数字征信时代的重要信号——征信业务新规草案解读
近日,中国人民银行发布了《征信业务管理办法(征求意见稿)》(下称“新规草案”)。这是继《征信业管理条例》及《征信机构管理办法》颁布生效后,征信行业在快速发展的数字征信时代,即将迎来的一项重要新规,有望对不断涌现的征信新业态在规范层面做出澄清和回应。纵观规则全文,本次新规草案凸显了征信业务监管思路的重要变化,一方面从适用和管辖角度有意扩宽征信行业的规制范围,另一方面着重强调信用信息收集与应用、流转方面的合规要求,从而促进在征信行业发展和信息主体合法权益保护层面实现平衡。此外,随着数字征信行业时代的到来,不断有新的业态参与到整体的征信业务生态,新规草案也对征信行业的新技术应用、征信业务相关参与主体提出原则性要求。
总的来说,新规草案不但对征信机构及征信生态提出更具体的要求,同时对于“类征信”行业也会有肃清和规范的效果。具体而言,有以下问题值得业内关注。
1. 境外征信业务主体也可能受到管辖?
新规草案第二条规定了适用本办法的两种情形:
在中华人民共和国境内,对个人和企业、事业单位等组织(以下统称企业)开展征信业务及其相关活动的,适用本办法。
在中华人民共和国境外,对中华人民共和国居民(自然人和法人)开展征信业务及其相关活动的,也适用本办法。
《<征信业务管理办法(征求意见稿)>起草说明》(下称“起草说明”)制定原则部分明确表明新规草案“充分吸收《民法典》、《网络安全法》、《消费者权益保护法》等现行法律法规有关个人信息保护的内容,充分考虑与《个人信息保护法(草案)》的衔接工作,吸收相关立法原则和精神,细化个人信息保护力度”。新规草案该条规定相比之前《征信业管理条例》(下称“《条例》”)第二条[1]明确了其域外适用的效力,与《个人信息保护法(草案)》的管辖规则思路相类似。[2](个人信息保护立法趋势的更多详细信息请见:《“道阻且长,行则将至”——从<个人信息保护法(草案)>看中国个人信息保护的思路和数字经济发展策略》),一定程度上体现了与现行法律法规相衔接的制定原则。
如何理解“对中华人民共和国居民(自然人和法人)开展征信业务及其相关活动”,可能需要基于征信业务及相关活动的核心内容来做具体分析。一方面,征信业务涉及信用信息的收集和处理,而另一方面涉及基于该等信用信息对外提供征信服务。新规草案将位于中国境外面向境内主体开展上述征信业务相关活动纳入监管,条款中使用“居民”而非“公民”这一概念亦在明确新规草案域外效力所涉及的对象范围。新规草案这一适用范围上的延伸与发展,均或多或少向拟在中国境内从事征信业务的境外主体释放了明确的信号:一旦新规草案生效,执法部门对于该等境外机构将具备更加明确的监管抓手,而一旦境外主体被认定为构成从事征信业务,则将不可避免面临我国征信行业监管设定的一系列准入条件和合规要求,例如向国内有关监管部门办理备案、许可审批,同时还需要考虑根据新规草案第三十五条等的要求,进行数据本地化的业务部署等等。
2. 征信与类征信业态的界限更加清晰?
