第一千零三十条 【民事主体与信用信息处理者之间关系的法律适用】民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。
近年来,在全社会普遍呼吁信用缺失的背景下,加快我国社会信用体系的建设已经成为全社会的共识。
信用体系的建设必然会涉及个人信用信息的收集和控制,而个人信用信息的收集和控制直接关系到个人权利保护的问题。为了适应时代发展的需要,《民法典》对信用信息的保护作出特殊规定,回应了信息时代背景下社会大众对民法的需求。
《民法典》第1024条第2款规定,名誉是对民事主体的品德、声望、才能、信用等的社会评价,即信用是名誉的重要组成部分。对于名誉权人的影响极为重大。
由此,对于民事主体的信用评估应建立在真实的信用信息基础上。征信机构等信用信息处理者在处理信用信息时,也应当遵守有关个人信息保护的法律、行政法规的相关规定。
(一)信用信息
在理论上,信用评价和信用信息不同。信用评价是对他人经济上偿付能力和偿付意愿的评价。信用信息是指与他人信用相关的客观信息。
信用权所要保护的对象是民事主体的信用评价,而民事主体的信用信息是个人信息权所要保护的对象之一。
《民法典》第1024条、第1029条和第1030条就信用问题作出了规定,并对信用评价和信用信息进行区分,将信用评价纳入名誉权保护之中,将信用信息纳入个人信息保护的范畴。
目前我国征信体系采用二元征信模式:个人征信系统和企业征信系统。依据该体系,信用信息可以分为个人信用信息和企业信用信息。
1.个人信用信息
个人信用信息是个人在信用交易活动中形成的履行或不履行义务的记录及相关数据。对于个人信用信息的内容和范围在不同的国家有不同的规定。[
它的内容可能涉及两个方面:
一方面,个人信用状况的客观记录,包括身份识别信息、商业信用信息、公共记录信息(如欠税记录、民事判决记录、强制执行记录、行政处罚记录、电信欠费信息等);
另一方面,征信机构的主观评价信息,通过信用数据的征集、加工分析后得出的个人信用报告和信用评级信息。
根据我国《个人信用信息基础数据库管理暂行办法》第4条的规定,个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。
个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。
2.企业信用信息
企业信用信息是全面记录企业各类经济活动,反映企业信用状况的文书,是企业征信系统的基础信息。企业信用信息是信息主体的“经济身份证”。
中国人民银行公布的《企业信用信息基础数据库管理暂行办法(征求意见稿)》在附则中对企业的信用信息的内容进行了规定:“本办法所称借款人、担保人信用信息包括借款人、担保人的基本信息、信贷业务信息以及反映其信用状况的其他信息。
前款所称借款人、担保人基本信息是指借款人、担保人的概况信息及财务信息;信贷业务信息是指金融机构提供的借款人、担保人在贷款、担保、保理、票据贴现、信用证、保函、银行承兑汇票等信用活动中形成的交易记录;反映信用状况的其他信息是指除基本信息、信贷业务信息之外的反映借款人、担保人信用状况的其他相关信息。”
企业信用信息主要包括四部分内容:基本信息、信贷信息、公共信息和声明信息。基本信息展示企业的身份信息、主要出资人信息和高管人员信息等。信贷信息展示企业在金融机构的当前负债和已还清债务信息,是信用报告的核心部分。
公共信息展示企业在社会管理方面的信息,如欠税信息、行政处罚信息、法院判决和执行信息。声明信息展示企业项下的报数机构说明、征信中心标注和信息主体声明等。[4]
关于信用信息的保护对象,本条规定沿用名誉权享有主体的一贯表述——“民事主体”,应当包括自然人、法人和非法人组织。
但对于法人和非法人组织的“信用信息”,也就是企业信用信息,实践中能否成为本条规定保护对象,以及如何实现企业信用信息的民法保护,仍然存在实践中需要对接的条款。
法人和非法人组织对信用信息具有享有权、知情同意权、查询权、利用权、更正删除权等,但不能和自然人一样,完全按照本编第六章隐私权和个人信息保护的相关规定进行适用。
信用信息,特别是企业信用信息,也是政府管理机制重要内容,法人、非法人组织的信用信息是政府机构信息资源管理以及数据库建设的主要对象。因此,本条规定不仅适用个人信息保护的规定,还要适用其他法律、行政法规的有关规定。
(二)信用信息与数据
信用信息与数据在理论上有联系。《民法典》第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。根据学者的观点,数据是信息的表现形式和载体,而信息是数据的内涵,信息加载于数据之上,对数据所具有的含义进行解释。
信息依赖数据表达,数据则生动具体地表达信息。数据本身没有意义,只有对实体行为产生影响时才成为信息。[5]数据是信息的表现形式。在互联网时代,其主要就是指以电子化方式存储的信息。
民法中所保护的个人信息是依法受到保护,不可交易的可识别性的数据的总和。
由此可见,信用信息是数据的特别形式。因此,信用信息应当适用关于信息保护的特别规定,而非关于数据保护的规定。
(三)个人信用信息的民法保护
如果禁止个人信用信息的披露,会妨碍相对人决策的制定,增加交易成本。然而允许对个人信用信息毫无限制地披露则无异于是对个人权利的践踏。因此,在允许个人信用信息开放的同时,必须加强对个人信用信息的保护。
我国非常重视对个人信用信息的保护。《社会信用体系建设规划纲要(2014—2020年)》中明确指出,建立信用信息分类管理制度。制定信用信息目录,明确信用信息分类,按照信用信息的属性,结合保护个人隐私和商业秘密,依法推进信用信息在采集、共享、使用、公开等环节的分类管理。
加大对贩卖个人隐私和商业秘密行为的查处力度,建立信用信息侵权责任追究机制。制定信用信息异议处理、投诉办理、诉讼管理制度及操作细则。
