审计视角下征信业风险防范初探

09.05.2018  10:29

近年来,随着《征信业管理条例》(以下简称《条例》)的实施,我国征信业快速发展,同时金融行业和快速消费品行业等重点行业对征信产品需求量越来越大,促使征信业务量飞速增长,出现了一些亟待防控的风险点。

一、征信业发展的历程

我国征信系统建设始于1997年银行信贷登记咨询系统,初成于2002年银行信贷登记咨询系统全国三级联网运行,建成于2006年全国集中统一的企业和个人征信系统全国联网运行。2013年1月颁布的《条例》将征信业的发展规范上升到行政法规层面,解决了征信业发展中无法可依的问题,确立了征信业务规则。《条例》将企业和个人信用信息基础数据库改称国家金融信用信息基础数据库,并规定人民银行征信中心负责运行和维护国家金融信用信息基础数据库,向征信系统接入机构提供个人征信产品、企业征信产品和其他征信服务。根据新华社报道,截至2017年5月底,累计约3000家机构接入数据库,数据库收录了9.26亿自然人、2371万户企业和其他组织的相关信息;2017年1月至5月,个人信用信息报告日均查询343万次,企业信用报告日均查询22万次,信用报告利用率逐年增高。与此同时,以信用信息为业务的征信机构也迅速增多。截至目前,除人民银行征信中心外,征信市场已有152家社会征信机构。2018年2月22日,人民银行发放了我国首张个人征信业务牌照,开启了社会征信机构开展个人征信业务的“牌照时代”。

二、征信业快速发展的原因

(一)从供给侧来看,大数据产业的发展带动了征信业的快速发展,促使征信业务量飞速增长。

一方面,大数据技术手段的出现为征信机构特别是社会征信机构提供了重要技术支撑,更为社会征信机构的发展提供了生长环境。征信业发展的基础是信用信息,征信市场的供给主体是征信机构,征信机构采集、整理、保存并加工企业和个人的信用信息,并向信息使用者和信息主体提供征信业务。随着信息技术的发展,尤其是智能终端设备的普及,互联网企业留存了大量的信息主体出行、消费、娱乐、支付等电子数据。这些数据集合可以从多个维度刻画信息主体的行为特征,征信机构可以从中提取与信用评分模型强相关和弱相关的数据元。例如,征信机构可以充分利用大数据挖掘、云计算等新兴技术手段采集并加工信息主体的海量数据。在此情况下,大数据公司和社会征信机构大量涌现,征信业务量飞速增长。

另一方面,大数据在征信行业的应用带来了大数据征信。大数据征信即利用云计算、模糊匹配等技术加工整理个人或企业在互联网平台留下的电子数据信息而形成的征信产品或数据服务。目前,国内从事大数据征信的机构主要有四大类:电商平台类,例如芝麻信用管理有限公司;反欺诈类,例如中智诚征信有限公司;网络借贷类,例如深圳前海征信中心股份有限公司;社交信息类,例如腾讯征信有限公司。与人民银行征信中心的征信产品及其应用场景相比,社会征信机构利用数据挖掘、机器学习、模糊匹配等大数据建模方法创新了征信业务,丰富了征信产品,拓宽了征信产品的应用场景,大数据征信产品则将应用场景拓宽至出行、消费、住宿等领域,更具有延展性。因此,社会征信机构创新的征信产品使得征信业务量逐年增长,征信业快速发展。

(二)从需求侧来看,市场主体对征信产品的需求越来越大,传统的征信产品已难以满足市场需求。

一方面,随着金融业务的多样化发展,传统的征信产品已难以满足金融行业风险管理的市场需求。随着金融业务的创新和激烈的行业竞争,信用记录空白主体已成为金融机构间争夺的重要客户,小额信贷和消费信贷等新兴信贷组合扩大了对客户风险管理的信用信息需求。尽管国家金融信用信息基础数据库信用信息覆盖率约70%,但尚有30%左右的经济主体属于信用记录空白主体,这些信用记录空白主体的信用评估数据对金融机构非常重要,而网络交易和社交平台积累的大数据则可从其他维度刻画信用记录空白主体的信用表现。随着大数据在金融业的深度应用,金融机构的风险管理逐渐由传统风控转变为大数据风控,将大数据建模方法运用到贷前信用评审、反欺诈等风控管理环节已成为趋势。因此,单纯依靠国家金融信用信息基础数据库的结构化数据已难以满足其大数据风控的需求,转而引入外部数据也是必然趋势,这也就需要大数据公司或社会征信机构不断丰富征信产品或数据服务。

另一方面,大数据征信丰富了社会征信机构的服务内容,征信产品的应用场景亦从金融领域拓宽至生活等各领域。例如,共享单车、住宿等均涉及消费者向商户交押金的情景,而消费者的个人信用评估则有助于其免交押金。目前,8家试点的个人征信机构均根据自身拥有的数据资源建模,从多个维度对经济主体进行信用评价,不同的征信机构产生不同的征信产品,不同的征信产品应用于不同的经济生活场景,在市场需求的驱动下,社会征信机构也正不断挖掘自身数据资源关联逻辑,提供多样化的征信产品。例如京东白条和蚂蚁花呗的服务模式均与信用卡服务模式相近;芝麻信用管理有限公司的信用分与共享单车、旅游机构、蚂蚁借呗等合作,不断拓宽芝麻信用分应用场景。

