资讯中心

资讯中心

Information Center

助贷行业重磅新规出炉

更新时间: 2021-10-15

我国为了建立完善的征信体系,加强征信监督管理,中国人民银行草拟了《征信业务管理办法(征求意见稿)》。对助贷行业产生了颠覆性的影响。


助贷机构若只是提供获客场景,不存储个人信用信息,则不属于征信服务范畴,仍然可以继续现在的助贷模式。如果助贷机构类似于大型互联网科技平台,自身存储个人信用信息,再向金融机构提供服务,则需要纳入征信业务范畴。所有金融活动将会纳入监管。


助贷政策法规解读.jpg


1、征信服务概念


(1)信用信息定义


是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。


对企业而言,还包括所有生产经营、履行法定义务的信息包含在内。


(2)征信服务外延


根据央行的起草说明:当前实践中,利用该信息对个人或企业作出的画像、评价等业务界定为征信业务,属于《办法》的约束范围。


以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义对外提供征信功能服务,适用本办法。


这里的外延是把绝大多数的助贷业务也全部囊括进去了。在未来一旦正式发布生效,任何科技公司或者所谓金融科技平台如果希望通过其积累的海量场景数据信息服务金融机构,做助贷业务,实质上都会被纳入“征信”范畴。都需要向央行申请持牌。


此外即便不涉及个人信息收集和加工,只提供纯信息处理服务,只要和征信机构有合作也要向央行报备:“征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者,在签署合作协议后向中国人民银行或其副省级城市中心支行以上分支机构报备”。


2、未来助贷机构如何寻找出路


对于部分助贷机构,主要业务有消费贷、企业贷、分期商城等,资金来源主要对接金融机构,其主要是进行信息收集存储加工处理,在此基础上建立风控模型, 提供信用信息、用户画像、评分、评级、信用修复等服务。这些机构对客户信息的收集范围非常广泛,包括了用户个人或企业的身份信息、联系信息、地址信息、商品交易信息、个人生物识别信息、银行账户信息、证券账户信息、信用信息、财产信息、社保公积金信息、借款信息、消费信息、通信信息、经营信息、工商信息、税务信息、诉讼信息等各个方面。


收集方式不但通过客户注册时填写的资料,使用Cookie等技术收集用户设备信息和日志信息,此外还包括自行或通过合作方搜集用户信息,囊括了央行《办法》定义的信用信息的范围,甚至有很多超出征信业务范围的额外信息。


助贷机构使用客户信息,除进行身份验证、资料核查、验证,反欺诈审核、还用于催收等,甚至是产品推介等不属于征信服务的业务,根据《办法》的规定,这些机构都应向央行申请征信牌照,应纳入到央行的监管半径,否则只能单纯进行数据处理服务,即便是与征信机构合作也必须向央行报备,一旦纳入《办法》的适用范围,目前其收集信息范围,收集手段,信息的使用方式必须严格按照《办法》的规定进行限制,如过度收集信息、通过客户通信记录向联系人进行催收等违规行为将受到监管机构的惩处。如此不仅其助贷业务将在央行的规制之下,其他与信息收集处理相关的业务也将受到很大的影响。


绝大部分助贷机构应该都无法申请到征信牌照,从而需要寻找大型金融机构合作,直接将原始的数据植入金融机构,从而可以规避征信的要求。但这样操作很可能导致时间一长自身丧失了竞争力被金融机构架空。其次是根据自身场景的营造能力,一起合资申请牌照,作为参股股东,至少自己的数据没有白送。


3、银行业金融机构提供助贷服务或者联合贷服务,是否触及征信的定义


比如部分互联网银行、消费金融等也是以联合贷和助贷业务模式为主,为其他商业银行提供联合贷和助贷服务,这其中也涉及到个人信用信息提供、用户画像、评分等服务。


但是因为持牌的银行和消费金融公司,对个人信息的收集和存储本身并没有互联网平台宽泛,此外本身这些机构已经处于重度监管,笔者认为和可能不需要额外申请征信牌照,但如果用于助贷,仍然可能参考征信办法,做好信息保护采集范围控制和客户授权等。


