汇业评论 | 《征信业务管理办法》解读:主要内容、行业影响及合规建议
The following article is from 大队长金融 Author 黄春林、李天航等
2021年1月11日,为了应对数字征信时代的新挑战,理清信用信息、征信业务及金融科技创新的边界,强化信息主体权益保护,在总结近期监管执法实践经验的基础上,人行发布了《征信业务管理办法(征求意见稿)》(下称“《管理办法》”)。
近段时间以来,人行加强了征信业务监管,先后约谈、处罚蚂蚁集团及鹏元征信等部分金融科技公司违法违规从事征信业务,引起了业界的广泛关注。《管理办法》的发布,一方面将有利于理清征信业务合规边界,准确把握监管尺度;另一方面将严重影响金融科技、大数据公司的现有业务空间、业务模式及未来发展方向;同时还会成为有关机构向互联网平台公司采集数据的有力依据,从而影响互联网平台公司多年积累的数据资源优势。
结合近期人行监管执法案例及个人信息保护立法趋势,并参考近年来多个类似项目经验,汇业律师事务所网络与数据法律团队简要解读《管理办法》合规要点如下,仅供参考。
一、信用信息与征信业务
(一) 从宽认定信用信息与征信业务
随着金融科技的快速发展,信用信息及征信业务的法律内涵和外延越来越模糊,一直困扰着业界。在总结近期监管执法案例及行业调研的基础之上,《管理办法》从适用场景、信息类型两个方面,明确了信用信息的法定内涵与外延,进而概括列举了常见的征信业务。
从场景来看,之前业界形成的普遍共识是“信贷”场景才会被认定为征信信息,但本次《管理办法》进一步扩大到了“金融经济活动”。考虑到人行近期对金融科技公司的监管执法实践及趋势,未来正式稿中扩大征信信息适用场景至一般经济活动是大概率事件。
从信息类型来看,《管理办法》突破了围绕信贷场景产生的借还贷、逾期记录等金融信息范畴,扩大至几乎所有金融、经济及交易记录信息,范围非常广泛,这同时也为人行从互联网公司获取数据提供了法律依据。此前,《个人信用信息基础数据库管理暂行办法》及《融资性担保公司接入征信系统管理暂行规定》等规定的征信信息还包括职业情况、在赊购、担保、租赁、保险等活动中产生的信息、行政处罚和诉讼信息等。
根据《征信机构管理办法》等规定,设立个人征信机构应当经人行批准,目前获得个人征信牌照的机构主要是央行征信中心、百行征信及最近成立的朴道征信,早期八家试点机构已经全部终止试点。设立企业征信机构,应向人行分支机构办理备案。之前有部分机构借道发改委路线变相开展企业征信业务,未来也面临较大的合规风险。
(二) 两个口子:信用信息处理者和受托查询者
《管理办法》理清了征信业务边界,除传统征信信息查报业务外,将目前市场主流的数据开放平台、数据助贷业务、大数据分析与处理等实质从事信用评价等业务的活动,包括但不限于画像、评分、评价类业务,以及反欺诈业务等,均纳入了征信业务范畴,对金融科技、大数据风控行业影响较大。
但是,《管理办法》也没有一棒子打死这个行业,开了两个口子:(1)明确金融科技公司可以与征信机构合作,为金融经济活动提供个人或企业信用信息的数据处理服务;(2)征信机构可以委托其他机构向信息主体提供免费信用报告查询服务。这一趋势与目前监管机构对银行、保险、证券类金融科技公司的定位一脉相承,即科技的归科技,强化金融机构的独立信审和风控能力。可以预期,目前市场上提供变相从事征信服务、反欺诈、大数据风控等业务的公司,将逐渐向科技外包、技术赋能、业务聚合、接口分发等方向转移。
二、告知、同意合规
个人征信信息作为个人信息的一种,亦应当遵从我国个人信息保护的基本合规框架:告知+同意。
参照制定中的《个人金融信息(数据)保护试行办法》,《管理办法》详细规定了信用信息采集、提供、使用等环节的告知、同意合规要求。结合《网络安全法》、《个人信息安全规范》、《个人信息保护法(草案)》、《个人信息告知同意指南(征)》等规定及近期监管执法实践,汇业网数团队分析建议如下:
三、信息主体的权利
《管理办法》强化了信息主体权利保护,规定信用信息主体享有查询、更正等权利。结合《网络安全法》、《征信业管理条例》、《中国人民银行金融消费者权益保护实施办法》、《个人信息安全规范》等规定,信息主体享有的权利包括但不限于:
四、信息安全合规
结合《网络安全法》、《个人信息保护法(草案)》、《管理办法》及我国等保、关保相关规定及监管实践,征信业务系统、网络、数据及信息安全合规要点包括但不限于:
1) 制定安全管理制度,包括但不限于管理制度、操作规程及指引、分级分类制度、安全影响评价制度、应急预案等;
2) 应当按照网络安全等级保护三级或三级以上定级、备案及测评,个人征信机构还应当参照关键信息基础设施保护有关规定执行,开展网络安全及数据安全审查等;
3) 设立信息安全负责人及专门机构,加强关键人员和岗位的全生命周期合规管理,定期开展安全意识教育和培训;
4) 建立合规的内控机制,严格限定并分离上报、查询、使用、审计信用信息的工作人员的权限和范围,建立完善的留档留痕机制;
5) 使用符合监管机构要求的安全软硬件、密码技术等;
6) 建立安全事件应急处置机制,并定期演练、依法执行;
7) 数据本地化,相关网络专线及机房、服务器、前置机等符合有关规定;
8) 确有必要向境外提供个人征信信息的,依法开展安全评估及审批;向境外提供企业信息用信息的,依法备案,并审查使用者合法性,且采取单笔按需调用的方式;等等。
作者介绍
黄春林
汇业律师事务所合伙人
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
李天航
汇业律师事务所合伙人
李天航律师,上海交通大学网络空间治理研究中心研究员。主要执业领域为网络安全与数据合规、公司业务合规、刑事法律风险防控、反舞弊调查、刑事辩护、刑民交织争议解决、劳动与人力资源。在网络安全与数据合规领域有丰富的实践经验,为多家全球领先企业提供法律合规服务,发表多篇实务文章。曾在上海市公安局法制办公室工作逾16年,负责大案要案指导和协调、刑事案件质量控制、刑事政策制定等。
往期文章推荐: