“信联”筹备在即，征信体系架构初露端倪

征信体系大数据法律

吴丹君王渝伟周天一 | 2017-11-23 12:07

【数据猿导读】 11月15日消息，继6月市场传出“信联”筹建已进入实质阶段后，近日又有消息称，“信联”今年底就要正式批准筹建。该平台由互联网金融协会牵头，成立的主要目的是把央行征信中心未能覆盖到的个人客户金融信用数据纳入，构建一个国家级的基础数据库，实现行业的信息共享，以有效降低风险成...

来源：数据猿作者：吴丹君王渝伟周天一北京观韬中茂（上海）律师事务所

11月15日消息，继6月市场传出“信联”筹建已进入实质阶段后，近日又有消息称，“信联”今年底就要正式批准筹建。该平台由互联网金融协会牵头，成立的主要目的是把央行征信中心未能覆盖到的个人客户金融信用数据纳入，构建一个国家级的基础数据库，实现行业的信息共享，以有效降低风险成本，效仿第三方支付“共建、共有、共享”原则的“网联”模式，在传统金融之外，实现对互联网金融和小微金融个人征信的全面覆盖。此外，近期国家工商总局就《网络交易违法失信惩戒暂行办法》对外征求意见；央行重庆营业管理部发布了《关于征求<加强互联网信贷业务征信合规管理的通知（征求意见稿）>修改意见的通知》；民航局印发《民航行业信用管理办法（试行）》及解读。同时，在党中央、国务院连续出台系列信用改革文件的背景下，地方层面的综合信用相关的法规也陆续出台实施，足见国家对于社会信用体系的建设以及金融征信合规的重视已经达到了空前的高度。

随着互联网金融与征信行业的结合愈加紧密，征信企业对于数据安全风险尤其是运营过程中涉及个人信息的采集、在不同机构之间的转移、以及相关数据在具体应用场景的使用等可能产生的法律风险需要特别关注。征信大数据涉及国家利益、金融秩序及安全、个人隐私等重要信息，国务院、央行、各部委出台的法律、法规、规章中针对其也有相应的特别规定，为此，我们团队特别从金融征信以及其他社会信用两个体系梳理了相关法律、法规、规章：

