草木百年新雨露——数字征信时代的业务创新与监管挑战
草木百年新雨露——数字征信时代的业务创新与监管挑战
《网络安全法》《数据安全法》《个人信息保护法》的相继落地对数据处理活动提出了严格的监管要求。同时,2022年1月1日《征信业务管理办法》(下称“《办法》”)正式生效实施,聚焦互联网和大数据等新技术广泛应用征信业务的新业态、新特征,提出了更具针对性的业务合规要求。鉴于征信业务的本质即是信用信息的处理活动,因此数据合规和业务合规双重压力之下,整改期限将至,把握行业发展趋势,明确监管重点,将成为行业机构实现“窗口期”过渡的有力支点。
所谓“征信业务”,即指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。[1]在消费数据、支付数据等替代数据广泛应用于信用评价的背景下,如何界定“信用信息”成为了合规展业的关键问题。[2]
一、从传统征信到数字征信,“金融+科技”背景下的行业创新
2006年,中国人民银行征信中心负责建设、运行和维护的全国集中统一的企业和个人征信系统(即金融信用信息基础数据库,下称“央行征信系统”)正式运行,标志着由政府主导的征信体系逐步建立,依靠商业银行等业务沉淀的基本信息和借贷信息推动征信业务发展。互联网技术应用背景下,网络借贷、消费金融等业务模式创新产生了对于征信服务的巨大需求。中国人民银行作为征信监管部门,积极顺应新形势的要求,一方面推动二代征信系统切换,优化丰富信息内容,提升信息采集的拓展性、灵活性、便利性;另一方面大力推进征信市场主体培育,逐步发放个人征信机构牌照,有序增加企业征信服务供给,形成了“政府+市场”双轮驱动发展模式,逐步构建央行征信系统和市场化征信机构协同发展、互相补充的发展格局。“金融+科技”塑造了征信业务的创新与发展。
(一)互联网公司成为重要助推力,监管从严持牌机构正式入场
综合考虑主体性质和数据敏感程度,《征信业管理条例》(下称“《条例》”)采取了“分业治理”的基本思路:经营个人征信业务以获得行政许可为前提,经营企业征信业务需要进行备案。
企业征信机构的管理尺度整体较为宽松,自2014年底第一批企业征信机构备案名单公布,根据中国人民银行公开信息,截至2022年2月末,共有136家企业征信机构完成备案工作。在中小型企业贷款需求上升的情况下,例如企查查、天眼查等互联网公司充分利用公开数据等资源,形成了企业征信市场的重要补充。
相较而言,关于个人征信机构的许可则更为谨慎。2013年《条例》正式实施后个人征信牌照迟迟未落。底线性的监管原则和宽松的监管环境为个人征信业务的探索和尝试提供了空间。网络借贷、消费金融等金融业务创新背景下,互联网公司凭借丰富的业务场景、海量的数据资源、先进的数据处理技术,形成了独特的大数据金融风控体系。多家大型互联网公司,例如阿里、腾讯、美团等互联网平台都基于自身业务场景沉淀数据建立起了平台内的信用评价体系,从而为金融活动提供支持。同时对于数据丰富度的需求也催生了同盾、百融等金融科技公司出现,成为金融数字化转型链条中的重要一环。此背景下,2015年中国人民银行下发《关于做好个人征信业务准备工作的通知》,要求芝麻信用、腾讯征信等八家公司做好个人征信业务的准备工作。但在业务试点过程中,主体治理结构不具备独立性、数据孤岛、信息误采误用等问题较为突出。2018年,由互联网金融协会及八家试点单位共同组建的百行征信获发首张个人征信牌照,持牌机构正式入场个人征信业务。继2020年朴道征信成为第二家个人征信机构后,2021年11月26日中国人民银行公布《关于钱塘征信有限公司(筹)相关情况的公示》,第三张个人征信牌照有望落地。《办法》生效实施后,个人征信业务持牌经营已经成为底线性要求,综合征信业务发展历程和个人征信机构的设立情况来看,互联网公司因数据和技术的加持始终在其中扮演着重要的角色。合规整改期限将至,如何实现业务的有效衔接成为关注重点。
点击可查看大图
(二)替代数据广泛应用,信用信息外延扩大
