但总则对信息主体的权利规定并非尽如人意,首先,信用信息的宽泛界定容易使征信系统成为“大麻袋”,不管与信用的关联度如何,都可以尽可能往里塞,除了社会经济活动中形成的相关交易记录之外,诸如超生、环境污染、“酒驾”、“醉驾”等,都有可能进入个人不良征信记录。[3]如此一来,不良征信记录变成了不良行为记录,这与征信系统设立的初衷相悖,也难以收到社会征信体系建立的实效。因此,《条例》应进一步区分或明确信用信息与非信用信息,对不属于信用信息或者与征信行为在关联度上不构成密切联系者,应排斥于信用之外。否则,在信用信息范围的立法界定上,私权和自由就会面临着随时受到不合理限制的危险。
其次,总则仅规定个人隐私权保护是不全面的。随着个人权利空间的逐步拓展和权利种类的渐趋细化,与征信有关的个人权利不仅包括隐私权,征信活动还有可能涉及个人的信用权、自由权、姓名权、名誉权等多种人格权。立法应就此作出更为灵活的规定,从私权保护的一般性宣示上彰显立法对私权的重视,使私权与公权及公共利益在保护上处于平等地位。《条例》明确规定“征信机构应当遵守法律、法规,遵循诚实信用原则,不得危害国家安全,扰乱社会经济秩序,损害社会公共利益”,但未对自然人、法人及其他组织的私法权益保护作出宣示性规定,有违私权之平等保护原则及私法上积极倡导的平等理念。
另一方面,在分则确立的具体规则中,也包涵有丰富的私权保护规范,尤其是个人信息保护的规范。[4]归纳起来,主要在以下几个方面作出了立法努力:一是明确界定了个人信息的征集和和使用范围,即采取禁止性规定对个人信息征集范围作出例外规定。如《条例》规定,下列个人信息,征信机构不得收集:民族、家庭出身、宗教信仰、所属党派;身体形态、基因、指纹、血型、疾病和病史;收入数额、存款、有价证券、不动产;纳税数额;法律、行政法规禁止收集的其他信息。在明确告知信息主体提供该信息可能产生的不利后果,并取得信息主体特别书面授权后,征信机构可以收集收入数额、存款、有价证券、不动产;纳税数额等信息。再如,征信机构、金融机构基于模型开发、系统测试等目的使用或对外提供个人、法人及其他组织信息的,可以不经信息主体的同意,但所使用或提供的信息不得包含个人姓名、公民身份证号码、手机号码、住宅电话、企业名称、住址及其他可以识别信息主体身份的信息;又如,征信机构不得披露、使用自不良信用行为或事件终止之日起已超过5年的个人不良信用记录,以及自刑罚执行完毕之日起超过7年的个人犯罪记录。关于此,下文还会专门述及。
二是明确规定征集信息的手段要正当、处理要适当。即征信机构应当依法收集个人、法人及其他组织的信息,不得通过欺诈、窃取、贿赂、利诱、胁迫或其他不正当手段收集信息;征信机构对所收集的信息应当客观、及时进行整理、保存和加工,不得歪曲、篡改,并应当采取必要、合理的措施以确保信息的及时更新;征信机构应当建立健全征信信息保密管理制度,建立信息查询内部分级管理制度,在信息收集、整理、保存、加工和使用过程中确保信用信息不被泄露。征信机构的工作人员应严格遵守保密制度,不得擅自查询或越权查询该机构拥有的信息,不得泄露在业务工作中获悉的信息。
三是明确规定个人信息征集活动中的个人同意权、知情权、查询权、异议权与投诉权等。即除行政机关、司法机关、法律法规授权的具有管理公共事务职能的组织已经依法公开的信息以级其他已经依法公开的个人信息之外,征信机构收集、保存、加工个人信息应当直接取得信息主体的同意;除法律规定可以不经同意提供个人信息,法律、行政法规规定可以不经同意提供法人及其他组织信息的以外,征信机构应当向信息主体本人或经其授权的个人、法人及其他组织提供信息主体的信用信息;信息主体有权按照国务院征信业监督管理部门的规定向征信机构查询自己的信用报告。信用报告应包括信用信息、信用信息来源和信用信息查询记录。信息主体认为其信息存在错误、遗漏的,有权向征信机构提出异议,要求更正,征信机构应当按照国务院征信业监督管理部门的规定受理异议申请,并在收到异议申请之日起20个工作日内完成对异议信息的核查和处理,书面答复异议申请人。个人提出异议申请,征信机构未按照前款规定办理的,该信息主体有权以书面方式要求该征信机构一次性删除其全部信息;信息主体认为征信机构、信用信息提供者和信用信息使用者侵害其合法权益的,可以向国务院征信业监督管理部门投诉。国务院征信业监督管理部门受理信息主体的投诉后,应当对相关情况进行核查,发现征信机构、信用信息提供者和信用信息使用人违反本条例及国务院征信业监督管理部门有关管理规定的,有权责令其改正,并按相关规定进行处理。