【時間:2018年05月09日】 【來源:審計署重慶特派辦】字號： 【大】 【中】 【小】

　　近年來，隨著《征信業(yè)管理條例》（以下簡稱《條例》）的實施，我國征信業(yè)快速發(fā)展，同時金融行業(yè)和快速消費品行業(yè)等重點行業(yè)對征信產(chǎn)品需求量越來越大，促使征信業(yè)務(wù)量飛速增長，出現(xiàn)了一些亟待防控的風險點。

　　一、征信業(yè)發(fā)展的歷程

　　我國征信系統(tǒng)建設(shè)始于1997年銀行信貸登記咨詢系統(tǒng)，初成于2002年銀行信貸登記咨詢系統(tǒng)全國三級聯(lián)網(wǎng)運行，建成于2006年全國集中統(tǒng)一的企業(yè)和個人征信系統(tǒng)全國聯(lián)網(wǎng)運行。2013年1月頒布的《條例》將征信業(yè)的發(fā)展規(guī)范上升到行政法規(guī)層面，解決了征信業(yè)發(fā)展中無法可依的問題，確立了征信業(yè)務(wù)規(guī)則。《條例》將企業(yè)和個人信用信息基礎(chǔ)數(shù)據(jù)庫改稱國家金融信用信息基礎(chǔ)數(shù)據(jù)庫，并規(guī)定人民銀行征信中心負責運行和維護國家金融信用信息基礎(chǔ)數(shù)據(jù)庫，向征信系統(tǒng)接入機構(gòu)提供個人征信產(chǎn)品、企業(yè)征信產(chǎn)品和其他征信服務(wù)。根據(jù)新華社報道，截至2017年5月底，累計約3000家機構(gòu)接入數(shù)據(jù)庫，數(shù)據(jù)庫收錄了9.26億自然人、2371萬戶企業(yè)和其他組織的相關(guān)信息；2017年1月至5月，個人信用信息報告日均查詢343萬次，企業(yè)信用報告日均查詢22萬次，信用報告利用率逐年增高。與此同時，以信用信息為業(yè)務(wù)的征信機構(gòu)也迅速增多。截至目前，除人民銀行征信中心外，征信市場已有152家社會征信機構(gòu)。2018年2月22日，人民銀行發(fā)放了我國首張個人征信業(yè)務(wù)牌照，開啟了社會征信機構(gòu)開展個人征信業(yè)務(wù)的“牌照時代”。

　　二、征信業(yè)快速發(fā)展的原因

　　（一）從供給側(cè)來看，大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展帶動了征信業(yè)的快速發(fā)展，促使征信業(yè)務(wù)量飛速增長。

　　一方面，大數(shù)據(jù)技術(shù)手段的出現(xiàn)為征信機構(gòu)特別是社會征信機構(gòu)提供了重要技術(shù)支撐，更為社會征信機構(gòu)的發(fā)展提供了生長環(huán)境。征信業(yè)發(fā)展的基礎(chǔ)是信用信息，征信市場的供給主體是征信機構(gòu)，征信機構(gòu)采集、整理、保存并加工企業(yè)和個人的信用信息，并向信息使用者和信息主體提供征信業(yè)務(wù)。隨著信息技術(shù)的發(fā)展，尤其是智能終端設(shè)備的普及，互聯(lián)網(wǎng)企業(yè)留存了大量的信息主體出行、消費、娛樂、支付等電子數(shù)據(jù)。這些數(shù)據(jù)集合可以從多個維度刻畫信息主體的行為特征，征信機構(gòu)可以從中提取與信用評分模型強相關(guān)和弱相關(guān)的數(shù)據(jù)元。例如，征信機構(gòu)可以充分利用大數(shù)據(jù)挖掘、云計算等新興技術(shù)手段采集并加工信息主體的海量數(shù)據(jù)。在此情況下，大數(shù)據(jù)公司和社會征信機構(gòu)大量涌現(xiàn)，征信業(yè)務(wù)量飛速增長。

