1月11日人民銀行發布《征信業務管理辦法(征求意見稿)》。《征信业管理条例》颁布实施以来,我国征信业进入快速发展的数字征信时代,征信新的业态不断涌现,但由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。为提高征信业务活动的透明度,保护信息主体合法权益,推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用,人民银行依据《征信业管理条例》并结合征信业务发展的实际,起草了《征信業務管理辦法(征求意見稿)》(以下简称“《办法》”)。
(一)堅持征信爲民的工作理念。充分保障信息主體在征信業務活動中的知情權、同意權、異議權、投訴權等各項合法權益,滿足人民群衆對高質量征信産品和服務的需求,防範個人和企業信用信息濫采濫用,保障征信信息安全,防止信息泄露。(二)兼顧信息安全和信息合規使用。在做好信息主體權益保護的前提下,促進征信業規範發展,明確信息提供者、征信機構、信息使用者各方的義務,鼓勵征信機構在安全規範的前提下,提供多樣化征信産品和服務,增加征信有效供給。(三)與現行法律法規相銜接。充分吸收《民法典》、《網絡安全法》、《消費者權益保護法》等現行法律法規有關個人信息保護的內容,充分考慮與《個人信息保護法(草案)》的銜接工作,吸收相關立法原則和精神,細化個人信息保護力度。一是對信用信息和征信業務做了明確規定。使征信監管有法可依。將爲金融經濟活動提供服務、用于判斷個人和企業信用狀況的各類信息界定爲信用信息,其信息服務活動爲征信活動。當前實踐中,利用該信息對個人或企業作出的畫像、評價等業務界定爲征信業務,屬于《辦法》的約束範圍。二是从保护个人和企业合法权益角度对信用信息采集、整理、保存和加工进行了规定。要求征信机构采集信息遵循 “最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等,采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。三是規範信用信息的使用,保障用于合法目的。要求信息使用者使用個人信用信息應當用于合法、正當目的,不得濫用;征信機構提供信用信息查詢、信用評價、信用評級、反欺詐服務等不同種類征信業務時,應當遵循相應的業務規則。四是對信用信息安全和跨境流動進行了規定。從內控制度、軟硬件設備、人員管理等方面要求征信機構做好信息安全工作,建立應急和報告制度。向境外提供企業信用信息查詢服務的,應當確保信用信息用于跨境貿易、融資等合理用途,並采取單筆查詢的方式提供。人民銀行自2016年即開展了《辦法》的調研起草工作,成立專門起草工作組,先後到多家征信機構、金融機構進行現場調研,了解征信業務開展的具體操作流程,借鑒參考國外征信業務的相關管理經驗,廣泛征求和聽取相關部委、外部專家、征信機構、金融機構、人民銀行分支機構的意見和建議。各方普遍認爲,征信進入新時代,面臨新挑戰,出台《辦法》十分必要,並且時機已經成熟,建議加強對信用信息的采集、加工、對外提供等各個環節進行監管,保護信息主體合法權益、增加征信有效供給,實現征信業的高質量發展。
《征信業務管理辦法(征求意見稿)》
第一条 为规范征信业务及其相关活动,促进征信业健康发展,根据《中华人民共和国民法典》《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规,制定本办法。
第二条 在中华人民共和国境内,对个人和企业、事业单位等组织(以下统称企业)开展征信业务及其相关活动的,适用本办法。在中華人民共和國境外,對中華人民共和國居民(自然人和法人)開展征信業務及其相關活動的,也適用本辦法。第三条 本办法所称信用信息,是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。第四条 从事征信业务及其相关活动,应当依法保护信息主体合法权益,保障信息安全,防范信用信息泄露和滥用。從事征信業務及其相關活動,應當遵循獨立、客觀、公正的原則,不得作出有違社會公序良俗的歧視性安排,不得借助優勢地位提供排他性服務。