《征信业务管理办法》助贷和身份认证场景的深入分析

来源:中国人民银行  时间:2021-11-05 15:46:54

      2021年9月30日人行网站公布《征信业务管理办法》(以下简称“办法”)已经2021年9月17日中国人民银行2021年第9次行务会议审议通过,予以发布,并自2022年1月1日起施行。笔者在2021年1月11日解读《解读|征信业务管理办法新规全面解析》,9月30日又对《《征信业务管理办法》正式稿与征求意见稿的核心比对》进行了分析。但与业内朋友近期闲聊起来,对于办法中若干规定在几个信贷授信场景中的具体条款认定,认为还存在一定的探讨空间,笔者主要围绕办法第三条“本办法所称征信业务,是指对企业和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。本办法所称信用信息,是指依法采集,为金融等活动提供服务,用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息。”,就金融活动中的身份认证场景、信息采集自用场景和联合贷助贷场景分别进行详细分析。

01

直连身份认证场景不纳入征信业务管理

      虽然办法中明确定义对于企业和个人的信息进行采集、整理、保存、加工,并向信息使用者提供的活动,用于判断企业和个人信用状况的基本信息、借贷信息、其他相关信息作为征信业务需纳入办法管理。但实际在金融领域数字化应用越来越广泛,越来越多的机构提供了直接身份认证服务,例如公安部提供的人脸和身份证信息比对、银联提供的五要素核验、三大服务商提供的手机号验证甚至是CFCA提供的数字证书验证。理论上按照办法这些都需要纳入征信业务管理办法由百行、扑道等持牌征信公司提供服务,因为他满足了信息采集、整理、保存并用户判断信用状况的基本信息,但实际上以公安部提供的人脸和身份验证为例,在实操中很难要求公安部必须通过持牌征信直连,再极端一些的CFCA保存的公私钥信息如果也纳入信息管理是不是也需要征信持牌。
笔者对于这部分的基本判断是直连的身份认证场景并不纳入征信业务管理,但估计监管会出具类似电子数字证书授权等专项授权,或者这部分业务可以纳入“口袋法”管理,即金融机构可以通过各种方式自证,但最终指导权还在监管部门手中,但大概率能免于处罚。需要注意的是笔者这里分析的是直连,如果第三方机构,特别是盈利目的的第三方机构介入类似公安部人脸识别并进行了商业包装后谋取商业利益,这就妥妥的被纳入监管了,商业银行采用第三方进行身份认证的场景并不少,在非直连的前提下,如果没有合理的解释理由,监管部门是随时可以按照办法对金融机构进行处罚的。

02

自用信息采集场景不纳入征信业务管理

      大数据的应用已经深入生活的方方面面,在金融业务中通过对客户过往金融和非金融信息进行分析加工能有效的提升客户办理业务的时效和客户体验,通过也能有效的提升商业银行的风险防范能力。例如商业银行可以通过对客户过往存贷款信息和支付结算数据进行分析后给予更高的授信额度和更低的利率,也可以在客户授权后分析客户在本机构的交易行为数据进行产品优化,这些自用的信息采集场景笔者认为是不被纳入征信业务管理的。但可惜的是金融机构的数据和场景还是局限性较大,真正开展业务还是需要接入持牌征信机构的多种数据信息进行综合评判的。

这个场景中有一些较为特殊的案例,例如阿里和腾讯系的网商银行和微众银行,通过阿里体系的电商数据收集和腾讯体系的社交数据收集,这两家金融机构除了海量的流量外还可以使用到集团中的各种维度数据进行风险判断,笔者认为即使是一个集团的公司,只要客户在数据产生环节没有授权给最终使用数据的金融机构,这类行为仍然是违规的,因为毕竟是不同的法人主体。但如果同一集团的不同公司授权金融机构在电商或者社交信息收集环节就能征询客户同意后收集数据信息,这种特殊案例还需监管机构具体认定。

03

合贷助贷场景

      其实这部分就不用多分析了,监管出台办法的初衷就是打击数据寡头形成数据垄断后的商业变现。任何打着数据、风险名义的联合贷和助贷场景都需要老老实实的按照办法要求将数据交予持牌征信收集分析后发挥商业价值,监管也看到了各家巨头注资成立的百行征信并没有能实际收集到互联网核心数据信息,巨头还是各玩各的。
这里笔者较为关注的是持牌征信机构的数据处理、加工和服务能力,监管在过往出台过很多出发点很好的管理规定,但最后因为在实操和技术落地层面很难及时有效落地。例如2015年为了规范支付宝和财付通这两家巨头出台的《非银行支付机构网络支付业务管理办法》,要求各商业银行配合行监督管理,但在实操中遇到了诸多实际问题,直至2017年网联成立后,还是基于两家巨头的技术基础才逐步梳理顺畅,更不用提央行的个人结算账户二类户的管理规定,虽然监管明确需要验证一类户才可以开立二类户,但实际在落地中大行从自身利益角度出发各自为政,搞小团队互相认证,基本没有遵循小额账户管理系统进行全行业一类户统一认证识别的要求。

以上粗浅的分析了办法相关的一些场景,虽然最后也对政策的实际落地表达了一些担忧和吐槽,但无需置疑的是监管对于征信的严格管理态度和后续持续严监管的趋势,还是勿谓言之不预,互联网巨头和技术服务方一定要认清,流量的归流量、技术的归技术、牌照的归牌照,不要在征信相关领域谋求超额收益了。