征信管理中的几个私法问题——《征信管理条例（征求意见稿）》片观

 

　　具体说来，可从四个方面加以认识。第一，对于信息主体来说，征信制度的设立使每个信息主体拥有了一个“经济身份证”，便于通过查询信用记录了解自己的信用状况、信用等级等基本信用信息，以便于交易决策制定与调整，同时利于培养信用意识与水平。第二，对于作为信息使用者的银行等金融机构来说，可以防范信贷风险，针对企业或个人的信用状况来作出相应的决策。可以根据信贷条件的优劣来确定相应的贷款类别，如确定信用贷款或者担保贷款等。第三，对于征信机构来说，可以使征信活动或征信行为依照法律规范运作。既使征信机构的征信行为依法进行，又使信息主体的合法权益受到保护。第四，对于国家和社会来说，用立法的方式使征信活动法律化、制度化，可以改善社会整个信用环境，提高国民的信用意识，培育社会信用文化，从而使社会信用体系的构建既在法治保驾护航下进行，也使社会信用体系的构建始终沿着法治轨道发展和完善。

 

　　可以说，经历“七年之痒”之后， [1]《条例》征求意见稿的发布，标志着我国征信管理立法迈出了实质性一步。征信管理立法在性质上属于行政立法，但因其涉及对“人”的信用之征集，故《条例》在洋溢着诸多具有管理规范目的公法属性的同时，又蕴含着不少私法理念、私权保护等私法问题。通览《条例》即可发现，征信管理涉及的私法问题，有些体现了立法对私权的关注与张扬，有些却又暴露了立法对私权、私理与私秩序的淡漠或疏漏。

 

　　信息主体私权问题：关于个人信息保护

 

　　我国征信业从20世纪80年代起步以来，从事信用报告、信用评分、信用评级等征信业务的机构越来越多，目前业务较活跃的征信机构已达300多家，征信业务的需求与供给不断扩大，征信市场已经初具规模，征信业在经济中的作用日益显现。据统计，截至去年底，央行征信中心收录企业及其他组织1447万户，收录自然人6.4亿人，其中有信贷记录的1.4亿人。 [2]因此，在这样的征信业发展背景下，信息主体的私权保护更具有现实意义。尤其是作为自然人的信息主体，个人信息保护应当为立法所重视。

 

　　对此，《条例》从“总则”中的基本原则到“分则”中的具体规则，无不体现出对信息主体私权尤其是个人信息的保护立场。在总则中，对信用信息作出了明文界定，即能够反映个人、法人或其他组织信用状况的信息，包括基本信息（个人、法人或其他组织的身份识别、职业和居住地址等信息）、信用交易信息（个人、法人或其他组织在贷款、使用贷记卡或准贷记卡、赊销、担保、合同履行等社会经济活动中形成的与信用有关的交易记录）以及其他信息（与个人、法人或其他组织的信用状况密切相关的行政处罚信息、法院强制执行信息、企业环境保护信息等社会公共信息）。同时规定，征信机构应当依法保护个人隐私和商业秘密；应当建立健全规章制度，采取必要措施，确保信息安全。这都从基本原则或一般规定的高度确立了私权的保护立法态度。

 

　　但总则对信息主体的权利规定并非尽如人意，首先，信用信息的宽泛界定容易使征信系统成为“大麻袋”，不管与信用的关联度如何，都可以尽可能往里塞，除了社会经济活动中形成的相关交易记录之外，诸如超生、环境污染、“酒驾”、“醉驾”等，都有可能进入个人不良征信记录。 [3]如此一来，不良征信记录变成了不良行为记录，这与征信系统设立的初衷相悖，也难以收到社会征信体系建立的实效。因此，《条例》应进一步区分或明确信用信息与非信用信息，对不属于信用信息或者与征信行为在关联度上不构成密切联系者，应排斥于信用之外。否则，在信用信息范围的立法界定上，私权和自由就会面临着随时受到不合理限制的危险。

 

