馬玉萍

當(dāng)前我國對征信工作高度重視，并落實了《個人信息保護法》、《征信業(yè)務(wù)管理辦法》、《企業(yè)信用信息采集、處理和提供規(guī)范》等制度，規(guī)定了公民個人及企業(yè)信用信息保護的相關(guān)內(nèi)容，為依法采集、使用信用信息提供了指引。但很多征信企業(yè)在數(shù)據(jù)采集、使用等業(yè)務(wù)開張過程中，存在諸多合規(guī)問題，影響了征信行業(yè)的健康持續(xù)發(fā)展。為此應(yīng)加強信息主體權(quán)益保護、強化風(fēng)險管理理念，提升數(shù)據(jù)合規(guī)管理水平。

一、企業(yè)征信機構(gòu)數(shù)據(jù)合規(guī)管理的意義

征信作為金融體系的重要成分，能夠運用大數(shù)據(jù)技術(shù)構(gòu)建出征信模型，并對信用主體如個人與企業(yè)等信息進行采集、分析、整合與挖掘，多維度地刻畫信用主體的信用情況，形成一定的信用評價，實現(xiàn)對貸前、貸中與貸后的風(fēng)險預(yù)測與管理，多方面反映出信用主體的履約能力。開展企業(yè)征信機構(gòu)數(shù)據(jù)合規(guī)管理工作可以確保征信行業(yè)的健康發(fā)展，避免由于接入機構(gòu)的內(nèi)控制度不健全、人員管理不完善、技術(shù)手段不先進等問題造成信息泄露，確保征信市場的健康化、可持續(xù)化。而當(dāng)前我國法律框架的數(shù)據(jù)權(quán)屬及權(quán)利范圍還缺乏明確的界定，為此就應(yīng)加強對征信業(yè)務(wù)開展的合法合規(guī)性監(jiān)督，避免接入機構(gòu)違規(guī)操作所引發(fā)的侵權(quán)案件，確保公民信息的安全性，為社會群眾提供一個放心的征信監(jiān)管環(huán)境，解決人民利益問題。

二、企業(yè)征信機構(gòu)數(shù)據(jù)合規(guī)的現(xiàn)狀

我國對征信機構(gòu)數(shù)據(jù)合規(guī)性的監(jiān)管起步較晚，相較于一些西方發(fā)達國家，如美國的市場多頭監(jiān)管、歐洲的一元化監(jiān)管、日本的政府監(jiān)管模式等。我國在征信法律法規(guī)方面還較為不足，如在制定信用數(shù)據(jù)采集計劃、確定采集數(shù)據(jù)類型、采集方式及適用性等方面缺乏合規(guī)性，甚至出現(xiàn)了金融信用機構(gòu)以營利為目的，向其他機構(gòu)出售個人及企業(yè)信息的情況。我國在行業(yè)法規(guī)監(jiān)管方面的空白，也讓很多企業(yè)在內(nèi)控制度、數(shù)據(jù)報備、用戶信息收集、管理使用、信息查閱、異議處理等方面出現(xiàn)了不合規(guī)的問題。雖然信用信息的合規(guī)問題引起了國家重視，但很多信息在采集、管理與使用等過程中，依舊還面臨著較大的安全風(fēng)險。為此應(yīng)進行不斷地調(diào)整與優(yōu)化，降低公民信用信息、企業(yè)信用信息的安全性與風(fēng)險性。

三、企業(yè)征信機構(gòu)的數(shù)據(jù)合規(guī)問題

1.企業(yè)內(nèi)控合規(guī)管理存在漏洞。當(dāng)前一些企業(yè)由于剛接入征信系統(tǒng)，對征信數(shù)據(jù)合規(guī)管理工作缺乏充分認(rèn)識。很多管理人員與業(yè)務(wù)人員不了解征信工作的概念，特別是對于系統(tǒng)數(shù)據(jù)處理流程、相關(guān)制度建設(shè)、安全管理等方面的內(nèi)容模糊不清。部分企業(yè)征信合規(guī)管理意識淡薄，對于內(nèi)控制度建設(shè)的重要性認(rèn)識不足，缺乏健全規(guī)范的內(nèi)控措施。甚至有的企業(yè)在內(nèi)控制度建設(shè)中還存在照搬其他企業(yè)的情況，沒有結(jié)合自身業(yè)務(wù)特點和發(fā)展完善內(nèi)控制度，導(dǎo)致很多企業(yè)內(nèi)部存在諸多漏洞。例如據(jù)四川省互聯(lián)網(wǎng)金融白皮書顯示，當(dāng)?shù)赜?0%的企業(yè)管理人員并未有金融行業(yè)從事經(jīng)驗，嚴(yán)重影響了企業(yè)的規(guī)范管理。另外在眾多小型機構(gòu)中，普遍還存在重業(yè)務(wù)、輕合規(guī)的情況。

