欢迎光临衢州贷款咨询机构-衢州贷款网0570bank.com

17051064444
贷款咨询:
全国
行业资讯
  • 想贷款,找徐经理,靠谱
  • 致力于解决贷款难问题
  • 贷款顾问:徐经理
  • 联系方式:17051064444(微信同号)
  • 微信号
您的位置:主页 > 行业资讯 >
助贷、风控落实《个人信息保护法》
来源:衢州贷款网 时间:2021-09-01 09:06 点击:

备受全行业关注的《数据安全法》,即将于9月1日正式施行,将为各行业数据安全提供有力的监管依据。

 

而在这部法律生效之前,《个人信息保护法》已于8月20日颁布。

 

在此之前,我国主要通过《电信和互联网用户个人信息保护规定》、《网络安全法》、《刑法》(如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》)等法律法规对个人信息予以保护。彼时各规定层级参差不齐,也散落在各部门各领域内,不免有些凌乱。

 

而《个人信息保护法》的颁布,意味着在个人信息保护领域终于有了基础性的法律。

 

可以看出,加快完善法律法规,织就数据安全、个人隐私保护的大网,已是全社会的共识。那么接下来,全行业学习法律法规,适应新环境,就显得迫切。

 

《个人信息保护法》全文共八章、七十四条。本文将围绕该法对于消费金融的从业主体产生的影响进行展开论述,并抛砖引玉,尝试提出几种初步的应对措施,仅供参考、交流。

 

 

 撤销权的明确与保护 

 

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

 

个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

 

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

 

《个人信息保护法》第十五条明确赋予了个人作为信息所有者,具有“同意”及“撤回其同意”(即“授权”与“撤销授权”)的权利。通过“赋权”、“确权”,避免以往实践中普遍出现的“一次授权、终身使用”现象。

 

而为了使条款具有可实施性,使个人信息处理者能够真正尊重个人的撤销权,《个人信息保护法》第十六条将保护撤销权形式的义务加在了个人信息处理者一侧,要求其需提供便捷的方式使信息所有人能够有效的撤回其“同意”,且其不得因此拒绝提供产品或服务。

 

对于目前消费金融的从业主体而言,其一方面需尽快改造其客户端的界面展示,设置明显、有效、操作友好的操作路径,供客户随时撤销其授权;另一方面,从业者们也需尽快探索有效的风控手段,更迭与优化模型策略,持续有效地识别借款人的贷中、贷后欺诈风险及信用风险的识别与评估,避免在贷中、贷后阶段因客户撤销其同意,而无法继续使用、处理借款人的个人信息,进而导致已发放贷款发生集中违约的极端情况。

 

 

 不对抗第三人及连带责任 

 

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

 

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

 

考虑到业务实践中往往存在多主体合作的情况,《个人信息保护法》第二十条特别明确了两个及两个以上个人信息处理者共同处理个人信息的权利分担及责任承担。

 

也即,法律并不限制多个个人信息处理者共同处理个人信息的行为,但前提是需要明确约定在业务合作中的权利义务分担,并且该约定并不对外产生对抗个人的效力,个人可以向任何一方主张其应有的权利。

 

且,共同处理个人信息的主体因此而承担连带责任,若其行为对个人产生了损害,则个人有权对任意一方、多方提出对其全部损失进行赔偿的要求。

 

目前,大多数消费金融业务都以助贷平台与金融机构合作的模式展开(多为助贷、联合贷等),在多主体共同处理个人信息的情形十分常见。

 

《个人信息保护法》颁布后,助贷平台及金融机构都应迅速梳理合作业务项下的对个人信息处理的流程及具体方式,并在交易文件中明确操作模式、双方权责分配。

 

考虑到前述文件并不对主张索赔的个人产生对抗效力,因此需要特别关注索赔后的追偿条款。

 

也就是说,放贷主体应当在交易文件中明确,个人对其中某一方进行索赔后,若该方并非过错方,则其可要求过错方对已受损失主张赔偿的权利。

 

 

 自动化决策结果的有效性 

 

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

 

通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

 

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

 

《个人信息保护法》第二十四条对自动化决策进行了明确约定,最直接也是受影响最大的是各大消费产品供给平台(如某宝、某东、某程等),已经有太多的文章对此进行分析评论了,本文不多赘述。

 

但消费金融从业主体并非可以安枕无忧,本条第三款明确约定“通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。

 

也即,通过助贷平台向金融机构申请贷款的个人,因助贷平台或金融机构的自动筛选策略、数据风控模型的设定,其贷款申请被拒绝、贷款额度明显降低或贷款利率明显提升等,个人将有权要求个人信息处理者做出说明,且根据前文“共同处理”规则,个人有权要求助贷平台及金融机构任一主体履行上述说明义务。

 

在极端情况下,其还有权要求个人信息处理者做出通过非自动化决策的方式进行再决策。

 

对于金融机构而言,其并不直接触达借款人、客诉处理能力较助贷平台而言略弱,因此,可将相应客诉处理委托给助贷平台完成。

 

而在与助贷机构的交易文件中,需明确约定此种情况下的客诉处理和纠纷处理方案,同时完善自主客服体系的搭建。

 

另外,助贷平台及金融机构均应建立应对客诉处理的人工审批机制,做好送该种事件的处理预案,以应对借款人提出的“再决策”需求。

 

 

 个人信息保存的时效性 

 

 

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

 

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

 

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

 

虽《个人信息保护法》对于个人信息的储存期限仅有原则性规定(第六条,“个人信息的保存期限应当为实现处理目的所必要的最短时间”),并无明确的时间规定,但第四十七条明确了个人信息的储存终止的情形。

 

也就是说,在相应条件届满后,个人信息处理者应当主动,或者在个人要求下被动删除相应信息。

 

这条规定本无可厚非,且删除的情形并无不合理之处。但对于习惯了储存借款人个人信息的助贷平台和金融机构,突然要求其不再存储这些得来不易的信息,好比切肤之痛。

 

不过还好的是,个人信息并不包括“匿名化处理后的信息”(《个人信息保护法》第四条),如果助贷平台和金融机构在信息获取后能够做好匿名化处理,那么这种处理后的信息将具有不可还原性、不可识别性,无法再定位到个人特征,便可妥善储存,继续使用在其模型策略的优化更迭过程中。

 

 

 个人信息使用的事前评估 

 

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

 

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

 

第五十六条 个人信息保护影响评估应当包括下列内容:

 

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 

《个人信息保护法》第五十五条、第五十六条要求个人信息处理者需要在处理敏感信息、进行自动化决策等行为之前,需要先对该行为对个人信息保护的影响,从处理目的、处理方式、对个人权益的影响及安全风险、保护措施等方面进行综合评估。

 

该条规定实际上是将个人信息处理者对个人信息保护义务进行的一种行为模式的细化规定,并没有超越本法对于个人信息保护的基本原则——“合法、正当、必要、诚信原则”、“目的明确和最小必要原则”、“公开透明原则”以及“质量及安全保障原则”。

 

且,对于明显处于弱势的个人来说,让个人信息处理者承担这项义务,理所应当。

 

但无需过于担忧,对于助贷平台及金融机构而言,本条规定落实的成本并不高、需要增加的工作量也并不多,仅需在内部项目报审、立项过程中,增加一份关于个人信息保护的针对性分析报告即可。报告的目的、适用情形、内容按照条款都基本上明确了,逐一落实就好。

 

以上,先写到这里,考虑到这部法律的层级比较高,后续肯定还有监管机构出台细则、指引。我们静观其变。