征信信息安全管理国际经验探究

征信信息安全管理国际经验探究

摘要:征信信息安全管理是征信业务管理的重心。目前,我国征信信息安全管理面临法律法规有待健全、征信信息供需失衡、征信系统接入机构管理水平有待提高、征信信息跨境流动风险日益显现等问题。借鉴日本和韩国征信信息安全管理的成功经验,为加强我国征信信息安全管理,应进一步完善法律法规,强化监督管理,增加征信产品与服务供给,推动金融科技在征信领域的应用,加强国际交流合作。

关键词:征信信息;信息安全;跨境流动风险;征信监管;经验借鉴

近年来,我国P2P网贷、小贷公司等机构快速发展,对征信信息的需求呈几何级数增加。持续增长的需求与互联网技术相结合,不断冲击着征信信息安全。近年来屡屡发生的盗卖个人征信信息的案件暴露了征信信息在查询、使用等方面存在的问题,征信信息安全管理日益引起关注。

一、新阶段我国征信信息安全管理特点

(一)征信信息安全立法逐步完善。保障征信信息安全是征信业务管理的重心。对征信信息安全管理的实质就是对信息采集、整理、使用等各环节进行管理,保证各环节的信息准确安全。目前,我国主要通过《征信业管理条例》《企业信息公示暂行条例》等法规来规范征信活动,这些法规基本确立了与征信信息相关的业务活动规范,对征信信息安全起到了保障作用。

(二)征信业务监管主体明确。我国征信业务的监管主要由中国人民银行负责,这一职能的确立最早是在2003年由国务院赋予。2013年,随着《征信业管理条例》的颁布,中国人民银行对征信业务的监督管理职能正式从法律上确立。中国人民银行主要通过对涉及信息提供和使用的各方及征信业务各环节进行监督管理,以保证征信信息的安全和征信业务的顺利展开。同时,中国人民银行还对各机构进入和退出征信市场以及征信信息采集、提供数据、异议核查等征信业务实施监管,以保障征信信息安全[1]。

(三)征信信息系统架构较完整。目前,我国的征信信息系统架构较完整,主要有两类:一类是政府信息系统,由中国人民银行征信中心负责构建;另一类是商业机构信息系统,二者互为补充,互相协作,形成较为完整的信息系统架构。随着社会公众对信用信息的关注越来越高,中国人民银行通过颁布《征信投诉办理规程》,进一步加强数据库的信息建设,以确保信息安全和对信息主体的权益保护。

二、我国征信信息安全管理面临的主要问题

(一)法律法规有待健全。威胁征信信息安全的重要原因之一是信息违法买卖,健全法律法规能够有效遏制买卖双方的违法行为。我国2015年《刑法修正案(九)》与2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“向他人出售或者提供公民个人信息”或“窃取或者以其他方法非法获取公民个人信息”情节严重的行为认定为犯罪行为。《征信业管理条例》对“违法提供或者出售信息”行为进行行政处罚,但未对违法获取个人征信信息行为进行限制或处罚。对于情节轻微的违法获取个人征信信息的行为,现阶段无法通过行政法规进行限制。

(二)征信信息供需失衡。近年来,网贷平台、小贷公司快速发展。2018年末全国网贷平台累计6612家,正常运营343家,累计成交量8.99万亿元;全国成立小贷公司8133家,贷款余额9550亿元,其中只有1200多家网贷平台和小贷公司接入金融信用信息基础数据库。一方面,网贷平台、小贷公司需要征信信息降低贷前调查及贷后管理成本,但受机构资质、管理水平、业务系统等条件限制,多数机构未接入中国人民银行征信系统,只能通过借款人提供或其他渠道获取征信信息。另一方面,信息系统功能有待完善。现阶段征信系统不具备用户与IP地址绑定功能,不能完整记录用户登录位置信息,用户在非本单位可以登录使用。系统功能的不完善为征信用户盗用及买卖征信信息提供了可乘之机。

(三)接入机构管理水平有待提高。一方面,征信系统接入机构对征信信息安全管理重视度不够,信息保护意识不强,部分接入机构未意识到外部机构对征信信息的强烈需求容易引发员工的道德风险。调查显示,只有不到一半的接入机构对员工开展过风险警示教育,接入机构普遍对电子征信信息设置的安全保护级别较低。另一方面,个别接入机构用户管理不严,存在被盗用、买卖征信信息以及设置“公共用户”现象;个别机构未从严管控征信查询终端,导致信息被非法下载及传递;部分机构存在信用报告未加水印、对违规人员追责不严等问题。

