn)有的隱私保護規(guī)則。況且，《民法典》采用的“同意豁免”規(guī)則，將“權(quán)利人明確同意”作為“處理他人的私密信息”的例外情形④，這也為信用信息控制者處理經(jīng)信用主體同意利用的私密信息提供了免責(zé)事由，導(dǎo)致信用主體喪失了主張隱私侵害的請求權(quán)基礎(chǔ)。在征信實踐方面，信息隱私作為個人信用信息被收集后加以利用的情況十分常見，如包括身份、婚姻、居住地、職業(yè)等內(nèi)容的個人基本信息，以及個人征信系統(tǒng)從其他部門采集的、可以反映客戶收入、繳欠費或其他資產(chǎn)狀況的信息，為降低金融交易的風(fēng)險，這些信息均被納入需要采集利用的個人信用信息范疇[25]。與此同時，信用信息也存在轉(zhuǎn)化為信息隱私的可能性。如信用主體的不良信用信息，在法定的保存或披露期限屆滿后應(yīng)當(dāng)被及時刪除⑤。這意味著：被信用信息平臺刪除后的不良信用信息，將由一種方便于多元主體利用的“公共”信息，轉(zhuǎn)化為信用主體具有更多自決權(quán)利的“私人”信息。如果信用主體不愿為他人所知曉，那么這部分信息也將成為信用主體的信息隱私。

3.公益需求弱化了信息隱私保護觀念

相較于傳統(tǒng)的拉上窗簾、關(guān)上大門就可以控制的空間隱私，或避人耳目即可控制的行為(活動)隱私，信息隱私通常難以得到有效的控制。一方面，信息隱私獲取容易，而且“侵權(quán)的隱蔽性更高、侵權(quán)的范圍會更廣、程度會更深”[5](83)。另一方面，信用信息的利用可以增加“信息資本”，滿足多元主體的公益與私益，從而被視為一種社會基礎(chǔ)性資源，由此產(chǎn)生的社會普遍需要也正竭力為部分信息隱私的利用“正名”。

首先，“信息資本”下的信用信息價值巨大。2011年德國在漢諾威工業(yè)博覽會率先提出“工業(yè)4.0”(Industrie 4.0)⑥的概念[26]。目前，該國將“通過創(chuàng)建自動化、與外部環(huán)境交流以及個性化的數(shù)字產(chǎn)品來發(fā)展經(jīng)濟”作為國家戰(zhàn)略[27]，而其中的“交流”“個性化”以及“數(shù)字產(chǎn)品”無一不涉及信息的利用。除此之外，各國一般將“工業(yè)4.0”建立在信息和生產(chǎn)技術(shù)通過數(shù)據(jù)基礎(chǔ)設(shè)施實現(xiàn)互聯(lián)的網(wǎng)絡(luò)物理系統(tǒng)(cyber-physical systems)基礎(chǔ)上，以強化機器之間或機械與工件(workpieces)之間的直接交流和通信，實現(xiàn)自我管理[28]。在此環(huán)境下，不僅信息的自動化管理成為趨勢，而且信息的利用也將進一步滲入各行各業(yè)之中，轉(zhuǎn)化為至關(guān)重要的生產(chǎn)要素或資本。作為信息的下位概念，信用信息更是建立現(xiàn)代經(jīng)濟的基礎(chǔ)與前提[5](176)，亦有論者提出了“信譽經(jīng)濟”(reputation economy)的概念，認為在“信譽經(jīng)濟”里，信用主體可以像使用現(xiàn)金一樣使用自己的信譽，并將其用作債務(wù)抵押或擔(dān)保以達到原本無法達到的交易[29]。這無疑突顯了信用信息以及從中“提煉”出的信用等級或信譽的重要價值。倘若我國的信用主體擁有對信用信息的絕對控制權(quán)，那么信用信息控制者在處理個人信用信息時就需要不斷獲得信用主體的同意，必然會降低信用信息處理的效率，增加信用信息利用的成本，進而影響信用信息的“集合效應(yīng)與規(guī)?；?yīng)”[30]。這不僅不利于我國合法信息產(chǎn)業(yè)的可持續(xù)發(fā)展，反而與全球“信譽經(jīng)濟”的發(fā)展趨勢相悖。

其次，信用信息紅利下的利用主體多元化和利用目的公益化已經(jīng)成為趨勢?！缎庞镁V要》圍繞政務(wù)誠信、商務(wù)誠信、社會誠信和司法公信四大重點領(lǐng)域，共計列舉了與人民群眾切身利益和經(jīng)濟社會健康發(fā)展密切相關(guān)的34 個方面的具體任務(wù)?？梢?，我國目前的社會信用體系建設(shè)也是一種服務(wù)于私益和公益的信用管理系統(tǒng)建設(shè)。其潛在的使用主體幾乎涵蓋所有社會成員，諸如在食品安全領(lǐng)域，可以通過查詢食品生產(chǎn)者和銷售者的信用狀況后決定是否選購，以提高質(zhì)量保障水平；在普通的民間借貸中，可以通過查詢對方的信用狀況后決定是否借貸，以降低“欠債不還”的風(fēng)險。凡此種種，使得信用信息的利用逐步成為一種新的提高公共利益和個人生活品質(zhì)的社會福利。

最后，在私益和公益的博弈中，對信息隱私保護的同時不宜過度限制信用信息的利用。關(guān)于個人信息利用與隱私保護平衡的問題，學(xué)界的主流觀點是，不應(yīng)過度保護隱私而阻礙對信息的利用。如有論者認為“隱私政策的哲學(xué)基礎(chǔ)過于強調(diào)隱私對個人的重要性，而忽視了其更廣泛的社會重要性”[31]；有論者認為，“在網(wǎng)絡(luò)時代，隱私和個人信息保護是個體尊嚴、自由、自主的重要內(nèi)容，可這并不意味著隱私和個人信息保護應(yīng)當(dāng)成為絕對主義的意識形態(tài)”[32]；還有論者從制度經(jīng)濟學(xué)的角度出發(fā)，認為“對特定信息的隱私權(quán)保障給相關(guān)主體帶來的利益如果小于給社會帶來的效率增加，則應(yīng)取消對該隱私權(quán)的保護”[10]。這些觀點大多圍繞個人信息的流通價值和公共價值展開，所關(guān)注的是對社會公益的保護。就信用信息而言，“信用體系的構(gòu)建需要必要的信用信息傳遞、共享和披露機制作為支撐，信用信息的運行應(yīng)以信息利用為目的”[8]。簡言之，相較于客觀存在的信息，信用信息產(chǎn)生于對信息的信用識別性篩選和聚合，其主要功能由保護逐漸轉(zhuǎn)為利用。在這種情形下，傳統(tǒng)民法學(xué)者所主張的絕對隱私保護觀點，可能更易招致集體主義、公共安全主義論者的詬病，而不利于形成合理的隱私保護觀念。

