最新消息
最新消息| 【專欄】數字征信時代,征信業務管理辦法的利弊分析與立法建議 | 2021-04-28 |
| 文章来源:由「百度新聞」平台非商業用途取用"https://www.163.com/dy/article/G7VITNV205198086.html" 近年來,我國進入了數字征信時代,征信新業態不斷涌現,但由于長期缺乏明確征信業務規則,征信邊界不清,信息主體權益保護措施并不到位。 為此,2021年01月,中國人民銀行結合征信業務發展的實際,起草了《征信業務管理辦法(征求意見稿)》(以下簡稱“《辦法》”),推動信用信息在信息提供者、征信機構和信息使用者之間依法合規使用,力圖保護信息主體合法權益。從《辦法》條款看,其中的亮點不少。 第一,提出采集信息遵循的“最少、必要”原則。 《辦法》第5條提出采集信息遵循“最少、必要”原則。這是十分重要的一項原則,雖然未能解決信息采集的合法邊界問題,但限制過度采集概念的提出已經是一種進步,體現出信息保護意識整體提升,有效限制了多度采集用戶信息和濫用客戶信息的可能。 過去,“最小、必要”往往是征信機構自行解釋和定義,可現在不同了,這次《辦法》對征信機構收集使用用戶信息,明確規定了在從事征信個人信息處理活動中,應當在“最小、必要”的合理控制范圍內展開,不得從事超出用戶許可范圍或者與服務場景無關的個人信息處理活動。 所謂“最少、必要”原則就是指非必要不收集,如收集必告知,用多少收多少。隨著互聯網應用的廣泛開放,由信息收集帶來的公民隱私泄漏問題,已經引發社會廣泛關注。事實上,征信系統過度收集個人信息的副作用已經產生,在當今社會中已經出現了不少惡性事件,嚴重侵犯金融消費者權益。如果對其放任不管,更大的傷害可能還在后面。正是在這樣的背景下,加強對征信業務監管成為共識,增加“最少、必要”原則就顯得及時且必要。 第二,完善了信息主體的諸多權利。 首先在個人信息主體免費獲取本人的信用報告方面,《辦法》第22條從個人信息主體的角度,明確個人信息主體有權每年兩次免費獲取本人的信用報告,還從征信機構的角度,規定征信機構應當通過互聯網、營業場所、委托其他機構等多種方式為個人信息主體提供每年兩次免費信用報告查詢服務。 其次,在信息錯誤更正方面,《辦法》第15條從征信機構的角度,規定征信機構在整理、保存、加工信用信息過程中發現信息錯誤的。如果屬于信息提供者報送錯誤的,應當及時通知信息提供者更正;如屬于內部處理錯誤的,應當及時更正,并完善內部處理流程。 《條例》第25條從信息主體的角度,規定信息主體認為征信機構采集、保存、提供的信息存在錯誤、遺漏的,有權向征信機構或者信息提供者提出異議和要求更正。征信機構或者信息提供者有義務在規定期限內進行核查和處理,并書面答復異議人,保障了信息主體的權利實現。 再次,堅持征信為民理念,保障信息主體知情權、同意權、異議權、投訴權,《辦法》明確規定采集個人信息應當告知采集的目的、信息來源和信息范圍,防范個人和企業信用信息濫采濫用,滿足人民群眾對高質量征信產品和服務的需求,保障征信信息安全,防止信息泄露。 第三,明確列示了征信機構禁止性行為。 《辦法》第一次從保護個人和企業權益角度,對信用信息采集、整理、保存和加工進行了限制性規定,明確了征信機構不得以非法方式采集信息,采集非公開的企業信用信息也應當取得企業同意,明確了征信機構不得為之的幾種方式。 《辦法》第6條規定“征信機構不得以下列方式采集信用信息: (一)以欺騙、協迫、誘導的方式;(二)以向被采集的個人或企業收費的方式;(三)從非法渠道采集;(四)以其他侵害信息主體合法權益的方式”。 這是立法者第一次明確表示了整理、保存、加工信用信息的禁止性規定,也是對欺騙等方式收集信用信息的一個姿態,為實際部門在執法之時進行參照,具有較強的可操作性。 第四,細化用戶不良信息處置方式,體現對用戶負責任態度。 《條例》首先規定征信機構對個人不良信息的保存期限,自不良行為或事件終止之日起5年;超過5年的,征信機構應當刪除。《辦法》第16條還規定如果新增不良信用信息作為樣本數據的,應當進行去標識化處理,移入非生產數據庫保存,確保個人信用信息不被直接或間接識別。