《办法》对于传统征信行业及在过去几年飞速发展的大数据金融风控行业有着深远的影响。我国征信业正进入快速发展的数字征信时代,征信新业态不断涌现,但由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。[1]相较于2021年1月11日发布的《征信业务管理办法(征求意见稿)》(以下简称“《征求意见稿》”),《办法》紧扣最新出台的《个人信息保护法》,进一步明确了征信机构和信息提供者的责任义务和信息主体的权利,完善了征信业务中企业/个人信息的处理规则,并对合规整改期限提出的具体要求。
为有效解决上述困境,《办法》不仅对于信用信息和征信业务作出了清晰的界定,还通过明确信用信息全生命周期的要求来更好地保护个人信息主体及企业的合法权益。
一、数字征信时代:数字经济下的必然,征信监管的挑战
(一)互联网大数据征信的发展
在过去短短的近十年中,征信行业发生了飞速的发展,大数据分析能力的进步与普惠金融需求的扩大,催生了一大批类征信金融科技服务企业,提供包括风控、身份验证、反欺诈等在内的一系列产品。
除此之外,由于传统央行征信数据应用于金融机构借贷等场景较为有限,互联网业态下类征信产品的广泛应用可以克服前者的局限。除了互联网金融产品外,互联网类征信产品更是应用在如住宿、租车免押金、签证申请等各类场景。《个人信息保护法》与《办法》的出台也正是契合了当前互联网金融各类业务形态蓬勃发展的社会场景,便于运营者及时履行合规义务。
(二)征信行业的监管历史与动态
如前面所述,数字征信的蓬勃发展带来了征信业务边界不清晰和个人信息主体权益保护不到位的问题。针对此,央行及其他国家机关是否有推动征信体系的建设与发展的探索与举措呢?
关于征信行业边界及资质要求不清晰的问题,央行已着手建立了国家性的基础数据库,并稳健地推动征信机构的市场化。中国人民银行征信中心(即金融信用信息基础数据库)于2006年正式成立。2013年3月15日施行的《征信业管理条例》(以下简称“《条例》”)中明确了金融信息基础数据库的法律地位。同时,《条例》中明确了个人征信机构采取“审批制”,企业征信机构采取“备案制”的监管框架。截至目前,通过人行备案的企业征信机构约为130多家,然而截至目前已经获得牌照的个人征信机构仅为“百行征信有限公司”和“朴道征信有限公司”两家。整体来看,央行对于个人征信机构牌照的发放非常谨慎。
针对个人金融数据的保护,尤其是信用信息的保护问题,近几年来监管机构也积极响应,个人信息保护要求呈现不断提高的整体趋势,行业特定法规、政策和标准也不断出台。截至目前,有关征信行业发展及信用信息保护的主要法规及政策性文件梳理如下:
特别是在2020年12月25日国务院政策例行吹风会上,中国人民银行副行长陈雨露充分肯定了非借贷类替代数据在征信系统建设中的作用,他表示“人民银行牵头的国家金融信用信息基础数据库,是全球最大的征信系统,同时由市场化的征信机构自主采集企业和个人的征信信息,就是非信贷的征信信息,目前也已经成为我国征信体系的重要组成部分。”[2]
二、《征信业务管理办法》要点解读
(一)“征信业务”和“信用信息”的定义
征信业务边界不清晰一直是征信业市场主体的合规难点。什么样的业务算是征信业务呢?相较于《征求意见稿》,《办法》中增加了对征信业务的定义,即“对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。”此外,《办法》在《条例》的基础上,进一步对“信用信息”作出了下述定义。
第三条本办法所称征信业务,是指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
第十四条个人征信机构应当将与其合作,进行个人信用信息采集、整理、加工和分析的信息提供者,向中国人民银行报告。
个人征信机构应当规范与信息提供者的合作协议内容。信息提供者应当就个人信用信息处理事项接受个人征信机构的风险评估和中国人民银行的情况核实。
