从数据合规和个人信息保护角度看网络小贷新规

作者:樊晓娟 印磊 洪嘉宾 竺雨辰

2020年11月2日,中国银保监会、中国人民银行就《网络小额贷款业务管理暂行办法(征求意见稿)》(以下简称“《暂行办法》”)公开征求意见。通过简单检索可知,“数据”一词在《暂行办法》中出现了9次。《暂行办法》直面大数据、云计算等技术手段在网络小额贷款业务(“网络小贷”)中的应用,也对经营网络小贷的小额贷款公司(“网络小贷公司”)及其所使用的互联网平台(“互联网平台”)的经营者在数据处理方面作出了规定。网络小贷与数据处理紧密相关,毫无疑问数据合规和个人信息保护在网络小贷经营中是一个值得探讨的话题。

一、数据的收集

根据《暂行办法》第二条,“本办法所称网络小额贷款业务,是指小额贷款公司利用大数据、云计算、移动互联网等技术手段,运用互联网平台积累的客户经营、网络消费、网络交易等内生数据信息以及通过合法渠道获取的其他数据信息,分析评定借款客户信用风险,确定贷款方式和额度,并在线上完成贷款申请、风险审核、贷款审批、贷款发放和贷款回收等流程的小额贷款业务。”

从上述定义可以看出,网络小贷公司分析评定客户信用风险、确定贷款方式和额度的主要依据是数据。而这些数据包括互联网平台的“内生数据信息”以及其他数据信息。《暂行办法》已经说明了其他数据信息系通过合法渠道获取,此处不予赘述。“内生数据信息”来源于互联网平台自身业务积累,包括客户经营、网络消费和网络经营等。一个比较典型的例子就是互联网电商平台:互联网电商平台在为买卖双方提供交易服务时,收集的卖家经营信息和买家消费信息等就属于“内生数据信息”。在此情况下,“内生数据信息”尤其是包含个人信息的“内生数据信息”的收集是否合规是互联网平台经营者需要考虑的问题。

(一)

收集范围

《网络安全法》[1]和《个人信息保护法(草案)》[2]都要求收集个人信息限制在处理相关业务必要的最小范围内。

所以,根据该等规定,互联网平台就网络小贷外的其他业务向用户收集个人信息时,应当限于其他业务所需要的范围,而无权为网络小贷对借款客户分析评定的需要任意扩大收集范围。当然,在向借款客户收集个人信息时,也不应超出小额贷款业务所必须的范围。

(二)

征得同意

《网络安全法》[3]和《个人信息保护法(草案)》的多个条文[4]要求网络经营者或个人信息处理者收集包括个人信息在内的用户信息的,事先要清晰说明收集目的和处理规则并征得个人的明示同意。

根据上述规定,在向借款客户收集个人信息时,互联网平台也应向借款客户说明其网络消费、网络交易数据等会被用于分析评定其信用风险等情况。

所以,互联网平台运营主体在设计收集用户信息的告知界面时,也需要针对不同的客户群体有的放矢。

二、数据安全

《暂行办法》第二十二条第(三)项要求网络小贷公司的业务系统“符合网络与信息安全管理要求,具有完善的防火墙、入侵检测、数据加密、应急处置预案以及灾难恢复等网络安全设施和管理制度,保障系统安全稳健运行和各类信息安全”。《网络安全法》[5]和《数据安全法(草案)》[6]也对网络安全、防止信息泄露、加强安全监测等有类似的规定。

网络小贷“评定和防控客户信用风险主要借助互联网平台内生数据信息”[7];同时,在网络小贷运营过程中,还涉及了借款客户的大量资金信息、征信信息等。因此,网络小贷公司及互联网平台的运营主体尤其需要关注业务系统、互联网平台的数据安全。除采取必要的技术措施确保数据安全外,还需要建立健全一套风险监测、报告以及补救的运行机制,有能力在发生数据泄露、毁损、丢失的情况时,及时发现、及时报告和妥善补救。

