适用场景
面向所有涉及收集、处理或利用用户/企业信用信息(如用于风控、评分、反欺诈等)的中国出海企业,尤其是在金融科技、电商、SaaS服务、广告营销等领域,以及在业务拓展或产品设计阶段就需要关注合规的企业。
核心要点
1. 征信业务定义与资质要求
根据中国法规,对企业和个人的信用信息进行采集、整理、保存、加工并提供给信息使用者的活动,均属于征信业务。从事个人征信业务必须事先获得中国人民银行颁发的个人征信牌照,企业征信业务则需备案。未取得资质而实质从事相关服务将面临处罚。
2. 信用信息的范围与处理原则
信用信息不仅包括基本信息、借贷信息,还包括基于这些信息形成的分析评价信息(如信用评分、评级)。处理信用信息必须遵循合法、正当、必要和最小化原则,并确保目的明确,即用于识别判断信用状况并为金融等活动提供服务。
3. 全生命周期合规义务
企业需对信用信息的采集、整理、保存、加工、提供、使用及安全等全生命周期环节建立合规制度。这包括确保采集时获得有效授权、保障信息准确、建立异议处理渠道、采取严格安全措施等。
4. 数据跨境传输限制
在中国境内开展征信业务,其采集的企业和个人信用信息原则上应存储在境内。向境外提供个人信用信息需满足《个人信息保护法》下的严格条件(如安全评估、单独同意等)。向境外提供企业信用信息也需审查用途,确保不危害国家安全。
5. 对合作方与使用方的管理责任
征信机构需对向其提供信息的合作方(信息提供者)进行审核,确保其来源合法、授权充分。同时,需对使用其信息的产品/服务方(信息使用者)进行身份、资质和用途审查,并监测其使用行为,防止滥用。
实务建议
- 立即进行业务自查:判断自身业务(如用户画像、信用评分、反欺诈服务)是否实质上构成征信业务,并评估是否需要申请牌照或备案。
- 建立并完善内部合规制度:制定涵盖信用信息全生命周期的管理制度,包括采集授权、安全存储、访问控制、应急响应、人员培训等。
- 严格管理第三方合作:与信息提供者或使用者签订协议,明确双方在数据授权、质量、安全、更正、异议处理等方面的责任。个人征信机构需将合作方报告央行。
- 搭建合规的数据出境机制:如业务涉及数据跨境,尽早依据《个人信息保护法》等法规,完成安全评估、获取单独同意或采取其他合法出境路径。
- 设立专门岗位与部门:对于处理大规模信用信息的企业,建议设立信息安全负责人、个人信息保护负责人及专职部门,并定期进行合规审计。
- 确保产品服务透明可解释:对外提供信用评价类产品(如评分、评级)时,应建立可解释的评价标准,并履行内部测试和验证程序。
风险提示
- 误区:认为只要不称自己为“征信服务”就不受监管。风险:只要业务实质是为金融等活动提供用于判断信用状况的信息或分析评价,就可能被认定为征信业务,面临无证经营风险。
- 误区:仅关注自身直接处理数据的合规性,忽视对上下游合作方的管理。风险:信息提供者违规或信息使用者滥用数据,可能导致征信机构承担连带责任。
- 注意事项:信用信息(尤其是个人不良信息)有法定保存期限(如不良信息保存5年),超期存储或删除不当均属违规。
- 注意事项:不得以删除不良信息为由向信息主体收费,也不得对信用评价结果进行承诺或虚假宣传,这些均为明令禁止行为。
- 重要提醒:对于在《征信业务管理办法》生效前已实质从事相关业务但无资质的企业,法规给予了18个月的整改过渡期,需抓紧时间完成合规整改。