一、个人信用征信中的消费者个人信息隐私权及其特点

（一）隐私和个人信息

根据美国《隐私权法》对隐私的描述，所谓隐私，就是个人希望不被泄露的信息，此处信息的范围包括事实、图像、以及毁谤的观点。[1]

我国学者王利明、杨立新教授认为隐私是一种与公共利益、群体利益无关的，当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或他人不便侵入的个人领域。隐私有三种基本形态：个人私事、个人信息、个人领域。[2]其中个人信息是一种无形的隐私，指的是一切个人的信息；个人私事是一种动态的隐私，包括一切个人的、与公共利益无关的活动；个人领域是一种有形的隐私，以个人的身体隐私为核心，包括个人居室、旅客的行李、学生的书包、日记、通信等。[3]张新宝教授对隐私权的定义是：“隐私权是指公民享有的私人生活安宁和私人信息受到法律保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权”[4]。笔者同意张新宝教授的观点，将隐私分为个人信息与私人生活安宁，其中私人生活安宁即对应于前述之个人私事与个人领域。即隐私指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜索、刺探和公开等。[5]

对于个人信用征信业而言，涉及的主要是其中的私人信息，因此我们主要讨论隐私中的个人信息问题。个人信息是指所有与个人有关的信息，具体包括：身体物理特征；感情、思想与观点；经济与财产状况；生活方式；身份信息；家庭与社会关系；职业经历、简历和个人档案材料；健康状况与病历；个人通信、日记和其他私人文件；其他所有纯属私人内容的个人数据[6]。在个人信用征信活动中，涉及的主要是消费者私人信息中的个人经济与财产状况方面的信息。

(二)个人信息隐私权的含义和内容

布兰戴斯在《哈佛法律评论》1890年第4期发表了著名的《隐私权》一文，提出隐私权是“个人在通常情况下决定他的思想、观点和情感在多大程度上与别人交流的权利”[7]，该定义在英美成为主流观点。在我国，张新宝教授对隐私权所下的定义是：隐私权是指公民享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。[8]隐私权也相应分为私生活安宁权和个人信息隐私权两大基本权利。个人信息隐私权主要是指对个人信息的控制权和利用权。对个人信息的控制权是指权利主体对个人信息的收集、储存、传播、修改所享有的决定权，未经权利主体的同意，他人不得擅自收集，储存，传播本人的个人信息，并对其进行修改；权利主体对他人收集、储存的有关自己的个人信息有了解的权利，即个人观看并取得记录的权利；权利主体在观看他人记录的个人信息时，如认为关于自己的记录不正确、不完整或不及时，有请求修改的权利，修改的意义不仅包括更正也包括完全删除；对个人信息的传播方式、传播范围有决定的权利，权利主体可以禁止他人公开关于其个人的记录。个人信息的利用权指权利主体按自己的意志去利用自己的隐私，以从事各种活动、满足自身的需要。如对自己的隐私进行商业利用，或允许他人基于正当、合法的理由利用其隐私。他人利用公民的隐私，如果没有法律上的依据，应当先征得该公民的许可，否则构成侵权行为。

在个人信用征信中，个人信息隐私权应包括以下内容：[9]   

1.个人信息保密权：个人有权根据自己的意愿决定不对外公开其个人信息，有权禁止他人非法收集、储存、利用、处理、转让、传播、公开自己的个人信息。

2.个人信息支配权：个人有权根据自己的意愿自主使用自己的个人信息和许可他人使用自己的个人信息。

3.个人信息知情权：个人有权知悉信息管理者是否在收集、储存、利用、处理、转让、传播、公开自己的个人信息，对有上述行为的信息管理者，有权要求知悉该个人信息的内容、用途、使用者的有关信息并接触该项个人信息记录。

4.个人信息更正权：个人有权要求信息管理者保证其持有的关于自己的个人信息的准确性、完整性和及时性，对不准确、不完整和不及时的信息有权要求信息管理者更正或删除。

5.个人信息维护权:个人在其个人信息受到非法收集、储存、利用、处理、转让、传播、公开时，有权要求侵权人停止侵害、消除影响、赔礼道歉、赔偿损失，并可要求精神损害赔偿。

