大數據征信法律制度與監管研究
——以我國首張征信牌照的發放為背景

(四川省社會科學院 四川 成都 610072)

一、大數據征信的發展背景

(一)大數據征信

大數據征信依托金融科技，并且在數據共享和征信領域使用數據分析和模型為互聯網金融發展提供重要的基礎設施支持。互聯網金融發展最為重要的內容就是風險控制，而征信作為一種信息的整合則是風險控制的關鍵之處。征信活動的開展依賴于大量信息的收集、整理和分析。而大數據最核心的價值就是對于數據的精確收集、整理、優化、調整。通過大數據技術，可以更加全面地分析用戶數據。大數據的誕生，有助于在金融領域對于風險的事前預判。但這并不意味著是生搬硬套的對大數據以及金融產業進行復制、粘貼，通過數據化的整理和分析出一個具有導向性的“數據集”。近年來，互聯網金融如雨后春筍般涌現，成為中國經濟發展的新生力量。互聯網金融為大數據征信的發展提供了巨大的應用前景。

(二)首張征信牌照的發放

早在2016年，國際銀行帶頭人某銀行就推出全球API開發中心。一些主要國際銀行也采取相應措施開放API并積極接受金融數據共享。在金融數據共享浪潮中，銀行利用其基本業務構建大型平臺。

2018年中國人行頒發我國關于個人征信業務的第一張牌照予以百行征信公司，作為我國第一張征信牌照的下發意味著征信的網絡大數據時代即將來臨。但截至2017年底，征信管理局仍明確表示目前沒有一家達到要求。中國互聯網金融協會帶動八家市場機構共同出資成立百行征信公司。信聯的成立是為了記錄民間私人金融活動，填補央行征信的空白。對于大數據征信，其參照數據主要來自于政府、金融機構和私營企業。在百行征信得到個人征信牌照之前，其余8家征信機構雖獲得試點資格，但最后都未獲得征信牌照，主要原因就在于沒有一個機構達到中央銀行要求的信息共享。

(三)與傳統征信之間的調和

大數據時代下的征信將大量、全面和廣泛的互聯網數據處理成征信數據。傳統征信一般表現出信息不對稱、反欺詐能力和精確風險定價方面的不足，大數據征信的出現可以彌補在這方面的缺陷。大數據征信創新主要表現在四個方面：覆蓋面廣，信息維度多樣化，應用場景豐富，信用評估綜合，導致征信成本降低，征信效率提高。但是大數據征信也面臨著諸多困難，例如隨著征信業務涉及的數據采集范圍不斷擴大、數據處理的自動化和暗箱化、數據儲存規模的飛速擴張，強大的技術驅動導致制度供給和業務發展之間的矛盾愈發尖銳，在數據類別和內涵的實用性，征信機構的獨立性，隱私保護和多方監管的有效性。隨著大數據征信的不斷發展，這也將成為各國在處理相關問題的共性。

二、大數據征信存在的問題

(一)征信數據采集籠統不規范

在獲取信用數據時，并未根據需采集的具體范圍進行精準獲取，而是通過各種渠道盡可能挖掘信用信息，這就導致了數據財局范圍的偏差，使得市場認同的個人征信共享的信息類別不再局限于債務信息的范疇。用戶的個人信息涉及的各類生活服務場景數據，被一些非合法化的征信機構廣泛用于信用評估系統中。國際上通過分級管理，對征信機構的信息質量管理要求較為嚴格，并設置相應的處罰措施。由于目前信息采集權的保護體現為監管指導性和事后修正性，缺乏及時的干預和矯正。市面上的大多數機構通過匿名或者對數據采取碎片化的處理方式，以此規避應當被處以監管的處罰。雖在方式處理上一定程序了減弱、消除了信息與信息主體之間的關系，但是在其應用數據時還是會準確的定位到信息主體本身。

(二)需完善對個人征信主體的保護

1.信息安全事件頻發

從“某公司遭遇網絡黑客攻擊事件”和某著名社交網絡公司用戶信息泄露事件可以看出，當發生信息安全事件時，一般都表現為信息安全系統的漏洞以及合作機構的違規授權。但這也體現了當前在制度頂層設計中關于個人信息保護還有待完善。

2.缺乏同意權退出機制

一般用戶在征信業務中，授予機構查詢個人信息時，同意權一旦行使就不可撤銷或難以撤銷，目前還缺乏對相應權利的保障，并且法律法規對于授權設置了諸多的前置條件，并不利于對個人征信主體的保護。

3.知情權益難以實現

互聯網環境下，信息主體在授權查詢相關信息時，授權條款以電子協議的方式展示給用戶，但對于授權條款的具體描述、授權用途約定等方面較為模糊，與此相較，信息主體相當處以一個弱勢的地位。

