信用知识
要建立健全社会信用...
诚信,让制度和行为...
诚信对企业的重要性...
诚信缺失成为中小企...
从品牌的兴亡看诚信...
对信用一般性意义的...
企业诚信考量社会责...
信用管理
国际信用管理的实践...
企业家如何坚持诚信...
企业信用管理制度包...
完善企业信用管理的...
信用管理定义、意义...
信用管理与信用服务...
重要文件及党和国家...
典型案例
宝钢不折不扣讲诚信...
碧生源加强企业领导...
诚信打造医药企业旗...
诚信生存之本 创新...
诚信树人品 创新出...
从蒙牛诽谤门看企业...
从三鹿事件看企业诚...
个人信用信息异议制度完善研究
信用商务网【官方网站】 · http://www.ccbn.org.cn 发布时间:2024/3/22
个人信用信息异议制度是社会信用体系建设的重要组成部分,但目前异议制度的存在申请主体条件不清晰、适用情形判定标准模糊、处理程序与衔接有待细化等问题。
就申请主体条件而言,申请主体需涵括三类不同的自然人主体,异议对象应涵盖三个不同的信用领域。
就适用情形判定标准而言,异议处理程序可在更正、补充权与删除权中直接适用,也能间接适用于《个人信息保护法》第四章中其他各项权利。
就处理程序与衔接而言,需拓宽线上异议申请途径,发挥异议标注的限制作用并覆盖异议全流程,异议处理期限类型化,细化举证责任的判定标准与异议审查的内容,将公共信用领域信息处理行为解释为行政行为,补充央行金融信用领域与市场信用领域的外部投诉渠道,明确提起诉讼不以异议遭拒为前提。
一、问题的提出
个人信用信息作为评价个人信息主体信用水平的重要依据,一旦出现错误、遗漏等情形将极大程度地影响个人信息主体的信用评价,进而限制其信用生活的方方面面。个人信息主体对个人信用信息进行异议是对错误、遗漏情形进行纠正的最重要的程序,是个人信用信息权益不可或缺的保障。
早在2005年《个人信用信息基础数据库暂行管理办法》便初步规定了个人对异议信息的异议流程,但未深入对个人信用信息权益的规范;2013年国务院在《征信业管理条例》中专章规定了对个人信用信息异议与投诉制度;央行征信中心在此之后也发布了《金融信用信息基础数据库个人征信异议处理业务规程》,主要规范央行征信中心所处理的信用信息的异议程序的施行。
从2014年国务院发布的《社会信用体系建设规划纲要(2014—2020年)》中提出制定信用信息异议处理的管理制度及操作细则;到2016年《国务院关于建立完善守信联合激励和失信联合惩戒制度加快推进社会诚信建设的指导意见》与2019年《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》中两次强调建立健全信用信息异议制度。信用信息异议之建设贯穿我国社会信用体系建设的全过程。
2017年《最高人民法院关于公布失信被执行人名单信息的若干规定》仅对失信主体的个人信用信息异议进行规范;2021年《民法典》与《个人信息保护法》的相继出台,正式规定了个人信息主体享有更正权、删除权;2022年11月,国家发改委、央行起草的《中华人民共和国社会信用体系建设法(向社会公开征求意见稿)》公布,虽然该法目前仍处于公开征求意见阶段,但第95条已将信用信息异议确立为个人信用信息主体的权利之一。
可以看出,近年来个人信用信息异议制度正一步一脚印地得到系统落实。
由于《个人信息保护法》出台时间较短,现阶段研究成果并未过多关注个人信用信息具体的异议制度,个人信用信息异议制度仍存在以下问题:
第一,个人信用信息异议制度的主体条件不清晰。根据个人信用信息异议的流程,可将异议制度的主体分为申请主体与申请对象。关于申请主体,目前规范并未对个人信用信息主体与异议申请主体作出区分,且将申请主体限缩为信息主体本人并不合理,有利害关系的第三人以及外国人是否应该成为申请主体值得探讨。关于申请对象,由于个人信用信息在公共信用领域、央行金融信用领域、市场信用领域的异议规范并不一致,需要明确个人信用信息在不同异议场景中的处理对象及其内涵。
第二,个人信用信息异议制度的适用情形判定标准模糊。《个人信息保护法》中与个人信用信息异议制度衔接的权利是更正、补充权与删除权。更正、补充权中“不准确”与“不完整”的判断要件需进一步分析;删除权规定的五种情形中的异议的具体情况有待辨析。另外,除更正、补充权与删除权外的其他权利与异议制度的衔接也需要明确。
第三,个人信用信息异议制度的处理程序与衔接有待细化。在异议处理过程中,异议申请途径局限导致其存在一定难度,异议标注的使用效果不佳,关于异议处理的期限规定存在不合理之处,异议处理程序中的举证责任与审查义务也需要进一步细化。在异议无效后的救济过程中,行政复议与投诉相对应的情形与对象需要明确,诉讼的提出是否需要异议前置存在争议。
因此,需要根据相关规范,厘清个人信用信息异议制度在不同应用场景下各方主体的适用方式,进而为个人信用信息主体实现更正、补充权、删除权等提供可行的方法与思路,对完善个人信用信息异议程序的规整、衔接有所帮助,有利于提升个人信用信息处理活动的质量、充分挖掘个人信用信息在商业化利用以及社会公共管理中的价值,构建公平有序的数字市场营商环境,也为立法与司法实践提供理论支撑,推动社会信用体系的发展。
二、个人信用信息异议的性质与功能
虽然个人信用信息异议早在2005年便规定了其基本流程,但无论是后续的《征信业管理条例》还是《个人信息保护法》都在不断修正其内涵,目前法律规范均未对个人信用信息异议制度的性质作出正面回应,其应当视为个人信息权利的一种还是独立的救济程序尚属未知;同时,随着信用社会的不断建成,个人信用信息的法律适用场景也在不断更新,需要厘清个人信用信息异议制度在当今社会的价值功能,进而剖析其在不同适用情形下的要件关系。
(一)个人信用信息异议制度的性质定位
1. 个人信用信息异议制度的目的是保护信息权益
《民法典》第111条规定:“个人信息受法律保护。”且人格权编通过六个法条作了相关细化规定,初步构建了个人信息权益保护的法律规范体系。作为个人信息领域的特别法,《个人信息保护法》在第一章第1条阐述了“保护个人信息权益”作为三项立法目的之一。个人信息权益保护的重心体现在保护信息主体对个人信息的控制以及其他主体对信息利用的正当性。作为个人信息的子概念,个人信用信息与个人信息在权益内容上是一致的。在信用领域中,异议制度不仅与更正、补充权、删除权的行使联系更为密切,而且还贯穿在个人信用信息主体行使各项个人信用信息权益的全过程,是保护个人信用信息权益的重要步骤。通过异议制度可以使个人信用信息主体在信用领域制衡高度规模化、组织化的信息处理者,平衡两者在信息处理活动中的持续性不对等关系。
同时,异议制度保障了个人在与其相关的个人信用信息处理活动中的发言、参与和选择,限制信息处理者的滥权与肆意行为。信用信息来源于信息主体,而信用信息中的信用评价信息更是直接作用于信息主体,负面的信用评价将直接减损信息主体的权益。因此,科学合理的异议有利于个人信用信息主体与信用信息处理者之间形成良好关系,从形式、实质上保护个人信用信息主体的信息权益。
2. 个人信用信息异议制度属于独立的救济程序
《征信业管理条例》对信用信息异议的专章规定虽然明确了异议制度的部分实施细则,但这些细则并非完整的确权规定,而是明确信用信息处理者的信息处理职责,从程序角度保障异议的顺利处理,进而使个人信息主体更完整地行使个人信息权益。《个人信息保护法》第46条与《民法典》第1037条在更正、补充权的表述上的主要区别之一即删去了“异议”一词。依据文义解释,《个人信息保护法》并不承认“异议权”或“异议更正权”的说法,“异议”并非作为个人信息权益的内容进入个人信息权益框架中,而是被视为一项独立的权益救济程序而存在。区别于其他法定权利,异议本身并不具备实体权利的性质,并不能为个人信息主体带来实体的现实利益。对个人信用信息的异议一般以信用信息主体申请作为前置条件,其程序的启动须通过申请才能完成,是基于个人信用信息处理行为产生的权益救济程序。
(二)个人信用信息异议制度的价值功能
1. 个人私益与社会公益的平衡协调
个人信用信息权益兼具私人利益和社会公共利益,且个人信用信息相较个人信息,其经济价值更加突出。合理协调的个人私权利配置与有限平衡的公权力配置是社会信用体系建设的底层逻辑,对个人私益的共识是推动社会信用体系发展的重要基础要件。个人信用是社会信用的基础,个人信用信息是个人信用的重要载体,个人信用信息得到保障才能维持社会信用环境的平稳发展。据此,《民法典》第1036条规定了个人信息的三项合理使用事项、《个人信息保护法》第13条规定了个人信息处理的七项合法性依据,这体现了个人信用信息的社会公益导向;同时,《民法典》第111条规定个人信息受法律保护,其人格权编第六章也专章规定了个人信息保护的各项权益,作为被涵摄的个人信用信息体现人格尊严的价值,对个体意志的形成具有重要影响,自然具备个人私益属性。个人信用信息异议制度反映了个人对信用信息处理控制的私益与社会公众对信用信息使用、维护安全秩序的公益的平衡。
信用信息在人格利益上的保护要求约束对信用信息的商业利用行为,个人信息主体对个人信用信息的处理需合法且实现平衡。因此在信息处理的过程中,既要激发信用信息的经济价值,同时要兼顾信用信息的人格利益保护,作出利益平衡的价值选择,除了信息处理者自身处理活动需合法外,还需要允许个人信息主体对个人信用信息提出异议。由于个人信息主体在私益上让渡了部分人格权,如隐私权,相应地国家需要在另一层面上赋予个人信息主体一系列信息权益,规范信息处理者的相应责任与义务。
2. 提高信用信息数据库信息质量
信用信息数据库存在海量的信息资源,信用信息的完整、准确是促进信用信息高效以及可持续利用的法理基础。信用信息异议制度保障信用信息的及时更新,提高其在个人信用信息数据库中的完整性、准确性。《个人信息保护法》在第一章第8条中确认了质量原则作为其基本原则之一,个人信息处理者具有保证其处理的个人信息准确、完整的义务。准确完整的个人信息反映完整的人格形象,是他人理解信息主体真实“自我”的前提;错误的人格形象可能会造成精神损害和财产损失。在信息自动化处理的大数据时代背景下,个人信息处理者能够轻易地掌握大量个人信用信息,其处理信息的过程快速,个人信息主体一般无法观其处理过程全貌。同时在该处理过程中,无法避免由于相关技术的故障与工作人员的操作纰漏而产生的疏漏与错误。对于这些疏漏与错误,个人信息主体一般只能在查询自身信用报告后才得以发现。但在各行各业陆续数字化的今天,这种后知后觉伴随的是交易机会丧失、经济利益受损等严重后果,信用信息的不完整与不准确会影响个人信息主体在信贷、就业、教育等领域的日常生活,个人信息主体与其他信用信息使用者可能基于此做出错误的或不符合真实意思的决策。只有将自身不完整、不准确的信用状态尽可能作更正、补充等恢复措施,才能实现信用信息权益行使的正常化,进而维护其他相关权益,回到与自己匹配的信用生活中。从异议对象的角度出发,在庞大的信用信息数据库中寻找错误,远不如由异议申请主体在异议中指出错误的效率高,完备的异议规范能使信用信息数据库的信息质量维持在较高水平。
三、个人信用信息异议制度的主体条件明确
兼具个人私益与社会公益的个人信用信息依据其性质的不同,所应用的领域场景也不同,主要包括公共信用、金融信用、市场信用三大领域,其异议程序所涉及的主体包括申请主体与对象。在申请主体层面,争议焦点集中于是否区分“申请主体”与“个人信用信息主体”、异议申请主体的范围限制、以及有利害关系的第三人与外国人是否应当成为申请主体;在受理对象层面,由于规制规范的性质与信用信息储存数据库的不同,受理对象也并不相同,应当分开讨论。
(一)个人信用信息异议的申请主体
1. 自然人本人
