外包催收是个难题,个人信息保护的边界在哪里?

招商银行催收过世客户欠款一事,目前当事双方均有进一步说明。

此前报道请查看《妻子刚去世,丈夫就被“催收公司”电话讨债!是银行泄密家庭信息,还是骗子横行?》。

针对袁启聪反映的情况,招商银行11月16日作出回应。招商银行向记者提供的一份《关于袁先生反馈我行服务体验问题的说明》中表示:“经查核,我行信用卡中心委托第三方公司处置账务问题的流程合法合规,不存在泄露客户信息的情况。”

11月17日,袁启聪针对招商银行回应作出说明,其中他向招行提出质疑:“如何界定隐私信息的范围?”

他进一步表示:“你们认为向收数公司共享的个人电话,账户信息均不属于隐私,但我认为,这就是!”

据他说,“银行也提出一个现实是,整个行业都是这样操作”。

如今,公众越来越注重个人隐私数据保护,银行向委托催收机构共享客户数据时,应该如何界定客户隐私信息的范围?记者就此问题联系招商银行,发稿前尚未得到该行回应,同时该行相关人士表示“目前客服和用户在沟通中”。

个人金融数据共享边界亟待厘清

在大数据和人工智能时代,个人信息保护成为金融机构安全保障义务的核心内容。在信用卡催收外包管理中,金融机构进行数据共享时,个人信息保护的边界如何确定?

据悉,一般申请银行信用卡的协议书属于格式合同,申请人签署信用卡协议书或者相关合同时,其中会有针对催收的条款说明。

记者摘录了部分银行的相关条款:

对于客户未在规定期限内归还贷款的,发卡行有权通过电话、信函、手机短信、电子邮件、面访或者司法渠道等方式自行或者委托第三方向客户直接催缴欠款,向客户提供给发卡行的联系人、近亲属及工作单位等要求代为转告。

申请人自愿同意将其个人资料提供给银行及银行分支机构、下属子公司、与甲方有直接合作关系的服务机构、代理人、外包机构、相关资信机构等。

若持卡人出现欠款逾期未还的,银行有权委托第三方机构进行催收,并将持卡人相关信息提供给委托机构。

现实中,类似上述这样的条款细则,大部分信用卡申请人往往不会认真阅读或者一目十行的带过了。那么申请人签字是否意味着知情、同意?

上海市协力律师事务所资深顾问、律师江翔宇认为,通过格式条款取得了客户同意,但是否足够充分还需要商榷,例如是否在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果;客户隐私信息到了催收机构后,催收机构是否能够确保该信息不被进一步泄露等,都在考量范围内。

上海新古律师事务所主任王怀涛认为,提供格式条款的一方需采取合理的方式提示对方注意免除或者减轻其责任等与对方有重大利害关系的条款,按照对方的要求对该条款予以说明。提供格式条款的一方未履行提示或者说明义务,致使对方没有注意或者理解与其有重大利害关系的条款的,对方可以申请撤销该格式条款或主张该条款不成为合同的内容。

在江翔宇看来,相关法律法规的完善,意味着将来银行即使委托第三方进行债务催收,也应当尽到相关义务,而不能认为客户仅简单通过了格式条款,就认为银行履行好了义务。

《个人金融信息(数据)保护试行办法(初稿)》(征求意见稿)就对金融领域的个人信息共享做了细化。

比如,指出金融机构向与其存在业务关系的第三方提供个人金融信息的,应当事先对其向第三方提供个人金融信息的必要性、安全性、合法性、对信息主体造成的风险以及第三方保护个人金融信息安全的能力等事项开展全面评估,未经评估或者经评估存在显著风险隐患的,金融机构不得向第三方提供个人金融信息。

再比如,金融机构应当与第三方签订协议明确对方的职责和义务,定期对第三方保护个人金融信息安全的情况进行评估和监督。金融机构发现第三方超出约定事项收集、处理、使用个人金融信息或者未有效履行个人金融信息安全保护职责的,应当立即要求第三方停止相关行为,并采取有效补救措施保护个人金融信息安全,必要时应当提前终止和第三方的业务关系,金融机构与第三方的业务关系终止后,应当确保第三方及时销毁从金融机构获取的个人金融信息。

从监管政策看,今年6月份,银保监会发布了《关于开展银行业保险业市场乱象整治“回头看”工作的通知》,其中,针对信用卡业务“回头看”的工作要点就包括“未采取有效措施保护客户信息安全,违规泄露、滥用客户信息;对债务人或担保人违规不当催收”。

7月份,银保监会发布《商业银行互联网贷款管理暂行办法》,其中在贷款合作管理方面,就提出商业银行不得委托有暴力催收等违法违规记录的第三方机构进行贷款清收。商业银行应明确与第三方机构的权责,要求其不得对与贷款无关的第三人进行清收。

个人信息保护体系正在完善

当前,对于个人信息的定义又有哪些法律法规方面的完善?

据了解,今年11月1日实施的《中国人民银行金融消费者权益保护实施办法》规定:消费者金融信息,是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。

“如果按照个人信息保护的相关分类标准,身份证号和银行卡号也属于敏感信息。”江翔宇表示。

此外,明年1月1日即将生效的民法典对个人信息权明确进行了规定。民法典第1034条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

“可见,身份证号、银行卡号等都属于受法律保护的个人信息。若银行违法违规向第三方机构共享客户数据,将构成对该客户个人信息权的共同侵权。”王怀涛认为。

当前,个人信息保护的法律法规体系在逐步构建。据《中国个人金融信息保护执法白皮书2020》显示,当前我国数据治理及个人信息保护相关的重要法律、法规、规章、规范性文件及国家标准共62部,其中绝大部分是在近一年的时间里出台。

其中,备受瞩目的《个人信息保护法(草案)》正在向社会公开征求意见,意见反馈时间截至2020年11月19日。