首页
> 信用研究 > 信用研究 

个人征信放开须加强个人信息保护

发布日期:2018-08-29信息来源:中国征信杂志字号:[ ]



前不久,央行于官网发布“设立经营个人征信业务的机构许可信息公示表”,许可“百行征信有限公司”设立。这意味着行业期盼已久的首张“个人征信牌照”正式诞生。而早在今年1月,央行就已公示了百行征信筹备设立的相关情况,首张征信牌照花落百行征信也在市场意料之中。这家注册资本为10亿元的百行征信有限公司,由市场自律组织中国互联网金融协会和芝麻信用、腾讯征信、前海征信、考拉征信、鹏元征信、中诚信征信、中智诚征信、华道征信8家前期进行个人征信业务准备的市场机构共同发起设立,每一发起人都是市场化机构。芝麻信用成为百行征信的成员之一,然而支付宝的2017年度账单因为捆绑推广芝麻信用却备受争议。而这一诱导消费者“被同意”接受芝麻信用的行为,也从侧面印证了市场机构在保护个人信息,对用户个人信息的采集及使用方面,还存在诸多不足,以芝麻信用为代表的市场机构从事个人征信业务需要提高个人信息保护意识。

市场机构从事个人征信业务存在的问题

按照国际征信的惯例,征信信息提供给谁使用、如何使用、使用目的等都有明确规定,这些规定同样适用于由数据派生出来的评分的使用。然而“征信采集者与使用者没有任何关系”的独立第三方原则却被模糊,首批入围的民营征信机构数据的采集和使用都与自身有着千丝万缕的联系,这就决定了现在市场中的很多模型只能适用于自己的小生态,同时民营征信机构既做裁判又做选手,最终评价的公正性或在市场份额争抢中失衡,个人信息被滥用也就不足为奇了。

互联网个人信息被滥用

身处大数据时代,作为消费者,通过支付宝等第三方支付工具进行消费时,产生了大量的个人信息,包括个人年度网购总支出、比上年多花多少钱、总出行次数、选择何种出行方式、线下支付次数、爱逛哪家店、全年总消费额、甚至理财收益状况等等,支付宝的年度账单就是以上内容的总和,其中的一些信息实际上是比较敏感的信息。2016年支付宝为扩大支付工具的社交关系链而推出的“圈子”,因涉及信用滥用还让人记忆犹新。实际上,早在2015年9月,芝麻信用分就曾面向750分及以上的用户开展营销,这些用户可以享受首都机场国内快速安检通道。快速安检活动开展一周后,即按照央行窗口指导的要求撤掉了首都机场快速安检通道的宣传广告牌,此时其活动期还未过半,这项服务最终被迫中止。由此可见,随着众多市场机构和商家纷纷进军征信业务,信用概念被泛化甚至滥用的风险依旧存在。目前市场机构在开展征信过程中存在的突出问题是信息的碎片化,即“信息孤岛”,各家机构均把信息看成自己的核心资产,不愿拿出来共享或拿出来共享的信息数据失真,导致个人多头借贷、过度借贷、骗贷等行为不断出现。

不删除个人信息成为行业惯例

市场上的个人征信产品的用户服务协议,绝大多数包含“在用户的账户注销后仍可继续持有、保留用户相关信息和服务使用记录”的类似条款。比如京东集团旗下小白信用的隐私政策中相关条款的表述则是:京东可永久持有、保留用户信息及用户使用小白信用服务的记录。考拉甚至提到“用户注销考拉账户后,不可撤销授权第三方可以通过考拉查询用户信息”。而芝麻信用隐私政策条款是服务终止后,为了后续异议或纠纷处理及未来查阅相关信息的需要,您同意在服务终止后,我们仍可继续保留您使用我们服务期间形成的所有信息和数据。新版《网络安全法》于2017年6月起正式施行,其中第四十一条为“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、实用信息的目的、方式和范围,并经被收集者同意”。第四十三条为“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除”。由此可见,京东、考拉和芝麻信用单方面强制保留个人信息的行为,违背了《网络安全法》第四十一条和第四十三条,且其单方面强制保留个人信息的行为毫无法律依据而言,属霸王条款。

