央行拟规定:征信机构采集信息遵循“最少、必要”原则

据司法部11日消息,中国央行起草了《征信业务管理办法(征求意见稿)》,向社会公开征求意见,意见反馈截止时间为2021年2月10日。征求意见稿对多项内容进行规定,包括信用信息采集、整理、保存和加工;信用信息的使用;信用信息安全和跨境流动等。

对信用信息和征信业务做了明确规定。使征信监管有法可依,将为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息界定为信用信息,其信息服务活动为征信活动。当前实践中,利用该信息对个人或企业作出的画像、评价等业务界定为征信业务,属于征求意见稿的约束范围。

征求意见稿所称信用信息,是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。

从保护个人和企业合法权益角度对信用信息采集、整理、保存和加工进行了规定。要求征信机构采集信息遵循“最少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等,采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。

征求意见稿明确,征信机构不得以下列方式采集信用信息:以欺骗、协迫、诱导的方式;以向被采集的个人或企业收费的方式;从非法渠道采集;以其他侵害信息主体合法权益的方式。

征信机构采集的个人不良信息的保存期限,自不良行为或事件终止之日起5年。不良信用信息到期的,征信机构应当删除,作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。

规范信用信息的使用,保障用于合法目的。要求信息使用者使用个人信用信息应当用于合法、正当目的,不得滥用;征信机构提供信用信息查询、信用评价、信用评级、反欺诈服务等不同种类征信业务时,应当遵循相应的业务规则。

征求意见稿明确,征信机构应当通过互联网、营业场所、委托其他机构等多种方式为个人信息主体提供每年两次免费信用报告查询服务。征信机构委托其他机构向信息主体提供免费信用报告查询服务的,应当对被委托机构资质、服务能力、安全保障设施、合规性要求进行审核,并对被委托机构的查询行为、泄露行为承担连带责任。

个人信息主体有权向征信机构要求提供完整的信用报告。征信机构不得以删除不良信息或不采集不良信息为由,向信息主体收取费用。

征信机构不得提供以下征信服务和产品:对信用评价结果进行承诺;使用对评价结果有暗示性的内容、借用政府部门或行业协会的名义进行市场推广;以胁迫、欺骗、诱导的方式向信息主体或信息使用者提供征信产品和服务;对征信产品和服务进行虚假宣传;其他影响征信业务客观公正性的征信产品和服务。

对信用信息安全和跨境流动进行了规定。从内控制度、软硬件设备、人员管理等方面要求征信机构做好信息安全工作,建立应急和报告制度。向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供。

征求意见稿明确,征信机构应当严格限定查询、获取信用信息的工作人员的权限和范围。征信机构应当建立工作人员查询、获取信用信息的操作记录,明确记载工作人员查询、获取信用信息的时间、方式、内容及用途。

征信机构应当建立应急处置制度,发生或者有可能发生重大信用信息泄露等事件时,应当立即采取必要措施降低危害,并向中国人民银行及其属地分支机构报告。征信机构在中国境内开展征信业务及相关活动,生产数据库、备份数据库应设在中国境内。征信机构向境外提供个人信用信息,应当符合国家法律法规的规定。