一、助贷机构的法律地位?
《北京市互联网金融行业协会关于助贷机构加强业务规范和风险防控的提示》将助贷业务定义为助贷机构通过自有系统或渠道筛选目标客群,在完成自有风控流程后,将较为优质的客户输送给持牌金融机构、类金融机构,经持牌金融机构、类金融机构风控终审后,完成发放贷款的一种业务。而互联网助贷业务,一般是指助贷机构进行信息收集存储加工处理,在此基础上建立风控模型,提供信用信息、用户画像、评分、评级、信用修复等服务,其资金来源主要对接金融机构。
目前,有关部门并未直接针对助贷机构的数据留存进行规范,对助贷机构的界定多是散见于规范银行业务、征信业务的部门规章中。
银保监于2020年7月12日会发布《商业银行互联网贷款管理暂行办法》。该办法所称合作机构,是指在互联网贷款业务中,与商业银行在营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等方面开展合作的各类机构,包括但不限于银行业金融机构、保险公司等金融机构和小额贷款公司、融资担保公司、电子商务公司、非银行支付机构、信息科技公司等非金融机构。
比较值得关注的是人民银行于2021年1月11日发布《征信业务管理办法(征求意见稿)》,该办法将为金融经济活动提供服务、用于判断个人和企业信用状况的各类信息都视为信用信息。明确凡是对信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动,都是征信业务,都要纳入征信监管。而助贷机构提供的风险控制、大数据分析、信用评级、用户画像分析等业务目前未被定义为征信业务,但若《办法》落地执行,涉及上述内容的助贷业务将可能被定性为“征信业务”[1]。
同时,也不应将助贷机构归为于电子商务平台经营者。《电子商务法》所称的“电子商务平台经营者”,是指电子商务中心为交易双方或多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。电子商务平台经营者与平台内经营者建立平台服务合同关系,并与电子商务消费者进行交易,形成买卖合同关系或者服务合同关系。而助贷机构的运行模式与此不同,具体而言又可分为持牌机构和非持牌机构。持牌机构根据持牌照种类又可以分为持放贷牌照类助贷机构和增信牌照类助贷机构。[2]其中,非持牌类助贷机构包括网上商城、信用卡代偿公司、数据技术公司、p2p平台、现金贷平台等;持放贷牌照类助贷机构包括新型民营银行、消费金融公司和互联网小额贷款公司等;而增信牌照类助贷机构包括保险公司和融资担保公司。上述助贷机构的经营模式,大多都不落入《电子商务法》的调整范畴,只有“网上商城”类存在一定的讨论空间。涉助贷业务的网上商城不同于传统电商平台,此时不能以其是否提供了网络经营场所和信息发布作为判断标准,而应基于平台在交易中直接或间接获利的情况、平台对卖家信息以及客户信息的接触和控制程度、消费者在具体交易过程中是否足以产生对平台服务的合理信赖等因素,综合判断平台是否介入或者为具体的交易提供了服务。[3]
综上,多数助贷机构不属于电子商务平台经营者,但可参照征信机构的监管要求进行自我合规审查。
二、助贷机构保存用户信息的法律依据?保存多久?
