征信合規(guī)管理的實踐與探索

唐萌佳

摘要： 本文根據(jù)征信執(zhí)法檢查和日常監(jiān)管實踐，發(fā)現(xiàn)當(dāng)前接入機構(gòu)存在線上業(yè)務(wù)量增多、系統(tǒng)建設(shè)不完善、技防水平差異大、內(nèi)部管理不到位等問題。基層人民銀行面臨現(xiàn)場檢查取證難、執(zhí)法力量薄弱等難點，其中既有老難題，又有新挑戰(zhàn)。針對性地提出引入電子認證加強線上業(yè)務(wù)合規(guī)管理、健全技防制防人防體系、多層次差異化征信監(jiān)管、提升執(zhí)法檢查實效等對策建議。

關(guān)鍵詞： 征信信息 執(zhí)法檢查 合規(guī)監(jiān)管

2013年《征信業(yè)管理條例》頒布實施以來，人民銀行不斷完善安全監(jiān)管職能，接入機構(gòu)合規(guī)意識逐步提升，信息安全保護逐步向好發(fā)展。與此同時，各金融機構(gòu)紛紛布局線上信貸業(yè)務(wù)，電子化辦公程度提高;二代信用報告格式調(diào)整，內(nèi)容更加完整全面;政策法規(guī)進一步深化細化，執(zhí)法監(jiān)管規(guī)范從嚴(yán)，新業(yè)態(tài)使征信合規(guī)管理面臨考驗。

一、征信合規(guī)管理實踐

據(jù)統(tǒng)計，2015-2019年期間，人民銀行株洲市中支執(zhí)法檢查工作組通過現(xiàn)場約談、調(diào)閱資料、抽查檔案、查看系統(tǒng)、數(shù)據(jù)比對等方式，對轄內(nèi)31家征信系統(tǒng)接入機構(gòu)開展了征信執(zhí)法檢查，累計篩查17萬余條征信查詢數(shù)據(jù)，查處內(nèi)控制度欠完善、數(shù)據(jù)報送不及時、授權(quán)要素缺失、異議處理超期、信息安全漏洞等問題800多例。其中，既包含屢查屢犯的老問題，也有隨著信貸業(yè)務(wù)發(fā)展暴露出的新情況。通過合理適用法律法規(guī)確定問題性質(zhì)，針對性地采取約見談話、限期整改、行政處罰等處理措施督促問題機構(gòu)加強內(nèi)部管理，有效提升了人民銀行征信履職的有效性和接入機構(gòu)征信業(yè)務(wù)的規(guī)范性。

二、存在難點及問題

（一）接入機構(gòu)存在的問題

1.線上業(yè)務(wù)量增多。線上業(yè)務(wù)為客戶提供了便捷、高效的服務(wù)體驗，又降低了金融機構(gòu)的資金融通成本，使其成為了消費信貸重要的增長極。與傳統(tǒng)業(yè)務(wù)“面簽”相比，互聯(lián)網(wǎng)業(yè)務(wù)借助銀行卡四要素、身份證聯(lián)網(wǎng)核查、電信運營商實名認證、人臉識別、網(wǎng)銀數(shù)字證書認證、短信驗證等6種方式中的2-3種核驗客戶身份，并獲得數(shù)據(jù)報送和征信查詢的電子授權(quán)。但近年來，互聯(lián)網(wǎng)業(yè)務(wù)的征信異議迅猛增長，其中否認貸款占比居高，電子簽名的有效性和證據(jù)保全的規(guī)范性有待提升[1]。另外，部分金融機構(gòu)根據(jù)客戶的首張銀行卡歸屬地或其他原則，將客戶辦理線上業(yè)務(wù)時觸發(fā)的征信查詢歸口于各地市分支行，體現(xiàn)在系統(tǒng)操作記錄中，但地市分支行卻不知曉業(yè)務(wù)發(fā)生辦理情況，不掌握客戶紙質(zhì)或電子查詢授權(quán)資料，執(zhí)法檢查面臨被動。

