【全文】
2021年9月30日,《征信业务管理办法》(以下简称“《办法》”)发布,自2022年1月1日起施行。《办法》是继《征信业管理条例》、《征信机构管理办法》之后征信领域又一核心监管规则。该《办法》出台也是征信新业态不断涌现下,明确征信边界和规则的必要结果。本文旨在从《办法》一窥征信业务边界与准入问题。
一、《办法》出台背景
2013年3月15日,《征信业管理条例》正式实施,明确了征信行业管理的基本框架,为征信业务发展提供了法律基础。《条例》发布后,人民银行相继出台了《征信机构管理办法》规范征信机构设立、退出和日常管理,《征信机构监管指引》细化机构监管规则,《企业征信机构备案管理办法》规定企业征信备案具体流程。一系列配套制度及行业标准,不断完善征信业管理制度框架,但征信业务规则并不明确。鉴于快速发展的数字科技时代下,征信新业态不断涌现,征信边界的不清晰导致了信息主体权益保护措施不到位、信用主体的信用状况难以被有效判断、个人征信市场的整体服务水平下降等问题。
针对前述问题,自2020年12月始,监管机构已逐步表态对于个人征信业务将从严监管。2020年12月25日,国务院政策例行吹风会上,人行副行长陈雨露提出:“人民银行将会继续完善征信业务管理办法,将所有为金融经济活动提供服务的,用于判断企业和个人信用状况的信息服务,全部纳入征信监管,实行持牌经营。对非法从事征信业务的行为,依法依规严肃查处”。
同月30日,中国人民银行行政处罚信息显示,鹏元征信有限公司因存在未经批准擅自从事个人征信业务活动、企业征信机构任命高级管理人员未及时备案的违法行为,合计罚没1979.55万元。
2021年7月,中国人民银行征信管理局向互联网平台机构下发通知,要求其在与金融机构开展业务合作中,不得将个人主动提交的信息、平台内产生的信息或从外部获取的信息以申请信息、身份信息、基础信息、个人画像评分信息等名义直接向金融机构提供。实现个人信息与金融机构的全面“断直连”。
本次《办法》是对于互联网和大数据等新技术在征信领域广泛应用下,信用信息扩张突破传统借贷信息范围的规制。核心即在于通过明确界定征信业务的边界、控制征信业务的准入进一步规范市场。
二、征信业务的边界扩展
《办法》沿用了《征信业管理条例》项下的基础定义,以“依法采集”、“为金融等活动提供服务”、“用于识别判断企业和个人信用状况”三大维度搭建征信业务的框架,以“信用信息”内容作为核心,界定了征信业务的边界。
1.征信业务的服务场景
《办法》将征信业务的服务场景界定为“金融等活动”,相比较意见稿中“金融经济活动”,《办法》明确金融领域的征信活动是监管重点,征信机构所提供的征信产品主要目的还是用于解决金融这一国家基础行业中的信用违约风险,促进未来的普惠金融发展。但“等”字同时也为可能的创新活动留有监管解释空间。
实践中,当前一些大数据公司、金融科技公司也为非金融机构在非金融领域提供风险等级及风险评分服务。尽管《办法》明确了征信活动以金融场景为核心,但结合监管态度,例如2020年12月国务院政策例行吹风会上,人行副行长陈雨露的表态,所有为金融经济活动提供服务的,用于判断企业和个人信用状况的信息服务,都有可能全部纳入征信监管,不仅限于金融场景。
2.信用信息的内涵外延
关于信用信息,《办法》明确指出其是“依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。”相较于征求意见稿以列举法定义信用信息:“个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”《办法》聚焦于基本情况、借贷信息等主要信息,并以“其他相关信息”类举,明确了“信用信息”的定义和边界。
“其他相关信息”的解释需要重点关注。《办法》答记者问中提及,互联网和大数据等新技术在征信领域广泛应用后,大量有效“替代数据”被采集、分析和应用于判断企业和个人信用状况,替代数据应当被纳入监管范畴。但在正式稿中并未提及“替代数据”以及其定义。此处的“其他相关信息”某种程度上可以认为是“替代数据”的一种表达。
早在2019中国普惠金融国际论坛上,中国人民银行征信管理局局长万存知曾提出通过替代数据服务,解决信息的不对称性,助力普惠金融。他提出替代数据分为四类:个人身份信息和注册登记信息、资质信息、行政处罚信息、行为信息和社交行为信息。前三类信息较为规范,能够格式化。《个人信用信息基础数据库管理暂行办法》及《融资性担保公司接入征信系统管理暂行规定》等规定的征信信息已经包括了资质信息、行政处罚和诉讼信息等。在征求意见稿中可以看到监管机构试图将上述第四类替代数据囊括进入信用信息范畴,如交通、通信、支付、消费即是所谓的行为、社交信息。
