企業征信機構的數據合規問題與實踐措施

馬玉萍

當前我國對征信工作高度重視，并落實了《個人信息保護法》、《征信業務管理辦法》、《企業信用信息采集、處理和提供規范》等制度，規定了公民個人及企業信用信息保護的相關內容，為依法采集、使用信用信息提供了指引。但很多征信企業在數據采集、使用等業務開張過程中，存在諸多合規問題，影響了征信行業的健康持續發展。為此應加強信息主體權益保護、強化風險管理理念，提升數據合規管理水平。

一、企業征信機構數據合規管理的意義

征信作為金融體系的重要成分，能夠運用大數據技術構建出征信模型，并對信用主體如個人與企業等信息進行采集、分析、整合與挖掘，多維度地刻畫信用主體的信用情況，形成一定的信用評價，實現對貸前、貸中與貸后的風險預測與管理，多方面反映出信用主體的履約能力。開展企業征信機構數據合規管理工作可以確保征信行業的健康發展，避免由于接入機構的內控制度不健全、人員管理不完善、技術手段不先進等問題造成信息泄露，確保征信市場的健康化、可持續化。而當前我國法律框架的數據權屬及權利范圍還缺乏明確的界定，為此就應加強對征信業務開展的合法合規性監督，避免接入機構違規操作所引發的侵權案件，確保公民信息的安全性，為社會群眾提供一個放心的征信監管環境，解決人民利益問題。

二、企業征信機構數據合規的現狀

我國對征信機構數據合規性的監管起步較晚，相較于一些西方發達國家，如美國的市場多頭監管、歐洲的一元化監管、日本的政府監管模式等。我國在征信法律法規方面還較為不足，如在制定信用數據采集計劃、確定采集數據類型、采集方式及適用性等方面缺乏合規性，甚至出現了金融信用機構以營利為目的，向其他機構出售個人及企業信息的情況。我國在行業法規監管方面的空白，也讓很多企業在內控制度、數據報備、用戶信息收集、管理使用、信息查閱、異議處理等方面出現了不合規的問題。雖然信用信息的合規問題引起了國家重視，但很多信息在采集、管理與使用等過程中，依舊還面臨著較大的安全風險。為此應進行不斷地調整與優化，降低公民信用信息、企業信用信息的安全性與風險性。

三、企業征信機構的數據合規問題

1.企業內控合規管理存在漏洞。當前一些企業由于剛接入征信系統，對征信數據合規管理工作缺乏充分認識。很多管理人員與業務人員不了解征信工作的概念，特別是對于系統數據處理流程、相關制度建設、安全管理等方面的內容模糊不清。部分企業征信合規管理意識淡薄，對于內控制度建設的重要性認識不足，缺乏健全規范的內控措施。甚至有的企業在內控制度建設中還存在照搬其他企業的情況，沒有結合自身業務特點和發展完善內控制度，導致很多企業內部存在諸多漏洞。例如據四川省互聯網金融白皮書顯示，當地有30%的企業管理人員并未有金融行業從事經驗，嚴重影響了企業的規范管理。另外在眾多小型機構中，普遍還存在重業務、輕合規的情況。

2.征信合規體系處理模式不完善。我國傳統的征信合規體系主要是依靠《征信合規通知》與《征信業管理條例》的相關規定。這兩者都存在一定的不足，在信用信息的采集、整理、保存、加工以及各類金融活動中界定劃歸不明確。例如《征信業管理條例》中只規定了征信業務規則及監督管理的內容，并未明確提出構建完善的征信合規體系的辦法，缺乏精細化的指引。而《征信合規通知》在內容上也只是針對征信合規體系構建的重要性、倡導自我糾察制度方面的教育，對于當前機構在個人信用信息、企業信用信息的收集與使用等方面規定較為粗淺。我國現有的征信合規體系缺乏對信用信息的類型區分。很多管理法規中都未針對征信機構采集的信息劃分具體類型，導致信用信息的采集邊界無限擴張。如《征信業管理條例》“禁止機構采集個人信仰、基因、指紋、血型、疾病史及法律禁止的其他個人信息”中的個人信息屬于何種類型，又或是在“企業信用信息的來源應包括被采集對象、相關利益機構、相關政府部門、企業信息機構與個人”中缺乏對企業信息使用的規定，造成很多征信機構難以判斷信息是否應該被采集，既增加了系統負荷，也缺乏參考作用，更難保證信息的合規性。