除此之外,《辦法》還要求征信機構不得以刪除不良信息或者不采集不良信息為由,向信息主體收取費用。這些新規都是保護用戶的條款。即便是用戶的不良信息,但在到期以后,依然要本著保護用戶的宗旨,征信機構必須無條件刪除,保證個人信用信息不能被其他人員或機構再次識別或二次利用,避免了用戶利益二次受損。 第五,產品信息披露和服務評價標準的初步建立。 一是征信產品客觀展示和信息報送。《辦法》規定征信機構必須客觀展示查詢的信用信息內容,對查詢的信用信息內容及專業名詞進行解釋說明,提供的信用信息查詢、信用評價、反欺詐服務還應當向中國人民銀行或中心支行以上分支機構報備,初步建立了征信信息的信息披露制度。 二是《辦法》規定征信機構提供個人信用評價服務的,評價使用的所有數據應當在向信息主體提供的信用報告中展示,對外披露個人信用評價類產品所采用的評分方法和模型,披露程度以反映評價可信性為限。如果征信機構提供畫像、評分、評級等評價類產品服務的,還應當建立評價標準,不得將與信息主體信用無關的要素作為評價標準。《辦法》的這些新規在客觀上限制了不法征信機構濫用客戶信息的可能。 三是除了正面規定征信業務服務的標準及披露規則,《辦法》還從反面規定征信機構的禁止性義務:對信用評價結果進行承諾的;有市場推廣性質的;以脅迫、欺騙、誘導的方式提供;對征信產品和服務進行虛假宣傳;其他影響征信業務客觀公正性的征信產品和服務。顯然,這些新規定,征信機構服務評價標準的明確與披露,加強了征信業務的透明度,有助于征信業務的健康發展。 但是,《辦法》依然存在一些不足之處,從立法上還可以進一步修改和完善。我們提出如下五條修改建議: 第一條建議:信用信息的范疇過于寬泛。 2013年出臺的《征信行業管理條例》雖然明確了市場監管部門在企業信用信息公示系統公示的信息,但對于信用信息的定義仍舊不夠清晰。今年1月頒布的《辦法》中,改變了這種狹窄的局面,《辦法》第3條就對信用信息的范圍作了明確規定,不僅涉及金融方面,還開拓到通訊和消費領域,包括但不限于:個人和企業的身份、地址、交通、通信、債務、財產、支付、消費、生產經營、履行法定義務等信息,以及基于前述信息對個人和企業信用狀況形成的分析、評價類信息。 但是這樣一來,信用信息的范圍就十分寬泛,不僅涉及個人財產、債務情況,還涉及到支付和消費方面的信息,居然還涉及交通和通信方面的信息。這樣寬泛的界定是否超出了信用信息本來應該有的范疇? 我們認為,事關征信最根本前提要件,值得進一步探討。 從理論上說,個人信用信息主要包括三方面:一個是敏感性信息,另外一個是公共性信息,第三個是查詢信息。 (一)個人敏感性信息比較簡單,主要包括個人姓名、證件類型、身份證號碼。除此之外,其他的信息并不屬于信用信息范疇。例如,婚姻信息不應該出現在個人征信信息中,因為一般來說,一個公民的婚姻情況并不涉及其信貸或銀行資金往來,只有一種情況才可能涉及到,就是夫妻共同貸款。所以,婚姻等敏感個人信息是不應該進入征信信息范圍的。 《辦法》對于這些敏感的個人信息應該絕對保護,諸如民族、家庭出身、宗教信仰、基因、指紋、血型、疾病和病史以及法律、法規規定應當保密或者禁止采集的其他敏感信息,不應該反映在征信業務管理方面的立法中。當前實踐中,征信信息對個人或企業作出的畫像、評價、個人消費記錄、疾病記錄等業務界定均納入《辦法》的約束范圍,包括人臉、通訊錄、短信、位置、圖片等,表面上可以擴大制約征信領域的違法活動,但實際上容易造成信用信息的濫用。因為這些敏感信息其實與信貸并沒有直接關系,但與個人隱私權有著內在關聯。在信用信息法律制度尚未完全建立起來的時候,最先造成傷害的是公民個人隱私權。也就是說,《辦法》首先要權衡好信用信息中敏感性與公共性之間的關系,規定清楚征信機構可以采集什麼信息,不可以采集什麼信息,確保信用信息不僅都是由符合法定要求、值得信賴的機構采集和使用,必須保證信息本身都是可以采集的,避免信息過分采集和使用,穩妥推進信用信息采集工作。 (二)公共性信息,主要是指個人信貸交易信息,包括若干年內的欠稅記錄、商業銀行提供的自然人在個人貸款、貸記卡交易記錄、民事判決記錄、強制執行記錄、行政處罰記錄、金融機構信貸記錄以及擔保等信用活動中形成的交易記錄等。可以說,金融機構信貸類信息是個人信用信息的核心內容,主要包括,個人的貸款、還款狀況、信用卡狀況、貸款余額以及還款記錄等信息。 這就表明公共性信息必須具備一個相關性特征,并不是所有可以展示出來的信息都是公共性信息。所謂“相關性”,就是指某些事實必須與待確認的事實具有實質性的聯系,而且這種聯系能為人們所認識并現實地加以利用。而從法律角度來看,公共性信息具有法定性質,必須是針對信貸的法律關系的信息,就是要確定該信息是否關聯到了與用戶信貸行為存在某種關聯,對用戶和征信機構的信用風險的防范是否有實質意義。 如果信用信息可以公開展示,但與用戶信貸活動沒有實質性關聯,也無法防范信用風險要素;或者信用信息雖然能夠防范某種風險,卻與信貸問題沒有任何關系,這種信用信息也不能視為具有關聯性,對于征信業務沒有實質價值,亦是不能納入信用信息范疇。 (三)查詢信息是對咨詢或查詢個人信用信息的一種客觀記錄。諸如若干年內都有誰、在什麼時間、為什麼查詢個人征信報告。這些客觀記錄基本上都反映在“本人查詢記錄”和“機構查詢記錄”中,也構成個人信用信息的很重要的一個部分。 2013年出臺的《征信行業管理條例》明確了市場監管部門在企業信用信息公示系統公示的信息,但對于信用信息的定義仍舊不夠明確。同時,業內各方對信用信息歸入借貸信息的認識較為一致,但對于身份、支付交易、財產、交通、通信等信息是否屬于信用信息,長期認識并不統一,莫衷一是。 我們認為,判斷一個征信信息的范疇的寬與窄,必須依據征信法律法規的明文規定。確定征信信息的范疇實際上是判斷征信信息與個人或機構業務活動之間是否具有邏輯性。例如,交通、通信信息不應該出現在個人征信信息中,因為一個公民的和通信信息并不涉銀行資金往來,即便是欠費,也不牽涉到其個人銀行資信問題。如果將個人消費記錄、交通出行記錄、家庭水表燃氣記錄等納入信用信息范圍,包括人臉、通訊錄、短信、位置、圖片等方面,表明上可以擴大征信信息適用范圍,實際上容易造成信用信息的濫用,可能會極大地侵犯用戶個人隱私權。所以,個人支付、消費、交通和通信信息與信貸活動之間缺乏必要的邏輯性,不應該成為個人信用信息。 當然,有人提出這些數據可以作為“替代數據”在信用信息數據中得到使用。我們并否認“替代數據”(AlternativeData)存在的合理性。但我們不能同意“征信的本質是信息共享”的觀點,那只是對互聯網企業角度得出的一般性結論,并不能代替征信整體評價。如果按照“信息共享”的要求推導征信業務數據,大量的與客戶信貸沒有關系的數據都可以算作替代數據,顯然就存在巨大風險。如果兩組數據之間缺乏內在關聯性,無法有效證明用戶的信用情況,就不能當做信用信息的數據來源使用和采信。由此可見,《辦法》第3條顯然是擴大了個人信用信息范疇,這不僅會引起征信機構收集個人信息的難度,而且對個人支付、消費、交通和通信方面的記錄也未必能準確反映出個人的信貸信用情況,更不符合《辦法》規定的“必要”和“最少”原則。所以,我們建議《辦法》第3條作出如下刪減修改: 包括但不限于:個人和企業的身份、地址、信貸、債務、財產等與金融信貸相關的信息,以及基于前述信息對個人和企業信用狀況形成的分析、評價類信息及查詢記錄。 第二條建議:增加國家、商業秘密和個人隱私權保護性規定。 我國《憲法》、《民法典》對于個人隱私都有明確的法律規定。從網絡安全的角度看,使用個人信息,應當遵循合法、正當、必要的原則,這個是收集個人信息的底線。在互聯網市場中,“不同意采集個人信息就無法安裝APP”的“霸王條款”肆意收集超出其提供服務范圍的個人信息,明顯違反了有關法律規定。因為“霸王條款”容易泄露用戶個人的上網瀏覽信息、購買商品信息、銀行.卡信息、家庭地址信息、個人身份信息等,侵犯了用戶的隱私權和信息受保護的權利。同時也給不法分子以可乘之機,容易發生網絡詐騙、電信詐騙等,嚴重危害用戶的財產安全。 