至2020年12月,中国人民银行在“长三角征信一体化”工作推进现场交流会上,明确指出“替代数据在现代化征信体系中发挥重要作用,是借贷信息的有益补充。市场化的替代数据征信信息互联互通是当前构建全覆盖社会征信体系的重要步骤。利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动,需要纳入征信监管。”但并未对于替代数据的定义有进一步划分或界定。
征求意见稿事实上尝试个人征信领域替代数据(尤其在个人行为和社交方面)纳入监管,但业界各方普遍共识是“信贷”场景是征信信息,对于信用信息的宽泛范围多有疑虑,同时鉴于相关信息的敏感性,此次正式稿中将列举的数据类别均删除,仅保留了最核心的基本情况、借贷信息等主要信息,但结合“其他相关信息”、央行近年来表态以及《征信业务管理办法》答记者问中明确表达的观点,替代数据已然纳入监管范畴,信用信息的外延已被扩展,后续实践中扩大征信信息适用场景可能性较大。但对于替代数据如何界定和划分,有待监管机构在实践中进一步明确。
3.实质重于形式的监管要求
市场部分机构避开“征信”,强调其提供的是数据服务。出于实质重于形式的原则,为避免各类非持牌征信机构以其他如“信用信息服务”“信用服务”“信用评分”“信用评级”“信用修复”等名义对外实质提供征信服务,监管明确上述情形均适用本办法。
三、征信业务的准入从严
《办法》第四条和第五条是关于征信业务准入资质的明确,也是对《征信业管理条例》中从事个人征信业务须经国务院征信业监督管理部门批准取得许可的重申。从事征信活动必须取得合法征信业务资质:从事个人征信业务的,应当取得中国人民银行个人征信机构许可。金融机构也必须与取得合法征信业务资质的市场机构开展商业合作获取征信服务。
1.持牌或合作
征信新规的政策之下,市场相关主体采集、整理、保存、加工信用信息并直接向金融机构提供用户个人信息或对用户的画像、风险等级评分等实质从事信用评价等模式显然在监管约束之列,征信业务的边界扩展以及对于持牌经营的从严监管对于市场上诸多大数据公司、金融科技公司、网络平台机构等带来业务模式的不确定性。如继续开展征信业务,一则持牌二则找寻合作路径。
监管对征信牌照的发放把控极为严格。尽管2020年底,国务院常务会议以及国务院政策例行吹风会上均明确提及“积极稳妥推进个人征信机构准入”的事宜。从征信牌照发放历史及征信行业本身的特性来看,类征信业务公司转型为个人征信牌照是极少数。结合当前政策以及市场实践,大多数大数据公司、金融科技公司等市场主体需要寻求与征信机构合作,《办法》第二章第九条、第十条提供了“信息提供者”和征信机构的合作模式,大数据公司、金融科技公司等市场主体可以与征信机构合作,作为信息提供者提供相应服务。但目前获得个人征信牌照的市场化机构仅百行征信及朴道征信。朴道征信目前已与多家数据、金融科技公司展开了合作,一方面其主要依托股东已有产品和算法,另一方面其整合了外部数据资源,今年分别已与同盾科技、冰鉴科技签署战略合作框架协议。后续大数据公司与征信机构的合作也是大数据、金融科技公司考虑的重要方向。
此外,《办法》第五十一条规定,自2022年1月1日新规生效起计算,相关企业将有18个月的过渡期间完成合规整改,但一则考虑到业务模式需要进行转变,二则《办法》第五条禁止金融机构与无资质主体开展合作,而金融机构势必不会以18个月为期限与无资质市场主体继续合作,因此留给市场机构的时间较为紧张。
2.纳入间接监管
如前所述,《办法》明确了市场主体和征信机构合作的合法基础。根据《办法》第十一条“征信机构经营个人征信业务,应当制定采集个人信用信息的方案,并就采集的数据项、信息来源、采集方式、信息主体合法权益保护制度等事项及其变化向中国人民银行报告。”第十四条 “个人征信机构应当将与其合作,进行个人信用信息采集、整理、加工和分析的信息提供者,向中国人民银行报告。”,监管机构事实上也实现了对于无资质的市场主体的间接监管。
相比较征求意见稿仅要求“报备”,正式发布稿中要求“报告”,中国人民银行关于《征信业务管理办法(征求意见稿)》公开征求意见的反馈中也明确其部分采纳了“将有关机构纳入征信监管”的建议,因而对于信息提供者、征信机构开展个人征信业务整体方案模式等都直接纳入监管。
2021年10月7日,中国人民银行行长易纲日前在国际清算银行(BIS)监管大型科技公司国际会议上进一步表态,“平台公司全面剥离与个人征信相关的业务,通过持牌个人征信机构向金融机构提供信用信息服务……,将继续完善有关制度,落实个人征信等金融业务持牌经营。”可以预见,在《征信业务办法》明确征信边界和规则后,监管机构将进一步落地和明确相关的监管细则要求。监管实践中,非法从事征信业务的行为也将得到严肃查处,征信市场发展将日益规范。但对于当下金融科技、数据分析公司、平台公司等相关市场机构则需要尽快找寻转型的路径,合法依规开展业务经营。
