首页
张继红
□ 《征信业务管理办法(征求意见稿)》拓展了自身的适用范围,不仅适用于境内所有的征信活动,还对在境外开展的针对我国居民(包括自然人和法人)开展的征信活动进行调整和规范,对于我国公民和企业信用信息权益的维护具有积极意义。
□《办法》对从信用信息自采集到加工处理的全生命周期,始终贯彻保护信息主体合法权益的基本原则,从“行为指引”这一维度规范征信机构的征信业务活动,防范信用信息的泄露和滥用。
□法律责任方面,虽然规定了征信机构的义务和行为规范,但部分条款并未做相应法律责任的规定,无法对违法行为进行有效的规制。比如,从事个人征信的征信机构报备义务、征信机构对信息提供者及信息使用者的审查义务、征信机构以删除不良信息为由收费等禁止性行为就留下了空挡。
随着大数据、云计算等新兴数字技术在征信领域的应用,征信业出现了新业态、新风险,而征信业务缺乏明确的规则指引,现有规范也未对新问题进行及时回应,在此背景下中国人民银行根据《征信业管理条例》发布《征信业务管理办法(征求意见稿)》(以下简称《办法》),以提升征信业务的透明度,保护信息主体的合法权益,推动信用信息在信息提供者、征信机构与使用者之间依法合规使用。
《办法》共七章46条,涵盖信用信息采集、整理、保存、加工、提供、使用等全生命周期,为征信机构开展征信业务从事相关活动设定具体的行为准则,建立信用信息安全管理制度。应该说,《办法》是继2013年《征信机构管理办法》实施之后,聚焦征信业务领域的重要的部门规章,对信用信息的保护和利用做了专门的调整和规范。
明确业务准则
为征信活动划清业务边界
第一,《办法》适用范围进一步扩大。
《办法》拓展了自身的适用范围,不仅适用于境内所有的征信活动,还对在境外开展的针对我国居民(包括自然人和法人)开展的征信活动进行调整和规范,对于我国公民和企业信用信息权益的维护具有积极意义。
值得注意的是,任何机构只要在其对外宣传或产品推介中显示“信用信息服务、信用服务、信用评分、信用评级、信用修复”等征信功能服务活动的,就必须接受《办法》的调整和规范(第44条),这也使得那些并无征信资质之实却以征信之名开展征信活动的互联网平台机构、金融科技企业等无法再通过打擦边球等方式逃避监管,凸显了人民银行对征信行业从严治理的监管思路。
第二,从信用信息自采集到加工处理的全生命周期,始终贯彻保护信息主体合法权益的基本原则,从“行为指引”这一维度规范征信机构的征信业务活动,防范信用信息的泄露和滥用。
在采集环节,《办法》明确了 “最少、必要”原则,强调不得“过度采集”,并对采集过程中“欺诈胁迫诱导、收费、非法途径采集”等行为明令禁止。同时,《办法》规定了征信机构对信息提供者业务合法性、信息来源、信息质量等方面的审核义务,以保障所采集信息的合法性。
此外,《办法》突出了对个人信用信息保护的关切。从信息类型看,根据《信息安全技术 个人信息安全规范》(GB/T 35272-2020)的分类标准,信用信息被划入“个人财产信息”,属于典型的个人敏感信息,要求信息处理者采取更为严格的信息保护措施。为此,《办法》要求征信机构“制定采集个人信用信息方案,并就采集的数据项、与信用的相关度、信息主体权益保护等事项向中国人民银行报备”;而且,还重申了“告知同意”原则,即“经本人同意”,并明确告知采集目的、信息来源和信息范围以及不同意采集可能产生的不利后果等事项,切实保障了信息主体的知情权。
在整理、保存、加工环节,遵循“客观性原则”,不篡改原始数据,规定了错误信息的更正程序以及不良信息的保存期限等。在信息提供、加工环节,征信机构负有对信息使用者的审查义务,要求信息使用者使用信用信息应当目的明确、合法、正当。在保障个人信息主体查询权方面,《办法》不仅规定了征信机构应通过互联网、营业场所等方式为其提供每年两次免费信用报告查询服务,还对信用报告的完整性做了规定,即信用报告的内容“不得少于向信息提供者提供的信用报告内容”。
第三,建立征信机构信息安全合规制度。
如何保障征信机构所处理的信用信息的安全,是《办法》所规制的重点内容,分别从技术(系统运行设备、安全控制设备等)、人员管理(从人员录用、考核、培训到访问管理等)以及内控制度(应急处置和报告制度等)三个方面做出明确规定。其中,对于个人征信机构以及保存或处理50万户以上企业信用信息的企业征信机构,提出强制性要求:系统测评为国家信用信息安全等级保护三级或三级以上;设立信息安全负责人;设立专职部门,负责管理信息安全工作。
第四,对信用信息的跨境流动进行了专门规定。