4、央行征信行业强监管影响


充分体现金融委10月30日的会议精神:“既要鼓励创新、弘扬企业家精神,也要加强监管,依法将金融活动全面纳入监管,有效防范风险。”


注意金融活动不一定是传统金融业务,那么实质上利用了个人因为消费和社交产生的行为数据为金融机构信贷决策提供参考的助贷业务实质上是金融活动,需要纳入央行的“征信“范畴。


未来央行征信业务牌照能发放多少张非常关键,如果发牌照太少,导致绝大部分助贷和拥有个人行为数据的互联网平台无法和金融结合,或者如果想做助贷业务只能依附于已经拿到牌照的征信机构(央行百行征信、朴道征信及其他可能新批的征信机构);但是所谓“依附”的意思是自己不收集和存储个人信用信息数据,而是将自己辛苦创造的消费场景产生的这些数据给到别的征信机构,商业上几乎不可行。


如果央行发牌照太多,对行业是好事,但是这将挑战央行的监管资源。央行毕竟是宏观监管部门,过多介入微观机构监管,央行的定位逐步模糊。


5、蚂蚁分拆和征信新规结合起来看


近期关于蚂蚁数据上交央行,关于蚂蚁分拆的传言比较多,笔者认为多数传言仍缺乏事实依据。如何蚂蚁集团真的做了分拆(叠加这次新规正式实施的话),那么即便是蚂蚁的内部个人信用数据服务集团内部的信贷业务板块(目前是花呗、借呗;未来可能是其他平台比如网商银行、可能成立的消费金融公司)也可能触及到“征信”,需要向央行申请征信牌照,如果短期不审批,那么可能出现信用信息和信贷业务隔断,从而部分抑制消费金融的可能性。或者被迫将数据提供给持牌征信机构比如百行征信或央行,信贷业务部门再从这些持牌征信机构使用征信信息放款,这将打破蚂蚁核心的金融生态,笔者认为可行性不大。


如果蚂蚁获得征信牌照,现在的芝麻信用也不等同于蚂蚁征信。按照央行的新规,需要本着“必要”原则采集个人信用信息,芝麻信用和其他互联网平台的数据采集范围普遍超范围,所以交易平台的生产数据虽然可以存储,但不一定都能用作征信数据,未来淘宝天猫收集到的个人信息仍然可能需要和蚂蚁征信建立清晰的隔离墙,只有征信范围内的数据才能给到征信,然后所有金融信贷服务都只能用征信数据及其加工品(客户画像、评分),不能直接从原始数据进行加工建立模型。这也是个人信息保护的基本含义,作为普通消费者在使用平台的时候虽然授权,但是对授权使用范围并没有清醒的认识,并不是平台采集到的所有字段信息都能直接给到征信进而服务于金融信贷。


6、互联网联合贷款新规之后,助贷监管终于落下帷幕


2020年11月1日发布的互联网小贷新规征求意见稿,对行业影响深远,可以说整个互联网小贷生存空间几乎已经不存在,但是只要能够做互联网小贷业务则能够很快转型做助贷,对于出资比例只有1%联合贷,实质上和助贷没有区别,只是资产方可以查询央行征信,多一个数据积累而已。


对于助贷业务怎么监管,当初笔者也只是各种猜测,总体方向一直坚持认为肯定会堵上这个漏洞,现在看来央行通过巧妙拓宽征信业务范围将其覆盖,纳入监管。


以下为征求意见稿全文及官方说明:


助贷系统.png


征信业务管理办法(征求意见稿)


第一章 总则


第一条、为规范征信业务及其相关活动,促进征信业健康发展,根据《中华人民共和国民法典》《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规,制定本办法。


第二条、在中华人民共和国境内,对个人和企业、事业单位等组织(以下统称企业)开展征信业务及其相关活动的,适用本办法。


在中华人民共和国境外,对中华人民共和国居民(自然人和法人)开展征信业务及其相关活动的,也适用本办法。


第三条、本办法所称信用信息,是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。


第四条、从事征信业务及其相关活动,应当依法保护信息主体合法权益,保障信息安全,防范信用信息泄露和滥用。


从事征信业务及其相关活动,应当遵循独立、客观、公正的原则,不得作出有违社会公序良俗的歧视性安排,不得借助优势地位提供排他性服务。


第二章 信用信息采集


第五条、 征信机构采集信用信息,应当遵循“少、必要”的原则,不得过度采集。


第六条 、征信机构不得以下列方式采集信用信息:


