前言
互联网时代,线上业务的发展给社会经济带来了前所未有的机遇与蓝海,伴随机遇的同时,个人信息保护面临巨大挑战。2020年颁布实施的《民法典》对自然人的个人信息保护作了原则性规定。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》更加明确提出:“加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护”。随着《数据安全法》《个人信息保护法》《征信业务管理办法》《个人金融信息保护技术规范》和《金融数据安全数据生命周期安全规范》等一系列个人信息保护新规和技术标准的陆续出台,个人信息保护法律制度日臻完善。个人信息处理的合规问题已经成为商业银行开展线上信贷业务、向数字化转型中合规的重点与难点。本文主要分析上述新规对银行线上信贷业务贷前获客及贷后管理的影响,并结合多年商业银行法律服务经验提出相应合规建议,以期为银行线上展业提供一些启发与思考。
一、个人信息保护新规对商业银行线上信贷业务获客影响
(一)《个人信息保护法》影响及应对措施
1、《个人信息保护法》对商业银行线上信贷业务互联网引流获客的影响
由于引流获客的具体方式不同,《个人信息保护法》产生的影响也不同。
对于互联网广告吸引客户下载银行APP或者登录银行网站的引流方式,由于较少涉及个人信息的处理,因此受到该法的影响并不显著。但利用转链接点击数据建立模型以进行业务推送自动化决策的,根据该法的规定,还需要提供专门的人力、物力处理信息主体可能提出的异议。
对于通过联名合作方式的引流,由于涉及个人信息在第三方的采集、双方之间的信息传输等处理,因此受到该法的直接影响,需要依法征求信息主体的同意、尽到释明和披露义务,需要制定相关协议文本,准备相应的软件、硬件设施对于授权情况予以记录和处理,并承担隐藏的法律风险,而该法本身的提示作用也导致客户对于个人信息的采集、传输更为敏感,从而也提高了相关业务的投诉风险,需要更多的人力、物力进行准备和处理。
以上都导致互联网引流的成本大大提升,从而影响到策略的制订、降低数据应用的效率。
2、针对上述影响,银行应采取的应对措施
总体而言,遵守《个人信息保护法》,成立专门的工作小组,依法对业务操作的流程进行梳理、调整和规范,确保具体业务操作能够符合法律的规定。具体而言:
(1)建立健全个人信息保护管理制度
银行处理个人客户信息涉及多业务条线、多渠道、多环节,有必要建立覆盖个人信息收集、使用、加工、对外提供、跨境传输、安全管理、内控审计等全流程的管理制度和操作规程,确定个人信息保护牵头管理部门及各相关部门职责,明确员工保密要求,根据各类业务需要确定收集客户信息的基本原则、一般规则和安全保障措施。
(2)完善对客协议文本,明示客户信息处理规则
银行涉及收集、使用个人客户信息的各类产品文件,例如个人银行结算账户管理协议、借记卡章程、信用卡章程、电子银行章程、理财产品销售文件、各类个人贷款合同等,需结合业务实际对个人信息收集、使用、加工、对外提供等内容进行约定,明示处理信息的规则。其主要内容需包括:
A.信息收集的范围、方式、目的等。例如:银行需收集客户的身份信息、财产信息、征信信息等;收集方式可包括自身渠道直接收集以及通过合法持有其信息的第三方获取;收集的目的则包括客户身份识别、授信审批、贷后管理、客户服务等。
B.加工客户信息相关条款。银行可通过数据分析等形式对客户信息进行加工、总结,并将分析结果应用于客户服务、产品改进等。
C.客户信息可对外提供的情形。例如:服务外包、营销合作或联名卡合作等需要向合作方提供;集团内信息共享;债权转让、资产证券化及相关尽职调查需要向受让方、专业机构提供;为履行协议之必要向清算机构、代销机构、资产管理机构等机构提供;向审计、会计、律师等专业机构提供;为信息查询、获取之需要向第三方机构提供等。
