論我國(guó)征信使用泛化的立法控制
——以信用信息的收集和使用為視角

劉 維

(上海交通大學(xué) 凱原法學(xué)院，上海 200030)

我國(guó)信用聯(lián)合獎(jiǎng)懲機(jī)制備受?chē)?guó)內(nèi)外關(guān)注，其中，行政權(quán)力的運(yùn)行邊界及對(duì)收集使用信用信息的約束是最為學(xué)者關(guān)注的兩大問(wèn)題。國(guó)內(nèi)有代表性觀點(diǎn)認(rèn)為，社會(huì)信用體系存在有效性邊界，更存在致命的合法性問(wèn)題[1]。國(guó)外有觀點(diǎn)認(rèn)為，無(wú)處不在的監(jiān)控、日益成熟的大數(shù)據(jù)技術(shù)、高度滲入市場(chǎng)的政府，以及政府與大公司之間的信息合作，毫無(wú)限制地收集、轉(zhuǎn)移個(gè)人信息，對(duì)個(gè)人的評(píng)價(jià)只是體現(xiàn)為一個(gè)“信用數(shù)值”，個(gè)人據(jù)此享受相應(yīng)的優(yōu)惠或劣等待遇，由此產(chǎn)生的“法外之地”將成為一套替代性的法律體系[2]。

本文關(guān)注的是使用機(jī)構(gòu)基于何種合法性基礎(chǔ)收集信用信息并基于何種規(guī)則使用信用信息，不涉及信用聯(lián)合獎(jiǎng)懲行政權(quán)力性質(zhì)的研究。我國(guó)現(xiàn)行法對(duì)本文關(guān)注的問(wèn)題缺乏明確規(guī)定，學(xué)術(shù)界對(duì)相關(guān)法理的研究亦付之闕如。我國(guó)《民法典》第1030條規(guī)定：民事主體與征信機(jī)構(gòu)等信用信息處理者之間的關(guān)系，適用本編有關(guān)個(gè)人信息保護(hù)的規(guī)定和其他法律、行政法規(guī)的有關(guān)規(guī)定。這條規(guī)定，一方面厘清了個(gè)人信息與信用信息之間的關(guān)系，另一方面為社會(huì)信用立法和個(gè)人信息保護(hù)立法留下了空白，提出了規(guī)范的要求。我國(guó)理論界對(duì)個(gè)人信息自決權(quán)存在認(rèn)識(shí)上的誤區(qū)，導(dǎo)致信用信息的收集機(jī)制僵化；且由于信用信息的使用規(guī)則不完善，導(dǎo)致征信使用泛化，公共權(quán)力滲透到市場(chǎng)領(lǐng)域，形成了“一處失信、處處受限”的錯(cuò)誤觀念，實(shí)踐中的問(wèn)題凸顯。

本文第一部分在界定信用信息屬性的基礎(chǔ)上，介紹了信用信息的基本類(lèi)型，旨在為本文的分析提供基本的分析工具和分析框架。第二部分梳理我國(guó)信用信息收集和使用的現(xiàn)行規(guī)則，指出了當(dāng)前信用信息收集和使用中存在的主要問(wèn)題，即同意機(jī)制僵化和征信使用泛化。第三部分研究收集信用信息的合法性基礎(chǔ)及最佳的制度安排。這部分通過(guò)對(duì)退出機(jī)制和同意機(jī)制兩種不同機(jī)制展開(kāi)功能和體系上的比較，發(fā)現(xiàn)兩者在信用場(chǎng)景中呈現(xiàn)融合趨勢(shì)，進(jìn)而給出了相關(guān)制度建議。第四部分研究信用信息的使用規(guī)則，認(rèn)為應(yīng)當(dāng)根據(jù)不同類(lèi)型的使用機(jī)構(gòu)、不同使用行為的法理基礎(chǔ)建立差異化的使用規(guī)則，強(qiáng)化目的限定原則(1)《個(gè)人信息保護(hù)法(草案)》第6條規(guī)定：處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得進(jìn)行與處理目的無(wú)關(guān)的個(gè)人信息處理。的指引功能。

一、信用信息的屬性和類(lèi)型

明確信用信息的屬性和類(lèi)型，是規(guī)制信用信息收集和使用行為的基礎(chǔ)，可依此確定規(guī)制信用信息收集和使用行為的法律，應(yīng)區(qū)分不同類(lèi)型的信用信息和不同的使用場(chǎng)景以便討論不同的規(guī)則。

信用信息是一種體現(xiàn)信用主體信用狀況的信息(2)《上海市社會(huì)信用條例》第2條第2款規(guī)定：本條例所稱(chēng)社會(huì)信用信息是指可用以識(shí)別、分析、判斷信息主體守法、履約狀況的客觀數(shù)據(jù)和資料；《河北省社會(huì)信用信息條例》第3條規(guī)定：本條例所稱(chēng)社會(huì)信用信息是指可用以識(shí)別、分析、判斷具有完全民事行為能力的自然人、法人和非法人組織(以下簡(jiǎn)稱(chēng)信用主體)遵守法律、法規(guī)和規(guī)章，履行法定義務(wù)或者約定義務(wù)狀況的客觀數(shù)據(jù)和資料。。首先，信用信息具有識(shí)別性，是能夠識(shí)別特定主體的信息，這就決定了其法律適用的依據(jù)。我國(guó)《征信業(yè)管理?xiàng)l例》和各省市的信用立法均以識(shí)別性作為信用信息的特征。一些沒(méi)有針對(duì)信用信息進(jìn)行特別立法的國(guó)家或地區(qū)，以《個(gè)人信息保護(hù)法》或特定行業(yè)中的個(gè)人信息法作為規(guī)制信用信息的法律(3)如，《德國(guó)信息保護(hù)法》規(guī)定了信用信息收集處理的特別條款；美國(guó)沒(méi)有綜合性的個(gè)人信息保護(hù)法，但在各行業(yè)中存在相關(guān)法案。，我國(guó)《民法典》第1030條也做了相同處理。其次，信用信息具有場(chǎng)景屬性，其承載著特定主體的信用狀況，需要區(qū)分不同場(chǎng)景設(shè)定差異化的規(guī)則。一則信息在不同的場(chǎng)景中具有不同的屬性，只有被用于評(píng)價(jià)用戶(hù)信用狀況時(shí)才具有信用屬性。比如用戶(hù)向銀行貸款，一旦銀行同意貸款則產(chǎn)生了該用戶(hù)的貸款信息，只有該信息被用于評(píng)估用戶(hù)履約能力時(shí)，才具有信用屬性；如果被用于婚戀場(chǎng)景，則只是體現(xiàn)信用主體的資產(chǎn)能力，不具有信用屬性。

