《个人征信信息采集管理手册》

《个人征信信息采集管理手册》第一章总则第一节个人信息与征信信息定义第二节征信信息采集的法律依据第三节征信信息采集的适用范围第四节征信信息采集的原则与规范第二章信息采集流程与管理第一节信息采集的启动与申请第二节信息采集的实施与审核第三节信息采集的数据处理与存储第四节信息采集的保密与安全措施第三章信息采集的主体与责任第一节信息采集的主体资格第二节信息采集的责任划分第三节信息采集的授权与同意第四节信息采集的变更与终止第四章信息采集的合规性与监督第一节信息采集的合规性要求第二节信息采集的监督检查机制第三节信息采集的违规处理与处罚第四节信息采集的申诉与反馈机制第五章信息采集的使用与共享第一节信息采集的使用范围第二节信息采集的共享机制第三节信息采集的使用限制第四节信息采集的使用记录与审计第六章信息采集的隐私保护与合规第一节信息采集的隐私保护原则第二节信息采集的隐私权保障措施第三节信息采集的合规性审查第四节信息采集的隐私泄露应对机制第七章信息采集的持续改进与更新第一节信息采集的持续优化机制第二节信息采集的更新与修正第三节信息采集的反馈与改进第四节信息采集的评估与审计第八章附则第一节本手册的适用范围第二节本手册的解释权与生效日期第1章总则1.1个人信息与征信信息定义个人信息是指与公民身份、财产、行为等相关的可识别个体信息，包括姓名、性别、出生日期、联系方式、居住地址、信贷记录等。根据《个人信息保护法》第13条，个人信息的处理应当遵循合法、正当、必要原则，不得非法收集、使用或泄露。征信信息是指用于信用评估和风险控制的个人信用数据，包括贷款记录、信用卡使用情况、信用评分、逾期记录等。根据《征信业管理条例》第11条，征信信息的采集、使用和管理应遵循诚实信用原则，不得滥用或侵害个人合法权益。个人信息与征信信息的界定依据《征信业务管理办法》第2条，征信信息是用于评估个人信用状况、判断其贷款或信用服务风险的专门信息，与普通个人信息有显著区别，具有特定的法律属性和使用范畴。根据《征信业管理条例》第12条，征信信息的采集需严格遵守国家法律法规，不得非法获取或使用，确保信息的真实、准确、完整。个人信息与征信信息的管理应纳入国家信用管理体系，依据《征信业管理条例》第14条，征信机构应建立严格的个人信息保护机制，确保信息采集、存储、使用全过程符合法律要求。1.2征信信息采集的法律依据征信信息采集的法律依据主要包括《个人信息保护法》《征信业管理条例》《征信业务管理办法》及《征信业基本标准》等法律法规。这些法律规范了征信信息采集的主体、权限、范围及责任。根据《征信业管理条例》第11条，征信信息的采集必须遵循合法、正当、必要原则，不得超出必要范围，不得以任何形式非法获取或使用个人信息。《个人信息保护法》第13条明确要求个人信息处理者应采取技术措施确保个人信息安全，防止泄露、篡改或非法使用。征信信息采集作为个人信息处理的一部分，亦需遵守该规定。根据《征信业管理条例》第12条，征信机构在采集征信信息时，应事先获得个人同意，并明确告知信息用途及处理方式，确保信息采集过程合法合规。征信信息采集的法律依据还包括《征信业务管理办法》第10条，该条文规定征信机构应建立信息采集、存储、使用、共享的完整机制，确保信息的准确性与可追溯性。1.3征信信息采集的适用范围征信信息采集适用于金融机构、信用服务机构、政府相关机构等，用于评估个人信用状况、提供信用服务、进行风险评估等。根据《征信业管理条例》第11条，征信信息的采集对象应为具备信用服务需求的主体。征信信息的采集范围依据《征信业管理条例》第12条，主要涵盖贷款、信用卡、担保、信用交易等信用行为。征信机构应根据业务需要，合理确定信息采集范围，避免过度采集或遗漏重要信息。根据《征信业务管理办法》第10条，征信信息的采集应遵循“最小必要”原则，仅采集与信用服务直接相关的信息，不得超出必要范围。征信信息的采集对象应为具有信用服务需求的个人，如申请贷款、信用卡、担保等，依据《征信业管理条例》第11条，征信机构应确保信息采集对象的合法性与正当性。征信信息的采集需符合国家信用管理政策，根据《征信业管理条例》第12条，征信机构应建立信息采集的审核机制，确保信息采集的合法性和规范性。