第一千零三十条
民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。
一、本条主旨
本条是关于信用信息法律保护的规定。
二、条文演变
《民法典人格权编(草案)(征求意见稿)》第38条规定:“民事主体与依法可以收集或者持有其信用的征信机构等信用信息收集人、持有人之间的关系,适用本编有关个人信息的规定和其他法律、行政法规的相关规定。”《民法典各分编(草案)》第809条将“收集和持有”改为“收集和存储”。《民法典人格权编(草案)(二审稿)》第809条对《民法典各分编(草案)》作了进一步修改,删除“依法可以收集或者存储其信用信息的”的表述。《民法典人格权编(草案)(三审稿)》第809条将“持有者”改为“控制者”。最终,《民法典》将“持有者、控制者”改为“处理者”。后者指的是从事信息处理的主体,所谓“信息处理”活动,含义最为广泛,包括对个人信息的收集、存储、加工、转让等活动都是对个人信息的处理活动。在这种意义上采用“处理者”的概念能够更加广泛地涵盖个人信息处理的所有环节,也更方便和有关个人信息保护的规定进行对接。
三、条文解读
本条是关于民事主体与信用信息处理者之间关系适用法律的规定。关于信用权和信用权人与信用信息处理者之间的关系,民法典除在第1029条作出规定之外,没有作进一步规定。由于信用权人和信用信息处理者之间的权利义务关系与个人信息权人和个人信息处理者的权利义务关系基本相同,因此民法典规定准用条款,准用第四编“人格权”有关个人信息的规定,以及其他法律、行政法规的有关规定。其他法律如《网络信息安全法》《关于加强网络信息安全的决定》等,最重要的是正在制定的“个人信息保护法”,以及国务院关于保护个人信息的行政法规的规定。
信用信息处理者处理信用信息准用的法律规定,在民法典中有第1035条规定的个人信息处理的原则和条件,第1037条规定的处理个人信息免责事由,第1036条关于个人信息主体的权利,第1038条规定的信息处理者的信息安全保障义务等。
四 案例
王某某诉张某某、某省工程高等职业学校、某银行股份有限公司南京分行、某银行股份有限公司信用卡中心侵权纠纷案
案情:张某某拣到王某某的身份证,在未经王某某同意的情况下,擅自利用王某某的身份证,同时伪造了王某某的收入证明,向某银行股份有限公司南京分行职员孙某提交了信用卡申请资料。某银行股份有限公司信用卡中心批准并发放了户主为王某某的涉案信用卡。次年,张某某用涉案信用卡恶意透支,致使王某某的姓名被列入银行不良信用记录。王某某得知后向公安机关报案并起诉。法院认为:张某某在拣到王某某遗失的身份证后,以王某某的姓名申请办理信用卡,其行为即属于盗用、假冒他人姓名、侵犯他人姓名权的民事侵权行为。同时,张某某的行为导致王某某的名誉受到损害的结果仍是张某某侵犯王某某姓名权的行为所导致的损害后果,张某某的行为不属于以虚构事实或其他侮辱、诽谤、贬损他人人格的手段侵犯他人名誉权的行为。某银行股份有限公司信用卡中心在涉案信用卡申办、发放过程中没有尽到合理审查义务,对于王某某被侵权的后果具有过错,应当承担相应的法律责任。
五 解 析
本案裁判于民法典生效之前,对信用权的保护也是采取保护其他具体人格权的方式予以间接保护的。本案将假冒他人姓名办理信用卡并恶意透支,给他人名誉造成损失的行为,认定为侵害姓名权的行为,确认了将信用权保护纳入姓名权保护的裁判方法,与前案通过保护名誉权来间接保护信用权的裁判思路有所不同。这两起经典案件的裁判差异,表明大陆司法实践中关于对信用利益本身的保护持肯定态度,但是对于保护信用利益的实现路径因没有明确立法请求权基础而观点有所差异。民法典生效后,第1029条与第1030条应为民事主体的信用利益保护提供裁判指引。就类似本案案情的案件而言,可以适用民法典第1029条关于信用评价的规定,并通过第1030条关于民事主体与信用信息处理者之间关系的法律适用的有关规定,认定侵害信用权的成立。