央行整治APP代查徵信 嚴禁接入未經授權認可App

作為每個人的「經濟身份證」，個人徵信記錄至關重要。小到辦理一張信用卡，大到貸款買房、買車，都是靠個人信用報告來獲得。

目前，一些第三方應用程序（App）號稱可以「直連央行徵信系統」，只要在手機上下載軟體就能查詢個人徵信記錄，看起來似乎方便又快捷。

然而，近期央行的一則「102號文」，徹底讓這些代查徵信App現出了「原形」：原來這些App屬於未經授權認可的，央行嚴禁接入徵信系統。用戶在使用這些App的過程中，可能已經泄露了最需要保護的個人隱私。

「直連央行徵信系統」是假盜走隱私是真

打開蘋果手機的App商店，用「徵信」關鍵字搜索，就可以跳出十多條號稱可以「直連央行徵信系統」，進行個人徵信查詢的App。

比如，一款由杭州某信息技術公司開發的名為「徵信-個人徵信查詢」的App，介紹自己稱「直連央行徵信，徵信報告免費領取」。用戶在使用這些App時，要通過手機和驗證碼註冊，隨後還要進行身份驗證。在身份驗證的過程中，用戶需要輸入身份證、姓名等個人信息。同時，還要回答一些問題甚至還可能被要求輸入銀行卡等信息。

事實上，以上述App為例的眾多代查個人徵信App會要求獲取用戶手機多項隱私許可權，包括位置、電話號碼、訪問攝像頭，甚至包括讀取簡訊和通訊記錄等。有用戶稱，在用手機號註冊後，第二天就接到各種貸款電話。

通過這些涉及個人信息的操作，確實可以查詢到的央行徵信報告。這份徵信報告記載了個人通訊方式、住址、婚姻狀況、職業信息、銀行貸款記錄、信用卡透支記錄等詳細信息。這些最需要保護的個人隱私，卻被App輕而易舉地留存使用。

而所謂的「直連央行徵信系統」，也只是App通過用戶自己的信息在後台去央行徵信系統查詢，App也僅僅是充當了中介的作用。一來一往中，個人隱私已經被這些App盜走。

央行未授權任何App提供徵信查詢服務

事實上對於個人徵信行業，監管機構從一開始就採取「高門檻、嚴要求」。與這些App所標榜「直連」不同的是，作為個人徵信報告主管單位的央行，從未授權任何App提供個人信用報告查詢服務。

事實上，個人徵信信息以銀行信貸信息為核心，金融機構主動申報，會先由業務發生行匯總上報給總行，總行按月定期將信息報送徵信中心。此外，還包括社保、公積金、環保、欠稅、民事裁決與執行等公共信息。

根據央行徵信中心數據，目前，企業和個人徵信系統只是接入商業銀行、農村信用社、信託公司、財務公司、汽車金融公司、小額貸款公司等各類放貸機構。

記者在央行徵信中心官網看到，首頁正中間就是一行醒目的加粗紅字：「安全提示：徵信中心未授權任何第三方應用程序（App）提供個人信用報告查詢服務，敬請廣大用戶注意。」

近日，央行下發《關於進一步加強徵信信息安全管理的通知》（銀髮〔2018〕102號文，簡稱「102號文」），進一步加強對企業和個人徵信系統運行機構和接入機構徵信信息安全管理。

102號文要求，嚴格授權查詢機制，未經授權嚴禁查詢徵信報告，規範內部人員和國家機關查詢辦理流程，嚴禁未經授權認可的App接入徵信系統。

5月4日，央行徵信工作會議強調，以零容忍態度嚴肅查處徵信領域違法違規行為。此外，加快建立覆蓋全社會的徵信系統，積極構建互聯網信用體系，合理引導市場化機構規範發展。

央行將嚴厲處罰徵信信息泄露

據了解，央行將嚴厲處罰徵信信息泄露情況，牢牢守住不發生徵信信息安全風險的底線。

據102號文，央行將對企業和個人徵信系統的接入機構實行考核、評級管理。依據考核計分情況，將接入機構評為A、B、C、D四個等級。根據102號文附件《金融信用信息基礎資料庫接入機構徵信合規與信息安全年度考核評級管理辦法》，若存在以下情況，評級將下調一級：因徵信違規案件導致多起投訴、訴訟，或者引發社會群體性事件；在新聞媒體、網路引發持續性重大負面輿情；瞞報、遲報、漏報重大風險事件或者違規事件；自評時存在重大隱瞞情形，報送存在虛假記載、誤導性陳述或者重大遺漏的文件、資料等。

值得注意的是，102號文規定，接入機構存在下列任一情形的考核評級結果直接定為0分。包括：發生涉及徵信信息犯罪的案件，相關機構或者人員被依法追究刑事責任；發生徵信信息泄露、買賣徵信信息等事件，相關人員被依法採取刑事強制措施；發生徵信信息泄露、非法查詢等違規案件等；未經批准擅自開展徵信機構業務的。

保護個人信息安全任重道遠

在中國政法大學互聯網金融法律研究院院長李愛君看來，進入大數據時代，如何保護個人信息安全成為大數據今後發展需要注意的重中之重。

李愛君認為，「從我國個人信息的法律保護現狀可以看出，我國對個人信息保護尚未出台專門立法，對於泄露個人信息的處罰缺乏統一性和系統性，尚未形成統一的關於個人信息保護方面的基本法，而是散見於相關的法律法規中，且量刑偏輕。」

記者梳理髮現，我國民法總則第一百一十一條、刑法第二百五十三條都涉及了公民的個人信息不受侵犯以及相關的處罰措施。　　

最高人民法院和最高人民檢察院2017年5月9日聯合發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》以及於當年6月1日起施行的《網路安全法》，對涉及用戶個人信息的，進行了相關規定。

除此之外，消費者權益保護法、居民身份證法、商業銀行法、未成年人保護法、電信條例以及《互聯網電子公告服務管理規定》《計算機信息網路國際聯網安全保護管理辦法》《互聯網安全保護技術措施規定》等法律法規也都對涉及個人信息作出相關規定。

儘管如此，李愛君表示，目前我國個人信息保護尚無統一立法，現有規定內容分散，個人信息泄露維權舉證困難重重。「相關部門應建構統一的立法框架，加大司法打擊力度，順暢維權渠道。與此同時，通過產業界的自律和他律，促進形成健康有序的市場規範。」