摘要：個人信用信息不僅具有人格價值，還蘊含著重大的財產(chǎn)價值，已經(jīng)成為新時代金融業(yè)發(fā)展的重要資源。個人信用信息基于個人信息轉(zhuǎn)移權(quán)應(yīng)用于金融業(yè)的發(fā)展具有重大的理論價值和實踐價值，我國有必要借鑒域外開展個人信用信息轉(zhuǎn)移以發(fā)展相關(guān)產(chǎn)業(yè)的實踐經(jīng)驗，為此需要構(gòu)建完善的個人信用信息轉(zhuǎn)移法律制度以作為支撐和保障。個人信用信息轉(zhuǎn)移法制化的方法和路徑為：通過修法或法律解釋的方法，將信用信息納入《個人信息保護法》和《民法典》中個人信息的范圍；完善個人信息轉(zhuǎn)移權(quán)制度，將個人信息轉(zhuǎn)移權(quán)納入《民法典》第1037條個人信息決定權(quán)體系，以確保該權(quán)利得到《民法典》的保護。同時，應(yīng)對征信業(yè)法規(guī)中的信用信息概念加以完善，新設(shè)本人信用信息管理業(yè)，并確立準入標準和營業(yè)行為規(guī)制。以此為開端，推動健全相關(guān)法律制度，期待未來將個人信息轉(zhuǎn)移權(quán)擴張應(yīng)用至更多行業(yè)，以數(shù)據(jù)共享推動相關(guān)產(chǎn)業(yè)的發(fā)展。

關(guān)鍵詞：信用信息轉(zhuǎn)移權(quán)；信用信息；數(shù)據(jù)可攜帶權(quán)；數(shù)據(jù)共享；本人信用信息管理業(yè)

作者簡介：董新義，中央財經(jīng)大學法學院副教授（北京? 100081）

DOI編碼：10.19667/j.cnki.cn23-1070/c.2023.02.011

引? ? 言

黨的二十大報告提出，要完善“社會信用等市場經(jīng)濟基礎(chǔ)制度”“加快發(fā)展數(shù)字經(jīng)濟，促進數(shù)字經(jīng)濟和實體經(jīng)濟深度融合”。國家“十四五”規(guī)劃也提出：“充分發(fā)揮海量數(shù)據(jù)和豐富應(yīng)用場景優(yōu)勢，促進數(shù)字技術(shù)與實體經(jīng)濟深度融合，賦能傳統(tǒng)產(chǎn)業(yè)轉(zhuǎn)型升級，催生新產(chǎn)業(yè)新業(yè)態(tài)新模式……鼓勵企業(yè)開放搜索、電商、社交等數(shù)據(jù)，發(fā)展第三方大數(shù)據(jù)服務(wù)產(chǎn)業(yè)。”國務(wù)院《社會信用體系建設(shè)規(guī)劃綱要（2014—2020年）》提出，“積極推廣信用產(chǎn)品的社會化應(yīng)用，促進信用信息互聯(lián)互通、協(xié)同共享”，從而促進金融業(yè)的大力發(fā)展。個人信用信息（為論述方便，若無特殊說明，以下信用信息均指個人信用信息）可以反映出特定個人的信用狀況，因此它同時兼具人格屬性與財產(chǎn)屬性，這種“雙重性”使得信用信息成為新時代中國金融業(yè)發(fā)展的重要資源。

然而，“產(chǎn)業(yè)發(fā)展，制度先行”，信用信息在金融業(yè)的互聯(lián)互通與協(xié)同共享，需要法制對信用信息的可轉(zhuǎn)移、可攜帶給予支撐和保障。值得稱道的是，2021年8月我國通過的《個人信息保護法》，正式確立了個人信息轉(zhuǎn)移權(quán)制度，1為信用信息的轉(zhuǎn)移提供了一般性法制保障。信息轉(zhuǎn)移權(quán)或者數(shù)據(jù)轉(zhuǎn)移權(quán)2的英文名稱為“right to data portability”，其起源于歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR）第20條規(guī)定。 3本質(zhì)上講，數(shù)據(jù)轉(zhuǎn)移權(quán)是指數(shù)據(jù)主體對個人數(shù)據(jù)所享有的無障礙地將此類數(shù)據(jù)從收集其數(shù)據(jù)的控制者處傳輸給其他控制者的權(quán)利。憑借該權(quán)利，享有信息轉(zhuǎn)移權(quán)的用戶可以要求信息處理者將個人數(shù)據(jù)轉(zhuǎn)移給其他信息處理者，使得數(shù)據(jù)主體對個人數(shù)據(jù)的控制能力提高到前所未有的水平。

從促進產(chǎn)業(yè)發(fā)展的情況來看，信息轉(zhuǎn)移權(quán)的應(yīng)用場景非常廣闊，它“將促進用戶福利，打破數(shù)據(jù)壁壘與數(shù)據(jù)壟斷，促進數(shù)據(jù)共享與數(shù)據(jù)流通”4。而個人信用信息轉(zhuǎn)移權(quán)（若無特別說明，以下信用信息轉(zhuǎn)移權(quán)均指個人信用信息轉(zhuǎn)移權(quán)）是個人對本人信用信息基于個人信息轉(zhuǎn)移權(quán)一般性制度而具體化的一種權(quán)利。本文以信用信息轉(zhuǎn)移權(quán)在金融業(yè)的應(yīng)用為視角，旨在探討引入信用信息轉(zhuǎn)移權(quán)這一權(quán)利的正當性和可行性，并在我國法制語境下探索信用信息轉(zhuǎn)移權(quán)法制化與監(jiān)管的方法和路徑，為信用信息的轉(zhuǎn)移提供法律保障，從而激發(fā)和培育信用信息管理業(yè)的發(fā)展?jié)摿?，為增進金融消費者福祉、促進金融新產(chǎn)業(yè)新業(yè)態(tài)新模式作出貢獻。

一、信用信息轉(zhuǎn)移權(quán)的引入符合我國金融業(yè)發(fā)展的時代需求

信用信息是指依法采集，為金融等活動提供服務(wù)，用于識別判斷企業(yè)和個人信用狀況的基本信息、借貸信息等信息，信用信息處理業(yè)務(wù)在我國多被稱為征信業(yè)務(wù)，5其本質(zhì)屬于金融業(yè)，是需要持牌經(jīng)營的特許行業(yè)?！安灰砸?guī)矩，不成方圓”，法規(guī)缺位將直接導(dǎo)致信用信息轉(zhuǎn)移業(yè)務(wù)的開展無法可依，因而目前構(gòu)建信用信息轉(zhuǎn)移相關(guān)法律制度可謂正當其時，契合數(shù)字經(jīng)濟信息共享的時代需求。

（一）我國信用信息轉(zhuǎn)移相關(guān)制度缺位

在我國，信用信息處理業(yè)務(wù)相對于銀行業(yè)務(wù)、證券業(yè)務(wù)等的法律規(guī)制，長期以來都是“短板”。我國對信用信息處理的法律規(guī)制始于征信業(yè)立法。2013年1月，國務(wù)院頒布一部行政法規(guī)《征信業(yè)管理條例》（以下簡稱《征信業(yè)條例》），之后中國人民銀行于2013年12月、2021年9月分別制定了部門規(guī)章《征信機構(gòu)管理辦法》（以下簡稱《征信機構(gòu)辦法》）和《征信業(yè)務(wù)管理辦法》（以下簡稱《征信業(yè)務(wù)辦法》），至此，我國征信業(yè)領(lǐng)域法律規(guī)范中形成了 “一體兩翼”格局。在這些法規(guī)中，《征信業(yè)條例》第2條第2款規(guī)定了征信業(yè)務(wù)的概念，即“是對企業(yè)和個人的信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動”。該《條例》并未規(guī)定信用信息的定義，亦未將信用信息轉(zhuǎn)移權(quán)相關(guān)業(yè)務(wù)納入征信業(yè)務(wù)范圍予以調(diào)整?！墩餍艡C構(gòu)辦法》只是規(guī)定了征信機構(gòu)的設(shè)立、變更、終止（第2章）、高級任職人員管理（第3章）、監(jiān)督管理（第4章）和罰則（第5章），并未對如何開展征信業(yè)務(wù)作出規(guī)范，更不用說個人信用信息的轉(zhuǎn)移業(yè)務(wù)。而對于《征信業(yè)務(wù)辦法》，值得稱道的是，它以“信用信息”為對象，對其處理行為作出了全面規(guī)范：總則定義了“信用信息” （第3條第2款），第2至第5章分別從信用信息的“采集”“整理、保存、加工”“提供、使用”和“安全”方面對征信業(yè)務(wù)中的信用信息處理和保護作出了詳細規(guī)定。在保護個人信息主體權(quán)利方面，《征信業(yè)務(wù)辦法》較好地吸收了《個人信息保護法》的規(guī)定，強調(diào)了個人信息主體同意權(quán)、知情權(quán)和異議投訴權(quán)，但并未對《個人信息保護法》所規(guī)定的個人信息轉(zhuǎn)移權(quán)在應(yīng)用于征信業(yè)務(wù)方面作出任何規(guī)定。因而，缺乏對信用信息轉(zhuǎn)移權(quán)的法律規(guī)制，可謂是現(xiàn)行征信法律規(guī)范的一大缺憾。

（二）信用信息的共享和保護亟需信用信息權(quán)法制保障

承上所述，雖有法律規(guī)范缺位，但金融業(yè)創(chuàng)新發(fā)展卻亟需信用信息的轉(zhuǎn)移。從國家發(fā)展戰(zhàn)略來看，2019年，中國人民銀行印發(fā)《金融科技（FinTech）發(fā)展規(guī)劃（2019—2021年）》，強調(diào)金融科技要“賦能金融服務(wù)提質(zhì)增效”“拓寬金融服務(wù)渠道”“提升金融服務(wù)效率”，以及在“增強金融風險技防能力”的框架下“加大金融信息保護力度”。可以說，信用信息的轉(zhuǎn)移符合金融業(yè)務(wù)未來發(fā)展方向，具有多重價值。

1.大量信用信息需要共享

進入大數(shù)據(jù)時代，傳統(tǒng)的貨幣融通已開始轉(zhuǎn)向基于數(shù)據(jù)的信用融通，個人金融數(shù)據(jù)成為金融業(yè)新經(jīng)濟中數(shù)量最龐大的基礎(chǔ)生產(chǎn)資料，金融機構(gòu)積累的個人金融數(shù)據(jù)規(guī)模亦隨之大幅擴張，1尤其體現(xiàn)在互聯(lián)網(wǎng)金融之中。據(jù)統(tǒng)計，2022年第二季度，我國非銀行支付機構(gòu)處理網(wǎng)絡(luò)支付業(yè)務(wù)2555.21億筆，金額78.53萬億元；而支付系統(tǒng)共處理支付業(yè)務(wù)2581.21億筆，金額2742.47萬億元；2截至2022年6月，我國網(wǎng)民規(guī)模為10.51億，互聯(lián)網(wǎng)普及率為74.4%。據(jù)權(quán)威統(tǒng)計，2022年，我國電子商務(wù)交易規(guī)模將達到42.93萬億元，網(wǎng)購用戶規(guī)模將達到8.41億元。3

