每經編輯 畢陸名
9月30日����,據中國人民銀行官網消息��,《征信業務管理辦法》已經2021年9月17日中國人民銀行2021年第9次行務會議審議通過�����,現予發布�����,自2022年1月1日起施行�。
辦法稱,征信機構采集個人信用信息應當經信息主體本人同意�����,并且明確告知信息主體采集信用信息的目的。依照法律法規公開的信息除外�����;
征信機構經營個人征信業務���,應當制定采集個人信用信息的方案�,并就采集的數據項�、信息來源、采集方式����、信息主體合法權益保護制度等事項及其變化向中國人民銀行報告��;
金融機構違反本辦法第五條規定�����,與未取得合法征信業務資質的市場機構開展商業合作獲取征信服務的����,由中國人民銀行及其分支機構責令改正,對單位處3萬元以下罰款����,對直接負責的主管人員處1000元以下罰款���。
全文如下:
征信業務管理辦法
第一章總則
第一條為了規范征信業務及其相關活動,保護信息主體合法權益��,促進征信業健康發展���,推進社會信用體系建設��,根據《中華人民共和國中國人民銀行法》《中華人民共和國個人信息保護法》《征信業管理條例》等法律法規�����,制定本辦法����。
第二條在中華人民共和國境內�����,對法人和非法人組織(以下統稱企業)��、個人開展征信業務及其相關活動的�,適用本辦法�。
第三條本辦法所稱征信業務�,是指對企業和個人的信用信息進行采集、整理�、保存、加工����,并向信息使用者提供的活動。
本辦法所稱信用信息��,是指依法采集���,為金融等活動提供服務�,用于識別判斷企業和個人信用狀況的基本信息����、借貸信息����、其他相關信息,以及基于前述信息形成的分析評價信息�����。
第四條從事個人征信業務的,應當依法取得中國人民銀行個人征信機構許可�;從事企業征信業務的,應當依法辦理企業征信機構備案���;從事信用評級業務的�����,應當依法辦理信用評級機構備案�����。
第五條金融機構不得與未取得合法征信業務資質的市場機構開展商業合作獲取征信服務�。
本辦法所稱金融機構�,是指國務院金融管理部門監督管理的從事金融業務的機構。
地方金融監管部門負責監督管理的地方金融組織適用本辦法關于金融機構的規定�。
第六條從事征信業務及其相關活動,應當保護信息主體合法權益���,保障信息安全����,防范信用信息泄露���、丟失���、毀損或者被濫用����,不得危害國家秘密�����,不得侵犯個人隱私和商業秘密��。
從事征信業務及其相關活動�,應當遵循獨立、客觀�����、公正的原則��,不得違反法律法規的規定���,不得違反社會公序良俗。
第二章信用信息采集
第七條采集個人信用信息����,應當采取合法��、正當的方式�����,遵循最小��、必要的原則�,不得過度采集����。
第八條征信機構不得以下列方式采集信用信息:
(一)欺騙、脅迫�、誘導;
(二)向信息主體收費�;
(三)從非法渠道采集;
(四)以其他侵害信息主體合法權益的方式��。
第九條信息提供者向征信機構提供信用信息的�,征信機構應當制定相關制度,對信息提供者的信息來源�����、信息質量、信息安全�����、信息主體授權等進行必要的審查���。
第十條征信機構與信息提供者在開辦業務及合作中應當遵守《中華人民共和國個人信息保護法》等法律法規�,通過協議等形式明確信息采集的原則以及各自在獲得客戶同意�����、信息采集�、加工處理、信息更正����、異議處理、信息安全等方面的權利義務和責任��。
第十一條征信機構經營個人征信業務�����,應當制定采集個人信用信息的方案��,并就采集的數據項�、信息來源、采集方式�、信息主體合法權益保護制度等事項及其變化向中國人民銀行報告。
第十二條征信機構采集個人信用信息應當經信息主體本人同意���,并且明確告知信息主體采集信用信息的目的�。依照法律法規公開的信息除外��。