公共領(lǐng)域和市場(chǎng)領(lǐng)域及公共機(jī)構(gòu)和市場(chǎng)主體，是界定信用信息使用場(chǎng)景及相關(guān)規(guī)則的基本分析框架。信息的場(chǎng)景理論認(rèn)為，不同場(chǎng)景決定了不同信息的收集和使用規(guī)則，因此，需要根據(jù)具體場(chǎng)景來(lái)判斷信息的收集和使用是否恰當(dāng)，而不是籠統(tǒng)地進(jìn)行肯定或否定?！爱?dāng)某種個(gè)人信息被分享了，其實(shí)我們并不介意信息本身被分享了，而是說(shuō)以錯(cuò)誤的、不合適的方式被分享了?！盵3]143產(chǎn)生和使用信用信息的領(lǐng)域不同，處理信用信息的主體不同，信用信息治理的功能就會(huì)不同，不同信用信息具有的風(fēng)險(xiǎn)指標(biāo)也會(huì)不同。通常認(rèn)為，基于公共利益和信息隱私利益、行政法定和市場(chǎng)自治的基本區(qū)分，公共信用和市場(chǎng)信用是信用信息的基本分類(lèi)[3]90，公共信用信息是指國(guó)家機(jī)關(guān)以及法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織等信息提供單位依照法律規(guī)定，在履行職責(zé)或提供社會(huì)公共服務(wù)過(guò)程中所產(chǎn)生的反映主體信用狀況的信息；市場(chǎng)信用信息是指企業(yè)事業(yè)單位等信息提供單位依照法律規(guī)定，在生產(chǎn)經(jīng)營(yíng)活動(dòng)中所產(chǎn)生的反映主體信用狀況的信用信息(4)我國(guó)實(shí)踐中基本采納這種分類(lèi)，如：《征信業(yè)管理?xiàng)l例》第2條第2款和第3款規(guī)定根據(jù)企業(yè)、金融機(jī)構(gòu)、國(guó)家機(jī)關(guān)等不同主體的類(lèi)型進(jìn)行分類(lèi)；《上海市社會(huì)信用條例》第8條規(guī)定本條例所稱(chēng)社會(huì)信用信息分為公共信用信息和市場(chǎng)信用信息。。

二、信用信息收集和使用規(guī)則存在的主要問(wèn)題

我國(guó)法律法規(guī)有關(guān)信用信息的收集規(guī)定以信息主體的同意為原則，但在信用信息的應(yīng)用階段卻存在突破同意機(jī)制的沖動(dòng)，從而產(chǎn)生了諸多現(xiàn)實(shí)問(wèn)題。

(一)同意機(jī)制僵化

我國(guó)關(guān)于公共信用的信息收集缺乏專(zhuān)門(mén)的規(guī)范。鑒于公共信用與政府信息之間存在一定程度的交疊，《政府信息公開(kāi)條例》能夠規(guī)范部分公共信用的信息收集(5)2020年7月22日，國(guó)家發(fā)展改革委、人民銀行發(fā)布《關(guān)于進(jìn)一步規(guī)范公共信用信息納入范圍、失信懲戒和信用修復(fù)構(gòu)建誠(chéng)信建設(shè)長(zhǎng)效機(jī)制的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》第三(五)條規(guī)定：公共信用信息的認(rèn)定部門(mén)應(yīng)當(dāng)按照政府信息公開(kāi)或其他有關(guān)規(guī)定，在本部門(mén)、本級(jí)政府門(mén)戶(hù)網(wǎng)站或其他指定的網(wǎng)站公開(kāi)相關(guān)信息。?！墩畔⒐_(kāi)條例》以信息公開(kāi)為原則，以不公開(kāi)為例外。這表明對(duì)于落在政府信息范疇內(nèi)的公共信用信息，應(yīng)當(dāng)編制成目錄進(jìn)行公示并原則上可以被收集。但對(duì)于政府信息范疇以外的信用信息，收集規(guī)則不明確，原則上都應(yīng)受制于信用主體的信息自決權(quán)。

當(dāng)前，我國(guó)市場(chǎng)信用信息收集機(jī)制僵化。個(gè)人信息保護(hù)立法和實(shí)踐均以個(gè)人信息自決為理論基礎(chǔ)(6)我國(guó)學(xué)術(shù)界主流觀點(diǎn)認(rèn)為要對(duì)個(gè)人信息主體進(jìn)行賦權(quán)，立法也基本吸收了個(gè)人信息控制理論，賦予信息主體對(duì)其信息流轉(zhuǎn)的同意權(quán)。，以信息主體的同意為原則，“個(gè)人可以決定向誰(shuí)告知哪些和他相關(guān)的信息，哪些可以隱瞞”[4]。依照《征信業(yè)管理?xiàng)l例》的規(guī)定(7)《征信業(yè)管理?xiàng)l例》第20條規(guī)定：信息使用者應(yīng)當(dāng)按照與個(gè)人信息主體約定的用途使用個(gè)人信息，不得用作約定以外的用途，不得未經(jīng)個(gè)人信息主體同意向第三方提供。，收集和使用市場(chǎng)信用信息需要遵循用戶(hù)同意原則，信息主體擁有控制權(quán)。如果市場(chǎng)主體之間要相互推送、共享市場(chǎng)信用信息，則必須向信息主體明確告知信息收集使用的目的、方式和范圍，并經(jīng)信息主體同意。我國(guó)法律和其他規(guī)范沒(méi)有在同意機(jī)制以外規(guī)定收集和使用信用信息的情形(8)《信息安全技術(shù)個(gè)人信息安全規(guī)范》第5.6條征得授權(quán)同意的例外條款中規(guī)定了11種情形，不包含為信用治理目的而收集信息的情形。。

個(gè)人信息控制理論的抽象性和靜態(tài)性忽視了個(gè)人信息的其他道德及公共價(jià)值，難以適應(yīng)多樣化和復(fù)雜化的信息收集使用場(chǎng)景，也“難以就如何回應(yīng)驅(qū)動(dòng)新型信息實(shí)踐的價(jià)值挑戰(zhàn)提出足夠的指引”[3]158。這就導(dǎo)致了個(gè)人信息控制理論備受質(zhì)疑。用戶(hù)同意原則容易導(dǎo)致信用信息收集使用的僵局，無(wú)法滿(mǎn)足風(fēng)險(xiǎn)防控的現(xiàn)實(shí)需求。沒(méi)有用戶(hù)愿意信用服務(wù)機(jī)構(gòu)和使用機(jī)構(gòu)收集其負(fù)面信用信息(9)負(fù)面信用信息是指體現(xiàn)信息主體負(fù)面信用狀況的信息。《征信業(yè)管理?xiàng)l例》第44條第3款羅列了負(fù)面信用信息的種類(lèi)，包括：信息主體在借貸、賒購(gòu)等活動(dòng)中未按照合同履行義務(wù)的信息，對(duì)信息主體的行政處罰信息，人民法院判決或者裁定信息主體履行義務(wù)或被強(qiáng)制執(zhí)行的信息，以及國(guó)務(wù)院征信業(yè)監(jiān)督管理部門(mén)規(guī)定的其他不良信息。并進(jìn)而對(duì)其聯(lián)合懲戒，因此一旦用戶(hù)拒絕，那么信用服務(wù)機(jī)構(gòu)便無(wú)法收集市場(chǎng)信用信息。雖然可以通過(guò)信用服務(wù)的購(gòu)買(mǎi)使用協(xié)議取得用戶(hù)授權(quán)，但是如果用戶(hù)不同意可能就得不到信用服務(wù)，或者得不到等值等量的信用服務(wù)，因此這樣的授權(quán)顯然流于形式，而且還容易導(dǎo)致用戶(hù)以為信用服務(wù)機(jī)構(gòu)通過(guò)強(qiáng)制授權(quán)或捆綁授權(quán)的方式侵害其權(quán)益。例如銀行授信的情形，如果用戶(hù)不授權(quán)銀行查詢(xún)征信中心的數(shù)據(jù)則用戶(hù)不能貸款，用戶(hù)雖然表面上有授權(quán)但實(shí)際上是沒(méi)有選擇的結(jié)果。

