征信市场准入监管作为实现征信市场数据治理目标的事前监管,应充分发挥维护市场秩序、保障征信数据安全流通和高效利用的制度价值。
在中国市场化征信体系建设的进程中,征信市场准入监管的制度问题主要有三:征信市场筛选“合格者”和“最优者”的准入条件尚不明确,企业难以达到独立第三方的合规标准,以及征信数据权利的分配和行使机制尚不完善。
此三类问题均可通过监管制度的合理设计予以缓解和解决。立足分级分类的监管思路,可从征信市场的数据治理层面优化主体资格管理制度,进而完善我国征信市场准入监管,包括在现阶段由政府统一根据征信数据的风险类型分类设置准入门槛、分级制定行为监管标准以及明确审慎地配置征信数据的各项权利。
征信市场准入监管可分为倚重资质管理的主体准入监管和倾向业务合规的行为准入监管两种理论模式。基于数据治理的理念,前者要求征信机构需满足履行信息披露义务、市场中立义务和数据安全保护义务等条件,才有取得行使征信数据权利的资格;后者从业务边界层面重新界定了征信市场的范畴,并规定了对于征信数据的采集等处理行为的合规义务。中国征信市场的现行准入监管可归纳为主体准入监管模式。
目前理论界对于征信市场准入监管模式未来从主体监管的主体资格管理向行为监管的事中展业监管过渡持认可态度。但由于我国征信市场现阶段尚存在准入监管制度模糊、数据流通受阻和数据权属不明的问题,现存市场主体间的利益冲突在现行监管制度下(包括习惯、技术标准、内部机制和管理办法等)无法较好地解决,且监管部门并不具有执法权和司法权、监管规定无法作为司法裁判的依据,放开市场准入后对征信业务中数据处理和交易行为的事中监管缺乏有效性。
因此,对于征信机构的事前准入监管仍不宜完全摒弃,而是应以实现秩序、安全和效率等制度的法律价值为指引,从数据治理层面衡量解决利益冲突的完善路径,形成政府与市场多头多层、立体式协同共治的监管体系。
一、征信市场准入监管的制度价值
征信业务属于外部约束类信用服务,其特征是应服从外部性、服从市场机制。征信业务可依据征信数据控制主体和数据来源不同划分为公共征信和包括商业征信和金融信贷征信在内的市场化征信。其中,公共征信汇集了基于公共监管和政府职能管理产生的合规度信息,市场化征信则由市场化的征信机构整合提供社会上各类表达诚信度、合规度和践约度的信息,二者在不同领域内分别发挥优势、提供产品和服务。因此,完整的征信市场中公共征信和市场化征信缺一不可,征信业务的公共性与市场化应当并存,方能保障市场征信信息的完整有效和社会全覆盖。
由此可见,征信市场应当有适度的竞争。而市场准入监管制度,即征信市场的“进入壁垒”,因公权力阻止或限制主体进入市场从事征信业务,强化了市场竞争的制度因素。但适合的监管制度不仅不会影响市场机制的发挥,反而可以为市场活动的高效运行提供制度性保障,这也是构建征信领域“政府+市场”双轮驱动发展模式的应有之义。
就法学视角下的征信市场准入监管制度而言,首先要解决的就是政府干预市场的适切性和正外部性问题,即征信市场准入监管的制度价值——市场存在何种乱象,政府才能在何种职权范围内干预市场准入;征信机构尤其是民营机构在市场中发挥何种重要作用,监管部门才能通过制度设置引导价值实现。
(一)秩序价值:界定征信机构的数据采集范围
目前出于扩大征信监管范围、实现央行征信管理局对互联网平台等助贷机构与金融机构全面“断直连”的目的,监管部门通过对个人信用信息进行扩张定义的方式将金融活动领域以外的引流、助贷、联合贷等业务活动都纳入征信业务的范围予以监管。此种做法虽然有利于“类征信”机构的业务合规整改,但是使得征信机构可以依法采集的数据范围更加模糊。