(一)以欺骗、胁迫、诱导的方式;


(二)以向被采集的个人或企业收费的方式;


(三)从非法渠道采集;


(四)以其他侵害信息主体合法权益的方式。


第七条 、征信机构采集信用信息的,应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核,保障采集信用信息的合法、准确和可持续。


第八条 、征信机构应当与信息提供者明确各自在数据更正、异议处理、信息安全等方面的权利义务。


第九条 、征信机构经营个人征信业务,应当制定采集个人信用信息方案,并将采集的数据项、与信用的相关度、信息主体权益保护等事项向中国人民银行报备。


第十条 、征信机构采集个人信用信息应当经信息主体本人同意,并明确告知信息主体采集信用信息的目的、信息来源和信息范围,以及不同意采集信息可能产生的不利后果等事项。


第十一条、 征信机构通过信息提供者取得个人同意的,信息提供者应当明确告知信息主体征信机构的名称。


第十二条、 征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。


第十三条 、征信机构采集企业董事、监事、高管人员与履行职务有关的信用信息,不作为个人信用信息。


第三章 信用信息整理、保存、加工


第十四条、 征信机构整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。


第十五条、 征信机构在整理、保存、加工信用信息过程中发现信息错误的,如属于信息提供者报送错误的,应当及时通知信息提供者更正;如属于内部处理错误的,应当及时更正,并完善内部处理流程。


第十六条、 征信机构采集的个人不良信息的保存期限,自不良行为或事件终止之日起5年。


不良信用信息到期的,征信机构应当删除,作为样本数据的,应当进行去标识化处理,移入非生产数据库保存,确保个人信用信息不被直接或间接识别。


第十七条 、鼓励征信机构将个人的身份标识信息与其他信用信息分开保存,实行物理隔离。


第四章 信用信息提供、使用


第十八条、 征信机构应当采取适当的措施,对信息使用者的身份、业务资质、使用目的等进行必要的审查。


征信机构应当对通过网络形式接入征信系统的信息使用者的网络和系统安全、合规性管理措施进行必要的审查,对查询行为进行监测,发现违规行为,及时停止服务。


第十九条、 征信机构应当对信息使用者进行必要的审查,保障信息使用者查询个人信息时获取信息主体同意、按照约定用途使用。


第二十条、 信息使用者使用征信机构提供的信用信息,应当用于合法、正当的目的,不得滥用。


信息使用者使用个人信用信息应当有明确、具体的目的,按照与信息主体约定的用途使用,超出约定用途的,应当另行取得同意。


第二十一条 、信息主体可以向征信机构查询自身的信用信息,征信机构未采集信息主体的信息的,应当明确告知,已采集信息主体的信息的,应当向信息主体提供采集的信息内容。


第二十二条 、征信机构应当通过互联网、营业场所、委托其他机构等多种方式为个人信息主体提供每年两次免费信用报告查询服务。


征信机构委托其他机构向信息主体提供免费信用报告查询服务的,应当对被委托机构资质、服务能力、安全保障设施、合规性要求进行审核,并对被委托机构的查询行为、泄露行为承担连带责任。


个人信息主体有权向征信机构要求提供完整的信用报告。征信机构向个人提供信用报告的内容不得少于向信息使用者提供的信用报告内容。


第二十三条、征信机构不得以删除不良信息或不采集不良信息为由,向信息主体收取费用。


第二十四条 、征信机构提供信用报告等信用信息查询产品服务的,应当客观展示查询的信用信息内容,并对查询的信用信息内容及专业名词进行解释说明。


征信机构提供信用报告产品的,报告内容应当包括信息使用者的查询记录、异议标注、信息主体声明等。


第二十五条 、征信机构提供画像、评分、评级等评价类产品服务的,应当建立评价标准,不得将与信息主体信用无关的要素作为评价标准。


征信机构提供个人信用评价服务的,评价使用的所有数据应当在向信息主体提供的信用报告中展示。征信机构应当对外披露个人信用评价类产品所采用的评分方法和模型,披露程度以反映评价可信性为限。


