2021年1月11日，央行发布《征信业务管理办法（征求意见稿）》（以下简称“征求意见稿”）公开征求意见，这意味着征信领域“一机两翼”（一个条例两个管理办法）立法框架的第二只翅膀也初步就位了——2013年3月15日实施的《征信业管理条例》（以下简称“征信条例”）从内容上主要包含了两大部分：征信机构与征信业务规则（当然还有与之配套的监督管理、罚则等内容），但条例的内容相对更为原则性，所还需要具体的管理办法予以细化；2013年底《征信机构管理办法》就已经出台并实施，但征信业务的管理办法则晚了八年的时间。

“征求意见稿”从内容上来看，有以下八点值得关注。

关注点一：管理办法的“长臂管辖”

稍微熟悉一点美国法律的人都会对美国的“长臂管辖”有印象，就是美国的法律往往会管辖到非美国的地区和人。中国的法律历来不支持“长臂管辖”，但近期在互联网立法中频频有突破，《中华人民共和国个人信息保护法（草案）》第三条规定了域外效力，此次“征求意见稿”第二条同样做了突破。

“征求意见稿”第二条第二款规定：“在中华人民共和国境外，对中华人民共和国居民（自然人和法人）开展征信业务及其相关活动的，也适用本办法。”

互联网不受地域限制，也往往不受国界的限制，所以在一国网络法体系中出现“长臂管辖”是很正常的现象，央行发布的“征求意见稿”立法说明中也明确表示充分考虑了与《个人信息保护法（草案）》的衔接——不过《征信业务管理办法》作为部门规章，在我国法律体系中都属于层级不高的规范，但是却规定了有域外的效力，这种错位有点让人感到黑色幽默。

关注点二：明确了信用信息的定义

及采集原则

“征求意见稿”第三条明确了“信用信息”是指为金融经济活动提供服务，用于判断个人和企业信用状况的各类信息。包括但不限于：个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息，以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。

“征求意见稿”第五条规定采集信用信息应当遵循“最少、必要”的原则。

“征信条例”提到了信用信息，但是却没有规定信用信息的定义，征求意见稿对信用信息的进行了明确的定义，而且除了将身份、地址、支付、消费这类原始数据外，还将征信机构形成的分析与评价类信息也纳入了信用信息的范围。

“最少、必要”原则几乎已经成为了目前我国数据法立法的标配内容了，这其实体现了我国数据法立法的倾向——如果立法倾向是保护从事数据业务的商业机构，那么就不会强调“最少、必要”原则，而是鼓励从事数据业务的机构多攫取数据并开发业务；如果立法倾向是保护数据主体，那么最少且必要原则就是必须的。

关注点三：征信机构的主动审核义务

“征求意见稿”比较强调征信机构在开展业务过程中的主动审核义务。

总则第七条规定，征信机构应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核。

第十八条规定，征信机构应当采取适当的措施，对信息使用者的身份、业务资质、使用目的、网络和系统安全、合规性管理措施等进行必要的审查。

第十九条规定，征信机构应当对信息使用者进行必要的审查，保障信息使用者查询个人信息时获取信息主体同意、按照约定用途使用。

第二十二条规定，征信机构委托其他机构向信息主体提供免费信用报告查询服务的，应当对被委托机构资质、服务能力、安全保障设施、合规性要求进行审核，并对被委托机构的查询行为、泄露行为承担连带责任。

前不久国家网信办发布的《互联网信息服务管理办法（修订草案征求意见稿）》中，也非常强调网络信息服务主体与网络接入服务主体的自我管理义务（参加关于《互联网信息服务管理办法（修订草案征求意见稿）》的九个解读）。这可以看出我国在互联网领域立法思路的转变。

