首页 > 专栏

【专栏】数字征信时代,征信业务管理办法的利弊分析与立法建议

顾雷 · 零壹财经 2021-04-19 19:30:04 阅读:6668

关键词:个人信用信息个人征信信用信息数字征信

近年来,我国进入了数字征信时代,征信新业态不断涌现,但由于长期缺乏明确征信业务规则,征信边界不清,信息主体权益保护措施并不到位。 为此,2021年01月,中国人民银行结合征信业务发展的实际,起草了《征信业务管理办法(征求意见稿)》(以下简称“《办法》”),推动信用信息在...

近年来,我国进入了数字征信时代,征信新业态不断涌现,但由于长期缺乏明确征信业务规则,征信边界不清,信息主体权益保护措施并不到位。

为此,2021年01月,中国人民银行结合征信业务发展的实际,起草了《征信业务管理办法(征求意见稿)》(以下简称“《办法》”),推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用,力图保护信息主体合法权益。从《办法》条款看,其中的亮点不少。

第一,提出采集信息遵循的“最少、必要”原则。

《办法》第5条提出采集信息遵循“最少、必要”原则。这是十分重要的一项原则,虽然未能解决信息采集的合法边界问题,但限制过度采集概念的提出已经是一种进步,体现出信息保护意识整体提升,有效限制了多度采集用户信息和滥用客户信息的可能。

过去,“最小、必要”往往是征信机构自行解释和定义,可现在不同了,这次《办法》对征信机构收集使用用户信息,明确规定了在从事征信个人信息处理活动中,应当在“最小、必要”的合理控制范围内展开,不得从事超出用户许可范围或者与服务场景无关的个人信息处理活动。

所谓“最少、必要”原则就是指非必要不收集,如收集必告知,用多少收多少。随着互联网应用的广泛开放,由信息收集带来的公民隐私泄漏问题,已经引发社会广泛关注。事实上,征信系统过度收集个人信息的副作用已经产生,在当今社会中已经出现了不少恶性事件,严重侵犯金融消费者权益。如果对其放任不管,更大的伤害可能还在后面。正是在这样的背景下,加强对征信业务监管成为共识,增加“最少、必要”原则就显得及时且必要。

第二,完善了信息主体的诸多权利。

首先在个人信息主体免费获取本人的信用报告方面,《办法》第22条从个人信息主体的角度,明确个人信息主体有权每年两次免费获取本人的信用报告,还从征信机构的角度,规定征信机构应当通过互联网、营业场所、委托其他机构等多种方式为个人信息主体提供每年两次免费信用报告查询服务。

其次,在信息错误更正方面,《办法》第15条从征信机构的角度,规定征信机构在整理、保存、加工信用信息过程中发现信息错误的。如果属于信息提供者报送错误的,应当及时通知信息提供者更正;如属于内部处理错误的,应当及时更正,并完善内部处理流程。

《条例》第25条从信息主体的角度,规定信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议和要求更正。征信机构或者信息提供者有义务在规定期限内进行核查和处理,并书面答复异议人,保障了信息主体的权利实现。

再次,坚持征信为民理念,保障信息主体知情权、同意权、异议权、投诉权,《办法》明确规定采集个人信息应当告知采集的目的、信息来源和信息范围,防范个人和企业信用信息滥采滥用,满足人民群众对高质量征信产品和服务的需求,保障征信信息安全,防止信息泄露。

第三,明确列示了征信机构禁止性行为。

《办法》第一次从保护个人和企业权益角度,对信用信息采集、整理、保存和加工进行了限制性规定,明确了征信机构不得以非法方式采集信息,采集非公开的企业信用信息也应当取得企业同意,明确了征信机构不得为之的几种方式。

《办法》第6条规定“征信机构不得以下列方式采集信用信息:

(一)以欺骗、协迫、诱导的方式;
(二)以向被采集的个人或企业收费的方式;
(三)从非法渠道采集;
(四)以其他侵害信息主体合法权益的方式”。

这是立法者第一次明确表示了整理、保存、加工信用信息的禁止性规定,也是对欺骗等方式收集信用信息的一个姿态,为实际部门在执法之时进行参照,具有较强的可操作性。

第四,细化用户不良信息处置方式,体现对用户负责任态度。

《条例》首先规定征信机构对个人不良信息的保存期限,自不良行为或事件终止之日起5年;超过5年的,征信机构应当删除。《办法》第16条还规定如果新增不良信用信息作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。除此之外,《办法》还要求征信机构不得以删除不良信息或者不采集不良信息为由,向信息主体收取费用。这些新规都是保护用户的条款。即便是用户的不良信息,但在到期以后,依然要本着保护用户的宗旨,征信机构必须无条件删除,保证个人信用信息不能被其他人员或机构再次识别或二次利用,避免了用户利益二次受损。

