|
第一千零三十条 民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。 【条文主旨】 本条是关于信用信息法律保护的规定。 【条文理解】 近年来,在全社会普遍呼吁信用缺失的背景下,加快我国社会信用体系的建设已经成为全社会的共识。信用体系的建设必然会涉及个人信用信息的收集和控制,而个人信用信息的收集和控制直接关系到个人权利保护的问题。为了适应时代发展的需要,《民法典》对信用信息的保护作出特殊规定,这是回应信息时代背景下社会大众对民法的需求。 一、信用信息 在理论上,信用评价和信用信息不同。信用评价是对他人经济上偿付能力和偿付意愿的评价。信用信息是指与他人信用相关的客观信息。信用权所要保护的对象是民事主体的信用评价,而民事主体的信用信息是个人信息权所要保护的对象之一。《民法典》第1024条、第1029条和第1030条就信用问题作出了规定,并对信用评价和信用信息进行区分,将信用评价纳入名誉权保护之中,将信用信息纳入个人信息保护的范畴。 目前我国征信体系采用二元征信模式:个人征信系统和企业征信系统。依据该体系,信用信息可以分为个人信用信息和企业信用信息。 1.个人信用信息。个人信用信息是个人在信用交易活动中形成的履行或不履行义务的记录及相关数据。对于个人信用信息的内容和范围在不同的国家有不同的规定。它的内容可能涉及两个方面:一方面,个人信用状况的客观记录,包括身份识别信息、商业信用信息、公共记录信息(如欠税记录、民事判决记录、强制执行记录、行政处罚记录、电信欠费信息等);另一方面,征信机构的主观评价信息,通过信用数据的征集、加工分析后得出的个人信用报告和信用评级信息。根据我国《个人信用信息基础数据库管理暂行办法》第4条的规定,个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。 2.企业信用信息是全面记录企业各类经济活动,反映企业信用状况的文书,是企业征信系统的基础信息。企业信用信息是信息主体的“经济身份证”。中国人民银行公布的《企业信用信息基础数据库管理暂行办法(征求意见稿)》中在附则中对企业的信用信息的内容进行了规定:“本办法所称借款人、担保人信用信息包括借款人、担保人的基本信息、信贷业务信息以及反映其信用状况的其他信息。前款所称借款人、担保人基本信息是指借款人、担保人的概况信息及财务信息;信贷业务信息是指金融机构提供的借款人、担保人在贷款、担保、保理、票据贴现、信用证、保函、银行承兑汇票等信用活动中形成的交易记录;反映信用状况的其他信息是指除基本信息、信贷业务信息之外的反映借款人、担保人信用状况的其他相关信息。”企业信用信息主要包括四部分内容:基本信息、信贷信息、公共信息和声明信息。基本信息展示企业的身份信息、主要出资人信息和高管人员信息等。信贷信息展示企业在金融机构的当前负债和已还清债务信息,是信用报告的核心部分。公共信息展示企业在社会管理方面的信息,如欠税信息、行政处罚信息、法院判决和执行信息等。声明信息展示企业项下的报数机构说明、征信中心标注和信息主体声明等。 关于信用信息的保护对象,本条规定沿用名誉权享有主体的一贯表述——“民事主体”,应当包括自然人、法人和非法人组织。但对于法人和非法人组织的“信用信息”,也就是企业信用信息,实践中能否成为本条规定保护对象,以及如何实现企业信用信息的民法保护,仍然存在实践中需要对接的条款。法人和非法人组织对信用信息具有享有权、知情同意权、查询权、利用权、更正删除权等,但不能和自然人一样,完全按照本编第六章隐私权和个人信息保护的相关规定进行适用。信用信息,特别是企业信用信息,也是政府管理机制重要内容,法人、非法人组织的信用信息是政府机构信息资源管理以及数据库建设的主要对象。因此,本条规定,不仅适用个人信息保护的规定,还要适用其他法律、行政法规的有关规定。 二、信用信息与数据 信用信息与数据在理论上有联系。