楊帆

摘要：黨的二十大報告提出建立市場經(jīng)濟中的信用基礎(chǔ)制度，加強個人信息保護的目標。平臺企業(yè)參與的信用治理是中國式現(xiàn)代化指引下的治理創(chuàng)新，始終在國家頂層設(shè)計中占據(jù)重要地位。隨著平臺企業(yè)成為信用治理的關(guān)鍵樞紐，個人信用保護面臨信息處理邊界不清和信用制度利益失衡的困境。必須仔細探尋個人信用保護困境背后的理論根源，防止信用共享共治異化為信用管制?，F(xiàn)行信用法律制度在權(quán)利歸屬、程序設(shè)計、責任機制方面均存在空白，導致個人信用僅構(gòu)成一種反射利益。傳統(tǒng)權(quán)力制約范式難以回應(yīng)數(shù)字時代的個人信用保護需求，新型信息權(quán)利是解決困境的根本，數(shù)據(jù)流通規(guī)則有助于解決權(quán)利成本過高問題。應(yīng)當圍繞個人在信息處理活動中的權(quán)利體系，完善數(shù)據(jù)流通規(guī)則，重建個人信用保護的法律框架。首先，必須明確界定信息的敏感程度及其信用評判價值功能，并對信用領(lǐng)域的信息處理行為適用層次化同意規(guī)則：針對有利于信息主體的正面敏感個人信息采取單獨同意與資格準入規(guī)則，適用責任規(guī)則；針對不利于信息主體的負面敏感個人信息一般采取禁易規(guī)則，基于公共利益目的除外。其次，信用領(lǐng)域數(shù)據(jù)流通的商業(yè)實踐要求轉(zhuǎn)向行為風險規(guī)制模式，實施以合同為中心的支配規(guī)則，適當運用特別規(guī)則強化個人信用保護力度。其中，平臺與經(jīng)濟組織之間的數(shù)據(jù)流通應(yīng)當在同意規(guī)則以外，增設(shè)標準合同文本、平臺責任強化、證明責任分配規(guī)則三類傾斜性保護措施。平臺與行政部門之間的數(shù)據(jù)流通應(yīng)當確立以主體責任和救濟機制為關(guān)鍵內(nèi)容的流通秩序。

關(guān)鍵詞：個人信用；個人信息；信用治理；數(shù)據(jù)流通

中圖分類號：D923;D922.16

文獻標志碼：A

文章編號：1008-5831（2023）04-0230-11

信用本質(zhì)上是一種信息系統(tǒng)，特殊之處在于抽象的信任關(guān)系基礎(chǔ)^［1］。一般認為，交易的時空條件溢出人格信任的射程時，信用必須依賴中央型權(quán)威的背書才能獲得持續(xù)供給。由于無法克服要約與承諾兌現(xiàn)的同步性，人們往往以程序和制裁等規(guī)范方式解決時間遲滯帶來的信息不對稱。沿此種路徑，信用上升為超越市場調(diào)節(jié)與政府調(diào)節(jié)的“第三種調(diào)節(jié)”^［2］，并通過制度化提煉進入法律范疇。數(shù)字社會中的個人信用以人格信任為內(nèi)核，通過大數(shù)據(jù)應(yīng)用演變?yōu)橐环N調(diào)節(jié)信任關(guān)系的現(xiàn)代治理手段。由于行政組織常將簡化社會復雜性的過程集中化，形成統(tǒng)治與信任的兩難^［3］，通過契約形成的經(jīng)濟組織便成為行政組織觀測、監(jiān)督、控制信任關(guān)系的重要樞紐。

平臺企業(yè)生產(chǎn)的個人信用分被視為個體聲譽在數(shù)字社會的重要延伸。從行政視角出發(fā)，平臺企業(yè)能夠深入社會經(jīng)濟生活的細枝末節(jié)，彌補傳統(tǒng)自上而下式信用治理的缺憾。這種理念形成于《社會信用體系建設(shè)規(guī)劃綱要（2014—2020年）》，并始終貫徹在隨后的國家政策中。2022年，二十大報告再次強調(diào)信用制度在市場經(jīng)濟中的基礎(chǔ)性作用，要求在公共治理中必須加強個人信息保護?！丁笆奈濉睌?shù)字經(jīng)濟發(fā)展規(guī)劃》明確提出“信用共享共治”目標，重申平臺共治信用的正當性。然而，隨著平臺企業(yè)成為信用共享共治的核心環(huán)節(jié)，平臺共治實踐顯著地制約了個人權(quán)益的維護和實現(xiàn)，并深刻地影響著信用法律制度安排。在信用共享共治的歷史背景下，分析個人信用保護的困境及其深層原因，重塑個人信用保護的法律范式勢在必行。

一、個人信用保護的新型困境

平臺共治視角中，個人信用保護面臨信息處理邊界模糊與制度利益失衡兩方面問題。前者源于信息技術(shù)、商業(yè)實踐與法律規(guī)范的錯位。就后者而言，我國的信息公開基礎(chǔ)制度環(huán)境，以個人信息保護標準為主要構(gòu)成的個人信用法律制度，以及回避與簡化信用內(nèi)涵復雜性的民法典三方面因素結(jié)合，加劇了個人信用的保護難度。

（一）信息處理邊界不清

當前，多數(shù)國際組織采取“描述+列舉”信息類型的方式界定信用領(lǐng)域的信息處理邊界。理論和實踐常以“信用信息”概述之。全球普惠金融合作伙伴組織將“信用信息”界定為使用數(shù)字工具與信息系統(tǒng)而產(chǎn)生的大量個人信息。國際征信委員會認為“信用信息”本質(zhì)上是用于描述“收集與使用征信信息的一種方法”^［4］。信用法律制度較發(fā)達的美國則采取錨定信用報告機構(gòu)的界定方式?！豆叫庞脠蟾娣ā芬?guī)定，“信用信息”是“由信用報告機構(gòu)提供的有關(guān)消費者信用狀況的可靠度、名聲、能力、性格、名譽、個人特點或生活方式的任何形式的個人信息”。即，法律認可信用報告機構(gòu)采集與制作信用報告的任何信息均構(gòu)成“信用信息”。

