馬玉萍

當前我國對征信工作高度重視，并落實了《個人信息保護法》、《征信業(yè)務管理辦法》、《企業(yè)信用信息采集、處理和提供規(guī)范》等制度，規(guī)定了公民個人及企業(yè)信用信息保護的相關內容，為依法采集、使用信用信息提供了指引。但很多征信企業(yè)在數(shù)據(jù)采集、使用等業(yè)務開張過程中，存在諸多合規(guī)問題，影響了征信行業(yè)的健康持續(xù)發(fā)展。為此應加強信息主體權益保護、強化風險管理理念，提升數(shù)據(jù)合規(guī)管理水平。

一、企業(yè)征信機構數(shù)據(jù)合規(guī)管理的意義

征信作為金融體系的重要成分，能夠運用大數(shù)據(jù)技術構建出征信模型，并對信用主體如個人與企業(yè)等信息進行采集、分析、整合與挖掘，多維度地刻畫信用主體的信用情況，形成一定的信用評價，實現(xiàn)對貸前、貸中與貸后的風險預測與管理，多方面反映出信用主體的履約能力。開展企業(yè)征信機構數(shù)據(jù)合規(guī)管理工作可以確保征信行業(yè)的健康發(fā)展，避免由于接入機構的內控制度不健全、人員管理不完善、技術手段不先進等問題造成信息泄露，確保征信市場的健康化、可持續(xù)化。而當前我國法律框架的數(shù)據(jù)權屬及權利范圍還缺乏明確的界定，為此就應加強對征信業(yè)務開展的合法合規(guī)性監(jiān)督，避免接入機構違規(guī)操作所引發(fā)的侵權案件，確保公民信息的安全性，為社會群眾提供一個放心的征信監(jiān)管環(huán)境，解決人民利益問題。

二、企業(yè)征信機構數(shù)據(jù)合規(guī)的現(xiàn)狀

我國對征信機構數(shù)據(jù)合規(guī)性的監(jiān)管起步較晚，相較于一些西方發(fā)達國家，如美國的市場多頭監(jiān)管、歐洲的一元化監(jiān)管、日本的政府監(jiān)管模式等。我國在征信法律法規(guī)方面還較為不足，如在制定信用數(shù)據(jù)采集計劃、確定采集數(shù)據(jù)類型、采集方式及適用性等方面缺乏合規(guī)性，甚至出現(xiàn)了金融信用機構以營利為目的，向其他機構出售個人及企業(yè)信息的情況。我國在行業(yè)法規(guī)監(jiān)管方面的空白，也讓很多企業(yè)在內控制度、數(shù)據(jù)報備、用戶信息收集、管理使用、信息查閱、異議處理等方面出現(xiàn)了不合規(guī)的問題。雖然信用信息的合規(guī)問題引起了國家重視，但很多信息在采集、管理與使用等過程中，依舊還面臨著較大的安全風險。為此應進行不斷地調整與優(yōu)化，降低公民信用信息、企業(yè)信用信息的安全性與風險性。

三、企業(yè)征信機構的數(shù)據(jù)合規(guī)問題

1.企業(yè)內控合規(guī)管理存在漏洞。當前一些企業(yè)由于剛接入征信系統(tǒng)，對征信數(shù)據(jù)合規(guī)管理工作缺乏充分認識。很多管理人員與業(yè)務人員不了解征信工作的概念，特別是對于系統(tǒng)數(shù)據(jù)處理流程、相關制度建設、安全管理等方面的內容模糊不清。部分企業(yè)征信合規(guī)管理意識淡薄，對于內控制度建設的重要性認識不足，缺乏健全規(guī)范的內控措施。甚至有的企業(yè)在內控制度建設中還存在照搬其他企業(yè)的情況，沒有結合自身業(yè)務特點和發(fā)展完善內控制度，導致很多企業(yè)內部存在諸多漏洞。例如據(jù)四川省互聯(lián)網金融白皮書顯示，當?shù)赜?0%的企業(yè)管理人員并未有金融行業(yè)從事經驗，嚴重影響了企業(yè)的規(guī)范管理。另外在眾多小型機構中，普遍還存在重業(yè)務、輕合規(guī)的情況。

