行业梳理 | 征信业的十个增强式数据安全保护要求
编者按:
关于我国《个人信息保护法》,本公号发表过的相关文章包括:
关于《数据安全法》,本公号发表过的相关文章包括:
近日,《征信业务管理办法》正式发布,对于其中的信用信息,特别是个人信息信息,显然我们应当从《个人信息保护法》的角度去看。但是信用信息中还包含企业信用信息,这部分信息应当如何看待?又或者,信用信息整个类别,可以从《数据安全法》的角度去看(要知道,《征信业务管理办法》在第一条中并没有提到《数据安全法》)?
要回答这个问题,可以从人民银行在《征信业务管理办法》中对数据全生命周期提出的安全保护要求来理解。这也是本文的目的。本文归纳在公号君看来,与《个人信息保护法》相比,《征信业务管理办法》对信息安全和保护提出的十个非常有特色或者增强式的要求。
1、信用信息包括个人信息,也包括企业信息
根据《征信业务管理办法》第三条规定,本办法所称信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。
2、征信行业施行“业务资质管理”
《征信业务管理办法》第四条规定,“从事个人征信业务的,应当依法取得中国人民银行个人征信机构许可;从事企业征信业务的,应当依法办理企业征信机构备案;从事信用评级业务的,应当依法办理信用评级机构备案”。
并且,具备业务资质的市场机构,才可以向金融机构提供征信服务。因为《征信业务管理办法》第五条规定,“金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务”。
3、征信机构和监管机构都要审查上游信息的合法性
《征信业务管理办法》第九条规定,信息提供者向征信机构提供信用信息的,征信机构应当制定相关制度,对信息提供者的信息来源、信息质量、信息安全、信息主体授权等进行必要的审查。
并且,《征信业务管理办法》第十四条规定,个人征信机构应当将与其合作,进行个人信用信息采集、整理、加工和分析的信息提供者,向中国人民银行报告。个人征信机构应当规范与信息提供者的合作协议内容。信息提供者应当就个人信用信息处理事项接受个人征信机构的风险评估和中国人民银行的情况核实。
4、征信机构开展个人征信的业务计划(包括个人信息处理的方案),需要提前向监管机构报告后,方可开展
《征信业务管理办法》第十一条规定,征信机构经营个人征信业务,应当制定采集个人信用信息的方案,并就采集的数据项、信息来源、采集方式、信息主体合法权益保护制度等事项及其变化向中国人民银行报告。
5、信用信息力求准确性和相关性
《征信业务管理办法》在第三章中集中对信息准确性做出要求:
征信机构不得篡改原始信息;
征信机构在整理、保存、加工信用信息过程中发现信息错误的,如属于信息提供者报送错误的,应当及时通知信息提供者更正;如属于内部处理错误的,应当及时更正,并优化信用信息内部处理流程。
征信机构应当对来自不同信息提供者的信息进行比对,发现信息不一致的,及时进行核查和处理。
对于信用信息的相关性,《征信业务管理办法》在第四章有完整设计:
征信机构提供画像、评分、评级等信用评价类产品和服务的,应当建立评价标准,不得将与信息主体信用无关的要素作为评价标准。征信机构正式对外提供信用评价类产品和服务前,应当履行必要的内部测试和评估验证程序,使评价规则可解释、信息来源可追溯。
征信机构提供信用反欺诈产品和服务的,应当建立欺诈信用信息的认定标准。
征信机构提供信用信息查询、信用评价类、信用反欺诈产品和服务,应当向中国人民银行或其省会(首府)城市中心支行以上分支机构报告下列事项:(一)信用报告的模板及内容;(二)信用评价类产品和服务的评价方法、模型、主要维度要素;(三)信用反欺诈产品和服务的数据来源、欺诈信用信息认定标准。
6、个人不良信息有时效性要求
《征信业务管理办法》第二十条规定,征信机构采集的个人不良信息的保存期限,自不良行为或者事件终止之日起为5年。个人不良信息保存期限届满,征信机构应当将个人不良信息在对外服务和应用中删除;作为样本数据的,应当进行匿名化处理。
换句话说,个人在信用方面的不良信息,有效期为五年。五年后,征信机构应当对其“遗忘”。
7、对外提供征信产品或服务,应当对使用者一视同仁
《征信业务管理办法》第二十一条规定,征信机构对外提供征信产品和服务,应当遵循公平性原则,不得设置不合理的商业条件限制不同的信息使用者使用,不得利用优势地位提供歧视性或者排他性的产品和服务。
8、征信机构应审查使用者,确保信息下游的使用的合法性
《征信业务管理办法》第二十二条规定,征信机构应当采取适当的措施,对信息使用者的身份、业务资质、使用目的等进行必要的审查。
征信机构应当对信息使用者接入征信系统的网络和系统安全、合规性管理措施进行评估,对查询行为进行监测。发现安全隐患或者异常行为的,及时核查;发现违法违规行为的,停止提供服务。
9、信用信息明确无条件的本地化存储要求
《征信业务管理办法》第三十九条规定:征信机构在中华人民共和国境内开展征信业务及其相关活动,采集的企业信用信息和个人信用信息应当存储在中华人民共和国境内。
10、对境外提供信用信息需要慎之又慎
《征信业务管理办法》第四十条规定:征信机构向境外提供个人信用信息,应当符合法律法规的规定。征信机构向境外信息使用者提供企业信用信息查询产品和服务,应当对信息使用者的身份、信用信息用途进行必要的审查,确保信用信息用于跨境贸易、投融资等合理用途,不得危害国家安全。
第四十一条规定:征信机构与境外征信机构合作的,应当在合作协议签署后、业务开展前将合作协议报告中国人民银行。
简短的讨论
首先,信用信用不仅是个人信息还有企业信息,自然《征信业务管理办法》自然有《个人信息保护法》无法涵盖的事项。
其次,即便是个人信用信息,《征信业务管理办法》对于征信机构开展业务的事前(即征信业务方案的审查)监管,对上、下游合作伙伴的审查,也很难用《个人信息保护法》来正当化。即便是《个人信息保护法》中对敏感个人信息的规定,也难以达到《征信业务管理办法》的监管强度。
再次,与境外征信机构合作的事项,需要首先获得人民银行的许可。
当然,信用信息力求准确性和相关性,这是征信业务本身的特点所要求。
因此,在公号君个人看来,《征信业务管理办法》对征信业划了一个圈,在里面流转的信用信息,具有合法性、准确性、相关性的要求。来自于外部的信息要流入,转换成信用信息,需要监管机构把关。这些信息又都需要本地化存储。信用信息的流出,也有比较高的门槛,但没有流入的高。
从这些特点来看,这些要求可不可以成为重要数据的监管思路中的一部分?
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
数据要素治理的相关文章包括:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章:
关于人工智能安全和监管,本公号发布过以下文章:
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
数字贸易协定的相关文章有: