2023年是《征信业管理条例》颁布实施十周年。十年来,伴随着征信业规范有序发展、社会征信体系建设取得重大成就,征信业的法律合规体系基本建立。
2023年也是对征信业影响深远的《数据安全法》《个人信息保护法》《征信业务管理办法》颁行后的第三个年度。2021年开始,国家法律层面关于数据治理的三法架构开始形成,与之配套的各项制度措施全面落地;而2021年颁布并于2022年实施的《征信业务管理办法》也给征信业提出了全新的系统性合规要求,其所要求的整改过渡期于本年度截止。
2023年,征信机构适应新规的合理过渡期已结束,系统性监管力度日益加强,准入门槛标准更为清晰,新增牌照数量已稳定可控,“断直连”等行业焦点问题引发热议。
二、年度立法
·数据二十条
数据二十条不仅正面回答了“数据如何获取、产品如何打造、服务为谁赋能”等决定征信业未来发展的基础问题,而且就三类数据采集使用、征信产品及服务的交易方式、收益共享方式等提供了合规边界及弹性空间。整体而言,数据二十条为征信业指明了积极乐观的前景方向,在2023年初成为行业热点话题。但是数据二十条作为政策导向文件,还需要在具体法律规范及制度中予以落实,在短期内不会产生直接影响,但长远来看,它对征信业的定位布局和发展具有重要意义。
·《全国公共信用信息基础目录(2022年版)》和《全国失信惩戒措施基础清单(2022年版)》
2023年1月4日,国家发展改革委、人民银行发布的《全国公共信用信息基础目录(2022年版)》和《全国失信惩戒措施基础清单(2022年版)》,是体现我国社会信用体系建设法治化、规范化、防止失信惩戒措施滥用的规范性文件。该文件原则上按年度更新,以清单管理的方式规范界定公共信用信息纳入范围、失信惩戒措施种类及其适用对象。该文件同时也是中国规范性法律文件中涉及信用惩戒及管理法律条款的年度汇编更新。
·《失信行为纠正后的信用信息修复管理办法(试行)》
2023年1月17日,国家发改委发布《失信行为纠正后的信用信息修复管理办法(试行)》,自2023年5月1日起施行。
该办法包括总则、信用信息修复的主要方式、严重失信主体名单信息的修复、行政处罚公示信息的修复、信用信息修复的协同联动、信用信息修复的监督管理与诚信教育、附则七章共三十二条,明确信用信息修复的方式包括移出严重失信主体名单、终止公示行政处罚信息和修复其他失信信息;尚未建立信用信息修复制度的领域,由国家公共信用信息中心受理修复申请。
·《中国人民银行业务领域数据安全管理办法(征求意见稿)》
该办法将数据“三法”(网络安全法、数据安全法、个人信息保护法)与金融行业规范有机结合,就数据分类分级、数据安全保护总体要求、数据处理活动全流程安全合规、风险监测、评估审计与事件处置等合规要求进行了规定,并定位为其适用范围内数据处理活动的一般性、兜底性安全合规底线。
该办法中关于隐私政策协议、非直接获取数据等数据收集保护管理措施要求,信息系统界面展示等数据使用保护管理措施要求等内容,确立了征信行业的日常作业的具体合规标准。
·《征信投诉办理规程(征求意见稿)》
2023年8月16日,中国人民银行就修订后的《征信投诉办理规程(征求意见稿)》向社会公开征求意见,意见反馈截止日期为2023年9月15日。本次修订在现行《征信投诉办理规程》框架基础上,系统梳理并优化征信投诉办理工作流程,规范基层央行投诉办理行为。征求意见稿增加信息主体投诉便利性,如界定投诉对象、公开投诉渠道、身份核验要求等;统一投诉受理标准,同时新增了材料审查、投诉暂停、投诉终止、合并办理等条款,规范统一了答复及告知文书;征求意见稿包括统一投诉受理权与管辖权,引导信息主体正确维权等方面的内容。
该规程尚未正式定稿及颁行,但其更新的投诉受理标准、办理程序要求、处理路径等,应由征信机构、信息提供者、信息使用者提前予以研究,并在正式颁行时对自身的投诉处理机制进行同步更新。
·信用工具成为促进民营经济发展的重要抓手
2023年7月28日,国家发展和改革委员会,工业和信息化部,财政部,科学技术部,中国人民银行,国家税务总局,国家市场监督管理总局,国家金融监督管理总局发布《关于实施促进民营经济发展近期若干举措的通知》,提出引导商业银行接入“信易贷”、地方征信平台等融资信用服务平台,强化跨部门信用信息联通。扩大民营企业信用贷款规模。