现行监管制度对于征信数据的认定范围本就十分宽泛,提出数据内容层面“凡是有助于判断借款人信用风险的信息”都是征信数据,上海、深圳等地的地方性立法实践中也均宽泛地列举了可收集的个人信用信息类型;除我国《征信业管理条例》(以下简称《条例》)为了避免不良信息记录对于数据主体的持续性影响,明确列举禁止采集的个人基本信息之外,我国《征信业务管理办法》(以下简称《办法》)更是进一步说明“为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息”都属于征信机构可采集的范围。征信数据的全面采集虽然符合全面、真实、正确评估数据主体信用状况的要求,但是“依法采集”的规定若无配套措施来保障征信数据直接相关、知情同意与时效性等采集原则的实现,则监管制度就依然欠缺周延性和可操作性。这将会明显提高个人征信数据被滥用的可能性,还可能因为征信数据的泄露,给个人的信息及财产安全造成巨大的隐患,从而造成征信数据被滥用和征信主体维权困难的社会问题。
近年来,由于信用平台对信用信息进行了过分的收集、整合和滥用,导致对个人隐私权、企业商业秘密和信用权等侵害的法律纠纷和数据安全风险已经引起了监管部门和司法部门的共同关注。征信数据的内容层面包括身份识别信息和资产负债状况等金融信息,其敏感程度较高,而大数据和人工智能技术的应用又使得征信数据的获取渠道更多、获取方式更便捷,若不在源头上限制征信机构采集数据的范围,则会出现征信数据被无资质主体采集使用后传播泄露的风险,轻则被用户画像精准识别、重则威胁财产和社会安全。
因此,征信市场准入监管的本质应为分配征信数据的各项权能,即通过准入制度限制何种机构在符合何种条件时可采集何种数据用于开展征信业务,这样可避免征信机构违法违规过度采集数据、破坏征信市场的数据流通秩序。
(二)安全价值:规范征信机构的数据处理行为
除了股东结构、注册资本等条件的限制外,对于征信数据安全的保护制度和措施的完备性也是《条例》总则中明文规定的准入审查条件,足见安全价值对于准入监管的重要性。由于数据被侵害的风险大、负外部性高且可迅速扩大,因此,数据法保护的核心价值为安全与自由,即满足《中华人民共和国数据安全法》(以下简称《数据安全法》)第三条第三款所述的“有效保护和合法利用”。而且由于数据与网络技术结合紧密,可在网络空间里快速、隐蔽、无限地复制传播,数据一旦泄露或者发生其他安全风险事故,难以通过行使原物返还、恢复原状、排除妨害和消除危险等物权请求权的事后保护方式来获得救济。因此,法律制度对于数据安全风险的规避更倾向于事前监管。
具体而言,无论是生成个人和企业的信用报告,还是对个人进行信用评分量化信用水平,对征信数据采集后进行处理都是征信机构提供征信服务并获得收益的必经途径。但是采集后处理数据的过程中也面临着存储、使用、加工成征信产品、内部传输、对外提供和公开等风险。若征信机构对征信数据的全生命周期安全无法保障,也不应取得征信资质开展征信业务,而且数据安全事故的后果风险巨大。因此,应在征信市场准入环节进行事前监管、实质审查征信机构的数据安全保护能力和管理机制,而不是数据泄露之后再进行事后惩罚。
根据监管者的定位和公共征信与市场化征信的功能分野,征信市场中的民营机构主要通过互联网征信向互联网金融消费者提供服务,与央行传统征信业务形成互补,对于征信数据的安全监管也应更重视规范市场化征信机构的数据处理行为。虽然为了符合信用评分统一标准的需要,我国行业标准《征信数据交换格式信用评级违约率数据采集格式》中只对征信数据处理作了形式要求,但在诸如《金融数据安全数据安全分级指南》《金融数据安全数据生命周期安全规范》等推荐性行业标准中,对包括承载大量信用信息、与征信数据重合度较高的金融数据从诞生到销毁的全流程安全操作均作出了详尽的规定。征信市场的准入监管可对接现行数据安全保障制度,以较低的制度成本对征信机构的数据安全处理进行监管,在征信数据安全这一重要领域实现营商环境法治化。