(二)征信使用泛化

針對(duì)信用信息的使用，我國(guó)在法律層面缺乏專(zhuān)門(mén)立法予以規(guī)制。《民法典》第1035條規(guī)定應(yīng)當(dāng)經(jīng)過(guò)信用主體的同意才能處理個(gè)人信息，但將信用信息的使用規(guī)則交給社會(huì)信用立法或個(gè)人信息保護(hù)立法去處理。然而，實(shí)踐中的做法卻走在了立法規(guī)定之前。

各機(jī)構(gòu)對(duì)公共信用信息的共享和使用在實(shí)踐中幾乎不受約束。一些政策文件明確規(guī)定行政主體可以將公共信用信息與市場(chǎng)主體共享，如國(guó)家知識(shí)產(chǎn)權(quán)局2019年發(fā)布的《專(zhuān)利領(lǐng)域嚴(yán)重失信聯(lián)合懲戒對(duì)象名單管理辦法(試行)》第20條規(guī)定：國(guó)家知識(shí)產(chǎn)權(quán)局可依申請(qǐng)將嚴(yán)重失信主體聯(lián)合懲戒對(duì)象名單推送給相關(guān)行業(yè)協(xié)會(huì)、專(zhuān)業(yè)服務(wù)機(jī)構(gòu)、平臺(tái)型企業(yè)等，實(shí)施社會(huì)共治。這種規(guī)定只是當(dāng)前行政機(jī)構(gòu)共享和使用信用信息的一個(gè)“縮影”。

行政主體之間對(duì)公共信用信息可以任意共享，行政主體對(duì)市場(chǎng)信用信息的使用也不受約束。我國(guó)政策上鼓勵(lì)“一口采集、充分共享”(10)國(guó)家發(fā)展改革委、人民銀行發(fā)布的《關(guān)于進(jìn)一步規(guī)范公共信用信息納入范圍、失信懲戒和信用修復(fù)構(gòu)建誠(chéng)信建設(shè)長(zhǎng)效機(jī)制的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》第三(三)條。，并且要“形成行政性、市場(chǎng)性和行業(yè)性等懲戒措施多管齊下，社會(huì)力量廣泛參與的失信聯(lián)合懲戒大格局”(11)參見(jiàn)《國(guó)務(wù)院辦公廳關(guān)于加快推進(jìn)社會(huì)信用體系建設(shè)構(gòu)建以信用為基礎(chǔ)的新型監(jiān)管機(jī)制的指導(dǎo)意見(jiàn)》第10條。，即所謂“一處失信、處處受限，一時(shí)失信、長(zhǎng)期受限”。

由于信用信息使用邊界不清，有些地方政府對(duì)信用聯(lián)合懲戒制度的執(zhí)行存在誤解，出臺(tái)的規(guī)范性文件又對(duì)信用信息的不當(dāng)使用推波助瀾，導(dǎo)致了征信使用泛化。實(shí)踐中，行政主體通過(guò)分析信用主體的信用情況，不僅可以在本系統(tǒng)內(nèi)限制信用主體獲取公共資源，還可以將信用信息推送給其他行政主體，從而借信用聯(lián)合獎(jiǎng)懲機(jī)制將行政權(quán)力滲透到市場(chǎng)領(lǐng)域，或者使信用主體的違法行為受到雙重或多重評(píng)價(jià)。

三、信用信息收集規(guī)則的完善

信用信息收集規(guī)則的完善，有賴(lài)于正確理解個(gè)人信息控制理論，正確理解信息收集的不同機(jī)制在信用場(chǎng)景中的使用異同，從而發(fā)現(xiàn)其內(nèi)在的制度邏輯。

(一)信息主體行使信息自決權(quán)的限制

現(xiàn)代社會(huì)中的個(gè)人信息承載著多重利益，不僅僅體現(xiàn)為私人利益(私人的人格利益和財(cái)產(chǎn)利益)，還承載著其他信息控制者的利益(如平臺(tái)利益)，以及公共利益，即所謂的“個(gè)人隱私具有普遍價(jià)值(common value)、公共價(jià)值(public value)和集體價(jià)值(collective value)”[5]。對(duì)個(gè)人信息利用的調(diào)整不應(yīng)當(dāng)只考慮保護(hù)信息主體的私人利益，還應(yīng)當(dāng)尊重信息控制者的利益和公共利益，如“為實(shí)現(xiàn)公共利益所必要時(shí)，個(gè)人又必須讓渡個(gè)人信息上的部分或全部權(quán)利，以保障公共利益的實(shí)現(xiàn)”[6]。

在用戶(hù)同意規(guī)則之外設(shè)定收集個(gè)人信息的合法事由，是信息隱私保護(hù)在現(xiàn)代風(fēng)險(xiǎn)社會(huì)和新技術(shù)時(shí)代的重要命題?！凹夹g(shù)和社會(huì)改變了時(shí)代及信息使用的方式，誕生于政治范疇的隱私概念——個(gè)體對(duì)個(gè)人信息披露和使用的控制——已經(jīng)逐漸失去其卓越地位?！盵7]17信息場(chǎng)景理論認(rèn)為，應(yīng)更多地反思信息作為公共和私人產(chǎn)品的隱私性質(zhì)；有必要以一種場(chǎng)景型和關(guān)系型的方式來(lái)理解隱私保護(hù)[7]24，強(qiáng)調(diào)具體場(chǎng)景分析的功能和實(shí)踐。美國(guó)信息隱私法針對(duì)金融、商業(yè)、勞動(dòng)、醫(yī)療、教育、媒體、政府等不同行業(yè)進(jìn)行相關(guān)立法，體現(xiàn)了尊重信息隱私的場(chǎng)景屬性?！爱?dāng)我們進(jìn)入信息隱私法領(lǐng)域時(shí)，很容易忘記信息這個(gè)概念總是基于場(chǎng)景的，具體場(chǎng)景是適用的條件，也是某一主體從事某種行為的具體背景，每一種場(chǎng)景都有各自獨(dú)立的規(guī)范信息流通的規(guī)則?！盵3]141美國(guó)學(xué)者認(rèn)為信息主體對(duì)其個(gè)人信息不擁有控制權(quán)，“信息主體是否控制信息取決于具體場(chǎng)景、信息類(lèi)型、信息主體、發(fā)送者和接收者”[3]148。這種觀念與根深蒂固的信息控制觀念截然不同，對(duì)信息流動(dòng)持更寬容的立場(chǎng)，“如果僅僅因?yàn)檫`反了既有的信息流動(dòng)規(guī)范，就簡(jiǎn)單地判斷其違法，這可能產(chǎn)生道德問(wèn)題，同樣無(wú)條件地接受其流動(dòng)也會(huì)產(chǎn)生問(wèn)題”[3]205。