互联网金融征信

法律、法规、规章	相关内容
《征信业管理条例》	第三条从事征信业务及相关活动，应当遵守法律法规，诚实守信，不得危害国家秘密，不得侵犯商业秘密和个人隐私。第十三条采集个人信息应当经信息主体本人同意，未经本人同意不得采集。但是，依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息，不作为个人信息。第十四条禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。第十五条信息提供者向征信机构提供个人不良信息，应当事先告知信息主体本人。但是，依照法律、行政法规规定公开的不良信息除外。第十六条征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。在不良信息保存期限内，信息主体可以对不良信息作出说明，征信机构应当予以记载。第十九条征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的，应当在合同中作出足以引起信息主体注意的提示，并按照信息主体的要求作出明确说明。第二十一条征信机构可以通过信息主体、企业交易对方、行业协会提供信息，政府有关部门依法已公开的信息，人民法院依法公布的判决、裁定等渠道，采集企业信息。征信机构不得采集法律、行政法规禁止采集的企业信息。第二十二条征信机构应当按照国务院征信业监督管理部门的规定，建立健全和严格执行保障信息安全的规章制度，并采取有效技术措施保障信息安全。经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定，对工作人员查询个人信息的情况进行登记，如实记载查询工作人员的姓名，查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息，不得泄露工作中获取的信息。第二十四条征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。第二十九条从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息。从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的书面同意，并适用本条例关于信息提供者的规定。
《征信机构管理办法》	第七条　申请设立个人征信机构，应当向中国人民银行提交下列材料：（九）具有国家信息安全等级保护测评资质的机构出具的个人信用信息系统安全测评报告，关于信息安全保障措施的说明和相关安全保障制度第二十八条　个人征信机构应当在每年第一季度末，向中国人民银行报告上一年度征信业务开展情况。企业征信机构应当在每年第一季度末，向备案机构报告上一年度征信业务开展情况。报告内容应当包括信用信息采集、征信产品开发、信用信息服务、异议处理以及信用信息系统建设情况，信息安全保障情况等。第三十条　征信机构应当按照国家信息安全保护等级测评标准，对信用信息系统的安全情况进行测评。征信机构信用信息系统安全保护等级为二级的，应当每两年进行测评；信用信息系统安全保护等级为三级以及以上的，应当每年进行测评。个人征信机构应当自具有国家信息安全等级保护测评资质的机构出具测评报告之日起20日内，将测评报告报送中国人民银行，企业征信机构应当将测评报告报送备案机构。
《个人信用信息基础数据库管理暂行办法》	第二十六条　商业银行应当根据中国人民银行的有关规定，制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程，并报中国人民银行备案。第三十一条　商业银行应当建立保证个人信用信息安全的管理制度，确保只有得到内部授权的人员才能接触个人信用报告，不得将个人信用报告用于本办法第十二条规定以外的其它用途。
《金融信用信息基础数据库用户管理规范》	3 管理原则 3.4 信息安全保护原则各类用户应依照《征信业管理条例》等法律法规的规定，查询信息主体的信息，对知悉的信息主体信息在合法合规的范围内使用，不得泄露、违规使用，不得违法向第三方提供。各类用户应妥善保管自己的系统密码，依照金融信用信息基础数据库的系统功能设置定期更改；因密码保管不善、密码更改不及时而导致信息安全事故的，泄露密码的用户及其所在单位应承担相应的责任。
《征信机构信息安全规范》	7 安全管理 7.1.1 内部管理制度 b)应建立征信系统建设和运维管理制度，对机房管理、资产安全、设备管理、网络安全和系统安全等方面做出明确规定。 g)应建立数据管理制度，对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。 i)应建立安全事件及重大事项报告制度，重大信息安全事故应及时向中国人民银行及其派出机构报告。 j)应建立突发事件应急预案制度，有效避免事故造成的危害。 k)应建立信息安全检查制度，定期或根据需要(如可能存在安全隐患时)不定期开展安全自查工作，主动接受和配合中国人民银行及其派出机构的安全检查。 7.1.2 安全审计制度基本要求： d)应对业务操作进行审计，审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。 e)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应保护系统中的审计记录，避免受到未预期的删除、修改或覆盖等，保存期至少半年；纸质版审计记录保存期应不少于三年。 9 业务运作 9.6 信息保存信息保存应满足以下要求： a)征信系统应在一定时期内保存对外交互过程中产生的信息文件，如信息提供者的原始报文文件、反馈文件、信息查询文件等；同时应保存交互时间、交互对方系统信息、交互是否成功等日志信息，以便事后可追查；对征信系统的交互信息文件和日志文件进行严格的权限控制和操作审计，防止个人信息泄露。 b)征信系统采集的个人不良信息应当按照法律法规规定的期限进行保存；超过保存期限的个人不良信息，应当从征信系统中删除，或者进行去标识化处理，移入非生产数据库保存。 c)征信机构应当采取有效措施，确保个人不良信息去标识化处理后，个人身份不被直接或间接识别。 9.9 信息跨境流动信息跨境流动应满足以下要求： a)征信机构在中国境内开展征信业务及相关活动，其生产数据库、备份数据库应设在中国境内。 b)征信机构对采集的信息进行整理、保存和加工等活动，应当在中国境内进行，不得通过网络或携带存储介质出境等方式，将采集的信息传输至境外。 c)征信机构向境外组织和个人提供信息，应当遵守法律法规和中国人民银行的有关规定。
《征信机构监管指引》	第二十一条征信机构应当完善公司治理结构，建立健全信用信息采集、使用、加工处理、查询、异议和投诉处理、信息安全等内控制度。
《关于做好个人征信业务准备工作的通知》	2015年1月5日，人民银行印发《关于做好个人征信业务准备工作的通知》，要求芝麻信用管理有限公司、腾讯征信有限公司等八家机构（后附名单）做好个人征信业务的准备工作，准备时间为六个月。《通知》强调，上述机构要严格按照《征信业管理条例》和《征信机构管理办法》进行准备和完善，达到相关法律法规要求，切实做到依法合规。