可见,数字经济时代征信数据采集更方便、信用评估体系标准更多样、征信机构采集数据的范围也更宽泛,这种现象为征信市场带来了较大的数据安全风险,只有通过准入监管的牌照制度来规范征信业务资质主体应履行的义务标准,才能有效保障征信数据的使用不侵害国家、社会安全和私主体利益。征信市场准入监管的安全价值即通过审查准入的征信机构能否有效保护征信数据的存储安全、流通安全,以及允许其准入从事征信业务是否危害国家、社会安全和私主体利益多方面来体现。在对征信数据按照其上承载的信息内容进行分类的基础上,具体的准入监管制度应包括对征信机构采集数据的范围、征信机构处理数据的方案及其履行进行审查。
(三)效率价值:对征信数据分类保护和利用
根据《办法》第三条第二款及《数据安全法》第三条第一款对于信用信息和数据的定义,征信数据其上承载的、可通过处理行为提取的内容即为信用信息。具体到制度的可操作性层面,征信数据作为信用信息的载体是监管部门行使控制权、进行权能分配的对象。《办法》和《条例》中对于征信市场的数据安全保护主要体现为对于信用信息采集、整理、保存、加工、提供和使用的保护,即对于征信数据内容层面的保护。
沿袭此种注重数据内容层面,尤其是个人征信市场中敏感信息的分类保护思路,并参照《中华人民共和国民法典》人格权编中对于私密个人信息与非私密个人信息、非公开个人信息与公开个人信息之分,以及《中华人民共和国个人信息保护法》中敏感个人信息与一般信息对于个人信息处理活动要求的区别,作为我国征信监管部门的央行,在实践操作中,对于征信数据的分类体现出以其对应的信用信息的隐私保护和危害后果为依据的倾向,其中已有规定的分类详见表1。
理论界对于征信数据的划分依据亦有非常全面的探讨,分类维度包括数据主体(政府、企业和个人数据)、数据属性(公共、市场和其他数据)、数据内容(属性数据和行为数据)以及数据来源(原始数据和衍生数据)。基于征信市场数据治理的理念,可结合征信数据的属性和表达内容,依照数据上承载的信用信息的社会和个人安全性对征信数据进行分类,并通过准入监管制度规范征信数据的权属分配,进而实现征信数据的有效保护和高效流通利用。
二、中国征信市场准入监管的制度问题
我国征信市场在发展初期采取政府管制模式,禁止市场化征信机构准入,监管主体自身兼具市场供给主体身份,央行征信中心在短期内强效建立起统揽对接持牌金融机构的统一征信体系,即公共征信系统;在征信服务需求扩大之际采取政府主导模式,政府回归监管职能,将市场化运作的私营征信机构引入征信市场共同提供服务,通过备案制允许超百家企业征信机构进入市场、通过审批制允许百行征信和朴道征信两家个人征信机构开展业务;现阶段为满足互联网金融的需求,政府由监管者向服务者转变,在以维护数据主体权益为监管目标的前提下增发牌照、放宽准入监管。
从准入管制到准入监管,政府角色的转变并不影响其公共管理职责的发挥,更不能因政府让位于市场而放松对征信市场秩序、安全和效率价值的追求。在征信机构追求自身利益最大化进行市场化运作之前,准入监管的正当性和关键作用在于控制风险、实现市场安全。但是结合我国征信市场准入监管的现行制度,若想实现征信市场的数据治理,尚存在准入条件不明确、数据流通受阻和数据权属分配不平衡的问题。
(一)征信市场的准入条件不明确