商業(yè)實踐中，平臺企業(yè)處理的信息主要包括兩種類型：一是個體自然生成的基本身份信息；二是來源于傳統(tǒng)金融機構(gòu)以外的非借貸替代信息。替代信息被廣泛地應(yīng)用于個人信用商業(yè)實踐。例如，英國Visual DNA公司利用心理檔案、視覺測試結(jié)果評估個體還款意愿。美國First Access公司使用從個人手機中獲取的社交媒體信息、地理位置信息評價其違約風險。全球范圍內(nèi)，替代信息處理行為普遍缺乏強制性規(guī)范，大量原則性標準與指導性方針取而代之。這導致替代信息處理的正當性基礎(chǔ)爭議極大。美國聯(lián)邦儲備委員會與聯(lián)邦存款保險公司指出替代信息處理行為是具有積極意義的金融創(chuàng)新活動，而美國消費者金融保護局則認為其中存在信息濫用或信息不準確引發(fā)的金融歧視等問題^［5］。使用替代信息評判個人信用是否符合國際公認的信息處理原則亦是存疑。比如，雖然德國《聯(lián)邦數(shù)據(jù)保護法》未禁止收集與使用替代信息，但是通用信貸安保集團試圖采集社交媒體信息評估個人信用的行為仍因存在信息使用者不確定、風險溢出效應(yīng)明顯、侵害個人信息自決權(quán)等風險，引發(fā)公眾的激烈回應(yīng)，最終未能實施。

平臺企業(yè)處理信息的工具是信用評分算法。實踐顯示，評分算法抓取、過濾、篩選網(wǎng)絡(luò)環(huán)境中的各類數(shù)據(jù)，也是信息處理邊界模糊的重要誘因。比如，替代信息未被納入美國《公平信用報告法》監(jiān)管范疇，信用報告機構(gòu)無需就替代信息處理行為向信息主體履行披露與告知義務(wù)，僅采取內(nèi)部合規(guī)與行業(yè)自律管理方式即可。這既為大量新成立的小型信用報告機構(gòu)運用算法處理替代信息、參與個人信用市場競爭提供了制度條件，也加劇了個人信息保護的現(xiàn)實困境。因此，《加州消費者隱私保護法案》頒布后，信息收集者需要就替代信息處理行為向信息主體履行告知與披露義務(wù)的規(guī)定極大地提高了這類機構(gòu)的合規(guī)成本，從而受到強烈抵制。

根據(jù)我國的《信用基本術(shù)語》及《信用信息分類與編碼規(guī)范》，“信用信息”是能夠體現(xiàn)個體在社會活動與經(jīng)濟活動中履行承諾的意愿、能力與價值的各類信息?？梢姡庞妙I(lǐng)域的信息處理邊界呈現(xiàn)強烈的不確定性特征。平臺企業(yè)為消減信息不對稱的影響，存在盡可能多地收集數(shù)據(jù)的主觀能動性。就平臺企業(yè)而言，網(wǎng)絡(luò)空間中的“信用信息”既包括在各類消費場景中生成的原始數(shù)據(jù)，也包括原始數(shù)據(jù)融合再生產(chǎn)的數(shù)據(jù)。大量曾經(jīng)囿于技術(shù)能力未能被收集的數(shù)據(jù)，或者曾經(jīng)未被視為具有信用屬性的數(shù)據(jù)，已經(jīng)被越來越多地用于判斷個人信用。這些數(shù)據(jù)隨著歷次融合不斷地提升細粒度，從而愈加準確和即時地勾畫出個人信用的整體面貌。從這個意義上講，網(wǎng)絡(luò)空間中的各類數(shù)據(jù)都存在轉(zhuǎn)換為平臺視角中“信用信息”的可能。

因此，“信用信息”表達既不規(guī)范，更易導致信用時代內(nèi)涵、信用治理理論、信用商業(yè)實踐多個層次不同維度的認知沖突?！靶庞眯畔ⅰ睂嶋H上是信用領(lǐng)域的信息處理者在微觀層面的社會經(jīng)濟活動中具體處理的數(shù)據(jù)。大數(shù)據(jù)技術(shù)條件下，數(shù)據(jù)的功能與應(yīng)用場景緊密關(guān)聯(lián)。例如，消費者在網(wǎng)絡(luò)平臺中購買基因檢測服務(wù)，通過商品評價功能分享檢測結(jié)果。評價信息并不必然屬于《信用信息分類與編碼規(guī)范》中所列舉的類型，但是作為電子商務(wù)衍生信息為平臺企業(yè)收集后，與其他數(shù)據(jù)相融合亦能勾勒個人的特定投資風險偏好，從而能夠轉(zhuǎn)變?yōu)椤靶庞眯畔ⅰ?。綜上，當前的立法方式難以準確地描畫信用領(lǐng)域的信息處理邊界，“信用信息”在立法中的廣泛運用還容易產(chǎn)生相似概念交叉與混淆的風險。這些因素均加劇了個人信用的保護難度。

（二）信用制度利益失衡

當前，信息公開制度的強制性、個人信息保護標準的非法源性、民法典對個人信用內(nèi)涵的簡化，共同造成個人信用保護制度的利益失衡。

首先，信息公開制度與信息保護制度之間存在張力。信息公開制度是從傳統(tǒng)信用治理邁向信用共享共治的關(guān)鍵環(huán)節(jié)。一方面，信用共享共治推動了各類數(shù)據(jù)跨領(lǐng)域流通和融合，為平臺企業(yè)在經(jīng)濟社會各領(lǐng)域廣泛地介入信用治理活動提供了制度條件?！度珖嗣翊泶髸?wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》要求在移動通信、交通運輸、網(wǎng)絡(luò)社交媒體等領(lǐng)域開展實名制管理，關(guān)聯(lián)與綁定用戶行為和信息設(shè)備。在發(fā)生三鹿奶粉等一系列信用缺失重大事件后，多部委聯(lián)合發(fā)文，要求整合市場監(jiān)管部門與電子商務(wù)平臺掌握的信息，構(gòu)建大數(shù)據(jù)信用監(jiān)管模型。平臺借助網(wǎng)絡(luò)實名制度與評分算法，在極短的時間內(nèi)建立個人身份認證、行為追蹤與個人信用分相結(jié)合的規(guī)范化治理結(jié)構(gòu)。另一方面，失信聯(lián)合懲戒容易異化為扭曲的激勵機制。大型平臺與最高人民法院形成失信聯(lián)合懲戒合作關(guān)系。失信被執(zhí)行信息是決定個人信用分值高低的關(guān)鍵要素。以失信被執(zhí)行信息為代表的負面信息不僅是對個體聲譽的極端貶損，也容易導致進一步的偏見與污名化，還可能因高度限制信息主體的行動權(quán)限而難以保障其基本權(quán)利。

