金融信用信息数据库使用者的行为规范范文

摘要：深入分析金融信用信息基础数据库信息使用者在使用授权、使用目的、使用范围、使用方式四个方面的主要失范行为，在借鉴国外相关经验做法的基础上，提出为进一步规范信息使用者行为，应完善法律法规、加强行为监管、落实主体责任、加强培训教育。

关键词：数据库；信息使用者；行为规范；征信管理

一、规范信息使用者行为的必要性

（一）规范信息使用者行为是新征信业态健康发展的客观要求随着信用深化和金融信用信息基础数据库（以下简称数据库）二信系统的优化，信息的使用与日俱增。从使用主体看，消费金融公司、汽车金融公司、融资租赁公司、融资性担保公司等小微金融机构纷纷接入数据库，接入对象不断扩大。截至2018年末，个人和企业征信系统分别接入机构3531家和3438家，基本覆盖各类正规放贷机构。从使用场景看，共享经济、体验经济、众创经济等新经济业态诱发了大量征信需求，催生了商业化、生活化履约场景，深化了信用信息应用领域。从使用产品看，信息使用者广泛应用信用报告、关联分析、数字解读、反欺诈等多种征信产品。因此，在信息使用主体日益多元化、使用场景多维化、使用产品多样化的新征信业态下，规范信息使用者行为尤为重要。

（二）规范信息使用者行为是保护信息主体权益的基本措施征信信息涉及身份信息、金融交易信息等诸多企业及个人信息，兼具隐私属性及财产权属性［1］。信息使用者对数据库信息的不当使用容易涉及侵犯信息主体的知情权、同意权、隐私权等合法权益，严重威胁信息主体信息安全和生命财产安全。规范信息使用者的使用授权、目的、范围、方式，从而实现数据有效应用和信息主体权益保护的动态平衡。

（三）规范信息使用者行为是防止信息被滥用的重要手段据《财经》杂志报道，有80%的数据泄露是“内鬼”所为，黑客和其他方式仅占20%［2］。这样的比例说明信息使用者滥查滥用是信息泄露的主要源头，暴露出信息安全人防的脆弱性。部分信息使用者在经济利益诱使下利用职务便利盗取、出售、非法提供信用信息，衍生出后续金融犯罪链条，给行业声誉和公众信任造成恶劣影响，极大冲击了金融安全，因而，监控和规范信息使用者的行为十分必要。（四）规范信息使用者行为是优化信用资源配置的有效途径信息使用是整个征信环节的落脚点，是产生市场效应和社会效应的主要和最终环节［3］。信息使用者合规使用信用信息，促使信用信息在信贷活动中高速有序流通，可以缓解信息不对称，有效降低“逆向选择”和道德风险，为信息主体和中小企业提供“信誉抵押品”，促进信用交易的公平有序和信用资源的优化配置，释放信用红利，推动新时代我国经济高质量发展。

二、信息使用者的主要失范行为

（一）使用授权不妥一是未履行告知义务。信息使用者在客户不知情且未经客户同意的情况下查询并使用其信息。二是授权不清晰。部分互联网金融公司诱导客户开通网贷业务，损害客户知情权。三是授权不完整。接入机构未完整告知客户相应的权利和义务，在合同格式条款中也没有作出足以引起客户注意的提示。

（二）使用目的不纯在信息巨大市场价值的诱惑下，个别信息使用者使用信息不是为了开展业务，而是为了获取非法利益，成为信息犯罪的“内鬼”。一是信息使用者将征信查询用户变成“泄露源”。数据库运营机构——征信中心为接入机构开设查询通道，接入机构借此能够方便快捷地获取信用信息，成为数据库最大的使用者。但个别接入机构却通过出售、出租、出借征信查询用户等方式从源头谋取暴利，致使信用信息大规模、大范围泄露，造成严重后果。二是信息使用者监守自盗滋生信息黑市“交易所”。个别信息使用者利用职务便利通过拍照、截屏、拷贝、下载、打印等方式窃取大量信用信息，与信息中介、数据公司、信息服务商、微型放贷机构等需求方进行买卖交易，信用信息被明码标价层层贩卖转手、层层利益分割，衍生出信息黑市产业链。三是信息使用者污染真实数据，开设信用报告“加工厂”。个别信息使用者利用科技工具对信用信息进行不正当的二次利用和深入加工，根据需求“订单式”洗白信用记录，掩盖信息主体真实信用状况，损害信用报告的可靠性和权威性，或不定项批量兜售伪造的信用报告，使信息失真、市场混乱。

