企业征信机构的数据合规问题与实践措施

马玉萍

当前我国对征信工作高度重视，并落实了《个人信息保护法》、《征信业务管理办法》、《企业信用信息采集、处理和提供规范》等制度，规定了公民个人及企业信用信息保护的相关内容，为依法采集、使用信用信息提供了指引。但很多征信企业在数据采集、使用等业务开张过程中，存在诸多合规问题，影响了征信行业的健康持续发展。为此应加强信息主体权益保护、强化风险管理理念，提升数据合规管理水平。

一、企业征信机构数据合规管理的意义

征信作为金融体系的重要成分，能够运用大数据技术构建出征信模型，并对信用主体如个人与企业等信息进行采集、分析、整合与挖掘，多维度地刻画信用主体的信用情况，形成一定的信用评价，实现对贷前、贷中与贷后的风险预测与管理，多方面反映出信用主体的履约能力。开展企业征信机构数据合规管理工作可以确保征信行业的健康发展，避免由于接入机构的内控制度不健全、人员管理不完善、技术手段不先进等问题造成信息泄露，确保征信市场的健康化、可持续化。而当前我国法律框架的数据权属及权利范围还缺乏明确的界定，为此就应加强对征信业务开展的合法合规性监督，避免接入机构违规操作所引发的侵权案件，确保公民信息的安全性，为社会群众提供一个放心的征信监管环境，解决人民利益问题。

二、企业征信机构数据合规的现状

我国对征信机构数据合规性的监管起步较晚，相较于一些西方发达国家，如美国的市场多头监管、欧洲的一元化监管、日本的政府监管模式等。我国在征信法律法规方面还较为不足，如在制定信用数据采集计划、确定采集数据类型、采集方式及适用性等方面缺乏合规性，甚至出现了金融信用机构以营利为目的，向其他机构出售个人及企业信息的情况。我国在行业法规监管方面的空白，也让很多企业在内控制度、数据报备、用户信息收集、管理使用、信息查阅、异议处理等方面出现了不合规的问题。虽然信用信息的合规问题引起了国家重视，但很多信息在采集、管理与使用等过程中，依旧还面临着较大的安全风险。为此应进行不断地调整与优化，降低公民信用信息、企业信用信息的安全性与风险性。

三、企业征信机构的数据合规问题

1.企业内控合规管理存在漏洞。当前一些企业由于刚接入征信系统，对征信数据合规管理工作缺乏充分认识。很多管理人员与业务人员不了解征信工作的概念，特别是对于系统数据处理流程、相关制度建设、安全管理等方面的内容模糊不清。部分企业征信合规管理意识淡薄，对于内控制度建设的重要性认识不足，缺乏健全规范的内控措施。甚至有的企业在内控制度建设中还存在照搬其他企业的情况，没有结合自身业务特点和发展完善内控制度，导致很多企业内部存在诸多漏洞。例如据四川省互联网金融白皮书显示，当地有30%的企业管理人员并未有金融行业从事经验，严重影响了企业的规范管理。另外在众多小型机构中，普遍还存在重业务、轻合规的情况。

2.征信合规体系处理模式不完善。我国传统的征信合规体系主要是依靠《征信合规通知》与《征信业管理条例》的相关规定。这两者都存在一定的不足，在信用信息的采集、整理、保存、加工以及各类金融活动中界定划归不明确。例如《征信业管理条例》中只规定了征信业务规则及监督管理的内容，并未明确提出构建完善的征信合规体系的办法，缺乏精细化的指引。而《征信合规通知》在内容上也只是针对征信合规体系构建的重要性、倡导自我纠察制度方面的教育，对于当前机构在个人信用信息、企业信用信息的收集与使用等方面规定较为粗浅。我国现有的征信合规体系缺乏对信用信息的类型区分。很多管理法规中都未针对征信机构采集的信息划分具体类型，导致信用信息的采集边界无限扩张。如《征信业管理条例》“禁止机构采集个人信仰、基因、指纹、血型、疾病史及法律禁止的其他个人信息”中的个人信息属于何种类型，又或是在“企业信用信息的来源应包括被采集对象、相关利益机构、相关政府部门、企业信息机构与个人”中缺乏对企业信息使用的规定，造成很多征信机构难以判断信息是否应该被采集，既增加了系统负荷，也缺乏参考作用，更难保证信息的合规性。