3.征信機構數據采集使用缺乏合規性。當前很多企業缺乏對于數據采集使用合規性的認識，并未按照法律規定及行業監管要求進行業務合規性評估。首先，采集信用主體信息時，并未告知并取得信用主體的授權同意或授權形式不合法，沒有形成完整、合規的授權，甚至使用不正當手段或從非法渠道采集數據信息，存在數據來源不合規的情況。其次，未按照約定用途、范圍、目的、方式使用數據信息。普遍認為信用主體的資料應被充分運用，例如用戶的身份證號碼、手機號碼、聯絡人號碼、聯絡人信息等都應被挖掘使用，導致用戶信息的挖掘與使用中缺乏合規性。再其次，我國《民法典》、《征信業管理條例》沒有明確規定采集企業信用信息需要企業主體授權同意，但規定“征信機構可以通過信息主體、企業交易對方、行業協會提供信息，政府有關部門依法已公開的信息，人民法院依法公布的判決、裁定等渠道，采集企業信息。征信機構不得采集法律、行政法規禁止采集的企業信息”，而實踐中在企業征信數據采集、加工、處理及使用中并未進行充分甄別，導致用戶及非用戶的個人利益受到侵犯，嚴重影響了公民信息權益。

4.征信異議處理存在問題。現階段很多小型金融企業的經營穩定性較差，再加上2019年以來的社會市場狀況，很多企業都面臨著倒閉風險，特別是一些P2P機構更是出現了集中清退的情況，而一旦機構被清退，先前借款人的信用信息核實異議問題就出現了漏洞，很容易對公民主體的征信權益造成影響。首先，征信異議的處理本就擁有較高的難度，在出現信用詐騙情況時，一些小型機構由于涉案金額較小，受害人提供的證據不充分等原因，在維護公民合法權益等方面存在較高的難度，或是在進行異地取證時存在反饋不及時的情況，徒增信用風險。其次，很多小型金融機構也難以充分發揮非現場監管的職能，缺乏有效的風險預警工作，例如很多從業人員在處理異議時存在相互推諉的現象，并未協同調查合作機構，對于征信系統的運行與接入情況缺乏實時監管，在異議問題出現后由于處理證據不及時等，造成了很大的信用風險，降低了異議問題處理效率。

5.征信系統監管制度存在紕漏。征信合規管理工作的目標是督促征信機構在合法、合規的范圍內從事征信業務。為此征信系統監管中應注重督促性，而非濫用監管制度，違反征信合規要求。特別是在我國《個人信息保護法》實施后，國家也專門明確了征信業務處理的專業性，但由于缺乏上層機關的宏觀指導，對于國家網絡信息治理缺乏認知、監管范圍無法深入基層。同時在面對跨境征信監管工作中，我國缺乏有力的實質性監管措施，對跨境電商的合作造成了影響，更加難以保障跨境個人信息數據的傳輸工作的規范型及合規性。部分企業為了獲取更高的利益非法將公民個人信息向境外機構販賣，從中賺取利益，也嚴重影響著我國的經濟安全。因此，應積極建立配套體系，強化監管職能。

四、企業征信機構數據合規管理的實踐措施

1.構建征信合規監管體系。征信機構數據合規管理應對整體工作流程進行監管。《征信業管理條例》第四條第一款規定：中國人民銀行（以下稱國務院征信業監督管理部門）及其派出機構依法對征信業進行監督管理。而我國履行個人信息保護職責的主要有國家網信部門、國務院有關部門及地方有關部門，共同形成了集中式監管體制，其監管主體包括人民銀行以及人民銀行的附屬機構。這種宏觀方面的監管雖然可以保證流程的專業性，但在細節調控方面卻容易產生漏洞，對于各地區的企業征信機構監管缺乏有效的指引，容易導致企業在理解方面產生偏差，影響著征信數據合規管理水平。為加強對數據風險的預防，各企業應對征信數據合規性管理工作具有明確認知，落實征信管理法規，構建起征信數據合規監管的管理體系，將征信查詢系統、信息查詢、信息保存、數據對接等納入監管范疇，對資料查詢及異議處理等進行規范，有關部門也應對管理不完善的企業進行處罰，實現對征信體系的常態化、實時化監管，有效提升宏觀管理體系對基層部門的監管力度，強化整體監管流程的合規性。

