2021年9月30日，中国人民银行发布《征信业务管理办法》（以下简称“《办法》”），自2022年1月1日起施行。为了规范征信业务及其相关活动，保护信息主体合法权益，促进征信业健康发展，推进社会信用体系建设，根据《中华人民共和国中国人民银行法》《中华人民共和国个人信息保护法》《征信业管理条例》等法律法规，制定《办法》。其主要内容如下：

一、信用信息采集。采集个人信用信息，应当采取合法、正当的方式，遵循最小、必要的原则，不得过度采集。信息提供者向征信机构提供信用信息的，征信机构应当制定相关制度，对信息提供者的信息来源、信息质量、信息安全、信息主体授权等进行必要的审查。征信机构与信息提供者在开办业务及合作中应当遵守《中华人民共和国个人信息保护法》等法律法规，通过协议等形式明确信息采集的原则以及各自在获得客户同意、信息采集、加工处理、信息更正、异议处理、信息安全等方面的权利义务和责任。征信机构经营个人征信业务，应当制定采集个人信用信息的方案，并就采集的数据项、信息来源、采集方式、信息主体合法权益保护制度等事项及其变化向中国人民银行报告。征信机构采集个人信用信息应当经信息主体本人同意，并且明确告知信息主体采集信用信息的目的。征信机构通过信息提供者取得个人同意的，信息提供者应当向信息主体履行告知义务。个人征信机构应当将与其合作，进行个人信用信息采集、整理、加工和分析的信息提供者，向中国人民银行报告个人征信机构应当规范与信息提供者的合作协议内容。信息提供者应当就个人信用信息处理事项接受个人征信机构的风险评估和中国人民银行的情况核实。采集企业信用信息，应当基于合法的目的，不得侵犯商业秘密。

二、信用信息整理、保存、加工。征信机构整理、保存、加工信用信息，应当遵循客观性原则，不得篡改原始信息。征信机构应当采取措施，提高征信系统信息的准确性，保障信息质量。征信机构在整理、保存、加工信用信息过程中发现信息错误的，如属于信息提供者报送错误的，应当及时通知信息提供者更正；如属于内部处理错误的，应当及时更正，并优化信用信息内部处理流程。征信机构应当对来自不同信息提供者的信息进行比对，发现信息不一致的，及时进行核查和处理。征信机构采集的个人不良信息的保存期限，自不良行为或者事件终止之日起为5年。个人不良信息保存期限届满，征信机构应当将个人不良信息在对外服务和应用中删除；作为样本数据的，应当进行匿名化处理。

三、信用信息提供、使用。征信机构应当采取适当的措施，对信息使用者的身份、业务资质、使用目的等进行必要的审查。征信机构应当对信息使用者接入征信系统的网络和系统安全、合规性管理措施进行评估，对查询行为进行监测。发现安全隐患或者异常行为的，及时核查；发现违法违规行为的，停止提供服务。信息使用者应当采取必要的措施，保障查询个人信用信息时取得信息主体的同意，并且按照约定用途使用个人信用信息。信息使用者使用征信机构提供的信用信息，应当基于合法、正当的目的，不得滥用信用信息。信息主体认为信息存在错误、遗漏的，有权向征信机构或者信息提供者提出异议；认为侵害自身合法权益的，可以向所在地中国人民银行分支机构投诉。对异议和投诉按照《征信业管理条例》及相关规定办理。征信机构不得以删除不良信息或者不采集不良信息为由，向信息主体收取费用。征信机构提供信用报告等信用信息查询产品和服务的，应当客观展示查询的信用信息内容，并对查询的信用信息内容及专业名词进行解释说明。信息主体有权要求征信机构在信用报告中添加异议标注和声明。征信机构提供画像、评分、评级等信用评价类产品和服务的，应当建立评价标准，不得将与信息主体信用无关的要素作为评价标准。征信机构正式对外提供信用评价类产品和服务前，应当履行必要的内部测试和评估验证程序，使评价规则可解释、信息来源可追溯。征信机构提供经济主体或者债务融资工具信用评级产品和服务的，应当按照《信用评级业管理暂行办法》（中国人民银行发展改革委财政部证监会令〔2019〕第5号发布）等相关规定开展业务。征信机构提供信用反欺诈产品和服务的，应当建立欺诈信用信息的认定标准。征信机构提供信用信息查询、信用评价类、信用反欺诈产品和服务，应当向中国人民银行或其省会（首府）城市中心支行以上分支机构报告下列事项：（一）信用报告的模板及内容；（二）信用评价类产品和服务的评价方法、模型、主要维度要素；（三）信用反欺诈产品和服务的数据来源、欺诈信用信息认定标准。征信机构不得从事下列活动：（一）对信用评价结果进行承诺；（二）使用对信用评价结果有暗示性的内容宣传产品和服务；（三）未经政府部门或者行业协会同意，假借其名义进行市场推广；（四）以胁迫、欺骗、诱导的方式向信息主体或者信息使用者提供征信产品和服务；（五）对征信产品和服务进行虚假宣传；（六）提供其他影响征信业务客观公正性的征信产品和服务。

四、信用信息安全。征信机构应当落实网络安全等级保护制度，制定涉及业务活动和设备设施的安全管理制度，采取有效保护措施，保障征信系统的安全。个人征信机构、保存或者处理100万户以上企业信用信息的企业征信机构，应当符合下列要求：（一）核心业务信息系统网络安全保护等级具备三级或者三级以上安全保护能力；（二）设立信息安全负责人和个人信息保护负责人，由公司章程规定的高级管理人员担任；（三）设立专职部门，负责信息安全和个人信息保护工作，定期检查征信业务、系统安全、个人信息保护制度措施执行情况。征信机构应当保障征信系统运行设施设备、安全控制设施设备以及互联网应用程序的安全，做好征信系统日常运维管理，保障系统物理安全、通信网络安全、区域边界安全、计算环境安全、管理中心安全等，防范征信系统受到非法入侵和破坏。征信机构应当在人员录用、离岗、考核、安全教育、培训和外部人员访问管理等方面做好人员安全管理工作。征信机构应当严格限定公司内部查询和获取信用信息的工作人员的权限和范围。征信机构应当留存工作人员查询、获取信用信息的操作记录，明确记载工作人员查询和获取信用信息的时间、方式、内容及用途。征信机构应当建立应急处置制度，在发生或者有可能发生信用信息泄露等事件时，立即采取必要措施降低危害，并及时向中国人民银行及其省会（首府）城市中心支行以上分支机构报告。征信机构向境外信息使用者提供企业信用信息查询产品和服务，应当对信息使用者的身份、信用信息用途进行必要的审查，确保信用信息用于跨境贸易、投融资等合理用途，不得危害国家安全。征信机构与境外征信机构合作的，应当在合作协议签署后、业务开展前将合作协议报告中国人民银行。

五、监督管理。个人征信机构应当每年对自身个人征信业务遵守《中华人民共和国个人信息保护法》《征信业管理条例》的情况进行合规审计，并将合规审计报告及时报告中国人民银行。信息提供者和信息使用者违反《征信业管理条例》规定，侵犯信息主体合法权益的，由中国人民银行及其省会（首府）城市中心支行以上分支机构依法对其检查和处理。