與此同時，金融領(lǐng)域在借貸、融資等活動中儲備和集中了大量信息，如金融消費者在交易中所留下的個人信息及產(chǎn)品選擇記錄和其他瀏覽、消費痕跡等。4這些數(shù)據(jù)的價值極高，依據(jù)歐盟GDPR的規(guī)定，如果企業(yè)組織未經(jīng)允許造成了個人信息泄露，將會面臨最高達企業(yè)全球營業(yè)額總值4%的巨額罰款或最高1億美元的制裁，這也從另一角度認可了個人信息所具有的財產(chǎn)價值。5此外，這些信息以其價值巨大被廣泛應(yīng)用于金融領(lǐng)域。例如，在銀行業(yè)，各類銀行通過全方位地掌握和分析潛在客戶信息，確定其對融資產(chǎn)品的購買傾向和購買力，從而為其量身打造融資產(chǎn)品。同時，在風險預(yù)測方面，銀行運用的人工神經(jīng)網(wǎng)絡(luò)（ANN）、支持向量機（SVM）和多層感知器（MLPs）等人工智能方法，甚至可以將破產(chǎn)風險預(yù)測的精度提高到80%以上，6這些數(shù)據(jù)能夠幫助銀行量化評估信貸用戶的償還能力和破產(chǎn)風險，從而極大程度地降低呆賬率、壞賬率；在保險業(yè)，保險機構(gòu)以精算為業(yè)務(wù)核心，也充分依賴各類數(shù)據(jù)的應(yīng)用，使得保險公司能夠分析預(yù)測得知被保險人的風險發(fā)生概率，進而更加精準地確定保險費率；在基金業(yè)，基金管理人為從海量的數(shù)據(jù)中挖掘出具有經(jīng)濟價值的信息，通常運用大數(shù)據(jù)技術(shù)篩選數(shù)據(jù)，進而找到更為優(yōu)質(zhì)的投資對象；在證券業(yè)，大數(shù)據(jù)技術(shù)的應(yīng)用更為廣泛，例如通過人工智能、大數(shù)據(jù)分析研判行情走向，挖掘新的業(yè)務(wù)形態(tài)與投資機會。

2.客戶對本人信用信息的被動地位不利于共享和保護

從我國目前情況來看，客人對本人信用信息不具控制地位，從而影響信用信息共享，同時也使得信用信息的保護處于不利境地，具體表現(xiàn)如下：

一方面，個人對本人信用信息的利用處于被動地位。如上所述，信用信息的應(yīng)用在金融領(lǐng)域方興未艾。然而，各金融機構(gòu)為了防止客戶流失，都對自己客戶的信用信息采取了信息保密和獨占的措施。至此，信用數(shù)據(jù)作為一種能夠支撐這種壟斷力的資源，由金融機構(gòu)獨享并完全控制，因此難以被共享。例如，對于參與銀行業(yè)務(wù)中一部分具有私有性和保密性的客戶信息，只有與借款人發(fā)生業(yè)務(wù)關(guān)系的銀行才有資格掌握，而其他銀行無法通過其他途徑獲得。1而當一家銀行充分了解客戶個人信息，處于信息壟斷地位時，為了防備競爭對手對客戶資源的爭奪，其更愿意將優(yōu)良客戶的某些重要信息進行隱瞞、不予報告。2盡管我國目前也有多家商業(yè)銀行參與開放銀行經(jīng)營活動，3但從現(xiàn)有開放銀行商業(yè)模式來看，主要包括“三角模式”（即個人客戶、銀行和第三方機構(gòu)各自形成合同關(guān)系）以及“線性模式”（即個人客戶與銀行、銀行與第三方機構(gòu)之間形成合同關(guān)系）兩種類型。4無論哪一種類型，商業(yè)銀行都是個人信息的控制者，在信用信息輸出中起著決定作用，而個人客戶在此過程中則處于被動的地位。開放銀行的理想目的是督促銀行與第三方機構(gòu)履行信息披露義務(wù)，以期破除信息不對稱與信息過載的雙重困境。通過相應(yīng)的法律責任條款來倒逼銀行和第三方機構(gòu)積極作為，使得處于信息弱勢地位的個人客戶能夠掌握充足的有效信息，在信息對稱的基礎(chǔ)上作出符合內(nèi)心真意的理性決策。5但現(xiàn)實中開放銀行的目的更多的是為了增強自身盈利能力，而不是賦予客戶要求開放銀行將本人信息進行轉(zhuǎn)移的權(quán)利，換言之，它不是客戶通過自己的判斷、行使自身權(quán)利而獲得福祉提升或者享受更為個性化的、精準化的、定向的產(chǎn)品或服務(wù)。

另一方面，信用信息被侵害事件層出不窮。在我國金融實踐中，信用信息被泄露、倒賣、非法交易的犯罪案件也頻頻發(fā)生。例如，黑客對實施電子交易的銀行攻陷進而非法竊取個人信息，客戶因此遭受巨額損失的情況并不鮮見。6此外，當泄露風險大于利用價值時應(yīng)當盡可能少采集，但是風險與收益都是難以量化的，為滿足實際需要，個人信用信息的采集邊界在不斷進行拓展。7因此，實踐中出現(xiàn)了個人金融信息被秘密收集、利用的問題以及共享過限問題。譬如，頭部互聯(lián)網(wǎng)企業(yè)有良好的數(shù)據(jù)共享生態(tài)鏈，旗下子集團通過對數(shù)據(jù)的共享為用戶帶來了優(yōu)質(zhì)體驗的同時也存在不少侵害事件。例如，一些平臺企業(yè)曾被曝出利用電子商城個人用戶大數(shù)據(jù)信息以催收債務(wù)，被用戶質(zhì)疑侵犯個人隱私的事件，在該事件中，平臺企業(yè)對于用戶信息的記錄正是基于其所屬企業(yè)集團數(shù)據(jù)生態(tài)的數(shù)據(jù)共享。8

二、信用信息轉(zhuǎn)移權(quán)及其法律規(guī)制的理論證成

長期以來，我國信用信息及其處理和產(chǎn)業(yè)發(fā)展的相關(guān)法規(guī)建設(shè)都是 “短板”。信用信息的可轉(zhuǎn)移直接起源于一般的個人信息轉(zhuǎn)移權(quán)（或稱可攜帶權(quán)），是個人信息轉(zhuǎn)移權(quán)應(yīng)用于金融業(yè)而特定化的權(quán)利，將其引入金融業(yè)具有正當性和必要性。

（一）信用信息的可轉(zhuǎn)移在本質(zhì)上屬于個人信息轉(zhuǎn)移權(quán)的行使

從個人數(shù)據(jù)保護的歷史和現(xiàn)實雙重維度來評價，GDPR無疑是迄今為止發(fā)達國家集團通過的最為嚴厲的一部相關(guān)法律，為全球個人數(shù)據(jù)法制建設(shè)樹立了新的標桿。1GDPR第20條規(guī)定了數(shù)據(jù)轉(zhuǎn)移權(quán)的完整定義，即數(shù)據(jù)主體享有的以結(jié)構(gòu)化、通用化和機器可讀的格式接收他提供給控制者的有關(guān)他的個人數(shù)據(jù)，并將這些數(shù)據(jù)傳輸給另一個控制者，而不受原數(shù)據(jù)控制者阻礙的權(quán)利。2換言之，數(shù)據(jù)轉(zhuǎn)移權(quán)指的是數(shù)據(jù)主體享有的將本人數(shù)據(jù)提供給數(shù)據(jù)控制者或者轉(zhuǎn)移給第三方數(shù)據(jù)控制者的權(quán)利。在GDPR確立數(shù)據(jù)轉(zhuǎn)移權(quán)之后，英國、澳大利亞、印度、馬來西亞、美國加尼福利亞州等國家或地區(qū)的法律都相繼引入了數(shù)據(jù)轉(zhuǎn)移權(quán)。3在早期，個人信息問題主要體現(xiàn)在對隱私權(quán)的保護上，隱私權(quán)的含義甚至被描述為控制個人信息的權(quán)利。4在美國，學者Arthur R. Miller認為，個人有能力控制信息的流通。5另一學者Westin認為，隱私是指個人、組織、機構(gòu)決定何時、如何以及在何種程度上與他人交換個人信息的權(quán)利。6本質(zhì)上，數(shù)據(jù)轉(zhuǎn)移權(quán)是由個人信息自決權(quán)派生而來的一種權(quán)利。

而對于信用信息的轉(zhuǎn)移，依據(jù)個人信息轉(zhuǎn)移權(quán)的內(nèi)涵，其核心內(nèi)容為將信用信息還權(quán)于個人，使個人對本人信用信息享有主動權(quán)，從而能夠最大程度地積極利用并有效保護本人信用信息。在個人的要求下，本人信用信息不僅可以提供給金融機構(gòu)，也可以提供給具有核心服務(wù)能力的金融科技企業(yè)，進而促進這些企業(yè)對個人信用信息多樣化的分析和利用，讓之前不能實現(xiàn)的綜合性賬戶信息查詢、精準化金融商品或服務(wù)的銷售成為可能。

信用信息的轉(zhuǎn)移將在數(shù)據(jù)的產(chǎn)業(yè)利用領(lǐng)域發(fā)揮重要的作用。其不僅可以使數(shù)據(jù)市場更加活躍，還可以繞過信息服務(wù)的有形、無形的規(guī)制。但需要指出的是，在2010年前后法律尚未明確規(guī)定數(shù)據(jù)轉(zhuǎn)移權(quán)的情況下，英國、芬蘭、法國、日本等國家就已經(jīng)在自己的商業(yè)實踐中創(chuàng)建并運營著大量的以信息傳輸為基礎(chǔ)的自我控制的流通平臺，7促使醫(yī)療、金融、SNS等領(lǐng)域的信息傳輸變得更加活躍，社會中也因此產(chǎn)生了大量的以信用信息轉(zhuǎn)移為基礎(chǔ)的大數(shù)據(jù)分析服務(wù)產(chǎn)業(yè)。