三、“知情同意”規(guī)則的發(fā)展、適用現(xiàn)狀與存在的不足

“知情同意”規(guī)則作為信息保護制度的核心制度，為各國所普遍適用，我國個人信息和個人信用信息的采集也將這一規(guī)則作為基本原則。然而，該規(guī)則在理論上雖可以保護信用主體的隱私權(quán)，但在實踐中卻存在種種局限。

(一)“知情同意”規(guī)則的發(fā)展與適用現(xiàn)狀

1.“知情同意”規(guī)則的產(chǎn)生與發(fā)展

“知情同意”規(guī)則(或“告知?同意”規(guī)則)起源于對信息隱私或數(shù)據(jù)隱私的保護。20世紀六七十年代，美國各界普遍意識到政府與企業(yè)對個人大規(guī)模的信息采集會給信息隱私的保護帶來巨大的挑戰(zhàn)，在此背景下，企業(yè)的“知情同意”規(guī)則被論者提出[30](89)。1970年歐洲的第一部個人信息保護立法《德國黑森州信息法》便將告知同意原則作為個人信息收集原則予以確定[33]。20世紀70年代，“公平實踐原則”(Fair Information Practices)的原始版本開始滲透到一些最早的數(shù)據(jù)隱私法和政府報告中[34]。這一原則的主要內(nèi)容之一就是信息的采集應(yīng)當(dāng)經(jīng)信息主體同意。1973年美國“關(guān)于個人數(shù)據(jù)自動系統(tǒng)的建設(shè)小組”(Advisory Committee on Automated Personal Data Systems)發(fā)布的《記錄、計算機和公民的權(quán)利》(Records,Computers and the Rights of Citizens)報告，提出將“公平實踐原則”作為一套保護記錄保存系統(tǒng)中個人數(shù)據(jù)隱私的原則[34]。此后，包括“知情同意”在內(nèi)的“公平實踐原則”在各國普遍適用，如1980年經(jīng)濟合作與發(fā)展組織(OECD)制定的《隱私保護與個人數(shù)據(jù)跨境流通指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)⑦，1995年歐盟頒行的《數(shù)據(jù)保護指令》(Data Protection Directive)⑧，以及2004年亞太經(jīng)合組織制定的《APEC 隱私框架》(APEC Privacy Framework)⑨等。2016年歐盟頒行的《一般數(shù)據(jù)保護條例》(GDPR) 更是將“知情同意”規(guī)則作為大多數(shù)信息收集、使用和披露的合法性保障⑩。為此，有學(xué)者指出包括“知情同意”規(guī)則在內(nèi)的公平實踐原則已然成為“現(xiàn)代信息隱私法的基石”[35]。

2.“知情同意”規(guī)則在我國法律法規(guī)中的適用現(xiàn)狀

2013年我國《征信業(yè)管理條例》第13 條規(guī)定，“采集個人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集?！?020年我國《民法典》第1035 條規(guī)定，處理個人信息應(yīng)當(dāng)征得該自然人或者其監(jiān)護人同意。2021年我國《個人信息保護法》第13 條將“取得個人的同意”作為個人信息處理者處理個人信息的一般情形。這些法律和行政法規(guī)均將“知情同意”規(guī)則作為個人信息采集和利用的基本規(guī)則，同樣也為信息概念之下的信用信息的采集和利用提供了約束和指導(dǎo)。

在社會信用立法層面，我國尚未出臺統(tǒng)一的社會信用法，信用信息收集的主要依據(jù)是國務(wù)院和國務(wù)院辦公廳頒布的信用建設(shè)相關(guān)的指導(dǎo)性文件，以及地方先行先試的社會(公共)信用信息法規(guī)與規(guī)章。其中，國務(wù)院和國務(wù)院辦公廳頒布的相關(guān)指導(dǎo)性文件并沒有具體規(guī)定信用信息的范圍，僅明確了信用信息的采集方式，如《信用綱要》《國務(wù)院辦公廳關(guān)于進一步完善失信約束制度構(gòu)建誠信建設(shè)長效機制的指導(dǎo)意見》(以下簡稱《誠信建設(shè)長效機制指導(dǎo)意見》)均強調(diào)，我國應(yīng)當(dāng)制定全國統(tǒng)一的信用信息采集和分類管理標準，對(公共)信用信息實施目錄制管理??！墩餍艠I(yè)管理條例》《誠信建設(shè)長效機制指導(dǎo)意見》指出，在收集使用個人信用信息時應(yīng)取得本人同意?。地方性社會(公共)信用信息法規(guī)與規(guī)章，主要有兩種：一種是僅規(guī)定信用信息收集、信用評級、信用信息異議申請等信息管理的地方性法規(guī)與規(guī)章，如《內(nèi)蒙古自治區(qū)信用信息管理辦法》《江蘇省個人信用征信管理暫行辦法》。另一種則是在前者基礎(chǔ)上進一步規(guī)定信用信息應(yīng)用和信用獎懲措施等內(nèi)容的綜合性信用地方性法規(guī)，如《南京市社會信用條例》《福州市社會信用管理辦法》。兩者在內(nèi)容上雖有一定的差異，但在信用信息的管理和保護方面基本相同，即對公共信用信息的采集主要適用“目錄制管理”，而對市場信用信息的采集主要適用“同意?禁止”管理模式。

整體而言，地方立法是對中央法律法規(guī)和規(guī)范性文件的落實。其中，地方立法在公共信用信息方面實現(xiàn)“目錄制管理”與中央層面的社會信用體系建設(shè)綱要或指導(dǎo)意見相銜接，實施的“同意?禁止”管理則主要與《征信業(yè)管理條例》相銜接。但是，“目錄制管理”和“同意?禁止”管理模式中的“禁止采集清單”采用的均是“明文列舉+兜底概括”，不能從根本上解決信用信息范圍不清的問題。加之，“在個人尊嚴與便利必須服從于公共利益或私性正義之處劃出一條明確界線”是一項艱巨的任務(wù)[13]，在信用信息和隱私信息之間劃分界限同樣是一項艱巨的任務(wù)，甚至是不可能完成的任務(wù)。此外，中央和地方均將“不得侵害個人隱私”作為信用信息利用和保護的基本原則。這樣一來，雖然對信息隱私保護具有立法指導(dǎo)和規(guī)則補充的功能，但仍舊依賴于具體的制度給予保障。與之不同，“同意?禁止”管理模式中的“一般性同意原則”和“特殊同意采集清單”所適用的“知情同意”規(guī)則，至少可以保障信用主體在信用信息被收集之前，形式上對一般的信用信息具有支配權(quán)和控制權(quán)。

