在群雄逐鹿的互联网借贷领域,风控是各机构的致胜法宝。以“极速放款”概念吸引借款人的无担保贷款,其风控的关键在于通过互联网尽可能多地收集借款人的个人金融信息以匹配机构自身的风控模型,判断借款人的违约风险。如何合法地获取并使用借款人的个人金融信息是每个互联网借贷业务参与者都须认真思考的课题。

Part 1

人民银行牵头建立个人金融信息保护监管机制

  • 17号文与个人金融信息保护工作的法律框架

在2011年下发的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号,以下简称“17号文”)中,中国人民银行第一次对个人金融信息作了全面的定义,对银行业金融机构如何收集、保存、使用或对外提供个人金融信息作出了规定。 之后,中国人民银行在2012年下发了《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》并于2013年8月对各银行业金融机构开展了个人金融信息保护情况的专项检查。在本次专项检查形成的《关于2013年个人金融信息保护专项检查情况的通报》(银办发[2014]131号,以下简称“131号文”),中国人民银行对个人金融信息保护的违规情形作出了具体的描述:

  • 314号文与交叉性金融产品和服务领域的监管适用

根据国务院领导批示,人民银行牵头银监会、证监会、保监会成立了《国务院办公厅关于加强金融消费者权益保护工作的指导意见》起草小组,并由国务院办公厅于2015年11月13日正式发布《国务院办公厅关于加强金融消费者权益保护工作的指导意见》,为金融消费权益保护工作的开展奠定重要的制度基础。2016年人民银行制定并颁布《中国人民银行金融消费者权益保护实施办法》(银发[2016]314号,以下简称“314号”),明确除银行业金融机构以外,人民银行有权对跨市场、跨行业交叉性金融产品服务实施金融消费者权益保护监管,其中包括个人金融信息保护。 自2018年开始,人民银行对违反金融消费者权益保护工作的金融机构援引《消费者权益保护法》实施处罚,使得个人金融信息保护监管工作拥有了 “牙齿”。

  • 值得注意的《重庆通知》

近年来互联网个人消费金融市场发展迅猛,其中重庆因其政策和税收优势吸引了国内绝大部分头部互联网企业在当地布局互联网放贷机构,无论是机构数量还是贷款余额均位居全国前列。数据显示,截至2018年3月底,重庆辖区共成立互联网小贷公司53家,其中30家已获批接入金融信用信息基础数据库(简称“征信系统”),占比56.6%。[1]因此重庆对互联网借贷业务中个人金融信息保护的监管规定对于观察监管动态与趋势具有较强的借鉴意义。 值得注意的是,近期中国人民银行重庆营业管理部向辖区内接入机构下发了《关于加强互联网借贷业务征信合规管理的通知》(渝银办发[2018]109号,以下简称《重庆通知》)对互联网借贷业务中的征信信息与个人金融信息的查询与使用作出明确规定。该通知结合17号文规定,吸收《个人信息安全规范》(GB/T 35273-2017)对个人敏感信息的定义和保护推荐标准,对征信信息系与个人金融信息采集查询、授权、使用和共享与对外提供提出明确要求。

Part2 个人金融信息获取与使用的合规要点

  • 互联网导流(助贷)业务中个人金融信息的获取和使用

互联网借贷业务中,互联网机构借助其流量优势往往承担助贷或导流功能,向持牌放贷机构推荐客户。在该等合作模式下,用户往往在助贷或者导流界面向互联网流量入口机构提供个人金融信息提供和提交借款申请,再由助贷或者导流机构推送给持牌放贷机构,用户往往并不会与互联网放贷机构存在信息交互,更无从谈起互联网放贷机构向用户取得合法有效的授权和许可。 随着互联网金融风险整治工作逐渐深入开展,部分互联网机构通过页面跳转或者嵌入持证放贷机构API调用的方式实现用户与放贷机构信息交互,但是对于该等安排的监管意见一直缺乏实证支持。事实上,在最初的《重庆通知征求意见稿》中已规定“对从合法合规的第三方平台获取客户的,客户征信授权要中转到机构自身的移动APP作出或调用机构自身后台统一授权系统作出。”但是最终颁布的《重庆通知》中规定“各接入机构应当将个人金融信息及征信授权书嵌入移动APP或PC端贷款申请页面”因此,我们理解当前以“页面跳转”方式实现助贷用户与互联网放贷机构信息交互并取得用户的授权符合监管要求;如果用户在助贷或者导流平台的交互界面通过API调用互联网放贷机构的授权书实现跨平台授权,在用户对该等跨平台授权“无感知”或者“对授权对象陷入错误认识”的情况下,存在一定的合规风险。 此外,我们也注意到部分互联网借贷业务中,互联网机构与持牌放贷机构共建风控系统,同时基于“用户授权”将用户的个人金融信息留存在互联网机构。如果上述个人金融信息中包含持牌放贷机构通过征信系统接入端口查询的个人征信信息,则互联网机构是否违反征信管理规定存在较大争议。《重庆通知》中规定“收集个人金融信息并未提供相关金融服务的,各接入机构宜进行去标识化处理并与可恢复识别个人的信息分开存储,并确保后续信息处理中不重新识别个人。”因此,我们理解在互联网导流(助贷)业务中,互联网机构提供的并非金融服务,因此不宜处理和留存个人金融信息,确有需要的,建议按照上述规定执行。

