欧洲征信模式与监管一览

未央网 作者: 飞哥

经过长期的市场经济发展,由于欧美各国历史、文化和经济背景的不同,欧洲各国也形成了不同的社会信用体系。

与美国单一的市场主导方式不同,欧洲拥有目前世界上公认的三种征信体系:混合型、市场主导型和政府主导型。结合不同国家的发展情况,每种征信体系都配有不同的监管法律和机构。

一、市场主导型

代表国家:英国

与美国相同,英国的征信机构都是由私人组建和拥有。Experian、Equifax和Callcredit是英国主要的3家个人征信公司。在英国,消费者可以通过付费的方式查询自己的信用分数。

1. 监管法律

鉴于市场主导的特征,英国征信监管的法律主要侧重于如何规范征信机构取得和使用个人数据,在此基础上,给予征信机构足够的发展空间。目前,英国征信行业相关的监管法律主要有《消费信贷法》(The Consumer Credit Act 1974)和《数据保护法》(Data Protection Act)。

《消费信贷法》于1974年颁布,由12章构成,是英国最重要的信贷消费立法。该法案经过多次修订,替代了小额贷款、典当贷款和租赁信贷等领域的多部立法规定,完成了对信贷消费立法的统一。《消费信贷法》是欧洲消费信贷法的典范,涵盖了包括信用销售、信用卡、分期购买、租赁和担保交易等所有基本的消费信贷领域。

1984年,英国颁布了第一部《数据保护法》,对个人数据的保护做出了相对全面和完整的规定。1998年,英国根据欧盟的《数据保护指令》调整并修改了该法律,颁布了新的《数据保护法》(1998)。

这两部法律主要从以下三方面对英国的征信行业做出了监管:

——征信市场门槛

根据《消费信贷法》的要求,从事消费者信贷、租借和其它相关业务的机构必须持有牌照。与其他国家相比,英国信用活动市场的准入门槛较为宽松。该法案对于申请者的资本没有设立硬性的要求,但是对于申请者设定了“适合性”的标准。按照《消费信贷法》的规定,监管机构需要对申请者的以下信息进行相关确认,包括:其是否涉及任何欺诈和暴力等犯罪行为;是否有可能导致对于不同性别、种族和国籍的歧视行为;是否违反过《消费信贷法》以及其他相关法律的任何条款等。

——征信数据的采集、使用和披露

根据《数据保护法》的定义:“任何影响个人隐私的信息,包括影响信息主体的个人或家庭的生活、商业或专业能力等方面的信息,都属于个人数据。”

在数据采集方面:首先,征信机构必须在征得数据主体的同意下,以公平、合法的方式从数据主体那里取得信息。其次,与国家安全、犯罪、和医疗健康等相关的敏感数据不属于合法采集范围之内。

在数据使用方面:商业银行和贷款机构是主要的个人信用数据的使用机构。此外,政府机构如司法部门和警察局出于工作需要,可以在法律允许的范围内查询个人信息,但是需要同其他用户一样支付一定的费用。征信机构需要确保每月对数据进行更新,对于个人数据的保留期限通常不能超过6年。除了合法的商业和司法用途以外,任何个人和机构都不得私自将个人数据移转至欧洲经济区域以外的国家或领土作为他用。

在数据的披露方面:按照《数据保护法》的规定,征信机构只有在征得数据主体的同意下,才能将个人数据向第三方披露。同时,征信机构有义务告知数据主体其个人数据将基于何种目的,被何人或何方机构进行何种处理。如征信机构未履行法定通知义务,即属犯罪。此外,征信公司可以拒绝政府部门超出法律规定的查询行为,政府部门在被拒绝以后如果仍需进行查询,必须获得法院的相关判决允许。

——消费者权益保护

按照《消费信贷法》和《数据保护法》的规定,消费者有权知道征信机构收集了什么信息及谁使用了这些信息。消费者有权查询其个人信用数据,征信机构必须设有自己的查询数据库。消费者在填写固定格式的索取函后,可以依法向英国任何一家征信机构要求获得本人的信用报告,并在7个工作日内得到自己信用记录的拷贝文件。如果消费者是一名企业经营者,还可以同时获得其经营企业的信用信息。由于征信机构对个人数据的违法使用造成的个人损失,消费者有权要求征信机构承担民事赔偿责任。对于错误的信息,消费者有权给予纠正。