个人征信市场与企业征信市场的监管具有差异。个人征信市场赖以运作的个人数据关涉隐私权和个人敏感信息,准入监管采用“审批制”:由于个人征信所涉征信数据主体为个人,其上承载了大量包括个人金融信息的个人敏感信息,具有高负外在性和风险的持续性,因此自《条例》施行至今,监管主体对个人征信牌照都表现出十分审慎的监管态度,发放把控极为严格。
我国目前除央行征信中心提供公共征信服务外,仅有两家市场化个人征信机构获得批设持牌,即百行征信和朴道征信,且二者分别由中国互联网金融协会这一行业协会和北京金融控股集团有限公司这一国企作为控股大股东。企业征信市场的准入监管则采用较为宽松的“备案制”:根据央行征信管理局披露的数据,截至2023年7月,已有18个省市的52家信用评级机构完成了备案,甚至衍生出了与企业征信备案相关的咨询服务。
较之域外发展成熟的征信市场,二者的共性即在于现行监管制度较为严苛,且通过对申请征信牌照的机构和征信牌照发放的类型、数量和政府背景的实证研究发现,征信市场准入既有成文制度规定的有形条件,又有实践中监管准入偏好的无形条件,为征信机构取得许可或办理备案增添了阻力。
1. 筛选“合格者”的有形准入条件
对于企业征信市场的准入,《条例》第十条规定了备案制的准入监管方式。企业征信所考察的往往是法人主体的财务状况和偿还能力,机构之间传输处理的数据涉及自然人的信息及个人敏感信息较少,因此,只要申请主体能够满足央行《征信机构管理办法》第十九条规定的基本资质条件,原则上均有可能获得相应的牌照。2016年央行发布的《企业征信机构备案管理办法》规定了企业征信备案的受理、审核以及备案管理的具体流程,且在“宽进严管”的商事登记制度改革背景下,政府推动各平台之间的信息共享使得企业征信的备案审查更方便。
但是自2018年《征信机构管理办法》被废止、第六条和第七条无法适用后,个人征信市场的准入条件的明确性降低,仅在《条例》第六条至第九条中有关于审批制监管框架的明文解释,至于非持牌的私营机构能否获批,实践中依然取决于监管机构对其是否符合《办法》第九条“有利于征信业公平竞争和健康发展的审慎性原则”的审查结论。
以2021年监管主体对外公布的蚂蚁金服整改约谈意见为例,监管部门在法律制度合规层面最为重视的仍是机构对于信息披露义务和数据安全保护义务的履行能力与现状审查,要求其准入的机构开展业务需满足“打破信息垄断,严格落实《条例》要求,依法持牌经营个人征信业务,遵循‘合法、最低、必要’原则收集和使用个人信息,保障个人和国家信息安全”,但是对于具体标准的把握却讳莫如深。
因此,虽然非持牌的互联网平台和大数据风控商具有补全牌照资质、开展个人征信业务的意愿,但是监管部门并无明文规定需符合何种审慎性条件,仅在2017年以无法达到获得个人征信牌照的标准为由驳回了八家拟开展个人征信业务的机构的持牌申请,此八家机构便由中国互联网金融协会牵头,入股发起组建了百行征信。足见监管部门对于个人征信市场准入审慎严格的监管态度,且对牌照发放的把控极为严格。
2. 筛选“最优者”的无形准入条件
上述成文制度条件仅是征信机构准入监管的第一步,即在拟准入机构中识别“合格者”,至于审慎监管、有利于征信市场发展等原则指导下的无形准入条件,则广泛存在于在“合格者”的范围内筛选“最优者”予以准入资质的第二步中。
其中,个人征信机构虽然仅有两家具有国资背景的市场化机构作为成功持牌的范例参考,但是通过监管主体对于此两家机构的股东的共性筛选和对于钱塘征信的持牌指导可以得出,行业数据体量、经营能力和盈利前景作为无形准入条件约束着互联网平台和大数据风控商能否合规进入征信市场、对征信数据是否享有处分和收益权利。
未来个人征信市场准入的放宽思路依然是由监管部门牵头拉拢更多拥有海量用户数据控制权的“类征信”机构进入,以期全方位评估个人的信用状况,而准入监管中的无形准入条件无疑成为共商共建社会信用体系的一大考验。