信息場(chǎng)景理論因具有合理性而被廣泛認(rèn)可。信用信息的收集是一種特殊的場(chǎng)景，需要根據(jù)收集的目的、信用信息的不同類(lèi)型等具體情況分析收集信用信息的合法性基礎(chǔ)，比較法上有退出機(jī)制和同意機(jī)制兩種模式可供參考。

(二)退出機(jī)制與同意機(jī)制的外在區(qū)分

美國(guó)和德國(guó)的信用體系高度發(fā)達(dá)，盡管兩國(guó)沒(méi)有統(tǒng)一的《社會(huì)信用法》或類(lèi)似信用聯(lián)合懲戒的法律，但是它們或者在特定行業(yè)中制定了收集信用信息的法律如《美國(guó)公平信用報(bào)告法》，或者在個(gè)人信息保護(hù)法中有針對(duì)信用信息的規(guī)定，如《德國(guó)信息保護(hù)法》的有關(guān)規(guī)定。總體來(lái)說(shuō)，兩國(guó)沒(méi)有賦予信用信息主體對(duì)其個(gè)人信息的絕對(duì)控制權(quán)，它們或者出于防范特定場(chǎng)景下安全風(fēng)險(xiǎn)的目的而采取了不經(jīng)信用信息主體同意的機(jī)制即用戶(hù)退出機(jī)制，或者明確了不經(jīng)信用信息主體同意的法定例外規(guī)則即“用戶(hù)同意+例外”規(guī)則。

1.用戶(hù)退出機(jī)制及使用場(chǎng)景的限定

信用服務(wù)機(jī)構(gòu)提供的信用報(bào)告在美國(guó)發(fā)揮著重要作用，其記載著用戶(hù)的消費(fèi)和其他信用記錄，商家可基于特定需要獲取該信用報(bào)告，不需要經(jīng)過(guò)用戶(hù)的同意。比如，銀行為了確定是否同意申請(qǐng)人的貸款請(qǐng)求以及以何種利率發(fā)放貸款，可向信用服務(wù)機(jī)構(gòu)申請(qǐng)查詢(xún)貸款人的信用報(bào)告，這些信用報(bào)告包含金融信息，如破產(chǎn)申請(qǐng)、判決和抵押、抵押贖回、支票賬戶(hù)等信息[8]。需要注意的是，商家并非在所有情形下都可查詢(xún)和獲取信用報(bào)告，信用服務(wù)機(jī)構(gòu)需要有合理的理由相信商家具有特定商業(yè)用途的目的，比如信用交易、保險(xiǎn)承擔(dān)等，為此必須建立事先詢(xún)問(wèn)機(jī)制，以確保信用報(bào)告用途的正當(dāng)性。美國(guó)案例法要求必須在法規(guī)列舉的情形中嚴(yán)格解釋“合法商業(yè)目的”，以防止使用機(jī)構(gòu)超出用途范圍獲取信用報(bào)告。

2.用戶(hù)同意機(jī)制及例外事由

在德國(guó)，盡管信用信息主體實(shí)際上并不具體閱讀合同中的授權(quán)條款，但信息主體的同意是信用服務(wù)機(jī)構(gòu)和商家收集信用信息的基本原則，《德國(guó)信息保護(hù)法》沒(méi)有對(duì)此設(shè)定例外情形。為“信用報(bào)告和信用分值計(jì)算”的目的處理個(gè)人信息，是該法第31條規(guī)定的特別情形，但該條沒(méi)有為信用場(chǎng)景規(guī)定同意機(jī)制的例外(12)《德國(guó)信息保護(hù)法》第31條第1款規(guī)定，為決定是否成立、履行或終止與自然人之間的合同關(guān)系，只有在如下情形才能使用自然人的信用分值：第一，遵循了信息保護(hù)法的條款規(guī)定；第二，用于計(jì)算信用分值的信息是用于判斷自然人將來(lái)行為所必要，這種判斷乃基于科學(xué)上認(rèn)可的數(shù)學(xué)統(tǒng)計(jì)程序；第三，用于計(jì)算信用分值的地址信息和其他信息；第四，如果使用了地址信息，應(yīng)當(dāng)在使用這些信息之前通知信息主體，這種通知應(yīng)當(dāng)以文件的形式進(jìn)行。。該法第30條規(guī)定了消費(fèi)信貸的特別情形，其核心在于通知用戶(hù)，但其適用范圍有限，不能擴(kuò)大到信用服務(wù)機(jī)構(gòu)和商家收集信用信息的所有場(chǎng)景(13)《德國(guó)信息保護(hù)法》第30條規(guī)定：第一，任何機(jī)構(gòu)為轉(zhuǎn)移目的商業(yè)性收集、存儲(chǔ)或者修改可用于評(píng)價(jià)消費(fèi)者的信用狀況個(gè)人信息時(shí)，都應(yīng)該以對(duì)待本國(guó)貸款人信息請(qǐng)求一樣的方式對(duì)待其他成員國(guó)貸款人的信息請(qǐng)求；第二，任何人因上款提及的機(jī)構(gòu)提供的信息而拒絕訂立消費(fèi)者信貸合同或有關(guān)消費(fèi)者付款的金融支持的合同時(shí)，都應(yīng)當(dāng)立即將這種拒絕結(jié)果及收到的信息通知消費(fèi)者。如果這樣做會(huì)危及公共安全或秩序，就不應(yīng)做出這種通知。。有學(xué)者溯源征信機(jī)構(gòu)的興起和信用市場(chǎng)發(fā)展的歷史，認(rèn)為信用報(bào)告的使用和征信機(jī)構(gòu)的設(shè)立目的是為了降低系統(tǒng)性風(fēng)險(xiǎn)，防止產(chǎn)生過(guò)多的消費(fèi)者債務(wù)以及避免銀行、金融機(jī)構(gòu)被欺詐[9]62-90。因此，基于這種公共利益背景，銀行等主體只有在涉及負(fù)面信用信息時(shí)才具有《歐盟通用數(shù)據(jù)保護(hù)條例》(14)《歐盟通用數(shù)據(jù)保護(hù)條例》第6(1)(b)條規(guī)定，信息處理行為在如下情形是合法的：為履行信息主體作為當(dāng)事人的合同所必要或者基于信息主體在訂立合同之前發(fā)出的請(qǐng)求而采取措施；《歐盟通用數(shù)據(jù)保護(hù)條例》第6(1)(f)條規(guī)定，為信息控制者或第三方追求的合法利益所必須，除非更需尊重信息主體保護(hù)個(gè)人信息的基本權(quán)利，尤其當(dāng)該信息主體為小孩時(shí)。和《德國(guó)信息保護(hù)法》(15)《德國(guó)信息保護(hù)法》Part 2(第二部分)就是執(zhí)行《歐盟通用數(shù)據(jù)保護(hù)條例》有關(guān)規(guī)定的，多基于公共利益及其他合法利益對(duì)個(gè)人信息自決權(quán)進(jìn)行限制。所規(guī)定的合法利益，不需經(jīng)過(guò)信用信息主體的同意即可進(jìn)行信用信息的收集[9]147-148。

