李铭 北京大数据研究院专家、原央行征信中心顾问, 发表于数字经济与社会
前一段拿出来征求意见的《征信业务管理方法》(本文下称《方法》),将一大批数据中介机构纳入征信行业加以监管,引起不少争议。在这一问题上论辩双方都曾试图在美国的相关行业实践和监管法规中寻找依据。征信学美国学了二十年,但《方法》的争议让我忽然想到这样一个问题:也许可以换一个方式去思考,问问自己美国是否真的有征信行业。答案也许是:不,美国没有征信行业。(于是征信监管这档子事,还是要靠我们自己想办法。)
为什么说美国没有征信行业
判断美国有没有征信行业,要重新看看究竟什么是征信。说到征信一词的含义,被人引用最多的一种解释是说源自《左传》,取“证信”之意。“证信”这个词倒与《方法》引入的新定义十分契合,即为信贷审批过程中的信用风险评估环节提供任何数据或服务均可纳入“证信”的范畴。我国征信市场这二十年来的发展,本来就有“监管引领”的鲜明印记,于是用中国特有的方式定义这个行业没有任何问题。不过回想起来也真有几分侥幸。上世纪三十年代上海成立第一家国人经营的征信机构之时,差一点就叫上了“兴信”(当时上海已经有三家日人的兴信社)。还好后来借鉴了欧美同类机构的命名方式,叫了中国征信所。否则《左传》看来就用不成了,不得不到古文献中去给“兴信”另外找个渊源。
中国征信所对标的欧美、日本商业机构称“Mercantile Agency”,可以粗略地翻译为“(商业)资信调查机构”。针对信用主体个人的资信调查机构在境外现在也找不到了,有些提供类似服务的机构成了私人侦探社。美国早期的个人征信机构主要收集信用主体的声誉信息,即第三方对信用主体的了解和评价。19世纪晚期征信机构逐渐过渡到收集商家总账上的交易数据即事实信息,个人征信机构的名称也开始改变为“信用报告机构”或“信用局”,只是花费了大约半个世纪的时间,提供账户信息的机构才由零售商家慢慢转变为银行。
尽管在过去十年“大数据”、金融科技攻城掠地、大肆扩张的年代,信用风险评估有了不少新模式,美国的个人征信机构也没有改变自己的信息采集实践,仍然为金融信贷行业报告账户信息。于是美国的个人征信机构称作“信用报告机构”确实是名副其实。
而中国市场这些年,即便在“市场化”时期,有那么多“准持牌”或不持牌的机构开展“个人征信业务”,各种“分”儿出了不少,但还真没怎么见过谁卖信用报告。如果把我们的征信机构对位到美国人的“信用报告机构”去,还真有点勉强。行业分工是市场活动的结果。中国市场真的没有必要像美国人一样划分行业。所以中国的征信行业,或者显得更有文学修养一些,叫证信行业,并不需要简单照搬国外的“信用报告行业”。
判断美国有没有“征信行业”,就是将我们的行业定义翻译成英文,然后到美国去寻找对应物,而不是反过来。根据《方法》,我国市场目前的征信行业定义,抽象出来是“为信贷机构的信用风险评估业务提供信息或服务的机构所组成的行业”,也许可以译为Credit Assessment Information Service Industry什么的。
满足这一定义的机构在美国市场当然是有的,但这样一个行业在美国是找不到的。所以说美国没有征信行业,我们也没必要太在意美国人怎样监管这个在那里不存在的行业。
征信行业的组成
比较美国人的信用报告行业(甚至消费者报告行业),我们征信行业的范围有一点点大,组成也有一点点复杂。这样大的一批异质性的机构用同一套办法去监管显然有一定的难度,难免会遇到削足适履的问题。