征信机构提供企业主体或债项信用评级服务的,应当遵守信用评级业务的相关管理规定。


第二十六条 、征信机构提供反欺诈产品服务的,应当建立欺诈信用信息的认定标准。


第二十七条、 征信机构提供信用信息查询、信用评价、反欺诈服务,应当向中国人民银行或其省会(首府)城市中心支行以上分支机构(以下统称分支机构)报备下列事项:


(一)信用报告的模板及内容;


(二)信用评价类服务的主要维度要素、评价含义、评价的应用场景以及对信息主体权益的保护;


(三)反欺诈服务的数据来源、欺诈信用信息认定标准、主要服务场景。


第二十八条、 征信机构不得提供以下征信服务和产品:


(一)对信用评价结果进行承诺;


(二)使用对评价结果有暗示性的内容、借用政府部门或行业协会的名义进行市场推广;


(三)以胁迫、欺骗、诱导的方式向信息主体或信息使用者提供征信产品和服务;


(四)对征信产品和服务进行虚假宣传;


(五)其他影响征信业务客观公正性的征信产品和服务。


第五章 信用信息安全


第二十九条、 征信机构应当制定涉及所有业务活动和设备设施的安全管理制度,采取有效保护措施,保证信用信息的安全。


第三十条 、个人征信机构、保存或处理50万户以上企业信用信息的企业征信机构,应当符合以下要求:


(一)系统测评为信用信息安全等级保护三级或三级以上;


(二)设立信息安全负责人,由公司章程规定的管理人员担任;


(三)设立专职部门,负责管理信息安全工作,定期检查有关业务及征信系统的安全管理制度及措施执行情况。


第三十一条、 征信机构应当保障征信系统运行设施设备、安全控制设施设备以及APP等移动互联终端的安全,做好征信系统日常运维管理,保障系统物理安全、网络安全、主机安全、应用安全及数据安全和客户端安全,防止数据丢失、破坏,防范对征信系统的非法入侵。


第三十二条、 征信机构应当从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面做好人员安全管理。


第三十三条、征信机构应当严格限定查询、获取信用信息的工作人员的权限和范围。


征信机构应当建立工作人员查询、获取信用信息的操作记录,明确记载工作人员查询、获取信用信息的时间、方式、内容及用途。


第三十四条、 征信机构应当建立应急处置制度,发生或者有可能发生重大信用信息泄露等事件时,应当立即采取必要措施降低危害,并向中国人民银行及其属地分支机构报告。


第三十五条 、征信机构在中国境内开展征信业务及相关活动,生产数据库、备份数据库应设在中国境内。


第三十六条 、征信机构向境外提供个人信用信息,应当符合我国法律法规的规定。


征信机构向境外提供企业信用信息查询服务,应当审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供。


征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。


征信机构向境外提供企业信用信息的,应当向中国人民银行备案。


第三十七条 、征信机构与境外征信机构合作的,应当在合作协议签署后向中国人民银行备案。


第六章 监督管理


第三十八条、 征信机构应当将下列事项向社会公开,接受社会监督:


(一)采集的信用信息类别;


(二)信用报告的基本格式内容;


(三)信用评分的主要要素及占比;


(四)反欺诈服务中的欺诈认定标准;


(五)异议处理流程;


(六)中国人民银行认为需要公开的其他事项。


第三十九条、 中国人民银行及其分支机构可以对征信机构的下列事项进行监督检查:


(一)制度建设,包括各项制度和相关规程的齐备性、合规性和可操作性等;


(二)合规经营情况,包括采集信用信息、对外提供和使用信用信息、异议与投诉处理、用户管理、其他事项合规性等;


(三)业务状况,包括信用信息覆盖范围、信用信息类型、信用产品、服务对象等;


(四)报告和报表报送情况,包括年度报告、报表填报、业务报备等;


(五)应急处理情况,包括突发事件、舆情应对等;


(六)组织机构设置情况,包括公司架构与部门设置、高管团队、人员配备等;


(七)技术支持及安全情况,包括IT制度、安全管理、系统开发等;