金融数字化转型背景之下,有效风险定价是把控金融风险的重要议题,因此如何确保数据处理活动的全面、及时、真实进而形成准确的信用评价成为了金融风控的核心环节。除金融机构自身业务沉淀借贷信息外,通信数据、消费记录、通信数据、社交数据等替代数据可以有效弥补信用白户偏差,帮助形成对信息主体更为全面的信用评价,成为了借贷信息的有益补充。同时数据处理能力的提升,也为替代数据在征信领域的应用提供了可能。2020年12月15日,中国人民银行网站发布《人民银行召开“长三角征信一体化”工作推进现场交流会》新闻,肯定了替代数据在现代化征信体系中发挥重要作用,市场化的替代数据征信信息互联互通是当前构建全覆盖社会征信体系的重要步骤。同时也明确利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动,需要纳入征信监管。综合行业实践和监管趋势,如何在现行个人信息保护与数据合规,以及征信业务的监管框架下实现替代数据的合理利用成为重点。
目前诸多替代数据已经在征信领域中得到了广泛的应用。
-
公共数据:国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等公共服务运营单位等在依法履行职责或者提供公共服务过程中收集、产生的数据,例如水、电、气等缴纳信息、通信数据等。
-
场景数据:基于特定业务场景沉淀产生的数据,例如支付数据、消费记录、社交数据、互联网行为数据等。此类数据类型一般与基本信息、借贷信息等结合使用,目的在于形成信息主体的多维评价。
(三)征信产品形式创新实现多维信用评价
传统征信业务场景下,征信产品以信用信息查询为主,主要体现为个人或企业信用报告,通过对信息主体基本信息和借贷信息等内容的列示,形成对信息主体较为直观的信用评价。但金融业务创新下,前述较为单一的征信产品形式已经无法满足市场需求,部分互联网公司基于数据积淀和技术投入,不断创新信用评价的形式,既避免提供原始数据导致数据安全和竞争性问题,同时也有助于数据流动与共享提升信用评价效果。一方面,行业机构汇集多方数据源信息,通过对信用信息的加工处理,形成用户画像、信用评分等标签或聚合评分对外提供,从而实现对信息主体的信用情况的判断。另一方面,评价的维度也趋于丰富,相较于此前单纯的信息传递,既可以通过社交、行为等多方面实现信用评价,同时反欺诈等多维度描述也有助于金融机构更好实现风险把控。与此同时,复杂的数据处理活动和算法技术应用是否可以保证信息主体被公平公正的对待也逐渐成为焦点问题。
(四)跨境征信推进征信服务提升
网络互通互联同样拓宽了金融展业的边界,跨境金融发展也催生了对于征信服务的巨大需求。2020年5月,中国人民银行等四部门联合发布《关于金融支持粤港澳大湾区建设的意见》,要求推动跨境征信合作,支持粤港澳三地征信机构开展跨境合作,探索推进征信产品互认,为粤港澳大湾区提供征信服务。2021年9月,广东省人民政府印发《广东省深入推进资本要素市场化配置改革行动方案》推进粤港澳共建“征信链”以满足跨境征信需求。 2023年2月中国人民银行、中国银行保险监督管理委员会、中国证券监督管理委员会、国家外汇管理局、广东省人民政府联合《关于金融支持前海深港现代服务业合作区全面深化改革开放的意见》,探索深港市场化企业征信机构依法开展跨境交流合作。与此同时,上海、福建、广西等地也纷纷推进跨境企业征信平台的建立,以切实解决企业市场拓展、风险管控、贸易融资等方面难题。在数据出境合规机制逐步落地的背景下,如何推动跨境征信平稳发展也有待厘清。
二、从业务管理到业务治理,征信行业的监管沿袭
(一)征信业专门性监管规定不断细化
业务创新推动监管规则细化。从《条例》到《办法》,随着征信业务的不断演进,监管规则也针对业态变化予以适时更新。
第一阶段:积极响应行业实践
在本阶段,监管规则重点关注个人信用信息基础数据库的建设与运行管理,对于个人信用信息基础数据库的数据报送、整理、查询、异议处理、安全管理等情况作出系统性规定。
点击可查看大图
第二阶段:稳步落地征信业务管理
