全国人大财经委副主任委员
中国人民银行原副行长
清华大学五道口金融学院院长
吴晓灵
互联网、移动互联网产生大数据,云计算为大数据挖掘提供了技术支撑,信息技术发展为金融服务长尾客户提供了可能,也为普惠金融的发展提供技术支撑。金融服务需要以征信为基础,市场催生了需求,也唤醒市场对投资征信业的热情。在互联网、大数据、云计算的大背景之下,中国的征信业应该如何发展?在网络个人信息无处不在的情况下,如何处理好个人信息安全与征信业发展的关系?市场翘首以待的个人征信牌照发放还有哪些认识需要统一?
怎样认识征信行业
大数据背景下征信无处不在,很多人也都在谈征信,但是,大家实际是在不同层次上使用不同概念谈论征信。到底应该怎样认识当前中国的征信市场?
第一,个人信用征信。传统个人信用征信是个人信用状况的评估,与个人的资金活动相联系,反映个人债务状况和资金延迟支付状况,包括缴费、纳税等。凡是与个人资金运作有关系,一般来说应该算作个人信用征信。在国外,谈到个人信用征信,一般有很多维度,美国使用最多的信用评分(FICO)主要参考付款历史、欠款数据、信用历史时长、新的信用帐户、使用的信用帐户五个维度信息,全部与资金有关。但是,近些年来,个人征信机构也在参考资金收付有关的个人行为数据,包括水电费缴纳,等等。
第二,个人诚信。现在社会上经常提到的所谓征信,其实并不完全是信用征信,而是涉及很多诚信行为。个人诚信是对个人契约精神的评估,与个人合同履约状况相联系,与信用评估有关联,但不是决定性因素。社会诚信建设很大程度是道德规范,让守信者方便,失信者受惩戒。现在各行各业发布黑名单、白名单,其实有很多信息中他们的行为与资金并没有完全关系,而是反映的履约情况。
第三,行为征信。互联网、大数据和云计算使得数据拥有者能够对客户行为偏好做出分析,对客户的偿债能力、支付能力、履约和欺诈倾向有所分析,用好大数据可能有助于反欺诈和提供差异化服务以及市场营销。但是,对金融授信的风控作用有待检验。现在很多人在挖掘的是行为数据,这些行为数据反映的行为偏好不一定能够完全用于金融授信,但是可以对金融授信有一些参考。
第四,数据服务。这类服务提供者不直接掌握数据资源,主要是围绕大数据征信提供第三方技术和服务,包括大数据挖掘,在数据源上层完成数据分析和风险控制。很多拥有数据的公司都想做大数据分析,也有一些技术公司想对这些大数据做分析服务。这些和金融界所说的典型的个人信用征信不完全一致,有关联但不是同一个事情。
上面就是对当前社会谈到个人征信业时涉及到的四个层次的分析。我认为针对个人征信市场的不同层次、不同需求,应该实行差异化监管。个人信用征信主要服务于金融授信活动。
如何认识独立第三方个人信用征信
世界近百年发展历史证明,只有独立第三方开展个人信用征信才更有公信力,也才更公正。为金融授信服务的个人信用征信要由独立第三方负责,因为只有这样做才没有利益冲突或利益关联,因而没有行为扭曲。为了使自己的信用分数提高一些,有人是不是可能有意多去使用与征信因素有关的服务?这种行为社会上是存在的,背后其实就隐含着一定行为扭曲。
独立第三方数据源清晰,可以通过合同、外部接口规范、数据库审计等方式管理,数据留存可以使信息可追溯、可异议、可纠错,有利于保护个人信息安全。在互联网时代,每一个人的信息都可能上网,保护不好就会对个人隐私造成侵犯。在数据化时代,个人数据就是个人的无形财产,应该得到很好的保护。独立第三方征信也可以从技术手段上更好保证信息安全。独立第三方没有利益竞争,有利于解决信息孤岛问题。如果每一个信息源都想靠自己掌握的信息和别人竞争,有利益竞争就会导致信息不共享,容易形成信息孤岛。个人信用征信由第三方评估,更容易形成统一认识。
独立第三方的标志是什么?现在最大的争议点就在于此。给出几个标准,第一,公司治理独立,高管、资产、财务、人员独立不受个别股东控制,有一个独立公司治理结构,在公司独立运作过程中不能被个别股东操纵。第二,数据来源多元独立,分析模型独立。第三,业务独立,不参与信息源和使用者同范围的业务。业界讨论该问题时有不同意见。香港证监会所属香港证券及投资学会出版的信贷评级服务及惯例,将独立性和利益冲突界定为“业务不受现有或潜在的有关业务关系,或与任何其他方的任何业务关系,或潜在业务关系的影响,或因不存在上述关系而受影响”。这句话通俗说,因为做评估涉及相关业务,或相关人员,使得业务受到影响,或者说没有相关业务和相关人员,也受到影响,因为与他们没有关系,所以不能够受到公平公正待遇,这也是一种影响。
中国个人征信市场格局与监管
公共机构与市场机构协同发展,要发挥中国人民银行征信中心公共平台作用,向社会提供公平公正的信用征信服务。市场化独立第三方从事个人信用征信,市场化机构从事专项个人征信服务及数据服务。市场化个人征信服务还是应该分层次。
个人征信市场监管有自身原则。第一,保护个人信息知情权,让被征信主体客户知道征信机构收集了哪些信息,客户要有选择权、拒绝权和遗忘权,信息可追溯、可异议,可纠错。给出评分,也要公布评分要素,到底是怎么评估的,外界要知道评估方法,如果对评分有不同意见可以提出异议,错了要可纠错。
第二,要确保个人信息安全不泄露。通过规章制度保障、物理安全保障、技术安全保障,严格运营监管个人数据的授权与使用,确保个人信息安全不泄露。个人信息也是个人财产,而服务机构在服务过程中也做了很多工作,因此,数据在某种程度上是服务机构和个人共同拥有的。
如果个人对自己的信息提出查询,或者授权其他机构查询,拥有数据的人或单位应该允许查询,而且应该为查询提供便利。既然数据服务机构提供了服务,某种程度上也有数据一定所有权,在不暴露个人隐私、脱敏之后可以加工信息,做商业化处理,这也应该受到法律保护。《网络安全法》对此也予以确认,但是前提条件是必须脱敏,不能涉及具体个人,比如张三李四在干什么,关注某个群体有怎样行为特征,类似信息可以加工处理。
第三,要维护市场公开公平公正有序竞争,对不同层次的征信机构实行差异化监管。
在监管方面,我认为个人征信机构工商登记应该实行“先证后照”。个人征信服务涉及个人信息安全和隐私保护,必须有金融市场准入,实行“先证后照”。企业征信由于不涉及企业商业秘密且企业信息公开性强,可实行工商登记后的备案管理。投资企业征信的公司到工商注册,然后到监管当局、人民银行备案就可以。但是个人征信业必须是批准之后才能开展。目前人民银行批准了八家机构在做个人征信准备工作。因为没有管理经验,必须通过实践总结经验。个人征信应该是先到监管当局获得许可,然后再到工商登记。当然,这个问题现在也有争议,希望能够听到各方面的意见。