第五,产品信息披露和服务评价标准的初步建立。

一是征信产品客观展示和信息报送。《办法》规定征信机构必须客观展示查询的信用信息内容,对查询的信用信息内容及专业名词进行解释说明,提供的信用信息查询、信用评价、反欺诈服务还应当向中国人民银行或中心支行以上分支机构报备,初步建立了征信信息的信息披露制度。

二是《办法》规定征信机构提供个人信用评价服务的,评价使用的所有数据应当在向信息主体提供的信用报告中展示,对外披露个人信用评价类产品所采用的评分方法和模型,披露程度以反映评价可信性为限。如果征信机构提供画像、评分、评级等评价类产品服务的,还应当建立评价标准,不得将与信息主体信用无关的要素作为评价标准。《办法》的这些新规在客观上限制了不法征信机构滥用客户信息的可能。

三是除了正面规定征信业务服务的标准及披露规则,《办法》还从反面规定征信机构的禁止性义务:对信用评价结果进行承诺的;有市场推广性质的;以胁迫、欺骗、诱导的方式提供;对征信产品和服务进行虚假宣传;其他影响征信业务客观公正性的征信产品和服务。显然,这些新规定,征信机构服务评价标准的明确与披露,加强了征信业务的透明度,有助于征信业务的健康发展。

但是,《办法》依然存在一些不足之处,从立法上还可以进一步修改和完善。我们提出如下五条修改建议:

第一条建议:信用信息的范畴过于宽泛。

2013年出台的《征信行业管理条例》虽然明确了市场监管部门在企业信用信息公示系统公示的信息,但对于信用信息的定义仍旧不够清晰。今年1月颁布的《办法》中,改变了这种狭窄的局面,《办法》第3条就对信用信息的范围作了明确规定,不仅涉及金融方面,还开拓到通讯和消费领域,包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。

但是这样一来,信用信息的范围就十分宽泛,不仅涉及个人财产、债务情况,还涉及到支付和消费方面的信息,居然还涉及交通和通信方面的信息。这样宽泛的界定是否超出了信用信息本来应该有的范畴?

我们认为,事关征信最根本前提要件,值得进一步探讨。

从理论上说,个人信用信息主要包括三方面:一个是敏感性信息,另外一个是公共性信息,第三个是查询信息。

(一) 个人敏感性信息比较简单,主要包括个人姓名、证件类型、身份证号码。除此之外,其他的信息并不属于信用信息范畴。例如,婚姻信息不应该出现在个人征信信息中,因为一般来说,一个公民的婚姻情况并不涉及其信贷或银行资金往来,只有一种情况才可能涉及到,就是夫妻共同贷款。所以,婚姻等敏感个人信息是不应该进入征信信息范围的。

《办法》对于这些敏感的个人信息应该绝对保护,诸如民族、家庭出身、宗教信仰、基因、指纹、血型、疾病和病史以及法律、法规规定应当保密或者禁止采集的其他敏感信息,不应该反映在征信业务管理方面的立法中。当前实践中,征信信息对个人或企业作出的画像、评价、个人消费记录、疾病记录等业务界定均纳入《办法》的约束范围,包括人脸、通讯录、短信、位置、图片等,表面上可以扩大制约征信领域的违法活动,但实际上容易造成信用信息的滥用。因为这些敏感信息其实与信贷并没有直接关系,但与个人隐私权有着内在关联。在信用信息法律制度尚未完全建立起来的时候,最先造成伤害的是公民个人隐私权。也就是说,《办法》首先要权衡好信用信息中敏感性与公共性之间的关系,规定清楚征信机构可以采集什么信息,不可以采集什么信息,确保信用信息不仅都是由符合法定要求、值得信赖的机构采集和使用,必须保证信息本身都是可以采集的,避免信息过分采集和使用,稳妥推进信用信息采集工作。

