中国人民银行制定发布的《征信业务管理办法》(以下简称《办法》)今年1月1日起已正式实施。作为数字经济时代推动征信行业健康发展的重要规范性文件,《办法》明确了征信行业的合规发展路径,提升了征信业市场化、法治化和科技化水平,将原先游离于监管之外的新兴征信活动纳入法治监管的轨道,助推征信市场健康有序发展。目前,我国已有两家市场化机构获得个人征信许可,分别是百行征信有限公司与朴道征信有限公司。市场化个人征信机构作为征信行业重要组成部分,肩负着建立覆盖全社会征信体系的重要使命,而征信机构合规工作建设则是个人征信行业健康发展的生命线。持牌个人征信机构理应严格落实《办法》各项要求,明确“坚守合规底线,合规促进发展”的合规理念与目标,切实提升风险规范化管理水平,依法应用新技术创新征信业务,在提升征信服务能力的同时,加强信息主体权益保护,引领征信行业在新时代实现高质量发展。
践行全流程合规理念
征信行业健康发展,征信机构合规运行是前提和生命线,这个理念必须贯穿在征信业务开展的全流程中。
一是把住准入源头保证合规。从行业发展特点来看,市场化个人征信机构广泛连接海量数据源、科技企业、金融机构,依托外部数据源提供替代数据,通过加强与科技企业合作,为广大金融机构提供高质量征信服务。数据源提供的数据是征信机构的核心生产原材料,也是对外提供合规征信产品的重要基础,因此数据源准入的合规审核就成为公司合规展业的“始发站”和“水源地”。
二是严格尽调论证保证合规。市场化个人征信机构应在相关法律法规、规范性文件的指引下,制定相应内部指引制度,作为数据源合作数据产品的审核依据,同时也向征信市场宣导业务合规理念。据笔者了解,市场上有大量对外提供数据产品服务的数据源,产品类别涵盖信用“画像”、信用评分类、反欺诈类等产品,底层数据包含运营商、履约、行为、司法行政等替代数据。《办法》要求过渡期内,持牌征信机构全面开展与数据源、金融机构等相关方的业务合作模式的调整。在数据源的配合下,个人征信机构应对拟合作的机构及数据产品进行全覆盖的合规尽职调查,必要时也可以借助外部律师团队,对重点难点项目进行多方论证。
三是完善合作机制保证合规。《办法》明确了征信机构应遵循公平性的原则对外提供服务,且应对金融机构准入进行必要的合规审核。因此,市场化征信机构应秉持公平性的原则,从金融机构业务准入管理、系统安全以及异常查询检测等方面落实《办法》要求,包括建立引入审核机制、授权核查机制、查询异常检查机制以及线索移交机制等,贯彻履行个人信息保护的义务,降低征信行业各参与方的合规风险。
打造全覆盖合规审核
在对数据源的数据产品合规审核中,征信机构应贯彻相关法律法规、规范性文件要求,对拟接入机构及数据产品开展全覆盖实质审核,审核重点应覆盖数据源机构本身以及合作产品。
一是要判断数据源机构展业合规性。《办法》生效前,征信市场上数据产品质量和合规情况参差不齐,部分大数据公司实际从事征信业务但并未按照征信监管要求对业务的合规性进行评估。市场化征信机构成立以来,致力聚力提升征信业市场化和法治化水平,助推征信市场健康有序发展。一方面,要调查合作机构展业情况,审核机构是否依法合规展业,具备与主营业务相符合的资格、登记、备案、许可或其他形式的批准清单及所对应的文件;另一方面,要分析合作机构运营情况,通过尽职调查及公开信息查询,审核机构运营是否正常经营、是否存在重大违法违规行为以及受到行政处罚情况或重大负面信息。
二是要开展底层数据穿透式审核。审核不能流于形式,而应保证数据追溯到产生源头。应了解数据产品类型及逻辑,并要求数据源提交体现数据产品的底层变量文件材料,对数据产品的所有底层变量类型及变量数据来源进行分析审核。应对拟合作数据产品的底层数据进行穿透式审核,结合体现数据产品的底层变量文件材料,分析数据产品的底层数据,根据数据来源的不同,分析数据合规性。例如,底层数据为数据源自有数据的,了解数据采集来源以及来源是否合规、是否取得用户充分授权及相应授权形式。如底层数据为非自有数据的,则应进一步了解数据授权方式,并需向上穿透至最终数据来源,形成完整、合规的授权链。
三是要强化个人信息保护和数据安全。市场化征信机构在对数据产品的审核中,应结合法律法规要求,重点关注数据产品是否包括限制类采集信息、禁止类采集信息、敏感类信息及超授权数据,并依照相关法律法规要求实施重点核查。对《征信业管理条例》中明确的限制类采集信息,如个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,明确采集相关信息需告知信息主体提供该信息可能产生的不利后果,并取得其书面同意。对《征信业管理条例》中明确的禁止类采集信息,如个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息,一律给出禁止准入的审核结论,严禁包含此类禁止信息的产品流入市场。对于个人信息保护法要求的敏感信息,应重点关注此类数据的个人授权,是否有单独授权及告知条款。对于超授权采集信息,在未能完成授权整改的情况下,应对相关数据产品做不合作或标签剔除处理。以朴道征信为例,朴道征信已对包含重大疾病、医疗、信息主体配偶信息、超授权采集信息等不合规信息的数据产品做不合作或产品合规改造的处理,累计剔除标签变量约3200个。
建设全方位合规文化
制度的落地和执行离不开公司文化的保障,对于市场化个人征信机构而言,公司文化应建设成为具备导向能力、凝聚能力和激励能力的文化体系。
首先,以合规文化建设为抓手。合规是现代化企业的核心价值观之一,合规文化是公司文化的重要组成部分。推动市场化征信机构合规文化建设,从“知合规”“懂合规”到“敬畏合规”,实现合规理念的知行合一,是提高企业经营管理水平的必要条件,是建立公司长效发展机制的必要条件,更是打造现代化高水平征信机构的必要条件。
其次,以合规文化理念为引领。员工是合规文化理念的践行者,需要全体员工意识到合规是一件大事,要让合规意识渗透到全体员工的思维行动中。树立合规文化理念不仅是合规部门和合规人员的工作职责,更是市场化征信机构全员的履职基础。朴道征信积极推进合规文化建设,以“合规防风险、合规促发展、合规创价值”为指导思想,明确“坚守合规底线,合规促进发展”的目标,树立“合规人人有责”和“合规创造价值”文化理念,狠抓制度文化、行为文化、品牌文化,实现领导组织到位、学习培训到位、制度执行到位、责任落实到位。
再次,以合规检查监督为保障。机制落实靠监督,在合规文化建设过程中,加强市场化征信机构制度文化的检查监督,严格要求各关键岗位履行好监督职责,提高风险防御能力,以合规管理为契机,确保制度执行到位。持续关注法律法规、政策、行业规范的变化,及时更新、调整从业合规机制,实现合法经营管理,构建良好的企业合规文化。在征信机构打造全员遵法、学法、守法、用法的良好文化氛围,为合规经营提供坚强后盾。
来源:金融时报-中国金融新闻网/赵以邗(朴道征信有限公司董事长、朴道征信研究院院长)