我们看看能不能把这个行业里不同类型的企业、基于监管上的考虑来做个进一步地细分。首先是排除原则,即哪些机构满足上面的征信机构定义,但不该被定性为征信机构,因而无需受到征信监管。沿用外人的理念,基本的排除规则是:信贷机构的内部团队、部门或下设机构为本机构提供信用风险评估业务相关的数据或服务者不考虑为征信机构;根据商业合同约定、仅为单一企业提供信用风险评估业务相关的数据或服务者也不考虑为征信机构。
接下来引入三个检验指标,分别是:是否采集/整合数据;是否销售数据;数据提供者是否同时是销售产品或服务的对象。对这三个指标回答是与否将征信机构分为下图中标识出的几个子类:
(图中的橙色结点是条件判断结点,下方红色分枝是回答“是”的分枝。)
上图中区分了五类机构。A类机构采集但不销售数据,属于满足排除条件的情况,不必接受征信监管。
B类机构对应于国外的信用报告机构,其基本标志是机构必须持有记录信用主体信用交易记录的账户信息。整合来自金融信贷机构的信贷交易信息、编撰并销售信用报告是这类机构的核心业务。信用报告行业中常常将一些“类信用”的交易信息(即所谓“替代数据”)视同为信贷交易信息,纳入统一的管理和报告过程。然而仅持有“替代数据”而不持有信贷交易数据的机构不被认为是B类机构。
C类机构以持有消费者(数据主体)账户信息为基本特征。账户中容纳的交易信息可以是“类信用”的交易信息或者非信用交易信息,但一定不是借贷信息。此类机构以整合及销售消费者数据为核心业务,其服务对象常常不局限于信贷领域,也包括其他经济活动领域。
D类机构也是数据销售商,这类机构向B类(甚至C类)机构(此上下文下可称数据批发机构)购买数据、将其与自己持有的数据整合或补充后作为增值的B类或C类产品销售。这类机构可以考虑为数据批发机构的分销商、代理商或增值销售商,它们对于批发机构存在强烈的依赖性,而购自批发机构的数据一般不允许在本机构留存。征信机构代理的模式目前在我国市场上尚不为监管所认可,但确实存在合理的市场需求。
E类机构销售基于数据提供商(包含征信数据批发商和非征信数据提供商)数据开发的产品或服务,而不销售所购买的数据本身。诸如信用风险评估建模或服务、信贷反欺诈建模或服务、信贷催收建模或服务、消费者信用咨询、信贷产品引流等业务均可以列入这一范畴。
一家征信机构往往兼营多类征信业务。兼营多类征信业务的机构的分类可按照营收占比最高的业务类别决定,或者遵从机构自身的意愿或合理要求,但不会因机构类别归属影响对其所经营业务的监管。
监管各类征信机构或业务的主要关注点
应该回答的第一个问题是征信监管的目的是什么。国际上在征信相关领域监管方面曾提及多种法律方面的依据,例如个人隐私保护、消费者金融权益保护、公平信贷权利、约束反竞争或欺骗性市场行为、维护金融行业的安全和稳健等等。
我国的征信行业监管是通过国务院《征信业管理条例》授权的。该法规中对监管的目的阐述为:“规范征信活动,保护当事人合法权益,引导、促进征信业健康发展,推进社会信用体系建设”。最后一条原因与本文无涉可予忽略,其他几条可以笼统地考虑为,我国征信业监管的目的是建立和维护征信市场的正常秩序。
根据国务院《促进市场公平竞争、维护市场正常秩序》的有关规定,征信业监管目的大体上包括在征信市场上消除违背市场规律的垄断行为、鼓励有序竞争、打击不正当竞争和欺骗性市场行为、保护经营者和消费者正当权益、弘扬诚信守法、减少行政对市场的不合理干预等成分。基于上节的讨论,征信行业是一个包含多种不同类型参与者的复杂行业,我们分别来看看对于不同类型的征信机构监管方可能的关注点是什么。
B类机构是国际上监管法规和行业自律规则都最完善的一类机构,在许多国家的个人数据保护立法中都能得到豁免的待遇。我国在世纪初中央金融工作会议中确定的征信特许经营的原则也主要针对这一类机构。
B类机构的监管可有两个主要关注点:
