企业征信使用个人信息的法律风险及规避建议

在企业征信和信用评价中，企业的董事、监事和高级管理层的个人情况，以及企业股东、上下游企业的关键人物，都是企业信用的重要影响因素，这些个人信用信息是企业信用信息的重要组成部分。

根据《征信业管理条例》，虽然非个人征信机构不得经营个人征信业务(第七条)，但是“企业的董事、监事、高级管理人员与其履行职务相关的信息，不作为个人信息”(第十三条)，此类信息是企业征信机构可以采集和对外提供的。

在企业征信中涉及的董监高个人信用信息可能包括学历、职业资格、对外投资、司法信息、民间催欠、网贷逾期、乘机信息等，这些信息具有较高的私密性和敏感性，存在法律风险。征信机构需要了解相关法律规定，依法合规开展业务。

《征信业管理条例》对于个人信息使用的相关规定

1.信息采集范围

禁止采集信息：“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”（《条例》第十四条）

限制采集信息：“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。”（《条例》第十四条）

2.经过信息主体本人同意

2.1信息采集

“采集个人信息应当经信息主体本人同意，未经本人同意不得采集。但是，依照法律、行政法规规定公开的信息除外。”（《条例》第十三条）

2.2向征信机构提供个人不良信息

“信息提供者向征信机构提供个人不良信息，应当事先告知信息主体本人。但是，依照法律、行政法规规定公开的不良信息除外。”（《条例》第十五条）

2.3向征信机构查询个人信息

“向征信机构查询个人信息的，应当取得信息主体本人的书面同意并约定用途。但是，法律规定可以不经同意查询的除外。”（《条例》第十八条）

3. 信息安全保障

3.1制度、技术保障：“征信机构应当按照国务院征信业监督管理部门的规定，建立健全和严格执行保障信息安全的规章制度，并采取有效技术措施保障信息安全。”（《条例》第二十二条）

3.2工作人员管理：“经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定，对工作人员查询个人信息的情况进行登记，如实记载查询工作人员的姓名，查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息，不得泄露工作中获取的信息。”（《条例》第二十二条）

4. 不良信息保存

4.1不良信息保存期限：“征信机构对个人不良信息的保存期限，自不良行为或者事件终止之日起为5年；超过5年的，应当予以删除。” （《条例》第十六条）

4.2信息主体可作出说明：“在不良信息保存期限内，信息主体可以对不良信息作出说明，征信机构应当予以记载。”（《条例》第十六条）

法律风险规避建议

1.在合法范围内采集和对外提供信息

不采集法律禁止采集的信息；对限制采集的信息，首先明确告知信息主体可能产生的不利后果，取得其书面同意，再进行采集。

删除已超过5年的个人不良信息，不可对外提供。

2.取得信息主体本人授权

一方面，征信机构采集个人信用信息，需经过本人授权。另一方面，信息使用方通过征信机构查询并使用个人信用信息，也需要经过本人授权，所以征信机构在对外提供个人相关信息时，需要核查信息使用方是否取得了信息主体的同意。

3.做好信息安全保障工作

3.1通过技术手段提升系统安全性；

3.2建立完善的保障信息安全的规章制度和流程，并严格执行；

3.3加强员工管理与培训，实行查询权限制、查询登记制。