征信业与信息安全如何协调发展
我国征信业从20世纪90年代信贷征信起步,先后经历了由企业征信到个人征信的市场化萌芽阶段、央行主导征信业快速发展阶段、《征信业管理条例》(以下简称《条例》)颁布实施后的逐渐规范发展阶段。在征信业发展的不同阶段,促进征信业发展与信息主体权益保护的相对重要性不同,对信息主体权益保护的权衡取舍也有变化。征信克服了由于信息不对称所带来的效率损失,但也对信息主体权益保护提出了新的挑战。
来源:《中国征信》 作者:葛鹏,人民银行辽宁省盘锦市中心支行。
我国征信业从20世纪90年代信贷征信起步,先后经历了由企业征信到个人征信的市场化萌芽阶段、央行主导征信业快速发展阶段、《征信业管理条例》(以下简称《条例》)颁布实施后的逐渐规范发展阶段。在征信业发展的不同阶段,促进征信业发展与信息主体权益保护的相对重要性不同,对信息主体权益保护的权衡取舍也有变化。征信克服了由于信息不对称所带来的效率损失,但也对信息主体权益保护提出了新的挑战。
征信业发展与信息主体权益保护协调存在的问题
体制因素
《条例》明确了人民银行及其分支机构履行监督管理征信业的法律地位,促进征信业的发展责无旁贷。同时,《条例》也规定金融信用信息基础数据库由专业运行机构建设、运行和维护,并明确了该运行机构的业务规则、法律责任和人民银行对其的监督管理职责,实践中,虽然在人民银行总行层面,征信管理局与征信中心实现了机构、人员、工作职能的分离,但在人民银行分支机构层面,征信管理部门与征信分中心实际并未分离,即同一机构、相同人员既要承担管理征信业、促进征信市场发展的责任,又要承担建设征信系统、维护信息主体权益的义务,两个目标之间有时会存在冲突。“裁判员”和“运动员”的双重身份,不仅会影响监管的公正性,也难取得社会公众的信服,不利于发展征信业与保护信息主体权益目标的实现。
监管层面因素
信息主体权益保护面临多头监管,过度保护与保护缺失并存。信用信息的准确性、完整性、及时性是征信业发展的关键,也是信息主体权益保护的重要内容。信用信息广泛分布于工商、税务、质检、海关、环保、银证保等多个部门,各职能部门在相应的权限范围内履行着保护信息主体权益的职责,也都下设了金融消费者权益保护部门。目前,各部门信息并未实现共享,这些信用信息在向第三方征信机构提供时,通常受到了严格的约束,制约了征信业的快速发展,对信息主体权益也是一种损害。人民银行主导征信业快速发展阶段,为了进一步扩充征信系统信息数量,更加准确全面反映信息主体信用状况,维护信息主体权益,开展了非银行信用信息采集工作,但难度很大,效果不明显。随着征信体系的不断发展,纳入征信系统的信息范围不断扩展,但由于电信、公用事业等部门只是协助提供信用信息,没有提供信息的法定义务,对信息的查询使用也并非十分必要,当其作为信息提供者和使用者违反《条例》规定时,人民银行分支机构履行监管职能的有效性存疑。
操作层面因素
相关规定不明确,配套措施未能及时跟进。《条例》将“规范征信活动,保护当事人合法权益,引导、促进征信业健康发展”作为主要目的予以明确,对征信机构、征信业务活动进行规范,也对个人信息主体权益保护提出了更高的要求。但是《条例》作为效力层次较高的行政法规,原则性较强,相关配套措施未能及时跟进,导致个人信息主体权益保护执行困难。比如,在知情权方面,《条例》规定了报送不良信息要提前告知信息主体,但对于告知的方式、内容、告知证据的保存期限等均未做规定,缺乏统一标准。信息提供者往往选择对自身最有利的方式,如在发送催款通知时附带履行不良信息报送的提前告知义务,损害了信息主体权益。在同意权方面,《条例》规定了采集信息主体信用信息和提供信息主体信贷信息需要取得信息主体本人同意,但是对于授权的获取方式、授权期限、授权的适用范围等不明确。实践中,大多数商业银行要求信息主体对于相关信贷信息进行一揽子授权,甚至要求信息主体授权向特定的第三方,如银行的集团成员、全资子公司外包作业机构等进行提供。由于个人在商业银行办理业务时相对来说处于弱势地位,对这些格式条款缺乏相应的修改权或拒绝权,一定程度上容易造成对个人信用信息的过度披露,不符合《条例》强化个人信息保护的原则。