在新规草案发布之前,对于“征信业务”的理解往往停留于《条例》第二条所述“对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动”,而对于“信用信息”并未清晰界定。因此在实践中,出现多种比如反欺诈、智能风控决策、信用咨询等类征信业务生态。此次新规草案尝试从“信息类型”和“服务类型”两个角度对“信用信息”和“征信业务”这两项对于征信活动而言最为关键的“识别要素”的边界予以进一步的澄清。
>>
信用信息
根据新规草案第三条的规定,信用信息是指“为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”这一定义弥补了《条例》在信用信息定义上的空白,但另一方面也一定程度上对于普遍信用信息的范围进行了拓展。具体而言,信用信息的这一定义不仅可能将个人、企业在各类金融、经济活动过程中的各项信息均纳入信用信息的范畴,也进一步将对个人或企业作出的分析、评价、画像类信息一并纳入。
>>
征信服务
新规草案在不同条款中对监管部门意欲纳入征信业务的服务业态予以“点名”规制,包括第二十五条提到的“画像、评分、评级等评价类产品服务”、“个人信用评价服务”、“企业主体或债项信用评级服务”,以及第二十七条所述“信用信息查询、信用评价、反欺诈服务”,第四十四条进一步将以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义对外提供征信功能服务纳入监管范畴。相关立场也在起草说明中得到了印证:“当前实践中,利用该信息对个人或企业作出的画像、评价等业务界定为征信业务,属于新规草案的约束范围”。
实际上,关于征信监管范围拓展的讨论由来已久,此前,央行曾在公开会议上强调将“替代数据”纳入征信监管,认为利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动。新规草案在信用信息和征信业务上的规定,进一步反映了央行对于征信活动拓展监管的表态。
新规草案的上述规定以及央行的公开表态,反映了监管当局在数字经济时代背景下对征信业务范畴的监管思路转变。大数据产业的发展使得征信、信用服务边界愈发模糊,一些借贷信息范畴外的其他数据愈来愈发挥着与个人、企业信用信息相类似的评估价值,也由此产生了大量的使用“替代数据”进行类似于个人、企业信用评级、个人/企业分析画像的大数据风控新兴业态。这些企业往往扮演着与征信机构类似的角色,构成“现代化征信体系”的重要组成部分,被认为是借贷信息的有益补充。[3]然而纵观过去一段时间,因数据来源非法等诸多问题,反欺诈、智能风控等行业曾多次面临着监管、司法当局的质疑和调查。此次新规草案将信用画像、信用评价等服务纳入征信业务监管,也充分释放了相关信号,此后对于大数据风控行业的监管将逐步构成征信业务监管的重要组成部分。
与此同时,大数据风控等类征信企业也未必只有申请征信业务审批“华山”一条路。值得注意的是,新规草案第四十三条对于征信机构以外与征信机构合作,为金融经济活动提供个人或企业信用信息的“其他信息处理者”,以“签署合作协议”+“监管报备”方式予以规制。我们理解,这一规定可帮助有关当局了解征信机构获取个人、企业信用信息的具体来源,间接实现对与征信机构合作的大数据风控等类征信企业监管把控。
3. 如何定义信用信息采集的“最小必要”?
整体而言,新规草案对信用信息的采集规范体现出趋严的监管趋势。值得注意的是,与《民法典》、《网络安全法》、《条例》等规定相一致,新规草案第五条依然秉持“最小必要”的信息采集原则。但实践中基于目前的大数据技术,对于个人及企业的风险或信用判断的准确性可能与获得相关信息的数量和种类成正比。考虑到征信活动的目的是对信用信息进行分析,以全面判断个人及企业信用状况、控制信用风险、进行信用管理等,例如《商业银行互联网贷款管理暂行办法》第二十条规定:“商业银行应当在获得授权后查询借款人的征信信息……全面了解借款人信用状况”。
如秉持最大限度了解个人信用情况的原则,如何判断信用信息收集的“最小必要”,如何实现征信活动实际目的与个人信息主体权益保障之间的平衡,将可能成为未来实践操作中有待进一步探讨和商榷的问题点。同时,新规草案第九条要求经营个人征信业务的征信机构制定采集个人信用信息方案,并就采集的数据项、与信用的相关度、信息主体权益保护等事项向中国人民银行报备,这一规定可能使得征信机构就信用信息收集范围和必要限度的合规判断交由监管部门来协助处理,有利于增强透明性和确定性。
4. 董监高履职相关信用信息不作为个人信用信息?