（三）使用范围超限一是超范围开设查询用户。个别信息使用者为没有权限的机构私设查询用户，突破信息使用主体范围限制，擅自扩大信息使用主体。如部分农商行为其设立的村镇银行开设查询用户，使未接入征信系统的具有独立法人资格的村镇银行也能够查询、使用征信信息，给数据库的安全使用埋下了风险隐患。二是超范围查询。信息使用者为股东、高管、员工家属等信息主体进行人情查询、“方便”查询，超出信贷业务查询用途的约定范围，随意使用征信系统。如某农商行一征信查询用户在2016年共查询1.7万余笔个人信用报告，其中仅千余份为正常业务查询，其余均为没有业务背景支撑的非法查询。三是超范围解读信用报告。我国《征信业管理条例》第二十三条规定“征信机构提供的信息供信息使用者参考”，明确指出征信信息仅供参考使用，但部分信息使用者过度解读客户的信用报告，将逾期记录妄加判断等同于央行“黑名单”，对恶意与非恶意违约记录采取“一刀切”拒贷政策，超范围使用信息歪曲了信用报告的应用定位，损坏了信息主体的公平融资权益。

（四）使用方式不当信息使用者违规操作行为时有发生，引发征信合规风险。一是密码保管不善。信息使用者风险意识薄弱，查询密码设置简单或未谨慎保管，造成查询用户被窥探、被盗用、被套取等事件时有发生，如2016年安徽辖内某银行9家分支机构11个用户被不法分子盗用，致使3万余条征信信息泄露。二是授权使用存在瑕疵。在纸质授权方面，个别信息使用者授权文本设计过于宽泛，未明确限定被授权主体、查询用途、使用范围，在具体使用中存在一揽子授权、捆绑式授权、一次授权多次查询等问题；在电子授权方面，个别信息使用者将授权文书混迹于信贷协议格式条款不明显处，会导致客户在手机APP程序中进行无意识授权。三是查询操作不规范。信息使用者在业务开展中普遍存在频繁查询、贷后查询不规范、系统查询原因与实际授权原因不一致等操作失误。

三、国际借鉴

（一）明确使用告知美国多项立法中都要求信息使用者必须经过信息主体书面或其他显著且确定的同意才可使用其信用信息，保障信息主体知情权和同意权。如美国《隐私法》要求联邦机构在处理和利用个人资料时要遵守相关规定，在没有经过当事人同意的情形下不能使用任何关乎当事人的资料［4］。《消费者隐私权法案》根据“透明性原则”要求企业清楚地将使用方式、使用范围等信息告知信息主体。《公平信用报告法》规定信息使用者想要与其附属机构共享信息，必须通知信息主体。

（二）特定使用目的各国都严格规定信息使用目的，限制信息使用者与特定目的相背离的滥用行为。美国《公平信用报告法》规定信用报告仅限于信贷、就业、保险、获得政府许可证或其他利益、商业往来等5种既定目的。新加坡《银行法》规定征信局及其会员信息使用仅限于信用评估目的。澳大利亚《联邦隐私权法》通过列举方式清晰明了地规定只有符合合法的、特定的目的才被准许使用信息。

（三）限定使用范围美国对信用信息的使用主体范围进行限制，规定只有符合条件的机构和个人才能使用信用报告，防止信息被没有使用权的组织和自然人使用。德国对信息使用者获取信息范围作出了限制，如银行、信用卡公司和租赁公司可以从征信机构获取正面和负面信息，贸易、邮购、保险等公司只能从征信机构获取负面信息。欧盟限定了信息流动范围，规定欧洲的消费者个人信用报告仅可在欧盟国家范围内使用。

（四）监控使用行为奥地利通过提升技术水平保存信息使用者查询、修改、处理和使用方面的操作日志，监控其具体操作步骤，保障所有的使用行为有记录、可定位、可追溯。同时，结合有效的组织措施、制度措施、操作程序等配套制度，对信息使用者使用信息的权力进行管制，强化对信息使用者行为限制。

（五）严惩不当使用行为各国对信息使用者规范的重点之一就是对不当使用行为进行分类量刑，制定详尽的处罚细则。美国《公平信用报告法》规定了信息使用者故意违反该法责任、过失违反该法责任、欺诈取得信用信息责任、擅自披露信用信息责任以及相关行政处罚［5］。意大利《有关个人和其他主体的个人数据处理的保护法》规定对于试图为他人谋取利益或意图对他人造成损失而违反信息主体同意原则的，处以3个月至3年不同程度的监禁。葡萄牙《个人数据保护法》规定以与信息使用目的或法律规定相违背的方式盗用或使用个人数据的行为，应被处以120天至1年的监禁。比利时《个人数据处理的隐私权保护法》规定信息使用者违反信息使用方式和范围处以100～100000法郎的罚款。

