个人信息“断直连”未必是坏事—浅析个人信息“断直连”的影响及互联网助贷业务合规操作建议

导语 根据WEMONEY研究室于2021年7月7日报道,中国人民银行征信管理局下发通知,要求互联网平台机构在与…

导语

根据WEMONEY研究室于2021年7月7日报道,中国人民银行征信管理局下发通知,要求互联网平台机构在与金融机构贷款合作助贷等业务中实现个人信息与金融机构的全面“断直连”。有些业内人士对此持悲观态度,认为此举会对互联网助贷等合作业务造成重大负面影响,甚至认为助贷业务将划上休止符。笔者对此则持不同观点,笔者认为,个人信息“断直连”对于互联网助贷业务未必是坏事,反而更有利于业务合规、可持续发展。

一、个人信息“断直连”的基本含义解读

根据WEMONEY研究室的具体报道,个人信息“断直连”的具体含义是指:“按照个人征信业务整改工作要求,平台机构在与金融机构开展引流、助贷、联合贷等业务合作中,不得将个人主动提交的信息、平台内产生的信息或从外部获取的信息以申请信息、身份信息、基础信息、个人画像评分信息等名义直接向金融机构提供,须实现个人信息与金融机构的全面‘断直连’。”[1]

1、“断直连”的基本含义是,金融机构的信息入口只能是征信机构,这类似于前几年第三方支付机构与商业银行的“断直连”

根据上述内容及相关报道,所谓“断直连”是指相关数据应经过“平台-征信机构-金融机构”的路径进行对接,即金融机构只能经过征信机构获取征信数据,互联网平台只能和征信机构对接。这个整改特别类似于前几年第三方支付机构与商业银行的“断直连”。

第三方支付业务发展早期,第三方支付机构一般通过在不同商业银行开设账户的方式从而实现不同商业银行用户之间款项的即时划转结算,这种方式具有快速便携的特性,但是,这种业务对接模式彻底屏蔽了中国人民银行对于交易信息、资金划转的监控,不利于监管部门统一把控金融风险。于是,2017年8月4日,中国人民银行支付结算司发布《关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》(银支付〔2017〕209号),要求自2018年6月30日起,支付机构受理的涉及银行账户的网络支付业务全部通过网联平台处理。网联平台类似于线下支付清算机构银联,其意在于彻底解决第三方支付机构脱离监管自行清算的问题。

类似于第三方支付业务的断直连,个人信息断直连的目的亦在于解决各机构自行对接个人信息数据的乱象,将其收归持牌征信机构统一管理,以最终解决个人信息保护的问题,这不仅关涉个人利益,亦关涉国家安全。近期热点问题滴滴事件便充分说明了该问题。

2、“断直连”的范围包含无法识别特定个人的信息,大数据公司需重新探讨其业务模式的合规性

根据上述内容,监管部门对于断直连的业务范围界定较为宽泛,不仅包括明文个人信息,还包括无法识别具体信息的个人画像评分信息,这将对同盾、百融等大数据公司的业务模式造成重大影响。

我国《网络安全法》规定,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”根据该规定,无法识别特定个人的信息不受法律法规禁止未经授权收集共享的范围限制,大数据公司一般参照该规定认为其提供数据分析结果的行为不违反法律法规规定,不属于征信业务,有些大数据公司于近年来亦提出了“数据可用不可见”[2]的技术,以进一步支撑其业务合规性。

而个人信息“断直连”的要求明确否定了大数据公司对其业务合规性的解释理由。大数据公司需重新探讨其业务模式的合规性。

二、个人信息“断直连”是合规发展的必然

个人信息“断直连”是合规发展的必然,可以说是早有征兆,从近期以来的法规发布、领导讲话、行政许可、处罚等一系列动作均可以看出端倪。

1、《征信业务管理办法(征求意见稿)》的相关内容可以称为个人信息“断直连”的法律依据

中国人民银行于2021年1月11日发布《征信业务管理办法(征求意见稿)》,该文件明确规定,“本办法所称信用信息,是指为金融经济活动提供服务,用于判断个人和企业信用状况的各类信息。包括但不限于:个人和企业的身份、地址、交通、通信、债务、财产、支付、消费、生产经营、履行法定义务等信息,以及基于前述信息对个人和企业信用状况形成的分析、评价类信息。”该文件明确将“基于前述信息对个人和企业信用状况形成的分析、评价类信息”界定为信用信息,这与个人信息“断直连”中的“个人画像评分信息”纳入征信相契合。

