www.creditsoso.org 市场经济是信用经济也是法治经济
滚动消息:
“虚假信用评价”黑产业链团伙浮出水面  全国最大的贩卖虚假信用证书黑产业链网络犯罪团伙浮出水面  【公告】关于315xinyong、bscgov北京卫创盗版、抄袭、模仿社会公共信用信息公示系统的公告  【公告】北京卫创信用评估有限公司系虚假评估机构 仿冒盗用、抄袭剽窃社会公共信用信息公示系统的公告  关于对“广西企业信用信息管理平台”网站600多家假牌匾假证书的法律声明 
  1. 1输入企业名称
    或信用代码
  2. 2输入
    验证码
  3. 3查询
    信用信息
首页 > 信用与法 > 正文
信用与法:企业征信机构的数据合规问题探讨

信用与法:企业征信机构的数据合规问题探讨



征信离不开数据,数据就是征信的根本。征信机构通过运用大数据技术构建征信模型及算法,对信用主体信息进行采集、分析、整合和挖掘,多维度刻画信用主体的违约率和信用状况,形成对信用主体的信用评价,实现贷前、贷中和贷后风险监测与预警。该类数据分析不仅反映信息主体的履约意愿,亦能一定程度反映其履约能力。征信机构需要尽可能多采集能用于信用评价的信息,从而实现全方位、多角度、更准确地来判断信息主体的信用状况。然而,征信机构分析使用的数据并非内生于自身,在现行法律框架下数据权属以及权利范围尚无明确界定的情形下,确保数据来源及使用的合法合规是企业征信业务开展的基础。

 征信业务及征信法规



征信业务介绍


征信定义有广义与狭义之分,狭义的征信是指依法采集、整理、保存、加工自然人、法人及其他组织的信用信息,并对外提供信用报告、信用评估、信用信息咨询等服务,帮助客户判断、控制信用风险,进行信用管理的活动。广义的征信还包括政务或商务活动中的诚实信用行为等。征信落实到经济层面系显示为相应主体按期履约的能力和意愿,最为重要的作用系为了防范非即付经济交往中发生损失。

2013年1月国务院发布的《征信业管理条例》对征信业务的定义为:“对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。”征信业务开展注重信息的真实、连续、多维度、及时及隐私保护。

征信业务的基本流程为:
  • 制定数据采集计划,确定需要采集的数据类型、采集方式等;

  • 采集数据,在采集的数据过程中需兼顾数据的适用性和规模;

  • 数据分析,在该阶段需要进行数据查证以保证征信产品的真实性、可信性以及补缺或纠错,进而利用数据挖掘技术和统计分析方法等方式对数据进行分析以形成征信报告。


但需注意的是,《征信业管理条例》规定的征信业务存在两处特别限定:
  • 金融信用信息基础数据库系由专业运行机构建设、运行和维护,该专门运行机构不以营利为目的,其他机构无法直接收集该类信息并运用于征信业务。

  • 国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不属于《征信业管理条例》所定义的征信业务范畴。



二 征信业务主要相关法律规定


征信领域的专门法律规定包括《征信业管理条例》《征信机构管理办法》《企业征信机构备案管理办法》等。《征信业管理条例》系第一部专门适用于征信业的行政法规,明确规定了征信机构的设立要求、征信业务的基本规则等内容;《征信机构管理办法》在《征信业管理条例》基础上,进一步详细规定征信机构的设立、变更与终止的管理要求,同时对个人征信机构的董监高任职资格进行特别规定。《企业征信机构备案管理办法》为规范企业征信机构备案管理而制定,规定了备案的受理、审核、管理等内容。

除了上述专门为征信领域制定的法律规定,作为民事基本法的《民法典》亦规定了个人信息保护的基本内容以及民事主体与征信机构等信用信息处理者之间的法律适用。此外,征信行业中使用的电信网络事项需遵循《网络安全法》《互联网信息服务管理办法》《电信条例》《计算机信息系统安全保护条例》等法律规范。

