而困而知 而勉而行

编者按：2018年2月22日，百行征信有限公司（以下简称“百行征信”）终于获得央行的许可。

本文主要从百行征信的背景、个人信用数据保护以及数据共享等方面，试着从法律角度探讨百行征信的过去、现在及未来发展。本文目的仅在抛砖引玉，希望更多的法律人参与社会信用体系的建设之中。

一、百行征信

①  征信业务

根据《征信业管理条例》的规定，征信业务是指对企业、个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。

信息使用者通过对信用数据的分析、计算了解个人信用状况并进一步提供相应的商业服务。目前百行征信为唯一一家获得央行许可的从事个人征信业务的公司。

②  个人征信业务

2018年2月22日，百行征信有限公司的个人征信业务获得央行许可，有效期至2021年1月31日。

根据2018年1月4日央行受理并公示的百行征信的相关情况，百行征信注册地为广东省深圳市，营业场所为北京市西城区金融大街通泰大厦，注册资本为10亿元人民币，业务范围为个人征信业务。

③  股东构成

百行征信股东构成为：中国互联网金融协会为最大股东，持股36%，（中国互联网金融协会是由央行会同银监会、证监会、保监会等国家有关部委组织建立的国家级互联网金融行业自律组织）；

另外八名股东分别为芝麻信用管理有限公司、腾讯征信有限公司、深圳前海征信中心股份有限公司、鹏元征信有限公司、中诚信征信有限公司、考拉征信有限公司、中智诚征信有限公司、北京华道征信有限公司，且均持股8%。

二、百行征信的背景及意义

①  社会信用体系建设

社会信用体系是社会主义市场经济体制和社会治理体制的重要组成部分。它以法律、法规、标准和契约为依据，以健全覆盖社会成员的信用记录和信用基础设施网络为基础，以信用信息合规应用和信用服务体系为支撑，以树立诚信文化理念、弘扬诚信传统美德为内在要求，以守信激励和失信约束为奖惩机制，目的是提高全社会的诚信意识和信用水平。

国务院于2013年1月21日发布实施《征信业管理条例》【国务院令第631号】，国务院法制办、人民银行负责人就《征信业管理条例》答记者问，对“为什么要制定《征信业管理条例》？”答复如下：

“我国征信业从无到有，逐步发展，作用日益显现，征信市场初具规模。但与信用经济发展和加快社会信用体系建设的要求还不相适应；

征信经营活动缺乏统一遵循的制度规范和监管依据，难以获取市场主体信用信息的现象与不当采集和滥用公民、法人信息，侵犯其合法权益的现象并存，影响征信业的健康发展。

党中央、国务院高度重视征信业发展，对征信法制建设提出了明确要求。为规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设，有必要出台《征信业管理条例》。

《征信业管理条例》的出台，解决了征信业发展中无法可依的问题。有利于加强对征信市场的管理，规范征信机构、信息提供者和信息使用者的行为，保护信息主体权益；有利于发挥市场机制的作用，推进社会信用体系建设。”

国务院在2014年6月14日，根据党的十八大提出的“加强政务诚信、商务诚信、社会诚信和司法公信建设”，党的十八届三中全会提出的“建立健全社会征信体系，褒扬诚信，惩戒失信”，《中共中央 国务院关于加强和创新社会管理的意见》提出的“建立健全社会诚信制度”，以及《中华人民共和国国民经济和社会发展第十二个五年规划纲要》提出的“加快社会信用体系建设”的总体要求，制定了《国务院关于印发社会信用体系建设规划纲要(2014—2020年)的通知》【国发[2014]21号】，规划期为2014-2020年。

②  八家征信机构单独申请未果

在前述背景之下，八家征信机构单独向央行申请个人征信牌照未果。央行为什么不批准的原因，从以下几次讲话中可窥见端倪。

2017年4月20日举行的“个人信息保护与征信管理国际研讨会”上，央行副行长陈雨露在表态央行正在积极稳妥地加快推进个人征信业务牌照发放工作的同时亦强调，征信机构在公司治理结构和业务开展上应确保独立，防止利益冲突。

