金融信用信息數據庫使用者的行為規范范文
本站小編為你精心準備了金融信用信息數據庫使用者的行為規范參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
摘要:深入分析金融信用信息基礎數據庫信息使用者在使用授權、使用目的、使用范圍、使用方式四個方面的主要失范行為,在借鑒國外相關經驗做法的基礎上,提出為進一步規范信息使用者行為,應完善法律法規、加強行為監管、落實主體責任、加強培訓教育。
關鍵詞:數據庫;信息使用者;行為規范;征信管理
一、規范信息使用者行為的必要性
(一)規范信息使用者行為是新征信業態健康發展的客觀要求隨著信用深化和金融信用信息基礎數據庫(以下簡稱數據庫)二代征信系統的優化,信息的使用與日俱增。從使用主體看,消費金融公司、汽車金融公司、融資租賃公司、融資性擔保公司等小微金融機構紛紛接入數據庫,接入對象不斷擴大。截至2018年末,個人和企業征信系統分別接入機構3531家和3438家,基本覆蓋各類正規放貸機構。從使用場景看,共享經濟、體驗經濟、眾創經濟等新經濟業態誘發了大量征信需求,催生了商業化、生活化履約場景,深化了信用信息應用領域。從使用產品看,信息使用者廣泛應用信用報告、關聯分析、數字解讀、反欺詐等多種征信產品。因此,在信息使用主體日益多元化、使用場景多維化、使用產品多樣化的新征信業態下,規范信息使用者行為尤為重要。
(二)規范信息使用者行為是保護信息主體權益的基本措施征信信息涉及身份信息、金融交易信息等諸多企業及個人信息,兼具隱私屬性及財產權屬性[1]。信息使用者對數據庫信息的不當使用容易涉及侵犯信息主體的知情權、同意權、隱私權等合法權益,嚴重威脅信息主體信息安全和生命財產安全。規范信息使用者的使用授權、目的、范圍、方式,從而實現數據有效應用和信息主體權益保護的動態平衡。
(三)規范信息使用者行為是防止信息被濫用的重要手段據《財經》雜志報道,有80%的數據泄露是“內鬼”所為,黑客和其他方式僅占20%[2]。這樣的比例說明信息使用者濫查濫用是信息泄露的主要源頭,暴露出信息安全人防的脆弱性。部分信息使用者在經濟利益誘使下利用職務便利盜取、出售、非法提供信用信息,衍生出后續金融犯罪鏈條,給行業聲譽和公眾信任造成惡劣影響,極大沖擊了金融安全,因而,監控和規范信息使用者的行為十分必要。(四)規范信息使用者行為是優化信用資源配置的有效途徑信息使用是整個征信環節的落腳點,是產生市場效應和社會效應的主要和最終環節[3]。信息使用者合規使用信用信息,促使信用信息在信貸活動中高速有序流通,可以緩解信息不對稱,有效降低“逆向選擇”和道德風險,為信息主體和中小企業提供“信譽抵押品”,促進信用交易的公平有序和信用資源的優化配置,釋放信用紅利,推動新時代我國經濟高質量發展。
二、信息使用者的主要失范行為
(一)使用授權不妥一是未履行告知義務。信息使用者在客戶不知情且未經客戶同意的情況下查詢并使用其信息。二是授權不清晰。部分互聯網金融公司誘導客戶開通網貸業務,損害客戶知情權。三是授權不完整。接入機構未完整告知客戶相應的權利和義務,在合同格式條款中也沒有作出足以引起客戶注意的提示。
(二)使用目的不純在信息巨大市場價值的誘惑下,個別信息使用者使用信息不是為了開展業務,而是為了獲取非法利益,成為信息犯罪的“內鬼”。一是信息使用者將征信查詢用戶變成“泄露源”。數據庫運營機構——征信中心為接入機構開設查詢通道,接入機構借此能夠方便快捷地獲取信用信息,成為數據庫最大的使用者。但個別接入機構卻通過出售、出租、出借征信查詢用戶等方式從源頭謀取暴利,致使信用信息大規模、大范圍泄露,造成嚴重后果。二是信息使用者監守自盜滋生信息黑市“交易所”。個別信息使用者利用職務便利通過拍照、截屏、拷貝、下載、打印等方式竊取大量信用信息,與信息中介、數據公司、信息服務商、微型放貸機構等需求方進行買賣交易,信用信息被明碼標價層層販賣轉手、層層利益分割,衍生出信息黑市產業鏈。三是信息使用者污染真實數據,開設信用報告“加工廠”。個別信息使用者利用科技工具對信用信息進行不正當的二次利用和深入加工,根據需求“訂單式”洗白信用記錄,掩蓋信息主體真實信用狀況,損害信用報告的可靠性和權威性,或不定項批量兜售偽造的信用報告,使信息失真、市場混亂。
