征信新规 刚刚！央行发布征信业务新规

1月11日，中国人民银行发布《信用信息业务管理办法》。《信用信息业务管理条例》颁布实施以来，我国信用信息行业进入快速发展的数字信用信息时代，信用信息新业态不断涌现。但由于缺乏明确的信用信息业务规则，信用信息边界不清、信息主体权益保护措施不到位等问题不断涌现。

为提高征信业务活动透明度，保护信息主体合法权益，促进信息提供者、征信机构和信息使用者合法合规使用信用信息，中国人民银行根据《征信业务管理条例》和征信业务发展实际，起草了《征信业务管理办法》。

一、制定本办法的原则

坚持信用为民的工作理念。充分保障信息主体在征信业务活动中的知情权、同意权、异议权、投诉权等合法权益，满足人民群众对高质量征信产品和服务的需求，防止个人和企业信用信息被滥用，保障征信信息安全，防止信息泄露。

兼顾信息安全和信息合规。在保障信息主体权益的前提下，推动征信业规范发展，明确信息提供者、征信机构和信息使用者的义务，鼓励征信机构在安全规范的前提下提供多样化的征信产品和服务，增加征信有效供给。

符合现行法律法规。充分吸收民法典、网络安全法、消费者权益保护法等现行法律法规中个人信息保护的内容，充分考虑与个人信息保护法的衔接，吸收相关立法原则和精神，细化个人信息保护。

二、《办法》的主要内容

一是明确信用信息和信用信息业务。让信用监管有法可依。为金融经济活动提供服务，用于判断个人和企业信用状况的各类信息被定义为信用信息，其信息服务活动为征信活动。当前实践中，利用该信息对个人或企业进行画像和评价的业务被定义为征信业务，属于《办法》的约束范围。

二是从保护个人和企业合法权益的角度，规范信用信息的收集、整理、保存和处理。要求征信机构在收集信息时遵循“最少、必要”的原则，不得非法收集信息；收集个人信息时，应当告知信息的目的、来源和范围，收集非公开企业信用信息时，应当征得企业同意；信用信息的整理、保存和处理应遵循客观性原则，原始数据不得篡改。

三是规范信用信息使用，确保用于合法目的。要求信息用户将个人信用信息用于合法、正当的目的，不得滥用；征信机构在提供信用信息查询、信用评价、信用评级、反欺诈服务等不同类型的信用信息服务时，应当遵循相应的业务规则。

第四，监管信贷信息的安全和跨境流动。从内控制度、软硬件设备、人员管理等方面。，要求征信机构做好信息安全工作并建立应急和报告制度。在境外提供企业信用信息查询服务，应当确保信用信息用于跨境贸易、融资等合理目的，并以单一查询方式提供。

三、《办法》的起草过程

2016年以来，人民银行开展了《办法》的研究起草工作，成立了专门的起草工作组，并对多家征信机构和金融机构进行了实地调研，了解征信业务的具体操作流程，学习借鉴了国外征信业务的相关管理经验，广泛征求和听取了相关部委、外部专家、征信机构、金融机构和人民银行分支机构的意见和建议。

各方普遍认为，征信已进入新时代，面临新挑战。有必要出台《办法》，时机已经成熟。建议加强对征信信息采集、处理、对外提供等各个环节的监管，保护信息主体合法权益，增加征信有效供给，实现征信业高质量发展。

信用信息业务管理办法

第一章总则

第一条为规范征信业务及相关活动，促进征信业健康发展，根据《中华人民共和国民法典》、《中华人民共和国中国人民银行法》、《征信业管理条例》等法律法规，制定本办法。

第二条在中华人民共和国境内，从事信用信息业务及相关活动的个人、企业、事业单位和其他组织，适用本办法。

在中华人民共和国境外，开展信用信息业务及相关活动的中华人民共和国也适用本办法。

第三条本办法所称信用信息，是指为金融经济活动提供服务，用于判断个人和企业信用状况的各类信息。包括但不限于身份、地址、交通、通讯、债务、财产、支付、消费、生产经营、法律义务履行等个人和企业信息。，以及基于上述信息的个人和企业信用状况的分析和评估信息。

第四条从事信用信息业务及相关活动，应当依法保护信息主体的合法权益，保障信息安全，防止信用信息泄露和滥用。

从事征信业务及相关活动，应当遵循独立、客观、公正的原则，不得作出违背社会公共秩序和良好风尚的歧视性安排，不得凭借其主导地位提供排他性服务。

第二章信用信息的收集

第五条征信机构收集信用信息应当遵循“最少、必要”的原则，不得过度收集。

第六条征信机构不得通过下列方式收集信用信息:

