管窥《征信业务管理办法(征求意见稿)》的监管逻辑和重点
2021年1月11日, 中国人民银行发布了《征信业务管理办法(征求意见稿)》(下称“《征信业务管理办法》”), 公开向社会征求意见。不言而喻, 《征信业务管理办法》旨在解决征信业发展过程中暴露出的“乱象”。对已经超过50亿规模的征信业务市场进行监管[1], 不仅仅是终止“无序竞争”的监管选择, 也是整顿相关市场业务模式的实践需要。
针对金融科技在信贷服务领域的不断发展, 《征信业务管理办法》的公布表明了监管部门决定整治征信业务市场的态度。因此, 无论是持牌机构、还是希望利用替代数据从事“类征信服务”的金融科技企业, 均应审时度势, 对照监管要求对自身的业务模式进行调整, 以实现合规经营。
域外适用效力
继《数据安全法(草案)》《个人信息保护法(草案)》后, 《征信业务管理办法》也规定了其具有“域外适用效力”。《征信业务管理办法》第二条规定, “在中华人民共和国境外, 对中华人民共和国居民(自然人和法人)开展征信业务及其相关活动的, 也适用本办法。”
央行明确《征信业务管理办法》具有“域外适用效力”可能基于如下的原因:
延续《个人信息保护法(草案)》的要求。所有征信业务的发展无法脱离底层“生产资料”, 即“个人信息”的收集与运用, 因而《征信业务管理办法》也需要解决“征信类”个人信息保护的问题。在《个人信息保护法(草案)》提出对境外机构存在“适用效力”的背景下, 延续上位法律的要求, 《征信业务管理办法》同样提出“域外适用效力”, 存在合理性。 由于信息技术的不断发展, 境外机构完全可能直接通过互联网在中国境内收集征信信息或者从事征信业务, 而不在中国当地设置任何的实体。因此, 从技术发展趋势角度而言, 提前说明域外适用效力为未来的监管实践预留了充足的空间。 从维护“数据主权”的角度来看, 设置“域外适用效力”也是针对境外机构随意收集和使用境内的征信信息的必要限制, 以防止其对中国国家安全(尤其是金融市场安全)产生威胁。
但是作为境外主体, 如何履行《征信业务管理办法》下的相关义务, 则仍然需要监管部门给出更加具体的落实方案。
尽职审查责任
《征信业务管理办法》在征信信息的“采集、提供、使用、自动化传输和跨境传输”等各个方面, 均对证信机构设置了“尽职审查”要求, 实际上是在充分考虑了目前各类征信机构(以及从事类似业务的金融科技服务提供商)的业务实践后得出的“监管经验”。针对目前征信市场的“征信业务活动透明度低”和“保护信息主体权益意识薄弱”的现状, 上述尽职审查义务旨在确保“信用信息在信息提供者、征信机构和信息使用者之间依法合规使用”, 而向征信机构特别增设的合规义务。
《征信业务管理办法》的第三十九条明确规定, 主管部门将会对征信机构的“合规经营情况”(包括征信信息的采集、对外提供和使用)进行监督检查。因此, 我们建议征信机构可以提前对展业合规进行梳理, 包括: (1)梳理目前企业内征信信息的“流动”实际情况(采集、对外提供和使用); (2)根据实际情况, 梳理目前与合作方签署的协议内容是否满足《征信业务管理办法》的要求; (3)设置合理的“尽职审查”政策, 并对尽职审查情况进行合理记录。
信息主体的权益保护
如前文所述, 征信业务的开展无法脱离“个人信息”的使用。特别是在征信业务中的使用的“个人信息”(例如债务、财产、支付、消息等信息), 通常而言属于“个人敏感信息”, 任何的非法使用、提供或者处理都可能对相关的信息主体产生巨大的负面影响。例如, 在诈骗分子获取到债务、财产和支付信息后, 很可能利用这些财务信息编造相关的谎言, 进而实施诈骗行为。因此, 我们也可以发现本次的《征信业务管理办法》制订了大量保护“征信信息主体”权益的规定。这些“保护规定”源于《民法典》《网络安全法》和《信息技术安全-个人信息安全规范》中的保护要求。