我国目前未将个人信用信息异议制度的申请主体与个人信用信息主体作出区分。个人信用信息主体,即被处理个人信用信息的个人,当然包括自然人本人。当自然人本人发现其自身个人信用信息不准确、不完整时,有权向个人信息处理者提出异议申请,行使更正、补充、删除等权益。2013年发布的《征信业管理条例》并未对“信息主体”一词下定义。2020年发布的《信息安全技术个人信息安全规范》(GB/T35273-2020)第8.2条与8.3条均将更正与删除的权益主体规定为“个人信息主体”。依据其第3.3条,个人信息主体是指“个人信息所标识或者关联的自然人”。《民法典》与《个人信息保护法》也在法律层面上确认异议申请的主体为自然人。从比较法上看,各国各地区均将异议申请主体限定为自然人。如日本《个人信息保护法》第29条与韩国《个人信息保护法》第36条均特别明确由“信息主体本人”进行异议申请。美国加州《消费者隐私保护法》将个人信息验证请求主体规定为消费者。欧盟《一般数据保护条例》第16条与第17条规定的更正权与擦除权中,以“个人数据”(thepersonaldata)的表述代替“一般数据”(generaldata),可推断其权利主体同样限定于自然人。除自然人本人提出异议外,个人信用信息主体还可委托授权他人代为提出异议申请。《个人信息保护法》第21条关于委托处理个人信息的规定并未对受托的信息处理者做限定,只要求双方成立委托合同关系,故受托人或转委托人可以是具有相应业务的组织或作为适格合同主体的个人。
2. 异议申请的自然人范围应限定为14周岁以上
目前《征信业管理条例》《个人信息保护法》均规定由信息主体进行异议申请,但并未对个人信用信息的主体范围作界定。在全国性规范中,《社会信用体系建设法(向社会公开征求意见稿)》与《公共信用信息报告标准(2022年版)》将个人信用信息主体限定为“具有完全民事行为能力的自然人”,大部分地方性规范与其保持一致。
有的地方社会信用立法对个人信用信息主体做了年龄上的限制,如《北京市公共信用信息管理办法》第2条则将个人信用信息主体限定为“18周岁以上自然人”;有的地方社会信用立法则完全不做任何年龄与能力的限制,如《上海市公共信用信息归集和使用管理办法》第2条直接将个人信用信息主体表述为“自然人”。
目前普遍将个人信用信息主体限定为“完全民事行为能力人”或“18周岁以上自然人”的合理性有待商榷。我国并未区分个人信用信息主体与个人信用信息的异议申请主体,且限定个人信用信息主体条件的做法,主要是基于对未成年人等群体的保护目的。
对于年龄较小的自然人,智力发育不完全,认知能力不足,对于自身实施的可能降低信用水平的行为无法做出合理判断,需要对该类主体做一定程度的保护。但这种限定相当于否定诸如未成年人等群体享有信用信息,存在不合理之处。
从负面信用信息角度上看,《刑法》第17条第3款规定,我国最低的刑事责任年龄为12周岁。第18条规定,尚未丧失辨认或者控制自己行为能力的精神病人也具有刑事责任能力,这类主体实施的违法犯罪行为极有可能成为信用信息的一部分。
从正面信用信息角度上看,依据《民法典》第18条,以自己的劳动收入作为主要生活来源的16周岁以上的未成年人,视为完全民事行为能力人,对于同样年龄但未参与社会经济生活的未成年人,被排除在信用信息主体之外,可能会造成两者参与同样的志愿者服务工作却在信用领域受到不同对待,显然不合理。
如上文所述,个人信用信息主体应当是处理个人信用信息的个人,自然人自出生起便享有个人信息,故个人信用信息主体不应对自然人作任何限定。
同时,应当对个人信用信息权利主体与个人信用信息权利行使主体进行区分。以未成年人为例,对该群体的信用状态的保护可以基于其自身的法律责任能力,选择性地记录信用行为或将信用行为纳入信用评价、限制非利害关系人察看信用信息、将监护人的信用行为纳入考察等,但不应否认其具有行使个人信用信息权利的能力。
本文认为,应以“14周岁以上自然人”作为个人信用信息异议申请主体较为合适。目前未成年人可依据《未成年人保护法》第72条第2款行使更正权与删除权,但当前规定与公法的衔接较为欠缺。
首先,《行政处罚法》与《治安管理处罚法》均规定14周岁为行政处罚的责任年龄。其次,虽然《刑法》通过《刑法修正案(十一)》下调了刑事责任年龄至12周岁,但其适用条件仅为实施故意杀人、故意伤害造成严重后果两种特殊情形。
最后,14周岁是未成年人价值观养成的关键时期,激励其参加志愿、捐赠等公益活动并记录其正面信用信息,有助于诚信意识与社会责任感的培养。
综上,14周岁应当作为在未成年人中可独立行使信用信息权利的分界点,可在《未成年人保护法》第72条第2款的基础上,规定14周岁以上自然人可独立对信用信息处理者提出异议申请,而14周岁以下的未成年人由监护人代为行使。
3. 允许有利害关系的第三人申请异议
目前有关个人信用信息异议的规范中,与所记载的信用信息有利害关系但不直接反映自身信用状态的第三人,如个人信用信息主体的近亲属、债权人等,并不具备异议申请的资格。排除有利害关系的第三人的异议不利于个人信用信息主体与第三人的权益保护。
有利害关系的第三人是发现纰漏信息的纠正来源之一,一定程度上能减少不完整、不准确的信用信息流入信用信息数据库的可能性,若将其排除在异议申请主体之外,即使第三人发现个人信用信息主体的某项信用信息存在瑕疵疏漏,且该信息与自身利益密切相关,也无法直接提出异议申请,容易导致更进一步的信用信息权益侵损。
将知情的有利害关系的第三人解释为异议申请主体,其提出的异议申请并不会损害个人信用信息主体的权益,还能减少错误信息扩散以及由此带来的损失和纠纷。《个人信息保护法》第49条规定的死者近亲属可以行使相关信息权利,该条目的正是保护有利害关系的第三人的合法、正当利益,只是仅限于死者近亲属范畴。据此,将有利害关系的第三人解释为异议申请的适格主体当然符合个人信息权益保护的立法宗旨。
4. 允许外国人申请异议
当前立法并未明确不具有中国国籍的自然人能否作为信用信息主体。随着全球化的发展,在我国参与生产工作、交易、旅游的外国人群体越发庞大,不将该群体纳入个人信用信息主体容易使该群体享受超越一般中国公民的待遇。因此,将外国人纳入个人信用信息主体已成为现实需要,但目前存在一定困难。
一方面,我国与国外的信用信息共享机制尚不健全,无法全面归集在中国的外国人的信用信息,而若只依据外国人入境时所归集到的信用信息对其进行信用评价,又有失公允;另一方面,对于短期来我国旅游的外国人,入境时间短且目的地不固定,我国各地区对信用信息的管理、失信行为的规定都有差异,需要评判是否有对外国人信用信息进行记录的必要。
《个人信息保护法》第3条第1款规定了属地原则,外国人在我国境内处理个人信息的活动都受到我国法律法规的规制与保护。
对于长期在我国进行生产工作与交易的外国人,这一类外国人对我国法律法规制度较为熟悉,且具有经常居住地,将其纳入个人信用信息主体范围具有合理性;对于短期旅游的外国人,由于各国经济发展、文化思想、与我国的外交关系存在差异,可能导致其在本国的信用信息无法在我国反映其真实信用状况,因此有必要重新依照我国标准对其信用信息进行归集。
此外,即使是短期旅游的外国人,也存在实施捐款、参加志愿者活动从而获得正面信用信息的可能,同时也存在破坏社会秩序、违法犯罪等获得负面信用信息的可能,不能排除该类外国人在出境后重新回到中国的可能。因此,应当将归集到的外国人的信用信息单独分类,以专门的类目进行记录与更新,方便其提出异议申请。
(二)个人信用信息异议的对象
1. 公共信用领域:公共管理机构
公共信用领域个人信用信息异议制度涉及的对象即公共信用信息处理者,包括公共信用信息的提供者与管理者。依据《全国公共信用信息基础目录(2022年版)》,公共信用信息即国家机关和法律、法规授权的具有管理公共事务职能的组织在履行法定职责、提供公共服务过程中产生和获取的信用信息。公共信用信息的提供者为“国家机关”与“法律、法规授权的具有管理公共事务职能的组织”。《个人信息保护法》第33条规定国家机关处理个人信息活动适用本法。依据《征信业管理条例》第2条第4款,公共信用领域的信用信息处理活动被排除在该条例之外。
国家机关,即从事国家管理和行使国家权力的机关。《中华人民共和国宪法》第三章专章规定了国家机构,具体包括立法机关、国家元首、行政机关、监察机关、司法机关、军事机关。
其中,行政机关指依法成立的,执行国家法律,从事国家政务、机关内部事务和社会公共事务管理的政府机关及其他各部委。在公共信用领域,行政机关对个人信用信息主体行使行政职权,在依法行政的过程中所获取的大量行政许可、行政处罚信息能反映个人信息主体的信用状况。
司法机关指依法成立行使国家司法职权的人民法院、人民检察院。司法机关拥有大量裁决信息,这部分信息与个人信息主体的信用状况息息相关。
故行政机关、司法机关二者理所当然成为公共信用信息中个人信用信息异议行使的对象,在“信用中国”网站中,该二者也是最为常见的产生与获取公共信用信息的国家机关。
并非所有类型的国家机关都是公共信用信息中个人信息主体进行异议的对象。如军事机关只对军事人员进行管辖,这部分人员一般不对外进行信息互换,其信息受到特殊保护,并不具备公共性;立法机关与监察机关分别主管立法与监察,虽然立法机关还涉及对行政机关与司法机关的监督职责,但两者均没有直接参与个人公共信用信息的处理活动,也不具备与公共信用信息的职能关联,所收集的信息同样不具备公共性。
但从最新公布的《社会信用体系建设法(向社会公开征求意见稿)》第65条关于公共信用信息的定义看,立法者仍旧采用的是“国家机关”而非“行政机关、司法机关”的表述,在社会信用体系建设不断完善,公共信用信息目录不断扩展的同时,不能排除其他国家机关提供公共信用信息的可能性,因此目前在规范中使用更宽泛包容的“国家机关”一词更为合适,但需要注意在具体实践中,可在公共信用信息目录中明确由国家机关中的“行政机关、司法机关”作为提供主体。法律、法规授权管理公共事务的组织,主要包括以下几类:
第一,群团组织,即“群众性团体组织”的简称,属社会团体的一种,中央机构编制委员会办公室编制的群众团体包括中华全国总工会、妇联、共青团等共22家,这些组织主要产生志愿者服务、慈善捐赠等信用信息。
第二,公共企事业单位,即为公众履行公共责任、提供相应的公共服务、产品、实现公共目标的营利性与非营利性单位,其提供的公共服务包括教育、医疗卫生、计划生育、供水、供电、供气、供热、环保、公共交通、物业等。
我国在国家层面与地方层面均设置了公共信用信息的管理者承担异议受理的工作,其中国家层面主要指发改委下设的国家公共信用信息中心,通过“信用中国”平台进行管理;而在地方层面主要指各地政府的公共信用信息工作机构,具体机构会随着地方信用活动的开展而变动,如北京市由政府部门中的市经济信息化部门负责、山西省由归属于发改委下属事业单位的省经济信息中心负责。
值得探讨的是,有的地方规定个人信用信息主体可选择“提供主体”与“管理主体”其中之一提出异议申请。而也有地方规定个人信用信息主体只能向管理主体提出异议,个人信用信息主体无权选择异议对象。
若不赋予个人信用信息主体选择权,能够做到异议程序的分流,避免管理主体与提供主体协同处理异议的情况,一定程度上能压缩异议处理流程的时间,更好地体现了服务过程重组和主体间的协同。
但各地方在机构设置上拥有一定自决权,各地的公共信用信息工作机构并不一致,地域分布也不均衡,一般设置在不设区的市、区一级及其以上,无形中增加了异议申请主体的异议成本。因此,应当赋予异议申请主体对异议对象的选择权。
一方面,有利于个人信用信息主体拓宽异议路径,依据不同情况选择异议成本最低的对象;另一方面,提供主体更接近信用信息源头,在对异议信息的调查、取证、核实上也更具优势,能有效提高异议处理的效率。
2. 央行金融信用领域:央行征信中心与商业银行
《征信业管理条例》第2条第3款规定,国家设立的金融信用信息基础数据库的信息处理适用本条例,这与不适用《征信业管理条例》的公共信用信息提供主体作出了区分。因此虽然中国人民银行在征信活动中归集的金融信用信息也可称作公共信用信息的一种,但对其的规范与目前公共信用信息并不一致。
纵观我国目前对央行金融信用信息的立法,其中涉及异议处理程序的主要由《征信业管理条例》一部行政法规以及《个人信用信息基础数据库管理暂行办法》、《金融信用信息基础数据库个人征信异议处理业务规程》两部部门规章组成。依据《征信业管理条例》第25条,央行金融信用信息中的异议对象为“征信机构”与“信息提供者”。《金融信用信息基础数据库个人征信异议处理业务规程》第2条规定,中国人民银行征信中心、征信分中心及其辖内个人征信异议处理网点,两者统称为征信分中心,负责处理个人金融信用信息的异议。
依据《个人信用信息基础数据库管理暂行办法》,在金融领域由商业银行负责提供个人信用信息,由央行统一组织商业银行建立个人信用信息基础数据库。中国人民银行征信中心作为中国人民银行直属事业单位,主要职责是依据国家法律法规和人民银行规章,负责金融信用信息基础数据库的专业运行、维护和管理。商业银行,即依据《商业银行法》与《公司法》设立的吸收公众存款、发放贷款、办理结算等业务的企业法人。
3. 市场信用领域:市场个人征信机构与企业
由于只受到《民法典》与《个人信息保护法》的制约,市场信用领域的主体更加多元化与市场化,且不存在固定不变的信息流通方向。因此,提供信息的自然人可以向所有处理过个人信用信息的信息处理者提出异议申请,包括市场个人征信机构与企业。
2015年1月,央行发布了《关于做好个人征信业务准备的通知》,腾讯征信、芝麻信用等八家互联网金融公司正式进入个人征信业务领域,这标志着我国个人征信市场化进程的正式开启。
2018年1月31日,中国互联网金融协会联合腾讯征信、芝麻信用等八家公司共同组建了百行征信有限公司——首家以市场为导向的个人信用征信服务机构。
2020年12月28日,朴道征信有限公司成为全国第二家持有个人征信业务牌照的市场化征信机构,央行第二次发放牌照的根本目的在于吸纳除百行征信中八家机构以外的其他互联网企业入场。
这是目前我国拥有个人征信牌照的两家市场个人征信机构。同时,市场企业涉及个人信用信息处理活动。以百度、阿里巴巴、腾讯等为代表的互联网企业以及如信用调查机构等其他企事业单位在提供服务的过程中,掌握了海量的个人信用信息,如淘宝、支付宝提供的消费者的消费记录等,这类企事业单位收集信息的目的大多是出于提供必要的网络服务、个性化推送,类似企业也应是个人信用信息异议的对象。
四、个人信用信息异议制度的适用情形解析
综合地方性公共信用立法、《征信业管理条例》第25条、《民法典》第1029条可以看出,不同领域的个人信用信息异议制度在实体上均与更正、补充权,删除权的行使联系最为密切,针对信用信息更正、补充权的行使以及通过申请方式行使删除权必然伴随着个人信用信息的异议程序,申请主体主要依据《个人信息保护法》第46、47条的内容启动异议程序行使更正、补充权与删除权。而《个人信息保护法》第四章规定的其他个人信息权益虽不与异议程序直接挂钩,但在某些情形下也能与其产生联系。
(一)与更正、补充权相对应的情形认定
1. 个人信用信息“不准确”情形
更正、补充权的适用情形分别为个人信用信息不准确以及个人信用信息不完整。个人信用信息“不准确”,即信用信息处理者所处理的个人信用信息无法反映真实情况,与真实的个人信息不一致。应包含以下两种情形:
第一,个人信用信息错误。应当被处理的个人信用信息在记录上出现错误,导致个人信用信息不准确。这种错误可能缘于提供时信用信息已处于不真实状态,也可能因为信用信息处理者的误载或恶意篡改。《征信业务管理办法》第3条将信用信息区分为基本信息、借贷信息、其他相关信息,以及依据前三种信息形成的分析评价信息。
从内容上看,前三种信息可用于识别判断个人信用信息主体的信用状况,称为原始信用信息,分析评价信息由前三种信息经过特有的算法模型加工形成,称为信用评价信息。针对原始信用信息错误的异议基于事实判断,如个人信用信息主体发现其身份证号码、家庭住址等信息出现错误。
而对信用评价信息错误的异议有可能基于事实判断,也有可能基于价值判断。信用评价信息错误主要集中为以下两类:其一,由于原始信用信息的错误,进而导致信用评价信息不当;其二,原始信用信息真实,但信用信息处理者的算法模型有误。
针对前者的异议同样基于事实判断,个人信用信息主体可基于此提出异议申请。而后者更多夹杂着个人信用信息主体的价值判断与信用信息处理者的主观倾向。因此,应当以信用信息处理者在形成信用评价信息的过程中是否存在主观过错作为判断标准,因故意篡改或过失误载个人信用信息的,应当允许个人信用信息主体对此进行异议,要求更正。若仅仅是个人信用信息主体主观上认为信用信息处理者的信用评价手段、算法模型等不合理或不利于自身信用状况的,不能据此进行异议。
第二,个人信用信息不适时。应当被处理的个人信用信息已实际发生变化,但信息提供者并未及时将变化后的信用信息交付于信用信息处理者,或者信用信息处理者因为主客观原因并未及时更新信用信息导致其过时,也会导致个人信用信息不准确。
若发现应当被处理的个人信用信息处于过时陈旧的状态,个人信用信息主体可据此提出异议,行使更正权。如被列为失信被执行人的个人信用信息主体在履行判决后,其未履行判决的信息仍旧记载在信用报告上。信用评价信息同样可能存在不适时的情况,《信用评级业管理暂行办法》第28条规定了信用评级机构的跟踪义务,这意味着个人同样可以就信用评价信息处理者未履行跟踪义务向其提出异议申请。
2. 个人信用信息“不完整”情形
个人信用信息存在遗漏或缺失,即信用信息应被纳入处理而未被纳入的情形。个人信用信息的遗漏或缺失可能缘于提供信息时的疏漏,也可能缘于信息处理者主观上的过错删除或客观上的处理程序故障。
判断个人信用信息是否遗漏或缺失,其判断标准应当是:以信息处理者的技术处理条件与处理目的为限,信用信息能否全面反映个人信用状态。
就信息处理者的技术处理条件而言,信息处理者所搜集处理的个人信用信息应当穷尽信息处理者的技术处理能力,且至少应满足法律法规、行业与社会要求的一般技术水平。在技术处理条件确定的情况下,信息处理者应当有全面搜集处理在其技术处理条件下一切信用信息的能力。
就信用信息处理目的而言,《个人信息保护法》第6条明确了目的限制原则。搜集处理的信用信息需最大程度地实现明确清晰、合法合理的处理目的,任何指向处理目的的、必要的信用信息都应得到补充。就信用信息能否全面反映信息主体的信用状态而言,搜集处理的信用信息应当与信用状态直接相关或具有紧密的关联性,个人信用信息的完整性相比于一般个人信息的完整性更重要,若信息处理者仅记录信息主体的负面信息,不记载信息主体基于这些负面信息做出的修复行为以及其他正面信息,将极大影响信息主体的社会信誉。
(二)与删除权相对应的情形认定
《个人信息保护法》采用了“个人信息处理者主动删除”加“个人申请删除”模式,个人信息主体通过异议程序行使删除权属于后者。在这种情形下,删除权的行使必定伴随着异议程序的适用,其前置条件为个人信息处理者并未依法主动进行删除。与《民法典》的概括性规定相比,《个人信息保护法》第47条具体化了五项情形:
第一,“处理目的已实现、无法实现或者为实现处理目的不再必要”。个人信用信息主体与信用信息处理者可能存在某种关于信用信息处理目的的约定,如提供信用信息以获取信用评价报告用于达成交易,当该交易协议达成、破裂或超出该交易协议范围所需而过度处理时,个人信用信息主体均可据此提出异议申请。
第二,“个人信息处理者停止提供产品或者服务,或者保存期限已届满”。信用信息处理者由于合同解除等原因停止提供信用报告与服务,或者个人主动终止接受产品或服务,若信用信息处理者并未主动删除相关信用信息,个人可据此提出异议申请;停止提供产品服务的原因还可能是信用信息处理者的破产、解散,在这种情形下由于相关机构已不复存在,相关信用信息也随之消灭,不存在异议的情形。
保存期限已届满包括法定情形或约定情形,法定情形如《征信业管理条例》第16条与《金融信用信息基础数据库个人征信异议处理业务规程》第28条规定了对不良信息与异议处理相关档案资料的保存期限分别为5年与3年。而约定情形一般出现在市场信用领域互联网企业与个人信用信息主体在协议中达成的关于信用信息的存储期限为实现服务所必须的时间的约定。
实务中,关于负面信用信息的存续条件存在争议,分为以法律责任为存续依据与以客观事实为存续依据两派观点。前者认为法律责任如担保责任的免除,负面信用信息就应当被删除;后者认为《征信业管理条例》第44条关于不良信息的界定中,“未按照合同履行义务”属于客观事实行为,因此不良信息应被视作事实信息,其形成和存续不以法律责任的免除或法律责任履行完毕为前提。
本文认为,负面信用信息的存续应考虑法律责任。若不以法律责任作为判断标准,负面信用信息的存续会更依赖信用信息处理者的主观判断,在法律责任消灭后,此时怠于删除负面信用信息有可能产生新的纠纷,甚至造成个人信用报告与生效判决的冲突。
另外,《征信业管理条例》第16条并未明确界定“不良行为或者事件终止之日”这一临界点,当负面信用信息的存续与法律责任认定有关时,“不良行为或事件终止之日”应与法律责任的消灭相对应。可通过列举的方式加以明确,如法律文书生效之日、保证期间届满之日等。
第三,“个人撤回同意”。《个人信息保护法》第15条规定,基于个人同意处理个人信息的,个人有权撤回其同意。在市场信用领域,信用信息处理者一般需在得到个人知情同意后才能处理相关个人信用信息,若个人已撤回先前同意,但信用信息处理者仍未删除的,个人信用信息主体可据此提出异议申请,但依据该条第2款,撤回同意以及异议的提出并不具有溯及既往的效力。
另外,依据《个人信息保护法》第13条第1款第2项至第7项情形处理的个人信用信息不需要取得个人同意,故个人不能以撤回同意为由提出异议。
第四,“个人信息处理者违反法律、行政法规或者违反约定处理个人信息”。个人信用信息处理应符合《民法典》《个人信息保护法》《征信业管理条例》等法律与行政法规的规定,在市场信用领域还应符合双方约定的处理方式、处理目的、处理范围等。但由于该项情形限定违反的规范位阶为“法律、行政法规”,因此《征信业务管理办法》《金融信用信息基础数据库个人征信异议处理业务规程》《最高人民法院关于公布失信被执行人名单信息的若干规定》以及地方社会信用条例中关于信用信息异议的实施细则无法直接得到适用。
第五,“法律、行政法规规定的其他情形”。《个人信息保护法》第47条第1款所列举的删除权法定情形建构在个人信息处理“合法、正当、必要”之上,但法律所能列举的情形毕竟是有限的,难以涵盖现实中的诸多事项,故该条款以“法律、行政法规规定的其他情形”作为兜底。
如《网络数据安全管理条例(征求意见稿)》第22条中指出,使用自动化采集技术的信息处理者,无法避免采集到的非必要个人信用信息或者未经个人同意的个人信用信息,未在15个工作日内删除个人信息的,个人信息主体可向其提出异议申请。
(三)与其他信息权利相对应的情形认定
《个人信息保护法》明确规定的其他个人信息权益包括知情决定权、查阅复制权、转移权、解释说明权、死者的信息权利。
上述权利中除了死者的信息权利外,其他权利只有在信息处理者拒绝行使权利时,才可据此进入异议程序。换言之,知情决定权、查阅复制权、转移权、解释说明权的行使程序与异议程序并不一致。知情、决定权具备独立的实体权益内容,无法被其他权利所涵盖,是个人信息权益中的本权。异议制度是更正、补充权与删除权的实现方法,也可看作是对本权的保护方法。
无论在公共信用领域、央行金融信用领域还是市场信用领域,信用信息处理者在处理个人信用信息时均需对个人履行告知义务,从而保证其全面知悉自身信用状态,并进一步通过异议制度进行相关救济。若信用信息处理者在个人未知情、未决定的情况下搜集了个人信用信息,且不具备、不提供《个人信息保护法》第13条第1款第2项至第7项合理理由的,个人信息主体可向信息处理者提出异议。《征信业管理条例》第15条特别规定了商业银行还负有负面信用信息上报前的告知义务,但该条并未明确告知的内容,其内容应包括负面信用信息的产生时间与原因。
实务中也有信用信息处理者认为事前授权书可视为履行告知义务。虽然《征信业管理条例》与《个人信息保护法》均规定了告知同意原则,但事前授权书属于信息采集阶段的授权,目的在于促使协议签订,而负面信用信息上报前的告知义务属于授权后履行协议的附随义务,二者不可等同。
