中国人民银行征信中心于近期印发了《金融信用信息基础数据库异常查询行为监测工作暂行规程》(以下简称“《规程》”),以进一步规范征信信息异常查询行为监测工作程序,确保信用报告合规查询,保护信息主体的合法权益。
金融机构启动异常查询自查
盘古智库高级研究员吴琦在接受记者采访时表示,近期以来,央行有加强监测金融信用信息相关要求,主要是因为部分金融机构在系统用户管理、安全管理和个人信息收集、查询操作等方面存在问题和短板,违规查询事件时有发生,侵害了信息主体的合法权益。“风险容易传导,往往小问题也会发展成大问题,近几年监管层在不断地补制度短板。”
了解情况的权威人士称,《规程》已下发到征信中心各分中心、国家开发银行、各政策性银行、国有商业银行、股份制银行、中国邮政储蓄银行、金融资产管理公司金融信用信息基础数据库建设牵头部门等,各分中心正在指导和监督各机构按照《规程》要求做好异常查询核实反馈等相关工作。
“关于信用信息异常查询,我们今年3月份开始就已经在自查整改了,没想到央行又印发了新文件。”一位国有大型商业银行客户经理对《中国经营报》记者表示,“我们支行只有相关负责人才有系统查询的权限。自查的过程耗时较长,因为需要把央行征信系统查询记录全部调出来,挨个核对是否具备授权书。其实按照规定,先取得授权书才能查询,但是之前要求并不严格,所以缺少授权书的情况偶有发生。自查后,缺少授权书的马上补齐,如果补不来就会成为大问题。除了授权书之外,频次也是重要关注的问题。”
“查询征信系统信息必须事先取得被查询主体的有效书面授权(合同中有授权的除外)。”另一国有大型金融机构在其近期的内部通知中明确强调,“征信系统信息查询由各单位征信信息查询岗专岗专机操作。近期,该机构风险管理部将通知下属单位组织异常查询行为核查。”
一位股份制银行个人业务部相关负责人也对记者表示:“对于征信系统信息异常查询自查,我们非常重视。”
值得一提的是,根据《规程》,异常查询行为包括但不限于查询金融信用信息基础数据库的次数超过查询量波动阈值、睡眠用户重启查询、非工作时段查询、疑似未授权查询、多次失败查询、短时高频查询等情形都将涵盖在本次监测工作范围内。
监管交叉与盲区并存
“以信贷信息为主的金融信用信息基础数据库是我国征信业的支柱。”权威人士对记者表示,截至2018年3月底,征信系统收录自然人9.57亿人,收录企业及其他组织约2524万户。
1997年,央行开始筹建信贷登记咨询系统。2006年3月,经中编办批准,中国人民银行设立中国人民银行征信中心,作为直属事业单位专门负责金融信用信息基础数据库的建设、运行和维护。金融信用信息基础数据库下设个人信用信息基础数据库和企业信用信息基础数据库,是我国重要的金融基础设施,经过十年多的发展,已成为世界规模最大、收录人数最多、收集信贷信息最全、覆盖范围和使用最广的征信数据库,在识别、防范和化解传统金融机构信贷风险方面发挥了重要作用。目前,金融信用信息基础数据库基本做到了全国范围内持牌金融机构的全覆盖。
但是,随着征信新业态、新产品、新场景的发展,现有征信监管面临着更多的考验。
“事实上,《征信业管理条例》对金融信用信息基础数据库和社会征信机构的监管做出了规定,而对地方政府和国务院有关部门建设的公共信用信息共享系统未做监管要求,这些系统积累了大量政府履职产生的信息,但信息的归集、整理和应用没有第三方监督,就存在着监管缺位风险。与此同时,信用评级行业的监管部门有央行、发改委和证监会等,存在明显的交叉监管现象。”前述知情人士坦言。
据记者了解,个人信用信息除包含贷款、信用卡、担保等信贷类信息外,还包含个人的身份、职业、居住等基本信息及公积金参数、养老金缴存、欠税、民事判决等公共信息,通过这些信息可以对信息主体进行基本画像。随着征信系统应用范围的不断拓展,信用报告的商业价值不断显现,社会各界对信用报告的需求量不断提升,导致一些机构在无法正常获取个人信息时,选择铤而走险支付高额费用违规获取的情况时有发生。
“金融机构业务管理机制不完善、员工法律意识不强的问题必须加大预防力度。”前述知情人士透露,“一般金融机构工作人员泄露信用报告主要有三种形式。一是将征信系统管理员的用户名和密码出售或租借给第三方;二是未经信息主体授权情况下使用信用报告进行业务营销;三是通过互联网或亲朋好友有偿为买卖信用报告的第三方查询信用报告,这是目前买卖个人信用报告最主要的形式。”
柔性监管亦有待加强
“由于多方面的原因,中国公民个人信息泄露带来的侵权、网络诈骗等违法活动在一些地方和领域呈现多发态势,不仅严重影响公民的日常生活,而且影响社会的长治久安。需要监管部门依法加大个人信息保护力度,公众自身提升个人信息自我保护意识和维权意识,有效遏制侵害公众个人信息违法犯罪活动蔓延的态势。”中国人民银行副行长陈雨露曾公开表示,加强个人信息保护,推动征信市场规范发展,既面临着历史性的重大机遇,也面临着不少的挑战。“在这一过程中,需要平衡好商业化应用所需的数据自由流动与信息主体权益保护之间的关系。”
前述了解情况的人士人士认为,从目前来看,我国征信行业在制度规范、业务创新、监管环境等方面都还处于一个动态的变化过程中。监管部门与市场、征信机构与金融机构之间也处于探索、调整和博弈的阶段。在新业务和场景不断产生时,市场和监管之间的摩擦也会加剧,这时就需要加强行业自律等柔性监管,以便增强监管的有效性和适用性。同时,发挥行业协会的缓冲带作用,在技术标准推广、信用信息共享、信息主体权益保护等方面,加强监管部门与市场主体之间的衔接,提升监管政策在征信市场中的传导效率。
为了加强对征信机构日常风险以及跨平台、跨市场风险的监测分析与预警,《规程》明确,征信中心通过技术手段对金融信用信息基础数据库的查询操作行为进行监测,对异常查询行为进行定位、阻断、反馈、核实、跟踪问题行为、报告等过程。
记者了解到,《规程》实施后,征信中心将对监测过程中发现的短时高频、查询量超阈值等重大异常查询行为实时阻断,并立即停用该用户查询权限。机构接收异常查询记录明细后,应立即进行自查,逐笔核实。“对经确认的问题查询行为,操作所属机构组织开展现场核查后,应按月以正式文件形式向征信中心和分中心报送进一步核实和处理情况,直至事件处理完毕。”