來源：中國經營報

本報記者 鄭瑜 北京報道

從消費金融公司近年罰單內容來看，消費金融的信用信息採集使用和違反個人徵信規定問題已經成爲消費金融公司被處罰的主要事由之一。

日前，浙江寧銀消費金融股份有限公司（以下簡稱“寧銀消費金融”）因提供個人不良信息未事先告知信息主體本人，而被處以20萬元行政處罰罰款。

根據2013年頒佈的《徵信業管理條例》第十五條，“信息提供者向徵信機構提供個人不良信息，應當事先告知信息主體本人。但是，依照法律、行政法規規定公開的不良信息除外。”

如違反相關規定，“情節嚴重或者造成嚴重後果的，由國務院徵信業監督管理部門或者其派出機構對單位處2萬元以上20萬元以下的罰款；對個人處1萬元以上5萬元以下的罰款。”

最近一年多，關於個人信息採集、使用等原因收到罰單的消費金融公司並不只有寧銀消費金融。2022年，四川錦程消費金融有限責任公司因違反信用信息採集、提供、查詢及相關管理規定，被處以罰款22.6萬元。今年年初，持牌消費金融行業首張罰單就關於個人信息問題，具體爲湖南長銀五八消費金融股份有限公司因未經同意查詢個人信息，被罰款75萬元。

粗放模式積弊已久

今年10月，國家金融監督管理總局公佈金融消費者權益保護典型案例中披露，某消費金融公司利用格式合同強制授權，無差別地獲取借款人關係人、通訊行爲、通訊信息、互聯網使用信息等個人信息。

北京市盈科（廣州）律師事務所宋竟一認爲，根據觀察，過去信息的粗放治理模式主要集中在，App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則，或者隱私政策等收集使用規則難以閱讀，默認選擇同意隱私政策等非明示方式徵求用戶同意；以及要求用戶一次性同意打開多個可收集個人信息權限，並且還有收集個人信息的頻度超過業務功能實際需要等。

資深數據合規律師彭凱表示，首先，根據《個人信息保護法》第五條、第六條規定，處理個人信息應當遵循合法、正當、必要、誠信原則且具備合理、明確的目的。因此，在收集借款人之關係人、通訊行爲等信息前，企業應當結合業務場景評估收集該等信息是否有明確、合理的目的，收集該等信息是否遵循前述基本原則，尤其是必要原則。

“其次，除了法律、行政法規另有規定的情形外，處理個人信息前應當取得個人的同意（如涉及收集敏感個人信息，還應取得用戶單獨同意）。因此，企業應當通過《隱私政策》《服務合同》等告知用戶收集個人信息的目的、類型等，並獲得用戶的同意。由於借款人之關係人的姓名、聯繫方式等信息屬於第三人的個人信息，企業難以直接觸達第三人獲取其同意，一般應在相關規則文本中提示借款人，請借款人確認向企業提供關係人之個人信息前已獲得關係人的同意。總而言之，在具備明確合理目的、遵循基本原則（尤其是必要原則）、已落實告知和同意（法律、行政法規另有規定除外）的前提下，企業方可收集借款人的關係人、通訊行爲等信息。”彭凱補充道。

“《個人信息保護法》實施以前，我國沒有針對個人信息保護的專門基礎立法，也缺乏針對個人信息全生命週期的系統的、細緻的合規要求。”彭凱表示，持牌機構無論是在前端的收集階段，還是後端的存儲、交互、刪除等階段，可能都存在更重視數據利用便捷而忽視個人信息權益保護的問題。比如收集階段，根據工信部的通報，早期有些App甚至沒有配置《隱私政策》，或者照搬照抄導致“牛頭不對馬嘴”，或者超出必要範圍要求用戶“一攬子授權”，用戶根本不知道企業基於什麼目的收集了自己哪些個人信息，技術的發展更加深了這種信息不對稱性。再比如與第三方的數據交互，很多企業可能並未建立第三方數據管控制度，不僅從第三方間接獲取個人信息不覈查來源合法性，而且對外共享個人信息也不會評估信息被泄露、非法利用的風險。再說存儲階段，有些企業未對信息進行分類分級，存儲時甚至沒有加密，敏感信息明文展示更是常規操作，內部權限管理也不到位。這些粗放擴張的個人信息處理方式會導致信息泄露、損毀、非法買賣等安全事件的發生，極大損害個人信息主體權益。

