《征信业务管理办法》出台 个人征信牌照还会远吗?

未央网 作者: 薛洪言

近日,央行征信管理局低调下发了《征信业务管理办法(草稿)》(下称《办法》),之所以称之为低调,因为除了某微信公号提供的文件扫描版外,全网找不到制度原文。针对《办法》,并无太多可以深入探讨的点,洪言微语着重探究两个问题,一是与2013年公布的《征信业管理条例》(下称“条例”)相比,《办法》新在何处?二是,《办法》出台后,个人征信牌照还会远吗?且听洪言微语一一道来。

从内容上看,《办法》针对征信过程中信息的整理、保存、加工、对外提供、征信产品、异议和投诉以及信息安全等全流程进行了规范,与2013年公布的《征信业管理条例》(下称“条例”)有很大相似之处,如均强调信息采集要征求信息主体的同意、不良信息5年保存期、异议申请20日内答复等。那么,相比《条例》,《办法》有哪些亮点呢?

首提“过度采集”的概念。《办法》第8条明确规定:“征信机构采集个人信息,应当遵循‘合理、相关、必要’的原则,采集个人信息应当采用合理的方式,采集的个人信息应当与个人信用相关,不得过度采集”。过度采集概念的提出虽然未能解决信息采集的合法边界问题,但概念的提出本身已经是一种进步,是信息保护意识整体提升的客观反映。

规定更为人性化。《条例》和《办法》均明确采集个人信息应当经信息主体本人同意,但《办法》额外增加了“并明确告知信息主体采集信息的目的、信息来源和信息范围”的内容,使得相关规定更为人性化,个人信息保护也更具有可操作性。

更加注重网络信息安全。《办法》第12条明确规定:“征信机构采集个人在网络上公开的信息,除依照法律、行政法规规定公开的信息外,应当取得信息主体本人同意。”这也是《条例》中所没有的。在洪言微语看来,这一规定体现了官方对基于“网络爬虫”的大数据征信的态度。大数据风控是互联网金融蓬勃发展的基石(起码在宣传上是这样的),然而,除了阿里、京东、苏宁等电商平台本身就产生大数据之外,绝大多数形形色色的互联网金融企业本身不产生数据,网络公开信息是他们重要的信息来源。当前,这些企业获取个人网络公开信息并没有征求本人同意,《办法》落地后,这样的做法就面临着合规性的问题。对8家处于准备期的个人征信机构而言,这条规定是一个挑战。

个人信用评分产品纳入监管范围。《办法》第35条明确规定:“征信机构提供个人信用评分产品服务的,应当建立评分标准,不得将与个人信用无关的要素作为评价标准。”个人信用评分产品是个新东西,相比传统的征信报告,信用评分可量化、可比较,具有更强的社交属性和传播属性。除8家准备期的企业以外,市场上不少企业也推出了类似的评分产品。鉴于各家掌握的数据的数量和质量差异很大,其提供的信用评分结果也差异较大,所谓的信用评分产品更多地是一种娱乐性质,尚不足于投入实际应用。《办法》的这条规定将促使各类评分产品的标准化和规范化,当然,最终的结果可能是趋同化。

最后,《办法》的出台与个人征信牌照的落地有没有关系?恐怕是有关系的。去年1月,央行发布《关于做好个人征信业务准备工作的通知》,要求芝麻信用、腾讯征信、前海征信、鹏元征信等8家机构做好个人征信业务的准备工作,准备时间6个月。时至今日,在多轮验收之后,个人征信牌照仍没下发,引发了市场诸多猜测。

在以P2P为代表的互联网金融平台遭遇整顿和规范的大环境下,监管当局对于征信牌照发放的谨慎可以理解,《办法》的出台可以看作是在业务开展之前先立规矩,避免P2P、第三方支付等领域乱象的重现。从这个角度看,也许个人征信业务牌照很快就可以下来了。