文章来源：由「百度新聞」平台非商業用途取用"https://new.qq.com/omn/20210208/20210208A045GH00.html"

征信離不開數據，數據就是征信的根本。征信機構通過運用大數據技術構建征信模型及算法，對信用主體信息進行采集、分析、整合和挖掘，多維度刻畫信用主體的違約率和信用狀況，形成對信用主體的信用評價，實現貸前、貸中和貸后風險監測與預警。該類數據分析不僅反映信息主體的履約意愿，亦能一定程度反映其履約能力。征信機構需要盡可能多采集能用于信用評價的信息，從而實現全方位、多角度、更準確地來判斷信息主體的信用狀況。然而，征信機構分析使用的數據并非內生于自身，在現行法律框架下數據權屬以及權利范圍尚無明確界定的情形下，確保數據來源及使用的合法合規是企業征信業務開展的基礎。征信業務及征信法規一征信業務介紹征信定義有廣義與狹義之分，狹義的征信是指依法采集、整理、保存、加工自然人、法人及其他組織的信用信息，并對外提供信用報告、信用評估、信用信息咨詢等服務，幫助客戶判斷、控制信用風險，進行信用管理的活動。廣義的征信還包括政務或商務活動中的誠實信用行為等。征信落實到經濟層面系顯示為相應主體按期履約的能力和意愿，最為重要的作用系為了防范非即付經濟交往中發生損失。2013年1月國務院發布的《征信業管理條例》對征信業務的定義為：“對企業、事業單位等組織的信用信息和個人的信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動。”征信業務開展注重信息的真實、連續、多維度、及時及隱私保護。征信業務的基本流程為：制定數據采集計劃，確定需要采集的數據類型、采集方式等；采集數據，在采集的數據過程中需兼顧數據的適用性和規模；數據分析，在該階段需要進行數據查證以保證征信產品的真實性、可信性以及補缺或糾錯，進而利用數據挖掘技術和統計分析方法等方式對數據進行分析以形成征信報告。但需注意的是，《征信業管理條例》規定的征信業務存在兩處特別限定：金融信用信息基礎數據庫系由專業運行機構建設、運行和維護，該專門運行機構不以營利為目的，其他機構無法直接收集該類信息并運用于征信業務。國家機關以及法律、法規授權的具有管理公共事務職能的組織依照法律、行政法規和國務院的規定，為履行職責進行的企業和個人信息的采集、整理、保存、加工和公布，不屬于《征信業管理條例》所定義的征信業務范疇。二征信業務主要相關法律規定征信領域的專門法律規定包括《征信業管理條例》《征信機構管理辦法》《企業征信機構備案管理辦法》等。《征信業管理條例》系第一部專門適用于征信業的行政法規，明確規定了征信機構的設立要求、征信業務的基本規則等內容；《征信機構管理辦法》在《征信業管理條例》基礎上，進一步詳細規定征信機構的設立、變更與終止的管理要求，同時對個人征信機構的董監高任職資格進行特別規定。《企業征信機構備案管理辦法》為規范企業征信機構備案管理而制定，規定了備案的受理、審核、管理等內容。除了上述專門為征信領域制定的法律規定，作為民事基本法的《民法典》亦規定了個人信息保護的基本內容以及民事主體與征信機構等信用信息處理者之間的法律適用。此外，征信行業中使用的電信網絡事項需遵循《網絡安全法》《互聯網信息服務管理辦法》《電信條例》《計算機信息系統安全保護條例》等法律規范。就征信行業的數據合規事宜，效力級別較高的《民法典》《網絡安全法》主要是規定個人信息保護的基本要求，效力級別較低的的部門規范性文件、國家標準或行業標準更為具體地規定了信息保護的收集使用規范、安全保障措施等內容，但主要內容仍與個人信息保護相關。該類規定包括《電信和互聯網用戶個人信息保護規定》《信息安全技術公共及商用服務信息系統個人信息保護指南》《信息安全等級保護管理辦法》《信息安全技術個人信息去標識化指南》《數據安全管理辦法（征求意見稿）》《信息安全技術個人信息安全規范（征求意見稿）》《互聯網個人信息安全保護指引（征求意見稿）》等。