新规草案第十三条沿袭了《条例》的规定,将“征信机构采集企业董事、监事、高管人员与履行职务有关的信用信息,不作为个人信用信息”,结合上下文关于个人信用信息的采集,可以推知在新规草案语境下,董监高与履职有关的信用信息的采集将可能无需经过信息主体本人同意。
我国一般个人信息保护领域对于个人信息的收集、处理仍以信息主体同意为基本原则,但往往存在“法律、行政法规另有规定”的除外适用空间;《个人信息保护法(草案)》试图将个人信息处理的合法基础予以扩张,这也同样为特定行业领域、特定场景情境下的个人信息收集提供了信息主体同意之外的其他合理理由。我们理解,新规草案沿袭《条例》的上述规定,体现了征信行业对于特殊群体信用信息收集在实现企业信用评估的现实需求与特定群体个体权益保障之间的评估考量,在未来个人信息保护立法日益完善的趋势下,我们也期待着不同行业领域的法规之间能够有效保障信息收集规则的逻辑自洽。而就同一规则内的逻辑自洽而言,有必要注意的是,董监高履职相关信息不作为个人信用信息,不排除其可能作为企业信用信息的组成部分,在该等信息处于非公开状态时,结合新规草案的要求,不排除仍可能需要获得企业的同意。
5. 非公开企业信用信息采集需要获取同意?
值得注意的是,新规草案第十二条规定征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。此前,《条例》第二十一条对征信机构获取企业信用信息的渠道进行说明外,并未明确标识该等企业信用信息是否需要经过企业的同意,而近年来对于数据保护的讨论以及立法、执法发展往往以自然人个体信息相关权益保护展开。新规草案的上述规定,表明了征信行业在企业信用信息采集规则上的新态度,而相关的规则如何理解适用,例如何种信息构成“非公开”,如何取得企业的同意以及何为“适当的方式”,仍有待进一步明确。
6. 征信业务的算法透明?
新规草案第二十五条要求提供画像、评分、评级等评价类产品的征信机构建立评价标准并且对评价服务所使用到的数据、评分方法与模型进行披露。这一规定,意味着算法合规开始进入监管机构的关注视野,对算法透明度和可问责的要求逐渐浮出水面(算法合规的更多详细信息请见:《算无遗策,画无失理?——算法合规在平台经济反垄断中的应用》)。
我们理解,信用画像、信用评价等与个人和企业的经济活动息息相关,从确保公平客观的角度,从事该等业务的相关企业应至少保证信用评价的准确性与非歧视性。而信用评价结果的准确性与非歧视性都会受到模型设计与训练数据的影响,新规草案第二十五条要求披露评分方法和模型,以及评价使用的所有数据,可以有效确保征信机构所应用的信用评价算法模型与数据偏差的审查。但恰如我们此前所探讨的,考虑到数据偏差本身的隐蔽性与复杂性,这可能无法在事实上完全避免准确性偏差与非歧视性,仍可能需要一定的事后救济制度设计来保证对个人和企业合法权益的最大保障。
7. 征信机构与合作方的权利义务?
根据合作主体的角色不同,新规草案将征信机构、第三方之间在不同合作情境下的合规义务进行了原则性规定。总体而言,对于信息提供者、信息使用者,新规草案对征信机构的审查要求予以了原则性的明确,并对征信机构、信息提供者、信息使用者在信用信息主体的权益保障上提出了某些相对具体的要求,例如要求信息提供者告知征信机构的身份、要求信息使用者不得超出约定使用个人信用信息等。具体如下表:
8. 信用信息数据库的本地化部署与出境限制?
