中国人民银行印发《征信业务管理办法》保障信息主体合法权益和信息安全

中国人民银行印发《征信业务管理办法》保障信息主体合法权益和信息安全

中国人民银行9月30日发布《征信业务管理办法》，自2022年1月1日起施行。《征信业务管理办法》是《征信条例》的配套制度。 《征信业管理办法》与《征信机构管理办法》共同构成征信法律体系的重要组成部分。推动征信行业市场化、法治化、科技化发展，对保护合法权益和信息安全具有积极意义。

据介绍，《征信行业管理条例》实施以来，人民银行推动国家金融征信基础数据库服务功能不断完善，取得突破性进展，发挥了积极作用。征信系统在防范金融风险中的骨干作用。同时，批准了2家市场化个人征信机构、134家企业征信机构和59家信用评级机构，形成了人民银行征信中心与市场化征信机构相辅相成的发展格局取长补短中国人民银行个人征信，有效提升信用报告。

《征信业务管理办法》在总结征信行业近年来实践经验的基础上，遵循规范与发展并重、制度监管与业务监管并举的原则，明确了征信范围，明确了征信业务的合规要求，规定了征信机构、信息提供者和信息使用者的法律责任，为依法开展征信业务提供了具体的、可操作的指引。规定。

《征信业务管理办法》严格遵循国家法律法规，进一步明确征信全流程业务规则。在维护信息主体合法权益方面，规定信用信息采集的方式和原则，明确信用信息处理的客观性和准确性要求，充分落实信息主体的知情、同意、反对、和投诉。在保障信用信息合法使用方面，强调信用信息使用的公平合法性。征信机构应当提供信用报告、信用画像、信用评分、信用评级、依法依规开展信用反欺诈等征信服务，并将其应用于服务实体经济的金融等活动中。在保障征信信息安全方面，进一步加强和完善征信内部控制制度建设、征信系统安全管理、征信机构人员管理等监管要求。

中国人民银行将根据《征信行业管理条例》、《征信机构管理办法》和《征信业务管理办法》，认真履行对征信业务的监督管理职责。征信行业，严格监管征信机构、金融机构等各类市场主体依法依规开展征信业务活动，促进我国征信行业规范健康发展，提供信用服务研究支持完善适应性强、竞争力强、包容性强的现代金融体系，有效防范和化解金融风险。

中国人民银行令

[2021]4号

《征信业务管理办法》已经2021年9月17日中国人民银行2021年第9次常务会议审议通过，现予公布，自2022年1月1日起施行。

易纲会长

2021 年 9 月 27 日

征信业务管理办法

第一章总则

第一条 为规范征信业务及其相关活动，保护信息主体的合法权益，促进征信行业健康发展，促进社会信用体系建设，依照本法规定中国人民银行根据中华人民共和国《中华人民共和国个人信息保护法》《征信业管理条例》等法律法规，制定本办法。

第二条 在中华人民共和国境内开展征信业务及相关活动的法人、非法人组织（以下统称企业）和个人，适用本办法。

第三条 本办法所称征信业务，是指对企业和个人信用信息进行采集、整理、存储、加工，并向信息使用者提供的活动。

本办法所称信用信息中国人民银行个人征信，是指为金融等活动提供服务，依法收集并用于识别、判断企业和个人信用状况的基本信息、贷款信息及其他相关信息。以及根据上述信息形成的分析评价信息。

第四条 从事个人征信业务，应当依法取得中国人民银行个人征信机构的许可；从事企业征信业务的，应当依法向企业征信机构备案；从事信用评级业务的，应当依法向信用评级机构申请批准备案。

第五条 金融机构不得与未取得合法征信业务资格的市场机构开展商业合作，获取征信服务。

本办法所称金融机构，是指在国务院金融管理部门监督管理下从事金融业务的机构。

本办法对金融机构的规定适用于地方金融监督管理部门负责监督管理的地方金融组织。

第六条 从事征信业务及相关活动，应当保护信息主体的合法权益，保障信息安全，防止信用信息泄露、丢失、毁损或者被滥用，不得危害国家秘密，不得侵犯个人隐私和商业秘密。

从事征信业务及相关活动，应当遵循独立、客观、公正的原则，不得违反法律、法规的规定，不得违背社会公序良俗。

第二章信用信息采集

第七条 个人信用信息采集应当依法合法，遵循最少、必要的原则，不得过度采集。

第八条 征信机构不得通过下列方式采集信用信息：

(1) 欺骗、胁迫或引诱；

（二）收费信息主体；

（三）从非法渠道收取的；

（四）以其他方式侵害信息主体合法权益的。

第九条 信息提供者向征信机构提供信用信息的，征信机构应当制定相关制度，对信息提供者的信息来源、信息质量、信息安全、信息主体授权等进行必要的审查。

第十条 征信机构与信息提供者开展业务设立与合作，应当遵守《中华人民共和国个人信息保护法》等法律法规，通过协议等形式明确信息采集原则，及其各自取得客户同意的程序、信息收集、处理、信息更正、异议处理、信息安全等方面的权利、义务和责任。

