来源:中国经营报

  本报记者 郑瑜 北京报道

  从消费金融公司近年罚单内容来看,消费金融的信用信息集使用和违反个人征信规定问题已经成为消费金融公司被处罚的主要事由之一。

  日前,浙江宁银消费金融股份有限公司(以下简称“宁银消费金融”)因提供个人不良信息未事先告知信息主体本人,而被处以20万元行政处罚罚款。

  根据2013年颁布的《征信业管理条例》第十五条,“信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外。”

  如违反相关规定,“情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款。”

  最近一年多,关于个人信息集、使用等原因收到罚单的消费金融公司并不只有宁银消费金融。2022年,四川锦程消费金融有限责任公司因违反信用信息集、提供、查询及相关管理规定,被处以罚款22.6万元。今年年初,持牌消费金融行业首张罚单就关于个人信息问题,具体为湖南长银五八消费金融股份有限公司因未经同意查询个人信息,被罚款75万元。

  粗放模式积弊已

  今年10月,国家金融监督管理总局公布金融消费者权益保护典型案例中披露,某消费金融公司利用格式合同强制授权,无差别地获取借款人关系人、通讯行为、通讯信息、互联网使用信息等个人信息。

  北京市盈科(广州)律师事务所宋竟一认为,根据观察,过去信息的粗放治理模式主要集中在,首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,或者隐私政策等收集使用规则难以阅读,默认选择同意隐私政策等非明示方式征求用户同意;以及要求用户一次性同意打开多个可收集个人信息权限,并且还有收集个人信息的频度超过业务功能实际需要等。

  资深数据合规律师彭凯表示,首先,根据《个人信息保***》第五条、第六条规定,处理个人信息应当遵循合法、正当、必要、诚信原则且具备合理、明确的目的。因此,在收集借款人之关系人、通讯行为等信息前,企业应当结合业务场景评估收集该等信息是否有明确、合理的目的,收集该等信息是否遵循前述基本原则,尤其是必要原则。

  “其次,除了法律、行政法规另有规定的情形外,处理个人信息前应当取得个人的同意(如涉及收集敏感个人信息,还应取得用户单独同意)。因此,企业应当通过《隐私政策》《服务合同》等告知用户收集个人信息的目的、类型等,并获得用户的同意。由于借款人之关系人的姓名、联系方式等信息属于第三人的个人信息,企业难以直接触达第三人获取其同意,一般应在相关规则文本中提示借款人,请借款人确认向企业提供关系人之个人信息前已获得关系人的同意。总而言之,在具备明确合理目的、遵循基本原则(尤其是必要原则)、已落实告知和同意(法律、行政法规另有规定除外)的前提下,企业方可收集借款人的关系人、通讯行为等信息。”彭凯补充道。

  “《个人信息保***》实施以前,我国没有针对个人信息保护的专门基础立法,也缺乏针对个人信息全生命周期的系统的、细致的合规要求。”彭凯表示,持牌机构无论是在前端的收集阶段,还是后端的存储、交互、删除等阶段,可能都存在更重视数据利用便捷而忽视个人信息权益保护的问题。比如收集阶段,根据工信部的通报,早期有些甚至没有配置《隐私政策》,或者照搬照抄导致“牛头不对马嘴”,或者超出必要范围要求用户“一揽子授权”,用户根本不知道企业基于什么目的收集了自己哪些个人信息,技术的发展更加深了这种信息不对称性。再比如与第三方的数据交互,很多企业可能并未建立第三方数据管控制度,不仅从第三方间接获取个人信息不核查来源合法性,而且对外共享个人信息也不会评估信息被泄露、非法利用的风险。再说存储阶段,有些企业未对信息进行分类分级,存储时甚至没有加密,敏感信息明文展示更是常规操作,内部权限管理也不到位。这些粗放扩张的个人信息处理方式会导致信息泄露、损毁、非法买卖等安全的发生,极大损害个人信息主体权益。

  合规治理不断完善

  当前,金融消费者权益保护尤其是个人信息保护受到了广泛重视。

  彭凯向记者介绍道,首先,在人员和制度建设方面,很多持牌机构都任命了数据安全或个人信息保护负责人以统筹企业内部个人信息保护工作,并依据基本“三法”(《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保***》)的规定及企业的内部实践制定实施了数据合规相关的内部制度,比如个人信息保护影响评估制度、数据交互管理制度、数据安全技术要求等,这给企业整体个人信息保护工作的推进提供了很好的基础保障。其次,持牌机构也在积极推进安全认证、合规检测相关工作,通过在认证、检测过程中识别自身合规差距和安全漏洞,后续针对性地开展相关整改工作,进而从管理、技术等方面进行完善。比如根据平安消费金融有限公司发布的2022年数据安全和个人信息保护社会责任报告,其在2022年3月获得了CCRC(即“中国网络安全审查技术与认证中心”)颁发的移动互联网应用程序安全认证证书,是消费金融行业首个通过该认证的。

  “持牌机构开展员工内部培训的频次增加,邀请高校教师、安全专家、律师等开展网络安全、数据安全及个人信息保护方面的合规培训,帮助员工学习和熟悉数据合规相关的监管要求,增强员工的个人信息保护意识。最后,我们观察到很多持牌机构也在不断优化个人信息主体权利响应的方式,比如响应工信部建立个人信息保护“双清单”,提升用户感知,还有在中设置自主注销账号功能,相较于拨打客服电话或者发送邮件提出注销申请,用户能够更加方便快捷地完成注销,总的来看,目前持牌金融机构无论是在内部人员、制度建设、自查整改、培训,还是直接面向用户的个人信息保护相关产品功能优化上,都做了很多努力和尝试,也取得了一些成效。”彭凯说道。

  事实上,如何保护个人信息课题之下,从业机构普遍还有另外一个担忧,那就是如何平衡数据价值挖掘与保护问题。

  对于上述疑问,彭凯认为,《个人信息保***》开篇也阐述了立法目的包括“保护个人信息权益”和“促进个人信息合理利用”,强调个人信息保护并不等于禁止数据流通。目前国家战略、技术发展等都在对此进行很多有益探索,比如,宏观层面来看,数据要素交易市场的发展为数据交互场景下如何平衡两种重要价值提供了思路,为响应国家大数据发展战略,多地纷纷成立了数据交易所,探索建立中国式的数据要素交易机制,以实现在充分挖掘数据价值的同时,保障用户信息安全和数据安全。此外,技术层面,去标识化、匿名化技术本身就是一种平衡数据价值和个人信息权益的体现,尽管何种技术算是实现了匿名化目前仍存在很多争议。此外,实践中“隐私计算”等技术的发展也为数据“可用不可见”提供了可能性,在避免形成“数据孤岛”、促进数据有效交互的同时,通过各种技术保障数据计算过程和数据计算结果的安全。

  据毕马威KPMG《隐私计算行业研究报告》预测,随着越来越多银行、持牌消费金融机构等金融机构积极引入隐私计算技术,三年后这项技术服务营收或将达到100亿至200亿元人民币。

  彭凯强调,随着数据的不断增长、技术的不断发展、制度的不断完善、实践的不断探索,释放数据价值和保护信息安全是可以同时追求并能够实现的目标。

  宋竟一建议,在监管日益严格的背景下,各个主题应该更好保护消费者个人信息,开发展应当建立完善的隐私保护机制,处理用户数据,尤其是在传输和存储数据时,应该开发使用的加密传输协议,以确保数据传输的安全;在增加软件的安全性上,限制开发人员访问敏感用户信息、限制员工的访问权限;审查第三方和工具,等等。