一、《征信业务管理办法》出台的背景
《征信业务管理办法》(以下简称“《办法》”)已于2021年9月30日由中国人民银行发布,自2022年1月1日起施行。2021年1月11日,《征信业务管理办法(征求意见稿)》(以下简称“《征求意见稿》”)公开征求意见后引起了社会各界广泛讨论,植德数据合规组亦就《征求意见稿》进行了解读,详见:简评《征信业务管理办法(征求意见稿)》。从征求意见到正式发布,《办法》的出炉经历了259天。期间,中国财富管理50人论坛课题组(以下简称“课题组”)举办专题研讨会就《征求意见稿》进行了讨论,并发布了报告《完善征信业务监管体系推动征信业高质量发展》(以下简称“报告”),从中可以看出《征求意见稿》到《办法》所进行的取舍、调整。例如,调整了征信机构的审核义务强度,兼顾了数据来源审核的难度;强调了现有征信机构存量不多,需要防范数据垄断问题,避免影响市场健康发展,故新增了公平经营条款;对于征信机构的个人信用评价类产品的评分方法、模型,由公开(对外披露)调整为半公开(向央行报告)。
《办法》之所以受关注,我们认为核心是“替代数据”被纳入信用信息范畴,让传统征信业务的内涵被大大扩充,回应了实务中征信的新业态和新特征。之所以将“替代数据”纳入征信监管,从答记者问来看,有三个目标:
第一, 将原先游离于监管之外的新兴征信活动纳入法治监管的轨道;
第二, 促进市场公平;
第三, 维护国家金融稳定和金融安全。
二、不能回避的数据合规挑战:《办法》VS《个人信息保护法》
1. 数据合规的双重挑战
对于个人征信机构、企业征信机构(个人信息处理者)以及金融机构(信息使用者、信息提供者)、信息提供者(如助贷机构),其首先面对的是《个人信息保护法》(以下简称“《个保法》”)实施后的合规要求;这部我国数字经济领域的基本法,对于个人信息处理者提出了一系列义务。个人信用信息属于个人信息的范畴,个人征信机构金融机构、信息提供者都属于《个保法》中的个人信息处理者范畴,均受《个保法》规制。
实务中,上述主体面临双重的数据合规挑战,例如:
(1)征信机构如何合法采集、使用、加工、存储、对外提供、删除信用信息?
(2)拥有算法模型的助贷机构该如何与征信机构合作?助贷机构是否还可以继续从事信用信息加工服务,以及对外输出信用分产品?
(3)征信机构、金融机构、助贷机构,如何履行《个保法》中关于个人信息处理者的法定义务,同时满足《办法》中提出的各项合规要求?是否存在交叉,对现有业务有哪些影响?
我们通过以下表格进行了对比,以便征信机构、金融机构、助贷机构更好的理解两部法律文件的差异性。
2. 小结
总体来看,就个人征信业务而言,《办法》调整的信用信息(客体)、征信机构、金融机构、信息提供者,相比《个保法》范围更窄;在具体合规要求上,《办法》在牌照管理、信用信息生命周期管理上,相比《个保法》更加垂直、细致,突出了征信业务的特点,例如征信机构向央行的各类报告义务、不良信息的存储期限要求以及信用信息质量和客观性要求更高,征信机构在经营上需要遵从公平性原则(目前个人征信机构较少)等。而《个保法》是我国数字经济领域的基本法,其调整的个人信息(客体)比信用信息范围更广,涉及的规制对象范围也更广。在个人信息生命周期管理上,《个保法》调整的环节更多,更加基础;在行政处罚上,《个保法》规定了更高的罚款金额,充分体现了《个保法》的基本法地位。
三、《办法》出台对助贷业务的影响
(一)征信业务的判断公式
实务中,我们接到了大量咨询,核心的三大问题是:企业目前的业务模式,是否构成征信业务?企业使用的信息是否属于信用信息?未来该如何调整?结合《办法》及答记者问,我们认为,可以从信用信息识别+多元场景、处理方式和载体识别+金融目的识别+不属于明确被排除在征信业务清单之外,这四个方面,来判断企业是否从事了征信业务。