2.征信合規(guī)體系處理模式不完善。我國傳統(tǒng)的征信合規(guī)體系主要是依靠《征信合規(guī)通知》與《征信業(yè)管理條例》的相關規(guī)定。這兩者都存在一定的不足，在信用信息的采集、整理、保存、加工以及各類金融活動中界定劃歸不明確。例如《征信業(yè)管理條例》中只規(guī)定了征信業(yè)務規(guī)則及監(jiān)督管理的內容，并未明確提出構建完善的征信合規(guī)體系的辦法，缺乏精細化的指引。而《征信合規(guī)通知》在內容上也只是針對征信合規(guī)體系構建的重要性、倡導自我糾察制度方面的教育，對于當前機構在個人信用信息、企業(yè)信用信息的收集與使用等方面規(guī)定較為粗淺。我國現(xiàn)有的征信合規(guī)體系缺乏對信用信息的類型區(qū)分。很多管理法規(guī)中都未針對征信機構采集的信息劃分具體類型，導致信用信息的采集邊界無限擴張。如《征信業(yè)管理條例》“禁止機構采集個人信仰、基因、指紋、血型、疾病史及法律禁止的其他個人信息”中的個人信息屬于何種類型，又或是在“企業(yè)信用信息的來源應包括被采集對象、相關利益機構、相關政府部門、企業(yè)信息機構與個人”中缺乏對企業(yè)信息使用的規(guī)定，造成很多征信機構難以判斷信息是否應該被采集，既增加了系統(tǒng)負荷，也缺乏參考作用，更難保證信息的合規(guī)性。

3.征信機構數(shù)據(jù)采集使用缺乏合規(guī)性。當前很多企業(yè)缺乏對于數(shù)據(jù)采集使用合規(guī)性的認識，并未按照法律規(guī)定及行業(yè)監(jiān)管要求進行業(yè)務合規(guī)性評估。首先，采集信用主體信息時，并未告知并取得信用主體的授權同意或授權形式不合法，沒有形成完整、合規(guī)的授權，甚至使用不正當手段或從非法渠道采集數(shù)據(jù)信息，存在數(shù)據(jù)來源不合規(guī)的情況。其次，未按照約定用途、范圍、目的、方式使用數(shù)據(jù)信息。普遍認為信用主體的資料應被充分運用，例如用戶的身份證號碼、手機號碼、聯(lián)絡人號碼、聯(lián)絡人信息等都應被挖掘使用，導致用戶信息的挖掘與使用中缺乏合規(guī)性。再其次，我國《民法典》、《征信業(yè)管理條例》沒有明確規(guī)定采集企業(yè)信用信息需要企業(yè)主體授權同意，但規(guī)定“征信機構可以通過信息主體、企業(yè)交易對方、行業(yè)協(xié)會提供信息，政府有關部門依法已公開的信息，人民法院依法公布的判決、裁定等渠道，采集企業(yè)信息。征信機構不得采集法律、行政法規(guī)禁止采集的企業(yè)信息”，而實踐中在企業(yè)征信數(shù)據(jù)采集、加工、處理及使用中并未進行充分甄別，導致用戶及非用戶的個人利益受到侵犯，嚴重影響了公民信息權益。

4.征信異議處理存在問題?，F(xiàn)階段很多小型金融企業(yè)的經營穩(wěn)定性較差，再加上2019年以來的社會市場狀況，很多企業(yè)都面臨著倒閉風險，特別是一些P2P機構更是出現(xiàn)了集中清退的情況，而一旦機構被清退，先前借款人的信用信息核實異議問題就出現(xiàn)了漏洞，很容易對公民主體的征信權益造成影響。首先，征信異議的處理本就擁有較高的難度，在出現(xiàn)信用詐騙情況時，一些小型機構由于涉案金額較小，受害人提供的證據(jù)不充分等原因，在維護公民合法權益等方面存在較高的難度，或是在進行異地取證時存在反饋不及時的情況，徒增信用風險。其次，很多小型金融機構也難以充分發(fā)揮非現(xiàn)場監(jiān)管的職能，缺乏有效的風險預警工作，例如很多從業(yè)人員在處理異議時存在相互推諉的現(xiàn)象，并未協(xié)同調查合作機構，對于征信系統(tǒng)的運行與接入情況缺乏實時監(jiān)管，在異議問題出現(xiàn)后由于處理證據(jù)不及時等，造成了很大的信用風險，降低了異議問題處理效率。

