什么是个人征信？

　　个人征信的法律构造：基于《征信业管理条例》的规范分析

　　一、引言：信用权的法律界定

　　个人征信，从法律视角观察，并非简单的信息收集行为，而是一整套涉及信息采集、处理、提供、使用的权利义务规范体系。其核心法益是信息主体的信用权——一种独立于名誉权、隐私权的新型人格权与财产权复合体。

　　我国个人征信法律体系以《征信业管理条例》（以下简称《条例》）为基本法，《民法典》《个人信息保护法》《网络安全法》构成上位法约束，中国人民银行系列规章及规范性文件形成具体操作规范。本文基于上述法律渊源，对个人征信的法律内涵、主体架构、权利配置与义务边界进行体系化阐释。

　　二、法律定义与规范属性

　　《条例》未直接定义“个人征信”，而是通过规范对象进行界定。第二条第一款规定：“本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。”

　　据此，个人征信的法律构成要件包括：

　　第一，信息类型特定性。征信活动处理的必须是“信用信息”。国家标准化委员会《信用基本术语》（GB/T 22117-2018）将信用信息界定为“反映信息主体信用状况的信息”。实践中，信贷信息、履约信息、公共事业缴费信息等具有预测还款意愿和能力的信息属于典型信用信息；而种族、信仰、基因、性取向等敏感个人信息原则上不得纳入征信范围。

　　第二，活动链条完整性。征信覆盖从采集到提供的全流程，任何单一环节均受《条例》规制。仅采集而不提供构成征信活动；仅加工而不采集亦构成征信活动。这一宽泛界定使得大量数据服务商被纳入监管范畴。

　　第三，主体资格限制性。从事个人征信业务须持牌经营。《条例》第七条规定：“设立经营个人征信业务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件，并经国务院征信业监督管理部门批准。”未经批准擅自从事个人征信业务，构成行政违法乃至刑事犯罪。

　　三、征信主体法律位阶：三足鼎立格局

　　现行法律框架下，个人征信机构呈现三重结构。

　　第一层级：国家金融信用信息基础数据库。即中国人民银行征信中心。其法律地位特殊：不以营利为目的，运行依据是《民法典》《中国人民银行法》而非完全适用《条例》。该数据库法定采集范围限定于信贷信息，接入主体为持牌金融机构。其信息具有准官方属性，在司法实践中被人民法院采信为高度盖然性证据。

　　第二层级：市场化个人征信机构。目前仅百行征信、朴道征信、钱塘征信三家持牌。法律定位是“市场化个人征信机构”，区别于央行征信中心的行政属性。其采集范围扩展至非信贷替代数据，如电信缴费、公用事业、电商交易等，但必须获得信息主体明确授权。

　　第三层级：信用评级机构。仅对企业开展评级，不得对个人进行信用评分并向公众提供。实践中部分互联网平台的“信用分”若仅用于自身风控，不向第三方提供，则不属于《条例》规制；若对外输出，则涉嫌非法从事个人征信业务。

　　四、信息主体的权利谱系

　　《条例》设专章规定信息主体权利，构建了“知情—异议—更正—删除”的权利链条。

　　（一）知情权

　　《条例》第十五条规定：“信息提供者向征信机构提供个人不良信息，应当事先告知信息主体本人。”此为“事前知情”的核心条款。实践中，商业银行在报送逾期记录前，须通过短信、函件等方式告知借款人，未履行告知程序的报送行为具有程序瑕疵。

　　第十七条赋予信息主体“每年两次免费获取本人信用报告”的权利。此处的“信用报告”指征信机构出具的、记录信息主体全部信用信息的正式文件。超出两次的查询，可按成本价收取费用。

　　（二）异议权

　　第二十五条规定信息主体认为信用报告存在错误、遗漏的，有权向征信机构或信息提供者提出异议。接收方应当在20日内进行核查处理并书面答复。异议处理期间，征信机构应当对异议信息予以标注。

　　此权利具有程序强制性。征信机构不得以“信息由报送方负责”为由推诿核查。司法实践中，征信机构怠于履行异议核查义务，导致信息主体名誉受损、信贷被拒的，构成侵权。

　　（三）更正权

　　与异议权紧密关联。经核查确认信息确有错误的，征信机构应立即更正；属于信息提供者报送错误的，后者应当向征信机构发送更正报文，征信机构同步更新。更正具有溯及力，错误信息被纠正后，信息主体有权要求征信机构向近六个月查询者发送更正通知。

　　（四）删除权

　　第十六条规定：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。”此为绝对性规定，不得通过任何形式延长。

　　实践中争议较多的是“不良行为终止之日”的认定。以贷款逾期为例：债务人于2026年2月15日清偿全部逾期本息，则不良信息应于2031年2月15日删除，而非从首次逾期日计算。删除范围包括逾期金额、逾期时长、担保人代偿记录等所有负面信息。