（二）明確信用信息轉(zhuǎn)移權(quán)的正當性

盡管《個人信息保護法》已規(guī)定了個人信息轉(zhuǎn)移權(quán)的基本法律條文，但并未規(guī)定該制度可應(yīng)用于哪些產(chǎn)業(yè)，學界和實務(wù)界對此也存在不同意見。8而對于本文所研究的個人信息轉(zhuǎn)移權(quán)應(yīng)用于金融業(yè)而產(chǎn)生的信用信息轉(zhuǎn)移權(quán)，更是沒有任何規(guī)定。承上所述，傳統(tǒng)金融機構(gòu)普遍存在“數(shù)據(jù)資源獨占與閑置”的問題，尤其是各個金融機構(gòu)內(nèi)部存有的大量數(shù)據(jù)資源、信息資源，這些數(shù)據(jù)既不能被精準加工以實現(xiàn)其派生價值，也不能用以進一步提升客戶體驗，因此個人對于本人信用信息的利用完全處于被動地位。具體而言，金融機構(gòu)控制著絕大多數(shù)金融業(yè)務(wù)數(shù)據(jù)與金融業(yè)務(wù)接觸點，而客戶只能通過金融機構(gòu)App或者網(wǎng)點獲取金融服務(wù)，如此不僅其辦事效率受制于某一家或幾家的金融機構(gòu)，同時也無法獲知其他金融機構(gòu)的新產(chǎn)品和新服務(wù)，因而難免錯過許多更為優(yōu)質(zhì)的、更能滿足自身期望和需求的產(chǎn)品或服務(wù)。

更為重要的是，在這個要求發(fā)展普惠金融的大數(shù)據(jù)時代，信用信息包含著諸多個人隱私，而個人作為信息主體，理應(yīng)享有主張其隱私被合理利用的權(quán)利；另一方面，信用信息作為寶貴的無形財產(chǎn)還蘊含著巨大的經(jīng)濟價值，關(guān)注并加強對信用信息的利用和保護、打破數(shù)據(jù)提供者與數(shù)據(jù)控制者之間信息不對稱與信息過載的障礙迫在眉睫。正如部分學者所主張的那樣，加強對以“數(shù)據(jù)轉(zhuǎn)移權(quán)”為代表的個人數(shù)據(jù)權(quán)利的研究尤為重要。1

（三）對信用信息轉(zhuǎn)移權(quán)規(guī)制的價值和功能

在明確信用信息轉(zhuǎn)移的價值功能后，為保障信用信息主體權(quán)利的真正實施，促進金融業(yè)健康可持續(xù)發(fā)展，需要制定相關(guān)制度、規(guī)則和機制，從而使得該信息主體行使信用信息轉(zhuǎn)移權(quán)，使得信用信息這種特別信息對新產(chǎn)業(yè)新業(yè)態(tài)新模式的發(fā)展有法可依、有規(guī)可循。

1.促進對信用信息和數(shù)據(jù)的合理利用

在利用信用信息轉(zhuǎn)移推進金融業(yè)發(fā)展過程中，必然關(guān)涉數(shù)據(jù)主體“同意權(quán)”制度，即數(shù)據(jù)主體享有的要求數(shù)據(jù)控制者提供數(shù)據(jù)或轉(zhuǎn)移數(shù)據(jù)的權(quán)利。被提供或被轉(zhuǎn)移的數(shù)據(jù)指的是“純粹的能識別出數(shù)據(jù)主體本人（僅限于本人）的個人數(shù)據(jù)”，即僅屬于本人的數(shù)據(jù)。一般而言，學者們都認為數(shù)據(jù)轉(zhuǎn)移權(quán)根源于信息自決理論。2也就是說，“我的數(shù)據(jù)我做主、我的數(shù)據(jù)為我服務(wù)”，數(shù)據(jù)主體有權(quán)對自身的信息和數(shù)據(jù)進行控制和支配。2002年歐盟的《普遍服務(wù)指令》第29條工作組3認為，數(shù)據(jù)轉(zhuǎn)移權(quán)的主要目的是加強對個人數(shù)據(jù)的控制，以確保個人在數(shù)據(jù)生態(tài)系統(tǒng)中發(fā)揮積極的作用。數(shù)據(jù)轉(zhuǎn)移權(quán)可以促進組織之間用戶對受控的和有限的個人數(shù)據(jù)進行共享，進而優(yōu)化服務(wù)和客戶體驗。4

基于數(shù)據(jù)轉(zhuǎn)移權(quán)是數(shù)據(jù)主體人權(quán)在數(shù)字世界的反映這一觀念，通過法律制度賦予數(shù)據(jù)主體以數(shù)據(jù)轉(zhuǎn)移權(quán)，可以增強數(shù)據(jù)主體對自身數(shù)據(jù)的控制能力。以往數(shù)據(jù)主體基于訪問權(quán)只能取得無檢索功能的數(shù)據(jù)副本，但基于轉(zhuǎn)移權(quán)，數(shù)據(jù)主體能獲取可供機讀的、結(jié)構(gòu)化的電子形式數(shù)據(jù)。正是因為數(shù)據(jù)主體對個人信息和數(shù)據(jù)享有同意權(quán)，才為引入數(shù)據(jù)轉(zhuǎn)移權(quán)的正當性提供了依據(jù)。通過賦予用戶獲取和轉(zhuǎn)移其數(shù)據(jù)的權(quán)利，用戶可以進一步加強對自身數(shù)據(jù)的控制，以獲得更好的服務(wù)和用戶體驗。具體而言有三個方面：首先，用戶可以在同類服務(wù)的不同服務(wù)商之間輕松轉(zhuǎn)換，比如要求銀行把自己的支付數(shù)據(jù)轉(zhuǎn)移到另一家支付機構(gòu)，從而增強服務(wù)質(zhì)量的競爭，這使得用戶棄用某個服務(wù)商變得更加容易；其次，用戶還可以把數(shù)據(jù)導(dǎo)入第三方，利用這些數(shù)據(jù)產(chǎn)生與數(shù)據(jù)原有用途具有補充性的服務(wù)和產(chǎn)品，如通過數(shù)據(jù)分析提供的服務(wù)；最后，用戶的個人自由和人格尊嚴也能被更好地維護。

2.惠及金融消費者保護

通過立法確立信用信息的可轉(zhuǎn)移制度，能夠讓客戶享有更多的自決權(quán)，企業(yè)將因為數(shù)據(jù)轉(zhuǎn)移權(quán)的應(yīng)用而更有動力去提高個人信息保護力度，如此能夠讓客戶有更多選擇權(quán)，從而在客觀上促進數(shù)據(jù)控制企業(yè)提高信息保護力度。隨著金融產(chǎn)品結(jié)構(gòu)和服務(wù)模式愈趨復(fù)雜，金融消費者在消費金融商品或接受金融服務(wù)的過程中的弱勢地位愈趨深化。長期以來，由于金融機構(gòu)安全保障機制不到位，金融消費者個人信息頻遭泄露和竊取使得如何保障金融消費者的個人信息安全成為法律規(guī)制層面的重要議題。然而，金融消費者除了因為經(jīng)營者對個人信息保護不力致使信息泄露而遭受損失以外，更可能因為經(jīng)營者對個人信息的不當收集、不當利用、不當共享而受損。1因此，對金融消費者個人信息的保護愈發(fā)受到人們的重視。由于金融商品和服務(wù)的專業(yè)性強，金融消費者的個人數(shù)據(jù)也更為復(fù)雜，對于數(shù)據(jù)控制者來說，金融消費者個人數(shù)據(jù)的商業(yè)價值隨著其復(fù)雜程度而不斷攀升。此種情況下，數(shù)據(jù)控制者往往設(shè)置諸多壁壘來阻礙金融消費者將個人數(shù)據(jù)轉(zhuǎn)移給他人，變相地侵害了金融消費者的財產(chǎn)權(quán)。

從促進市場的公平和良性競爭的角度而言，用戶的信息和數(shù)據(jù)實現(xiàn)便捷轉(zhuǎn)移與共享能有效促進個人數(shù)據(jù)最大程度地發(fā)揮其公共性價值，從而使數(shù)據(jù)主體以及數(shù)據(jù)控制者都能平等地享受到數(shù)據(jù)這一公共基礎(chǔ)設(shè)施所帶來的價值。這對于處在市場交易弱勢地位的金融消費者來說無疑是益處頗多的。2因此，在金融消費糾紛、金融侵權(quán)事件頻發(fā)的時代背景下，為加強對廣大金融消費者的保護力度，合理引入數(shù)據(jù)轉(zhuǎn)移權(quán)顯得十分必要。

3.助推金融業(yè)務(wù)開疆拓土進而擴容金融生態(tài)

在大數(shù)據(jù)時代，個人數(shù)據(jù)日益成為企業(yè)競爭的核心，其帶來的商業(yè)價值不容小覷。對于數(shù)據(jù)控制者來說，誰擁有廣大用戶的第一手數(shù)據(jù)，誰就在市場競爭中擁有優(yōu)勢地位?；ヂ?lián)網(wǎng)生態(tài)競爭下的大型網(wǎng)絡(luò)平臺更是放大了這種優(yōu)勢。為了保持優(yōu)勢，數(shù)據(jù)控制者往往會阻礙數(shù)據(jù)主體向其他數(shù)據(jù)服務(wù)商轉(zhuǎn)移相應(yīng)的個人數(shù)據(jù)，比如提高數(shù)據(jù)轉(zhuǎn)移所需的成本。而數(shù)據(jù)轉(zhuǎn)移權(quán)能夠有效消除個人數(shù)據(jù)傳輸和轉(zhuǎn)移過程中的多余壁壘，為廣大用戶提供便利，實現(xiàn)數(shù)據(jù)在同類或者相似的服務(wù)商之間的快速流轉(zhuǎn)和便捷使用。在這種情況下，個人數(shù)據(jù)由多個企業(yè)主體利用，有助于促使各主體之間自由競爭，繼而在金融領(lǐng)域內(nèi)實現(xiàn)金融消費者利益最大化。這不僅有利于銀行、證券公司、保險公司、基金公司等金融機構(gòu)對儲存的客戶的銀行信息、信用卡信息、收支明細和保險加入信息等進行統(tǒng)合管理，同時也能使金融機構(gòu)和金融科技企業(yè)為個人提供適配性高的金融商品成為可能。因此，數(shù)據(jù)轉(zhuǎn)移權(quán)能夠有效防止“鎖定效應(yīng)”3的出現(xiàn)，有益于保護用戶在面對壟斷性機構(gòu)時免受“店大欺客”的遭遇，4同時有利于促進不同數(shù)據(jù)控制者之間的公平競爭，促進數(shù)據(jù)生態(tài)系統(tǒng)與相應(yīng)產(chǎn)業(yè)的良性發(fā)展。5