在商账追收方面,为了保护消费者权益,英国政府颁布了《追债指导——不公平商业行为的最终指导》(Debt Collection Guidance-Final guidance on unfair business practices)和《追债合规性审查指南》(Debt Collection Guidance Compliance Review)等多部法律,确定了不公平追债行为的范围,包括:违法的信息传播方式、不当的表述、以及任何对消费者造成生理或者心理侵害的行为。对于不公平追债行为的审查申请、标准以及审查角度和相关的程序做了更加详细的规定。

2. 监管机构

在行政监管方面,英国主要的征信监管部门有英格兰银行、英国金融行为监管局(Financial Conduct Authority,简称FCA)和信息委员办公室((Information Commissioner’s Office,简称ICO)等。

与美国相同,英国征信监管部门的主要职责是维护征信市场的正常运行,一般情况下,监管机构不得直接干预征信行业机构的经营活动。

英格兰银行作为英国的中央银行,主要负责对商业银行的信用活动进行监督和指导。

FCA主要根据《消费信贷法》,负责对消费信贷市场的进行监管和各种审批,包括控制征信机构的准入条件并颁发许可证。

信息委员办公室(Information Commissioner’s Office,ICO)是为了确保《数据保护法》的执行实施,从英格兰银行分离出来的独立监管办公室,隶属于英国议会。

该委员会的信息专员由英国女王直接任命,会定期到征信机构进行巡查,可以针对信用活动机构的违法行为采取刑事起诉、非刑事执法和审计行动。

二、混合型

代表国家:德国

1. 征信模式

与英美的纯市场操作不同,德国的信用体系是典型的混合征信模式,涵盖了三种征信模式:以中央银行为主体的公共模式;以私营征信机构为主体的市场模式;以行业协会为主体的会员制模式。

(1) 公共征信系统

受1929年经济危机的影响,德国经济出现衰退,企业大量倒闭,出现大量坏账并且波及到银行的生成。为了恢复经济,确保信贷资源服务的质量,德国政府于1934年建立了世界上第一个公共征信系统。

一般来讲,公共征信系统是指向中央银行、商业银行以及其他公共征信机构和监管部门提供有关公司及个人的信用信息的系统。其不以盈利为目的,由中央银行或金融监管当局负责运作和管理。公共征信系统收集数据信息的主要目标在于:首先是监管银行等金融机构,使其可以健康和稳定的运行;其次是评估和监控消费者的负债情况。

德国的公共征信系统主要包括中央银行——德意志联邦银行的信贷登记系统,地方法院工商登记簿,法院破产记录以及地方法院的债务人名单。德意志联邦银行的信贷登记系统主要供银行与金融机构使用,工商登记信息、法院破产记录和债务人名单均对外公布,以供公众进行查询。

(2) 私营征信机构

德国的私营征信机构主要包括从事企业与个人信用调查、信用评级、信用保险、商账追收、资产保理等业务的信用服务公司。

Schufa、Creditreform、Buergel是德国最主要的三家征信调查和评估机构。其主要业务是通过收集与企业和消费者个人信用有关的所有信息,并用科学的方法加以分析评估,向顾客提供信用报告和信用评估风险指数。其中以Schufa的经营范围最为广泛,受认可程度最高。

Schufa于1927年在柏林成立,是一家以个人征信业务为主的信用服务机构。该公司占领了德国个人信用市场的90%以上。Schufa拥有德国最大的个人信息库,数据库中拥有超过6600万的个人信用记录(德国总人口数为8089万)。Schufa还是德国目前唯一拥有银行信用信息的征信机构。

Schufa有一套非常完善的信用评估体系。它采用0至100的评分制度,分数越高信誉度越高。这套信用评分体系包含了个人身份的基本信息、住址、信贷记录、银行账户信息、保险信息、住房、电话和网络缴费情况、犯罪与个人不良记录等等。

(3) 行业协会

除了公共和私人征信体系,德国还有会员制模式的行业征信协会。行业协会会为其会员提供一个信用信息共享的平台。但是相比其它两种体系,行业协会的信息收集和使用都较为封闭,仅对内部会员企业开发。

总体来看,德国的三种征信模式是一种互补关系。德国公共征信系统仅采集消费者个人和企业的基本信息以及一定额度以上的正面信贷信息。基本信息主要用于确认消费者的身份和对企业经营状况的了解查询。根据《德意志聯邦銀行法》的规定,德国所有的信贷机构、保险公司、风险投资公司以及自有账户交易商等金融机构都必须按照每季度向德意志银行报告以上相关数据。而私营征信机构则主要负责采集个人和企业的信用信息,包括正面和负面信息。