《民法典》第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。根据学者的观点,数据是信息的表现形式和载体,而信息是数据的内涵,信息是加载于数据之上,对数据所具有的含义进行解释。信息依赖数据表达,数据则生动具体地表达信息。数据本身没有意义,只有对实体行为产生影响时才成为信息。数据是信息的表现形式。在互联网时代,其主要就是指以电子化方式存储的信息。《〈中华人民共和国民法总则〉条文理解与适用》中指出,民法中所保护的个人信息是依法受到保护,不可交易的可识别性的数据的总和。由此可见,信用信息是数据的特别形式。因此,信用信息应当适用关于信息保护的特别规定,而非关于数据保护的规定。 三、个人信用信息的民法保护 如果禁止个人信用信息的披露,会妨碍相对人决策的制定,增加交易成本。然而允许对个人信用信息毫无限制地披露则无异于是对个人权利的践踏。因此,在允许个人信用信息开放的同时,必须加强对个人信用信息的保护。 (一)关于个人信用信息保护的立法情况 从比较法上看,在美国,多部单独立法如《公平信用报告法》《信息自由法》《平等信用机会法》等法律共同构成了美国征信法律体系,支持和规范征信活动。个人信息保护被单独立法之外,世界上其他国家大多以个人资料保护为中心建构个人信用信息保护制度和强化个人权利的保护,如英国的《资料保护法》、瑞典的《个人资料保护法》、加拿大的《个人信息和电子文档保护法》。此外联合国、OECD和欧盟先后制定的有关个人资料保护的国际公约,如《欧盟个人数据保护指令》《欧共个人数据自动化处理的个人保护协定》《保护隐私及跨国交流个人资料准则》等等。信用资料只是个人资料保护的内容之一,除此之外还包括医疗、保健、营销等一系列个人信息。我国采取的也是这种模式,将信用信息纳入个人信息进行保护。 我国非常重视对个人信用信息的保护。《社会信用体系建设规划纲要(2014~2020年)》中明确指出,建立信用信息分类管理制度。制定信用信息目录,明确信用信息分类,按照信用信息的属性,结合保护个人隐私和商业秘密,依法推进信用信息在采集、共享、使用、公开等环节的分类管理。加大对贩卖个人隐私和商业秘密行为的查处力度,建立信用信息侵权责任追究机制。制定信用信息异议处理、投诉办理、诉讼管理制度及操作细则。2013年1月21日,为规范征信活动,保护当事人合法权益,引导、促进征信业健康发展,推进社会信用体系建设,国务院公布《征信业管理条例》。这些行政法规、政府规章对征信机构、信用信息处理者等征信行为进行规范以实现对个人信息的保护。《征信业管理条例》适用于在我国境内从事个人或企业信用信息的采集、整理、保存、加工,并向信息使用者提供的征信业务及相关活动。《征信业管理条例》对征信机构、信息提供者和信息使用者的行为,以及征信机构的监督管理进行了全面规范。除此之外,中国人民银行作为征信机构的监督管理机构,还制定了《征信机构管理办法》,对征信机构的设立、变更、终止等内容进行了规定,加强了征信机构公司伦理风险防控和信息安全等方面的管理。 (二)我国个人信用信息保护的司法实践 在本法规定信用权益保护之前,由于我国法律对个人信用信息并没有明确作为一项独立的民事权利给予特殊保护。因此,司法实践中,对于个人信用信息民事权益的保护主要通过名誉权、姓名权或者合同给予救济。 1.案由选择。个人信用信息民事权益纠纷一般选择名誉权纠纷案件、侵权责任纠纷案件、一般人格权纠纷案件、姓名权纠纷案件、合同纠纷案件等案由进行诉讼。 2.案件类型。以第三人伪造签名、冒用受害人身份致使个人信息权益受损而引发诉讼为主,还有因为银行内部工作人员输入错误导致个人信用受损以及因超过5年不良记录法定保存期限引发的纠纷。 3.责任主体。若第三人冒用被侵权人的身份信息,在银行办理贷款或开办信用卡,逾期未还款,导致被侵权人在征信中心产生不良记录。这类案件中,一般以金融机构为被告。如果能够找到身份冒用人的,也有直接将身份冒用人列为共同被告。部分案件也有将中国人民银行征信中心列为共同被告的情形。 4.个人信用信息保护的保护模式。