(二)“知情同意”規(guī)則存在的不足

“知情同意”規(guī)則雖然為各國信息立法所追捧，也是我國社會信用立法中信息隱私保護的基本規(guī)則，然而，這一規(guī)則存在許多“烏托邦”式的愿景[36]，單純依賴該規(guī)則還不能全面地保護信用主體的信息隱私。

1.信用主體管理和保護自身信用信息的負擔(dān)加重

“知情同意”規(guī)則得以適用的前提是信用主體充分“知情”和有效“同意”，但實踐中該前提通常難以滿足。其一，不同意的成本過高，信用主體選擇“同意”與否的權(quán)利受限。一方面，普通的網(wǎng)絡(luò)信息收集機構(gòu)一般要求用戶注冊相關(guān)賬號之后選擇“同意”提供隱私信息，并將此作為用戶獲取相關(guān)產(chǎn)品或服務(wù)的前提，“如果某人不同意個人數(shù)據(jù)共享的條件，他面對的是一個壟斷者并陷入拒絕服務(wù)的境地。這限制了自由選擇，甚至使之成為不可能”[37]。另一方面，公共信用信息管理部門與信用主體的地位相差懸殊，對信用信息的收集和利用存在一定的權(quán)威性和強制性。為避免相關(guān)公共優(yōu)惠和便利的減損，信用主體很少拒絕向其提供信用信息。其二，信用主體知情困難，作出的同意決定存在意思表示瑕疵的問題。正如論者所指出的“世界上最大的數(shù)據(jù)庫可能由沒人閱讀但法律要求作出的隱私政策組成”[38]，這些隱私政策中的不少內(nèi)容晦澀難懂，信用主體大多會對此望而卻步[39]，更不會基于對隱私政策的理解，作出“同意”與否的選擇，故而存在意思表示瑕疵的問題。雖然一些法律規(guī)定了有效“同意”的認定標準，如歐盟GDPR 第4 條第11 項在定義“同意”時，規(guī)定了“同意”需要滿足“自由作出的”“充分知悉的”“不模糊的”的特征。并在第7 條專門規(guī)定了“同意的條件”：①信息控制者負有證明數(shù)據(jù)主體“已經(jīng)同意”的舉證責(zé)任；②書面聲明的同意應(yīng)當(dāng)滿足容易理解、語言清晰等要求；③數(shù)據(jù)主體有權(quán)隨時撤回其同意；④謹慎分析同意是否自由作出。從形式上保障信用主體的“同意權(quán)”得到實現(xiàn)，但均未考慮到信用主體是否真正具有“同意”的能力，而這才是“同意權(quán)”保障信用主體合理隱私期待的根本。其三，“同意”導(dǎo)致信用信息的控制權(quán)喪失，不利于信用主體對未來信用信息利益的保護。“知情同意”規(guī)則實際上“是對用戶數(shù)據(jù)收集和使用的一次性取得授權(quán)，而不可能對不斷自動產(chǎn)生的新數(shù)據(jù)逐一進行授權(quán)意見的征詢”[12](10)。對于不擅于管理信息隱私的信用主體來說，這將意味著一次不經(jīng)意的同意，涵攝極其寬泛的義務(wù)內(nèi)容，而加劇被“收集、分析、使用和出售有關(guān)他們的信息的協(xié)議所產(chǎn)生的累積效應(yīng)(cumulative effects)”[40]。同時，由于信用主體“缺乏評估收集、使用和披露其數(shù)據(jù)所帶來的未來危害風(fēng)險的能力”[41]，“不容易知道他們的數(shù)據(jù)在未來會如何與其他數(shù)據(jù)結(jié)合，從而得出令人驚訝和強大的推斷，而這些推斷可能會被用來損害他們的利益”[41]。因此，通過設(shè)置“知情同意”規(guī)則，讓信用主體控制自己的信息，這在互聯(lián)網(wǎng)傳播環(huán)境中只是一種“夢想”，因為任何信息一旦進入信息流，信用主體就在事實上喪失了控制信息的能力[12](36)。

2.信用信息控制者侵害他人信息隱私的風(fēng)險增大

“知情同意”規(guī)則是基于信用主體與信用信息控制者在信用信息利用和保護方面的合意(合同)展開的。而信用信息控制者在此類合同中通常是具有優(yōu)勢地位的一方，這加大了信用信息控制者侵害他人信息隱私的風(fēng)險。其一，由于實踐中“知情同意”規(guī)則的載體一般是信用主體只能選擇同意或不同意的格式條款，加之我國隱私侵權(quán)責(zé)任采用的是“同意豁免”規(guī)則，導(dǎo)致信用信息控制者在制定“知情同意”規(guī)則時為規(guī)避隱私侵權(quán)的風(fēng)險，更多地將其作為一種免責(zé)聲明，而不是作為確保信用主體信息隱私安全的保證[42]，這在一定程度上加大了信用信息控制者侵害隱私的風(fēng)險。其二，“知情同意”規(guī)則具有合同效力，信用信息控制者可能在授權(quán)范圍內(nèi)隨意地使用信用信息，而不考慮這種使用會給信用主體帶來潛在的風(fēng)險[30](92)。并且，在合同關(guān)系中法律責(zé)難的依據(jù)主要在于行為人違背相應(yīng)的約定義務(wù)。因此，在信用信息隱私保護高度依賴“知情同意”規(guī)則與其他權(quán)利的前提下，信用信息控制者可能會花大量成本于隱私政策與其他形式主義的合規(guī)上[30](109)，以便盡可能地減少需要承擔(dān)的義務(wù)或擴大可利用的信用信息范圍。其三，信用信息控制者利用其優(yōu)勢地位，不僅可以“迫使”信用主體“同意”，還可以在信用主體不知情的情況下設(shè)計接口，最大限度地收集信用信息，并誘使信息披露[42]，這增加了信用主體信息隱私泄露的風(fēng)險。更因為所收集的信用信息往往涉及與信用主體相似或有聯(lián)系的第三方的隱私信息，也會給第三方的隱私保護帶來負面影響[42]。

3.信用信息控制者獲取和利用的信用信息不完整

個人信用信息既包括良好信用信息也包括不良信用信息。在“大信用”時代，信用信息將作為社會資源配置和市場交易考慮的基礎(chǔ)信息，信用主體為確保獲取更多的社會資源和交易機會，通常具有強烈的動機隱藏不良信用信息?！爸橥狻币?guī)則的適用，顯然為這一動機的實現(xiàn)提供了可行的途徑，其結(jié)果是最終收集的良好信用信息數(shù)量要遠遠超過不良信用信息的數(shù)量。不僅如此，基于“知情同意”規(guī)則，信用主體在法律明確規(guī)定必須提供的信用信息之外，享有選擇提供或不提供某一部分信用信息的權(quán)利，以及選擇提供這部分信用信息而不提供那部分信用信息的權(quán)利。這種選擇權(quán)的設(shè)置將導(dǎo)致信用主體提供的信用信息多寡不一且缺乏統(tǒng)一性，進而不利于信用信息控制者對特定信用主體作出準確、公正的信用評價。

