近日,《征信業(yè)務管理辦法》正式發(fā)布,對于其中的信用信息,特別是個人信息信息,顯然我們應當從《個人信息保護法》的角度去看。但是信用信息中還包含企業(yè)信用信息,這部分信息應當如何看待?又或者,信用信息整個類別,可以從《數據安全法》的角度去看(要知道,《征信業(yè)務管理辦法》在第一條中并沒有提到《數據安全法》)?
要回答這個問題,可以從人民銀行在《征信業(yè)務管理辦法》中對數據全生命周期提出的安全保護要求來理解。這也是本文的目的。本文歸納在公號君看來,與《個人信息保護法》相比,《征信業(yè)務管理辦法》對信息安全和保護提出的十個非常有特色或者增強式的要求。
1、信用信息包括個人信息,也包括企業(yè)信息
根據《征信業(yè)務管理辦法》第三條規(guī)定,本辦法所稱信用信息,是指依法采集,為金融等活動提供服務,用于識別判斷企業(yè)和個人信用狀況的基本信息、借貸信息、其他相關信息,以及基于前述信息形成的分析評價信息。
2、征信行業(yè)施行“業(yè)務資質管理”
《征信業(yè)務管理辦法》第四條規(guī)定,“從事個人征信業(yè)務的,應當依法取得中國人民銀行個人征信機構許可;從事企業(yè)征信業(yè)務的,應當依法辦理企業(yè)征信機構備案;從事信用評級業(yè)務的,應當依法辦理信用評級機構備案”。
并且,具備業(yè)務資質的市場機構,才可以向金融機構提供征信服務。因為《征信業(yè)務管理辦法》第五條規(guī)定,“金融機構不得與未取得合法征信業(yè)務資質的市場機構開展商業(yè)合作獲取征信服務”。
3、征信機構和監(jiān)管機構都要審查上游信息的合法性
《征信業(yè)務管理辦法》第九條規(guī)定,信息提供者向征信機構提供信用信息的,征信機構應當制定相關制度,對信息提供者的信息來源、信息質量、信息安全、信息主體授權等進行必要的審查。
并且,《征信業(yè)務管理辦法》第十四條規(guī)定,個人征信機構應當將與其合作,進行個人信用信息采集、整理、加工和分析的信息提供者,向中國人民銀行報告。個人征信機構應當規(guī)范與信息提供者的合作協(xié)議內容。信息提供者應當就個人信用信息處理事項接受個人征信機構的風險評估和中國人民銀行的情況核實。
4、征信機構開展個人征信的業(yè)務計劃(包括個人信息處理的方案),需要提前向監(jiān)管機構報告后,方可開展
《征信業(yè)務管理辦法》第十一條規(guī)定,征信機構經營個人征信業(yè)務,應當制定采集個人信用信息的方案,并就采集的數據項、信息來源、采集方式、信息主體合法權益保護制度等事項及其變化向中國人民銀行報告。
5、信用信息力求準確性和相關性
《征信業(yè)務管理辦法》在第三章中集中對信息準確性做出要求:
征信機構不得篡改原始信息;
征信機構在整理、保存、加工信用信息過程中發(fā)現(xiàn)信息錯誤的,如屬于信息提供者報送錯誤的,應當及時通知信息提供者更正;如屬于內部處理錯誤的,應當及時更正,并優(yōu)化信用信息內部處理流程。
征信機構應當對來自不同信息提供者的信息進行比對,發(fā)現(xiàn)信息不一致的,及時進行核查和處理。
對于信用信息的相關性,《征信業(yè)務管理辦法》在第四章有完整設計:
征信機構提供畫像、評分、評級等信用評價類產品和服務的,應當建立評價標準,不得將與信息主體信用無關的要素作為評價標準。征信機構正式對外提供信用評價類產品和服務前,應當履行必要的內部測試和評估驗證程序,使評價規(guī)則可解釋、信息來源可追溯。
征信機構提供信用反欺詐產品和服務的,應當建立欺詐信用信息的認定標準。