在市场信用领域,个人信用信息的处理基于个人的同意,当信息主体撤回同意而信用信息处理者未删除相关信用信息时,可据此提出异议。查阅、复制权是实现知情权的保障。信用信息异议制度有赖于信息主体的查阅、复制权,后者是提出异议的前提,个人无法查阅信息内容就无法据此异议。
个人信用信息的异议基于个人信用信息主体的查阅内容,但在信用信息领域的查阅权范畴实际上并不等同于其他个人信息处理场景下的查阅内容。
如《征信业管理条例》第17条规定,信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。故在央行金融信用领域,个人信息主体能查询的信用信息仅限于信用报告之上的内容,其异议内容也需据此提出。转移权,又名“可携带权”,符合网信部条件,个人信息主体可将个人信息转移至指定的个人信息处理者。
在市场信用领域,信用信息的转移可以是部分的也可以是全部的,这视乎具体的约定内容。当转移的是全部的信用信息时,原信息处理者的处理目的已完成或消失,应当履行删除义务,未履行的,个人信用信息主体可据此提出异议。若个人信用信息主体在没有约定异议申请对象的情况下,于信息转移过程中对信用信息提出异议,原信用信息处理者与新的信用信息接收主体均应视为“信息处理者”,应允许个人对任意一方提出异议申请。
解释说明权要求个人信息处理者对其个人信息处理规则进行解释说明,其目的是维护信息主体的知情权。当个人信用信息主体对信息处理规则上的内容产生理解歧义或疑惑时,信用信息处理者怠于解释说明的,个人可据此提出异议申请。当信用信息处理者拒绝个人异议申请时,也应当提供合理的拒绝理由。
当双方在异议过程中对信用信息的处理目的、处理方式、保存期限等约定内容有争议时,信用信息处理者均应当做出合理解释。
死者的近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使更正、删除等权利。《个人信息保护法》第49条的规定意味着具有利害关系的死者近亲属可以对死者的信用信息提出异议,如针对超过保存期限而侵害死者名誉权的不良信息提出异议。
但该条规定了“死者生前另有安排的除外”这一例外条件,如死者生前通过遗嘱方式指定除近亲属外的其他人行使个人信息权利,或是明确任何人不得行使个人信息权利,在这种情形下其他的近亲属即便为了自身正当、合法的利益,也不得就死者的信用信息进行异议。
五、个人信用信息异议制度的程序规整与衔接
伴随更正、补充权与删除权等权益启动的个人信用信息异议程序,还存在以下问题:申请途径狭窄、异议标注作用不明、处理期限设置不合理、举证责任与审查义务不清晰。除异议程序外,个人信息主体还能通过其他程序继续对信用信息进行全方位的救济,如行政复议、投诉等非诉救济程序以及行政诉讼、民事诉讼等诉讼救济程序。
(一)异议程序规整与细化
1. 增加线上异议申请途径
个人信用信息主体一般无法在线上提出异议申请。在公共信用信息中心与信用中国网站,线上异议申请仅支持由法人用户提出。《金融信用信息基础数据库个人征信异议处理业务规程》规定,征信中心只通过现场服务方式向个人提供异议处理业务,个人或委托人需现场提交申请书与指定材料。
个人信用信息主体可能由于时间与地域的阻碍,不能及时到达现场。至于地方性金融机构、互联网企业等主体,则一般通过邮件、电话等形式提出异议,以芝麻信用为例,用户以邮件形式向芝麻信用提起异议,但后续的处理情况仅由电话与短信通知,缺乏直接沟通容易导致双方对异议具体内容的误解。线上的异议提出途径应当被各信息处理者设立,并配套以相应的线上异议审核机制。这一方式可降低异议成本,使个人不受制于时间与地点,提高异议效率,有利于在个人发现自己的信用信息出现错误时,尽快启动异议程序。在该途径下,可确保基本信息与异议内容的完整性,同时也便于信用信息处理者的异议核查,双方形成的沟通细节也可为后续的行政复议、投诉、诉讼等提供证据。
2. 明确异议标注的作用与持续期
对存在异议的信用信息进行标注是我国异议申请对象在收到异议后的普遍做法。但目前中央的征信规范均缺乏对异议标注细则的规定,如未明确异议标注期间是否允许信息处理者对该异议信息进行其他处理活动、未规定异议标注的起始时间与持续期间。
一方面,异议信用信息在标注期间,除核查外的处理活动应被限制。异议标注的设定类似数据限制处理权,为了表明该信用信息质量与真实性存疑,提醒信息使用方避免使用该类信用信息从而导致信息主体的信用评价降低。
另一方面,异议信用信息应当在收到异议申请后立即被标注,并覆盖异议处理的全流程。异议标注的另一目的是控制不良影响的扩散,直到异议信用信息被更正、补充、删除。
3. 异议处理期限类型化
《征信业管理条例》与《金融信用信息基础数据库个人征信异议处理业务规程》均将异议处理期限固定为收到异议申请之日起20日内,公共信用领域的异议处理期限则为5个工作日到30日不等。
但实际上,不同异议事项的复杂与难易程度也不相同,单一的异议处理期限缺乏灵活性。若个人信用信息主体因被冒名或信息处理者的操作失误而产生不符合真实情况的信用信息,处理期限过长有可能导致其受损范围的进一步扩大。
因此,应当针对不同的异议事项对异议处理期限类型化,兼顾异议处理的速度与准确性。针对出现文字错误、基础信息错误或者事实清楚的情况,适用短期处理期限;其余非短期处理期限的异议事项,适用20日的一般处理期限;对于其中信息或证据不完整、难以确定信息真实性的,应将情况上报,审核通过后给予一定宽限处理期限,但应设置宽限期的上限,不可无限延长。
4. 异议举证责任与审查义务的分配落实
在不同的保护路径下,个人信用信息异议的举证责任也不相同。《个人信息保护法》出台前的个人信用信息异议纠纷中,当事人多以“名誉权”路径寻求保护。
实务中,部分法院以“征信系统相对封闭,不良信息不被社会不特定人所知晓,社会评价并未降低”为由不认定构成名誉权侵权,不支持更正或删除失实的负面信用信息,这种情况下个人信用信息主体难以证明“社会评价降低”这一损害结果。《个人信息保护法》出台后则在原基础上增设了“个人信息权益”这一路径,与《民法典》的一般过错原则不同,适用过错推定原则。
信用信息处理者对信息储存与传送较为系统化,一般而言存在对各种信用信息来源的备案,且由信用信息处理者承担举证责任可缓解名誉权路径中个人信用信息主体的举证困境,降低损害范围扩大的可能性。
异议申请主体只需提供异议相关记录的证据以证明基本事实存在即可,不同的异议处理对象则需要对相应错误、遗漏等事实进行审查,并承担举证责任。信用信息处理者的审查内容包括异议请求的合理性、手续是否齐备,进而决定是否受理以及解决方式。
不同的信用信息处理者由于履行的法定义务各不相同,对自身“过错”的证明也有所不同,如国家机关等信用信息提供主体应证明自身在搜集、保存、传输个人信用信息的过程中未导致个人信用信息失实;而央行或市场个人征信机构在出具不实的信用报告时不可主张其对信用报告相关的信用信息仅做技术性审核,这与其承担的严格审核义务不符。
如果异议请求合理、手续齐备,应当在规定时间内办结该异议信息;如果请求合理但手续不齐备,应当及时将异议处理流程和应当补充的材料告知申请人;而对于异议申请超出工作人员职责范围的情况,则应当引导异议申请主体找到承办该异议的人员。同时,还应当确立审查人员的长期责任制,当异议处理程序之后争议未解决或再度陷入争议,可以第一时间找寻相应责任人进行调查认定。
(二)异议程序衔接与分析
1. 行政复议制度和投诉制度的衔接
在公共信用领域,目前只有少部分地区规定了个人信用信息主体在对异议处理决定不服时可提起行政复议。《行政复议法》第6条第11款的兜底规定中写到,当公民认为行政机关的具体行政行为侵犯其合法权益,即可申请行政复议。
公共信用领域中公共信用信息的提供者与管理者的处理行为属于具体行政行为。公共信用信息的提供者与管理者处理公共信用信息的行为基于的是国家以及地方人民政府安排的行政职权或职责,直接影响着行政相对人的权利或义务,如驳回异议申请、不予更改错误的负面信息,已在实质意义上影响信用信息主体的社会评价,产生着行政行为的外部法律效果。
因此,根据《行政复议法》第12条,个人信用信息主体可以对公共信用信息的提供者或管理者的“本级人民政府”或“上一级主管部门”提起行政复议。
在央行金融信用领域,从2013年《征信业管理条例》第26条到2023年《征信投诉办理规程(征求意见稿)》的形成,投诉对象并未发生变更。当信用信息处理者的驳回个人异议申请致其合法权益受损时,可以向所在地的国务院征信业监督管理部门派出机构投诉,即中国人民银行分支机构。
对于央行而言,自身既是异议的受理对象,同时也是投诉与监督对象,这种兼具“裁判”与“运动员”的角色存在不合理之处,很难保持投诉案件处理的中立性。
而在市场信用领域,目前我国并没有相应的法律条文规制其投诉路径的设立,故其设立完全依赖市场个人征信机构与互联网企事业单位的自治。
如百行征信、朴道征信提供的个人客户服务中,仅规定了异议申请与处理的流程,并未规定对异议核查结果不服的投诉路径;而芝麻信用仅以文字规定个人“可以向消费者保护协会等组织进行投诉”,并未进一步给出可行的投诉路径指引。
因此,短期过渡可在内部完善央行征信监管机构在投诉处理中的职权以增加其权威性,如赋予其主动更正的职权。在市场信用领域的各主体可设立独立的监管部门,以自查的模式接收投诉。
而在外部统一由市场监督管理局进行行业监管。从未来长期的角度可以征信中心和互联网企事业单位合作的方式共同建立独立的第三方裁判机构,受理关于异议申请的投诉,对异议处理程序进行监督。
2. 提起诉讼不以异议遭拒为前提
《个人信息保护法》第50条第2款并未详细规定个人信息主体向人民法院提起诉讼的类型,故依据异议处理对象的性质不同,个人信用信息主体可以分别提起行政诉讼或民事诉讼。但该款并未明确个人是否必须通过个人信息处理者提供的异议路径向个人信息处理者提出请求,而不能直接以诉讼的方式提出异议。目前学界存在肯定说与否定说两种观点。
肯定说认为,“个人信息处理者拒绝个人行使权利的请求”应是依据《个人信息保护法》第50条第2款的提起诉讼的前置条件。
一方面,个人信息主体向个人信息处理者主张异议是相对诉讼而言更快捷、便利的维权方式,且该主张本身就需要个人信息处理者的配合才可实现,可以避免增加个人信用信息的处理成本、造成司法资源的浪费与诉权的滥用。
另一方面,提出异议目的是得到个人信息处理者的配合以实现更正、补充、删除等权益,若个人信息主体直接向法院提起诉讼,在未经过异议申请的情况下无法证明上述权益受到侵害。
否定说认为,个人信息处理者拒绝个人信息主体的异议申请或更正、补充删除权益的行使并非向法院提起诉讼的前置条件。《立法法》第8条规定,诉讼与仲裁制度只能制定法律。诉权作为一种基本权利,必须要有法律的明确规定才能加以限制。《个人信息保护法》第50条第2款说明的是个人信息主体可以提起诉讼的情形之一,并非是对诉权在法律上作出限制,个人信息可以直接向法院提起诉讼。
本文认为,异议制度应以否定说进行解释,即异议制度不应成为个人信息主体向法院提起诉讼的前置程序。《个人信息保护法》第50条第2款并不存在类似前置程序的详细规定。
从立法体系的角度看,我国法律规范一般只对财产权利设置前置程序,如劳动争议案件的诉讼需设置仲裁作为前置。而诸如《民法典》中人格权的保障救济制度均无前置程序,个人信息作为其中的组成部分,自然不应存在前置程序;
从异议维权成本的角度看,由于信用信息处理者所在地或处理异议的分支机构与受理纠纷法院所在地往往不在同一区域,增加异议遭拒的前置条件会增加个人的维权成本;
从可能出现的诉权滥用的角度看,目前并未得到现实数据的支撑,即使该现象存在也并不能本末倒置地否定个人信用信息权益的可诉性。
因此,在与异议制度的衔接上,行政复议与投诉、诉讼处于并列关系,个人信用信息主体可在上述救济方式中依据信息性质与异议对象进行选择,且各救济路径互不干涉。
六、结语
完善的社会信用体系是有效衔接供需的保障,也是优化资源配置的重要基础,对促进国民经济发展与构建新发展格局具有关键作用,而个人信用信息则是其中的核心内容。
