征信信息安全管理國際經驗探究

前言：尋找寫作靈感？中文期刊網用心挑選的征信信息安全管理國際經驗探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：征信信息安全管理是征信業務管理的重心。目前，我國征信信息安全管理面臨法律法規有待健全、征信信息供需失衡、征信系統接入機構管理水平有待提高、征信信息跨境流動風險日益顯現等問題。借鑒日本和韓國征信信息安全管理的成功經驗，為加強我國征信信息安全管理，應進一步完善法律法規，強化監督管理，增加征信產品與服務供給，推動金融科技在征信領域的應用，加強國際交流合作。

關鍵詞：征信信息；信息安全；跨境流動風險；征信監管；經驗借鑒

近年來，我國P2P網貸、小貸公司等機構快速發展，對征信信息的需求呈幾何級數增加。持續增長的需求與互聯網技術相結合，不斷沖擊著征信信息安全。近年來屢屢發生的盜賣個人征信信息的案件暴露了征信信息在查詢、使用等方面存在的問題，征信信息安全管理日益引起關注。

一、新階段我國征信信息安全管理特點

（一）征信信息安全立法逐步完善。保障征信信息安全是征信業務管理的重心。對征信信息安全管理的實質就是對信息采集、整理、使用等各環節進行管理，保證各環節的信息準確安全。目前，我國主要通過《征信業管理條例》《企業信息公示暫行條例》等法規來規范征信活動，這些法規基本確立了與征信信息相關的業務活動規范，對征信信息安全起到了保障作用。

（二）征信業務監管主體明確。我國征信業務的監管主要由中國人民銀行負責，這一職能的確立最早是在2003年由國務院賦予。2013年，隨著《征信業管理條例》的頒布，中國人民銀行對征信業務的監督管理職能正式從法律上確立。中國人民銀行主要通過對涉及信息提供和使用的各方及征信業務各環節進行監督管理，以保證征信信息的安全和征信業務的順利展開。同時，中國人民銀行還對各機構進入和退出征信市場以及征信信息采集、提供數據、異議核查等征信業務實施監管，以保障征信信息安全［1］。

（三）征信信息系統架構較完整。目前，我國的征信信息系統架構較完整，主要有兩類：一類是政府信息系統，由中國人民銀行征信中心負責構建；另一類是商業機構信息系統，二者互為補充，互相協作，形成較為完整的信息系統架構。隨著社會公眾對信用信息的關注越來越高，中國人民銀行通過頒布《征信投訴辦理規程》，進一步加強數據庫的信息建設，以確保信息安全和對信息主體的權益保護。

二、我國征信信息安全管理面臨的主要問題

（一）法律法規有待健全。威脅征信信息安全的重要原因之一是信息違法買賣，健全法律法規能夠有效遏制買賣雙方的違法行為。我國2015年《刑法修正案（九）》與2017年《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將“向他人出售或者提供公民個人信息”或“竊取或者以其他方法非法獲取公民個人信息”情節嚴重的行為認定為犯罪行為。《征信業管理條例》對“違法提供或者出售信息”行為進行行政處罰，但未對違法獲取個人征信信息行為進行限制或處罰。對于情節輕微的違法獲取個人征信信息的行為，現階段無法通過行政法規進行限制。

（二）征信信息供需失衡。近年來，網貸平臺、小貸公司快速發展。2018年末全國網貸平臺累計6612家，正常運營343家，累計成交量8.99萬億元；全國成立小貸公司8133家，貸款余額9550億元，其中只有1200多家網貸平臺和小貸公司接入金融信用信息基礎數據庫。一方面，網貸平臺、小貸公司需要征信信息降低貸前調查及貸后管理成本，但受機構資質、管理水平、業務系統等條件限制，多數機構未接入中國人民銀行征信系統，只能通過借款人提供或其他渠道獲取征信信息。另一方面，信息系統功能有待完善?，F階段征信系統不具備用戶與IP地址綁定功能，不能完整記錄用戶登錄位置信息，用戶在非本單位可以登錄使用。系統功能的不完善為征信用戶盜用及買賣征信信息提供了可乘之機。

（三）接入機構管理水平有待提高。一方面，征信系統接入機構對征信信息安全管理重視度不夠，信息保護意識不強，部分接入機構未意識到外部機構對征信信息的強烈需求容易引發員工的道德風險。調查顯示，只有不到一半的接入機構對員工開展過風險警示教育，接入機構普遍對電子征信信息設置的安全保護級別較低。另一方面，個別接入機構用戶管理不嚴，存在被盜用、買賣征信信息以及設置“公共用戶”現象；個別機構未從嚴管控征信查詢終端，導致信息被非法下載及傳遞；部分機構存在信用報告未加水印、對違規人員追責不嚴等問題。