三、信用信息轉(zhuǎn)移權(quán)的域外規(guī)制與產(chǎn)業(yè)實踐：基于信息轉(zhuǎn)移權(quán)在金融場景的應(yīng)用

迄今，主要發(fā)達經(jīng)濟體大多在個人信息、數(shù)據(jù)保護法律中確立了信息（數(shù)據(jù)）轉(zhuǎn)移權(quán)制度，并以該制度為基礎(chǔ)，將信用信息作為信息轉(zhuǎn)移權(quán)行使客體而應(yīng)用于金融領(lǐng)域，并構(gòu)建了相應(yīng)的信用信息轉(zhuǎn)移權(quán)法律規(guī)范。

（一）歐盟

2002年歐洲出臺的《通用服務(wù)條例》（Universal Service Directive ， Directive 2002/22/EC）的第30條對“號碼可傳輸性”進行了規(guī)定，要求各成員國應(yīng)確保所有公共電話服務(wù)和移動服務(wù)的用戶可以獨立于提供服務(wù)的企業(yè)以保留其號碼。2002年的《框架指令》（Frame work Directive， Directive 2002/21/EC）（以下簡稱《指令》）則對數(shù)據(jù)可移植性進行了更為明確性的規(guī)定，對于交互式內(nèi)容，可通過應(yīng)用程序接口系統(tǒng)的互操作性進行有關(guān)移植。根據(jù)第29條工作組的條款，數(shù)據(jù)傳輸性被視為數(shù)據(jù)控制者所應(yīng)用的附加保護權(quán)利，可以賦予數(shù)據(jù)主體權(quán)利。同時，該條款鼓勵個人信息的傳輸，指出允許數(shù)據(jù)傳輸性可以使企業(yè)和數(shù)據(jù)主體進行數(shù)據(jù)處理時最大程度地利用平衡和透明的方式，進而使不公平或歧視性做法減少，大幅度降低了將不準確的數(shù)據(jù)用于決策目的的風險，這將有利于企業(yè)和數(shù)據(jù)主體的共贏。該條款對數(shù)據(jù)傳輸性進行了較為明確的定義，突出了個人數(shù)據(jù)傳輸性的巨大潛力，為GDPR引入數(shù)據(jù)轉(zhuǎn)移權(quán)奠定了法律基礎(chǔ)。1然而，互聯(lián)網(wǎng)的普及和信息產(chǎn)業(yè)的飛速發(fā)展為個人數(shù)據(jù)保護帶來了巨大的隱患，該《指令》在實施過程中也存在著諸多缺陷。此外，隨著個人數(shù)據(jù)保護權(quán)利法律地位的提高，《指令》已不能滿足時代的需求，制定新的數(shù)據(jù)保護法律迫在眉睫，因此GDPR的修訂也被提上日程。

2012年歐洲委員會頒布《數(shù)據(jù)保護指令草案》，首次提出“數(shù)據(jù)轉(zhuǎn)移權(quán)”這一概念，該草案的第18條對“數(shù)據(jù)轉(zhuǎn)移權(quán)”進行了詳細的定義，即數(shù)據(jù)轉(zhuǎn)移權(quán)是指數(shù)據(jù)主體擁有的獲得個人數(shù)據(jù)副本并傳給另一個數(shù)據(jù)控制者的權(quán)利，傳輸方式為電子或者其他通用的形式。數(shù)據(jù)轉(zhuǎn)移權(quán)的提出，是對數(shù)據(jù)主體權(quán)利的豐富和完善；22014年3月，歐洲議會對《數(shù)據(jù)保護指令草案》進行了修訂，合并了第18條的“數(shù)據(jù)轉(zhuǎn)移權(quán)”與第15條的“信息獲取權(quán)”；2016年3月，數(shù)據(jù)轉(zhuǎn)移權(quán)以獨立條款的身份出現(xiàn)于GDPR的第20條；2018年5月25日，GDPR正式生效，數(shù)據(jù)轉(zhuǎn)移權(quán)合法獨立的權(quán)利地位得到完全確立。正式生效的GDPR成為歐盟史上最嚴格的數(shù)據(jù)保護法，其為個人信息保護樹立了一個新的世界標準，從多個方面為個人數(shù)據(jù)保護提供助力。3GDPR第20條對數(shù)據(jù)轉(zhuǎn)移權(quán)進行了詳細的規(guī)定：數(shù)據(jù)主體有權(quán)下載并在不同數(shù)據(jù)控制者之間傳輸其提供的與數(shù)據(jù)主體相關(guān)的個人數(shù)據(jù)。4這表明用戶擁有了查詢、訪問自己在數(shù)據(jù)網(wǎng)絡(luò)世界中的個人信息的權(quán)利，同時有權(quán)選擇將自己的個人數(shù)據(jù)下載并以經(jīng)過整理的、機器可讀的方式傳輸給另一個數(shù)據(jù)控制者。5另外，根據(jù)第29條工作組發(fā)布的指南，在數(shù)據(jù)下載的格式中還應(yīng)滿足互操性，即不同功能的單元之間仍能夠相互通信，共享信息。6互操性的實現(xiàn)，使得用戶在傳輸數(shù)據(jù)時對數(shù)據(jù)接收主體的選擇更加自由，更大程度地方便用戶進行數(shù)據(jù)傳輸。此外，GDPR規(guī)定了數(shù)據(jù)轉(zhuǎn)移權(quán)的適用范圍：首先，接收、傳輸個人數(shù)據(jù)要以不侵害他人的權(quán)利為前提；其次，如果是出于公共權(quán)力執(zhí)行的目的或是數(shù)據(jù)控制者被賦予了合法職權(quán)，則數(shù)據(jù)轉(zhuǎn)移權(quán)不再適用。7歐盟設(shè)立數(shù)據(jù)轉(zhuǎn)移權(quán)有以下兩個立法初衷：一是權(quán)利保障，即最大化地滿足數(shù)據(jù)主體對于個人數(shù)據(jù)的控制，這主要表現(xiàn)在數(shù)據(jù)接收權(quán)的設(shè)計上；二是產(chǎn)業(yè)競爭，即有效促進大數(shù)據(jù)市場間的自由競爭，這主要表現(xiàn)在數(shù)據(jù)轉(zhuǎn)移權(quán)的設(shè)立上。綜合來看，GDPR的整體目的就在于數(shù)據(jù)主體享有對數(shù)據(jù)的控制權(quán)。8

2020年12月15日，歐盟公布了《數(shù)字服務(wù)法》（Digital Services Act，簡稱DSA）提案，規(guī)范了作為中介機構(gòu)的平臺在提供數(shù)字服務(wù)時應(yīng)承擔將消費者與商品、服務(wù)和內(nèi)容相連接的法律責任和義務(wù)，強化了對消費者個人數(shù)據(jù)的保護與利用。信息傳輸權(quán)在促進數(shù)據(jù)流通、發(fā)揮經(jīng)濟效益的同時，也需加強信息安全保障，該提案正是權(quán)衡數(shù)據(jù)流通和信息保護兩種法益的產(chǎn)物。

（二）英國

為保護信用信息，早在1974年，英國政府即針對信用信息制定了《消費信貸法》（Consumer Credit Act 1974），該法規(guī)定參與提供個人信用數(shù)據(jù)的機構(gòu)需征得英國公平貿(mào)易委員會的許可，同時，它還詳細規(guī)定了諸如未經(jīng)本人同意公開個人信息是違法行為以及對錯誤信息的修改、刪除權(quán)等條款。1984年，英國又頒布了《數(shù)據(jù)保護法》，以進一步補充《消費信貸法》。該法擴大了收集、登記信息范圍、管理主體權(quán)利等內(nèi)容，但由于只保護與消費信貸相關(guān)的個人數(shù)據(jù)，仍存在一定的局限性。1998年，為適應(yīng)歐盟的《數(shù)據(jù)保護指令》，英國修改了《數(shù)據(jù)保護法》，主要從個人數(shù)據(jù)的范圍、數(shù)據(jù)保護原則、數(shù)據(jù)主體權(quán)利以及不適用本法的情形等八個方面對英國的個人信息保護制度作出規(guī)定。1

此后，英國于2011年開始推進政府部門層面的統(tǒng)合性項目，將其應(yīng)用于金融、能源、通信、流通四個領(lǐng)域。此時，信息主體有直接接觸和控制企業(yè)與個人信息的權(quán)限的“我的數(shù)據(jù)”（midata）政策（后演變?yōu)椤癿ydata”模式）已經(jīng)開始實施。該政策的內(nèi)容是保障個人對自我信息控制和利用的同時，允許企業(yè)將個人信息進行新的資產(chǎn)化，為企業(yè)開發(fā)新的商業(yè)項目打開了再投入、再利用的大門。雖然當時的英國并未制定數(shù)據(jù)轉(zhuǎn)移權(quán)等管理規(guī)定，但是通過修改《企業(yè)規(guī)制改革法》（The Enterprise and Regulatory Reform Act 2013）明確規(guī)定了對于前述四個領(lǐng)域的客戶數(shù)據(jù)，企業(yè)有義務(wù)讓第三人接觸。

英國在正式脫歐之前，歐盟成員的身份使得其同樣需要遵守歐盟GDPR的規(guī)定，對用戶數(shù)據(jù)進行監(jiān)管和保護。根據(jù)此前英國信息監(jiān)管局的聲明，2019年7月8日英國航空公司就曾因網(wǎng)站被攻擊造成約50萬客戶的數(shù)據(jù)被泄露，進而違反歐盟GDPR的規(guī)定，被罰款1.8339億英鎊。2更早以前，英國新的《數(shù)據(jù)保護法》已于2018年5月生效，取代了實施近20年的舊《數(shù)據(jù)保護法》。這部新的《數(shù)據(jù)保護法》中同樣包括“數(shù)據(jù)轉(zhuǎn)移權(quán)”的規(guī)定，應(yīng)為歐盟GDPR在英國落地的響應(yīng)。3新《數(shù)據(jù)保護法》的第二部分為歐盟GDPR內(nèi)容介紹，其余部分則是補充了一些英國國內(nèi)法律，總的來說與歐盟數(shù)據(jù)保護框架一致。4因此從短期來看，歐盟GDPR的保護模式將在英國境內(nèi)繼續(xù)沿用，但長期而言，立法者可能在國內(nèi)推行具有英國特色的“英國版GDPR”。與歐盟數(shù)據(jù)保護機制相比，英國的監(jiān)管規(guī)定將更加寬松，使英國企業(yè)將個人數(shù)據(jù)轉(zhuǎn)移至其他地區(qū)時更容易，更便于其在英國開展業(yè)務(wù)。5