(三)退出機(jī)制與同意機(jī)制的內(nèi)在融合

退出機(jī)制和同意機(jī)制并非兩個(gè)極端，通過(guò)各種限制或例外的配套制度，兩者處于相互融合的趨勢(shì)。

一方面，美國(guó)法通過(guò)限定收集信用信息的用途，以及事先查詢(xún)核驗(yàn)和通知用戶(hù)機(jī)制以避免退出機(jī)制被濫用，使退出機(jī)制的應(yīng)用范圍受到限制。從《美國(guó)公平信用報(bào)告法》多次修訂的歷史來(lái)看，立法者為了避免將退出機(jī)制擴(kuò)大到其他場(chǎng)景，多次縮小所謂的“合法商業(yè)目的”的使用場(chǎng)景(16)比如，美國(guó)信用報(bào)告原本只是使用于金融服務(wù)領(lǐng)域或政府中的安全敏感崗位，后來(lái)逐漸擴(kuò)大到經(jīng)濟(jì)生活的其他領(lǐng)域并對(duì)消費(fèi)者造成了越來(lái)越多的問(wèn)題?！睹绹?guó)公平信用報(bào)告法》1998年的修訂文本明確要求，如果沒(méi)有消費(fèi)者的明確書(shū)面同意則不得將信用報(bào)告用于雇傭目的。，司法實(shí)踐中對(duì)例外情形的解釋也趨于嚴(yán)格。另一方面，德國(guó)法允許法定情形以及法院在裁判過(guò)程中進(jìn)行利益平衡，使同意機(jī)制具有靈活的例外情形，以限制個(gè)人信息自決權(quán)。首先，《德國(guó)信息保護(hù)法》明確規(guī)定在消費(fèi)信貸領(lǐng)域和處理負(fù)面信用信息時(shí)可不經(jīng)用戶(hù)同意收集信息。其次，根據(jù)德國(guó)聯(lián)邦最高法院的闡述，個(gè)人信息自決權(quán)是一種與信息有關(guān)的財(cái)產(chǎn)權(quán)，它受制于更高位階的公共利益[9]145，法院可以在具體案件中做出利益衡量，這就有可能為了言論自由、公共衛(wèi)生、信用風(fēng)險(xiǎn)等公共利益而讓渡個(gè)人信息隱私利益。

這些做法縮小了信用場(chǎng)景中同意機(jī)制與退出機(jī)制間的差距。因此，雖然兩種機(jī)制的出發(fā)點(diǎn)分別處于“一條直線的兩個(gè)端點(diǎn)”，但實(shí)際運(yùn)行卻呈現(xiàn)出相互融合的趨勢(shì)，以不同的呈現(xiàn)方式限制著個(gè)人信息自決權(quán)。為了提高信用信息的利用效率和價(jià)值，克服信用信息主體同意機(jī)制的弊端，以及提升規(guī)則適用的確定性，應(yīng)當(dāng)建立信用信息主體退出機(jī)制，將限定使用用途、事先核驗(yàn)機(jī)制以及保障用戶(hù)知情權(quán)作為配套制度，以確保信用信息主體權(quán)利的實(shí)現(xiàn)，并與信用信息的使用規(guī)則相互銜接。

四、信用信息使用規(guī)則的完善

信用信息的收集和使用制度既相互獨(dú)立又彼此關(guān)聯(lián)。信用信息的收集目的通常決定信息使用的范圍，但兩者面對(duì)的主要法律問(wèn)題不同。收集信用信息是為了查驗(yàn)信用狀況，需要確定信息收集的合法性基礎(chǔ)；使用信用信息是為了做出恰當(dāng)決策，是對(duì)信用信息進(jìn)行分析的過(guò)程。信用信息分析的過(guò)程涉及對(duì)信息主體權(quán)益的處理，通常伴隨著聯(lián)合獎(jiǎng)懲的結(jié)果。信用聯(lián)合獎(jiǎng)懲是一種典型的使用場(chǎng)景，為了防范這種場(chǎng)景下的法律風(fēng)險(xiǎn)，需要區(qū)分不同的法律關(guān)系，做出差別化的處理。但是，信用分析區(qū)別于聯(lián)合獎(jiǎng)懲。信用分析本身就是一個(gè)信用信息使用的過(guò)程。使用主體在完成信用分析之后可能不做出聯(lián)合獎(jiǎng)懲的決定，但不可否認(rèn)使用主體已經(jīng)使用了信用信息的事實(shí)。因此，需要區(qū)分信用分析過(guò)程中的約束規(guī)則與聯(lián)合獎(jiǎng)懲過(guò)程中的約束規(guī)則，尤其后者涉及行政主體及行政法定原則的特殊性。

鑒于場(chǎng)景理論以市場(chǎng)主體和行政主體作為分類(lèi)的基本框架，以及行政主體在信用分析場(chǎng)景中的特殊性，應(yīng)當(dāng)根據(jù)使用主體是市場(chǎng)主體還是行政主體，闡明信用信息使用過(guò)程中所具有的不同法理基礎(chǔ)，進(jìn)而建構(gòu)不同的規(guī)則。

(一)完善市場(chǎng)主體使用信用信息的規(guī)則

市場(chǎng)主體可以選擇不同個(gè)性化的交易對(duì)象從事交易，也可以根據(jù)交易對(duì)象的個(gè)性化特征決定交易條件，這是私法自治和合同自由精神的體現(xiàn)。市場(chǎng)主體的信用狀況表現(xiàn)為一種個(gè)性化的特征。因此，市場(chǎng)主體根據(jù)信用狀況決定對(duì)信息主體提供信用服務(wù)或者差別化的服務(wù)，這屬于私法自治和合同自由的調(diào)節(jié)范疇，法律不應(yīng)過(guò)度干涉。比如，銀行根據(jù)貸款人的歷史信用可以拒絕為貸款人提供貸款服務(wù)，也可以決定以更高的貸款利率提供貸款服務(wù)。