合規治理不斷完善

當前，金融消費者權益保護尤其是個人信息保護受到了廣泛重視。

彭凱向記者介紹道，首先，在人員和制度建設方面，很多持牌機構都任命了數據安全或個人信息保護負責人以統籌企業內部個人信息保護工作，並依據基本“三法”（《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》）的規定及企業的內部實踐制定實施了數據合規相關的內部制度，比如個人信息保護影響評估制度、數據交互管理制度、數據安全技術要求等，這給企業整體個人信息保護工作的推進提供了很好的基礎保障。其次，持牌機構也在積極推進安全認證、合規檢測相關工作，通過在認證、檢測過程中識別自身合規差距和安全漏洞，後續針對性地開展相關整改工作，進而從管理、技術等方面進行完善。比如根據平安消費金融有限公司發佈的2022年數據安全和個人信息保護社會責任報告，其在2022年3月獲得了CCRC（即“中國網絡安全審查技術與認證中心”）頒發的移動互聯網應用程序安全認證證書，是消費金融行業首個通過該認證的App。

“持牌機構開展員工內部培訓的頻次增加，邀請高校教師、安全專家、律師等開展網絡安全、數據安全及個人信息保護方面的合規培訓，幫助員工學習和熟悉數據合規相關的監管要求，增強員工的個人信息保護意識。最後，我們觀察到很多持牌機構也在不斷優化個人信息主體權利響應的方式，比如響應工信部建立個人信息保護“雙清單”，提升用戶感知，還有在App中設置自主註銷賬號功能，相較於撥打客服電話或者發送郵件提出註銷申請，用戶能夠更加方便快捷地完成註銷，總的來看，目前持牌金融機構無論是在內部人員、制度建設、自查整改、培訓，還是直接面向用戶的個人信息保護相關產品功能優化上，都做了很多努力和嘗試，也取得了一些成效。”彭凱說道。

事實上，如何保護個人信息課題之下，從業機構普遍還有另外一個擔憂，那就是如何平衡數據價值挖掘與保護問題。

對於上述疑問，彭凱認爲，《個人信息保護法》開篇也闡述了立法目的包括“保護個人信息權益”和“促進個人信息合理利用”，強調個人信息保護並不等於禁止數據流通。目前國家戰略、技術發展等都在對此進行很多有益探索，比如，宏觀層面來看，數據要素交易市場的發展爲數據交互場景下如何平衡兩種重要價值提供了思路，爲響應國家大數據發展戰略，多地紛紛成立了數據交易所，探索建立中國式的數據要素交易機制，以實現在充分挖掘數據價值的同時，保障用戶信息安全和數據安全。此外，技術層面，去標識化、匿名化技術本身就是一種平衡數據價值和個人信息權益的體現，儘管何種技術算是實現了匿名化目前仍存在很多爭議。此外，實踐中“隱私計算”等技術的發展也爲數據“可用不可見”提供了可能性，在避免形成“數據孤島”、促進數據有效交互的同時，通過各種技術保障數據計算過程和數據計算結果的安全。

據畢馬威KPMG《隱私計算行業研究報告》預測，隨着越來越多銀行、持牌消費金融機構等金融機構積極引入隱私計算技術，三年後這項技術服務營收或將達到100億至200億元人民幣。

彭凱強調，隨着數據的不斷增長、技術的不斷發展、制度的不斷完善、實踐的不斷探索，釋放數據價值和保護信息安全是可以同時追求並能夠實現的目標。

宋竟一建議，在監管日益嚴格的背景下，各個主題應該更好保護消費者個人信息，App開發展應當建立完善的隱私保護機制，處理用戶數據，尤其是在傳輸和存儲數據時，應該開發使用的加密傳輸協議，以確保數據傳輸的安全；在增加App軟件的安全性上，限制開發人員訪問敏感用戶信息、限制員工的訪問權限；審查第三方App和工具，等等。