突破边界的征信：反思央行新规《征信业务管理办法》稿见稿

中央民族大学法学院副教授 朱芸阳

央行于2021年1月11日颁发《征信业务管理办法（征求意见稿）》（以下简称《管理办法》），向社会各界广泛征求意见。在《征信业务管理办法》出台之前，2020年12月央行高层多次在央行工作会议、国务院政策例行吹风会等重要场合上，表明将“严监管”、“强供给”、“保安全”作为征信工作的三个重点，并且重申个人征信业务需要持牌经营，并纳入征信监管。作者通过对《管理办法》和近期央行监管思路的研读后发现：

就整体监管思路而言，征信业务的监管思路趋向从严，《管理办法》的规则正是围绕“严监管”、“强供给”、“保安全”这三个重点来展开。

就《管理办法》的具体规则来看，以征信机构为核心要素，以金融机构（信息使用者）为抓手，在信息从采集到加工处理的全生命周期中，推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用，强化了个人信息保护，这是整个《管理办法》的核心内容；并且，该办法体现了与其他法律法规的配合（包括对《个人信息保护法》草案的借鉴），加强保障信用信息安全，以及对跨境流动进行了相应的规定，这都体现了立法上的先进性。

但是，该《管理办法》进一步扩大征信业务的监管范畴，并对信用信息做出更为广泛的界定，这是需要进一步斟酌其合理性的。现将修改意见汇总如下：

修改意见一：删除第3条中“以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”

【理由】

2013年《征信业管理条例》没有规定“信用信息”的定义，而是在第44条第3款规定了“不良信息”，2005年《个人信用信息基础数据库管理暂行办法》中第4条规定了“信用信息”。

此次《管理办法》增加了“基于前述信息对个人和企业信用状况形成的分析、评价类信息”，因此，存在以下问题：

第一，征信机构如果需要采集广泛的“信用信息”，将会与“最少必要”原则形成冲突，即该办法第5条规定，征信机构采集信用信息，应当遵循“最少、必要”的原则，不得过度采集。

第二，征信的基本功能在于信用促进信贷，通过不同机构之间的信息共享，实现对信息主体未来还款能力和还款意愿的反馈和预测，这是征信业务的本质所在。因此，征信数据的最核心特征在于“真实性”，只有信息本身是真实可靠的，才能以此为依据来反映信息主体的信用情况。相反，不准确或者错误的信用信息，会对信息主体的正常信贷等业务产生巨大影响。

替代数据要想在现代化征信体系中发挥重要作用，作为借贷信息的有益补充，也必须首先满足“真实性”的要求。特别需要防止出现“信息过载”的情况，尤其是出现“垃圾信息”、“污染信息”的现象，警惕走向另一种极端，即信息“垃圾进、垃圾出”。

因此，信息来源并不是越多越好，只有信息真实有效，才能实现“用信用促进信贷”的征信功能，信用信息不在于其定义的广度，更在于其真实性、准确性和全面性。

第三，“对个人和企业信用状况形成的分析、评价类信息”，往往经过自动化决策（算法）的过程，极有可能存在失真的情形。目前，算法规制仍然是个难题，特别是算法黑箱等技术性问题尚未解决，不同征信机构形成“分析、评价类信息”的算法存在差异性，其评分维度的科学性也难以保障，客观上也难以保证征信结果的合理性以及保障信息主体的知情权。

第四，《征信业管理条例》第14条规定不得采集的信息，包括“个人的宗教信仰、基因、指纹、血型、疾病和病史信息……个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。”这体现了维护信息主体的利益，防止对信息主体造成偏见，造成不公平甚至损害信息主体利益的情形。而“分析、评价类信息”更能够反映出信息主体的取向和隐私，在使用中应该更加注意，对其采集、处理和使用采取更为严格的规制态度。

修改意见二：建议明确征信业务的应用场景，不宜将所有的提供画像等评价类产品服务、反欺诈服务都纳入征信业务，而是应限定于金融信贷领域。

【理由】

实现征信管理的前提是正确理解征信业务的概念。虽然《征信业管理条例》第2条对征信业务的界定给出了宽泛的规定，但是征信实践表明，不是所有的信息服务都是征信，共享债务人的债务信息构成征信的逻辑主线，这是在信息服务领域区分征信机构和非征信机构的基本标准。

从各国征信体系的发展历史来看，虽然各国在征信机构的成长路径、信息采集的类别、甚至于征信体系的派生功能上存在差异，但是，有一点是各共通的，即征信业务的本质是信息共享，征信的基本功能在于信用促进信贷。由专业化机构将各方主体信息加工分析，来预测借款人将来的履约能力和履约意愿，解决信息不对称问题，降低交易成本，防范信用违约风险。

而此次《管理办法》第24-27条，除了传统的信用信息查询产品服务，将评价类产品服务、反欺诈产品服务都纳入到征信业务的范畴。第44条又出现了“征信功能服务，适用本办法”。因此，本人认为可能存在以下问题：

第一，难以界定非法从事个人征信业务的行为范围。从事个人征信业务属于持牌业务，需要批准设立，未经人民银行批准擅自从事个人征信业务的行为，均属于违法行为。因此，何谓“个人征信业务”应当有准确的定义和清晰的外延，这样才能准确地界定是否属于违法行为。而《管理办法》并没有明确三类服务类型的范围和边界。例如，各种“信用分”、集团内部的信息共享，或者仅向用户个人而非社会公众或第三方提供“画像、评分、评级等评价类产品服务”，是否属于从事个人征信业务？这些问题都是存疑的。