（四）跨境流動風險日益顯現。我國征信業已邁出對外開放步伐，鄧白氏、益博睿等國際征信業巨頭在國內設立了子公司，標準普爾、惠譽和穆迪三大國際評級機構已注冊獨資法人機構，更多外資征信機構正逐步進入國內市場。外資征信機構帶來先進技術、業務模式的同時，也帶來了征信信息的跨境流動風險。信息跨境流動需要與信息流向的國家建立合作和協調機制，涉及法律框架、監管制度、行業自律、信息保護、異議處理等多個維度，短期內難以實現。《征信業管理條例》規定“征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行”［2］。在外資機構已進入國內、合作機制尚未建立期間，征信信息非法跨境流動風險隱患比較突出。

三、日韓征信信息安全管理的成功經驗

（一）日本征信信息安全管理經驗。日本目前已建立起了較為完備的征信業體系，形成了法規健全、良性競爭、行業協會自律作用有效發揮、個人貸款者主動參與的良性發展格局，在征信信息安全管理方面有很多經驗值得我國借鑒。1.嚴格保護個人信用信息不受侵害20世紀80年代日本政府就先后頒布了一系列法案，對政府保有的個人信息安全提供法律保障。2003年，日本頒布《個人信息保護法》《關于保護獨立行政法人等所持有之個人信息的法律》《信息公開與個人信息保護審查會設置法》等五部法律，確立了日本個人信息保護的基本法律框架，規定了保護個人信息的若干共同事項，明確了個人信息主體的權利和個人信息處理者的義務。其立法理念是尊重個人人格、慎重處理個人信息，相關機構必須設法保護個人信息的正當處理。2.大力促進政府信息公開為促進政府信息對外共享，降低全社會信息搜集成本，1993年日本政府頒布《行政改革委員會行政信息公開法綱要》，對收集政府部門保有的信用信息提供法律依據。2001年《政府信息公開法》規定政府將其掌握的大量信息免費向社會公開，包括企業登記、土地、房屋狀況、納稅信息、破產申請信息等。3.金融機構征信信息服務廣覆蓋日本的三大個人征信機構日本信用情報機構株式會社（JICC）、信用信息中心株式會社（CIC）和全國銀行個人信息中心（PCIC）分別隸屬于日本信貸業協會、日本信用卡協會和消費信貸協會、日本銀行業協會。征信機構服務覆蓋了幾乎所有類型的金融機構，其中，JICC擁有規模最大、覆蓋全行業的個人信用信息；CIC在日本《貸金業法》和《分期付款銷售【他山之石】徐肖冰，陳慶海征信信息安全管理的國際經驗借鑒法》兩個法律框架下授權［3］，由多家信用卡公司和消費金融公司組建而成，在分期付款領域具有較強專業性；PCIC由日本銀行業協會（JBA）設立和運營，JBA由日本銀行業金融機構會員組成，PCIC負責為JBA會員機構提供個人征信信息服務。4.能夠提供全面系統的企業信息在日本，企業征信行業由帝國數據銀行（TDB）和東京商工所（TSR）負責，它們收集企業各方面信息，對市場參與者的信用狀況進行調查，并且跟蹤其變化情況，為貸款機構和個人提供的信息服務，主要包括企業信用報告（含海外企業）、企業概要以及財務和關聯信息數據庫服務、信用咨詢服務等。與此同時，TDB、TSR紛紛參與了國際征信合作，TSR參與了國際征信業巨頭美國鄧白氏公司牽頭組建的全球網絡（D&B），TDB則在海外成立了兩家分公司［3］。

（二）韓國征信信息安全管理經驗。韓國征信業注重在保障信息安全的前提下，推動信息共享，建立征信行業基本架構，其中，相關法律制度的建立與實施發揮了很大作用，逐漸形成相對完善的法律法規體系。1.公私合作模式解決供需失衡目前，韓國征信業實行的是兩級行業架構。一級是根據相關法律規定成立的公共機構，如韓國征信信息院（KoreaCreditInformationServices），主要負責管理綜合性信用信息數據庫；又如一些行業協會，如金融業授信協會、金融投資協會、生命保險協會等，主要負責管理專業性信用信息數據庫。另一級是私營征信公司，如韓國國家信息與信用評估公司（NationalInformation&CreditEvaluation），它們主要以營利為目的，通過韓國征信信息院的數據庫和其他一些渠道獲取征信信息，對外提供信用評級和征信報告等服務。通過政府與私營機構共同合作的模式，滿足市場對征信信息的需求，以解決供需不平衡的問題。2.不斷完善征信信息保護法案韓國在1995年出臺了《信用信息使用與保護法》（UseandProtectionofCreditInformationAct），后來經過了20多次的修訂和完善，成為韓國征信行業發展的最基本法案。該法案主要對征信業務活動進行規范，包括對企業和個人信用信息的收集和使用做出明確規定，以保證征信信息的安全使用。韓國通過專門的法案來保障征信行業的有序發展以及信用信息的安全，在一定程度上促進了征信業的積極發展。3.構建個人基本信息保護體系從韓國的征信行業兩級架構可以看出，韓國的公共部門和私營征信公司都對個人征信信息的使用和保護發揮著重要作用。但由于這兩類征信機構對個人信息的定義、收集和使用等標準與執行方面存在不一致，導致韓國個人信息泄露、消費者受到侵害的案件時有發生。所以經過8年的時間，2011年9月，韓國正式頒布實施《個人信息保護法》（PersonalInformationProtectionAct），更加注重對個人基本信息的保護。該法案明確規定了個人信息使用、收集和公開的基本原則，而且個人信息的管理人員必須考慮到信息主體權利受損的可能性，安全管理個人信息。此外，韓國還構建了全方位的個人信息保護體系?？偨y辦公室下設個人信息保護委員會，成員來自政府部門、國會、最高法院、行業協會等，負責制定個人信息保護方面的政策法規等重大事項；公共管理與安全部負責制定政策措施，鼓勵個人信息處理機構在信息保護方面實行自律管理；個人信息處理機構設立隱私信息事務官一職，全面負責個人信息處理方面的相關業務；在可能發生違反個人信息保護法律法規時，機構應及時分析評估風險狀況及改進措施，向公共管理與安全部提交“個人信息隱私受影響情況評估報告”。

