近日，人民银行征信有关部门工作同志撰文，直指我国征信泛化的现状，提出了我国社会信用建设的起点问题，即何种信用信息基于何种合法性基础可进入社会信用体系，并应用于信用联合奖惩。归纳起来，这种观点认为，社会信用建设的核心应当是“经济信用+用户同意”，即信用信息的类别应当仅限于“经济信用”，收集并应用信息的合法性基础只有“用户同意”。[1]此问题还延伸出如何建构科学机制防止征信泛化的重要问题。上述重要问题，关系到《社会信用法》的立法工作，涉及《民法典》第1030条和1036条的展开。对此，国内信用产业高度关注，国际有关方面也极为重视。

另外，美国国会在《香港人权法案》中提及：在可能的情况下，美国相关部门会检视有没有相关美国原产产品（包括软件、技术和服务），违反美国法律经香港转口到中国内地，以及用作大规模监控及“社会信用”系统。又如2019年12月9日，美国25位议员专门致函美国贸易谈判代表，指出低于一定信用分值的企业将面临中国政府的一系列制裁，包括采购和商业许可、不优惠的利率、高频率检查，甚至被排除在中国市场之外，并可延伸到对公司雇员的惩罚，如出行限制、税收歧视等。

上述观点充分体现了各界对信用联合惩戒制度可能过度侵犯隐私的担忧，值得高度警惕，并予以科学地分析和澄清。笔者不惴浅陋，尝试就有关概念和做法试做简要分析。

信用信息可否包括诚信度和合规度信息

（一）信用信息的性质

按照我国《民法典》第1034条第2款[2]和《网络安全法》第76条规定，[3]个人信息的本质特征是“识别性”，能够单独或者与其他信息结合识别自然人个人身份。信用信息具有识别性，当信用信息指向特定个人的信用状况时，信用信息是一种个人信息；我国《征信业管理条例》和各省市的信用立法均以“识别性”作为信用信息的本质特征。《个人信息安全规范》附录A明确将“征信信息”列为个人信息的一种。

正因为如此，在我国尚未针对信用信息进行立法的背景下，信用信息的收集利用可以适用有关个人信息的法律法规。我国《民法典》1030条按照这种定性明确了有关法律适用问题：“民事主体与第三方信用服务机构等信用信息处理者之间的关系，适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。”再如《德国信息保护法》（简称BDSG）第30条和第31条将使用信用报告作为一种个人信息使用的特殊情形，而没有采取专门立法的方式。美国专门规制金融信用收集应用的《公平信用报告法案》也处于信息隐私法的体系之下。

（二）诚信度和合规度信息可纳入信用信息

个人信息只有应用于信用场景中，才具有信用属性。这种情形并不限于金融信用的应用场景，还存在公共和商业的信用场景需求。信用联合惩戒实质是一个风险治理的问题，以风险社会下防控信用风险为主要目标。究竟哪些信息可以纳入信用联合惩戒机制，需要以特定阶段防控特定类型的信用风险为主要考量依据。金融风险固然是一种重要的风险类型，以公共卫生、国土安全为代表的公共治理风险也极其重要。因此，国家安全等特定领域的合规度可能成为信用治理的重要指标，严重背离社会诚信尺度的行为也可能成为信用治理的评价对象。信用信息不仅包括市场信用，还包括公共信用。

目前，国际社会并没有一律将反映“合规度”和“诚信度”信息排除于信用信息的范围。比如，美国有关安全部门在国土安全领域建立和使用（搜查）信用主体历史逮捕记录的数据库，以判断特定主体实施特定类型犯罪的风险，进而采取相应的“禁止飞行”等措施；再如美国在移民审核过程中存在“良好道德”的判断，这里的“良好道德”的判断依据包括诸多类型的道德犯罪（如卖淫、性侵犯未成年人、贩毒、欺诈罪），或者因不法行为被定罪或监禁（Absenceorpresenceofothercriminalhistory），以及其他违规行为（Otherlaw-abidingbehavior,forexample,meetingfinancialobligations,payingtaxes）等。在美国，尽管《信息自由法》和《隐私法案》都规定了含有个人信息的公共信息不应被公开，但是大量涉及公民违法犯罪的信息处于法院或警察局中的公开可查询状态（只是规定了信息公开或保存的期限），这些信息成为市场运营者进行管理或“联合奖惩”的有效资源，由市场机构针对这些信息建立数据库，是信息挖掘的合法出路。

