中國人民銀行令〔2021〕第4號
中國人民銀行令〔2021〕第4號
《徵信業務管理辦法》已經2021年9月17日中國人民銀行2021年第9次行務會議審議通過,現予發佈,自2022年1月1日起施行。
行長 易綱
2021年9月27日
徵信業務管理辦法
第一章 總則
第一條 為了規範徵信業務及其相關活動,保護信息主體合法權益,促進徵信業健康發展,推進社會信用體系建設,根據《中華人民共和國中國人民銀行法》《中華人民共和國個人信息保護法》《徵信業管理條例》等法律法規,制定本辦法。
第二條 在中華人民共和國境內,對法人和非法人組織(以下統稱企業)、個人開展徵信業務及其相關活動的,適用本辦法。
第三條 本辦法所稱徵信業務,是指對企業和個人的信用信息進行採集、整理、保存、加工,並向信息使用者提供的活動。
本辦法所稱信用信息,是指依法採集,為金融等活動提供服務,用於識別判斷企業和個人信用狀況的基本信息、借貸信息、其他相關信息,以及基於前述信息形成的分析評價信息。
第四條 從事個人徵信業務的,應當依法取得中國人民銀行個人徵信機構許可;從事企業徵信業務的,應當依法辦理企業徵信機構備案;從事信用評級業務的,應當依法辦理信用評級機構備案。
第五條 金融機構不得與未取得合法徵信業務資質的市場機構開展商業合作獲取徵信服務。
本辦法所稱金融機構,是指國務院金融管理部門監督管理的從事金融業務的機構。
地方金融監管部門負責監督管理的地方金融組織適用本辦法關於金融機構的規定。
第六條 從事徵信業務及其相關活動,應當保護信息主體合法權益,保障信息安全,防範信用信息泄露、丟失、毀損或者被濫用,不得危害國家秘密,不得侵犯個人隱私和商業秘密。
從事徵信業務及其相關活動,應當遵循獨立、客觀、公正的原則,不得違反法律法規的規定,不得違反社會公序良俗。
第二章 信用信息採集
第七條 採集個人信用信息,應當採取合法、正當的方式,遵循最小、必要的原則,不得過度採集。
第八條 徵信機構不得以下列方式採集信用信息:
(一)欺騙、脅迫、誘導;
(二)向信息主體收費;
(三)從非法渠道採集;
(四)以其他侵害信息主體合法權益的方式。
第九條 信息提供者向徵信機構提供信用信息的,徵信機構應當制定相關制度,對信息提供者的信息來源、信息質量、信息安全、信息主體授權等進行必要的審查。
第十條 徵信機構與信息提供者在開辦業務及合作中應當遵守《中華人民共和國個人信息保護法》等法律法規,通過協議等形式明確信息採集的原則以及各自在獲得客户同意、信息採集、加工處理、信息更正、異議處理、信息安全等方面的權利義務和責任。
第十一條 徵信機構經營個人徵信業務,應當制定採集個人信用信息的方案,並就採集的數據項、信息來源、採集方式、信息主體合法權益保護制度等事項及其變化向中國人民銀行報告。
第十二條 徵信機構採集個人信用信息應當經信息主體本人同意,並且明確告知信息主體採集信用信息的目的。依照法律法規公開的信息除外。
第十三條 徵信機構通過信息提供者取得個人同意的,信息提供者應當向信息主體履行告知義務。
第十四條 個人徵信機構應當將與其合作,進行個人信用信息採集、整理、加工和分析的信息提供者,向中國人民銀行報告。
個人徵信機構應當規範與信息提供者的合作協議內容。信息提供者應當就個人信用信息處理事項接受個人徵信機構的風險評估和中國人民銀行的情況核實。
第十五條 採集企業信用信息,應當基於合法的目的,不得侵犯商業秘密。
第三章 信用信息整理、保存、加工
第十六條 徵信機構整理、保存、加工信用信息,應當遵循客觀性原則,不得篡改原始信息。
第十七條 徵信機構應當採取措施,提高徵信系統信息的準確性,保障信息質量。
第十八條 徵信機構在整理、保存、加工信用信息過程中發現信息錯誤的,如屬於信息提供者報送錯誤的,應當及時通知信息提供者更正;如屬於內部處理錯誤的,應當及時更正,並優化信用信息內部處理流程。
第十九條 徵信機構應當對來自不同信息提供者的信息進行比對,發現信息不一致的,及時進行核查和處理。
第二十條 徵信機構採集的個人不良信息的保存期限,自不良行為或者事件終止之日起為5年。