(三)使用范圍超限一是超范圍開設查詢用戶。個別信息使用者為沒有權限的機構私設查詢用戶,突破信息使用主體范圍限制,擅自擴大信息使用主體。如部分農商行為其設立的村鎮銀行開設查詢用戶,使未接入征信系統的具有獨立法人資格的村鎮銀行也能夠查詢、使用征信信息,給數據庫的安全使用埋下了風險隱患。二是超范圍查詢。信息使用者為股東、高管、員工家屬等信息主體進行人情查詢、“方便”查詢,超出信貸業務查詢用途的約定范圍,隨意使用征信系統。如某農商行一征信查詢用戶在2016年共查詢1.7萬余筆個人信用報告,其中僅千余份為正常業務查詢,其余均為沒有業務背景支撐的非法查詢。三是超范圍解讀信用報告。我國《征信業管理條例》第二十三條規定“征信機構提供的信息供信息使用者參考”,明確指出征信信息僅供參考使用,但部分信息使用者過度解讀客戶的信用報告,將逾期記錄妄加判斷等同于央行“黑名單”,對惡意與非惡意違約記錄采取“一刀切”拒貸政策,超范圍使用信息歪曲了信用報告的應用定位,損壞了信息主體的公平融資權益。
(四)使用方式不當信息使用者違規操作行為時有發生,引發征信合規風險。一是密碼保管不善。信息使用者風險意識薄弱,查詢密碼設置簡單或未謹慎保管,造成查詢用戶被窺探、被盜用、被套取等事件時有發生,如2016年安徽轄內某銀行9家分支機構11個用戶被不法分子盜用,致使3萬余條征信信息泄露。二是授權使用存在瑕疵。在紙質授權方面,個別信息使用者授權文本設計過于寬泛,未明確限定被授權主體、查詢用途、使用范圍,在具體使用中存在一攬子授權、捆綁式授權、一次授權多次查詢等問題;在電子授權方面,個別信息使用者將授權文書混跡于信貸協議格式條款不明顯處,會導致客戶在手機APP程序中進行無意識授權。三是查詢操作不規范。信息使用者在業務開展中普遍存在頻繁查詢、貸后查詢不規范、系統查詢原因與實際授權原因不一致等操作失誤。
三、國際借鑒
(一)明確使用告知美國多項立法中都要求信息使用者必須經過信息主體書面或其他顯著且確定的同意才可使用其信用信息,保障信息主體知情權和同意權。如美國《隱私法》要求聯邦機構在處理和利用個人資料時要遵守相關規定,在沒有經過當事人同意的情形下不能使用任何關乎當事人的資料[4]。《消費者隱私權法案》根據“透明性原則”要求企業清楚地將使用方式、使用范圍等信息告知信息主體。《公平信用報告法》規定信息使用者想要與其附屬機構共享信息,必須通知信息主體。
(二)特定使用目的各國都嚴格規定信息使用目的,限制信息使用者與特定目的相背離的濫用行為。美國《公平信用報告法》規定信用報告僅限于信貸、就業、保險、獲得政府許可證或其他利益、商業往來等5種既定目的。新加坡《銀行法》規定征信局及其會員信息使用僅限于信用評估目的。澳大利亞《聯邦隱私權法》通過列舉方式清晰明了地規定只有符合合法的、特定的目的才被準許使用信息。
(三)限定使用范圍美國對信用信息的使用主體范圍進行限制,規定只有符合條件的機構和個人才能使用信用報告,防止信息被沒有使用權的組織和自然人使用。德國對信息使用者獲取信息范圍作出了限制,如銀行、信用卡公司和租賃公司可以從征信機構獲取正面和負面信息,貿易、郵購、保險等公司只能從征信機構獲取負面信息。歐盟限定了信息流動范圍,規定歐洲的消費者個人信用報告僅可在歐盟國家范圍內使用。
(四)監控使用行為奧地利通過提升技術水平保存信息使用者查詢、修改、處理和使用方面的操作日志,監控其具體操作步驟,保障所有的使用行為有記錄、可定位、可追溯。同時,結合有效的組織措施、制度措施、操作程序等配套制度,對信息使用者使用信息的權力進行管制,強化對信息使用者行為限制。
(五)嚴懲不當使用行為各國對信息使用者規范的重點之一就是對不當使用行為進行分類量刑,制定詳盡的處罰細則。美國《公平信用報告法》規定了信息使用者故意違反該法責任、過失違反該法責任、欺詐取得信用信息責任、擅自披露信用信息責任以及相關行政處罰[5]。意大利《有關個人和其他主體的個人數據處理的保護法》規定對于試圖為他人謀取利益或意圖對他人造成損失而違反信息主體同意原則的,處以3個月至3年不同程度的監禁。葡萄牙《個人數據保護法》規定以與信息使用目的或法律規定相違背的方式盜用或使用個人數據的行為,應被處以120天至1年的監禁。比利時《個人數據處理的隱私權保護法》規定信息使用者違反信息使用方式和范圍處以100~100000法郎的罰款。
四、對策建議