(二) 公共性信息,主要是指个人信贷交易信息,包括若干年内的欠税记录、商业银行提供的自然人在个人贷款、贷记卡交易记录、民事判决记录、强制执行记录、行政处罚记录、金融机构信贷记录以及担保等信用活动中形成的交易记录等。可以说,金融机构信贷类信息是个人信用信息的核心内容,主要包括,个人的贷款、还款状况、信用卡状况、贷款余额以及还款记录等信息。

这就表明公共性信息必须具备一个相关性特征,并不是所有可以展示出来的信息都是公共性信息。所谓“相关性”,就是指某些事实必须与待确认的事实具有实质性的联系,而且这种联系能为人们所认识并现实地加以利用。而从法律角度来看,公共性信息具有法定性质,必须是针对信贷的法律关系的信息,就是要确定该信息是否关联到了与用户信贷行为存在某种关联,对用户和征信机构的信用风险的防范是否有实质意义。

如果信用信息可以公开展示,但与用户信贷活动没有实质性关联,也无法防范信用风险要素;或者信用信息虽然能够防范某种风险,却与信贷问题没有任何关系,这种信用信息也不能视为具有关联性,对于征信业务没有实质价值,亦是不能纳入信用信息范畴。

(三) 查询信息是对咨询或查询个人信用信息的一种客观记录。诸如若干年内都有谁、在什么时间、为什么查询个人征信报告。这些客观记录基本上都反映在“本人查询记录”和“机构查询记录”中,也构成个人信用信息的很重要的一个部分。

2013年出台的《征信行业管理条例》明确了市场监管部门在企业信用信息公示系统公示的信息,但对于信用信息的定义仍旧不够明确。同时,业内各方对信用信息归入借贷信息的认识较为一致,但对于身份、支付交易、财产、交通、通信等信息是否属于信用信息,长期认识并不统一,莫衷一是。

我们认为,判断一个征信信息的范畴的宽与窄,必须依据征信法律法规的明文规定。确定征信信息的范畴实际上是判断征信信息与个人或机构业务活动之间是否具有逻辑性。例如,交通、通信信息不应该出现在个人征信信息中,因为一个公民的和通信信息并不涉银行资金往来,即便是欠费,也不牵涉到其个人银行资信问题。如果将个人消费记录、交通出行记录、家庭水表燃气记录等纳入信用信息范围,包括人脸、通讯录、短信、位置、图片等方面,表明上可以扩大征信信息适用范围,实际上容易造成信用信息的滥用,可能会极大地侵犯用户个人隐私权。所以,个人支付、消费、交通和通信信息与信贷活动之间缺乏必要的逻辑性,不应该成为个人信用信息。

当然,有人提出这些数据可以作为“替代数据”在信用信息数据中得到使用。我们并否认“替代数据”(Alternative Data)存在的合理性。但我们不能同意“征信的本质是信息共享”的观点,那只是对互联网企业角度得出的一般性结论,并不能代替征信整体评价。如果按照“信息共享”的要求推导征信业务数据,大量的与客户信贷没有关系的数据都可以算作替代数据,显然就存在巨大风险。如果两组数据之间缺乏内在关联性,无法有效证明用户的信用情况,就不能当做信用信息的数据来源使用和采信。由此可见,《办法》第3条显然是扩大了个人信用信息范畴,这不仅会引起征信机构收集个人信息的难度,而且对个人支付、消费、交通和通信方面的记录也未必能准确反映出个人的信贷信用情况,更不符合《办法》规定的“必要”和“最少”原则。所以,我们建议《办法》第3条作出如下删减修改:

包括但不限于:个人和企业的身份、地址、信贷、债务、财产等与金融信贷相关的信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息及查询记录。

第二条建议:增加国家、商业秘密和个人隐私权保护性规定。

我国《宪法》、《民法典》对于个人隐私都有明确的法律规定。从网络安全的角度看,使用个人信息,应当遵循合法、正当、必要的原则,这个是收集个人信息的底线。在互联网市场中,“不同意采集个人信息就无法安装APP”的“霸王条款”肆意收集超出其提供服务范围的个人信息,明显违反了有关法律规定。因为“霸王条款”容易泄露用户个人的上网浏览信息、购买商品信息、银行.卡信息、家庭地址信息、个人身份信息等,侵犯了用户的隐私权和信息受保护的权利。同时也给不法分子以可乘之机,容易发生网络诈骗、电信诈骗等,严重危害用户的财产安全。