(三)个人信息隐私权的特点

由于个人信用征信行业的特殊性，征信机构的全部经营活动都围绕消费者的个人信用信息展开，消费者的隐私权保护与征信行业的发展构成了一对难解难分的矛盾。对消费者隐私权的尊重构成信用报告机构经营的前提。与其他民事活动相比，个人信用征信中的消费者隐私权有自己的特点：

1．为维护金融体系安全和社会经济秩序稳定，得克减个人信息隐私权。

在一些关于人权的国际或者区域性条约、公约中，一般将隐私权规定为可克减的权利[10]，即在社会紧急状态威胁到国家生存的情况下，可以对这种权利在一定期限内加以限制，乃至暂停。隐私权的可克减性表明国家公共权力在社会紧急状况下的优先性。

以克减消费者隐私权的方式通过个人信用征信机构提高借款人的信用信息透明度，从而维护金融体系安全和社会经济秩序稳定，是市场经济发展到一定阶段的产物。在个人信用征信中，对消费者隐私权的克减是所有与消费者有关的当事人(如贷款银行、现实的或潜在的交易双方当事人等)知情权要求的结果，能够解决经济活动中信息不对称的问题。而且，为征信目的而克减个人信息隐私权的最终目的仍然是通过使守信者获得相应优惠和使失信者付出较大成本从而实现守信者的财产利益(如获得低息贷款、优惠交易条件等)，因此对消费者个人信息隐私权的克减最终也能获得财产利益的相应补偿，从此意义上说，个人利益和社会利益是一致的。[11]

2．个人信息隐私权与财产权利紧密相联，但以个人信息隐私权为优先。

在现代商品经济社会中，消费者的个人信息已成为企业经营的重要资源，成为一种有价值的商品。因此，个人信息隐私权不仅是一种单独的人格权，而且在一定程度上具有了财产权的特性。但人格权是个人信息隐私权的首要性质，财产权利仅是人格权的衍生而已。

其次，消费者的个人信息隐私权与个人信用征信中其他主体的财产权利有着紧密的联系。在个人信用征信过程中，消费者的个人信用信息首先转化为信息提供者（金融机构）的个人信用信息财产，然后经过征信机构的加工转化为征信机构的个人信用报告财产。信息提供者和征信机构所出售的产品的初始来源均为消费者的个人信用信息。由于消费者个人隐私权是对世权，所有使用或转让了消费者个人信息的当事人都必须履行作为义务主体的全部责任。因此，信息提供者和征信机构都必须尊重消费者的隐私权。此外，基于人格权高于财产权的原理，信息提供者和征信机构行使财产权利时不得侵犯消费者个人的个人信息隐私权，以保护个人信息隐私权为先。

3．个人信息隐私权易受侵犯且较难获得救济。

消费者在市场经济中天然处于弱势地位，在个人征信这个以消费者个人信息为加工材料的行业中，其个人信息经常被信息提供者、征信机构等随意收集、使用和传播，侵犯隐私权行为发生的概率比其他行业要高得多。但另一方面，由于侵权责任的归责原则采取的是过错责任，受害人需自行承担举证责任，对单个消费者而言较难获得救济，特别是精神损害的估量和确认。[12]因此，从立法对弱者倾斜的角度而言，更应该在个人信用征信行业中确立个人信息隐私权的主导地位。

权利的维护和权利的限制是矛盾的对立方面，个人信息隐私权作为一种与公共利益休戚相关的私权利，在公权利对其进行克减的同时，必须找到促进信用征信业发展和维护消费者隐私权的平衡点。笔者以为，保护隐私权应是第一位的，公权利的克减必须在法定的限度内，从而最大程度保持隐私权的至高地位。从我国的国情而言，更是要确认隐私权的独立地位，规范个人信用征信业，使其稳妥发展，切勿以牺牲消费者和整个社会的利益为代价推动信用征信业的发展。

