9月30日,央行发布《征信业务管理办法》(下称《办法》),对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行规定,清晰界定了何为信用信息。
与9个月前征求意见稿内容相比,央行对于信用信息的定义和边界进一步明确,同时要求从事征信业务的机构依法持牌经营。
近年来,征信新业态不断涌现,征信边界不清,信息主体权益保护措施不到位等问题不断出现。随着社会对个人数据保护的重视,征信行业发展也越来越受到社会各界关注。
正如央行此前所强调,我国征信市场发展将迎来一个黄金发展期,央行对于征信市场培育和管理方面主要有三点考虑:一是严监管,将为金融活动提供服务,用于判断企业和个人信用状况的信息服务,全部纳入征信监管,实行持牌经营;二是强供给,引导国有资本、民营资本和社会力量有序发展市场化的征信机构;三是保安全,切实加强对征信信息的保护,特别是个人征信信息的保护。
解决替代数据争议
征信与我们每个人的经济生活息息相关。在大数据背景下,征信已经不仅是传统的个人借贷信息共享,还包含其他与个人信用状况相关的数据应用。
《办法》明确,符合“依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息”为信用信息。
“信用信息是一个专业性极强的金融概念,将金融经济活动提供服务、用于判断个人和企业信用状况的各类信息纳入信用信息的范畴内,有利于推动社会信用建设、保障国家金融系统安全、健全现代国家治理体系。”中国人民大学国发院金融科技与互联网安全研究中心主任区块链研究院执行院长杨东对第一财经记者表示,对于立法部门而言,囊括性的界定标准有助于保留进一步的立法空间;对于执法部门而言,该界定标准具有现实可操作性。
“替代数据的问题全球都在探索,一方面信贷市场发达的国家,特别是新兴市场国家,开始使用更多的替代数据,另一方面,不同的经济体对于替代数据的监管存在差异。”全联并购公会信用管理委员会常务副主任/北京信用学会副会长刘新海对第一财经表示。
“可以看出,在信用评价中,有效的替代数据将会被纳入,例如非信贷类信用数据、一些先用后买场景中的数据、租房数据等。《办法》明确了未来的方向,当然这些具体的应用和监管会在探索中细化。这些信息的使用未来还会在个人信用报告中体现,保证透明性和消费者的知情权。”刘新海称。
杨东认为,由于大数据技术广泛应用,多种类型的替代数据在信贷领域中显现,包括个人的交易、社交、上网痕迹等,来源也由传统的金融机构发展到政府部门、公共事业单位、数字金融公司等,目前已被普遍应用于信贷支持。“在监管日趋严格的背景下,替代数据应用与用户私人信息保护之间的关系需要平衡。”他称。
央行强调,将征信替代数据应用纳入监管,并强调从事征信业务需取得合法资质,可有效解决“无证驾驶”的问题,将原先游离于监管之外的新兴征信活动纳入法治监管的轨道,促进市场公平,维护国家金融稳定和金融安全。
数据用于征信时将受到严格保护
当前,一些打着征信旗号的大数据公司,过度采集企业和个人数据,由此也引发了对于征信边界的热议,如何在个人隐私保护和信息利用中取得平衡?
“以大数据为基底的互联网平台频频曝出违规采集、滥用个人信息等负面新闻,给保护金融消费者权益带来新的挑战。”业内专家对记者表示,在信息采集方面,某些互联网平台在用户注册、使用过程中,大量采集个人身份、通信、出行、照片等隐私信息,存在信息过度采集、强制授权或授权告知不明确的问题。
在信息处理方面,某些互联网平台运用人工智能、机器学习等大数据技术对个人进行信用评分,却并未向信息主体清晰告知数据在模型中的处理规则,存在“黑箱”,可能导致分类不当引发异议,且异议原因难以查找等问题。
信息使用方面,某些互联网平台将个人信息提供给第三方机构使用过程中,存在信息“一次授权,多次使用,长期使用”等问题,增加了信息使用链上个人信息泄露的风险,对个人人身和财产安全造成负面影响。
《办法》规定,从事个人征信业务的,应当依法取得中国人民银行个人征信机构许可;从事企业征信业务的,应当依法办理企业征信机构备案;从事信用评级业务的,应当依法办理信用评级机构备案。
央行表示,《办法》以信用信息的采集、整理、保存、加工、提供、信息安全等全流程合规管理为主线,以明确征信业务边界、加强信息主体权益保护为重点。
具体而言,一是强调信用信息采集“最小必要原则”,要求征信机构采集信息遵循“最小、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的;
