征信业将迎新规:互联网巨头拟纳入监管,个人信息保护成重点

2021-01-13 14:44:11 21世纪经济报道企鹅号 55

  1月11日,人民银行公布《征信业务管理办法(征求意见稿)》(以下简称《办法》)。这是继2013年《征信业管理条例》及《征信机构管理办法》实施后,征信行业迎来的又一重磅新规。

  《办法》对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行了规定,清晰界定了信用信息,并强调要加强个人和企业信息主体权益保护,保障信息安全。

  专家表示,依据《办法》,以信用评分方式对外提供服务的企业被纳入规制范围,个人信息保护成为重点,这意味着头部互联网平台遭受新的监管,滥用数据的无资质企业迎来重击,银行业授信业务将产生较大影响。

  在我国征信市场处于快速发展之际,《办法》的出台顺应了数字经济时代发展的需要,也代表了未来的发展方向。

  顺应数字征信新业态

  “从2006年中国人民银行征信中心成立,到2013年《征信业管理条例》出台至今,我国征信行业的发展背景发生了巨大变化。”中国(上海)自贸区研究院金融研究室主任刘斌向21世纪经济报道记者分析,在当前数字经济时代,个人和企业的信用数据日益丰富,不仅有常规数据,还有很多互联网数据、另类数据等。

  目前数字经济发展已达到新高度,传统的金融机构征信管理已越来越难以满足全面、准确衡量个人和企业主体信用状况的相关需求。

  据统计,全国在校大学生4000万人,工作5年以内的毕业生3900万人,民政低保人群约6000万人,全国小微企业主的数量超过8000万,这些人群和企业中的大部分是信用“白户”或“准白户”。该群体未与银行等金融机构发生过信贷关系,信贷状况空白,银行无法以此判断授信与否。

  随着大数据技术与金融科技的发展,传统的金融机构无法覆盖到“白户”,金融科技通过替代数据提供了信贷服务,是对监管的一种突破。

  现在,征信业迎来了新的监管。

  《办法》的起草说明提到,征信新的业态不断涌现,由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。

  中南财经政法大学数字经济研究院高级研究员金天解释,相比于2013年《征信业务管理条例》,《办法》最大区别在于对互联网线上生态信息的引入,使征信服务从传统的银行信用,延展到广泛的商业信用和与信用相关的更多替代数据领域。

  “近几个月来,有关方面进一步意识到线上消费支付、财富管理、本地生活、社交关系等海量数据集中沉淀在少数几家平台机构,可能会对征信行业的发展、金融系统的稳定等带来一系列问题挑战。因此,出台此《办法》正当其时。”金天说。

  中国(深圳)开发研究院金融与现代产业研究所副所长余凌曲向21世纪经济报道记者透露,征求意见稿的出台体现出较大的问题导向意识,即针对个人征信提出了很多要求。

  相比发展多年已相对成熟的企业征信,个人征信在我们国家才刚起步。自2015年1月中国人民银行下发《关于做好个人征信业务准备工作的通知》、同意8家社会机构开展个人征信业务以来,至今已有5年,但个人征信牌照仅下发了2张——2018年2月获批的百行征信以及2020年12月获批的朴道征信。

  由此可见,不少机构未达到个人征信牌照发放的监管标准。余凌曲认为,在当前经济形势下,提升消费对经济的作用,需要个人征信来发挥基础的功能。

  细化信息保护力度

  个人征信此前曾在多个互联网平台开展过试点,余凌曲介绍,在试点过程中发现存在很多问题。

  例如,针对个人征信,企业对个人信用信息的采集存在过度采集、无授权采集、非法采集等多种形式,同时“一次授权、无穷采集、无限使用”;征信的独立自主性及有效性也受到了质疑,有企业依据在A平台获取的用户信用信息在B平台上进行使用;此外,在信息使用环节,企业在采用大数据、人工智能算法的情况下,有可能出现歧视或者偏差,存在“大数据杀熟”等问题。

  金天认为,比较突出的问题在于采集个人信用信息时,获得的用户授权不清晰,例如需要采集哪些信息、进行何种用途描述过于笼统;同时,用户只能选择“接受”(全部接受)或“不接受”,如果不接受则无法继续业务办理和享受相关产品服务,这实际上是利用其强势市场地位,不当引导甚至压迫用户接受授权条件。

  中国银行业协会首席法律顾问卜祥瑞告诉21世纪经济报道记者,征信问题不少,结合对个人和企业信息保护法治需要,有必要规范。

  不难看出,《办法》与现行法律法规相衔接。吸收《民法典》《网络安全法》《消费者权益保护法》等有关个人信息保护的内容,考虑与《个人信息保护法(草案)》的衔接,细化个人信息保护力度。

  “当前借助各种新技术新应用手段泄露、篡改、毁损、窃取信用信息或利用信用信息谋私,非法收集、买卖信用信息不时发生,完善征信配套法规制度,强化法律问责非常迫切。”中国社科院法学所副研究员周辉向21世纪经济报道记者表示。

  《办法》对“何为信用信息”作出了清晰界定,身份信息、地址、交通、通讯、债务、财产以及消费支付、履行法定义务等信息都可视为信用信息。

  对于这些信用信息采集、整理、保存、加工、提供、使用、安全等方面,《办法》对个人信息保护均有明确阐述。比如,在信用信息采集方面,明确应当遵循“最少、必要”的原则,不得过度采集;对于个人不良信息的保存,要求自不良行为或事件终止之日起5年。

  对属于个人隐私范畴的信息,即使是持牌征信机构也不能随意获取和调用。个人财产等部分信息被列入“限制采集”,企业只有在充分告知不利后果、且取得充分授权的情况下才能采集;宗教信仰、个人生物特征等隐私数据则被明确禁止采集。

  互联网企业纳入监管

  《办法》出台后,将对哪些机构及业务造成较大影响?