2.征信合規(guī)體系處理模式不完善。我國傳統(tǒng)的征信合規(guī)體系主要是依靠《征信合規(guī)通知》與《征信業(yè)管理條例》的相關(guān)規(guī)定。這兩者都存在一定的不足，在信用信息的采集、整理、保存、加工以及各類金融活動中界定劃歸不明確。例如《征信業(yè)管理條例》中只規(guī)定了征信業(yè)務(wù)規(guī)則及監(jiān)督管理的內(nèi)容，并未明確提出構(gòu)建完善的征信合規(guī)體系的辦法，缺乏精細化的指引。而《征信合規(guī)通知》在內(nèi)容上也只是針對征信合規(guī)體系構(gòu)建的重要性、倡導(dǎo)自我糾察制度方面的教育，對于當(dāng)前機構(gòu)在個人信用信息、企業(yè)信用信息的收集與使用等方面規(guī)定較為粗淺。我國現(xiàn)有的征信合規(guī)體系缺乏對信用信息的類型區(qū)分。很多管理法規(guī)中都未針對征信機構(gòu)采集的信息劃分具體類型，導(dǎo)致信用信息的采集邊界無限擴張。如《征信業(yè)管理條例》“禁止機構(gòu)采集個人信仰、基因、指紋、血型、疾病史及法律禁止的其他個人信息”中的個人信息屬于何種類型，又或是在“企業(yè)信用信息的來源應(yīng)包括被采集對象、相關(guān)利益機構(gòu)、相關(guān)政府部門、企業(yè)信息機構(gòu)與個人”中缺乏對企業(yè)信息使用的規(guī)定，造成很多征信機構(gòu)難以判斷信息是否應(yīng)該被采集，既增加了系統(tǒng)負(fù)荷，也缺乏參考作用，更難保證信息的合規(guī)性。

3.征信機構(gòu)數(shù)據(jù)采集使用缺乏合規(guī)性。當(dāng)前很多企業(yè)缺乏對于數(shù)據(jù)采集使用合規(guī)性的認(rèn)識，并未按照法律規(guī)定及行業(yè)監(jiān)管要求進行業(yè)務(wù)合規(guī)性評估。首先，采集信用主體信息時，并未告知并取得信用主體的授權(quán)同意或授權(quán)形式不合法，沒有形成完整、合規(guī)的授權(quán)，甚至使用不正當(dāng)手段或從非法渠道采集數(shù)據(jù)信息，存在數(shù)據(jù)來源不合規(guī)的情況。其次，未按照約定用途、范圍、目的、方式使用數(shù)據(jù)信息。普遍認(rèn)為信用主體的資料應(yīng)被充分運用，例如用戶的身份證號碼、手機號碼、聯(lián)絡(luò)人號碼、聯(lián)絡(luò)人信息等都應(yīng)被挖掘使用，導(dǎo)致用戶信息的挖掘與使用中缺乏合規(guī)性。再其次，我國《民法典》、《征信業(yè)管理條例》沒有明確規(guī)定采集企業(yè)信用信息需要企業(yè)主體授權(quán)同意，但規(guī)定“征信機構(gòu)可以通過信息主體、企業(yè)交易對方、行業(yè)協(xié)會提供信息，政府有關(guān)部門依法已公開的信息，人民法院依法公布的判決、裁定等渠道，采集企業(yè)信息。征信機構(gòu)不得采集法律、行政法規(guī)禁止采集的企業(yè)信息”，而實踐中在企業(yè)征信數(shù)據(jù)采集、加工、處理及使用中并未進行充分甄別，導(dǎo)致用戶及非用戶的個人利益受到侵犯，嚴(yán)重影響了公民信息權(quán)益。

4.征信異議處理存在問題?，F(xiàn)階段很多小型金融企業(yè)的經(jīng)營穩(wěn)定性較差，再加上2019年以來的社會市場狀況，很多企業(yè)都面臨著倒閉風(fēng)險，特別是一些P2P機構(gòu)更是出現(xiàn)了集中清退的情況，而一旦機構(gòu)被清退，先前借款人的信用信息核實異議問題就出現(xiàn)了漏洞，很容易對公民主體的征信權(quán)益造成影響。首先，征信異議的處理本就擁有較高的難度，在出現(xiàn)信用詐騙情況時，一些小型機構(gòu)由于涉案金額較小，受害人提供的證據(jù)不充分等原因，在維護公民合法權(quán)益等方面存在較高的難度，或是在進行異地取證時存在反饋不及時的情況，徒增信用風(fēng)險。其次，很多小型金融機構(gòu)也難以充分發(fā)揮非現(xiàn)場監(jiān)管的職能，缺乏有效的風(fēng)險預(yù)警工作，例如很多從業(yè)人員在處理異議時存在相互推諉的現(xiàn)象，并未協(xié)同調(diào)查合作機構(gòu)，對于征信系統(tǒng)的運行與接入情況缺乏實時監(jiān)管，在異議問題出現(xiàn)后由于處理證據(jù)不及時等，造成了很大的信用風(fēng)險，降低了異議問題處理效率。