《条例》的生效实施明确我国征信业步入了有法可依的轨道,通过规范征信机构、信息提供者和信息使用者的行为,更加强调保护信息主体权益,从而促进征信业良性发展。
点击可查看大图
第三阶段:有效回应业务形态更新
数字经济背景下,《个人信息保护法》等法律法规相继出台,明确个人信息合规处理的基本要求与合规边界。同时数据要素价值放大,如何实现安全与利用平衡成为破题关键。此背景下,技术创新和数据沉淀颠覆了传统征信行业的发展,《办法》针对征信产品形式创新、行业模式变化等予以回应,以实现有效监管。同时社会信用体系建设下的立法推进也会对征信业务的未来发展产生一定的影响。
点击可查看大图
相关监管文件明确了征信机构的设立标准、征信业务相关规则,对于信息提供者、征信机构、信息使用者间的责任义务进行了规定,系列推荐性行业标准也为征信机构信息交互及安全提供了明确的指引。愈发清晰的监管框架为中国征信市场的发展提供了良好的环境。
(二)数据合规监管框架不断完善
《个人信息保护法》《数据安全法》《网络安全法》等监管规则及标准文件相继落地,明确了个人信息保护与数据安全的基本要求,也为征信业务中的数据处理活动合规边界划定了基本的框架。
点击可查看大图
(三)金融科技业务治理规则逐渐明晰
金融科技发展推动业务模式创新,业务范围的准确界定系合规展业的基本前提。互联网贷款业务相关规则的制定更新逐渐明确平台参与金融业务的角色,也为征信业务与相关业务的识别区分提供了进一步的指引。
点击可查看大图
(四)金融消费者权益保护逐渐加强
《金融消费者权益保护实施办法》明确规定征信机构需参照适用金融消费者权益保护的相关要求。近年来金融消费领域的执法活动不断深入,因此金融消费者权益保护的要求也成为了行业机构业务推进过程所需遵循的基本准则。
点击可查看大图
三、监管回应行业实践,合规治理重点突出
(一)征信业务范围明确,坚持持牌经营底线
《办法》采取实质性监管思路,以商业营利为目的,合法采集信用信息,加工整理并对外提供的基本模式会被认定为开展征信业务。因此符合前述情形以“信用信息服务”“信用服务”“信用评分”“信用评级”“信用修复”等将会被纳入征信监管范围。互联网公司基于替代数据形成信用评价在金融业务活动中的商业利用行为性质即相应明确,为监管提供了有力抓手。中国人民银行有关负责人就《征信业务管理办法》答记者问中也对于征信业务的范围予以进一步澄清,非商业合作的信息服务并非征信服务。例如国家机关以及法律法规授权的具有管理公共事务职能的组织依职责直接向金融机构提供个人或企业信息的,以及汽车经销商、房产营销中介等市场机构依法代金融机构收集客户信息但并不对客户信息分析处理营利的,不属于征信活动。
在征信业务范畴明确、企业征信备案和个人征信牌照发放有序推进的情况下,《办法》也再次明确了持牌经营的底线。一方面明确规定实质性从事征信业务但未进行备案或获得许可的机构需要在2022年1月1日起18个月内完成合规整改;同时禁止金融机构与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。
在此背景下,征信业务执法活动重点突出。
个人征信业务迎来首张罚单。一家征信有限公司因在2019年对机构客户提供的个人报告中,少量报告含有个人贷款信息,被认定为未经批准擅自从事个人征信业务活动被罚没近2000万元。[3]
“断直连”治理工作持续推进。2020年11月,监管部门约谈一家科技金融公司,自此平台金融业务整顿序幕开启。2021年4月,13家从事金融业务的网络平台企业被监管部门约谈,金融业务必须持牌经营,严格通过持牌征信机构依法合规开展个人征信业务成为整改重点之一。[4]
2021年7月,中国人民银行征信管理局给网络平台机构下发通知,要求网络平台实现个人信息与金融机构的全面“断直连”,落实打破信息垄断,严格通过持牌征信机构依法合规开展个人征信业务的整改要求,禁止平台直接为金融机构提供个人信息。
2023年初,中国人民银行等部门负责人表明,在金融管理部门的督促下,14家大型平台企业包括个人征信业务等金融业务的整改基本完成。在监管制度不断明确的基本框架下,平台企业金融业务常态化监管制度框架已经初步形成,为后续常态化监管奠定了良好制度基础。
