人民银行自20世纪90年代末始建央行征信系统, 2003年起履行征信管理职责, 2013年被法定为全国征信监管机构。十多年来, 人民银行用不到欧美国家十分之一的时间, 就建成世界上数据库信息规模最大的信贷征信系统, 构筑了功能日益完善、应用领域不断拓宽、影响力持续扩大的中国银行业金融征信体系。网络支付活动中, 淘宝、微信等第三方支付平台伴生了大量个人信用、商业信用和互联网金融非银行信用信息, 散布于众多点对点借贷平台 (P2P) , 因相互之间不愿意普遍共享而形成大大小小的信息孤岛。2018年初, 央行宣布受理了百行征信有限公司 (筹) (下称“百行征信”) 的个人征信业务申请, 决定由央行背景的互联网金融协会持股36%, 支付宝、腾讯等8家公司分别持股8%, 共同建设互联网金融 (非银行) 征信体系。
一、互联网征信存在的问题
当前, 互联网出现了“自征信”行为, 产生了一系列征信乱象, 下面以支付宝为例展开分析。
(一) 无个人征信牌照
支付宝依托大量客户和商家数据创造了芝麻信用, 经过信息化处理建立起“自征信”体系, 在此基础上为客户提供花呗、借呗等资金借贷业务。“芝麻信用分”已属于征信产品, 说明支付宝征信公司已在运作, 但这并未取得央行主管部门的个人征信营业许可, 是互联网新金融背景下的异常态。
(二) 网络征信数据垄断
更为严重的是, 这些“自征信”公司凭借集团或母公司丰富的产品线布局, 产生和汇聚了大量的商业信用和互联网金融信用数据, 逐渐形成了网络金融数据垄断, 相互闭环, 自掘数据鸿沟, 不利于数据的合理使用与依法普遍共享。
(三) 无限授权无限使用
支付宝服务协议出现过条款:“监管规定或支付宝认为有需要时, 可以将顾客的信息提供给第三方, 以便支付宝进行验证。”相当于无限授权, 过度使用可能性极大, 且可能侵犯用户隐私。
(四) 违规滥用征信信息
第三方支付平台在互联网电商交易活动中形成的大数据与互联网征信虽形似神非, 但二者实质存在交叉与转换可能, 集团公司内使用的是大数据, 对外使用或有偿让渡于营销场景即可能是征信数据, 存在违法违规和侵犯泄露客户隐私的风险。2015年, 芝麻信用等8家公司申请个人征信经营许可, 由央行进行验收, 但在出现“自征信”诸多乱象后, 2018年被央行征信管理局以不能共享信息、不具备征信独立性和征信理念匮乏予以否决。
二、互联网金融征信建设的央行对策分析
鉴于芝麻信用、腾讯征信等8家个人征信试点机构验收无一合格, 且互联网金融准数据寡头、信息孤岛、过度采集和滥用征信信息等乱象丛生, 央行决定化零为整, 全体收编, 直接创建与银行金融信用信息基础库并行的互联网金融信用信息基础数据库 (下称“百行征信”) , 加快推进覆盖全社会的个人征信体系建设步伐。现对央行此项监管举措具体分析如下。
(一) “百行征信”的组织与筹建
2018年1月4日, 央行受理了百行征信有限公司 (筹) 的个人征信业务申请并依法公示其相关情况。根据公示的内容, 百行征信有限公司 (下称百行征信) 注册地在广东省深圳市, 营业场所 (筹) 在北京西城区金融大街, 业务范围是个人征信业务, 注册资本为10亿元, 其中, 中国互金协会持股36%, 芝麻信用管理、深圳前海征信中心股份等8家有限公司各持股8%.最大的股东是互金协会, 其使百行征信具有权威性和公正性。
(二) 央行选择“百行征信”的原因分析
1. 央行的个人征信系统不能覆盖全社会的信用信息
央行的个人征信系统建设始于1999年, 2006年正式运行, 已经磨砺了至少12年, 现由央行征信中心负责运维。《中国银行业产业发展蓝皮书》发布, 到2017年8月底, 央行个人征信系统共覆盖9.3亿自然人, 其中, 仅有4.6亿人有信贷记录。央行个人征信系统主体采集的是全国所有金融机构的自然人信贷信息, 非银行机构的借贷信息并未纳入。央行负责牵头整个社会信用体系建设任务, 仅就个人征信系统而言, 只要一天未能覆盖全社会个贷信用信息, 就不算完成工作任务。因此, 银行个人征信系统建设虽渐完善, 但基于互联网的非银行信用信息如何采集共享已是亟待解决的问题。
2.“百行征信”最终能解决“共享做不好信息成孤岛”的难题