1.4征信信息采集的原则与规范的具体内容征信信息采集应遵循“公平、公正、公开”原则，确保信息采集过程透明、合法、合规。根据《征信业管理条例》第11条，征信机构应保证信息采集的公正性，不得存在歧视或偏见。征信信息采集应遵循“合法、正当、必要”原则，不得超出必要范围，不得非法获取或使用个人信息。根据《个人信息保护法》第13条，个人信息的采集应以合法方式获取，不得以任何形式非法获取。征信信息采集应遵循“安全、保密”原则，确保信息存储、传输和使用过程中的安全性。根据《个人信息保护法》第13条，个人信息的处理应采取必要技术措施，防止泄露、篡改或非法使用。征信信息采集应遵循“诚信、守信”原则，确保信息真实、准确、完整。根据《征信业管理条例》第12条，征信机构应建立信息核实机制，确保采集信息的真实性和有效性。征信信息采集应遵循“依法、合规”原则，确保信息采集符合国家法律法规及行业规范。根据《征信业管理条例》第11条，征信机构应建立完善的制度和流程，确保信息采集的合法性和规范性。第2章信息采集流程与管理2.1信息采集的启动与申请信息采集的启动通常由金融机构或征信机构根据业务需求提出，需符合《个人征信信息采集管理手册》中关于信息采集目的、范围及法律依据的规定。申请流程一般包括信息采集需求的提出、审批、授权及备案等环节，需确保符合《征信业管理条例》及《征信业务管理办法》的相关要求。申请人需签署《个人征信信息授权书》，明确其同意提供相关信息的范围及期限，确保信息采集的合法性与合规性。信息采集申请需通过内部审批流程，由相关部门审核后方可启动，确保信息采集活动符合组织内部管理制度及外部监管要求。信息采集的启动需记录完整的申请资料与审批过程，便于后续追溯与审计。2.2信息采集的实施与审核信息采集实施过程中，需严格按照《个人征信信息采集操作规范》执行，确保采集方式、渠道及技术手段符合行业标准。采集信息时，应遵循“最小必要”原则，仅采集与征信业务直接相关的数据，避免过度采集或采集无关信息。信息采集实施需由专人负责，确保数据采集的准确性与一致性，同时需定期进行数据质量检查与校验。信息采集过程中，需对采集的数据进行初步审核，包括数据完整性、准确性、时效性及格式规范性，确保数据可用性。信息采集实施需与征信机构或第三方数据提供方签订数据服务协议，明确数据交付标准、使用范围及责任划分。2.3信息采集的数据处理与存储信息采集后，数据需经过清洗、整理与标准化处理，确保数据格式统一、内容完整，符合《个人征信数据标准》的要求。数据处理过程中，需使用专业的数据处理工具，如ETL（Extract,Transform,Load）工具，确保数据转换的准确性与高效性。数据存储应采用安全、可靠的技术手段，如分布式存储系统、加密存储及权限控制机制，确保数据在存储过程中的安全性与完整性。数据存储需遵循《信息安全技术个人信息安全规范》的相关规定，确保数据在存储过程中的保密性与可控性。数据存储应定期进行备份与恢复测试，确保在发生数据丢失或损坏时能够快速恢复，保障征信业务的连续性与稳定性。2.4信息采集的保密与安全措施信息采集过程中，需严格遵守《个人信息保护法》及《个人信息安全规范》的要求，确保个人信息的保密性与隐私权。信息采集系统应采用加密技术，如AES-256等，对敏感信息进行加密存储与传输，防止数据泄露。信息采集需设置严格的访问控制机制，确保只有授权人员方可访问相关数据，防止数据被非法获取或篡改。信息采集过程需建立完善的审计与监控机制，记录数据采集、处理、存储及使用全过程，确保可追溯性。信息采集安全措施应定期进行风险评估与漏洞检测，结合技术手段与管理措施，构建多层次的安全防护体系。第3章信息采集的主体与责任1.1信息采集的主体资格信息采集的主体应具备合法的征信业务资质，通常包括中国人民银行批准的征信机构、商业银行、金融租赁公司等，其主体资格依据《征信业管理条例》和《个人征信信息采集管理手册》进行认定。根据《征信业管理条例》规定，征信机构需取得征信业务许可证，并在《个人征信信息采集管理手册》中明确其信息采集的范围与方式。信息采集主体应具备相应的技术能力与数据处理能力，确保信息采集过程符合信息安全与隐私保护标准，例如采用加密传输、访问控制等技术手段。《个人征信信息采集管理手册》中明确要求，信息采集主体需定期进行内部审计与合规审查，确保其采集行为符合法律法规及行业规范。