三、审计视角下征信业发展潜在风险的控制

大数据在经济、金融、民生、社会等领域的应用越来越广泛,为征信行业的发展提供了重要的数据资源,使得社会征信机构如雨后春笋般出现。在征信业务给企业带来财富,给个人融资和消费带来便利的同时,其发展过程中存在的风险也亟待防控。

(一)关注社会征信机构监管套利行为中的隐藏风险。

大数据发展促进了征信行业的快速发展,也为社会征信机构创新征信业务提供了技术保障。但是,在发展过程中社会征信机构往往存在利用监管真空带“创新”征信业务,扩大征信产品使用场景等监管套利的行为,因此社会征信机构规避监管所隐藏的一系列潜在风险也需要关注。目前大部分备案的企业征信机构经营范围广泛,经营内容不仅包含《条例》中规定的企业征信业务,也包括对外提供企业和个人相关的大数据服务。按照《条例》第二章第七条规定“未经国务院征信业监督管理部门批准,任何单位和个人不得经营个人征信业务”,企业征信机构不得经营个人征信业务,而实际上大部分企业征信机构利用征信业务含义的模糊而对外提供与个人相关的大数据服务。如企业征信机构对外提供的个人身份证核验、电信三要素核验、银行卡四要素核验等个人数据核验服务以及其他非核验服务,已涉嫌违反《条例》规定。社会征信机构利用监管漏洞或监管缺位进行监管套利,将征信业务的发展游走于法律边缘,进一步增大了经营风险。例如,金融行业从社会征信机构引入的大数据征信是其风险控制的重要手段,但对于引入的外部数据特别是个人信息数据的法律风险均归责于社会征信机构,而征信机构大数据的获取和来源是否合法、交易和去向是否合法、是否存在违法犯罪等问题亟待防控。总的来看,监管套利行为所隐藏的风险隐患主要是行业中灰色产业链的法律风险和社会征信机构的经营风险。行业中的灰色产业链会使得社会征信机构逐步偏离征信主业,更加偏好和追逐易于攫取暴利的灰色产品;而社会征信机构的违规经营会扰乱征信市场秩序,影响征信行业有序发展。因此,重点防范社会征信机构监管套利行为中隐藏的业务风险和法律风险,追踪灰色产业链潜在的行业犯罪行为,剜除影响征信行业发展的“毒瘤”。

(二)防范社会征信机构信息主体权益,保护瑕疵引发的法律风险。

随着智能技术的深度应用,个人信息以各种格式的数据元散落在各个网站、APP等后台或智能终端。数据元记录着个人的交易信息、社交信息、教育背景、工作经历等,反映了个人的消费偏好和行为轨迹,这些都是广义个人信用的一部分。正如新兴的互联网金融公司ZestFinance所声称的“一切数据皆信用”。社会征信机构利用云计算、机器学习等建模方法处理结构化数据和非结构化数据,形成各类征信产品。综合来看,目前个人数据源主要分为三大类:一是政府公共部门,如教育背景相关信息主要分布在中国高等教育学历信息网;二是行业信息平台,如银行卡交易信息主要记录在中国银联,航空出行数据则主要分布在中国民航信息网络股份有限公司;三是电商平台,如个人购物等消费信息主要分布在国内三大电商巨头。社会征信机构或大数据公司可能从上述三类数据源收集个人信用信息。从信息主体到信息使用者,个人信息至少经过信息收集者、信息中介、信息整理、信息加工等4个环节,因此,个人信息在每一个环节的转移均涉及信息主体权益保护的问题。依据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《中华人民共和国网络安全法》(以下简称《网络安全法》)相关规定,目前社会征信机构或大数据公司对外提供的个人数据服务,均有游走于上述法律边缘的可能性。例如,2018年1月,国家网信办约谈“支付宝年度账单事件”当事企业,当事企业以极小的字体默认勾选“同意《芝麻服务协议》”,侵犯消费者个人信息安全。该做法不符合《个人信息安全规范》国家标准的精神,违背了其前不久签署的个人信息保护倡议的承诺。因此,审计中应从数据源和信息使用者两端,关注社会征信机构是否保障个人信息主体知情权、同意权等权益,信息主体的隐私政策是否存在瑕疵等,防范信息使用者非法利用个人信息等引发的法律风险。

(三)关注社会机构收集使用个人信用信息存在的信息泄露风险。

2017年6月1日起正式施行的《网络安全法》提出,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。征信业务需求的增长,使得社会征信机构和大数据公司对于个人信用信息的收集使用愈加频繁,趋于面广、量大。前述社会征信机构有可能成为黑客等不法分子紧盯的对象,而这类机构本身或其内部职工是否存在买卖或泄露个人敏感信息和重要信息等违法行为值得监管者关注。实际上,信息泄露问题屡见不鲜,不仅引发巨额诉讼还将给公民的日常生活带来诸多困扰。例如美国最大征信巨头之一伊奎法克斯公司(Equifax)隐瞒数据库被“黑”,面临用户集体起诉的5500亿加元赔偿。更重要的是,公民个人信息一旦泄露或贩卖,其对个人造成的影响是无法弥补的。因此,从保护公民信息和维护信用信息安全的角度,将前述法律条文与《网络安全法》、《管理条例》等相关法律法规相结合,审计中应注意上述三类数据源是否存在过度采集、留存公民个人信息,关注社会征信机构是否过度使用个人信用信息的问题,从源头上限定个人信用信息的收集使用,密切留意社会机构是否存在买卖个人信息或隐瞒数据库被攻击等行为,紧盯个人信息黑市的数据提供方,从源头上有效防范个人信息泄露风险,严厉打击个人信息贩卖等违法违规行为。(晏小燕)