5.征信系統(tǒng)監(jiān)管制度存在紕漏。征信合規(guī)管理工作的目標是督促征信機構在合法、合規(guī)的范圍內從事征信業(yè)務。為此征信系統(tǒng)監(jiān)管中應注重督促性，而非濫用監(jiān)管制度，違反征信合規(guī)要求。特別是在我國《個人信息保護法》實施后，國家也專門明確了征信業(yè)務處理的專業(yè)性，但由于缺乏上層機關的宏觀指導，對于國家網絡信息治理缺乏認知、監(jiān)管范圍無法深入基層。同時在面對跨境征信監(jiān)管工作中，我國缺乏有力的實質性監(jiān)管措施，對跨境電商的合作造成了影響，更加難以保障跨境個人信息數(shù)據(jù)的傳輸工作的規(guī)范型及合規(guī)性。部分企業(yè)為了獲取更高的利益非法將公民個人信息向境外機構販賣，從中賺取利益，也嚴重影響著我國的經濟安全。因此，應積極建立配套體系，強化監(jiān)管職能。

四、企業(yè)征信機構數(shù)據(jù)合規(guī)管理的實踐措施

1.構建征信合規(guī)監(jiān)管體系。征信機構數(shù)據(jù)合規(guī)管理應對整體工作流程進行監(jiān)管?！墩餍艠I(yè)管理條例》第四條第一款規(guī)定：中國人民銀行（以下稱國務院征信業(yè)監(jiān)督管理部門）及其派出機構依法對征信業(yè)進行監(jiān)督管理。而我國履行個人信息保護職責的主要有國家網信部門、國務院有關部門及地方有關部門，共同形成了集中式監(jiān)管體制，其監(jiān)管主體包括人民銀行以及人民銀行的附屬機構。這種宏觀方面的監(jiān)管雖然可以保證流程的專業(yè)性，但在細節(jié)調控方面卻容易產生漏洞，對于各地區(qū)的企業(yè)征信機構監(jiān)管缺乏有效的指引，容易導致企業(yè)在理解方面產生偏差，影響著征信數(shù)據(jù)合規(guī)管理水平。為加強對數(shù)據(jù)風險的預防，各企業(yè)應對征信數(shù)據(jù)合規(guī)性管理工作具有明確認知，落實征信管理法規(guī)，構建起征信數(shù)據(jù)合規(guī)監(jiān)管的管理體系，將征信查詢系統(tǒng)、信息查詢、信息保存、數(shù)據(jù)對接等納入監(jiān)管范疇，對資料查詢及異議處理等進行規(guī)范，有關部門也應對管理不完善的企業(yè)進行處罰，實現(xiàn)對征信體系的常態(tài)化、實時化監(jiān)管，有效提升宏觀管理體系對基層部門的監(jiān)管力度，強化整體監(jiān)管流程的合規(guī)性。

2.搭設公民與征信機構的雙方面評價。我國《個人信息保護法》中預設了自動化決策體系，可通過計算機程序分析個人行為習慣、興趣愛好、信用狀況等進行決策活動。由于公民對于個人信息的把控力較弱，容易被征信機構強行采集到信用信息，應加強這種應用場景下的合規(guī)監(jiān)管。首先，自動化決策場景是一種優(yōu)化征信信息處理的事先預防制度，可消除供公民認知差異，避免遭受信息越界的影響。個人信息的決策中應確保信息采集的透明度，相關部門應確保個人信息不可被用于交易，確保算法的透明與公開，應讓公民了解征信信息采集使用以及征信報告的制作流程，避免公民陷入到“自己被評測，卻難以反過來評測機構”的局面，可通過信息系統(tǒng)在征信機構官網等開設公民互動窗口，既可以讓公民進行評價，又可以確保征信系統(tǒng)得出的個人信用評價的公允性。其次，這種雙方面評價窗口公民還可以要求機構對個人信息的使用情況加以說明，并有權利拒絕機構通過軟件程序收集到某方面信息，賦予被采集者知情權，讓公民知曉個人信用信息的采集情況，提高對被采集者知情權的重視，充分保障被采集者的知情權益，從而通過社會力量提升征信機構在信用信息采集與使用等過程中的合規(guī)性。