為此,《辦法》第4條第二款雖然明確規定從事征信業務及其相關活動,應當遵循獨立、客觀、公正的原則,不得作出有違社會公序良俗的歧視性安排,不得借助優勢地位提供排他性服務,但缺少對隱私權保護的規定。 同時,國家秘密關系國家安全和利益,大多涉及國家的政治、軍事、外交和外事、國民經濟和社會發展、科學技術、國家安全和刑事司法等領域。國家秘密一旦泄露,會使國家的安全和利益受到損害。商業秘密涉及權利人經濟利益和競爭優勢的信息,其內容往往與科研、生產、經營有關的技術信息和經營信息。商業秘密一旦泄露,損害的是商業秘密權利人的利益。因此,在侵權責任追究機制方面,對信用服務機構泄露國家秘密、商業秘密的行為都應該予以嚴厲處罰。 今天,我們發展征信業務,對個人信用制度的推進絕不能以犧牲國家利益、個人隱私權為代價,征信權和隱私權應該同時構成個人信用法律機制的兩個基礎,不應該存在厚此薄彼的情況。如果只強調信息公開,不顧及國家秘密、商業秘密、個人隱私信息保密,或者只強調信息的隱私權保護、國家秘密、商業秘密保護,不注意信用信息的公共性使用,都會傷害國家、商業機構以及信息所有者的合法權益。不僅會敗壞當事人的信譽和公眾形象,還會給別有用心的人提供可乘之機。因此,從合理配置資源的經濟學角度講,信息應當是透明的和公開的,但從法律和人權角度講,信息又需要隱蔽和保密的。如何保持二者的平衡,是今后征信制度所必須面對和解決的一組問題。 從某種意義上說,個人信用信息在多大范圍內被采集和使用,就意味著個人信用信息會在多大范圍內被披露。所以,界定個人信用信息范圍也在很大程度上劃定了國家秘密、商業秘密和隱私權的邊界,征信立法中的國家秘密、商業秘密和隱私權保護條款就應該使得外界侵害最小化,使得對信用程度判斷的內在公正最大化。為此,《辦法》第4條第二款應該增加對國家秘密、商業秘密和個人隱私的保護性規定,使得該條內容上更趨完善,外延上更趨全面: 公共信用信息征集、共享和使用,應當遵循獨立、客觀、公正的原則,保守國家秘密和商業秘密,保護個人隱私,不得作出有違社會公序良俗的歧視性安排,不得借助優勢地位提供排他性服務。 第三條建議:增加征信機構主管機關協調功能。 雖然我國規定征信業由中國人民銀行主管,但金融機構和其他放貸機構的管理權分別隸屬于中國銀保監會、中國證監會、地方金融監管機構等多個部門中,金融消費者其他信息則散落在公安部、民政部等各個部委的管轄范圍內。我們建議組建以中國人民銀行為主的個人征信業監管協調機構,負責在征信工作中對中國銀保監會、中國證監會、地方金融監管機構、公安部、民政部等工作,解決個人征信業發展中存在的法規沖突、法條競合問題,對《辦法》第一章總則中增加一條,增加征信機構主管機關協調條款: 第5條各級征信機構主管部門建立內部工作制度、責任制度和考核制度,負責推進公共信用信息的征集、共享和使用和異議處理等協調工作。 第四條建議:增加對信用信息異議處置的規定。 《辦法》缺少對個人信用信息存有異議的處置規定,這在當今互聯網市場中是難以想象的,因為征信范圍極廣,涉及人員極多,發生信用信息錯誤的可能也是挺高的。用戶有權向征信機構主管部門提出對信用信息的異議,這不僅是用戶的權利,對征信機構的最直接的監督,也是征信工作文明的體現,表達了立法者對征信工作負責任的態度。所以,我們建議《辦法》增加異議的處置條款。 (1)自然人、法人和其他組織對信用信息有異議的,可向記載主體提出書面異議申請,并提供相關證明材料。 (2)征信機構主管部門自收到異議申請之日起(1520)個工作日內完成核查,將結果告知異議申請人。信用信息確有錯誤的,征信機構主管部門應予更正,并告知信用信息共享服務平臺或系統。 (3)征信機構自收到異議申請之日起(57)個工作日內完成信息比對。平臺或系統記載的信息與來源不一致的,應予以調整并通知異議申請人;一致的,將異議申請轉交信息提供方處理,并通知異議申請人。 (4)異議申請處理過程中,信用信息共享服務平臺或系統、征信機構主管部門構應當對異議信息予以標注。無法核查的異議信息,不再向社會提供。 第五條建議:增加征信機構及相關責任人員的法律責任。 