网络借贷 | 您的个人信息安全吗?
P2P平台定位于以互联网为主要渠道,为借款人与出借人实现直接借贷提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务的机构。P2P平台在开展网络借贷信息中介业务的过程中,通常需要收集控制大量的用户个人信息。因此,对于P2P平台而言,如何做到合法合规地收集、使用用户的个人信息则显得至关重要。
1. 个人信息的收集与使用
网络借贷业务中收集个人信息的主要渠道包括:
(1)用户主动提供信息,比如用户在申请借款时往往需要向P2P平台提供身份信息、个人财产信息等以供P2P平台进行审核;
(2)P2P平台自主收集信息,比如在进行借款人风控审核时,P2P平台往往会主动收集用户的征信情况、涉诉情况等信息;
(3)通过第三方机构收集用户信息,第三方机构包括了资产推荐方、P2P平台合作的信用信息服务机构以及依法设立的行业协会等。
同时,根据P2P平台资产类型的不同,信息收集的方式也有所差别。如果是个贷资产,P2P平台的信息收集工作往往通过线上完成。而如果是企业借款,平台通常还会通过实地调查的方式收集相应的信息。P2P平台收集的用户个人信息则主要用于包括账户开立、实名验证、资信评估与贷后管理、资金核算、提供交易相关服务、开展营销活动等用途。
根据《网络安全法》的规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”、“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息”。按照此规定,P2P平台在收集用户信息时,首先应当取得用户的同意。而在实践中,不少P2P平台并没有设置相应的用户授权同意操作,存在未经用户同意收集用户个人信息的问题。另外不少平台虽在相关协议中约定用户授权平台收集其信息,但该等授权条款大多较为笼统、概括,并未明确P2P平台收集信息的类型、使用的目的、方式等。
对于收集的个人信息的范围,根据《网络安全法》的规定:“网络运营者不得收集与其提供服务无关的个人信息”,《信息安全技术 个人信息安全规范》(GB/T 35273-2917)(以下简称“《个人信息安全规范》”)也提出了对于收集个人信息的最小化要求,即“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”。而在网络借贷业务中,不少P2P平台所收集的个人信息往往超过了其实际开展业务的需要。以风控环节为例,P2P平台为了对用户的资信情况、还款能力等进行评估,通常会收集用户的诸多信息,然而对于部分信息而言,P2P平台在一开始对用户进行审核评估时并不会直接使用。按照平台的说法,收集该类信息虽并不直接用于风控审核,但如果用户风控评分过低,则可能会结合该部分信息综合考虑以确定是否为其提供相关服务。该等情形下,P2P平台则可能存在违反个人信息收集的最小化要求的问题。建议P2P平台应当在收集该类信息时特别提示用户收集该类信息的用途以及用户不提供该类信息可能造成的影响。
2. 个人信息的共享与披露
对于P2P平台而言,个人信息的共享既包括平台向第三方提供用户信息的情形,如按照监管部门及行业协会的要求上报用户信息;与存管银行、第三方支付、电子存证服务等机构共享用户信息。也包括P2P平台从第三方处获取用户个人信息的情形。根据《网络安全法》的规定:网络运营者“未经被收集者同意,不得向他人提供个人信息”。因此,P2P平台向第三方提供用户个人信息时,应当向用户告知共享个人信息的目的、信息接收方的类型等并取得用户的同意。同时,建议P2P平台通过协议约定等方式约束个人信息的接收方履行相应的信息保密义务。而对于P2P平台从诸如资产推荐方、信用信息服务机构等第三方处间接获取用户个人信息时,建议应当采取适当的方式了解该等第三方获得的个人信息的授权同意范围,并对于该等第三方收集的个人信息来源的合法性进行确认。