4.信用主體信息隱私被侵害后陷入權(quán)利救濟困境

在實踐中，只有當(dāng)信用主體的核心隱私領(lǐng)域受到侵害且造成嚴重后果時，信用主體才可以申請啟動與之對應(yīng)的公力救濟。對于信用信息控制者稍微超出授權(quán)范圍利用信用信息的情形，信用主體一般難以獲得公力救濟。對于核心隱私以外的隱私被侵害或者核心隱私雖被侵害但未造成嚴重影響的，信用主體往往只能依賴私力救濟。不僅如此，通過具有合同效力的隱私政策來保護隱私也存在困境，因為“當(dāng)國家通過法令或行政法規(guī)強加不可免除的信息提供義務(wù)時，它實質(zhì)上是提供了一種隱私保護的侵權(quán)理論。繼續(xù)使用隱私保護的契約理論將不會有太大的幫助”[43]。

正如萬方教授所言“告知逐漸成為信息處理者的一種公法上的義務(wù)，而同意則仍屬于私法上個人信息自決權(quán)益的核心”[44]，不僅信用信息控制者很難合法合理地履行好這一義務(wù)，信用主體也缺乏相應(yīng)的自決能力。這導(dǎo)致“知情同意”規(guī)則難以從根本上解決信用信息隱私保護的問題，從而為愈來愈多的學(xué)者所詬病。

四、信義義務(wù)的引入：信用信息隱私保護的優(yōu)化路徑

隨著信用主體對信用信息的控制難度日益增大，隱私侵害事件頻繁發(fā)生，信用主體對信息隱私保護會產(chǎn)生“徒勞和厭倦之感”[22]。同時，由于“公權(quán)力的‘侵權(quán)’本性和能力”[46]，純粹的私力救濟和民法保護很難從根本上促使公權(quán)力機關(guān)尊重和保護信用主體的隱私權(quán)。這些導(dǎo)致信用主體喪失了對自身信息隱私保護的信心，使得信息隱私陷入消極保護的困境之中。為此，我國有必要引入嚴厲的信義義務(wù)，以平衡信用主體和信用信息控制者之間的利益，重建信任關(guān)系，為解決信息隱私保護難題提供新的途徑。

(一)信用信息隱私保護制度的構(gòu)建依賴于信任關(guān)系的重建

在大數(shù)據(jù)時代，由于信用信息控制者對信息隱私的非法泄露和不當(dāng)利用，信用主體遭受到各種垃圾信息的騷擾，飽受生活安寧被侵擾的折磨，甚至因此受到信息詐騙而蒙受人身財產(chǎn)損失。加上信用主體和信用信息控制者處于不對等地位，信用信息控制者可以單方面地掌控信用信息處理過程，而信用主體對該過程的絕大多數(shù)事項不知情，對于信用信息的流動亦無法實現(xiàn)“控制”[46]，且缺乏有效途徑直接參與自身的信息管理。這些都使得信用主體對信用信息控制者產(chǎn)生不信任的感覺，通常不愿意提供自己的信用信息。

顯然，信息隱私的披露或者共享，依賴于個人之間、個人和機構(gòu)之間的信任關(guān)系，既要在信任的前提下披露或者共享信用信息，也要在信任的背景下保護好信息隱私，因為信任的期望就是隱私的合理期望[47]。在信用信息的利用和保護過程中，需要努力的是在客觀和主觀上提高信用主體對信用信息控制者的信任，讓信用主體相信信用信息的利用有利于自己，不會因此給自己帶來無窮無盡的困擾和傷害。

鑒于此，如何在信用主體和信用信息控制者之間建立信任關(guān)系，應(yīng)該是解決信用信息利用和保護的又一重要問題。在理論上，現(xiàn)代社會的信任主要來自陌生人之間能夠建立的信任——“系統(tǒng)信任”[48]，來自對權(quán)威的信任、對專業(yè)體系的信任以及對規(guī)則的信任。其中，對規(guī)則之下的法律和制度的信任最為重要[48]，也是產(chǎn)生信任的基礎(chǔ)[49]。故信任關(guān)系的建立首先應(yīng)考慮的就是法律制度的完善，通過法律制度來保障信任關(guān)系的長期存在。然而，“信任是指在對他人的不確定的未來行為造成負面結(jié)果的情況下，對他人的行為確實是肯定的”[50]。在利用個人信用信息時，有必要通過規(guī)定嚴格的法律義務(wù)和責(zé)任來約束信用信息控制者的行為，以確保信用信息控制者行為的合法性和合理性，進而獲得信用主體對信用信息控制者的信任和肯定。

具體而言，一個值得信任的信用信息控制者應(yīng)當(dāng)符合以下要求：①誠實地向信用主體解釋了其持有和使用信用信息的術(shù)語；②基于提供信息保密的假設(shè)，謹慎地利用和披露；③窮盡所有能力地保護提供的信用信息不被泄露和不當(dāng)使用；④忠誠地將信用主體的利益置于自己利益之上，不損害信用主體的利益[51]。在實踐中，增加信用信息控制者普通(或非信義)義務(wù)或者責(zé)任，以及加強對信用信息控制者的監(jiān)管等傳統(tǒng)措施是無法滿足上述要求的。因為這樣，雖然對信用信息控制者的處理行為具有一定的約束作用，但這種約束是弱化信用信息利用的信息保護性約束，可能阻礙信用信息在合法層面上的最大化利用。而且作為一種傳統(tǒng)的保護方式，也難以超越現(xiàn)有的信用信息管理的義務(wù)和責(zé)任，要求信用信息控制者作為一個“善良的管理人”保護信用主體的信息隱私。與之不同，為了同時滿足這些要求，在信用主體和信用信息控制者之間建立信義關(guān)系不失為一種經(jīng)濟有效的途徑。因為在這種關(guān)系中，信用信息控制者負有法定且嚴格的信義義務(wù)和信義責(zé)任，需要為了信用主體的利益而行事，這樣有助于消除信用主體對信用信息控制者侵害隱私的擔(dān)憂，并在兩者之間建立良性持久的信任關(guān)系。

(二)信用信息控制者與信用主體之間信義關(guān)系的證成

信義義務(wù)(fiduciary duty)起源于英國法中的衡平法(equity)[52]。由于其高度的靈活性，且以救濟為導(dǎo)向(remedy-driven)，能夠為特定法律關(guān)系中的受害人提供救濟，從20世紀(尤其是后半葉)開始呈現(xiàn)出大規(guī)模擴張適用的趨勢[52](60)。20世紀90年代初，肯尼思·勞頓(Kenneth C.Laudon)教授首創(chuàng)了“信息受托人”(information fiduciaries)的概念[53]，到目前為止，國外關(guān)于信息信托的研究已經(jīng)初具體系，其中影響最為廣泛的是耶魯大學(xué)法學(xué)院教授杰克·巴爾金(Jack Balkin)的論述[40]。本文討論的信用主體的信息隱私保護和救濟問題，實際上存在于信用主體和信用信息控制者不平等的法律關(guān)系之中，故而有必要引入信義義務(wù)。