为此,《办法》第4条第二款虽然明确规定从事征信业务及其相关活动,应当遵循独立、客观、公正的原则,不得作出有违社会公序良俗的歧视性安排,不得借助优势地位提供排他性服务,但缺少对隐私权保护的规定。

同时,国家秘密关系国家安全和利益,大多涉及国家的政治、军事、外交和外事、国民经济和社会发展、科学技术、国家安全和刑事司法等领域。国家秘密一旦泄露,会使国家的安全和利益受到损害。商业秘密涉及权利人经济利益和竞争优势的信息,其内容往往与科研、生产、经营有关的技术信息和经营信息。商业秘密一旦泄露,损害的是商业秘密权利人的利益。因此,在侵权责任追究机制方面,对信用服务机构泄露国家秘密、商业秘密的行为都应该予以严厉处罚。

今天,我们发展征信业务,对个人信用制度的推进绝不能以牺牲国家利益、个人隐私权为代价,征信权和隐私权应该同时构成个人信用法律机制的两个基础,不应该存在厚此薄彼的情况。如果只强调信息公开,不顾及国家秘密、商业秘密、个人隐私信息保密,或者只强调信息的隐私权保护、国家秘密、商业秘密保护,不注意信用信息的公共性使用,都会伤害国家、商业机构以及信息所有者的合法权益。不仅会败坏当事人的信誉和公众形象,还会给别有用心的人提供可乘之机。因此,从合理配置资源的经济学角度讲,信息应当是透明的和公开的,但从法律和人权角度讲,信息又需要隐蔽和保密的。如何保持二者的平衡,是今后征信制度所必须面对和解决的一组问题。

从某种意义上说,个人信用信息在多大范围内被采集和使用,就意味着个人信用信息会在多大范围内被披露。所以,界定个人信用信息范围也在很大程度上划定了国家秘密、商业秘密和隐私权的边界,征信立法中的国家秘密、商业秘密和隐私权保护条款就应该使得外界侵害最小化,使得对信用程度判断的内在公正最大化。为此,《办法》第4条第二款应该增加对国家秘密、商业秘密和个人隐私的保护性规定,使得该条内容上更趋完善,外延上更趋全面:

公共信用信息征集、共享和使用,应当遵循独立、客观、公正的原则,保守国家秘密和商业秘密,保护个人隐私,不得作出有违社会公序良俗的歧视性安排,不得借助优势地位提供排他性服务。

第三条建议:增加征信机构主管机关协调功能。

虽然我国规定征信业由中国人民银行主管,但金融机构和其他放贷机构的管理权分别隶属于中国银保监会、中国证监会、地方金融监管机构等多个部门中,金融消费者其他信息则散落在公安部、民政部等各个部委的管辖范围内。我们建议组建以中国人民银行为主的个人征信业监管协调机构,负责在征信工作中对中国银保监会、中国证监会、地方金融监管机构、公安部、民政部等工作,解决个人征信业发展中存在的法规冲突、法条竞合问题,对《办法》第一章总则中增加一条,增加征信机构主管机关协调条款:

第5条  各级征信机构主管部门建立内部工作制度、责任制度和考核制度,负责推进公共信用信息的征集、共享和使用和异议处理等协调工作。

第四条建议:增加对信用信息异议处置的规定。

《办法》缺少对个人信用信息存有异议的处置规定,这在当今互联网市场中是难以想象的,因为征信范围极广,涉及人员极多,发生信用信息错误的可能也是挺高的。用户有权向征信机构主管部门提出对信用信息的异议,这不仅是用户的权利,对征信机构的最直接的监督,也是征信工作文明的体现,表达了立法者对征信工作负责任的态度。所以,我们建议《办法》增加异议的处置条款。

(1)自然人、法人和其他组织对信用信息有异议的,可向记载主体提出书面异议申请,并提供相关证明材料。

(2)征信机构主管部门自收到异议申请之日起(15/20)个工作日内完成核查,将结果告知异议申请人。信用信息确有错误的,征信机构主管部门应予更正,并告知信用信息共享服务平台或系统。

(3)征信机构自收到异议申请之日起(5/7)个工作日内完成信息比对。平台或系统记载的信息与来源不一致的,应予以调整并通知异议申请人;一致的,将异议申请转交信息提供方处理,并通知异议申请人。