　　其次，总则仅规定个人隐私权保护是不全面的。随着个人权利空间的逐步拓展和权利种类的渐趋细化，与征信有关的个人权利不仅包括隐私权，征信活动还有可能涉及个人的信用权、自由权、姓名权、名誉权等多种人格权。立法应就此作出更为灵活的规定，从私权保护的一般性宣示上彰显立法对私权的重视，使私权与公权及公共利益在保护上处于平等地位。《条例》明确规定“征信机构应当遵守法律、法规，遵循诚实信用原则，不得危害国家安全，扰乱社会经济秩序，损害社会公共利益”，但未对自然人、法人及其他组织的私法权益保护作出宣示性规定，有违私权之平等保护原则及私法上积极倡导的平等理念。

 

　　另一方面，在分则确立的具体规则中，也包涵有丰富的私权保护规范，尤其是个人信息保护的规范。 [4]归纳起来，主要在以下几个方面作出了立法努力：一是明确界定了个人信息的征集和和使用范围，即采取禁止性规定对个人信息征集范围作出例外规定。如《条例》规定，下列个人信息，征信机构不得收集：民族、家庭出身、宗教信仰、所属党派；身体形态、基因、指纹、血型、疾病和病史；收入数额、存款、有价证券、不动产；纳税数额；法律、行政法规禁止收集的其他信息。在明确告知信息主体提供该信息可能产生的不利后果，并取得信息主体特别书面授权后，征信机构可以收集收入数额、存款、有价证券、不动产；纳税数额等信息。再如，征信机构、金融机构基于模型开发、系统测试等目的使用或对外提供个人、法人及其他组织信息的，可以不经信息主体的同意，但所使用或提供的信息不得包含个人姓名、公民身份证号码、手机号码、住宅电话、企业名称、住址及其他可以识别信息主体身份的信息；又如，征信机构不得披露、使用自不良信用行为或事件终止之日起已超过5年的个人不良信用记录，以及自刑罚执行完毕之日起超过7年的个人犯罪记录。关于此，下文还会专门述及。

 

　　二是明确规定征集信息的手段要正当、处理要适当。即征信机构应当依法收集个人、法人及其他组织的信息，不得通过欺诈、窃取、贿赂、利诱、胁迫或其他不正当手段收集信息；征信机构对所收集的信息应当客观、及时进行整理、保存和加工，不得歪曲、篡改，并应当采取必要、合理的措施以确保信息的及时更新；征信机构应当建立健全征信信息保密管理制度，建立信息查询内部分级管理制度，在信息收集、整理、保存、加工和使用过程中确保信用信息不被泄露。征信机构的工作人员应严格遵守保密制度，不得擅自查询或越权查询该机构拥有的信息，不得泄露在业务工作中获悉的信息。

 

　　三是明确规定个人信息征集活动中的个人同意权、知情权、查询权、异议权与投诉权等。即除行政机关、司法机关、法律法规授权的具有管理公共事务职能的组织已经依法公开的信息以级其他已经依法公开的个人信息之外，征信机构收集、保存、加工个人信息应当直接取得信息主体的同意；除法律规定可以不经同意提供个人信息，法律、行政法规规定可以不经同意提供法人及其他组织信息的以外，征信机构应当向信息主体本人或经其授权的个人、法人及其他组织提供信息主体的信用信息；信息主体有权按照国务院征信业监督管理部门的规定向征信机构查询自己的信用报告。信用报告应包括信用信息、信用信息来源和信用信息查询记录。信息主体认为其信息存在错误、遗漏的，有权向征信机构提出异议，要求更正，征信机构应当按照国务院征信业监督管理部门的规定受理异议申请，并在收到异议申请之日起20个工作日内完成对异议信息的核查和处理，书面答复异议申请人。个人提出异议申请，征信机构未按照前款规定办理的，该信息主体有权以书面方式要求该征信机构一次性删除其全部信息；信息主体认为征信机构、信用信息提供者和信用信息使用者侵害其合法权益的，可以向国务院征信业监督管理部门投诉。国务院征信业监督管理部门受理信息主体的投诉后，应当对相关情况进行核查，发现征信机构、信用信息提供者和信用信息使用人违反本条例及国务院征信业监督管理部门有关管理规定的，有权责令其改正，并按相关规定进行处理。

 

　　以上对个人信息保护明确作出的规定，不但可以规范征信管理部门的行为，也可以对个人信息保护等私权进行实质保护。西方发达国家已经建立了比较完善的个人信息保护机制，目前世界上有50多个国家和地区已经制定了个人信息保护法律制度，与此相比，我国在个人信息保护上尚存较大差距。但《条例》确立了诸多个人信息保护条款，无疑是我国立法保护个人信息的良好契机，也是立法的一大进步。