2. 征信监管

(1) 法律监管

为了规范征信行业,保护消费者的个人数据,德国联邦政府出台了《联邦数据保护法》(BDSG)《商法典》(HGB)和《信贷法》(KWG)等多部法律。

其中《联邦数据保护法》是德国最主要的数据保护法规。自1978年推出以后的三十多年间里,政府根据市场的发展以及欧盟的建议指令对该法案进行了数次修改。尤其在2000年以后,修改的频率保持在平均两年一次,为规范和监管个人数据信息的使用做出了重要贡献。

根据《联邦数据保护法》的定义,个人数据是指关于“任何一个已识别的或可识别的个人(数据主体)的私人或者具体情况的信息”。任何机构对于个人数据的征集、使用和处理必须取得数据主体的同意,或者取得相关法令的许可,在具有合法性的基础上进行。数据主体有权在任何时候无条件收回同意授权。征信机构对于个人数据的处理需要对数据主体透明公开,数据主体在任何时候都可以对数据进行查询。任何违反《联邦数据保护法》规定的征信机构的违法行为都会受到惩罚。

首先,如果征信机构以非法手段获取个人数据信息,或者收集和使用了本法或其他数据保护法规不允许的个人数据,并对数据主体造成了利益损害,均会受到50000欧元以下的罚款,并且有责任赔偿数据主体的损失。其次,征信机构对于个人数据的非法处理和传输,不论故意或者过失,均属于违法行为,应处以300000欧元以下罚款。任何为了谋取利益或者故意损害他人利益的数据收集、处理和传播的行为会受到2年以下监禁或者判处罚金。最后,对于个人信用数据的保留,按照《联邦数据保护法》的规定,征信机构对于负面信息数据的保留期限一般不得超过3年,其它类型的个人信用信息最多可保留6年。

此外,为了保护消费者的个人数据,按照《联邦数据保护法》的规定,任何公共和私营监管机构(开业1个月内)都必须任命一名数据保护专员。

数据保护官的主要职责是依据《联邦数据保护法》和其他数据保护法规对征信机构进行监督和建议指导,主要包括:1.对征信机构的数据处理计划进行监督。2.对数据处理工作人员进行培训,确保其在熟悉和明确个人数据保护的各项法令的基础上进行工作。

数据保护专员的任职期限为一年,除非有特殊原因,数据保护专员的任职期限不能随意终止。被任命的数据保护专员必须具备相关专业知识,并且可以证明其具备履行职责所必需的责任感,在经过政府机构的培训后,方可上岗。所有的公共和私营征信机构必须支持数据保护专员的工作,为其提供工作场所、设备和其他资源。消费者如有需求,可以在任何时间接触到数据保护官。

对于企业信用信息,根据德国《商法典》和《破产条例》的规定,企业破产必须到当地破产法院申请。符合该条例规定的企业,在经过破产法院审核批准后才可以进入破产程序。德国联邦各州须建立各自的破产目录中心,一切破产企业或消费个人将被列入破产目录,并予公布。无偿还能力的消费者则可以到地方法院做代替宣誓的保证(Eidesstattliche Versicherung,简称EV),但是,任何做出此项保证的消费者在3年之内无权获得银行贷款以及进行分期付款等信用消费的资格。

(2) 行政监管

在德国,德意志联邦银行和联邦金融服务监管局(BaFin)是主要的信用活动监管机构。德意志联邦银行是德国唯一可以对金融机构行使信贷数据统计权利的机构,各类金融机构必须每月向联邦银行报送各类信贷业务数据的统计报表。此外,联邦银行还建有“信贷登记中心”,通过信息共享的机制来控制银行业内部的信用风险。

联邦金融服务监管局(BaFin)是由联邦银行监管局 (BAKred)、联邦保险监管局(BAV)、联邦证券监管局(BAWe)整合而成的独立的联邦机构,受德国联邦财政部的直接管理。联邦金融服务监管局可以对德国超过2700家的银行,800家金融服务机构以及700多家保险机构的商业信用行为进行监管。

此外,联邦政府及各州政府均设有个人数据保护监管局,负责对掌握个人数据的相关机构进行监督和指导。

三、政府主导型

代表国家:法国

1. 征信模式

与英国和德国不同,法国是一个只有公共征信系统的国家,所有的企业和个人信用信息都由公共征信系统采集。

法国的征信服务最早开始于上个世纪20年代。1929年,受到美国经济大萧条的影响,法国的银行出现大面积的坏账。1946年,在法兰西银行的组织下,法国政府建立了FIBEN数据库,后来发展成为法国的信用风险登记系统,包含了企业信贷和个人信贷两个登记系统。