三、数据利用

根据《暂行办法》对于网络小贷的定义,以及《暂行办法》第九条要求互联网平台“能够积累客户经营、消费、交易等内生数据信息用于评估客户信用风险”,利用内生数据分析、评估借款客户的信用风险,是网络小贷这一商业模式的重要组成部分。另外,《暂行办法》第十五条关于互联网平台所需条件的规定反映了《暂行办法》允许网络小贷公司“主要作为信息提供方与机构合作开展贷款业务”。《暂行办法》第十六条、第十七条则要求网络小贷公司依法接入征信系统和全国网络小贷的登记系统,依法及时报送信息。

从上述规定来看,网络小贷中,数据利用至少包括三种方式:一是直接用于评估、分析自有借款客户的信用风险;二是在联合贷款业务中,向其他机构提供互联网平台用户的网络交易、网络消费等数据;三是依法向法定征信系统和登记系统对接并报送信息。

无论以上哪种数据利用方式,都需要遵守相关法律法规关于数据利用的规定。

(一)

征得同意和告知流程

如前文所述用户信息的收集的合规要求一样,需要在利用相关数据前,需要清晰的告知用户数据的利用规则,并且取得用户的明示同意。

进一步而言,如果是网络小贷公司作为信息提供方,将用户/客户的个人信息提供给其他机构的,不但要征得用户/客户的同意,根据《个人信息保护法(草案)》规定[8],还应当事先告知用户/客户“第三方的身份、联系方式、处理目的、处理方式和个人信息的种类”,并取得用户/客户个人的单独同意。并且,如果合作的其他机构在处理目的、处理方式上有变化的,还需要重新征得用户/客户个人的同意。

(二)

自动化决策的适当性

《暂行办法》第二条定义明确了网络小贷公司不但利用数据分析结果确定贷款方式和额度,并且还在线完成包括贷款审核、贷款方法等小额贷款业务的全部流程。这样就涉及到利用个人信息自动化决策的过程。

《个人信息保护法(草案)》第二十五条第一款规定:“利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理……”“大数据杀熟”是利用大数据技术的业务被广泛关注的问题,监管部门也已经对此引起重视,包括10月初文化和旅游部印发的《在线旅游经营服务管理暂行规定》,在双十一来临之际北京[9]、哈尔滨[10]等地监管部门约谈了部分电商企业都关注了此问题。在网络小贷中,同样需要避免类似“大数据杀熟”的问题。

实际上,“大数据杀熟”除了商业利益驱动外,也有技术完善的问题。这就需要网络小贷公司和互联网平台运营主体在业务系统和互联网平台的技术层面不断改进,包括改进算法,避免因技术原因导致网络小贷违反自动化决策适当性的相关规定。

(三)

依法报送信息

《暂行办法》第十六条和第十七条的规定下接入法定征信系统[11]和登记系统,并报送信息属于网络小贷公司的法定义务。与之相印证的,《个人信息保护法(草案)》第十三条也授权个人信息者“为履行法定职责或者法定义务所必需”可以处理个人信息。

结语

数据的收集、储存、传输、利用与网络小贷密不可分,是网络小贷商业模式的技术基础。因此,数据合规及个人信息保护必然是网络小贷中的重要话题。《暂行办法》尚在征求意见中,本文中提到的《个人信息保护法(草案)》、《数据安全法(草案)》也是在征求意见中。本文仅以这些征求意见稿和草案作为参考,展开为网络小贷的数据合规及个人信息保护的思考。相信随着相关法律规则的完善,网络小贷的数据合规、个人信息保护的也会越来越规范。

[注] 

[1]《网络安全法》第四十一条第二款。

[2]《个人信息保护法(草案)》第六条。

[3]《网络安全法》第四十一条第一款、第二十二条第三款。

[4]《个人信息保护法(草案)》第十三条、第十四条、第十八条。

[5]《网络安全法》第四十二条第二款。

[6]《数据安全法(草案)》第二十七条。

[7]《暂行办法》第二十二条第二项。

[8]《个人信息保护法(草案)》第二十四条。

[9] https://finance.china.com/consume/11173302/20201102/37245098.html

[10] https://dy.163.com/article/FQNU0GJ20550LIJ8.html

[11] 根据《暂行办法》第十六条规定,法定征信系统包括“金融信用信息基础数据库等征信系统”和“中国人民银行批准设立的个人征信机构和备案的企业征信机构”。

声明

(0)

相关推荐