来源:《中国征信》2015年第12期。
作者:丁治同,硕士研究生,现供职于中国人民银行征信中心研究发展部,从事国外征信业务研究工作。
人民银行征信中心主办的“亚太征信暨个人数据保护国际研讨会”于2015年10月26至27日在西安举行。此次会议是征信中心第一次举办的亚太征信行业会议,来自印度、印度尼西亚、新加坡、韩国、老挝、越南、柬埔寨、马来西亚、泰国、菲律宾、哈萨克斯坦、蒙古、尼泊尔、台湾、香港、美国、欧盟17 个国家和地区的央行代表、征信机构代表、国内外个人数据保护专家、世界银行集团国际金融公司专家以及部分国内政府部门、机构和媒体代表等近200人参加了会议。与会者围绕各自国家和地区征信体系的改革和发展、小微企业征信服务、征信机构数据分析和反欺诈服务以及数字经济时代的个人数据保护等主题进行了交流。
亚太地区征信体系发展情况
各国征信体系发展阶段各异。一些国家成立央行征信系统较早,如韩国、马来西亚、印度尼西亚,于20世纪70-80年代先后建立纸质征信体系,最初采集一定额度以上的贷款信息。2000年左右均取消了报数门槛,建立全面征信的电子化系统。越南的公共征信系统则成立于1992年,2008年成为央行下属的独立机构。私营征信机构大多在2005年以后成立并遵循牌照准入制度,每个市场从事个人征信服务的私营机构数量有限。目前印度、新加坡、泰国、菲律宾、柬埔寨没有公共征信系统,只有私营征信机构。根据人口规模大小,机构数量有所不同:印度4家、马来西亚和印度尼西亚各3家、新加坡、韩国各2家,泰国、柬埔寨、菲律宾、越南、蒙古、缅甸、台湾、香港均1家。除新加坡、韩国、马来西亚、印度、泰国、菲律宾、柬埔寨、台湾、香港以外,其他的私营(或公私合营)征信机构尚处于起步期或运营筹备期。
强制报数是确保征信系统可用的前提。以菲律宾为例,由于最初征信信息报送是非强制性,金融机构报数意愿不强,政府建立征信机构的努力并没有成功。后来,通过立法建立了强制报数要求,征信机构才得以成功建立并运营。泰国、柬埔寨的征信机构发展也有同样的经历。而在马来西亚,由于一开始就通过立法明确了公共征信系统的法定定位和强制报数要求,公共征信系统得以快速建成并投入使用。
央行征信系统能否满足银行需要在很大程度上决定了私营征信机构获取银行信用数据的情况。从亚太国家的经验来看,如果央行系统能够满足市场需要,市场就是以央行征信系统为主导;如果央行运营的系统无法满足市场的需要,则主要依靠私营征信机构提供征信服务。以马来西亚和印度尼西亚为例。在马来西亚,央行征信系统和私营机构遵循不同的法律。央行征信系统的法律地位在《中央银行法》中得以明确,并有权强制采集金融信用信息,所以能获取信息并较好地满足银行的需要。7家私营征信机构遵守《征信机构管理法》,采集和使用信用信息时必须取得信息主体同意。实际上,其中4家机构只能获取公共信息,提供补充性信息服务。而在印尼,由于没有身份证系统,公共征信系统数据匹配技术不足,导致报告信息和多人重复匹配的情况很多,个人信息不准确,无法为银行提供所需的信息。因此,公共征信系统主要用于支持宏观审慎监管和金融稳定体系,而银行对征信服务的需求不得不通过发展私营征信机构来满足。