信息采集主体在开展业务前，应向征信中心申请备案，并提交相关信息采集方案，确保其采集行为合法合规。1.2信息采集的责任划分信息采集主体应承担信息采集的全过程责任，包括信息采集的合法性、准确性、完整性及安全性，确保采集信息真实有效。根据《征信业管理条例》和《个人征信信息采集管理手册》，信息采集责任划分为采集机构、数据主体、征信中心等多方责任，各主体需明确其职责边界。信息采集责任的划分需遵循“谁采集、谁负责”的原则，确保信息采集行为有明确的法律责任归属，避免信息泄露或误采集现象。信息采集过程中，若因信息采集主体的疏忽导致信息错误或缺失，应承担相应的法律责任，包括但不限于赔偿、道歉及补救措施。信息采集责任的划分应结合《个人征信信息采集管理手册》中的具体条款，确保各主体在信息采集环节中职责清晰，责任明确。1.3信息采集的授权与同意信息采集主体在采集个人征信信息前，应向信息主体明确告知采集目的、范围、方式及法律依据，确保信息主体的知情权与选择权。根据《征信业管理条例》规定，信息采集需获得信息主体的明确授权，授权形式可为书面、电子或口头，但需在采集前完成签署或确认。信息主体有权在任何时候撤回授权，且撤回后信息采集行为应立即停止，信息主体可要求删除其相关信息。《个人征信信息采集管理手册》中规定，信息采集必须遵循“知情同意”原则，确保信息主体充分理解其权利与义务。信息采集过程中，若信息主体对采集内容有异议，可向征信中心申请异议处理，信息采集主体应及时响应并提供相应信息。1.4信息采集的变更与终止信息采集主体在信息采集过程中，如因业务调整、技术升级或政策变化需变更信息采集范围或方式，应提前向征信中心申请变更，并提供相关依据。信息采集的变更需经过征信中心的审核与批准，确保变更后的信息采集活动符合法律法规及《个人征信信息采集管理手册》的要求。信息采集终止是指信息采集活动因客观原因（如信息主体撤回授权、信息主体死亡等）或法律原因（如政策调整）而终止。信息采集终止后，信息采集主体应立即停止采集行为，并对已采集的信息进行整理、归档与销毁，确保信息安全。《个人征信信息采集管理手册》中规定，信息采集终止后，信息主体有权要求信息采集主体提供信息的删除或更正服务。第4章信息采集的合规性与监督1.1信息采集的合规性要求依据《个人征信信息采集管理手册》，信息采集必须遵循《个人信息保护法》《征信业务管理办法》等法律法规，确保采集行为合法、正当，不得侵犯个人隐私权和合法权益。信息采集需符合国家关于个人金融信息保护的相关标准，如《金融数据安全规范》和《个人信息安全规范》，确保数据采集过程符合安全、合规的要求。采集信息应遵循“最小必要”原则，仅采集与信用评估直接相关的必要信息，不得超范围采集或采集与信用无关的信息。信息采集应通过合法渠道进行，如银行、征信机构或第三方数据服务提供商，确保信息来源合法，数据真实、准确、完整。信息采集过程中应建立完整的记录与管理制度，包括采集时间、采集人员、采集方式、采集内容等，确保可追溯、可审计。1.2信息采集的监督检查机制中国人民银行及各地方征信管理机构应定期对征信机构进行监督检查，确保其信息采集活动符合监管要求。监督检查可以通过现场检查、非现场监测、投诉举报等方式进行，重点核查信息采集流程、数据质量、合规性及用户知情权等关键环节。监督检查结果应形成报告并公开，接受社会监督，确保信息采集活动透明、公正、合规。对监督检查中发现的问题，应督促相关机构限期整改，并对整改不到位的机构依法进行问责。监督检查应建立长效机制，定期评估信息采集的合规性与有效性，确保持续符合监管要求。1.3信息采集的违规处理与处罚依据《征信业务管理办法》，对违规采集信息的行为，可依法责令整改、暂停业务、处以罚款，情节严重的可追究刑事责任。违规行为包括但不限于采集不实信息、采集范围超限、未履行告知义务、未取得用户授权等，需根据具体情形进行处理。人民银行及其分支机构可对违规机构采取信用惩戒措施，如限制其征信服务接入、列入征信黑名单等。对于严重违规行为，可依法向司法机关移送案件，追究相关责任人的法律责任。违规处理应遵循程序公正、结果公正，确保处理过程合法、有效，维护征信行业的公信力。1.4信息采集的申诉与反馈机制的具体内容个人若对信息采集行为有异议，可向征信机构提出申诉，申诉内容应包括采集信息的范围、方式、时间等。