2020年10月13日，全國人大常委會發布《個人信息保護法（草案）》，其系以專門性立法的形式規定個人信息保護。隨著數據經濟時代的到來，各類數據的分析利用程度不斷提高，使得數據挖掘的經濟價值得以彰顯。全國人大常委會于2020年7月3日發布《數據安全法（草案）》，草案內容對各類數據保護進行原則性規定，而非限于個人信息保護的細項規定，其將行業數據、政府部門數據、企業數據、個人數據等各類數據安全的保護進行原則性規定，推動政府部門、行業組織、企業、個人等共同參與數據安全保護工作。按照分級分類的思路監管，即覆蓋各類數據又有所側重。2020年9月23日，中國人民銀行發布了《金融數據安全數據安全分級指南(JRT0197-2020)》，對金融業機構的數據分級工作作出系統化和具體化的要求。該規定雖僅適用于金融機構，但亦可見除個人信息以外的非個人信息保護立法在逐步加強，企業征信機構可對照該類監管規定對自身業務的數據進行分類分級管理。2021年1月11日，中國人民銀行發布了《征信業務管理辦法（征求意見稿）》，在《民法典》《征信業管理條例》的基礎上進一步加強征信業務的管理，按照信息生命周期管理的思路，明確企業征信機構、個人征信機構信息采集、整理、保存、加工、提供、使用方面的管理規范，并對信用信息安全的基礎設置、管理制度進行規范。企業征信行業中的數據及數據合規《征信業管理條例》將征信業務區分為企業征信業務和個人征信業務，兩者涉及的主要數據類型存在差別。個人征信業務中的個人信息可能涉及個人敏感信息、個人隱私等影響個人主體身份或財產利益的信息。基于個人征信相關信息基本為不公開信息，較容易導致個人利益受到侵犯，而企業征信相關信息多為公開或半公開的企業信息，但并非完全不涉及個人信息。對于個人信息部分，亦需遵循個人信息保護規范，不過企業的董事、監事、高級管理人員與其履行職務相關的信息，不作為個人信息。鑒于企業征信業務與個人征信業務的主要數據類型、數據來源、數據合規的監管要求等方面均有所不同，本文主要分析企業征信機構業務的數據合規問題，按照數據類型及來源渠道分別介紹。一數據類型《征信業管理條例》第十三條規定：“采集個人信息應當經信息主體本人同意，未經本人同意不得采集。但是，依照法律、行政法規規定公開的信息除外。企業的董事、監事、高級管理人員與其履行職務相關的信息，不作為個人信息。”第十四條規定：“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息。征信機構不得采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。但是，征信機構明確告知信息主體提供該信息可能產生的不利后果，并取得其書面同意的除外。”第二十二條規定：“征信機構可以通過信息主體、企業交易對方、行業協會提供信息，政府有關部門依法已公開的信息，人民法院依法公布的判決、裁定等渠道，采集企業信息。征信機構不得采集法律、行政法規禁止采集的企業信息。”《數據安全法（草案）》第十九條規定，國家對數據實行分類分級保護。參照上述《征信業管理條例》相關規定，本文將征信行業涉及的數據類型劃分為如下四個等級：一是禁止采集類，禁止征信機構采集該類信息。如個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息。二是限制采集類，征信機構采集該類信息需要明確告知信息主體提供該信息可能產生的不利后果，并取得其書面同意。該類信息包括個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息等。但需注意的是，企業征信機構業務開展中，若非業務必須，即便擁有信息主體授權同意，亦應遵循合法、正當、最小、必要的原則采集信息。三是普通采集類，征信機構采集該類信息需要取得信息主體的授權。如通過信息主體、企業交易對方、行業協會等主體提供的信息。