一般認為，作為信義義務(wù)產(chǎn)生基礎(chǔ)的信義關(guān)系，是指“一方(受托人)享有對另一方(受益人)的重大實際利益的自由裁量權(quán)”[54]，包括法律上的信義關(guān)系和事實上的信義關(guān)系[55]。前者是指依據(jù)相應(yīng)法律所形成的信義關(guān)系，產(chǎn)生于“當(dāng)一個人接受或承擔(dān)對另一個人重大實際利益的裁量權(quán)”[56]的情形。其中的“接受或承擔(dān)”主要存在雙方同意、單方承諾和法令三種方式。實踐中通常是基于“雙方同意”而建立的信義關(guān)系，即“一旦雙方同意，則產(chǎn)生信義關(guān)系，并在轉(zhuǎn)讓方和受讓方之間出現(xiàn)權(quán)力轉(zhuǎn)移”[56]。后者是指在法律沒有明文規(guī)定的情況下，法官通過“公平正義”和“良心”的理念，擬制推定當(dāng)事人之間存在信義關(guān)系[55]，表現(xiàn)為一方因另一方的專業(yè)知識(knowledge)而產(chǎn)生信任，從而形成信義關(guān)系[57]。

部分論者認為信義關(guān)系產(chǎn)生于身份關(guān)系，然而該觀點中的“身份關(guān)系”實際上可以定位為從義務(wù)人承諾中推斷出的默示意思的基礎(chǔ)。也就是說，此時的信義關(guān)系實際上是建立在義務(wù)人明顯表現(xiàn)和客觀行為的基礎(chǔ)上[58]，而不是純粹的身份關(guān)系上。因此，越來越多的學(xué)者“將信義義務(wù)視為直接基于同意和自愿承諾，而非基于身份或預(yù)期”[59]。本文所討論的是學(xué)界已經(jīng)形成共識的基于“雙方同意”而成立的信義關(guān)系，也可以“視為”基于信用主體和信用信息控制者之間簽訂的信用信息管理合同而成立的信義關(guān)系。

在信用信息控制者和信用主體之間的關(guān)系論證中，可以假設(shè)其為一種信義關(guān)系。這種假設(shè)的主要理由是，當(dāng)前我國信用主體和信用信息控制者之間的關(guān)系呈現(xiàn)出不平等性(inequality)、依賴性(dependence)以及脆弱性(vulnerability)等特征?，符合信義關(guān)系的基本特征[54]，也符合信義義務(wù)成立的邏輯[40]。具體表現(xiàn)為：首先，信用信息控制者具有專業(yè)的信用信息處理能力，而信用主體則基本只擁有是否“同意”的選擇權(quán)，對信用信息處理和應(yīng)用情況缺乏了解。信用信息控制者能夠輕易知悉和監(jiān)控信用主體的行為，而信用主體卻很難核實信用信息收集、處理和應(yīng)用的情況，并對信用信息控制者的信用信息利用和隱私保護進行監(jiān)督，兩者之間形成了一種不平等的關(guān)系。其次，在信用主體提供信用信息給信用信息控制者時，基于信用信息控制權(quán)的喪失，信用主體雖然存在各種擔(dān)憂，但也只能依賴信用信息控制者合法合理地處理信用信息，“希望他們不會濫用我們的機密，或以傷害我們的方式泄露關(guān)于我們的信息”[40]。這使得信用主體在隱私保護上基本依賴于信用信息控制者。最后，信用主體在信用信息的自我控制、隱私侵害的風(fēng)險承受以及信用信息的管理監(jiān)督等方面的能力極其有限，相較于信用信息控制者來說十分脆弱，隨時可能遭受信用信息監(jiān)管者的隱私侵害，當(dāng)然這種脆弱性也是前述依賴性和不平等性的必然結(jié)果[56](82)。然而，根據(jù)脆弱性理論(vulnerability theory)，為了保障信用主體的利益，防止信用信息控制者利用這種脆弱性謀取私利，必須對信用信息控制者規(guī)定信義義務(wù)?。當(dāng)然，信用信息控制者也具有作為受托人的積極性。一方面，信用信息控制者相信自身的專業(yè)化信息處理水平，并認同自身的信托角色[40]；另一方面，基于建立的信義關(guān)系，作為受信人的信用信息控制者享有對作為受益人的信用主體信用信息的自由裁量權(quán)，有權(quán)將信用主體的信用信息視為自己的信息來管理。這不僅有助于其提高信用信息收集、使用和應(yīng)用的效率，減少信用信息管理的成本，而且，由于嚴格信義義務(wù)的存在，信用主體也會提升對信用信息管理者的信任度。綜上可見，在兩者之間成立法律上的信義關(guān)系具有可行性基礎(chǔ)。

(三)設(shè)定信義義務(wù)彌補了“知情同意”規(guī)則的不足

信義義務(wù)是一系列義務(wù)，旨在消除任何犧牲受益人利益的誘惑[59](45)。將信義義務(wù)引入信用信息控制者和信用主體關(guān)系之中，目的在于消除信用信息控制者利用信用主體信息隱私獲利的誘惑，敦促信用信息控制者以“善良的管理人”身份管理好信用主體的信用信息。具體而言，在信用信息的利用和保護方面引入信義義務(wù)，可以破解上文提到的“知情同意”規(guī)則在信用信息隱私保護上的四種缺陷，具有合理性與可行性。

1.有效減輕信用主體管理和保護自身信用信息的負擔(dān)

信義義務(wù)的引入，可以減輕信用主體不斷處理信用信息的負擔(dān)，緩解信用主體因信用信息失去控制以及懷疑隱私會受到侵害而產(chǎn)生的焦慮。因為信用主體對信用信息的托管，是基于信用信息控制者負有嚴格的忠實義務(wù)展開的，故信用主體有理由相信信用信息控制者在信義責(zé)任的約束和威懾下，能夠盡職盡責(zé)地管理好信用信息。只要有充分的制度保障，信用主體完全可以放心地將其信用信息提供給信用信息控制者利用和管理，而無須面對不斷選擇是否“同意”收集和利用的困境[30](100)，從而減輕信用主體管理自身信用信息的負擔(dān)。也可以解決上文所討論的信用主體“知情”困難、“同意”受限等難題，避免信用主體基于瑕疵的意思作出“同意”收集與利用的決定，而失去對自身信用信息的有效控制，造成信息隱私陷入被動保護的局面。