四、对策建议

（一）完善法律法规，约束信息使用者行为一是加快出台我国《个人信息保护法》。从国家层面出台个人信息保护的专项立法，整合现行散见于《民法》《刑法》《行政法》等法律法规中的有关条款，对信用信息使用的告知、目的、范围、方式形成一套完整的法律约束，以适应目前信息使用者失范行为频发和信息主体权益保护意识增强的发展趋势。二是制定《信息使用者规范指引》。细化电子授权和纸质授权查询具体要求、使用告知细节事项、查询操作准则等内容，详细规定信息使用者行为规范，明确信息使用者履职依据。三是完善处罚细则。借鉴国际经验，建议在《中华人民共和国刑法（修正案九）》中增设信息使用者侵权责任，对信息使用者滥用征信查询用户、密码保管不善、因过失造成信息泄露、主观故意非法倒卖信息等违法行为进行类型化处理，细化量刑标准、责任界定和处罚措施，从重惩处履职过程中使用目的不纯行为，加大对监守自盗行为的威慑力度和警戒作用，遏制信息泄露案件泛滥局面。

（二）加强行为监管，监督信息使用者行为中国人民银行作为征信监管部门，应树立行为监管理念，建立适用新形势的行为监管体系，切实做到事前可预防、事中可控制、事后可救援。一是指导信息使用者行为。通过对信息使用者不当行为进行梳理、分析和指正，指引信息使用者严格履行告知义务，规范信息使用方式，合规解读和使用信用报告，避免信息超范围使用。二是监测信息使用者行为。建议在二信系统中完善异常查询监测功能，丰富异常监测情形，优化异常监测指标，合理设定监测阈值，做到实时监测、准确定位、及时反馈、快速预警，实现对信息使用者异常行为的早发现、早阻断、早隔离。三是监管信息使用者行为。依托《接入机构征信合规与信息安全考核评级管理办法》，细化非现场监管指标，增加现场专项检查和巡查的频度、力度和覆盖面，监督信息使用者行为。采取下发风险提示单、监管约谈、责令限期整改、依法高限处罚和“双罚制”，严肃问责信息使用者违法违规行为，形成“有责必究，追究必严”高压监管态势。此外，与公安、检察、法院、安全、通信运营商等部门加强沟通与协作，共同建立信息泄露通知规则和应急处置制度，联合打击信息倒卖黑市交易，防止信息泄露事态蔓延［6］。

（三）落实主体责任，管控信息使用者行为一是建立岗位职能定位制度。接入机构严格对照监管要求，修订完善征信内控制度，明确界定查询岗、管理岗、审批岗、异议岗等征信各岗位设置及职责，将信息使用责任分解到岗、落实到人。根据岗位职能建立责任清单，通过层层签订责任书落实责任追究制度，用制度约束信息使用者行为。二是加强自查自纠。接入机构应扎实开展每日核查、月度自查、季度抽查、年度自评等自查自纠活动，加强对信息使用者岗位风险排查，梳理使用告知、目的、范围和方式中的风险点。同时，联合内外审计部门组织信息使用者行为规范专项审计，借助第三方客观找寻异常行为线索和风险苗头，增强信息使用者岗位风险防控。三是加强技防建设。接入机构要持续优化征信合规管理前置系统，保留数据访问、操作痕迹，合理设置信用报告缓存期限，并在查询区域安装视频监控，用技防管控信息使用者对信用信息的获取、查阅、转移等操作行为。

（四）加强培训教育，规范信息使用者行为一是建立岗位资质认证制度。建立岗前培训制度和征信执业记录制度，针对不同层次、不同岗位、不同权限进行分类培训，注重岗位针对性和培训内容有效性，经过系统学习后实行考试认证持证上岗，确保信息使用者充分理解其职责和熟悉掌握征信合规专业知识，具备征信履职的基本素质和必要技能。二是强化风险警示教育。结合不同类型的征信违法违规典型案例，全方位、多角度聚焦实际操作中的风险点，加深信息使用者对法律法规、失范行为、风险责任等知识的理解和识别，达到以案促学、以案促改的警示效果，通过强化红线意识让信息使用者守住底线。三是树立合规标杆。树立征信不同岗位优秀模范典型，给予一定的征信合规绩效奖励和荣誉称号，充分发挥激励机制对信息使用者行为观念、操作规范的正向推动作用，以榜样的力量感染信息使用者，引导信息使用者提升合规意识，践行行为规范，争当征信合规标杆。

参考文献：

［1］中国人民银行南京分行征信管理处课题组.江苏省征信合规非现场监管的实践与思考［J］.金融纵横，2018（3）：55-61.

［2］刘以秦，周源，谢丽容.数据黑产调查：内鬼、黑客师徒与灰色暴发户［EB/OL］.

［3］征信前沿问题研究编写组.征信前沿问题研究［M］.北京：中国经济出版社，2010：94-95.

［4］韩鑫韬，刘晓，郝成磊.个人敏感数据保护的国际经验［J］.中国金融，2019（5）：78－39.

［5］中国人民银行征信管理局.现信学［M］.北京：中国经济出版社，2015：246-249.

［6］李敏.人民银行个人信用报告查询中的问题分析与应对［J］.征信，2016（6）：37-39.

作者：项蔚然 曾晨明 单位：中国人民银行铜陵市中心支行