1. 关于信用信息的识别
《办法》明确了信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。征信业务是指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
有业内人士从信用的分类出发,认为信用分为社会信用、经济信用和金融信用,进而认为此处的信用信息应该专属于金融信用。类似骑共享单车不需要付押金等社会信用情形不属于该范畴。也就是信用信息应该具备一定的金融属性,内部评价信息不应该属于信用信息,例如直播平台对主播的等级评定、电商平台对商家的店铺等级评价等。
该定义相比征求意见稿,特别新增了“相关信息”。有业内人士提出,该范围并非指所有信息,而是和金融信用形成最小关联的信息。我们认为,这也是“替代数据”的一个入口。从“替代数据”纳入信用信息的必要性来看,课题组的报告中也提到一些没有信贷信息的征信“白户”,也需要获得融资,为此“替代数据”的补充,可以增加征信判断维度、化解金融风险,对于扩大金融服务覆盖面和可得性,助力实体经济发展是有帮助的。综上所述,《办法》出台后,信用信息的范围更加明确和清晰,并非“普天之下皆征信”,具有一定金融属性的、能够判断企业和个人信用状况的信用信息,才可以纳入《办法》规定的信用信息范围。例如,芝麻信用分如果仅仅用于共享充电宝、共享雨伞、租车等这类非金融领域业务,其不适合定义或理解为是信用信息。
2. 多元场景、处理方式和载体识别
在场景上,从定义可以看出“为金融等活动提供服务”,其场景不限于金融场景,为此未来还需要关注非金融场景下的征信业务,但是从目前监管讲话来看,监管重点更多还是偏向于金融场景(如断直连下的金融场景);对于处理方式,是否信用信息必须经过所有环节(采集、整理、保存、加工、对外提供)才算开展征信业务?我们认为,不能这么僵化理解。但是信用信息一般是用于识别判断信用状况之目的的,因此一般是需要对外提供的,包括供第三方查询。
信用信息的载体一般包括:信用报告、信用评价类产品和服务、信用反欺诈服务产品和服务;征信数据报告类,以及信用决策、评分、修复、信用评级产品。
3. 金融目的识别
这一特征比较关键。我们认为,信用信息一般具备金融属性,具备识别违约风险的目的,为此,如果与该目的无关,或者没有办法发挥“替代数据”的作用,那么该信息不一定可以纳入到信用信息的范围。例如前面提到的芝麻信用分的个别场景,以及个人的交通违章记录、“跳槽”记录、疫情期间的健康码等。试想,如果所有的个人数据、企业数据都纳入信用信息,那区分个人信息和信用信息的边界在哪里?这些泛道德的信息是否能够真正达到及时预判违约风险的目的?显然不是。但是我们要注意到实务中,一些金融机构已经开始关注和识别哪些“替代数据”正在对其判断个人和企业借款人的信用维度,发挥积极作用。例如个人的缴税记录、住房公积金缴纳记录、社保缴纳记录、通讯欠费记录、企业用电记录等等。
4. 负面清单
从《办法》答记者问可以看到,非商业合作的信息服务不属于征信业务范畴,可以排除。具体见下表,其可以作为判断征信业务的一个重要参考指标。
(二)《办法》对助贷机构的影响
结合我们对助贷行业的长期观察和服务,以及对《办法》的研究,我们认为,《办法》对助贷机构的影响,至少有四个方面:
1. 影响之一:并非助贷业务当然受到《办法》影响