随着《民法典》、《个人信息保护法》的出台以及《社会信用体系建设法》的起草,个人信用信息主体的权益框架正不断扩充。个人信用信息异议制度是赋予信息主体对抗不对称信息权力的一种工具,是实现社会公益与个人私益平衡的程序,能解决在社会信用体系建设阶段信息主体信用状态不客观、不准确的问题。
只有解决现阶段个人信用信息异议制度的主体、要件、程序问题,才能最大程度地发挥其积极作用,为信用信息主体权益保驾护航、为社会信用体系完善尽一臂之力。
本文作者张路、刘隽基(湘潭大学 信用风险管理学院)
就申请主体条件而言,申请主体需涵括三类不同的自然人主体,异议对象应涵盖三个不同的信用领域。
就适用情形判定标准而言,异议处理程序可在更正、补充权与删除权中直接适用,也能间接适用于《个人信息保护法》第四章中其他各项权利。
就处理程序与衔接而言,需拓宽线上异议申请途径,发挥异议标注的限制作用并覆盖异议全流程,异议处理期限类型化,细化举证责任的判定标准与异议审查的内容,将公共信用领域信息处理行为解释为行政行为,补充央行金融信用领域与市场信用领域的外部投诉渠道,明确提起诉讼不以异议遭拒为前提。
一、问题的提出
个人信用信息作为评价个人信息主体信用水平的重要依据,一旦出现错误、遗漏等情形将极大程度地影响个人信息主体的信用评价,进而限制其信用生活的方方面面。个人信息主体对个人信用信息进行异议是对错误、遗漏情形进行纠正的最重要的程序,是个人信用信息权益不可或缺的保障。
早在2005年《个人信用信息基础数据库暂行管理办法》便初步规定了个人对异议信息的异议流程,但未深入对个人信用信息权益的规范;2013年国务院在《征信业管理条例》中专章规定了对个人信用信息异议与投诉制度;央行征信中心在此之后也发布了《金融信用信息基础数据库个人征信异议处理业务规程》,主要规范央行征信中心所处理的信用信息的异议程序的施行。
从2014年国务院发布的《社会信用体系建设规划纲要(2014—2020年)》中提出制定信用信息异议处理的管理制度及操作细则;到2016年《国务院关于建立完善守信联合激励和失信联合惩戒制度加快推进社会诚信建设的指导意见》与2019年《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》中两次强调建立健全信用信息异议制度。信用信息异议之建设贯穿我国社会信用体系建设的全过程。
2017年《最高人民法院关于公布失信被执行人名单信息的若干规定》仅对失信主体的个人信用信息异议进行规范;2021年《民法典》与《个人信息保护法》的相继出台,正式规定了个人信息主体享有更正权、删除权;2022年11月,国家发改委、央行起草的《中华人民共和国社会信用体系建设法(向社会公开征求意见稿)》公布,虽然该法目前仍处于公开征求意见阶段,但第95条已将信用信息异议确立为个人信用信息主体的权利之一。
可以看出,近年来个人信用信息异议制度正一步一脚印地得到系统落实。
由于《个人信息保护法》出台时间较短,现阶段研究成果并未过多关注个人信用信息具体的异议制度,个人信用信息异议制度仍存在以下问题:
第一,个人信用信息异议制度的主体条件不清晰。根据个人信用信息异议的流程,可将异议制度的主体分为申请主体与申请对象。关于申请主体,目前规范并未对个人信用信息主体与异议申请主体作出区分,且将申请主体限缩为信息主体本人并不合理,有利害关系的第三人以及外国人是否应该成为申请主体值得探讨。关于申请对象,由于个人信用信息在公共信用领域、央行金融信用领域、市场信用领域的异议规范并不一致,需要明确个人信用信息在不同异议场景中的处理对象及其内涵。
第二,个人信用信息异议制度的适用情形判定标准模糊。《个人信息保护法》中与个人信用信息异议制度衔接的权利是更正、补充权与删除权。更正、补充权中“不准确”与“不完整”的判断要件需进一步分析;删除权规定的五种情形中的异议的具体情况有待辨析。另外,除更正、补充权与删除权外的其他权利与异议制度的衔接也需要明确。
第三,个人信用信息异议制度的处理程序与衔接有待细化。在异议处理过程中,异议申请途径局限导致其存在一定难度,异议标注的使用效果不佳,关于异议处理的期限规定存在不合理之处,异议处理程序中的举证责任与审查义务也需要进一步细化。在异议无效后的救济过程中,行政复议与投诉相对应的情形与对象需要明确,诉讼的提出是否需要异议前置存在争议。
因此,需要根据相关规范,厘清个人信用信息异议制度在不同应用场景下各方主体的适用方式,进而为个人信用信息主体实现更正、补充权、删除权等提供可行的方法与思路,对完善个人信用信息异议程序的规整、衔接有所帮助,有利于提升个人信用信息处理活动的质量、充分挖掘个人信用信息在商业化利用以及社会公共管理中的价值,构建公平有序的数字市场营商环境,也为立法与司法实践提供理论支撑,推动社会信用体系的发展。
二、个人信用信息异议的性质与功能
虽然个人信用信息异议早在2005年便规定了其基本流程,但无论是后续的《征信业管理条例》还是《个人信息保护法》都在不断修正其内涵,目前法律规范均未对个人信用信息异议制度的性质作出正面回应,其应当视为个人信息权利的一种还是独立的救济程序尚属未知;同时,随着信用社会的不断建成,个人信用信息的法律适用场景也在不断更新,需要厘清个人信用信息异议制度在当今社会的价值功能,进而剖析其在不同适用情形下的要件关系。
(一)个人信用信息异议制度的性质定位
1. 个人信用信息异议制度的目的是保护信息权益
《民法典》第111条规定:“个人信息受法律保护。”且人格权编通过六个法条作了相关细化规定,初步构建了个人信息权益保护的法律规范体系。作为个人信息领域的特别法,《个人信息保护法》在第一章第1条阐述了“保护个人信息权益”作为三项立法目的之一。个人信息权益保护的重心体现在保护信息主体对个人信息的控制以及其他主体对信息利用的正当性。作为个人信息的子概念,个人信用信息与个人信息在权益内容上是一致的。在信用领域中,异议制度不仅与更正、补充权、删除权的行使联系更为密切,而且还贯穿在个人信用信息主体行使各项个人信用信息权益的全过程,是保护个人信用信息权益的重要步骤。通过异议制度可以使个人信用信息主体在信用领域制衡高度规模化、组织化的信息处理者,平衡两者在信息处理活动中的持续性不对等关系。
同时,异议制度保障了个人在与其相关的个人信用信息处理活动中的发言、参与和选择,限制信息处理者的滥权与肆意行为。信用信息来源于信息主体,而信用信息中的信用评价信息更是直接作用于信息主体,负面的信用评价将直接减损信息主体的权益。因此,科学合理的异议有利于个人信用信息主体与信用信息处理者之间形成良好关系,从形式、实质上保护个人信用信息主体的信息权益。
2. 个人信用信息异议制度属于独立的救济程序
《征信业管理条例》对信用信息异议的专章规定虽然明确了异议制度的部分实施细则,但这些细则并非完整的确权规定,而是明确信用信息处理者的信息处理职责,从程序角度保障异议的顺利处理,进而使个人信息主体更完整地行使个人信息权益。《个人信息保护法》第46条与《民法典》第1037条在更正、补充权的表述上的主要区别之一即删去了“异议”一词。依据文义解释,《个人信息保护法》并不承认“异议权”或“异议更正权”的说法,“异议”并非作为个人信息权益的内容进入个人信息权益框架中,而是被视为一项独立的权益救济程序而存在。区别于其他法定权利,异议本身并不具备实体权利的性质,并不能为个人信息主体带来实体的现实利益。对个人信用信息的异议一般以信用信息主体申请作为前置条件,其程序的启动须通过申请才能完成,是基于个人信用信息处理行为产生的权益救济程序。
(二)个人信用信息异议制度的价值功能
1. 个人私益与社会公益的平衡协调
个人信用信息权益兼具私人利益和社会公共利益,且个人信用信息相较个人信息,其经济价值更加突出。合理协调的个人私权利配置与有限平衡的公权力配置是社会信用体系建设的底层逻辑,对个人私益的共识是推动社会信用体系发展的重要基础要件。个人信用是社会信用的基础,个人信用信息是个人信用的重要载体,个人信用信息得到保障才能维持社会信用环境的平稳发展。据此,《民法典》第1036条规定了个人信息的三项合理使用事项、《个人信息保护法》第13条规定了个人信息处理的七项合法性依据,这体现了个人信用信息的社会公益导向;同时,《民法典》第111条规定个人信息受法律保护,其人格权编第六章也专章规定了个人信息保护的各项权益,作为被涵摄的个人信用信息体现人格尊严的价值,对个体意志的形成具有重要影响,自然具备个人私益属性。个人信用信息异议制度反映了个人对信用信息处理控制的私益与社会公众对信用信息使用、维护安全秩序的公益的平衡。
信用信息在人格利益上的保护要求约束对信用信息的商业利用行为,个人信息主体对个人信用信息的处理需合法且实现平衡。因此在信息处理的过程中,既要激发信用信息的经济价值,同时要兼顾信用信息的人格利益保护,作出利益平衡的价值选择,除了信息处理者自身处理活动需合法外,还需要允许个人信息主体对个人信用信息提出异议。由于个人信息主体在私益上让渡了部分人格权,如隐私权,相应地国家需要在另一层面上赋予个人信息主体一系列信息权益,规范信息处理者的相应责任与义务。
2. 提高信用信息数据库信息质量
信用信息数据库存在海量的信息资源,信用信息的完整、准确是促进信用信息高效以及可持续利用的法理基础。信用信息异议制度保障信用信息的及时更新,提高其在个人信用信息数据库中的完整性、准确性。《个人信息保护法》在第一章第8条中确认了质量原则作为其基本原则之一,个人信息处理者具有保证其处理的个人信息准确、完整的义务。准确完整的个人信息反映完整的人格形象,是他人理解信息主体真实“自我”的前提;错误的人格形象可能会造成精神损害和财产损失。在信息自动化处理的大数据时代背景下,个人信息处理者能够轻易地掌握大量个人信用信息,其处理信息的过程快速,个人信息主体一般无法观其处理过程全貌。同时在该处理过程中,无法避免由于相关技术的故障与工作人员的操作纰漏而产生的疏漏与错误。对于这些疏漏与错误,个人信息主体一般只能在查询自身信用报告后才得以发现。但在各行各业陆续数字化的今天,这种后知后觉伴随的是交易机会丧失、经济利益受损等严重后果,信用信息的不完整与不准确会影响个人信息主体在信贷、就业、教育等领域的日常生活,个人信息主体与其他信用信息使用者可能基于此做出错误的或不符合真实意思的决策。只有将自身不完整、不准确的信用状态尽可能作更正、补充等恢复措施,才能实现信用信息权益行使的正常化,进而维护其他相关权益,回到与自己匹配的信用生活中。从异议对象的角度出发,在庞大的信用信息数据库中寻找错误,远不如由异议申请主体在异议中指出错误的效率高,完备的异议规范能使信用信息数据库的信息质量维持在较高水平。
三、个人信用信息异议制度的主体条件明确
兼具个人私益与社会公益的个人信用信息依据其性质的不同,所应用的领域场景也不同,主要包括公共信用、金融信用、市场信用三大领域,其异议程序所涉及的主体包括申请主体与对象。在申请主体层面,争议焦点集中于是否区分“申请主体”与“个人信用信息主体”、异议申请主体的范围限制、以及有利害关系的第三人与外国人是否应当成为申请主体;在受理对象层面,由于规制规范的性质与信用信息储存数据库的不同,受理对象也并不相同,应当分开讨论。
(一)个人信用信息异议的申请主体
1. 自然人本人
我国目前未将个人信用信息异议制度的申请主体与个人信用信息主体作出区分。个人信用信息主体,即被处理个人信用信息的个人,当然包括自然人本人。当自然人本人发现其自身个人信用信息不准确、不完整时,有权向个人信息处理者提出异议申请,行使更正、补充、删除等权益。2013年发布的《征信业管理条例》并未对“信息主体”一词下定义。2020年发布的《信息安全技术个人信息安全规范》(GB/T35273-2020)第8.2条与8.3条均将更正与删除的权益主体规定为“个人信息主体”。依据其第3.3条,个人信息主体是指“个人信息所标识或者关联的自然人”。《民法典》与《个人信息保护法》也在法律层面上确认异议申请的主体为自然人。从比较法上看,各国各地区均将异议申请主体限定为自然人。如日本《个人信息保护法》第29条与韩国《个人信息保护法》第36条均特别明确由“信息主体本人”进行异议申请。美国加州《消费者隐私保护法》将个人信息验证请求主体规定为消费者。欧盟《一般数据保护条例》第16条与第17条规定的更正权与擦除权中,以“个人数据”(thepersonaldata)的表述代替“一般数据”(generaldata),可推断其权利主体同样限定于自然人。除自然人本人提出异议外,个人信用信息主体还可委托授权他人代为提出异议申请。《个人信息保护法》第21条关于委托处理个人信息的规定并未对受托的信息处理者做限定,只要求双方成立委托合同关系,故受托人或转委托人可以是具有相应业务的组织或作为适格合同主体的个人。