德国的情形同样如此。第三方信用服务机构收集用户的信用信息之后，根据公司内部的算法对这些信息进行加工和分析，最终形成用户的市场信用分值。德国最大的信用机构不仅通过Schufa条款获取合作伙伴之间的关于自然人履约情况的市场信用信息，还通过信息公开制度（officialpublications）或者公共登记簿（publicregistries）收集破产、执行、犯罪、欠税等公共信息。德国《信息自由法》(FreedomofInformationAct)和《联邦信息保护法（》FederalDataProtectionAct）奠定了收集和使用公共信息的法律框架。信用报告的使用主体可以在相应的应用场景中根据用户的信用情况做出相应的“奖惩”行为。比如，用户准备在德国申请银行贷款时，银行会就该用户的信用情况做Schufa查询，以调查该用户的支付能力。

“用户同意”是否为获取信用信息的唯一基础

以“主体同意”作为界定信用信息的逻辑起点，忽略了风险社会下防控信用风险的公共利益，没有对个人信息隐私利益与防控信用风险的公共利益进行权衡。信用主体不可能会主动将其负面信用信息转移给信用机构，如果信用信息的收集和应用行为都以“主体同意”为条件，防控信用风险的目的就不可能实现。我国《民法典》第1036条规定了处理个人信息的三种合法事由，其中第三种情形“为维护公共利益或者该自然人合法权益，合理实施的其他行为”就涉及公共利益。社会信用立法过程中究竟如何具体展开，值得进一步研究。需要指出的是，无论在以行业规制为特征的美国模式，还是以综合立法为特征的德国模式下，个人信息自决权都只是在没有更高位阶利益的前提下，才归属于个人。

（一）美国的基本情况

在美国，不同类型个人信息的收集和使用行为适用不同的法律。比如公共信息的收集和使用，以《自由信息法案》和《隐私法案》为中心，规范政府机构和公共社团对公共信息的公开和使用，解决市场主体利用公共信息的问题。金融信用信息的收集和使用，以《公平信用报告法》（FCRA）为核心，重点规范信用评估机构的行为。在商业信息领域，则进行行业立法，考虑各行业中的不同利益规范信息的收集和利用，比如在联邦层面规制市场营销行为的法律有《电信法案（》要求电信运营商保护消费者专有信息的私密性）《、电话消费者保护法案（》允许个体停止不请自来的电话营销，个体拥有诉权）、《控制主动提供的色情和产品推销邮件骚扰法》（简称“反垃圾邮件法”）；在州法层面，举例而言，加利福尼亚州制定了《消费者隐私信息法案》，为消费者提供了一系列保护其个人信息的权利（知情权、访问权、删除权、退出权、商品或服务的提供及公平定价权），其中包括个体消费者的诉权。

以金融信用为例，鉴于各种类型消费借贷的中枢地位，第三方信用服务机构在商业交易中发挥着越来越重要的作用，它们向贷款人提供关于借款人过往信用的信用报告。这些信用报告包含金融信息和公共信息，如破产申请、判决和抵押、抵押赎回、支票账户信息。这些信用报告可用于各种信用场景，如供贷款人参考是否提供贷款以及贷款利率，一些地主还根据信用报告决定是否出租其公寓。第三方信用服务机构向商家、应用机构向第三方信用服务机构收集以上信用信息的，除涉及的个人生活方式等信息外，无需经过信息主体同意。[4]总体来说，美国对金融信用信息的收集采取了用户“退出+知情”模式。

（二）德国的基本情况

在德国，市场主体和政府机构都高度重视公民的信用报告，往往根据信用报告在与相对人的市场交易过程中做出不同的市场行为。信用机构一方面可通过信息公开制度（officialpublications）或者公共登记库（publicregistries）收集破产、执行、犯罪、欠税等公共信用信息，[5]另一方面可通过合同条款模式获取合作伙伴之间的关于自然人履约情况的市场信用信息。

与美国一样，德国的信用服务机构处于“平台性”地位，信用信息的产生、处理、使用和监管都与信用服务机构相关，对信用服务机构收集、流转和使用信息及监管成为法律规制的重要内容。原则上，德国的信用服务机构对信用信息、应用机构对信用报告的获取和处理应当经过信用信息主体的同意。银行只有对负面信用信息的处理才具有高于个人信息隐私的“合法利益”，通常认为，具有防范消费者欺诈以及金融风险的公共利益，可不经过信息主体同意。[6]