在英國商業(yè)實踐中，“我的數(shù)據(jù)”項目（https：//mydex.org）向個人提供了個人信息管理服務(wù)。“MyDex”平臺向利用者提供個人數(shù)據(jù)儲存（personal data store）、管理服務(wù)（personal data services）以及身份證明服務(wù)（identity as a services）等，其中它提供的個人數(shù)據(jù)交易服務(wù)的流程如下圖所示：6

（三）美國

美國對于個人信息保護與上述國際組織或國家不同，美國采用保護隱私從而統(tǒng)一保護個人信息的模式，注重行業(yè)自律并輔之以專項立法。美國政府認為，對于新興領(lǐng)域，應(yīng)由其自由競爭、自行發(fā)展，政府不應(yīng)過度干涉。因此，美國并未在聯(lián)邦層面制定一部統(tǒng)一的一般性的個人信息保護法律，而是采取自律管理和政府監(jiān)管相結(jié)合的方式保護個人信息。同時，美國通過特別法規(guī)范特定政府部門、特定行業(yè)或特定類型的個人信息利用行為；在商業(yè)領(lǐng)域的個人信息或消費者個人信息的利用主要遵循《公平信息準則》，實施自律管理；而個人信息的保護和救濟主要是通過發(fā)達的侵權(quán)救濟制度（司法救濟）來實現(xiàn)，與此同時，聯(lián)邦貿(mào)易委員會還針對企業(yè)欺詐消費者、不公平信息行為予以處罰。1

美國雖無統(tǒng)一的個人數(shù)據(jù)保護層面的數(shù)據(jù)轉(zhuǎn)移權(quán)，但有數(shù)據(jù)轉(zhuǎn)移和數(shù)據(jù)訪問的相關(guān)案例。2007年，為了討論和解決數(shù)據(jù)轉(zhuǎn)移問題，非營利性行業(yè)組織“數(shù)據(jù)轉(zhuǎn)移項目”（Data portability project）成立，2008年就有Google和Facebook等巨頭公司紛紛加入，該組織于2009年在美國完成注冊。2除此之外，美國也有消費者隱私侵權(quán)法：2013年7月，修訂版的《兒童在線隱私保護法》正式生效，個人照片、IP地址等信息被納入該法保護的“個人信息”范疇，新增了對相關(guān)主體的通知等要求，3并界定了最具爭議的數(shù)據(jù)留存、刪除權(quán)等新術(shù)語。2018年6月，美國加利福尼亞州議會通過《消費者隱私法》。該法賦予消費者作為信息主體享有對個人數(shù)據(jù)廣泛的訪問權(quán)、知情權(quán)及刪除權(quán)，為個人信息提供了法律保護。42018年7月，為履行GDPR和美國加利福尼亞州消費者隱私保護相關(guān)法律義務(wù)，由Google牽頭，F(xiàn)acebook、Twitter及Microsoft等多家互聯(lián)網(wǎng)公司巨頭共同啟動數(shù)據(jù)傳輸項目（Data Transfer Project， DTP）來建立開源數(shù)據(jù)傳輸平臺。DTP是一個機構(gòu)合作平臺，旨在搭建一個擁有開源代碼的共同框架，它能連接任意兩個網(wǎng)絡(luò)服務(wù)提供者，實現(xiàn)客戶原始數(shù)據(jù)在兩個平臺無縫的、直接的轉(zhuǎn)移。5另外，F(xiàn)acebook為了緩解之前美國立法者和監(jiān)管者針對自己“反壟斷”調(diào)查的擔憂，已經(jīng)允許北美用戶自由選擇是否將其存儲在平臺上的照片和視頻數(shù)據(jù)轉(zhuǎn)移到競爭者如Google Photos等平臺。 6這一舉動是Facebook對于用戶數(shù)據(jù)轉(zhuǎn)移權(quán)的典型應(yīng)用，并且作為經(jīng)典范例，可能會發(fā)揮“鲇魚效應(yīng)”，對數(shù)據(jù)轉(zhuǎn)移權(quán)在北美數(shù)字市場中的推廣與應(yīng)用產(chǎn)生顯著而又深遠的影響。

（四）日本

早在2005年4月日本就開始施行《個人信息保護法》，2015年5月的修訂進一步增強了數(shù)據(jù)主體的權(quán)利，2017年日本又對該法予以大幅修改。7我們應(yīng)從以下幾個方面理解日本個人信息保護法：首先，需要明確日本關(guān)于“個人數(shù)據(jù)”與“個人信息”的界定，即并不是所有的個人信息都可以被稱為個人數(shù)據(jù)，個人數(shù)據(jù)是個人信息下的“可易檢索的”信息。其次，日本對于“個人數(shù)據(jù)權(quán)屬”問題尚存在一定討論空間，其爭議的核心在于如何平衡好個人數(shù)據(jù)應(yīng)用與保護之間的限度。目前較為一致的意見是：在不與現(xiàn)行法律存在沖突的前提下，盡可能地拓寬數(shù)據(jù)流通網(wǎng)絡(luò)，以實現(xiàn)數(shù)據(jù)在不同用戶平臺上流通的便利。8

對于個人信息保護的規(guī)制，日本《個人信息保護法》有明確的規(guī)定。首先，在該法中討論了個人信息權(quán)利的獨立問題，規(guī)定了個人享有個人信息收集、個人信息查詢以及個人信息利用的權(quán)利。同時，該法規(guī)定當數(shù)據(jù)持有者向收集數(shù)據(jù)的第三方提供數(shù)據(jù)時，應(yīng)征得信息主體的同意，由此明確了數(shù)據(jù)主體對其個人數(shù)據(jù)所擁有的權(quán)利。1其次，在該法中有關(guān)個人信息的收集以及查詢的規(guī)定都涉及了數(shù)據(jù)的訪問權(quán)。用戶有權(quán)對涉及個人數(shù)據(jù)的部分進行訪問，并且用戶個人有權(quán)決定其信息利用的用途，這一點與GDPR所規(guī)定的數(shù)據(jù)轉(zhuǎn)移權(quán)相似，二者均賦予了數(shù)據(jù)主體選擇處理個人數(shù)據(jù)所使用方式的權(quán)利。最后，該法對于日本用戶數(shù)據(jù)的跨境傳輸規(guī)則也進一步明確：在進行跨境數(shù)據(jù)傳輸時，同樣需要經(jīng)過當事人的同意。2

同時，近年來日本也受英美等國“我的數(shù)據(jù)”產(chǎn)業(yè)立法和政策的影響，開始關(guān)注對個人數(shù)據(jù)的合理管理和利用。為提高公民個人因數(shù)據(jù)帶來的收益，日本政府從2016年開始構(gòu)建“信息銀行”，試圖打造統(tǒng)一的個人數(shù)據(jù)資產(chǎn)管理和交易平臺。從日本政府的構(gòu)想來看，“信息銀行”的全稱為“信息利用信用銀行制度”，其基本內(nèi)容是指，基于PDS（personal data store）等個人數(shù)據(jù)存儲系統(tǒng)，由與個人簽訂數(shù)據(jù)使用合同的事業(yè)者，按照個人確定的條件，代理個人與第三人（事業(yè)者）開展數(shù)據(jù)交易活動，由此所得收益由信息銀行向相關(guān)個人直接或間接支付。其運作流程如下圖所示：3

按照日本政府2017年對“信息銀行”發(fā)展的初步規(guī)劃，計劃應(yīng)用于金融、醫(yī)療保健、觀光、交通等領(lǐng)域，4而目前已經(jīng)擴大到信息通信、市場營銷、化學等領(lǐng)域。從日本“信息銀行”運營模式來看，實際上是將個人數(shù)據(jù)作為個人資產(chǎn)的一部分，并由日本IT團體聯(lián)盟所認證的“信息銀行”事業(yè)者進行運用和管理。截至2020年3月，共有包括株式會社DataSign、中部電力株式會社、三井住友信托銀行株式會社在內(nèi)的5家企業(yè)，獲得了日本IT團體聯(lián)盟的“信息銀行”事業(yè)者認證。5

（五）韓國

韓國雖未在《個人信息保護法》的一般性法律中規(guī)定個人信息轉(zhuǎn)移權(quán)制度，但其在2020年2月4日大幅修訂的《信用信息利用與保護法》中引入信用信息轉(zhuǎn)移權(quán)制度，并確立本人信用信息管理業(yè)的準入、營業(yè)行為監(jiān)管等制度。

其一，該法明確了“信用信息”的定義?！缎庞眯畔⒗门c保護法》第2條第1項規(guī)定了信用信息的概念，即指“金融交易等商業(yè)交易中，在對交易相對方的信用進行判斷時所需的信息。主要是指以下各項信息：（1）可以識別特定信用信息主體的信息［與符合（2）到（4）中任何一項信息相結(jié)合的情形同樣屬于“信用信息”］；（2）可以判斷信用信息主體交易內(nèi)容的信息；（3）可以判斷信用信息主體信用程度的信息；（4）可以判斷信用信息主體信用交易能力的信息；（5）（1）—（4）項信息以外的、可以判斷信用信息主體信用情況所需要的其他信息。

其二，該法確定了“本人信用信息管理業(yè)”的新業(yè)務(wù)?！缎庞眯畔⒗门c保護法》規(guī)定和創(chuàng)設(shè)了“本人信用信息管理業(yè)”，旨在將數(shù)據(jù)轉(zhuǎn)移權(quán)應(yīng)用于金融業(yè)。2020年2月，此法在后續(xù)修改時在第9條之2中規(guī)定了“本人信用信息管理業(yè)”的定義，即它是指為協(xié)助本人信用信息主體的信用管理，將下列各項全部或部分信用信息以總統(tǒng)令規(guī)定的方式整合起來，提供給該信用信息主體以作為營業(yè)的行業(yè)。這些可以作為本人信用信息管理業(yè)經(jīng)營的信用信息包括：（1）由總統(tǒng)令規(guī)定的第1條之3的（1）中的①和②，以及（2）的信用信息；（2）由總統(tǒng)令規(guī)定的第1條之3的（3）中的信用信息；（3）由總統(tǒng)令規(guī)定的第1條之3的（4）中的信用信息；（4）由總統(tǒng)令規(guī)定的第1條之3的（5）中的信用信息；（5）除此之外，由總統(tǒng)令規(guī)定的信用信息主體本人進行信用管理所需的其他信用信息。同時為確保持牌機構(gòu)經(jīng)營本人信用信息管理業(yè)，該法在“本人信用信息管理業(yè)”之外還確立了“本人信用信息管理公司”制度，并規(guī)定本人信用信息管理公司是指獲得金融委員會（即韓國最高金融監(jiān)管機構(gòu)）審批的、從事本人信用信息管理業(yè)的商事主體（此法第9條之3規(guī)定）。