2. 异议申请的自然人范围应限定为14周岁以上
目前《征信业管理条例》《个人信息保护法》均规定由信息主体进行异议申请,但并未对个人信用信息的主体范围作界定。在全国性规范中,《社会信用体系建设法(向社会公开征求意见稿)》与《公共信用信息报告标准(2022年版)》将个人信用信息主体限定为“具有完全民事行为能力的自然人”,大部分地方性规范与其保持一致。
有的地方社会信用立法对个人信用信息主体做了年龄上的限制,如《北京市公共信用信息管理办法》第2条则将个人信用信息主体限定为“18周岁以上自然人”;有的地方社会信用立法则完全不做任何年龄与能力的限制,如《上海市公共信用信息归集和使用管理办法》第2条直接将个人信用信息主体表述为“自然人”。
目前普遍将个人信用信息主体限定为“完全民事行为能力人”或“18周岁以上自然人”的合理性有待商榷。我国并未区分个人信用信息主体与个人信用信息的异议申请主体,且限定个人信用信息主体条件的做法,主要是基于对未成年人等群体的保护目的。
对于年龄较小的自然人,智力发育不完全,认知能力不足,对于自身实施的可能降低信用水平的行为无法做出合理判断,需要对该类主体做一定程度的保护。但这种限定相当于否定诸如未成年人等群体享有信用信息,存在不合理之处。
从负面信用信息角度上看,《刑法》第17条第3款规定,我国最低的刑事责任年龄为12周岁。第18条规定,尚未丧失辨认或者控制自己行为能力的精神病人也具有刑事责任能力,这类主体实施的违法犯罪行为极有可能成为信用信息的一部分。
从正面信用信息角度上看,依据《民法典》第18条,以自己的劳动收入作为主要生活来源的16周岁以上的未成年人,视为完全民事行为能力人,对于同样年龄但未参与社会经济生活的未成年人,被排除在信用信息主体之外,可能会造成两者参与同样的志愿者服务工作却在信用领域受到不同对待,显然不合理。
如上文所述,个人信用信息主体应当是处理个人信用信息的个人,自然人自出生起便享有个人信息,故个人信用信息主体不应对自然人作任何限定。
同时,应当对个人信用信息权利主体与个人信用信息权利行使主体进行区分。以未成年人为例,对该群体的信用状态的保护可以基于其自身的法律责任能力,选择性地记录信用行为或将信用行为纳入信用评价、限制非利害关系人察看信用信息、将监护人的信用行为纳入考察等,但不应否认其具有行使个人信用信息权利的能力。
本文认为,应以“14周岁以上自然人”作为个人信用信息异议申请主体较为合适。目前未成年人可依据《未成年人保护法》第72条第2款行使更正权与删除权,但当前规定与公法的衔接较为欠缺。
首先,《行政处罚法》与《治安管理处罚法》均规定14周岁为行政处罚的责任年龄。其次,虽然《刑法》通过《刑法修正案(十一)》下调了刑事责任年龄至12周岁,但其适用条件仅为实施故意杀人、故意伤害造成严重后果两种特殊情形。
最后,14周岁是未成年人价值观养成的关键时期,激励其参加志愿、捐赠等公益活动并记录其正面信用信息,有助于诚信意识与社会责任感的培养。
综上,14周岁应当作为在未成年人中可独立行使信用信息权利的分界点,可在《未成年人保护法》第72条第2款的基础上,规定14周岁以上自然人可独立对信用信息处理者提出异议申请,而14周岁以下的未成年人由监护人代为行使。
3. 允许有利害关系的第三人申请异议
目前有关个人信用信息异议的规范中,与所记载的信用信息有利害关系但不直接反映自身信用状态的第三人,如个人信用信息主体的近亲属、债权人等,并不具备异议申请的资格。排除有利害关系的第三人的异议不利于个人信用信息主体与第三人的权益保护。
有利害关系的第三人是发现纰漏信息的纠正来源之一,一定程度上能减少不完整、不准确的信用信息流入信用信息数据库的可能性,若将其排除在异议申请主体之外,即使第三人发现个人信用信息主体的某项信用信息存在瑕疵疏漏,且该信息与自身利益密切相关,也无法直接提出异议申请,容易导致更进一步的信用信息权益侵损。
将知情的有利害关系的第三人解释为异议申请主体,其提出的异议申请并不会损害个人信用信息主体的权益,还能减少错误信息扩散以及由此带来的损失和纠纷。《个人信息保护法》第49条规定的死者近亲属可以行使相关信息权利,该条目的正是保护有利害关系的第三人的合法、正当利益,只是仅限于死者近亲属范畴。据此,将有利害关系的第三人解释为异议申请的适格主体当然符合个人信息权益保护的立法宗旨。
4. 允许外国人申请异议
当前立法并未明确不具有中国国籍的自然人能否作为信用信息主体。随着全球化的发展,在我国参与生产工作、交易、旅游的外国人群体越发庞大,不将该群体纳入个人信用信息主体容易使该群体享受超越一般中国公民的待遇。因此,将外国人纳入个人信用信息主体已成为现实需要,但目前存在一定困难。
一方面,我国与国外的信用信息共享机制尚不健全,无法全面归集在中国的外国人的信用信息,而若只依据外国人入境时所归集到的信用信息对其进行信用评价,又有失公允;另一方面,对于短期来我国旅游的外国人,入境时间短且目的地不固定,我国各地区对信用信息的管理、失信行为的规定都有差异,需要评判是否有对外国人信用信息进行记录的必要。
《个人信息保护法》第3条第1款规定了属地原则,外国人在我国境内处理个人信息的活动都受到我国法律法规的规制与保护。
对于长期在我国进行生产工作与交易的外国人,这一类外国人对我国法律法规制度较为熟悉,且具有经常居住地,将其纳入个人信用信息主体范围具有合理性;对于短期旅游的外国人,由于各国经济发展、文化思想、与我国的外交关系存在差异,可能导致其在本国的信用信息无法在我国反映其真实信用状况,因此有必要重新依照我国标准对其信用信息进行归集。
此外,即使是短期旅游的外国人,也存在实施捐款、参加志愿者活动从而获得正面信用信息的可能,同时也存在破坏社会秩序、违法犯罪等获得负面信用信息的可能,不能排除该类外国人在出境后重新回到中国的可能。因此,应当将归集到的外国人的信用信息单独分类,以专门的类目进行记录与更新,方便其提出异议申请。
(二)个人信用信息异议的对象
1. 公共信用领域:公共管理机构
公共信用领域个人信用信息异议制度涉及的对象即公共信用信息处理者,包括公共信用信息的提供者与管理者。依据《全国公共信用信息基础目录(2022年版)》,公共信用信息即国家机关和法律、法规授权的具有管理公共事务职能的组织在履行法定职责、提供公共服务过程中产生和获取的信用信息。公共信用信息的提供者为“国家机关”与“法律、法规授权的具有管理公共事务职能的组织”。《个人信息保护法》第33条规定国家机关处理个人信息活动适用本法。依据《征信业管理条例》第2条第4款,公共信用领域的信用信息处理活动被排除在该条例之外。
国家机关,即从事国家管理和行使国家权力的机关。《中华人民共和国宪法》第三章专章规定了国家机构,具体包括立法机关、国家元首、行政机关、监察机关、司法机关、军事机关。
其中,行政机关指依法成立的,执行国家法律,从事国家政务、机关内部事务和社会公共事务管理的政府机关及其他各部委。在公共信用领域,行政机关对个人信用信息主体行使行政职权,在依法行政的过程中所获取的大量行政许可、行政处罚信息能反映个人信息主体的信用状况。
司法机关指依法成立行使国家司法职权的人民法院、人民检察院。司法机关拥有大量裁决信息,这部分信息与个人信息主体的信用状况息息相关。
故行政机关、司法机关二者理所当然成为公共信用信息中个人信用信息异议行使的对象,在“信用中国”网站中,该二者也是最为常见的产生与获取公共信用信息的国家机关。
并非所有类型的国家机关都是公共信用信息中个人信息主体进行异议的对象。如军事机关只对军事人员进行管辖,这部分人员一般不对外进行信息互换,其信息受到特殊保护,并不具备公共性;立法机关与监察机关分别主管立法与监察,虽然立法机关还涉及对行政机关与司法机关的监督职责,但两者均没有直接参与个人公共信用信息的处理活动,也不具备与公共信用信息的职能关联,所收集的信息同样不具备公共性。
但从最新公布的《社会信用体系建设法(向社会公开征求意见稿)》第65条关于公共信用信息的定义看,立法者仍旧采用的是“国家机关”而非“行政机关、司法机关”的表述,在社会信用体系建设不断完善,公共信用信息目录不断扩展的同时,不能排除其他国家机关提供公共信用信息的可能性,因此目前在规范中使用更宽泛包容的“国家机关”一词更为合适,但需要注意在具体实践中,可在公共信用信息目录中明确由国家机关中的“行政机关、司法机关”作为提供主体。法律、法规授权管理公共事务的组织,主要包括以下几类:
第一,群团组织,即“群众性团体组织”的简称,属社会团体的一种,中央机构编制委员会办公室编制的群众团体包括中华全国总工会、妇联、共青团等共22家,这些组织主要产生志愿者服务、慈善捐赠等信用信息。
第二,公共企事业单位,即为公众履行公共责任、提供相应的公共服务、产品、实现公共目标的营利性与非营利性单位,其提供的公共服务包括教育、医疗卫生、计划生育、供水、供电、供气、供热、环保、公共交通、物业等。
我国在国家层面与地方层面均设置了公共信用信息的管理者承担异议受理的工作,其中国家层面主要指发改委下设的国家公共信用信息中心,通过“信用中国”平台进行管理;而在地方层面主要指各地政府的公共信用信息工作机构,具体机构会随着地方信用活动的开展而变动,如北京市由政府部门中的市经济信息化部门负责、山西省由归属于发改委下属事业单位的省经济信息中心负责。
值得探讨的是,有的地方规定个人信用信息主体可选择“提供主体”与“管理主体”其中之一提出异议申请。而也有地方规定个人信用信息主体只能向管理主体提出异议,个人信用信息主体无权选择异议对象。
若不赋予个人信用信息主体选择权,能够做到异议程序的分流,避免管理主体与提供主体协同处理异议的情况,一定程度上能压缩异议处理流程的时间,更好地体现了服务过程重组和主体间的协同。
但各地方在机构设置上拥有一定自决权,各地的公共信用信息工作机构并不一致,地域分布也不均衡,一般设置在不设区的市、区一级及其以上,无形中增加了异议申请主体的异议成本。因此,应当赋予异议申请主体对异议对象的选择权。
一方面,有利于个人信用信息主体拓宽异议路径,依据不同情况选择异议成本最低的对象;另一方面,提供主体更接近信用信息源头,在对异议信息的调查、取证、核实上也更具优势,能有效提高异议处理的效率。
2. 央行金融信用领域:央行征信中心与商业银行
《征信业管理条例》第2条第3款规定,国家设立的金融信用信息基础数据库的信息处理适用本条例,这与不适用《征信业管理条例》的公共信用信息提供主体作出了区分。因此虽然中国人民银行在征信活动中归集的金融信用信息也可称作公共信用信息的一种,但对其的规范与目前公共信用信息并不一致。
纵观我国目前对央行金融信用信息的立法,其中涉及异议处理程序的主要由《征信业管理条例》一部行政法规以及《个人信用信息基础数据库管理暂行办法》、《金融信用信息基础数据库个人征信异议处理业务规程》两部部门规章组成。依据《征信业管理条例》第25条,央行金融信用信息中的异议对象为“征信机构”与“信息提供者”。《金融信用信息基础数据库个人征信异议处理业务规程》第2条规定,中国人民银行征信中心、征信分中心及其辖内个人征信异议处理网点,两者统称为征信分中心,负责处理个人金融信用信息的异议。