3.嚴格管控征信數(shù)據(jù)采集使用合規(guī)性。我國人民銀行發(fā)布的《征信業(yè)務管理辦法》對于征信數(shù)據(jù)的采集與使用等進行了明確規(guī)定，有關部門應加強對市場中征信機構數(shù)據(jù)的審核監(jiān)管。按照法律要求審查是否包含限制類采集信息、禁止類采集信息、敏感類采集信息等，如個人收入、存款、證券、不動產信息及聯(lián)系人相關信息等，還包括個人基因、指紋等信息。一旦發(fā)現(xiàn)該類信息流入市場，應嚴厲打擊涉事企業(yè)，強化個人信息的保護及數(shù)據(jù)安全。同時還應開展穿透式審核，直接追溯到數(shù)據(jù)源，對數(shù)據(jù)所有底層變量類型進行追查，了解數(shù)據(jù)采集來源的合規(guī)性，并建設全面的市場合規(guī)文化。

對于企業(yè)的信用信息需要從更多的方面進行評估，如對企業(yè)的注冊信息、財務報表、職工信息、銀行往來狀況、經營者建立、企業(yè)發(fā)展史等。同樣，企業(yè)相比于個人也具有更多的優(yōu)勢，例如一些互聯(lián)網大企業(yè)、大數(shù)據(jù)公司等也會利用自身優(yōu)勢，參與到地方信用體系的構建中。征信機構在采集與使用企業(yè)的信用信息時，更應站在平等互惠的角度，確保所收集到的數(shù)據(jù)能夠為企業(yè)信用評估作出幫助，同時收集信息應得到企業(yè)的同意，在企業(yè)授權同意的情況下進行數(shù)據(jù)交換，或通過企業(yè)主動上傳的形式，確保數(shù)據(jù)的有效性與合規(guī)性。

4.完善跨境征信合規(guī)監(jiān)管?？缇痴餍藕弦?guī)性監(jiān)管是一項重要任務，可影響我國外經貿的發(fā)展，也可以避免機構收集的個人信息惡意泄露，出現(xiàn)損害公民合法權益的情況，因此全面保障公民個人信息的安全性。各個國家對于跨境征信的監(jiān)管做法不一，如歐盟直接限制了跨境信息流動，加強對個人信息的保護；美國則采用了以市場多頭監(jiān)管為主導，以行業(yè)自律為輔的監(jiān)管模式，通過多邊協(xié)議實現(xiàn)對個人信息的最大價值利用，二者存在著較大的差異與觀念。而我國在進行跨境征信合規(guī)管理的工作中，則應注重公民個人權利的保障，應檢查征信信息收集系統(tǒng)的合規(guī)性，確保個人信息收集滿足相關法律法規(guī)要求，還應評估個人信息的真實性，并確保評估及傳輸行為的正當性。另外，應明確合規(guī)認證的內容，并對相關企業(yè)及機構進行規(guī)范性管理，杜絕征信機構作出損害公民權益的行為。

五、結語

信用信息關乎著社會生活的方方面面，為此企業(yè)征信機構應嚴格確保數(shù)據(jù)合規(guī)，做好合規(guī)性管理，應構建起征信合規(guī)監(jiān)管體系、優(yōu)化數(shù)據(jù)接入機制、提高數(shù)據(jù)信息質量、強化非現(xiàn)場監(jiān)管、完善跨境征信合規(guī)監(jiān)管等措施，加大懲戒力度，確保信用信息的安全性與合規(guī)性。

（作者單位：甘肅合睿律師事務所）