四是公開信息類，采集該類信息需注意是否為依法公開類，否則采集該類信息亦可能構成對相應信息主體利益侵犯。此外，通過互聯網技術采集公開信息需遵循網絡安全管理規范等。二數據來源渠道及合規要點企業征信行業中運用的數據主要包括財務稅務、工商、司法、知識產權等數據。企業征信機構的數據來源一般包括以下四類：第一，政府部門依法公開的數據；第二，信息主體授權從政府部門或其他主體獲取的數據；第三，信息主體自行提供的數據；第四，向數據供應商采集的數據。前述各類數據來源的合規要點如下：01政府部門依法公開的數據根據《中華人民共和國政府信息公開條例》《企業信息公示暫行條例》《最高人民法院關于人民法院在互聯網公布裁判文書的規定》《國家知識產權局政府信息公開實施辦法》等規定，對于政府部門依法公開的工商信息、司法信息、知識產權信息等，企業征信機構可以依法采集而無須單獨取得相應信息主體授權。對于該類數據的采集，數據合規要點在于企業獲取數據的方式，若從數據供應商處獲得，企業應選擇合格數據供應商，并且應在采購合同中明確約定數據提供方關于數據合規的相關責任；若系自行采集，如通過爬蟲技術手段獲取，則需要遵循Robots協議等規范。此外，《數據安全管理辦法（征求意見稿）》規定：“網絡運營者采取自動化手段訪問收集網站數據，不得妨礙網站正常運行；此類行為嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。”02信息主體授權企業征信機構從政府部門或其他主體獲取的數據《民法典》在人格權編第六章專章規定隱私權和個人信息保護，并在第一千零三十五條規定了個人信息收集的同意規則。《民法典》并未對其他類型的數據收集原則進行規定，僅在第一千零三十條規定：“民事主體與征信機構等信用信息處理者之間的關系，適用本編有關個人信息保護的規定和其他法律、行政法規的有關規定。”但該條款位于人格編中，系為保護人格權而作出的規定。目前而言，《征信業管理條例》系該條規定唯一所指的征信業專門行政法規，其僅規定了個人信息采集的同意規則。《民法典》《征信業管理條例》均未明確向企業主體采集企業信息是否需要獲得企業主體授權。但是，《數據安全法（草案）》原則性規定，任何組織、個人收集數據,必須采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。《征信業務管理辦法（征求意見稿）》規定征信機構采集非公開的企業信用信息，應當采取適當的方式取得企業的同意。基于企業主體的法人人格獨立以及意思自治，企業主體對自身數據亦擁有合法權益，征信機構在采集非依法公開的企業數據時應取得企業主體的授權同意。對于通過該種方式取得的數據，除了需遵循授權同意規則，同時需參照使用個人信息保護規范，防范數據合規風險。在獲得信息主體同意前，需公開收集、使用規則，明示收集、使用信息的目的、信息來源和信息范圍，以及不同意收集可能產生的不利后果等。在收集使用信息過程中，不得收集與其提供的服務無關的信息，不得違反法律、行政法規的規定和雙方的約定收集、使用信息，還需按照中國人民銀行的監管要求進行報備，按照合法、正當、最小、必要的原則收集、使用信息。03信息主體自行提供的數據信息主體自行提供的數據有廣義與狹義之分，廣義的自行提供還包括授權企業征信機構采集與信息主體相關的信息，狹義的自行提供僅包括由信息主體自行提供或在特定系統上傳自身擁有的數據。基于大數據相關技術的運用及批量化、規模化分析的要求，實踐中的自行提供數據多為廣義的自行提供。信息主體自行提供數據的同時應簽署授權同意協議，并且應當對數據收集、使用的目的、方式和范圍以及是否允許共享或對外轉讓等事項進行明確。04企業向數據供應商采購的數據貴陽、上海、武漢等地相繼成立了大數據交易中心，不斷探索相關數據交易方案和規則，但數據交易機制及規范性要求尚未成型。目前企業征信機構從數據供應商采購的數據主要系數據供應商整理的依法公開的政府部門信息或基于自身業務運營過程中積累的數據。