下列制定法的条文可能在同意机制以外成为获取信用信息的法律依据。BDSG第3条规定：公共机构应在如下情况下被允许处理个人信息，如果这种处理行为对其开展负责的任务或行使官方权力而言是必要的。为了执行GDPR的规定，BDSG在第22-31条中引入了更宽泛的信息处理基础。第22条规定，公共机构和私人主体在如下情形下可进行信息处理：第一，如果是为了行使来源于社会安全和社会保护的权利及满足相关义务所必要；第二，如果是为了疫苗、评估员工的工作能力、医疗诊断、卫生或社会保健及相关系统的管理等所必要；第三，如果是为了公共卫生领域的公共利益所必要。

如何避免“征信泛化”

科学界定信用信息的内涵确实是完善信用联合奖惩制度的重要起点，但避免泛化推行信用联合奖惩机制的着力点还有很多，比如理顺信用信息的收集和使用机制、约束信用联合奖惩机关的行政行为等，而盲目缩窄信用信息的“入口”则未必有效。将道德和纪律评价信息纳入信用机构的收集范围，不会必然导致联合惩戒制度的滥用。

第一，信用信息的收集受到特定风险防控目的、个人信息隐私保护规范的制约，并非所有的违规、道德失范的信息都会被信用机构收集。在现行法律框架下，信用机构只是依照《政府信息公开条例》的规定收集公开的政府信息，有关主体可依照条例第14条和第15条主张个人隐私、商业秘密且一旦公开就会对其造成损害为由要求不予公开。即便那些公开的政府信息已经被信用机构收集在信用报告中，这种信息也只能在被用于防控特定场景的风险时才成为信用信息，在此之前，其不具有信用属性。

第二，被收集的信用信息受到应用场景的制约，即信用信息使用规则的制约。信用信息应当只应用在相关的应用场景中，而不能无条件地在任意场景中应用。例如，有关党员乱纪的信息只有在限制党员有关权益的场景或党组织考核时才能得到应用，而不应影响到党员在公共领域和市场领域的权利；违反新冠病毒防控期间“禁足令”或“入境申报要求”的信息，应该只能在相关场景中限制相关主体的权益行使，而不应该影响到相关主体从事市场交易或获取公共资源的资格。然而，我国目前有些文件和做法具有较强的误导性。比如《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》第十点指出：“依法依规建立联合惩戒措施清单，动态更新并向社会公开，形成行政性、市场性和行业性等惩戒措施多管齐下，社会力量广泛参与的失信联合惩戒大格局。”该条文似乎意在表明，存在失信行为的个人及企业将受到众多领域（包括公共及市场领域）的限制或惩戒，且不区分失信信息的来源及类型。尽管这可能并不是该指导意见的原意，但却已使得各地政府的落地执行层面以及公众、专家及行业的应用领域产生了许多混淆及误解。

基于风险治理所需的公共信用领域与市场信用间的边界模糊问题，市场信用参与主体在向社会公众及企业提供信用评估及管理服务过程中所沉淀的市场信用信息，被不规范地用于公共治理领域，反之亦然。另外，各地政府在缺乏顶层设计的情况下，频繁出台各类信用联合奖惩制度及规范，穿透到市场信用领域进行联合奖惩，错误地形成了“一处失信、处处受限”的观念。因此，当前确实需要矫正“征信泛化”的现状，扭转“一处失信、处处受限”的错误观念，切忌把收集的信用信息笼统地应用到所有场景中；但如果把“信用体系”的概念停留在传统征信，即金融信用的范围，把信用的收集和使用局限于“同意”机制的框架下，则未免“矫枉过正”，将使征信建设停滞不前。这些问题是《民法典》第1030条和第1036条留下的重要空间，需要通过社会信用立法精细平衡各方利益以设计规则。

注释:

1.参见万存知：《重新认识“信用信息+”模式》，《中国金融》2020年第7期。汪路：《违法不能等同于失信：厘清社会信用体系建设的分歧》，http://opinion.caixin.com/2020-03-30/101535820.html，2020年3月30日。

2.个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。3个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

4.Daniel J. Solove & Paul M. Schwartz, Information Privacy Law, Wolters Kluwer (Six Edition 2018).

5.https://www.schufa.de/en/schufa-information/schufa-information_en.jsp，2020年3月28日访问。

6.Nicola Jentzsch, Financial Privacy：An International Comparison of Credit Reporting System, Springer (Second Edition), 2006, p.147.

免责声明：凡本网注明"来源：XXX（非中国知识产权杂志出品）"的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。新闻纠错：13621279650 13621252760，邮箱：chinaip@chinaipmagazine.com