其次，個人信息保護標準的監(jiān)督機制匱乏。與個人信息保護一般制度相比，信用領(lǐng)域中各類個人信息保護標準實際上構(gòu)成了制度規(guī)范的主要內(nèi)容。然而，這些標準大多屬于推薦性標準，創(chuàng)設(shè)程序簡易，監(jiān)督力度也較弱。行政機關(guān)往往樂于以標準代替更適宜作法規(guī)和規(guī)章的內(nèi)容。執(zhí)法與司法常常以個案解釋方式援引標準，填充法律空白。因此，上述標準在信用領(lǐng)域的事實認定與法律判斷上具有決定性意義與強制執(zhí)行力。在徐某與芝麻信用管理有限公司隱私權(quán)糾紛案中，原告訴稱芝麻信用管理有限公司從某地高院獲取其相關(guān)執(zhí)行案件信息的行為侵犯其隱私權(quán)參見：（2018）浙0192民初302號《民事判決書》。。杭州互聯(lián)網(wǎng)法院對平臺使用涉案信息的合理性判斷實難脫離《信息安全技術(shù)—個人信息安全規(guī)范》。個人信息保護標準的制定不屬于具體行政行為，不具備可訴性。個體難以就個人信息保護標準顯失合理、規(guī)則不完善等問題對個人信用帶來的負面影響獲得救濟。

最后，《中華人民共和國民法典》（簡稱《民法典》）規(guī)定“信用信息”屬于名譽權(quán)客體，除此之外的個人信息適用個人信息保護一般規(guī)定。這既未能準確地界定信用領(lǐng)域的信息處理邊界，也簡化了個人信用的多維度內(nèi)涵，可能會將隨技術(shù)發(fā)展不斷趨于豐滿，在復雜環(huán)境中持續(xù)發(fā)展的信用樣態(tài)凝固化與封閉化。在《民法典》的立法說明中，立法者指出法典編纂工作思路是全面總結(jié)民事立法與司法實踐經(jīng)驗，對現(xiàn)行有效的民事單行法進行系統(tǒng)性地編訂與纂修^［6］。這就決定了《民法典》不能脫離原有路徑，開辟全新的個人信用保護路徑。

平臺企業(yè)創(chuàng)設(shè)的個人信用治理工具并非純粹的公共物品，其中蘊含的信用治理與交易風險控制雙重價值功能難以分割。平臺的信息處理行為盡管符合合法、正當、必要原則，卻難以直接適用同意規(guī)則之外的信息處理合法性基礎(chǔ)。例如，根據(jù)《民法典》第999條規(guī)定，難以判斷個人信用分究竟具有多大程度的公共利益屬性?！吨腥A人民共和國電子商務(wù)法》（簡稱《電子商務(wù)法》）雖然要求平臺建立健全信用評分制度，卻在第39條后半段將法定義務(wù)限于消費者評價平臺內(nèi)的商品或服務(wù)，從而難以適用《民法典》關(guān)于“履行法定義務(wù)”的信息處理合法性要件?；跀?shù)字經(jīng)濟發(fā)展的宏觀目標，個人信用保護還很難抵擋平臺經(jīng)濟發(fā)展的迫切需求，以“其他合法利益”條款作為信息處理合法性基礎(chǔ)將導致個人信用保護缺乏有力的制度保障。因此，基于公共利益目的條款免除平臺侵害個人信用的責任，或通過不適當?shù)男畔⑻幚砗戏ㄐ曰A(chǔ)將平臺責任限于民事領(lǐng)域，均會在客觀上造成公共利益與個人利益的正面對抗，影響信用共享共治的實效。

二、困境的理論根源及其應(yīng)對

平臺企業(yè)通過評分算法，將主觀偏好與海量數(shù)據(jù)整合在一套標準判斷分值體系中。平臺企業(yè)的信用治理工具能夠客觀上彌補傳統(tǒng)信用治理的缺憾，但若缺乏法律約束，在數(shù)字環(huán)境中更易引發(fā)權(quán)利結(jié)構(gòu)的失衡。由此，平臺企業(yè)參與下的信用共享共治對個人信用保護范式的時代轉(zhuǎn)型提出全新挑戰(zhàn)。

（一）“公權(quán)力制約私權(quán)力”的失效

權(quán)力制約與權(quán)利保障是法治的核心。然而，以權(quán)力制約權(quán)力的傳統(tǒng)范式難以有效地保護數(shù)字社會中的個人信用。傳統(tǒng)的分權(quán)制衡進路強調(diào)行政部門在權(quán)力分化的基礎(chǔ)上劃分各自的職能權(quán)限。數(shù)字社會中，權(quán)力制約理論突出表現(xiàn)為以公權(quán)力制約私權(quán)力。由于非正式共同監(jiān)管能夠有效率地反映技術(shù)實踐，降低實施與管理成本，監(jiān)管權(quán)力得以進入私人部門，由此形成權(quán)力多元化與分散化情形。私權(quán)力主體通過防范、監(jiān)督、對話、檢視、反思的方式表達社會訴求、提供信息來源、輔助公權(quán)力實施。尤其就信用共享共治而言，更是要求多重利益攸關(guān)方“以對話、競爭、妥協(xié)、合作和集體行動為共治機制，以共同利益為最終產(chǎn)出”^［7］。其中，平臺企業(yè)創(chuàng)設(shè)的信用治理接近美國學者提出的組織治理形態(tài)^［8］——以決策非正式化與執(zhí)行規(guī)則化為特征的“響應(yīng)性監(jiān)管”^［9］，卻難以適用事先通知、程序透明等程序性規(guī)范?！峨娮由虅?wù)法》一定程度上體現(xiàn)出以公權(quán)力制約私權(quán)力的理念。該法起草組認為電子商務(wù)平臺具有準公共產(chǎn)品的某些特征^［10］，并據(jù)此較為系統(tǒng)地設(shè)定了平臺的合規(guī)管理要求。然而，平臺企業(yè)的信用治理行為缺乏法律明確授權(quán)，也不屬于行政授權(quán)、行政委托、行政任務(wù)民營化等傳統(tǒng)情形，只能置放于私法有關(guān)平等主體之間意思自治的理論框架中調(diào)整。

