论我国征信机构营业的法律风险及其防范

阳建勋 邓成明

摘要：我国征信机构在信息采集与储存、信息异议与不良信息、信息使用等方面面临着诸多法律风险，既可能因为损害个人隐私、企业商业秘密及企业商誉等承担侵权责任，也可能因为违反国家规定使用信用或提供错误的信用报告承担责任。尽管现行征信立法未能就上述风险在征信机构、信息提供者与信息使用者之间明确责任分担及其构成要件，但是征信机构在日常营业中应当采取切实措施加以防范。

关键词：征信机构；营业风险：风险防范

文章编号：1003-4625（2015）02-0057-04

中图分类号：F832.39

文献标志码：A

一、我国征信机构营业活动的主要法律风险

（一）信息采集、保存等所面临的法律风险

（1）信息采集对个人信息存在侵害风险。由于征信信息的采集可能涉及个人隐私信息，征信机构可能会因为采集了公民个人的非公开信息而侵犯个人的隐私权，由此承担侵权责任。美国的《公平信用报告法》规定信用报告机构应当公平、中立地履行职责，并尊重消费者的隐私权。《欧盟数据保护指令》第1条也要求成员国保护与个人数据处理相关的隐私权。

我困《侵权责任法》第2条第2款规定的民事权益，包括生命权、肖像权、荣誉权及隐私权等人身、财产权益，从而明确将隐私权纳入了保护范畴。2013年最新修订的《消费者权益保护法》第14条规定了消费者享有个人信息依法得到保护的权利。《征信业管理条例》（以下简称《条例》）第3条规定从事征信业务及相关活动不得侵犯个人隐私。依据《条例》第14条规定，征信机构不得采集个人信息包括宗教信仰、基因、指纹、血型、疾病和病史等方面的信息；经征信机构明确告知提供该信息可能产生的不利后果并取得信息主体书面同意，可以采集的个人信息包括个人的收入、存款、有价证券、商业保险、不动产及纳税数额等方面的信息。前者是绝对隐私信息，即绝对禁止征信机构以任何理由、任何形式采集该类信息；后者属于相对隐私信息，即在征得信息主体书面同意的前提下，可以纳入征信系统。不过，需要注意的是，该条规定对于个人信息的保护范围远远小于民法上的隐私权保护范围。就理论分析而言，个人征信信息的采集与隐私权的保护之间存在一定的现实冲突，平衡这种冲突的立法选择最终取决于公共利益与个人利益的平衡。我国有关个人信息保护的法律规定散见于《民法通则》的人格权规定、全国人大常委会颁布的《加强网络信息保护的决定》《消费者权益保护法》第14条及《条例》的相关规定，尚未有专门的个人信息保护立法。在金融领域，金融消费者的个人信息保护问题随着近年来社会征信体系建设的推进备受社会关注。面对法律规定的缺失，法学界不少人寄希望于通过“金融隐私权”的方式加强金融领域的个人信息保护。但也有人认为，个人信息资料不完全属于隐私的范畴，个人信息与个人隐私尽管在内容上存在一定的重合，但是整体上而言个人信息概念远远超出隐私信息的范围，故个人信息资料权不宜纳入隐私权的范畴，而应当是相对独立于隐私权的一种权利，未来“人格权法”应当明确规定个人信息权。鉴于我国现行个人信用信息保护的立法滞后于现实需求，还没有实现征信专门立法与一般性的民法保护之间的协调，因此我国征信机构不仅要依据《条例》采集个人信用信息，而且要严格依据民法及其他法律中个人信息保护的相关规定采集个人信用信息。

（2）信息采集对企业商业秘密及企业商誉存在侵害的风险。依据《条例》第21条第1款的规定，征信机构采集企业信用信息的渠道主要有：信息主体自身提供；交易相对方提供；行业协会提供；有关政府部门依法公开及法院依法公布裁判等。同时，征信机构不得采集法律、行政法规禁止采集的信息。如属于商业秘密的企业经营信息和技术信息就不属于征信机构的信息采集范围。这就需要征信机构在信息采集的过程中依法对企业信息予以判断。