第五条 征信机构采集信用信息,应当遵循“最少、必要”的原则,不得过度采集。第七条 征信机构采集信用信息的,应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核,保障采集信用信息的合法、准确和可持续。第八条 征信机构应当与信息提供者明确各自在数据更正、异议处理、信息安全等方面的权利义务。第九条 征信机构经营个人征信业务,应当制定采集个人信用信息方案,并就采集的数据项、与信用的相关度、信息主体权益保护等事项向中国人民银行报备。第十条 征信机构采集个人信用信息应当经信息主体本人同意,并明确告知信息主体采集信用信息的目的、信息来源和信息范围,以及不同意采集信息可能产生的不利后果等事项。第十一条 征信机构通过信息提供者取得个人同意的,信息提供者应当明确告知信息主体征信机构的名称。第十二条 征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。第十三条 征信机构采集企业董事、监事、高管人员与履行职务有关的信用信息,不作为个人信用信息。第十四条 征信机构整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。第十五条 征信机构在整理、保存、加工信用信息过程中发现信息错误的,如属于信息提供者报送错误的,应当及时通知信息提供者更正;如属于内部处理错误的,应当及时更正,并完善内部处理流程。第十六条 征信机构采集的个人不良信息的保存期限,自不良行为或事件终止之日起5年。不良信用信息到期的,征信機構應當刪除,作爲樣本數據的,應當進行去標識化處理,移入非生産數據庫保存,確保個人信用信息不被直接或間接識別。第十七条 鼓励征信机构将个人的身份标识信息与其他信用信息分开保存,实行物理隔离。第十八条 征信机构应当采取适当的措施,对信息使用者的身份、业务资质、使用目的等进行必要的审查。征信機構應當對通過網絡形式接入征信系統的信息使用者的網絡和系統安全、合規性管理措施進行必要的審查,對查詢行爲進行監測,發現違規行爲,及時停止服務。第十九条 征信机构应当对信息使用者进行必要的审查,保障信息使用者查询个人信息时获取信息主体同意、按照约定用途使用。第二十条 信息使用者使用征信机构提供的信用信息,应当用于合法、正当的目的,不得滥用。信息使用者使用個人信用信息應當有明確、具體的目的,按照與信息主體約定的用途使用,超出約定用途的,應當另行取得同意。第二十一条 信息主体可以向征信机构查询自身的信用信息,征信机构未采集信息主体的信息的,应当明确告知,已采集信息主体的信息的,应当向信息主体提供采集的信息内容。第二十二条 征信机构应当通过互联网、营业场所、委托其他机构等多种方式为个人信息主体提供每年两次免费信用报告查询服务。征信機構委托其他機構向信息主體提供免費信用報告查詢服務的,應當對被委托機構資質、服務能力、安全保障設施、合規性要求進行審核,並對被委托機構的查詢行爲、泄露行爲承擔連帶責任。個人信息主體有權向征信機構要求提供完整的信用報告。征信機構向個人提供信用報告的內容不得少于向信息使用者提供的信用報告內容。第二十三条 征信机构不得以删除不良信息或不采集不良信息为由,向信息主体收取费用。第二十四条 征信机构提供信用报告等信用信息查询産品服務的,应当客观展示查询的信用信息内容,并对查询的信用信息内容及专业名词进行解释说明。征信機構提供信用報告産品的,報告內容應當包括信息使用者的查詢記錄、異議標注、信息主體聲明等。第二十五条 征信机构提供画像、评分、评级等评价类産品服務的,应当建立评价标准,不得将与信息主体信用无关的要素作为评价标准。征信機構提供個人信用評價服務的,評價使用的所有數據應當在向信息主體提供的信用報告中展示。征信機構應當對外披露個人信用評價類産品所采用的評分方法和模型,披露程度以反映評價可信性爲限。征信機構提供企業主體或債項信用評級服務的,應當遵守信用評級業務的相關管理規定。第二十六条 征信机构提供反欺诈産品服務的,应当建立欺诈信用信息的认定标准。