在现行法律体系下，有关金融征信的法规规章主要由央行予以发布，包括《征信业管理条例》、《征信机构管理办法》、《个人信用信息基础数据库管理暂行办法》、《金融信用信息基础数据库用户管理规范》、《征信机构信息安全规范》、《征信机构监管指引》等。

对于个人信息保护，征信机构收集信息主体信息应当取得本人同意，不得采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息等敏感信息。征信机构在履行对不良信息主体的告知义务后，保存个人不良信息的期限为5年。在利用格式合同条款取得个人信息主体同意时，征信机构还应当在合同中作出足以引起信息主体注意的提示，并按照信息主体的要求作出明确说明。此外，我国征信机构收集、加工、保存个人信息只能在我国境内进行，不得通过网络或携带存储介质出境等方式，将采集的信息传输至境外，确有必要向境外组织和个人提供的，应当遵守法律法规和中国人民银行的有关规定。

对于内控制度，首先，在向央行申请设立个人征信机构之初，申请人应当出具关于信息安全保障措施的说明和相关安全保障制度，在每年第一季度末上报信息安全保障情况。其次，根据国家信息安全保护等级测评标准，对自身信用信息系统的安全情况进行测评。再次，征信机构应当完善对其工作人员的监督管理，明确人员权限和程序，根据查询记录及时登记姓名、时间、内容及目的，对系统内数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。最后，征信机构应建立安全事件及重大事项报告制度，规划突发事件应急预案。

社会信用体系

法律、法规、规章	相关内容
《关于加强中小企业信用管理工作的若干意见》	四、中小企业信用管理工作的实施 2.加强组织协调，实现中小企业信用监督管理的社会化。各级经贸、财政、金融、税务、工商、质量技术监督、海关、外汇管理、公安等有关部门，要探索建立部门间联合的信用信息征集与信用评价体系。要制定措施支持社会信用服务中介机构收集和汇总中小企业的有关信用信息，充分利用计算机和网络等先进技术和现代化工具，在法律框架内，逐步建立信息发布、信息共享和网络化的信用体系，实现中小企业信用资料的查询、交流及共享的社会化。
《社会信用体系建设规划纲要（2014-2020年）》	五、完善以奖惩制度为重点的社会信用体系运行机制（五）强化信用信息安全管理。健全信用信息安全管理体制。完善信用信息保护和网络信任体系，建立健全信用信息安全监控体系。加大信用信息安全监督检查力度，开展信用信息安全风险评估，实行信用信息安全等级保护。开展信用信息系统安全认证，加强信用信息服务系统安全管理。建立和完善信用信息安全应急处理机制。加强信用信息安全基础设施建设。加强信用服务机构信用信息安全内部管理。强化信用服务机构信息安全防护能力，加大安全保障、技术研发和资金投入，高起点、高标准建设信用信息安全保障系统。依法制定和实施信用信息采集、整理、加工、保存、使用等方面的规章制度。
《最高人民法院关于公布失信被执行人名单信息的若干规定》	第八条　人民法院应当将失信被执行人名单信息，向政府相关部门、金融监管机构、金融机构、承担行政职能的事业单位及行业协会等通报，供相关单位依照法律、法规和有关规定，在政府采购、招标投标、行政审批、政府扶持、融资信贷、市场准入、资质认定等方面，对失信被执行人予以信用惩戒。人民法院应当将失信被执行人名单信息向征信机构通报，并由征信机构在其征信系统中记录。国家工作人员、人大代表、政协委员等被纳入失信被执行人名单的，人民法院应当将失信情况通报其所在单位和相关部门。国家机关、事业单位、国有企业等被纳入失信被执行人名单的，人民法院应当将失信情况通报其上级单位、主管部门或者履行出资人职责的机构。
《网络交易违法失信惩戒暂行办法（征求意见稿）》	第四条网络商品经营者有下列情形之一，属于严重违法失信行为：（一）使用或者协助他人使用虚假身份证明或者营业执照信息、冒用他人身份证明或者营业执照信息从事网络经营活动的。第五条第三方网络交易平台经营者和其他有关服务经营者有下列情形之一，属于严重违法失信行为：（三）未依法履行数据信息提供义务，或者不及时、完整、真实地提供有关数据信息，两年内被工商行政管理部门行政处罚三次以上的。第六条网络商品经营者有下列情形之一，属于一般违法失信行为：（一）已领取营业执照的法人、其他经济组织和个体工商户，未在其网站首页或者从事经营活动的主页面醒目位置真实、完整地公开营业执照登载的信息或者其营业执照的电子链接标识的；（二）从事网络商品交易的自然人，未向第三方网络交易平台提交身份信息或者提交的身份信息不真实，无法取得联系的。第七条　第三方网络交易平台经营者和其他有关服务经营者有下列情形之一，属于一般违法失信行为：（二）未依法履行数据信息提供义务，或者不及时、完整、真实地提供有关数据信息，被工商行政管理部门予以行政处罚的；
《上海市社会信用条例》	第六条社会信用信息的归集、采集、共享和使用等活动，应当遵循合法、客观、必要的原则，确保信息安全，不得侵犯国家秘密、商业秘密、个人隐私和其他个人信息。任何组织和个人不得非法收集、使用、加工、传输自然人的社会信用信息，不得非法买卖、提供或者公开自然人的社会信用信息。第十四条采集市场信用信息，涉及个人信息的，应当经信息主体本人同意，但是依照法律、行政法规规定公开的信息除外。不得采集自然人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息，但是明确告知信息主体提供该信息可能产生的不利后果并取得其书面同意的除外。禁止采集自然人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
《河北省社会信用信息条例》	第四条社会信用信息的归集、披露、使用应当遵循合法、安全、及时、真实的原则，维护信用主体的合法权益,不得泄露国家秘密，不得侵犯商业秘密和个人隐私。任何组织和个人不得非法收集、使用、加工、传输自然人的社会信用信息，不得非法买卖、提供或者公开自然人的社会信用信息。第十六条禁止归集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止归集的其他个人信息。除明确告知信用主体提供该信息可能产生的不利后果，并取得其书面同意外，不得归集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税额的信息。法律、行政法规另有规定的除外。
《民航行业信用管理办法（试行）》	第二十四条涉及国家秘密、商业秘密和个人隐私的信用信息，应当进行技术处理后，再予公开。第二十七条民航局应当做好信用信息数据安全保护工作，定期检查信息系统，保护信息主体合法权益。违法公开相关信息，或者公开信息中涉及国家秘密、商业秘密或者个人隐私而未作技术处理的，依法追究相关单位和人员的责任。