第二，现有对征信业务的分类方式是否具有科学性。即“信用信息查询、信用评价、反欺诈服务”的划分本身，是否具有科学性？比如，反欺诈服务需要对信息主体进行评级、分析，三类服务之间如何区分？

第三，将信用评价、反欺诈服务都纳入到征信业务中去，仍存在着数据合法性和公信力、评分维度的科学性等核心问题。理由如下：

1、信用服务并不等于征信业务，应当区分数据服务商与征信机构，征信产品服务的运用场景主要局限于信贷领域。

以美国为例，数据服务商为特定客户提供风控服务和产品，并不都认定为从事征信业务。数据服务商和征信机构相比较，虽然都是对消费者信息进行采集、加工处理和对外提供，但是，两者在使用目的上截然不同，这也是目前区分两类机构的主要依据。凡是信息用于信贷、保险、雇佣及其他交易活动资格评估等目的，则视为征信机构，遵守《公平信用报告法》的有关规定，而如信息用于其他场景，例如营销、反欺诈等其他场景，则视为数据服务商。

2、提供画像、评分、评级等评价类产品服务与征信业务两者之间，具有不同的底层逻辑。

征信业务的本质在于信息共享，过去的信贷信息与未来的履约意愿、履约能力密切相关，两者之间具有很强的逻辑性。以央行征信中心提供的个人征信报告查询服务来说，这种征信报告可以一目了然地得知个人的个人基本信息、信用交易信息和其他信息包括个人公积金信息等信息，具有信息的合法性、公信力，以及评分维度的科学性。

而提供画像、评分、评级等评价类产品服务，无论从信息的公信力和评分维度的科学性，两者均是不可相提比论的：

（1）基于大数据背景下的多元化数据，信息甚至可能来自于各种聊天软件、微博、空间、互联网社区、游戏等不同平台和数据来源的个人社交和行为信息。这些不同维度中的数据，大多数与个人信用是弱相关的，因此才需要有不同关系型算法来验证各种数据相关性来判断个人信用的可靠性。

（2）不同于传统的征信系统采用分类树、线性回归、聚类分析等方法，评价类产品服务，往往是建立在云计算及机器学习等技术上，通过逻辑回归、决策树、随机森林等模型算法，对各维度数据进行综合处理和评估。总体而言，这种评价类产品服务，只能是体现多源数据和未来履约能力（意愿）之间可能存在着一定的相关关系，相同的数据基于不同的算法，甚至可能会带来不同的结果。

综上，从其数据维度和算法模型来看，目前市场上大量的信用评估、反欺诈服务并不能直观地反映个人的信贷情况，特别是画像、评估类服务更广泛应用于金融业之外（比如个人消费、商业营销、定向推送等场景中），这在其他国家通常不会被认为是从事征信业务。

因此，不能将所有的信息服务都纳入到征信业务范畴中，需要通过其应用场景来判断。一方面，将提供反欺诈服务限定于金融信贷领域；另一方面，不能简单地将评价类服务纳入征信业务。

第四，从金融机构的视角来看，双重强监管，不利于金融机构履行法定义务和自身展业需求。

信息共享促进信贷、实现普惠金融并不是征信的全部功能，征信系统作为金融基础设施，还需要通过信息共享，实现防范整体的金融风险，维护金融体系稳定安全的目标。这也是我国建立金融信用信息基础数据库的初衷。在此，金融机构本身具有双重属性：

（1）金融机构作为征信体系中的重要一环，具有“公共”属性，为了实现信息共享，维护金融风险，金融机构除了有义务向金融信用信息基础数据库报送负债信息之外，还需要履行反洗钱、反欺诈、适当性管理义务等法定义务；

（2）金融机构有自身的业务场景和业务需求，本身具有“营利性”，包括信贷风险分析与风险管理、客户画像与营销等等，也需要处理和使用大量的用户信息。而在加强个人信息保护的整体趋势之下，例如《金融消费者权益保护实施办法》，以及列入央行立法计划的《个人金融信息（数据）保护试行办法》，都会对金融机构采集、处理信息做出限制，金融机构获取信息已经相当困难。

因此，兼顾个人金融信息保护和实现信息流动共享，是国际上通行的金融监管理念。通过《征信业务管理办法》对征信机构进行强监管，间接限制了金融机构的信息来源，通过《个人金融信息（数据）保护试行办法》对金融机构本身的采集、处理金融信息行为进行强监管，如此双重强监管之下，无法兼顾金融机构自身的风险防范需求和展业需求，因而并不利于整个金融行业的发展。

修改意见三：需要对第44条，即何谓“提供征信功能服务”进行明确界定。

【理由】

    同上，需要就“提供征信功能服务”提供明确的定义和范畴，否则，难以界定非法从事个人征信业务的行为范围。

修改意见四：进一步明确第38条“社会监督”中需要公开的内容，实现信息主体知情权和征信机构商业秘密保护的平衡。

【理由】

从用户的角度来说，即使规定了“社会监督”的规定，但是社会公众客观上并没有能力来判断信用评分因素、欺诈认定标准的合理性；从征信机构的角度来说，在信用评分、反欺诈模型中，对于具体采用何种指标及各个影响因素的权重如何计算，数据模型既属于征信业务的核心竞争力，也是征信机构不能公开的商业机密，这也是立法应当保护的法益之一，不容忽视。因此，应该进一步明确征信机构公开的内容范围，否则，在公众无法解读算法和数据指标的情形下，该“社会监督”的新增措施，也可能会形同虚设。