第四號
《征信業務管理辦法》於2021年9月7日經中國人民銀行第9次常務會議審議通過,現予公布,自2022年10月6日起施行。
易綱總裁
2021 9月27日
信貸業務管理法
第壹章總則
第壹條為了規範征信業務及相關活動,保護信息主體合法權益,促進征信業健康發展,推進社會信用體系建設,根據《中華人民共和國中國人民銀行法》、《中華人民共和國個人信息保護法》、《征信業管理條例》等法律法規,制定本辦法。
第二條本辦法適用於在中華人民共和國境內從事征信業務及相關活動的法人、非法人組織(以下簡稱企業)和個人。
第三條本辦法所稱征信業務,是指對企業和個人信用信息進行收集、整理、存儲和加工,並提供給信息使用者的活動。
本辦法所稱信用信息,是指依法采集的為金融活動提供服務,用於識別和判斷企業和個人信用狀況的基礎信息、貸款信息和其他相關信息,以及基於上述信息形成的分析評價信息。
第四條從事個人征信業務,應當依法取得中國人民銀行個人征信機構的許可;從事企業信用信息業務的,應當依法辦理企業信用信息機構備案;從事信用評級業務的,應當依法辦理信用評級機構備案。
第五條金融機構不得與未取得征信業務合法資格的市場機構開展商業合作獲取征信服務。
本辦法所稱金融機構,是指由國務院金融管理部門監督管理的從事金融業務的機構。
本辦法關於金融機構的規定,適用於由地方金融監管部門負責監督管理的地方金融組織。
第六條從事征信業務及相關活動,應當保護信息主體的合法權益,保障信息安全,防止信用信息泄露、丟失、損毀和濫用,不得危害國家秘密,不得侵犯個人隱私和商業秘密。
從事信貸業務及相關活動,應當遵循獨立、客觀、公正的原則,不得違反法律法規的規定,不得違背社會公序良俗。
第二章信用信息采集
第七條個人信用信息采集應當采取合法、正當的方式,遵循最小化和必要性原則,不得過度采集。
第八條征信機構不得以下列方式采集信用信息:
(壹)欺騙、脅迫或者利誘;
(2)對信息主體收費;
(三)從非法渠道收取的;
(四)以其他方式侵害信息主體合法權益的。
第九條信息提供者向征信機構提供信用信息的,征信機構應當制定相關制度,對信息提供者的信息來源、信息質量、信息安全、信息主體授權等進行必要的審查。
第十條征信機構和信息提供者在業務和合作中應當遵守《中華人民共和國個人信息保護法》等法律法規,通過協議等形式明確信息收集的原則以及在獲得客戶同意、信息收集、處理、信息更正、異議處理和信息安全等方面各自的權利、義務和責任。
第十壹條征信機構開展個人征信業務,應當制定個人信用信息采集計劃,並向中國人民銀行報告采集的數據項目、信息來源、采集方式、信息主體合法權益保護制度等事項及其變化情況。
第十二條征信機構采集個人信用信息,應當經信息主體本人同意,並向信息主體明確告知采集信用信息的目的。法律法規規定公開的信息除外。
第十三條征信機構通過信息提供者取得個人同意的,信息提供者應當對信息主體履行告知義務。
第十四條個人征信機構應當向中國人民銀行報告與其合作收集、整理、加工、分析個人信用信息的信息提供者。
個人征信機構應當規範與信息提供者的合作協議內容。信息提供者應當接受個人信用信息處理機構的風險評估和中國人民銀行的核查。
第十五條征集企業信用信息,應當基於合法目的,不得侵犯商業秘密。
第三章信用信息的整理、保存和處理
第十六條征信機構整理、保存和處理信用信息應當遵循客觀原則,不得篡改原始信息。
第十七條征信機構應當采取措施,提高信用信息系統中信息的準確性,保證信息質量。
第十八條征信機構在整理、保存和處理信用信息過程中,發現信息錯誤,屬於信息提供者提交的錯誤的,應當及時通知信息提供者更正;如果是內部處理錯誤,要及時糾正,優化征信內部處理流程。
第十九條征信機構應當對來自不同信息提供者的信息進行比對,發現信息不壹致的,應當及時核對並處理。
第二十條征信機構采集的個人不良信息保存期限自不良行為或者事件終止之日起五年。