2.系統(tǒng)建設(shè)不完善。在信息技術(shù)的高速發(fā)展和征信信息安全管理要求提升的背景下，各接入機構(gòu)相繼上線征信查詢前置系統(tǒng)，不再直接訪問征信中心網(wǎng)頁端查詢信用報告，征信查詢呈現(xiàn)出“間接訪問+線上授權(quán)”的趨勢。但是從近幾年檢查情況來看，部分接入機構(gòu)前置系統(tǒng)上線時間較短，新系統(tǒng)功能不夠成熟，在權(quán)限控制方面存在技術(shù)漏洞，如：查詢拒貸客戶信用報告不受限制，信用報告流轉(zhuǎn)范圍過大等，可能引發(fā)的信息泄露風(fēng)險不可小覷。但在實踐中，前置系統(tǒng)委外開發(fā)比例較高，接入機構(gòu)自身系統(tǒng)修補能力有限，在沒有大規(guī)模的信息泄露事件暴發(fā)的前提下，接入機構(gòu)修補系統(tǒng)漏洞的耗時較長、內(nèi)生動力不足。

3.技防水平差異大。中小接入機構(gòu)業(yè)務(wù)范圍小、資金規(guī)模少、科技力量弱，在技術(shù)保障措施方面明顯滯后于國有銀行等大型接入機構(gòu)。例如，前置系統(tǒng)功能完善的大型接入機構(gòu)，通過動態(tài)密碼、IP地址關(guān)聯(lián)、密碼和登錄用戶相分離等一種或者幾種組合措施，有效杜絕盜用用戶登錄;異常監(jiān)控指標(biāo)完善，閾值設(shè)置合理，出現(xiàn)問題能及時阻斷;后臺自動記錄用戶名稱、操作內(nèi)容及IP/MAC地址，各項操作有記錄、可定位、可追溯。與此同時，部分村鎮(zhèn)銀行、小額貸款公司、公積金中心仍通過網(wǎng)頁查詢直接訪問征信系統(tǒng)，登錄控制方式單一，手工記錄查詢臺賬，異常監(jiān)控依賴征信中心反饋報文?？梢?，暴發(fā)信息安全風(fēng)險事件的機構(gòu)化趨勢明顯。

4.內(nèi)部管理不到位。根據(jù)監(jiān)管要求，接入機構(gòu)應(yīng)按季度開展內(nèi)部征信合規(guī)和信息安全自查自糾，并將自查自糾情況向人民銀行書面報告。對比執(zhí)法檢查發(fā)現(xiàn)的問題，接入機構(gòu)自查自糾不能有效反映其征信合規(guī)管理全貌，存在自查不深入、不全面，報告內(nèi)容缺少可靠數(shù)據(jù)支撐等情況。其結(jié)果，一方面影響人民銀行非現(xiàn)場監(jiān)管工作質(zhì)效，另一方面，接入機構(gòu)對于實際工作中存在的問題不能做到早發(fā)現(xiàn)、早處置，即便自查發(fā)現(xiàn)問題，由于整改力度不夠，問題重復(fù)出現(xiàn)的概率較高。

（二）基層人行面臨的難點

1.執(zhí)法檢查取證難。一是筆跡真?zhèn)坞y鑒別。檢查人員通過翻閱紙質(zhì)資料難以判斷授權(quán)書是否由信息主體本人簽署，即便認為真實性存疑，也不能依據(jù)個人主觀判斷對問題定性。有效的取證方式包括詢問筆錄和筆跡鑒定，若相關(guān)責(zé)任人拒不承認偽造簽名，取證將陷入被動，筆跡鑒定則需要提供真實主體的簽名進行人身同一認定，執(zhí)法成本較高，且對于拒貸客戶而言，找尋難度大。二是公共用戶難鎖定。各接入機構(gòu)前置系統(tǒng)對征信操作的記錄水平參差不齊，監(jiān)控視頻的保存時間和覆蓋范圍有限，令公共用戶的鎖定工作陷入尷尬。

