原文链接:https://mp.weixin.qq.com/s/KzgjhmQfb1mTZU_c47enAQ
引 言
2020年1月11日,人民银行公布了《征信业务管理办法(征求意见稿)》(以下简称《办法》),相比于2013年3月施行的《征信业管理条例》(以下简称《条例》),该办法在体系结构上更为合理顺畅,除去首尾的总则与附则,《办法》按照信用信息采集、整理、保存、加工、提供、使用、安全保障以及监督管理整个信用信息的采集使用过程分为五章规定,结构更加清晰明确。另外,《办法》对“信用信息”和“征信业务”的概念界定,强调保护个人和企业信息主体的合法权益,保障信息安全,防范信用信息泄露和滥用。
一、明确了“征信业务”和信用信息的范围
(一)与征信相关活动将被纳入监管
《条例》仅规定征信业务相关活动适用《条例》的规定,明确开展征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私。《办法》中要求“从事征信业务及相关活动”应当遵循独立、客观、公正的原则,不得违背公序良俗作出歧视性安排,不得借助优势地位提供排他性服务。另外,《办法》中又规定“征信机构在中国境内开展征信业务及相关活动,生产数据库、备份数据库应设在中国境内[1]。”这意味着与征信相关活动包括两方面内容,一是与征信活动相关,二是征信机构与征信活动相关,都将被纳入《办法》的管理。
(二)明确了信用信息范围
《条例》一直未清楚界定“信用信息”的概念,只是从禁止性规定和限制性规定反向规定哪些不是信用信息,即个人的宗教信仰、基因、指纹、血型、疾病和病史信息及法律、行政法规规定禁止采集的其他个人信息,禁止征信机构采集;个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息原则上征信机构不得采集,但在征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的可以进行采集。
《办法》从“信用信息”的内涵和外延正面对其进行了明确界定:信用信息是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。将为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息界定为信用信息,其信息服务活动为征信活动。当前实践中,利用该信息对个人或企业作出的画像、评价等业务界定为征信业务,属于《办法》的约束范围[2]。
二、衔接上位法,强调采集信息的全流程合规
(一)“最少、必要”规则细化
《条例》第13条规定,采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。《网络安全法》明确“网络运营者收集、使用个人信息要遵循合法、正当、必要性原则”,《民法典》1035条明确“处理个人信息的应当遵循合法、正当、必要性原则”。《办法》继承了《网络安全法》《民法典》《条例》采集信用信息的立法价值,要求征信机构采集信用信息遵循“最少、必要”的原则、不得过度采集。
(二)采集信息上下游、方式均要合法
对上游信息提供者的审核义务:征信机构采集信用信息的,应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核,保障采集信用信息的合法、准确和可持续。
个人征信业务事项报备合规:《办法》增加了就个人信用信息采集的数据项、与信用的相关度、信息主体权益保护等事项向中国人民银行报备的规则。
采集信用信息的方式合法:第一,不能以欺骗、胁迫、诱导的方式,欺骗、胁迫、诱导使信息主体作出的意思表示不真实;第二,以向被采集的个人或企业收费的方式,征信机构的独立性要求,征信机构必须独立采集被采集对象的;第三,从非法渠道采集,什么是“非法渠道”?笔者理解是对上游数据采集合法性的审查,是否符合现行法律规定。第四,以其他侵害信息主体合法权益的方式。
三、完善了信息主体的权利
在个人信息主体免费获取本人的信用报告方面,《办法》明确了征信机构的提供义务。《条例》第17条从个人信息主体的角度,明确个人信息主体有权每年两次免费获取本人的信用报告。《办法》第22条从征信机构的角度,规定征信机构应当通过互联网、营业场所、委托其他机构等多种方式为个人信息主体提供每年两次免费信用报告查询服务。
