2021年末《中国人民共和国个人信息保护法》（以下简称《个保法》）的实施，揭开了我国对个人信息保护的强监管时代。在金融领域，中国人民银行（以下简称“人行”）于2022年公布实施的《征信业务管理办法》，在回应《个人信息保护法》的基础上，结合金融行业的个人信息处理模式细化了对征信信息的保护规则，对银行、消费金融公司、汽车金融公司等在内的金融机构/类金融机构合规处理信用信息提出了行业要求。 本文拟结合金融机构等涉及信用信息处理的主要业务环节（包括收集、向征信机构提供或查询信用信息、对错误信息进行更正或删除）、以及近期的处罚动向，梳理个人信用信息的合规要点，为金融机构等个人信息合规建设提供参考。

　　随着2021年11月1日起《个保法》的正式实施，金融行业对于个人信用信息保护的合规监管日趋严格，在2013年《征信业管理条例》的基础上，人行制定并于2022年1月1日正式实施了《征信业务管理办法》（以下简称《征信办法》）。实务中，银行、消费金融公司等金融机构在处理个人信用信息时，存在大量因违规操作而受到人行行政处罚的案例；此外，亦有汽车金融公司等类金融机构因违规采集、提供或查询信用信息而被人行处罚[[ [1] 参见银管罚〔2018〕25号；银管罚[2020]19号等。]]。

　　本文以上述金融机构、类金融机构（以下统称“金融机构等”）为视角，根据征信业务领域的最新立法与实践，梳理其在日常经营管理中处理个人信用信息的合规要点。

　　一、 信用信息处理活动概览

　　1.什么是信用信息

　　根据《征信办法》第3条，信用信息是指依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及给予前述信息形成的分析评价信息。 

　　2.涉及哪些主体

　　在信用信息处理活动过程中，主要涉及的主体包括信息主体、征信机构、信息提供者和信息使用者等，在相关业务及合规流程中有如下关系：

　　（1）信息主体

　　信息主体分为个人及企业两类，相应的信用信息分为个人信用信息和企业信用信息，本文主要关注金融机构等处理的个人信用信息。

　　根据《个人信用信息基础数据库管理暂行办法》的相关规定，个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息[[ [2] 《个人信用信息基础数据库管理暂行办法》第4条。]]。具体而言，个人基本信息是指自然人身份识别信息、职业和居住地址等信息；个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录；反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。

　　（2）信息提供者和信息使用者

　　在征信业务中，信息提供者和使用者等在个人信用信息的采集、提供、使用环节扮演着重要角色。信息提供者，是指向征信机构提供信息的单位和个人；信息使用者，是指从征信机构获取信息的单位和个人。

　　实践中，上述信息提供者和使用者主要包括以下主体，也是本文合规建议的适用主体：银行业金融机构、非银行金融机构及类金融机构。

　　（3）征信机构

　　征信机构，是指依法设立，主要经营征信业务的机构。按照性质及处理信用信息的不同类型，我国征信机构可以分为国家金融信用信息基础数据库、个人征信机构、企业征信机构[[ [3] 根据2022年3月16日中国人民银行征信管理局发布的最新资讯，截至2022年2月末，全国共有136家企业征信机构在人民银行分支行完成备案。]]三类：

　　二、征信业务监管新动向

　　2021年9月27日，人行颁布的《征信办法》，给征信机构和金融机构等合规处理信用信息提出了新要求。

　　1.“类征信业务”被纳入监管

　　近年来，随着数字经济的快速发展，互联网和大数据等新技术在征信领域广泛应用，大量有效“替代数据”被采集、分析和应用于判断企业和个人信用状况，征信已突破传统借贷信息共享的范围[[ [4]  中国人民银行有关负责人就《征信业务管理办法》答记者问。]]。实践中，互联网企业平台、金融科技公司相继从事助贷、导流业务，已经涉及对信用信息处理的“类征信业务”，比如个人信用评价服务、企业主体或债项信用评级服务或画像、评分、评级等评价类产品服务。

　　对此，《征信办法》通过明确定义“信用信息”的方式，将个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息，以及基于前述信息对个人和企业信用状况形成的分析、评价类信息纳入信用信息的范围[[ [5] 参见中国人民银行2021年1月11日发布的《征信业务管理办法（征求意见稿）》。]]，同时拓宽了受规制的征信业务边界。与此同时，相关机构应当按照《征信办法》的要求依法办理持牌或者备案。

　　2.“断直连”

　　《征信办法》带来的另一个重要变化即为将原先金融机构等可以与平台机构对接从而直接获取个人信息的征信模式调整为必须通过征信机构的间接模式。根据《征信办法》第5条，金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务。这一规定要求金融机构等实现与互联网平台的“断直连”，主要目的是防止互联网平台等信息提供者滥用、泄露个人信息，结合上述对于征信机构的严格监管，更好地保护个人和社会利益。

　　因此，金融机构等不得通过与相关平台机构的业务合作而直接获得个人信用信息，而必须尽快与征信机构建立联系，以便合规从事征信业务，否则将面临着责令改正和罚款等行政处罚风险[[ [6] 《征信业务管理办法》第46条第2款规定：“金融机构违反本办法第五条规定，与未取得合法征信业务资质的市场机构开展商业合作获取征信服务的，由中国人民银行及其分支机构责令改正，对单位处3万元以下罚款，对直接负责的主管人员处1000元以下罚款。”]]。