二是提高信用信息加工规则透明度,征信机构提供信用报告等信用信息查询产品服务的,应当客观展示查询的信用信息内容,并对查询的信用信息内容及专业名词进行解释说明;提供画像、评分、评级等评价类产品和服务的,应当建立评价标准,不得将与信息主体信用无关的要素作为评价标准;
三是加大信用信息使用授权约束。《办法》规定信息使用者使用个人信用信息应当有明确、具体目的,按照与信息主体约定的用途使用。
“现在并不是讨论我国数据保护应该要如何实现的时候,数据保护情况在客观层面已经不容乐观。”杨东认为,基于此,只有加速我国数字化金融的发展,实现国家数据要素市场的爆发式增长,在国际数字市场上获得竞争优势、取得主导地位、拥有数字规则制定话语权。此后,以数据保护性开发为指导,制定个人数据保护标准,辅以数字技术体系,更充分、更全面、更完善地对个人信息和隐私进行保护。
市场乱象亟待法治规范
随着互联网技术的飞速发展,非法征信问题愈发突出,《办法》在给大数据征信戴上紧箍咒的同时,也斩断了一些不良商业模式。
“新规将互联网平台、大数据公司的合规成本提高,个人数据业务要受到监管,针对信贷业务的征信服务也要受到监管,这是全球的行业共识。”刘新海称。
杨东表示,《办法》落地意味着在数据市场上跑马圈地的时代即将结束,所有个人数据的征信应用都会走上法制化、正规化的道路。
《办法》规定,金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。这也意味着,打着大数据、金融科技等旗号,未经央行批准擅自从事个人征信业务的行为,均属违法行为。
近年来,传统金融机构和互联网平台合作不断深入,互联网平台在为金融机构弥补数据分析缺陷、解决获客渠道不足问题的同时,二者之间的合作方式在信息处理方面也存在明显的法治漏洞。
具体体现在,缺乏独立性、信息滥用、存在风险隐患、逃避监管等几个方面。
有业内专家对记者表示,传统金融机构和互联网平台合作不可避免地会围绕互联网平台核心业务和利益链条展开,进一步造成不同平台之间的相互封闭,形成事实上的信息垄断和信息孤岛。同时,互联网平台通过人工智能、云计算、大数据等科技包装,表面上是不断提升信息价值,背后却可能产生数据黑箱,数据与信用之间缺乏有效的因果关系证明,夸大信息支撑作用的情况较为突出。
此外,部分互联网平台与金融机构采用息费分成的分润机制,利益的驱动使合作双方有对信息主体过度授信的倾向,进一步造成整体违约风险。更为严重的是,这种合作方式可能产生新的影子银行,无论是金融机构的信贷投放还是数据使用,都会游离于监管之外。
刘新海认为,征信业新规将对一些机构原有的商业模式(没有个人信息保护的概念和措施,不受监管,随意买卖和使用数据)造成冲击。
杨东表示,在激烈的市场竞争中,我国个人征信机构发展与成熟进程将会大大加速,各家征信机构也将随着市场竞争逐渐进行兼并、吸收,在最后形成少数几家个人征信机构。
规范大数据、互联网平台征信业务
互联网平台的这些问题早已被监管注意到。
针对违规采集、滥用个人信息,一次授信多次使用等大数据征信乱象,人民银行、银保监会等金融管理部门先后两次联合约谈了蚂蚁集团;此后,又联合对13家互联网平台进行约谈;2021年7月,人民银行征信管理局通知要求互联网平台实现与金融机构个人征信业务的全面“断直连”,即互联网平台只能通过持牌征信机构依法合规开展个人征信业务,金融机构也只能与持牌个人征信机构合作获取个人征信服务。
市场分析人士认为,上述措施为互联网平台合法处理个人信息奠定了良好基础。同时,也让蚂蚁集团等14家互联网平台整改有规可循。
专家认为,互联网平台整改要符合《办法》要求,其意味着合规路线分为两种:一是与有关主体进行合作,比如发起设立个人征信机构,二是与已有的持牌机构进行业务合作。
刘新海认为,作为全球第二大经济体,中国消费经济和消费金融未来将蓬勃发展,作为重要基础设施的个人征信行业也会随着行业发展,但根据行业集中式数据共享和服务的特点,全国性的提供基础信用报告和信用评分的征信机构并不会太多。
“由于征信行业投入大、周期长、专业性强的特点,百行征信和朴道征信作为目前两家全国性个人征信机构,在为整合复杂数据源提供基础服务,以及匹配国内信贷应用场景、满足未来数字经济发展的创新中,还存在一些挑战。”刘新海指出。
值得注意的是,《办法》自2022年1月1日起施行,并设置了1年半的过渡期。央行有关负责人表示,《办法》充分考虑互联网平台、数据公司等机构与金融机构业务合作模式的调整,对本办法施行前未取得征信业务资质但实质从事征信业务的市场机构给予了一定的业务整改过渡期,过渡期为本办法施行之日至2023年6月底。过渡期内,人民银行将加强对相关机构的业务指导,分步骤推动实现平稳过渡。