首先, 《民法典》第1035条要求处理个人信息应当“征得该自然人或者其监护人同意”, 处理包括“个人信息的收集、存储、使用、加工、传输、提供、公开等”。《征信业务管理办法》亦多次强调“个人信息主体”同意的要求。例如, 第十条要求征信机构在直接采集“个人信用信息”时, 应当获取本人同意; 第十一条要求征信机构在间接采集“个人信用信息”, 同样应当保证信息主体授予“足够的”同意。在《征信业务管理办法》贯彻了“知情同意”原则的要求下, 征信机构应当对个人信息的收集合规进行内部核查: 例如, 在直接收集的情形下, 是否提供了符合现行法律要求的《个人信息保护声明》或者《隐私政策》; 而在间接收集的情形下, 是否制定内部的尽职审查制度, 以保证收集信息的合法性。
其次, 《征信业务管理办法》还对收集征信信息的范围做出了规定。《征信业务管理办法》第五条提出:采集信用信息应当遵守“最少、必要”原则, 且不得“过度采集”。这也与《民法典》《网络安全法》等法律规定的“最小必要”原则保持了一致。在专门针对征信业务的采集范围“必要性”规定正式公布之前, 征信机构可以参照现有的网络安全实践指南的相关规定, 以审核自身业务过程中收集征信信息的范围是否与业务需要保持一致。
第三, 征信信息主体的权利得到严格保护。《民法典》原则性的规定了个人信息主体应当享有的权利, 在这基础之上, 《信息技术安全-个人信息安全规范》第8条则更为详细地规定了个人信息主体的“查询、更正、删除、撤回同意、获取个人信息副本”等权利。基于以上的法律渊源, 《征信业务管理办法》则根据征信业务自身的特性, 为征信信息主体“量身打造”了其享有的权利: 例如, 第六条明确规定了“不良信息”的保存期限不得超过不良行为或事件终止之日起5年; 此外, 个人信息主体还可以每年2次免费查询信用报告(第二十二条)。
最后, 为了保护信息主体的权益, 监管部门还要求征信机构上报“采集个人信用信息方案”。《征信业务管理办法》第九条特别要求上报的方案中应当含有“采集的数据项、与信用的相关度和信息主体权益保护”等事项。虽然目前市场上正式从事个人征信业务的“持牌”征信机构只有央行征信中心、百行征信和朴道征信, 但是从发展的角度来看, 如果金融科技企业未来被监管部门要求必须要“持牌经营”的, 金融科技企业则有义务制定符合监管要求的“采集个人信用信息方案”。
征信信息的跨境传输
数据的跨境流动一直以来都是监管的重点。2013年颁布的《征信业管理条例》第二十四条“征信机构向境外组织或者个人提供信息, 应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”, 为征信机构向境外传输提供了法律上的“通途”。不过, 央行并没有对征信机构如何“合法”向境外传输征信信息做进一步的解释, 也没有公开信息显示征信机构曾因为“跨境传输”问题被主管部门实施行政处罚。
实践中, 境内征信机构实际上与境外机构已经开展了各种类型的合作, 例如为了履行境外法律下的反洗钱要求, 或者为了QFII业务而向境外提供征信信息实际上已经屡见不鲜。《征信业务管理办法》已考虑这些情形, 为“征信信息”的跨境使用构建了合法渠道。
根据《征信业务管理办法》第三十六条的要求, 在满足以下条件的情况下, 征信机构方可向境外传输征信信息:
1) 满足相应法律的要求, 例如获取征信主体对跨境传输其征信信息的同意;
2) 审查信息使用者的身份;
3) 境外信息使用者使用征信信息的用途为法律或者主管部门所允许;
4) 应当以“单笔查询”的方式提供;
5) 禁止“批量化”传输某一区域, 某一行业内的企业信用信息给同一境外信息使用者; 以及
6) 征信机构还应当将向境外提供企业信用信息的具体情况, 向中国人民银行备案。
评价标准
本次对外公开征求意见的《征信业务管理办法》还有一个亮点, 就是对信用评价类服务的标准应当如何设定做出了规定。根据《征信业务管理办法》第二十五条的要求, 征信机构在提供“画像、评分、评级等评价类产品服务” 时, 应当建立“评价标准”(同时需要对外披露评分模型), 且评价标准中不得含有与“信息主体信用无关的要素”。