D.客户信息存储时间及客户查询、更正、删除等权利的行使方式或渠道。需注意,客户信息存储时间应满足反洗钱法等法律法规要求。
(3)加强对外合作信息安全管理
银行对外业务合作过程中可能涉及客户信息的传递,例如:贷后管理外包中将客户必要信息提供给委外机构(如律师事务所)。如操作不当,可能会造成客户信息泄露。因而对外合作中,银行首先应就对外提供及从第三方收集客户信息获得客户授权,对外提供信息遵循“最小必要”原则。其次,应对合作方的资质及信息安全能力进行全面评估和持续监测,如从合作方获取信息还需核查其信息来源的合法性,避免因合作方泄露或非法采集客户信息引发银行声誉风险或法律风险。
(二)《数据安全法》影响及应对措施
1、《数据安全法》对商业银行线上信贷业务互联网引流获客的影响
对于互联网广告吸引客户下载银行APP或者登录银行网站的引流方式,由于数据的处理系在银行端进行,因此受到该法的影响并不显著。但此种方式在第三方端由于点击转链接所产生的点击数据涉及数据安全保护,因此,仍然需要依据该法承担比以往更为严格的数据安全保护措施。
对于通过助贷机构合作方式的引流,助贷机构与银行一般会通过H5页面等形式共同为用户提供服务,用户填写个人电话、姓名等资料会在双方共同的页面上进行留存,中间有可能缺乏个人信息的防火墙,并还可能被进一步转移到其他平台进行二次营销。这种模式下,金融消费者的个人信息可能会被滥用甚至造成过度营销。由于涉及个人信息在第三方的采集、双方之间的信息传输等处理,因此受到该法的直接影响,需要依法征求信息主体的同意、尽到释明和披露义务,需要制定相关协议文本,准备相应的软件、硬件设施对于授权情况予以记录和处理,并承担隐藏的法律风险,而该法本身的提示作用也导致客户对于个人信息的采集、传输更为敏感,从而也提高了相关业务的投诉风险,需要更多的人力、物力进行准备和处理。
以上都导致互联网引流的成本大大提升,从而影响到策略的制订、降低数据应用的效率。
2、针对上述影响,银行可以采取的应对措施
根据《数据保护法》相关要求,成立专门的工作小组,依法对业务操作的流程进行梳理、调整和规范,确保具体业务操作能够符合法律的规定。具体而言,即完善和补充相关协议,采取协议事先授权的方式,辅以具体环节单独通知信息主体的方式保证其授权、知情权的行使,同时配备合理的人力、物力以处理信息主体可能提出的异议。
(三)《征信业务管理办法》影响及应对措施
1、《征信业务管理办法》对商业银行线上信贷业务互联网引流获客的影响。
《办法》对信用信息采集、整理、保存、加工、提供和使用等征信业务的各个环节进行了明确规定。主要包括:信用信息采集应遵循“最小、必要”原则,不得过度采集;采集个人信用信息应当经信息主体本人同意,并明确告知信息主体采集信用信息的目的;征信机构要对信息来源、信息质量、信息安全、信息主体授权等进行必要的审查;信息使用者使用信用信息要基于合法、正当的目的,并取得信息主体的明确同意授权,不得滥用。故主要影响同《个人信息保护法》相关规定。
2、针对上述影响,银行可以采取的措施
参见针对《个人信息保护法》相关改进措施。
二、个人信息保护新规出台后对于商业银行线上信贷业务的贷后管理的影响
(一)上述法规对贷后管理渠道、方式、策略等影响
就贷后管理渠道而言:首先,银行委外之前需要针对委外事项进行个人信息保护影响评估,并制定相应的规范,以有效约束受托方可能的信息违规风险事件。其次,对于委外机构的准入尤其是在个人信息保护机制上需要严格审查,对于信息安全技术规范不满足行业要求的应当禁止准入;再次,应对委外机构的工作进行持续的监管和管理,对于存在违规风险的机构及时停案处理等,并在委托结束或委托解除后,及时要求委外机构删除有关个人信息;另外,银行法亦应建立完善的个人信息保护机制,指定信息安全负责人,披露相关负责任联系方式,对于客户要求查阅、复制、更正、撤回个人信息行为,不得拒绝并积极配合。