(一)完善法律法規,約束信息使用者行為一是加快出臺我國《個人信息保護法》。從國家層面出臺個人信息保護的專項立法,整合現行散見于《民法》《刑法》《行政法》等法律法規中的有關條款,對信用信息使用的告知、目的、范圍、方式形成一套完整的法律約束,以適應目前信息使用者失范行為頻發和信息主體權益保護意識增強的發展趨勢。二是制定《信息使用者規范指引》。細化電子授權和紙質授權查詢具體要求、使用告知細節事項、查詢操作準則等內容,詳細規定信息使用者行為規范,明確信息使用者履職依據。三是完善處罰細則。借鑒國際經驗,建議在《中華人民共和國刑法(修正案九)》中增設信息使用者侵權責任,對信息使用者濫用征信查詢用戶、密碼保管不善、因過失造成信息泄露、主觀故意非法倒賣信息等違法行為進行類型化處理,細化量刑標準、責任界定和處罰措施,從重懲處履職過程中使用目的不純行為,加大對監守自盜行為的威懾力度和警戒作用,遏制信息泄露案件泛濫局面。
(二)加強行為監管,監督信息使用者行為中國人民銀行作為征信監管部門,應樹立行為監管理念,建立適用新形勢的行為監管體系,切實做到事前可預防、事中可控制、事后可救援。一是指導信息使用者行為。通過對信息使用者不當行為進行梳理、分析和指正,指引信息使用者嚴格履行告知義務,規范信息使用方式,合規解讀和使用信用報告,避免信息超范圍使用。二是監測信息使用者行為。建議在二代征信系統中完善異常查詢監測功能,豐富異常監測情形,優化異常監測指標,合理設定監測閾值,做到實時監測、準確定位、及時反饋、快速預警,實現對信息使用者異常行為的早發現、早阻斷、早隔離。三是監管信息使用者行為。依托《接入機構征信合規與信息安全考核評級管理辦法》,細化非現場監管指標,增加現場專項檢查和巡查的頻度、力度和覆蓋面,監督信息使用者行為。采取下發風險提示單、監管約談、責令限期整改、依法高限處罰和“雙罰制”,嚴肅問責信息使用者違法違規行為,形成“有責必究,追究必嚴”高壓監管態勢。此外,與公安、檢察、法院、安全、通信運營商等部門加強溝通與協作,共同建立信息泄露通知規則和應急處置制度,聯合打擊信息倒賣黑市交易,防止信息泄露事態蔓延[6]。
(三)落實主體責任,管控信息使用者行為一是建立崗位職能定位制度。接入機構嚴格對照監管要求,修訂完善征信內控制度,明確界定查詢崗、管理崗、審批崗、異議崗等征信各崗位設置及職責,將信息使用責任分解到崗、落實到人。根據崗位職能建立責任清單,通過層層簽訂責任書落實責任追究制度,用制度約束信息使用者行為。二是加強自查自糾。接入機構應扎實開展每日核查、月度自查、季度抽查、年度自評等自查自糾活動,加強對信息使用者崗位風險排查,梳理使用告知、目的、范圍和方式中的風險點。同時,聯合內外審計部門組織信息使用者行為規范專項審計,借助第三方客觀找尋異常行為線索和風險苗頭,增強信息使用者崗位風險防控。三是加強技防建設。接入機構要持續優化征信合規管理前置系統,保留數據訪問、操作痕跡,合理設置信用報告緩存期限,并在查詢區域安裝視頻監控,用技防管控信息使用者對信用信息的獲取、查閱、轉移等操作行為。
(四)加強培訓教育,規范信息使用者行為一是建立崗位資質認證制度。建立崗前培訓制度和征信執業記錄制度,針對不同層次、不同崗位、不同權限進行分類培訓,注重崗位針對性和培訓內容有效性,經過系統學習后實行考試認證持證上崗,確保信息使用者充分理解其職責和熟悉掌握征信合規專業知識,具備征信履職的基本素質和必要技能。二是強化風險警示教育。結合不同類型的征信違法違規典型案例,全方位、多角度聚焦實際操作中的風險點,加深信息使用者對法律法規、失范行為、風險責任等知識的理解和識別,達到以案促學、以案促改的警示效果,通過強化紅線意識讓信息使用者守住底線。三是樹立合規標桿。樹立征信不同崗位優秀模范典型,給予一定的征信合規績效獎勵和榮譽稱號,充分發揮激勵機制對信息使用者行為觀念、操作規范的正向推動作用,以榜樣的力量感染信息使用者,引導信息使用者提升合規意識,踐行行為規范,爭當征信合規標桿。
參考文獻:
[1]中國人民銀行南京分行征信管理處課題組.江蘇省征信合規非現場監管的實踐與思考[J].金融縱橫,2018(3):55-61.
[2]劉以秦,周源,謝麗容.數據黑產調查:內鬼、黑客師徒與灰色暴發戶[EB/OL].
[3]征信前沿問題研究編寫組.征信前沿問題研究[M].北京:中國經濟出版社,2010:94-95.
[4]韓鑫韜,劉曉,郝成磊.個人敏感數據保護的國際經驗[J].中國金融,2019(5):78-39.
[5]中國人民銀行征信管理局.現代征信學[M].北京:中國經濟出版社,2015:246-249.
[6]李敏.人民銀行個人信用報告查詢中的問題分析與應對[J].征信,2016(6):37-39.
作者:項蔚然 曾晨明 單位:中國人民銀行銅陵市中心支行
