近日央行颁发首张个人征信牌照,备受关注的“信联”终于揭开神秘面纱。
“此次发放首张个人征信牌照,可以说顺应了信息社会中企业和广大民众的迫切期待,对打造诚信社会体系、维护互联网金融秩序具有十分重要的意义。”中国信息安全研究院副院长左晓栋认为,作为与“银联”“网联”等齐名的金融领域行业联合机构,未来,“信联”将搅动的不只是个人征信领域。
百行征信由监管机构和行业协会牵头,个人征信企业参与,因而被认为是个人征信领域的联合机构——“信联”。2月22日,央行发布信息,百行征信有限公司个人征信业务获得央行许可,个人征信业务服务对象为从事互联网金融个人借贷业务的机构,另外还包括传统金融机构、金融监管相关部门及个人信息主体,牌照有效期至2021年1月31日。
百行征信的最大股东中国互联网金融协会持股36%,其他8家股东:芝麻信用管理有限公司、腾讯征信有限公司、深圳前海征信中心股份有限公司、鹏元征信有限公司、中诚信征信有限公司、考拉征信有限公司、中智诚征信有限公司、北京华道征信有限公司,各持股8%。百行征信的董事长兼总裁为朱焕启,现任汇达资产托管有限责任公司董事长。汇达资产托管公司成立于2015年7月,是具有独立法人资格的国有独资非银行金融机构,被称为第五大国有资产管理公司。
此外,董事中有2位来自央行系统的人员,有2位来自中国互联网金融协会,8家征信公司也分别派出一员担任董事或监事。
个人征信领域群雄竞起
随着数字经济的发展,社会信用体系正在逐步构建。通过网络化、数据化的记录,社会信用正成为一项新的重要的社会财富。因此,“信联”的成立同样被认为是对社会信用的规范管理。
这些年,网络借贷兴起,在便利了借贷的同时,也出现了许多问题,“过度多头借贷”“诈骗借贷”频现。央行的征信系统没有覆盖网络借贷机构,平台与平台之间存在“数据孤岛”。如何联通个人信用信息,打破信息孤岛成了业内最为关心的事。
在这种背景下,三年前,为促进个人征信行业更快更好发展,央行印发《关于做好个人征信业务准备工作的通知》,要求上述芝麻信用、腾讯信用等8家机构做好个人征信业务的准备工作,准备期为半年。
这8家参股公司也是在科技金融领域最有代表性的企业。芝麻信用是蚂蚁金服旗下独立的第三方征信机构,可利用淘宝、天猫、支付等阿里系平台的交易数据;腾讯征信则可借助社交工具和微信支付记录等数据来判断个人信用情况;深圳前海征信是中国平安旗下全资子公司,已覆盖近1500家银行、P2P、小贷等信贷机构的借贷行为信息;考拉征信则是由拉卡拉、蓝色光标等公司出资成立的独立第三方征信公司,是国内首家成立征信模型专业实验室的征信机构……
虽然上述8家参股公司此前都获得了个人征信业务的准备资格,但央行并未正式下发个人征信牌照。中国人民银行征信管理局局长万存知在《个人信息保护与个人征信监管》一文中写道,8家从事个人征信开业准备的机构在准备期中暴露了许多问题:为了追求依托互联网的所谓业务闭环,市场信息链被分割,信息覆盖范围受限,产品有效性不足,不利于信息共享;各自依托某一企业或企业集团,业务上和公司治理结构上不具备第三方征信的独立性,存在利益冲突;对征信的基本理念和基本规则了解不够,而且也没严格遵守,在没有以信用登记为基础且数据极为有限的情况下,根据各自掌握的有限信息进行不同形式的信用评分并对外进行使用,存在明显的信息误采误用问题等。
对于上述问题,易宝支付联合创始人、总裁余晨在接受中国青年报·中青在线记者采访时曾表示,个人征信领域目前仍然处于市场发展的早期阶段,之后必定需要规则和监管来确保这个行业更健康的发展。“这属于整个国家的基础设施,这个市场选择和规则确立的时间还有三五年。”
数据共享是重点,也是难点
“信联”——由行业协会牵头,多家市场机构共同打造一个信息共享平台,目的正是实现各家互联网金融公司征信数据共享。
据了解,“信联”主要在银监会、证监会、保监会等传统金融机构以外的网络借贷等领域开展个人征信活动,与央行征信中心运维的国家金融信用信息基础数据库错位发展、功能互补。这就需要实现网络借贷、移动支付等领域和不同平台之间的信息共享,以有效降低风险成本。
因此,8家试点机构之间的数据如何共享,以及“信联”平台与其他平台、企业之间如何流通数据,是摆在“信联”面前的重点工作,也是难点所在。