外部因素
互联网和大数据技术拓展了征信业的发展空间,也提高了个人信息主体权益保护的难度。互联网经济金融与大数据技术的蓬勃发展催生了对网络征信的需求,也对信息采集、处理、产品加工等一系列征信活动的产生了深远的影响。根据中国互联网络信息中心发布的《2016年中国网民信息安全状况研究报告》显示,我国信息安全状况不容乐观,有84.8%的网民遇到过信息安全事件。另有数据显示,我国互联网个人信息泄露日益严重,近八成的个人信息泄露源自信息所有机构的内部。此外,互联网上很多信息并非信息主体自愿上传,尤其是行为数据,移动互联网的迅速发展,更是让信息主体的个人信息随时随地被采集、存储和应用,信息主体对此既不知情也无法控制。有些网络服务虽然需要签署服务协议,但协议冗长,用户很难真正了解。采集的数据并不限于单一目的,很多数据在收集很久后会发掘新的应用,无法提前预知,在签署协议时无法对后续的信息使用提供授权,信息主体很难跟踪监测个人信息的流动与使用情况。因此,互联网背景下信息主体知情权、隐私权、同意权等都面临着严峻挑战。
征信业发展与信息主体权益保护协调的政策建议
建立多层次的征信法律法规体系
法律层面,推动出台《社会信用促进法》和《个人信息保护法》,指导信用促进行为,明确个人信息保护的法律性质、立法宗旨、基本原则、信息主体对本人信息享有的权利、侵犯个人信息权利的救济等内容,规范信息收集使用,合理平衡信息主体权益保护与征信业发展的问题。行政法规层面,研究制定《信息安全条例》、《政务信用信息管理条例》,加强信息安全管理,规范信用信息公开和应用,为征信机构依法采集相关信息提供保障。部门规章层面,应在《征信业管理条例》框架下,抓紧研究制定《企业和个人征信业务管理办法》、《个人征信信息保护暂行规定》等配套措施,对相关问题进行明确。如明确信息提供者履行不良信息告知义务的具体事项和信息提供者获取信息主体授权法人形式及效力,严格规定信息使用者向第三方转提供个人信息的程序性要求,细化人民银行受理和处理征信投诉的规程等。
理顺人行、政府和行业关系,各司其职
目前,人民银行分支机构征信监管和征信运营双重角色的体制难题,不利于征信业发展和信息主体权益保护。建议将征信中心从省级分中心分离,实行独立于人民银行运营,接受人民银行及分支机构的监督管理,改变当前人民银行分支机构身兼“裁判员”与“运动员”双重角色的现状,确保分支机构切实履行《条例》赋予的征信监督管理职责,提高执法的独立性。地方政府和行业应按照《条例》要求,在征信体系建设中各司其职。要大力推动行业信用体系建设,同时,要在征信基础领域、技术领域、业务领域加快标准化建设,为未来的系统互联和信息资源共享奠定技术基础。
推动信息共享,建立信息采集和更新保障机制
信息开放与共享是征信业发展的基础,也是全面反映信息主体信用状况的要求。一是在社会信用体系建设大框架下,加强行业、地方信用信息系统建设的统筹协调,针对各地区、各部门、各单位的信用信息进行整合,形成统一平台,尤其要有针对性的加强各领域的信用信息系统建设,建立健全信用档案。可率先将信贷征信体系作为切入点,以人民银行征信系统为核心,建立包括证券、保险以及外汇等信息的金融业统一征信平台。二是将政务信息公开落到实处,依法确定各部门信用信息公开范围、内容和具体方式,以保护信息安全和信息主体权益的基础上,为征信机构合理采集和使用信息资源创造条件。三是在互联网征信领域,建议由“百行征信股份有限公司”牵头制定互联网行业征信标准,统一数据采集、信用报告格式规范、征信服务等关键标准的内容,并通过互联网金融行业发展实践修订完善标准体系,先实现互联网金融全行业征信信息共享。四是依托征信系统,探索建立与各部门的链接关系,保障数据的准确性,并实现与数据源部门数据的适时更新,提高信用信息采集更新和应用效率。