就征信行业的数据合规事宜,效力级别较高的《民法典》《网络安全法》主要是规定个人信息保护的基本要求,效力级别较低的的部门规范性文件、国家标准或行业标准更为具体地规定了信息保护的收集使用规范、安全保障措施等内容,但主要内容仍与个人信息保护相关。该类规定包括《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》《信息安全等级保护管理办法》《信息安全技术个人信息去标识化指南》《数据安全管理办法(征求意见稿)》《信息安全技术个人信息安全规范(征求意见稿)》《互联网个人信息安全保护指引(征求意见稿)》等。2020年10月13日,全国人大常委会发布《个人信息保护法(草案)》,其系以专门性立法的形式规定个人信息保护。

随着数据经济时代的到来,各类数据的分析利用程度不断提高,使得数据挖掘的经济价值得以彰显。全国人大常委会于2020年7月3日发布《数据安全法(草案)》,草案内容对各类数据保护进行原则性规定,而非限于个人信息保护的细项规定,其将行业数据、政府部门数据、企业数据、个人数据等各类数据安全的保护进行原则性规定,推动政府部门、行业组织、企业、个人等共同参与数据安全保护工作。按照分级分类的思路监管,即覆盖各类数据又有所侧重。2020年9月23日,中国人民银行发布了《金融数据安全 数据安全分级指南(JR/T 0197-2020)》,对金融业机构的数据分级工作作出系统化和具体化的要求。该规定虽仅适用于金融机构,但亦可见除个人信息以外的非个人信息保护立法在逐步加强,企业征信机构可对照该类监管规定对自身业务的数据进行分类分级管理。2021年1月11日,中国人民银行发布了《征信业务管理办法(征求意见稿)》,在《民法典》《征信业管理条例》的基础上进一步加强征信业务的管理,按照信息生命周期管理的思路,明确企业征信机构、个人征信机构信息采集、整理、保存、加工、提供、使用方面的管理规范,并对信用信息安全的基础设置、管理制度进行规范。

企业征信行业中的数据及数据合规


《征信业管理条例》将征信业务区分为企业征信业务和个人征信业务,两者涉及的主要数据类型存在差别。个人征信业务中的个人信息可能涉及个人敏感信息、个人隐私等影响个人主体身份或财产利益的信息。基于个人征信相关信息基本为不公开信息,较容易导致个人利益受到侵犯,而企业征信相关信息多为公开或半公开的企业信息,但并非完全不涉及个人信息。对于个人信息部分,亦需遵循个人信息保护规范,不过企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。鉴于企业征信业务与个人征信业务的主要数据类型、数据来源、数据合规的监管要求等方面均有所不同,本文主要分析企业征信机构业务的数据合规问题,按照数据类型及来源渠道分别介绍。


数据类型


《征信业管理条例》第十三条规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。” 第十四条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。”第二十二条规定:“征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息。征信机构不得采集法律、行政法规禁止采集的企业信息。”

《数据安全法(草案)》第十九条规定,国家对数据实行分类分级保护。参照上述《征信业管理条例》相关规定,本文将征信行业涉及的数据类型划分为如下四个等级:一是禁止采集类,禁止征信机构采集该类信息。如个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。二是限制采集类,征信机构采集该类信息需要明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意。该类信息包括个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息等。但需注意的是,企业征信机构业务开展中,若非业务必须,即便拥有信息主体授权同意,亦应遵循合法、正当、最小、必要的原则采集信息。三是普通采集类,征信机构采集该类信息需要取得信息主体的授权。如通过信息主体、企业交易对方、行业协会等主体提供的信息。四是公开信息类,采集该类信息需注意是否为依法公开类,否则采集该类信息亦可能构成对相应信息主体利益侵犯。此外,通过互联网技术采集公开信息需遵循网络安全管理规范等。