2013年1月21日,为规范征信活动,保护当事人合法权益,引导、促进征信业健康发展,推进社会信用体系建设,国务院公布《征信业管理条例》。这些行政法规、政府规章对征信机构、信用信息处理者等征信行为进行规范以实现对个人信息的保护。
《征信业管理条例》适用于在我国境内从事个人或企业信用信息的采集、整理、保存、加工,并向信息使用者提供的征信业务及相关活动。《征信业管理条例》对征信机构、信息提供者和信息使用者的行为,以及征信机构的监督管理进行了全面规范。
除此之外,中国人民银行作为征信机构的监督管理机构,还制定了《征信机构管理办法》,对征信机构的设立、变更、终止等内容进行了规定,加强了征信机构公司伦理风险防控和信息安全等方面的管理。本条所准用的相关法律、法规,除了《民法典》人格权编有关个人信息保护的规定外,主要还包括《
个人信息保护法》《
网络安全法》《
消费者权益保护法》《
电子商务法》及上述《征信业管理条例》等多部
法律法规对个人信息保护问题所作出的规定。
适用指引
《民法典》人格权编确立的对个人信用信息保护的规定
本条规定,民事主体与征信机构等信用信息收集者、控制者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。关于本编有关个人信息保护的规定,主要包含以下内容:
(一)采集信用信息以被征信人的同意为前提
根据《民法典》第1035条的规定,一般情况下采集个人信用信息需要征得该自然人或其监护人的同意,但是法律、行政法规另有规定的除外。即如果法律、行政法规规定不需要权利人或其监护人同意,采集个人信用信息也可以不经其或其监护人同意。
(二)保护个人信用信息的准确性
《民法典》第1036条赋予了信息权利人知情权、异议权和要求更改权。第1037条规定:“自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。”
《个人信息保护法》第8条规定:“处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。”第46条规定:“个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。”第47条规定:“有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除……”所谓知情权是指权利人在一定的前提下查询本人信用信息的权利。所谓异议权是指权利人对自己信用信息中不真实的信息,有提出不同意见的权利。更改权是指权利人对自己信用信息中不真实的信息,有提出修改的权利。
后两项权利在《美国公平信用报告法》中的规定是对正确性提出争议和解决的程序:如果消费者对其档案中任何信息的完整性和准确性提出争议,且消费者将该争议直接通知该机构,该机构必须自接到该通知之日起30日内免费进行重新调查,并将此及时通知所有相关争议信息的提供者。
不准确的信息必须被纠正或删除。此项权利的规定,一方面对征信机构信息的准确性起到监督作用,另一方面赋予消费者维护自己合法利益的权利。
《欧盟数据保护指南》要求欧盟每个成员国都要制定管理“个人数据处理”的法律,以保证个人有权使用并有机会更正他们被处理的信息。作为最低限度,这些法律必须允许数据主体有权函索证实与其有关的个人数据是否存在,要以容易理解的方式将这些数据传输给他们,并标示信息来源以及信息的全面使用情况。
在“指南”指导下的国家法律还必须允许数据主体有权更正、取消或者阻止不正确或不完整数据的传送,数据处理者必须告知所要收集数据的主体。美国和欧盟的有关规定,都是从法律的角度对数据的准确性与完整性保护作出规定。
(三)个人信用信息安全的保护
《民法典》第1038条规定:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”第1039条规定:“国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”
《个人信息保护法》第51条规定:“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施。”安全管理对权利人权益保障至关重要,无论是信息提供者还是征信机构等信用信息的收集者、控制者对信息的采集、存储和报送都要采取严密的保护措施,防止个人信息被窃取、篡改、毁损、灭失或泄露。
除此之外,《征信业管理条例》在征信业务活动中保护个人信息安全方面也有全面的规定。主要包括以下内容:
一是明确个人征信业务规则。除采集个人信息应当经信息主体本人同意外,规定向征信机构提供个人不良信息的,应当事先告知信息主体本人;征信机构对个人不良信息的保存期限不得超过5年,超过的应予删除;除法律另有规定外,他人向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途,征信机构不得违反规定提供个人信息。
二是明确规定禁止和限制征信机构采集的个人信息,包括:禁止采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息;征信机构不得采集个人的收入、存款、有价证券、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。
三是明确规定个人对本人信息享有查询、异议和投诉等权利,包括:个人可以每年免费两次向征信机构查询自己的信用报告;个人认为信息错误、遗漏的,可以向征信机构或信息提供者提出异议,异议受理部门应当在规定时限内处理;个人认为合法权益受到侵害的,可以向征信业监督管理部门投诉,征信业监督管理部门应当及时核查处理并限期答复。
个人对违反《征信业管理条例》规定,侵犯自己合法权利的行为,还可以依法直接向人民法院提起诉讼。四是严格法律责任,对征信机构或信息提供者、信息使用者违反《征信业管理条例》规定,侵犯个人权益的,由监管部门依照《征信业管理条例》的规定给予行政处罚;造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