在实践中, 各类评价类产品服务(例如基于某个用户上传的收入水平、职业、岗位等信息进行评价后, 形成特定类型的用户画像, 区分为“优质”、“普通”和“不符合要求”等不同级别的客户)多由各类金融超市或金融导流平台(例如 “趣贷款”、“你我贷”)提供, 而非是持牌金融机构(例如央行征信中心)提供。在P2P平台被大规模整改之前, 金融导流平台主要通过向金融机构导流客户, 以及提供“评价类产品”(例如针对特定用户进行风控分析)作为其主要的业务模式。在P2P平台被全面收编的情况下, 互金同业数据愈发同质化。在此背景下, “异业流量”在金融导流业务上扮演更加重要的角色: 诸如D-mall、瑞幸咖啡等细分领域的平台通过对用户行为数据(且该等数据可能和消费并无直接关联)进行分析, 进而得出“行为评价数据”, 并向消费金融领域的金融机构提该等评价数据。在这样的情况下, 金融机构可以通过“行为评价数据”分析用户在“金融领域”的可能表现, 例如支付能力、还款意愿等, 进而进一步对借贷主体的信用情况进行判断。
而《征信业务管理办法》第二十五条则对于这种业务模式的合规性直接产生了冲击: 征信机构建立和公开“评价标准”并非是难点, 但如何判断“信息主体信用无关的要素”, 则成为了难点。根据《信用基本术语》(GB/T 22117-2018)的定义, 通常意义上的“信用”指“建立在信任基础上, 不用立即付款或担保就可获得资金、物资或服务的能力。”因此, 根据目前国标的要求, 判断信用的标准, 应当与“借贷”时支付和还款的能力紧密相关, 而不宜和其他领域的行为数据发生联系。例如, 某些APP可以通过将关注“养生”内容的用户标注为“具有一定经济能力”的“中年客户”(这样的客户在传统的金融环境下非常适合推销信用卡), 但在构建信用评价类服务的判断标准时, 征信机构(也包括纳入监管的金融科技机构)很可能无法将该等数据纳入评价模型之中, 因为这样的数据很难说与“信息主体信用”相关。
征信业务的监管
根据《征信业管理条例》, 征信业务的主管机关为中国人民银行及其派出机构。《征信业管理条例》规定了人民银行的监管权力及可采取的检查措施, 而《征信业务管理办法》对人民银行的监管进行了具化。
一方面, 《征信业务管理办法》规定了征信机构的主动公开义务, 即征信机构必须将1)采集的信用信息类别; 2)信用报告的基本格式内容; 3)信用评分的主要要素及占比; 4)反欺诈服务的欺诈认定标准; 及5)异议处理流程等信息, 主动向社会公开。该等主动公开不仅仅是为了符合监管, 也是合法合规收集、使用证信信息主体的个人信息的应有之义。
另一方面, 根据《征信业务管理条例》, 人民银行对征信机构的监管范围基本上涵盖了征信业务的各个方面, 例如制度建设、合规情况、业务状况、报告和报表报送、应急处理、组织机构设置、技术安全等等。
除此之外, 征信业务的监管将不仅仅是主管部门的职责, 征信机构的自律及社会公众的监督也将是监管中的重要一环, 这些因素将共同作用, 促进征信业务的健康、积极发展。
[1] 数据来源自https://www.chinairn.com/news/20200612/172704587.shtml, 最后访问于2021年1月20日
作者:
潘永建 合伙人 +86 136 2172 0830 +86 21 3135 8701 david.pan@llinkslaw.com | |
孔焕志 合伙人 +86 185 1210 5880 +86 21 3135 8777 kenneth.kong@llinkslaw.com | |
杨迅 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com | |
辜鸿鹄 合伙人 +86 188 1746 8818 +86 21 3135 8722 patrick.gu@llinkslaw.com | |
| 朱晓阳 律师 |
杨坚琪 律师 |
| 邓梓珊 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!