第十三條征信機構通過信息提供者取得個人同意的��,信息提供者應當向信息主體履行告知義務��。
第十四條個人征信機構應當將與其合作�����,進行個人信用信息采集���、整理�����、加工和分析的信息提供者��,向中國人民銀行報告���。
個人征信機構應當規范與信息提供者的合作協議內容����。信息提供者應當就個人信用信息處理事項接受個人征信機構的風險評估和中國人民銀行的情況核實����。
第十五條采集企業信用信息,應當基于合法的目的��,不得侵犯商業秘密。
第三章信用信息整理、保存�、加工
第十六條征信機構整理����、保存�、加工信用信息,應當遵循客觀性原則��,不得篡改原始信息��。
第十七條征信機構應當采取措施,提高征信系統信息的準確性��,保障信息質量����。
第十八條征信機構在整理�、保存、加工信用信息過程中發現信息錯誤的�,如屬于信息提供者報送錯誤的,應當及時通知信息提供者更正����;如屬于內部處理錯誤的,應當及時更正���,并優化信用信息內部處理流程����。
第十九條征信機構應當對來自不同信息提供者的信息進行比對����,發現信息不一致的,及時進行核查和處理����。
第二十條征信機構采集的個人不良信息的保存期限��,自不良行為或者事件終止之日起為5年�。
個人不良信息保存期限屆滿��,征信機構應當將個人不良信息在對外服務和應用中刪除���;作為樣本數據的��,應當進行匿名化處理����。
第四章信用信息提供�����、使用
第二十一條征信機構對外提供征信產品和服務�,應當遵循公平性原則,不得設置不合理的商業條件限制不同的信息使用者使用�,不得利用優勢地位提供歧視性或者排他性的產品和服務。
第二十二條征信機構應當采取適當的措施�����,對信息使用者的身份、業務資質�、使用目的等進行必要的審查。
征信機構應當對信息使用者接入征信系統的網絡和系統安全�����、合規性管理措施進行評估��,對查詢行為進行監測�����。發現安全隱患或者異常行為的����,及時核查��;發現違法違規行為的�,停止提供服務。
第二十三條信息使用者應當采取必要的措施�����,保障查詢個人信用信息時取得信息主體的同意���,并且按照約定用途使用個人信用信息����。
第二十四條信息使用者使用征信機構提供的信用信息,應當基于合法����、正當的目的,不得濫用信用信息���。
第二十五條個人信息主體有權每年兩次免費獲取本人的信用報告���,征信機構可以通過互聯網查詢、營業場所查詢等多種方式為個人信息主體提供信用報告查詢服務��。
第二十六條信息主體認為信息存在錯誤�����、遺漏的��,有權向征信機構或者信息提供者提出異議����;認為侵害自身合法權益的����,可以向所在地中國人民銀行分支機構投訴���。對異議和投訴按照《征信業管理條例》及相關規定辦理��。
第二十七條征信機構不得以刪除不良信息或者不采集不良信息為由��,向信息主體收取費用���。
第二十八條征信機構提供信用報告等信用信息查詢產品和服務的,應當客觀展示查詢的信用信息內容��,并對查詢的信用信息內容及專業名詞進行解釋說明���。
信息主體有權要求征信機構在信用報告中添加異議標注和聲明。
第二十九條征信機構提供畫像�����、評分���、評級等信用評價類產品和服務的����,應當建立評價標準,不得將與信息主體信用無關的要素作為評價標準����。
征信機構正式對外提供信用評價類產品和服務前,應當履行必要的內部測試和評估驗證程序�����,使評價規則可解釋����、信息來源可追溯。
征信機構提供經濟主體或者債務融資工具信用評級產品和服務的���,應當按照《信用評級業管理暫行辦法》(中國人民銀行發展改革委財政部證監會令〔2019〕第5號發布)等相關規定開展業務����。
第三十條征信機構提供信用反欺詐產品和服務的����,應當建立欺詐信用信息的認定標準。