 

　　征信机构身份问题：关于法人性质界定

 

　　前文已经指出，我国征信业自创立以来，呈现出逐步活跃的趋势。与此同时，由于对征信业的管理长期缺乏监管，也无法可依，从而导致征信业及征信机构的征信活动有失规范，征信市场发展中面临的问题亟需立法建立法治化征信制度，确立征信机构的性质、规范征信业务的行为。

 

　　对此，《条例》明确规定了征信机构的身份及相关准入规则。首先，《条例》规定，征信机构是指依法设立，从事前款规定的征信业务的法人。可见，征信机构具有法人资格或法人身份，但在民法学上，法人的分类规范体系中有诸多法人种类，作为征信机构的法人究竟是什么性质呢？《条例》未予言明。然而，从分则中征信机构的设立以及征信业务的一般规则来看， [5]很显然，征信机构在我国属于营利性法人。

 

　　其次，也是值得注意的，《条例》对征信机构采用了较为严格的“准入机制”和严格的“退出机制”。一方面，借鉴银行和证券行业的管理方法，不仅明确征信机构应当采用法人的组织形式，而且对其设立、业务范围、业务变更、分立、合并，设立、撤销分支机构均规定了行政许可，并对设立征信机构的条件、申请材料、申请和审批程序、高管的任职条件、征信机构的退出等事项作出了明确规定。例如《条例》规定，设立征信机构，应当经国务院征信业监督管理部门批准。未经国务院征信业监督管理部门批准，任何单位和个人不得从事征信业务。经批准设立的征信机构，由国务院征信业监督管理部门颁发经营许可证，并凭该许可证向工商行政管理部门办理登记，领取营业执照。征信机构应当依照法律、行政法规的规定使用经营许可证。禁止伪造、变造、转让、出租、出借经营许可证。征信机构变更业务范围、组织形式，分立、合并，设立、收购或者撤销分支机构及国务院征信业监督管理部门规定的其他重大事项，应当经国务院征信业监督管理部门批准。法律、行政法规规定征信机构开展有关业务应接受其他监管部门批准的，征信机构应及时将批准情况报国务院征信业监督管理部门备案。另一方面，在“退出机制”方面，《条例》规定，征信机构解散的，应当经国务院征信业监督管理部门批准，注销经营许可证，并按照规定妥善处理其收集的信用信息。征信机构依法破产的，应当注销经营许可证，并按照规定妥善处理其收集的信用信息。可见，无论是准入还是退出，都规定了严格的审批机制，这是征信业务规范发展的大前提。

 

　　再次，对担任征信机构的高级管理人员、董事、监事的条件作出了禁止性规定。即因犯有贪污、贿赂、侵占财产、挪用财产或破坏社会主义市场经济秩序罪，被判处刑罚，执行期满未逾5年，或因犯罪被剥夺政治权利，执行期满未逾5年；担任或曾经担任因违法被撤销或被吊销营业执照的公司、企业的法定代表人或负责人，并负有个人责任或直接领导责任，自该公司、企业被吊销营业执照之日起未逾3年；担任或曾经担任破产清算公司、企业的董事或厂长、经理，对该公司、企业破产负有个人责任的，自该公司、企业破产清算完结之日起未逾3年；个人所负数额较大的债务到期未清偿；在其他征信机构、会计师事务所、律师事务所及其他中介服务机构工作期间有故意出具虚假评估咨询报告等法律文件行为的；信用报告中有严重不良信用记录等情形，均不得担任上述职务。很显然，本条规定是借鉴了公司法人中担任公司董事、监事和高级管理人员禁止性条件的规定。 [6]这也体现了《条例》对征信机构营利性法人的认可。

 