5.征信系統(tǒng)監(jiān)管制度存在紕漏。征信合規(guī)管理工作的目標(biāo)是督促征信機構(gòu)在合法、合規(guī)的范圍內(nèi)從事征信業(yè)務(wù)。為此征信系統(tǒng)監(jiān)管中應(yīng)注重督促性，而非濫用監(jiān)管制度，違反征信合規(guī)要求。特別是在我國《個人信息保護法》實施后，國家也專門明確了征信業(yè)務(wù)處理的專業(yè)性，但由于缺乏上層機關(guān)的宏觀指導(dǎo)，對于國家網(wǎng)絡(luò)信息治理缺乏認(rèn)知、監(jiān)管范圍無法深入基層。同時在面對跨境征信監(jiān)管工作中，我國缺乏有力的實質(zhì)性監(jiān)管措施，對跨境電商的合作造成了影響，更加難以保障跨境個人信息數(shù)據(jù)的傳輸工作的規(guī)范型及合規(guī)性。部分企業(yè)為了獲取更高的利益非法將公民個人信息向境外機構(gòu)販賣，從中賺取利益，也嚴(yán)重影響著我國的經(jīng)濟安全。因此，應(yīng)積極建立配套體系，強化監(jiān)管職能。

四、企業(yè)征信機構(gòu)數(shù)據(jù)合規(guī)管理的實踐措施

1.構(gòu)建征信合規(guī)監(jiān)管體系。征信機構(gòu)數(shù)據(jù)合規(guī)管理應(yīng)對整體工作流程進行監(jiān)管?！墩餍艠I(yè)管理條例》第四條第一款規(guī)定：中國人民銀行（以下稱國務(wù)院征信業(yè)監(jiān)督管理部門）及其派出機構(gòu)依法對征信業(yè)進行監(jiān)督管理。而我國履行個人信息保護職責(zé)的主要有國家網(wǎng)信部門、國務(wù)院有關(guān)部門及地方有關(guān)部門，共同形成了集中式監(jiān)管體制，其監(jiān)管主體包括人民銀行以及人民銀行的附屬機構(gòu)。這種宏觀方面的監(jiān)管雖然可以保證流程的專業(yè)性，但在細節(jié)調(diào)控方面卻容易產(chǎn)生漏洞，對于各地區(qū)的企業(yè)征信機構(gòu)監(jiān)管缺乏有效的指引，容易導(dǎo)致企業(yè)在理解方面產(chǎn)生偏差，影響著征信數(shù)據(jù)合規(guī)管理水平。為加強對數(shù)據(jù)風(fēng)險的預(yù)防，各企業(yè)應(yīng)對征信數(shù)據(jù)合規(guī)性管理工作具有明確認(rèn)知，落實征信管理法規(guī)，構(gòu)建起征信數(shù)據(jù)合規(guī)監(jiān)管的管理體系，將征信查詢系統(tǒng)、信息查詢、信息保存、數(shù)據(jù)對接等納入監(jiān)管范疇，對資料查詢及異議處理等進行規(guī)范，有關(guān)部門也應(yīng)對管理不完善的企業(yè)進行處罰，實現(xiàn)對征信體系的常態(tài)化、實時化監(jiān)管，有效提升宏觀管理體系對基層部門的監(jiān)管力度，強化整體監(jiān)管流程的合規(guī)性。

2.搭設(shè)公民與征信機構(gòu)的雙方面評價。我國《個人信息保護法》中預(yù)設(shè)了自動化決策體系，可通過計算機程序分析個人行為習(xí)慣、興趣愛好、信用狀況等進行決策活動。由于公民對于個人信息的把控力較弱，容易被征信機構(gòu)強行采集到信用信息，應(yīng)加強這種應(yīng)用場景下的合規(guī)監(jiān)管。首先，自動化決策場景是一種優(yōu)化征信信息處理的事先預(yù)防制度，可消除供公民認(rèn)知差異，避免遭受信息越界的影響。個人信息的決策中應(yīng)確保信息采集的透明度，相關(guān)部門應(yīng)確保個人信息不可被用于交易，確保算法的透明與公開，應(yīng)讓公民了解征信信息采集使用以及征信報告的制作流程，避免公民陷入到“自己被評測，卻難以反過來評測機構(gòu)”的局面，可通過信息系統(tǒng)在征信機構(gòu)官網(wǎng)等開設(shè)公民互動窗口，既可以讓公民進行評價，又可以確保征信系統(tǒng)得出的個人信用評價的公允性。其次，這種雙方面評價窗口公民還可以要求機構(gòu)對個人信息的使用情況加以說明，并有權(quán)利拒絕機構(gòu)通過軟件程序收集到某方面信息，賦予被采集者知情權(quán)，讓公民知曉個人信用信息的采集情況，提高對被采集者知情權(quán)的重視，充分保障被采集者的知情權(quán)益，從而通過社會力量提升征信機構(gòu)在信用信息采集與使用等過程中的合規(guī)性。