《网络借贷信息中介机构业务活动信息披露指引》(银监办发〔2017〕113号)要求P2P平台履行相应的信息披露义务,如P2P平台需要在出借人确认出借资金前向其披露借款人主体性质、所属行业、收入及负债情况等基本信息。对于P2P平台而言,其在公开披露用户信息时,一方面应提前向用户告知公开披露的个人信息的目的、类型,并取得用户的同意。另一方面,如果需要公开披露用户的姓名、证件号码等敏感信息,在不违背监管要求的前提下,可考虑进行适当的匿名化处理,以满足保护用户个人信息的目的。
除了在业务开展过程中履行信息披露要求外,不少P2P平台曾以“老赖名单”、“逾期黑名单”等形式在平台上公布逾期借款人的相关信息。P2P平台自主公布逾期借款人信息一方面实属无奈,在没有更多有效手段的前提下,只能采取该等方式以起到警示借款人按时足额还款的目的。但另一方面该等做法也引发了对于P2P平台是否有权自主公布逾期借款人信息、是否侵犯了借款人隐私权利的广泛讨论。值得一提的是,今年8月8日,互联网金融风险专项整治工作领导小组办公室下发了《关于报送P2P平台借款人逃废债信息的通知》,要求上报恶意逃废债的借款人名单,全国整治办将协调征信管理部门将上述逃废债信息纳入征信系统和“信用中国”数据库,对相关逃废债行为人形成制约。
3. P2P平台清退时的个人信息处理
今年以来P2P平台的暴雷潮引发了社会的广泛关注,网贷平台一旦发生“暴雷”事件,大众往往最关心的便是其兑付能力如何。对于P2P平台“暴雷”乃至决定退出网贷行业时,其控制的用户个人信息如何处理却没有得到足够的重视。各地发布的退出指引对于P2P平台清退时的个人信息处理也基本上没有进行相应的规定。前文提到,P2P平台因其业务特殊性控制了大量的用户个人信息,其中不乏不少用户的个人敏感信息。如果在P2P平台清退时,其控制的用户信息没有得到妥善处理,则容易引发信息泄露、非法买卖信息等风险事件,造成重大不良影响。
P2P平台清退时,其所控制的用户个人信息应当如何处理?一方面,按照《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)的规定:“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务”。P2P平台应当为用户提供注销账号的服务,并在用户停止使用其服务后,停止对用户个人信息的收集和使用。另一方面,参照《个人信息安全规范》的要求:“当个人信息控制者停止运营其产品或服务时,应:
a) 及时停止继续收集个人信息的活动;
b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c) 对其所持有的个人信息进行删除或匿名化处理”。
P2P平台进入清退阶段时,应当停止收集个人信息的活动,并对其持有的个人信息进行删除或匿名化处理。此前,江苏省互联网金融协会发布的《江苏省网络借贷平台个人信息安全保护规范指引(草案)》也对该问题进行了相应规定,“网络借贷平台破产或解散时,若无法继续完成承诺的个人信息处理目的,需删除个人信息”。
后记
网络借贷业务中个人信息安全保护问题的矛盾点在于,一方面P2P平台因其业务特殊性,注定要收集控制大量的用户个人信息。另一方面,网络借贷业务领域的个人信息安全保护问题却始终没有引起足够的重视,我们在评价P2P平台业务开展情况时,从来更关注于其业务规模、资金存管、信息披露以及其他合规要求的满足程度等问题。这也导致了P2P领域个人信息风险事件的频繁发生。此前就有媒体报道有不法分子兜售P2P平台的用户数据,包括了用户姓名、身份证、成交数据等相关信息。而不少用户也曾投诉其在一些P2P平台提交的个人信息遭到泄露。网络借贷业务发展至今,经历了从最初的野蛮生长到如今逐步向合规化、持续化发展的转变,接下来我们或许应当在个人信息安全保护的问题上倾注更多的目光。
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
作者简介:
刘新宇 律师
合伙人 上海办公室
业务领域:银行与金融, 收购兼并, 诉讼仲裁
长按识别图中二维码,可查阅该合伙人简历详情。
输12
陈嘉伟 律师
上海办公室 金融部
点击“阅读原文”,可查阅专业文章官网版。