(4)异议申请处理过程中,信用信息共享服务平台或系统、征信机构主管部门构应当对异议信息予以标注。无法核查的异议信息,不再向社会提供。


第五条建议:增加征信机构及相关责任人员的法律责任。

近年来,征信机构社会诚信意识和观念遭遇强烈冲击,制假售假、商业欺诈、逃债骗贷、电信诈骗等屡见不鲜。个人信用信息泄露案件频发均造成不良社会影响,也成为全国征信市场监管重点。从理论上讲,征信信息是从信用信息产生的来源来采集信息的,征信信息主要来自国有商业银行、股份制银行、城市/农村商业银行、小贷公司、农村信用社等金融机构。

如前所述,我国个人信用信息大体分为三类,即敏感、公共和查询类,与此相对应的就是这三类个人信用信息的机构和工作人员,比如敏感类基本信息由征信机构提供,公共性信用交易信息由从事金融信贷业务的机构提供,通常包括个人商业信用状况、个人社会公共记录以及个人守法等方面情况。因此,对征信信息的真实性和及时性来说,这些信用信息提供机构就显得至关重要。可以讲,从某种程度上讲,信用信息提供机构(者)决定着信用信息的真实性和准确性。

结合中国人民银行发布实施的《个人信用信息基础数据库管理暂行办法》第4条、最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,我们不难推导出,对个人信息保护是本质上是兼具私权和公共属性,属于民事和刑法交叉意义上的双重法律保护。个人信用信息不仅可以为诚信者获得更多机会,还能够对金融机构、征信机构、互联网企业、大数据公司、移动应用程序开发商实施重点监控,规范其信息采集、提供和使用行为,防范失信者可能带来的道德和法律风险。

反观《办法》,对征信机构及工作人员的责任条款规定得相对薄弱,几乎缺失征信机构的法律责任规定。在征信活动中,如果放任征信机构及工作人员违法收集、违规披露个人信用信息,放任数据泄露、骚扰电话、绑架用户(不同意不让用)等现象的出现,将会侵犯个人权利,使得社会对数据安全、人们对隐私保护的担忧、害怕达到前所未有的程度。因此,我们必须在《办法》中应该明确征信机构的责任条款,做到责任明确,加大对征信机构及相关责任人员泄露、篡改、毁损、出售或者非法向他人提供个人信息等行为的查处力度,确保信息主体和征信机构的合法权益。

征信机构及相关责任人有下列情形之一的,依法依纪处理;构成犯罪的,依法追究刑事责任。

(一)拒绝、拖延向各级征信机构主管部门提供有关信用信息的,以及擅自减少应提供数据量的;
(二)故意或者因重大过失向各级征信机构主管部门提供虚假信息的;
(三)未及时发布、更新信用信息数据的;
(四)违反规定擅自发布或泄露涉及国家秘密、商业秘密和个人隐私信用信息的;
(五)对已发现不一致的信息,拒不协助各级征信机构主管部门进行异议信息处理的;
(六)对于各级征信机构主管部门责令整改的问题,拒不整改的;
(七)以欺骗、协迫、诱导的方式;
(八)从非法渠道采集信用信息的;
(九)向被采集的个人或企业收费的方式;
(十)其他违反国家信用信息管理办法的行为。


从立法技巧上讲,增加上述“十条”征信机构及工作人员法律责任规定,与《办法》第6条、第28条前后对应起来了,比如对以欺骗、协迫、诱导的方式、以向被采集的个人或企业收费的行为等等,《办法》必须要有相应处置的后续条款,否则,《办法》第6条、第28条就成为空中楼阁,没有操作性可言。因此,在《办法》中增加征信机构和相关责任人员的禁止性规定,可以增加法条的操作性和针对,对于依法依规严肃查处非法从事征信业务的行为,规范征信市场发展,使征信业步入有规可循、公平竞争的正轨。

(作者单位:中国人民大学中国普惠金融研究院)
2021年04月10日北京地坛公园(初稿)
2021年04月13日北京益泽路2号大院(二稿)
2021年04月15日北京文化大厦(三稿)


零壹智库推出“金融毛细血管系列策划”,通过系列文章、系列视频、系列报告、系列研讨会和专著,系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。
 

相关文章


用户评论

游客

自律公约

所有评论


资讯排行

  • 48h
  • 7天


专题推荐

more

第四届中国零售金融发展峰会(共15篇)

《陆家嘴》交流会第6期(共14篇)

2022第一届中国数字科技投融资峰会(共43篇)

2019年数字信用与风控年会(共15篇)



耗时 226ms