亚太地区新兴市场的征信机构多数已被外资控制。外资正通过股权收购、合资、技术入股等不同方式不断扩大对亚太征信市场的占有份额,投资关系错综复杂。比如,由新加坡征信局首席执行官林威廉(William Lim) 和澳大利亚征信公司威达的投资人共同组建的NSP控股公司,通过直接入股或间接控股的方式拥有了新加坡征信局(Credit Bureau Singapore)、马来西亚征信局(Credit Bureau of Malaysia)、柬埔寨信用局(Credit Bureau of Cambodia)、印度尼西亚(PT Kredit Biro Indonesia Jaya)、缅甸信用信息中心等多家征信机构的股权;益博睿收购了新加坡DP 征信局的母公司DP集团40%股权;印度四家征信机构分别被美国三大征信机构和意大利科锐富控股;意大利科锐富成为越南私营信用局投资公司的战略合作伙伴,以及菲律宾国家信用局项目的技术合作伙伴;美国艾可飞公司正拟收购澳大利亚威达公司。蒙古征信局是由蒙古银行协会与邓白氏合资,邓白氏作为战略和股权合作方。亚太新兴市场的实际代言人是西方外资机构,缺少本土征信机构品牌,这一点值得我们关注。
未来亚太征信业面临诸多挑战。一是扩大微型和中小企业征信信息采集,帮助中小企业和个体经营者获得银行贷款,扩大对小微金融机构的信息覆盖面,促进普惠金融。二是通过研发评分产品,如中小企业和个人的信用评分,帮助客户获得更好的信贷服务。三是提供在线信用报告查询、移动应用软件(APP) 等多种渠道的征信服务,帮助银行适应新型信贷业务发展的需要。四是开展金融教育,提高公众的征信意识,帮助消费者了解如何改善信用状况,获得银行信贷。五是推动征信业信用信息、数据格式、信用报告及信用评分的标准制定。六是提高数据质量以及数据更新的连续性。
关于征信行业发展的主要观点
征信机构正在向更广泛领域扩展业务范围。世界银行集团国际金融公司专家托尼·里斯格(Tony Lythgoe)指出,在互联网大数据时代,随着新技术、新数据在征信行业的应用,征信业正在从传统上仅服务于银行业风险评估,向服务于更多目的和行业转变,数据的价值进一步凸显,这将深刻改变未来征信业的服务模式和发展方向。益博瑞政府事务与公共政策高级副总裁托尼·哈德利(Tony Hadley)也表示,如今金融业如今只占益博睿31%的收入来源。在市场需求推动下,美国征信机构近年来主要向身份核实和“先使用后付费”的“类信贷”两个业务领域延伸。随着线上用户金融行为增加,征信范畴扩大,营销、债务催收等基于信用数据的衍生服务也成为很多征信机构发展新业务的方向。
大数据征信的发展对征信监管提出更高要求。您在主题演讲中指出,要尽快转变征信监管的思维和手段,合理界定市场和政府的边界,实现信息主体权益保护与数据合理应用之间的平衡,在鼓励征信业创新发展的同时避免过度创新。托尼·里斯格也认同此观点。他表示,全球范围内涌现出很多新公司和新组织,看到了数据的价值和背后蕴含的能量,并用此为自己创造利润,造成很多新问题,使征信面临着道德困境。因此,需要有更多的立法和措施,避免创新的越界。
个人数据保护应从完善立法监管和提高消费者金融素养双管齐下。托尼·里斯格表示,网络时代个人面临隐私保护的脆弱性,个人数据隐私保护并没有得到充分重视。各国监管部门应通过完善立法和监管,让个人有条件以便捷、清晰、简单的方式有效保护自身权益。但是,仅靠监管者单方面努力还不够,信息主体也要为个人数据保护负起责任。这就要求征信监管和从业机构共同思考如何建立合理机制,对消费者进行必要的金融素养教育,增强消费者保护自身合法权利的意识,提高自我保护能力,如此,立法和监管才能切实有效发挥作用。
对大数据在征信业的应用要采用极为谨慎的态度。大数据只是一个补充,而不能替代建立有预测性的数据。美国政治经济研究所首席执行官迈克·特纳(Michael Turner)表示,大数据有很大的发展前景,但也有很大的风险:一是对大数据的扭曲的信心,二是数据控制范围,三是投资分配不当。越多的变量,越可以显示不同的关联关系,错误也会比信息增长得更快。大数据使用了更多错误的信息,噪音覆盖了信号,消费者被授信过程中使用的数千变量所淹没。经合组织的公平信息原则将消费者放在数据共享制度的核心位置,但是大数据严重威胁消费者的被告知权、选择权、查询权和纠错权。大数据的这些问题可能限制了大数据的使用。他认为应鼓励投资于“传统”的可替代信用数据,使之数字化,并应用于预测模型。但可替代数据的应用要特别重视数据质量,有时国情存在差异,数据质量也会不同。