（3）征信机构在信息存储方面存在的风险。2012年3月，央视3.15晚会曝光银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户银行卡账号被盗。这个典型的数据信息泄密事件凸显了网络时代征信机构在信息存储方面存在的现实风险。为防范信息存储方面的风险，征信机构应当按照国家信息安全保护等级测评标准，对信用信息系统的安全情况进行测评。依据《征信机构管理办法》第31条规定，信用信息系统安全保护等级为二级的，应当每两年进行测评；等级为三级及以上的，应当每年进行测评。征信机构出现可能发生信息泄露征兆的，将会受到中国人民银行及其分支机构的重点监管。

（二）信用信息异议与不良信息方面的法律风险

（1）信用信息异议的含义。所谓信用信息异议是指信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的，向征信机构或者信息提供者提出异议，要求更正。

（2）信息主体的信息异议权与征信机构的核查义务。《条例》第25条赋予了信息主体以异议权，同时对征信机构课予核查义务。征信机构收到异议后，应按照规定对相关信息作出存在异议的标注，进行核查和处理并将结果书面答复异议人。异议处理期限是20日，自收到异议之日算起。处理结果有三种情形：一是相关信息确有错误、遗漏，征信机构予以更正；二是相关信息不存在错误、遗漏，则取消异议标注；三是经核查后仍然不能确认是否存在错误或遗漏的，就将核查情况和异议内容予以记载。

（3）不良信息方面的法律风险。不良信息是指对信息主体的信用状况具有不良影响的负面信息。不良信息包括信息主体在借贷、保险等经济活动中未按照合同履行义务的相关信息，有的甚至将手机欠费、水电欠费等相关信息都纳入了信用信息范围。不良信息还包括对信息主体的行政处罚信息，如环保部门对企业的环境处罚信息、税务部门对企业的欠税公告信息、质量技术监督部门对企业制售假冒伪劣商品的处罚信息等。另外，要求信息主体履行义务的法院裁判及强制执行等也往往被视为是不良信息。由于不良信息对于信用主体的信用状况具有负面影响，一旦征信机构在采集或提供不良信息时违反法律规定，就极有可能被信用主体诉其侵权。

（三）信息使用方面的法律风险

《条例》对征信机构在信息使用方面规定了较多的义务，征信机构如果不能履行这些义务就要承担相应的法律责任。此即征信机构在信息使用方面所面临的主要法律风险。

（1）遵循信息主体书面同意原则才提供查询的义务。信息使用者需要查询个人信息的，除法律另有规定外，征信机构只有在信息使用者取得了信息主体本人书面同意并约定用途后才能提供查询服务。征信机构违反上述规定提供查询服务给信息主体合法权益造成了损害的，应当承担侵权责任。

（2）格式合同的提示说明义务。从法律视角看，征信机构为取得个人信息主体书面同意而与之签订的协}义是一种格式合同。这种合同条款是征信机构事先提供的，在签订合同过程中也未与对方协商。此种做法确实能够提高效率，有助于提供经济效益也是格式合同在现代社会中盛行的重要原因，但是需要征信机构应当注意防范相关法律风险。因为《合同法》《消费者权益保护法》及《条例》等相关法律法规都明确规定了作为格式合同提供方的征信机构，负有提示说明义务，即应当在签订协议时按照信息主体的要求作出明确说明，并作出足以引起信息主体注意的提示。此种提示说明义务应当是征信机构的主动义务，即无论信息主体是否要求说明，征信机构都要向对方明确予以说明。否则，征信机构不能据此免责。

（3）征信机构工作人员的依法依规查询与保密义务。征信机构应当明确规定其工作人员查询个人信息的权限与程序，并对查询情况进行登记。工作人员负有依照规定的权限和程序查询信息的义务，对于工作中获取的信息负有保密义务。

（4）相对保障信息准确性的义务。征信机构应当采取合理措施，确保其提供信息的准确性。需要明确的是，这并未规定征信机构绝对负有保障其所提供信息准确的义务，只是一种相对性的义务，即只要尽到了采取合理措施的义务即可。