二、各国对个人信息隐私权保护的立法经验

在美国，隐私权是指任何法律主体所享有的“与他人毫不相干的权利”。目前，美国已经形成较为系统、完备的隐私权法律保护体系。最主要的法律有1967年的《信息自由法》、1973年的《犯罪控制法案》、1974年的《隐私权法》和《家庭教育及隐私权法》、1976年的《税收修正法案》和《公平信用报告法》、1978年的《财务隐私权法》以及1986年的《电子通信隐私权法》等。另外，美国各州还制定了众多保护本州公民隐私权的法律，如纽约州的《个人隐私保护法》、加利福尼亚州的《隐私与有线电视法》，还有伊利诺斯州的《通讯客户隐私权法》，等等。其中，1974年制定的《隐私权法》是一部全面保护个人隐私权的专门立法。该法就不同的数据用户对属于隐私权范围的个人数据的收集、保存及取用都作了较为详尽的规定。依照该法，联邦政府在收集有关资料时，凡对个人有害或不利的资料必须向有关的个人直接收集。在取得资料的过程中，应向被收集者表明其收集资料所依据的权利、收集资料的性质、资料的用途以及不提供资料的法律后果等。任何联邦机构只能收集与其本身职责有关的，或者与现行法律所赋予的任务有关的资料。各机构所保存的数据记录必须做到“精确、相关、完整和公平”。未经与资料有关的本人同意，不得任意公开资料。允许公民查对和更正与本人有关的资料。[13]

据统计，目前已有近20个国家制定了个人数据保护方面的法律。如，瑞典在1973年制定了《数据库法》，规定建立瑞典数据监督局，未经该局批准，任何人不得非法拥有他人的个人数据，并对有关数据库资料的收集、利用和保管等方面进行了规范。西德于1976年制定了《联邦数据保护法》，规定了何种数据得以储存、处理和传送。并规定，在储存、传递、修改和删除个人资料时，禁止对这些资料加以滥用；数据需经本人同意或法律上的授权方可处理；个人可以请求获取数据库中关于本人的资料，除非这对数据库的功能有所妨害；个人有权查询、更正本人的有关资料；个人有权清除有关自己的某些资料。法国于1978年通过了《数据处理、档案与自由法案》，规定收集和处理、使用个人数据，不得损害个人数据主体的人格和身份以及私生活。规定数据库必须公布其搜集资料的授权、目地和种类等。1984年英国制定了《数据保护法》，规定不允许以欺骗手段从数据主体那里取得信息，取得个人信息必须经过有关的个人同意；只有为特定的和合法的目的，才能持有个人数据；使用或透露个人数据不得与持有数据的目的相冲突；必须采取安全措施，以防止个人数据未经许可而被扩散、更改、透露或销毁；对于用户遗失、毁坏有关数据，或者未经许可而透露有关数据的，数据主体有权请求赔偿。《加拿大人权法案》规定，政府每年需公布其数据库的名称、资料内容和使用情况，个人有权查询并更正本人资料中不正确的部分。日本也于1990年实施了《关于保护行政机构与电子计算机处理有关的个人数据法律》。[14]

一些国家虽然没有隐私权或个人信息保护的专门法律，但在宪法、民法等法律中体现了对公民隐私权的保护。如，《土耳其宪法》第20条规定：“每个人都有要求个人生活和家庭生活受到尊重的权利，个人生活和家庭生活的秘密不受侵犯。”《荷兰宪法》第10条规定：“每个人都有私生活受到尊重的权利，但须遵守议会法令的限制。议会法令制定有关记录和公布个人数据的规定，以保护个人的私生活。个人有权询问被记录下的有关本人的数据、数据的使用情况和修正错误数据。”《法国民法典》第9条规定：“任何人有权使其个人生活不受侵犯。”“法官在不影响赔偿所受损害的情况下，得规定一切措施，诸如对有争议的财产保管、扣押以及专为防止或停止侵犯个人私生活的其他措施。在紧急情况下，法官得紧急下令采取以上措施。”