征信機構提供信用信息查詢、信用評價類、信用反欺詐產品和服務,應當向中國人民銀行或其省會(首府)城市中心支行以上分支機構報告下列事項:(一)信用報告的模板及內容;(二)信用評價類產品和服務的評價方法、模型、主要維度要素;(三)信用反欺詐產品和服務的數據來源、欺詐信用信息認定標準。
6、個人不良信息有時效性要求
《征信業(yè)務管理辦法》第二十條規(guī)定,征信機構采集的個人不良信息的保存期限,自不良行為或者事件終止之日起為5年。個人不良信息保存期限屆滿,征信機構應當將個人不良信息在對外服務和應用中刪除;作為樣本數據的,應當進行匿名化處理。
換句話說,個人在信用方面的不良信息,有效期為五年。五年后,征信機構應當對其“遺忘”。
7、對外提供征信產品或服務,應當對使用者一視同仁
《征信業(yè)務管理辦法》第二十一條規(guī)定,征信機構對外提供征信產品和服務,應當遵循公平性原則,不得設置不合理的商業(yè)條件限制不同的信息使用者使用,不得利用優(yōu)勢地位提供歧視性或者排他性的產品和服務。
8、征信機構應審查使用者,確保信息下游的使用的合法性
《征信業(yè)務管理辦法》第二十二條規(guī)定,征信機構應當采取適當的措施,對信息使用者的身份、業(yè)務資質、使用目的等進行必要的審查。
征信機構應當對信息使用者接入征信系統(tǒng)的網絡和系統(tǒng)安全、合規(guī)性管理措施進行評估,對查詢行為進行監(jiān)測。發(fā)現(xiàn)安全隱患或者異常行為的,及時核查;發(fā)現(xiàn)違法違規(guī)行為的,停止提供服務。
9、信用信息明確無條件的本地化存儲要求
《征信業(yè)務管理辦法》第三十九條規(guī)定:征信機構在中華人民共和國境內開展征信業(yè)務及其相關活動,采集的企業(yè)信用信息和個人信用信息應當存儲在中華人民共和國境內。
10、對境外提供信用信息需要慎之又慎
《征信業(yè)務管理辦法》第四十條規(guī)定:征信機構向境外提供個人信用信息,應當符合法律法規(guī)的規(guī)定。征信機構向境外信息使用者提供企業(yè)信用信息查詢產品和服務,應當對信息使用者的身份、信用信息用途進行必要的審查,確保信用信息用于跨境貿易、投融資等合理用途,不得危害國家安全。
第四十一條規(guī)定:征信機構與境外征信機構合作的,應當在合作協(xié)議簽署后、業(yè)務開展前將合作協(xié)議報告中國人民銀行。
簡短的討論
首先,信用信用不僅是個人信息還有企業(yè)信息,自然《征信業(yè)務管理辦法》自然有《個人信息保護法》無法涵蓋的事項。
其次,即便是個人信用信息,《征信業(yè)務管理辦法》對于征信機構開展業(yè)務的事前(即征信業(yè)務方案的審查)監(jiān)管,對上、下游合作伙伴的審查,也很難用《個人信息保護法》來正當化。即便是《個人信息保護法》中對敏感個人信息的規(guī)定,也難以達到《征信業(yè)務管理辦法》的監(jiān)管強度。
再次,與境外征信機構合作的事項,需要首先獲得人民銀行的許可。
當然,信用信息力求準確性和相關性,這是征信業(yè)務本身的特點所要求。
因此,在公號君個人看來,《征信業(yè)務管理辦法》對征信業(yè)劃了一個圈,在里面流轉的信用信息,具有合法性、準確性、相關性的要求。來自于外部的信息要流入,轉換成信用信息,需要監(jiān)管機構把關。這些信息又都需要本地化存儲。信用信息的流出,也有比較高的門檻,但沒有流入的高。
從這些特點來看,這些要求可不可以成為重要數據的監(jiān)管思路中的一部分?