《个人信息保护法》中个人征信机构应遵守的合规义务_东方金诚信用管理（北京）有限公司

《个人信息保护法》中个人征信机构应遵守的合规义务

发布时间：2021-10-26 发布人：admin 阅读量：4417

2021年8月20日，全国人大常委会通过《个人信息保护法》（以下简称《个保法》），我国个人信息处理正式进入有法可依的新时代。《个保法》是细化《民法典》个人信息保护基本法律要求，全面规范个人信息保护与自由流动、合理利用的专门法律，反映了国家既重视信息产业发展，又强化个人权益保护的基本立法目标。金融业以数据为基本要素，是信息网络化最早的行业，其中征信业又是金融业的基础，高度依赖个人信息处理。
自2005年个人信用信息基础数据库建成运行和《个人信用信息基础数据库管理暂行办法》（以下简称《暂行办法》）实施以来，个人征信在我国已有十几年的发展历程，2013年颁布实施的《征信业管理条例》（以下简称《条例》）也确立了个人征信机构许可经营的法律制度。《个保法》颁布后，个人征信机构需要结合征信业务的金融属性和信息属性进行分析梳理并制定合规措施，落实上位法的法定义务，才能推进个人信息保护与个人征信的平衡发
根据《个保法》第4条和第73条的规定，个人征信机构属于个人信息处理者的范畴，应遵守《个保法》的规定。下面结合《个保法》相应条款梳理《条例》等现有法律法规未提及的合规义务。
（一）处理目的明确合理和直接相关的义务
《个保法》第6条规定，个人信息处理的目的应明确、合理，且与处理目的直接相关；收集个人信息应限于实现目的最小范围。
根据《条例》及释义，个人征信的目的是满足信用交易需要，防范金融风险。结合《暂行办法》的规定，个人征信机构采集处理个人信贷信息和非借贷信息。根据《商业银行法》第7条和第35条，商业银行应严格审查借款人的资信，包括借款用途、偿还能力、还款方式等，所以借贷信息处理与金融风险直接相关，满足目的明确、合理和直接相关的原则；但非借贷的个人信息处理（即当前所称的替代数据）与金融风险是否具有直接相关性，还有待业务实践的佐证和法律、行政法规的明确。并且，若无法证明存在直接相关性，采集非信贷信息存在过度收集的违法风险。
（二）个人信息质量保证义务
《个保法》第8条规定，处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。对此，个人征信机构应参照《条例》第23条的规定，采取合理措施保障信息的准确性。
信息准确性以客观真实性、合法性为前提，其中客观真实性依据《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第93条，以不违反自然规律及众所周知的事实等为标准，合法性以全国人大和国务院公布的法律和行政法规为标准。如果基本信息明显不真实，不符合客观规律，或违反《民法典》公序良俗、诚信公平等原则，必然属于信息不准确的情形，对个人造成不利影响的，个人征信机构在不能证明自己没有过错时，应依据《个保法》第7章承担法律责任。
（三）基于个人同意的自愿、撤回和变更后重新获取的义务
根据《条例》第13条，个人征信机构采集个人信息应取得本人同意，对应适用《个保法》第13条第1款第（一）项，因此个人征信机构采集个人信息时，应履行《个保法》第14、15和47条的规定，保障个人自愿同意、处理情况变更后重新获取同意、提供便捷地撤回同意方式以及撤回同意后依请求删除个人信息的法定义务。
（四）公开或告知并解释说明信息处理规则的义务
《个保法》第17条规定信息处理者应以显著方式、清晰易懂的语言向个人告知或公开个人信息处理的方式和规则，是《民法典》第1035条第（二）项法定义务的具体细化。同时，《个保法》第48条规定，个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
因此，个人征信机构负有公开或告知信息处理方式及规则的法定义务。目前，个人信用报告说明和编制说明是对报告展示提供方式和规则的说明告知及解释，未告知或公示收集、存储、使用、加工、传输、删除等其他处理方式规则并解释说明，没有完全履行《个保法》规定的义务。
（五）委托采集个人信息应承担的义务
《个保法》第21条对委托处理个人信息作出规定，委托人应当与受托人约定目的、期限等权利义务，并监督受托人。
个人征信机构采集个人信息的方式主要为通过信息提供者间接采集，即委托采集的方式，因此需遵守《个保法》对委托处理个人信息所规定的法律义务，即依法明确约定权利义务并对受托人实施监督。
（六）向个人告知接收方相关信息的义务 《个保法》第23条规定，“个人信息处理者向他人提供其处理的个人信息的，应向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类”。
目前，个人征信机构向信息使用者提供信息，是通过信息使用者获取个人书面同意查询授权的形式，间接履行上述告知义务，并且也未告知接收方的处理方式。间接告知是否属于委托处理的范畴，能否保证个人知情权的有效行使，有待法律解释明确。
（七）保证自动化决策征信产品透明度和公平合理的义务
《个保法》第24条规定，利用个人信息进行自动化决策，应当保证决策的透明度和结果公平公正；通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
目前，征信市场中的个人征信产品及服务，若能证明不存在自动化决策，有权主张不适用《个保法》第24条的义务，否则需保证个人征信产品及服务的透明度和结果公平公正，并履行向个人提供拒绝自动化决策、予以说明等义务,保障个人在信贷交易中免遭不合理的差别待遇。
（八）处理公开信息应取得个人同意的义务
《个保法》第27条规定，“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。” 根据《条例》，个人征信在于防范信用风险和促进金融稳定，对个人而言涉及是否能获得贷款或信用服务，属于重大影响范畴，因此采集处理已公开信息前应依法取得个人同意。
（九）处理敏感个人信息的告知和取得单独同意义务
《个保法》第28条将金融账户信息列入敏感个人信息的范畴，现行《个人信息安全规范》（GB/T35273-2020）第3.2条注1将征信信息明确归入个人敏感信息，因此个人征信机构应遵守《个保法》第二章第二节的规定。
《个保法》第29条规定，处理敏感个人信息应当取得个人的单独同意，个人征信机构实施采集、提供和处理个人信息的其他行为前，应取得个人单独同意。
《个保法》第30条规定，处理敏感个人信息的，应向个人告知必要性及对个人的影响。
目前的《条例》并未规定个人征信机构对外提供和其他处理行为应取得个人单独同意，仅在《条例》第18条规定个人征信机构对信息使用者是否获取个人书面同意具有审查义务。同时，个人征信机构采集授权条款是通过信息提供者实施，并未履行直接告知必要性及影响的义务。所以，《个保法》颁布实施后，个人征信机构负有获取个人单独同意和履行直接告知的法定义务。
（十）保障个人的可携带权
《个保法》第45条第3款赋予个人对其信息的可携带权。
当前我国征信市场不只一家个人征信机构，个人有权主张可携带权，将自身信息从一家征信机构迁移至另一家，且源机构在转移后应删除该个人的信息，至于可携带的信息范围和方式，并无明确规定。因此，个人征信机构应制定满足个人请求的操作流程，依个人指示将个人信息无障碍地转移至指定的其他个人征信机构，并删除本机构保存的个人信息，使其不可被检索访问。
（十一）对个人信息实行分类管理的义务
根据《个保法》第51条第1款第（二）项，个人征信机构作为个人信息处理者，应对个人信息实行分类管理。具体到个人征信业务，个人征信机构应根据《个人金融信息保护技术规范》（JR/T 0171-2020）第4.2条，依敏感程度将个人征信信息区分为三类，履行分类管理的法定义务。
（十二）事前风险评估义务
根据《个保法》第55和56条，个人征信机构作为处理金融账户此类敏感个人信息的信息处理者，应对处理业务进行事前风险评估并形成记录，记录至少保存三年。因此，个人征信机构有义务建立事前风险评估制度，对处理目的和方式的合法正当必要性、对外提供个人信息产生的个人权益影响、安保措施有效性及风险、实施自动化决策等开展事前评估，确保敏感个人信息保护满足法律要求。
（十三）其他程序规范性义务
《个保法》第52条规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，公开个人信息保护负责人的联系方式。
《个保法》第57条规定，发生或可能发生个人信息安全事件的补救义务和通知义务。
总之，《个保法》的颁布实施，既为个人征信机构合规工作带来挑战，也在强化个人信息保护的背景下推动征信业更充分地发挥防范金融风险的作用。同时，期望国务院征信业监督管理部门在制定《征信业务管理办法》过程中充分考虑上位法《个保法》的基本法律要求，细化落实权利义务的具体条款，保障个人征信在《个保法》新时代下健康合规发展。

来源 | 征信圈

上一篇：【重磅】个人信息保护法来了！下一篇：中国人民银行发布《征信业务管理办法》（附答记者问）

新闻动态

+86-10-83435886