征信新规将出!这些个人隐私不得采集!

1月11日,人民银行公布《征信业务管理办法(征求意见稿)》(以下简称《办法》)。这是继2013年《征信业管理条例》(以下简称《条例》)、《征信机构管理办法》后,征信行业即将迎来的又一重磅新规。

《办法》共七章46条,对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行了规定,清晰界定了信用信息,并强调要加强个人和企业信息主体权益保护,保障信息安全。

“《办法》可谓是千呼万唤始出来,市场对此高度关注。”麻袋研究院高级研究员苏筱芮表示,近年来互联网生态不断丰富,个人征信数据的维度随之延展,例如网上购物、社交关系、出行情况、理财持有情况等等,但这些数据多被把持在互联网巨头手中,规范数据的收集、利用迫在眉睫。

恰逢其时

数字经济时代征信业发展呼唤新规

央行有关部门负责人告诉记者,本次《办法》的出炉,是为了更好适应数字经济时代的征信业发展趋势。实际上,每次征信业相关法律法规的出炉,无不与市场发展的实际情况紧密相连。

从2006年中国人民银行征信中心成立起,我国征信体系建设进入了稳步推进阶段。经过多年酝酿、研究,2013年3月15日,我国首部征信业法规——《征信业管理条例》正式开始实施。《条例》适用于在我国境内从事个人或企业信用信息的采集、整理、保存、加工,并向信息使用者提供的征信业务及相关活动。规范的对象主要是征信机构的业务活动及对征信机构的监督管理。

同年,根据《条例》规定,人民银行出台了《征信机构管理办法》,对个人征信机构的市场准入、企业征信机构备案条件进行了细化和明确。此后,人民银行一直在持续研究,寻找合适的时机出台《征信业务管理办法》。

“自《条例》发布以来,我们一直在关注征信市场的发展情况。2016年,人民银行开展了《办法》的调研起草工作,先后到多家征信机构、金融机构进行现场调研,广泛征求和听取来自相关部委、专家学者的意见,借鉴参考了国外征信业务的相关管理经验。”前述负责人表示。

“进入数字经济时代,征信面临新挑战,出台《办法》可以更好适应新技术条件下数字经济发展的需要,增加征信的有效供给。”前述负责人表示。

他告诉记者,在数字经济时代,区块链、云计算、大数据等新技术的快速发展和应用,使得大量涉及信用信息的数据能够更容易采集和加工,增加征信有效供给成为可能。征信服务正逐步从银行信用扩展到商业信用以及与信用相关的替代数据领域。

正是在上述背景下,《办法》的出台工作开始提速推进。一方面,出台《办法》,能更好适应金融创新和普惠金融的需要。该负责人解释,《办法》将替代数据纳入信用信息范围,而缺乏信贷记录的“白户”或“准白户”(主要是小微企业、刚刚工作的个人)此前多因信息不对称问题难以享受到正常的金融服务。对这部分群体而言,非信贷的替代信用数据将发挥更大作用。

另一方面,《办法》还加强了对个人信息的保护,兼顾信息安全和信息合规使用。在征信业发展过程中,一些新的现象也引发各界高度关注。由于新业态缺乏明确的征信业务规则,出现了无授权采集,信息主体权益保护措施不到位等问题。要从根本上解决上述问题,需从法律层面“正本清源”。

此外,《办法》的出台也是为了适应开放的需要。该负责人强调,“当前,我们正在加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局。作为现代金融体系的组成部分,扩大征信业对外开放也是题中之义。《办法》对境外开展对中华人民共和国居民开展征信业务及其相关活动、信用信息的跨境流动等问题作出了明确规定,是对此前规定的有效补充。”

“经广泛征求相关方面意见,各方认为出台《办法》的时机已经成熟,建议通过出台《办法》,对信用信息的采集、加工、对外提供等各个环节加强监管,保护信息主体合法权益、增加征信有效供给,实现征信业的高质量发展。”该负责人表示。