公司與消費(fèi)者之間雙向的信用評(píng)價(jià)，是當(dāng)下一種重要的商業(yè)模式和市場(chǎng)機(jī)制，這是私法自治和合同自由精神的體現(xiàn)。在美國(guó)，用戶(hù)在Facebook、Instagram 等社交網(wǎng)站上的發(fā)帖內(nèi)容可能影響保險(xiǎn)公司的費(fèi)率。乘坐出租車(chē)時(shí)用戶(hù)給司機(jī)做出信用評(píng)價(jià)，同時(shí)司機(jī)也給用戶(hù)做出信用評(píng)價(jià)，一旦信用不高，司機(jī)和用戶(hù)在使用打車(chē)軟件時(shí)就會(huì)受到影響。一些市場(chǎng)主體還積極創(chuàng)建記錄用戶(hù)信用信息的數(shù)據(jù)庫(kù)。例如，美國(guó)一家公司推出一款軟件產(chǎn)品用于維護(hù)酒吧和餐館的秩序，這個(gè)軟件有一個(gè)“異常顧客清單”。如果顧客因?yàn)槎窔?、性侵、襲擊、毒品、盜竊或其他不良行為而進(jìn)入該清單，美國(guó)所有的酒吧都可以通過(guò)此軟件查詢(xún)到該顧客的不良信用。只要一個(gè)酒吧禁止該顧客進(jìn)入，則美國(guó)所有的酒吧都可能禁止該顧客進(jìn)入。至于顧客進(jìn)入該清單的事由，則由酒吧的所有人和管理者決定[10]。

可見(jiàn)，當(dāng)信用信息的使用主體為市場(chǎng)主體時(shí)，使用主體與信息主體之間即為民事法律關(guān)系，由雙方主體根據(jù)真實(shí)意思自愿處分有關(guān)權(quán)益，信用信息的使用原則上不再受到其他規(guī)則的限制。如果涉及的信息為市場(chǎng)信用信息，則只受到收集規(guī)則的制約，只能在收集的目的范圍內(nèi)使用該信用信息(17)我國(guó)《信息安全技術(shù)個(gè)人信息安全規(guī)范》第7.3條規(guī)定：使用個(gè)人信息時(shí)，不得超出與收集個(gè)人信息時(shí)所聲稱(chēng)的目的具有直接或合理關(guān)聯(lián)的范圍。；如果這種信息是公開(kāi)的公共信用信息，則其收集和使用行為均不受約束。但這并非沒(méi)有例外，市場(chǎng)主體的身份在不同場(chǎng)景中具有可變性，當(dāng)使用主體在特定場(chǎng)景中因法律授權(quán)而享有特定公共事務(wù)管理職能時(shí)，該使用主體便具有了行政主體身份，此時(shí)其不僅需要受制于信息收集的目的，還需要遵循行政主體使用信用信息的規(guī)則。

(二)完善行政主體使用信用信息的規(guī)則

當(dāng)使用主體為行政主體時(shí)，使用信用信息的法律風(fēng)險(xiǎn)主要來(lái)自?xún)蓚€(gè)方面。第一，行政權(quán)力缺乏嚴(yán)格控制。行政主體一旦進(jìn)行聯(lián)合獎(jiǎng)懲，則涉及行政法律關(guān)系的建立或變更，因此需要遵循行政法定原則。如工商部門(mén)從信用服務(wù)機(jī)構(gòu)獲取相對(duì)人的有關(guān)履約記錄，通過(guò)分析這些信用信息，從而決定是否給予相對(duì)人的市場(chǎng)準(zhǔn)入資格(如是否頒發(fā)工商執(zhí)照)，此時(shí)工商部門(mén)需要遵循行政法定原則，但目前在規(guī)范層面缺少相應(yīng)控制。第二，信用信息的使用規(guī)范缺失。使用場(chǎng)景包含“分析信用信息”和“限制市場(chǎng)準(zhǔn)入資格”兩個(gè)環(huán)節(jié)，分析信用信息的環(huán)節(jié)已經(jīng)獨(dú)立地構(gòu)成了對(duì)信用信息的使用，相應(yīng)的規(guī)范缺失；限制市場(chǎng)準(zhǔn)入資格的環(huán)節(jié)也屬于信用信息的使用場(chǎng)景，但涉及行政權(quán)力的控制。本文僅分析信用信息這個(gè)環(huán)節(jié)中的信息使用規(guī)則，著眼于信用信息使用風(fēng)險(xiǎn)的防范。

1.征得同意例外規(guī)則及適用范圍

行政主體分析信用信息的過(guò)程，涉及對(duì)信用信息權(quán)益的處分，需要遵循正當(dāng)程序原則，理應(yīng)按照法律規(guī)定的權(quán)限和程序進(jìn)行。信用信息是一種個(gè)人信息，位列《民法典》第四編“人格權(quán)”的范疇?！睹穹ǖ洹返?035條規(guī)定，處理個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合下列條件：(一)征得該自然人或者其監(jiān)護(hù)人同意，但是法律、行政法規(guī)另有規(guī)定的除外；(二)公開(kāi)處理信息的規(guī)則；(三)明示處理信息的目的、方式和范圍；(四)不違反法律、行政法規(guī)的規(guī)定和雙方的約定。可見(jiàn)，行政主體對(duì)信用信息的使用應(yīng)當(dāng)遵循法定條件和程序，其中征得信用信息主體的同意是一個(gè)基本原則，是否需要通過(guò)社會(huì)信用立法明確例外規(guī)則及其適用范圍，需要權(quán)衡考量特定場(chǎng)景中的公共利益與信息隱私利益。

比較法對(duì)信用信息的使用也有類(lèi)似的約束規(guī)則。美國(guó)法對(duì)信息的挖掘設(shè)置了例外情形。一方面，美國(guó)憲法第四修正案禁止不合理的搜查和扣押，體現(xiàn)了對(duì)信息挖掘持有非常保守和嚴(yán)格的立場(chǎng)。信息挖掘類(lèi)似于數(shù)字搜查，按照憲法第四修正案的框架，搜查行為必須取得法院令狀，且必須合理相信該搜查行為將提供刑事犯罪的證據(jù)時(shí)才可實(shí)施。另一方面，美國(guó)的法律對(duì)于國(guó)土安全領(lǐng)域的信息挖掘持有更為寬松的立場(chǎng)。波斯納認(rèn)為，在恐怖主義全球化以及大規(guī)模殺傷性武器擴(kuò)散的背景下，政府在收集、存儲(chǔ)、篩選、檢索個(gè)人信息方面有著迫切的需求[11]。美國(guó)立法者為了解決這種需求，在《隱私法案》中做了平衡的規(guī)定。按照該法案第552條a款j項(xiàng) 的規(guī)定，個(gè)體有權(quán)決定何種信息可被聯(lián)邦政府機(jī)構(gòu)收集、保存、使用或披露，但“如果系統(tǒng)記錄處于中央情報(bào)局或執(zhí)法部門(mén)保管且包含識(shí)別罪犯的犯罪歷史信息、用于刑事調(diào)查的信息、指向特定人的刑事程序報(bào)告”除外。

