本文内容要点
一. 个人征信“断直连”的源起
二. 个人征信“断直连”的监管要点
路径一. 接入个人征信机构
路径二. 技术升级转型
总结
一. 个人征信“断直连”源起
《征信业务管理办法》出台之前,银行等金融机构通过不具备个人征信许可的网络平台等机构获取个人信用信息的情况较为普遍。对于该做法的合法性,业内存在不同的声音。产生不同声音的主要原因之一是,当时法律法规和监管文件未明确“信用信息”的含义,由此有着不同的理解。
根据2013年3月13日起施行的《征信业管理条例》,个人征信业务是指对个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动,从事征信业务应当经国务院征信业监督管理部门批准。该条例对采集和处理“不良信息”提出了明确的法律要求。其中,“不良信息”,是指对信息主体信用状况构成负面影响的下列信息:信息主体在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务的信息,对信息主体的行政处罚信息,人民法院判决或者裁定信息主体履行义务以及强制执行的信息,以及国务院征信业监督管理部门规定的其他不良信息。但是,该条例并未明确“个人信用信息”的含义。
因此,有人认为,上述条例所监管的“个人信用信息”主要是指个人借贷信息、财产信息等金融信息,而网络平台等机构基于其日常业务活动而收集、产生的个人用户身份信息、日常消费交易信息、个人画像等信息不属于“信用信息”,因此网络平台等机构向金融机构提供该等信息(或基于该等信息整理形成的报告)不属于从事个人征信业务,相应的,金融机构从网络平台获取该等信息不违反法律法规规定和监管要求。
网络平台等机构所收集、产生的个人信息反映着个人的消费能力、水平和习惯等特点,一定程度上能作为金融机构评价该个人的偿债能力和偿债意愿的参考,这些信息同时涉及个人(信息主体)不愿为他人知晓的私密信息和隐私。如在信用评价场景中过度、不必要使用相关个人信息,将造成对个人隐私权的侵害;如该等信息的采集和处理缺乏真实性、完整性、准确性,也将影响金融机构对个人信用状况评价的客观性,对信用风险管理带来不利影响。因此,金融机构从网络平台等获取个人信用信息的活动,长期受到金融监管部门的关注。
2021年4月29日,中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会、国家外汇管理局等金融监管部门就金融业务持牌经营、依法合规开展个人征信业务、强化金融消费者保护机制等议题联合约谈十多家网络平台机构,并通过窗口指导等方式,要求该等网络平台和银行等金融机构之间断开个人信用信息的数据直连、通过具备个人征信业务许可的机构依法合规开展个人征信业务,规范个人信息采集使用[1]。
2022年1月1日《征信业务管理办法》施行,进一步明确“个人信用信息”是指依法采集,为金融等活动提供服务,用于识别判断个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。根据《征信业务管理办法》,金融机构不得与未取得该个人征信机构许可的市场机构开展商业合作获取个人征信服务;该办法施行前未取得个人征信业务经营许可但实质从事个人征信业务的机构,应当自办法施行之日起18个月(即2023年6月30日前)内完成合规整改。
二. 个人征信“断直连”的监管要点
(一)个人征信“断直连”适用的数据类型
个人征信“断直连”适用于个人信用信息。根据《征信业务管理办法》,个人信用信息是指识别判断个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。
从法规条文看,个人信用信息的内涵是“判断个人信用状况”的信息。尽管其外延广泛、涵盖“基本信息、借贷信息”以及“其他相关信息”,但不能当然地认为所有个人信息都构成“个人信用信息”。参考人民银行权威研究文章[2],实践中对“个人信用信息”的理解和把握应当不能脱离“征信”场景,即只有能够反映个人偿债意愿和偿债能力的信息,才属于受到监管的“个人信用信息”从而需要按照规定进行“断直连”。例如,银行与电信运营商等非个人征信机构合作、向后者采购其用户的“三要素”用于验证金融服务,涉及电信运营商向银行提供身份证号、姓名、手机号等个人身份信息。该等身份信息并不反映个人偿债意愿和偿债能力、不能判断个人的信用状况,应当不属于个人征信“断直连”所适用的数据类型。
(二)个人征信“断直连”涉及的机构及整改要求
个人征信“断直连”的整改要求主要涉及作为信息需求方的金融机构和信息提供方/服务方,而后者系不具备个人征信业务许可而从事个人信用信息处理活动的网络平台等。