明确信用信息定义

依法依规开展征信业务

“本次《办法》的一大亮点就是,明确了何为信用信息。”一位业内人士告诉记者,此前,各方对借贷信息属于信用信息认识较为一致,但对于身份、支付交易、财产、社交等信息是否属于信用信息,认识并不统一。此外,随着科技发展日新月异,信息在界定、流转、交易等环节都突破了传统认知。实践中,信用信息早已突破借贷信息的范围。

本《办法》则按照实质重于形式的原则,把为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息,包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息,都视为信用信息。凡是对信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动,都是征信业务,都要纳入征信监管。

值得注意的是,一些信息属于个人隐私范畴,即便是持牌的征信机构,也不可以随意获取、调用相关信息。记者了解到,部分信息属于限制采集信息,在充分告知信息主体采集使用可能产生的不利后果并取得充分授权情况下,才可以采集,如财产信息;而包括宗教信仰、基因、指纹、血型、疾病等个人隐私信息以及法律、法规规定禁止采集的信息,属于严格禁止采集范畴,征信机构不得采集

“明确何为信用信息,有助于防止个人信息被过度采集、不当加工和非法使用,有利于提高征信业务活动的透明度,这是行业健康发展的基石。”一位专家告诉记者。

遵循“最少、必要”原则

加强信息主体权益保护

值得关注的是,根据《办法》,“利用个人信用信息对个人作出的画像、评价等业务”都属于征信业务,这意味着一些大型互联网平台企业从事的个人信息服务也将被纳入征信监管范畴。

业内专家告诉记者,“当前市场上出现了一些打着征信旗号的大数据风控公司和数据服务商,不乏大型互联网平台企业的身影。这些企业利用市场优势,在未经充分授权的前提下,过度采集企业和个人数据,并广泛应用于各种商业目的,以获得超额垄断利润。”

这些机构游走于法律边界,事实上却没有受到相应的监管。对此,前述央行部门负责人表示,此前征信业务开展中,存在无授权采集、“一次授权、无穷采集、无限使用”、加工处理过程不透明、自动化决策有失客观公正性等问题,信息主体的知情权、同意权、异议权无法得到保障。

针对上述问题,《办法》围绕信用信息采集、整理、保存、加工、提供和使用等环节,提出了信息采集“最少、必要”的原则、明确告知信息主体并取得同意、用于合法目的等要求,有助于保护信息主体合法权益,实现信用信息安全、合规、合理的流动。

“对于信息采集的禁区,《办法》也有明确规定。我们不允许征信机构以欺骗、胁迫、诱导的方式,以向被采集的个人或企业收费的方式,从非法渠道采集、或以其他侵害信息主体合法权益的方式采集信用信息。”该负责人解释。

适应开放新形势

破局信用信息的跨境流动

除了规范国内征信业务,《办法》对信用信息的跨境流动也做出了明确规定。

这是建设开放型经济的必然要求。作为现代金融体系的组成部分,扩大征信业对外开放是贯彻落实金融对外开放战略的重要组成部分。而且,随着“一带一路”倡议的提出和实施,中国与“一带一路”沿线国家之间的经贸越来越密切,国内企业走出去,投资走出去,都需要征信信息的跨境交流合作。

此前的法律法规中,对这部分内容并未有明确规定。前述负责人表示,“《条例》只提到了要遵守有关规定,而《办法》是对这方面的重要补充。我们了解到,之前各家征信机构在提到跨境业务时难免束手束脚,随着《办法》出炉,征信信息跨境流动与合作有望破局。”

根据《条例》第二十四条,征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。
对此,《办法》强调,在中华人民共和国境外,对中华人民共和国居民(自然人和法人)开展征信业务及其相关活动的,也适用本办法。
同时,《办法》对信用信息的跨境流动进行了更为明确的规范。例如,征信机构向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供,不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。征信机构向境外提供企业信用信息查询或与境外征信机构合作的,应当向人民银行省会(首府)城市中心支行以上分支机构备案。

“上述规定将信用信息的跨境流动纳入监管范围,以后这方面的业务开展就有规可依了。《办法》兼顾了信息安全和合规使用,有助于征信机构依法开展业务,促进征信市场健康发展。”业内专家表示。

来源:金融时报

(0)

相关推荐