　　另一方面，大數(shù)據(jù)在征信行業(yè)的應(yīng)用帶來了大數(shù)據(jù)征信。大數(shù)據(jù)征信即利用云計算、模糊匹配等技術(shù)加工整理個人或企業(yè)在互聯(lián)網(wǎng)平臺留下的電子數(shù)據(jù)信息而形成的征信產(chǎn)品或數(shù)據(jù)服務(wù)。目前，國內(nèi)從事大數(shù)據(jù)征信的機構(gòu)主要有四大類：電商平臺類，例如芝麻信用管理有限公司；反欺詐類，例如中智誠征信有限公司；網(wǎng)絡(luò)借貸類，例如深圳前海征信中心股份有限公司；社交信息類，例如騰訊征信有限公司。與人民銀行征信中心的征信產(chǎn)品及其應(yīng)用場景相比，社會征信機構(gòu)利用數(shù)據(jù)挖掘、機器學習、模糊匹配等大數(shù)據(jù)建模方法創(chuàng)新了征信業(yè)務(wù)，豐富了征信產(chǎn)品，拓寬了征信產(chǎn)品的應(yīng)用場景，大數(shù)據(jù)征信產(chǎn)品則將應(yīng)用場景拓寬至出行、消費、住宿等領(lǐng)域，更具有延展性。因此，社會征信機構(gòu)創(chuàng)新的征信產(chǎn)品使得征信業(yè)務(wù)量逐年增長，征信業(yè)快速發(fā)展。

　　（二）從需求側(cè)來看，市場主體對征信產(chǎn)品的需求越來越大，傳統(tǒng)的征信產(chǎn)品已難以滿足市場需求。

　　一方面，隨著金融業(yè)務(wù)的多樣化發(fā)展，傳統(tǒng)的征信產(chǎn)品已難以滿足金融行業(yè)風險管理的市場需求。隨著金融業(yè)務(wù)的創(chuàng)新和激烈的行業(yè)競爭，信用記錄空白主體已成為金融機構(gòu)間爭奪的重要客戶，小額信貸和消費信貸等新興信貸組合擴大了對客戶風險管理的信用信息需求。盡管國家金融信用信息基礎(chǔ)數(shù)據(jù)庫信用信息覆蓋率約70%，但尚有30%左右的經(jīng)濟主體屬于信用記錄空白主體，這些信用記錄空白主體的信用評估數(shù)據(jù)對金融機構(gòu)非常重要，而網(wǎng)絡(luò)交易和社交平臺積累的大數(shù)據(jù)則可從其他維度刻畫信用記錄空白主體的信用表現(xiàn)。隨著大數(shù)據(jù)在金融業(yè)的深度應(yīng)用，金融機構(gòu)的風險管理逐漸由傳統(tǒng)風控轉(zhuǎn)變?yōu)榇髷?shù)據(jù)風控，將大數(shù)據(jù)建模方法運用到貸前信用評審、反欺詐等風控管理環(huán)節(jié)已成為趨勢。因此，單純依靠國家金融信用信息基礎(chǔ)數(shù)據(jù)庫的結(jié)構(gòu)化數(shù)據(jù)已難以滿足其大數(shù)據(jù)風控的需求，轉(zhuǎn)而引入外部數(shù)據(jù)也是必然趨勢，這也就需要大數(shù)據(jù)公司或社會征信機構(gòu)不斷豐富征信產(chǎn)品或數(shù)據(jù)服務(wù)。

　　另一方面，大數(shù)據(jù)征信豐富了社會征信機構(gòu)的服務(wù)內(nèi)容，征信產(chǎn)品的應(yīng)用場景亦從金融領(lǐng)域拓寬至生活等各領(lǐng)域。例如，共享單車、住宿等均涉及消費者向商戶交押金的情景，而消費者的個人信用評估則有助于其免交押金。目前，8家試點的個人征信機構(gòu)均根據(jù)自身擁有的數(shù)據(jù)資源建模，從多個維度對經(jīng)濟主體進行信用評價，不同的征信機構(gòu)產(chǎn)生不同的征信產(chǎn)品，不同的征信產(chǎn)品應(yīng)用于不同的經(jīng)濟生活場景，在市場需求的驅(qū)動下，社會征信機構(gòu)也正不斷挖掘自身數(shù)據(jù)資源關(guān)聯(lián)邏輯，提供多樣化的征信產(chǎn)品。例如京東白條和螞蟻花唄的服務(wù)模式均與信用卡服務(wù)模式相近；芝麻信用管理有限公司的信用分與共享單車、旅游機構(gòu)、螞蟻借唄等合作，不斷拓寬芝麻信用分應(yīng)用場景。

　　三、審計視角下征信業(yè)發(fā)展?jié)撛陲L險的控制

　　大數(shù)據(jù)在經(jīng)濟、金融、民生、社會等領(lǐng)域的應(yīng)用越來越廣泛，為征信行業(yè)的發(fā)展提供了重要的數(shù)據(jù)資源，使得社會征信機構(gòu)如雨后春筍般出現(xiàn)。在征信業(yè)務(wù)給企業(yè)帶來財富，給個人融資和消費帶來便利的同時，其發(fā)展過程中存在的風險也亟待防控。

　　（一）關(guān)注社會征信機構(gòu)監(jiān)管套利行為中的隱藏風險。

　　大數(shù)據(jù)發(fā)展促進了征信行業(yè)的快速發(fā)展，也為社會征信機構(gòu)創(chuàng)新征信業(yè)務(wù)提供了技術(shù)保障。但是，在發(fā)展過程中社會征信機構(gòu)往往存在利用監(jiān)管真空帶“創(chuàng)新”征信業(yè)務(wù)，擴大征信產(chǎn)品使用場景等監(jiān)管套利的行為，因此社會征信機構(gòu)規(guī)避監(jiān)管所隱藏的一系列潛在風險也需要關(guān)注。目前大部分備案的企業(yè)征信機構(gòu)經(jīng)營范圍廣泛，經(jīng)營內(nèi)容不僅包含《條例》中規(guī)定的企業(yè)征信業(yè)務(wù)，也包括對外提供企業(yè)和個人相關(guān)的大數(shù)據(jù)服務(wù)。按照《條例》第二章第七條規(guī)定“未經(jīng)國務(wù)院征信業(yè)監(jiān)督管理部門批準，任何單位和個人不得經(jīng)營個人征信業(yè)務(wù)”，企業(yè)征信機構(gòu)不得經(jīng)營個人征信業(yè)務(wù)，而實際上大部分企業(yè)征信機構(gòu)利用征信業(yè)務(wù)含義的模糊而對外提供與個人相關(guān)的大數(shù)據(jù)服務(wù)。如企業(yè)征信機構(gòu)對外提供的個人身份證核驗、電信三要素核驗、銀行卡四要素核驗等個人數(shù)據(jù)核驗服務(wù)以及其他非核驗服務(wù)，已涉嫌違反《條例》規(guī)定。社會征信機構(gòu)利用監(jiān)管漏洞或監(jiān)管缺位進行監(jiān)管套利，將征信業(yè)務(wù)的發(fā)展游走于法律邊緣，進一步增大了經(jīng)營風險。例如，金融行業(yè)從社會征信機構(gòu)引入的大數(shù)據(jù)征信是其風險控制的重要手段，但對于引入的外部數(shù)據(jù)特別是個人信息數(shù)據(jù)的法律風險均歸責于社會征信機構(gòu)，而征信機構(gòu)大數(shù)據(jù)的獲取和來源是否合法、交易和去向是否合法、是否存在違法犯罪等問題亟待防控。總的來看，監(jiān)管套利行為所隱藏的風險隱患主要是行業(yè)中灰色產(chǎn)業(yè)鏈的法律風險和社會征信機構(gòu)的經(jīng)營風險。行業(yè)中的灰色產(chǎn)業(yè)鏈會使得社會征信機構(gòu)逐步偏離征信主業(yè)，更加偏好和追逐易于攫取暴利的灰色產(chǎn)品；而社會征信機構(gòu)的違規(guī)經(jīng)營會擾亂征信市場秩序，影響征信行業(yè)有序發(fā)展。因此，重點防范社會征信機構(gòu)監(jiān)管套利行為中隱藏的業(yè)務(wù)風險和法律風險，追蹤灰色產(chǎn)業(yè)鏈潛在的行業(yè)犯罪行為，剜除影響征信行業(yè)發(fā)展的“毒瘤”。

　　（二）防范社會征信機構(gòu)信息主體權(quán)益，保護瑕疵引發(fā)的法律風險。

　　隨著智能技術(shù)的深度應(yīng)用，個人信息以各種格式的數(shù)據(jù)元散落在各個網(wǎng)站、APP等后臺或智能終端。數(shù)據(jù)元記錄著個人的交易信息、社交信息、教育背景、工作經(jīng)歷等，反映了個人的消費偏好和行為軌跡，這些都是廣義個人信用的一部分。正如新興的互聯(lián)網(wǎng)金融公司ZestFinance所聲稱的“一切數(shù)據(jù)皆信用”。社會征信機構(gòu)利用云計算、機器學習等建模方法處理結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，形成各類征信產(chǎn)品。綜合來看，目前個人數(shù)據(jù)源主要分為三大類：一是政府公共部門，如教育背景相關(guān)信息主要分布在中國高等教育學歷信息網(wǎng)；二是行業(yè)信息平臺，如銀行卡交易信息主要記錄在中國銀聯(lián)，航空出行數(shù)據(jù)則主要分布在中國民航信息網(wǎng)絡(luò)股份有限公司；三是電商平臺，如個人購物等消費信息主要分布在國內(nèi)三大電商巨頭。社會征信機構(gòu)或大數(shù)據(jù)公司可能從上述三類數(shù)據(jù)源收集個人信用信息。從信息主體到信息使用者，個人信息至少經(jīng)過信息收集者、信息中介、信息整理、信息加工等4個環(huán)節(jié)，因此，個人信息在每一個環(huán)節(jié)的轉(zhuǎn)移均涉及信息主體權(quán)益保護的問題。依據(jù)《最高人民法院 最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》和《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）相關(guān)規(guī)定，目前社會征信機構(gòu)或大數(shù)據(jù)公司對外提供的個人數(shù)據(jù)服務(wù)，均有游走于上述法律邊緣的可能性。例如，2018年1月，國家網(wǎng)信辦約談“支付寶年度賬單事件”當事企業(yè)，當事企業(yè)以極小的字體默認勾選“同意《芝麻服務(wù)協(xié)議》”，侵犯消費者個人信息安全。該做法不符合《個人信息安全規(guī)范》國家標準的精神，違背了其前不久簽署的個人信息保護倡議的承諾。因此，審計中應(yīng)從數(shù)據(jù)源和信息使用者兩端，關(guān)注社會征信機構(gòu)是否保障個人信息主體知情權(quán)、同意權(quán)等權(quán)益，信息主體的隱私政策是否存在瑕疵等，防范信息使用者非法利用個人信息等引發(fā)的法律風險。

　　（三）關(guān)注社會機構(gòu)收集使用個人信用信息存在的信息泄露風險。

　　2017年6月1日起正式施行的《網(wǎng)絡(luò)安全法》提出，網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當向用戶明示并取得同意；涉及用戶個人信息的，還應(yīng)當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。征信業(yè)務(wù)需求的增長，使得社會征信機構(gòu)和大數(shù)據(jù)公司對于個人信用信息的收集使用愈加頻繁，趨于面廣、量大。前述社會征信機構(gòu)有可能成為黑客等不法分子緊盯的對象，而這類機構(gòu)本身或其內(nèi)部職工是否存在買賣或泄露個人敏感信息和重要信息等違法行為值得監(jiān)管者關(guān)注。實際上，信息泄露問題屢見不鮮，不僅引發(fā)巨額訴訟還將給公民的日常生活帶來諸多困擾。例如美國最大征信巨頭之一伊奎法克斯公司（Equifax）隱瞞數(shù)據(jù)庫被“黑”，面臨用戶集體起訴的5500億加元賠償。更重要的是，公民個人信息一旦泄露或販賣，其對個人造成的影響是無法彌補的。因此，從保護公民信息和維護信用信息安全的角度，將前述法律條文與《網(wǎng)絡(luò)安全法》、《管理條例》等相關(guān)法律法規(guī)相結(jié)合，審計中應(yīng)注意上述三類數(shù)據(jù)源是否存在過度采集、留存公民個人信息，關(guān)注社會征信機構(gòu)是否過度使用個人信用信息的問題，從源頭上限定個人信用信息的收集使用，密切留意社會機構(gòu)是否存在買賣個人信息或隱瞞數(shù)據(jù)庫被攻擊等行為，緊盯個人信息黑市的數(shù)據(jù)提供方，從源頭上有效防范個人信息泄露風險，嚴厲打擊個人信息販賣等違法違規(guī)行為。(晏小燕)