个人信息和重要数据跨境一直是我国数据保护立法当下广为探讨的热门话题。此次新规草案结合征信行业的信息属性和特点,同样对行业领域内的数据跨境规则作出了明确要求。
《条例》对于征信信息跨境作出概括性的规定,要求征信机构对在中国境内采集的征信数据在中国境内整理、保存和加工;如需向境外提供的,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。新规草案延续了这一原则性规定,并明确要求将“生产数据库、备份数据库应设在中国境内”。这一规定此前曾出现于央行颁布的推荐性行业标准《征信机构信息安全规范》(JR/T 0117-2014)第9.9条,新规草案的这一增补,反映监管部门对征信业务数据库本地化部署要求的进一步强化。
除此之外,在向境外传输征信信息的具体执行层面,新规草案第三十六条作出了更明确、严格的安排,要求区分个人信息用信息、企业信用信息分别遵循国家相关法律法规进行落实:
个人信用信息:征信机构向境外提供个人信用信息,应当符合国家法律法规的规定。
企业信用信息:征信机构向境外提供企业信用信息查询服务,应当审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供。征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。征信机构向境外提供企业信用信息的,应当向中国人民银行备案。
从我国《网络安全法》、《数据安全法(草案)》、《个人信息保护法(草案)》等对数据出境问题的一般立法思路来看,主要针对关键信息基础设施及一般网络运营者的个人信息、重要数据这两类数据的出境问题进行规制。我们理解,征信机构掌握大量的个人及企业信用信息,本身具有较高的敏感性,且规模化的信用信息甚至可能对整体金融行业及国家经济、社会安全等产生实质影响。因此,从征信机构自身定位及所持信息属性的角度,不排除可能会被视为《网络安全法》下的关键信息基础设施运营者,从而需要落实个人信息、重要数据的本地化部署要求。新规草案的上述规定,一方面反映了监管部门意图实现数据出境与其他数据保护法律法规的相互衔接,另一方面对于企业信用信息的出境要求(特别是禁止批量传输、央行备案规定),或多或少反映了监管部门对于“重要数据”的保护思路。
结语
新规草案的颁布,很大程度上预示着征信行业“强监管”时代的到来。无论是征信业务监管范畴的扩张,还是对于征信机构在信息收集、使用方面的细化要求,均体现了监管当局肃清征信行业乱象、保障信息主体权益的决心。这一监管思路的转变对于无论是已持牌主体,还是对于游走在“边缘”的类征信企业而言,均是一个明确且强烈的信号。
Tips:
>> 对于持牌主体,宜尽早结合新规草案的内容展开自身业务的合规审查,对存量信用信息合规风险予以识别并尽早应对,对信息的收集、加工、留存、使用、对外提供等进行流程管控,对与不同角色的第三方主体之间数据交互及业务合作模式的合规性进行回顾审查。
>> 对于从事类征信业务的企业,也宜审慎判断自身业务模式的潜在问题和风险,结合新规草案的相关规则尽早论证和探寻业务发展的可行路径。当然,如我们在前面探讨的,新规草案中的部分规则仍有进一步解释和发展的空间,未来如何具体走向,有待在未来的立法和执法中进一步明确。
向下滑动阅览
脚注:
[1] 《条例》第二条第一款规定,在中国境内从事征信业务及相关活动,适用本条例。
[2] 《个人信息保护法(草案)》第三条第二款规定,在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)为分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。
[3] 央行首度明确:“替代数据”本质属于征信活动 需要纳入征信监管,https://finance.sina.cn/2020-12-15/detail-iiznezxs7080322.d.html
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
蒋科
合伙人
合规业务部
jiangke@cn.kwm.com
业务领域:科技和电信领域合规、网络安全和数据合规
蒋律师曾在金杜工作过十年,回归前,蒋律师曾作为内部法务为亚马逊云服务和宝马集团在中国市场的产品和运营合规,数字化和网络安全项目等提供法律支持。蒋科律师擅长为各类科技、汽车、云服务行业及互联网公司提供领域内的合规咨询意见,并能够将领先的企业监管与网络及信息技术紧密结合。蒋科律师在众多复杂的项目中为客户提供了创新的综合解决方案,并得到客户的广泛认可。
陈胜男
主办律师
合规业务部
颜婷婷
律师助理
合规业务部
感谢实习生张子谦、刘婧姝对本文的贡献!
人工智能:
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
Personal Information Protection Law (Draft): A New Data Regime 2020-11
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
Innovations & New Developments of Cybersecurity Review Measures
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05