企业征信在业务资质的发放上相对宽松,如果申请主体能够满足基本的资质条件,原则上均有可能获得相应的牌照。虽然《企业征信机构备案管理办法》只规定了审核业务性质、信息内容和备案材料的真实性,但是从对企业征信牌照申请经验的实证优势总结来看,机构成功持牌的阻力仍较大,具体包括:机构需要有独立系统、稳定数据、市场需求和技术优势,即要求拟备案机构具备一定的实力、公司具有独立性、业务模式具有可持续性、满足监管内控合规方面等要求。
在此基础之上,优先考虑打造地方征信平台或能整合地方政府的替代数据的国企,其次是符合大数据技术在征信市场中的应用和监管主体近年来对替代数据发挥作用的政策性偏好,选择整合消费数据、行为数据等替代数据的助贷、引流及具有风控、建模优势的机构。
(二)征信市场的数据流通不畅
第三方征信的独立性原则是征信市场准入的三大原则之一,成为履行市场方面中立义务的“独立第三方”是对拟准入机构组织架构的要求,目的在于通过准入门槛的设置保障征信市场秩序价值、确保征信机构及其业务开展的公正性与权威性。
我国现行准入制度中对“独立第三方”的认定条件主要包括业务独立、公司治理结构独立和关联关系独立三个方面。但审查标准却颇为繁复,使得拟准入机构难以完全契合,且原有征信数据从内部流通变成了对外提供,一方面放大了征信数据的安全风险,另一方面也容易加剧征信市场中的数据壁垒。
1. 集团组织的合规路径难实现
为了保障准入市场的征信机构自身及集团均不从事授信借贷等金融业务、不受公权力干预、不与信息提供者和信息使用者具有关联关系,对于拟准入机构的第三方独立性监管审查包括股权结构、业务经营、人事安排、财务核算、经营决策、数据来源和分析模型等多个维度,且对于市场中立义务的完全履行标准不设上限。其中,拥有海量数据的大型互联网集团为了符合准入条件,不得不按业务对机构组织进行分割。
但是,市场中立义务的履行不应流于泛泛。基于征信业务开展的根本行为——征信数据处理,监管主体的审查还包括分割后机构的征信数据来源、以及各独立主体之间的数据流通安全。集团组织难以获批准入个人征信市场,也是监管主体出于对实践层面监管风险的担忧,例如向集团组织内从事金融业务的主体泄露用户征信数据,或是有利于集团服务大量获客、出现垄断市场的局面。
因此,目前监管主体严格限制平台型企业准入、接受市场竞争机制的调节,只是获取了其在借贷、出行、支付等多领域的海量征信数据,阻断了由市场化集团组织发起成立征信机构并享有征信数据权利的路径,最终依然采用了让其投资入股具有政府背景的个人征信机构的保守做法。
2. 征信数据流通风险大
美国市场经营模式中的监管理念认为,征信机构的股权集中程度与其是否符合独立性原则无关,“独立第三方”等严格的准入控制要求并不能如监管者所希望的那样推动征信数据的合法流通和使用。
事实上,互联网平台和大数据风控商等“类征信”机构赖以展业的征信数据往往来自其集团开展的广泛业务,而业务、治理结构和关联关系都从集团中剥离出来的独立机构想获得原有征信数据的控制权和处理权,需要额外取得用户和集团组织的双重授权。
根据新浪微博诉脉脉不正当竞争纠纷案确立的“三重授权原则”,第三方平台作为一个独立的机构,在使用集团组织所控制的征信数据的时候,应该将使用的目的、方式和范围明确地告诉数据主体,并再次征得数据主体的同意,即满足用户授权集团组织、集团组织授权独立征信机构、用户授权独立征信机构三重授权。
由于此过程不仅合规成本高昂,且由集团组织进行数据传输和对外提供数据的行为增加了授权不完备的风险,履行市场中立义务与履行数据安全保护义务无法兼顾,就无法成为市场准入的“合格者”。故而实践中部分“类征信”机构为了规避现有监管规定中对于持牌的经营限制,往往会采取与持牌机构合作的方式、向持牌机构提供征信数据和数据加工产品,再由持牌机构处理加工成最终的征信产品提供给金融机构。