同時，平臺經(jīng)濟形態(tài)導致新的個人信用侵害方式出現(xiàn)。個人自接入平臺即被要求提供性別、手機號碼、行為偏好等信息。其行為受到觀察、記錄、分析、使用或轉(zhuǎn)售而沉淀為平臺的原始資本、生產(chǎn)資料與市值評估基礎(chǔ)^［11］。個人被動地卷入圍繞平臺運行的龐大資本體系之中，既是生產(chǎn)者，也是生產(chǎn)資料，更是最后的產(chǎn)品。比如，對于大多數(shù)互聯(lián)網(wǎng)借貸機構(gòu)而言，利用個人信用分辨別貸款人的償還能力已經(jīng)成為互聯(lián)網(wǎng)借貸風險控制的普遍模式^［12］。然而，拒絕使用花唄支付工具，或不常使用QQ社交工具的個人可能被相應(yīng)的平臺判定為信用不良者。司法實踐中，平臺在其所管理網(wǎng)絡(luò)空間內(nèi)部行使私權(quán)力的行為常被歸入商事契約范疇，一般運用私法加以規(guī)制。以“沈陽訴杭州網(wǎng)易雷火科技公司案”為例參見：（2017）浙01民終6401號《民事判決書》。，法院雖然認定平臺為維護在線游戲市場秩序進行了合理的單方管理行為，卻在契約自由與意思自治的私法理論框架下解決糾紛。

整體來看，平臺企業(yè)的信用治理能夠促進數(shù)字社會原子化個體之間的信任關(guān)系，但是，現(xiàn)行信用法律制度在權(quán)利歸屬、程序設(shè)計、責任機制方面均存在空白。隨著公私權(quán)力在信用領(lǐng)域的復合同化，個人信用難以上升為優(yōu)先受保護的法益，而是僅僅成為一種附帶性法益。這容易導致信用脫離個人控制。數(shù)字信用共治缺乏約束而容易異變?yōu)榧婢咄庠谛耘c強迫性的信用管制。

（二）新型信息權(quán)利的生成需求

公權(quán)力制約私權(quán)力進路失靈，意味著需要采取新的權(quán)力制約機制。法律經(jīng)濟學理論認為經(jīng)濟效率是權(quán)利設(shè)定的核心理由之一。設(shè)定權(quán)利可以誘導最適合進行成本效益分析的群體承擔代價，將執(zhí)行成本最小化，達到帕累托最優(yōu)結(jié)果。具體到信用領(lǐng)域，個人信用具有多維屬性，難以融入既有民事權(quán)利，也難以抽象化為信用權(quán)。因此，以何種權(quán)利回應(yīng)數(shù)字時代的個人信用保護需求是問題核心。本文認為，新型信息權(quán)利是解決個人信用保護困境的根本，明確數(shù)據(jù)流通規(guī)則可在具體層面上解決權(quán)利成本過高的問題。

首先，既有人格權(quán)難以實現(xiàn)數(shù)字時代個人信用的全面保護。一方面，個人信用的社會價值與本體價值、共同利益與個體利益即時轉(zhuǎn)化，難以嵌入傳統(tǒng)上以個人主義為基礎(chǔ)，在私人領(lǐng)域與公共領(lǐng)域絕對二分概念下對工業(yè)化、大都市、工作與社團去人格化給予回應(yīng)的隱私權(quán)構(gòu)造之中^［13］。從《民法典》第1032條內(nèi)容看，隱私權(quán)保護起點是“不愿為他人知曉”的主觀心理。然而，主觀心理缺乏統(tǒng)一的判斷標準。以主觀心理開啟個人信用保護機制的可操作性較弱，亦未能回答信息處理行為合法性基礎(chǔ)應(yīng)當如何匡正的問題。另一方面，信用與名譽均屬于社會評價，具有緊密的關(guān)系。名譽權(quán)保護民事主體的形象、信譽、商譽、聲望、資歷等社會性評價。但在名譽權(quán)項下，民事主體處于私法上的平等地位，這與平臺信用治理活動中展現(xiàn)的權(quán)利結(jié)構(gòu)不相契合。名譽權(quán)的救濟方式難以有針對性地阻絕個人信用侵害行為。

其次，信用難以固化為權(quán)利概念。信用源于倫理道德，而倫理概念具有開放性，不同歷史時期會發(fā)生踴躍演化，難以在法教義學視野下對其內(nèi)涵與外延作出準確框定。信用的范疇在歷史演變中不斷獲得新的詮釋，信用的道德性亦隨生產(chǎn)關(guān)系變化而持續(xù)涌現(xiàn)與更新^［14］。所有的信用關(guān)系都是不可簡化的社會關(guān)系，無法完全從社會背景與個人品格之中剝離。隨著商品經(jīng)濟的發(fā)展，信用從分散的起源發(fā)展為匯集的共識，在社會領(lǐng)域中逐步具備衡量履約能力和開展風險管理的功能。因此，信用難以在不同時代和國家地區(qū)獲得穩(wěn)定的共識，只能在特定的歷史階段和地域范圍產(chǎn)生聲譽上的約束效果。這意味著信用范疇因時而異，因地制宜。我國臺灣地區(qū)“金融控股公司子公司間共同營銷管理辦法”甚至將退票記錄與賬戶注銷記錄也視為個人信用資料。成文法中不宜形成以概念為核心要素的信用權(quán)體系。我國學者關(guān)于信用權(quán)立法的長期爭論，也反映出將信用固化為權(quán)利概念的實際困難。

特別是在數(shù)字環(huán)境中，個人難以知曉信息的處理程度、傳播范圍、存儲方式與安全等級，無力獲知平臺企業(yè)使用的全部數(shù)據(jù)，還難以對不當?shù)男庞迷u價請求救濟。法律確認新型信息權(quán)利，扎根于生產(chǎn)方式轉(zhuǎn)型背景下實實在在的信用治理需求。權(quán)利意味著包括國家在內(nèi)的任何主體負有不得非法侵害他人的義務(wù)。與保護法益的權(quán)利推定方法相比，權(quán)利的法律保護則更為嚴格，更能夠成為一種強大的強制力量。正式的法律制度保障方能推動與信息公開制度相稱的個人信用保護省察、防御與救濟機制形成和完善。因此，以新型信息權(quán)利保護個人信用的思想根基在于關(guān)心數(shù)字社會新型權(quán)利結(jié)構(gòu)中最弱勢群體的權(quán)益，使處于最不利地位的個體獲得最大可能的利益，促使個人信用保護手段從消極防御轉(zhuǎn)換為積極對抗。否則，數(shù)字環(huán)境中的個人信用保護容易弱化為平臺企業(yè)的形式性合規(guī)表象。

從這一意義上看，盡管我國已經(jīng)確立了“個人信息受保護”的基本立場和相關(guān)制度，然而保護形式仍然是反射利益意義的，“屬于強化治理體系結(jié)構(gòu)中的機制內(nèi)涵”^［15］。個人信用保護從反射利益向主觀權(quán)利的范式轉(zhuǎn)換，既有別于以往私法范疇中的“權(quán)利本位”理念基礎(chǔ)，也不能直接轉(zhuǎn)換為公法視野中的“被征信者權(quán)利”。同時，個人信用保護在個人信息保護現(xiàn)行法的“三階構(gòu)造”^［16］中究竟如何具體實現(xiàn)，亦有待觀察。從而，該問題在理論和實踐層面仍存在一定的探討空間。

