趙 坤
(中國互聯(lián)網(wǎng)金融協(xié)會,北京 102425)
催收外包指金融機(jī)構(gòu)將逾期債務(wù)委托給催收公司,由其在金融機(jī)構(gòu)授權(quán)的基礎(chǔ)上向債務(wù)人催收、主張債權(quán),引導(dǎo)債務(wù)人履行債務(wù)清償責(zé)任的行為和過程?,F(xiàn)代金融產(chǎn)業(yè)鏈條分工不斷細(xì)化是金融市場發(fā)展成熟的必然趨勢。從國內(nèi)外信貸行業(yè)實踐看,發(fā)揮催收公司在人力資源、屬地資源、管理制度以及信息修復(fù)手段等方面的專業(yè)優(yōu)勢,有利于金融機(jī)構(gòu)降低催收成本、提高催收回款率。尤其中小金融機(jī)構(gòu)受管理能力、管理成本、系統(tǒng)支撐能力等因素制約,不具備大規(guī)模自建催收團(tuán)隊的能力,因而更加依賴于外包催收。委外催收主要是商業(yè)銀行、消費(fèi)金融公司等將逾期時間較長、逾期金額較大、客戶風(fēng)險等級較高的貸款外包給催收公司。在業(yè)務(wù)結(jié)構(gòu)上,金融機(jī)構(gòu)委外催收主要為個人消費(fèi)貸款、個人經(jīng)營性貸款和個人信用卡業(yè)務(wù)。常用催收方式包括電話催收、上門催收、法律催收。理賠追償主要是保險公司為各類個人消費(fèi)信貸提供信用保證保險,當(dāng)客戶出現(xiàn)違約時,保險公司承擔(dān)代償責(zé)任,同時協(xié)助銀行開展催收,其業(yè)務(wù)結(jié)構(gòu)和催收方式與委外催收大致相同。
金融機(jī)構(gòu)將逾期債務(wù)委托給催收公司,由催收公司向債務(wù)人催收、主張債權(quán),要實現(xiàn)這一過程,金融機(jī)構(gòu)必須為催收公司提供一種可以觸達(dá)債務(wù)人的聯(lián)系方式,即金融機(jī)構(gòu)需要與催收公司進(jìn)行債務(wù)人個人信息的交互。從行業(yè)實踐看,傳統(tǒng)信息交互方式是金融機(jī)構(gòu)直接通過郵件傳輸?shù)仁侄螌鶆?wù)人信息轉(zhuǎn)移給催收公司,其弊端在于可能存在信息泄露或者信息倒賣等風(fēng)險。為了規(guī)避這種風(fēng)險,一些技術(shù)及資金實力較為雄厚的金融機(jī)構(gòu)開始自建統(tǒng)一的催收管理平臺,在這種模式下,催收公司直接通過金融機(jī)構(gòu)的催收管理平臺觸達(dá)債務(wù)人,在整個催收過程中,債務(wù)人的個人信息始終處于金融機(jī)構(gòu)可控系統(tǒng)內(nèi)部,大大降低了個人信息泄露風(fēng)險。
1.郵件傳輸方式
部分金融機(jī)構(gòu)通過郵件加密傳輸方式將客戶信息提供催收公司(見圖1),催收公司下載客戶信息存儲在本地系統(tǒng),金融機(jī)構(gòu)一般以合同約定方式要求催收公司采取敏感客戶信息脫敏、委案期結(jié)束后銷毀數(shù)據(jù)等措施保護(hù)個人信息。同時,金融機(jī)構(gòu)會定期或不定期派遣委外專員督導(dǎo)檢查催收公司個人信息保護(hù)措施落實情況。在郵件傳輸方式下,金融機(jī)構(gòu)需要與催收公司定期同步客戶還款信息,同步頻率一般為1-3天,少數(shù)機(jī)構(gòu)可以每30分鐘同步一次。此外,催收公司也可通過專線電話實時查詢借款人還款情況。
圖1 郵件加密傳輸信息方式
2.系統(tǒng)查詢方式
部分金融機(jī)構(gòu)通過自建內(nèi)外統(tǒng)一催收管理平臺,為催收公司開展業(yè)務(wù)提供客戶信息查詢服務(wù)(見圖2)。該方式避免了客戶信息“落地”到催收公司,但從行業(yè)實踐看,多數(shù)催收管理平臺采用明文顯示,仍然存在風(fēng)險隱患。在信息同步上,一般由金融機(jī)構(gòu)或聯(lián)合放貸機(jī)構(gòu)為客戶提供還款通道,并將客戶還款信息實時同步到催收管理平臺。