2、相关领导在多个场合提及整顿个人征信合规

根据相关报道,2020年年底,人民银行召开“长三角征信一体化”工作推进现场交流会,会议提及,我国征信业服务领域逐步从银行信用扩展到商业信用以及与信用相关的替代数据领域。替代数据征信信息互联互通是当前构建全覆盖社会征信体系的重要步骤。利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动,需要纳入征信监管。[3]目前互联网平台内留存的个人消费、行程等数据即属于替代数据,按照该精神,该等数据均属于征信范畴数据。

2020年12月25日,在国务院政策例行吹风会上,中国人民银行副行长陈雨露介绍完善失信约束制度健全社会信用体系有关情况,提到:“根据《民法典》和《征信业管理条例》等法律法规的要求,人民银行将会继续完善征信业务管理办法,将所有为金融经济活动提供服务的,用于判断企业和个人信用状况的信息服务,全部纳入征信监管,实行持牌经营。对非法从事征信业务的行为,依法依规严肃查处。”[4]从严打击违法征信活动将成为监管部门的一项重点工作。

3、监管先后约谈蚂蚁集团及其他13家互联网平台,要求合法合规经营个人征信业务

2020年12月26日及2021年4月12日,人民银行、银保监会、证监会、外汇局等金融管理部门先后两次联合约谈蚂蚁集团,两次约谈中均提及要求合法合规经营个人征信业务,2020年12月26日约谈的要求为:“依法持牌、合法合规经营个人征信业务,保护个人数据隐私。”2021年4月12日约谈的要求为:“打破信息垄断,严格落实《征信业管理条例》要求,依法持牌经营个人征信业务,遵循“合法、最低、必要”原则收集和使用个人信息,保障个人和国家信息安全。”[5][6]

2021年4月29日,人民银行、银保监会、证监会、外汇局等金融管理部门联合对部分从事金融业务的网络平台企业进行监管约谈,参与约谈企业包括腾讯、度小满金融、京东金融、字节跳动、美团金融、滴滴金融、陆金所、天星数科、360数科、新浪金融、苏宁金融、国美金融、携程金融等13家网络平台。其中一项重要整改要求便是:“打破信息垄断,严格通过持牌征信机构依法合规开展个人征信业务。”[7][8]

4、两张征信牌照获批,征信机构之间已有明确分工

早在2015年,人民银行便已着手个人征信牌照事宜。2015年1月,人民银行印发《关于做好个人征信业务准备工作的通知》,要求芝麻信用管理有限公司、腾讯征信有限公司、深圳前海征信中心股份有限公司、鹏元征信有限公司、中诚信征信有限公司、中智诚征信有限公司、拉卡拉信用管理有限公司、北京华道征信有限公司等八家机构做好个人征信业务的准备工作,准备时间为六个月。但其后无任何一家机构通过审核获得个人征信牌照。

2018年2月初,人民银行批准百行征信有限公司个人征信业务许可,这是第一张个人征信业务牌照,百行征信由中国互联网金融协会与芝麻信用、腾讯征信、前海征信、考拉征信、鹏元征信、中诚信征信、中智诚征信、华道征信等8家机构作为股东成立。

2020年12月,人民银行批准朴道征信有限公司个人征信业务许可。而该许可从受理申请到获批,用时不到一个月。[9]