2023年9月15日,市场监管总局印发《市场监管部门促进民营经济发展的若干举措》,推出深入推进企业信用风险分类管理、强化信用约束激励、深入开展信用提升行动、推动企业信用同盟常态化运行等系列“信用”措施。
上述文件表明包括征信服务、信用管理、失信惩戒等信用工具已成为促进民营经济发展以至提振整体经济形势的重要抓手。
·《规范和促进数据跨境流动规定(征求意见稿)》
《数据出境安全评估办法》《个人信息出境标准合同办法》施行以来,申请数据出境安全评估、个人信息出境标准合同备案的项目通过率并不高。
征信数据的安全有序跨境流动是降低国内企业跨境交易风险、促进来华贸易及投资的重要保障措施,但也面临重要数据识别、个人信息保护的严格监管。当前仅有两家涉征信数据类项目通过,即2023年6月北京德亿信数据有限公司通过个人信息出境标准合同备案、及2023年11月海南邓白氏数据科技有限公司通过数据出境安全评估。
国务院于7月25日发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》,明确提出“探索便利化的数据跨境流动安全管理机制”。2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(“数据跨境新规征求意见稿”)。该拟议中的新规对于当前实施的数据出境规范进行了灵活性调整,包括降低了企业对重要数据的识别负担,豁免了订立履行合同、人力资源管理等跨国企业日常运营所涉数据出境事项的前置监管机制;允许自由贸易试验区可自行制定负面清单(清单外数据可自由出境)等措施。
·《关于规范招标投标领域信用评价应用的通知》
该通知进一步规范了招投标领域的信用评价业务。
·国家知识产权局关于代理机构信用评价管理的两项文件
国家知识产权局于2023年3月31日发布《专利代理信用评价管理办法(试行)》,于2023年12月18日发布《关于开展商标代理信用评价管理试点工作的通知》。上述文件对于国家知识产权局所主管的知识产权代理机构信用评价管理进行了规范,表明信用评价管理正在成为各行业主管部门熟练运用的监管工具之一。
·《市场监督管理投诉信息公示暂行规则》
2023年9月26日,市场监管总局发布《市场监督管理投诉信息公示暂行规则》。该规则旨在减少消费市场信息不对称,强化消费领域社会监督,规定所有消费投诉信息,无论经营者是否违法、投诉是否和解都将由全国12315投诉信息公示平台主动公示。
·财政部关于数据资产入表的规范
数据资产是征信机构核心资产之一。数据资产管理运营本身就是征信机构的基本运营内容。新年伊始,数据资产入表的具体实践以及数据资产管理将成为征信机构的重要合规事项。
三、年度执法
·征信类行政处罚数据统计
公开数据显示,2023年内共发生因违反征信业法律规范而进行的行政处罚共146项,其中人行总行下达的行政处罚4项,其余为人行各分支机构做出。
针对机构的行政处罚共113项,处罚内容为罚款、警告;其中处罚对象为银行业金融机构的105项,处罚对象为征信机构的8项。另有33名自然人因对所在机构征信违法行为承担责任而被处以罚款或警告的行政处罚。
·针对银行业金融机构的涉征信行政处罚分析
被处罚的银行业金融机构规模类型多样,既有知名的股份制商业银行,也有区域性村镇银行、信用合作社。被处罚金融机构违法行为类型均与金融信用信息基础数据库(“人行征信系统”)的信息使用、提供及异议程序有关,主要包括:违反征信安全管理要求;提供个人不良信息未事先告知信息主体本人;未经同意查询个人信息或企业的信贷信息;未按照规定对异议信息进行标注;征信异议处理超期等。
·针对征信机构的行政处罚分析
1.本年度出现了因违反《征信业务管理办法》新规而出现的首张张罚单。
《征信业务管理办法》自2022年1月1日起施行,就征信业务提出了全新的系统性合规要求。该办法第三十一条规定了三类产品(信息报告、信用评价、反欺诈)应向向中国人民银行或其省会(首府)城市中心支行以上分支机构报告的义务,第四十二条规定征信机构应向社会公开四类事项(采集的信用信息类别、信用报告的基本格式内容、异议处理流程、其他需公开事项)的义务。同时该办法规定如违反该办法有关规定的,可由中国人民银行及其省会(首府)城市中心支行以上分支机构按照《征信业管理条例》第三十八条进行处罚。
