作者 | 权威 李珣 夏迎雨
(相关资料图)
来源 | 一川Law
征信断直连的对象是“信用信息”,而非“全部类型的个人信息”。这是我们讨论如何搞定“征信断直连”的分析起点。
针对这个基础而又核心的问题,过去两年间在市场上充斥着不少有意或无意的误读。从2021年1月《征信业务管理办法(征求意见稿)》出台以来,围绕到底哪些信息才需要“断直连”的讨论便没有间断过。
最具争议性的事件是2021年7月监管机关向14家网络平台企业下发的关于征信断直连的内部通知,该通知中采用了有史以来最严格的“断直连”口径,即明确要求“平台机构在与金融机构开展引流、助贷、联合贷等业务合作中,不得将个人主动提交的信息、平台内产生的信息或从外部获取的信息以申请信息、身份信息、基础信息、个人画像评分信息等名义直接向金融机构提供”。
通知一出,行业哗然。
如果按照这份通知的口径,显然所有类型的个人信息都会被纳入了“征信业务”的监管范畴,平台机构将不再具有向金融机构直接传输信息的任何可能,导流、助贷等业态将毫无生存空间。通知的严厉程度超乎想象,由此导致的,便是对其合理性和可行性的质疑。
下一个时间节点是2021年9月底,《征信业务管理办法》(“《征信办法》”)正式出台。
《征信办法》调整了此前征求意见稿中对于征信业务的定义,并明确仅有“用于识别判断企业和个人信用状况”的信息才应视作“信用信息”并作为“征信业务”监管的对象,“一刀切”的口径,不再执行。
自此,对于“征信断直连”的后续讨论,便集中在到底什么才是“信用信息”。
判断标准可以归纳为两点。
第一,信息所呈现的内容应当是对特定对象的“还款能力和还款意愿”的评估,比如风险等级、风险评分、建议授信额度就是典型的“信用信息”。与此相对,基础身份信息或体现特定对象其他特征的评分(例如学历分、婚恋分、求职分等)都不应当被认定为“信用信息”。
第二,前述判断应当以信息产品提供者的意图和目的为准,而不能以产品使用者的实际用途为准。举例而言,点评网站对于餐厅的评分在任何情况下都不是征信服务,无论银行在对商户进行授信时是否采集、参考和使用了这一评分,都不会导致点评网站的服务变成征信服务。这一点很有力地佐证了,为什么对于征信业务边界的判断,不能简单地以“向金融机构提供信息”作为单一的判别标准。
以上两点理解,在2022年9月监管机关对14家平台的后续约谈中可以得到印证。“具有筛选效果和风控判断效果的信息需要通过征信机构传输”,“基础身份信息、影像交互信息、账户流水信息不需要通过征信机构传输”。在近期监管机关推行并内部征求意见的“助贷/联合贷补充协议”中,也明确了助贷平台可以与金融机构相互传输的27个字段,进一步印证了上述理解。
到这里,我们做个总结:征信断直连的对象是“具有评估个体的还款能力和还款意愿的信息”,其他类型的信息不受影响。
既然征信监管之下信用信息不能由网络平台直接提供给金融机构,那么信用信息到底可以怎么传?