　　对《条例》确立的商业化运作的征信机构业务活动，有人提出了质疑，认为“有关部门其实是把征信系统当作一个服务行业来抓，走市场化、商业化道路。然而，在利益的驱使下，在逐利的本性下，市场化、商业化的征信机构，能确保征信的公平、公正吗？社会征信系统应当属于国家公器、社会公益范筹，只宜掌握在不追求私利，站在中立、公正立场，能代表群众利益的政府机构和部门的手里，以公益的模式进行运作，服务社会。如此，才具有权威性和公正性可言。其实，对于公民个体而言，征信机构无需太多，只要一个具备权威、公平、公正的就足够了。按市场化、商业化的运作模式，就会出现众多以牟利为目的的征信机构，并且还形成征信服务行业。面对让人眼花缭乱的众多征信机构，人们该相信哪个？如果这些征信机构间的信息出现冲突和矛盾，怎么办？显然，这只会损害整个征信系统的权威，最终导致征信系统失去信任基础而崩溃！而且，征信系统的建立，本意是为了推进社会信用建设，如果查阅征信信息都需要付费，势必影响公众参与的积极性，从而影响到这一目的的实现。” [7]然而，让征信机构平等地进入征信市场，公开展开竞争，这是征信业务的性质及发展要求决定的，也是国际征信业务发展的必然趋势。从征信业务的性质角度观察，尽管信用信息的征集涉及社会信用体系的建立，但其业务本身涉及信息主体数量甚巨，成本较高，信用信息本身具有财产价值，信用业务自不应成为垄断行业，应赋予其营利性质，在利益驱动下展开竞争，优胜劣汰，提高业务质量；从征信业务发展的实践来看，没有规范化、制度化的征信运作，只能是“多龙治水”，“无头游戏”，进入法治化轨道的征信业务活动，即是法治经济下以信用信息为客体的商事活动。完善、优质的征信业务不是靠否决征信业务的商业化运作实现，而是靠健全的法治化运作制度及严密的监管制度和责任制度作为保障加以达成。从国外征信业务发展的模式来看，以美国为例，全美征信公司根据客户的需要不断改进金融信息服务质量，健全的法律制度也保证了信息供应商的良好商行为秩序。

 

　　征信行为规则问题：关于程序的私法属性

 

　　征信行为规则包括实体规则和程序规则。从征信行为的程序规则来看，作为商行为，既体现浓厚的公法属性，权力的干预贯彻始终，又体现了难以遮掩的私法属性。作为私法属性的征信行为程序，其实就是借助征信行为的程序性制度，对私权提供程序保护与程序惩戒。

 

　　从征信机构的设立程序来看，严格的申请审批程序一方面是商事登记程序的要求，追求商法人的身份确立，另一方面则是通过严格的准入程序为信息主体的私权提供保护伞。具体说来，《条例》规定，在申请人提交了申请材料之后，国务院征信业监督管理部门应当自受理之日起60个工作日依照规定进行审查，作出批准或不予批准的决定，并通知申请人。不予批准的，应当说明理由。60个工作日内不能作出决定的，经国务院征信业监督管理部门负责人批准，可以延长30日，并将延长期限的理由告知申请人。显然，这一严格的审查登记程序使征信法人的身份取得不仅有严格的实体性准入条件，而且还有了严格的程序性准入条件，从而确保了征信机构法人资格这一私法身份的正当性。这一正当的私法身份又间接为信息主体私权保护提供了身份保障。

 

　　从征信活动的一般程序性规则来看，《条例》对征信机构开展征信业务时所要遵循的一般规范作出了规定，主要规范了信息的收集、整理、提供，信用产品的使用，征信机构履行信息公开义务和保密义务等业务准则。在信用信息的收集和使用上，该条例采取个人、法人及其他组织区别对待的原则思路，即除中国征信中心外，征信机构收集和使用个人信息一般必须征得信息主体的同意，而对法人及其他组织仅要求征信机构在对外提供信用信息时则应当取得其同意。《条例》将征信业务定义为包含信用报告、信用评分和信用评级，将信用报告业务、信用评分业务和信用评级业务等都纳入管理的范围。同时，借鉴金融危机的主要教训和中国的实际情况，《条例》突出了对信用评级业务的监管，着重试图解决开展信用评级业务时的利益冲突问题，增加透明度，增强评级结果的可靠性。因此，除要求征信机构建立有效防止利益冲突的机制外，还规定了对征信机构的透明度要求、尽职调查义务、内部控制机制、跟踪评级、评级机构的检验等内容。

 