《办法》的答记者问提到“互联网平台开展助贷等相关业务符合征信业务定义的,适用本办法。”中国人民银行行长易纲在国际清算银行(BIS)监管大型科技公司国际会议上发表讲话,也提到“无牌或超范围从事金融业务。中国头部平台公司在开展电商、支付、搜索等各类服务时,获得用户的身份、账户、交易、消费、社交等海量信息,继而识别判断个人信用状况,以’助贷’名义与金融机构开展信贷业务合作,相当于未经许可开展个人征信业务。”
我们认为,助贷机构一直没有官方定义。实务中,助贷机构的业务形态多种多样,从贷超、到资金端助贷,再到资产端助贷。从线下助贷到线上互联网助贷。为此助贷机构的业务模式,是否属于《办法》规定的征信业务范畴,还是要结合上述征信业务的判断公式进行考虑。
2. 影响之二:助贷机构面临“断直连”、《办法》以及《个保法》合规要求下的的业务模式调整挑战
助贷机构从过去直接面向金融机构,推荐经过内部风控模型筛选过的借款人,到目前“断直连”后,需要调整业务模式。继续从事相关业务,业务模式如何调整,是一大挑战。
实务中,存在不同模式。如征信机构委托助贷机构处理相关数据后,征信机构将返回的数据提供给金融机构;如征信机构通过与助贷机构合作,通过征信机构的风控模型输出数据分,通过助贷机构提供给金融机构。不管采取哪种模式,按照《办法》要求,征信机构需要将合作方报告央行,助贷机构要经过个人征信机构的的风险评估和央行的核实(第14条),征信机构对于从助贷机构获取的信息要进行必要审查(第9条),助贷机构要向个人信息主体履行告知义务(第13条),征信机构应当向央行报告信用评价类产品和服务的评价方法、模型、主要维度要素;信用反欺诈产品和服务的数据来源、欺诈信用信息认定标准(第31条)等。总体可以看出,央行一方面通过征信机构来加强其合作方(助贷机构等)的监管,这一做法与《商业银行互联网贷款管理暂行办法》的监管逻辑一脉相承,另一方面,也可以看出助贷机构面临的个人信息合法性要求更高。
当然,除了上述业务模式调整思路外,助贷机构也可以寻求申请征信资质、寻求导流模式的方向发展。在导流模式下,例如只在资产端,为金融机构推荐借款人。但是仅仅是导流,并不对借款人进行任何的信用评价。
3. 影响之三:面对外部证监机构、风投机构、资金端机构更严格的询问和调查
如助贷机构为上市或者拟上市公司,则其未来将面临外部证监机构的询问;如助贷机构拟引入风投机构的股权投资,则面临风投机构严格的调查;此外,征信机构与其合作的稳定性,也是其业务可持续发展的重要考量因素,为此与征信机构的合作协议签署非常关键。我们预测,不排除未来助贷机构会寻求与征信机构在股权上的合作,确保其业务经营稳定。
4. 影响之四:助贷机构面临限期(18个月)完成合规整改的要求
《办法》第51条规定,“本办法施行前未取得个人征信业务经营许可或者未进行企业征信机构备案但实质从事征信业务的机构,应当自本办法施行之日起18个月内完成合规整改。”我们理解,在《办法》实施后(2022年1月1日起)助贷机构不得新从事征信业务。为此这里的适用范围一定是在《办法》实施前(我们理解严格解释应该是在《办法》发布之前,即2021年9月30日)已经从事征信业务的机构,但是未取得个人征信业务经营许可或者未进行企业征信机构备案,适用18个月的整改期。那么整改期应该是到2023年6月30日截止。虽然时间看起来很长,但是需要整改的事宜非常多。核心还是和征信机构的合作模式,要得到央行认可,且符合《办法》、《个保法》等法律法规的要求。其中,《个保法》因为已经实施,我们理解在整改期期间,助贷机构也应注意符合《个保法》的各项要求。
四、初步建议
第一,启动自查程序、确定业务发展方向
助贷机构需结合自身业务模式判断是否适用《办法》,如适用,则建议及时开展整改工作,调整业务模式或者获取相关业务资质。同时,也要对新的模式,管理层应寻求股东会的支持,包括风投机构的理解和支持,避免触发相关回购条款。