就贷后管理方式、策略而言:原有的业务模式如催收等,被限缩到本人,除必要情形外不得向第三方披露个人信息,更不得对第三人进行间接催收。另外,针对失联欠款人,在信用失联修复上,应谨慎开展,不得随意向第三方收集欠款人个人信息,同时与第三方合作开展失联修复,亦应得到客户“双授权”为前提。
(二)上述法规出台后,对委外贷后管理、司法诉讼、第三方调解以及失联信息修复等需要向外部机构提供持卡人信息的业务的制约和影响
此处的“提供”并非是《个人信息保护法》第二十三条向其他信息处理者提供个人信息的规定范畴,而属于第二十一条委托第三方过程中提供信息的规定,在通过领用协议事先授权的情况下,无需再征得信息主体的个人单独同意,故新规对于上述行为宏观层面影响不大。
但是由于上述规定明确规定了委托方的相关义务与法律后果,且明确委托方处理个人信息应以受托方处理个人信息范围和委托约定的范围为限,故外部机构在处理个人信息时应收到上述法律法规的全面制约。
(三)商业银行线上信贷业务贷后债权转让中涉及个人信息相关问题
1、关于债权转让中提供个人信息的行为,是否需要单独征得债务人同意
根据《个人信息保护法》第四条、第十四条,以及《个人信息安全规范》第9条第9.2款、《个人金融信息保护技术规范》第6条第6.1.4.2款的规定,除非个人信息处理的行为没有超出信息主体事先已经同意的范围、用途,则任何对于个人信息的处理行为都需要单独明示同意。
因此,在商业银行发展客户过程中,需将债权转让加入预先同意使用范围,或事后取得单独同意,在未能取得转让债权相关债务人的同意的情况下,向债权受让人提供债务人的个人信息,存在违反《个人信息保护法》及相关规范标准的风险。
2、关于在未征得债务人同意情况下进行的债权转让的法律风险
债权转让系商业银行在贷后管理中作为债权人对于自身所持有债权的处分,约束的是银行、债权受让人。个人信息保护属于银行对于个人的义务,约束的是银行、债务人。因此,债权转让、个人信息保护两者并非同一法律关系,债权转让法律关系的成立、生效并不以个人信息保护义务是否尽到为前提。即便在没有征得债务人同意的情况下,债权转让的效力也不受影响。
但是即便如此,由于债务人根据《个人信息保护法》第四十四条、第四十七条的规定,可以要求债权受让人删除其个人信息,则实际可能导致债权转让合同的目的无法实现,从而使得银行面临合同解除的风险。
除以上风险以外,从民事法律责任角度而言,未征得债务人同意而进行债权转让,将面临违反《个人信息保护法》,从而导致债务人提起诉讼要求受让人删除其个人信息,并要求银行承担侵权损失的法律风险。对于损失赔偿风险的具体情形,由于司法实践尚无可参考案例,故难以具体评估,但根据《个人信息保护法》第六十九条的规定,法院将酌情确定赔偿金额。
(四)商业银行线上信贷业务贷后管理(催收、诉讼、债权转让等)针对上述法规的应对措施和调整建议
1、合约
银行涉及收集、使用个人客户信息的各类产品文件,例如个人银行结算账户管理协议、借记卡章程、信用卡章程、电子银行章程、理财产品销售文件、各类个人贷款合同等,需结合业务实际对个人信息收集、使用、加工、对外提供等内容进行约定,明示处理信息的规则。其主要内容需包括:
一是信息收集的范围、方式、目的等。例如:银行需收集客户的身份信息、财产信息、征信信息等;收集方式可包括自身渠道直接收集以及通过合法持有其信息的第三方获取;收集的目的则包括客户身份识别、授信审批、贷后管理、债权转让、客户服务等。对于特定业务可单独通过短信、微信、电子邮件等方式,向客户发送通知,取得单独同意。
二是加工客户信息相关条款。银行可通过数据分析等形式对客户信息进行加工、总结,并将分析结果应用于客户服务、产品改进等。
三是客户信息可对外提供的情形。例如:服务外包、营销合作或联名卡合作等需要向合作方提供;集团内信息共享;债权转让、资产证券化及相关尽职调查需要向受让方、专业机构提供;为履行协议之必要向清算机构、代销机构、资产管理机构等机构提供;向审计、会计、律师等专业机构提供;为信息查询、获取之需要向第三方机构提供等。