其三，該法新設(shè)了本人信用信息傳輸要求權(quán)。1與本文主題相關(guān)的特別值得提及的是，該法新設(shè)了個人對本人信用信息的傳輸要求權(quán)?！缎庞眯畔⒗门c保護法》第33條之2（個人信用信息的傳輸要求）規(guī)定了關(guān)于本人信用信息轉(zhuǎn)移權(quán)的下列事項：信用信息主體可以要求信用信息的提供者和使用者等，將其持有的與本人相關(guān)的信用信息傳輸給符合一定條件的主體；2限定要求傳輸?shù)谋救诵庞眯畔⒌姆秶约皯?yīng)予考慮的因素；接到本人傳輸信用信息要求的信用信息提供者和使用者等的處理和傳輸義務(wù)；確保相關(guān)本人信用信息的正確性和最新性的要求，以及信用信息主體有權(quán)撤回提出的傳輸要求；等等?？傊?，該法對本人信用信息傳輸要求權(quán)內(nèi)容規(guī)定十分詳細，值得我國借鑒參考。

四、我國信用信息轉(zhuǎn)移權(quán)法律規(guī)制的實現(xiàn)路徑與核心內(nèi)容

（一）信用信息轉(zhuǎn)移權(quán)的法制化與業(yè)務(wù)規(guī)制的基本理念

如前所述，我國在《個人信息保護法》中僅僅確立了信息轉(zhuǎn)移權(quán)的一般性制度，缺乏可操作性。在征信法律規(guī)范中，更是缺乏需要金融特許經(jīng)營的信用信息轉(zhuǎn)移權(quán)制度，相關(guān)規(guī)定依然十分抽象。未來，我國應(yīng)在借鑒域外制度和產(chǎn)業(yè)實踐的基礎(chǔ)上，在信用信息相關(guān)法律規(guī)范中確立信用信息的可轉(zhuǎn)移及其相關(guān)制度和規(guī)則，為個人信用信息在金融領(lǐng)域的轉(zhuǎn)移應(yīng)用提供法制保障。

1. 明確個人信息主體對本人信用信息享有一定程度的控制權(quán)

要發(fā)展“我的數(shù)據(jù)”產(chǎn)業(yè)，需要個人對本人信用信息享有一定程度的控制權(quán)，而不能全部受制于金融機構(gòu)，這種控制權(quán)就是前述韓國《信用信息利用與保護法》中所稱“信用信息轉(zhuǎn)移請求權(quán)”。只有當信用信息不必完全受制于金融機構(gòu)時，才能保證個人對本人信用信息的知情同意，并在享有此項權(quán)利的同時要求金融機構(gòu)提供更優(yōu)質(zhì)的服務(wù)。另外，筆者之所以在此強調(diào)信息主體對本人信用信息只擁有一定程度的自決權(quán)而非全部控制權(quán)，是因為在對信用信息轉(zhuǎn)移權(quán)法制化時，須處理好數(shù)據(jù)共享與保護之間的平衡關(guān)系。倘若過度保護個人信息及相關(guān)數(shù)據(jù)權(quán)利，會對信息共享形成障礙，嚴格地限制共享將不利于發(fā)揮個人信息、數(shù)據(jù)的經(jīng)濟效用；而若過度鼓勵共享，則可能對個人隱私、個人信息等人格權(quán)保護帶來沖擊。為此，應(yīng)在二者之間尋找一個平衡點，確保信息的有效共享。1

為此，未來我國在細化信用信息轉(zhuǎn)移權(quán)制度時，既要注重發(fā)揮信用信息的經(jīng)濟效用以促進數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，又要注重保護信息主體的個人信息權(quán)利，妥善平衡二者之間的關(guān)系。在加強保障數(shù)據(jù)共享中個人信息權(quán)利保護的同時，亦應(yīng)避免個人信息、數(shù)據(jù)權(quán)利的泛化，以免對數(shù)據(jù)的流通造成不當影響。所謂權(quán)利泛化，就是指個人信息權(quán)的內(nèi)涵和外延缺乏明確的邊界。2在制定信用信息轉(zhuǎn)移權(quán)制度時，應(yīng)以《個人信息保護法》第45條第3款規(guī)定為基礎(chǔ)，在信用信息相關(guān)法律規(guī)范中具體化信用信息轉(zhuǎn)移權(quán)的規(guī)則，確保個人對本人的信用信息的控制權(quán)，為個人合理利用本人信用信息提供法律保障。

2. 堅持個人信用信息保護與促進“我的數(shù)據(jù)”產(chǎn)業(yè)發(fā)展相平衡的理念

在大數(shù)據(jù)蓬勃發(fā)展的時代，為打破信用信息數(shù)據(jù)“獨食”“獨占”困局，強化數(shù)據(jù)共享給客戶帶來新的更大的福祉，需要發(fā)展“我的數(shù)據(jù)”產(chǎn)業(yè)，在數(shù)據(jù)共享的同時強化對個人信息權(quán)利的保護，實現(xiàn)和諧與雙贏。秉持前述理念，共享和保護兼?zhèn)涞男庞眯畔⒁?guī)制基本內(nèi)容就應(yīng)包括以下幾個方面：

一是對敏感信息的絕對保護。敏感個人信息承載著高度人格尊嚴要素，并與憲法所保障的基本權(quán)利和自由密切聯(lián)系，一旦遭受侵害，損害后果嚴重，因此應(yīng)嚴格控制敏感信息從收集、處理到利用、傳播的全過程，原則上禁止處理。3亦即法律應(yīng)當明確規(guī)定通常情況下禁止處理敏感個人信息，僅僅在有限且法定的例外情形下才能夠進行敏感信息的處理?！秱€人信息保護法》第28條規(guī)定的敏感個人信息，是指“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”，并且規(guī)定了“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息”。依據(jù)該條規(guī)定，信用信息中的特定身份和金融賬戶信息顯然屬于敏感個人信息，應(yīng)對其強化保護。概言之，信息產(chǎn)業(yè)的發(fā)展不能以犧牲個人信息為代價，加強對個人敏感信息的保護并不意味著限制信息的轉(zhuǎn)移，而是在保護個人基本權(quán)利和自由的基礎(chǔ)上促進信息的合法流通和利用。4

二是最大程度利用匿名化信息。根據(jù)《個人信息保護法》第73條第4項的規(guī)定，匿名化是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。其中，在匿名化處理中，對敏感信息進行匿名又最為關(guān)鍵，敏感信息匿名化后就成為脫敏化的信息，也稱為數(shù)據(jù)信息漂白，是指通過脫敏規(guī)則（通常是特定算法）對某些敏感信息進行數(shù)據(jù)的變形和隱藏，并將其轉(zhuǎn)換為虛構(gòu)數(shù)據(jù)，阻斷數(shù)據(jù)挖掘者獲取真正的敏感隱私信息，從而實現(xiàn)對敏感隱私信息的可靠保護。如果在不違反系統(tǒng)規(guī)則的情況下處理和使用實際數(shù)據(jù)，例如身份證號碼、移動電話號碼、卡號、客戶號碼和其他個人信息，則可能就需要對數(shù)據(jù)進行脫敏處理。5依據(jù)《個人信息保護法》第4條有關(guān)個人信息定義的規(guī)定，匿名化處理后的敏感信息就不再屬于個人信息，不再受《個人信息保護法》的規(guī)制。因此企業(yè)須不斷提高匿名化技術(shù)水平，而匿名化處理后的信息發(fā)揮著越來越重要的作用，其經(jīng)濟價值和社會意義也被社會廣泛認可。尤其對于企業(yè)來說，企業(yè)所使用的數(shù)據(jù)并非全是敏感的，對于這類信息，應(yīng)當最大程度地利用，促進大數(shù)據(jù)的未來發(fā)展，實現(xiàn)其社會價值的最大化。1

三是明確信用信息轉(zhuǎn)移權(quán)的內(nèi)涵和外延。作為一種新型的個人數(shù)據(jù)權(quán)利，歐盟在GDPR中創(chuàng)設(shè)的數(shù)據(jù)轉(zhuǎn)移權(quán)賦予“數(shù)據(jù)主體”接收和轉(zhuǎn)移數(shù)據(jù)的權(quán)利，它不僅改善了數(shù)據(jù)主體對自身數(shù)據(jù)的控制，還矯正了數(shù)據(jù)主體與數(shù)據(jù)控制者之間的失衡態(tài)勢。然而，數(shù)據(jù)轉(zhuǎn)移權(quán)的內(nèi)涵和外延仍不明晰，所以需要參考不同國家立法的價值取向、規(guī)制路徑和規(guī)制結(jié)果等，以明確信息轉(zhuǎn)移權(quán)的內(nèi)涵和外延，強化數(shù)據(jù)主體對數(shù)據(jù)的控制權(quán)。2

（二）信用信息轉(zhuǎn)移權(quán)法制化的具體路徑

1. 將“信用信息”納入《民法典》和《個人信息保護法》所規(guī)定的“個人信息”概念之中

我國《民法典》第1034條對于個人信息的定義，沿襲了《網(wǎng)絡(luò)安全法》對于“個人信息”定義的“識別”標準，將可以單獨或者結(jié)合其他信息識別的具有特定自然人的信息，都納入“個人信息”的范圍。在外延列舉上，相較于《網(wǎng)絡(luò)安全法》的規(guī)定，《民法典》中對個人信息內(nèi)容的列舉增加了“電子郵箱、健康信息、行蹤信息”。鑒于新增的三項信息符合業(yè)已建立的個人信息“識別”標準，同時《信息安全技術(shù)? 個人信息安全規(guī)范》也已將上述三項信息納入個人信息的范圍，因此，《民法典》的這一修改不是對個人信息范圍的延伸，而是對數(shù)字時代個人信息范圍的立法確認。此外，隨著個人金融活動網(wǎng)絡(luò)化及征信采集范圍擴大化，個人的信用信息也逐漸具備“識別”個人身份的這一功能，在特定金融及征信領(lǐng)域可以作為反映主體身份的特殊數(shù)據(jù)表達，并具備產(chǎn)生經(jīng)濟效益的實用價值。鑒于我國最高立法機關(guān)的立法慣例和嚴格程序，在短期內(nèi)要修改《民法典》與《個人信息保護法》中“個人信息”的定義，以引入“信用信息”概念，并不具可行性和現(xiàn)實性，通過司法解釋或者法律解釋的方法無疑是最為現(xiàn)實的方案。因而，未來對于《民法典》第1034條第2款所列舉的具體個人信息種類，可以通過對“等”的含義進行擴充解釋，將“信用信息”納入“個人信息”范疇，以明確“信用信息”概念在《民法典》的地位。同理，通過對《個人信息保護法》第4條第1款“個人信息”定義中“各種信息”在文義上進行擴充解釋，明確將“信用信息”納入“各種信息”之中，從而將信用信息轉(zhuǎn)移權(quán)納入《個人信息保護法》的調(diào)整范疇。

