《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 行業(yè)梳理 | 征信業(yè)的十個增強式數(shù)據(jù)安全保護要求

行業(yè)梳理 | 征信業(yè)的十個增強式數(shù)據(jù)安全保護要求

2021-10-20
來源:網(wǎng)安尋路人
關(guān)鍵詞: 征信業(yè) 安全保護

  近日,,《征信業(yè)務(wù)管理辦法》正式發(fā)布,,對于其中的信用信息,,特別是個人信息信息,顯然我們應(yīng)當(dāng)從《個人信息保護法》的角度去看,。但是信用信息中還包含企業(yè)信用信息,這部分信息應(yīng)當(dāng)如何看待,?又或者,,信用信息整個類別,可以從《數(shù)據(jù)安全法》的角度去看(要知道,,《征信業(yè)務(wù)管理辦法》在第一條中并沒有提到《數(shù)據(jù)安全法》),?

  要回答這個問題,可以從人民銀行在《征信業(yè)務(wù)管理辦法》中對數(shù)據(jù)全生命周期提出的安全保護要求來理解,。這也是本文的目的,。本文歸納在公號君看來,與《個人信息保護法》相比,,《征信業(yè)務(wù)管理辦法》對信息安全和保護提出的十個非常有特色或者增強式的要求,。

  1、信用信息包括個人信息,也包括企業(yè)信息

  根據(jù)《征信業(yè)務(wù)管理辦法》第三條規(guī)定,,本辦法所稱信用信息,,是指依法采集,為金融等活動提供服務(wù),,用于識別判斷企業(yè)和個人信用狀況的基本信息,、借貸信息、其他相關(guān)信息,,以及基于前述信息形成的分析評價信息,。

  2、征信行業(yè)施行“業(yè)務(wù)資質(zhì)管理”

  《征信業(yè)務(wù)管理辦法》第四條規(guī)定,,“從事個人征信業(yè)務(wù)的,,應(yīng)當(dāng)依法取得中國人民銀行個人征信機構(gòu)許可;從事企業(yè)征信業(yè)務(wù)的,,應(yīng)當(dāng)依法辦理企業(yè)征信機構(gòu)備案,;從事信用評級業(yè)務(wù)的,應(yīng)當(dāng)依法辦理信用評級機構(gòu)備案”,。

  并且,,具備業(yè)務(wù)資質(zhì)的市場機構(gòu),才可以向金融機構(gòu)提供征信服務(wù),。因為《征信業(yè)務(wù)管理辦法》第五條規(guī)定,,“金融機構(gòu)不得與未取得合法征信業(yè)務(wù)資質(zhì)的市場機構(gòu)開展商業(yè)合作獲取征信服務(wù)”。

  3,、征信機構(gòu)和監(jiān)管機構(gòu)都要審查上游信息的合法性

  《征信業(yè)務(wù)管理辦法》第九條規(guī)定,,信息提供者向征信機構(gòu)提供信用信息的,征信機構(gòu)應(yīng)當(dāng)制定相關(guān)制度,,對信息提供者的信息來源,、信息質(zhì)量、信息安全,、信息主體授權(quán)等進行必要的審查,。

  并且,《征信業(yè)務(wù)管理辦法》第十四條規(guī)定,,個人征信機構(gòu)應(yīng)當(dāng)將與其合作,,進行個人信用信息采集、整理,、加工和分析的信息提供者,,向中國人民銀行報告。個人征信機構(gòu)應(yīng)當(dāng)規(guī)范與信息提供者的合作協(xié)議內(nèi)容,。信息提供者應(yīng)當(dāng)就個人信用信息處理事項接受個人征信機構(gòu)的風(fēng)險評估和中國人民銀行的情況核實,。

  4、征信機構(gòu)開展個人征信的業(yè)務(wù)計劃(包括個人信息處理的方案),需要提前向監(jiān)管機構(gòu)報告后,,方可開展

  《征信業(yè)務(wù)管理辦法》第十一條規(guī)定,,征信機構(gòu)經(jīng)營個人征信業(yè)務(wù),應(yīng)當(dāng)制定采集個人信用信息的方案,,并就采集的數(shù)據(jù)項,、信息來源、采集方式,、信息主體合法權(quán)益保護制度等事項及其變化向中國人民銀行報告,。

  5、信用信息力求準(zhǔn)確性和相關(guān)性

  《征信業(yè)務(wù)管理辦法》在第三章中集中對信息準(zhǔn)確性做出要求:

  征信機構(gòu)不得篡改原始信息,;

  征信機構(gòu)在整理,、保存、加工信用信息過程中發(fā)現(xiàn)信息錯誤的,,如屬于信息提供者報送錯誤的,應(yīng)當(dāng)及時通知信息提供者更正,;如屬于內(nèi)部處理錯誤的,,應(yīng)當(dāng)及時更正,并優(yōu)化信用信息內(nèi)部處理流程,。

  征信機構(gòu)應(yīng)當(dāng)對來自不同信息提供者的信息進行比對,,發(fā)現(xiàn)信息不一致的,及時進行核查和處理,。

  對于信用信息的相關(guān)性,,《征信業(yè)務(wù)管理辦法》在第四章有完整設(shè)計:

  征信機構(gòu)提供畫像、評分,、評級等信用評價類產(chǎn)品和服務(wù)的,,應(yīng)當(dāng)建立評價標(biāo)準(zhǔn),不得將與信息主體信用無關(guān)的要素作為評價標(biāo)準(zhǔn),。征信機構(gòu)正式對外提供信用評價類產(chǎn)品和服務(wù)前,,應(yīng)當(dāng)履行必要的內(nèi)部測試和評估驗證程序,使評價規(guī)則可解釋,、信息來源可追溯,。