（5）禁止关联信任报告的问题。由于征信活动存在道德风险，我国有些地方性的征信规定，如《上海企业信用征信管理试行办法》第11条和《江苏省企业信用征信管理暂行办法》第20条明确禁止关联信用报告。所谓关联信用报告，是指由与被征信企业之问存在可能影响征信活动公正性的资产关联或者其他利害关系的征信机构出具的有关该企业信用状况的征信产品。尽管后来制定的《条例》及《征信机构管理办法》没有明确规定征信机构禁止出具关联信用报告的义务，但是从法理上分析，为克服征信活动的道德风险，防范金融风险和维护金融稳定，征信机构理应承担此义务。此外，尽管征信立法没有赋予其义务，但是从公司法上的关联交易规定也可以推断出征信机构应当承担此义务。

二、征信机构因以上风险可能承担的法律责任

（一）征信机构侵权责任的构成要件

一般侵权责任具有四个构成要件：一是加害人实施了侵害行为；二是侵害行为给受害人造成损害结果；三是加害人对其侵害行为具有主观过错，包括故意与过失；四是侵害行为与损害结果之间具有因果关系。征信机构要对其征信业务活动承担侵权责任是否需要具备以上四个构成要件尚存在争议。如在《条例》之前的地方征信立法中，对于征信机构主观要件的要求并不一致。《湖南省企业信用办法》第51条规定：“信用信息提供人、被征信企业或个人因故意或重大过失向征信机构提供虚假或伪造的信用信息；或信用信息使用人违法使用企业或个人信用信息，侵犯企业合法权益或个人隐私，给当事人造成损失的，依法承担民事责任。”该办法采取的是故意注意与重大过失原则。上海、浙江、湖北及四川等省市的做法与湖南省类似。有的地方性规章如《苏州市企业信用信息管理办法》却并不对主观要件进行考察，而注重结果，实行严格责任原则。

《条例》第38条规定，征信机构违反业务规则侵犯信息主体合法权益并给信息主体造成损害的，依据该规定，征信机构对其征信活动承担侵权责任的主观要件是故意与过失。

（二）征信机构与信息提供者之间的责任分担

（1）《条例》之前的地方性立法规定。已经有学者将《条例》之前地方性立法关于征信机构与信息提供者之间的责任分担归结为三种模式：一是信息源责任，明确要求信息提供人要保证信息的合法性、直实性，以《深圳市企业信用信息管理办法》第16条规定为代表；二是试图区分信息提供人和征信机构之间的责任，既要求信息提供人对信息的“合法性、直实性”负责，又要求征信机构保持信息的“原始性、准确性、完整性”，实际上由于客观上难以界分以上义务性要求的内涵而无法界定双方的民事责任；三是要求征信机构负有核实责任与不良信息纠正责任，并保证信息的“真实性和合法性”。

（2）《条例》关于征信机构与信息提供行之间的责任分担。《条例》第32条要求征信机构保障其提供信息的准确性。信息主体认为征信机构提供的信息不准确而侵害了其合法权益时，可以依据《条例》第26条第3款规定直接向人民法院起诉。《条例》在“法律责任”章的第41条规定：“信息提供者违反本条例规定，向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信，未事先告知信息主体本人，情节严重或者造成严重后果的，由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款；对个人处1万元以上5万元以下的罚款。”从以上规定来看，《条例》尚未对征信机构与信息提供者之间的责任划分做出明确的规定，甚至于都没有在“法律责任”章像第38条规定征信机构承担侵权责任的具体情形那样规定信息提供并应当对哪些行为承担责任。

（三）信用报告的法律性质及其责任分担

在征信机构所提供的征信产品中，信用报告是其核心产品，可以分为个人信用报告与企业信用评级报告。鉴于信用报告在金融业活动中的广泛运用及其对信息主体金融活动的重大影响，尤其是美国次贷危机中世界三大信用评级机构的糟糕表现，社会要求信用评级机构对其信用报告承担法律责任的呼声日渐高涨。而要求其承担法律责任的关键所在是如何确认信用报告的法律性质。美国早期的司法案件中，评级机构被成功起诉过的案件非常少。这主要是因为信用评级机构被定义为新闻业者，而评级结果被当做是一种“意见”，从而受到了美国宪法第一修正案对新闻出版与言论自由的保护。但是评级机构在实践中扮演的角色与“新闻业者”并不一致：评级机构从发行人（即信息使用者）处获得报酬，积极参与金融产品的交易，并且其评级被诸多法律当做一种“基准”或监管许可。美国法院鉴于这些因素不再对信用评级机构给予美国宪法第一修正案的保护，而使其承担应有的责任。