　　三、金融机构等处理信用信息时的合规要点

　　金融机构等在经营管理中处理大量个人信用信息，以下结合不同场景分析合规要点。

　　1.如何向个人信息主体采集信用信息

　　金融机构等可作为信息提供者向个人采集信用信息，需要注重以下要点：

　　（1）向个人履行告知义务并取得同意

　　在信用信息的采集过程中，金融机构等在采集个人信用信息时应履行告知义务并取得信息主体的同意。其中，如若采用格式合同条款取得个人信息主体同意，则应当在合同中作出足以引起信息主体注意的提示，并按照信息主体的要求作出明确说明。

　　（2）合法、正当的方式

　　根据《征信办法》第7条，采集个人信用信息，应当采取合法、正当的方式，遵循最小、必要的原则，不得过度采集。该要求也与《个保法》项下对于个人信息保护的 “最小必要”“正当合法”等条件接轨。

　　2.如何向征信机构提供个人信用信息

　　（1）向个人履行告知义务

　　在向征信机构提供其采集的个人信用信息（包括个人不良信息）时，作为信息提供者的金融机构等应当向信息主体履行告知义务。此外，依据《个保法》中规定的信息处理者向其他个人信息处理者提供其处理的个人信息的告知义务，告知的内容应当包括接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等[[ [7] 《中华人民共和国个人信息保护法》第23条。]]。

　　（2）取得个人的“书面同意”

　　根据《个保法》第23条，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当取得个人的单独同意。而《征信业管理条例》第29条第2款进一步规定，从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息，应当事先取得信息主体的“书面同意”。根据我们的经验，“书面同意”一般通过《授权书》《告知同意函》等的书面签字形式体现，是一种比“单独同意”更加严格、慎重的同意方式，体现了金融领域对于信用信息这一个人敏感信息的高规格保护要求。

　　3.如何向征信机构查询个人信用信息

　　（1）取得个人书面同意

　　金融机构等向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途[[ [8] 《征信业管理条例》第18条。]]。此外，金融机构等亦需采取必要的措施，按照约定用途使用个人信用信息。

　　实践中，经常有金融机构等及其主要责任人员因违反信用信息查询相关管理规定而被处以罚款的案例，故相关主体在向征信机构等查询个人信用信息时对个人信息主体同意的取得应当给予重视。

　　（2）查询授权书  

　　根据我们的经验，金融机构等在实务中一般采取查询授权书的形式取得个人信息主体的同意，授权书需至少包括以下几项要素：

　　①被授权人，即授权查询对象。

　　②征信机构，即金融信用信息基础数据库等。

　　③授权事项及用途，即被授权人在何种情形下可查询及使用授权人及与授权人承担共同责任的第三方（如配偶、担保人等）信用报告，查询及使用原因（即约定用途）应当明确、具体，不得宽泛、模糊或空缺，也不得超出金融机构业务办理的合理需要。

　　④授权期限，即被授权人可查询和使用信用报告的期间，不得超过业务办理及存续的有效期限。

　　⑤授权人个人签名、与授权人承担共同责任的第三方签名。

　　⑥授权作出日期。

　　4.错误信息更正及不良信息定期删除

　　根据《个保法》的相关规定，金融机构等在处理信用信息时应遵守信息质量原则，确保采集、向征信机构提供的个人信用信息的质量，避免因信息不准确给个人权益造成影响。对此，《征信办法》进一步规定了金融机构在错误信息更正、不良信息报送删除方面的合规义务。

　　（1）信息更正义务

　　根据《个人信用信息基础数据库管理暂行办法》《征信办法》的相关规定，银行发现其所报送的个人信用信息不准确时，应当及时报告征信服务中心纠错更正；个人信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的，有权向提供该错误信息的金融机构等提出异议，要求其更正。在司法实践中，如果金融机构等不依法更正，个人信息主体有权起诉要求法院判决支持其信用信息更正请求[[ [9] 参见上海市高级人民法院（2018）沪民再字第13号民事判决书。]]。

　　（2）超期不良信息报送删除义务

　　不良信息也是征信业务及其监管中的重要对象。不良信息是指对信息主体信用状况构成负面影响的下列信息：信息主体在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务的信息；对信息主体的行政处罚信息；人民法院判决或者裁定信息主体履行义务以及强制执行的信息；以及国务院征信业监督管理部门规定的其他不良信息。

　　根据《征信办法》的相关规定，金融机构等对个人不良信息的保存期限不得应超过五年，自不良行为或者事件终止之日起计算。个人不良信息保存期限届满五年时，为消费者办理个人业务、做出不良信息记录的金融机构等，有义务向征信机构报送删除该不良信息，并由征信机构将个人不良信息在对外服务和应用中删除（作为样本数据的，应当进行匿名化处理）。

　　在司法实践中，如果银行等不按规定及时向人行征信中心报送删除相关不良信息，导致个人的征信记录中持续显示逾期状态等不良信息、对消费者的信用评价产生不当影响的，消费者有权请求法院判令银行等立即向征信中心报送删除其不良信息，如果逾期保存不良信息给消费者造成损失的，消费者还有权请求法院判令银行等承担赔礼道歉和精神损害赔偿责任[[ [10] 江苏省高级人民法院与江苏省消费者权益保护委员会联合发布2021年度消费者权益保护十大典型案例之八——胡某与某银行名誉权纠纷案。]]。

　　结语

　　我国对个人信息违规行为的处罚力度不断攀升，近期某互联网平台公司因大规模违规收集、处理个人信息，被处以数十亿元的处罚（企业主管人员同时被处罚上百万元），再次敲响了合规处理个人信息的警钟。

　　金融机构等在信贷、融资等日常业务过程中采集、提供、处理的个人信用信息、不良信息属于敏感个人信息，受到《个保法》更加严格的保护，同时也受到《征信业管理条例》《征信办法》的多重保护。为了促进金融机构等涉及信用信息业务的健全发展，我们建议相关企业及时关注信用行业合规动向，不断完善个人信用信息的合规建设。