个人信息泄露风险时有发生

目前,道德风险已经成为征信从业人员的主要风险之一。首先是市场机构存在内部人员为了一己私利,泄露工作中接触到的个人信息的风险。2016年,四川绵阳警方破获一起侵犯公民个人信息案,查获公民个人信息257万条,涉案资金230万元。其次是市场机构存在被违法分子使用技术手段窃取信息的风险。由于互联网金融是互联网技术与金融相结合的产物,互联网金融的技术风险表现为计算机网络系统安全的缺陷和业务人员操作的失误。互联网金融企业大多处于开放式的网络通信系统之中,TCP/IP协议自身安全性面临较大争议,然而当前的密钥管理与加密技术也不完善,导致互联网金融体系易受到计算机病毒以及网络黑客的攻击。一方面网路黑客入侵到系统后非法盗取客户信息,另一方面互联网平台的系统设计、运行、维护不当会导致客户权益受到损害。2016年4月初,“黑客”杜天禹通过植入木马等方式非法侵入山东省2016年普通高等学校招生考试信息平台网站,窃取64万余条山东省高考考生个人信息,并对外出售牟利。

互联网个人征信概念不够明确

大数据时代,个人征信信息的概念不够明确,给征信监管带来了挑战。以芝麻信用为例,芝麻信用的数据主要来源于支付宝,而支付宝的数据里有很大一部分是网上购物金额、出行方式、或者理财收益等内容,这些数据严格意义上讲,与征信的信用信息存在一定区别。征信主要“征”的是个人的基本信息、个人的整体负债情况、个人是否按月还款、以及个人是否遵守了与经济活动相关的法律法规。征信的本质属性主要表现在它是一种企业和个人的债务及其相关信息,并以有限程度的共享债务信息为借贷活动提供服务,以防范信用违约风险。也可以说,是指交易一方在承诺未来偿还的前提下能够得到另一方提供的资金、商品或服务的可能性,是客观记录人们过去的信用信息并帮助预测未来是否履约的一种服务。传统意义的、到银行贷款需要的个人信用记录,主要还是指央行征信库中的报告,市场机构的数据多数不受传统银行的认可,并不能作为申请贷款时的依据。并且这些市场机构对征信的基本理念和基本规则了解不够,而且也不太严格遵守,存在信息误采误用等问题。近年来一些市场机构通过大数据挖掘自建信用评级系统,令一些用户将这套系统与央行的征信系统产生混淆。因此明确个人征信信息的内涵与外延已经刻不容缓。

市场机构强化个人信息保护的建议

互联网信用服务模式具有数据来源广泛、类型丰富,数据量大且杂乱、数据整合困难,需经较长时间和实践才能检验数据的真实性。个人信息在征信中必须“有限使用”。具体说来,“有限”的标准就是,特定用途特定授权,没有授权原则上就不能使用。从国内外经验来看,个人征信信息一般用于信用交易领域,不宜在其他领域广泛交叉使用,否则容易导致侵害个人信息隐私权益的法律风险。

加快个人信息保护的法制建设

尽管征信业务在互联网金融的辅助下有了较快的发展,但由于我国征信业务法律法规不健全,使得该行业的发展和创新遇到了一定的制约和挑战。为此,要从信息网络安全维护、社会信用体系构建、金融消费者权益保护等几个方面搭建互联网金融的法律体系并加速立法的进程。要更新完善互联网金融现有的法律法规。如第三方支付方面尽管得到一定的规范,但需进一步加强普及和实施。P2P网贷融资的风险点很多,亟待完善法律法规加强监管。要整合对个人信息在收集、加工、使用、传输、保管等各环节的相关要求和规章,可由中央银行相关职能部门,联合出台保护个人金融信息的系统性规章制度。从长期看,我国应尽快制定一部专门的《个人信息保护法》,明确个人信息的法律性质、立法宗旨、基本原则、信息主体权利、侵犯个人信息权利的救济等重要问题,以保证整个法律体系的系统性和协调性。通过专门立法,明确从事个人征信业务的市场机构收集用户信息的原则、程序,明确其对收集到的信息的保密和保护义务,不当使用、保护不力应当承担的责任,以及监督检查和评估措施。要认真研究用户实名制的范围和方式,坚决避免信息采集主体过多问题。