最后，以新型信息權(quán)利保護個人信用的深層困境在于權(quán)利成本過高。信息權(quán)利的產(chǎn)生、實施與保護均要求相應(yīng)的公共支出，故需借助有效的手段平滑成本。數(shù)據(jù)流通的責任規(guī)則與侵權(quán)救濟機制配合，一定程度上有助于權(quán)利成本的消解。其一，可流通的數(shù)據(jù)既是個體自我發(fā)展、經(jīng)濟自我組織的初始投資與先決條件，也是通過社會互利實現(xiàn)社會穩(wěn)定的治理機制的基礎(chǔ)要素。其二，法律責任與侵權(quán)救濟機制可以施加私人成本，防止狹隘的個體自利吞沒理性。通過向不同的社會成員分配差異化的權(quán)能，數(shù)據(jù)利益將能有效地轉(zhuǎn)化為行政部門引導稀缺資源處理組織沖突的策略工具。流通與合作在創(chuàng)設(shè)信息權(quán)利的過程中發(fā)生，權(quán)利擴展與深化進一步增強信息處理者的法律責任。數(shù)據(jù)流通派生外部性，責任規(guī)則與侵權(quán)救濟機制將外部性內(nèi)化，為高度異質(zhì)化社會中的共存與合作創(chuàng)造穩(wěn)定的條件，連接個體理性與組織理性。其三，有條件地確認數(shù)據(jù)流通并未背離個人信息“匿名化”后方可商業(yè)利用的國際共識。根據(jù)歐盟第29條工作小組對“匿名化”的經(jīng)典解釋，有效的匿名化措施能夠防止任何人識別或推斷出特定個人的身份^［17］。以個人信用分為代表的數(shù)據(jù)產(chǎn)品并不具備直接指向個體的能力，必須結(jié)合應(yīng)用場景、信息處理者與技術(shù)水平等多種因素，才能判斷是否具有識別個人身份的合理可能。

概言之，綜合考慮應(yīng)用場景、使用目的、信息類型和數(shù)據(jù)規(guī)模，設(shè)置適當?shù)臄?shù)據(jù)流通規(guī)則，有助于實現(xiàn)信用共享共治中蘊含的個人信用權(quán)益、平臺經(jīng)濟利益、社會公共利益并重的治理目標，形成博弈均衡的信用法律構(gòu)造。

三、個人信用保護的范式重塑

本文認為，數(shù)字時代的個人信用保護范式應(yīng)當以個人在信息處理活動中的權(quán)利體系為核心，在數(shù)據(jù)流通規(guī)則的配合下，構(gòu)建法律保護路徑。

（一）個人信息保護權(quán)利框架中的信用保護

個人在信息處理活動中的權(quán)利體系應(yīng)當包括自然人對能夠單獨或與其他信息結(jié)合識別其特定身份或反映其活動情況的各種信息所享有的控制、使用、知悉、獲利、更正、刪除與安全維持的權(quán)利。這些權(quán)利處于私法框架時，應(yīng)當采取權(quán)利承受者視角，直接對應(yīng)信息權(quán)利結(jié)構(gòu)中的弱勢者權(quán)益保護。而當這些權(quán)利處于公法框架時，則須采取權(quán)力施為者視角，強化信息處理者作為權(quán)力施為者的責任承擔^［18］。當前，《民法典》和《個人信息保護法》對一般領(lǐng)域個人信息保護的規(guī)定非常詳實。特別是《民法典》第1034條實際上已經(jīng)成為公法與私法保護個人信息法律條款的橋梁。然而對于數(shù)字時代個人信用保護問題，上述立法還需要在權(quán)利內(nèi)容與權(quán)利實施方面進行一定的創(chuàng)新闡釋。

首先，就信用領(lǐng)域的信息處理而言，必須明確界定信息的敏感程度，以及何種信息類型在具體情境中具備信用評判的價值功能。借鑒各國相關(guān)信用立法和我國《個人信息保護法》第28條，信用領(lǐng)域的敏感個人信息應(yīng)當包括：物理空間及網(wǎng)絡(luò)空間中的生物識別信息、宗教信仰、政治主張、財產(chǎn)信息、基因信息、生物特征、健康生理信息、精確地理位置、犯罪信息與受強制執(zhí)行信息、處于特定年齡階段的兒童個人信息。同時還需設(shè)置兜底規(guī)定，即根據(jù)以下四項要件判定不同情境中個人信息的敏感程度：公眾對信息敏感程度的調(diào)查統(tǒng)計結(jié)果，個人信息泄露可能導致的重大傷害，個人信息泄露導致重大傷害的幾率，特定環(huán)境下的公認準則。敏感個人信息之外為一般個人信息。

其次，對信用領(lǐng)域的信息處理行為適用層次化同意規(guī)則。第一，針對有利于信息主體的正面敏感個人信息，即對其利用可能造成具體情境中個人信息權(quán)益增加的敏感個人信息，采取單獨同意與準入規(guī)則，適用責任規(guī)則。其中，準入規(guī)則要求處理者獲得特別經(jīng)營許可，應(yīng)當同時具備以下資質(zhì)：屬于數(shù)據(jù)要素市場的基礎(chǔ)設(shè)施，具備最高等級的信息安全能力，具有完善的個人信息安全管理體系，實施最高頻次的個人信息安全風險評估，定期接受行政部門的個人信息安全審計。第二，針對不利于信息主體的負面敏感個人信息，即對其利用可能造成具體情境中個人信息權(quán)益減損的敏感個人信息，一般采取禁易規(guī)則，通常不得以商業(yè)化利用目的處理。基于公共利益目的處理該類信息的，信息主體有權(quán)提起訴訟，公共利益與個體利益的權(quán)衡應(yīng)當由有權(quán)部門依據(jù)正當程序進行個案解釋。該類信息通常具有高度私密性，符合隱私權(quán)“不愿為他人知曉”的關(guān)鍵構(gòu)成要件，應(yīng)當納入隱私權(quán)的保護范疇。信息主體主動公開該類信息時，則應(yīng)當適用《民法典》第1036條，免除信息處理者的民事責任。