依据《个人信用信息基础数据库管理暂行办法》,在金融领域由商业银行负责提供个人信用信息,由央行统一组织商业银行建立个人信用信息基础数据库。中国人民银行征信中心作为中国人民银行直属事业单位,主要职责是依据国家法律法规和人民银行规章,负责金融信用信息基础数据库的专业运行、维护和管理。商业银行,即依据《商业银行法》与《公司法》设立的吸收公众存款、发放贷款、办理结算等业务的企业法人。
3. 市场信用领域:市场个人征信机构与企业
由于只受到《民法典》与《个人信息保护法》的制约,市场信用领域的主体更加多元化与市场化,且不存在固定不变的信息流通方向。因此,提供信息的自然人可以向所有处理过个人信用信息的信息处理者提出异议申请,包括市场个人征信机构与企业。
2015年1月,央行发布了《关于做好个人征信业务准备的通知》,腾讯征信、芝麻信用等八家互联网金融公司正式进入个人征信业务领域,这标志着我国个人征信市场化进程的正式开启。
2018年1月31日,中国互联网金融协会联合腾讯征信、芝麻信用等八家公司共同组建了百行征信有限公司——首家以市场为导向的个人信用征信服务机构。
2020年12月28日,朴道征信有限公司成为全国第二家持有个人征信业务牌照的市场化征信机构,央行第二次发放牌照的根本目的在于吸纳除百行征信中八家机构以外的其他互联网企业入场。
这是目前我国拥有个人征信牌照的两家市场个人征信机构。同时,市场企业涉及个人信用信息处理活动。以百度、阿里巴巴、腾讯等为代表的互联网企业以及如信用调查机构等其他企事业单位在提供服务的过程中,掌握了海量的个人信用信息,如淘宝、支付宝提供的消费者的消费记录等,这类企事业单位收集信息的目的大多是出于提供必要的网络服务、个性化推送,类似企业也应是个人信用信息异议的对象。
四、个人信用信息异议制度的适用情形解析
综合地方性公共信用立法、《征信业管理条例》第25条、《民法典》第1029条可以看出,不同领域的个人信用信息异议制度在实体上均与更正、补充权,删除权的行使联系最为密切,针对信用信息更正、补充权的行使以及通过申请方式行使删除权必然伴随着个人信用信息的异议程序,申请主体主要依据《个人信息保护法》第46、47条的内容启动异议程序行使更正、补充权与删除权。而《个人信息保护法》第四章规定的其他个人信息权益虽不与异议程序直接挂钩,但在某些情形下也能与其产生联系。
(一)与更正、补充权相对应的情形认定
1. 个人信用信息“不准确”情形
更正、补充权的适用情形分别为个人信用信息不准确以及个人信用信息不完整。个人信用信息“不准确”,即信用信息处理者所处理的个人信用信息无法反映真实情况,与真实的个人信息不一致。应包含以下两种情形:
第一,个人信用信息错误。应当被处理的个人信用信息在记录上出现错误,导致个人信用信息不准确。这种错误可能缘于提供时信用信息已处于不真实状态,也可能因为信用信息处理者的误载或恶意篡改。《征信业务管理办法》第3条将信用信息区分为基本信息、借贷信息、其他相关信息,以及依据前三种信息形成的分析评价信息。
从内容上看,前三种信息可用于识别判断个人信用信息主体的信用状况,称为原始信用信息,分析评价信息由前三种信息经过特有的算法模型加工形成,称为信用评价信息。针对原始信用信息错误的异议基于事实判断,如个人信用信息主体发现其身份证号码、家庭住址等信息出现错误。
而对信用评价信息错误的异议有可能基于事实判断,也有可能基于价值判断。信用评价信息错误主要集中为以下两类:其一,由于原始信用信息的错误,进而导致信用评价信息不当;其二,原始信用信息真实,但信用信息处理者的算法模型有误。
针对前者的异议同样基于事实判断,个人信用信息主体可基于此提出异议申请。而后者更多夹杂着个人信用信息主体的价值判断与信用信息处理者的主观倾向。因此,应当以信用信息处理者在形成信用评价信息的过程中是否存在主观过错作为判断标准,因故意篡改或过失误载个人信用信息的,应当允许个人信用信息主体对此进行异议,要求更正。若仅仅是个人信用信息主体主观上认为信用信息处理者的信用评价手段、算法模型等不合理或不利于自身信用状况的,不能据此进行异议。
第二,个人信用信息不适时。应当被处理的个人信用信息已实际发生变化,但信息提供者并未及时将变化后的信用信息交付于信用信息处理者,或者信用信息处理者因为主客观原因并未及时更新信用信息导致其过时,也会导致个人信用信息不准确。
若发现应当被处理的个人信用信息处于过时陈旧的状态,个人信用信息主体可据此提出异议,行使更正权。如被列为失信被执行人的个人信用信息主体在履行判决后,其未履行判决的信息仍旧记载在信用报告上。信用评价信息同样可能存在不适时的情况,《信用评级业管理暂行办法》第28条规定了信用评级机构的跟踪义务,这意味着个人同样可以就信用评价信息处理者未履行跟踪义务向其提出异议申请。
2. 个人信用信息“不完整”情形
个人信用信息存在遗漏或缺失,即信用信息应被纳入处理而未被纳入的情形。个人信用信息的遗漏或缺失可能缘于提供信息时的疏漏,也可能缘于信息处理者主观上的过错删除或客观上的处理程序故障。
判断个人信用信息是否遗漏或缺失,其判断标准应当是:以信息处理者的技术处理条件与处理目的为限,信用信息能否全面反映个人信用状态。
就信息处理者的技术处理条件而言,信息处理者所搜集处理的个人信用信息应当穷尽信息处理者的技术处理能力,且至少应满足法律法规、行业与社会要求的一般技术水平。在技术处理条件确定的情况下,信息处理者应当有全面搜集处理在其技术处理条件下一切信用信息的能力。
就信用信息处理目的而言,《个人信息保护法》第6条明确了目的限制原则。搜集处理的信用信息需最大程度地实现明确清晰、合法合理的处理目的,任何指向处理目的的、必要的信用信息都应得到补充。就信用信息能否全面反映信息主体的信用状态而言,搜集处理的信用信息应当与信用状态直接相关或具有紧密的关联性,个人信用信息的完整性相比于一般个人信息的完整性更重要,若信息处理者仅记录信息主体的负面信息,不记载信息主体基于这些负面信息做出的修复行为以及其他正面信息,将极大影响信息主体的社会信誉。
(二)与删除权相对应的情形认定
《个人信息保护法》采用了“个人信息处理者主动删除”加“个人申请删除”模式,个人信息主体通过异议程序行使删除权属于后者。在这种情形下,删除权的行使必定伴随着异议程序的适用,其前置条件为个人信息处理者并未依法主动进行删除。与《民法典》的概括性规定相比,《个人信息保护法》第47条具体化了五项情形:
第一,“处理目的已实现、无法实现或者为实现处理目的不再必要”。个人信用信息主体与信用信息处理者可能存在某种关于信用信息处理目的的约定,如提供信用信息以获取信用评价报告用于达成交易,当该交易协议达成、破裂或超出该交易协议范围所需而过度处理时,个人信用信息主体均可据此提出异议申请。
第二,“个人信息处理者停止提供产品或者服务,或者保存期限已届满”。信用信息处理者由于合同解除等原因停止提供信用报告与服务,或者个人主动终止接受产品或服务,若信用信息处理者并未主动删除相关信用信息,个人可据此提出异议申请;停止提供产品服务的原因还可能是信用信息处理者的破产、解散,在这种情形下由于相关机构已不复存在,相关信用信息也随之消灭,不存在异议的情形。
保存期限已届满包括法定情形或约定情形,法定情形如《征信业管理条例》第16条与《金融信用信息基础数据库个人征信异议处理业务规程》第28条规定了对不良信息与异议处理相关档案资料的保存期限分别为5年与3年。而约定情形一般出现在市场信用领域互联网企业与个人信用信息主体在协议中达成的关于信用信息的存储期限为实现服务所必须的时间的约定。
实务中,关于负面信用信息的存续条件存在争议,分为以法律责任为存续依据与以客观事实为存续依据两派观点。前者认为法律责任如担保责任的免除,负面信用信息就应当被删除;后者认为《征信业管理条例》第44条关于不良信息的界定中,“未按照合同履行义务”属于客观事实行为,因此不良信息应被视作事实信息,其形成和存续不以法律责任的免除或法律责任履行完毕为前提。
本文认为,负面信用信息的存续应考虑法律责任。若不以法律责任作为判断标准,负面信用信息的存续会更依赖信用信息处理者的主观判断,在法律责任消灭后,此时怠于删除负面信用信息有可能产生新的纠纷,甚至造成个人信用报告与生效判决的冲突。
另外,《征信业管理条例》第16条并未明确界定“不良行为或者事件终止之日”这一临界点,当负面信用信息的存续与法律责任认定有关时,“不良行为或事件终止之日”应与法律责任的消灭相对应。可通过列举的方式加以明确,如法律文书生效之日、保证期间届满之日等。
第三,“个人撤回同意”。《个人信息保护法》第15条规定,基于个人同意处理个人信息的,个人有权撤回其同意。在市场信用领域,信用信息处理者一般需在得到个人知情同意后才能处理相关个人信用信息,若个人已撤回先前同意,但信用信息处理者仍未删除的,个人信用信息主体可据此提出异议申请,但依据该条第2款,撤回同意以及异议的提出并不具有溯及既往的效力。
另外,依据《个人信息保护法》第13条第1款第2项至第7项情形处理的个人信用信息不需要取得个人同意,故个人不能以撤回同意为由提出异议。
第四,“个人信息处理者违反法律、行政法规或者违反约定处理个人信息”。个人信用信息处理应符合《民法典》《个人信息保护法》《征信业管理条例》等法律与行政法规的规定,在市场信用领域还应符合双方约定的处理方式、处理目的、处理范围等。但由于该项情形限定违反的规范位阶为“法律、行政法规”,因此《征信业务管理办法》《金融信用信息基础数据库个人征信异议处理业务规程》《最高人民法院关于公布失信被执行人名单信息的若干规定》以及地方社会信用条例中关于信用信息异议的实施细则无法直接得到适用。
第五,“法律、行政法规规定的其他情形”。《个人信息保护法》第47条第1款所列举的删除权法定情形建构在个人信息处理“合法、正当、必要”之上,但法律所能列举的情形毕竟是有限的,难以涵盖现实中的诸多事项,故该条款以“法律、行政法规规定的其他情形”作为兜底。
如《网络数据安全管理条例(征求意见稿)》第22条中指出,使用自动化采集技术的信息处理者,无法避免采集到的非必要个人信用信息或者未经个人同意的个人信用信息,未在15个工作日内删除个人信息的,个人信息主体可向其提出异议申请。
(三)与其他信息权利相对应的情形认定
《个人信息保护法》明确规定的其他个人信息权益包括知情决定权、查阅复制权、转移权、解释说明权、死者的信息权利。
上述权利中除了死者的信息权利外,其他权利只有在信息处理者拒绝行使权利时,才可据此进入异议程序。换言之,知情决定权、查阅复制权、转移权、解释说明权的行使程序与异议程序并不一致。知情、决定权具备独立的实体权益内容,无法被其他权利所涵盖,是个人信息权益中的本权。异议制度是更正、补充权与删除权的实现方法,也可看作是对本权的保护方法。
无论在公共信用领域、央行金融信用领域还是市场信用领域,信用信息处理者在处理个人信用信息时均需对个人履行告知义务,从而保证其全面知悉自身信用状态,并进一步通过异议制度进行相关救济。若信用信息处理者在个人未知情、未决定的情况下搜集了个人信用信息,且不具备、不提供《个人信息保护法》第13条第1款第2项至第7项合理理由的,个人信息主体可向信息处理者提出异议。《征信业管理条例》第15条特别规定了商业银行还负有负面信用信息上报前的告知义务,但该条并未明确告知的内容,其内容应包括负面信用信息的产生时间与原因。
实务中也有信用信息处理者认为事前授权书可视为履行告知义务。虽然《征信业管理条例》与《个人信息保护法》均规定了告知同意原则,但事前授权书属于信息采集阶段的授权,目的在于促使协议签订,而负面信用信息上报前的告知义务属于授权后履行协议的附随义务,二者不可等同。
在市场信用领域,个人信用信息的处理基于个人的同意,当信息主体撤回同意而信用信息处理者未删除相关信用信息时,可据此提出异议。查阅、复制权是实现知情权的保障。信用信息异议制度有赖于信息主体的查阅、复制权,后者是提出异议的前提,个人无法查阅信息内容就无法据此异议。
个人信用信息的异议基于个人信用信息主体的查阅内容,但在信用信息领域的查阅权范畴实际上并不等同于其他个人信息处理场景下的查阅内容。