　　如果说，作为私法二元结构中的民法强调平等和自由为其核心原则，那么，私法二元结构中的商法则强调公开和效率为其核心原则。《条例》在承认征信机构作为法人身份的基础上，也明确了公开原则在征信行为中的体现。如规定，征信机构应当通过适当方式向社会公开信息处理操作的目的、收集信息类别及用途；信息的收集规范和披露时限；信息披露的接收者或接收者的种类；获得信用报告、信用评分和信用评级等的方式及收费标准；异议处理程序；依法需要公开的其他事项，并确保及时更新。再如，《条例》还强调了评级业务中的透明原则，规定征信机构从事信用评级业务，应当按照科学、公正的原则制定信用评级标准和评级方法，独立、客观、公正、审慎和透明地开展评级活动。

 

　　显然，上述征信行为的程序性规定不仅是权力对征信行为的简单干预，更是立法对程序的私法属性的认可，有益于对信息主体及利益相关者的权益保护。但应注意者，在征信行为的规范化方面，《条例》确立了三个环节的调整方法，即前文所述征信机构设立的准入门槛上要严格把关、征信机构的活动要依法进行以及监管机构应强化监管意识、明确监管责任。其中，从权力与权利的关系协调角度看，“两头”最为关键，即准入资格和监管力度。这正是征信行为程序性规范的源头保障和后盾支持。

 

　　但《条例》在程序的私法属性方面并非无可挑剔。前文已经指出，作为私法属性的程序性规定，不仅只为征信行为提供程序便利和程序依据，而且还要在其中实现私权保护的价值。通观《条例》的程序性规定可以发现，征信机构与信息主体的关系上的平等理念尽管贯彻较多，但仍然有补充完善的空间。如关于征信机构期前通知的程序性义务，则缺乏相应规定，应在不良行为发生之后负面记录生成之前，善意通知或提示相关主体，以尊重主体权利，确保信息真实性。 [8]因此，从程序规则对信息主体的实体私权和程序私权的保护角度出发，《条例》应明确征信机构对相关信息主体的通知和提示义务，并作出相应的通知和提示性程序规则，以保证征信行为程序性公正和以此作为保障的信息主体的权利安全感。

 

　　私法理念的公法度量：关于负面记录保留期

 

　　应该说，《条例》作为征信管理的行政法规意见稿，还是通过其规则设计体现出了较为丰富的私法理念。较为显著者，如平等理念、权利理念、契约理念、自由理念、诚信理念等。在平等理念与权利理念方面，《条例》既确立了征信机构与信息主体之间法律地位平等的私法理念，又如前文所述赋予了信息主体广泛的私权。如信息主体有权向征信机构查询自己的信用报告，在认为信息存在错误、遗漏时，有权向征信机构提出异议，要求更正。个人提出异议申请，征信机构未按照规定办理者，该信息主体有权以书面方式要求该征信机构一次性删除其全部信息；在契约理念和自由理念方面，《条例》规定除了依法公开的信息之外，征信机构收集、保存、加工个人信息应当直接取得信息主体的同意，即采用意思表示一致的契约原则。再如，征信机构发生解散、破产等终止事项时，征信机构、清算人、破产管理人等应当在保护信息主体相关权利的基础上，依法处理征信机构的信用信息数据库，其中，“经国务院征信业监督管理部门同意，按照商业原则转让给其他征信机构”的处理方式即体现了契约理念。《条例》还规定，征信机构可以依法成立行业自律组织，实行自律管理，这是自治理念在征信机构管理行为中的体现。可以说，这些作为私法理念的平等、权利、契约、自由等理念在《条例》中都有较好的公法度量。

 

　　除了上述私法理念之外，颇值注意的是诚信理念的公法度量问题，即关于负面记录的保留期之规定。《条例》规定，征信机构不得披露、使用自不良信用行为或事件终止之日起已超过5年的个人不良信用记录，以及自刑罚执行完毕之日起超过7年的个人犯罪记录。该条规定即所谓的“负面记录保留期”：一般负面记录保留期是5年，刑罚信息负面记录保留期是7年。因为立法上存在的空白，负面记录在我国尚无保留期，从数据库建立开始到现在的负面信息都一直保存着。但对于信息主体的负面记录，在立法上必须确立一个保留期。一方面，从负面信息主体角度来说，负面记录毕竟不能涵盖一个人或者一个企业的终生，只是某个阶段的记录，不等于终生，也不等于永久。因此，应当规定一个合理的保留期，可以有效地使负面记录成为“历史”，而不是伴随终生。另一方面，从社会经济活动角度来说，保留期的规定主要是稳定信用关系，进而稳定交易关系，否则会影响交易安全，抑制更多的社会交易活动。