“9·11”事件后，美國(guó)國(guó)土安全執(zhí)法部門(mén)大量獲取犯罪記錄、行蹤、社交聊天記錄等個(gè)人信息以創(chuàng)建信息庫(kù)用于信息挖掘。比如，聯(lián)邦調(diào)查局的恐怖分析審查中心創(chuàng)建了“禁飛名單”和“進(jìn)一步審查名單”，針對(duì)每個(gè)人的威脅程度進(jìn)行飛行審查分類(lèi)(分為綠色、黃色和紅色三類(lèi))，將個(gè)體的威脅程度使用到飛行場(chǎng)景中形成飛行安全系統(tǒng)。這些信息挖掘?qū)€(gè)人信息隱私構(gòu)成了嚴(yán)重威脅，有學(xué)者建議在信息挖掘項(xiàng)目中引入正當(dāng)程序，以克服和糾正信息匹配過(guò)程中可能發(fā)生的錯(cuò)誤[12]；也有學(xué)者認(rèn)為安全和自由之間不是“零和游戲”，必須監(jiān)管這些項(xiàng)目，確保以一種平衡和可控的方式分析數(shù)據(jù)并做出審查決定[13]。

《德國(guó)信息保護(hù)法》以公共部門(mén)和市場(chǎng)主體為區(qū)分基礎(chǔ)規(guī)定了不同的信息處理原則，公共部門(mén)分析負(fù)面信用信息的情形可能被納入同意機(jī)制的例外情形。該法第3條規(guī)定，公共部門(mén)應(yīng)被允許處理個(gè)人信息，如果這種處理行為是信息控制者履行其職務(wù)所必要的，或者這種處理行為是行使法定的官方權(quán)力所必要的。按照該條規(guī)定，如果教育主管部門(mén)有權(quán)判斷申請(qǐng)人是否具備教師從業(yè)資格，那么其也應(yīng)當(dāng)被允許分析申請(qǐng)人的信用信息，因?yàn)檫@種信用信息的分析是教育部門(mén)履行其職責(zé)所必要的信息處理行為。該法第22條、第23條則進(jìn)一步明確了公共利益的例外情形，包括社會(huì)安全和社會(huì)保護(hù)、醫(yī)學(xué)治療和健康保障、需要緊急保護(hù)的公共利益等。有學(xué)者認(rèn)為，征信機(jī)構(gòu)對(duì)金融信用信息的使用具有公共利益屬性[9]147，金融機(jī)構(gòu)可以處理個(gè)人的負(fù)面信用信息，無(wú)須征得信用信息主體的同意。

綜上，美國(guó)、德國(guó)與我國(guó)都規(guī)定了信用信息處理行為原則上應(yīng)當(dāng)征得信息主體的同意。美國(guó)和德國(guó)均設(shè)定了使用信用信息的例外規(guī)則，但寬窄不一。美國(guó)將例外情形嚴(yán)格限定在刑事調(diào)查和國(guó)土安全領(lǐng)域，德國(guó)則限定于范圍更寬的社會(huì)安全等公共利益領(lǐng)域，但都要求公共部門(mén)是為了履行某項(xiàng)法定職權(quán)所必要。

2.征得同意例外規(guī)則的完善

我國(guó)在行業(yè)標(biāo)準(zhǔn)層面借鑒了美國(guó)和德國(guó)的相關(guān)做法，目前可以進(jìn)一步在社會(huì)信用立法或個(gè)人信息保護(hù)法中完善相關(guān)規(guī)則。在個(gè)人信息保護(hù)層面，《信息安全技術(shù)個(gè)人信息安全規(guī)范》第5.6條規(guī)定了須征得授權(quán)同意的11種例外情形，這里僅以第3種情形為例進(jìn)行說(shuō)明。從第3種情形可以看出，我國(guó)對(duì)征得授權(quán)同意例外情形的規(guī)定比較嚴(yán)格，必須與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)。比如，防控新冠肺炎病毒與公共衛(wèi)生利益直接相關(guān)，教育主管部門(mén)不得依據(jù)申請(qǐng)人在入境口岸時(shí)瞞報(bào)自身攜帶病毒的記錄而拒絕向申請(qǐng)人頒發(fā)教師從業(yè)資格證書(shū)，因?yàn)閮烧咧g不直接相關(guān)。但是，衛(wèi)生主管部門(mén)或疫情防控部門(mén)為了確定密切接觸者的范圍，可以獲取并分析病毒攜帶者的行蹤軌跡，因?yàn)椤懊芮薪佑|者的范圍”“病毒攜帶者的行蹤軌跡”與公共衛(wèi)生利益直接相關(guān)。同理，衛(wèi)生主管部門(mén)或疫情防控部門(mén)不能主張為了防控疫情的需要而收集分析信息主體的婚戀信息、存款信息或貸款履約信息等，因?yàn)檫@些信息與防控疫情不直接相關(guān)。《信息安全技術(shù)個(gè)人信息安全規(guī)范》需要從兩個(gè)方面進(jìn)一步完善。

第一，該規(guī)范第5.6條未能區(qū)分行政主體與市場(chǎng)主體，只是籠統(tǒng)地規(guī)定個(gè)人信息控制者，因市場(chǎng)主體對(duì)信用信息的使用應(yīng)征得信息主體的同意(前文已述)，這不僅會(huì)限制市場(chǎng)主體使用信用信息的自由，而且因沒(méi)有限定“法定職權(quán)的范圍”而可能導(dǎo)致行政主體收集信用信息的權(quán)力不受約束。比如，衛(wèi)生主管部門(mén)或疫情防控部門(mén)只能在其法定職權(quán)的范圍內(nèi)收集直接相關(guān)的信息，而不能超越法定職權(quán)的范圍收集信息，不能主張為了降低金融風(fēng)險(xiǎn)的目的而收集分析申請(qǐng)人的支付、還款記錄，也不能主張為了飛行安全的目的而收集分析申請(qǐng)人的犯罪記錄，等等。因此，建議在征得同意的例外規(guī)則中進(jìn)一步區(qū)分行政主體和市場(chǎng)主體，增加行政主體為履行法定職權(quán)之必要而收集分析信用信息的限定。