2.有效降低信用信息控制者侵害他人信息隱私的風(fēng)險

基于嚴格的信義義務(wù)，信用信息控制者需要對信用主體承擔(dān)“善良的管理人”義務(wù)，這要求信用信息控制者對信用主體信息隱私的保護不能僅局限于以“知情同意”為核心的約定義務(wù)，還要承擔(dān)忠實義務(wù)和注意義務(wù)等信義關(guān)系中的法定義務(wù)，這樣可以有效避免和降低信用信息控制者僅規(guī)避形式上的約定義務(wù)而實施隱私侵害行為的現(xiàn)象發(fā)生。同時，也可以保護與信用主體信用信息存在關(guān)聯(lián)性的第三人信息隱私。一般而言，信用信息源自信用主體的經(jīng)濟與社會活動，存在于信用主體參加各種經(jīng)濟與社會活動所形成的“行為軌跡”之中。故信用主體的信用信息通常會“摻入”與之存在交往關(guān)系的第三人信息，甚至包含了第三人的信息隱私。因此，信用信息利用過程中的信息隱私保護對象不應(yīng)局限于信用主體，還應(yīng)當(dāng)包括與之存在交往關(guān)系的第三人。然而，“知情同意”規(guī)則卻將此類信息的處理權(quán)利不加區(qū)分地賦予信用主體，實際上無法保障與信用信息存在關(guān)聯(lián)性的第三人的權(quán)利。通過建立信義關(guān)系，讓信用信息控制者統(tǒng)籌處理和保護各方信息隱私，可有效地減少或避免第三人信息隱私被不當(dāng)收集和利用的情況發(fā)生。

3.確保信用信息控制者收集和利用信用信息的完整性

信用信息控制者基于信義關(guān)系，享有“信息受托人”的自由裁量權(quán)，這樣有助于免除信用信息控制者采集和使用信息的合規(guī)困境[30](100)，豐富信用信息控制者的信用信息庫，保障信用信息控制者高效地獲取和利用更為完整的信用信息。這可以避免在“知情同意”規(guī)則下，信用主體基于信息自決權(quán)，熱衷于選擇性地提供良好信用信息，而拒絕提供或缺漏提供不良信用信息，最終影響到信用評級的公正性和準確性。這些完整的信用信息也有助于推動信用信息的規(guī)?；彤a(chǎn)業(yè)化運作，促進信用信息服務(wù)行業(yè)的成長和創(chuàng)新[60]，能夠為社會提供更多滿足市場經(jīng)濟發(fā)展和社會治理的信用商品和服務(wù)。

4.確保信用主體信息隱私被侵害后得到充分救濟

信義義務(wù)(責(zé)任)的引入將信息隱私保護的責(zé)任轉(zhuǎn)向信用信息控制者，這突破了傳統(tǒng)信息流通緩慢背景下“政府?用戶”的兩端隱私保護模式，更加契合海量信用信息高速流通的大數(shù)據(jù)時代隱私需要及時保護的要求[61]。而且，信用信息控制者在違背信義義務(wù)之后，所應(yīng)承擔(dān)的責(zé)任也將不再單純地根據(jù)合同條款進行判斷，還應(yīng)基于司法(執(zhí)行)程序依據(jù)審慎義務(wù)與忠誠義務(wù)的標準進行判斷。如此一來，可以督促信用信息控制者在信用信息的處理過程中，對信用主體提供的所有信息持謹慎態(tài)度，綜合考慮這些行為現(xiàn)在以及未來是否存在侵害信用主體信息隱私的風(fēng)險，并將風(fēng)險控制到最低。這些都有助于控制信用信息控制者犧牲信用主體利益而獲利的機會主義(opportunism)傾向[62]，最大限度地保障信用主體的權(quán)益。

除此之外，引入信義義務(wù)有助于另辟蹊徑地解決信用信息和信息隱私界定不清的困境。如上文所述，即便是在法學(xué)理論上，在信用信息和信息隱私之間劃分涇渭分明的界限，也是困難重重的。讓信用主體基于“知情同意”規(guī)則，全面考慮信用信息披露所帶來的不利影響，或準確地判斷哪些信息屬于自己的隱私而拒絕同意采集和使用，屬于無法實現(xiàn)的期望。因此，需要信用信息控制者引入具有專門知識的工作人員，從專業(yè)的角度去識別和保護具體場景中的信息隱私，并依據(jù)所處理的信用信息特征(包括性質(zhì)、范圍和目的)，處理行為的隱私侵害可能或致?lián)p風(fēng)險等級，以及以法定或信用行業(yè)規(guī)定方式定期審查結(jié)果，進行相應(yīng)升級或適當(dāng)調(diào)整，以提高信息隱私保護水平[63]。

(四)信義關(guān)系下信用信息控制者的義務(wù)責(zé)任框架構(gòu)建

將信用義務(wù)引入信用主體和信用信息控制者的關(guān)系中，并非完全否認以“知情同意”規(guī)則為核心的信息自決隱私保護框架，而是要求信用信息控制者以信息受托人的身份參與信用信息隱私保護，以此提高信用信息控制者的義務(wù)標準，并據(jù)此增加其問責(zé)制[63]。具體而言，信用信息控制者應(yīng)當(dāng)基于“雙方同意”與信用主體成立信義關(guān)系。由于“在當(dāng)事人的交易持續(xù)性和固有自由裁量權(quán)導(dǎo)致難以訂立完全合同的情況下，法律將信義義務(wù)確立為默示法律”[59](51)，并通過“默示法律”的方式，解決“私人秩序”下意思自治的“市場失靈”問題[64]。這使得信義義務(wù)雖然基于合意成立，并以合同為載體，但不同于普通的合同關(guān)系，因為其內(nèi)容不僅包含約定義務(wù)，還包含法定義務(wù)[64]。信用信息控制者需要履行超出約定義務(wù)之外的忠實義務(wù)和注意義務(wù)(或者勤勉義務(wù))，并在其違反這些義務(wù)時承擔(dān)信義 責(zé)任。