 

　　在立法技术上，涉及到保留期限的长短的规定问题，即私法上的诚信理念在公法上如何度量。从《条例》规定来看，征求意见稿中的保留期总的来说，既参考了国际惯例，又考虑到了我国实际情况。据了解，国际上一般的做法是保留7年，如按照美国的做法，一般负面信息保留期是7年，破产或特别严重及明显恶意的负面信息保留期限是10年，超过保留期限，负面信息将从个人信用报告中被删除。显然，无论从理论上还是从现实上观察，保留期太长将不利于负面信息主体的交易与社会活动及社会评价，太短则不利于起到对负面信息主体的惩罚和警戒力度。应该说，整体角度观察保留期长度，《条例》的规定比较合理，可以在实践中进行尝试，根据法律实施情况进行必要的修改。

 

　　然而，每个有着负面记录的信息主体，其不良行为或事件的性质并不相同。有的信息主体因故意而发生不良行为，有的则因过失而发生不良行为；有的信息主体一次或首次发生不良行为，有的则二次或多次发生不良行为；有的信息主体发生不良行为涉及到的信用额度较大或巨大，有的则较小或轻微。因此，针对不同的信息主体之截然有别的不良行为，确定整齐划一的负面记录保留期，并不能体现立法的公平正义价值。但要确立不同的负面记录信息主体的差别以及由此差别所构成的不同的负面记录保留期，立法难度甚巨。鉴于此，可按照不良行为发生次数考虑采取“次数累进制”，即首次因不良行为而发生负面记录者，一概采取短期保留期，如又发生二次不良行为而产生负面记录，则其保留期可在首次保留期基础上加以延长。这样一来，次数累进保留期制度既考虑到了情节轻微不良行为者的适应性信用惩戒，又考虑到了情节较重尤其是屡次发生不良行为者的适应性信用惩戒。

 

　　征信管理私法责任：关于民事责任

 

　　“法律责任”一章共计6个条文，其中有4个条文涉及民事责任的规定，通过民事责任制度的确立，为征信活动和征信管理提供了民事法律责任制度保障，这也是征信管理中的一个私法问题。归纳起来，《条例》分别对征信机构、金融机构、违法设立征信机构者以及信息使用者的侵权行为作出了相应的民事责任规定。

 

　　关于征信机构的民事责任。《条例》规定，征信机构在其业务活动中因过错给信息主体或信息主体以外的其他主体造成损害的，应当依法承担民事责任。很显然，本条规定所针对的受害主体并不局限于信息主体，还包括信息主体之外的其他主体。这在一方面说明，立法对征信机构在征信活动中的注意义务和民事责任作出了公开宣示，另一方面也说明，从私权保护、侵犯私权及民事责任的角度看，立法在民法通则等民事立法之外特别承认了一般主体在征信活动中之受害可能，即只要征信机构侵犯了其合法权益、造成了损害，即有权追究征信机构的民事责任。但在责任构成上，立法者采取了过错责任归责原则，并且从“损害”的结果角度而不是“侵权”的行为角度确立了民事责任。于是，这容易产生如下几个问题：一是作为受害者的原告对征信机构过错的举证问题；二是作为受害者的原告对征信机构造成“损害”的界定及举证问题；三是承担民事责任的形式及各种形式民事责任的构成判断问题。前文已经指出，尽管《条例》在性质上属于征信管理方面的行政法规，但却涉及个人信息保护，立法必须注重对私权的保护性规定及相应保护机制的确立。征信机构与信息主体尽管在法律地位上是平等的，但在现实力量对比方面，尤其是征信机构与作为个人的信息主体相比，征信机构无疑处于强势地位。在征信机构的征信活动无法对信息主体全过程透明公开的情况下，要求受害者证明征信机构的过错，对信息主体权益的保护着实不利。何况，如果信息主体之外的其他主体为与征信机构有着市场竞争关系或其他平等商事交易地位的商事主体，此条所言“在其业务活动中因过错给信息主体或信息主体以外的其他主体造成损害的”，可能还会涉及商事侵权行为， [9]涉及之侵权责任问题可能并非如此简单条文可以概括。