  “涉及到以信用评分的方式对外提供服务的,例如蚂蚁金服和京东等,按照此次征求意见稿必须持牌,按照规定成为征信机构,否则的话就是非法经营。”对外经济贸易大学数字经济与法律创新研究中心执行主任许可说。

  金天表示,由于个人信息保护的严格规定,对信息密集型企业的经营展业等行为影响较大。企业无论是在产品营销、用户运营还是员工招聘的过程中,都需要根据《办法》要求自查和端正相关行为。

  “从目前的市场格局看,不少从事大数据、反欺诈等业务的金融科技企业涉及到个人征信业务,甚至不具备征信资质的企业也在开展征信业务,因此对于缺乏资质的企业有一定的制约。”刘斌认为,对于过度采集个人或企业数据的征信机构、金融科技公司也提出了要求,《办法》有利于对于规范征信市场,打击滥用数据的的无资质企业。

  与之对应的,卜祥瑞认为,对银行业授信业务也将产生较大影响。

  除了上述企业之外,余凌曲表示,对于个人征信行业,将会产生规范发展的作用,《办法》出台之后,行业将更加开放,更多有能力的合规机构会提供更多服务;此外将对全社会、对中国整个经济体系产生影响,在未来的信用经济社会里,将有更多行业和市场交易依托个人征信业务的发展。

  值得注意的是,《办法》中新增了诸多对征信机构开展跨境业务的明确规定,其中包括征信机构向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供,不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。征信机构向境外提供企业信用信息查询或与境外征信机构合作的,应当向人民银行备案。

  金融信用信息事关国家经济金融安全,经济金融安全是我国整体安全的一个重要的组成部分。在全球化大潮中,数据跨境流动带来价值收益的同时,风险也与日俱增,亟需提高防范和化解风险的能力。“十四五”规划建议要求维护金融安全,守住不发生系统性风险底线。

  “很多国内外互联网科技公司都在跨境开展业务。过去常常出现的问题是个别国家猜忌、指责中国企业不当采集当地用户数据。”金天分析,实际上,中国用户数据流出境外的风险也现实存在的。《办法》对征信机构跨境业务活动的有关规定,为跨境征信业务提供了重要的规范和指导,有望从法律上防范跨境非法信息贩卖的风险。

  余凌曲表示,此前法律并未有关于信用信息跨境流动的明确规定。不管是个人还是企业,相应的信用信息在境外使用一定要以安全为前提。他进一步举例,近年来国际面临一些新的发展形势,例如在美国上市的企业被要求更高的披露要求,如提供审计底稿,这可能就涉及到国家机密的泄露。这种情况下,信用信息跨境流动的监管尤为重要。

  争议替代数据

  《征信业务管理办法(征求意见稿)》的意见反馈截止时间为今年2月10日。

  卜祥瑞表示,需要进一步明确行业协会根据会员单位诉求,开展失信惩戒问题。征信业务内涵不宜过度泛化。

  对于《办法》中的信用信息的范围及信用信息保护之间的关系,许可表达了自己的不同观点。

  “以往的征信报告中,信息非常有限,基本是个人基本信息、信贷交易信息和能反映个人信用状况的公共信息。”许可认为,如果是遵循着“最少、必要”原则的话,此次规定的很多信用信息不应被纳入其中,比如交通、通讯信息等,从这一点看有些自相矛盾。

  对于交通、通讯、债务、财产以及消费支付等替代数据,许可主张不能成为征信信用信息的一部分,因为信用信息非常重要的特点是法定收集。

  在他看来,如果替代数据全都要被法定收集,则违反了“最少、必要”原则,从风险防控的角度来说,用户被收集的信息越少越好。如果不是法定收集,那么对于用户而言,知晓某一类信息对自己的信用评价不利将不同意采集,或者需要获得信贷时将相关类别的信息数据做得特别好看,例如拼单进行高消费服务等,这都将影响征信机构的用户画像,从而影响信用评价的可信性。

  “替代数据在金融业务风控中具有重要作用,但这个作用不是简单地将其纳入传统法律架构内,而是可以依据其特点增加新的法律法规。”许可说。

  “系统性金融风险防控的治本之策是防范于未然。”周辉对此表示,市场经济社会风险防范主要依托于对个人和企业的信用评价,从某种程度上说,信息越多,刻画的维度越广泛,对于一个市场主体信用评价就越接近于客观真实。在信用评价这一特殊场景下,重点不在于信息收集的最少必要,而是要尊重信息主体的同意权和控制权(包括更正、删除),以及确保信息安全。

  同时,周辉对《办法》提出建议。“受上位法规定局限和个人信息保护法未出台限制,目前征信业务违法行为的处罚过轻,应对征信机构主要管理人员也要加大问责力度。”周辉说,除了行政处罚,还可以增加公开谴责等声誉处罚,对征信机构的威慑力度将会更大。

  声明:本文来自21世纪经济报道企鹅号,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。