3.征信机构数据采集使用缺乏合规性。当前很多企业缺乏对于数据采集使用合规性的认识，并未按照法律规定及行业监管要求进行业务合规性评估。首先，采集信用主体信息时，并未告知并取得信用主体的授权同意或授权形式不合法，没有形成完整、合规的授权，甚至使用不正当手段或从非法渠道采集数据信息，存在数据来源不合规的情况。其次，未按照约定用途、范围、目的、方式使用数据信息。普遍认为信用主体的资料应被充分运用，例如用户的身份证号码、手机号码、联络人号码、联络人信息等都应被挖掘使用，导致用户信息的挖掘与使用中缺乏合规性。再其次，我国《民法典》、《征信业管理条例》没有明确规定采集企业信用信息需要企业主体授权同意，但规定“征信机构可以通过信息主体、企业交易对方、行业协会提供信息，政府有关部门依法已公开的信息，人民法院依法公布的判决、裁定等渠道，采集企业信息。征信机构不得采集法律、行政法规禁止采集的企业信息”，而实践中在企业征信数据采集、加工、处理及使用中并未进行充分甄别，导致用户及非用户的个人利益受到侵犯，严重影响了公民信息权益。

4.征信异议处理存在问题。现阶段很多小型金融企业的经营稳定性较差，再加上2019年以来的社会市场状况，很多企业都面临着倒闭风险，特别是一些P2P机构更是出現了集中清退的情况，而一旦机构被清退，先前借款人的信用信息核实异议问题就出现了漏洞，很容易对公民主体的征信权益造成影响。首先，征信异议的处理本就拥有较高的难度，在出现信用诈骗情况时，一些小型机构由于涉案金额较小，受害人提供的证据不充分等原因，在维护公民合法权益等方面存在较高的难度，或是在进行异地取证时存在反馈不及时的情况，徒增信用风险。其次，很多小型金融机构也难以充分发挥非现场监管的职能，缺乏有效的风险预警工作，例如很多从业人员在处理异议时存在相互推诿的现象，并未协同调查合作机构，对于征信系统的运行与接入情况缺乏实时监管，在异议问题出现后由于处理证据不及时等，造成了很大的信用风险，降低了异议问题处理效率。

5.征信系统监管制度存在纰漏。征信合规管理工作的目标是督促征信机构在合法、合规的范围内从事征信业务。为此征信系统监管中应注重督促性，而非滥用监管制度，违反征信合规要求。特别是在我国《个人信息保护法》实施后，国家也专门明确了征信业务处理的专业性，但由于缺乏上层机关的宏观指导，对于国家网络信息治理缺乏认知、监管范围无法深入基层。同时在面对跨境征信监管工作中，我国缺乏有力的实质性监管措施，对跨境电商的合作造成了影响，更加难以保障跨境个人信息数据的传输工作的规范型及合规性。部分企业为了获取更高的利益非法将公民个人信息向境外机构贩卖，从中赚取利益，也严重影响着我国的经济安全。因此，应积极建立配套体系，强化监管职能。

四、企业征信机构数据合规管理的实践措施

1.构建征信合规监管体系。征信机构数据合规管理应对整体工作流程进行监管。《征信业管理条例》第四条第一款规定：中国人民银行（以下称国务院征信业监督管理部门）及其派出机构依法对征信业进行监督管理。而我国履行个人信息保护职责的主要有国家网信部门、国务院有关部门及地方有关部门，共同形成了集中式监管体制，其监管主体包括人民银行以及人民银行的附属机构。这种宏观方面的监管虽然可以保证流程的专业性，但在细节调控方面却容易产生漏洞，对于各地区的企业征信机构监管缺乏有效的指引，容易导致企业在理解方面产生偏差，影响着征信数据合规管理水平。为加强对数据风险的预防，各企业应对征信数据合规性管理工作具有明确认知，落实征信管理法规，构建起征信数据合规监管的管理体系，将征信查询系统、信息查询、信息保存、数据对接等纳入监管范畴，对资料查询及异议处理等进行规范，有关部门也应对管理不完善的企业进行处罚，实现对征信体系的常态化、实时化监管，有效提升宏观管理体系对基层部门的监管力度，强化整体监管流程的合规性。