在信息错误更正方面,《办法》加强了征信机构内部的义务。《条例》第25条从信息主体的角度,规定信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议,要求更正。征信机构或者信息提供者有义务在规定期限内进行核查和处理,并书面答复异议人。《办法》第15条从征信机构的角度,规定征信机构在整理、保存、加工信用信息过程中发现信息错误的,如属于信息提供者报送错误的,应当及时通知信息提供者更正;如属于内部处理错误的,应当及时更正,并完善内部处理流程。这样对征信机构的义务明确保障了信息主体的权利实现,也从事后救济转向事前监督与事后救济并存的更良好的制度安排。
四、征信机构治理更加侧重于内部制度建设
在应对发生重大信息泄露等事件时,《办法》建立起征信机构内部对风险的事前监督和事后处理规则,补充了《条例》的事后外部救济模式。《条例》第34条规定,经营个人征信业务的征信机构发生重大信息泄露等事件的,国务院征信业监督管理部门可以采取临时接管相关信息系统等必要措施,避免损害扩大。
《办法》规定:一方面,征信机构应当建立内部约束机制,防止重大信息泄露事件发生。个人征信机构、保存或处理20万户以上企业信用信息的企业征信机构,应当符合《办法》第30条的三项要求;征信机构内部要做好安全保障,防止数据丢失和破坏,防范对征信系统的非法侵入;征信机构内部从人员录取、离岗、考核、安全意识等方面做好人员安全管理。另一方面,征信机构应当建立应急处置制度,在发生或者有可能发生重大信用信息泄露等事件时,应当立即采取必要措施降低危害,并向中国人民银行及其属地分支机构报告。
五、细化向境外提供企业信用信息的规则
对于征信机构向境外组织或者个人提供信息,《条例》第24条笼统规定了征信机构应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。《办法》将信息分为“个人信用信息”和“企业信用信息”分别进行了规定。
《办法》明确规定征信机构向境外提供个人信用信息时,应当符合国家法律法规的规定,即要符合《个人信息保护法(草案)》、《网络安全法》、《个人信息出境安全评估办法(征求意见稿)》等法律法规。
更重要的是,《办法》对征信机构向境外提供企业信用信息进行了细化。
一是征信机构的审查义务。征信机构向境外提供企业信用信息的查询服务时,应当审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供。
二是征信机构的禁止性义务。征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。
三是征信机构的备案义务。征信机构向境外提供企业信用信息的,应当向中国人民银行备案;征信机构与境外征信机构合作的,应当在合作协议签署后向中国人民银行备案。
六、征信产品和服务评价标准的建立与披露
《办法》在总则中明确规定从事征信业务及其相关活动,应当遵循独立、客观、公正的原则,不得作出有违社会公序良俗的歧视性安排,不得借助优势地位提供排他性服务。具体而言:
一是征信产品客观展示。征信机构提供信用报告等信用信息查询产品服务的,应当客观展示查询的信用信息内容,并对查询的信用信息内容及专业名词进行解释说明。
二是征信机构提供画像、评分、评级等评价类产品服务的,应当建立评价标准,不得将与信息主体信用无关的要素作为评价标准。
三是征信机构提供个人信用评价服务的,评价使用的所有数据应当在向信息主体提供的信用报告中展示。征信机构应当对外披露个人信用评价类产品所采用的评分方法和模型,披露程度以反映评价可信性为限。
四是征信机构提供反欺诈产品服务的,应当建立欺诈信用信息的认定标准。
而征信机构提供的信用信息查询、信用评价、反欺诈服务,都应当向中国人民银行或其省会(首府)城市中心支行以上分支机构报备。除了正面规定征信业务服务的标准及披露规则,《办法》还从反面规定征信机构的禁止性义务:对信用评价结果进行承诺的;有市场推广性质的;以胁迫、欺骗、诱导的方式提供;对征信产品和服务进行虚假宣传;其他影响征信业务客观公正性的征信产品和服务。
征信机构服务评价标准的明确与披露,加强了征信业务的透明度,有助于征信业务的健康发展。
七、细化个人不良信息的管理办法
《条例》规定征信机构对个人不良信息的保存期限,自不良行为或事件终止之日起5年;超过5年的,征信机构应当删除。《办法》新增若不良信用信息作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。除此之外,《办法》还明确规定征信机构不得以删除不良信息或者不采集不良信息为由,向信息主体收取费用。
Powered by Froala Editor