近日，《征信業(yè)務(wù)管理辦法》正式發(fā)布，對于其中的信用信息，特別是個人信息信息，顯然我們應(yīng)當(dāng)從《個人信息保護(hù)法》的角度去看。但是信用信息中還包含企業(yè)信用信息，這部分信息應(yīng)當(dāng)如何看待？又或者，信用信息整個類別，可以從《數(shù)據(jù)安全法》的角度去看（要知道，《征信業(yè)務(wù)管理辦法》在第一條中并沒有提到《數(shù)據(jù)安全法》）？

　　要回答這個問題，可以從人民銀行在《征信業(yè)務(wù)管理辦法》中對數(shù)據(jù)全生命周期提出的安全保護(hù)要求來理解。這也是本文的目的。本文歸納在公號君看來，與《個人信息保護(hù)法》相比，《征信業(yè)務(wù)管理辦法》對信息安全和保護(hù)提出的十個非常有特色或者增強(qiáng)式的要求。

　　1、信用信息包括個人信息，也包括企業(yè)信息

　　根據(jù)《征信業(yè)務(wù)管理辦法》第三條規(guī)定，本辦法所稱信用信息，是指依法采集，為金融等活動提供服務(wù)，用于識別判斷企業(yè)和個人信用狀況的基本信息、借貸信息、其他相關(guān)信息，以及基于前述信息形成的分析評價(jià)信息。

　　2、征信行業(yè)施行“業(yè)務(wù)資質(zhì)管理”

　　《征信業(yè)務(wù)管理辦法》第四條規(guī)定，“從事個人征信業(yè)務(wù)的，應(yīng)當(dāng)依法取得中國人民銀行個人征信機(jī)構(gòu)許可；從事企業(yè)征信業(yè)務(wù)的，應(yīng)當(dāng)依法辦理企業(yè)征信機(jī)構(gòu)備案；從事信用評級業(yè)務(wù)的，應(yīng)當(dāng)依法辦理信用評級機(jī)構(gòu)備案”。

　　并且，具備業(yè)務(wù)資質(zhì)的市場機(jī)構(gòu)，才可以向金融機(jī)構(gòu)提供征信服務(wù)。因?yàn)椤墩餍艠I(yè)務(wù)管理辦法》第五條規(guī)定，“金融機(jī)構(gòu)不得與未取得合法征信業(yè)務(wù)資質(zhì)的市場機(jī)構(gòu)開展商業(yè)合作獲取征信服務(wù)”。

　　3、征信機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)都要審查上游信息的合法性

　　《征信業(yè)務(wù)管理辦法》第九條規(guī)定，信息提供者向征信機(jī)構(gòu)提供信用信息的，征信機(jī)構(gòu)應(yīng)當(dāng)制定相關(guān)制度，對信息提供者的信息來源、信息質(zhì)量、信息安全、信息主體授權(quán)等進(jìn)行必要的審查。

　　并且，《征信業(yè)務(wù)管理辦法》第十四條規(guī)定，個人征信機(jī)構(gòu)應(yīng)當(dāng)將與其合作，進(jìn)行個人信用信息采集、整理、加工和分析的信息提供者，向中國人民銀行報(bào)告。個人征信機(jī)構(gòu)應(yīng)當(dāng)規(guī)范與信息提供者的合作協(xié)議內(nèi)容。信息提供者應(yīng)當(dāng)就個人信用信息處理事項(xiàng)接受個人征信機(jī)構(gòu)的風(fēng)險(xiǎn)評估和中國人民銀行的情況核實(shí)。

　　4、征信機(jī)構(gòu)開展個人征信的業(yè)務(wù)計(jì)劃（包括個人信息處理的方案），需要提前向監(jiān)管機(jī)構(gòu)報(bào)告后，方可開展

