中国人民银行发布《征信业务管理办法》，对依法从严加强征信监管

中国人民银行发布《征信业务管理办法》，对依法从严加强征信监管

刚刚，中国人民银行发布了《征信业务管理办法》，自2022年1月1日起施行。

新规定是对《征信行业管理条例》的配套制度，与《征信机构管理办法》一起构成征信法律制度的重要组成部分，加强对征信工作的监管。依法征信。

新规值得注意：

一、明确征信定义，大幅扩大征信范围

与征求意见稿相比，正式稿对“信用信息”的定义进行了较大调整。

征求意见稿原表述为：

“为金融经济活动提供服务，利用各类信息判断个人和企业的信用状况。包括但不限于：身份、地址、交通、通讯、债务、财产、支付、消费、生产经营等、个人和企业的履约情况、法律义务等信息，以及基于上述个人和企业信用状况信息的分析评价信息。”

而当谈到正式草案时，它变成了：

“依法收集，为金融等活动提供服务，识别用于判断企业和个人信用状况的基本信息、贷款信息等相关信息，以及基于上述信息形成的分析评价信息。信息。”

与征求意见稿相比，整体变化不大，“其他相关信息”表述包罗万象，赋予央行非常大的解释权。总体来看，征信新规大大扩大了征信信息的延伸范围，大量的助贷业务也被纳入征信范围。

此外，本办法适用于以“征信服务”、“征信服务”、“信用评分”、“信用等级”、“信用修复”等名义提供征信服务的。建立单独的控制模型并为银行提供服务。它也可能包含在信用报告的范围内，并且需要获得许可的操作。但是，此类机构一般规模太小，无法产生自己的信用信息，央行也无法向其发放个人信用信息许可证。

对于金融360、乐信等贷款援助机构来说，其目前的主营业务，如消费贷款、企业贷款、分期商城等，主要从金融机构获取资金，主要用于信息的收集、存储和处理。在平台上建立风控模型，提供征信、用户画像、评分、评级、信用修复等服务。

2.明确信用管理边界。

新规界定的征信管理范围不涉及非经营性合作信息服务。例如，国家机关和法律、法规授权的具有管理公共事务职能的组织根据职责直接向金融机构提供个人或企业信息，汽车经销商、房地产营销机构等市场机构代为收集客户信息。金融机构依法但不以营利为目的对客户信息进行分析处理的，不适用本办法。

互联网平台开展贷款协助等相关业务，符合征信业务定义的，适用本办法。关键是看贷款机构收集的个人信息的范围。一般来说，如果助贷机构自身不存储个人信用信息，只是进行流量引流，则不算征信；或者仅向金融机构提供风控模式的支付服务，不自行处理个人信用信息，仅协助金融机构进行处理，也不属于征信调查。

线下借贷机构与平安普惠类似，自身不存储个人信用信息也可免征信调查。但是，普惠担保也需要保存个人信用信息，因为它提供担保服务。如果对这些信息的处理不以营利为目的进行分析处理，也可以免于征信认定。

因此，未来平安普惠模式的核心是判断是赚取引流费还是信用分析费。如果只赚引流费，就不是征信，如果赚了信用分析费，就是征信。

3、个人征信需要为金融业务服务，才属于征信

与蚂蚁集团的芝麻信用类似，未来和旗下的蚂蚁征信协会也错位了。芝麻信用服务于商业场景（无押金、免签证等）；蚂蚁征信服务于金融场景。两者长期来看可能有重叠的应用场景，短期的界限是清晰的。

未来淘宝和天猫收集的个人信息必须与蚂蚁信用建立清晰的隔离墙。只能将征信范围内的数据提供给征信机构（在个人授权的前提下），然后所有金融征信服务只能用于征信。信息数据及其加工产品（客户画像、评分）不能直接从原始数据中加工出来建立模型

4、如何认定联贷机构？

从官方草案的表述来看，似乎并没有明确的迹象表明联贷机构可以豁免征信新规。但从银保监会发布的《互联网贷款管理办法》补充文件来看，联合贷主要受银保监会制约。规定出资比例为30%，出资人单一集中度限制为25%。因此，笔者认为，联和贷可免征。信中的要求，但同样适用于个人信息的保护，需要个人事先授权。

5. 类似于蚂蚁征信的征信机构需要强制执行开放的生态系统

事实上，这从近期逼迫腾讯、阿里、今日头条等机构互开放链接入口不封堵就可以看出。央行也坚持同样的思路，不能垄断征信机构。尤其是未来的蚂蚁征信服务需要为整个市场提供公平公正的服务。那么微众银行想要访问你的蚂蚁信用，你必须提供与蚂蚁消费金融公司或网商银行相同的服务。