 

　　关于金融机构、违法设立征信机构者或者从事征信业务者以及信息使用者的侵权行为的民事责任，《条例》均规定了赔偿责任形式。即：金融机构违反本条例和国务院征信业监督管理部门有关管理规定的，由国务院征信业监督管理部门责令改正；情节严重的，处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员给予警告，处三万元以上三十万元以下罚款；给他人造成损失的，依法承担赔偿责任；构成犯罪的，依法追究刑事责任；未经国务院征信业监督管理部门批准擅自设立征信机构或经营征信业务的，由国务院征信业监督管理部门责令其停止非法经营活动，没收违法所得，并处十万元以上一百万元以下罚款；对直接负责的主管人员和其他直接责任人员给予警告，并处三万元以上三十万元以下罚款；给他人造成损失的，依法承担赔偿责任；构成犯罪的，依法追究刑事责任；信用信息使用者违反本条例第38条的规定，对信息主体造成损害的，应承担赔偿责任。这里重点谈谈信息使用者的民事责任。信息使用者的赔偿责任限于违反《条例》第38条的规定，即信用信息使用人获得的信用信息不能用作与信息主体或征信机构约定之外的其他用途，不得未经授权向第三方提供。很显然，信息使用者违反此条规定即构成行为违法性，如造成损害，则应承担赔偿责任。与征信机构的民事责任规定相比，征信机构的民事责任强调了过错责任归责原则，而信息使用者的民事责任未强调过错归责原则；征信机构的民事责任强调了受害主体的广泛性即多元性，而信息使用者的民事责任则仅仅将受害主体限定于信息主体；征信机构的民事责任未列明民事责任承担形式，而信息使用者的民事责任强调了民事责任的形式（赔偿）。从侵权责任法的原理和侵权法律规则角度分析，《条例》对两类侵权主体的侵权责任构成、受害主体及责任形式作出如此差别性规定，没有法理依据，在征信管理行为领域，两者亦无侵权责任上的本质差异，不应作出异样规定。

 

　　此外，鉴于专门的个人信息保护立法尚处空白，而现实生活中个人信息泄露或被商业化使用、交易的状况越来越对个人生活、学习和工作构成干扰， [10]因此，《条例》应在信息安全之倡导性规定基础上，对于征信机构将信用信息非法转让、传播等行为侵害信息主体合法权益的，应明确补充规定承担共同侵权存在情形，并施于共同侵权人连带责任。这不仅是保护个人信息、惩罚非法侵害个人信息者的需要，也是征信管理立法中规范征信行为或征信活动的应有之义。

 

　　2009年10月14日夜二气于上海

 

　　（全文约13000字）

——————————
作者联系方式：
QQ号码：68190161
电子信箱：tsageng@sina.com
法律博客：http：//tsageng.fyfz.cn
手机号码：保密

【作者简介】
李绍章，笔名土生阿耿，上海政法学院法律系民商法教研室教师。

【注释】
（本文系笔者10月14日下午接受新民网记者董克科电话连线采访后撰写而成，音频网址：//podcast.xinmin.cn/xwbk/2009/10/14/2727044.html 欢迎批评指正。特此说明）