四是客户信息存储时间及客户查询、更正、删除等权利的行使方式或渠道。需注意,客户信息存储时间应满足反洗钱法等法律法规要求。
2、制度
建立覆盖个人信息收集、使用、加工、对外提供、跨境传输、安全管理、内控审计等全流程的管理制度和操作规程,确定个人信息保护牵头管理部门及各相关部门职责,明确员工保密要求,根据各类业务需要确定收集客户信息的基本原则、一般规则和安全保障措施。
3、系统
通过在网络、系统、终端、应用等不同层面,分别部署网络安全防御系统和工具,并集中纳入统一管控,防止金融信息等核心数据资产被窃取,持续完善数据防泄露体系建设,实现了重要文档加密、邮件过滤、终端防护等多层次、立体化的访问控制和数据保护。
4、策略
银行要全方位落实央行三年金融科技规划中对信息数据保护的技术要求,遵循合法、合理原则,选择符合国家及金融行业标准的安全控件、终端设备、应用程序(App)等产品进行金融信息采集和处理,利用通道加密、双向认证等技术保障金融信息传输的安全性,运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性,通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录,防范金融信息集中泄露风险。
5、考核
加强数据使用行为监控审计,运用安全态势感知、大数据分析技术,主动发现和追溯数据泄露,及时采取有效控制措施;运用技术、管理、教育综合手段,防控内部违规查询、打印等使用个人金融信息的行为;持续开展数据安全评估,做好各项预防工作。
6、外包准入
对外合作中,银行首先应就对外提供及从第三方收集客户信息获得客户授权,对外提供信息遵循“最小必要”原则。其次,应对外包方的资质及信息安全能力进行全面评估和持续监测,如从外包方获取信息还需核查其信息来源的合法性,避免因合作方泄露或非法采集客户信息引发银行声誉风险或法律风险。另外,对于已经准入的外包机构,需要对其资质、信息保护能力进行排查,剔除不达标的机构,并要求外包机构就个人信息保护签订保证书。
三、《个人信息保护法》部分重点条款的影响分析
(一)《个人信息保护法》关于个人信息跨境提供的相关要求,如第三十八条、四十条的规定,对银行具体业务场景的影响
具体而言,银行境外信用卡组织合作中,不可避免在各种互动中需要传输持卡人卡片信息、消费数据等进行核对已完成活动,此种情况不属于《个人信息保护法》免除个人同意的情况,且根据该法必须经过国家网信部门等的评估或者安全认证。但目前并无配套的行政流程落地,因此此类业务一旦正常开展,会存在较大的违法风险。
(二)《个人信息保护法》中明确将金融账户信息归入敏感个人信息,同时要求处理这类敏感个人信息时应取得个人的单独同意,商业银行线上信贷业务环节中如何实现
首先该部分敏感个人信息处理可能会出现在联系第三方、失联信息修复等业务场景中。
具体而言,在线上业务中,银行可在用户选择相应APP功能、网站点击相关链接时通过弹窗提示同意,若不同意则无法进行下一步操作。而如果是线下业务,则银行通过关键条款旁单独增加客户签名同意,或者单独另起一份文件,单独就同意内容征得个人签字确认。无论是是线上还是线下,无论是单独条款或者单独文件,均应真实、完整的向客户告知个人信息使用目的(必要性)、范围及场景、个人信息处理方式及规则、对外共享及披露情形、个人信息主体权利保障机制、投诉处理渠道等。
(三)《个人信息保护法》中对个人信息主体的可携带权、删除权、撤回授权等权益予以保障,该部分合规要求商业银行在业务中应如何实现
商业银行可成立专门的个人信息保护部门,及时收悉并审核个人信息主体相关需求,并对于其需求分别予以不同处理方式:
