了解最新等保资讯及等保政策
1月11日,人民银行公布《征信业务管理办法(征求意见稿)》(以下简称《办法》)。这是继2013年《征信业管理条例》及《征信机构管理办法》实施后,征信行业迎来的又一重磅新规。
《办法》对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行了规定,清晰界定了信用信息,并强调要加强个人和企业信息主体权益保护,保障信息安全。
专家表示,依据《办法》,以信用评分方式对外提供服务的企业被纳入规制范围,个人信息保护成为重点,这意味着头部互联网平台遭受新的监管,滥用数据的无资质企业迎来重击,银行业授信业务将产生较大影响。
在我国征信市场处于快速发展之际,《办法》的出台顺应了数字经济时代发展的需要,也代表了未来的发展方向。
顺应数字征信新业态
“从2006年中国人民银行征信中心成立,到2013年《征信业管理条例》出台至今,我国征信行业的发展背景发生了巨大变化。”中国(上海)自贸区研究院金融研究室主任刘斌向21世纪经济报道记者分析,在当前数字经济时代,个人和企业的信用数据日益丰富,不仅有常规数据,还有很多互联网数据、另类数据等。
目前数字经济发展已达到新高度,传统的金融机构征信管理已越来越难以满足全面、准确衡量个人和企业主体信用状况的相关需求。
据统计,全国在校大学生4000万人,工作5年以内的毕业生3900万人,民政低保人群约6000万人,全国小微企业主的数量超过8000万,这些人群和企业中的大部分是信用“白户”或“准白户”。该群体未与银行等金融机构发生过信贷关系,信贷状况空白,银行无法以此判断授信与否。
随着大数据技术与金融科技的发展,传统的金融机构无法覆盖到“白户”,金融科技通过替代数据提供了信贷服务,是对监管的一种突破。
现在,征信业迎来了新的监管。
《办法》的起草说明提到,征信新的业态不断涌现,由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。
中南财经政法大学数字经济研究院高级研究员金天解释,相比于2013年《征信业务管理条例》,《办法》最大区别在于对互联网线上生态信息的引入,使征信服务从传统的银行信用,延展到广泛的商业信用和与信用相关的更多替代数据领域。
“近几个月来,有关方面进一步意识到线上消费支付、财富管理、本地生活、社交关系等海量数据集中沉淀在少数几家平台机构,可能会对征信行业的发展、金融系统的稳定等带来一系列问题挑战。因此,出台此《办法》正当其时。”金天说。
中国(深圳)开发研究院金融与现代产业研究所副所长余凌曲向21世纪经济报道记者透露,征求意见稿的出台体现出较大的问题导向意识,即针对个人征信提出了很多要求。
相比发展多年已相对成熟的企业征信,个人征信在我们国家才刚起步。自2015年1月中国人民银行下发《关于做好个人征信业务准备工作的通知》、同意8家社会机构开展个人征信业务以来,至今已有5年,但个人征信牌照仅下发了2张——2018年2月获批的百行征信以及2020年12月获批的朴道征信。
由此可见,不少机构未达到个人征信牌照发放的监管标准。余凌曲认为,在当前经济形势下,提升消费对经济的作用,需要个人征信来发挥基础的功能。
细化信息保护力度
个人征信此前曾在多个互联网平台开展过试点,余凌曲介绍,在试点过程中发现存在很多问题。
例如,针对个人征信,企业对个人信用信息的采集存在过度采集、无授权采集、非法采集等多种形式,同时“一次授权、无穷采集、无限使用”;征信的独立自主性及有效性也受到了质疑,有企业依据在A平台获取的用户信用信息在B平台上进行使用;此外,在信息使用环节,企业在采用大数据、人工智能算法的情况下,有可能出现歧视或者偏差,存在“大数据杀熟”等问题。
金天认为,比较突出的问题在于采集个人信用信息时,获得的用户授权不清晰,例如需要采集哪些信息、进行何种用途描述过于笼统;同时,用户只能选择“接受”(全部接受)或“不接受”,如果不接受则无法继续业务办理和享受相关产品服务,这实际上是利用其强势市场地位,不当引导甚至压迫用户接受授权条件。
中国银行业协会首席法律顾问卜祥瑞告诉21世纪经济报道记者,征信问题不少,结合对个人和企业信息保护法治需要,有必要规范。
不难看出,《办法》与现行法律法规相衔接。吸收《民法典》《网络安全法》《消费者权益保护法》等有关个人信息保护的内容,考虑与《个人信息保护法(草案)》的衔接,细化个人信息保护力度。
“当前借助各种新技术新应用手段泄露、篡改、毁损、窃取信用信息或利用信用信息谋私,非法收集、买卖信用信息不时发生,完善征信配套法规制度,强化法律问责非常迫切。”中国社科院法学所副研究员周辉向21世纪经济报道记者表示。
《办法》对“何为信用信息”作出了清晰界定,身份信息、地址、交通、通讯、债务、财产以及消费支付、履行法定义务等信息都可视为信用信息。
对于这些信用信息采集、整理、保存、加工、提供、使用、安全等方面,《办法》对个人信息保护均有明确阐述。比如,在信用信息采集方面,明确应当遵循“最少、必要”的原则,不得过度采集;对于个人不良信息的保存,要求自不良行为或事件终止之日起5年。
对属于个人隐私范畴的信息,即使是持牌征信机构也不能随意获取和调用。个人财产等部分信息被列入“限制采集”,企业只有在充分告知不利后果、且取得充分授权的情况下才能采集;宗教信仰、个人生物特征等隐私数据则被明确禁止采集。
互联网企业纳入监管
《办法》出台后,将对哪些机构及业务造成较大影响?