《办法》第五条规定金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务,结合上述第十四条,可以体现出对驻贷平台“断直连”的总体要求。大数据公司只有在与持牌征信机构合作的情况下,由持牌征信机构向中国人民银行报告后,方可为金融经济活动提供个人信用信息。然而,具体的合作模式,以及众多大数据公司与数量有限的持牌征信机构合作,是否最终演变成为通过持牌征信机构走一个“通道”,持牌征信机构是否能够真正实现对大数据公司所提供的数据服务的有效监督和审查,尚待更深入的探讨,这也有待于监管机构进一步阐释与探索。
另值得注意的是,如前所述,对企业和个人信用状况形成的分析评价信息也被定义为“信用信息”,如果将此类产品或者信息(画像、评分、评级)对外实质提供,则也适用本《办法》。在征求意见稿的基础上,《办法》新增的“‘实质’提供”要件,进一步强化和扩大了《办法》的适用范围。因此,大数据公司即使自己未使用“信用信息服务”“信用服务”“信用评分”“信用评级”“信用修复”等名义,但只要对外实质提供以上产品,就应当适用《办法》。
第五十条以“信用信息服务”“信用服务”“信用评分”“信用评级”“信用修复”等名义对外实质提供征信服务的,适用本办法。
整体来看,企业开展个人征信业务必须事先获得中国人民银行发布的许可牌照。当涉及个人信息处理时,应比照金标委去年发布的《个人金融信息保护技术规范》(JR/T0171-2020)的要求。可以看出,目前监管机关的规制范围不仅仅局限于持牌机构,还涉及金融信息处理的非持牌机构(如从事企业征信业务)也应当予以重视,从事信用评级业务的,还应当依法办理信用评级机构备案。
(二)个人及企业信用信息的跨境传输
作为金融市场一项重要“基础设施”板块,央行近年来不断部署征信行业的对外开放,这对于建立稳定且与全球金融接轨的金融市场而言至关重要。2016年5月,央行与商务部发布联合公告,明确外商投资设立企业征信机构实行国民待遇。根据该公告,设立个人征信业务的外商投资机构应当符合《条例》第六条和《征信机构管理办法》的规定,并需要取得中国人民银行的前置许可。该项工作的开展卓有成效,自2016年以来,已有华夏邓白氏办理企业征信机构、益博睿征信(北京)有限公司和科孚(上海)商务信息服务有限公司三家外资征信机构通过了备案,在中国境内开展企业征信服务。
《办法》在上述对外开放工作的基础上,就跨境征信业务场景提出了数据保护方面的详细要求,主要可总结为三个维度:
1.本地化存储及备案的要求
第四十一条征信机构与境外征信机构合作的,应当在合作协议签署后、业务开展前将合作协议报告中国人民银行。
2.跨境传输个人信用信息
《办法》第四十条规定,如征信机构向境外提供个人信用信息,需要符合法律法规的要求。在《个人信息保护法》的框架下,数据跨境传输需要遵守一系列的合规要求,包括数据跨境安全评估(包括个人信息的数量、范围、敏感度、接收方保护水平等)、个人信息主体单独同意、采取“四选一”的保护措施等等。《中国人民银行关于银行金融机构做好个人金融信息保护工作的通知》等法律法规对于某些特定数据类型的跨境传输还作出了限制,甚至禁止出境。这些都是征信机构在进行信用信息跨境传输前应重点考量的因素,同时需要结合具体的业务场景判断适用的法规及合规的出境流程。这对企业自身合规体系的准确性与完备性提出了较高的要求,建议企业尽早采取相应的合规措施。
3.跨境传输企业信用信息
除对个人信用信息有跨境传输的限制外,《办法》第三十六条还对跨境传输的企业征信信息提出了如下要求:“向境外信息使用者提供企业信用信息查询产品和服务,应当对信息使用者的身份、信用信息用途进行必要的审查,确保该信息用于贸易、投融资等合理用途,且不得危害国家安全”。
以上从一定角度也代表了我国对于数据出境的严格管制标准,建议涉及跨境业务的企业尽早搭建完备且合规的数据出境体系。
三、新规下的征信行业数据保护合规要点提示