司法实践中,法院在处理侵害信用利益有关纠纷时大致有以下三种模式可供选择:(1)名誉权保护模式。此种方案下法院的裁判亦存在分歧:第一种观点认为,侵害信用即是侵害名誉,对二者不予区分。理由在于,中国人民银行的征信系统相对封闭,只有特定主体因法定事由才能对该系统内的有关记录进行查询,且这些记录并未在不特定对象中进行传播,也并未造成受害人的社会评价降低的不利后果,故不能认定构成名誉权侵权。基于同样的案情,另外一种观点认为,中国人民银行的征信系统的封闭性为相对封闭性,在银行信用市场上,信用评级公开且为交易时不特定的第三方所知,且信用利益有其独立价值,因此加害人的行为构成侵权,故须通过名誉权对其进行保护。(2)姓名权保护模式。这类保护一般发生且通常发生于“冒名骗贷型”的案例中。此类案件通常存在的问题:法院一般能支持原告的诉讼请求,然而在是否应承担损害赔偿责任这一问题上裁判者之间存在分歧。有的法院判决被告消除不良信用记录,向原告赔礼道歉,但驳回了原告损害赔偿之请求,也有的法院判决被告赔偿原告的经济损失和精神损失。另外商业银行是否因疏于审查,作为共同侵权人与冒名骗贷人一起共同承担责任,各地法院的认定也有差别。(3)一般人格权保护模式。法院以一般人格权为信用利益纠纷的裁判依据基本思路是,信用利益属于与名誉权有别的人格利益,且在我国现行民事权利体系中无此规定,故须通过权利保护的兜底性条款进行保护。 (三)《民法典》人格权编确立的对个人信用信息保护的规定 本条规定,民事主体与征信机构等信用信息收集者、控制者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。关于本编有关个人信息保护的规定,主要包含以下内容: 1.关于采集信用信息以被征信人的同意为前提。在美国和英国,收集现有借款人或潜在借款人信息,无需本人的书面认可。例如,《美国公平信用报告法》规定:在消费者授权、法人企业与消费者具有消费者引起的商业交易关系、为确定消费者是否继续满足账户条件而进行的赊账检查等情况下,信用报告代理机构可以发布个人信用报告。这一保护制度实质上是不管消费者是否同意,只要符合有被认可的调查目的就可以获得数据。相反,欧洲国家提供的则是高水平的保护制度,《欧盟数据保护指南》明确规定,必须有借款人的明确认可,方可使用借款人档案材料。我国采用了综合的模式。根据《民法典》第1035条的规定,一般情况下采集个人信用信息需要征得该自然人或其监护人的同意,但是法律、行政法规另有规定的除外。即如果法律、行政法规规定不需要权利人或其监护人同意,采集个人信用信息也可以不经其或其监护人同意。 2.关于保护个人信用信息的准确性。《民法典》第1036条赋予了信息权利人知情权、异议权和要求更改权。第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”所谓知情权是指权利人在一定的前提下查询本人信用信息的权利。所谓异议权是指权利人对自己信用信息中不真实的信息,有提出不同意见的权利。更改权是指权利人对自己信用信息中不真实的信息,有提出修改的权利。后两项权利在美国《公平信用报告法》中的规定是对正确性提出争议和解决的程序:如果消费者对其档案中任何信息的完整性和准确性提出争议,且消费者将该争议直接通知该机构,该机构必须自接到该通知之日起30日内免费进行重新调查,并将此及时通知所有相关争议信息的提供者。不准确的信息必须被纠正或删除。此项权利的规定,一方面对征信机构信息的准确性起到监督作用,另一方面赋予消费者维护自己合法利益的权利。《欧盟数据保护指南》要求欧盟每个成员国都要制定管理“个人数据处理”的法律,以保证个人有权使用并有机会更正他们被处理的信息。作为最低限度,这些法律必须允许数据主体有权函索证实与其有关的个人数据是否存在,要以容易理解的方式将这些数据传输给他们,并标示信息来源以及信息的全面使用情况。在“指南”指导下的国家法律还必须允许数据主体有权更正、取消或者阻止不正确或不完整数据的传送,数据处理者必须告知所要收集数据的主体。