(二)信用信息界定标准逐渐厘清,替代数据应当合规应用
征信业务范围的明确取决于信用信息的定义。根据《办法》规定,“信用信息”符合依法采集、为金融等活动提供服务、用于识别判断企业和个人信用状况等三个维度,包括符合上述标准的基本信息、借贷信息、其他相关信息,以及基于这些信息的分析评价信息。其中“其他相关信息”即为替代数据的应用留下了充分的空间,同时也通过明确替代数据的判断标准,将其纳入监管范围以保证其被合规应用。
《办法(征求意见稿)》对信用信息进行了列举,即包括但不限于身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。前述定义范围突破了传统借贷信息的范畴,将消费行为、财产信息等金融强相关信息纳入。但《办法》最终删除了前述列举内容,仅对“信用信息”识别进行了原则性规定,由此也体现出监管对于“信用信息”界定的审慎态度。围绕信用信息判断的三个维度,就替代数据在征信业务领域中的应用应当关注其与金融活动中的信用评价的关联性。
首先,信息提供者及底层数据源提供替代数据时应保证相关数据系合法收集。一方面,《个人信息保护法》作为相关个人信息处理活动的上位法律对于个人信息处理活动提出了合法正当的基本要求;另一方面《办法》明确规定信用信息的判断维度之一即为“合法采集”,因此要求数据来源合法收集也是替代数据得以应用的基本前提。
其次,替代数据应当与信用评价存在关联性、必要性。《办法》明确规定征信机构不得将与信息主体信用无关的要素作为评价标准,同时通过规定征信机构客观展示信用信息内容、提供解释说明、建立信用评价标准、建立欺诈信用信息认定标准等合规义务,确保相关信用信息处理活动与信用评价目的存在关联性,从数据处理活动阶段降低将无关信息纳入信用评价的可能性。
最后,对于替代数据的应用应当落实公开透明要求,披露相关数据处理活动并向信息主体提供相关解释说明。征信机构、信息提供者、信息使用者上下联动,针对相关数据处理活动进行披露说明,确保相关合规义务的落实;同时也可以保证个人信息主体对于相关数据处理活动的知情,通过个人信息主体行权的方式对于替代数据在征信业务场景下的应用实现有效控制。
(三)信息主体权利意识增强,权益保护前提下合理利用
伴随着征信业务下监管规则逐渐落地以及执法活动的不断深入,信息主体权利意识不断增强,司法实践也针对征信业务中信用信息处理活动的争议焦点予以回应,实现权益保护和合理利用的价值平衡。
信用信息处理的合法正当。基于提供金融产品/服务需要,在符合告知/授权同意的情况下,查询、使用征信情况,上报不良信息符合合法、正当、必要原则,属于信用信息合理使用。[5]未获得有效授权同意的情况下,采集并提供信用信息需承担相应的法律责任。[6]针对错误信用信息或已过期不良信息,征信机构也需及时修改、删除。[7]
已公开信息合理利用的边界。企业征信机构可以对已公开数据进行合理利用,但应当保证已公开数据处理活动的真实、及时、准确。[8]针对已公开个人信息,应当在满足合法公开、合法收集、合理范围的前提下进行处理,且应对个人信息主体权益产生的影响采取控制措施,不得进行不当篡改、增加、误导性结构调整等行为。[9]
四、结语
个人信息保护及数据安全领域基本制度已经确立,个人信息保护与数据安全是机构展业的基本前提。同时,数据要素价值被激活,《中共中央、国务院关于构建数据基础制度 更好发挥数据要素作用的意见》发布,明确在确保数据安全的基本前提下,促进数据合规流通,释放数据价值红利。在此背景下,行业监管进入深水期,金融业务创新边界逐渐厘清,金融与科技加快深度融合,金融数据治理框架初步建立。如何在强监管的趋势下,落实相关合规要求,成为征信机构合规展业,助力普惠金融的关键环节。合规整改期限将至,行业机构即将迎来转型考验,继本篇对行业发展和监管重点系统梳理之后,我们也将在后续文章中结合实践经验为征信业务活动中的数据合规审查、落实授权同意、征信产品可解释性等合规要求落地提供更为细致的合规指引。
[注]