(一)助贷机构保存用户信息的法律依据
就数据保护而言,其关注的焦点在于数据输入和输出的规范性,因而在助贷机构法律性质不明的情况下,可以根据用户数据输入来源不同分情况讨论助贷机构的数据保护义务。
1.放贷机构提供用户数据
一般而言,助贷机构首先从放贷机构获取客户信息,然后通过其风控引擎对客户信息进行判断,最后将风控结果输出给放贷机构。放贷机构再根据其自身的审批逻辑和体系,对客户进行一次判断,最终决定是否放款。在这种业务模式下,助贷机构只是数据(委托)处理者和数据接收方。而放贷机构作为数据控制者,其决定了数据处理的目的和方式。作为数据处理者的助贷机构则是替数据控制者处理个人数据。
因而对助贷机构而言,其存储、处理用户数据的合法性源于个人数据主体的同意。《网络安全法》第42条规定,未经被收集者同意,不得向他人提供个人信息。而对于用户同意的方式和内容,宜理解为明示同意。《个人信息安全规范》第9.1d)条和第9.2d)条分别对委托处理和共享、转让个人信息情形下对数据接收方的约束要求,其约束方式均为通过合同等方式规定数据接收方的责任和义务。实践中常见方式为合同条款约定和签署单独承诺函。[4]
2.助贷机构收集用户数据
相较于上述委托处理而言,现行规范对主动收集用户数据的行为提出更高要求,具体操作要求详见《个人信息保护规范》第5章个人信息的收集。实践中,一般建议客户从个人信息保护政策(隐私政策)的优化入手。个人信息保护政策、个人信息查询授权书等个人信息授权文本是数据收集者获得个人信息主体授权的重要依据。
《个人信息安全规范》第5.5条、《App自评估指南》评估项1-4和《App违法违规认定办法》第1-2条均提出相关要求,《个人信息安全规范》附录D放置了个人信息保护政策模板可作为参考。
(二)助贷机构存储用户信息的法律要求
无论是放贷机构委托处理还是助贷机构自行收集,其必然会涉及数据存储问题。《网络安全法》第42条对此进行了原则性规定,《数据安全管理办法(征求意见稿)》第19条对个人信息存储应参照的标准和采取的措施进行细化,包括以下几个方面:
1.分类分级
《大数据安全管理指南》、《个人信息安全规范》与《个人金融信息保护技术规范》涉及数据分类分级。其中值得关注的是“个人信息”与“敏感个人信息”的划分[5],《个人信息保护法(草案)》采用此种划分标准。同时,由于助贷机构业务特殊性,其存储信息的行为会落入《个人金融信息保护技术规范》规制范畴,该规范第7.1.3条规定,因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包括外包服务机构与外部合作机构)处理的,须满足相应要求。
2.存储期限
个人信息主体授权助贷机构处理个人信息,是为了实现其授权目的,在实现授权目的后继续存储个人信息,将会失去合法性基础和合理依据。《个人信息安全规范》第6.1条规定了存储期限最小化的两项要求:(1)个人信息存储期限应为实现个人信息主体授权使用目的所必需的最短时间,法律法规另有规定或个人信息主体另行授权同意的除外;(2)超出个人信息的存储期限后,网络运营者应当对个人信息进行删除或匿名化处理。
目前,《征信业管理条例》第十六条[6]和《电子商务法》第三十一条[7]对该适用主体存储数据的时间进行明确的要求。
上述已对“助贷机构”是否属于“电子商务经营者”进行了回答,故此不再赘述法律适用问题。而对于《征信业管理条例》第十六条,助贷机构应分情况处理。该条规定的是征信机构对个人不良信息的保存期限,其起始日期为不良行为或者事件终止之日,期限为5年。即征信机构存储个人不良信息,自不良行为或者事件终止之日起满5年时,应当予以删除。而助贷机构的业务内容涉及大量个人不良信息,因而建议助贷机构按照该条处理因实现业务而存储的个人不良信息。
关于网贷机构存储时间要求,见于《网络借贷信息中介机构合规检查问题清单》,该文件第五十二条规定,网络借贷业务活动数据和资料保存期限,违反法律法规及网络借贷有关监管规定的要求、借贷合同到期后保存时间少于5年即灭失、损毁或销毁。而金融机构存储时间要求,则见于《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》(人民银行令[2007]第2号))第二十九条。[8]
首先,上述两文件是对网贷机构和金融机构信息存储的时间下限进行规定,有别于对电子商务经营者和征信机构的(不良信息)存储时间上限的要求;其次,对金融机构和网贷机构规定存储信息时间下限主要是出于取证、审计的目的,建立保存记录制度也是国际反洗钱基本制度之一,并非出于个人信息保护的目的。上述两文件所提出的存储时间限制,并不直接适用于助贷机构,但可以作为助贷机构设定合理的存储时间的参考。
综上,因而建议助贷机构对于业务中涉及的个人不良信息,建议按照《征信业管理条例》进行存储,在此范围外的、法律并无特殊规定的个人信息,应根据其业务要求、使用目的确定合理的存储时间。
3.去标识化
对于绝大多数网络运营者而言,在业务扩张期即以最高安全标准(匿名化)存储数据,既不现实,也不经济。考虑到该问题,“去标识化”这一技术手段在多部新法、新国标的征求意见稿被多次提及。在《个人信息保护法(草案)》(征求意见稿)中,立法者明确将“采取相应的加密、去标识化等安全技术措施”规定为个人信息处理者的义务之一,此前也已出台《个人信息去标识化指南》作为国家标准。
助贷机构可以对此技术手段多加关注。倘若业务涉及大量敏感个人信息,将信息去标识后再存储不失为一个折中选择。
三、用户注销后信息如何处理?如果可以保存,保存多久?
