岁末年初,征信领域重磅动态不断。1月11日,央行官网发布《征信业务管理办法(征求意见稿)》(以下简称《办法》)。《办法》共7章45条,从信用信息定义、采集、整理、保存、加工、提供、使用、安全、监督管理等多个方面作出详细规定。在分析人士看来,此次《办法》对一些概念不清晰的问题进行了规范, 2021年也将成为个人征信合规、蓬勃发展的重要年份,预计后续将有更多市场化机构积极参与申请个人征信牌照,在坚持合规的基础上稳健前行。
划清信用边界
数字经济时代下,征信业务边界亟待划清。
央行称,此次《办法》是依据《征信业管理条例》,并结合征信业务发展的实际而起草,主要在数字经济时代背景下,为提高征信业务活动的透明度,保护信息主体合法权益,推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用。
一直以来,不少人士对信用信息边界含糊不清,而此次《办法》则首先明确了信用信息的定义,即为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。
《办法》同样对征信业务作出了明确规定。从事征信业务及其相关活动,应当依法保护信息主体合法权益,保障信息安全,防范信用信息泄露和滥用;从事征信业务及其相关活动,应当遵循独立、客观、公正的原则,不得作出有违社会公序良俗的歧视性安排,不得借助优势地位提供排他性服务。
值得一提的是,根据《办法》,“利用个人信用信息对个人作出的画像、评价等业务”都属于征信业务;此外,《办法》起草说明同样提出,当前实践中,利用信用信息对个人或企业作出的画像、评价等业务界定为征信业务,属于《办法》的约束范围。
在多位分析人士看来,从《办法》征信业务划线来看,当前一些大型互联网平台企业从事的个人信息服务,也将被纳入征信监管范畴。
此外,一位不愿具名的业内人士也指出,目前,一些大数据公司利用互联网或者移动终端等渠道采集个人信息,这些行为之前都游离在监管之外,在数据安全跟隐私保护方面很难做到依法合规。这次《办法》其实也是进一步明确红线,规范行业发展的一个举措。
可以预见的是,对信用信息和征信业务作出明确规定后,使得征信监管有法可依。正如中国并购公会信用管理专业委员会常务副主任刘新海指出,此次《办法》对一些概念不清晰的问题进行了规范,也促进征信市场的健康发展,无论是对企业还是个人,都有望更好地保护数据主体的权益,有利于数据安全。
遵循 “最少、必要”原则
除了明确信用信息边界外,此次《办法》也从保护个人和企业合法权益角度,对信用信息采集、整理、保存和加工进行了规定。
其中要求,征信机构采集信息遵循 “最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等,采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。
同时,《办法》规范了信用信息的使用,保障用于合法目的。要求信息使用者使用个人信用信息应当用于合法、正当目的,不得滥用;征信机构提供信用信息查询、信用评价、信用评级、反欺诈服务等不同种类征信业务时,应当遵循相应的业务规则。
北京商报记者注意到,对于信息采集的红线,《办法》也有明确。具体来看,包括征信机构不得以欺骗、胁迫、诱导的方式采集;不得以向被采集的个人或企业收费的方式;不得从非法渠道采集;不得以其他侵害信息主体合法权益的方式。
“当前市场上不乏一些未经授权查询个人信息、非法出售个人信息的行为,这些都会扰乱行业正常健康地发展,同时也对个人隐私保护造成了较大的伤害。”前述业内人士指出,通过设立行业底线,包括从信息的收集、整理、加工、对外提供全流程上进行规范,将有助于促进行业的发展。
“事实上,最近一次央行年度工作会议也明确了个人征信业务必须持牌经营,为的也是保证个人征信服务的第三方独立性、客观性,同时也能够保障数据安全和个人隐私保护。”上述业内人士谈道。
值得注意的是,目前,信息安全、隐私保护领域乱象不止,如违规收集与使用信息,强制、频繁、过度索取用户权限,欺骗误导用户主体下载App等。在金融科技行业专家苏筱芮看来,此次《办法》,对信用信息的采集、整理、保存、加工、使用等多个方面作出规定,有助于规范征信机构信用信息采集方式,对客户主体充分履行告知义务,也有利于保护金融消费者的合法权益。
苏筱芮进一步提出,征信业属于金融业范畴,而金融业作为数据密集型行业,更需要加强对数据、对信息的防护,她认为,此次《办法》的公布,实则也有助于数据治理与数据规范,能够为后续数据确权乃至推动完善数据流转和价格形成机制打下坚实基础。
有望破局跨境流动
引发关注的是,此次《办法》对信用信息安全和跨境流动也作出了明确规定。
包括从内控制度、软硬件设备、人员管理等方面要求征信机构做好信息安全工作,建立应急和报告制度。向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供。
同时强调,国内开展征信业务及相关活动,生产数据库、备份数据库应设在中国境内。征信机构若向境外提供个人信用信息,应当符合国家法律法规的规定。
其中包括:征信机构向境外提供企业信用信息查询服务,应当审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供;征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者;征信机构向境外提供企业信用信息的,应当向央行备案。
此外, 征信机构若与境外征信机构合作的,应当在合作协议签署后向央行备案。
在苏筱芮看来,《办法》对规范跨境征信业务进行了重要规范指导,有望从源头上防范跨境非法信息贩卖的风险。
机构蜂拥征信牌照申请?
为了此次《办法》,央行曾开展长达五年的调研起草工作。
央行称,《征信业管理条例》颁布实施以来,我国征信业进入快速发展的数字征信时代,征信新的业态不断涌现,但由于缺乏明确的征信业务规则,导致征信边界不清、信息主体权益保护措施不到位等问题不断出现。为提高征信业务活动的透明度,保护信息主体合法权益,推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用。
早在2016年,央行就成立了专门起草工作组,先后到多家征信机构、金融机构进行现场调研,了解征信业务开展的具体操作流程,借鉴参考国外征信业务的相关管理经验,广泛征求和听取相关部委、外部专家、征信机构、金融机构、人民银行分支机构的意见和建议。
各方普遍认为,征信进入新时代,面临新挑战,出台《办法》十分必要,并且时机已经成熟,建议加强对信用信息的采集、加工、对外提供等各个环节进行监管,保护信息主体合法权益、增加征信有效供给,实现征信业的高质量发展。
苏筱芮评价道,总体看,《办法》从适用主体、适用范围、信用信息定义、采集方式、整理保存加工方式、提供使用方法、信用信息安全、监督管理等方面对征信业务活动及信用信息使用的全流程进行指导与规范,一方面能够完善征信相关的监管框架,另一方面也有助于机构回归征信业务本源,便于机构遵照执行,提升业务经营的合规性,有助于征信业健康、可持续发展。
苏筱芮预测称,2021年将成为个人征信合规、蓬勃发展的重要年份。预计后续将有更多市场化机构积极参与申请个人征信牌照,恪守信息安全、隐私保护等监管要求,与数据规范、数据治理、金融消费者权益保护等工作结合起来,在坚持合规的基础上稳健前行。
北京商报记者 岳品瑜 刘四红
(李佳佳 HN153)