第二,探索与征信机构良好的合作模式,签署《合作协议》
在适用《办法》的情况下,助贷机构需与征信机构建立良好的合作关系,探索合规的合作模式,实现合作共赢,促进征信与助贷行业健康发展。
第三,完成《个保法》的对照整改
助贷机构无论是否适用《办法》,均需对照《个保法》进行合规整改,做好个人信息保护工作是合规展业的基础。
第四,完成《办法》的对照整改
助贷机构结合自身业务发展方向,确定自己的角色(征信机构、信息提供者、信息使用者),在整改期内完成《办法》对应的整改工作。
第五,与金融机构进行主动沟通,确定后续合作协议的新条款
针对《办法》适用中的疑难问题以及业务模式的合规性问题,助贷机构需积极与金融机构进行沟通,调整双方的合作模式和合作条款。
第六,与监管部门进行主动汇报
助贷机构如完成了业务方向模式的调整,应做好对相关监管部门的汇报。
例如向地方金融局、央行分支机构、证监会等进行汇报。[1]《征信业管理条例》第十三条采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。
企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。
《征信业务管理办法》(以下简称“《办法》”)已于2021年9月30日由中国人民银行发布,自2022年1月1日起施行。2021年1月11日,《征信业务管理办法(征求意见稿)》(以下简称“《征求意见稿》”)公开征求意见后引起了社会各界广泛讨论,植德数据合规组亦就《征求意见稿》进行了解读,详见:简评《征信业务管理办法(征求意见稿)》。从征求意见到正式发布,《办法》的出炉经历了259天。期间,中国财富管理50人论坛课题组(以下简称“课题组”)举办专题研讨会就《征求意见稿》进行了讨论,并发布了报告《完善征信业务监管体系推动征信业高质量发展》(以下简称“报告”),从中可以看出《征求意见稿》到《办法》所进行的取舍、调整。例如,调整了征信机构的审核义务强度,兼顾了数据来源审核的难度;强调了现有征信机构存量不多,需要防范数据垄断问题,避免影响市场健康发展,故新增了公平经营条款;对于征信机构的个人信用评价类产品的评分方法、模型,由公开(对外披露)调整为半公开(向央行报告)。
《办法》之所以受关注,我们认为核心是“替代数据”被纳入信用信息范畴,让传统征信业务的内涵被大大扩充,回应了实务中征信的新业态和新特征。之所以将“替代数据”纳入征信监管,从答记者问来看,有三个目标:
第一, 将原先游离于监管之外的新兴征信活动纳入法治监管的轨道;
第二, 促进市场公平;
第三, 维护国家金融稳定和金融安全。
二、不能回避的数据合规挑战:《办法》VS《个人信息保护法》
1. 数据合规的双重挑战
对于个人征信机构、企业征信机构(个人信息处理者)以及金融机构(信息使用者、信息提供者)、信息提供者(如助贷机构),其首先面对的是《个人信息保护法》(以下简称“《个保法》”)实施后的合规要求;这部我国数字经济领域的基本法,对于个人信息处理者提出了一系列义务。个人信用信息属于个人信息的范畴,个人征信机构金融机构、信息提供者都属于《个保法》中的个人信息处理者范畴,均受《个保法》规制。
实务中,上述主体面临双重的数据合规挑战,例如:
(1)征信机构如何合法采集、使用、加工、存储、对外提供、删除信用信息?
(2)拥有算法模型的助贷机构该如何与征信机构合作?助贷机构是否还可以继续从事信用信息加工服务,以及对外输出信用分产品?
(3)征信机构、金融机构、助贷机构,如何履行《个保法》中关于个人信息处理者的法定义务,同时满足《办法》中提出的各项合规要求?是否存在交叉,对现有业务有哪些影响?