——企业信贷登记系统

企业信贷登记系统是法国的企业征信系统,于1984 年开始运行。根据相关法律规定,所有的商业银行、租赁与保理公司、财务公司和保险公司等金融机构必须接入企业信贷登记系统。这些金融机构需要每月向法兰西银行报送企业客户的信贷、票据和商事法庭裁定的诉讼判决等信用信息,这些信息即包含正面信息也包含负面信息。

除此以外,法兰西统计局也会向法兰西银行提供相关的信息。法兰西银行会负责将这些信息与从其它公开信息渠道,诸如媒体和法院等方面获得的信息进行整合和分析,然后再根据金融机构和企业的需求为其提供信用信息的咨询服务。

——个人信贷登记系统

法国的个人信贷登记系统是依据1989 年颁布的《防止以及解决个人贷款问题的法案》设立的。与其他国家不同,法国的个人征信系统只收集个人的负面信息,是一个全国性的个人不良信用信息的数据库。

根据相关法律规定,银行和金融机构以及企业必须定期向个人征信系统报送消费者个人在信贷和租赁,分期付款以及信用卡等方面的预期、拖欠和透支的信息。此外,个人征信系统还会通过媒体和法院等公开信息源采集个人负面信息。

2. 法律监管

法国的征信立法主要侧重于对个人数据的保护,避免给数据主体带来伤害。1978年,法国通过了《数据处理、数据文件及个人自由法》(Data Processing,Data Files and Individual Liberties),并于2004根据欧盟的《数据保护指引》进行修改。

《数据处理、数据文件及个人自由法》是法国的数据信息保护的核心法律。根据该法案规定,个人数据是指“可通过身份证件号码、一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息。”。任何征信机构对个人数据信息的采集必须告知数据主体,并得到其书面同意。所有违反此条例的行为都将被警告和处罚。如果是第一次违反,会做出不超过150000欧元的罚款。如果在第一次违反规定之日起5年内出现第二次违反,则会对其进行不超过300000欧元得罚款。

在数据的使用方面,除了经过授权的中央银行和商业银行等金融机构的职员,其他人不能直接使用央行信贷登记系统的数据。所有的个人数据在征信系统中的保留时间不能超过5年。

此外,由于法国个人征信系统只收集负面信息,这意味着其个人征信的目的主要是防止消费者过度负债。根据相关法律规定,法国各银行需根据客户支付金额的多少,实行“多级审核”的制度,持卡人在购买小额物品时无须接受审核,如果购买的物品超过50欧元,银行必须对其信用卡和身份证进行审核。

3. 行政监管

为了保障征信行业的发展,保护消费者的权益,1978年,法国政府根据《数据处理、数据文件及个人自由法》成立了国家信息技术与自由委员会(CNIL)。该委员会是法国主要的征信监管机构,直接向议会负责并报告工作。委员会由17位成员组成,分别来自国民议会、参议院和最高法院等。

根据《数据处理、数据文件及个人自由法》的规定,CNIL有权对任何违规的征信机构进行处罚,所有数据处理的机构和人员都必须履行以下义务:任何个人数据的自动化处理行为必须提前通知CNIL;向CNIL报告有关的个人数据档案;保证个人数据的安全性和保密性,不得向无关的第三方泄露数据;在指定时间接受CNIL委员的现场检查。

四、欧盟监管

在欧洲,除了本国的法律之外,各国征信行业机构还需要遵守欧盟《涉及个人数据处理的个人权利权利保护以及此类数据自由流动的指令》(Directive on the Protection of Individuals with Regard to theProcessing of Personal Data and on the Free Movement of such Data, EU 95/46/EC,简称《数据保护指令》),《消费者信用指令》(Consumer Credit Directive, 2008/48/EC)和《资本要求指令》(Capital Requirements Directives IV)等法令的约束和管理。其中以《数据保护指令》的影响最为深远。

1990年,欧共体委员会发布了第一个关于《数据保护指令》的草案。《数据保护指令》建立了欧洲征信行业数据保护的基本准则,根据各国不同的征信体系最大程度的实现了数据监管的一致。该指令为欧洲各国建立了良好的信息流动机制,降低了跨境数据共享的成本。

总结

欧洲的征信起源于对数据的保护。由于历史原因,在二战结束后,欧洲各国都同意将个人隐私定义为一项最基本的人权。与美国相对开放的方式不同,欧洲绝大多数国家对于个人信用信息的使用都有着严格的限制。其对于征信行业的发展宗旨是——通过各种立法与监管机构的设置,在欧盟的规范与协助下,妥善的平衡征信行业机构对信息的获取、交换与个人隐私保护之间的关系。