我国现行征信机构包括央行征信与百行征信、朴道征信,根据21世纪经济报道对朴道征信董事长赵以邗的访谈,目前各征信机构之间互为补充、错位发展,“央行征信主要是共享持牌金融机构掌握的个人和企业借贷信息。百行征信主要从事互联网金融领域借贷信息的共享,为互联网金融机构及持牌金融机构提供征信服务。朴道征信力图通过市场化机制,采集个人信贷信息以外的信用数据,通过对这些数据进行分析、整理、加工,对个人的信用状况做出判断,帮助金融机构触达客户、识别客户、判断客户,帮助缺乏信贷记录或只有少量借贷记录的人群享受普惠金融服务。”[10]征信机构之间的明确分工可以覆盖包括信贷数据及替代数据在内的全方位数据,为个人信息断直连打下了基础。

5、二代征信系统上线标志着征信基础设施进一步完善

根据相关报道,央行征信中心于2020年1月17日启动二代征信系统切换上线工作,自2020年1月19日起,面向社会公众和金融机构提供二代格式信用报告查询服务。与一代征信报告相比,二代征信报告主要是丰富了基本信息和信贷信息内容,改进了信息展示形式,提升了信息更新效率。例如,二代征信报告会显示“共同借款”信息,并留有水电费缴费信息格式(目前尚未收集该信息)。[11]这意味着我国征信基础设施在逐步完善。

6、鹏元征信获得首张个人征信业务罚单,滴滴旗下25款APP因违规收集个人信息被下架,代表监管从严治理的决心

个人征信业务领域一直存在着有法可依但执法模糊的质疑。

而根据中国人民银行2020年12月30日公示行政处罚信息显示,鹏元征信有限公司因存在未经批准擅自从事个人征信业务活动等违法行为,被没收违法所得1917.55万元,并处罚款62万元,合计罚没1979.55万元。

国家互联网信息办公室于2021年7月9日发布《关于下架“滴滴企业版”等25款App的通报》,称“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题,并要求各应用商店对其进行下架处理。

这一系列处罚,预示着监管部门从严治理个人信息违规行为的决心。

三、个人信息“断直连”对金融机构及互联网平台而言,均有利可图

1、个人信息“断直连”助力金融机构实现自主风控

监管部门早在2017年便已发布《关于规范整顿“现金贷”业务的通知》(整治办函〔2017〕141号),明确规定“银行业金融机构与第三方机构合作开展贷款业务的,不得将授信审查、风险控制等核心业务外包。”2020年发布的《商业银行互联网贷款管理暂行办法》(中国银行保险监督管理委员会令2020年第9号)亦明确规定:“互联网贷款业务涉及合作机构的,授信审批、合同签订等核心风控环节应当由商业银行独立有效开展。”

在目前开展的互联网助贷等合作业务中,自主实施核心业务是合规的重点工作。绝大部分核心业务环节均可以通过技术改进的方式实现由金融机构自主实施,唯独风险数据来源这一环节无法由金融机构自主完成,而风险数据又是互联网贷款业务中实现风险控制的重要依据。鉴于不同的互联网平台掌握不同维度生态圈内的数据,而此类数据并不会在不同互联网平台及征信机构之间共享,这被称之为“数据孤岛”,甚至有传言在数据领域存在故意数据污染的情况。在这种数据环境背景下,金融机构几乎无从获得完全可靠用于实现风控的风险数据,依赖互联网平台则成为必然,完全实现自主风控则成空谈。而个人信息“断直连”则可以助力金融机构实现自主风控,在个人信息“断直连”的整改要求下,互联网平台需将数据共享给征信机构,从而打破了数据孤岛,金融机构从征信机构获取数据,可以避免获取到被污染的错误数据,从而进一步促进金融机构利用官方数据进行自主风控,促进互联网贷款业务的合规发展。