《办法》共八章,第一章“总则”和第八章“附则”对于新规的整体适用性、征信行业的原则性要求等作出了整体的规制与明确。其余章节沿袭了目前中国个人信息保护的框架与思路,结合数据生命周期与征信行业的具体业态,对于信用信息的采集,整理、保存、加工、对外提供、使用、信息安全等作出了较为全面的合规要求。整体上与《民法典》《网络安全法》《个人信息保护法》和GBT/35273-2020《信息安全技术个人信息安全规范》等法律法规和国家标准的规制要求一脉相承。以下,我们将逐一梳理和阐释:
(一)信用信息的采集
《办法》第二章对于个人信用信息和企业信用信息的采集环节作出了明确规定,整体应当采取合法、正当的方式,遵循最小、必要的原则,不得过度采集信用信息。因此,征信机构在采集个人或企业信用信息时应仔细衡量该类信息是否与信用状况的分析与评价有较为直接的关联,是否为实现上述目的所必须,尽量减少不必要的信息采集,同时应结合《条例》第十四条的禁止和限制要求。
1.征信机构直接采集个人和企业信用信息
《办法》第十二条要求征信机构在直接采集个人信用信息时,应明确告知个人信息主体采集的目的,并在个人信息主体同意后方可采集。《办法》第十五条要求征信机构在直接采集企业信用信息时,应当基于合法的目的,不得侵犯商业秘密,虽然删除了《征求意见稿》中需要取得企业同意的要求,但实际上留给企业通过合同的方式自行约定。
2.征信机构间接采集信用信息:信息合法性审核及合约约定
以上对于征信机构的合规性要求非常高,不仅要自身做到合规以满足监管要求,同时还要对与其合作的信息提供者进行实质性审查和充分的背景调查(类似于传统的供应商尽职调查)以满足自身合规要求,这将最大程度地避免因信息提供者的违规而给征信机构自身带来损害和负面影响。
3.向中国人民银行报告
《办法》中将《征求意见稿》的“报备”要求修改为“报告”,一字之差体现出主管机关从“报告备案”到“报告审批”的监管态度转变。
(二)信用信息的整理、保存与加工
1.建立错误更正机制
《办法》第十六至十八条要求征信机构不得篡改原始信息,应当遵循客观性原则,并且采取措施提高征信系统信息的准确性,保障信息质量。如在信息使用的过程中发现错误的,应当及时响应。如该错误的信息由个人信息提供者处采集,则征信机构应及时联系并通知信息提供者更改。如错误信息主要由于内部错误引起,应及时更正并优化信用信息内部处理流程。
《办法》第二十条延续了《条例》对于个人不良信息的保存期限的规定,应当存储至不良行为或事件终止之日起5年,到期后征信机构应当进行删除。如征信机构将其作为样本数据的,应进行匿名化处理。
虽然《办法》删除了《征求意见稿》中对于个人身份识标识信息具体的存储策略,即将其与其他信息分开保存,并实行物理隔离,但在个人信息保护要求日益严格的监管情况下,仍建议征信机构应尽力落实该条的要求。
(三)信用信息的提供与使用
《办法》第二十一条首先对信用信息提供、使用作出原则性要求,即遵循公平性原则,不得设置不合理的商业条件限制不同的信息使用者使用,不得利用优势地位提供歧视性或者排他性的产品和服务。而对具体场景的合规要求详细如下:
1.对信息使用者建立动态审查机制
《办法》第二十二条和第二十三条要求征信机构对于信息使用者进行审查,审查的内容应包括信息使用者的身份、业务资质、使用目的等。同时,征信机构应该采取技术手段,对信息使用者接入征信系统的网络和系统安全、合规性管理措施进行评估与检测,还应当重点对查询行为进行监测,以保障信息使用者查询个人信息时获取了信息主体的同意,且查询手段合法合规。如有违规行为,应停止提供服务。
这同样对征信机构的合规性提出了更高要求。除了要对其信息提供者做到审查之外,对其信息使用者同样需要做到审查(类似于传统的KYC义务),尽可能识别信息使用者的真实身份而免遭欺诈,或者避免因提供的信息被滥用或者被用于非法用途,从而给企业或个人信息主体带来负面影响和损失。
2.提供个人信息主体的查询、异议、投诉的渠道
