信息的合法合规使用将得到保障。
1月11日,央行发布《征信业务管理办法(征求意见稿)》(下称“《办法》”),从信用信息采集的要求,信用信息整理、保存和加工的方式,信用信息提供、使用注意事项,信用信息安全保护和相应的监管措施等方面,规范针对个人和企业、事业单位等组织开展征信业务及其相关活动。
央行表示,我国征信业进入快速发展的数字征信时代,征信新的业态不断涌现,但由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。为提高征信业务活动的透明度,保护信息主体合法权益,推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用,央行依据《征信业管理条例》并结合征信业务发展的实际,起草了《办法》。
《办法》指出,征信机构采集的个人不良信息的保存期限,自不良行为或事件终止之日起5年。不良信用信息到期的,征信机构应当删除,作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。
值得注意的是,相比于2013年出台的《征信业管理条例》,《办法》对信用信息和征信业务做了更明确的规定,使征信监管有法可依。将为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息界定为信用信息,其信息服务活动为征信活动。当前实践中,利用该信息对个人或企业作出的画像、评价等业务界定为征信业务,属于《办法》的约束范围。
也就是说,像互联网电商将客户消费信息与客户基本信息相结合,为客户进行“信用画像”并为其提供金融产品或金融服务的行为,也都属于征信活动,需遵守《办法》规定。
信用信息采集应遵循“最少、必要”原则
据央行介绍,央行自2016年即开展了《办法》的调研起草工作,成立专门起草工作组,先后到多家征信机构、金融机构进行现场调研,了解征信业务开展的具体操作流程,借鉴参考国外征信业务的相关管理经验,广泛征求和听取相关部委、外部专家、征信机构、金融机构、央行分支机构的意见和建议。
“各方普遍认为,征信进入新时代,面临新挑战,出台《办法》十分必要,并且时机已经成熟,建议加强对信用信息的采集、加工、对外提供等各个环节进行监管,保护信息主体合法权益、增加征信有效供给,实现征信业的高质量发展。”央行称。
根据《办法》,在中华人民共和国境内,对个人和企业、事业单位等组织(以下统称企业)开展征信业务及其相关活动的,适用本办法。本办法所称信用信息,是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。
《办法》较大篇幅的从保护个人和企业合法权益角度对信用信息采集、整理、保存和加工进行了规定。《办法》强调,征信机构采集信用信息,应当遵循“最少、必要”的原则,不得过度采集,并提出以下四种信用信息采集方式不得使用:
(一)以欺骗、胁迫、诱导的方式;
(二)以向被采集的个人或企业收费的方式;
(三)从非法渠道采集;
(四)以其他侵害信息主体合法权益的方式。
同时,《办法》要求,征信机构经营个人征信业务,应当制定采集个人信用信息方案,并就采集的数据项、与信用的相关度、信息主体权益保护等事项向央行报备。
细化个人信息保护力度
除了对信用信息的采集方式提出“负面清单”外,《办法》为保障信用信息安全,对信用信息的使用也提出诸多明确的限制性要求。
央行也表示,《办法》与现行法律法规相衔接。充分吸收《民法典》、《网络安全法》、《消费者权益保护法》等现行法律法规有关个人信息保护的内容,充分考虑与《个人信息保护法(草案)》的衔接工作,吸收相关立法原则和精神,细化个人信息保护力度。
《办法》指出,信息使用者使用征信机构提供的信用信息,应当用于合法、正当的目的,不得滥用。征信机构不得以删除不良信息或不采集不良信息为由,向信息主体收取费用。
《办法》也对征信机构员工获取信用信息提出严格要求。按规定,征信机构应当严格限定查询、获取信用信息的工作人员的权限和范围。征信机构应当建立工作人员查询、获取信用信息的操作记录,明确记载工作人员查询、获取信用信息的时间、方式、内容及用途。
此外,相比于《征信业管理条例》,《办法》对信用信息跨境流动提出更为细化的规定。《办法》提出,征信机构向境外提供企业信用信息查询服务,应当审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供。征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。征信机构向境外提供企业信用信息的,应当向央行备案。