1. 消费者数据权益和数据安全保护:由于信用报告数据属于影响消费者重要利益的一类数据,再考虑到征信机构的“垄断”性质,对于信用报告机构在这方面的监管力度通常非常高。根据目前的法规框架,我国征信监管机构在消费者信息保护方面的监管授权不足,未来还要视国家的个人信息保护法及其他相关法律中的规定进行调整和充实。
2. 处理好垄断和竞争的关系:国际信用报告行业实践认为高效的信用报告市场不应有过多的信息采集者,故B类机构往往呈现为一个相对垄断和集中化的市场。
在此同时监管机构将限制B类机构的部分市场行为(如信用报告产品免费或限价),并协助设计适当的机制将信用报告数据公平、低价、顺畅地传递给数量相对较多的信用报告产品及服务的开发商及营销商,以活跃征信市场。能够同时依法依规履行数据采集及分发两项职能的机构才是合格的持牌信用报告机构。
C类机构与B类机构相比不需要有那么高的数据集中度要求。这首先是由于同一领域的数据提供商的数目相较B类机构情况为少(例如同一位消费者使用的电信运营商数目不会很多),其次是由于对全面数据的要求不那么高(例如即便使用多家电信运营商的服务,来自一家运营商的数据多数场合已经足以产生价值),最后是由于数据种类反而较多。于是C类机构的发牌数量可以不受限制,合格一家,发放一张,特别是允许小企业经营此类数据业务,以提高市场活力和增加创新机会。
对C类机构进行监管的关注点可以集中在:
1. 数据质量:数据采集合法合规,数据应合理地准确和更新及时,数据安全能够得到保障。2. 数据主体的数据权益保护:数据主体对于数据的采集及使用的合理授权、数据主体对自身数据应享有的各种权利得到切实保障。未来的国家个人信息保护法同样会对这个领域的监管有深刻影响。
与此同时,征信监管机构不应对合法数据的种类加以过多地规范和限制(法律、法规有明确规定者除外),即不为某类数据在目标领域(指信贷信用风险评估)应用的相关性及适用性背书,而让国家个人信息保护法的执行机构和金融业监管机构去决定哪些数据在哪种具体场合下应用是合理的或相关的。
D类机构由于仅进行规模有限的(或完全不进行)消费者数据(通常是非信用数据)采集和存储活动,违规风险较低。对于这类机构不必采取特许经营方式,如可以采用注册制加以管理。监管机构可以在机构违规时冻结或取消其注册,而未获注册机构不得经营此项业务。由于D类机构对于B类(或C类)数据批发机构存在依赖性,合规要求可以通过该机构同批发机构的商业合同具体体现,征信行业监管机构则监督、检查合同的指定和执行情况,处理违规事宜。
对D类机构的监管可以关注以下方面:
1. 需求真实性和履行数据用途承诺的情况:D类机构必须确保向批发机构传递了真实、合理的客户需求,并完全按照与批发机构之间商业合同的约束来使用及处理数据。
2. 数据质量管理、数据保护、数据主体的数据权益保护等方面要求的执行情况:
D类机构在这些方面应满足基本的合规要求,但对D类机构在这些方面的要求可略低于B类或C类机构。
E类机构同样不需要采用牌照管理方式,可以使用类似D类机构的管理办法,采用注册制的方式管理。这将会最大限度地鼓励技术和市场的创新。对这类机构的监管是体现市场监管职能的最佳场所,即将监管重点集中在鼓励有序竞争、打击不正当竞争和欺骗性市场行为、保护经营者和消费者正当权益、诚信守法等方面。
由于信用服务商基于征信数据开展业务,监管部门还应强调其所使用的数据必须满足征信监管要求,以及在其经营活动中承担数据保护的相应义务。由于信用服务活动涉及大量专门领域的知识和技能,征信监管机构不必介入其具体的业务实践,而让相关业务监管部门去判断该机构各个业务环节的合规性及合理性。