第三十一條征信機構提供信用信息查詢、信用評價類����、信用反欺詐產品和服務,應當向中國人民銀行或其省會(首府)城市中心支行以上分支機構報告下列事項:
(一)信用報告的模板及內容�����;
(二)信用評價類產品和服務的評價方法�����、模型�、主要維度要素;
(三)信用反欺詐產品和服務的數據來源�����、欺詐信用信息認定標準�。
第三十二條征信機構不得從事下列活動:
(一)對信用評價結果進行承諾����;
(二)使用對信用評價結果有暗示性的內容宣傳產品和服務;
(三)未經政府部門或者行業協會同意����,假借其名義進行市場推廣���;
(四)以脅迫、欺騙����、誘導的方式向信息主體或者信息使用者提供征信產品和服務;
(五)對征信產品和服務進行虛假宣傳���;
(六)提供其他影響征信業務客觀公正性的征信產品和服務�����。
第五章信用信息安全
第三十三條征信機構應當落實網絡安全等級保護制度���,制定涉及業務活動和設備設施的安全管理制度,采取有效保護措施�,保障征信系統的安全。
第三十四條個人征信機構���、保存或者處理100萬戶以上企業信用信息的企業征信機構�,應當符合下列要求:
(一)核心業務信息系統網絡安全保護等級具備三級或者三級以上安全保護能力��;
(二)設立信息安全負責人和個人信息保護負責人,由公司章程規定的高級管理人員擔任��;
(三)設立專職部門����,負責信息安全和個人信息保護工作,定期檢查征信業務����、系統安全、個人信息保護制度措施執行情況��。
第三十五條征信機構應當保障征信系統運行設施設備����、安全控制設施設備以及互聯網應用程序的安全,做好征信系統日常運維管理�����,保障系統物理安全�、通信網絡安全、區域邊界安全���、計算環境安全����、管理中心安全等���,防范征信系統受到非法入侵和破壞����。
第三十六條征信機構應當在人員錄用����、離崗、考核��、安全教育�、培訓和外部人員訪問管理等方面做好人員安全管理工作。
第三十七條征信機構應當嚴格限定公司內部查詢和獲取信用信息的工作人員的權限和范圍���。
征信機構應當留存工作人員查詢�����、獲取信用信息的操作記錄��,明確記載工作人員查詢和獲取信用信息的時間�����、方式��、內容及用途�。
第三十八條征信機構應當建立應急處置制度,在發生或者有可能發生信用信息泄露等事件時����,立即采取必要措施降低危害,并及時向中國人民銀行及其省會(首府)城市中心支行以上分支機構報告���。
第三十九條征信機構在中華人民共和國境內開展征信業務及其相關活動����,采集的企業信用信息和個人信用信息應當存儲在中華人民共和國境內����。
第四十條征信機構向境外提供個人信用信息,應當符合法律法規的規定���。
征信機構向境外信息使用者提供企業信用信息查詢產品和服務�,應當對信息使用者的身份�����、信用信息用途進行必要的審查�����,確保信用信息用于跨境貿易����、投融資等合理用途,不得危害國家安全��。
第四十一條征信機構與境外征信機構合作的�����,應當在合作協議簽署后���、業務開展前將合作協議報告中國人民銀行�����。
第六章監督管理
第四十二條征信機構應當將下列事項向社會公開����,接受社會監督:
(一)采集的信用信息類別;
(二)信用報告的基本格式內容�;
(三)異議處理流程;
(四)中國人民銀行認為需要公開的其他事項��。
第四十三條個人征信機構應當每年對自身個人征信業務遵守《中華人民共和國個人信息保護法》《征信業管理條例》的情況進行合規審計�����,并將合規審計報告及時報告中國人民銀行��。
第四十四條中國人民銀行及其省會(首府)城市中心支行以上分支機構對征信機構的下列事項進行監督檢查:
(一)征信內控制度建設�����,包括各項制度和相關規程的齊備性���、合規性和可操作性等�����;