圖2 自建催收系統(tǒng)信息查詢方式
從行業(yè)實踐看,傳統(tǒng)金融機(jī)構(gòu)主要采用加密郵件/sftp/接口傳輸方式與催收公司進(jìn)行信息交互,個別機(jī)構(gòu)建立了內(nèi)外統(tǒng)一催收平臺,或兩種方式兼而有之。相比之下,多數(shù)互聯(lián)網(wǎng)金融機(jī)構(gòu)建立了內(nèi)外統(tǒng)一催收平臺,僅個別機(jī)構(gòu)仍采用傳統(tǒng)加密郵件/sftp/接口傳輸方式。總體而言,新興的互聯(lián)網(wǎng)金融機(jī)構(gòu)在線上化催收技術(shù)應(yīng)用方面領(lǐng)先于傳統(tǒng)金融機(jī)構(gòu)。
1.信息規(guī)模大
互聯(lián)網(wǎng)金融的發(fā)展以及新技術(shù)的采用,使得金融機(jī)構(gòu)可以在風(fēng)險和成本可控的情況下,經(jīng)營更大規(guī)模、具有“短小頻急”特點(diǎn)的個人消費(fèi)信貸業(yè)務(wù),在此過程中金融機(jī)構(gòu)會沉淀海量個人信息。與此同時,隨著金融機(jī)構(gòu)客群下沉以及經(jīng)濟(jì)周期等因素影響,逾期人數(shù)和待催收筆數(shù)有所上升,金融機(jī)構(gòu)對外部催收的需求增大,大規(guī)模逾期外包業(yè)務(wù)必然伴隨著海量金融用戶信息轉(zhuǎn)移。
2.信息維度廣
雖然《個人金融信息保護(hù)技術(shù)規(guī)范》等有關(guān)規(guī)定對個人金融信息保護(hù)提出了規(guī)范性要求,但個別金融機(jī)構(gòu)對外提供的客戶信息維度仍然較為寬泛,個人信息保護(hù)“最小夠用原則”尚未得到全面落實,除了客戶姓名、聯(lián)系電話、身份證號碼、銀行卡號、逾期金額、逾期時間以及緊急聯(lián)系人等基本信息外,還會提供婚姻狀況、學(xué)歷信息、個人及單位地址、社交信息、網(wǎng)絡(luò)行為信息等,保險公司則會額外提供客戶保單信息。
目前,金融機(jī)構(gòu)普遍建立了催收外包管理制度,通過“技防+人防”相結(jié)合的方式加強(qiáng)個人信息的保護(hù)。
在“人防”方面,主要通過建立催收外包管理制度對催收公司加以規(guī)范。首先,強(qiáng)化金融機(jī)構(gòu)內(nèi)部管理,加強(qiáng)“事前準(zhǔn)入+事中監(jiān)測+事后處罰”,完善金融機(jī)構(gòu)個人信息保護(hù)各項內(nèi)控制度;其次,要求催收公司加強(qiáng)個人信息保護(hù),與催收公司及催收人員簽署保密協(xié)議,要求催收公司定期開展員工培訓(xùn)考核;最后,加強(qiáng)作業(yè)現(xiàn)場管理。作業(yè)場地實行封閉式管理,進(jìn)行實時攝像監(jiān)控,禁止催收人員攜帶手機(jī)。不定期開展催收現(xiàn)場檢查,消除風(fēng)險隱患。
在“技防”方面,部門金融機(jī)構(gòu)探索利用合規(guī)科技手段自建內(nèi)外催收統(tǒng)一管理平臺。一是系統(tǒng)上線前必須做滲透性測試,針對滲透性測試問題必須完成整改;二是貸后催收管理系統(tǒng)實施內(nèi)外網(wǎng)隔離,實現(xiàn)信息可訪問但不可保存;三是對催收員權(quán)限進(jìn)行統(tǒng)一管理,自動保留信息查詢?nèi)罩?,定期檢查系統(tǒng)服務(wù)器漏洞,包括異常登錄、敏感信息查詢下載等;四是對客戶敏感信息進(jìn)行脫敏,少數(shù)貸后催收管理系統(tǒng)的電話催收采用“一鍵呼出”方式;五是利用智能語音識別技術(shù)對通話內(nèi)容進(jìn)行全程監(jiān)控,以便及時發(fā)現(xiàn)、處置催收人員的違規(guī)行為。