2. 以《個人信息保護法》中一般信息轉(zhuǎn)移權(quán)制度作為信用信息轉(zhuǎn)移權(quán)法制化的基本指引

欲構(gòu)建信用信息轉(zhuǎn)移權(quán)的規(guī)制路徑，首先就要明確其規(guī)制目標和方向?！秱€人信息保護法》明確了個人信息轉(zhuǎn)移權(quán)的一般性規(guī)定，以基本法律的形式確立了個人數(shù)據(jù)轉(zhuǎn)移權(quán)的法律地位。同時，《民法典》也確立了個人信息私法保護的基本原則和規(guī)定。從法律體系來看，在個人信息保護領(lǐng)域中，《個人信息保護法》就《民法典》而言屬于特別法，也是新法，應(yīng)當被優(yōu)先適用。因此，對于信用信息轉(zhuǎn)移權(quán)的規(guī)制目標和方向，應(yīng)當以《個人信息保護法》第45條第3款為基本指引。但是，為了保持與《民法典》在個人信息保護（包括個人信息轉(zhuǎn)移權(quán)制度）規(guī)定上的協(xié)調(diào)和統(tǒng)一，減少法律規(guī)定之間的沖突，應(yīng)當處理好數(shù)據(jù)共享與個人信息保護之間的界限與交叉關(guān)系，可以通過對《民法典》（人格權(quán)編）第五章（名譽權(quán)和榮譽權(quán)）與第六章（隱私權(quán)和個人信息保護）相關(guān)規(guī)定進行修改或者予以法律解釋，尤其是要對《民法典》第1037條個人信息決定權(quán)進行修改或者法律解釋，將《個人信息保護法》第45條第3款之個人信息轉(zhuǎn)移權(quán)直接納入《民法典》第1037條之中，從而奠定該權(quán)利接受《民法典》保護和規(guī)制的法律基礎(chǔ)。之后，還有必要審視個人信息轉(zhuǎn)移權(quán)制度與《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》相關(guān)制度協(xié)調(diào)適用的問題，通過修法或者法律解釋的方法解決可能存在的法律沖突。

我國在已經(jīng)確立個人信息轉(zhuǎn)移權(quán)的一般性制度的背景下，應(yīng)從以下幾個方面構(gòu)建和完善信用信息轉(zhuǎn)移法律制度：首先，在個人信息保護的規(guī)則層面，應(yīng)參考借鑒歐盟、美國、英國等地區(qū)和國家的個人信息保護規(guī)則的合理內(nèi)容，不斷完善個人信息保護的合法性原則、信息安全原則、敏感個人信息保護規(guī)則等，持續(xù)提高我國個人信息的保護標準。1其次，在個人信息的利用層面，應(yīng)在《個人信息保護法》中，通過信息敏感度、隱私性等指標，對個人信息（數(shù)據(jù)）按重要程度進行細化分類及處理，從而在個人數(shù)據(jù)轉(zhuǎn)移權(quán)的積極權(quán)能中，對不同種類信用信息的處分和限制范圍加以有效界定，以此來平衡數(shù)據(jù)共享和個人信息保護的交叉部分，進而為數(shù)據(jù)轉(zhuǎn)移權(quán)的規(guī)則制定提供可用的數(shù)據(jù)基礎(chǔ)。最后，在具體制度層面，我國需要在《個人信息保護法》中對個人數(shù)據(jù)轉(zhuǎn)移權(quán)進行詳細的規(guī)定，具體化數(shù)據(jù)轉(zhuǎn)移權(quán)這一權(quán)利，即規(guī)定允許數(shù)據(jù)主體下載個人數(shù)據(jù)，通過此種方式數(shù)據(jù)主體就可以清楚地知道自己被收集了哪些個人數(shù)據(jù)，以及這些數(shù)據(jù)是如何被存儲和處理的，從而增強數(shù)據(jù)主體對個人數(shù)據(jù)的控制力。2

3. 對信用信息的轉(zhuǎn)移所應(yīng)遵循的“知情同意規(guī)則”進行優(yōu)化

在個人信息保護中，知情同意規(guī)則是核心規(guī)則。但是，這一規(guī)則在實際適用中也遇到了一些困境，比如，新冠疫情防控過程中，為抗疫防疫目的而廣泛收集個人信息不可避免，在上述情況下，此類信息的收集很難滿足授權(quán)同意的形式要求和實體要求?？少Y借鑒的是，GDPR規(guī)定了包括個人同意、合同、法定義務(wù)、切身利益、公共利益及合法利益等處理數(shù)據(jù)合法性的六種依據(jù)，此種安排考慮到保護個人信息和維護公眾社會利益這兩項價值觀的平衡問題，故其收集和處理個人信息的法律基礎(chǔ)更加充分。由此可見，在不同領(lǐng)域選取不同的信息共享及保護策略較為可取。因此，我們可以充分利用《個人信息保護法》第13條第1款第2至第7項規(guī)定的處理個人信息不需取得個人同意的規(guī)則，特別是第7項“法律、行政法規(guī)規(guī)定的其他情形”的同意例外規(guī)則，對信用信息利用時個人信息保護中的同意規(guī)則作出修改，比如在信用信息商業(yè)化利用領(lǐng)域中，對于非敏感數(shù)據(jù)的收集階段強化事前明示同意，而在加工、利用、提供階段則要求企業(yè)充分履行事前通知義務(wù)，采取“默示同意、明示退出”的同意方式，如此既能保障信用信息的合理利用又能使信息得到有效的保護。

（三）在征信法律規(guī)范中完善“信用信息”概念，并新設(shè)“信用信息管理業(yè)”制度

在前述征信業(yè)三部法規(guī)中，《征信業(yè)務(wù)辦法》專門就“信用信息”的定義及信用信息的采集、整理、保存、加工、提供、使用和安全作出了規(guī)范，這無疑是我國信用信息業(yè)務(wù)法制化的重大進步。未來，我國要構(gòu)建信用信息轉(zhuǎn)移制度，從而保障信用信息共享相關(guān)行業(yè)的發(fā)展，對此，筆者認為，應(yīng)以征信業(yè)相關(guān)法律規(guī)范為基礎(chǔ)，從完善“信用信息”概念與新設(shè)“信用信息管理業(yè)”規(guī)制制度入手。

1. 完善“信用信息”概念

如前所述，目前僅有《征信業(yè)務(wù)辦法》第3條第2款界定了信用信息概念，它規(guī)定信用信息是指依法采集，為金融等活動提供服務(wù)，用于識別判斷企業(yè)和個人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評價信息。這一概念較《征信業(yè)務(wù)管理辦法（征求意見稿）》（簡稱“征求意見稿”）第3條對信用信息的規(guī)定進行了重大的修改?！墩餍艠I(yè)務(wù)辦法》吸納社會意見優(yōu)化了“征求意見稿”有關(guān)“信用信息”的表述，比如增加了“依法采集”的限定語以突出對征信業(yè)務(wù)的法律規(guī)制意圖，以“基本信息”替代“征求意見稿”的“身份、地址、交通、債務(wù)、財產(chǎn)、支付……等信息”，都是值得稱贊之處。但是，《征信業(yè)務(wù)辦法》放棄了“征求意見稿”關(guān)于信用信息“定義+列舉”的立法模式，3無疑是一種倒退。這是因為，缺少典型信用信息類型的列舉，會使征信業(yè)務(wù)對象信息變得抽象和原則化，不利于信用信息主體主張自己的權(quán)利，進而難以實現(xiàn)個人信用信息保護，也不利于對征信機構(gòu)征信業(yè)務(wù)的規(guī)制。

當然，“征求意見稿”中“信用信息”定義中所列舉的個別信息類型，也是值得商榷的。例如“地址、交通”等信息就很難被認定為信用信息，反倒是一般的隱私信息。未來，我國有必要完善《征信業(yè)務(wù)辦法》中的“信用信息”概念的立法模式：一是回歸到“定義+列舉”的立法方式，先完善定義；二是借鑒前述韓國做法，將信用信息的種類分類為“可以識別特定信用信息主體的信息”“可以判斷信用信息主體的交易內(nèi)容的信息”“可以判斷信用信息主體的信用程度的信息”以及“可以判斷信用信息主體的信用交易能力的信息”等，可以判斷信用信息主體的信用所需的信息作為信用信息種類加以列舉；三是再輔之具體信用信息種類的列舉。采取前述立法模式，能夠很好地實現(xiàn)“信用信息”概念抽象和具體的有機結(jié)合，確保信用信息概念的完善。

2. 確立本人信用信息管理業(yè)態(tài)及其監(jiān)管制度

現(xiàn)行《征信業(yè)務(wù)辦法》只有第四章“信用信息提供、使用”相關(guān)規(guī)定（第21—31條）與本人信用信息管理業(yè)務(wù)的規(guī)制最為相似，但是這些條文僅僅規(guī)定了征信機構(gòu)對信用信息使用者的審查義務(wù)、信用信息使用者使用信息的合規(guī)義務(wù)、信息主體的查詢權(quán)以及征信機構(gòu)的其他義務(wù)等，但并無本人信用信息管理業(yè)和信用信息轉(zhuǎn)移權(quán)的相關(guān)規(guī)定。為此，我國可以借鑒韓國法律的規(guī)定和做法，在《征信業(yè)條例》《征信機構(gòu)辦法》和《征信業(yè)務(wù)辦法》中，在現(xiàn)行征信業(yè)務(wù)種類的基礎(chǔ)上，新設(shè)“本人信用信息管理業(yè)務(wù)”，允許經(jīng)金融機構(gòu)許可的征信機構(gòu)或第三方從事以本人信用信息管理為營業(yè)內(nèi)容的業(yè)務(wù)，并確定相應(yīng)的規(guī)章制度。

首先，應(yīng)當確定本人信用信息管理業(yè)務(wù)的準入制度。此部分需要對《征信機構(gòu)辦法》進行修改，即規(guī)定符合一定條件的征信機構(gòu)或第三方，經(jīng)監(jiān)管機構(gòu)批準方可從事本人信用信息管理業(yè)?？梢栽凇墩餍艡C構(gòu)辦法》中規(guī)定從事本人信用信息管理機構(gòu)的準入條件，包括最低資本金、董事、監(jiān)事、高級管理人員的任職資格、互聯(lián)網(wǎng)技術(shù)人力和物質(zhì)設(shè)備，特別是要有信息安全和金融消費者保護的基礎(chǔ)設(shè)施和系統(tǒng)作為支撐。