《个人信息保护法(草案)》(征求意见稿)对于此问题采用了较高要求,第十六条规定, 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。第四十七条则规定,个人撤回同意,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。但《个人信息安全规范》第8章“个人信息主体的权利”是将“撤回授权同意”与“注销账户”并列为个人信息主体的两项权利。因而《个人信息保护法(草案)》中提及的“个人撤回同意”是否包括“用户注销”行为,有待立法机关进一步明确。
现行有效的《个人信息安全规范》与处于征求意见阶段的《数据安全管理办法》、《信息安全技术、移动互联网应用程序(APP)个人信息安全测评规范》,在用户注销问题采取一致标准,即用户注销账户后,数据控制者、数据处理者对个人信息作删除或匿名化处理。而对于因反洗钱、配合犯罪调查等法律法规规定需要留存的个人信息应妥善保管,实现信息有效隔离,不能再将其应用于业务场景。
《个人信息安全规范》将要求删除信息的范畴限定在“实现日常业务功能所涉及的系统中去”,即为满足保留记录的合规要求,在此日常业务所涉及的系统外存储的个人信息,并不在删除的范围内。对于助贷机构的用户注销后的信息处理,建议和上文“分类分级”结合在一起进行设计。如该注销用户的个人不良信息,按照《征信业管理条例》第十六条进行处理,即该用户的不良行为或者事件终止则五年后删除,未终止则按照监管需要,对该信息处理后继续存储。而对于助贷业务中涉及的“敏感个人信息”、“支付敏感信息”和C3类用户鉴别信息,建议进行匿名化处理。
对此问题的文本规范,可以参考“京东账号注销条件有哪些?”
[1] 《征信业管理条例》第二条第二款 本条例所称征信业务,是指对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
[2] 风控猎人:一文了解助贷业务,https://zhuanlan.zhihu.com/p/158355942.
[3] 冯晓鹏:一文读懂《电子商务法》∣ 新法项下电子商务合规的若干问题。
[4] 合同条款约定一般适用于后续新增签署的合同,单独的承诺函一般适用于合作合同已经签署但未约定该等内容或想要强化个人信息保护的情形。
[5] 3.1 个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注 2:关于个人信息的判定方法和类型参见附录 A。
注 3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。
3.2 个人敏感信息personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注 1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息 等。
注 2:关于个人敏感信息的判定方法和类型参见附录B。
注 3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。
[6] 《征信业管理条例》第十六条第一款 征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。
[7] 《电子商务法》第三十一条 电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息,并确保信息的完整性、保密性、可用性。商品和服务信息、交易信息保存时间自交易完成之日起不少于三年;法律、行政法规另有规定的,依照其规定。
[8] 《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第二十九条 金融机构应当按照下列期限保存客户身份资料和交易记录:
(一)客户身份资料,自业务关系结束当年或者一次性交易记账当年计起至少保存5 年。
(二)交易记录,自交易记账当年计起至少保存5 年。
如客户身份资料和交易记录涉及正在被反洗钱调查的可疑交易活动,且反洗钱调查工作在前款规定的最低保存期届满时仍未结束的,金融机构应将其保存至反洗钱调查工作结束。
同一介质上存有不同保存期限客户身份资料或者交易记录的,应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的,至少应当按照上述期限要求保存一种介质的客户身份资料或者交易记录。
法律、行政法规和其他规章对客户身份资料和交易记录有更长保存期限要求的,遵守其规定。