我们通过以下表格进行了对比,以便征信机构、金融机构、助贷机构更好的理解两部法律文件的差异性。
| 对比 | 《办法》 | 《个保法》 | 对比结果 |
| 法律位阶 | 部门规章 | 法律 | 《个保法》的法律位阶更高。 |
| 实施日期 | 2022年1月1日,18个月整改期 | 2021年11月1日 | 《个保法》并未给企业预留个人信息保护合规整改期。 |
| 规制对象 | 对企业、个人开展征信业务及其相关活动的主体,包括征信机构、金融机构、未取得个人征信业务经营许可或者未进行企业征信机构备案但实质从事征信业务的机构。 | 在境内处理个人信息的主体以及在境外处理境内自然人个人信息的某些主体。 | 就个人征信业务而言,《办法》规制的对象相对较窄。 |
| 合规是否需要取得资质 | 1、企业征信机构需要备案;2、个人征信机构需要取得许可;3、金融机构需要相关批准和许可。 | 无要求。 | 《办法》的合规门槛高、行政监管干预更深入 |
| 客体范围 | 信用信息:是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。 | 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 | 就个人征信业务而言,《办法》调整的客体范围相对较窄。 |
| 数据采集 | 1、征信机构对于信息提供者提供的信息来源、质量、安全、主体授权情况进行必要审核;2、采集个人信用信息应当取得信息主体本人同意;3、采集个人信用信息的方案需向央行报告;4、个人征信机构的合作方(信息提供者)需向央行报告;5、信息提供者接受个人征信机构风险评估和央行核实。 | 1、个人信息的质量原则;2、对处理个人信息的合法性基础进行了列举;3、对如何履行告知、同意义务进行了明确;4、对告知事项进行了详细列举;5、处理敏感个人信息需要取得单独同意;6、履行个人信息保护职责的部门可以调查、处理违法个人信息处理活动以及对应用程序等个人信息保护情况进行测评。 | 原则上都是遵循“告知同意”规则,但是企业征信规则中,涉及董监高与其履行职务的相关信息不属于个人信息,不需要经过其同意 [1] 。《办法》突出了征信机构对央行的若干报告义务;对于信用信息来源及其信息提供者等,通过征信机构进行专门监管。《个保法》在授权同意规则的设计上,更为具体。 |
| 数据整理、保存、加工 | 1、遵循客观性原则;2、比对信息提供者的信息;3、不良信息保存期限五年。 | 1、不得非法加工个人信息;2、存储期限遵循最小化原则;3、个人信息处理者在告知义务履行上,要对个人信息的处理方式、保存期限进行明确告知;4、涉及处理敏感个人信息的,还需要向个人告知必要性以及对个人权益的影响。 | 《个保法》没有突出客观性原则。在个人信息保存期限上,《个保法》无法做具体要求,需要结合行业监管规则确定具体保存期限。《个保法》在处理敏感个人信息上,增加了告知的具体内容。 |
| 数据提供、使用 | 1、征信机构经营的公平性原则;2、征信机构对信息使用者进行必要审查;3、个人信息主体每年2次免费获取本人信用报告;4、不得以删除不良信息为由向信息主体收费;5、针对信用评价类产品和服务,建立评价标准;6、针对反欺诈产品和服务,建立认定标准;7、征信机构的报告义务;8、征信机构禁止从事的行为。 | 1、就对外提供个人信息进行了专门规定,明确单独同意和告知规则;对委托处理进行了规定;2、明确了自动化决策机制的合规要求;3、不得公开个人信息,除非个人单独同意;4、处理敏感个人信息的特别规则;5、个人信息的跨境提供规则;6、明确了个人的数据可携权;7、个人信息处理者的各类法定义务(PIA等);8、守门人条款。 | 《办法》突出了征信机构的经营要求;在信用信息提供、使用场景下,突出征信机构和信息使用者的义务要求;在个人信息主体保护上,提出了更多业务上的要求。《个保法》对委托处理、自动化决策机制等做了专门规定;在个人信息权益保护上更宏观和完善。 |