(四)跨境流动风险日益显现。我国征信业已迈出对外开放步伐,邓白氏、益博睿等国际征信业巨头在国内设立了子公司,标准普尔、惠誉和穆迪三大国际评级机构已注册独资法人机构,更多外资征信机构正逐步进入国内市场。外资征信机构带来先进技术、业务模式的同时,也带来了征信信息的跨境流动风险。信息跨境流动需要与信息流向的国家建立合作和协调机制,涉及法律框架、监管制度、行业自律、信息保护、异议处理等多个维度,短期内难以实现。《征信业管理条例》规定“征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”[2]。在外资机构已进入国内、合作机制尚未建立期间,征信信息非法跨境流动风险隐患比较突出。

三、日韩征信信息安全管理的成功经验

(一)日本征信信息安全管理经验。日本目前已建立起了较为完备的征信业体系,形成了法规健全、良性竞争、行业协会自律作用有效发挥、个人贷款者主动参与的良性发展格局,在征信信息安全管理方面有很多经验值得我国借鉴。1.严格保护个人信用信息不受侵害20世纪80年代日本政府就先后颁布了一系列法案,对政府保有的个人信息安全提供法律保障。2003年,日本颁布《个人信息保护法》《关于保护独立行政法人等所持有之个人信息的法律》《信息公开与个人信息保护审查会设置法》等五部法律,确立了日本个人信息保护的基本法律框架,规定了保护个人信息的若干共同事项,明确了个人信息主体的权利和个人信息处理者的义务。其立法理念是尊重个人人格、慎重处理个人信息,相关机构必须设法保护个人信息的正当处理。2.大力促进政府信息公开为促进政府信息对外共享,降低全社会信息搜集成本,1993年日本政府颁布《行政改革委员会行政信息公开法纲要》,对收集政府部门保有的信用信息提供法律依据。2001年《政府信息公开法》规定政府将其掌握的大量信息免费向社会公开,包括企业登记、土地、房屋状况、纳税信息、破产申请信息等。3.金融机构征信信息服务广覆盖日本的三大个人征信机构日本信用情报机构株式会社(JICC)、信用信息中心株式会社(CIC)和全国银行个人信息中心(PCIC)分别隶属于日本信贷业协会、日本信用卡协会和消费信贷协会、日本银行业协会。征信机构服务覆盖了几乎所有类型的金融机构,其中,JICC拥有规模最大、覆盖全行业的个人信用信息;CIC在日本《贷金业法》和《分期付款销售【他山之石】徐肖冰,陈庆海征信信息安全管理的国际经验借鉴法》两个法律框架下授权[3],由多家信用卡公司和消费金融公司组建而成,在分期付款领域具有较强专业性;PCIC由日本银行业协会(JBA)设立和运营,JBA由日本银行业金融机构会员组成,PCIC负责为JBA会员机构提供个人征信信息服务。4.能够提供全面系统的企业信息在日本,企业征信行业由帝国数据银行(TDB)和东京商工所(TSR)负责,它们收集企业各方面信息,对市场参与者的信用状况进行调查,并且跟踪其变化情况,为贷款机构和个人提供的信息服务,主要包括企业信用报告(含海外企业)、企业概要以及财务和关联信息数据库服务、信用咨询服务等。与此同时,TDB、TSR纷纷参与了国际征信合作,TSR参与了国际征信业巨头美国邓白氏公司牵头组建的全球网络(D&B),TDB则在海外成立了两家分公司[3]。

(二)韩国征信信息安全管理经验。韩国征信业注重在保障信息安全的前提下,推动信息共享,建立征信行业基本架构,其中,相关法律制度的建立与实施发挥了很大作用,逐渐形成相对完善的法律法规体系。1.公私合作模式解决供需失衡目前,韩国征信业实行的是两级行业架构。一级是根据相关法律规定成立的公共机构,如韩国征信信息院(KoreaCreditInformationServices),主要负责管理综合性信用信息数据库;又如一些行业协会,如金融业授信协会、金融投资协会、生命保险协会等,主要负责管理专业性信用信息数据库。另一级是私营征信公司,如韩国国家信息与信用评估公司(NationalInformation&CreditEvaluation),它们主要以营利为目的,通过韩国征信信息院的数据库和其他一些渠道获取征信信息,对外提供信用评级和征信报告等服务。通过政府与私营机构共同合作的模式,满足市场对征信信息的需求,以解决供需不平衡的问题。2.不断完善征信信息保护法案韩国在1995年出台了《信用信息使用与保护法》(UseandProtectionofCreditInformationAct),后来经过了20多次的修订和完善,成为韩国征信行业发展的最基本法案。该法案主要对征信业务活动进行规范,包括对企业和个人信用信息的收集和使用做出明确规定,以保证征信信息的安全使用。韩国通过专门的法案来保障征信行业的有序发展以及信用信息的安全,在一定程度上促进了征信业的积极发展。3.构建个人基本信息保护体系从韩国的征信行业两级架构可以看出,韩国的公共部门和私营征信公司都对个人征信信息的使用和保护发挥着重要作用。但由于这两类征信机构对个人信息的定义、收集和使用等标准与执行方面存在不一致,导致韩国个人信息泄露、消费者受到侵害的案件时有发生。所以经过8年的时间,2011年9月,韩国正式颁布实施《个人信息保护法》(PersonalInformationProtectionAct),更加注重对个人基本信息的保护。该法案明确规定了个人信息使用、收集和公开的基本原则,而且个人信息的管理人员必须考虑到信息主体权利受损的可能性,安全管理个人信息。此外,韩国还构建了全方位的个人信息保护体系。总统办公室下设个人信息保护委员会,成员来自政府部门、国会、最高法院、行业协会等,负责制定个人信息保护方面的政策法规等重大事项;公共管理与安全部负责制定政策措施,鼓励个人信息处理机构在信息保护方面实行自律管理;个人信息处理机构设立隐私信息事务官一职,全面负责个人信息处理方面的相关业务;在可能发生违反个人信息保护法律法规时,机构应及时分析评估风险状况及改进措施,向公共管理与安全部提交“个人信息隐私受影响情况评估报告”。

