◎ 文《法人》特约撰稿 叶征
资料图片
今年 1 月 1 日起,中国人民银行发布的《征信业务管理办法》(下称“征信新规”)正式施行。作为《征信业管理条例》的配套制度,征信新规与《征信机构管理办法》共同构成征信法治体系的重要组成部分。在保证与现行法律法规相衔接的同时,征信新规充分吸收个人信息保护法、民法典、网络安全法、消费者权益保护法等现行法律法规有关个人信息保护的内容,强化个人信息保护力度,明确信用信息的定义及征信管理的边界、规范征信业务全流程。
征信新规从保护个人和企业合法权益角度,对信用信息采集、整理、保存、加工、提供和使用安全以及监管等征信业务的各个环节进行了明确规定,强调信用信息安全和依法合规跨境使用、提高征信业务公开透明度,同时,更侧重对征信业务活动的监管。
按照实质重于形式的监管原则,征信新规将为金融等活动提供服务、用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息,都视为信用信息。凡是对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动,都归为征信业务,并纳入征信监管。同时,以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义对外实质提供征信服务,也要纳入管理范围。这样,有利于将部分没有“征信”名号但实际从事征信业务的数据服务公司纳入监管范围,从而促进征信市场健康有序发展,营造公平竞争的市场环境。
近年来,采集和利用征信替代数据刻画企业和个人的信用状况,成为世界各国征信业务发展的新趋势。征信新规将以征信替代数据为主要内容的信用管理服务纳入征信业务范围,顺应了世界征信行业的发展趋势,是新规最大的亮点。
我国网络安全法、数据安全法、个人信息保护法以及国家互联网信息办公室最新发布的《数据出境安全评估办法》等法律法规,主要针对关键信息基础设施及一般网络运营者的个人信息、重要数据这两类数据出境问题进行规制。由于征信机构掌握大量的个人及企业信用信息,信息的敏感性较高,且批量信用信息跨境流转可能影响到国家经济金融安全和社会安全。对此,征信新规明确规定,征信机构向境外提供企业信用信息的,应当在合作协议签署后、业务开展前将合作协议向人民银行报告。征信机构向境外信息使用者提供企业信用信息查询产品和服务,应当审查信息使用者的身份、信用信息用途,确保信用信息用于跨境贸易、投融资等合理的用途,不得危害国家安全。一方面实现数据出境与其他数据保护法律法规的相互衔接,另一方面有利于加强个人和企业信息主体权益保护,保障信息安全。
在信用信息采集方面,征信新规要求,征信机构采集信用信息,应当采取合法、正当的方式,遵循“最少、必要”的原则,不得过度采集。这与民法典、网络安全法等法规中的有关规定保持一致。同时,征信新规还规定,征信机构经营个人征信业务,应当制定采集个人信用信息的方案,并就采集的数据项、信息来源、采集方式、信息主体合法权益保护制度等事项及其变化向中国人民银行报告。这一规定有利于提升个人征信业务的合法、合规性。
发达国家的征信体系经过百余年的发展,形成了良好的征信数据环境、完善的法律体系、健全的行业监管模式和业绩优良的征信市场主体。发达的征信体系净化了征信服务的市场环境,规范了信用交易的流程和标准,极大促进了发达国家的社会经济发展。相比之下,我国现行征信业还存在较大的发展潜力。
目前,我国征信监管仍采取政府监管方式,暂无专门的行业协会参与征信业的自律管理。征信新规发布后,征信监管的内容除了包括借贷领域的负债信息外,还涵盖各种征信替代数据,征信监管除了涉及金融领域,还涉及电子商务、租赁、出行、职雇、电信、电力、交通、政务等非金融领域,监管范围较传统征信扩大较多,监管难度大幅增加。因此,行业自律管理是补充政府监管不足的有效方式。