  征信機構(gòu)提供信用反欺詐產(chǎn)品和服務(wù)的,應(yīng)當(dāng)建立欺詐信用信息的認(rèn)定標(biāo)準(zhǔn),。

  征信機構(gòu)提供信用信息查詢,、信用評價類、信用反欺詐產(chǎn)品和服務(wù),,應(yīng)當(dāng)向中國人民銀行或其省會(首府)城市中心支行以上分支機構(gòu)報告下列事項:(一)信用報告的模板及內(nèi)容,;(二)信用評價類產(chǎn)品和服務(wù)的評價方法、模型、主要維度要素,;(三)信用反欺詐產(chǎn)品和服務(wù)的數(shù)據(jù)來源,、欺詐信用信息認(rèn)定標(biāo)準(zhǔn)。

  6,、個人不良信息有時效性要求

  《征信業(yè)務(wù)管理辦法》第二十條規(guī)定,,征信機構(gòu)采集的個人不良信息的保存期限,自不良行為或者事件終止之日起為5年,。個人不良信息保存期限屆滿,,征信機構(gòu)應(yīng)當(dāng)將個人不良信息在對外服務(wù)和應(yīng)用中刪除;作為樣本數(shù)據(jù)的,,應(yīng)當(dāng)進行匿名化處理,。

  換句話說,個人在信用方面的不良信息,,有效期為五年,。五年后,征信機構(gòu)應(yīng)當(dāng)對其“遺忘”,。

  7,、對外提供征信產(chǎn)品或服務(wù),應(yīng)當(dāng)對使用者一視同仁

  《征信業(yè)務(wù)管理辦法》第二十一條規(guī)定,,征信機構(gòu)對外提供征信產(chǎn)品和服務(wù),,應(yīng)當(dāng)遵循公平性原則,不得設(shè)置不合理的商業(yè)條件限制不同的信息使用者使用,,不得利用優(yōu)勢地位提供歧視性或者排他性的產(chǎn)品和服務(wù),。

  8、征信機構(gòu)應(yīng)審查使用者,,確保信息下游的使用的合法性

  《征信業(yè)務(wù)管理辦法》第二十二條規(guī)定,,征信機構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)拇胧瑢π畔⑹褂谜叩纳矸?、業(yè)務(wù)資質(zhì),、使用目的等進行必要的審查。

  征信機構(gòu)應(yīng)當(dāng)對信息使用者接入征信系統(tǒng)的網(wǎng)絡(luò)和系統(tǒng)安全,、合規(guī)性管理措施進行評估,,對查詢行為進行監(jiān)測。發(fā)現(xiàn)安全隱患或者異常行為的,,及時核查,;發(fā)現(xiàn)違法違規(guī)行為的,停止提供服務(wù),。

  9,、信用信息明確無條件的本地化存儲要求

  《征信業(yè)務(wù)管理辦法》第三十九條規(guī)定:征信機構(gòu)在中華人民共和國境內(nèi)開展征信業(yè)務(wù)及其相關(guān)活動,,采集的企業(yè)信用信息和個人信用信息應(yīng)當(dāng)存儲在中華人民共和國境內(nèi)。

  10,、對境外提供信用信息需要慎之又慎

  《征信業(yè)務(wù)管理辦法》第四十條規(guī)定:征信機構(gòu)向境外提供個人信用信息,,應(yīng)當(dāng)符合法律法規(guī)的規(guī)定。征信機構(gòu)向境外信息使用者提供企業(yè)信用信息查詢產(chǎn)品和服務(wù),,應(yīng)當(dāng)對信息使用者的身份,、信用信息用途進行必要的審查,確保信用信息用于跨境貿(mào)易,、投融資等合理用途,,不得危害國家安全。

  第四十一條規(guī)定:征信機構(gòu)與境外征信機構(gòu)合作的,,應(yīng)當(dāng)在合作協(xié)議簽署后,、業(yè)務(wù)開展前將合作協(xié)議報告中國人民銀行。

  簡短的討論

  首先,,信用信用不僅是個人信息還有企業(yè)信息,,自然《征信業(yè)務(wù)管理辦法》自然有《個人信息保護法》無法涵蓋的事項。

  其次,,即便是個人信用信息,,《征信業(yè)務(wù)管理辦法》對于征信機構(gòu)開展業(yè)務(wù)的事前(即征信業(yè)務(wù)方案的審查)監(jiān)管,對上,、下游合作伙伴的審查,也很難用《個人信息保護法》來正當(dāng)化,。即便是《個人信息保護法》中對敏感個人信息的規(guī)定,,也難以達到《征信業(yè)務(wù)管理辦法》的監(jiān)管強度。

  再次,,與境外征信機構(gòu)合作的事項,,需要首先獲得人民銀行的許可。

  當(dāng)然,,信用信息力求準(zhǔn)確性和相關(guān)性,,這是征信業(yè)務(wù)本身的特點所要求。

  因此,,在公號君個人看來,,《征信業(yè)務(wù)管理辦法》對征信業(yè)劃了一個圈,在里面流轉(zhuǎn)的信用信息,,具有合法性,、準(zhǔn)確性、相關(guān)性的要求,。來自于外部的信息要流入,,轉(zhuǎn)換成信用信息,,需要監(jiān)管機構(gòu)把關(guān)。這些信息又都需要本地化存儲,。信用信息的流出,,也有比較高的門檻,但沒有流入的高,。

  從這些特點來看,,這些要求可不可以成為重要數(shù)據(jù)的監(jiān)管思路中的一部分?




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。