加强对市场机构个人征信业务的监管

人民银行对征信行业始终坚持审慎稳健从严的监管原则,审慎审批个人征信牌照。据公开资料显示,2015年,人民银行年同意8家市场机构进行个人征信开业准备。然而到目前为止,8家试点机构都还达不到相关的监管要求,反而是刚刚建立的“百行征信”2月22日获准了国内首张个人征信牌照。人民银行以及其他部门要加强对征信业务的监管,完善征信行业监管体系,严格遵守各项法律法规,针对不同类型和业务规模的征信机构,实施市场准入、非现场监管、现场检查相互依存的监管流程。因此,应根据大数据征信的新特征和新模式,探索大数据征信的监管。对于掌握大数据的企业,不仅监管征信业务和征信主体,还监管其数据使用行为,重点监督信息采集范围、业务流程、评价方法等。同时对以大数据、云计算为特点的大数据征信业务,实行动态监管,建立事前、事中、事后全面监督体系。对市场机构等信息持有机构和端口使用机构违规采集、甚至泄漏个人金融信息,可视情形实施行政处罚或采取其他监管措施。情节严重的还要承担相应的民事刑事责任。同时还要发挥行业自律的作用。要充分发挥行业协会的作用,要求会员们必须履行自律公约、遵守行业规则,从而实现自我的管理,维持互联网金融市场的竞争秩序,使得整个行业能够保持健康有序的发展。

以“百行征信”建立为契机完善信息共享

很多人需要资金的融通,但因为缺乏银行信贷记录,使银行业金融机构无法了解自己的征信情况,造成他们无法获得征信服务。随着互联网金融的发展,很多资金掮客钻了互联网金融与征信系统未能有效对接的空子,采取多头借贷、诈骗借贷等方式骗取资金,并且不予偿还,严重扰乱市场金融秩序。为了提高征信业务的发展速度,要积极推进征信信用信息共享。百行征信的建立有利于共享个人征信信息,使那些没有银行信贷业务的人员也能获得征信服务,百行征信“唯一”且独立性身份,有利于建立一套统一的互联网领域个人信用信息系统,解决行业壁垒问题,有利于防范系统性金融风险,有效遏制“过度多头借贷”、“诈骗借贷”等乱象,促进互联网金融行业的健康有序发展。百行征信的建立有利于贯彻个人信息隐私权益保护原则,能够有效规避目前几家市场机构过度采集、不当加工和非法使用个人信息等问题。同时,百行征信成立以后,人民银行还应联合三会等部门,出台对百行征信的一系列监管措施,使百行征信能够得到全社会的监督。

加强个人信息安全管理

由于大数据的维度广,数据错误和数据丢失等现象会更加突出,这就需要通过数据清洗和交叉验证等技术,识别用户身份,寻找丢失的数据,解决互联网上获取的线上信息不完整的问题,确保数据的真实性、完整性和有效性。一是从技术层面出发,建立起具备预见性的网络安全防护体系,让信息安全保护更加的立体化。要夯实大数据背景下征信信息的基础,包括数据处理、数据安全、数据质量、产品及应用等规则和机制的建立,特别是对有关数据的采集范围、使用原则和信息安全等问题,应作出明确的法律安排。二是完善个人信息安全的社会监督体系,健全信息安全举报机制,鼓励新闻媒体、公众对个人信息被非法获取利用的违法行为进行曝光、举报,实行群防群治,形成全社会共同保护个人信息安全的良好氛围。三是鼓励征信机构借鉴发达国家征信理念、策略和方法,积极参与风控标准等国际标准的制定,提高国际交流与合作水平。四是要加强对征信信用安全的宣传力度,鼓励征信机构按照合理、合法的方式进行信用信息的征集,而且信息主体也要学会利用法律武器来保护自己的合法权益。

信用是金融行业的基石,征信体系的健全和完善能够提高互联网金融风险管理水平、提高资源配置效率、对促进互联网金融市场的健康发展具有关键作用。回归“以人为本”,保护个人隐私,以商业化的方法净化互联网环境,有利于促进互联网征信业务的健康发展。





打印本页 关闭窗口
Produced By 大汉网络 大汉版通发布系统