個人不良信息保存期限屆滿,徵信機構應當將個人不良信息在對外服務和應用中刪除;作為樣本數據的,應當進行匿名化處理。
第四章 信用信息提供、使用
第二十一條 徵信機構對外提供徵信產品和服務,應當遵循公平性原則,不得設置不合理的商業條件限制不同的信息使用者使用,不得利用優勢地位提供歧視性或者排他性的產品和服務。
第二十二條 徵信機構應當採取適當的措施,對信息使用者的身份、業務資質、使用目的等進行必要的審查。
徵信機構應當對信息使用者接入徵信系統的網絡和系統安全、合規性管理措施進行評估,對查詢行為進行監測。發現安全隱患或者異常行為的,及時核查;發現違法違規行為的,停止提供服務。
第二十三條 信息使用者應當採取必要的措施,保障查詢個人信用信息時取得信息主體的同意,並且按照約定用途使用個人信用信息。
第二十四條 信息使用者使用徵信機構提供的信用信息,應當基於合法、正當的目的,不得濫用信用信息。
第二十五條 個人信息主體有權每年兩次免費獲取本人的信用報告,徵信機構可以通過互聯網查詢、營業場所查詢等多種方式為個人信息主體提供信用報告查詢服務。
第二十六條 信息主體認為信息存在錯誤、遺漏的,有權向徵信機構或者信息提供者提出異議;認為侵害自身合法權益的,可以向所在地中國人民銀行分支機構投訴。對異議和投訴按照《徵信業管理條例》及相關規定辦理。
第二十七條 徵信機構不得以刪除不良信息或者不採集不良信息為由,向信息主體收取費用。
第二十八條 徵信機構提供信用報告等信用信息查詢產品和服務的,應當客觀展示查詢的信用信息內容,並對查詢的信用信息內容及專業名詞進行解釋説明。
信息主體有權要求徵信機構在信用報告中添加異議標註和聲明。
第二十九條 徵信機構提供畫像、評分、評級等信用評價類產品和服務的,應當建立評價標準,不得將與信息主體信用無關的要素作為評價標準。
徵信機構正式對外提供信用評價類產品和服務前,應當履行必要的內部測試和評估驗證程序,使評價規則可解釋、信息來源可追溯。
徵信機構提供經濟主體或者債務融資工具信用評級產品和服務的,應當按照《信用評級業管理暫行辦法》(中國人民銀行 發展改革委 財政部 證監會令〔2019〕第5號發佈)等相關規定開展業務。
第三十條 徵信機構提供信用反欺詐產品和服務的,應當建立欺詐信用信息的認定標準。
第三十一條 徵信機構提供信用信息查詢、信用評價類、信用反欺詐產品和服務,應當向中國人民銀行或其省會(首府)城市中心支行以上分支機構報告下列事項:
(一)信用報告的模板及內容;
(二)信用評價類產品和服務的評價方法、模型、主要維度要素;
(三)信用反欺詐產品和服務的數據來源、欺詐信用信息認定標準。
第三十二條 徵信機構不得從事下列活動:
(一)對信用評價結果進行承諾;
(二)使用對信用評價結果有暗示性的內容宣傳產品和服務;
(三)未經政府部門或者行業協會同意,假借其名義進行市場推廣;
(四)以脅迫、欺騙、誘導的方式向信息主體或者信息使用者提供徵信產品和服務;
(五)對徵信產品和服務進行虛假宣傳;
(六)提供其他影響徵信業務客觀公正性的徵信產品和服務。
第五章 信用信息安全
第三十三條 徵信機構應當落實網絡安全等級保護制度,制定涉及業務活動和設備設施的安全管理制度,採取有效保護措施,保障徵信系統的安全。
第三十四條 個人徵信機構、保存或者處理100萬户以上企業信用信息的企業徵信機構,應當符合下列要求:
(一)核心業務信息系統網絡安全保護等級具備三級或者三級以上安全保護能力;
(二)設立信息安全負責人和個人信息保護負責人,由公司章程規定的高級管理人員擔任;
(三)設立專職部門,負責信息安全和個人信息保護工作,定期檢查徵信業務、系統安全、個人信息保護制度措施執行情況。
第三十五條 徵信機構應當保障徵信系統運行設施設備、安全控制設施設備以及互聯網應用程序的安全,做好徵信系統日常運維管理,保障系統物理安全、通信網絡安全、區域邊界安全、計算環境安全、管理中心安全等,防範徵信系統受到非法入侵和破壞。