数据来源渠道及合规要点


企业征信行业中运用的数据主要包括财务税务、工商、司法、知识产权等数据。企业征信机构的数据来源一般包括以下四类:第一,政府部门依法公开的数据;第二,信息主体授权从政府部门或其他主体获取的数据;第三,信息主体自行提供的数据;第四,向数据供应商采集的数据。前述各类数据来源的合规要点如下:

01

政府部门依法公开的数据

根据《中华人民共和国政府信息公开条例》《企业信息公示暂行条例》《最高人民法院关于人民法院在互联网公布裁判文书的规定》《国家知识产权局政府信息公开实施办法》等规定,对于政府部门依法公开的工商信息、司法信息、知识产权信息等,企业征信机构可以依法采集而无须单独取得相应信息主体授权。对于该类数据的采集,数据合规要点在于企业获取数据的方式,若从数据供应商处获得,企业应选择合格数据供应商,并且应在采购合同中明确约定数据提供方关于数据合规的相关责任;若系自行采集,如通过爬虫技术手段获取,则需要遵循Robots协议等规范。此外,《数据安全管理办法(征求意见稿)》规定:“网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”

02

信息主体授权企业征信机构从政府部门或其他主体获取的数据

《民法典》在人格权编第六章专章规定隐私权和个人信息保护,并在第一千零三十五条规定了个人信息收集的同意规则。《民法典》并未对其他类型的数据收集原则进行规定,仅在第一千零三十条规定:“民事主体与征信机构等信用信息处理者之间的关系,适用本编有关个人信息保护的规定和其他法律、行政法规的有关规定。”但该条款位于人格编中,系为保护人格权而作出的规定。目前而言,《征信业管理条例》系该条规定唯一所指的征信业专门行政法规,其仅规定了个人信息采集的同意规则。《民法典》《征信业管理条例》均未明确向企业主体采集企业信息是否需要获得企业主体授权。但是,《数据安全法(草案)》原则性规定,任何组织、个人收集数据, 必须采取合法、正当的方式, 不得窃取或者以其他非法方式获取数据。《征信业务管理办法(征求意见稿)》规定征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。基于企业主体的法人人格独立以及意思自治,企业主体对自身数据亦拥有合法权益,征信机构在采集非依法公开的企业数据时应取得企业主体的授权同意。


对于通过该种方式取得的数据,除了需遵循授权同意规则,同时需参照使用个人信息保护规范,防范数据合规风险。在获得信息主体同意前,需公开收集、使用规则,明示收集、使用信息的目的、信息来源和信息范围,以及不同意收集可能产生的不利后果等。在收集使用信息过程中,不得收集与其提供的服务无关的信息,不得违反法律、行政法规的规定和双方的约定收集、使用信息,还需按照中国人民银行的监管要求进行报备,按照合法、正当、最小、必要的原则收集、使用信息。

03

信息主体自行提供的数据

信息主体自行提供的数据有广义与狭义之分,广义的自行提供还包括授权企业征信机构采集与信息主体相关的信息,狭义的自行提供仅包括由信息主体自行提供或在特定系统上传自身拥有的数据。基于大数据相关技术的运用及批量化、规模化分析的要求,实践中的自行提供数据多为广义的自行提供。信息主体自行提供数据的同时应签署授权同意协议,并且应当对数据收集、使用的目的、方式和范围以及是否允许共享或对外转让等事项进行明确。

04

企业向数据供应商采购的数据

贵阳、上海、武汉等地相继成立了大数据交易中心,不断探索相关数据交易方案和规则,但数据交易机制及规范性要求尚未成型。目前企业征信机构从数据供应商采购的数据主要系数据供应商整理的依法公开的政府部门信息或基于自身业务运营过程中积累的数据。《数据安全法(草案)》对数据交易的中介模式进行了肯定,要求从事数据交易中介服务的机构在提供交易中介服务时, 应当要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。该规定在立法上肯定了中介模式的数据交易方式,明确数据交易中介机构的责任与义务,但该草案并未明确非中介模式的数据交易规范要求。