在此过程中,对于“类征信”机构收集、加工、传输征信数据是否取得了数据主体的知情同意,考虑到“类征信”机构可能的隐瞒,征信机构和金融机构并不能完全知情。《数据安全法》也仅在第三十三条中规定了数据交易中介商的审核义务,一则无法扩张解释到征信数据提供者主体上,二则该条法律的规定也仅是形式审核,整个征信数据的流通过程中,监管自事前到事后都仍待加强。
(三)征信数据的权利分配不平衡
征信机构持牌开展征信业务的本质即为合规处理征信数据,对于征信数据应上升为一种新型财产权进行规范保护。根据享有数据权利的不同,并参考欧盟GDPR第四章中关于数据处理者(个人信息委托处理法律关系中的受托方)和数据控制者(委托方)的界定,可将征信数据权利主体划分为控制主体和处理主体。征信市场中最主要的利益冲突即存在于作为控制主体的政府、互联网企业和大数据风控商以及作为处理主体的征信机构之间,而现有市场准入制度没有较好地平衡和解决该冲突。
1. 征信数据的控制权行权范围宽泛
在公共征信和市场化征信并行的我国征信市场中,作为监管主体的政府部门对公共数据享有控制权的合理性基础在于,公共数据是由执行公共管理和服务职能的机构在依法履职过程中采集产生的。公权力部门对此类数据享有控制权,并根据数据的类型进行流通和使用,但无法覆盖全社会且无法全方位准确地描摹数据主体的信用状况。反而大量由企业拥有控制权的、可纳入征信数据和替代数据范畴内的用户数据和行业数据,可作为公共征信的有效补充。
于是,政府和企业在实现数据的交换价值方面达成了合意,并通过订立合同的方式处分、转移数据的控制权。作为原有数据控制主体的企业由此获得收益或其他对价,监管主体也通过限制市场化机构的准入、设立政府背景的征信机构,吸收了互联网产生的海量与个人、企业征信相关的数据。
此种模式在个人征信市场中尤为突出,百行征信、朴道征信和可能的后来者钱塘征信均由此设立。政府征信数据控制权的广泛扩张虽然有利于打破征信机构之间的数据壁垒,但是将多数征信数据的控制权由企业转移至政府却违背了征信市场准入监管的效率价值。且如果企业基于征信数据控制权的孳息收益权被一次性买断,则不利于企业对征信数据的开发利用,与其说是达成合意,不如说是在严苛准入监管制度下企业无法进入征信市场后的无奈之举。
2. 征信数据的处理权和收益权分配失序
鉴于我国征信市场尚处于市场化改革的初期,“政府做市场”的管制惯性短期内仍影响其监管者和服务者的职能发挥。我国《优化营商环境条例》对于市场化机构准入的放宽态度也仅存在于第五条、第六条的宣示性条款中,并无配套措施保障落地。且现行准入制度对于公正性原则的审核均要求征信市场服务提供者依照公平性原则向所有需求者平等提供服务和产品,却并不要求符合准入条件的机构允许开展业务范围的公平性,限制了征信市场机制对供求匹配的调节作用。征信服务和产品多由政府控制的征信数据处理生成,征信数据的收益权也由政府背景的机构享受,作为数据提供者的互联网平台等股东仅享有股东分红权。
具有政府背景的市场化征信机构虽然享有数据优势,但在商业机制与模式形成、产品与服务开发拓展、数据整合路径等企业内部治理环节上也受公权力干预的影响,阻碍了其实现高效安全的信息共享,仍需真正企业化定位的征信机构来弥补征信市场的多样化需求。
在《办法》对未持牌机构补全牌照资源的要求下,互联网平台和大数据服务商为“类征信”业务的合规化转型和征信市场的准入审查备案投入了大量资产。但是高昂的市场准入合规准备无法获得相应的征信数据收益权,无疑对未持牌机构的合规动力和征信数据的充分利用造成了阻碍。