第十一条 征信机构经营个人征信业务，应当制定个人信用信息采集方案，并将采集的数据项目、信息来源、采集方式、个人合法权益保护制度等情况报告中国人民银行。信息主体及其变化。报告。

第十二条征信机构采集个人信用信息，应当经信息主体本人同意，并应当明确告知信息主体采集信用信息的目的。不包括依法依规披露的信息。

第十三条 征信机构通过信息提供者取得个人同意的，信息提供者应当履行告知信息主体的义务。

第十四条个人征信机构应当向中国人民银行报告与其合作进行个人征信信息采集、整理、处理和分析的信息提供者。

个人征信机构应当规范与信息提供者的合作协议内容。信息提供者应当接受个人征信机构的风险评估和中国人民银行对个人征信信息处理情况的核查。

第十五条采集企业信用信息应当基于合法目的，不得侵犯商业秘密。

第三章 信用信息的整理、保存和处理

第十六条 征信机构应当遵循客观性原则，对信用信息进行整理、存储和处理，不得篡改原始信息。

第十七条 征信机构应当采取措施，提高征信系统信息的准确性，确保信息质量。

第十八条 征信机构在信用信息整理、保存、处理过程中发现信息错误，属于信息提供者报告错误的，应当及时通知信息提供者改正；属于内部处理错误的，应当及时更正，优化征信信息内部处理流程。

第十九条 征信机构应当对不同信息提供者的信息进行比对，发现信息不一致的，应当及时核对、处理。

第二十条 征信机构收集的个人不良信息的保存期限为自不良行为或者事件结束之日起5年。

个人不良信息保留期限届满，征信机构应当从对外服务和应用中删除个人不良信息；如果用作样本数据，则应进行匿名处理。

第四章信用信息的提供和使用

第二十一条 征信机构对外提供征信产品和服务，应当遵循公平原则，不得设置不合理的商业条件限制不同信息使用者的使用，不得利用优势地位提供歧视性或者排他性的服务产品与服务 。

第二十二条 征信机构应当采取适当措施，对信息使用者的身份、业务资质、使用目的等进行必要的审查。

征信机构应当评价信息使用者接入征信系统的网络和系统安全合规管理措施，并对查询行为进行监控。发现安全隐患或异常行为，及时排查；如发现违法违规行为，停止提供服务。

第二十三条 信息使用者应当采取必要措施，确保查询个人信用信息征得信息主体同意，并按照约定的目的使用个人信用信息。

第二十四条信息使用者出于正当合法的目的使用征信机构提供的信用信息，不得滥用信用信息。

第二十五条个人信息主体有权每年两次免费获取自己的信用报告，征信机构可以通过互联网查询、营业厅网站查询等多种方式为个人信息主体提供信用报告查询服务。

第二十六条 信息主体认为信息存在错误、遗漏的，有权向征信机构或者信息提供者提出异议；如认为其合法权益受到侵犯，可向中国人民银行当地分支机构投诉。异议和投诉按照《征信行业管理条例》及相关规定办理。

第二十七条 征信机构不得以删除不良信息、不收集不良信息为由向信息主体收费。

第二十八条 征信机构提供信用报告等信用信息查询产品和服务，应当客观展示信用信息查询内容，对信用信息查询内容和专业术语进行说明。

信息主体有权要求征信机构在征信报告中加注异议标识和声明。

第二十九条 征信机构提供画像、评级、评级等信用评价产品和服务，应当建立评价标准，不得以与信息主体信用无关的要素作为评价标准。

信用评级机构在正式对外提供信用评级产品和服务前，应当履行必要的内部测试和评估验证程序，做到评级规则可解释、信息可追溯。

征信机构为经济主体提供信用评级产品和服务或债务融资工具，应当按照《信用评级行业管理暂行办法》（中国人民银行发展改革委、财政部、国务院办公厅等部门发布）执行。证监会令〔2019〕5号）等相关规定开展业务。