结合行业实践和监管态度,可行的方法至少有两种:
方法一,接入个人征信机构。这是最确切和直白的整改方案。《征信办法》为网络平台通过征信机构进行整改提供了确切的法规依据,这也是此前有关征信全面断直连窗口指导中被监管部门明确认可的方案,实践中两家个人征信机构也分别向市场推出了成熟的“定制分”产品,支持通过“API”、“围笼”等模式,实现网络平台向金融机构间接传输信用信息。
方法二,借道融资担保公司。这是一种逻辑稍显复杂的整改方案。为什么“融资担保公司”可以替代“个人征信机构”是很多从业者在初次接触这种方案时最不解的第一个问题。首先可以明确的是,融资担保牌照绝无“大于”个人征信牌照的功能,如果融担公司并不实际提供融资担保,其并无任何特殊的资质或豁免开展个人信用信息的处理和对外提供。
但如果融担公司在借贷关系中提供担保,情况是不是就会有所不同?没错。
在融担公司实际提供担保的场景下,融担公司对借款人的信用状况进行分析评估,并将自己的分析结论(例如担保额度等)提供给资金方进行参考实际上都是“融资担保”服务中合理的组成部分,是融资担保服务的“应有之义”。
这一点在现行法规中也能得到印证,根据《银行业金融机构与融资担保公司业务合作指引》,“银行和担保公司可分别受理客户申请或互相推荐客户”,“担保公司评审通过后,应当及时向银行出具明确担保决策意见的书面文件,供银行审批使用”,“授信业务持续期间,银担合作双方应当按照要求对客户实施贷(保)后管理,及时共享客户运营情况及风险预警信息,共同开展风险防范和化解工作”。
正是因为融担服务在商业属性上天然地涵盖了绝大部分“征信服务”的内容,使得融担牌照变相地具备了在特定条件下替代征信牌照的能力。再加之二者的申请难度极为悬殊,便逐渐催生了通过集团体系内的融担公司与资金方直接进行交互的替代商业模式。
两种方案各自的优劣显而易见。
接入征信机构的方案显然是合规的“正途”,其具备清晰的法律依据和直白的操作逻辑,在未来能够提供稳定、可预期的合规解决方案;但相对应地,接入征信机构的方案意味着外部征信机构的收费将挤压机构的利润空间,且双方系统的对接也通常需要相当程度的财务成本和时间成本的投入。
借道融担公司的方案相较而言则存在诸多合规性上的小瑕疵。
首先,《地方金融监督管理条例(草案征求意见稿)》中对于地方性牌照的全国展业能力提出了限制,未来融担公司是否能够稳定地全国展业有不确定性。
其次,融担公司受限于自身10倍杠杆率的限制,在资本金有限的情况下业务规模并不能无限制地放量。这也进一步催生了市场中的“双融担”结构,即一家融担主要负责信用信息的传输并提供部分比例(如5-30%)的担保,而另外一家担保公司则提供剩余部分的担保。该种模式一定程度上仍然存在异化融担牌照功能的问题,能否持续被监管机关所接受,未来也有不确定性。
但即使如此,融担方案仍然是大多数网络平台偏爱的优选方案,原因有三:
第一,整改难度小。相较于接入个人征信机构的方案,使用集团体系内的融担牌照进行整改可以把“问题留在体系内部”解决,只需要在关联实体之间进行法律关系、业务逻辑、人员和数据部署的调整即可,免去了与外部机构对接的繁琐流程和技术及财务投入。
第二,数据不出库。通过融担进行整改可以完全确保数据停留在集团体系内部,在数据权属上不需要做出任何形式的牺牲和让渡。特别是对于人行征信信息的查询,通过融担进行整改也保留了自身直接进行查询的权限,为业务提供更多的灵活性。
第三,别无选择。对于仅开展助贷业务的网络平台而言,使用融担进行整改也可能是迫不得已的唯一选择。虽然“接入征信机构”的方案提供了绝对稳定的合规基础,但该方案并不能解决助贷平台在“个人信息收集和处理”角度“正当性、必要性”的问题。这就意味着,“接入征信机构”的方案至多适用于存量用户的存量数据,而对于增量用户和增量数据,实际上只有通过融担进行整改,原有的业务逻辑才能维系。
实践中从业机构怎么选?最常见的情况是两大类模式同步使用。
对于大多数开展助贷业务的网络平台而言,对接的资金方往往有数十家,根据合作模式、合作背景的不同,又大多会衍生出“纯导流”、“轻资产”、“重资产”、“信托放贷”、“保险带资金”等诸多不同的子模式,“征信断直连”的方案设计和选择也由此而变得更为复杂和定制化。
因此,视具体的资金方要求和业务模式的不同,对于大多数助贷平台而言试图通过单一模式解决所有的“征信断直连”需求通常并不现实。同步使用两种方案,并视商业和技术需要进行对应的微调是大多数平台在进行整改时的常见选择。