據(jù)此，平臺信用治理的數(shù)字原料包括敏感個人信息、一般個人信息與非個人數(shù)據(jù)。屬于數(shù)據(jù)要素市場基礎(chǔ)設(shè)施的平臺企業(yè)應(yīng)當在信息收集環(huán)節(jié)適用不同的同意規(guī)則，其掌握的負面敏感個人信息，原則上不得基于商業(yè)目的處理。信息主體有權(quán)就平臺信用治理中不當處理正面敏感個人信息與一般個人信息，違法處理負面敏感個人信息的行為分別提起個人信息侵權(quán)訴訟和隱私侵權(quán)訴訟；有權(quán)就平臺信用治理所使用的信息類型提出查閱和復制請求；有權(quán)對其認為不適當?shù)男庞迷u價結(jié)果提出異議、更正和刪除請求。此外，平臺企業(yè)通過失信聯(lián)合懲戒機制開展的信息處理行為還應(yīng)同時受到公法責任與私法責任雙重約束。

（二）數(shù)字信用語境下的數(shù)據(jù)流通規(guī)則

利用上述信息權(quán)利框架，可以初步判定數(shù)字環(huán)境中的個人信用采取私法保護方式或是公法保護方式。在此基礎(chǔ)上，數(shù)據(jù)流通規(guī)則進一步勾畫出個人信用保護的具體方法。

數(shù)據(jù)流通包含多重主體之間的多種互動關(guān)系。歐盟常以“數(shù)據(jù)訪問”或“數(shù)據(jù)傳輸”來表達數(shù)據(jù)流通中的共享與再利用含義^［19］。數(shù)據(jù)流通的核心形式是交換或交易，需要相應(yīng)的制度安排。而制度是權(quán)力行使方式組織化與系統(tǒng)化的前提，能夠促使權(quán)力有效維護與推進文明^［20］。因此，需要建立數(shù)據(jù)流通秩序，通過運行良好的數(shù)據(jù)市場，實現(xiàn)宏大的信用治理預(yù)期。一般而言，數(shù)據(jù)流通的基礎(chǔ)規(guī)則包括隱私政策與技術(shù)機制，以確保平臺信用治理的合法性與規(guī)范性，防范技術(shù)與市場的雙重失靈。其中，隱私政策詳細闡釋何種數(shù)據(jù)流通方式符合正當原則與必要原則，技術(shù)設(shè)計則強調(diào)將個人信息保護作為平臺技術(shù)和組織基因的核心部分。本文著重闡釋平臺企業(yè)與第三方之間的數(shù)據(jù)流通特別規(guī)則。平臺企業(yè)與第三方的數(shù)據(jù)流通意味著含有個人信息內(nèi)容的數(shù)據(jù)更加容易脫離主體控制，進入難以預(yù)知的風險領(lǐng)域，因此需要適用特別規(guī)則來強化數(shù)據(jù)流通中的個人信用保護力度。平臺企業(yè)與第三方的數(shù)據(jù)流通可劃分為平臺與經(jīng)濟組織、平臺與行政部門兩種具體場景。兩種場景皆以平臺為聯(lián)結(jié)點。

1.平臺企業(yè)與經(jīng)濟組織：以許可合同為中心的流通規(guī)則

當前研究已經(jīng)提出財產(chǎn)權(quán)與許可合同兩種數(shù)據(jù)流通理論范式。在權(quán)利邏輯下，交易雙方的權(quán)利與義務(wù)邊界、責任與風險分擔顯然更為清晰。但是，數(shù)據(jù)經(jīng)濟價值歸屬難以達成理論與實務(wù)的共識，背后的問題則是因無法事先預(yù)估數(shù)據(jù)價值而難以通過協(xié)商實現(xiàn)利益定分的目標。

許可合同建立在承認平臺企業(yè)控制數(shù)據(jù)的事實基礎(chǔ)上，賦予許可人將“排他權(quán)”自愿轉(zhuǎn)化為“許可請求權(quán)”的權(quán)利。許可合同項下的合同責任屬于“卡—梅”框架中傳統(tǒng)責任規(guī)則的變種^［21］。其雖能通過合同條款阻卻違法處理行為，對數(shù)據(jù)流通實現(xiàn)一定的可控性，但是依然難以解決許多理論與實踐難題。例如，合同路徑無形中強化了將數(shù)據(jù)作為人的附屬物的深層意識，容易將數(shù)據(jù)流通問題最終導向物權(quán)或知識產(chǎn)權(quán)的理論框架內(nèi)加以解決。數(shù)據(jù)的屬性與物的排他屬性相距甚遠，如未能跳脫此種意識形態(tài)，則難以從根本上解決數(shù)據(jù)的經(jīng)濟價值歸屬、風險分配等一系列問題。數(shù)據(jù)流通的商業(yè)實踐要求轉(zhuǎn)向基于行為主義的風險規(guī)制模式，實施以合同為中心的支配規(guī)則。以“陽光公司訴霸才公司”為代表的一系列司法判例也傳達出“法院通過確認在先信息處理者的成本投入來保護數(shù)據(jù)產(chǎn)業(yè)發(fā)展”^［22］的有力訊號。因此，盡管許可合同存在許多隱憂，仍不失為數(shù)據(jù)財產(chǎn)權(quán)屬長期爭議情況下的權(quán)宜之策。由于合同路徑對個人信用保護具有相對性，必須在同意規(guī)則之外輔以標準合同文本、平臺責任強化、證明責任分配規(guī)則三方面傾斜性保護措施。

首先，利用推薦性國家標準或行業(yè)標準構(gòu)建有利于信息主體的許可合同標準文本。一方面，標準合同文本有利于降低優(yōu)勢平臺的市場支配力量，確保不同發(fā)展階段的平臺能夠具備相對公平的資源獲取條件與技術(shù)競爭環(huán)境；另一方面，標準合同文本也有利于促使數(shù)據(jù)流通與保護按照相對統(tǒng)一的標準展開。

其次，強化平臺企業(yè)對其他經(jīng)濟組織的監(jiān)督責任。依據(jù)《互聯(lián)網(wǎng)個人信息安全保護指南》等互聯(lián)網(wǎng)領(lǐng)域相關(guān)規(guī)范，平臺企業(yè)應(yīng)當在數(shù)據(jù)流通前對接收方進行數(shù)據(jù)安全能力的合法性與必要性評估。這一方面與平臺為數(shù)據(jù)要素市場提供支付、結(jié)算、物流、信用評分等基礎(chǔ)服務(wù)的功能與角色相匹配。另一方面，平臺信用治理以敏感個人信息為基礎(chǔ)，而敏感個人信息在網(wǎng)絡(luò)環(huán)境中泄露將對信息主體產(chǎn)生難以承受的巨大風險，掌握敏感個人信息的平臺應(yīng)當在數(shù)據(jù)流通風險控制中承擔更高程度的注意義務(wù)。