個人不良信息保存期限屆滿,征信機構應當在對外服務和應用中刪除個人不良信息;作為樣本數據,應該是匿名的。
第四章信用信息的提供和使用
第二十壹條征信機構對外提供征信產品和服務應當遵循公平原則,不得設置不合理的商業條件限制不同信息用戶的使用,不得利用其優勢地位提供歧視性或者排他性的產品和服務。
第二十二條征信機構應當采取適當措施,對信息使用者的身份、業務資格和目的進行必要的審查。
征信機構應當對信息用戶接入征信系統的網絡和系統安全、合規等管理措施進行評估,並對查詢行為進行監控。發現安全隱患或異常行為,及時檢查;發現違法行為,停止提供服務。
第二十三條信息使用者應當采取必要措施,確保在查詢個人信用信息時征得信息主體的同意,並按照約定的用途使用個人信用信息。
第二十四條信息使用者應當合法、正當地使用征信機構提供的信用信息,不得濫用信用信息。
第二十五條個人信息主體有權每年兩次免費獲取自己的信用報告,征信機構可以通過互聯網查詢、營業場所查詢等方式為個人信息主體提供信用報告查詢服務。
第二十六條信息主體認為信息有錯誤或者遺漏的,有權向征信機構或者信息提供者提出異議;認為自己的合法權益受到侵害的,可以向中國人民銀行當地分支機構投訴。異議和投訴按照《征信業管理條例》及相關規定辦理。
第二十七條征信機構不得以刪除不良信息或者不征集不良信息為由向信息主體收取費用。
第二十八條征信機構提供信用報告等信用信息查詢產品和服務的,應當客觀展示被查詢信用信息的內容,並對被查詢信用信息的內容和專業術語進行說明。
信息主體有權要求征信機構在信用報告中添加異議標記和聲明。
第二十九條信用評級機構提供畫像、評分、評級等信用評價產品和服務。,應當建立評價標準,不得以與信息主體信用無關的因素作為評價標準。
在正式向外界提供信用評估產品和服務之前,征信機構應履行必要的內部測試和評估驗證程序,以便解釋評估規則和追溯信息來源。
為經濟實體或債務融資工具提供信用評級產品和服務的信用機構,應當按照《信用評級行業管理暫行辦法》(中國人民銀行發展改革委財政部證券監督管理委員會令第5號[2019])等相關規定開展業務。
第三十條征信機構提供信用反欺詐產品和服務的,應當建立認定欺詐性信用信息的標準。
第三十壹條征信機構在提供信用信息查詢、信用評價和信用反欺詐產品和服務時,應當向中國人民銀行或者其省會城市中心支行以上分支機構報告下列事項:
(壹)信用報告的模板和內容;
(二)信用評估產品和服務的評估方法、模型和主要維度;
(三)信用反欺詐產品和服務的數據來源,識別欺詐性信用信息的標準。
第三十二條信貸機構不得從事下列活動:
(壹)對信用評價結果的承諾;
(二)宣傳含有暗示信用評價結果內容的產品和服務;
(三)未經政府部門或者行業協會同意,以其名義進行營銷的;
(四)以脅迫、欺騙、利誘等手段向信息主體或者信息使用者提供信用信息產品和服務;
(五)對信貸產品和服務進行虛假宣傳;
(六)提供其他影響信貸業務客觀公正的信貸產品和服務。
第五章信用信息安全
第三十三條征信機構應當落實網絡安全等級保護制度,制定涉及業務活動和設備設施的安全管理制度,采取有效的保護措施,確保征信系統的安全。
第三十四條存儲或處理1萬以上企業信用信息的個人征信機構和企業征信機構,應當符合下列要求:
(壹)核心業務信息系統的網絡安全保護等級具有三級以上安全保護能力;
(二)設立信息安全負責人和個人信息保護負責人,由公司章程規定的高級管理人員擔任;
(三)設立專職部門,負責信息安全和個人信息保護工作,定期檢查信貸業務、系統安全和個人信息保護制度措施的落實情況。
第三十五條征信機構應當保障征信系統的運行設施設備、安全控制設施設備和互聯網應用的安全,做好征信系統的日常運行維護管理,確保系統的物理安全、通信網絡安全、區域邊界安全、計算環境安全和管理中心安全,防止征信系統被非法入侵和破壞。