今年为《征信业务管理办法》施行的第二年,但仍有部分征信机构未能建立与该办法适用的合规体系。2023年9月4日,因违反上述《征信业务管理办法》第三十一条、第四十二条,某征信企业被罚款2万元,时任总经理被罚款1万元。
该行政处罚表明《征信业务管理办法》施行后的合理整改过渡期已结束,各征信机构应严格对照《征信业务管理办法》规范自身行为,及时调整完善自身合规体系。
2.本年度多家征信机构因违反《征信机构管理办法》的程序性义务而受罚。
因违反《征信机构管理办法》第三十条关于征信机构应当对信用信息系统的安全情况进行测评的规定,某征信机构被罚款2万元。
因违反《征信机构管理办法》第二十七条关于企业征信机构高级管理人员应当自任命之日起20日内向所在地的中国人民银行省会(首府)城市中心支行以上分支机构备案的规定,某征信机构被处以警告。
还有其他3家机构因“违反征信机构管理规定”而受罚款、警告处罚,其中包括规模较大的知名征信机构。
上述情况表明,监管机构日益重视对征信机构日常程序合规的监管,虽然上述系统未及时测评、人员未及时备案等情形均属违反程序性义务,但仍然被处罚。该情况也提醒征信机构的合规红线,不应仅建立在业务活动不违法的层面之上,而就提升至日常程序合规的层面之上。
3.本年度个人征信机构因信用信息处理活动违规受处罚。
结合本年度知名个人征信机构因信用信息处理活动违规受处罚的情况,征信机构更应对业务活动合规采取审慎态度。
四、年度牌照备案
2023年度全国共新增11家完成企业征信业务经营备案的企业。
备案日期
企业名称
受理机关
1.
2023年1月9日
无锡企业征信有限公司
中国人民银行南京分行
2.
2023年2月2日
沈阳盛京征信有限公司
中国人民银行沈阳分行
3.
浙江同信企业征信服务有限公司
中国人民银行杭州中心支行
4.
2023年2月21日
海南省征信有限公司
中国人民银行海口中心支行
5.
2023年3月1日
福建省金服云征信有限责任公司
中国人民银行福州中心支行
6.
2023年4月7日
上海大智慧财汇数据科技有限公司
中国人民银行上海市分行
7.
2023年5月15日
上海万得征信服务有限公司
8.
2023年5月20日
河北省征信有限公司
中国人民银行石家庄中心支行
9.
2023年6月26日
合肥市征信有限公司
中国人民银行合肥中心支行
10.
2023年6月28日
云南省征信有限责任公司
中国人民银行昆明中心支行
11.
2023年10月20日
新华中经信用管理有限公司
中国人民银行北京市分行
另外,2023年7月31日,中国人民银行长沙中心支行完成对湖南省征信有限公司的企业征信机构变更备案。湖南省征信有限公司变更前名称为湖南华芯征信有限公司。此次变更为名称、注册资本、高管、控股股东等变更。2016年9月20日颁布的《企业征信机构备案管理办法》第十七条规定:企业征信机构备案事项发生变更的,应当在变更之日起30日内向原备案机构办理变更备案。控股股东或者实际控制人发生变更的,应当按新设机构的备案标准进行备案审核。本次湖南省征信有限公司进行了控股股东的变更,依据上述规定按新设机构进行了审核,是该条规定的首次实施。因此,如果加上湖南征信这一“按新设机构审核”的特例,2023年度实质共有12家企业获得企业征信牌照。
我国企业征信备案自2014启动后,经历了前期的宽松、暂停并自2017年重启至今。当前呈现出如下特点:一是审核严格、数量总体控制,每年全国总体仅有10家左右通过备案;二是政策导向趋于明确,牌照优先考虑两类企业,一是地方征信平台,二是拥有数据、技术、应用场景上拥有独特优势的征信企业。
就地方征信平台而言,当前全国已建成省级地方征信平台30家,西藏、新疆、黑龙江三省(区)的省级征信平台已建立但尚未通过备案,同时这三省区也是至今为止无备案征信企业的地区。因此,鉴于大部分省级征信平台均已建立并通过备案,未来需要获批的地方征信平台数量有限。