4.信用重建舉步維艱

當今大數據時代缺乏“被遺忘權”，信息重建依賴于征信搜集的信息。諸如市場衍生的以大數據、人工智能和區塊鏈技術應用為基礎開展“類征信業務”的機構，監管尚未完全建立，導致信用記錄若需重建，只能局限于征信機構內部，而外部的不實或者不良信息無法更正，用戶個人權益無法保障。

(三)獨立第三方原則模糊化

國外征信業一般要遵循“信息采集者與信息產生沒有任何關系”的獨立第三方原則。大數據征信機構多由互聯網企業發起。這些互聯網企業沉淀了大量的用戶數據，從事征信業務具有先天的優勢，但他們既生產數據，又評估數據，還使用數據。其本身就不符合“獨立第三方”的資格，會影響征信產品的公正性和獨立性。以芝麻信用為例，芝麻分可用在租車、旅游、辦簽證等場景，而其數據主要源自阿里系統，這就意味著個人為了提高芝麻分，必須在阿里生態圈做更多事。中國人行作為國家權力機關，具有中央銀行的公信力，人行征信處于完全獨立的地位，而且不以盈利為目的。

三、目前的大數據征信監管體系

(一)我國監管框架不完整

1.監管模式出現少部分的監管框架空白

就目前來看，個人用戶信息征信市場具有監管資質的僅有征信中心和百行征信兩個合法經營主體。針對某些尚未進行實質性參與的征信機構，仍缺乏監管力度。監管機關應當結合當前金融科技的發展，進行合理統籌，有的放矢，引導其在合規監管的情況下開展征信業務。

2.監管模式體現為監管指導和事后修正，無法及時干預和矯正

政府監管必須發揮主導作用，平衡各方利益，制定數據共享標準，共享規范。特別是在保障用戶的利益方面，必須做好責任分工的權利劃分。

(二)國際上大數據征信監管的具體模式

國際上征信監管成熟的國家，總體上在大數據征信更加注重推進金融數據貢共享，將征信監管對象的范圍根據自身特點進行適當擴展，這已成為一種行業監管發展趨勢。

1.反自動化決策(畫像)權的立法回應。美國并未直接進行法律制度上的規制，而更多地表現為監管當局對征信機構的業務指導，督促相關機構在使用自動化決策時充分考慮各種因素，提高風險防范的意識。

2.更加強化同意權與知情權。歐盟對數據授權重新進行了定義，即數據主體授權必須是其被告知情況下自愿并特定給出的明確表示，且用戶大量的知情內容成為了同意權行使的條件。

3.明確信息泄露通知義務。我國《網絡安全法》的原則性規定并未對通知的程序和流程有詳盡的規定。歐盟、美國和澳大利亞在信息泄露的通知制度規定上較為詳盡，但是在一些具體的規定上存在差異。歐盟和澳大利亞是側重于存在危害性，通知要求上亦有不同。

四、加速大數據征信立法進程

(一)以市場化為原則

從追訴市場主導出發，對個人征信狹義及廣義的定義進行擴充，并且把握監管的核心內容與主要方式，在監管對象、適用范圍上進行適當擴展；立足目前市場發展的局限性，強化國家對業務規則的規制，增大強制力干預，建立共享數據的相關法律體系，更好保護征信市場主體的權益關系。

(二)更需完善和補充個人征信業務的規則

加快《征信業務管理辦法》及相關法規的擬定，明確知情權、同意權、信用記錄重建權和救濟權。例如在信息披露義務方面，大數據征信機構應保證數據處理程序的透明度，披露業務流程和信用評估模型，它為信息主體提供了便利，可以查看信息主體收集的信心，有效保護信息主體的合法權益。

(三)適應互聯網金融的新趨勢，加大對大數據征信的監管

根據大數據征信發展的路徑和模式，探尋大數據征信的監管措施：一是機構監管與行為監管相結合。二是對監管進行層級分類。

(四)強化信息披露力度，保障信息主體的合法權益

加強大數據征信的信息披露，是保障信息主體的知情權與異議權的重要手段。美國聯邦貿易委員會曾呼吁，應賦予消費者對自身數據更多的知情權和控制權，切實保護消費者權益。大數據征信機構應對客戶進行充分的信息披露，及時向消費者披露采集的個人信息，解釋算法模型的運作，分析和預測數據；事先告知客戶數據如何采集和使用，以及數據采集使用的目的；告知第三方查詢和使用數據必須事先獲得用戶許可，用戶有權禁止自己的數據被交換分享或者被納入任何大數據集。