跨境征信合作:实践、评析与启示

2022-04-20 16:46王新军赵竹青刘昭伯王萌
金融发展研究 2022年3期
关键词:数据保护流动跨境

王新军 赵竹青 刘昭伯 王萌

一、引言

随着我国参与国际间经贸往来越来越频繁,大量国内外跨国公司跨境开设分支机构,员工外派和跨国移民等情况不断增多,业务跨境合作和资金跨境流动需求日益增强,征信数据①跨境流动需求也随之增加。根据国家外汇管理局统计,即使在全球新冠肺炎疫情和世界经济形势复杂严峻的背景下,我国全口径外债余额和与贸易有关的信贷余额依然稳健增长,市场拓展、风险管控、贸易融资等跨境合作场景对跨境征信服务存在现实需求。与此同时,我国征信业对外开放取得一定进展,目前已有邓白氏、益博睿、科孚3家外资征信机构以及标普、惠誉2家信用评级机构在我国完成备案。无论是促进跨境贸易融资发展,还是推动征信行业对外开放,都要求尽快构建征信数据跨境流动管理体系,积极参与国际间跨境征信合作。

二、国外跨境征信合作实践与评析

跨境征信合作模式由监管法规和市场力量共同决定,不同国家和地区的跨境征信在业务运作模式、解决的关键问题、侧重的首要目标以及所处的发展阶段等各方面都不尽相同。

(一)国外跨境征信的三种主流模式

1. 公共部门主导:欧盟各成员国之间的跨境征信合作。欧盟建立了覆盖所有欧元区国家的集中统一的信用信息系统——中央信贷分析系统(AnaCredit),该系统采集来自欧元区银行的企业信贷数据,并在此基础上搭建了“反馈环”功能,用以每月向成员国中央银行反馈跨境信贷业务的相关数据,涉及的信息主体包括位于数据接收国内、并且至少有1家其他中央银行向欧洲中央银行报送其数据的企业债务人,以及虽不在数据接收国内、但由接收国及至少1家其他中央银行向欧洲中央银行报送数据的企业债务人。从2021年10月开始,各成员国中央银行可以选择自愿加入“反馈环”,加入“反馈环”后,各成员国中央银行有权依照本国法律要求将获取的数据集提供给境内报数机构,但仅限用于信贷风险管理与信贷信息质量优化。目前这种跨境征信模式正在意大利、西班牙、葡萄牙、奥地利和比利时5个国家进行测试。

2. 公共部门与私营机构合作:西非国家中央银行的跨境征信系统。2015年,西非国家中央银行(BCEAO)与私营征信机构Volo征信合作,签约建立了区域私营征信系统,通过“中心—辐射”与间接共享相结合的方式,组织贝宁、科特迪瓦等8个同属西非经济和货币联盟(UEMOA)的法语国家开展跨境征信合作。具体实现方式是由Volo征信数据库作为中心承载来自不同国家的征信数据,汇总各类不受监管的主体产生的征信数据;西非国家中央银行则负责汇总各类受监管的主体报送的征信数据,并充当征信数据跨境流动系统的监管者(见图2)。西非国家中央银行与私营机构合作的模式在满足监管需要的前提下,有效扩大了数据采集范围,而且借助Volo征信的技术优势,加速推动区域跨境征信业务的发展。截至2020年末,Volo征信数据库已经积累了690多万条信贷记录,主要为区域内国家提供跨境信用评分和监控警报等增值产品。

3. 私营机构主导:诺瓦征信的“信用护照”模式。诺瓦征信是一家专注为移民提供征信服务的专业跨境征信机构,主要利用“信用护照”(Credit Passport)技术来实现跨境征信:当消费者在居住国申请信贷时,通过特定的身份验证并授权跨境传输信用报告,诺瓦征信实时获取消费者的信用报告,通过应用程序接口技术,将国外信用数据按照美国的金融产品和服务定义进行自动分类,转换成美国标准的信用分数和信用报告并传输给有需要的债权人(见图3)。目前该公司主要从印度、墨西哥、巴西等数十个美国移民来源国家的16个征信机构处获取数据,这种基于先进的技术手段将国外信用报告数据转换为本国等效分数和报告格式的“信用护照”模式,很大程度上解决监管制度差异给跨境征信业务带来的阻碍。