第三十六條征信機構應當在人員招聘、離崗、考核、安全教育、培訓和外部人員準入管理等方面做好人員安全管理工作。
第三十七條征信機構應當嚴格限定公司內部查詢和獲取信用信息人員的權限和範圍。
征信機構應當保存工作人員查詢、獲取信用信息的操作記錄,明確記錄工作人員查詢、獲取信用信息的時間、方式、內容和目的。
第三十八條征信機構應當建立應急處理制度,在發生或者可能發生信用信息泄露時,立即采取必要措施減輕危害,並及時向中國人民銀行及其省會城市中心支行以上分支機構報告。
第三十九條征信機構應當在中華人民共和國境內從事征信業務及相關活動,采集的企業信用信息和個人信用信息應當保存在中華人民共和國境內。
第四十條征信機構應當按照法律法規的規定向境外提供個人信用信息。
征信機構向境外信息用戶提供企業信用信息查詢產品和服務時,應當對信息用戶的身份和信用信息的使用進行必要的審查,確保信用信息用於跨境貿易、投融資等合理用途,不得危害國家安全。
第四十壹條征信機構與境外征信機構合作的,應當在合作協議簽署後、業務開展前將合作協議報中國人民銀行。
第六章監督管理
第四十二條征信機構應當向社會公開下列事項,接受社會監督:
(壹)所收集的信貸資料的類別;
(二)信用報告的基本格式;
(3)異議處理程序;
(四)中國人民銀行認為需要披露的其他事項。
第四十三條個人征信機構應當按照《中華人民共和國個人信息保護法》和《征信業管理條例》的規定,每年對其個人征信業務進行合規性審核,並將合規性審核報告及時報送中國人民銀行。
第四十四條中國人民銀行及其省會城市中心支行以上分支機構對征信機構的下列事項進行監督檢查:
(壹)征信內控體系建設情況,包括各項制度和相關規定的完備性、合規性和可操作性;
(二)征信業務的合規性,包括征信信息的收集、征信信息的對外提供和使用、異議和投訴的處理、用戶管理以及其他事項的合規性;
(三)征信系統的安全狀況,包括信息技術系統、安全管理、系統開發等。;
(四)與信貸業務活動有關的其他事項。
第四十五條信息提供者和信息使用者違反《征信業管理條例》的規定,侵犯信息主體合法權益的,由中國人民銀行及其省會城市中心支行以上分支機構依法查處。
第七章法律責任
第四十六條違反本辦法第四條規定,擅自從事個人信貸業務的,由中國人民銀行依照《信貸管理條例》第三十六條處罰;擅自從事企業征信業務的,由中國人民銀行省會城市中心支行以上分支機構依據《征信業管理條例》第三十七條予以處罰。
金融機構違反本辦法第五條規定,與未取得合法征信業務資格的市場機構開展商業合作獲取征信服務的,由中國人民銀行及其分支機構責令改正,對單位處以3萬元罰款,對直接負責的主管人員處以1萬元罰款。
第四十七條征信機構違反本辦法第八條、第十六條、第二十條、第二十七條、第三十二條規定的,由中國人民銀行及其省會城市中心支行以上分支機構依據《征信管理條例》第三十八條予以處罰。
第四十八條征信機構違反本辦法第十四條、第二十壹條、第三十壹條、第三十四條、第三十九條、第四十二條規定的,由中國人民銀行及其省會(首府)城市中心支行以上分支機構責令改正,沒收違法所得,對單位處以3萬元以下罰款,對直接負責的主管人員處以1萬元以下罰款。法律、行政法規另有規定的,從其規定。
第八章附則
第四十九條金融信用信息基礎數據庫內從事信貸業務的機構,向金融信用信息基礎數據庫報送或查詢信用信息的信貸業務參照本辦法執行。
第五十條以“征信服務”、“信用服務”、“信用評分”、“信用評級”、“信用修復”等名義對外提供信用信息服務的,適用本辦法。
第五十壹條本辦法實施前,未取得個人征信業務經營許可證或者未在企業征信機構備案但實際從事征信業務的機構,應當自本辦法實施之日起18個月內完成合規整改。
第五十二條本辦法由中國人民銀行負責解釋。
第五十三條本辦法自65438年6月+10月+2022年10月起施行。