我们已经说到,在使用融担变相断直连的模式中,融担牌照的功能并不等同于个人征信。因此在使用融担进行断直连时,并不是简单地把“网络平台->个人征信->金融机构”的逻辑简单替换为“网络平台->融担公司->金融机构”。如果只是做这样机械的简单替换,那么在“网络平台->融担公司”的环节,仍然会因为“断直连”的要求而无法执行。
所以正确的解法是:融担公司直接对客。
也就是说,助贷平台需要整体性地剥离具有“信用评估”特征的业务,将此类业务的运营主体直接变更为融担公司。以常见的助贷APP为例,在完成业务调整后,APP的运营主体以及APP内嵌的电商、会员等业务的运营主体仍然可以是科技公司,而涉及“贷款申请、资金方匹配、额度预审”的相关业务,则需要统一剥离到融担公司,以融担公司作为运营主体开展。
为实现这个目的,APP的前端页面必须进行调整。
简单来说,调整后的APP在用户首次注册和登录时,需要展示科技主体的用户协议和隐私政策,而在用户于后续页面进一步点击申请信贷相关服务时,则需要展示融担公司的服务协议和隐私政策,进而完成后续的服务提供和个人信用信息的处理(包括收集和对外提供)。
另一个实践中的痛点是,业务剥离中是否需要同步剥离人员、系统和技术能力?答案是“可以,但不必要”。
对于大多数助贷平台而言,虽然体系内大多已经持有融担牌照,但是开展助贷相关业务的员工以及系统和技术能力绝大多数情况下仍然停留在科技实体内,融担独立完成业务全流程的能力相对有限。在这个前提下,最便捷地实现“助贷相关业务剥离”的方式是在科技主体和融担公司直接构建一层额外的科技服务外包关系。也即:
在法律逻辑上,助贷相关业务的运营主体转移至融担;但在技术逻辑上,相关系统运维能力、数据处理能力仍然由科技平台作为外包服务方向融担公司提供。
这就是为什么我们说,“融担断直连”的方案,改动难度真的不大。只要能够与金融机构顺利完成从科技平台到融担公司的协议换签,体系内部其实没有太大的工作量。
当然长远来讲,你懂的,夯实融担的风控能力和独立性,也一定不会吃亏。
断直连整改最大的深水区是存量业务的处理问题。
我们知道,无论是采用“个人征信断直连”还是“融担断直连”,都需要依托于用户对于新的服务主体和法律关系的确认和同意。换言之,对于增量用户和增量业务而言,实现断直连整改的过程通过可以丝滑地嵌入业务申请流程。但对于存量业务如何处理,往往交代地不够清楚。
合规的做法是,构建一个过渡期。
即在过渡期内,向存量用户开放“业务主体变更”的选择权利,如果能够顺利触达存量用户,则可以通过请求其确认新协议和新服务主体的方式完成业务模式的变更。
而对于无法触达或拒绝业务模式变更的存量用户而言,则仍然需要在法律关系上以原有的科技平台为主体提供相关服务直至合同履行完毕。无论是从合同关系还是数据授权的角度,科技平台都不能在未经用户明示同意的情况下,进行合同权利义务和数据处理责任的转让。
随之而来的难点是,存量用户的信息只能根据用户的确认进度“一个一个”地给到个人征信机构或融担公司,而不能整体性地进行传输吗?
不需要,仍然可以整体性地进行传输。
这里需要使用的法律工具是“个保法”下的“委托处理”,即在科技平台和融担公司之间再构建一重数据的委托处理关系,确保科技实体可以将个人信息一次性全量传输至融担公司的服务器中。即对于无法触达或拒绝业务模式变更的存量用户,由融担公司作为个人信息的受托处理方进行信息处理,并随着存量用户对于新业务模式的确认,再逐渐变更为合同相对方和“个保法”意义下的“数据处理者”。
14家平台企业整改接近尾声,2023年6月30日的互联网贷款、征信合规整改大限将至。未来4个月,会是14家平台企业外的其他网络平台实施整改的黄金期和关键期。
结合近一两周的综合整改趋势来看,监管机关已经开始采取行动将在针对14家平台整改中积累的经验复制推广到其他科技平台。其中最直接的动作是考虑要求金融机构与科技平台之间签署一份标准内容的“补充协议”,进一步强化和明确各方在互联网贷款相关法律法规项下的权利和义务。
其中值得关注的变化主要体现在两个方面:
在对客端,进一步强调对于金融机构身份的披露和展示以及金融机构对前端协议模板的自主控制权利,个人信息授权书、贷款协议等均应保留金融机构自主控制和调整的权限。为此,平台配置的前端协议未来需要做进一步的调整和拆分,而不能使用平台提供的统一模板。
在对金融机构端,进一步强调金融机构的独立性、开展业务的自主性,严格按照互联网贷款相关法规的要求,对身份核验、风控审核、合同签订、本息收付等环节的自主控制,科技平台不得干预或设置不合理的条件。
所以现在,是个好时机。对于科技平台而言,在目前的时点开展断直连整改享有大量的后发优势,一方面省去前期探索和试错需要投入的精力和成本,另一方面也能结合互联网贷款合规的综合整改要求同步推进,一步到位落实多重合规要求。