(二)跨境征信合作简要评析

上述跨境征信实践具有如下几个明显特点:第一,公共征信监管当局之间开展的跨境征信合作具备明显的政策属性,首要目标是服务于监管当局的金融监管和宏观调控;侧重点是开展跨境信用监管合作和防范区域系统性金融风险。欧盟的跨境征信合作基于金融统计数据模型开展,有助于分析贷款的投向和风险,了解金融机构之间的关联交易,从而有效评估区域内金融体系的关联度和稳定性。西非国家中央银行参与建立的“中心—辐射”业务模式,可以更有效汇总辖内各类市场主体的信贷数据,防范区域性金融风险。第二,公共征信监管当局参与或推动建立的跨境征信合作,可以有效解决不同国家和地区在跨境征信合作中的标准化问题。公共征信监管当局在统一标准和制定强制采集数据项方面具备先天优势,最具代表性的就是欧盟的AnaCredit系统,它明确了70个信贷信息数据项以及20个身份信息数据项,有效解决了欧盟不同成员国之间的标准化问题。第三,私营征信机构开展跨境征信业务具備明显的服务属性,侧重于通过多样化的业务形式服务于不同的跨境信息主体,进而不断扩大自身业务规模。同时,由于私营征信机构难以在不同国家和地区制定统一的数据标准和报告格式等内容,因此,更倾向于运用技术手段规避跨境征信业务过程中的统一标准问题。比如诺瓦征信的“信用护照”就采用了应用程序接口技术和经过“训练”的人工智能技术。

三、跨境征信合作面临的外在约束

(一)法规监管层面

随着经济全球化的发展,人们越来越重视数据价值和个人隐私,世界各国不断开展数据保护立法,力求在数据经济的价值链条中争取更多的主动权,而且出于对跨境征信合作中的法律、运营风险以及权益保护等问题的担忧,世界主要国家和地区都对征信数据的采集、处理以及跨境流动提出了明确的监管要求。不同国家和地区之间差异化的监管条件是跨境征信合作面临的首要外部约束。

1. 欧盟地区的“对等保护”原则。欧盟地区对个人数据和非个人数据的监管策略和保护力度有所区分。对于个人数据,欧盟地区实行较为严格的数据保护标准,个人数据的跨境流动以数据接收方提供“对等保护”为前提。1981年缔结的《个人数据自动化处理之个人保护公约》(以下简称《公约》)是全球范围内有关数据保护的第一份具有法律约束力的国际性文件;1995年,欧盟又通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(1998年开始生效,以下简称《指令》),禁止欧盟成员国将个人数据传输到那些立法保护不符合指令标准的国家。《公约》和《指令》基本明确了公正合法处理、目的明确和限制、信息准确、存储限制、知情同意、特殊数据处理、保障安全等数据处理原则。在此基础上,欧盟于2016年通过了最主要的数据保护法规《通用数据保护条例》,进一步明确了数据主体的更正权、被遗忘权、限制处理权、数据携带权以及反对权等,强化了数据控制者与处理者的义务。欧盟通过《公约》《指令》以及《通用数据保护条例》,从法律层面建立起一个数据空间,使征信数据可以在达到“对等保护水平”的国家和地区之间跨境流动。当数据流出时,数据接收方需获得欧盟的“充分保护”认证,实现数据跨境流动的“对等保护”。

有别于严格的个人数据保护标准,欧盟一直在推动非个人数据在欧盟境内的跨境流动,2018年,专门制定了《欧盟境内非个人数据自由流动框架条例》,建立了个人数据以外的电子数据在欧盟境内自由流动的框架,并且明确要求除非基于公共安全考量,否则禁止成员国针对非个人数据设置数据本地化要求。2019年,欧盟发布了《关于如何处理包含个人和非个人数据的混合数据集的指南》,基本上明确了《通用数据保护条例》主要适用于个人数据保护,并未授予非个人数据同等保护力度。

2. 美国的隐私保护制度。美国对数据的保护不像欧盟那样高度明确而集中,相较于欧盟的“数据保护”,更倾向于“隐私保护”,具体表现为通过一系列的隐私保护制度,形成了较为中立的数据保护原则。其中对个人信息保护影响最大的一部法律是1974年制定的《隐私法》,除此之外,还包括1966年的《信息自由法》、1970年的《公平信用报告法》、1986年的《电子通信隐私法》、2018年的《加州消费者隐私法》和2020年的《加州隐私权法案》等。这些法律法规在不同范围、不同领域对信息主体进行隐私保护,比如,《隐私法》明确赋予了信息主体个人信息决定权、知情权和更正修改权;《公平信用报告法》对个人信誉、信用状况、偿债能力和就业情况等个人数据的使用进行限制,要求征信机构公正、合理开展消费者信用报告活动,并尊重信息主体的隐私权,对特定数据进行安全存储;《加州隐私权法案》补充并扩展了《加州消费者隐私法》,赋予加州公民知情权、访问权、选择退出权、可携带权等更多的个人信息控制权。