如《征信业管理条例》第17条规定,信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。故在央行金融信用领域,个人信息主体能查询的信用信息仅限于信用报告之上的内容,其异议内容也需据此提出。转移权,又名“可携带权”,符合网信部条件,个人信息主体可将个人信息转移至指定的个人信息处理者。
在市场信用领域,信用信息的转移可以是部分的也可以是全部的,这视乎具体的约定内容。当转移的是全部的信用信息时,原信息处理者的处理目的已完成或消失,应当履行删除义务,未履行的,个人信用信息主体可据此提出异议。若个人信用信息主体在没有约定异议申请对象的情况下,于信息转移过程中对信用信息提出异议,原信用信息处理者与新的信用信息接收主体均应视为“信息处理者”,应允许个人对任意一方提出异议申请。
解释说明权要求个人信息处理者对其个人信息处理规则进行解释说明,其目的是维护信息主体的知情权。当个人信用信息主体对信息处理规则上的内容产生理解歧义或疑惑时,信用信息处理者怠于解释说明的,个人可据此提出异议申请。当信用信息处理者拒绝个人异议申请时,也应当提供合理的拒绝理由。
当双方在异议过程中对信用信息的处理目的、处理方式、保存期限等约定内容有争议时,信用信息处理者均应当做出合理解释。
死者的近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使更正、删除等权利。《个人信息保护法》第49条的规定意味着具有利害关系的死者近亲属可以对死者的信用信息提出异议,如针对超过保存期限而侵害死者名誉权的不良信息提出异议。
但该条规定了“死者生前另有安排的除外”这一例外条件,如死者生前通过遗嘱方式指定除近亲属外的其他人行使个人信息权利,或是明确任何人不得行使个人信息权利,在这种情形下其他的近亲属即便为了自身正当、合法的利益,也不得就死者的信用信息进行异议。
五、个人信用信息异议制度的程序规整与衔接
伴随更正、补充权与删除权等权益启动的个人信用信息异议程序,还存在以下问题:申请途径狭窄、异议标注作用不明、处理期限设置不合理、举证责任与审查义务不清晰。除异议程序外,个人信息主体还能通过其他程序继续对信用信息进行全方位的救济,如行政复议、投诉等非诉救济程序以及行政诉讼、民事诉讼等诉讼救济程序。
(一)异议程序规整与细化
1. 增加线上异议申请途径
个人信用信息主体一般无法在线上提出异议申请。在公共信用信息中心与信用中国网站,线上异议申请仅支持由法人用户提出。《金融信用信息基础数据库个人征信异议处理业务规程》规定,征信中心只通过现场服务方式向个人提供异议处理业务,个人或委托人需现场提交申请书与指定材料。
个人信用信息主体可能由于时间与地域的阻碍,不能及时到达现场。至于地方性金融机构、互联网企业等主体,则一般通过邮件、电话等形式提出异议,以芝麻信用为例,用户以邮件形式向芝麻信用提起异议,但后续的处理情况仅由电话与短信通知,缺乏直接沟通容易导致双方对异议具体内容的误解。线上的异议提出途径应当被各信息处理者设立,并配套以相应的线上异议审核机制。这一方式可降低异议成本,使个人不受制于时间与地点,提高异议效率,有利于在个人发现自己的信用信息出现错误时,尽快启动异议程序。在该途径下,可确保基本信息与异议内容的完整性,同时也便于信用信息处理者的异议核查,双方形成的沟通细节也可为后续的行政复议、投诉、诉讼等提供证据。
2. 明确异议标注的作用与持续期
对存在异议的信用信息进行标注是我国异议申请对象在收到异议后的普遍做法。但目前中央的征信规范均缺乏对异议标注细则的规定,如未明确异议标注期间是否允许信息处理者对该异议信息进行其他处理活动、未规定异议标注的起始时间与持续期间。
一方面,异议信用信息在标注期间,除核查外的处理活动应被限制。异议标注的设定类似数据限制处理权,为了表明该信用信息质量与真实性存疑,提醒信息使用方避免使用该类信用信息从而导致信息主体的信用评价降低。
另一方面,异议信用信息应当在收到异议申请后立即被标注,并覆盖异议处理的全流程。异议标注的另一目的是控制不良影响的扩散,直到异议信用信息被更正、补充、删除。
3. 异议处理期限类型化
《征信业管理条例》与《金融信用信息基础数据库个人征信异议处理业务规程》均将异议处理期限固定为收到异议申请之日起20日内,公共信用领域的异议处理期限则为5个工作日到30日不等。
但实际上,不同异议事项的复杂与难易程度也不相同,单一的异议处理期限缺乏灵活性。若个人信用信息主体因被冒名或信息处理者的操作失误而产生不符合真实情况的信用信息,处理期限过长有可能导致其受损范围的进一步扩大。
因此,应当针对不同的异议事项对异议处理期限类型化,兼顾异议处理的速度与准确性。针对出现文字错误、基础信息错误或者事实清楚的情况,适用短期处理期限;其余非短期处理期限的异议事项,适用20日的一般处理期限;对于其中信息或证据不完整、难以确定信息真实性的,应将情况上报,审核通过后给予一定宽限处理期限,但应设置宽限期的上限,不可无限延长。
4. 异议举证责任与审查义务的分配落实
在不同的保护路径下,个人信用信息异议的举证责任也不相同。《个人信息保护法》出台前的个人信用信息异议纠纷中,当事人多以“名誉权”路径寻求保护。
实务中,部分法院以“征信系统相对封闭,不良信息不被社会不特定人所知晓,社会评价并未降低”为由不认定构成名誉权侵权,不支持更正或删除失实的负面信用信息,这种情况下个人信用信息主体难以证明“社会评价降低”这一损害结果。《个人信息保护法》出台后则在原基础上增设了“个人信息权益”这一路径,与《民法典》的一般过错原则不同,适用过错推定原则。
信用信息处理者对信息储存与传送较为系统化,一般而言存在对各种信用信息来源的备案,且由信用信息处理者承担举证责任可缓解名誉权路径中个人信用信息主体的举证困境,降低损害范围扩大的可能性。
异议申请主体只需提供异议相关记录的证据以证明基本事实存在即可,不同的异议处理对象则需要对相应错误、遗漏等事实进行审查,并承担举证责任。信用信息处理者的审查内容包括异议请求的合理性、手续是否齐备,进而决定是否受理以及解决方式。
不同的信用信息处理者由于履行的法定义务各不相同,对自身“过错”的证明也有所不同,如国家机关等信用信息提供主体应证明自身在搜集、保存、传输个人信用信息的过程中未导致个人信用信息失实;而央行或市场个人征信机构在出具不实的信用报告时不可主张其对信用报告相关的信用信息仅做技术性审核,这与其承担的严格审核义务不符。
如果异议请求合理、手续齐备,应当在规定时间内办结该异议信息;如果请求合理但手续不齐备,应当及时将异议处理流程和应当补充的材料告知申请人;而对于异议申请超出工作人员职责范围的情况,则应当引导异议申请主体找到承办该异议的人员。同时,还应当确立审查人员的长期责任制,当异议处理程序之后争议未解决或再度陷入争议,可以第一时间找寻相应责任人进行调查认定。
(二)异议程序衔接与分析
1. 行政复议制度和投诉制度的衔接
在公共信用领域,目前只有少部分地区规定了个人信用信息主体在对异议处理决定不服时可提起行政复议。《行政复议法》第6条第11款的兜底规定中写到,当公民认为行政机关的具体行政行为侵犯其合法权益,即可申请行政复议。
公共信用领域中公共信用信息的提供者与管理者的处理行为属于具体行政行为。公共信用信息的提供者与管理者处理公共信用信息的行为基于的是国家以及地方人民政府安排的行政职权或职责,直接影响着行政相对人的权利或义务,如驳回异议申请、不予更改错误的负面信息,已在实质意义上影响信用信息主体的社会评价,产生着行政行为的外部法律效果。
因此,根据《行政复议法》第12条,个人信用信息主体可以对公共信用信息的提供者或管理者的“本级人民政府”或“上一级主管部门”提起行政复议。
在央行金融信用领域,从2013年《征信业管理条例》第26条到2023年《征信投诉办理规程(征求意见稿)》的形成,投诉对象并未发生变更。当信用信息处理者的驳回个人异议申请致其合法权益受损时,可以向所在地的国务院征信业监督管理部门派出机构投诉,即中国人民银行分支机构。
对于央行而言,自身既是异议的受理对象,同时也是投诉与监督对象,这种兼具“裁判”与“运动员”的角色存在不合理之处,很难保持投诉案件处理的中立性。
而在市场信用领域,目前我国并没有相应的法律条文规制其投诉路径的设立,故其设立完全依赖市场个人征信机构与互联网企事业单位的自治。
如百行征信、朴道征信提供的个人客户服务中,仅规定了异议申请与处理的流程,并未规定对异议核查结果不服的投诉路径;而芝麻信用仅以文字规定个人“可以向消费者保护协会等组织进行投诉”,并未进一步给出可行的投诉路径指引。
因此,短期过渡可在内部完善央行征信监管机构在投诉处理中的职权以增加其权威性,如赋予其主动更正的职权。在市场信用领域的各主体可设立独立的监管部门,以自查的模式接收投诉。
而在外部统一由市场监督管理局进行行业监管。从未来长期的角度可以征信中心和互联网企事业单位合作的方式共同建立独立的第三方裁判机构,受理关于异议申请的投诉,对异议处理程序进行监督。
2. 提起诉讼不以异议遭拒为前提
《个人信息保护法》第50条第2款并未详细规定个人信息主体向人民法院提起诉讼的类型,故依据异议处理对象的性质不同,个人信用信息主体可以分别提起行政诉讼或民事诉讼。但该款并未明确个人是否必须通过个人信息处理者提供的异议路径向个人信息处理者提出请求,而不能直接以诉讼的方式提出异议。目前学界存在肯定说与否定说两种观点。
肯定说认为,“个人信息处理者拒绝个人行使权利的请求”应是依据《个人信息保护法》第50条第2款的提起诉讼的前置条件。
一方面,个人信息主体向个人信息处理者主张异议是相对诉讼而言更快捷、便利的维权方式,且该主张本身就需要个人信息处理者的配合才可实现,可以避免增加个人信用信息的处理成本、造成司法资源的浪费与诉权的滥用。
另一方面,提出异议目的是得到个人信息处理者的配合以实现更正、补充、删除等权益,若个人信息主体直接向法院提起诉讼,在未经过异议申请的情况下无法证明上述权益受到侵害。
否定说认为,个人信息处理者拒绝个人信息主体的异议申请或更正、补充删除权益的行使并非向法院提起诉讼的前置条件。《立法法》第8条规定,诉讼与仲裁制度只能制定法律。诉权作为一种基本权利,必须要有法律的明确规定才能加以限制。《个人信息保护法》第50条第2款说明的是个人信息主体可以提起诉讼的情形之一,并非是对诉权在法律上作出限制,个人信息可以直接向法院提起诉讼。
本文认为,异议制度应以否定说进行解释,即异议制度不应成为个人信息主体向法院提起诉讼的前置程序。《个人信息保护法》第50条第2款并不存在类似前置程序的详细规定。
从立法体系的角度看,我国法律规范一般只对财产权利设置前置程序,如劳动争议案件的诉讼需设置仲裁作为前置。而诸如《民法典》中人格权的保障救济制度均无前置程序,个人信息作为其中的组成部分,自然不应存在前置程序;
从异议维权成本的角度看,由于信用信息处理者所在地或处理异议的分支机构与受理纠纷法院所在地往往不在同一区域,增加异议遭拒的前置条件会增加个人的维权成本;
从可能出现的诉权滥用的角度看,目前并未得到现实数据的支撑,即使该现象存在也并不能本末倒置地否定个人信用信息权益的可诉性。
因此,在与异议制度的衔接上,行政复议与投诉、诉讼处于并列关系,个人信用信息主体可在上述救济方式中依据信息性质与异议对象进行选择,且各救济路径互不干涉。
六、结语
完善的社会信用体系是有效衔接供需的保障,也是优化资源配置的重要基础,对促进国民经济发展与构建新发展格局具有关键作用,而个人信用信息则是其中的核心内容。
随着《民法典》、《个人信息保护法》的出台以及《社会信用体系建设法》的起草,个人信用信息主体的权益框架正不断扩充。个人信用信息异议制度是赋予信息主体对抗不对称信息权力的一种工具,是实现社会公益与个人私益平衡的程序,能解决在社会信用体系建设阶段信息主体信用状态不客观、不准确的问题。
只有解决现阶段个人信用信息异议制度的主体、要件、程序问题,才能最大程度地发挥其积极作用,为信用信息主体权益保驾护航、为社会信用体系完善尽一臂之力。
本文作者张路、刘隽基(湘潭大学 信用风险管理学院)