四、加强征信信息安全管理的相关建议

(一)完善法律法规。从日本和韩国的经验可以看出,其征信业的发展大都经历了较长时期,法律法规也是在发展中得以不断完善。我国虽然已建立了征信法律体系,但征信立法仍停留在行政法规层面,需要进一步完善《征信业管理条例》配套制度,制定《征信信息管理办法》,加强对企业和个人信息保护,对违法获取、使用、出售、提供征信信息等行为进行限制和处罚,实现对征信违法行为全覆盖[4]。

(二)加强监督管理。一是激发接入机构保障征信信息安全的内生动力。通过加强现场和非现场监管、考核评价及警示教育等方式,充分调动接入机构征信合规管理积极性,主动完善内部管理体制机制,优化业务流程,加强用户管理,严格落实异常查询与日核查机制,对违规行为从严问责,减轻外部监管压力。二是建立差异化管理措施。对管理混乱、业务系统不完善、有信息泄露风险机构的查询请求进行限制,甚至暂停服务。三是增加违法成本。对出现征信信息安全问题的接入机构和相关人员实施联合惩戒,如对问题机构增加监管频率、限制相关责任人从事征信相关行业等形成威慑作用。四是进一步厘清工作职责。在各地市设立相对独立的征信中心分支机构承担征信查询服务、业务辅导及技术支持等职责,有助于提高中小接入机构管理水平,也有利于防范征信信息泄露风险的发生。

(三)增加征信服务供给。从日本和韩国征信业发展来看,都采取了公共部门与私人部门并存的混合模式。我国也可借鉴此做法,鼓励民营征信机构发展。一是加快百行征信等市场化征信机构建设,为网贷、小贷公司等机构提供征信服务,与征信系统优势互补,形成覆盖全社会的征信服务体系。二是利用移动终端为信息主体提供方便快捷的查询渠道,满足信息主体征信服务需求。三是进一步丰富征信产品。现有银行版信用报告包含的信息较多,“含金量”较高,建议研发简化版信用报告,对风险防范能力强、未发生过信息泄露的接入机构,提供银行版信用报告;对风险防范能力较弱的机构,提供简化版信用报告。四是逐步扩大信用信息数据来源。可以适当扩大信息采集范围,尤其是金融信用信息基础数据库在采集信贷信息基础上,逐步采集证券、保险、税务、公积金等非银行领域征信信息,扩大信用信息服务范围,提供丰富的征信服务。

(四)加快金融科技在征信领域的应用。一是取消信息下载权限。要求接入机构全面取消征信用户下载权限,利用技术手段结构化、最少化展示征信信息,让信息在接入机构和征信系统之间闭环流转。二是完善系统功能。以二信系统建设为契机,增加征信用户与IP地址绑定、完整记录用户IP地址等抗抵赖验证功能,防止用户盗用和买卖征信信息。三是推广二代自助查询设备。采取置换等方式全面替换一代设备,并对一代设备回收处理,物理删除存储的征信信息。四是加快征信与科技复合型人才的培养。

(五)加强国际交流合作加强与周边以及美国、欧洲等征信发达国家和地区的交流与合作,增进双方的了解和认知,共同制定征信信息跨境流动标准与信息保护框架,推动征信业对外开放。

参考文献:

[1]郭庆祥,张颖君.征信信息保护及风险防范探讨[J].征信,2018(11):44-47.

[2]何波.国际贸易规则下跨境数据流动分析[J].汕头大学学报(人文社会科学版),2017(5):53-56.

[3]池凤彬,刘力臻.日本征信业的历史沿革及运营机制分析[J].现代日本经济,2018(9):81-94.

[4]唐建,漆世濠.征信领域个人信息泄露的防范与救济制度研究[J].征信,2017(11):9-35.

作者:徐肖冰 陈庆海 单位:沈阳理工大学中国人民银行沈阳分行.