3. 新兴市场的数据本地化原则。发展中国家和新兴经济体更加重视数据本地化。主要原因在于这些国家和地区的社会发展相对滞后,信息基础结构也相对薄弱,数据跨境流动会对国家主权、数据安全和个人信息保护带来隐患。比如,巴西制定了《一般个人数据保护法》,专门引入了数据本地化修正案,规定巴西人的个人数据必须在巴西境内物理存储和维护;印度通过《个人数据保护法案》对“关键个人数据”采取了硬性本地化规定,要求这些数据只能在印度处理,不得传输到国外。此外,越南、马来西亚、印度尼西亚和尼日利亚等新兴经济体国家也已经或正在制定数据保护法律,进一步明确数据本地化原则。我国也对数据本地化存储做出了具体规定,其中,《个人信息保护法》规定“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内”。

(二)技术操作层面

主要是身份标识、数据和报告格式的标准化问题。身份信息识别是金融市场完整性的关键因素,也是开展跨境征信业务的必要条件,但不同国家和地区的身份信息系统之间通常存在差异,而且并非所有国家都有全国性的身份信息系统。比如有的国家使用护照进行国民身份识别,但一个人可以同时持有多本号码完全不同的护照,这种情况给跨境征信业务带来了阻碍。此外,不同国家的数据项和信用报告格式缺乏统一标准,信息提供者往往也有所不同,这也是跨境征信面临的外部约束之一。对于传统的跨境征信模型来说,缺乏标准化的通用格式会导致征信数据在信用评分或评级模型中分布不一致,模型难以得到最大程度的优化,最终影响模型的输出表现。

四、我国跨境征信合作策略选择

(一)完善我国跨境征信业务领域相关法律法规

我国在信息以及数据安全领域的法律框架以《网络安全法》《数据安全法》和《个人信息保护法》为基础,明确数据跨境提供的总体要求与规则。征信领域,《征信业管理条例》《信用评级业管理暂行办法》《征信业务管理办法》等一系列重要的法律法规,对征信数据的跨境流动作出了具体规定,明确提出数据本地化存储等重要原则。但是应该注意的是,我国在跨境征信业务领域的管理制度仍需细化完善,比如《征信业务管理办法》中对个人和企业信用信息跨境提供进行了区分,为信用信息跨境流动的分类分级监管提供了一定的理论基础,但只是概括性提到应当符合法律法规的规定和确保用于跨境贸易、投融资等合理用途,在实际的应用中仍然缺乏重要征信数据目录和监管指引。下一步,一是要在已有的数据保护法律基础上,进一步加强跨境征信领域的立法监管,分类分级制定征信行业重要数据目录,避免重要数据和敏感信息非法出境;细化完善信用信息跨境流动行为规范,明确对跨境征信服务各参与方的具体要求,加强信用信息跨境流动监管,规范征信数据跨境传输行为。二是要更加注重立法监管的灵活性,同时防范监管过度和监管缺失,在协调不同国家和地区间差异化的监管条件过程中,找到坚持與妥协的最优平衡点。

(二)构建政府与市场优势互补的业务发展格局

征信监管当局之间开展的跨境征信合作,便于解决强制采集数据项、数据以及报告格式等一系列标准化问题,但是通常需要综合考虑、首先满足监管当局的宏观调控目标,其次才是业务拓展;而市场化征信机构可以在监管当局允许的法律框架内,通过新颖的业务模式、先进的技术手段更快地跨越不同业务阶段。因此,我国应该着力构建“政府+市场”的发展模式,推动形成政府与市场之间协同发力、优势互补的发展格局。一方面,目前正处于制定国际间跨境征信规则和标准的关键节点,监管当局要更主动参与国际合作,共同构建征信数据跨境流动规则和跨境征信国际标准,提升我国在国际征信合作中的影响力和话语权。另一方面,要立足市场发展状况,充分发挥市场化征信机构的比较优势,鼓励其在法律框架内积极开展技术和业务创新,支持其参与公共征信监管当局之间的跨境征信合作,为市场提供更多可复制、可推广的跨境征信方案。

(三)重视技术手段在发展跨境征信方面的潜力

传统的跨境征信赖于完善的双边或多边协议、标准化的征信数据和报告格式,而机器学习和人工智能等先进的技术手段,被证明可以绕开标准化的“独木桥”,通过自动化的方式更快实现相同的结果。为此,应该重视信息领域尖端技术在跨境征信不同业务阶段的应用,主动尝试利用技术手段绕开一些原本无法回避的障碍,实现跨境征信业务的跨越式发展。

注:

①我国《征信业务管理办法》对信用信息有明确规定:信用信息是指依法采集、为金融等活动提供服务、用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。但是从世界范围来看,不同国家和地区对信用信息的定义和范围大不相同,而且目前跨境征信主要涉及个人和企业信贷信息等传统征信数据的跨境流动,故本文使用“征信数据”的说法。

(责任编辑    刘西顺;校对   XS,WY)

猜你喜欢
数据保护流动跨境
浙江:出台5个新获批跨境电商综试区实施方案
流动的画
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
未成年人能不能上社交网络
为什么海水会流动
2013年跨境电子商务那些事儿