大型互联网平台垄断信用信息,难以共享,不仅造成中小银行自主风控能力薄弱,阻碍了市场化征信机构的发展,其直接向金融机构提供信用信息时还存在个人信息保护的合规风险。过去导流、联合贷业务中,常用的是互联网平台掌握场景流量,为银行信贷产品提供获客渠道,一般为保证合作渠道的客户质量,平台会进行一轮客户初筛,基于平台掌握的消费支付数据、行为数据等作出风险评判,给出特定的信用评分等;在一些合作关系中,银行(特别是中小银行)连央行征信查询也交由平台进行,对平台输送的客户仅做形式上的最终审核。基于这种情况,银行实际上外包了核心风控环节,数字化能力无法得到真正提升,只会越来越依赖平台。而互联网平台在为客户提供金融服务时,对个人信息权益的保护,对信息主体知情权、异议权和更正权等应有权利的保障通常十分薄弱。从业务层面看,未来涉个人信息共享流程需要按照征信新规的基本要求开展和执行,各互联网平台均需要积极对接持牌征信机构,银行查询信用信息需要通过征信机构获取,而不是直接从数据源端获取。从征信行业发展上看,征信替代数据源也将成为持牌征信机构的战略重心,而加强征信替代数据源的合规归集与应用有助于市场化征信机构打开业务空间,走出与央行征信中心差异化的发展路径。
在现有的征信法律框架下健全征信标准体系,能够为征信体系有效运作提供有效保障。征信新规的出台适应了数字征信时代征信新业态规范发展的需要,完善了我国征信法律法规体系。虽然我国的征信标准化已经起步,人民银行自2005年底启动了征信标准化工作,并陆续发布《征信数据元 个人征信数据元》《征信数据元 数据元设计与管理》《金融信用信息基础数据库用户管理规范》和《征信机构信息安全规范》等多项标准,对信用术语、信用信息采集、信用评级符号等基础性征信标准作出了规定,但这些标准主要是配套央行征信中心的公共征信需求,难以全面适应目前的信贷市场,更无法满足市场化个人征信机构互联网金融信贷数据采集的需求。而征信新规真正落地实施,还需要制定符合市场化征信业务发展所配套的标准规范和实施细则。例如,需要制定信用信息收集的“最小必要”规则,实现征信活动实际目的与个人信息主体权益保障之间的平衡;反欺诈、大数据风控、征信替代数据、信用评价等征信新业态的监管细则需进一步明确;基于合法的目的采集企业信息的认定标准、信用评价非歧视性的认定标准等均有待明确;非持牌征信机构与持牌征信机构合作也应制定相关的标准规则等。
征信新规的出台预示着我国征信业将进入“强监管”时代,持牌征信将成为征信机构合规经营的前提条件,从事助贷、大数据风控、征信替代数据和反欺诈等征信业务的非持牌的互联网平台和金融科技公司,将面临市场退出风险。
随着近年来对个人隐私信息保护和金融消费者权益保护的加强,未来国家对个人征信牌照的发放可能会保持谨慎态度,个人征信牌照发放数量将十分有限,这样会导致大多数助贷公司和拥有个人行为数据的互联网平台只能借道与百行征信、朴道征信等持牌机构合作开展个人征信业务,将逐渐丧失在消费场景和数据收集方面的优势,造成商业模式不可持续,最终可能面临退出征信市场的局面。
对持牌征信公司而言,为满足征信新规的相关要求,需提前结合新规的相关规定开展业务合规性审查,加强对信用信息的收集、加工、留存、使用、对外提供等业务环节的流程管控,重新评估与第三方数据服务商进行合作的风险,并依此决定是否继续合作。总体来看,新规发布后,持牌征信机构的合规成本也将会大幅上升,征信市场面临深度调整,我国征信市场可能会出现向头部征信机构集中的趋势。
因此,征信标准建设需要紧跟新时代征信业的发展步伐,加快推进。一方面我国征信市场蓬勃发展,在更多家征信机构获得个人征信牌照之后,信用信息共享需求进一步加深,尤其是征信替代数据纳入征信监管,更需要标准的跟进。另一方面,征信机构本身也有必要和义务推动数据标准的建立和统一,对征信机构内部比较成熟的数据标准,可扩大影响力,推广至其他机构,使其在更大范围内发挥作用。同时,征信机构应积极推动征信标准化工作,从国家层面对信用信息的分类、代码、信息范围、报告形式、数据采集规范、报告解析、合规应用等方面制定配套标准。