近日，央行征信管理局低调下发了《征信业务管理办法（草稿）》（下称《办法》），之所以称之为低调，因为除了某微信公号提供的文件扫描版外，全网找不到制度原文。针对《办法》，并无太多可以深入探讨的点，洪言微语着重探究两个问题，一是与2013年公布的《征信业管理条例》（下称“条例”）相比，《办法》新在何处？二是，《办法》出台后，个人征信牌照还会远吗？且听洪言微语一一道来。

从内容上看，《办法》针对征信过程中信息的整理、保存、加工、对外提供、征信产品、异议和投诉以及信息安全等全流程进行了规范，与2013年公布的《征信业管理条例》（下称“条例”）有很大相似之处，如均强调信息采集要征求信息主体的同意、不良信息5年保存期、异议申请20日内答复等。那么，相比《条例》，《办法》有哪些亮点呢？

首提“过度采集”的概念。《办法》第8条明确规定：“征信机构采集个人信息，应当遵循‘合理、相关、必要’的原则，采集个人信息应当采用合理的方式，采集的个人信息应当与个人信用相关，不得过度采集”。过度采集概念的提出虽然未能解决信息采集的合法边界问题，但概念的提出本身已经是一种进步，是信息保护意识整体提升的客观反映。

规定更为人性化。《条例》和《办法》均明确采集个人信息应当经信息主体本人同意，但《办法》额外增加了“并明确告知信息主体采集信息的目的、信息来源和信息范围”的内容，使得相关规定更为人性化，个人信息保护也更具有可操作性。

更加注重网络信息安全。《办法》第12条明确规定：“征信机构采集个人在网络上公开的信息，除依照法律、行政法规规定公开的信息外，应当取得信息主体本人同意。”这也是《条例》中所没有的。在洪言微语看来，这一规定体现了官方对基于“网络爬虫”的大数据征信的态度。大数据风控是互联网金融蓬勃发展的基石（起码在宣传上是这样的），然而，除了阿里、京东、苏宁等电商平台本身就产生大数据之外，绝大多数形形色色的互联网金融企业本身不产生数据，网络公开信息是他们重要的信息来源。当前，这些企业获取个人网络公开信息并没有征求本人同意，《办法》落地后，这样的做法就面临着合规性的问题。对8家处于准备期的个人征信机构而言，这条规定是一个挑战。

个人信用评分产品纳入监管范围。《办法》第35条明确规定：“征信机构提供个人信用评分产品服务的，应当建立评分标准，不得将与个人信用无关的要素作为评价标准。”个人信用评分产品是个新东西，相比传统的征信报告，信用评分可量化、可比较，具有更强的社交属性和传播属性。除8家准备期的企业以外，市场上不少企业也推出了类似的评分产品。鉴于各家掌握的数据的数量和质量差异很大，其提供的信用评分结果也差异较大，所谓的信用评分产品更多地是一种娱乐性质，尚不足于投入实际应用。《办法》的这条规定将促使各类评分产品的标准化和规范化，当然，最终的结果可能是趋同化。

最后，《办法》的出台与个人征信牌照的落地有没有关系？恐怕是有关系的。去年1月，央行发布《关于做好个人征信业务准备工作的通知》，要求芝麻信用、腾讯征信、前海征信、鹏元征信等8家机构做好个人征信业务的准备工作，准备时间6个月。时至今日，在多轮验收之后，个人征信牌照仍没下发，引发了市场诸多猜测。

在以P2P为代表的互联网金融平台遭遇整顿和规范的大环境下，监管当局对于征信牌照发放的谨慎可以理解，《办法》的出台可以看作是在业务开展之前先立规矩，避免P2P、第三方支付等领域乱象的重现。