遵从《个人信息保护法》的框架,即数据处理者应响应个人信息主体请求,提供个人信息副本,《办法》第二十五条规定,个人信息主体有权每年两次免费获取本人的信用报告,征信机构可以通过互联网查询、营业场所查询等多种方式为个人信息主体提供信用报告查询服务。
综合考虑信用信息的特殊性和《个人信息保护法》中规定的信息主体有权请求更正、补充其个人信息,《办法》第二十六条规定,信息主体认为信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议;认为侵害自身合法权益的,可以向所在地中国人民银行分支机构投诉;进一步明确了信息主体的权利和行权机制。
3.具体征信服务的细化合规要求
《办法》第二十一条对征信机构对外提供征信产品和服务提出了原则性规定,要求遵循公平性原则,不得设置不合理的商业条件限制不同的信息使用者使用,不得利用优势地位提供歧视性或者排他性的产品和服务。《办法》第二十八至三十条具体列举了征信机构提供的产品,并分别提出了细化的合规要求,特别建议公司注意对用户画像、自动化决策等行为的适用规则:
以上2、3两项,提供此类产品和服务的企业应尤其注意:在适用本《办法》的上述两项要求时,如果针对个人主体,还必须事先取得个人征信牌照;换言之,需在取得牌照的前提下,满足以上要求。
4.明确禁止的征信服务/产品与行为
(四)信用信息安全
征信机构同时应当搭建完善的内控体系,通过采取必要的技术手段及安全管理制度,确保信用信息的安全。除了上文提到的,信用信息跨境传输的保护要求外,征信机构还可着手从以下角度入手,建立一个完善有效的内部信用信息保护体系:
1.日常运营维护的管理
《办法》第三十五条要求征信机构采取技术与管理双重手段确保征信系统的运行设施设备、安全控制设施设备及互联网应用程序的安全。并且,需要维护征信系统的日常运维管理,保障系统物理安全、通信网络安全、区域边界安全、计算环境安全、管理中心安全。
2.人员管理
3.建立应急处置制度
4.规模较大企业征信机构和个人征信机构所需的额外保护措施
在《征求意见稿》的基础上,《办法》提高了对企业征信机构信用信息安全的监管门槛,从保存或处理50万户以上企业信用信息修改为100万户以上。
(五)监督管理
《办法》的第六章提出了对于征信机构的双重监督模式。除了中国人民银行及其省会(首府)城市中心支行以上分支机构可对征信机构的征信内控制度建设、征信业务合规经营情况、征信系统安全情况等进行检查外,征信机构应向社会公开一系列事项,包括采集的信用信息类别、信用报告的基本格式内容,异议处理流程等,接受社会监督。双重监督模式的建立也大幅提高了征信机构工作的透明度。
针对个人征信机构,《办法》在《征求意见稿》的基础上新增了合规审计要求。个人征信机构应当每年对自身个人征信业务遵守《个人信息保护法》《条例》的情况进行合规审计,并将合规审计报告及时报告中国人民银行。
此外,《办法》还进一步明确信息提供者和信息使用者的监管机构。违反《条例》规定,侵犯信息主体合法权益的,由中国人民银行及其省会(首府)城市中心支行以上分支机构依法对其检查和处理。
(六)法律责任
《办法》在第七章单独规定了违规行为的罚则,并且增加了对直接负责的主管人员的处罚机制。
四、结语
从整体来看,《办法》响应了数字征信时代的潮流,同时也是征信行业规范化发展重要的一步,尤其是对于替代性数据的认可,有助于传统征信行业在数字经济下进行转型,向社会提供更全面准确的信用评估产品和服务。在个人信息保护方面,《办法》整体延续了当前一般行业对个人信息保护的基本要求,要求征信机构重视对征信信息全生命周期范围内的合规保护,落实《个人信息保护法》的合规,并且明确要求企业内部应当制定相应的内部制度,可以看出监管机关监管的重点不再囿限于企业对外展示的内容,而已经逐渐转向了搭建企业内部制度、合规措施、流程等方面。
注释:
[1]中国人民银行,《<征信业务管理办法(征求意见稿)>起草说明》,第一页。