赋能金融科技:“替代数据”监管列入征信新规

来源:金诚同达

文章摘要
一、《征信业务管理办法》应运而生 “近年来,随着数字经济的快速发展,互联网和大数据等新技术在征信领域广泛应用,大量有效‘替代数据’被采集、分析和应用于判断企业和个人信用状况,征信已突破传统借贷信息共享

一、《征信业务管理办法》应运而生
“近年来,随着数字经济的快速发展,互联网和大数据等新技术在征信领域广泛应用,大量有效‘替代数据’被采集、分析和应用于判断企业和个人信用状况,征信已突破传统借贷信息共享的范围。”中国人民银行有关负责人在解释《征信业务管理办法》出台的背景时说到[1]。征信范围渐广,数据品类日盛,“信用信息”的合规使用,既涉及数据安全,也对征信业务的管控提出了具有时代意义的挑战。
2021年9月17日,中国人民银行出台了《征信业务管理办法》(以下简称“《办法》”)。《办法》全文共八章五十三条,以信用信息的采集、整理、保存、加工、提供、使用、信息安全、监督管理以及法律责任为内容,贯穿征信业务的全流程。《办法》以加强信息主体权益保护为重点,平衡了现代社会对数据使用的需求和个人信息的保护,同时《办法》也对征信机构的合规运作提出了新要求。本文将结合在2021年11月1日生效的《个人信息保护法》(以下简称“《个保法》”)中与“个人信息”相关的条文,对《办法》中个人征信业务的合规义务进行初步解读。
二、“信用信息”的定义及对征信业务管理边界的分析
《办法》第三条规定:“信用信息是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。”该条明确了信用信息的定义,划定了征信管理的边界。在此之前,2013年的《征信业管理条例》(以下简称“《条例》”)仅就征信业务作出限定,未对征信业务中采集的“信用信息”作出解释[2],这导致了在很长的一段时间里,征信行业就何谓“信用信息”争议不断。
2018年6月7日,国家市场监督管理总局与中国国家标准化管理委员会联合发布了《信用基本术语(GB/T22117-2018)》,《信用基本术语》中对信用信息作出定义[3]。相较《信用基本术语》中概括的“与信用有关的记录及与评价其信用价值相关的各类信息”的描述,《办法》采用“描述+列举”的方法来定义信用信息,使“信用信息”的范围更为具体。其中,“其他相关信息”,业内人士多数解读为传统征信信息之外的“替代数据”,主要指“在科技平台和电子平台采集的数字化形式信息” [4]。与此同时,“基于前述信息形成的分析评价信息”亦明确被纳入“信用信息”。
根据第三条,“信用信息”是“为金融等活动提供服务”的信息。《办法》第五条亦规定了金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。该二条文从正反两面明确征信活动在金融领域须被严格监管,市场机构或平台企业必须实现个人信息与金融机构全面“断直连”[5]。过去直接由市场机构或者互联网平台公司到金融机构的信息传递模式被切断,相关机构需通过与征信机构的合作才能继续此前的业务。这与《个保法》将“金融账户”信息纳入“敏感个人信息”,处理标准高于一般“个人信息”具有一定的一致性。
对于非金融领域,就目前的监管态度来看,监管部门并未对第三条“金融等活动”中的“等”字做扩大解释。因此,在实践领域,为非金融领域的活动提供信息的行为不太可能会被解释进征信业务监管范畴。同时,《办法》规定的征信管理范畴亦不涉及非商业合作的信息服务。“比如,国家机关以及法律法规授权的具有管理公共事务职能的组织依职责直接向金融机构提供个人或企业信息的,以及汽车经销商、房产营销中介等市场机构依法代金融机构收集客户信息但并不对客户信息分析处理营利的,不适用本办法。互联网平台开展助贷等相关业务符合征信业务定义的,适用本办法。”[6]这样的制度设计,为非金融行业的信息提供及非商业合作的信息服务留出了应有的空间。