　　《征信業(yè)務(wù)管理辦法》第十一條規(guī)定，征信機(jī)構(gòu)經(jīng)營個人征信業(yè)務(wù)，應(yīng)當(dāng)制定采集個人信用信息的方案，并就采集的數(shù)據(jù)項(xiàng)、信息來源、采集方式、信息主體合法權(quán)益保護(hù)制度等事項(xiàng)及其變化向中國人民銀行報(bào)告。

　　5、信用信息力求準(zhǔn)確性和相關(guān)性

　　《征信業(yè)務(wù)管理辦法》在第三章中集中對信息準(zhǔn)確性做出要求：

　　征信機(jī)構(gòu)不得篡改原始信息；

　　征信機(jī)構(gòu)在整理、保存、加工信用信息過程中發(fā)現(xiàn)信息錯誤的，如屬于信息提供者報(bào)送錯誤的，應(yīng)當(dāng)及時(shí)通知信息提供者更正；如屬于內(nèi)部處理錯誤的，應(yīng)當(dāng)及時(shí)更正，并優(yōu)化信用信息內(nèi)部處理流程。

　　征信機(jī)構(gòu)應(yīng)當(dāng)對來自不同信息提供者的信息進(jìn)行比對，發(fā)現(xiàn)信息不一致的，及時(shí)進(jìn)行核查和處理。

　　對于信用信息的相關(guān)性，《征信業(yè)務(wù)管理辦法》在第四章有完整設(shè)計(jì)：

　　征信機(jī)構(gòu)提供畫像、評分、評級等信用評價(jià)類產(chǎn)品和服務(wù)的，應(yīng)當(dāng)建立評價(jià)標(biāo)準(zhǔn)，不得將與信息主體信用無關(guān)的要素作為評價(jià)標(biāo)準(zhǔn)。征信機(jī)構(gòu)正式對外提供信用評價(jià)類產(chǎn)品和服務(wù)前，應(yīng)當(dāng)履行必要的內(nèi)部測試和評估驗(yàn)證程序，使評價(jià)規(guī)則可解釋、信息來源可追溯。

　　征信機(jī)構(gòu)提供信用反欺詐產(chǎn)品和服務(wù)的，應(yīng)當(dāng)建立欺詐信用信息的認(rèn)定標(biāo)準(zhǔn)。

　　征信機(jī)構(gòu)提供信用信息查詢、信用評價(jià)類、信用反欺詐產(chǎn)品和服務(wù)，應(yīng)當(dāng)向中國人民銀行或其省會（首府）城市中心支行以上分支機(jī)構(gòu)報(bào)告下列事項(xiàng)：（一）信用報(bào)告的模板及內(nèi)容；（二）信用評價(jià)類產(chǎn)品和服務(wù)的評價(jià)方法、模型、主要維度要素；（三）信用反欺詐產(chǎn)品和服務(wù)的數(shù)據(jù)來源、欺詐信用信息認(rèn)定標(biāo)準(zhǔn)。

　　6、個人不良信息有時(shí)效性要求

　　《征信業(yè)務(wù)管理辦法》第二十條規(guī)定，征信機(jī)構(gòu)采集的個人不良信息的保存期限，自不良行為或者事件終止之日起為5年。個人不良信息保存期限屆滿，征信機(jī)構(gòu)應(yīng)當(dāng)將個人不良信息在對外服務(wù)和應(yīng)用中刪除；作為樣本數(shù)據(jù)的，應(yīng)當(dāng)進(jìn)行匿名化處理。

　　換句話說，個人在信用方面的不良信息，有效期為五年。五年后，征信機(jī)構(gòu)應(yīng)當(dāng)對其“遺忘”。

　　7、對外提供征信產(chǎn)品或服務(wù)，應(yīng)當(dāng)對使用者一視同仁

　　《征信業(yè)務(wù)管理辦法》第二十一條規(guī)定，征信機(jī)構(gòu)對外提供征信產(chǎn)品和服務(wù)，應(yīng)當(dāng)遵循公平性原則，不得設(shè)置不合理的商業(yè)條件限制不同的信息使用者使用，不得利用優(yōu)勢地位提供歧視性或者排他性的產(chǎn)品和服務(wù)。