综上所述,征信市场准入监管制度目前主要存在三类问题:文义层面,准入条件模糊、无法准确识别“合格者”与“最优者”;主体准入层面,独立第三方的严苛要求阻碍市场化机构准入、放大数据流通风险;权属分配层面,征信数据控制权和收益权主要由政府或政府背景的机构享有,不利于征信市场秩序和效率价值的实现。上述问题或可依据主体监管与行为监管结合的综合准入监管模式理论,通过对征信市场的数据治理来解决。
三、中国征信市场准入监管的完善建议
征信市场的主体准入监管模式和行为准入监管模式在内涵层面具有共性。除了主体准入监管模式的准入依据为机构资质、行为准入监管模式更倚重行为合规外,二者均以实现秩序、安全和效率价值为理论构建的导向,且在监管法律关系中的客体和标准均可贯通对应:开展征信业务的前提是通过备案或审批,从而取得行使征信数据权利的资质,而这要求征信机构在采集、传输、使用、提供征信数据的过程中履行信息披露、市场中立和数据安全保护等义务。
因此,结合征信市场准入监管法律价值实现的方法论和我国征信市场目前存在的制度问题,或可跳出主体与行为准入二分的理论窠臼,以征信数据权利的取得资质和行使条件为出发点,构建综合准入监管模式,解决征信市场准入监管严苛、市场主体持牌困难与信用社会对合法合规的征信服务的庞大需求之间的矛盾。征信数据具有数据的一般特点,即不同于普通的物,数据被侵害的风险极大,遭受泄露等侵害后的负外部性很高且将一直存在并扩大。
综合准入监管模式不仅结合了主体准入监管的可操作性强和行为准入监管更灵活的优势,且较之对于技术和行业成熟度要求均较高的事中监管和已造成损失的事后保护,放大了事前监管规避风险的优势,在我国征信市场发展的现阶段更具可行性。
(一)统筹监管征信市场的主体资格
政府从个人和企业处获取征信数据的现行方式主要有三:
一是根据《条例》组建金融信用信息基础数据库;
二是要求拟准入机构履行信息披露义务,从而获取其已经采集的征信数据;
三是通过公共征信和具有政府背景的市场化征信机构的展业活动,直接从个人和企业处转移征信数据控制权。
在我国由政府拥有多数征信数据控制权的现状下,强行剥离征信数据控制权转移给市场主体,不仅操作成本高昂,且不利于征信数据的安全保护。
因此,不妨在政府与市场的双轮驱动下,由政府延续已有的征信数据采集方式,并在公权力干预征信数据权利配置的同时履行监管责任,分级分类制定明确的征信市场准入条件,统一管理征信数据的采集资格。可通过设置专门的征信数据治理牵头部门,将包括征信机构在内的信息提供者、信息处理者及信息使用者等征信数据的利益相关者全面纳入征信市场的监管框架。
具体而言,监管主体可以统筹规划进入征信市场的征信机构的种类和数量,并以成文规范的方式给予征信机构监管内容层面明确的指引。但是政府通过制定市场准入制度对征信活动进行监管,重点仍在于征信数据的安全保护。征信市场准入的标准可按征信数据的风险类型不同进行分类设置,在满足征信数据安全的前提下,为了提供多样化的征信服务,还可以考虑适当放宽标准。
随着征信市场化推进和持牌征信机构的增加,可以逐步构建行业自治的市场治理机制,由具有一定公信力的自治协会代替政府的监管者角色,建立多元主体共同参与的征信市场。
(二)分级分类监管各主体的数据处理行为
行为准入监管模式较之主体准入监管模式,对于征信机构准入的资质监管更重视其开展征信业务的动态实时合规性,而非仅由其为符合准入条件所提交的审查材料来证明。由于征信机构的业务活动绝大部分是通过数据处理行为实现的,故而监管主体可通过对算法等技术的监管、在数据处理的各个环节强化行为准入监管。
