查看原文
其他

警惕!共享征信信息,有法律风险

崔咪 肖飒 肖飒lawyer 2021-10-13
金融科技企业凭借技术优势在普惠金融中杀出一条血路来。广大金融消费者受益于技术发展,可在紧急需要时,利用自身信用,迅速获批贷款。征信信息在贷款获批流程中不断流转,金融科技企业需注意信息利用中的合规风险,广大金融消费者也需关注自身征信信息可否安全。


金融科技企业的信贷合作业务中,大多征信信息最先从金融信息信用基础数据库中取得。之后,获得征信信息的企业主要采取以下路径,以进行数据运作:
① 获得该数据的企业直接利用信用信息发放贷款;
② 获得该数据的企业将信用信息分享给集团内部企业发放贷款;
③ 获得该数据的企业将信用信息加工改造成匿名信息分享给内部企业发放贷款;
④ 获得该数据的企业将信用信息分享给外部企业发放贷款;
⑤ 获得该数据的企业将信用信息加工改造成匿名信息分享给外部企业发放贷款。
不同的数据使用情况,依据放贷主体的不同,又可进一步分为自我放贷的征信信息使用、助贷的征信信息使用与联合贷款的征信信息使用。我们在之前文章中,曾就企业通用的数据共享中的法律风险进行分析【详情请戳:原创 | 个人信息“共享”:真实的风险在哪里? 】。
本文则着重就不同的贷款取方式中对应的征信信息共享问题特别分析,以帮助广大金融消费者维护自身合法权益,也帮助金融科技企业依法合规运作。

为自我放贷而查询并使用征信信息


征信信息属于个人信息的重要内容。依据国家市场监督管理总局、国家标准化管理委员会发布的,将于2020年10月1日正式实施的,2020年第1号国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》”)附录,征信信息更是属于个人敏感信息
敏感信息一旦泄露、非法提供,则可能危害人身、财产安全,极易导致个人名誉、身心健康等受到损害。因此,在征信信息的获得与使用上,金融科技企业还需特别慎重。
我国在个人信息的利用上贯彻“授权同意”原则。
《中国人民银行关于进一步加强征信信息安全管理的通知》在征信信息查询管理中要求,“运行机构和接入机构(本文中主要指金融科技企业)要健全征信信息查询管理,严格授权查询机制,未经授权严禁查询征信报告,……严禁未经授权认可的APP接入征信系统。从严管理批量数据,按照合法、正当、必要的原则,严格按流程和保密要求办理批量数据的抽取、留存、流转、应用和销毁,确保各环节数据安全”。
结合征信的敏感信息属性,在该类信息的收集中,金科企业还应特别注意,获得金融消费者的明示同意,确保信息主体在完全知情的基础上,自主给出具体的、清晰明确的意愿表示。同时,金融科技企业还应向金融消费者告知收集、使用个人信息的目的、方式以及使用范围等。

为其他企业助贷而共享征信信息

 为其他企业助贷而共享征信信息,又可分为为集团内部企业助贷而共享征信信息以及为外部企业助贷而共享征信信息。
相较而言,内部集团企业在获得信息主体授权同意时,容易具体化、明确化;但为外部企业共享信息时,因合作方的不明确,在授权获得上,容易存在瑕疵。但无论对内部集团企业助贷而共享征信,还是对外部企业共享征信,均可在法律上评价为向第三方独立主体共享征信信息的行为。对此,我们予以合并分析。
首先,金科企业征信信息共享应充分重视风险。根据《信息安全规范》,非因收购、兼并、重组、破产原因共享、转让个人征信信息的:
(1)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
(2)最先被授权获得个人征信的企业,需要向金融消费者告知共享、转让个人信息的类型、目的,数据接收方的身份类型、数据安全能力,以及可能产生的后果,并事先征得个人信息主体的明示授权同意。
对此,需特别注意,一般个人信息的共享,向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意即可。作为敏感信息的个人征信,此处关于告知数据接收方的身份、数据安全能力等的要求略不同于一般个人信息内容的规定
但金科企业在获取征信信息时,或许合作的外部企业名称等并未落定。以上要求,对金科企业为外部企业共享征信信息以助贷时,带来较多负担。但若金科企业与外部企业共享的信息,经去标识化处理,且确保数据接收方无法重新识别或者关联个人信息主体的,则不再需要再次请求授权等内容。
其次,一些金科企业想,利用公司的数据处理模型,将已收集到的个人征信进行加工,创造独属于自家的衍生字段或者其他评价性指标,那不是就不属于征信信息了吗?企业用自己生成的数据帮助他人风控,这不两全其美?对以上想法,还请及时自查。
在法律评价中,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,还是属于金融消费者的个人信息。也即,对其使用、处理范围仍不可以超过金融消费者的授权同意范围。
最后,一点细节提醒读者,个人征信的传输,需采用加密等安全措施。个人征信属于敏感信息,该项也是对个人敏感信息的传输特别要求。