关注点四：个人征信业务的特别要求

“征求意见稿”对个人征信业务提出了特别的要求，归纳起来有“三要”：业务方案要报备（第九条）、信息采集要授权（第十条）、机构名称要告知（第十一条）。

第九条 征信机构经营个人征信业务，应当制定采集个人信用信息方案，并就采集的数据项、与信用的相关度、信息主体权益保护等事项向中国人民银行报备。

第十条 征信机构采集个人信用信息应当经信息主体本人同意，并明确告知信息主体采集信用信息的目的、信息来源和信息范围，以及不同意采集信息可能产生的不利后果等事项。

第十一条 征信机构通过信息提供者取得个人同意的，信息提供者应当明确告知信息主体征信机构的名称。

此外，“征求意见稿”对个人信用信息还有一个例外规定，第十三条规定“企业董事、监事、高管人员与履行职务有关的信用信息”不作为个人信用信息。如果调侃一点的说法，那就是企业董监高在履职时“他不是一个人”。

关注点五：报备

“征求意见稿”另一大特点是报备制度。“征信条例”的立法思维偏重批准，而“征求意见稿”更偏重报备——这符合八年来我国行政法的变化趋势。

征信机构提供信用信息查询、信用评价、反欺诈服务（第二十七条），向境外提供企业信用信息（第三十六条），与境外征信机构合作（第三十七条）均需向中国人民银行报备。

而且，如果违反第二十七条、第三十六条的规定，情节严重的，还会受到一万元以上三万元以下罚款的处罚

关注点六：禁止行为

“征求意见稿”第六条、第二十三条、第二十八条都是关于征信机构禁止行为的内容，这也是此次“征求意见稿”引人关注的地方。

第六条第（二）项规定征信机构不得以“向被采集的个人或企业收费的方式采集信用信息”。这个表述其实有点歧义——到底是指打着收费的幌子，暗中采集信用信息（这近乎于欺骗的手段），还是指采集信用信息不能收费呢？或许正式稿中会有更明确清晰的表述吧。

征信机构不得以删除不良信息或不采集不良信息为由，向信息主体收取费用（第二十三条）——这条规定是为了防止征信机构为了经济利益而放弃公信力。但是比较意外的是，这么重要的一条规定，居然没有配套的罚则。

第二十八条规定了征信机构不得提供的征信服务和产品，主要是为了保证征信产品和服务具有客观公正性。需要注意的是，如果违反第二十八条的关于的规定，按照“征信条例”第三十八条进行处罚，也就是说，对单位处5万元以上50万元以下的罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款；有违法所得的，没收违法所得。相比于没有报备处1-3万元的罚款，和第二十六条没有罚则，这个处罚算是比较重的了。

关注点七：等保要求

征信机构该怎么做等保也是大家普遍关注的问题，“征求意见稿”第三十条作出了较为明确的规定：从事个人征信的机构或者保存、处理50万户以上企业信用信息的企业征信机构，应当符合等保三级或以上。

其实，目前从事电子签名、第三方存证、云计算、互联网金融（如果还活着）等业务的互联网企业都普遍自觉的采用等保三级的标准，这并没有什么特别值得关注之处，值得关注的是需要符合等保三级的征信机构——个人征信机构，或者保存、处理50万户以上企业信用信息的企业征信机构。

关注点八：公示

近两年（尤其是P2P潮起以后），我国互联网领域的立法有三大“法宝”：自律、备案和公示。“征求意见稿”同样也集齐了这“三宝”，前文提到了征信机构的主动审核义务和报备，公示同样也是“征求意见稿”值得关注点之一。

第二十五条规定：“征信机构应当对外披露个人信用评价类产品所采用的评分方法和模型”第三十八条规定“征信机构应当将采集的信用信息类别；信用报告的基本格式内容；信用评分的主要要素及占比；反欺诈服务中的欺诈认定标准对社会公开。”

征信的信息公开是必然的，但“征求意见稿”将信用评价的评分方法、评分模型、欺诈认定标准，这些各征信机构原本都视为自己商业机密的信息也要求予以公开，这有点出乎意料。

立法者的出发点是希望通过公开的方式，避免征信机构滥用自己评价的权力，但有可能会导致另外一个后果，那就是征信机构的产品和服务同质化，进而使这个行业失去活力，这种伤害或许可能会更大。

（免责声明：本文转载自互联网，文章内容如涉及作品内容、版权和其它问题，请与本网联系，我们及时删除。谢谢！）

温馨提示：如需业务、风险在线讨论，辽宁省内典当企业请加入辽宁省典当协会会员群（133649286），外省典当企业可加入典当精英群（52233943），加入时请注明典当行全称与真实姓名。