首先，在信義義務(wù)的基礎(chǔ)理論層面。關(guān)于忠義義務(wù)，有論者認為“忠義義務(wù)不僅僅是其(信義義務(wù))必要構(gòu)成部分，還是信義實踐的核心元素”，其內(nèi)容包括“避免受信人利益沖突”“積極奉獻”“誠實守信”“公平正義”等[65]。也有論者認為忠義義務(wù)禁止代理人濫用代理權(quán)，并要求受托人為了委托人的“最大”利益或甚至“只”為委托人的利益而行動，由此來協(xié)調(diào)利益沖突。這主要包括避免利益沖突規(guī)則(the conflict of interest rule)和避免義務(wù)沖突規(guī)則(the conflict of duty rule)，前者是指“受托人避免牟取個人利益與履行為受益人利益行事的義務(wù)之間的沖突”[54]，即在交易中，受托人自身利益和受益人利益發(fā)生沖突時，受托人不應(yīng)獲取或有責(zé)任返還該項交易(未授權(quán))的收益。后者則是指“要求受托人避免個人義務(wù)與牟取他人利益之間的沖突”[54]。兩者實際上存在一定的重疊，核心內(nèi)容都包括受托人應(yīng)當(dāng)為委托人利益行事。而相較于信義立法國家所普遍規(guī)定且內(nèi)容相對確定的忠實義務(wù)，注意義務(wù)的內(nèi)涵更為模糊，也還沒有被各國立法所普遍規(guī)定?。就其內(nèi)容而言，注意義務(wù)的標準主要包括“合理”(reasonableness)和“謹慎”(prudence)兩項，且通常依據(jù)行業(yè)規(guī)范和實踐的要求，參照理智的或謹慎的人在相似情況下可能采取的何種行為來確定[66]。由于信用信息控制者之間的經(jīng)驗與能力差別很大，而且不同場景中信用信息控制者所管理的信用信息情形不一樣，因此，注意義務(wù)的內(nèi)涵應(yīng)當(dāng)在個案中作出具體判斷[52](39?40)。但這并不意味著可以隨意作出判斷，而應(yīng)當(dāng)保證信用信息控制者的注意水平處于行業(yè)最低注意水平和最優(yōu)注意水平的“滑尺”之間[52](131)。

其次，在信用信息處理的具體操作層面。一方面，信用信息控制者應(yīng)當(dāng)遵守忠實義務(wù)。在信用信息的利用過程中，信用信息控制者必須以信用主體的利益為中心，為信用主體的利益行事。在未經(jīng)信用主體授權(quán)的情況下，獲取的利益應(yīng)當(dāng)返還給信用主體。其具體內(nèi)容至少包括：①不得濫采濫用信用主體的信息。在信息采集和利用時應(yīng)當(dāng)遵循信用相關(guān)性原則和最小損害原則，避免各種信息未來的不當(dāng)聚合給信用主體帶來信息隱私侵害。②不得通過所掌握的信用信息竊取信用主體的機會。信用信息控制者的職責(zé)在于客觀地收集、分析信用主體的信用信息，為合法的需求者提供準確可靠的信用信息或信用產(chǎn)品。除法律法規(guī)要求其主動公示相關(guān)信用信息，信用信息控制者不宜以信用主體具有不良信用記錄，主動地去干擾信用主體的經(jīng)濟社會活動，甚至阻礙信用主體的發(fā)展機會。③設(shè)計的信用信息管理系統(tǒng)必須避免與信用主體產(chǎn)生利益沖突。如應(yīng)當(dāng)禁止設(shè)計系統(tǒng)漏洞，以誘導(dǎo)信用主體提供與信用不相關(guān)或者可歸屬于核心隱私的信息。另一方面，信用信息控制者應(yīng)當(dāng)遵守注意義務(wù)。這要求信用信息控制者在信用信息處理過程中，遵守合法性、信用關(guān)聯(lián)性、使用限制性、信息最小化與準確性原則，比照“理性人”謹慎態(tài)度合理行事，甚至要求信用信息控制者“以受托人的特殊能力為基礎(chǔ)”[67]來管理信用信息，減少信用信息“不當(dāng)累積”給信用主體帶來的信息隱私侵害。與此同時，也應(yīng)當(dāng)避免對信用信息控制者提出極為苛刻的要求，而削減其收集和利用信用信息的積極性。其具體義務(wù)主要包括：①技能要求。謹慎的信用信息控制者應(yīng)當(dāng)具備必要的技能和專業(yè)知識。這要求相關(guān)從業(yè)人員參加隱私信息保護培訓(xùn)，獲取相應(yīng)的準入和從業(yè)資格。②風(fēng)險性要求。信用信息的利用必然具有隱私侵害的風(fēng)險，信用信息控制者應(yīng)當(dāng)將隱私侵害的風(fēng)險控制在合理范圍。③流動性要求。信用信息的價值在于共享利用，信用信息控制者應(yīng)當(dāng)合法合理地推動信用信息的流通和共享，而非讓獲取的信用信息停滯不動，阻礙信用信息的有效利用。

最后，信用信息控制者在違反忠實義務(wù)和注意義務(wù)時應(yīng)當(dāng)承擔(dān)信義責(zé)任。嚴格的信用義務(wù)需要有完善的責(zé)任體系予以保障，在“英美法系，違反信義義務(wù)的責(zé)任形式有很多種，包括利益歸入、推定信托、禁止令、損失賠償、恢復(fù)原狀、解散公司和刑事處罰等”[68]。我國《信托法》雖然沒有明確表述“忠實義務(wù)”和“注意義務(wù)”，但規(guī)定了信托義務(wù)的主要內(nèi)容包括“為受益人的最大利益處理信托事務(wù)”“不得利用信托財產(chǎn)為自己謀取利益”以及“不得將信托財產(chǎn)轉(zhuǎn)為其固有財產(chǎn)”等?，還規(guī)定了違背義務(wù)的受信人應(yīng)當(dāng)承擔(dān)“所得利益歸入信托財產(chǎn)”、恢復(fù)原狀、給予賠償?shù)呢?zé)任，這些都與國外信義義務(wù)的承擔(dān)方式相通?；诖耍覈梢栽谖磥淼娜珖陨鐣庞昧⒎ㄖ忻鞔_規(guī)定，當(dāng)信用信息控制者違背信義義務(wù)、侵害信用主體利益時，適用現(xiàn)有的信托責(zé)任。除此之外，還可考慮引入懲罰性賠償[63]，以懲罰違反信義義務(wù)的信用信息控制者，對其潛在的侵害信用主體隱私的行為形成足夠的威懾[52](46)。

五、結(jié)語

隨著“大信用”時代的到來，包括個人信用信息在內(nèi)的社會信用信息被普遍利用已成趨勢。在這種背景下，由于大數(shù)據(jù)(信息)的聚合和智能處理，信用主體在一定程度上喪失了對信用信息的控制能力，繼續(xù)單純地寄希望于通過“信息自決”來保護信息隱私，已經(jīng)無法從根本上解決問題。為了更有效地保護信息隱私，有必要根據(jù)“雙方同意”建立信義關(guān)系，來處理信用信息利用和信息隱私保護問題。這樣一來，可以在“國家與社會合作的主要領(lǐng)域”——征信機制和社會誠信監(jiān)督機制中[69]，將信用主體針對國家的正當(dāng)程序權(quán)利主張轉(zhuǎn)嫁到信用信息控制者身上。而且通過借鑒合作治理中的意思自治與國家監(jiān)管[70]，將個人正當(dāng)程序權(quán)利與合作治理方法結(jié)合起來，形成類似公共參與治理的“二元治理”(binary governance)結(jié)構(gòu)[71]。在這一結(jié)構(gòu)中，信用信息控制者在收集、處理和應(yīng)用信用主體信用信息時，應(yīng)當(dāng)充當(dāng)“善良的管理人”，履行包括忠義義務(wù)和注意義務(wù)在內(nèi)的信義義務(wù)，以實現(xiàn)保護信用主體信息隱私之目的[72]。同時，信用信息控制者基于信義關(guān)系，獲得處理信用主體信用信息的自由裁量權(quán)，可以發(fā)揮其信息處理的專業(yè)能力，合法高效地利用信用信息。因此，引入信義義務(wù)，可以有效地解決信用信息利用和信息隱私保護的利益平衡問題。