征信机构不会从事放贷业务。托尼·哈德利表示,放贷业务与征信机构的客户有利益冲突,如果益博睿也放贷,会失去银行这一主要客户和个人信息源。托尼·里斯格表示,美国三大征信机构得以拓展业务范围的前提是自身不涉及金融业务,否则没有金融机构愿意分享客户信息,必然使信用报告不准确、不全面,影响征信机构的核心竞争力。
关于大数据时代个人数据保护的主要观点
与会个人数据保护专家分享了国外一些数据保护的基本立法原则和立法趋势。
美国格林伯陶睿(Greenberg Traurig)律师个人隐私保护法律专家弗朗西斯·吉尔伯特(Francoise Gilbert)表示,应对大数据时代的个人数据保护困境,美国的做法是立法者站在足够的高度确定好基本原则,从而以不变应万变。美国数据保护法律体系形散但神不散,多年的立法和实践经验表明,立法不能被技术发展牵着走。为了保护隐私安全而尝试去规范某一个特定的行业或技术是没有意义的,因为相比上行业和技术的发展速度,立法永远滞后。有效的方式是站在一个较高的高度上把握住数据保护的基本原则,出发点是在各行各业的创新者利益和保障公民权利之间取得平衡。面对新技术导致的新的数据保护问题,美国的经验是建立一些普适性的、原则性的规则,援引一般性的法律法规来加以解决。
当法律没有明确在哪些具体情况下使用个人数据需要经过数据主体同意的时候,需要从常识出发,换位思考,以避免潜在的法律问题。弗朗西斯·吉尔伯特介绍,美国的法律实践原则是,当将个人数据用于非常规的、消费者无法预知的事情时,就需要明确让消费者了解,并获得其同意。至于具体在什么情况下需要取得同意,法律虽然无法面面俱到加以规范,但原则是根据个人数据的敏感性不同进行判例,这需要机构能够从常识出发,做出是否获得个人同意的决定。
欧盟立法将对个人信息进行更加严格的保护。欧盟征信协会主席尼尔门罗介绍,欧盟正在制定中新数据保护条例,将监管所有个人信息,不论类型、来源和用途,并设立严格的数据跨境流通限制。从当前草案文本看,对商业机构不很有利,一些传统的个人数据使用用途可能将受到影响,例如反洗钱、信用评分等。他还介绍,欧盟新《支付服务准则》(PSD2)对支付服务提供方获取和使用用户的个人信息也进行了规范和限制。针对支付发起服务提供商(PISPs),增加了严格的限制,要求支付服务提供方确保用户的其他任何信息只提供给收款人,并不得存储与支付服务用户相关的敏感支付数据。
益博睿政府事务与公共政策高级副总裁托尼·哈德利(美国国家电子商务隐私保护联盟主席)表示,巴西个人隐私的主要理念是保障消费者对个人信息的知情权。如果机构掌握了个人敏感信息,需要告诉信息主体掌握的信息内容、获取方式、使用目的、方式以及保证数据正确的流程手段。去身份标示(de-identified)和匿名的数据应该排除在个人数据的范围之外。巴西目前还没有负责个人数据保护、征信业数据监管的专门政府机构,但情况正在发生新的变化。
在2014年,巴西发起了被称为“Macro Civil Da Internet”的互联网立法行动,起草了《网络治理法》(Internet Governance Law)以保护个人隐私,旨在为个人信息保护建立一个综合性的制度框架,最大程度接近欧盟立法中的隐私概念和隐私保护力度。
征信宝网站:zhengxinbao.com
微信公众号:征信宝
微博认证号:征信宝