征信法律法规
第四号
《征信业务管理办法》于2021年9月7日经中国人民银行第9次常务会议审议通过,现予公布,自2022年10月6日起施行。
易纲总裁
2021 9月27日
信贷业务管理法
第一章总则
第一条为了规范征信业务及相关活动,保护信息主体合法权益,促进征信业健康发展,推进社会信用体系建设,根据《中华人民共和国中国人民银行法》、《中华人民共和国个人信息保护法》、《征信业管理条例》等法律法规,制定本办法。
第二条本办法适用于在中华人民共和国境内从事征信业务及相关活动的法人、非法人组织(以下简称企业)和个人。
第三条本办法所称征信业务,是指对企业和个人信用信息进行收集、整理、存储和加工,并提供给信息使用者的活动。
本办法所称信用信息,是指依法采集的为金融活动提供服务,用于识别和判断企业和个人信用状况的基础信息、贷款信息和其他相关信息,以及基于上述信息形成的分析评价信息。
第四条从事个人征信业务,应当依法取得中国人民银行个人征信机构的许可;从事企业信用信息业务的,应当依法办理企业信用信息机构备案;从事信用评级业务的,应当依法办理信用评级机构备案。
第五条金融机构不得与未取得征信业务合法资格的市场机构开展商业合作获取征信服务。
本办法所称金融机构,是指由国务院金融管理部门监督管理的从事金融业务的机构。
本办法关于金融机构的规定,适用于由地方金融监管部门负责监督管理的地方金融组织。
第六条从事征信业务及相关活动,应当保护信息主体的合法权益,保障信息安全,防止信用信息泄露、丢失、损毁和滥用,不得危害国家秘密,不得侵犯个人隐私和商业秘密。
从事信贷业务及相关活动,应当遵循独立、客观、公正的原则,不得违反法律法规的规定,不得违背社会公序良俗。
第二章信用信息采集
第七条个人信用信息采集应当采取合法、正当的方式,遵循最小化和必要性原则,不得过度采集。
第八条征信机构不得以下列方式采集信用信息:
(一)欺骗、胁迫或者利诱;
(2)对信息主体收费;
(三)从非法渠道收取的;
(四)以其他方式侵害信息主体合法权益的。
第九条信息提供者向征信机构提供信用信息的,征信机构应当制定相关制度,对信息提供者的信息来源、信息质量、信息安全、信息主体授权等进行必要的审查。
第十条征信机构和信息提供者在业务和合作中应当遵守《中华人民共和国个人信息保护法》等法律法规,通过协议等形式明确信息收集的原则以及在获得客户同意、信息收集、处理、信息更正、异议处理和信息安全等方面各自的权利、义务和责任。
第十一条征信机构开展个人征信业务,应当制定个人信用信息采集计划,并向中国人民银行报告采集的数据项目、信息来源、采集方式、信息主体合法权益保护制度等事项及其变化情况。
第十二条征信机构采集个人信用信息,应当经信息主体本人同意,并向信息主体明确告知采集信用信息的目的。法律法规规定公开的信息除外。
第十三条征信机构通过信息提供者取得个人同意的,信息提供者应当对信息主体履行告知义务。
第十四条个人征信机构应当向中国人民银行报告与其合作收集、整理、加工、分析个人信用信息的信息提供者。
个人征信机构应当规范与信息提供者的合作协议内容。信息提供者应当接受个人信用信息处理机构的风险评估和中国人民银行的核查。
第十五条征集企业信用信息,应当基于合法目的,不得侵犯商业秘密。
第三章信用信息的整理、保存和处理
第十六条征信机构整理、保存和处理信用信息应当遵循客观原则,不得篡改原始信息。
第十七条征信机构应当采取措施,提高信用信息系统中信息的准确性,保证信息质量。
第十八条征信机构在整理、保存和处理信用信息过程中,发现信息错误,属于信息提供者提交的错误的,应当及时通知信息提供者更正;如果是内部处理错误,要及时纠正,优化征信内部处理流程。
第十九条征信机构应当对来自不同信息提供者的信息进行比对,发现信息不一致的,应当及时核对并处理。
第二十条征信机构采集的个人不良信息保存期限自不良行为或者事件终止之日起五年。
个人不良信息保存期限届满,征信机构应当在对外服务和应用中删除个人不良信息;作为样本数据,应该是匿名的。
第四章信用信息的提供和使用
第二十一条征信机构对外提供征信产品和服务应当遵循公平原则,不得设置不合理的商业条件限制不同信息用户的使用,不得利用其优势地位提供歧视性或者排他性的产品和服务。
第二十二条征信机构应当采取适当措施,对信息使用者的身份、业务资格和目的进行必要的审查。
征信机构应当对信息用户接入征信系统的网络和系统安全、合规等管理措施进行评估,并对查询行为进行监控。发现安全隐患或异常行为,及时检查;发现违法行为,停止提供服务。
第二十三条信息使用者应当采取必要措施,确保在查询个人信用信息时征得信息主体的同意,并按照约定的用途使用个人信用信息。
第二十四条信息使用者应当合法、正当地使用征信机构提供的信用信息,不得滥用信用信息。
第二十五条个人信息主体有权每年两次免费获取自己的信用报告,征信机构可以通过互联网查询、营业场所查询等方式为个人信息主体提供信用报告查询服务。
第二十六条信息主体认为信息有错误或者遗漏的,有权向征信机构或者信息提供者提出异议;认为自己的合法权益受到侵害的,可以向中国人民银行当地分支机构投诉。异议和投诉按照《征信业管理条例》及相关规定办理。
第二十七条征信机构不得以删除不良信息或者不征集不良信息为由向信息主体收取费用。
第二十八条征信机构提供信用报告等信用信息查询产品和服务的,应当客观展示被查询信用信息的内容,并对被查询信用信息的内容和专业术语进行说明。
信息主体有权要求征信机构在信用报告中添加异议标记和声明。
第二十九条信用评级机构提供画像、评分、评级等信用评价产品和服务。,应当建立评价标准,不得以与信息主体信用无关的因素作为评价标准。
在正式向外界提供信用评估产品和服务之前,征信机构应履行必要的内部测试和评估验证程序,以便解释评估规则和追溯信息来源。
为经济实体或债务融资工具提供信用评级产品和服务的信用机构,应当按照《信用评级行业管理暂行办法》(中国人民银行发展改革委财政部证券监督管理委员会令第5号[2019])等相关规定开展业务。
第三十条征信机构提供信用反欺诈产品和服务的,应当建立认定欺诈性信用信息的标准。
第三十一条征信机构在提供信用信息查询、信用评价和信用反欺诈产品和服务时,应当向中国人民银行或者其省会城市中心支行以上分支机构报告下列事项:
(一)信用报告的模板和内容;
(二)信用评估产品和服务的评估方法、模型和主要维度;
(三)信用反欺诈产品和服务的数据来源,识别欺诈性信用信息的标准。
第三十二条信贷机构不得从事下列活动:
(一)对信用评价结果的承诺;
(二)宣传含有暗示信用评价结果内容的产品和服务;
(三)未经政府部门或者行业协会同意,以其名义进行营销的;
(四)以胁迫、欺骗、利诱等手段向信息主体或者信息使用者提供信用信息产品和服务;
(五)对信贷产品和服务进行虚假宣传;
(六)提供其他影响信贷业务客观公正的信贷产品和服务。
第五章信用信息安全
第三十三条征信机构应当落实网络安全等级保护制度,制定涉及业务活动和设备设施的安全管理制度,采取有效的保护措施,确保征信系统的安全。
第三十四条存储或处理1万以上企业信用信息的个人征信机构和企业征信机构,应当符合下列要求:
(一)核心业务信息系统的网络安全保护等级具有三级以上安全保护能力;
(二)设立信息安全负责人和个人信息保护负责人,由公司章程规定的高级管理人员担任;
(三)设立专职部门,负责信息安全和个人信息保护工作,定期检查信贷业务、系统安全和个人信息保护制度措施的落实情况。
第三十五条征信机构应当保障征信系统的运行设施设备、安全控制设施设备和互联网应用的安全,做好征信系统的日常运行维护管理,确保系统的物理安全、通信网络安全、区域边界安全、计算环境安全和管理中心安全,防止征信系统被非法入侵和破坏。
第三十六条征信机构应当在人员招聘、离岗、考核、安全教育、培训和外部人员准入管理等方面做好人员安全管理工作。
第三十七条征信机构应当严格限定公司内部查询和获取信用信息人员的权限和范围。
征信机构应当保存工作人员查询、获取信用信息的操作记录,明确记录工作人员查询、获取信用信息的时间、方式、内容和目的。
第三十八条征信机构应当建立应急处理制度,在发生或者可能发生信用信息泄露时,立即采取必要措施减轻危害,并及时向中国人民银行及其省会城市中心支行以上分支机构报告。
第三十九条征信机构应当在中华人民共和国境内从事征信业务及相关活动,采集的企业信用信息和个人信用信息应当保存在中华人民共和国境内。
第四十条征信机构应当按照法律法规的规定向境外提供个人信用信息。
征信机构向境外信息用户提供企业信用信息查询产品和服务时,应当对信息用户的身份和信用信息的使用进行必要的审查,确保信用信息用于跨境贸易、投融资等合理用途,不得危害国家安全。
第四十一条征信机构与境外征信机构合作的,应当在合作协议签署后、业务开展前将合作协议报中国人民银行。
第六章监督管理
第四十二条征信机构应当向社会公开下列事项,接受社会监督:
(一)所收集的信贷资料的类别;
(二)信用报告的基本格式;
(3)异议处理程序;
(四)中国人民银行认为需要披露的其他事项。
第四十三条个人征信机构应当按照《中华人民共和国个人信息保护法》和《征信业管理条例》的规定,每年对其个人征信业务进行合规性审核,并将合规性审核报告及时报送中国人民银行。
第四十四条中国人民银行及其省会城市中心支行以上分支机构对征信机构的下列事项进行监督检查:
(一)征信内控体系建设情况,包括各项制度和相关规定的完备性、合规性和可操作性;
(二)征信业务的合规性,包括征信信息的收集、征信信息的对外提供和使用、异议和投诉的处理、用户管理以及其他事项的合规性;
(三)征信系统的安全状况,包括信息技术系统、安全管理、系统开发等。;
(四)与信贷业务活动有关的其他事项。
第四十五条信息提供者和信息使用者违反《征信业管理条例》的规定,侵犯信息主体合法权益的,由中国人民银行及其省会城市中心支行以上分支机构依法查处。
第七章法律责任
第四十六条违反本办法第四条规定,擅自从事个人信贷业务的,由中国人民银行依照《信贷管理条例》第三十六条处罚;擅自从事企业征信业务的,由中国人民银行省会城市中心支行以上分支机构依据《征信业管理条例》第三十七条予以处罚。
金融机构违反本办法第五条规定,与未取得合法征信业务资格的市场机构开展商业合作获取征信服务的,由中国人民银行及其分支机构责令改正,对单位处以3万元罚款,对直接负责的主管人员处以1万元罚款。
第四十七条征信机构违反本办法第八条、第十六条、第二十条、第二十七条、第三十二条规定的,由中国人民银行及其省会城市中心支行以上分支机构依据《征信管理条例》第三十八条予以处罚。
第四十八条征信机构违反本办法第十四条、第二十一条、第三十一条、第三十四条、第三十九条、第四十二条规定的,由中国人民银行及其省会(首府)城市中心支行以上分支机构责令改正,没收违法所得,对单位处以3万元以下罚款,对直接负责的主管人员处以1万元以下罚款。法律、行政法规另有规定的,从其规定。
第八章附则
第四十九条金融信用信息基础数据库内从事信贷业务的机构,向金融信用信息基础数据库报送或查询信用信息的信贷业务参照本办法执行。
第五十条以“征信服务”、“信用服务”、“信用评分”、“信用评级”、“信用修复”等名义对外提供信用信息服务的,适用本办法。
第五十一条本办法实施前,未取得个人征信业务经营许可证或者未在企业征信机构备案但实际从事征信业务的机构,应当自本办法实施之日起18个月内完成合规整改。
第五十二条本办法由中国人民银行负责解释。
第五十三条本办法自65438年6月+10月+2022年10月起施行。