(二)征信業務合規經營情況��,包括采集信用信息��、對外提供和使用信用信息�、異議與投訴處理、用戶管理��、其他事項合規性等�����;
(三)征信系統安全情況��,包括信息技術制度�����、安全管理��、系統開發等����;
(四)與征信業務活動相關的其他事項��。
第四十五條信息提供者和信息使用者違反《征信業管理條例》規定����,侵犯信息主體合法權益的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構依法對其檢查和處理。
第七章法律責任
第四十六條違反本辦法第四條規定����,擅自從事個人征信業務的,由中國人民銀行按照《征信業管理條例》第三十六條進行處罰���;擅自從事企業征信業務的�����,由中國人民銀行省會(首府)城市中心支行以上分支機構按照《征信業管理條例》第三十七條進行處罰����。
金融機構違反本辦法第五條規定���,與未取得合法征信業務資質的市場機構開展商業合作獲取征信服務的��,由中國人民銀行及其分支機構責令改正����,對單位處3萬元以下罰款��,對直接負責的主管人員處1000元以下罰款�。
第四十七條征信機構違反本辦法第八條����、第十六條���、第二十條�����、第二十七條�����、第三十二條規定的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構按照《征信業管理條例》第三十八條進行處罰���。
第四十八條征信機構違反本辦法第十四條���、第二十一條、第三十一條�、第三十四條、第三十九條�、第四十二條規定的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構責令改正��,沒收違法所得,對單位處3萬元以下罰款�,對直接負責的主管人員處1000元以下罰款。法律�、行政法規另有規定的,依照其規定�。
第八章附則
第四十九條金融信用信息基礎數據庫從事征信業務、從事信貸業務的機構向金融信用信息基礎數據庫報送或者查詢信用信息參照本辦法執行�����。
第五十條以“信用信息服務”“信用服務”“信用評分”“信用評級”“信用修復”等名義對外實質提供征信服務的�����,適用本辦法�。
第五十一條本辦法施行前未取得個人征信業務經營許可或者未進行企業征信機構備案但實質從事征信業務的機構,應當自本辦法施行之日起18個月內完成合規整改�����。
第五十二條本辦法由中國人民銀行負責解釋�。
第五十三條本辦法自2022年1月1日起施行。
同時��,中國人民銀行有關負責人就《征信業務管理辦法》答記者問�����。
一、《征信業務管理辦法》出臺的背景是什么���?
答:一直以來���,人民銀行高度重視征信業發展,堅決貫徹落實黨中央�����、國務院決策部署����,積極推動征信業市場化�����、法治化和科技化發展��,在2013年國務院頒布實施《征信業管理條例》后�����,出臺了《征信機構管理辦法》等多項規章制度,征信法制框架持續完善���。
近年來����,隨著數字經濟的快速發展���,互聯網和大數據等新技術在征信領域廣泛應用���,大量有效“替代數據”被采集、分析和應用于判斷企業和個人信用狀況��,征信已突破傳統借貸信息共享的范圍���。同時���,金融機構圍繞小微企業融資和長尾客戶普惠金融服務的征信需求不斷提升,人民群眾對高質量征信服務也提出了更高的要求�����。新時代背景下�,已有的法律法規和制度不能完全覆蓋征信的新業態��、新特征��。
為更好地貫徹“征信為民”的發展理念�����,滿足新時代征信業規范發展的需求���,切實保障征信市場主體的合法權益和信息安全,人民銀行本著實事求是的原則�����,在充分調研的基礎上�����,廣泛征求并吸收各方意見��,制定出臺了《征信業務管理辦法》����。
二�、《征信業務管理辦法》的主要內容是什么��?