“数据共享不是技术问题,而是利益问题。”复旦大学网络空间治理研究中心副主任沈逸指出,8家征信试点机构是“信联”的股东,但它们自己的征信产品仍在运营,“信联”落地后如何协调8家机构的征信产品,各家公司是否愿意拿出“家底”,这都未可知,其中的利益争端很多。
北京大学数字金融研究中心副主任黄卓在接受媒体采访时也曾表示,“由于还不知道‘信联’具体运行规则和利益分配机制,且几家股东公司在互联网金融业务规模和数据拥有量上存在显著差异,未来‘信联’数据共享和互联互通效果如何,目前还难以判断。”
左晓栋对“信联”的数据共享持比较乐观的态度,“‘信联’的个人信用信息主要以个人负债信息为主,这个范围要远远小于各家股东在自己的征信平台上或者类似征信业务上对用户信用信息的刻画。”他认为,目前打通各端的个人负债信息,难度不会太大,而且各家的数据量客观上的确有差异,但谁的数据都是不全的,谁也没有掌握着绝大多数数据。“下发这张征信牌照,本来就是要求各家数据实现共享,不愿共享只会伤及自身。”
对于数据共享问题,相关股东公司表示,对于“信联”落地一事除官方公告之外不再表态。
“信联”任重道远
“这数据是谁的?比如说我的个人信用数据被共享上去之后,谁在什么样的条件下可以看它,以及他看了以后我知不知道?”沈逸认为,在讨论成立“信联”的时候,对个人数据安全的考虑太少了。
沈逸觉得,这应该是“信联”未来要着重考虑的事。“征信除了用数据去提高或者规范个人的信用行为之外,它还包含了对于个人信用相关的隐私数据的有效保护的问题。”他说,在发挥数据经济价值的同时,政府同时应该营造个人隐私受保护的环境,从这一点来说,“信联”才走了“万里长征第一步”。
观韬中茂(上海)律师事务所合伙人、中国数据共享公约组织副理事长王渝伟表示,征信企业对于数据安全风险尤其是运营过程中涉及个人信息的采集、在不同机构之间的转移、以及相关数据在具体应用场景的使用等可能产生的法律风险需要特别关注。
前不久,工信部信息通信管理局约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司(支付宝)、北京字节跳动科技有限公司(今日头条),主要针对的就是这些企业的相关手机应用软件存在侵犯用户个人隐私问题。
关于个人征信数据的共享和利用,王渝伟认为,征信公司应当关注《网络安全法》的已有规定,收集和使用个人信用信息时遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得泄露、篡改、毁损收集的个人信用信息;未经被收集者同意,不得向他人提供个人信用信息;采取技术或其他措施确保收集的个人信用信息的存储与运输安全,防止信息泄露、毁损、丢失;及时进行数据脱敏与模糊化处理。
王渝伟建议,运营风控流程、制度乃至合同文本的搭建应构成征信公司内控的重要组成部分,只有完善相关权限和程序,才能更好地保证征信业务运营的规范有序。“定期的风险管理培训同样十分必要,征信公司应当及时检测项目设计和产品运营过程中各阶段的风险点。”
“首张牌照下发后,一段时间内应该不会再下发第二张牌照,因为要走一走看看。”左晓栋认为,“信联”的落地更像是一个积极的信号,但个人征信涉及的问题太多,是一个系统性的“大工程”。
例如,在互联网企业的征信平台中,一个每月花费3万元网购的用户和一个每月花费100元网购的用户相比,前者的信用值可能相对高。但是,互联网企业利用用户的网购信息进行“画像”并将其用于征信,这种用途肯定超出了“网购”本身的范围,这经过当时用户本人同意了吗?
左晓栋表示,今年上半年将实施的国家标准《个人信息安全规范》规定,当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户“画像”决定个人信用及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。“这一要求如何落地?”
“短时间内,个人征信牌照覆盖的个人信用信息范围很难扩大,作用要远远小于社会的预期。”左晓栋说,“信联”未来仍要走很长一段路。