开展业务要客观中立，不能受信息提供者和信息使用者等其他主体的支配。征信产品和服务的使用不能与征信机构股东或出资人的其他业务相捆绑，不能成为股东或出资人谋取他利的手段。

2017年4月21日，央行征信管理局局长万存知在“个人信息保护与征信管理国际研讨会”上回应道，“大家望眼欲穿，为什么到现在还没有发牌照。我在这儿想讲一下，主要有几个没想到：第一个没想到的是，发完通知对8家机构进行个人征信业务准备，刚起步就碰上互联网金融整顿，互联网金融整顿到现在还没结束。换句话说是互联网金融业态到现在也不稳定，也不定型，在这个领域做征信业务怎么做？是需要研究的。第二个没想到的是没想到社会公众对个人信息保护的意识空前高涨，对8家机构要求更高了。第三个没想到的是这8家机构实际开业准备的情况离市场需求、离监管要求差距那么大，这是我们始料不及的。所以综合判断，8家进行个人征信开业准备的机构目前没有一家合格，在达不到监管标准情况下不能把牌照发出去。”

2017年5月，央行征信管理局局长万存知曾发文称，八家从事个人征信开业准备的机构存在三个突出的问题：业务闭环不利于信息共享；不具备第三方征信的独立性；没有了解和遵守征信的基本理念及规则等。因此，从监管标准判断，八家机构的个人征信业务准备工作均不合格。人民银行对征信行业始终坚持审慎稳健从严的监管原则，审慎审批个人征信牌照。

③  百行征信的意义

之后，八家征信机构与中国互联网金融协会成立百行征信，以百行征信作为申请个人征信业务的主体，目前获得央行的批准。

百行征信的意义在于以下几点：打破信息孤岛，进行数据全面整合；一定程度上保护个人信用信息安全；影响征信业务格局；加强金融信贷信息的监管；防止信用数据寡头出现，以及百行征信作为央行征信的补充，是我国征信体系建设的重要一环。

三、百行征信与保护个人信息安全

从股东及股权结构可以看到，百行征信由中国互联网金融协会和八家征信机构共同发起设立，没有绝对的控股股东，有利于保持独立性，及对信息主体作出客观公正的评价，符合个人征信的基本要求。

但八家征信机构其实际控制人为阿里、腾讯、平安集团、中国人民银行深圳分行和鹏元资信评估有限公司、中诚信等大公司，这些大公司本身可称为数据公司。如果能把这八家征信机构所收集的信用信息统一起来，将形成中国至少十几亿人的信用画像。从保护个人信用安全的角度，提出以下问题：

①  百行征信股东之前所收集的个人数据是否可使用

那么问题是，首先，百行征信成立后是使用其股东已收集的数据，还是从百行征信成立起，才开始收集个人数据；其次，百行征信各股东之前所收集的数据是否符合《网络安全法》的规定，及在《信息安全技术 个人信息安全规范》颁布后，符合规范要求。如果不符合，如何解决，依据？如果认为符合，判断标准及依据？建议百行征信在没有解决前述问题及有相关法律规定的前提下，使用其股东之前所收集的个人数据时应谨慎。

②  百行征信是否会垄断个人信用数据市场

央行征信违规处罚的信息，通过公开渠道，从2016年1月到2018年1月， 2年期间（不完全统计），共计67起央行征信处罚信息。其中金融机构44家，12种类型，处罚依据有违反个人信用基础数据安全要求；保送个人不良信息未告知；非法查询并出售个人信用报告；违反征信管理规定的行为；未经信息主体同意保送信用信息的问题等。

目前央行对非法查询并出售个人信用报告处罚力度在加大。“百行征信为公司，特征是具有盈利性及趋利性，且还是目前唯一具有个人征信业务牌照的公司。”

央行作为百行征信大股东的控股股东，如何平衡百行征信的营利性与公平性，如何获得大众的认可及信任，以及如何保持央行的独立性及个人征信范围的扩大，以及如何区分金融信用与社会信用的界限。是否考虑类似美国成立几家征信公司，相互竞争，防止个人信用数据市场的垄断。

