外包催收個人信息遭泄露？個人金融數據共享邊界亟待厘清

招商銀行催收過世客戶欠款一事，目前當事雙方均有進一步說明。

此前報道請查看《妻子剛去世，丈夫就被“催收公司”電話討債!是銀行泄密家庭信息，還是騙子橫行?》。

針對袁啟聰反映的情況，招商銀行11月16日作出回應。招商銀行向記者提供的一份《關于袁先生反饋我行服務體驗問題的說明》中表示：“經查核，我行信用卡中心委托第三方公司處置賬務問題的流程合法合規，不存在泄露客戶信息的情況。”

')

11月17日，袁啟聰針對招商銀行回應作出說明，其中他向招行提出質疑：“如何界定隱私信息的范圍?”

他進一步表示：“你們認為向收數公司共享的個人電話，賬戶信息均不屬于隱私，但我認為，這就是!”

據他說，“銀行也提出一個現實是，整個行業都是這樣操作”。

')

如今，公眾越來越注重個人隱私數據保護，銀行向委托催收機構共享客戶數據時，應該如何界定客戶隱私信息的范圍?記者就此問題聯系招商銀行，發稿前尚未得到該行回應，同時該行相關人士表示“目前客服和用戶在溝通中”。

個人金融數據共享邊界亟待厘清

在大數據和人工智能時代，個人信息保護成為金融機構安全保障義務的核心內容。在信用卡催收外包管理中，金融機構進行數據共享時，個人信息保護的邊界如何確定?

據悉，一般申請銀行信用卡的協議書屬于格式合同，申請人簽署信用卡協議書或者相關合同時，其中會有針對催收的條款說明。

記者摘錄了部分銀行的相關條款：

對于客戶未在規定期限內歸還貸款的，發卡行有權通過電話、信函、手機短信、電子郵件、面訪或者司法渠道等方式自行或者委托第三方向客戶直接催繳欠款，向客戶提供給發卡行的聯系人、近親屬及工作單位等要求代為轉告。

申請人自愿同意將其個人資料提供給銀行及銀行分支機構、下屬子公司、與甲方有直接合作關系的服務機構、代理人、外包機構、相關資信機構等。

若持卡人出現欠款逾期未還的，銀行有權委托第三方機構進行催收，并將持卡人相關信息提供給委托機構。

現實中，類似上述這樣的條款細則，大部分信用卡申請人往往不會認真閱讀或者一目十行的帶過了。那么申請人簽字是否意味著知情、同意?

上海市協力律師事務所資深顧問、律師江翔宇認為，通過格式條款取得了客戶同意，但是否足夠充分還需要商榷，例如是否在協議中以顯著方式盡可能通俗易懂地向金融消費者提示該同意的可能后果;客戶隱私信息到了催收機構后，催收機構是否能夠確保該信息不被進一步泄露等，都在考量范圍內。

上海新古律師事務所主任王懷濤認為，提供格式條款的一方需采取合理的方式提示對方注意免除或者減輕其責任等與對方有重大利害關系的條款，按照對方的要求對該條款予以說明。提供格式條款的一方未履行提示或者說明義務，致使對方沒有注意或者理解與其有重大利害關系的條款的，對方可以申請撤銷該格式條款或主張該條款不成為合同的內容。

在江翔宇看來，相關法律法規的完善，意味著將來銀行即使委托第三方進行債務催收，也應當盡到相關義務，而不能認為客戶僅簡單通過了格式條款，就認為銀行履行好了義務。

《個人金融信息(數據)保護試行辦法(初稿)》(征求意見稿)就對金融領域的個人信息共享做了細化。

比如，指出金融機構向與其存在業務關系的第三方提供個人金融信息的，應當事先對其向第三方提供個人金融信息的必要性、安全性、合法性、對信息主體造成的風險以及第三方保護個人金融信息安全的能力等事項開展全面評估，未經評估或者經評估存在顯著風險隱患的，金融機構不得向第三方提供個人金融信息。

再比如，金融機構應當與第三方簽訂協議明確對方的職責和義務，定期對第三方保護個人金融信息安全的情況進行評估和監督。金融機構發現第三方超出約定事項收集、處理、使用個人金融信息或者未有效履行個人金融信息安全保護職責的，應當立即要求第三方停止相關行為，并采取有效補救措施保護個人金融信息安全，必要時應當提前終止和第三方的業務關系，金融機構與第三方的業務關系終止后，應當確保第三方及時銷毀從金融機構獲取的個人金融信息。

從監管政策看，今年6月份，銀保監會發布了《關于開展銀行業保險業市場亂象整治“回頭看”工作的通知》，其中，針對信用卡業務“回頭看”的工作要點就包括“未采取有效措施保護客戶信息安全，違規泄露、濫用客戶信息;對債務人或擔保人違規不當催收”。

7月份，銀保監會發布《商業銀行互聯網貸款管理暫行辦法》，其中在貸款合作管理方面，就提出商業銀行不得委托有暴力催收等違法違規記錄的第三方機構進行貸款清收。商業銀行應明確與第三方機構的權責，要求其不得對與貸款無關的第三人進行清收。

個人信息保護體系正在完善

當前，對于個人信息的定義又有哪些法律法規方面的完善?

據了解，今年11月1日實施的《中國人民銀行金融消費者權益保護實施辦法》規定：消費者金融信息，是指銀行、支付機構通過開展業務或者其他合法渠道處理的消費者信息，包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產品或者服務相關的信息。

“如果按照個人信息保護的相關分類標準，身份證號和銀行卡號也屬于敏感信息。” 江翔宇表示。

此外，明年1月1日即將生效的民法典對個人信息權明確進行了規定。民法典第1034條規定：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

“可見，身份證號、銀行卡號等都屬于受法律保護的個人信息。若銀行違法違規向第三方機構共享客戶數據，將構成對該客戶個人信息權的共同侵權。”王懷濤認為。

當前，個人信息保護的法律法規體系在逐步構建。據《中國個人金融信息保護執法白皮書2020》顯示，當前我國數據治理及個人信息保護相關的重要法律、法規、規章、規范性文件及國家標準共62部，其中絕大部分是在近一年的時間里出臺。

其中，備受矚目的《個人信息保護法(草案)》正在向社會公開征求意見，意見反饋時間截至2020年11月19日。