  • “最少必需”原则下收集与使用个人金融信息

17号文中提出信息收集应遵循“合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息”。而131号文则第一次提出了“最少必需”原则,但并未对“最少必需”原则下可收集的用户信息作出具体的说明。近年来,中国人民银行亦以个人金融信息收集不符合“最少必需”原则对部分金融机构进行了处罚。 实践中,出于商业利益考虑,部分互联网金融企业在直接收集用户信息时往往采用“概括授权”方式,即取得用户一次性地对企业隐私政策或其他信息收集协议的同意后,即通过软件或APP在用户系统后台频繁地收集与用户需要获取的产品服务有关、弱关联甚至是无关的全部信息。 在“最少必需”原则下,我们认为互联网借贷业务参与机构需要针对不同的产品模式、风控标准与策略,论证拟收集的个人金融信息与产品的关联性,重新确定收集个人金融信息范围,参照《重庆通知》的要求,宜将信息收集范围限制在“信贷服务、风险管理以及与信贷业务相关的用途”,同时根据314号文的要求,“不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为建立业务关系的先决条件。” 此外,需要注意的是“最少必需”原则并非仅适用于收集个人金融信息,在使用、分享或者对外提供个人金融信息时也应当同样遵循“最少必需”原则,例如17号文第四条(二)款规定“……向本金融机构以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外。”

  • 间接获取应当核实信息来源并鼓励 “信息主体二次授权”

对于间接获取的个人金融信息,需求方往往忽略对提供方的信息来源合法性的核查,考虑到个人金融信息属于个人敏感信息范畴,因此《重庆通知》中明确要求金融机构对信息来源合法性予以确认,并了解信息主体是否授权同意转让、共享或公开披露。 近年来,互联网企业之间对用户数据抓取引发的争议频发,尽管主审法院大都依据反不正当竞争审判视角做出判决,但基于对用户个人信息保护的角度,均倾向于支持“信息主体二次授权”原则。例如杭州互联网法院在近期一数据争议纠纷案(案号:(2017)浙8601民初4034号)的判决中,重申“如果网络运营者公开使用或许可他人使用网络用户个人信息,网络用户个人信息安全将面临新的不可预测的风险,超出了网络用户对个人信息安全保护的原有预期。因网络运营者对于网络用户个人信息的安全负有法定保护义务和审慎注意义务,网络运营者公开使用或许可他人使用其收集的网络用户个人信息的,应事先另行取得被收集者的明示同意。”

  • 收集个人敏感信息应“明示同意”

实践中,部分互联网企业收集信息征得个人信息主体同意的方式往往比较简单,通常采用的是不拒绝视为同意的原则,常见方式是采取“默认勾选”和“不点击则不可见”的方式,向用户展示授权文件并征得用户的同意收集用户个人敏感信息,个人敏感信息主体的知情同意往往流于形式。虽然《个人信息安全规范》提出 “个人敏感信息的收集和使用需获得用户明示同意”并制定了“明示同意”的示范模板,但是受限于推荐性标准,因此并无强制执行的效力。 《重庆通知》中对于个人金融信息的定义与《个人信息安全规范》对个人敏感信息的定义高度一致,其亮点在于参照《个人信息安全规范》中的“明示同意”的推荐标准,对个人金融信息收集与使用的授权文件与展示方式作出明确规定。例如,在用户授权查询用户人行征信状况时,《重庆通知》要求企业在贷款申请页面以“强制阅读”方式向用户展示个人金融信息及征信授权书。而对采集用户信息的授权文本中可能收集个人敏感信息的授权文集,《重庆通知》要求企业应当采取加粗、斜体、下划线等足以引起信息主体注意的提示,并要求用户以主动勾选、主动填写、主动点击“同意”、“注册”等肯定性动作或其他书面申明同意企业采集用户的个人敏感信息。 考虑到互联网借贷业务必然涉及收集用户的个人敏感信息及《重庆通知》的参照意义,我们建议借鉴《重庆通知》的要求重新调整授权文本内容、展示方式及用户授权与许可的意向表示方式。

  • 收集信息的集团内使用

随着互联网借贷企业放款渠道与获取牌照的扩张,同一集团体系内可能存在商业银行、消费金融公司、基金公司、小额贷款公司或保理公司等多个面向借款人从事互联网借贷或互联网理财等业务主体。一个主体收集的个人金融产品信息一般会共享给集团内其他主体查询或使用。 尽管17号文中规定了“向本金融机构以外的其他机构和个人提供个人金融信息”的豁免情形包括“为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和中国人民银行另有规定的除外”。但131号文中仍指出“部分机构未经客户授权,通过格式条款明确:集团内部单个机构收集的客户个人信息可用于集团及其直接或间接控股的公司,还可用于因服务必要而委托的第三方。金融集团奉行大数据理念,将集团内客户信息实现最大化利用”。事实上,与普通互联网企业个人信息保护遵循“用户知情与同意原则”不同,以人民银行为代表的金融监管部门对个人金融信息的收集和使用采用“强力干预”,金融机构应当对部分监管合规义务条款引起充分重视。例如《非银行支付机构网络支付业务管理办法》第二十条规定“……支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。” 《关于进一步规范货币市场基金互联网销售、赎回相关服务的指导意见》第一条(一)款规定“……严禁非持牌机构留存投资者基金销售信息。” 针对个人金融信息的集团内共享使用问题,我们认为集团内共享信息需要在用户与拟使用信息的集团内主体间形成了明确具体的业务办理的前提下,根据具体业务形式判断拟共享的信息是否必需。如必需的,在共享信息主体与拟使用信息主体间达成相关合作协议的情况下,需要用户在拟使用信息主体的业务重新取得用户明示同意后方可使用。