第二，《信息安全技術(shù)個(gè)人信息安全規(guī)范》第5.6條規(guī)定的例外場(chǎng)景并非針對(duì)信用信息的分析，多數(shù)場(chǎng)景并不具有直接相關(guān)性。比如“根據(jù)個(gè)人信息主體要求簽訂和履行合同所必需的”，這與行政主體使用信用信息的場(chǎng)景沒(méi)有直接相關(guān)性，相反，行政主體需要使用信用信息的場(chǎng)景極為廣泛。目前，國(guó)家各職能部門(mén)都在積極推進(jìn)信用聯(lián)合獎(jiǎng)懲，都涉及使用信用信息的環(huán)節(jié)，《信息安全技術(shù)個(gè)人信息安全規(guī)范》第5.6條卻未作規(guī)定，聯(lián)合獎(jiǎng)懲面臨合法性的質(zhì)疑。比如，環(huán)保部門(mén)針對(duì)環(huán)境信用記錄好、信用評(píng)估高的誠(chéng)信企業(yè)……適當(dāng)減少檢查頻次，降低抽檢率；而針對(duì)存在違法違規(guī)記錄等失信企業(yè)……商請(qǐng)工商部門(mén)將其列入經(jīng)營(yíng)異常名錄(18)參見(jiàn)環(huán)境保護(hù)部2016年出臺(tái)的《關(guān)于積極發(fā)揮環(huán)境保護(hù)作用促進(jìn)供給側(cè)結(jié)構(gòu)性改革的指導(dǎo)意見(jiàn)》第16條。。這些場(chǎng)景多不屬于《信息安全技術(shù)個(gè)人信息安全規(guī)范》第5.6條所規(guī)定的11種例外情形，而只是行政主體履行法定職權(quán)之必要。鑒于信用信息治理目的和行政主體履行法定職權(quán)的社會(huì)公共性，應(yīng)當(dāng)創(chuàng)設(shè)除信用信息治理目的外因其他目的而使用信用信息的規(guī)則即例外規(guī)則，可將前文提及的“直接相關(guān)”作為使用信用信息的限定條件。

以上例外規(guī)則，不應(yīng)區(qū)分信用信息的種類(lèi)而有所不同。在基于正面信用信息而進(jìn)行聯(lián)合獎(jiǎng)勵(lì)的場(chǎng)景中，盡管信息主體的權(quán)益會(huì)得到增加而不是減損，但仍然涉及信用信息的私權(quán)屬性，因此行政主體對(duì)正面信用信息的使用仍需遵循征得同意的例外規(guī)則。只有當(dāng)行政主體在有關(guān)場(chǎng)景中不再保持行政主體的身份時(shí)，才無(wú)須遵循例外規(guī)則。換言之，當(dāng)行政主體作為市場(chǎng)主體參與市場(chǎng)活動(dòng)時(shí)，此時(shí)其身份為市場(chǎng)主體，應(yīng)當(dāng)允許其按照市場(chǎng)機(jī)制使用有關(guān)信用信息。盡管征得同意的例外規(guī)則與按照市場(chǎng)機(jī)制使用信用信息時(shí)都無(wú)須征得信息主體的同意，但兩者在本質(zhì)上是不同的，前者以同意為原則，只是因?yàn)闈M(mǎn)足了一定條件才無(wú)須征得信息主體的同意?！秱€(gè)人信息保護(hù)法(草案)》第13條第3項(xiàng)回應(yīng)了這一現(xiàn)實(shí)需求，即個(gè)人信息處理者為履行法定職責(zé)或者法定義務(wù)所必需方可處理個(gè)人信息。這一規(guī)定中的“所必需”，限定了行政主體處理個(gè)人信息必須與履行法定職責(zé)直接相關(guān)。該項(xiàng)規(guī)定結(jié)合《個(gè)人信息保護(hù)法(草案)》第6條的目的限定原則，對(duì)解釋信用聯(lián)合獎(jiǎng)懲和解決當(dāng)前征信使用泛化的問(wèn)題具有重要價(jià)值。

五、結(jié) 語(yǔ)

實(shí)證研究表明，盡管德國(guó)和美國(guó)在隱私概念的理解、法律調(diào)控的實(shí)體規(guī)則和機(jī)構(gòu)等方面存在巨大差異，但是兩國(guó)公司的高級(jí)隱私官員都認(rèn)為隱私是一個(gè)演變的、前瞻的和場(chǎng)景的社會(huì)價(jià)值，而不單純以個(gè)人同意和控制為中心[7]12，應(yīng)將對(duì)個(gè)人信息和信用信息的理解置于更穩(wěn)定的理論和價(jià)值體系中。由于對(duì)個(gè)人信息控制理論的理解出現(xiàn)偏差，加之信用信息使用規(guī)范的缺失，我國(guó)存在同意機(jī)制僵化和征信使用泛化的問(wèn)題。在建構(gòu)和規(guī)范我國(guó)信用聯(lián)合獎(jiǎng)懲機(jī)制的過(guò)程中，需要對(duì)癥下藥，避免因僵化理解個(gè)人信息自決權(quán)而使信用信息治理的目標(biāo)落空；避免不區(qū)分信用信息的使用主體而籠統(tǒng)地使用信用信息并進(jìn)行聯(lián)合獎(jiǎng)懲。

信用信息收集使用規(guī)則的完善應(yīng)當(dāng)以信用信息的場(chǎng)景屬性為出發(fā)點(diǎn)，根據(jù)不同類(lèi)型的信息接收者，結(jié)合不同場(chǎng)景的信用治理目的，改革當(dāng)前收集信用信息的同意機(jī)制，填補(bǔ)使用信用信息的規(guī)范空白。第一，建立信用信息的主體退出機(jī)制。市場(chǎng)主體為了評(píng)估交易相對(duì)方的支付能力或信用狀態(tài)，應(yīng)當(dāng)放棄信用信息主體形式上的同意要件，允許市場(chǎng)主體可以不經(jīng)信用信息主體同意而向信用機(jī)構(gòu)獲取信用報(bào)告，以此促進(jìn)信用產(chǎn)業(yè)的發(fā)展，同時(shí)應(yīng)當(dāng)保障用戶(hù)知情權(quán)并確保收集信用信息評(píng)估目的的正當(dāng)性，即建立信息主體的退出機(jī)制。因此，建議設(shè)立如下規(guī)則：為信用評(píng)估的目的使用機(jī)構(gòu)可向信用服務(wù)機(jī)構(gòu)獲取交易相對(duì)方的信用信息；信用信息主體享有知情權(quán)，信用服務(wù)機(jī)構(gòu)和使用機(jī)構(gòu)應(yīng)當(dāng)在收集信用信息后告知信息主體并允許其查詢(xún)信用報(bào)告；使用機(jī)構(gòu)在向信用服務(wù)機(jī)構(gòu)請(qǐng)求獲取信用信息時(shí)，應(yīng)當(dāng)說(shuō)明獲取信用信息的具體目的，信用服務(wù)機(jī)構(gòu)應(yīng)建立相應(yīng)機(jī)制進(jìn)行審查。第二，區(qū)分市場(chǎng)主體和行政主體，設(shè)定差異化的使用規(guī)則。當(dāng)市場(chǎng)主體作為使用主體時(shí)，尊重私法自治和合同自由的精神，允許市場(chǎng)主體在信用信息收集用途的范圍內(nèi)使用信用信息；如果市場(chǎng)主體被依法授予了公共管理職能或者當(dāng)行政主體作為信用信息使用主體時(shí)，基于信用信息的私權(quán)屬性，應(yīng)當(dāng)原則上遵循征得同意的規(guī)則。鑒于信用治理目的和行政主體履行法定職權(quán)的社會(huì)公共屬性，可為行政主體的使用行為創(chuàng)設(shè)例外規(guī)則，即因履行法定職權(quán)之必要而使用直接相關(guān)的信用信息時(shí)，不必征得信息主體的授權(quán)同意。