③  百行征信的公司治理结构及内控是否能够保护个人信用数据安全

百行征信作为未来掌握大量个人信用数据，及涉及个人隐私信息安全保护问题的公司，其公司治理及内控等目前未见披露。通过市场化的公司来收集个人信用数据，如何才能使得所采集的个人信用数据不会被滥用、被泄露。如何防范百行征信股东利用百行征信牌照为股东利益收集个人信用数据等。

首先，百行征信应严格按照《国家网络安全法》、《征信业管理条例》、《征信机构管理办法》等法律法规；其次，建立个人信息保护制度，制定业务制度、工作流程、操作规范和数据标准，提高个人征信业务透明度，对个人信用作出公正评价；第三，防止个人信用数据被过度采集、不当加工和非法倒卖；第四，应加强对百行征信的监管以及监管部门应针对性发布相关信息披露制度等。

四 百行征信与数据共享

①  市场的分割及数据统一

八家征信机构为对市场的分割，追求业务闭环,及在用户数据采集、数据分析、数据应用等多个环节有可能存在合规问题。在数据分析方面,由于每个机构的评分系统、评分方式各有不同,缺乏统一的标准。

②  博弈及自我救赎

出于自身业务保护和商业利益的考量，八家征信机构很可能不会主动将其收集的数据共享；八家征信机构对于个人信用评价的模型算法都不太一样，出于保护个人信息的考虑，八家征信机构对外输出的通常是针对个人标签化的信用评价，而非涉及隐私的个人具体信息。

对于百行征信而言，如果只是单纯从八家征信机构收集这类标签化的信用评价，其实意义并不大。关键是百行征信如何合法有效整合八家征信机构的数据资源，清洗及摒弃重复无效非法收集后的数据，使其标准化，产品化。

③  规章制度的建立及利益分配

百行征信股东如何参与百行征信的内部管理以及如何运营，目前未见章程及具体相关材料。数据即资产，数据公司将数据和盘托出后，其就会失去价值。针对八家征信机构应向百行征信提供多少数据以及如何提供，提供后的利益分配机制如何，也是各个股东间，以及央行与百行征信及其股东、百行征信与其股东间相互博弈的重点。

五百行征信的未来

百行征信是个新事物，无论从社会信用体系建设方面，还是征信业的发展，各方均在观望中，作为我国目前第一张个人征信牌照，各方对其期待及抨击都是可预见的。百行征信的未来路能走多远，走多快，有以下几个方面：

①  独立性问题

百行征信不能与其股东或关联机构的有利益往来,违反客观、公平、公正、独立的原则。

②  法律空白问题

目前我国与个人征信相关的法律条例有《征信业管理条例》，个人数据保护方面有《网络安全法》，及近期出台的《信息安全技术 个人信息安全规范》等，法律法规寥寥，无法满足我们社会信用体系建设的需求，国家及各部门应加强相关社会信用、个人信用数据保护方面，及大型数据公司破产相关的立法及相关规章制度的制定。

③  突破自身的闭合

百行征信为有限责任公司形式，有限公司由人合和资合的特点，且相对闭合。作为有限公司，外界因素不便过多干扰。闭合意味着利益独享，闭合意味着排斥异己，如果有新的数据公司希望成为股东，将受限于公司法的股权转让或百行征信如何应对收购及反并购，有效的股东退出机制等。

我国征信业发展，并非完全趋利，也承载着部分社会职能，如社会信用体系的建设等。因此，如何在社会责任与利益间平衡，如何在商业化运作中，获得普遍的信任，应首先从突破自身的闭合开始。

【作者声明：本文为原创，欢迎转载，需注明作者上海正策律师事务所 周铭律师，为上海市社会信用促进中心法律顾问，本文仅作学术研究之用，不做任何特定目的之用，欢迎讨论及建议，如有任何建议，请发邮箱：ben.chow@outlook.com。谢谢！】