8家试点机构不能领牌, 问题出在这些社会化征信机构在信息共享与互惠上遭遇瓶颈。数据采集难, 共享更不易。不能共享极易催生数据的非法采集、过度采集和非法交易问题。央行是负责管理征信业的, 既然8家机构各自为政, 不能实现信息的充分共享, 那就把8家合为一家, “百行征信”由此诞生。这与央行主导银行系统征信建设时不同, 央行征信中心的成功, 在于所有受认可的银行放贷机构被强制上传信用信息, 这样才能建立起统一的共享数据库。而对这8家试点机构而言, 缺乏这样的行政权力和法律规定, 只能实行股权制。做到谁使用谁上传, 且使用多少上传多少。这就是“百行征信”数据采集共享的基础。在此基础上, 实现央行征信与社会化征信机构的互补发展, 共同推动覆盖全社会的征信系统的建设完善。
三、对建立互联网个人征信体系的政策建议
(一) “百行征信”要科学借鉴央行征信中心的建设经验
央行个人征信系统历经12年的建设和发展, 积累了丰富的经验和教训, 他山之石可以攻玉, “百行征信”在初创阶段完全可以借镜观形、少走弯路。
1. 定位于非银行个人借贷征信
“百行征信”聚集互联网主要信用信息机构, 最初从8家借贷机构募集股权 (未来可能更多) , 成立独立的第三方征信机构, 而要实现信息共享, 弥合信息鸿沟, 开创网络征信共建共享共荣局面, 笔者认为其定位应是守住非银行个人借贷征信边界, 主体采集互联网非银行借款人网上信用信息。电商商业信用侧重于企业间应收、预付形成借贷关系, 虽然网购店商不乏个体业主, 仍以通过未来互联网企业征信体系建设去采集为宜, 最终形成互联网个人和企业信用体系, 避免重复采集、重复建设和各项资源浪费。
2. 坚持互惠与全面共享原则
数据采集、使用皆为互惠共享, 接入“百行征信”的各类非银行借贷机构, 应依规按时、保质保量向“百行征信”数据库报送数据, 完成动态更新信息, 全面共享按需查询, 并做好异议处理, 确保数据报送质量和互联网金融消费者的权益。
3. 实现与央行个人征信互通
目前, “百行征信”的数据来源于200多家网贷公司、8 000多家县域的小贷公司、消费金融公司等, 聚焦于互联网个人信贷数据, 与侧重传统银行的央行征信中心个人征信系统形成差异化互补。笔者认为, “百行征信”应在信息采集内容范围上与央行个人征信互补, 形成中国金融信贷数据的整体, 在征信共享上最终实现互通、互联、互用。
(二) 建立健全法律法规体系
一是从立法层面进一步明确互联网借贷机构和互联网征信机构的性质定位、业务内容和范围、承担的责任义务、监管部门及职责, 提高相关法律法规的统一性、协同性, 消除法律灰色地带。二是抓紧制定互联网非银行征信信息采集、报送、保管、使用以及管理等规定, 保障“百行征信”数据库信息质量、共享、安全, 制定异议处理流程, 维护信息主体权益。三是强化监管措施规定, 维护金融稳定和金融安全, 在推行全方位监管时, 运用协同监管的手段与措施推行市场监管, 消除互联网金融征信乱象。
(三) 加强信息安全保障
首先, 建立查询用户管理制度, 制定查询流程, 实行专机查询, 切断外联传输、拷贝泄密途径, 明确查询审批权限, 加强信息安全管理检查, 形成多层次的安全防护体系。其次, 强化数据库管控建设, 增加技术和资金投入, 填补技术漏洞, 预防黑客入侵窃取客户信息资料, 并强化全方位的日常监管。
(四) 健全个人隐私权益保护制度
一方面, 应在基础性法律立法中明确互联网金融个人征信过程中的个人隐私权保护强度和范围, 尤其是征信隐私权的保护范围应涵盖信息主体的身份信息 (如身份证号、出生日期、性别等) 、交易信息 (如银行卡信息、网上购物记录、P2P借贷信息以及其他互联网金融平台的交易信息等) 、由用户交易信息所推导出的个人主观信息 (如网上购物反映出的消费习惯、消费偏好) .另一方面, 一条信息数据有可能同时显示出信息主体的金融行为信息, 因此, 在制订与隐私权相关的法律时, 诸如在人格权法、侵权责任法中应该改变传统抽象而又笼统的隐私权规定方式, 明确这一权利的属性特征的界定, 司法实践中注重对隐私权的司法解释, 更关键的是要结合个人征信的特点及特定情境加以补充解释。
四、结语
“自征信”违法违规乱象给国家征信监管和金融征信秩序带来了不稳定因素, 央行征信监管部门应不断提升监管水平, 强化对新生乱象的监管力度, 通过审慎监管机制与优化服务理念, 拓展互联网金融征信发展的良性远景。随着“百行征信”模式的建立和发展, 互联网非银行征信将与银行征信共同构筑金融征信体系大厦, 成为我国社会信用体系建设的重要组成部分。