2.搭設公民與征信機構的雙方面評價。我國《個人信息保護法》中預設了自動化決策體系，可通過計算機程序分析個人行為習慣、興趣愛好、信用狀況等進行決策活動。由于公民對于個人信息的把控力較弱，容易被征信機構強行采集到信用信息，應加強這種應用場景下的合規監管。首先，自動化決策場景是一種優化征信信息處理的事先預防制度，可消除供公民認知差異，避免遭受信息越界的影響。個人信息的決策中應確保信息采集的透明度，相關部門應確保個人信息不可被用于交易，確保算法的透明與公開，應讓公民了解征信信息采集使用以及征信報告的制作流程，避免公民陷入到“自己被評測，卻難以反過來評測機構”的局面，可通過信息系統在征信機構官網等開設公民互動窗口，既可以讓公民進行評價，又可以確保征信系統得出的個人信用評價的公允性。其次，這種雙方面評價窗口公民還可以要求機構對個人信息的使用情況加以說明，并有權利拒絕機構通過軟件程序收集到某方面信息，賦予被采集者知情權，讓公民知曉個人信用信息的采集情況，提高對被采集者知情權的重視，充分保障被采集者的知情權益，從而通過社會力量提升征信機構在信用信息采集與使用等過程中的合規性。

3.嚴格管控征信數據采集使用合規性。我國人民銀行發布的《征信業務管理辦法》對于征信數據的采集與使用等進行了明確規定，有關部門應加強對市場中征信機構數據的審核監管。按照法律要求審查是否包含限制類采集信息、禁止類采集信息、敏感類采集信息等，如個人收入、存款、證券、不動產信息及聯系人相關信息等，還包括個人基因、指紋等信息。一旦發現該類信息流入市場，應嚴厲打擊涉事企業，強化個人信息的保護及數據安全。同時還應開展穿透式審核，直接追溯到數據源，對數據所有底層變量類型進行追查，了解數據采集來源的合規性，并建設全面的市場合規文化。

對于企業的信用信息需要從更多的方面進行評估，如對企業的注冊信息、財務報表、職工信息、銀行往來狀況、經營者建立、企業發展史等。同樣，企業相比于個人也具有更多的優勢，例如一些互聯網大企業、大數據公司等也會利用自身優勢，參與到地方信用體系的構建中。征信機構在采集與使用企業的信用信息時，更應站在平等互惠的角度，確保所收集到的數據能夠為企業信用評估作出幫助，同時收集信息應得到企業的同意，在企業授權同意的情況下進行數據交換，或通過企業主動上傳的形式，確保數據的有效性與合規性。

4.完善跨境征信合規監管。跨境征信合規性監管是一項重要任務，可影響我國外經貿的發展，也可以避免機構收集的個人信息惡意泄露，出現損害公民合法權益的情況，因此全面保障公民個人信息的安全性。各個國家對于跨境征信的監管做法不一，如歐盟直接限制了跨境信息流動，加強對個人信息的保護；美國則采用了以市場多頭監管為主導，以行業自律為輔的監管模式，通過多邊協議實現對個人信息的最大價值利用，二者存在著較大的差異與觀念。而我國在進行跨境征信合規管理的工作中，則應注重公民個人權利的保障，應檢查征信信息收集系統的合規性，確保個人信息收集滿足相關法律法規要求，還應評估個人信息的真實性，并確保評估及傳輸行為的正當性。另外，應明確合規認證的內容，并對相關企業及機構進行規范性管理，杜絕征信機構作出損害公民權益的行為。

五、結語

信用信息關乎著社會生活的方方面面，為此企業征信機構應嚴格確保數據合規，做好合規性管理，應構建起征信合規監管體系、優化數據接入機制、提高數據信息質量、強化非現場監管、完善跨境征信合規監管等措施，加大懲戒力度，確保信用信息的安全性與合規性。

（作者單位：甘肅合睿律師事務所）