美国和欧盟的有关规定,都是从法律的角度对数据的准确性与完整性保护作出规定。 3.关于个人信用信息安全的保护。《民法典》第1038条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”安全管理对权利人权益保障至关重要,无论是信息提供者还是征信机构等信用信息的收集者、控制者对信息的采集、存储和报送都要采取严密的保护措施,防止个人信息被窃取、篡改、毁损、灭失或泄露。 除此之外,《征信业管理条例》在征信业务活动中保护个人信息安全方面也有全面的规定。主要包括以下内容:一是明确个人征信业务规则。除采集个人信息应当经信息主体本人同意外,规定向征信机构提供个人不良信息的,应当事先告知信息主体本人;征信机构对个人不良信息的保存期限不得超过5年,超过的应予删除;除法律另有规定外,他人向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途,征信机构不得违反规定提供个人信息。二是明确规定禁止和限制征信机构采集的个人信息,包括:禁止采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息;征信机构不得采集个人的收入、存款、有价证券、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。三是明确规定个人对本人信息享有查询、异议和投诉等权利,包括:个人可以每年免费两次向征信机构查询自己的信用报告;个人认为信息错误、遗漏的,可以向征信机构或信息提供者提出异议,异议受理部门应当在规定时限内处理;个人认为合法权益受到侵害的,可以向征信业监督管理部门投诉,征信业监督管理部门应当及时核查处理并限期答复。个人对违反《征信业管理条例》规定,侵犯自己合法权利的行为,还可以依法直接向人民法院提起诉讼。四是严格法律责任,对征信机构或信息提供者、信息使用者违反《征信业管理条例》规定,侵犯个人权益的,由监管部门依照《征信业管理条例》的规定给予行政处罚;造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。 四、个人信用信息保护与隐私权保护 《民法总则》第110条明确规定自然人享有隐私权。根据《侵权责任法》第2条规定,侵害隐私权,应当承担侵权责任。《民法典》也对隐私权作出规定。随着现代信息社会的发展,隐私权已从传统的保护个人生活安宁不受干扰的消极权利演变为具有积极意义的“信息隐私权”,对个人信息进行隐私权保护,是传统隐私权在现代信息社会的延伸。美国最高法院将隐私权划分为三类,其中就包括个人信息隐私权。在国内,学者同样认为隐私权包括对个人信息的保密的权利。《〈中华人民共和国侵权责任法〉条文理解与适用》明确指出,隐私权包括个人信息控制权。在实务中,侵犯个人信用信息与侵犯个人隐私权存在一定重合,亦存在区别。其区别在于,对隐私权的侵害主要体现为擅自公开他人的私密信息,或者影响他人的私人生活安宁;而侵害个人信息的方式主要是对他人的信用状况进行错误评价。两种权利的保护方式也存在一定差别,由于个人的私密信息一旦公开,就很难再恢复到私密状态,因而,在隐私权遭受侵害时,主要通过精神损害赔偿的方式对权利人进行救济。而在个人的信用信息遭受侵害时,权利人可以请求行为人更正、删除相关的信用记录,从而保护其信用信息。《民法典》第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”如果有关机构和组织未经当事人许可或者未经法律、行政法规规定许可而擅自公开了当事人的信用信息,应当也视为一种对隐私权的侵害。然而,如果国家机关及其工作人员泄露或向他人非法提供权利人的信用信息,对象只是少数人或者特定的人,未达到公开的程度,则不能视为侵害隐私权,只能视为侵害了个人信用信息。
| 
发表于 2023-1-10 23:21:01