四、加強征信信息安全管理的相關建議

（一）完善法律法規。從日本和韓國的經驗可以看出，其征信業的發展大都經歷了較長時期，法律法規也是在發展中得以不斷完善。我國雖然已建立了征信法律體系，但征信立法仍停留在行政法規層面，需要進一步完善《征信業管理條例》配套制度，制定《征信信息管理辦法》，加強對企業和個人信息保護，對違法獲取、使用、出售、提供征信信息等行為進行限制和處罰，實現對征信違法行為全覆蓋［4］。

（二）加強監督管理。一是激發接入機構保障征信信息安全的內生動力。通過加強現場和非現場監管、考核評價及警示教育等方式，充分調動接入機構征信合規管理積極性，主動完善內部管理體制機制，優化業務流程，加強用戶管理，嚴格落實異常查詢與日核查機制，對違規行為從嚴問責，減輕外部監管壓力。二是建立差異化管理措施。對管理混亂、業務系統不完善、有信息泄露風險機構的查詢請求進行限制，甚至暫停服務。三是增加違法成本。對出現征信信息安全問題的接入機構和相關人員實施聯合懲戒，如對問題機構增加監管頻率、限制相關責任人從事征信相關行業等形成威懾作用。四是進一步厘清工作職責。在各地市設立相對獨立的征信中心分支機構承擔征信查詢服務、業務輔導及技術支持等職責，有助于提高中小接入機構管理水平，也有利于防范征信信息泄露風險的發生。

（三）增加征信服務供給。從日本和韓國征信業發展來看，都采取了公共部門與私人部門并存的混合模式。我國也可借鑒此做法，鼓勵民營征信機構發展。一是加快百行征信等市場化征信機構建設，為網貸、小貸公司等機構提供征信服務，與征信系統優勢互補，形成覆蓋全社會的征信服務體系。二是利用移動終端為信息主體提供方便快捷的查詢渠道，滿足信息主體征信服務需求。三是進一步豐富征信產品?，F有銀行版信用報告包含的信息較多，“含金量”較高，建議研發簡化版信用報告，對風險防范能力強、未發生過信息泄露的接入機構，提供銀行版信用報告；對風險防范能力較弱的機構，提供簡化版信用報告。四是逐步擴大信用信息數據來源?？梢赃m當擴大信息采集范圍，尤其是金融信用信息基礎數據庫在采集信貸信息基礎上，逐步采集證券、保險、稅務、公積金等非銀行領域征信信息，擴大信用信息服務范圍，提供豐富的征信服務。

（四）加快金融科技在征信領域的應用。一是取消信息下載權限。要求接入機構全面取消征信用戶下載權限，利用技術手段結構化、最少化展示征信信息，讓信息在接入機構和征信系統之間閉環流轉。二是完善系統功能。以二代征信系統建設為契機，增加征信用戶與IP地址綁定、完整記錄用戶IP地址等抗抵賴驗證功能，防止用戶盜用和買賣征信信息。三是推廣二代自助查詢設備。采取置換等方式全面替換一代設備，并對一代設備回收處理，物理刪除存儲的征信信息。四是加快征信與科技復合型人才的培養。

（五）加強國際交流合作加強與周邊以及美國、歐洲等征信發達國家和地區的交流與合作，增進雙方的了解和認知，共同制定征信信息跨境流動標準與信息保護框架，推動征信業對外開放。

參考文獻：

［1］郭慶祥，張穎君.征信信息保護及風險防范探討［J］.征信，2018（11）：44-47.

［2］何波.國際貿易規則下跨境數據流動分析［J］.汕頭大學學報（人文社會科學版），2017（5）：53-56.

［3］池鳳彬，劉力臻.日本征信業的歷史沿革及運營機制分析［J］.現代日本經濟，2018（9）：81-94.

［4］唐建，漆世濠.征信領域個人信息泄露的防范與救濟制度研究［J］.征信，2017（11）：9-35.

作者:徐肖冰 陳慶海 單位:沈陽理工大學中國人民銀行沈陽分行.