六、征信机构个人征信获取渠道及范围

与蚂蚁信用、朴道信用类似，其个人信用信息必须主要从目标公司获取，这就需要目标公司依法取得个人的授权。蚂蚁集团需要从支付宝用户和淘宝用户重新弹窗进行个人授权。

但由于征信需要遵循最小化和必要性原则，个别征信机构从目标公司获取的征信数据范围可能是中性的，不如助贷机构推送的个人信息丰富过去对金融机构。例如，地址、交通、购买商品等信息需要隐藏，支付和消费账单汇总作为信用数据；不得授权将旅行足迹等特别敏感的信息用于信用。

“个人征信机构应当规范与信息提供者合作协议的内容。信息提供者应当接受个人征信机构的风险评估和中国人民银行对个人征信信息处理情况的核实”；原文是指蚂蚁集团在向蚂蚁征信发送数据时，一定要控制好范围，需要上报央行并接受风险评估验证。

7. 削减未来的贷款援助流程

未来大部分助贷会演变成两个环节：征信+分流+贷后管理；即整个助贷流程可能被割裂，预贷本质上是批量个人信息查询服务，不再是个人信用信息。推送服务；当然，这个批量查询是要收取查询费的，金融机构一次可以做百万次查询和白名单授信。

最重要的是分流服务。比如金融机构完成了蚂蚁信用的征信查询后，最重要的就是为你在淘宝商城购物提供分流。购物时会提示您是否需要使用本机构的分期付款？而这个提示应该是多个机构供消费者选择（当然除了最后只有一个机构愿意授信）。

金融机构需要独立的风险控制，这意味着金融机构不能只根据蚂蚁信用的信用评分来授信。为了提升客户体验，笔者认为提前预贷是非常有必要的。

最后，可以引入第三方担保机构提供担保。当然，该担保仍需根据此前银保监会（平安浦汇、兴业银行上海分行）的处罚规定，提供多个担保机构供消费者选择，不能一并捆绑。担保机构可能会获得信用报告，也可能是目标公司的关联方。

8、未来大量贷款机构的转型路径是什么？

作者推测了几个想法：

（一）只提供风控服务和贷后管理服务，不接触客户信用信息；适用于没有足够场景自行获取客户信息的机构；

（二）通过子公司征信机构提供征信服务，并由中央银行招收，如蚂蚁集团；

（三）纯粹提供导流服务，在个人信用信息授权下直接提供给金融机构；不自行分析处理个人信用信息，收取导流服务费。适用于有自己的流量平台但没有征信牌照的机构。

（四）对广大中小贷款援助机构而言，可能不合理，不发达。

以下为新规全文及对记者提问及反馈的回答：

征信业务管理办法

中国人民银行令[2021]4号

《征信业务管理办法》已经2021年9月17日中国人民银行2021年第9次常务会议审议通过，现予公布上报金融数据库会怎么，自2022年1月1日起施行。易纲2021年9月27日

征信业务管理办法

第一章总则

第一条 为规范征信业务及相关活动，保护信息主体合法权益，促进征信行业健康发展，推进社会信用体系建设，依据《中华人民共和国征信法》中华人民共和国关于中国人民银行和《中华人民共和国个人信息保护法》 根据《征信行业管理条例》等法律法规，制定本办法。

第二条 在中华人民共和国境内，从事征信业务及相关活动的法人、非法人组织（以下统称企业）和个人，适用本办法。

第三条 本办法所称征信业务，是指收集、整理、保存、处理企业和个人信用信息，提供给信息使用者的活动。

本办法所称信用信息，是指依法为金融等活动提供服务而收集的用于识别和判断信用状况的基本信息、贷款信息等相关信息。企业和个人，以及基于上述信息形成的分析评价信息。

第四条 从事个人征信业务的，应当依法取得中国人民银行个人征信机构的许可；从事企业征信业务的，应当依法办理企业征信机构备案手续；从事信用评级业务的，应当依法向信用评级机构申请备案。

第五条 金融机构不得与未取得合法征信业务资格的市场机构开展商业合作以获得征信服务。

本办法所称金融机构，是指在国务院金融管理部门监督管理下从事金融业务的机构。

本办法关于金融机构的规定，适用于地方金融监管部门负责监督管理的地方金融组织。

第六条 从事征信业务及相关活动，应当保护信息主体的合法权益，保障信息安全，防止信用信息泄露、丢失、毁损、滥用，不得危害信息主体的合法权益。国家秘密，不得侵犯个人隐私和商业秘密。