“涉及到以信用评分的方式对外提供服务的,例如蚂蚁金服和京东等,按照此次征求意见稿必须持牌,按照规定成为征信机构,否则的话就是非法经营。”对外经济贸易大学数字经济与法律创新研究中心执行主任许可说。
金天表示,由于个人信息保护的严格规定,对信息密集型企业的经营展业等行为影响较大。企业无论是在产品营销、用户运营还是员工招聘的过程中,都需要根据《办法》要求自查和端正相关行为。
“从目前的市场格局看,不少从事大数据、反欺诈等业务的金融科技企业涉及到个人征信业务,甚至不具备征信资质的企业也在开展征信业务,因此对于缺乏资质的企业有一定的制约。”刘斌认为,对于过度采集个人或企业数据的征信机构、金融科技公司也提出了要求,《办法》有利于对于规范征信市场,打击滥用数据的的无资质企业。
与之对应的,卜祥瑞认为,对银行业授信业务也将产生较大影响。
除了上述企业之外,余凌曲表示,对于个人征信行业,将会产生规范发展的作用,《办法》出台之后,行业将更加开放,更多有能力的合规机构会提供更多服务;此外将对全社会、对中国整个经济体系产生影响,在未来的信用经济社会里,将有更多行业和市场交易依托个人征信业务的发展。
值得注意的是,《办法》中新增了诸多对征信机构开展跨境业务的明确规定,其中包括征信机构向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供,不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。征信机构向境外提供企业信用信息查询或与境外征信机构合作的,应当向人民银行备案。
金融信用信息事关国家经济金融安全,经济金融安全是我国整体安全的一个重要的组成部分。在全球化大潮中,数据跨境流动带来价值收益的同时,风险也与日俱增,亟需提高防范和化解风险的能力。“十四五”规划建议要求维护金融安全,守住不发生系统性风险底线。
“很多国内外互联网科技公司都在跨境开展业务。过去常常出现的问题是个别国家猜忌、指责中国企业不当采集当地用户数据。”金天分析,实际上,中国用户数据流出境外的风险也现实存在的。《办法》对征信机构跨境业务活动的有关规定,为跨境征信业务提供了重要的规范和指导,有望从法律上防范跨境非法信息贩卖的风险。
余凌曲表示,此前法律并未有关于信用信息跨境流动的明确规定。不管是个人还是企业,相应的信用信息在境外使用一定要以安全为前提。他进一步举例,近年来国际面临一些新的发展形势,例如在美国上市的企业被要求更高的披露要求,如提供审计底稿,这可能就涉及到国家机密的泄露。这种情况下,信用信息跨境流动的监管尤为重要。
争议替代数据
《征信业务管理办法(征求意见稿)》的意见反馈截止时间为今年2月10日。
卜祥瑞表示,需要进一步明确行业协会根据会员单位诉求,开展失信惩戒问题。征信业务内涵不宜过度泛化。
对于《办法》中的信用信息的范围及信用信息保护之间的关系,许可表达了自己的不同观点。
“以往的征信报告中,信息非常有限,基本是个人基本信息、信贷交易信息和能反映个人信用状况的公共信息。”许可认为,如果是遵循着“最少、必要”原则的话,此次规定的很多信用信息不应被纳入其中,比如交通、通讯信息等,从这一点看有些自相矛盾。
对于交通、通讯、债务、财产以及消费支付等替代数据,许可主张不能成为征信信用信息的一部分,因为信用信息非常重要的特点是法定收集。
在他看来,如果替代数据全都要被法定收集,则违反了“最少、必要”原则,从风险防控的角度来说,用户被收集的信息越少越好。如果不是法定收集,那么对于用户而言,知晓某一类信息对自己的信用评价不利将不同意采集,或者需要获得信贷时将相关类别的信息数据做得特别好看,例如拼单进行高消费服务等,这都将影响征信机构的用户画像,从而影响信用评价的可信性。
“替代数据在金融业务风控中具有重要作用,但这个作用不是简单地将其纳入传统法律架构内,而是可以依据其特点增加新的法律法规。”许可说。
“系统性金融风险防控的治本之策是防范于未然。”周辉对此表示,市场经济社会风险防范主要依托于对个人和企业的信用评价,从某种程度上说,信息越多,刻画的维度越广泛,对于一个市场主体信用评价就越接近于客观真实。在信用评价这一特殊场景下,重点不在于信息收集的最少必要,而是要尊重信息主体的同意权和控制权(包括更正、删除),以及确保信息安全。
同时,周辉对《办法》提出建议。“受上位法规定局限和个人信息保护法未出台限制,目前征信业务违法行为的处罚过轻,应对征信机构主要管理人员也要加大问责力度。”周辉说,除了行政处罚,还可以增加公开谴责等声誉处罚,对征信机构的威慑力度将会更大。
声明:本文来自21世纪经济报道企鹅号,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。