最后，應(yīng)當明確規(guī)定：（1）其他經(jīng)濟組織導致信息主體非基于個人意愿受到鎖定而遭受經(jīng)濟損失或人格利益減損的，推定由數(shù)據(jù)流通各環(huán)節(jié)的信息處理者共同承擔侵權(quán)責任，由法院依照信息處理者的獲益價格或信息主體的實際損失裁定經(jīng)濟損害的具體賠償金額。信息主體亦可主張精神損害賠償。（2）除非信息處理者能夠證明損害后果與其不存在任何可能的關(guān)聯(lián)關(guān)系時方可免除責任。（3）平臺企業(yè)與下游信息處理者之間適用連帶責任規(guī)則，屬于實施危害事實難以確定的共同危險行為，共同承擔數(shù)據(jù)流通對個人信用造成的損害后果。信息主體需要證明數(shù)個信息處理者均收集了涉案數(shù)據(jù)的事實^［23］。（4）平臺信用治理中附帶形成的數(shù)據(jù)產(chǎn)品被第三人用于犯罪、侵權(quán)，或被第三人竊取用于犯罪、侵權(quán)的，信息主體除有權(quán)要求直接侵權(quán)人承擔刑事責任、侵權(quán)責任以外，還有權(quán)要求平臺承擔未盡安全保障義務(wù)的補充責任。

2.平臺企業(yè)與行政部門：以責任與救濟機制為關(guān)鍵的流通規(guī)則

失信聯(lián)合懲戒機制是由平臺企業(yè)代替行政部門針對低信用個體自由或福祉采取的限制措施。平臺企業(yè)與行政部門之間應(yīng)當確立保護個人信息的基本原則，向特定的行政機構(gòu)授予歸集、管理個人信息的職能，通過統(tǒng)一的政府信息開放平臺（如已在運行的“信用中國”），實現(xiàn)數(shù)據(jù)有序流通。這要求特定行政機構(gòu)具備相應(yīng)的技術(shù)能力，能夠有效地維護數(shù)據(jù)管理系統(tǒng)，對因數(shù)據(jù)流通導致的信息侵害風險與數(shù)據(jù)安全風險開展定期評估、制度完善、追蹤與反饋，以建立“權(quán)威的技術(shù)自主性”，實現(xiàn)精益政府治理目標。此外，還應(yīng)從行政部門收集數(shù)據(jù)、公私部門數(shù)據(jù)流通等環(huán)節(jié)強化信息處理者責任。

首先是數(shù)據(jù)收集環(huán)節(jié)。收集數(shù)據(jù)的行政部門應(yīng)當確保數(shù)據(jù)準確和完整，及時刪除已經(jīng)履行償還義務(wù)的失信被執(zhí)行人信息，否則應(yīng)當適用過錯推定原則，承擔未盡安全保障義務(wù)的補充責任。此外，信息主體須證明行政部門存在收集數(shù)據(jù)的行為。

其次是數(shù)據(jù)從政府進入平臺企業(yè)的流通環(huán)節(jié)。政府數(shù)據(jù)開放平臺應(yīng)當對平臺企業(yè)調(diào)取負面敏感個人信息的行為在調(diào)取目的、使用范圍、處理期限、數(shù)據(jù)安全措施方面進行書面審查。對未經(jīng)書面審查，僅根據(jù)平臺企業(yè)提交的負面敏感個人信息申請即實施自動化提取的，政府數(shù)據(jù)開放平臺的管理者需要為該行為造成的個人信用侵害后果承擔無過錯責任。

再次，創(chuàng)設(shè)通知義務(wù)是補充技術(shù)性手段、強化個人信用保護的重要激勵措施^［24］。平臺企業(yè)通過失信聯(lián)合懲戒機制調(diào)取負面敏感個人信息時，雖然不以信息主體同意為前提，但應(yīng)當履行告知義務(wù)，由信息主體通過電子簽名方式予以確認。利用負面敏感個人信息生成的個人信用分等數(shù)據(jù)產(chǎn)品不得加以商業(yè)化利用，除非該負面敏感個人信息已在行為或事件終止后的一定期限內(nèi)刪除。否則，在可以確定加害人時，信息主體除有權(quán)要求直接加害人承擔個人信息侵權(quán)責任以外，還有權(quán)要求平臺承擔按份責任。在無法確定加害人的情形下，應(yīng)當對平臺企業(yè)與下游全部信息處理者適用前述源于共同危險行為的連帶責任規(guī)則。

最后，個人信用救濟方式包括：（1）明確進入平臺網(wǎng)絡(luò)空間購買商品或接受服務(wù)的自然人屬于《中華人民共和國消費者權(quán)益保護法》所保護的消費者。在平臺信用治理中出現(xiàn)欺詐、騙取信息主體授權(quán)情形的，適用懲罰性賠償責任。（2）在有權(quán)部門官方網(wǎng)頁的顯著位置，采用簡潔易懂的語言，通過問答或指引方式開設(shè)信用教育專欄，提供有關(guān)個人信用的基礎(chǔ)性信息。例如，何謂個人信用分，個人信用分與個人信息的關(guān)系，個人信用分的生成、使用與提升方式，個人信用分的準確性，個人信用分對個人權(quán)利與福祉的影響。列明提出信用異議的方式及需要提交的證明文件，提供電話號碼、郵箱地址、網(wǎng)頁鏈接、微信、博客等有效的聯(lián)絡(luò)方式，承諾信用異議受理的期限。（3）在平臺內(nèi)部構(gòu)建個人信用修復機制，例如要求平臺對異議個人信用分進行顯著標記，在異議解除前不得開展商業(yè)使用，并及時針對其所使用的信息準確性與完整性在確定期限內(nèi)開展自我檢查與及時回復。在信息主體無法確定信息是否存在不準確或不完整的情形時，信息主體有權(quán)向平臺申請將異議個人信用分在一定期限內(nèi)標記為凍結(jié)，禁止平臺向第三方提供，法律明確規(guī)定應(yīng)當提供的除外。（4）參考公共信用信息修復白名單機制，由相關(guān)行業(yè)協(xié)會明確個人信用服務(wù)機構(gòu)的資質(zhì)，定期考核其公平交易與個人信用保護的執(zhí)業(yè)情況，實施白名單動態(tài)管理。在個人信用服務(wù)市場發(fā)展相對成熟時，再通過法律規(guī)范將其納入信用法治體系之中。

參考文獻：

［1］胡凌.公共數(shù)據(jù)開放的法律秩序：功能與結(jié)構(gòu)的理論視角［J］.行政法學研究，2023（4）：37-50.