2、个人信息“断直连”助力互联网平台数据业务合规

在互联网平台与金融机构合作的互联网助贷等合作业务中,个人信息数据是互联网平台经营的重要生产资料,个人信息合规亦是互联网平台最为关注的问题,严重情况下甚至会产生刑事责任。例如,在“杭州魔蝎数据科技有限公司、周江翔、袁冬侵犯公民个人信息案”(审理法院:浙江省杭州市西湖区人民法院;案号:(2020)浙0106刑初437号;裁判日期:2021.01.14)中,杭州魔蝎数据科技有限公司(魔蝎公司)为金融机构发放互联网贷款提供数据服务,因违法收集个人信息的行为,魔蝎公司及直接负责的主管人员和其他直接责任人员被认定为构成侵犯公民个人信息罪,魔蝎公司被判处罚金人民币30000000元,直接负责的主管人员和其他直接责任人员被判处判处有期徒刑三年(缓刑期限不等)并处罚金。

而个人信息“断直连”则可以助力互联网平台数据业务合规。在个人信息“断直连”的整改要求下,互联网平台可以将数据共享给征信机构,并因此可以获取收益。这在《征信业务管理办法(征求意见稿)》中有所体现,《征信业务管理办法(征求意见稿)》规定:“与征信机构合作,为金融经济活动提供个人或企业信用信息的其他信息处理者,应当在签署合作协议后向中国人民银行或其副省级城市中心支行以上分支机构报备”。这条规定相当于对掌握个人数据信息的互联网平台开展业务提供了合规依据。

四、互联网助贷业务现有应对建议

1、短期建议:维持现有业务并关注整改进度,确保个人信息合规

如前分析,笔者认为,个人信息“断直连”并不是要禁止互联网助贷业务的发展,而是有利于互联网助贷业务合规发展。鉴于征信机构在整改后的业务结构中会发挥重要的中转作用,未来可能会批准更多个人征信牌照,而无论是从征信机构业务优化还是从系统开发调整的角度,这都需要一个过程。参照第三方支付断直连的整改进度,自2017年8月发布相关文件,到2019年1月14日实现100%集中交存,整个过程持续了一年多。

笔者认为,在整改过程中,相关业务并不会要求停止,但各机构应及时与监管部门沟通进度,对于个人信息相关业务应注意参照相关法律法规要求实现合规,避免因违规收集、使用个人信息等问题而影响业务。

2、长期建议:金融机构应提前准备进行技术升级

个人信息“断直连”的整改有助于金融机构合规开展自主风控,而金融机构在合规获取丰富的风险数据后亦应具备相应的处理能力,金融机构应提前完善自己的风控模型等技术,确保个人信息“断直连”整改后具备扎实的对接能力。

3、长期建议:互联网平台应考虑技术输出

个人信息“断直连”整改的具体措施尚未披露,互联网平台与征信机构对接的具体方式尚不确定,例如,互联网平台通过征信机构与金融机构对接,其提供的数据是否可限定使用范围,是否可排除未参与合作的其他金融机构,这些都具有不确定性。若互联网平台对其提供给征信机构的数据仍有控制权,则互联网平台尚可依据数据资源开展业务获利,而若互联网平台对其提供给征信机构的数据没有控制权,则互联网平台的业务模式应考虑进行转型。技术输出是互联网平台进行业务转型的重要方向。金融机构的技术能力较弱,而互联网平台基于其多年业务积累的数据分析经验可以为金融机构提供风控模型开发、维护等核心风控环节的技术服务。此外,互联网平台还可以开展数据委托处理相关服务业务。个人信息“断直连”并不意味着禁止数据委托处理。数据委托处理的法律性质属于我国民法典规定的代理行为,根据我国民法典规定,民事主体可以通过代理人实施民事法律行为,这是委托处理的法律依据。同时,我国《个人信息保护法草案》亦对此予以认可,根据《个人信息保护法(草案二次审议稿)》规定,“个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托方不得转委托他人处理个人信息。”这将成为个人信息委托处理业务的重要依据,但互联网平台在开展该业务过程中应注意合法合规处理个人信息,不得违法保留个人信息或用于约定范围外的用途。

关于作者: wenlaw

问律师-专业的法律免费快速咨询服务平台

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

免费律师咨询
免费律师咨询
热线电话