2.執(zhí)法力量薄弱。結(jié)合“每三年征信系統(tǒng)接入機構(gòu)檢查全覆蓋”的工作要求，以及農(nóng)村商業(yè)銀行、村鎮(zhèn)銀行等中小接入機構(gòu)分布于縣域的實際情況，執(zhí)法檢查需要人行地市中支征信管理部門全員參與，也必須依靠縣支行執(zhí)法力量。執(zhí)法力量薄弱的主要表現(xiàn)有：一是部門人員時有流動，新鮮力量加入后需要一段時間適應(yīng)和勝任崗位，若執(zhí)法骨干力量調(diào)出，調(diào)入人員經(jīng)驗不足，或出現(xiàn)執(zhí)法力量空擋;二是人行縣支行征信管理部門通常設(shè)置2至3人，對口上級行4-5個業(yè)務(wù)科室，人員少任務(wù)重，年齡結(jié)構(gòu)偏大，執(zhí)法經(jīng)驗不足、尺度不一致，不能有效利用輔助工具篩選可疑數(shù)據(jù)，現(xiàn)場檢查以手工翻閱資料為主，難以實現(xiàn)檢查面不低于30%、征信查詢記錄全面篩查的工作要求，造成反應(yīng)問題片面，難以掌握真實情況，與征信業(yè)務(wù)發(fā)展速度不相匹配。

三、相關(guān)建議

（一）加強線上業(yè)務(wù)合規(guī)管理

《電子簽名法》《最高人民法院關(guān)于互聯(lián)網(wǎng)法院審理案件若干問題的規(guī)定》指出，可靠的電子簽名應(yīng)當(dāng)保證當(dāng)事人專有專控、內(nèi)容篡改可察覺。在上述框架原則的基礎(chǔ)上，建議出臺具體的技術(shù)標(biāo)準(zhǔn)，指導(dǎo)實際業(yè)務(wù)操作。如：引入具備許可資質(zhì)的第三方電子認證服務(wù)機構(gòu)，為客戶身份認證、電子證據(jù)保全提供解決方案，保證電子簽名人對電子簽名制作數(shù)據(jù)專有?？?，保證電子授權(quán)協(xié)議的內(nèi)容篡改可發(fā)現(xiàn)，破解假冒名貸款和異議糾紛舉證難問題。另外，將線上業(yè)務(wù)查詢記錄歸口于地市分支行的，應(yīng)同時向地市分支行開放身份認證和電子授權(quán)資料的調(diào)閱權(quán)限，方便當(dāng)?shù)厝嗣胥y行開展合規(guī)監(jiān)管。

（二）強化系統(tǒng)功能和安全措施

一是強化征信相關(guān)信息系統(tǒng)建設(shè)，完整記錄和監(jiān)控所有征信活動，包括用戶、地址、程序和操作內(nèi)容等。二是進一步完善征信查詢前置系統(tǒng)功能，對全部征信用戶實行統(tǒng)一規(guī)范管理，監(jiān)測、預(yù)警和阻斷各類違規(guī)查詢操作，防范征信信息泄露風(fēng)險。三是督促接入機構(gòu)積極向上級行反饋系統(tǒng)安全漏洞，對安全漏洞可能引發(fā)的信息泄露風(fēng)險高度重視，在系統(tǒng)漏洞修補完善前，提高制防和人防強度，加強對各級征信系統(tǒng)用戶運行情況的實時監(jiān)控，推進實現(xiàn)信用報告脫敏展示、結(jié)構(gòu)化展示和自動解讀。