　　五、征信机构与信息使用者的法律义务

　　（一）征信机构的核心义务

　　采集限制义务。禁止采集个人宗教信仰、基因、指纹、血型、疾病和病史信息。采集收入、存款、有价证券、商业保险、不动产信息，须明示且经信息主体书面授权。

　　安全保护义务。征信机构是网络安全法界定的“关键信息基础设施运营者”，须通过等保三级测评，核心系统不得部署于境外，个人信息出境须通过安全评估。

　　客观中立义务。征信机构不得对个人信用状况作出评价，只能客观呈现事实信息。是否“信用良好”由信息使用者自行判断，征信机构仅提供原始数据。

　　（二）信息使用者的法律约束

　　《条例》第十八条规定：“向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。法律规定可以不经同意查询的除外。”

　　此处的“用途限制”具有法律约束力。使用者取得信用报告用于信贷审批，不得用于背景调查、婚姻匹配等无关用途。超出约定用途查询使用，构成违约及侵权。

　　信贷机构查询个人信用报告，须基于“授权—查询”一对一模式。部分金融机构在合同中设置概括授权条款，被监管部门认定为“未获得有效授权”。合规做法是每笔查询均单独取得明确授权。

　　六、法律责任与救济路径

　　（一）行政责任

　　征信机构违反《条例》规定，由中国人民银行及其派出机构责令限期改正，对单位处5万元以上50万元以下罚款，对直接责任人处1万元以上10万元以下罚款；情节严重者，吊销个人征信业务许可证。

　　2021年，某头部征信机构因未经授权查询、未按规定报送不良信息、异议处理超期等问题被央行罚款逾千万元，创行业罚单纪录。

　　（二）民事责任

　　《民法典》第一千零二十九条规定：“信用评价不当，侵害民事权益的，信息主体有权提出异议并请求采取更正、删除等必要措施。”

　　司法实践中，征信侵权案件主要适用人格权侵权责任构成。原告须证明：存在失实或违法采集的信息；该信息被第三人知悉；造成名誉贬损或财产损失；侵权行为与损害后果具有因果关系。被告可举证信息属实、采集程序合规、已履行异议处理义务等进行抗辩。

　　赔偿范围包括直接经济损失（如因错误征信被拒贷产生的利息损失）及精神损害抚慰金。2023年北京互联网法院判决某征信机构错误关联他人不良信息，致原告购房失败，赔偿精神损害抚慰金3万元。

　　（三）刑事责任

　　《刑法》第二百五十三条之一侵犯公民个人信息罪：向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　征信机构及其工作人员出售、非法提供个人信用信息，属法定从重情节。2020年某消费金融公司员工售卖征信报告上千份，被判处有期徒刑四年并处罚金。

　　七、特殊法律问题释要

　　（一）担保人信息报送规则

　　为他人债务提供担保，担保合同签约即构成或有负债。债务逾期时，担保人代偿前，征信记录是否应体现逾期？现行规则是：债务逾期超过90天，金融机构可报送“担保人代偿关注类”信息；代偿发生后，该笔债务在担保人名下转为次级类或可疑类。此规则争议较大，担保人往往在不知情状态下被登记不良。

　　（二）征信修复的法律定性

　　市场上“征信修复”“铲单”等广告泛滥。从法律角度观察：信用报告如实反映信贷历史，非经法定程序不得删除或篡改。所谓的“修复”，要么是骗取信息主体钱财后失联，要么是通过恶意投诉、伪造证明材料等非法手段干扰征信系统运行。后者涉嫌伪造国家机关公文、印章罪或诈骗罪。监管部门已明确：“任何声称付费删除不良信息的均为诈骗。”

　　（三）诉讼时效与征信记录

　　有观点认为，超过诉讼时效的债务不应继续报送征信。此认识不准确。诉讼时效经过，债权人丧失胜诉权，但债务本身并未消灭。已实际发生的逾期信息，仍属客观事实，征信机构可继续保存至5年期满。但金融机构以超过时效债务为由持续报送“当前逾期”状态，缺乏正当性。

　　八、代结论：作为基础设施的征信制度

　　个人征信已从纯粹的信用信息服务演变为社会信用体系的基础设施。其法律属性兼具私益与公益：对信息主体而言，是人格尊严与财产利益的载体；对社会整体而言，是防范系统性金融风险、降低交易成本、培育契约精神的制度工具。

　　当前法律框架下，个人征信的核心矛盾是信息利用与权益保护的平衡。一方面，信贷决策需要充分、准确、及时的信用信息；另一方面，信息主体对自身信息的控制权、异议权、删除权必须得到刚性保障。这一张力将伴随数字技术渗透、替代数据拓展、跨境流动需求而持续存在。

　　值得期待的是，《社会信用体系建设法》已列入立法规划。未来征信法律体系将从行政法规为主提升至法律位阶，信息采集边界、跨境传输规则、异议处理司法救济程序等核心制度有望进一步完善。在此之前，《征信业管理条例》构筑的规范体系，仍将是中国个人征信活动不可逾越的法律红线。