根据《征信业务管理办法》,金融机构不得与未取得该个人征信机构许可的市场机构开展商业合作获取个人征信服务的活动。其中,金融机构包括国务院金融管理部门监督管理的从事金融业务的机构与地方金融监管部门负责监督管理的地方金融组织。商业银行、小额贷款公司、融资担保公司、融资租赁公司等均属此类。因此,该等金融机构应当在2023年6月30日前终止从不具备个人征信许可的机构获取个人信用信息的业务。如金融机构需获得个人信用信息的,应当通过国家金融信用信息基础数据库或依法个人征信许可的机构获取。根据人民银行官方网站的公示[3],目前已依法取得获准经营的个人征信机构为百行征信有限公司、朴道征信有限公司。
除了作为信息需求方的金融机构,“断直连”对于信息提供方/服务方的业务活动也有影响。《征信业务管理办法》明确规定只有依法取得个人征信业务经营许可的机构方可经营个人征信业务。因此,与金融机构合作开展助贷、引流、联合贷等业务合作、但不具备个人征信经营许可的网络平台等机构需要配合金融机构在整改期限前终止个人征信相关合作,并研判后续相关业务开展的合法、可行路径,及时作出调整。另外,对于已依法办理企业征信业务经营备案、信用评级机构备案的机构,如涉及经营个人征信业务活动,同样适用于个人征信“断直连”整改要求,也需要作出上述调整。
路径一. 接入个人征信机构
互联网和大数据等新技术在征信领域广泛应用,传统借贷信息外的大量“替代数据”被应用于判断企业和个人信用状况。这些“替代数据”涉及个人(信息主体)不愿为他人知晓的私密信息和隐私,同时数据的完整性、可用性、真实性、准确性等对金融机构信用风险管理有直接影响。因此其采集、分析和使用需要兼顾个人信息权益及隐私保护和金融安全。为防止该等“替代数据”被滥用或不规范使用,促进市场公平,维护国家金融稳定和金融安全,征信新规将征信替代数据应用纳入监管[2],要求个人信用信息供需方“接入个人征信机构”。
根据征信新规,金融机构获取个人征信服务的,应当从具备个人征信经营许可的机构(“个人征信机构”)获得;信息提供方/服务方在符合征信新规规定的前提下,可以与个人征信机构开展合作、向后者提供个人信用信息的采集等相关服务。简言之,金融机构、信息提供方/服务方可以通过“接入个人征信机构”模式开展个人征信业务。如下图所示:
在该路径下,信息使用者金融机构、网络平台等信息提供者需要关注如下法律合规要点:
征信新规对作为征信服务提供者的个人征信机构提出了一系列合规要求,归纳要点如下:
路径二. 技术升级转型
金融机构从提供方/服务方采购特定个人的信用信息,或者由该等信用信息加工、整理形成的信用报告,是征信新规出台前,金融机构、网络平台等信息提供方/服务方之间有关个人征信业务合作的主要方式之一。
除了通过上述途径实现数据价值外,基于数据资源而研发、形成新的技术架构和技术方案,也是实现企业数据价值的有效途径。我们认为,征信新规在一定程度上会促使市场科技升级转型,金融机构、信息提供方/服务方可以着力于数据技术能力的挖掘和提升,实现从以个人信用信息作为标的供需交易到技术服务合作的转型:
一方面,金融机构可以在符合金融数据安全管理规范、保障个人信息权益的前提下,优化金融机构内部(甚至关联金融集团)的数据合规治理工作,充分利用和挖掘金融机构内部已掌握的客户数据的信用评价价值,开发、优化个人信用信息评价、风控系统和技术,降低个人征信评估场景对外部数据的依赖;
另一方面,网络平台等信息提供方/服务方可以利用自身技术和行业经验,为金融机构等处理个人信用信息提供技术服务,利用隐私计算技术等新型技术,在个人信用信息不出本地的情况下,以技术服务输出的方式参与个人征信业务,实现从信息提供方到技术提供方的转型。
金融机构与信息提供方/服务方进行技术合作的场景下的业务和法律关系如下图所示:
技术服务合作中,技术服务方、金融机构分别需要关注如下法律合规要点。
此外,《银行保险机构信息科技外包风险监管办法》对银行保险等金融机构的信息科技外包提出了明确的要求,相关机构需要关注遵守。
总结
征信新规下个人征信“断直连”的监管要求,对个人征信相关行业活动带来了直接影响。征信新规要求的整改期限(2023年6月30日)临近,对金融机构、网络平台机构、个人征信机构等业务合法性和规范性提出了更明晰的要求。《征信业务管理办法》出台是我国征信法制框架完善的重要举措。征信新规明确了征信业务边界、规范了征信业务全流程,对信息安全和信息主体权益保护提出更高要求,鼓励市场应用新兴科技推动征信业务创新发展[3]。征信新规给予的市场业务整改过渡期将在2023年6月30日届满。从征信新规的整改要求,到后续征信业务新科技、新应用、新产品的合法性合规性论证及落地,天元均能提供定制化、精细化的专业法律服务支撑,助力行业相关客户业务合规发展。
(实习生李玉洁对本文亦有贡献)
- 相关领域
- 合规