（三）多層次差異化征信監(jiān)管

加強執(zhí)法檢查、安全巡查、機構(gòu)自查以及征信合規(guī)與信息安全考核評級之間的相互結(jié)合和促進，準(zhǔn)確定位不同監(jiān)管方式效能。接入機構(gòu)通過自查自糾主動暴露問題，自主發(fā)現(xiàn)、及時整改，為人民銀行非現(xiàn)場監(jiān)管提供基礎(chǔ)信息;安全巡查形式靈活，建議以聚焦業(yè)務(wù)辦理過程中的征信操作實踐為重點，側(cè)重事前、事中防范，實現(xiàn)快速、全覆蓋的目標(biāo)，作為聯(lián)系現(xiàn)場檢查和非現(xiàn)場監(jiān)管的平臺;考核評級按年度刻畫接入機構(gòu)風(fēng)險畫像，是征信合規(guī)工作質(zhì)量的全面反映，人民銀行根據(jù)其動態(tài)變化趨勢、評級結(jié)果和風(fēng)險點大小，可靈活調(diào)整監(jiān)管策略，如縮短自查自糾周期，提高安全巡查頻率，降低考核評級等級等;運用行政執(zhí)法手段，加大違法違規(guī)成本，對整改不到位的安全巡查問題，或自查覆蓋但未暴露問題，從嚴(yán)實施行政處罰，全方位正風(fēng)肅紀(jì)，促使其依法依規(guī)履職。

（四）健全和完善內(nèi)控管理

人民銀行可根據(jù)執(zhí)法取證難點及監(jiān)管發(fā)現(xiàn)問題，有針對性地督促接入機構(gòu)調(diào)整內(nèi)控制度。例如：要求留存客戶授權(quán)的場景照片，形式包括但不限于客戶與客戶經(jīng)理合影等，為授權(quán)資料真實性增信，解決筆跡真?zhèn)坞y鑒別問題;對接入機構(gòu)自查自糾的檢查覆蓋面和報告格式提出具體要求，自查調(diào)閱清單應(yīng)作為報告附件一同報備等，杜絕自查流于形式。另外，接入機構(gòu)要明確部門職責(zé)，暢通內(nèi)部溝通渠道，人員變動做好工作交接，保障業(yè)務(wù)平穩(wěn)過渡。加大對征信活動薄弱環(huán)節(jié)的審計和檢查力度，對于制度執(zhí)行不力、不按程序操作導(dǎo)致的違法違規(guī)行為，應(yīng)當(dāng)明確問責(zé)程序和懲戒措施，維護制度的嚴(yán)肅性和權(quán)威性。

（五）提升執(zhí)法檢查實效

一是采取多種形式加強隊伍建設(shè)，利用現(xiàn)場培訓(xùn)、典型案例分析，提升執(zhí)法隊伍的理論水平;通過跟班學(xué)習(xí)、交叉檢查，開闊監(jiān)管人員視野，積累實戰(zhàn)經(jīng)驗，鍛煉和培養(yǎng)執(zhí)法儲備力量;編制現(xiàn)場檢查工作指引，明晰征信檢查制度與適用法規(guī)，實現(xiàn)查處問題依據(jù)充分、程序合規(guī)、事實清楚、證據(jù)確鑿、處理恰當(dāng)。二是改進檢查方式方法，開發(fā)輔助分析工具，為現(xiàn)場檢查提供服務(wù)，擴大檢查覆蓋面，用技術(shù)手段查找接入機構(gòu)存在的深層次問題，逐步實現(xiàn)由手工翻閱向計算機核查模式的轉(zhuǎn)變，亦可優(yōu)化省級人行征信查詢前置系統(tǒng)功能，抓取各接入機構(gòu)操作記錄數(shù)據(jù)，建立數(shù)據(jù)分析模型，開展非現(xiàn)場分析，提高檢查質(zhì)量和效率。

參考文獻：

[1]闞勝國.個人線上信貸業(yè)務(wù)征信合規(guī)的探索——以北京地區(qū)為例[J].征信.2020（1）：40-42.

作者單位：中國人民銀行株洲市中心支行