(八)与征信业务活动相关的其他事项。


第四十条、 征信机构违反本办法第六条、第十六条、第二十八条规定的,中国人民银行及其分支机构按照《征信业管理条例》第三十八条进行处罚。


第四十一条 、征信机构违反第二十七条、第三十条、第三十六条、第三十八条规定的,由中国人民银行及其分支机构责令改正;情节严重的,对单位处一万元以上三万元以下罚款。


第七章 附则


第四十二条、 金融信用信息基础数据库从事征信业务、从事信贷业务的机构向金融信用信息基础数据库报送或者查询信用信息参照本办法执行。


第四十三条、 与征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者,应当在签署合作协议后向中国人民银行或其副省级城市中心支行以上分支机构报备。


第四十四条、 以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义对外提供征信功能服务,适用本办法。


第四十五条 、本办法由中国人民银行负责解释。


第四十六条 、本办法自年月日起施行。


《征信业务管理办法(征求意见稿)》起草说明


《征信业管理条例》颁布实施以来,我国征信业进入快速发展的数字征信时代,征信新的业态不断涌现,但由于缺乏明确的征信业务规则,导致征信边界不清,信息主体权益保护措施不到位等问题不断出现。


为提高征信业务活动的透明度,保护信息主体合法权益,推动信用信息在信息提供者、征信机构和信息使用者之间依法合规使用,人民银行依据《征信业管理条例》并结合征信业务发展的实际,起草了《征信业务管理办法(征求意见稿)》(以下简称“《办法》”)。


一、《办法》的制定原则


(一)坚持征信为民的工作理念。充分保障信息主体在征信业务活动中的知情权、同意权、异议权、投诉权等各项合法权益,满足人民群众对高质量征信产品和服务的需求,防范个人和企业信用信息滥采滥用,保障征信信息安全,防止信息泄露。


(二)兼顾信息安全和信息合规使用。在做好信息主体权益保护的前提下,促进征信业规范发展,明确信息提供者、征信机构、信息使用者各方的义务,鼓励征信机构在安全规范的前提下,提供多样化征信产品和服务,增加征信有效供给。


(三)与现行法律法规相衔接。充分吸收《民法典》、《网络安全法》、《消费者权益保护法》等现行法律法规有关个人信息保护的内容,充分考虑与《个人信息保护法(草案)》的衔接工作,吸收相关立法原则和精神,细化个人信息保护力度。


二、《办法》的主要内容


一是对信用信息和征信业务做了明确规定。使征信监管有法可依。将为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息界定为信用信息,其信息服务活动为征信活动。当前实践中,利用该信息对个人或企业作出的画像、评价等业务界定为征信业务,属于《办法》的约束范围。


二是从保护个人和企业合法权益角度对信用信息采集、整理、保存和加工进行了规定。要求征信机构采集信息遵循“少、必要”原则,不得以非法方式采集信息;采集个人信息,应当告知采集的目的、信息来源和信息范围等,采集非公开的企业信用信息,应当取得企业同意;整理、保存、加工信用信息,应遵循客观性原则,不得篡改原始数据。


三是规范信用信息的使用,保障用于合法目的。要求信息使用者使用个人信用信息应当用于合法、正当目的,不得滥用;征信机构提供信用信息查询、信用评价、信用评级、反欺诈服务等不同种类征信业务时,应当遵循相应的业务规则。


四是对信用信息安全和跨境流动进行了规定。从内控制度、软硬件设备、人员管理等方面要求征信机构做好信息安全工作,建立应急和报告制度。向境外提供企业信用信息查询服务的,应当确保信用信息用于跨境贸易、融资等合理用途,并采取单笔查询的方式提供。


三、《办法》的起草过程


人民银行自2016年即开展了《办法》的调研起草工作,成立专门起草工作组,先后到多家征信机构、金融机构进行现场调研,了解征信业务开展的具体操作流程,借鉴参考国外征信业务的相关管理经验,广泛征求和听取相关部委、外部专家、征信机构、金融机构、人民银行分支机构的意见和建议。


各方普遍认为,征信进入新时代,面临新挑战,出台《办法》十分必要,并且时机已经成熟,建议加强对信用信息的采集、加工、对外提供等各个环节进行监管,保护信息主体合法权益、增加征信有效供给,实现征信业的高质量发展。