本网站支持IPv6
法人查询 自然人信用查询 站内文章

央行发布征信新规,互联网企业将纳入监管,个人信用信息不得被过度采集

发布时间:2021-01-19  来源:羊城晚报  浏览次数:835

《办法》对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行了规定,清晰界定了信用信息,并强调要加强个人和企业信息主体权益保护,保障信息安全。

《办法》的出台将提高征信业务活动的透明度,保护信息主体合法权益,推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用。

境内外征信监管“一网打尽”

《办法》指出,征信机构采集的个人不良信息的保存期限,自不良行为或事件终止之日起5年。不良信用信息到期的,征信机构应当删除,作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。

相较《条例》,《办法》对信用信息和征信业务做了更明确的规定,使征信监管有法可依。事实上,央行近期正在稳妥推进个人征信机构准入。2020年11月25日举办的国务院常务会议提出,要稳妥地推进个人征信机构准入。12月25日的国务院政策例行吹风会上,央行副行长陈雨露则表示:“越来越多的证据表明,我国征信市场的发展将迎来一个黄金发展期。”他表示,对于征信市场,在监管上央行将把信息安全和权益保护放到首位。

“各方普遍认为,征信进入新时代,面临新挑战,出台《办法》十分必要,并且时机已经成熟,建议加强对信用信息的采集、加工、对外提供等各个环节进行监管,保护信息主体合法权益、增加征信有效供给,实现征信业的高质量发展。”央行称。

除规范国内征信业务外,《办法》对信用信息的跨境流动也做出了明确规定。例如,征信机构向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供,不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。

这是建设开放型经济的必然要求。作为现代金融体系的组成部分,扩大征信业对外开放是贯彻落实金融对外开放战略的重要组成部分。而且,随着RCEP的签署,中国的对外贸易也将走上更高的台阶,国内企业走出去,投资走出去,都需要征信信息的跨境交流合作。

明确信用信息定义

防止个人信息被过度采集

相关业内人士表示,本次《办法》的一大亮点就是,明确了何为信用信息。《办法》指出,为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息,包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息,都视为信用信息。凡是对信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动,都是征信业务,都要纳入征信监管。

此前,各方对借贷信息属于信用信息认识较为一致,但对于身份、支付交易、财产、社交等信息是否属于信用信息,认识并不统一。在科技高速发展下,实践中的信用信息也早已突破借贷信息的范围。2013年出台的《条例》明确了市场监管部门在企业信用信息公示系统公示的信息,以及社会信用体系建设部际联席会议依法依规编制的公共信用信息目录,但对于信用信息的定义仍旧不够清晰。

《办法》遵循实质重于形式的原则,明确提出属于个人隐私范畴的信息,即便是持牌的征信机构,也不可以随意获取、调用相关信息。“明确何为信用信息,有助于防止个人信息被过度采集、不当加工和非法使用,有利于提高征信业务活动的透明度,这是行业健康发展的基石。”业内专家表示。

互联网企业将受监管

要求信息采集“最少、必要”

“不得以欺骗、胁迫、诱导方式,以向被采集的个人或企业收费的方式,以其他侵害信息主体合法权益的方式从非法渠道采集信用信息并进行使用。”除此之外,《办法》强调,征信机构采集信用信息,应当遵循“最少、必要”的原则,不得过度采集。

同时,根据《办法》,“利用个人信用信息对个人作出的画像、评价等业务”都属于征信业务,这意味着一些大型互联网平台企业从事的个人信息服务,诸如电商将客户消费信息与客户基本信息相结合,为客户进行“信用画像”并为其提供金融产品或金融服务的行为,都将被纳入征信监管范畴。

大数据算法在便利用户生活的同时,也让平台大行数据采集之道。当前,大量APP在安装时都会提示想要读取用户通讯录和个人信息,不给权限甚至无法使用,这些都让用户个人信息呈“裸奔”态势。

业内专家称,当前市场上出现了一些打着征信旗号的大数据风控公司和数据服务商,不乏大型互联网平台企业的身影。这些企业利用市场优势,在未经充分授权的前提下,过度采集企业和个人数据,并广泛应用于各种商业目的,以获得超额垄断利润。这些机构游走于法律边界,事实上却没有受到相应的监管。

对此,央行表示,在此前征信业务开展中存在无授权采集、“一次授权、无穷采集、无限使用”、加工处理过程不透明、自动化决策有失客观公正性等问题,信息主体的知情权、同意权、异议权无法得到保障。

针对以上问题,《办法》围绕信用信息采集、整理、保存、加工、提供和使用等环节,提出了信息采集“最少、必要”的原则、明确告知信息主体并取得同意、用于合法目的等要求,有助于保护信息主体合法权益,实现信用信息安全、合规、合理的流动。

值得注意的是,一些属于个人隐私范畴的信息,即便是持牌的征信机构,也不可以随意获取、调用相关信息。记者梳理了解到,部分信息属于限制采集信息,在充分告知信息主体采集使用可能产生的不利后果并取得充分授权情况下,才可以采集,如财产信息;而包括宗教信仰、基因、指纹、血型、疾病等个人隐私信息以及法律、法规规定禁止采集的信息,则属于严格禁止采集范畴,征信机构不得采集。