《數據安全法（草案）》對數據交易的中介模式進行了肯定，要求從事數據交易中介服務的機構在提供交易中介服務時,應當要求數據提供方說明數據來源,審核交易雙方的身份，并留存審核、交易記錄。該規定在立法上肯定了中介模式的數據交易方式，明確數據交易中介機構的責任與義務，但該草案并未明確非中介模式的數據交易規范要求。《征信業務管理辦法（征求意見稿）》對直接交易模式的合規性審查進行了規定，要求征信機構應當對信息提供者的業務合法性、信息來源、信息質量、信息安全、信息主體授權等進行審核，以保障采集信用信息的合法、準確和可持續。在雙方直接交易的模式下，目前實踐中通常采取由數據提供方承諾數據來源合法合規、不存在侵犯第三方權益等事項，在協議中明確約定違約或侵權事宜導致的賠償責任等方式防范數據合規風險。值得注意的是，《征信業務管理辦法（征求意見稿）》不僅要求征信機構對數據供應商進行合規性審查，其還要求征信機構對使用方的身份、業務資質、使用目的、是否取得授權等事項進行必要的審查，進一步強化征信機構自身數據合規的管理要求。05客戶提供并“委托加工”的數據客戶提供數據給企業征信機構供其分析形成報告，該種業務模式實質屬于部分服務外包，在法律性質上類似于委托加工。對于企業征信機構通過該種方式獲取的數據，合規重點在于自身數據安全管理的內控措施需符合數據提供方要求及數據安全保護的監管要求。通過規章制度保障、物理安全保障、技術安全保障等措施保障數據安全，重點關注企業敏感信息及商業秘密的保護，如涉及個人信息，需重點關注是否涉及個人隱私或敏感信息。企業征信機構應采取加密、脫敏、備份、審計等措施，對重要數據采集、傳輸、存儲、處理和使用等各環節進行安全保護，不得將已脫敏數據進行再識別、處理完后應歸還或及時刪除、不得擅自將數據向第三方披露等。需注意的是，在客戶提供并“委托加工”模式下，基于存在兩種授權模式，企業征信機構取得信息主體的授權同意存在特殊性。以信貸領域中的企業征信業務中的授權為例：第一種模式是企業征信機構直接與信息主體簽訂授權協議；第二種模式是由貸款機構取得信息主體授權，在貸款人申請貸款前取得“一攬子”授權，包括自身收集處理數據的授權，亦包括將數據提供給企業征信機構等第三方機構進行加工處理的授權。《征信業務管理辦法（征求意見稿）》僅明確征信機構通過信息提供者（如前述案例中的貸款機構）取得個人同意的，信息提供者應當明確告知信息主體征信機構的名稱，該規定系重點規制個人信息的流轉；對于企業信息的流轉采取了概括式規定，其規定采集非公開企業信息應以適當的方式取得企業的同意。數據作為征信領域必備的生產資料，其創造價值的基礎在于流動性。數據在不同主體之間流動是否需取得相應信息主體的授權同意是探討數據流動的合法合規性基礎。然而，若每一次流動均需取得信息主體授權，則將限制數據流動以及數據經濟價值釋放，也給信息主體帶來困擾；若無信息主體授權的數據流動，則有可能侵犯信息主體的知情權及其他權益。因此，數據流轉需平衡數據安全保護及數據經濟價值釋放之間的關系。結語時代需要數據釋放經濟價值或社會價值，利用大數據解決傳統或新型問題。然而在數據開放過程中，隱私泄露、大數據歧視、不當利用造成的利益侵犯等問題亦困擾著人們。簡單來說，數據收集使用需遵循合法、正當、必要的原則，而在當下數據立法尚未完善或存在缺失的情形下，如何論證合法、正當、必要亦成為數據合法利用中的難題。格式合同條款的授權同意無法保證數據收集使用合規，形式上的接受和同意不代表信息主體理解其同意的內容含義，亦不代表信息主體了解該等同意可能產生的對其自身權益的影響。因此，企業征信機構及從業人員均需遵守業務底線，建立內控制度，做好自查自糾工作，在符合法律規定的前提下為正常開展業務使用必要信息，避免對國家安全、公眾權益、個人隱私、企業合法權益造成侵犯。文章來源：白云證法筆記文章轉載自：征信圈

關鍵字標籤：www.liidda.com.tw/about.html