针对可携带权:如果符合网信部门的规定条件,则按照客户提供的信息处理方式和信息范围予以提供,如果不符合网信部分的监管要求或者其要求转移的信息超过个人信息范围,则银行有权拒绝其请求并给予必要的解释。
针对删除权:银行首先审查是否符合《个人信息保护法》第四十七条规定的五种情形,如果符合,则予以永久删除并保留相关删除日志;如果不符合,则向客户予以解释说明。
针对撤回权:《个人信息保护法》第十六条规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”该除外情形同时规定银行在何种情况下可以拒绝客户撤回同意银行处理个人信息,即限定在“处理个人信息属于提供产品或者服务所必需的”个人信息。因此,除产品或服务所需的个人信息之外的信息,客户有权撤回,且银行无权拒绝。如涉及到第三人信息的,并非是该产品或服务的必需信息,客户有权申请撤回同意银行处理该信息。银行首先审查相关个人信息是否基于其个人同意,如何符合,则银行应立即停止对于个人信息的处理行为,如该信息已委托第三方处理,则应停止授权。但是对于银行基于正当的合法权益如欠款求偿权,银行通过客户预留的联系方式仍然可以继续处理,此时个人信息的保护权应让位于守约方合法的求偿权。
(四)贷后管理中的批量自动化减免方案的批核、自动化短信及信函催收,是否需要符合《个人信息保护法》中“自动化决策”相关要求的合规分析
根据《个人信息保护法》第二十四条、五十五条、七十三条,“自动化决策”是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动,并赋予了个人以下两种权利:
第一,个人知情权,即“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇”。
第二,个人选择权,即“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”,“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。
其中,“对个人权益有重大影响的决定”为一个重点。参考欧洲联盟的《通用数据保护条例》(《GDPR》)在联合国世界车辆法规协调论坛(WP29)工作组指定的关于数据自动化处理的指引中,认为如果一个人在作出最终决定时审查并考虑到其他因素,该决定就不是“完全”基于自动处理,并将以下决定列为对个人权益重大影响的决定:“影响某人的财务状况的决定,例如他们的信贷资格;影响某人获得健康服务的决定;剥夺某人的就业机会或使其处于严重不利地位的决定……”
据此规定,银行在清收过程中的批量自动化减免方案的批核、自动化短信及信函催收程序,应当尽可能符合《个人信息保护法》中关于“自动决策”条款中的相关规定。例如,在对个人权益有重大影响的决定的场景下,如信贷……等场景下,对自动化决策的结果引入人工审核机制。
另外,在使用自动化催收、信函催收时,注意落实相关隐私政策,如:1)对利用个人信息进行的自动化决策的环节和必要性进行说明;2)对拒绝自动化决策的方式进行说明;3)列明联系方式,方便个人要求解释自动化决策。
目前,因数据安全管理制度不完善、未按规定收集使用个人金融信息、侵害消费者个人信息权利等违法违规行为,已有多家银行遭受监管机构执法和巨额罚款。《个人信息保护法》等信息安全法律生效之后,银行应从多方面着手,完善客户金融信息保护,严防个人信息保护的合规风险:完善消费者金融信息收集、保存、使用、对外提供等环节的内控制度,采取有效措施将各项制度落到实处;修订格式合同,完善信息采集、使用条款,对敏感个人信息等特殊信息取得客户单独授权;持续改进完善系统技术水平,确保客户金融信息安全;对接触消费者金融信息的岗位人员合理设置权限,并采取内部审批等有效措施进行权限控制;全面开展员工培训和警示教育工作,着力提升全行个人信息保护意识,避免因信息安全问题造成的经营风险。