第三十六條 徵信機構應當在人員錄用、離崗、考核、安全教育、培訓和外部人員訪問管理等方面做好人員安全管理工作。
第三十七條 徵信機構應當嚴格限定公司內部查詢和獲取信用信息的工作人員的權限和範圍。
徵信機構應當留存工作人員查詢、獲取信用信息的操作記錄,明確記載工作人員查詢和獲取信用信息的時間、方式、內容及用途。
第三十八條 徵信機構應當建立應急處置制度,在發生或者有可能發生信用信息泄露等事件時,立即採取必要措施降低危害,並及時向中國人民銀行及其省會(首府)城市中心支行以上分支機構報告。
第三十九條 徵信機構在中華人民共和國境內開展徵信業務及其相關活動,採集的企業信用信息和個人信用信息應當存儲在中華人民共和國境內。
第四十條 徵信機構向境外提供個人信用信息,應當符合法律法規的規定。
徵信機構向境外信息使用者提供企業信用信息查詢產品和服務,應當對信息使用者的身份、信用信息用途進行必要的審查,確保信用信息用於跨境貿易、投融資等合理用途,不得危害國家安全。
第四十一條 徵信機構與境外徵信機構合作的,應當在合作協議簽署後、業務開展前將合作協議報告中國人民銀行。
第六章 監督管理
第四十二條 徵信機構應當將下列事項向社會公開,接受社會監督:
(一)採集的信用信息類別;
(二)信用報告的基本格式內容;
(三)異議處理流程;
(四)中國人民銀行認為需要公開的其他事項。
第四十三條 個人徵信機構應當每年對自身個人徵信業務遵守《中華人民共和國個人信息保護法》《徵信業管理條例》的情況進行合規審計,並將合規審計報告及時報告中國人民銀行。
第四十四條 中國人民銀行及其省會(首府)城市中心支行以上分支機構對徵信機構的下列事項進行監督檢查:
(一)徵信內控制度建設,包括各項制度和相關規程的齊備性、合規性和可操作性等;
(二)徵信業務合規經營情況,包括採集信用信息、對外提供和使用信用信息、異議與投訴處理、用户管理、其他事項合規性等;
(三)徵信系統安全情況,包括信息技術制度、安全管理、系統開發等;
(四)與徵信業務活動相關的其他事項。
第四十五條 信息提供者和信息使用者違反《徵信業管理條例》規定,侵犯信息主體合法權益的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構依法對其檢查和處理。
第七章 法律責任
第四十六條 違反本辦法第四條規定,擅自從事個人徵信業務的,由中國人民銀行按照《徵信業管理條例》第三十六條進行處罰;擅自從事企業徵信業務的,由中國人民銀行省會(首府)城市中心支行以上分支機構按照《徵信業管理條例》第三十七條進行處罰。
金融機構違反本辦法第五條規定,與未取得合法徵信業務資質的市場機構開展商業合作獲取徵信服務的,由中國人民銀行及其分支機構責令改正,對單位處3萬元以下罰款,對直接負責的主管人員處1000元以下罰款。
第四十七條 徵信機構違反本辦法第八條、第十六條、第二十條、第二十七條、第三十二條規定的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構按照《徵信業管理條例》第三十八條進行處罰。
第四十八條 徵信機構違反本辦法第十四條、第二十一條、第三十一條、第三十四條、第三十九條、第四十二條規定的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構責令改正,沒收違法所得,對單位處3萬元以下罰款,對直接負責的主管人員處1000元以下罰款。法律、行政法規另有規定的,依照其規定。
第八章 附則
第四十九條 金融信用信息基礎數據庫從事徵信業務、從事信貸業務的機構向金融信用信息基礎數據庫報送或者查詢信用信息參照本辦法執行。
第五十條 以“信用信息服務”“信用服務”“信用評分”“信用評級”“信用修復”等名義對外實質提供徵信服務的,適用本辦法。
第五十一條 本辦法施行前未取得個人徵信業務經營許可或者未進行企業徵信機構備案但實質從事徵信業務的機構,應當自本辦法施行之日起18個月內完成合規整改。
第五十二條 本辦法由中國人民銀行負責解釋。
第五十三條 本辦法自2022年1月1日起施行。