《徵信業務管理辦法》出台，個人徵信牌照還會遠嗎？

作者|薛洪言，蘇寧金融研究院高級研究員

來源|洪言微語

近日，央行徵信管理局低調下發了《徵信業務管理辦法（草稿）》（下稱《辦法》），之所以稱之為低調，因為除了某微信公號提供的文件掃描版外，全網找不到制度原文。針對《辦法》，並無太多可以深入探討的點，洪言微語著重探究兩個問題，一是與2013年公布的《徵信業管理條例》（下稱「條例」）相比，《辦法》新在何處？二是，《辦法》出台後，個人徵信牌照還會遠嗎？且聽洪言微語一一道來。

從內容上看，《辦法》針對徵信過程中信息的整理、保存、加工、對外提供、徵信產品、異議和投訴以及信息安全等全流程進行了規範，與2013年公布的《徵信業管理條例》（下稱「條例」）有很大相似之處，如均強調信息採集要徵求信息主體的同意、不良信息5年保存期、異議申請20日內答覆等。那麼，相比《條例》，《辦法》有哪些亮點呢？

首提「過度採集」的概念。《辦法》第8條明確規定：「徵信機構採集個人信息，應當遵循『合理、相關、必要』的原則，採集個人信息應當採用合理的方式，採集的個人信息應當與個人信用相關，不得過度採集」。過度採集概念的提出雖然未能解決信息採集的合法邊界問題，但概念的提出本身已經是一種進步，是信息保護意識整體提升的客觀反映。

規定更為人性化。《條例》和《辦法》均明確採集個人信息應當經信息主體本人同意，但《辦法》額外增加了「並明確告知信息主體採集信息的目的、信息來源和信息範圍」的內容，使得相關規定更為人性化，個人信息保護也更具有可操作性。

更加註重網路信息安全。《辦法》第12條明確規定：「徵信機構採集個人在網路上公開的信息，除依照法律、行政法規規定公開的信息外，應當取得信息主體本人同意。」這也是《條例》中所沒有的。在洪言微語看來，這一規定體現了官方對基於「網路爬蟲」的大數據徵信的態度。大數據風控是互聯網金融蓬勃發展的基石（起碼在宣傳上是這樣的），然而，除了阿里、京東、蘇寧等電商平台本身就產生大數據之外，絕大多數形形色色的互聯網金融企業本身不產生數據，網路公開信息是他們重要的信息來源。當前，這些企業獲取個人網路公開信息並沒有徵求本人同意，《辦法》落地後，這樣的做法就面臨著合規性的問題。對8家處於準備期的個人徵信機構而言，這條規定是一個挑戰。

個人信用評分產品納入監管範圍。《辦法》第35條明確規定：「徵信機構提供個人信用評分產品服務的，應當建立評分標準，不得將與個人信用無關的要素作為評價標準。」個人信用評分產品是個新東西，相比傳統的徵信報告，信用評分可量化、可比較，具有更強的社交屬性和傳播屬性。除8家準備期的企業以外，市場上不少企業也推出了類似的評分產品。鑒於各家掌握的數據的數量和質量差異很大，其提供的信用評分結果也差異較大，所謂的信用評分產品更多地是一種娛樂性質，尚不足於投入實際應用。《辦法》的這條規定將促使各類評分產品的標準化和規範化，當然，最終的結果可能是趨同化。

最後，《辦法》的出台與個人徵信牌照的落地有沒有關係？恐怕是有關係的。去年1月，央行發布《關於做好個人徵信業務準備工作的通知》，要求芝麻信用、騰訊徵信、前海徵信、鵬元徵信等8家機構做好個人徵信業務的準備工作，準備時間6個月。時至今日，在多輪驗收之後，個人徵信牌照仍沒下發，引發了市場諸多猜測。

在以P2P為代表的互聯網金融平台遭遇整頓和規範的大環境下，監管當局對於徵信牌照發放的謹慎可以理解，《辦法》的出台可以看作是在業務開展之前先立規矩，避免P2P、第三方支付等領域亂象的重現。從這個角度看，也許個人徵信業務牌照很快就可以下來了。