从事征信业务及相关活动，应当遵循独立、客观、公正的原则，不得违反法律法规的规定，不得违反社会公序良俗。

第二章信用信息的收集

第七条 收集个人信用信息，应当采用合法、适当的方法，遵循最少和必要的原则，不得过度收集。

第八条征信机构不得以下列方式收集征信信息：

（一）欺骗、胁迫或者利诱；

（二）向信息主体收费；

（三）非法渠道收取的；

（四）以其他方式侵害信息主体合法权益的。

第九条 信息提供者向征信机构提供信用信息的，征信机构应当制定相关制度，对信息提供者的信息来源、信息质量、信息安全、信息主体授权等进行必要的审核。

第十条 征信机构和信息提供者开展业务和合作，应当遵守《中华人民共和国个人信息保护法》等法律法规，明确通过协议等方式收集信息的原则，以及如何征得客户同意、信息收集、处理、信息更正、异议处理、信息安全等方面的权利、义务和责任。

第十一条 征信机构经营个人征信业务，应当制定个人征信信息收集计划，将收集的数据项目、信息来源、收集方式、合法保护制度等情况向中国人民银行报告。信息主体权益及其变化。报告。

第十二条征信机构收集个人信用信息，应当征得信息主体同意，并明确告知信息主体收集信用信息的目的。依照法律法规规定披露的信息除外。

第十三条征信机构通过信息提供者征得个人同意的，信息提供者应当向信息主体履行告知义务。

第十四条 个人征信机构应当向中国人民银行报告与其合作收集、整理、处理和分析个人征信信息的信息提供者。

个人征信机构应当规范与信息提供者合作协议的内容。信息提供者应当接受个人征信机构的风险评估和中国人民银行个人征信处理情况的核实。

第十五条 收集企业信用信息应当基于正当目的，不得侵犯商业秘密。

第三章 信用信息的整理、保存和处理

第十六条征信机构对信用信息进行整理、保存和处理，应当遵循客观原则，不得篡改原始信息。

第十七条征信机构应当采取措施，提高征信系统信息的准确性，保证信息质量。

第十八条征信机构在整理、存储、处理信用信息过程中发现信息错误，属于信息提供者报送错误的，应当及时通知信息提供者更正；属于内部处理错误的，应当及时纠正，优化信用信息内部处理流程。

第十九条征信机构应当对来自不同信息提供者的信息进行比对，发现信息不一致的，应当及时核对并处理。

第二十条征信机构收集的个人不良信息的保存期限为不良行为或事件终止之日起5年。

不良个人信息保存期限届满，征信机构应当从外部服务和应用中删除不良个人信息；如果它被用作样本数据，它应该是匿名的。

第四章信用信息的提供和使用

第二十一条 征信机构对外提供征信产品和服务时，应当遵循公平原则，不得设置不合理的商业条件限制不同信息使用者的使用，不得利用其优势地位提供歧视性或排他性的产品和服务。

第二十二条征信机构应当采取适当措施，对信息使用者的身份、业务资格、使用目的等进行必要的审查。

征信机构应当对信息用户访问征信系统的网络和系统安全合规管理措施进行评估，并对查询行为进行监控。发现安全隐患或者异常行为的，应当及时排查；发现有违法违规行为的，应当停止提供服务。

第二十三条 信息使用者应当采取必要措施，确保在查询个人信用信息时征得信息主体的同意，并按照约定的用途使用个人信用信息。

第二十四条 信息使用者应当将征信机构提供的信用信息用于正当合法的用途，不得滥用信用信息。

第二十五条 个人信息主体有权每年两次免费获取自己的信用报告，征信机构可以通过互联网查询、营业场所查询等多种方式为个人信息主体提供信用报告查询服务。

第二十六条 信息主体认为信息存在错误或者遗漏的，有权向征信机构或者信息提供者提出异议；认为其合法权益受到侵害的，可以向当地中国人民银行分行投诉。异议和投诉按照《征信行业管理条例》及有关规定处理。

第二十七条征信机构不得以删除不良信息或者不收集不良信息为由向信息主体收取费用。

第二十八条 征信机构提供信用报告等信用信息查询产品和服务，应当客观展示被查询信用信息的内容，并说明被查询信用信息的内容和专业术语。

信息主体有权要求征信机构在征信报告中添加异议标记和声明。

第二十九条征信机构提供画像、评分、评级等信用评价产品和服务的，应当建立评价标准，不得以与信息主体信用无关的因素作为评价标准。

在正式对外提供信用评价产品和服务之前，征信机构应当履行必要的内部测试和评价验证程序，做到评价规则明晰、信息来源可追溯。

征信机构为经济实体或债务融资工具提供信用评级产品和服务的，应当遵守《信用评级行业管理暂行办法》（中国人民银行、发展改革委、财政部印发）等有关规定。金融、证监会令[2019]5号）。开展业务。