三、结合《个保法》相关条款谈个人征信业务合规要点
个人征信业务的开展与个人的信息保护密切相关,也与个人的信息安全直连。《办法》与《个保法》在立法理念和基本原则上保持一致,同时也对个人征信机构开展征信业务提出了一些需要特别注意的义务:
1. 采集个人征信信息,应遵循“最小、必要”的原则要求
如前所述,《办法》在定义信用信息时,将替代数据也纳入信用信息的范畴,为了避免信用信息概念被泛化的问题,《办法》第七条延续了《个保法》第六条在收集个人信息上的原则要求,同时也与《民法典》的个人信息保护条款一脉相承,都旨在强调采集个人信息应保持在“合理的限度”内,不得过度收集个人信息[7]。
具体而言,相关机构在采集个人信息用作征信用途时应当注意以下三点:第一,从获取信息的手段来说,应当采取合法、正当的方式,不得采用非法手段获取个人信息。第二,要以“最小、必要”为信息采集原则。何为“最小、必要”?结合《个保法》第六条的立法精神,我们理解,相关机构应当在“实现处理目的”的最小范围内收集个人信息。第三,不得过度收集个人信息,承前所述,个人信息采集若超出合理限度,如收集与处理目的无关的个人信息,可能会被认定为《办法》第七条的“过度采集”。
2. 进一步明确以“告知+同意”为核心的合法性基础
《办法》第十条、第十二条、第十三条,在《条例》采集个人信息应征得同意的基础上,进一步强化了对个人信息收集的合法性基础,征信机构与信息提供者不仅需要获得客户同意,同时也负有告知信息主体采集信用信息目的的义务[8]。不仅如此,《办法》第十一条还针对征信机构规定了关于采集个人信息的报告制度[9]。以上《办法》中对于个人征信信息的保障措施,与《个保法》第七条、第十三条、第十四条及第十七条紧密衔接,征信行业作为个人信息保护的重要领域,及时地回应了保护信息主体权益的时代需求,突显了大数据时代监管者对保护金融消费者等信息主体权益的平衡[10]。趋严的监管措施对征信机构及征信信息提供者提出了更高的合规要求。随着《办法》的出台,征信行业的监管规则逐渐清晰,相关机构应尽快走上规范化的发展道路,打“擦边球”的行为将不再有适用空间,甚至可能遭到严厉的监管。
此外,根据《条例》第十四条,有关机构还应当审慎对待“限制采集信息”和“禁止采集信息”[11]。对于限制采集信息(包括个人收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息),在充分告知信息主体采集使用可能产生的不利后果并获得书面同意的情况下,才可以采集,这与《个保法》第二十九条对于敏感个人信息的“单独同意”及“书面同意”相呼应[12];而宗教信仰、基因、指纹、血型、疾病等个人隐私信息以及法律、法规规定禁止采集的信息,属于严格禁止采集范畴,征信机构不得采集。
3. 信用信息的提供、使用上,《办法》重申对信息主体的保护,明确信息主体查阅个人信息的权利
《办法》第二十三条、二十五条,延续了《条例》的相关规定,重申了关于信用信息提供、使用上对于信息主体权益的保护[13]。依照《办法》规定,信息使用者在查询个人信用信息时,需先行取得信息主体的同意,并按照约定用途使用个人信用信息。同时,为充分保障个人对自身信用信息知情的同时,平衡征信机构接受查询的负担,个人信息主体有权每年两次免费查询本人信用报告。该等请求权的制度基础,在2020年生效的《民法典》亦已有所体现[14]。
4.《办法》对个人征信机构和“达量”企业征信机构提出新的合规要求