　　8、征信機(jī)構(gòu)應(yīng)審查使用者，確保信息下游的使用的合法性

　　《征信業(yè)務(wù)管理辦法》第二十二條規(guī)定，征信機(jī)構(gòu)應(yīng)當(dāng)采取適當(dāng)?shù)拇胧?，對信息使用者的身份、業(yè)務(wù)資質(zhì)、使用目的等進(jìn)行必要的審查。

　　征信機(jī)構(gòu)應(yīng)當(dāng)對信息使用者接入征信系統(tǒng)的網(wǎng)絡(luò)和系統(tǒng)安全、合規(guī)性管理措施進(jìn)行評估，對查詢行為進(jìn)行監(jiān)測。發(fā)現(xiàn)安全隱患或者異常行為的，及時(shí)核查；發(fā)現(xiàn)違法違規(guī)行為的，停止提供服務(wù)。

　　9、信用信息明確無條件的本地化存儲要求

　　《征信業(yè)務(wù)管理辦法》第三十九條規(guī)定：征信機(jī)構(gòu)在中華人民共和國境內(nèi)開展征信業(yè)務(wù)及其相關(guān)活動，采集的企業(yè)信用信息和個人信用信息應(yīng)當(dāng)存儲在中華人民共和國境內(nèi)。

　　10、對境外提供信用信息需要慎之又慎

　　《征信業(yè)務(wù)管理辦法》第四十條規(guī)定：征信機(jī)構(gòu)向境外提供個人信用信息，應(yīng)當(dāng)符合法律法規(guī)的規(guī)定。征信機(jī)構(gòu)向境外信息使用者提供企業(yè)信用信息查詢產(chǎn)品和服務(wù)，應(yīng)當(dāng)對信息使用者的身份、信用信息用途進(jìn)行必要的審查，確保信用信息用于跨境貿(mào)易、投融資等合理用途，不得危害國家安全。

　　第四十一條規(guī)定：征信機(jī)構(gòu)與境外征信機(jī)構(gòu)合作的，應(yīng)當(dāng)在合作協(xié)議簽署后、業(yè)務(wù)開展前將合作協(xié)議報(bào)告中國人民銀行。

　　簡短的討論

　　首先，信用信用不僅是個人信息還有企業(yè)信息，自然《征信業(yè)務(wù)管理辦法》自然有《個人信息保護(hù)法》無法涵蓋的事項(xiàng)。

　　其次，即便是個人信用信息，《征信業(yè)務(wù)管理辦法》對于征信機(jī)構(gòu)開展業(yè)務(wù)的事前（即征信業(yè)務(wù)方案的審查）監(jiān)管，對上、下游合作伙伴的審查，也很難用《個人信息保護(hù)法》來正當(dāng)化。即便是《個人信息保護(hù)法》中對敏感個人信息的規(guī)定，也難以達(dá)到《征信業(yè)務(wù)管理辦法》的監(jiān)管強(qiáng)度。

　　再次，與境外征信機(jī)構(gòu)合作的事項(xiàng)，需要首先獲得人民銀行的許可。

　　當(dāng)然，信用信息力求準(zhǔn)確性和相關(guān)性，這是征信業(yè)務(wù)本身的特點(diǎn)所要求。

　　因此，在公號君個人看來，《征信業(yè)務(wù)管理辦法》對征信業(yè)劃了一個圈，在里面流轉(zhuǎn)的信用信息，具有合法性、準(zhǔn)確性、相關(guān)性的要求。來自于外部的信息要流入，轉(zhuǎn)換成信用信息，需要監(jiān)管機(jī)構(gòu)把關(guān)。這些信息又都需要本地化存儲。信用信息的流出，也有比較高的門檻，但沒有流入的高。

　　從這些特點(diǎn)來看，這些要求可不可以成為重要數(shù)據(jù)的監(jiān)管思路中的一部分？