近年來,征信機構社會誠信意識和觀念遭遇強烈沖擊,制假售假、商業欺詐、逃債騙貸、電信詐騙等屢見不鮮。個人信用信息泄露案件頻發均造成不良社會影響,也成為全國征信市場監管重點。從理論上講,征信信息是從信用信息產生的來源來采集信息的,征信信息主要來自國有商業銀行、股份制銀行、城市農村商業銀行、小貸公司、農村信用社等金融機構。 如前所述,我國個人信用信息大體分為三類,即敏感、公共和查詢類,與此相對應的就是這三類個人信用信息的機構和工作人員,比如敏感類基本信息由征信機構提供,公共性信用交易信息由從事金融信貸業務的機構提供,通常包括個人商業信用狀況、個人社會公共記錄以及個人守法等方面情況。因此,對征信信息的真實性和及時性來說,這些信用信息提供機構就顯得至關重要。可以講,從某種程度上講,信用信息提供機構(者)決定著信用信息的真實性和準確性。 結合中國人民銀行發布實施的《個人信用信息基礎數據庫管理暫行辦法》第4條、最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,我們不難推導出,對個人信息保護是本質上是兼具私權和公共屬性,屬于民事和刑法交叉意義上的雙重法律保護。個人信用信息不僅可以為誠信者獲得更多機會,還能夠對金融機構、征信機構、互聯網企業、大數據公司、移動應用程序開發商實施重點監控,規范其信息采集、提供和使用行為,防范失信者可能帶來的道德和法律風險。 反觀《辦法》,對征信機構及工作人員的責任條款規定得相對薄弱,幾乎缺失征信機構的法律責任規定。在征信活動中,如果放任征信機構及工作人員違法收集、違規披露個人信用信息,放任數據泄露、騷擾電話、綁架用戶(不同意不讓用)等現象的出現,將會侵犯個人權利,使得社會對數據安全、人們對隱私保護的擔憂、害怕達到前所未有的程度。因此,我們必須在《辦法》中應該明確征信機構的責任條款,做到責任明確,加大對征信機構及相關責任人員泄露、篡改、毀損、出售或者非法向他人提供個人信息等行為的查處力度,確保信息主體和征信機構的合法權益。 征信機構及相關責任人有下列情形之一的,依法依紀處理;構成犯罪的,依法追究刑事責任。 (一)拒絕、拖延向各級征信機構主管部門提供有關信用信息的,以及擅自減少應提供數據量的;(二)故意或者因重大過失向各級征信機構主管部門提供虛假信息的;(三)未及時發布、更新信用信息數據的;(四)違反規定擅自發布或泄露涉及國家秘密、商業秘密和個人隱私信用信息的;(五)對已發現不一致的信息,拒不協助各級征信機構主管部門進行異議信息處理的;(六)對于各級征信機構主管部門責令整改的問題,拒不整改的;(七)以欺騙、協迫、誘導的方式;(八)從非法渠道采集信用信息的;(九)向被采集的個人或企業收費的方式;(十)其他違反國家信用信息管理辦法的行為。 從立法技巧上講,增加上述“十條”征信機構及工作人員法律責任規定,與《辦法》第6條、第28條前后對應起來了,比如對以欺騙、協迫、誘導的方式、以向被采集的個人或企業收費的行為等等,《辦法》必須要有相應處置的后續條款,否則,《辦法》第6條、第28條就成為空中樓閣,沒有操作性可言。因此,在《辦法》中增加征信機構和相關責任人員的禁止性規定,可以增加法條的操作性和針對,對于依法依規嚴肅查處非法從事征信業務的行為,規范征信市場發展,使征信業步入有規可循、公平競爭的正軌。 (作者單位:中國人民大學中國普惠金融研究院)2021年04月10日北京地壇公園(初稿)2021年04月13日北京益澤路2號大院(二稿)2021年04月15日北京文化大廈(三稿) 版權聲明 本文僅代表作者觀點,不代表零壹財經立場。 本文系作者授權零壹財經發表,未經許可,不得轉載。 聚焦數字金融焦點話題,零壹財經·零壹智庫將于2021年4月27日在上海召開“數字金融創新與風控——2021零壹財經·零壹智庫春季峰會”,攜手數字金融領域專家、商業銀行與科技企業嘉賓,共同探討數字金融的創新實踐與風險防范等焦點話題,助推數字金融發展。掃描下方二維碼報名參與峰會! 關鍵字標籤:www.liidda.com.tw/affair.html |
|
 |
|