3.嚴(yán)格管控征信數(shù)據(jù)采集使用合規(guī)性。我國人民銀行發(fā)布的《征信業(yè)務(wù)管理辦法》對于征信數(shù)據(jù)的采集與使用等進行了明確規(guī)定，有關(guān)部門應(yīng)加強對市場中征信機構(gòu)數(shù)據(jù)的審核監(jiān)管。按照法律要求審查是否包含限制類采集信息、禁止類采集信息、敏感類采集信息等，如個人收入、存款、證券、不動產(chǎn)信息及聯(lián)系人相關(guān)信息等，還包括個人基因、指紋等信息。一旦發(fā)現(xiàn)該類信息流入市場，應(yīng)嚴(yán)厲打擊涉事企業(yè)，強化個人信息的保護及數(shù)據(jù)安全。同時還應(yīng)開展穿透式審核，直接追溯到數(shù)據(jù)源，對數(shù)據(jù)所有底層變量類型進行追查，了解數(shù)據(jù)采集來源的合規(guī)性，并建設(shè)全面的市場合規(guī)文化。

對于企業(yè)的信用信息需要從更多的方面進行評估，如對企業(yè)的注冊信息、財務(wù)報表、職工信息、銀行往來狀況、經(jīng)營者建立、企業(yè)發(fā)展史等。同樣，企業(yè)相比于個人也具有更多的優(yōu)勢，例如一些互聯(lián)網(wǎng)大企業(yè)、大數(shù)據(jù)公司等也會利用自身優(yōu)勢，參與到地方信用體系的構(gòu)建中。征信機構(gòu)在采集與使用企業(yè)的信用信息時，更應(yīng)站在平等互惠的角度，確保所收集到的數(shù)據(jù)能夠為企業(yè)信用評估作出幫助，同時收集信息應(yīng)得到企業(yè)的同意，在企業(yè)授權(quán)同意的情況下進行數(shù)據(jù)交換，或通過企業(yè)主動上傳的形式，確保數(shù)據(jù)的有效性與合規(guī)性。

4.完善跨境征信合規(guī)監(jiān)管?？缇痴餍藕弦?guī)性監(jiān)管是一項重要任務(wù)，可影響我國外經(jīng)貿(mào)的發(fā)展，也可以避免機構(gòu)收集的個人信息惡意泄露，出現(xiàn)損害公民合法權(quán)益的情況，因此全面保障公民個人信息的安全性。各個國家對于跨境征信的監(jiān)管做法不一，如歐盟直接限制了跨境信息流動，加強對個人信息的保護；美國則采用了以市場多頭監(jiān)管為主導(dǎo)，以行業(yè)自律為輔的監(jiān)管模式，通過多邊協(xié)議實現(xiàn)對個人信息的最大價值利用，二者存在著較大的差異與觀念。而我國在進行跨境征信合規(guī)管理的工作中，則應(yīng)注重公民個人權(quán)利的保障，應(yīng)檢查征信信息收集系統(tǒng)的合規(guī)性，確保個人信息收集滿足相關(guān)法律法規(guī)要求，還應(yīng)評估個人信息的真實性，并確保評估及傳輸行為的正當(dāng)性。另外，應(yīng)明確合規(guī)認(rèn)證的內(nèi)容，并對相關(guān)企業(yè)及機構(gòu)進行規(guī)范性管理，杜絕征信機構(gòu)作出損害公民權(quán)益的行為。

五、結(jié)語

信用信息關(guān)乎著社會生活的方方面面，為此企業(yè)征信機構(gòu)應(yīng)嚴(yán)格確保數(shù)據(jù)合規(guī)，做好合規(guī)性管理，應(yīng)構(gòu)建起征信合規(guī)監(jiān)管體系、優(yōu)化數(shù)據(jù)接入機制、提高數(shù)據(jù)信息質(zhì)量、強化非現(xiàn)場監(jiān)管、完善跨境征信合規(guī)監(jiān)管等措施，加大懲戒力度，確保信用信息的安全性與合規(guī)性。

（作者單位：甘肅合睿律師事務(wù)所）