第二十七条 征信机构提供信用信息查询、信用评价、反欺诈服务,应当向中国人民银行或其省会(首府)城市中心支行以上分支机构(以下统称分支机构)报备下列事项:(二)信用評價類服務的主要維度要素、評價含義、評價的應用場景以及對信息主體權益的保護;(三)反欺詐服務的數據來源、欺詐信用信息認定標准、主要服務場景。(二)使用對評價結果有暗示性的內容、借用政府部門或行業協會的名義進行市場推廣;(三)以脅迫、欺騙、誘導的方式向信息主體或信息使用者提供征信産品和服務;(五)其他影響征信業務客觀公正性的征信産品和服務。第二十九条 征信机构应当制定涉及所有业务活动和设备设施的安全管理制度,采取有效保护措施,保证信用信息的安全。第三十条 个人征信机构、保存或处理50万户以上企业信用信息的企业征信机构,应当符合以下要求:(一)系統測評爲國家信用信息安全等級保護三級或三級以上;(二)設立信息安全負責人,由公司章程規定的高級管理人員擔任;(三)設立專職部門,負責管理信息安全工作,定期檢查有關業務及征信系統的安全管理制度及措施執行情況。第三十一条 征信机构应当保障征信系统运行设施设备、安全控制设施设备以及APP等移动互联终端的安全,做好征信系统日常运维管理,保障系统物理安全、网络安全、主机安全、应用安全及数据安全和客户端安全,防止数据丢失、破坏,防范对征信系统的非法入侵。第三十二条 征信机构应当从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面做好人员安全管理。第三十三条 征信机构应当严格限定查询、获取信用信息的工作人员的权限和范围。征信機構應當建立工作人員查詢、獲取信用信息的操作記錄,明確記載工作人員查詢、獲取信用信息的時間、方式、內容及用途。第三十四条 征信机构应当建立应急处置制度,发生或者有可能发生重大信用信息泄露等事件时,应当立即采取必要措施降低危害,并向中国人民银行及其属地分支机构报告。第三十五条 征信机构在中国境内开展征信业务及相关活动,生产数据库、备份数据库应设在中国境内。第三十六条 征信机构向境外提供个人信用信息,应当符合国家法律法规的规定。征信機構向境外提供企業信用信息查詢服務,應當審查信息使用者的身份、用途,確保信用信息用于跨境貿易、融資等合理的用途,並采取單筆查詢的方式提供。征信機構不得將某一區域、某一行業批量企業的信用信息傳輸至境外同一信息使用者。征信機構向境外提供企業信用信息的,應當向中國人民銀行備案。第三十七条 征信机构与境外征信机构合作的,应当在合作协议签署后向中国人民银行备案。第三十八条 征信机构应当将下列事项向社会公开,接受社会监督:第三十九条 中国人民银行及其分支机构可以对征信机构的下列事项进行监督检查:(一)制度建設,包括各項制度和相關規程的齊備性、合規性和可操作性等;(二)合規經營情況,包括采集信用信息、對外提供和使用信用信息、異議與投訴處理、用戶管理、其他事項合規性等;(三)業務狀況,包括信用信息覆蓋範圍、信用信息類型、信用産品、服務對象等;(四)報告和報表報送情況,包括年度報告、報表填報、業務報備等;(六)組織機構設置情況,包括公司架構與部門設置、高管團隊、人員配備等;(七)技術支持及安全情況,包括IT制度、安全管理、系統開發等;第四十条 征信机构违反本办法第六条、第十六条、第二十八条规定的,中国人民银行及其分支机构按照《征信业管理条例》第三十八条进行处罚。第四十一条 征信机构违反第二十七条、第三十条、第三十六条、第三十八条规定的,由中国人民银行及其分支机构责令改正;情节严重的,对单位处一万元以上三万元以下罚款。第四十二条 金融信用信息基础数据库从事征信业务、从事信贷业务的机构向金融信用信息基础数据库报送或者查询信用信息参照本办法执行。第四十三条 与征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者,应当在签署合作协议后向中国人民银行或其副省级城市中心支行以上分支机构报备。第四十四条 以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义对外提供征信功能服务,适用本办法。