申诉应通过书面形式提交，并附带相关证明材料，如合同、授权书、个人信息保护声明等。征信机构应在收到申诉后5个工作日内进行调查，并出具调查报告，告知申诉人处理结果及依据。若申诉未获满意结果，个人可向中国人民银行征信管理部门申请复核，复核机构应依法作出决定。申诉与反馈机制应确保信息采集的透明度和公正性，保障个人合法权益不受侵害。第5章信息采集的使用与共享5.1信息采集的使用范围依据《个人征信信息采集管理手册》的规定，信息采集的使用范围严格限定于与个人信用评估相关的业务活动，如贷款申请、信用评估、授信审批等，不得用于其他非信贷用途。根据中国人民银行《征信业管理条例》（2017年修订）第十七条规定，信息采集应遵循“合法、正当、必要”原则，仅限于为金融业务提供服务所必需的信息。信息采集范围通常包括个人身份信息、信贷历史记录、交易流水、财产状况等，但不得包含与金融活动无关的个人信息，如婚姻状况、教育背景等。信息采集的使用范围需经征信机构内部审批，并在采集前向用户明确告知，确保信息使用的透明性和合法性。根据《个人信用信息基础数据库管理暂行办法》（中国人民银行令2016年第10号），信息采集使用范围应通过书面形式向用户说明，并取得其同意。5.2信息采集的共享机制信息共享机制遵循“统一平台、分级管理、权限控制”的原则，通过征信中心统一平台实现信息的集中管理和分发。信息共享需遵循“最小必要”原则，仅允许与信用评估、信贷服务等直接相关的机构访问所需信息，严禁未经许可的跨系统共享。信息共享的流程包括采集、传输、存储、使用、销毁等环节，各环节需符合《信息安全技术个人信息安全规范》（GB/T35273-2020）的相关要求。信息共享需通过加密传输和访问控制技术保障数据安全，防止信息泄露或被非法使用。根据《征信业务管理办法》（中国人民银行令2018年第1号），信息共享应建立在合法授权的基础上，并定期进行安全审计和风险评估。5.3信息采集的使用限制信息采集的使用限制主要体现在信息使用目的、使用范围、使用主体等方面，不得用于其他非金融业务活动。信息使用主体需具备合法资质，如金融机构、征信服务中心等，且需遵守《征信业管理条例》关于征信机构经营资质的规定。信息使用过程中需确保信息的准确性和完整性，严禁篡改、删除或虚构信息，防止信息失真影响信用评估结果。信息使用应遵循“数据最小化”原则，仅限于为信用评估提供必要的信息，不得过度收集或滥用信息。根据《个人信用信息基础数据库建设实施办法》（中国人民银行令2016年第10号），信息使用限制需通过制度规定加以明确，并定期进行合规审查。5.4信息采集的使用记录与审计的具体内容信息采集的使用记录应包括采集时间、采集主体、采集内容、采集方式、采集目的等关键信息，确保可追溯。使用记录需通过电子系统进行存储，确保数据的完整性与可查询性，符合《电子证据若干规定》（最高人民法院司法解释）的相关要求。审计内容包括信息采集的合法性、合规性、使用范围是否符合规定，以及是否存在数据泄露、滥用等风险。审计结果应形成报告，供内部管理及外部监管机构参考，确保信息采集活动的透明与合规。根据《征信业管理条例》第五十二条，征信机构需定期进行信息采集使用审计，并将审计结果纳入内部管理考核体系。第6章信息采集的隐私保护与合规6.1信息采集的隐私保护原则依据《个人信息保护法》和《个人信息安全规范》（GB/T35273-2020），信息采集应遵循最小必要原则，仅收集与业务相关且不可逆的个人信息，避免过度采集。信息采集需遵循“知情同意”原则，明确告知信息采集的目的、范围、方式及可能的使用场景，确保被采集者充分理解并自愿同意。信息采集过程中应采用加密传输、匿名化处理等技术手段，确保数据在传输和存储过程中的安全性，防止信息泄露。信息采集应遵循“数据最小化”原则，仅收集必要的信息，避免因信息过载导致隐私风险增加。信息采集应建立完整的隐私保护流程，包括数据分类、权限控制、访问审计等，确保数据全生命周期的安全性。6.2信息采集的隐私权保障措施采用“数据脱敏”技术，对敏感信息进行匿名化处理，如姓名、身份证号等，确保在非隐私场景下仍可使用。建立隐私影响评估机制，对涉及个人敏感信息的采集行为进行风险评估，确保符合《个人信息保护法》相关要求。