近日,人民银行成都分行网站公布对四川仪陇农村商业银行股份有限公司的行政处罚决定,因“未按规定处理异议;未经信息主体授权询个人信用报告”,被中国人民银行南充市中心支行分别处5万元和13万元罚款,两项共处人民币18万元罚款。10月1日,《上海市社会信用条例》正式实施,作为上海出台的全国首个综合性地方信用立法,既落实了国家信用改革的战略性任务,也构成了上海信用体系建设的重要组成部分。个人信用制度的架构正逐渐受到国家的重视,而其在互联网金融领域中同样扮演着至关重要的角色。
互联网金融的发展已然是大势所趋,无论是系统化监管体系逐步成型的网络借贷平台还是收集个人信用信息的征信服务业,均在其中占据着重要的地位。金融大数据涉及国家利益、金融秩序、个人隐私等重要信息,国务院、央行、各部委出台的法律、法规、规章中针对其也有相应的特别规定,现将金融大数据相关法律、法规、规章整理如下:
法律、法规、规章 | 相关内容 |
一、鼓励创新,支持互联网金融稳步发展 (六)推动信用基础设施建设,培育互联网金融配套服务体系。支持大数据存储、网络与信息安全维护等技术领域基础设施建设。鼓励从业机构依法建立信用信息共享平台。推动符合条件的相关从业机构接入金融信用信息基础数据库。允许有条件的从业机构依法申请征信业务许可。支持具备资质的信用中介组织开展互联网企业信用评级,增强市场信息透明度。鼓励会计、审计、法律、咨询等中介服务机构为互联网企业提供相关专业服务。 三、健全制度,规范互联网金融市场秩序 (十七)网络与信息安全。从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。 | |
第二十九条 商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。 第三十条 对单位存款,商业银行有权拒绝任何单位或者个人查询,但法律、行政法规另有规定的除外;有权拒绝任何单位或者个人冻结、扣划,但法律另有规定的除外。 | |
侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪 | |
第六条从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件: (一)有业务发展计划及相关技术方案; (二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度; (三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。 | |
《征信业管理条例》 | 第十三条 采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。 企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。 第十四条 禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。 征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。 第十五条 信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。 第十六条 征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。 在不良信息保存期限内,信息主体可以对不良信息作出说明,征信机构应当予以记载。 第十九条 征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。 第二十一条 征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息。 征信机构不得采集法律、行政法规禁止采集的企业信息。 第二十二条 征信机构应当按照国务院征信业监督管理部门的规定,建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全。 经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息,不得泄露工作中获取的信息。 第二十四条 征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。 征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。 第二十九条 从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。 从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定。 |
《网络借贷信息中介机构业务活动信息披露指引》 | 第十四条 网络借贷信息中介机构应当建立健全信息披露制度,指定专人负责信息披露事务,确保信息披露专栏内容可供社会公众随时查阅。 第十五条 网络借贷信息中介机构应当对信息披露内容进行书面留存,并应自披露之日起保存五年以上。 第十六条 网络借贷信息中介机构应当按要求将信息披露公告文稿和相关备查文件报送其工商登记注册地地方金融监管部门、国务院银行业监督管理机构派出机构,并置备于网络借贷信息中介机构住所供社会公众查阅。 |