| 数据的安全 | 1、等保;2、个人征信机构和100万户以上企业征信机构的信息安全义务;3、信用信息境内存储,向境外提供信用信息查询服务,需要进行必要审查;4、与境外征信机构合作,合作协议需要报告。 | 1、第51条对个人信息处理者的义务进行了明确规定;2、明确了个人信息泄露的通知义务和补救措施;3、第三章专章规定个人信息跨境提供规则。 | 《办法》更加突出征信业务的实际情况,对数据安全进行了专门规定。征信机构应该同时履行《个保法》规定的相关义务。 |
| 法律责任 | 第46条到第48条,原则上,擅自从事个人征信业务最高处罚50万;擅自从事企业征信业务最高处罚20万。 | 违法处理个人信息,情节严重的,罚款5000万以下或者上一年度营业额5%以下。 | 《个保法》的处罚金额上限更高。 |
2. 小结
总体来看,就个人征信业务而言,《办法》调整的信用信息(客体)、征信机构、金融机构、信息提供者,相比《个保法》范围更窄;在具体合规要求上,《办法》在牌照管理、信用信息生命周期管理上,相比《个保法》更加垂直、细致,突出了征信业务的特点,例如征信机构向央行的各类报告义务、不良信息的存储期限要求以及信用信息质量和客观性要求更高,征信机构在经营上需要遵从公平性原则(目前个人征信机构较少)等。而《个保法》是我国数字经济领域的基本法,其调整的个人信息(客体)比信用信息范围更广,涉及的规制对象范围也更广。在个人信息生命周期管理上,《个保法》调整的环节更多,更加基础;在行政处罚上,《个保法》规定了更高的罚款金额,充分体现了《个保法》的基本法地位。
三、《办法》出台对助贷业务的影响
(一)征信业务的判断公式
实务中,我们接到了大量咨询,核心的三大问题是:企业目前的业务模式,是否构成征信业务?企业使用的信息是否属于信用信息?未来该如何调整?结合《办法》及答记者问,我们认为,可以从信用信息识别+多元场景、处理方式和载体识别+金融目的识别+不属于明确被排除在征信业务清单之外,这四个方面,来判断企业是否从事了征信业务。
1. 关于信用信息的识别
《办法》明确了信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。征信业务是指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
有业内人士从信用的分类出发,认为信用分为社会信用、经济信用和金融信用,进而认为此处的信用信息应该专属于金融信用。类似骑共享单车不需要付押金等社会信用情形不属于该范畴。也就是信用信息应该具备一定的金融属性,内部评价信息不应该属于信用信息,例如直播平台对主播的等级评定、电商平台对商家的店铺等级评价等。
该定义相比征求意见稿,特别新增了“相关信息”。有业内人士提出,该范围并非指所有信息,而是和金融信用形成最小关联的信息。我们认为,这也是“替代数据”的一个入口。从“替代数据”纳入信用信息的必要性来看,课题组的报告中也提到一些没有信贷信息的征信“白户”,也需要获得融资,为此“替代数据”的补充,可以增加征信判断维度、化解金融风险,对于扩大金融服务覆盖面和可得性,助力实体经济发展是有帮助的。综上所述,《办法》出台后,信用信息的范围更加明确和清晰,并非“普天之下皆征信”,具有一定金融属性的、能够判断企业和个人信用状况的信用信息,才可以纳入《办法》规定的信用信息范围。例如,芝麻信用分如果仅仅用于共享充电宝、共享雨伞、租车等这类非金融领域业务,其不适合定义或理解为是信用信息。