信用信息事关国家金融安全,此类数据的跨境流动风险更高,对此《办法》在《征信业管理条例》规定的境内采集的信息必须“境内整理、保存、加工”的基础上,要求“生产数据库、备份数据库应设在中国境内”。对于信用信息的出境管理,《办法》按照不同主体的信用信息提出两分法的规制思路:一是个人信用信息出境,与《个人信息保护法(草案)》相衔接,只做“符合国家法律法规的规定”的指示性规定;二是针对企业信用信息出境,做具体限制性规定,即“征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者”,而且在程序上征信机构应当向中国人民银行备案。对于征信机构向境外提供企业信用信息查询服务也进行了限制,即要求征信机构“审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供”。
第五,在监督管理制度建设中,不仅细化了人民银行的重点监管事项,还特别突出了社会监督的作用。
《办法》第39条规定,人民银行作为监管机构可以对征信机构的制度建设、合规经营情况、业务状况、报告和报表报送情况、应急处理情况、组织机构设置情况、技术支持及安全情况等进行监督检查,以强化监管部门对征信机构的业务监督。值得注意的是,《办法》旨在发挥社会监督的重要作用,要求征信机构应该公开其采集的信用信息类别、信用报告的基本格式内容、信用评分的主要要素及占比、反欺诈服务中的欺诈认定标准、异议处理流程等,此举将借群众监督之力及时发现并纠正征信机构可能存在的违法违规行为。
修法建议:
关键术语、法律责任有待完善
第一,《办法》对关键术语“信用信息”进行了界定,即“为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息”。
显而易见,上述对“信用信息”的定义,相比2005年《个人信用信息基础数据库管理暂行办法》中“个人信用信息”所涵盖的三类信息“个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息”更为广泛,涉及所有描述个人和企业信用状况的全部信息及在此基础上形成的分析、评价类信息。但如此广泛的信用信息种类维度,不仅与“最少、必要”原则存在内在冲突,而且基于互联网背景下的“债务、支付、交通、通讯、消费等信息”从类型上看彼此还存在交叉关系,有些信息还涉及个人隐私,能否直接纳入信用信息的范畴,值得商榷。
第二,《办法》对评价类产品做了专门规定。第25条,“征信机构提供画像、评分、评级等评价类产品服务,应当建立评价标准”。同时要求征信机构提供个人信用评价服务的,评价使用的所有数据应当在向信息主体提供的信用报告中展示,以确保评价使用数据的充分披露,以保障信息主体的知情权。第2款进一步规定,“征信机构应当对外披露个人信用评价类产品所采用的评分方法和模型,披露程度以反映评价可信性为限”。征信评分方法及模型,从某种程度上说,应该属于征信机构评价类征信产品的核心价值之所在,与征信机构的经营模式甚至商业秘密直接相关,是否需要全部披露值得研究;而且,披露程度“以反映评价可信性为限”,这里的“可信性”谁来评判并不明确,上述模糊性规定都易引发后续纠纷。
第三,法律责任方面,虽然规定了征信机构的义务和行为规范,但部分条款并未做相应法律责任的规定,无法对违法行为进行有效的规制。
比如,从事个人征信的征信机构报备义务、征信机构对信息提供者及信息使用者的审查义务、征信机构以删除不良信息为由收费等禁止性行为就留下了空当。同时,在罚则方面,由于《办法》级别为部门规章,仅能规定罚款等类型的处罚,而且处罚数额较低,如第41条仅规定了责令改正、对单位处一万以上三万以下罚款,问责力度被大打折扣。事实上,个人征信信息属于个人信息范畴,当然受《个人信息保护法(草案)》的调整和规范。草案第62条规定了两档处罚:一般违法行为,由个人信息保护监管部门责令改正、没收违法所得,给予警告;拒不改正的,并处100万元以下的罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;严重违法行为,由个人信息保护监管部门责令改正,没收违法所得,并处5000万元以下或上一年度营业额5%以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或营业执照,对直接负责的主管人员和其他责任人员处10万元以上100万元以下罚款。从上述规定看,草案不仅在位阶上效力更高,而且处罚额度更高、处罚类型也更加多样化。虽然草案尚在征求意见阶段,但其旨在加重责任的立法意图可见一斑。因此,建议《办法》在个人信用信息法律责任方面仅做指示性规定,与草案及其他部门法在法律责任上保持一致。
(作者系中国银行法学研究会常务理事、上海政法学院教授)
SourcePh" style="display:none">
放大
上一版