《网络借贷资金存管业务指引》 | 第十二条 在网络借贷资金存管业务中,存管人应履行以下职责: (七)妥善保管网络借贷资金存管业务相关的交易数据、账户信息、资金流水、存管报告等包括纸质或电子介质在内的相关数据信息和业务档案,相关资料应当自借贷合同到期后保存5年以上; (九)存管人应当加强出借人与借款人信息管理,确保出借人与借款人信息采集、处理及使用的合法性和安全性。 第二十条 委托人需向存管人提供真实准确的交易信息数据及有关法律文件,包括并不限于网络借贷信息中介机构当事人信息、交易指令、借贷信息、收费服务信息、借贷合同等。存管人不承担借款项目及借贷交易信息真实性的审核责任,不对网络借贷信息数据的真实性、准确性和完整性负责,因委托人故意欺诈、伪造数据或数据发生错误导致的业务风险和损失,由委托人承担相应责任。 |
第九条 网络借贷信息中介机构应当履行下列义务: (一)依据法律法规及合同约定为出借人与借款人提供直接借贷信息的采集整理、甄别筛选、网上发布,以及资信评估、借贷撮合、融资咨询、在线争议解决等相关服务; (二)对出借人与借款人的资格条件、信息的真实性、融资项目的真实性、合法性进行必要审核; (五)按照法律法规和网络借贷有关监管规定要求报送相关信息,其中网络借贷有关债权债务信息要及时向有关数据统计部门报送并登记; (六)妥善保管出借人与借款人的资料和交易信息,不得删除、篡改,不得非法买卖、泄露出借人与借款人的基本信息和交易信息; (九)按照相关要求做好互联网信息内容管理、网络与信息安全相关工作; 第十八条 网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。 网络借贷信息中介机构应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。 网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。 第二十三条 网络借贷信息中介机构应当采取适当的方法和技术,记录并妥善保存网络借贷业务活动数据和资料,做好数据备份。保存期限应当符合法律法规及网络借贷有关监管规定的要求。借贷合同到期后应当至少保存5年。 第二十七条 网络借贷信息中介机构应当加强出借人与借款人信息管理,确保出借人与借款人信息采集、处理及使用的合法性和安全性。 网络借贷信息中介机构及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的。 在中国境内收集的出借人与借款人信息的储存、处理和分析应当在中国境内进行。除法律法规另有规定外,网络借贷信息中介机构不得向境外提供境内出借人和借款人信息。 | |
二、银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。 三、银行业金融机构应当建立健全内部控制制度,对易发生个人金融信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。 银行业金融机构要完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。 银行业金融机构要加强对从业人员的培训,强化从业人员个人金融信息安全意识,防止从业人员非法使用、泄露、出售个人金融信息。接触个人金融信息岗位的从业人员在上岗前,应当书面做出保密承诺。 六、在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。 | |
二、各银行业金融机构应采取有效措施确保客户个人金融信息安全,防止信息泄露和滥用。 | |
第二十六条商业银行应当根据中国人民银行的有关规定,制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程,并报中国人民银行备案。 第三十一条商业银行应当建立保证个人信用信息安全的管理制度,确保只有得到内部授权的人员才能接触个人信用报告,不得将个人信用报告用于本办法第十二条规定以外的其它用途。 |
在我国目前的法律体系下,金融大数据相关的法律法规有《网络安全法》、《关于促进互联网金融健康发展的指导意见》、《征信业管理条例》、《中国人民银行关于银行金融机构做好个人金融信息保护工作的通知》、《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》、《个人信用信息基础数据库管理暂行办法》、《商业银行法》等。涉及网贷平台的规章文件有《网络借贷信息中介机构业务活动管理暂行办法》、《网络借贷信息中介机构业务活动信息披露指引》、《网络借贷资金存管业务指引》等。
对于征信行业,征信机构收集信息主体信息应当取得本人同意,不得采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息等敏感信息。征信机构在履行对不良信息主体的告知义务后,保存个人不良信息的期限为5年,应当注意的是,上述期限仅限于不良行为或事件终止之后,若不良信息主体尚未终止其失信行为,则该信息应当持续保存。征信机构还应当完善对其工作人员的监督管理,明确人员权限和程序,根据查询记录及时登记姓名、时间、内容及目的。
对于网络借贷行业,网贷平台应当通过有效的审查保证借贷双方信息真实性和目的合法性,同时还应根据现行的信息安全等级保护要求履行一定的安全保护义务,记录并留存借贷双方上网日志信息、借贷业务活动数据和资料等,完成备份并保存至借贷合同到期起5年。在日常运营过程中,网贷平台还应构建合理的信息披露制度,及时公示项目信息、重大风险信息、消费者咨询投诉渠道信息等内容。
对于银行业,央行明确要求各大银行及金融机构做好客户个人金融信息的保护工作,采取有效措施确保信息安全。相关金融机构可以参照《网络安全法》的相关规定,收集和使用个人信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,采取技术或其他措施确保收集的个人信息的安全,防止信息泄露、毁损、丢失。此外,金融机构还应健全内控制度,加强接触相关信息的从业人员培训,并与之签订书面保密承诺。