2. 多元场景、处理方式和载体识别
在场景上,从定义可以看出“为金融等活动提供服务”,其场景不限于金融场景,为此未来还需要关注非金融场景下的征信业务,但是从目前监管讲话来看,监管重点更多还是偏向于金融场景(如断直连下的金融场景);对于处理方式,是否信用信息必须经过所有环节(采集、整理、保存、加工、对外提供)才算开展征信业务?我们认为,不能这么僵化理解。但是信用信息一般是用于识别判断信用状况之目的的,因此一般是需要对外提供的,包括供第三方查询。
信用信息的载体一般包括:信用报告、信用评价类产品和服务、信用反欺诈服务产品和服务;征信数据报告类,以及信用决策、评分、修复、信用评级产品。
3. 金融目的识别
这一特征比较关键。我们认为,信用信息一般具备金融属性,具备识别违约风险的目的,为此,如果与该目的无关,或者没有办法发挥“替代数据”的作用,那么该信息不一定可以纳入到信用信息的范围。例如前面提到的芝麻信用分的个别场景,以及个人的交通违章记录、“跳槽”记录、疫情期间的健康码等。试想,如果所有的个人数据、企业数据都纳入信用信息,那区分个人信息和信用信息的边界在哪里?这些泛道德的信息是否能够真正达到及时预判违约风险的目的?显然不是。但是我们要注意到实务中,一些金融机构已经开始关注和识别哪些“替代数据”正在对其判断个人和企业借款人的信用维度,发挥积极作用。例如个人的缴税记录、住房公积金缴纳记录、社保缴纳记录、通讯欠费记录、企业用电记录等等。
4. 负面清单
从《办法》答记者问可以看到,非商业合作的信息服务不属于征信业务范畴,可以排除。具体见下表,其可以作为判断征信业务的一个重要参考指标。
| 序号 | 适用例外 |
| 1 | 国家机关以及法律法规授权的具有管理公共事务职能的组织依职责直接向金融机构提供个人或企业信息的 |
| 2 | 汽车经销商依法代金融机构收集客户信息但并不对客户信息分析处理营利的 |
| 3 | 房产营销中介依法代金融机构收集客户信息但并不对客户信息分析处理营利的 |
| 4 | 其他市场机构依法代金融机构收集客户信息但并不对客户信息分析处理营利的 |
(二)《办法》对助贷机构的影响
结合我们对助贷行业的长期观察和服务,以及对《办法》的研究,我们认为,《办法》对助贷机构的影响,至少有四个方面:
1. 影响之一:并非助贷业务当然受到《办法》影响
《办法》的答记者问提到“互联网平台开展助贷等相关业务符合征信业务定义的,适用本办法。”中国人民银行行长易纲在国际清算银行(BIS)监管大型科技公司国际会议上发表讲话,也提到“无牌或超范围从事金融业务。中国头部平台公司在开展电商、支付、搜索等各类服务时,获得用户的身份、账户、交易、消费、社交等海量信息,继而识别判断个人信用状况,以’助贷’名义与金融机构开展信贷业务合作,相当于未经许可开展个人征信业务。”
我们认为,助贷机构一直没有官方定义。实务中,助贷机构的业务形态多种多样,从贷超、到资金端助贷,再到资产端助贷。从线下助贷到线上互联网助贷。为此助贷机构的业务模式,是否属于《办法》规定的征信业务范畴,还是要结合上述征信业务的判断公式进行考虑。
2. 影响之二:助贷机构面临“断直连”、《办法》以及《个保法》合规要求下的的业务模式调整挑战
助贷机构从过去直接面向金融机构,推荐经过内部风控模型筛选过的借款人,到目前“断直连”后,需要调整业务模式。继续从事相关业务,业务模式如何调整,是一大挑战。