采用“数据访问控制”技术，通过权限分级管理，确保只有授权人员可访问特定信息，防止数据滥用。建立隐私保护日志和审计机制，记录信息采集、使用、存储等关键操作，便于追溯和审查。提供隐私政策和用户说明，明确告知信息采集的法律依据、使用范围及权利救济途径，增强用户信任。6.3信息采集的合规性审查信息采集前需进行合规性审查，确保符合《个人信息保护法》《数据安全法》及《网络安全法》等相关法律法规要求。合规性审查应包括数据来源合法性、采集方式是否合规、数据处理过程是否符合安全标准等，确保信息采集过程合法合规。信息采集需通过第三方合规评估，确保符合行业标准和监管要求，如ISO27001信息安全管理体系认证。信息采集后需进行合规性验证，确保数据使用、存储、传输等环节均符合相关法规要求。合规性审查应纳入企业整体数据治理体系，形成闭环管理，持续优化信息采集流程。6.4信息采集的隐私泄露应对机制的具体内容建立隐私泄露应急响应机制，明确泄露事件的上报流程、应急处理措施及后续整改措施。配备专业隐私保护团队，定期进行隐私泄露风险评估，及时发现并应对潜在风险。建立隐私泄露事件报告制度，确保在发生泄露时能够迅速响应，减少负面影响。采用“数据加密”和“访问控制”技术，防止泄露后的数据被非法访问或使用。建立隐私泄露后的数据销毁机制，确保泄露信息在被发现后及时清除，防止二次利用。第7章信息采集的持续改进与更新7.1信息采集的持续优化机制信息采集的持续优化机制是指通过系统化的方法，不断评估和调整信息采集流程，以确保其符合最新的政策要求和实际需求。根据《个人征信信息采集管理手册》的指导，这包括定期进行流程审计和流程优化，以提升数据采集的准确性与效率。机制通常涉及数据质量评估、流程效率分析以及反馈机制的建立，以确保信息采集过程能够适应不断变化的市场需求。例如，某银行在2020年通过引入技术优化了信息采集流程，使数据录入错误率降低了30%。优化机制应结合行业标准和监管要求，如中国人民银行发布的《征信业务管理办法》中提到的“数据采集标准化”原则，确保信息采集过程符合国家政策导向。机制还应包括对采集人员的培训与考核，提升其专业能力，以确保信息采集的规范性和准确性。根据《征信业管理条例》的规定，采集人员需定期接受数据采集技能培训。机制的实施需建立跨部门协作机制，如征信中心、银行、第三方服务机构等，共同参与数据采集流程的优化。7.2信息采集的更新与修正信息采集的更新与修正是指根据新的法律法规、政策变化或数据来源的变化，对已有信息采集内容进行调整和补充。例如，2021年《个人信息保护法》的出台，促使征信机构对个人信用信息采集范围进行了调整。修正过程需遵循“先评估后更新”的原则，首先对现有数据进行质量检查，确保更新内容的合法性和准确性。根据《征信业务管理办法》第12条，征信机构需定期对采集数据进行合规性审查。信息采集的更新应结合大数据技术和，通过数据挖掘和模式识别，识别出潜在的更新需求。例如，某征信机构通过数据分析发现，部分地区的征信数据存在重复采集问题，遂启动了数据去重更新流程。更新与修正应建立在数据来源的可靠性和完整性基础上，确保更新后的数据具备法律效力和市场认可度。根据《征信业管理条例》第16条，征信数据采集必须符合《征信业务管理办法》的相关规定。信息更新需建立反馈机制，对更新后的数据进行测试和验证，确保其符合业务需求，并在必要时进行进一步优化。7.3信息采集的反馈与改进信息采集的反馈与改进是指通过收集用户、监管机构及第三方机构的反馈，不断优化信息采集的流程和方法。根据《个人征信信息采集管理手册》的指导，反馈机制包括用户满意度调查、监管评估报告以及第三方审计结果。反馈应重点关注信息采集的准确性、及时性以及用户体验，例如通过问卷调查或数据分析，识别出信息采集过程中存在的问题。根据某银行的实践，用户对信息采集的满意度在优化后提升了25%。反馈机制需建立在数据驱动的基础上，通过数据分析技术，识别出信息采集中的薄弱环节，并针对性地进行改进。例如，某征信机构通过分析用户反馈，发现部分信息采集渠道存在数据不全的问题，遂调整了采集方式。改进应结合技术手段，如引入自动化采集工具或技术，提升信息采集的效率和准确性。根据《征信业务管理办法》第17条，征信机构应积极采用先进技术提升数据采集质量。反馈与改进需纳入持续改进体系，定期评估改进效果，并根据反馈不