［2］厲以寧.經(jīng)濟學的倫理問題［M］.上海：三聯(lián)書店，1999：5.

［3］尼克拉斯·盧曼.信任：一個社會復雜性的簡化機制［M］.瞿鐵鵬，李強，譯.上海：上海人民出版社，2005：74.

［4］Global partnership for financialinclusion.Use of alternative data to enhance credit reporting to enable access to digital financial services by individuals and SMEs operating in the informal economy［EB/OL］.（2018-06-28）［2020-02-29］.https：//www.gpfi.org/sites/gpfi/files/documents/Use_of_Alternative_Data_to_Enhance_Credit_Reporting_to_Enable_Access_to_Digital_Financial_Services_ICCR.pdf.

［5］Consumer financial protectionbureau.Using alternative data to evaluate creditworthiness［EB/OL］.（2017-02-16）［2020-02-29］.https：//www.consumerfinance.gov/about-us/blog/using-alternative-data-evaluate-creditworthiness/.

［6］王晨.關(guān)于《中華人民共和國民法典（草案）》的說明［EB/OL］.（2020-05-22）［2020-11-02］.http：//www.npc.gov.cn/npc/c30834/202005/50c0b507ad32464aba87c2ea65bea00d.shtml.

［7］王名，蔡志鴻，王春婷.社會共治：多元主體共同治理的實踐探索與制度創(chuàng)新［J］.中國行政管理，2014（12）：16-19.

［8］RICHMAN B.Firms，Courts，and reputation mechanisms：towards a positive theory of private ordering［J］.Columbia Law Review，2004，104（8）：2328-2368.

［9］AYRES I，BRAITHWAITE J.Responsive regulation：transcending the deregulation debate［M］.New York：Oxford University Press，1995：1-10.

［10］劉權(quán).網(wǎng)絡(luò)平臺的公共性及其實現(xiàn)：以電商平臺的法律規(guī)制為視角［J］.法學研究，2020（2）：42-56.

［11］陳本皓.大數(shù)據(jù)與監(jiān)視型資本主義［J］.開放時代，2020（1）：176-189，9.

［12］盛學軍.互聯(lián)網(wǎng)信貸監(jiān)管新規(guī)的源起與邏輯［J］.政法論叢，2021（1）：92-104.

［13］王利明.和而不同：隱私權(quán)與個人信息的規(guī)則界分和適用［J］.法學評論，2021（2）：15-24.

［14］LAUER J.Creditworthy：a history of consumer surveillance and financial identity in America［M］.New York：Columbia University Press，2017：273-274.

［15］龍衛(wèi)球.論個人信息主體基礎(chǔ)法益的設(shè)定與實現(xiàn)：基于“個人信息處理規(guī)則”反射利益的視角［J］.比較法研究，2023（2）：152-171.

［16］姚佳.個人信息主體的權(quán)利體系：基于數(shù)字時代個體權(quán)利的多維觀察［J］.華東政法大學學報，2022（2）：87-99.

［17］Article 29 workingparty.Opinion No.05/2014 on anonymization techniques［EB/OL］.（2014-04-10）［2020-05-25］.http：//ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

［18］余成峰.信息隱私權(quán)的憲法時刻規(guī)范基礎(chǔ)與體系重構(gòu)［J］.中外法學，2021（1）：32-56.

［19］EVERIS.Study on data sharing between companies in Europe［EB/OL］.（2018-04-24）［2020-11-13］.https：//op.europa.eu/en/publication-detail/-/publication/8b8776ff-4834-11e8-be1d-01aa75ed71a1/language-en.

［20］羅斯科·龐德.通過法律的社會控制［M］.沈宗靈，譯.北京：商務(wù)印書館，2017：29-30.

［21］丁曉強.個人數(shù)據(jù)保護中同意規(guī)則的“揚”與“抑”：卡-梅框架視域下的規(guī)則配置研究［J］.法學評論，2020（4）：130-143.

［22］陳吉棟.個人信息的侵權(quán)救濟［J］.交大法學，2019（4）：40-53.

［23］阮神欲.民法典視角下個人信息的侵權(quán)法保護：以事實不確定性及其解決為中心［J］.法學家，2020（4）：29-39，192.

［24］葉名怡.個人信息的侵權(quán)法保護［J］.法學研究，2018（4）：83-102.

A paradigm shift in personal credit protection

from a platform co-governance perspective

YANG Fan

（School of Philosophy and Law and Politics， Shanghai Normal University， Shanghai 200234， P. R. China）

Abstract： The report of the 20th Party Congress put forward the goal of establishing a credit-based system in the market economy and strengthening the protection of personal information. Credit governance involving platform enterprises is a governance innovation guided by Chinese-style modernization and has always occupied an important position in the top-level design of the country. As platform enterprises become the key hub of credit governance， personal credit protection faces the dilemma of unclear boundaries of information processing and imbalance of credit system interests. The theoretical roots behind the dilemma of personal credit protection must be carefully explored to prevent the alienation of credit co-governance into credit control. There are gaps in the current credit legal system in terms of rights attribution， procedural design and liability mechanisms， resulting in personal credit constituting only a reflexive interest. The traditional paradigm of power restraint can hardly respond to the need for personal credit protection in the digital age， and new types of information rights are fundamental to solving the dilemma， with data circulation rules helping to address the high cost of rights. The legal framework for personal credit protection should be rebuilt by improving the rules of data circulation around the system of rights of individuals in information processing activities. Firstly， it is important to clearly define the degree of sensitivity of information and its credit judgment value function， and apply hierarchical consent rules to information processing in the credit field： separate consent and eligibility access rules for positive sensitive personal information that benefits the information subject， and application of liability rules; and no-trade rules for negative sensitive personal information that is unfavourable to the information subject in general， except for purposes based on public interest. Secondly， the commercial practice of data circulation in the credit field requires a shift to a behavioural risk regulation model， the implementation of contract-centric rules of domination and the appropriate use of special rules to strengthen the credit protection of individuals. Among them， the data sharing between platforms and economic organisations should have three types of inclined protection measures， namely standard contract text， enhanced platform liability and rules on the allocation of the burden of proof， in addition to the consent rules. The data circulation between platforms and administrative departments should establish a circulation order with subject liability and remedial mechanisms as key elements.

Key words：personal credit;personal information;credit governance;data sharing

（責任編輯 胡志平）