2.搭设公民与征信机构的双方面评价。我国《个人信息保护法》中预设了自动化决策体系，可通过计算机程序分析个人行为习惯、兴趣爱好、信用状况等进行决策活动。由于公民对于个人信息的把控力较弱，容易被征信机构强行采集到信用信息，应加强这种应用场景下的合规监管。首先，自动化决策场景是一种优化征信信息处理的事先预防制度，可消除供公民认知差异，避免遭受信息越界的影响。个人信息的决策中应确保信息采集的透明度，相关部门应确保个人信息不可被用于交易，确保算法的透明与公开，应让公民了解征信信息采集使用以及征信报告的制作流程，避免公民陷入到“自己被评测，却难以反过来评测机构”的局面，可通过信息系统在征信机构官网等开设公民互动窗口，既可以让公民进行评价，又可以确保征信系统得出的个人信用评价的公允性。其次，这种双方面评价窗口公民还可以要求机构对个人信息的使用情况加以说明，并有权利拒绝机构通过软件程序收集到某方面信息，赋予被采集者知情权，让公民知晓个人信用信息的采集情況，提高对被采集者知情权的重视，充分保障被采集者的知情权益，从而通过社会力量提升征信机构在信用信息采集与使用等过程中的合规性。

3.严格管控征信数据采集使用合规性。我国人民银行发布的《征信业务管理办法》对于征信数据的采集与使用等进行了明确规定，有关部门应加强对市场中征信机构数据的审核监管。按照法律要求审查是否包含限制类采集信息、禁止类采集信息、敏感类采集信息等，如个人收入、存款、证券、不动产信息及联系人相关信息等，还包括个人基因、指纹等信息。一旦发现该类信息流入市场，应严厉打击涉事企业，强化个人信息的保护及数据安全。同时还应开展穿透式审核，直接追溯到数据源，对数据所有底层变量类型进行追查，了解数据采集来源的合规性，并建设全面的市场合规文化。

对于企业的信用信息需要从更多的方面进行评估，如对企业的注册信息、财务报表、职工信息、银行往来状况、经营者建立、企业发展史等。同样，企业相比于个人也具有更多的优势，例如一些互联网大企业、大数据公司等也会利用自身优势，参与到地方信用体系的构建中。征信机构在采集与使用企业的信用信息时，更应站在平等互惠的角度，确保所收集到的数据能够为企业信用评估作出帮助，同时收集信息应得到企业的同意，在企业授权同意的情况下进行数据交换，或通过企业主动上传的形式，确保数据的有效性与合规性。

4.完善跨境征信合规监管。跨境征信合规性监管是一项重要任务，可影响我国外经贸的发展，也可以避免机构收集的个人信息恶意泄露，出现损害公民合法权益的情况，因此全面保障公民个人信息的安全性。各个国家对于跨境征信的监管做法不一，如欧盟直接限制了跨境信息流动，加强对个人信息的保护；美国则采用了以市场多头监管为主导，以行业自律为辅的监管模式，通过多边协议实现对个人信息的最大价值利用，二者存在着较大的差异与观念。而我国在进行跨境征信合规管理的工作中，则应注重公民个人权利的保障，应检查征信信息收集系统的合规性，确保个人信息收集满足相关法律法规要求，还应评估个人信息的真实性，并确保评估及传输行为的正当性。另外，应明确合规认证的内容，并对相关企业及机构进行规范性管理，杜绝征信机构作出损害公民权益的行为。

五、结语

信用信息关乎着社会生活的方方面面，为此企业征信机构应严格确保数据合规，做好合规性管理，应构建起征信合规监管体系、优化数据接入机制、提高数据信息质量、强化非现场监管、完善跨境征信合规监管等措施，加大惩戒力度，确保信用信息的安全性与合规性。

（作者单位：甘肃合睿律师事务所）