根据《个保法》第五十二条,达量个人信息处理者将面临更高的合规义务,《办法》承袭《个保法》这一立法精神,从信息安全和信息保护两个层面设置了合规要求,对征信领域的“达量”企业征信机构设置了特定的合规义务,同时将个人征信机构置于与“达量”企业征信机构同样的地位进行规制[15]。对于个人征信机构、保存或处理100万户以上企业信用信息的企业征信机构,应当遵守《办法》第三十四条,包括遵循相应的网络安全等级保护要求、设立专门的信息安全负责人和个人信息保护负责人(由公司高管担任),设立专职部门来保障信息安全和开展个人信息保护工作。
从《办法》上述规定可以看出,监管部门倾向于对个人征信机构提出更严格的合规要求。对于个人征信机构,并不区分“达量”与否,均需在征信业务的开展中符合《办法》第三十四条所列条件。拟开展个人征信业务的机构有必要在《办法》出台前,抓紧当下的“转型过渡期”,尽快开展内部的合规体系建设,以保障后续开展征信业务的合法性。
5. 罚则条款之比较分析
《办法》在法律责任的设置上基本参照《条例》的罚则规定,针对此次新增的“断直连”要求,《办法》规定了相应的法律责任,对于违反《办法》第五条规定,违规开展征信服务的,由中国人民银行及其分支机构责令改正,违规单位将被处以3万元以下罚款,对直接负责的主管人员处1000元以下罚款[16]。
结合《个保法》的法律责任条款,除擅自从事征信业务将受到处罚以外,相关机构在开展征信业务时若存在违法处理个人信息的行为,还会触碰《个保法》的罚则条款[17]。
综上所述,对于开展个人征信业务的相关机构,一方面,应严格遵守《办法》规定,合法合规从事征信业务;另一方面,在征信业务开办过程中还应注意尽到《办法》、《个保法》及其他法律法规所要求的个人信息保护义务。
四、结语
目前,有关部门对个人征信牌照的发放持非常谨慎的态度。制度的日益完备将为个人征信牌照的进一步发放提供安全保障和合规基础。这是时代的要求,亦是法律应有之义。依规矩,成方圆,相信在数据安全及个人信息得到充分保障的前提下,更为先进的科学技术在征信行业的应用,将为金融业的发展提供更好的助力。
金诚同达上海分所王晶晶、高菁蔚对本文亦有贡献
[1] 参见:人民银行就《征信业务管理办法》答记者问 (scio.gov.cn)。
[2] 《征信业管理条例》第二条第二款:“本条例所称征信业务,是指对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。”
[3] 2018版《信用基本术语(GB/T22117-2018)》:“信用信息:个人或组织在社会与经济活动中产生的与信用有关的记录,以及与评价其信用价值相关的各类信息”。
[4] 世界银行国际征信委员会(ICCR)认为替代数据主要指通过非传统征信信息获取方式采集的信息,通常是在科技平台和电子平台采集的数字化形式信息。
[5] 2021年7月,中国人民银行征信管理局以窗口指导的形式向整改中的互金平台发邮件明确:平台企业必须实现个人信息与金融机构全面“断直连”,不得将个人主动提交的信息、平台内产生的信息或从外部获取的信息直接提供给金融机构。
[6] 参见:人民银行就《征信业务管理办法》答记者问 (scio.gov.cn)。
[7] 参见《征信业务管理办法》第七条、《个人信息保护法》第六条、《民法典》第一千零三十五条。
[8] 参见《征信业务管理办法》第十条第十二条第十三条
[9] 参见《征信业务管理办法》第十一条
[10] 参见《个人信息保护法》第七条、第十三条、第十四条、第十七条。
[11] 参见《征信业管理条例》第十四条。
[12] 参见《个人信息保护法》第二十九条。
[13] 参见《征信业务管理办法》第二十三条第二十五条,《征信业管理条例》第十七条、《个人信息保护法》第四十五条。
[14] 参见《民法典》第一千零三十七条、第一千零三十八条。
[15] 参见《征信业务管理办法》第三十四条第五十二条
[16] 参见《征信业务管理办法》第四十六条、《征信业管理条例》第三十六条、第三十七条。
[17] 参见《个人信息保护法》第六十六条。

技术驱动法律,专业成就未来