实务中,存在不同模式。如征信机构委托助贷机构处理相关数据后,征信机构将返回的数据提供给金融机构;如征信机构通过与助贷机构合作,通过征信机构的风控模型输出数据分,通过助贷机构提供给金融机构。不管采取哪种模式,按照《办法》要求,征信机构需要将合作方报告央行,助贷机构要经过个人征信机构的的风险评估和央行的核实(第14条),征信机构对于从助贷机构获取的信息要进行必要审查(第9条),助贷机构要向个人信息主体履行告知义务(第13条),征信机构应当向央行报告信用评价类产品和服务的评价方法、模型、主要维度要素;信用反欺诈产品和服务的数据来源、欺诈信用信息认定标准(第31条)等。总体可以看出,央行一方面通过征信机构来加强其合作方(助贷机构等)的监管,这一做法与《商业银行互联网贷款管理暂行办法》的监管逻辑一脉相承,另一方面,也可以看出助贷机构面临的个人信息合法性要求更高。
当然,除了上述业务模式调整思路外,助贷机构也可以寻求申请征信资质、寻求导流模式的方向发展。在导流模式下,例如只在资产端,为金融机构推荐借款人。但是仅仅是导流,并不对借款人进行任何的信用评价。
3. 影响之三:面对外部证监机构、风投机构、资金端机构更严格的询问和调查
如助贷机构为上市或者拟上市公司,则其未来将面临外部证监机构的询问;如助贷机构拟引入风投机构的股权投资,则面临风投机构严格的调查;此外,征信机构与其合作的稳定性,也是其业务可持续发展的重要考量因素,为此与征信机构的合作协议签署非常关键。我们预测,不排除未来助贷机构会寻求与征信机构在股权上的合作,确保其业务经营稳定。
4. 影响之四:助贷机构面临限期(18个月)完成合规整改的要求
《办法》第51条规定,“本办法施行前未取得个人征信业务经营许可或者未进行企业征信机构备案但实质从事征信业务的机构,应当自本办法施行之日起18个月内完成合规整改。”我们理解,在《办法》实施后(2022年1月1日起)助贷机构不得新从事征信业务。为此这里的适用范围一定是在《办法》实施前(我们理解严格解释应该是在《办法》发布之前,即2021年9月30日)已经从事征信业务的机构,但是未取得个人征信业务经营许可或者未进行企业征信机构备案,适用18个月的整改期。那么整改期应该是到2023年6月30日截止。虽然时间看起来很长,但是需要整改的事宜非常多。核心还是和征信机构的合作模式,要得到央行认可,且符合《办法》、《个保法》等法律法规的要求。其中,《个保法》因为已经实施,我们理解在整改期期间,助贷机构也应注意符合《个保法》的各项要求。
四、初步建议
第一,启动自查程序、确定业务发展方向
助贷机构需结合自身业务模式判断是否适用《办法》,如适用,则建议及时开展整改工作,调整业务模式或者获取相关业务资质。同时,也要对新的模式,管理层应寻求股东会的支持,包括风投机构的理解和支持,避免触发相关回购条款。
第二,探索与征信机构良好的合作模式,签署《合作协议》
在适用《办法》的情况下,助贷机构需与征信机构建立良好的合作关系,探索合规的合作模式,实现合作共赢,促进征信与助贷行业健康发展。
第三,完成《个保法》的对照整改
助贷机构无论是否适用《办法》,均需对照《个保法》进行合规整改,做好个人信息保护工作是合规展业的基础。
第四,完成《办法》的对照整改
助贷机构结合自身业务发展方向,确定自己的角色(征信机构、信息提供者、信息使用者),在整改期内完成《办法》对应的整改工作。
第五,与金融机构进行主动沟通,确定后续合作协议的新条款
针对《办法》适用中的疑难问题以及业务模式的合规性问题,助贷机构需积极与金融机构进行沟通,调整双方的合作模式和合作条款。
第六,与监管部门进行主动汇报
助贷机构如完成了业务方向模式的调整,应做好对相关监管部门的汇报。
例如向地方金融局、央行分支机构、证监会等进行汇报。[1]《征信业管理条例》第十三条采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。
企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。