《征信业务管理办法(征求意见稿)》对直接交易模式的合规性审查进行了规定,要求征信机构应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核,以保障采集信用信息的合法、准确和可持续。


在双方直接交易的模式下,目前实践中通常采取由数据提供方承诺数据来源合法合规、不存在侵犯第三方权益等事项,在协议中明确约定违约或侵权事宜导致的赔偿责任等方式防范数据合规风险。


值得注意的是,《征信业务管理办法(征求意见稿)》不仅要求征信机构对数据供应商进行合规性审查,其还要求征信机构对使用方的身份、业务资质、使用目的、是否取得授权等事项进行必要的审查,进一步强化征信机构自身数据合规的管理要求。

05

客户提供并“委托加工”的数据

客户提供数据给企业征信机构供其分析形成报告,该种业务模式实质属于部分服务外包,在法律性质上类似于委托加工。对于企业征信机构通过该种方式获取的数据,合规重点在于自身数据安全管理的内控措施需符合数据提供方要求及数据安全保护的监管要求。通过规章制度保障、物理安全保障、技术安全保障等措施保障数据安全,重点关注企业敏感信息及商业秘密的保护,如涉及个人信息,需重点关注是否涉及个人隐私或敏感信息。企业征信机构应采取加密、脱敏、备份、审计等措施,对重要数据采集、传输、存储、处理和使用等各环节进行安全保护,不得将已脱敏数据进行再识别、处理完后应归还或及时删除、不得擅自将数据向第三方披露等。


需注意的是,在客户提供并“委托加工”模式下,基于存在两种授权模式,企业征信机构取得信息主体的授权同意存在特殊性。以信贷领域中的企业征信业务中的授权为例:第一种模式是企业征信机构直接与信息主体签订授权协议;第二种模式是由贷款机构取得信息主体授权,在贷款人申请贷款前取得“一揽子”授权,包括自身收集处理数据的授权,亦包括将数据提供给企业征信机构等第三方机构进行加工处理的授权。


《征信业务管理办法(征求意见稿)》仅明确征信机构通过信息提供者(如前述案例中的贷款机构)取得个人同意的,信息提供者应当明确告知信息主体征信机构的名称,该规定系重点规制个人信息的流转;对于企业信息的流转采取了概括式规定,其规定采集非公开企业信息应以适当的方式取得企业的同意。


数据作为征信领域必备的生产资料,其创造价值的基础在于流动性。数据在不同主体之间流动是否需取得相应信息主体的授权同意是探讨数据流动的合法合规性基础。然而,若每一次流动均需取得信息主体授权,则将限制数据流动以及数据经济价值释放,也给信息主体带来困扰;若无信息主体授权的数据流动,则有可能侵犯信息主体的知情权及其他权益。因此,数据流转需平衡数据安全保护及数据经济价值释放之间的关系。


结语


时代需要数据释放经济价值或社会价值,利用大数据解决传统或新型问题。然而在数据开放过程中,隐私泄露、大数据歧视、不当利用造成的利益侵犯等问题亦困扰着人们。简单来说,数据收集使用需遵循合法、正当、必要的原则,而在当下数据立法尚未完善或存在缺失的情形下,如何论证合法、正当、必要亦成为数据合法利用中的难题。格式合同条款的授权同意无法保证数据收集使用合规,形式上的接受和同意不代表信息主体理解其同意的内容含义,亦不代表信息主体了解该等同意可能产生的对其自身权益的影响。因此,企业征信机构及从业人员均需遵守业务底线,建立内控制度,做好自查自纠工作,在符合法律规定的前提下为正常开展业务使用必要信息,避免对国家安全、公众权益、个人隐私、企业合法权益造成侵犯。



关于系统 | 关于我们 | 工作人员查询 | 信用机构解决方案 | 首席信用监督官就业创业培训简章 | 社会责任 | 法律声明 | 帮助中心 | 信用机构查询