第三十条征信机构提供信用反欺诈产品和服务的，应当建立虚假信用信息识别标准。

第三十一条 提供信用信息查询、信用评价、信用反欺诈产品和服务的征信机构应当向中国人民银行或者其省会（首都）中心支行以上分行报告下列事项： ） 城市：

（一）信用报告的模板和内容；

（二）信用评价产品和服务的评价方法、模型和主要维度；

（三）信用反欺诈产品和服务的数据来源，以及欺诈信用信息的识别标准。

第三十二条征信机构不得从事下列活动：

（一）对信用评价结果的承诺；

（二）宣传具有信用评价结果暗示性内容的产品和服务；

（三）未经政府部门或者行业协会同意，以其名义进行营销的；

（四）以胁迫、欺骗、利诱等手段，向信息主体或者信息使用者提供征信产品和服务的；

（五）虚假宣传征信产品和服务；

（六）提供其他影响征信业务客观公正的征信产品和服务。

第五章信用信息安全

第三十三条征信机构应当实施网络安全等级保护制度，制定涉及业务活动和设备设施的安全管理制度，采取有效的保护措施，确保征信系统的安全。

第三十四条 个人征信机构和企业征信机构存储、处理100万户以上企业信用信息的，应当符合下列要求：

（一）核心业务信息系统的网络安全防护等级具有三级及以上的安全防护能力；

（二）信息安全负责人和个人信息保护负责人的设置由公司章程规定的高级管理人员担任；

（三）设立专职负责信息安全和个人信息保护的部门，定期检查征信业务、系统安全、个人信息保护制度和措施的落实情况。

第三十五条征信机构应当保障征信系统运行设施、安全控制设施和互联网应用的安全，做好征信系统的日常运维管理上报金融数据库会怎么，确保系统物理安全、通信网络安全、和区域边境安全。、计算环境安全、管理中心安全等，防止信用体系被非法入侵和破坏。

第三十六条征信机构应当做好人员招聘、离职、考核、安全教育、培训、外部人员准入管理等方面的人员安全管理工作。

第三十七条征信机构应当严格限制从业人员在公司内查询、获取信用信息的权限和范围。

征信机构应当保存工作人员查询、获取信用信息的业务记录，明确记录工作人员查询、获取信用信息的时间、方式、内容和目的。

第三十八条 征信机构应当建立应急响应制度，在发生或可能发生信用信息泄露等事件时，立即采取必要措施减少危害，并及时向中国人民银行及其省会（首府）市报告。中心分公司或以上分公司报告。

第三十九条征信机构在中华人民共和国境内开展征信业务及相关活动，收集的企业信用信息和个人信用信息应当保存在中华人民共和国境内。

第四十条征信机构在境外提供个人信用信息，应当遵守法律、法规的规定。

征信机构向境外信息使用者提供企业信用信息查询产品和服务时，应当对信息使用者的身份和信用信息的使用情况进行必要的审查，确保信用信息用于跨界等合理目的。边贸易、投融资，不得损害国家安全。

第四十一条征信机构与境外征信机构合作的，应当在合作协议签订后、业务开展前将合作协议报中国人民银行。

第六章监督管理

第四十二条征信机构应当向社会公开下列事项，接受社会监督：

（一）收集的信用信息类型；

（二）信用报告的基本格式和内容；

（三）异议处理程序；

（四）中国人民银行认为需要披露的其他事项。

第四十三条 个人征信机构应当对其个人征信业务遵守《中华人民共和国个人信息保护法》和《征信行业管理条例》的情况进行年度合规审计，并将合规审计报告报送中国。及时。人民银行。

第四十四条 中国人民银行及其省会（首府）城市中心支行以上分行对征信机构的下列事项进行监督检查：

（一）征信内部控制体系建设，包括各项制度及相关规定的完整性、合规性和可操作性；

（二）征信业务的合规运营，包括征信信息的收集、信用信息的对外提供和使用、异议和投诉的处理、用户管理、其他事项的合规等；

（三）征信系统的安全，包括信息技术系统、安全管理、系统开发等；

（四）与征信业务活动有关的其他事项。

第四十五条 信息提供者和信息使用者违反《征信行业管理条例》，侵害信息主体合法权益的，中国人民银行及其省会（首府）市以上分支机构中心支行应当依法审查批准。处理。