[1] 征信管理立法始于2002年，彼时由中国人民银行领衔、17个部委参加，建立了征信工作小组，开始研究提出《征信管理条例》草案，但因为涉及部门较多，各方意见难成一致。故而，纵然媒体与社会千呼万唤，《征信管理条例》也始终未露面。算来，前后长达7年之久。
[2] 参见《21世纪经济报道》，2009年10月14日。
[3] 近年来，酒后驾驶导致的事故越来越多，酒精正在成为越来越凶残的“马路杀手”。公安部交管局负责人表示，凡酒后驾驶发生重大事故或醉酒驾驶的，将提高车辆保险费率，纳入银行个人不良记录。参见《人民日报》，2009年8月12日。
[4] 关于个人信息保护的呼吁和讨论，已持续多年，但由于在个人信息的概念、范围以及侵害个人信息的主要行为界定等方面存在着诸多争议，《个人信息保护法》一直没有问世。
[5] 《条例》第10条规定，设立征信机构，应当具备下列条件：（1）实缴注册资本不少于五百万元人民币，征信机构从事信用报告业务的，实缴注册资本不少于五千万元人民币；（2）有健全的组织机构和管理制度；（3）有具备国务院征信业监督管理部门规定的任职资格的董事、监事、高级管理人员；（4）股东、实际控制人应满足国务院征信业监督管理部门规定的条件；（5）有健全的信息档案管理制度、保密措施和安全防范措施；（6）有符合要求的营业场所、技术设施；（7）有完善的信用信息数据库系统；（8）国务院征信业监督管理部门规定的其他条件。国务院征信业监督管理部门批准设立征信机构及其分支机构，应当考虑征信市场发展和公平竞争的需要。第11条规定，设立征信机构，申请人应当向国务院征信业监督管理部门提交下列文件、资料：（1）申请书，载明拟设立的征信机构的名称、住所、注册资本、组织机构设置等；（2）章程草案；（3）拟任职的董事、监事、高级管理人员的资格证明；（4）法定验资机构出具的验资证明；（5）股东名册及其出资额、股份；（6）持有注册资本百分之五以上的股东的资信证明和有关资料；（7）经营方针和计划；（8）营业场所、信用信息数据库、信息档案管理、保密措施、安全防范措施和与业务有关的其他设施的资料；（9）国务院征信业监督管理部门规定的其他文件、资料。征信机构设立分支机构，应当向国务院征信业监督管理部门提交下列文件、资料：（1）申请书，载明拟设立的分支机构的名称、运营资金、业务范围、总公司及分支机构住所等；（2）申请人最近3年的财务会计报告；（3）拟任职的高级管理人员的资格证明；（4）经营方针和计划；（5）营业场所、信用信息数据库、技术措施及与业务有关的其他设施的资料；（6）国务院征信业监督管理部门规定的其他文件、资料。
[6] 《公司法》第147条规定，有下列情形之一的，不得担任公司的董事、监事、高级管理人员：（1）无民事行为能力或者限制民事行为能力；（2）因贪污、贿赂、侵占财产、挪用财产或者破坏社会主义市场经济秩序，被判处刑罚，执行期满未逾五年，或者因犯罪被剥夺政治权利，执行期满未逾五年；（3）担任破产清算的公司、企业的董事或者厂长、经理，对该公司、企业的破产负有个人责任的，自该公司、企业破产清算完结之日起未逾三年；（4）担任因违法被吊销营业执照、责令关闭的公司、企业的法定代表人，并负有个人责任的，自该公司、企业被吊销营业执照之日起未逾三年；（5）个人所负数额较大的债务到期未清偿。《条例》对征信机构高级管理人员及董事、监事的任职禁止性规定，与此大同小异。
[7] 陈英凤：《征信管理不宜搞商业化运作》，载《时代商报》，2009年10月14日。
[8] 一项调查显示，超过80%的人表示最担心在不知情的情况下被列入“黑名单”。事实上，在国外，被列入黑名单，一般会有2-3次提前通知，以确认这个信息是否真实。
[9] 商事侵权是当代侵权法发展起来的一种特殊侵权行为。商事侵权责任，是在商业领域中，以故意或者过失的违法行为妨害经营者正常经营活动，造成经营利益损害，应当承担损害赔偿为主要形式的侵权责任。在诚信缺失的情况下，商事侵权行为已经成为市场经济社会商业交往中的一种威胁，这些行为破坏商事活动秩序，侵害商事主体合法权益，危害市场经济发展。为了维护交易的安全，有效地预防和遏制商事侵权行为，侵权责任法应当规定相关的侵权责任规范，规范市场行为，维护交易自由，制裁违法行为，保障正常的市场经济交易秩序。参见杨立新：《侵权责任法立法疑难问题研究之二》，载《法制日报》，2009年3月18日。
[10] 现代社会，只要拥有个人通讯工具，就随时有被骚扰的可能。尤其是手机通讯工具，垃圾短信、垃圾电话已经越来越嚣张地闯入机主的生活世界。如果征信机构在征信活动中不能做到对信息主体基本信息的保密，而泄露或非法转让了私人信息，将会对信息主体的权利构成进一步的难以遏制的侵害，征信体系之建立若以牺牲个人信息和信息主体权利为代价，则该套体系建立之初衷则难以实现，偏离制度设计目标的制度，终究会偃旗息鼓、昙花一现甚至不生即亡。