答:《征信業務管理辦法》以信用信息的采集����、整理��、保存��、加工����、提供、信息安全等全流程合規管理為主線�����,以明確征信業務邊界�、加強信息主體權益保護為重點。
一是明確信用信息的定義及征信管理的邊界��?���!墩餍艠I務管理辦法》按照依法采集、為金融等活動提供服務�����、用于識別判斷企業和個人信用狀況等三個維度,將符合上述標準的基本信息����、借貸信息、其他相關信息�,以及基于這些信息的分析評價信息界定為信用信息。從事個人征信業務應當依法取得個人征信許可�����;從事企業征信業務和信用評級業務應當依法辦理備案�����。
《征信業務管理辦法》定義的征信管理范疇不涉及非商業合作的信息服務�����。比如�,國家機關以及法律法規授權的具有管理公共事務職能的組織依職責直接向金融機構提供個人或企業信息的,以及汽車經銷商�����、房產營銷中介等市場機構依法代金融機構收集客戶信息但并不對客戶信息分析處理營利的��,不適用本辦法���?����;ヂ摼W平臺開展助貸等相關業務符合征信業務定義的����,適用本辦法�����。
二是規范征信業務全流程�����?���!墩餍艠I務管理辦法》對信用信息采集、整理、保存�、加工、提供和使用等征信業務的各個環節進行了明確規定����。主要包括:信用信息采集應遵循“最小、必要”原則����,不得過度采集;采集個人信用信息應當經信息主體本人同意����,并明確告知信息主體采集信用信息的目的;征信機構要對信息來源���、信息質量�����、信息安全����、信息主體授權等進行必要的審查�;信息使用者使用信用信息要基于合法�、正當的目的����,并取得信息主體的明確同意授權����,不得濫用,等等�����。
三是強調信用信息安全和依法合規跨境使用���?!墩餍艠I務管理辦法》規定征信機構應當強化信用信息安全管理�����,明確信息安全負責人��、設立專職部門���,負責信息安全管理工作��;應當加強內部人員信息安全管理�,完善信息安全內控制度,防范信息泄露���?�!墩餍艠I務管理辦法》允許在保障信息安全前提下���,在跨境貿易、投融資等經濟金融活動中依法合規使用信用信息�。
四是提高征信業務公開透明度?!墩餍艠I務管理辦法》規定征信機構應客觀展示對外提供的信用信息內容,建立評分類產品的評價標準����,使評價規則可解釋、信息來源可追溯�����。征信機構應將評分方法���、模型���、主要維度要素等向人民銀行報告���,主動向社會公開采集信用信息的類別,信用報告的基本格式和內容�,以及異議處理流程等。
三�、《征信業務管理辦法》對征信市場發展有何意義��?
答:通過明確信用信息的定義和規范征信業務全流程�����,《征信業務管理辦法》將進一步提升征信業市場化����、法治化和科技化水平,助推征信市場健康有序發展�。
一是明確了信用信息的定義及征信管理的邊界,能夠很大程度上消除市場對政策的不確定性預期����,鼓勵市場主體適應數字時代征信產品和服務變革需求,增加征信基礎設施投資�����,更好地應用新興科技推動征信業務創新發展。
二是將征信替代數據應用納入監管�����,并強調從事征信業務需取得合法資質���,可有效解決“無證駕駛”的問題�,將原先游離于監管之外的新興征信活動納入法治監管的軌道����,促進市場公平,維護國家金融穩定和金融安全�。
三是對征信業務全流程進行更為具體的規范,既是對《征信業管理條例》等現有征信業法規制度的必要補充����,也是《民法典》《網絡安全法》《數據安全法》《個人信息保護法》等法律法規在征信領域貫徹落實的具體體現,將切實保護征信活動中各方參與主體的合法權益�����。
四是進一步強化對征信機構�、信息提供者�����、信息使用者的合規要求�����,降低各參與方的合規風險和合規成本��,促進金融機構和征信機構的專業化分工與協作����,提升征信行業效率和征信活動市場主體的合規管理水平�。
四���、《征信業務管理辦法》是如何落實《個人信息保護法》的��?