就拥有数据、技术、应用场景等独特优势的企业而言,未来可期。
因此,总体上笔者认为未来企业征信牌照的获批数量会逐年减少,在省级地方征信平台基本覆盖后,仅有具有独特数据、技术、应用场景独特优势的企业才有望获得牌照。结合每年均产生部分存量备案机构主动或被动注销备案的情况,未来企业征信牌照的数量应总体可控。
五、年度热点——断直连、征信修复、平台算法
·断直连
《征信业务管理办法》2022年1月1日起施行,规定金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务;同时考虑到市场现状规定本办法施行前未取得个人征信业务经营许可或者未进行企业征信机构备案但实质从事征信业务的机构,应当自本办法施行之日起18个月内完成合规整改。业界将该规定称为“断直连”及“断直连过渡期”。
简而言之,向金融机构提供征信类数据的公司,在断直连过渡期截止时或要取得征信牌照,或者金融机构不得与之直接合作。
2023年初,中国人民银行等部门负责人表明,在金融管理部门的督促下,14家大型平台企业包括个人征信业务等金融业务的整改基本完成。2023年6月30日,断直连过渡期截止。
断直连制度要求互联网平台、数据公司、助贷公司等不得直接与金融机构进行信用信息交互,给所有持牌征信企业创造了新的业务机会及竞争优势。
首先是催生了“通道业务”,即原有数据业务通过持牌征信机构与银行对接完成。其次使得持牌征信机构更具备进行银行助贷服务的优势,即征信机构借助其优势更能完成传统助贷公司为金融机构所提供的引流、风控等服务。
持牌征信企业不仅应抓住“断直连”带来的业务机会,而且更应强化合规风控,不能让“通道业务”成为“租牌照、收过路费”的短视变现,而要真正履行征信机构的信息处理合规义务,实现“断直连”制度的设定初衷。
展望未来,断直连给征信机构带来的机遇及风险是并存的。
·征信修复
“信用修复”与“征信修复”,字面含义相近,其法律内涵可是大相径庭。
而现行法律中没有“征信修复”的规定,只有“征信异议”。征信异议指《征信业管理条例》所规定的信息主体对于人行征信系统及社会征信系统提出异议要求更正的制度。
因此,“信用修复”与“征信异议”在适用范围、具体制度上都有一定区别。但无论是“信用修复”还是“征信异议”,都以信用信息真实性为基础,不能改变或消除真实信息。
2023年内,央行征信中心多次发布涉及“防范征信修复骗局”的提示,指出“任何个人和机构都不得擅自修改展示无误的征信报告,一旦发现违规删除、修改,将承担法律责任”“凡是声称可花钱对不良信息进行消除的都是非法牟利的骗局”,并多次强调征信中心的互联网平台就个人异议申请不收取任何费用。
央行征信中心的多次提示,与社会上不断出现以“征信修复”“征信洗白”“征信铲单”为诱饵的电信网络诈骗有关。社会公众不仅无法借此删除不良信用记录,还存在信息泄露、上当受骗、钱财损失的风险。这表明征信制度的深入人心尚需时日,同时也表明征信所覆盖的群体正日益扩大。
·平台算法
征信企业通过技术算法对信用数据进行处理已业内常态。但技术局限性与信用主体权益发生冲突时,应以谁为优先的问题,行业内一直存在争议。征信平台企业一般持“避风港原则”,即以现有技术尽努力确保正确,同时提供投诉渠道,即使出现错误进行更正即可免责;而信息主体对此应进行容忍。
但2023年度由北京互联网法院审理的涉及国内知名网络征信平台企业的网络侵权案件,为上述争议提供了司法裁判结论。
本案原告为知名企业家、投资人,现任某公司董事长。原告发现,在被告运营的企业信息查询平台中错误地将其标注为其他多家无关企业的法定代表人,而这些企业有的处于注销、吊销状态,有的正在申请破产,有的被列入企业经营异常目录,更有甚者涉及到严重违法。原告认为被告侵犯了原告的名誉权及个人信息权益,应承担侵权责任。
上述案例表明企业、个人的信用权益受到法律的严格保护,征信企业不得再以现有技术限制、及时更正等理由免责。
(本文作者介绍:北京市中咨律师事务所高级合伙人,首都经济贸易大学兼职研究生导师,中国政法大学法律硕士学院兼职教授,长期从事征信业法律实践及理论研究,担任多家征信机构法律顾问)