采集信息遵循“最少、必要”原则,征信业务管理办法即将面世。
1月11日,为规范征信业务及其相关活动,中国人民银行草拟《征信业务管理办法(征求意见稿)》(下称《办法》),对信用信息和征信业务做了明确规定,使征信监管有法可依。
事实上,对于征信业务管理,央行自2016年即开展了《办法》的调研起草工作,至今已酝酿4年多。各方普遍认为,征信进入新时代,面临新挑战,出台《办法》十分必要,并且时机已经成熟,建议加强对信用信息的采集、加工、对外提供等各个环节进行监管,保护信息主体合法权益、增加征信有效供给,实现征信业的高质量发展。
采集信息遵循“最少、必要”
从主要内容来看,《办法》对信用信息和征信业务做了明确规定;从保护个人和企业合法权益角度对信用信息采集、整理、保存和加工进行了规定;规范信用信息的使用;并对信用信息安全和跨境流动进行了规定。
具体来说,征信活动指的是为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息,这些信息被界定为信用信息,信息服务活动则为征信活动。
近年来,我国征信业进入快速发展的数字征信时代,征信新的业态不断涌现,但由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。
《办法》中所称信用信息,包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。
《办法》要求,征信机构采集信息遵循“最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等,采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。
全联并购公会信用管理专业委员会常务副主任刘新海对记者表示,《办法》整体有积极意义,有利于规范征信服务市场和未来征信体系健康发展。其中,关于个人信息保护、数据安全都做了具体的规定,和近期的立法配套,同时对于基本概念,包括信用信息和征信业务进行了定义,有助于解决信用概念混乱和边界不清晰的问题。
四种方式被禁
值得一提的是,随着消费信贷的崛起,信贷机构对个人信息甄别产生了巨大需求,这也导致大量个人隐私数据被过度采集的可能性。
《办法》明确,征信机构不得过度采集信用信息,有四种方式被明令禁止:
(一)以欺骗、协迫、诱导的方式;
(二)以向被采集的个人或企业收费的方式;
(三)从非法渠道采集;
(四)以其他侵害信息主体合法权益的方式。
一直以来,个人信息如何在信息提供、采集加工和使用过程中得到有效保护,备受关注。
《办法》强调,征信机构采集个人信用信息应当经信息主体本人同意,并明确告知信息主体采集信用信息的目的、信息来源和信息范围,以及不同意采集信息可能产生的不利后果等事项。征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。
具体在信用信息整理、保存、加工方面,《办法》明确,征信机构采集的个人不良信息的保存期限,为自不良行为或事件终止之日起5年。不良信用信息到期的,征信机构应当删除,作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。
《办法》还表示,鼓励征信机构将个人的身份标识信息与其他信用信息分开保存,实行物理隔离。
记者采访发现,已审结的相关案件中,存在重刑率低、处罚金额整体不高的情况,律师建议,对于侵犯个人隐私行为,有关部门应该加大处罚力度,加强监管机制,建立跨平台合作机制。
小贷公司之所以只想查征信,不愿意上征信,一是缘于成本考虑,二是存在“征信歧视”。
文章指出,支持有实力的金融科技力量进入评级市场,鼓励存量机构整合壮大,增强市场实力,提高行业整体素质。
处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
加快出台网络数据安全管理法律法规,应建立健全数据分类分级保护,强化风险意识、责任意识,加强重点行业、重点数据安全监管,切实保障数据安全。