为联合贷款共享征信信息


联合贷款与助贷(出借资金完全来源于第三方机构)相比,联合贷款对征信信息使用的特殊之处在于,放贷人为已获得征信查询授权的金科企业与银行等其他合作机构,各机构按照一定比例共同放贷。而放贷业务本身即为征信查询的授权目的所在。
就合作机构为银行而言,近年来《关于规范在沪银行业金融机构与第三方平台合作信贷业务的通知》、《关于加强互联网助贷和联合贷款风险防控监管提示的函》(浙银保监便函〔2019〕9号)等等规范均可以看出,监管层认为将贷款管理核心业务外包,违反银监会监管规定,也容易导致外部风险输入银行业体系。因此,禁止银行将授信审查、风险控制等核心环节外包,且银行不能异化为单纯的放贷资金提供方。
《商业银行互联网贷款管理暂行办法》(内部意见征求阶段)也提出,“互联网贷款业务模式涉及与外部机构合作的,核心风控环节应当由商业银行独立开展且有效,不得将授信审查、风险控制、贷款发放、支付管理、贷后管理等核心业务环节委托给第三方合作机构”。
也即,联合贷款中,与银行共享征信信息的意义并不大,尝试技术输出,或为可行。
就合作机构为其他同类机构而言,金科企业还需根据《个人征信授权书》以及与人行征信中心签署的《征信服务协议》等内容来确定,合作机构是否有权使用已采集数据。此处,共享征信信息的本质则同于上文“为其他企业助贷而共享征信信息”的内容。

写在最后


征信信息属于个人非常重要的敏感信息,一旦泄露容易产生诸多不良影响。对此,我们提醒广大金融消费者在授权他人查询征信信息时,还需特别留心。
同时,根据《征信业管理条例》第十七条,信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。
征信信息查询次数不宜过多。中国人民银行征信中心个人信息服务平台对外公布的《个人信用报告(个人版)解读》指出,“查询记录反映您的信用报告被查询的历史记录,显示何机构或何人在何时以何种理由查询过您的信用报告。展示内容包括查询日期、查询操作员和查询原因”。即,查询记录是个人信用报告的组成部分。而《个人信用报告(个人版)样本》以及《个人信用报告(个人版)解读》均表明,征信机构可以公开特定被查询信息主体的征信被查询记录。
而过多查询记录会被认为,客户潜在负债压力较大,风险较高,某种程度上,会影响贷款审核等。审慎查询,珍爱信用
以上是今天的分享,感恩读者!

区块链及其应用领域,推荐阅读《ICO黑洞:创新融资疯狂的背后》
扫描下方二维码即可购买






往期精彩回顾



原创 | 如何找到肖飒"金融科技”法律团队?
用心 | 重启"飒姐约饭",中午见!








肖飒,垂直“金融科技”的深度法律服务者,中国银行法学研究会理事、中国社会科学院产业金融研究基地特约研究员、金融科技与共享金融100人论坛首批成员、人民创投区块链研究院委员会特聘委员、工信部信息中心《2018年中国区块链产业白皮书》编写委员会委员。被评为五道口金融学院未央网最佳专栏作者,互金通讯社、巴比特、财新、证券时报、新浪财经、凤凰财经专栏作家。


让金融科技人远离“囹圄”!!


办公邮箱:sa.xiao@dentons.cn


: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存