央行在征信“断直连”的监管政策中要求互联网平台不得将由个人数据承载的用户信息(个人主动提交的信息以及从外部获取的信息)、由企业或其他组织数据承载的企业信息(平台内产生的信息)以申请信息、身份信息、基础信息、个人画像评分信息等名义直接向金融机构提供,实现个人信息的“全面”断直连。
但并非所有的信息共享均构成提供征信服务,对征信数据采集行为的监管应从被采集数据的风险级别、采集方式为直接或间接采集、采集的数据类型应受何种程度保护三方面来综合审视监管的尺度。结合《中华人民共和国个人信息保护法》第十三条、第二十九条和《条例》第十四条关于同意制度的规定等现行法律制度,监管设想详见表2。
(三)通过数据治理推动征信市场公平准入
征信市场准入监管的实质应当是对征信数据的控制权、处理权、处分权和收益权的监管治理,在保障安全的同时提高使用效率,并保障市场主体的公平参与。
在我国征信数据控制权主要由政府拥有的前提下,政府在推动征信标准化中应发挥主要作用。应当由政府统一制定征信数据安全管理标准,赋予合格的市场主体征信数据的采集资格,即通过市场准入制度把对征信数据的控制权、处理权和收益权进行统一处分与配置。
在我国由央行作为主要监管主体、证监会和地方政府等多机构共同承担宏观审慎监管职能的征信市场监管现状下,宏观审慎监管可从限制征信市场系统性风险方面减少征信业务对宏观经济的负外部性。
具体而言,监管主体通过征信市场准入条件的把控,可直接配置征信数据的控制权给合规持牌的征信机构。虽然控制权是行使征信数据其他权能的基础,但拥有控制权也并不代表市场主体可以任意开展征信数据处理活动。准入监管作为事前监管还可通过间接的宏观调控允许符合行为准入条件的征信机构行使征信数据的处理权和收益权,并辅以充分有效的公共服务产品和市场信息,以期优化配置征信数据资源,打破征信市场的数据壁垒。
可以说,监管主体通过设立市场准入门槛对征信活动进行监管,重点在于征信数据权利行使过程中的数据安全保护。因此,监管主体自身也应谦抑审慎地运用权力、承担责任。为避免监管主体对征信市场准入的过度干预,在准入监管审查备案的过程中,或可通过政府权力清单制度减少公权力对市场的干预,兼顾征信市场的安全与效率价值。
四、结语
为完善征信市场准入监管制度,进而实现政府的监管与服务职能并发挥征信市场的主观能动性,征信市场准入监管应当对征信数据的权利行使做出实质性的监管治理,在保障安全的同时提高征信数据的使用效率,并保障征信市场主体的公平参与。
具体而言,可在征信数据安全管理标准由监管部门统一制定的前提下,赋予合格的市场主体征信数据的采集和展业资格,即通过市场准入制度统筹配置征信数据的控制权、处理权和收益权,实现对征信市场的间接宏观调控和征信数据治理。准入的标准可按征信数据的类型、风险级别和采集方式不同,在个人和企业两类征信市场中进行分级分类设置。
其中,为了符合市场中立义务履行要求中的各项条件,不少征信机构按业务对机构组织进行了分割,监管主体应对分割后机构的征信数据采集资格以及各独立主体之间的数据流通安全性进行审查。
有为监管是有效市场的保障与实现条件,主体准入监管与行为准入监管模式均建立在征信数据权利作为一种财产性权利、通过设置准入制度和配置牌照资源的方式转移分配给符合资质的市场主体的理论基础之上,看似对立实则殊途同归。
可综合两者的权利义务要求和行为合规标准,结合我国征信市场的制度现状和征信市场数据治理的特点,选择性借鉴准入监管的理论和域外实践经验,在征信市场监管的秩序、安全与效率价值的指引下对征信市场的准入监管制度加以完善。
源点注:本文作者郭家琪(中国政法大学数据法治研究院);刘彤(河南师范大学法学院)
文章搜索