答:《征信業務管理辦法》按照對個人信息依法保護��、有限共享的原則����,與《個人信息保護法》關于個人信息主體權益的保護規定全面銜接����。
一是與《個人信息保護法》在立法理念和基本原則上保持一致��?���!墩餍艠I務管理辦法》貫徹《個人信息保護法》“告知-同意”的個人信息處理規則����,采集個人信用信息應當采取合法、正當的方式���,遵循最小�、必要的原則����,不得過度采集;從事征信業務及其相關活動���,應當遵循獨立��、客觀�����、公正的原則�����,不得危害國家秘密���、侵犯個人隱私和商業秘密��;使用信用信息�,應當基于合法��、正當的目的����,不得濫用�����,等等���。
二是強調對個人信息主體同意權的保護���?!墩餍艠I務管理辦法》規定���,征信機構采集個人信用信息應當經信息主體本人同意��,并明確告知信息主體采集信用信息的目的����;信息使用者查詢個人信用信息需取得信息主體同意�����,并按照約定用途使用����。
三是注重對個人信息主體知情權的保護?��!墩餍艠I務管理辦法》規定���,征信機構提供信用報告等信用信息查詢產品服務的,應當客觀展示查詢的信用信息內容��,并對查詢的信用信息內容及專業名詞進行解釋說明;提供畫像�、評分、評級等評價類產品和服務的���,應當建立評價標準����,不得將與信息主體信用無關的要素作為評價標準����。
四是強調對個人信息主體異議投訴權的保護?!墩餍艠I務管理辦法》規定,信息主體認為信息存在錯誤�����、遺漏的�����,有權提出異議�;認為自身合法權益受到侵害時���,有權投訴�����。征信機構�����、金融機構應依法依規辦理異議事項����,人民銀行分支機構應依法依規處理投訴。
五����、人民銀行對征信業“十四五”時期的發展是如何規劃的?
答:征信業在優化資源配置�、防范化解金融風險、維護金融安全和推動金融服務實體經濟中具有重要作用��。“十四五”期間��,人民銀行將堅決貫徹落實黨中央����、國務院決策部署��,繼續堅持征信市場化����、法治化和科技化發展方向��,以規范發展��、創新提升為主線���,以權益保護和信息安全為基本要求���,著力構建適應數字時代經濟高質量發展的現代化征信體系。
一是通過嚴肅監管規則促進征信業規范有序發展�����?����!墩餍艠I務管理辦法》發布實施后�����,人民銀行將結合《民法典》《個人信息保護法》《征信業管理條例》和其他征信業制度規定���,督促相關市場主體認真貫徹執行《征信業務管理辦法》各項監管要求��,嚴格依法合規經營���,并對非法從事征信業務的機構和行為依法依規嚴肅查處。
二是通過市場化方式深化征信業供給側結構性改革���。按照“建立覆蓋全社會的征信系統”的目標�,繼續推進征信市場基礎設施建設��,擴展信用信息共享覆蓋范圍����,構建形成多層次、全方位����、寬領域的征信體系。在鞏固和發展好公共征信服務平臺的基礎上��,根據市場需要引導國有資本����、民營資本和社會力量積極參與���,有序發展市場化征信機構,增加多層次征信供給���。嚴防資本在征信領域的無序擴張����,維護征信供給的公平正義����。
三是通過鼓勵科技應用保障征信市場主體的合法權益和信息安全。創新監管方式���,強化對征信機構的合規要求����,推動實現動態��、可持續的征信監管科技��,保障征信市場主體的各項合法權益�����,確保各類征信系統網絡環境、技術構架安全可靠��。鼓勵征信機構依法應用新技術創新征信業務����,在提升服務能力的同時�,確保信息安全。
六��、《征信業務管理辦法》的過渡期如何安排����?
《征信業務管理辦法》充分考慮互聯網平臺、數據公司等機構與金融機構業務合作模式的調整�����,對本辦法施行前未取得征信業務資質但實質從事征信業務的市場機構給予了一定的業務整改過渡期��,過渡期為本辦法施行之日至2023年6月底���。過渡期內����,人民銀行將加強對相關機構的業務指導,分步驟推動實現平穩過渡��。