第三十条 征信机构提供信用反欺诈产品和服务，应当建立虚假信用信息识别标准。

第三十一条 征信机构提供信用信息查询、信用评级、信用反欺诈产品和服务，应当将下列事项向中国人民银行或者其省会（首府）城市以上中心支行报告：

（一）信用报告的格式和内容；

（二）信用评价产品和服务的评价方法、模型、主要维度和要素；

（三）信用反欺诈产品和服务的数据来源、欺诈信用信息的识别标准。

第三十二条 征信机构不得从事下列活动：

（一）对信用评价结果的承诺；

（二）以暗示信用评价结果的内容推销产品和服务；

（三）未经政府部门或者行业协会同意，冒用其名义进行市场推广的；

(四)以胁迫、欺骗、利诱的方式向信息主体或者信息使用者提供征信产品和服务的；

（五）虚假宣传征信产品和服务；

（六）提供其他影响征信业务客观、公正的征信产品和服务。

第五章信用信息安全

第三十三条 征信机构应当实行网络安全等级保护制度，制定涉及业务活动和设备设施的安全管理制度，采取有效的防护措施，确保征信系统的安全。

第三十四条个人征信机构、企业征信机构存储、处理100万家以上企业信用信息的，应当符合下列要求：

（一）核心业务信息系统的网络安全防护等级具有三级以上安全防护能力；

（二）设置信息安全负责人和个人信息保护负责人，由公司章程规定的高级管理人员担任；

（三）设立专职部门负责信息安全和个人信息保护工作，定期检查征信业务、系统安全、个人信息保护制度和措施的落实情况。

第三十五条 征信机构应当保障征信系统运行设施设备、安全控制设施设备和互联网应用的安全，做好征信系统的日常运行维护管理，确保征信系统的物理安全。系统、通信网络安全、区域边界安全、计算环境安全、管理中心安全等，防止信用系统被非法入侵破坏。

第三十六条 征信机构应当从人员招聘、离职、考核、安全教育、培训、外部人员访问管理等方面做好人员安全管理工作。

第三十七条 征信机构应当严格限制工作人员查询、获取公司内部信用信息的权限和范围。

征信机构应当建立工作人员查询、获取信用信息的操作记录，明确记录工作人员查询、获取信用信息的时间、方式、内容和目的。

第三十八条 征信机构应当建立应急响应机制，在发生或者可能发生信用信息泄露时，立即采取必要措施，减轻损失，并及时报告中国人民银行及其省级中心支行首都（省会城市）或以上联盟报告。

第三十九条 征信机构在中华人民共和国境内开展征信业务及相关活动，所采集的企业信用信息和个人信用信息应当在中华人民共和国境内存储。

第四十条 征信机构在境外提供个人信用信息，应当遵守法律、法规的规定。

征信机构为境外信息使用者提供企业信用信息查询产品和服务的，应当对信息使用者身份和信用信息用途进行必要的审查，确保信用信息用于跨境贸易等合理用途、投融资，不得危害国家安全。

第四十一条 征信机构与境外征信机构开展合作的，应当在合作协议签订后、开展业务前将合作协议报中国人民银行。

第六章 监督管理

第四十二条 征信机构应当向社会公开下列事项，接受社会监督：

（一）采集的信用信息类别；

（二）信用报告的基本格式和内容；

（三）异议处理流程；

（四）中国人民银行认为应当披露的其他事项。

第四十三条 个人征信机构应当每年依据《中华人民共和国个人信息保护法》和《征信行业管理条例》对自身开展的个人征信业务进行合规审计，并将合规审计报告报送中国及时。人民银行。

第四十四条 中国人民银行及其省会（首府城市）中心支行以上分支机构对征信机构的下列事项进行监督检查：

（一）征信内部控制制度建设情况，包括各项制度和相关规定的完整性、合规性和可操作性；

（二）征信业务合规经营情况，包括信用信息采集、信用信息对外提供和使用、异议和投诉处理、用户管理、其他合规事项等；

（三）征信系统安全状况，包括信息技术系统、安全管理、系统开发等；

（四）与征信业务活动有关的其他事项。

第四十五条 信息提供者和信息使用者违反《征信行业管理条例》的规定，侵害信息主体合法权益的，由中国人民银行及其中央支行以上分支机构省会（省会）市人民政府依法对其进行检查、审查。处理。