其次，確立信用信息管理業(yè)的營業(yè)行為監(jiān)管制度。在實體法方面，一是可在《征信業(yè)務(wù)辦法》中完善營業(yè)行為監(jiān)管制度，需要增加或者明晰相關(guān)主體的誠實信用、信義義務(wù)等；二是明確與違法違規(guī)行為相配套的法律責任，特別是要規(guī)定損害賠償責任。本人信用信息管理業(yè)者要嚴格遵循《個人信息保護法》第57條規(guī)定的個人信息泄露通知義務(wù)和采取補救措施義務(wù)。此外，應(yīng)當在數(shù)據(jù)儲存、傳輸、提供環(huán)節(jié)構(gòu)建數(shù)據(jù)泄露通知制度，使用戶和企業(yè)在面臨數(shù)據(jù)泄露時及時止損和自我調(diào)節(jié)。1在程序法方面，確立對違法違規(guī)行為追責的法律程序，以構(gòu)建當事人信用信息權(quán)利之救濟通道。

最后，應(yīng)當設(shè)立與本人信用信息管理業(yè)相配套的監(jiān)管制度。應(yīng)側(cè)重于對信用信息管理機構(gòu)的信息管理模式、信息提供和使用行為等進行監(jiān)督和管理。在監(jiān)管制度上，需要制定兼具剛性規(guī)制和柔性調(diào)節(jié)的監(jiān)督制度。例如，將行政執(zhí)法和解制度適用于信用信息管理業(yè)，將信用信息管理機構(gòu)的合規(guī)治理情況作為適用執(zhí)法和解程序的條件之一，以激勵企業(yè)的自我規(guī)制功能，同時發(fā)揮行業(yè)自律功能，揚長避短，實現(xiàn)政府規(guī)制和自律規(guī)制的合作。

（四）在征信業(yè)法律規(guī)范中確立信用信息轉(zhuǎn)移權(quán)及業(yè)務(wù)監(jiān)管細則

現(xiàn)有《征信業(yè)條例》僅規(guī)定了同意權(quán)（第13、14條）、知情權(quán)（第15、17條）、異議權(quán)（第25條）、救濟權(quán)（第26條）和重建信用記錄權(quán)（第25條）共5項征信權(quán)利。而《征信業(yè)務(wù)辦法》也只是規(guī)定了同意權(quán)（第23條）、知情權(quán)（第25條）、異議投訴權(quán)（第26條）等權(quán)利，但這兩個法規(guī)均未規(guī)定本人信用信息轉(zhuǎn)移權(quán)。2為了構(gòu)建信用信息轉(zhuǎn)移權(quán)利體系，促進信用信息轉(zhuǎn)移權(quán)的行使和保護，未來我國在修改《征信業(yè)條例》和《征信業(yè)務(wù)管理辦法》時，極有必要確立信用信息轉(zhuǎn)移權(quán)及配套規(guī)定。但需特別指出的是，根據(jù)《個人信息保護法》第45條第3款有關(guān)“符合國家網(wǎng)信部門規(guī)定條件”的規(guī)定，中國人民銀行在推動制定信用信息轉(zhuǎn)移權(quán)制度時，應(yīng)與國家網(wǎng)信部門協(xié)商后制定。

1. 確定信用信息使用者和轉(zhuǎn)移者的范圍及判定方式

信用信息的主要使用場景多集中于金融活動與針對個人的征信識別過程。如前文所述，個人信用信息的使用者和儲存者擔負著維護個人私權(quán)利和社會利益雙重利益的義務(wù)，所以應(yīng)當具備相應(yīng)的從業(yè)資質(zhì)。如果允許非征信或金融相關(guān)企業(yè)收集完整的信用信息，一旦這些信息被利益相關(guān)企業(yè)不法交易或使用，就難以保證個人的信用信息安全。

因此，對于信用信息接收主體的準入條件，可以借鑒韓國《信用信息利用與保護法》的相關(guān)規(guī)定，規(guī)定信用信息的接收者應(yīng)符合以下條件：其一，接收者應(yīng)從事信用信息行業(yè)；其二，該類主體應(yīng)具備特殊的行政許可，亦即符合特殊的準入條件；其三，其營業(yè)內(nèi)容應(yīng)為收集和評價用戶個人的信用信息；其四，信用信息的收集應(yīng)基于用戶本人同意。這些條件中，“基于用戶的同意”最為復(fù)雜。對此，筆者認為，應(yīng)當規(guī)定企業(yè)提供一個選項供客戶自主選擇，“默示同意、明示退出”，如果客戶不愿意接受，可以主動明示。此種制度設(shè)計既有利于客戶信息的保護，又有助于促進企業(yè)對信用信息的利用。

2. 限定可轉(zhuǎn)移信用信息的種類及范圍

個人信息主體確定其本人信用信息的前置條件是本人的同意。在此基礎(chǔ)上，應(yīng)按照前文所述，應(yīng)依據(jù)信息的私密性和敏感性對信息進行分類，對敏感信息和脫敏信息選取不同的處理方式，從而確保對個人基本隱私信息的保護。

在限定可轉(zhuǎn)移信用信息的種類及范圍時，也可借鑒韓國法中由總統(tǒng)令確定的做法，在征信法律規(guī)范中明確可轉(zhuǎn)移的信息種類和范圍。從韓國《信用信息利用與保護法》及其總統(tǒng)令的規(guī)定可以看出，對于可要求轉(zhuǎn)移的信用信息的一般種類，必須是信息主體個人給予或本人信用信息管理機構(gòu)收集的一手信息，或者是由于信息系統(tǒng)內(nèi)部產(chǎn)生的原生權(quán)利義務(wù)信息，同時禁止信用信息在個人不知情的情況下被使用者和收集者二次傳輸。因此，我國也可借鑒前述韓國的做法，在征信法律規(guī)范中規(guī)定可用于轉(zhuǎn)移和利用的信用信息種類與范圍，具體包括：一是信息主體直接授權(quán)或同意的信息；二是各個信用信息主體與提供者、使用者之間因先前權(quán)利義務(wù)關(guān)系所產(chǎn)生的信息；三是由計算機等信息處理裝置進行處理的信息；四是信用信息提供者和使用者等非基于信用信息生成和加工的信息。

3. 確定用于可轉(zhuǎn)移信用信息的處理技術(shù)手段及方式

為促進信用信息的合理利用，征信機構(gòu)或第三方應(yīng)加強技術(shù)研發(fā)，提高信用信息脫敏化或匿名化技術(shù)水平，使得更多的脫敏數(shù)據(jù)或匿名化數(shù)據(jù)的轉(zhuǎn)移以推動金融業(yè)發(fā)展。同時，為了便于信息主體個人在多個征信機構(gòu)和金融機構(gòu)中了解本人信用信息數(shù)據(jù)，還應(yīng)當對多個信用信息傳輸和存儲機構(gòu)之間的信息編碼技術(shù)手段進行統(tǒng)一規(guī)定。例如，采取通用的編碼技術(shù)，統(tǒng)一信用信息共享及等級評價標準，從而確保信息主體個人對于授權(quán)范圍內(nèi)的信用信息可隨時查閱，以促進信用信息轉(zhuǎn)移權(quán)益的實現(xiàn)。

（五）構(gòu)建信用信息轉(zhuǎn)移權(quán)遭受侵害的私力救濟措施

信用信息轉(zhuǎn)移權(quán)的核心是個人對本人信用信息的知悉、處分進而控制的權(quán)利。在私法視域下，信用信息轉(zhuǎn)移權(quán)應(yīng)當作為一項財產(chǎn)權(quán)利，因此，對于此項權(quán)利的具體處分應(yīng)包括信用信息的發(fā)送、允許公開、撤回、撤銷、不予公開的情形等，應(yīng)當在征信法律規(guī)范中予以具體規(guī)定，甚至在《個人信息保護法》規(guī)定這些權(quán)利內(nèi)容。從域外規(guī)定來看，韓國《信用信息利用與保護法》規(guī)定信用信息提供者和使用者在不能確定信用信息主體是本人的情況下，享有拒絕傳輸要求或停止、中斷傳輸?shù)臋?quán)利。我國國家網(wǎng)信部門可以借鑒韓國前述原則性規(guī)定，確立信用信息轉(zhuǎn)移權(quán)的實施細則，特別是對轉(zhuǎn)移要求的方法、撤回轉(zhuǎn)移要求的方法及拒絕或停止、中斷的方法及具體實施日期等作出詳細規(guī)定，以確保信息主體的私力救濟的實施。

結(jié)? ? 語

受篇幅所限，本文僅僅研究了個人信息轉(zhuǎn)移權(quán)制度應(yīng)用于金融業(yè)發(fā)展這一種商業(yè)模式，且只是對信用信息轉(zhuǎn)移及其規(guī)制的基本理論、路徑及制度框架進行了探討。借鑒域外經(jīng)驗，通過完善我國相關(guān)法律制度，未來個人信息轉(zhuǎn)移權(quán)制度應(yīng)當進一步推廣應(yīng)用于醫(yī)療保健、觀光、交通、信息通訊、市場營銷、化學等諸多領(lǐng)域。但該權(quán)利的應(yīng)用需要結(jié)合具體場景，還要防止不正當競爭與惡性競爭，結(jié)合企業(yè)與用戶的合法權(quán)益確定是否賦予以及在何種程度上賦予該權(quán)利。1同時，在確立具體產(chǎn)業(yè)、具體場景的個人信息轉(zhuǎn)移權(quán)制度及其實施細則時，均應(yīng)秉持系統(tǒng)論立法思想。在法規(guī)內(nèi)容方面，需處理好個人信息轉(zhuǎn)移權(quán)在《個人信息保護法》《民法典》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》中的規(guī)定與相關(guān)行政法規(guī)和規(guī)章法律條文的協(xié)調(diào)、統(tǒng)一、銜接和配套；在立法部門協(xié)作方面，要處理好中央行業(yè)監(jiān)管機構(gòu)與國家網(wǎng)信部門、司法部、公安部等中央部委關(guān)于個人信息轉(zhuǎn)移權(quán)立法的權(quán)限分工，使其形成合力構(gòu)建個人信息合理共享和保護的工作格局。信息轉(zhuǎn)移權(quán)作為數(shù)據(jù)共享的一項新興的基礎(chǔ)性信息權(quán)利，其法制化進程也應(yīng)當與時俱進，以個人信息的合理利用和保護為指引，適時地推進我國信息轉(zhuǎn)移權(quán)利產(chǎn)業(yè)應(yīng)用的創(chuàng)新發(fā)展，為數(shù)據(jù)共享助力產(chǎn)業(yè)發(fā)展提供法制保障。