在现行法律体系下，社会信用体系相关的法律法规有《关于加强中小企业信用管理工作的若干意见》、《社会信用体系建设规划纲要（2014-2020年）》、《最高人民法院关于公布失信被执行人名单信息的若干规定》、《网络交易违法失信惩戒暂行办法（征求意见稿）》、《上海市社会信用条例》、《民航行业信用管理办法（试行）》等。

虽然在目前的大环境下，个人和企业征信信息多被用于金融行业特别是发展迅猛的互联网金融，本次“信联”的筹备同样是为了有效监管互联网放贷业，减少借贷风险，但互联网金融仅仅构成了社会信用体系的重要组成部分，未来国家将逐步构建起各行业的征信框架，实现不同行业之间、中央与地方之间社会信用信息的对接与流通。作为信用主体的个人和企业，一定要了解现行征信法律体系，防止个人及企业信息被非法收集和使用。作为征信行业的相关企业更要对征信立法动态保持足够重视，了解涉及征信行业中的法律风险及防范措施，完善内控，做到合法合规。

作为数据密集型的行业企业，除前文已经提到的征信行业内有关保护个人信息的相关措施规定外，征信公司还应当关注《网络安全法》的已有规定，收集和使用个人信用信息时遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；不得泄露、篡改、毁损收集的个人信用信息；未经被收集者同意，不得向他人提供个人信用信息；采取技术或其他措施确保收集的个人信用信息的存储与运输安全，防止信息泄露、毁损、丢失；及时进行数据脱敏与模糊化处理。其次，运营风控流程、制度乃至合同文本的搭建应构成征信公司内控的重要组成部分，只有完善相关权限和程序，才能更好地保证征信业务运营的规范有序。最后，定期的风险管理培训同样十分必要，征信公司应当及时检测项目设计和产品运营过程中各阶段的风险点，做好风险评估，必要时聘请法律合规专业人员予以协助。

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。