通过欺骗、胁迫和引诱；

向个人或者企业收取费用；

从非法渠道收集；

以其他方式侵害信息主体合法权益的。

第七条征信机构在采集信用信息时，应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审查，确保采集信用信息的合法性、准确性和可持续性。

第八条征信机构应当与信息提供者明确各自在数据更正、异议处理和信息安全方面的权利和义务。

第九条征信机构经营个人征信业务，应当制定个人信用信息采集计划，并向中国人民银行报告采集的数据项目、与信用的关联程度、信息主体权益保护情况。

第十条征信机构采集个人信用信息，应当征得信息主体本人同意，明确告知信息主体采集信用信息的目的、来源和范围，以及不同意采集信息可能造成的不良后果。

第十一条征信机构通过信息提供者取得个人同意的，信息提供者应当明确告知信息主体征信机构的名称。

第十二条征信机构收集非公开企业信用信息，应当采取适当措施，征得企业同意。

第十三条征信机构收集的与企业董事、监事、高级管理人员履职相关的信用信息，不得作为个人信用信息。

第三章信用信息的整理、保存和处理

第十四条征信机构对信用信息进行整理、保存和处理，应当遵循客观原则，不得篡改原始数据。

第十五条征信机构在整理、存储、处理信用信息过程中发现信息错误，属于信息提供者提交的错误的，应当及时通知信息提供者更正；如果是内部处理错误，要及时纠正，完善内部处理流程。

第十六条征信机构收集的个人不良信息的保存期限为不良行为或事件终止之日起5年。

不良信用信息到期的，征信机构应当予以删除。作为样本数据的，应当去标识并存储在非生产数据库中，确保个人信用信息不被直接或间接识别。

第十七条鼓励征信机构将个人身份信息与其他信用信息分开保存，并实行物理隔离。

第四章信用信息的提供和使用

第十八条征信机构应当采取适当措施，对信息用户的身份、业务资格和使用目的进行审查。

征信机构应当对通过网络访问征信系统的信息用户的网络和系统安全合规管理措施进行必要的审查，监测查询行为，发现违规行为，及时停止服务。

第十九条征信机构在查询个人信息时，应当根据需要对信息使用者进行审查，确保信息使用者征得信息主体同意，并按照约定的用途使用。

第二十条信息使用者应当将征信机构提供的信用信息用于合法、正当的目的，不得滥用。

信息使用者使用个人信用信息应当有明确、具体的用途，并按照与信息主体约定的用途使用。如果超出了商定的目的，他们应该获得另一个同意。

第二十一条信息主体可以向征信机构查询自身信用信息。征信机构未收集信息主体信息的，应当明确告知；已经收集信息主体信息的，应当向信息主体提供收集的信息内容。

第二十二条征信机构应当通过互联网、经营场所、委托其他机构等方式，每年为个人信息主体提供两次免费的信用报告查询服务。

征信机构委托其他机构向信息主体免费提供信用报告查询服务的，应当对受委托机构的资质、服务能力、安全设施、合规要求等进行审查，并对受委托机构的查询行为和泄露行为承担连带责任。

个人信息主体有权向征信机构索取完整的信用报告。征信机构向个人提供的信用报告内容不得少于向信息用户提供的信用报告内容。

第二十三条征信机构不得以删除不良信息或者未收集不良信息为由向信息主体收取费用。

第二十四条征信机构提供信用报告等信用信息查询产品和服务时，应当客观展示查询到的信用信息内容，并说明查询到的信用信息内容和专业术语。

征信机构提供征信产品的，报告内容应当包括信息用户查询记录、异议标记、信息主体声明等。

第二十五条征信机构提供人像、评级、评级等评估产品和服务。，应当建立评价标准，不得以与信息主体信用无关的因素作为评价标准。

征信机构提供个人信用评估服务的，用于评估的所有数据应当在向信息主体提供的信用报告中显示。征信机构应当披露个人信用评价产品采用的评分方法和模型，披露程度以反映评价的可信度为限。

征信机构为企业主体或者债务提供信用评级服务的，应当遵守信用评级业务的相关管理规定。

第二十六条征信机构提供反欺诈产品和服务，应当建立欺诈性信用信息的认定标准。

第二十七条征信机构提供信用信息查询、信用评价和反欺诈服务，应当向中国人民银行或者其省会城市中心支行以上分支机构报告下列事项:

信用报告的模板和内容；

信用评价服务的主要维度要素、评价含义、评价应用场景和信息主体权益保护；

反欺诈服务的数据来源、欺诈性信用信息的识别标准、主要服务场景。

第二十八条征信机构不得提供下列征信服务和产品:

对信用评价结果的承诺；

利用评价结果的暗示性内容，利用政府部门或行业协会名义进行营销；

以胁迫、欺骗或者诱导的方式向信息主体或者信息用户提供信用信息产品和服务的；

对信用信息产品和服务进行虚假宣传；

其他影响信贷业务客观公正的信贷产品和服务。

第五章信用信息安全

第二十九条征信机构应当制定涉及所有经营活动和设备设施的安全管理制度，采取有效保护措施，确保信用信息安全。

第三十条存储或者处理50万个以上企业信用信息的个人征信机构和企业征信机构，应当符合下列要求:

系统评价为国家信用信息安全等级保护三级以上；

设立信息安全负责人，由公司章程规定的高级管理人员担任；

设立专职部门负责信息安全管理，定期检查相关业务和信用信息系统安全管理制度和措施的落实情况。

第三十一条征信机构应当保障征信系统运行设施设备、安全控制设施和APP等移动互联网终端的安全，做好征信系统的日常运维管理，保障系统物理安全、网络安全、主机安全、应用安全、数据安全和客户端安全，防止数据丢失和破坏，防止征信系统被非法入侵。

第三十二条征信机构应当从人员招聘、人员离岗、人员考核、安全意识教育培训、外部人员准入管理等方面做好人员安全管理工作。

第三十三条征信机构应当严格限制查询、获取信用信息工作人员的权限和范围。

征信机构应当建立工作人员查询获取信用信息的操作记录，明确记录工作人员查询获取信用信息的时间、方式、内容和用途。

第三十四条征信机构应当建立应急响应制度。发生或者可能发生重大信用信息泄露时，应当立即采取必要措施减少危害，并向中国人民银行及其当地分支机构报告。

第三十五条征信机构应当在中国境内开展征信业务及相关活动，生产数据库和备份数据库应当位于中国境内。

第三十六条征信机构向境外提供个人信用信息，应当符合国家法律法规的规定。

征信机构在境外提供企业信用信息查询服务时，应当对信息使用者的身份和用途进行审查，确保信用信息用于跨境贸易、融资等合理用途，并以单一查询方式提供。

征信机构不得将某一地区或行业的批量企业的信用信息传输给境外的同一信息用户。

征信机构向境外提供企业信用信息的，应当向中国人民银行备案。

第三十七条征信机构与境外征信机构合作的，应当在合作协议签订后向中国人民银行备案。

第六章监督管理

第三十八条征信机构应当向社会公开下列事项，接受社会监督:

收集的信用信息类型；

信用报告的基本格式；

信用评分的主要要素和比例；

反欺诈服务中的欺诈识别标准；

异议处理流程；

中国人民银行认为需要披露的其他事项。

第三十九条中国人民银行及其分支机构可以对征信机构的下列事项进行监督检查:

制度建设，包括各种制度和相关规定的完备性、合规性和可操作性；

合规经营，包括收集信用信息、对外提供和使用信用信息、处理异议和投诉、用户管理以及其他事项的合规；

经营情况，包括信用信息覆盖范围、信用信息类型、信用产品、客户等。；

报告和报表提交，包括年度报告、报表填写、业务备案等。；

应急处理，包括突发事件、舆情等；

组织架构，包括公司架构和部门设置、高级管理团队、人员配置等。

技术支持和保障，包括IT系统、安全管理、系统开发等。；

其他与信贷业务活动有关的事项。

第四十条征信机构违反本办法第六条、第十六条、第二十八条规定的，由中国人民银行及其分支机构依照《征信业管理条例》第三十八条的规定予以处罚。

第四十一条征信机构违反第二十七条、第三十条、第三十六条、第三十八条规定的，由中国人民银行及其分支机构责令改正；情节严重的，对单位处以一万元以上三万元以下罚款。

第七章附则

第四十二条金融信用信息基础数据库从事信用信息业务，从事信用业务的机构应当参照本办法向金融信用信息基础数据库报送或者查询信用信息。

第四十三条其他信息处理者与征信机构合作，为金融经济活动提供个人或者企业信用信息的，应当在签订合作协议后，向中国人民银行或者其副省级以上城市中心支行报告。

第四十四条以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义提供信用信息服务，适用本办法。

第四十五条本办法由中国人民银行负责解释。

第四十六条本办法自年月日起施行。