注釋：

① 參見《社會信用體系建設(shè)規(guī)劃綱要(2014—2020年)》《國務(wù)院辦公廳關(guān)于加快推進社會信用體系建設(shè)構(gòu)建以信用為基礎(chǔ)的新型監(jiān)管機制的指導(dǎo)意見》。

② 參見《社會信用體系建設(shè)規(guī)劃綱要(2014—2020年)》第一部分“社會信用體系建設(shè)總體思路”第一點“發(fā)展現(xiàn)狀”。

③ “可識別性即指與特定個體具有一定的關(guān)聯(lián)性與專屬性，通過這些信息符號能夠把信息主體直接識別出來，或者與其他信息互相結(jié)合間接識別出能夠評價其經(jīng)濟能力和履約能力?！痹斠姀堄拢骸秱€人信用信息法益及刑法保護：以互聯(lián)網(wǎng)征信為視角》，載《東方法學(xué)》2019年第1 期。

④ 參見《民法典》第1033 條規(guī)定“除法律另有規(guī)定或者權(quán)利人明確同意外，任何組織或者個人不得實施下列行為：……(五)處理他人的私密信息；……”

⑤ 《征信業(yè)管理條例》第16 條第1 款規(guī)定“征信機構(gòu)對個人不良信息的保存期限，自不良行為或者事件終止之日起為5年；超過5年的，應(yīng)當(dāng)予以刪除”?！墩憬」残庞眯畔⒐芾項l例》第16 條規(guī)定“不良信息的保存和披露期限為五年，……不良信息保存和披露期限屆滿后，應(yīng)當(dāng)在信用檔案中及時刪除該信息?！?/p>

⑥ 一般認為，第一次工業(yè)革命的標志是蒸汽機的廣泛使用；第二次工業(yè)革命的標志是電力的發(fā)明和廣泛應(yīng)用；第三次工業(yè)革命的標志是信息技術(shù)的使用。

⑦ See Part 2.“Basic principles of national application ” of Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

⑧ See Art 7 of Data Protection Directive.

⑨ See Part iii “APEC information privacy principles” of APEC Privacy Framework.

⑩ See Art.6 “Lawfulness of processing” of GDPR.

? 參見《社會信用體系建設(shè)規(guī)劃綱要(2014—2020年)》第5 部分“完善以獎懲制度為重點的社會信用體系運行機制”第2 點“建立健全信用法律法規(guī)和標準體系”；《國務(wù)院辦公廳關(guān)于進一步完善失信約束制度構(gòu)建誠信建設(shè)長效機制的指導(dǎo)意見》第2 部分“科學(xué)界定公共信用信息納入范圍和程序”和第3 部分“規(guī)范公共信用信息共享公開范圍和程序”。其中，前者強調(diào)的是對“信用信息”實施目錄制管理，后者強調(diào)的是對“公共信用信息”實施目錄制管理。

? 我國《征信業(yè)管理條例》第13 條第1 款“采集個人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外”?！秶鴦?wù)院辦公廳關(guān)于進一步完善失信約束制度構(gòu)建誠信建設(shè)長效機制的指導(dǎo)意見》第14 項“加大個人隱私保護力度”規(guī)定，“各地區(qū)、各有關(guān)部門應(yīng)當(dāng)遵循合法、正當(dāng)、必要、最小化原則，嚴格按照公共信用信息目錄收集使用個人信用信息，明示收集使用信息的目的、方式和范圍并經(jīng)本人同意，法律、法規(guī)另有規(guī)定的從其規(guī)定?！?/p>

? “脆弱性”是指“對傷害的易受性”，See Lac Minerals Ltd v International Corona Resources Ltd,[1989]2 SCR574,61 DLR (4th) 14,La Forest J [Lac Minerals cited to SCR].at 663.索賓卡(Sopinka)法官認為依賴性和脆弱性為信義關(guān)系存在不可或缺的要素，See Paul B.Miller:“A Theory of Fiduciary Liability”.McGill Law Journal,Vol.56,No.2.2011.

? “脆弱性理論(vulnerability theory)，即受益人相對于受托人而言，地位不平等，具有脆弱性，必須依賴于受托人的能力與決策，譬如監(jiān)護關(guān)系中的被監(jiān)護人與監(jiān)護人，為了保障受益人的利益，防止委托人利用這種脆弱性謀取利益，必須對其課以信義義務(wù)?！?詳見徐化耿:《信義義務(wù)研究》，北京：清華大學(xué)出版社2021年版，第80 頁。“脆弱性理論(vulnerability theory)認為，當(dāng)某法律關(guān)系中存在脆弱性時，則應(yīng)該適用信義義務(wù)?！痹斠娛沸梨拢骸段覈蓹?quán)眾籌投資者適當(dāng)性制度的構(gòu)建》，載《現(xiàn)代經(jīng)濟探討》2017年第2 期。

? 英國法上信義義務(wù)僅包括忠實義務(wù)一項；美國法上則包括忠實義務(wù)和注意義務(wù)(勤勉、謹慎義務(wù))；我國《信托法》將忠實義務(wù)和注意義務(wù)同時放置于信義義務(wù)之下，更接近美國。參見徐化耿:《信義義務(wù)研究》，北京：清華大學(xué)出版社2021年版，第38 頁。

? 《中華人民共和國信托法》第25 條規(guī)定，“ 受托人應(yīng)當(dāng)遵守信托文件的規(guī)定，為受益人的最大利益處理信托事務(wù)。受托人管理信托財產(chǎn)，必須恪盡職守，履行誠實、信用、謹慎、有效管理的義務(wù)”。第26 條規(guī)定，“ 受托人除依照本法規(guī)定取得報酬外，不得利用信托財產(chǎn)為自己謀取利益。受托人違反前款規(guī)定，利用信托財產(chǎn)為自己謀取利益的，所得利益歸入信托財產(chǎn)”。第27 條規(guī)定，“受托人不得將信托財產(chǎn)轉(zhuǎn)為其固有財產(chǎn)。受托人將信托財產(chǎn)轉(zhuǎn)為其固有財產(chǎn)的，必須恢復(fù)該信托財產(chǎn)的原狀；造成信托財產(chǎn)損失的，應(yīng)當(dāng)承擔(dān)賠償責(zé)任”。