隨著數(shù)字經(jīng)濟(jì)規(guī)模的擴(kuò)大,線上催收優(yōu)勢更加凸顯,成為行業(yè)發(fā)展的必然趨勢。一是非接觸。為滿足新冠肺炎疫情期間社會各方對“非接觸式”金融服務(wù)的特殊需求,金融機(jī)構(gòu)開始依托線上渠道開展催收業(yè)務(wù),降低人員聚集和面對面接觸風(fēng)險。二是成本低。個人消費(fèi)信貸業(yè)務(wù)具有小額分散的特點(diǎn),線下催收難以覆蓋人工成本,短信、電話等線上催收方式成本相對較低。尤其是隨著人工智能技術(shù)的發(fā)展,部分金融機(jī)構(gòu)或催收公司開發(fā)了催收機(jī)器人及智能化的催收管理系統(tǒng),可以根據(jù)歷史數(shù)據(jù)不斷優(yōu)化催收策略,增強(qiáng)預(yù)測外呼和人機(jī)協(xié)同,進(jìn)一步提高催收效率,降低了催收成本。三是效率高。隨著金融科技的發(fā)展,大數(shù)據(jù)分析、人工智能語音等應(yīng)用日漸增多,在一定程度上提高了線上催收的效率和效果。四是易管控。線下催收容易出現(xiàn)暴力催收、肢體沖突等問題,利用催收平臺開展線上催收可以對催收進(jìn)行全程監(jiān)測管控,強(qiáng)化催收合規(guī)管理,減少可能引發(fā)的社會矛盾。
傳統(tǒng)金融機(jī)構(gòu)采用“郵件傳輸方式”直接將個人信息提供給催收公司,導(dǎo)致個人信息脫離金融機(jī)構(gòu)信息安全區(qū)域管理,安全風(fēng)險增大。此外,在傳統(tǒng)信息傳輸方式下,金融機(jī)構(gòu)需要與催收公司定期同步還款信息,對于部分未能催回欠款的客戶,還會轉(zhuǎn)送多家機(jī)構(gòu)催收,且無法保證催收公司在合作結(jié)束后及時銷毀客戶信息,個人信息保護(hù)風(fēng)險隱患突出。部分互聯(lián)網(wǎng)金融機(jī)構(gòu)建立了統(tǒng)一的催收管理系統(tǒng),提升了個人信息保護(hù)能力,但存在系統(tǒng)安全性不高、隱私保護(hù)不到位等問題?,F(xiàn)有催收管理系統(tǒng)信息查詢多為明文顯示,仍然存在安全隱患。
系統(tǒng)查詢方式在安全性上明顯優(yōu)于郵件傳輸方式,但傳統(tǒng)金融機(jī)構(gòu)在催收管理系統(tǒng)建設(shè)上相對遲緩,主要原因包括以下幾個方面:一是銀行等傳統(tǒng)金融機(jī)構(gòu)對于外部機(jī)構(gòu)直接訪問自身系統(tǒng)存在疑慮。在監(jiān)管部門尚未明確相關(guān)政策的情況下,直接將系統(tǒng)延伸至催收公司,可能會使客戶信息面臨更大的安全風(fēng)險。二是部分中小金融機(jī)構(gòu)業(yè)務(wù)規(guī)模較小、技術(shù)能力有限,難以承擔(dān)自建系統(tǒng)的開發(fā)和運(yùn)營成本。從行業(yè)實踐看,自建催收管理系統(tǒng)成本一般為100萬~500萬/每年,部分自建催收管理系統(tǒng)成本超過了1000萬/每年,且需要持續(xù)投入人力財力對系統(tǒng)進(jìn)行維護(hù)、升級優(yōu)化等。三是催收公司傾向于采用自建催收管理系統(tǒng),以便于充分發(fā)揮其在催收和信息修復(fù)等方面專業(yè)優(yōu)勢,為提高催收回款率,金融機(jī)構(gòu)往往對此采取默許態(tài)度。
據(jù)銀保監(jiān)會公布的數(shù)據(jù)顯示,近年來金融機(jī)構(gòu)貸款逾期率、不良率呈上升趨勢,催收外包業(yè)務(wù)規(guī)模不斷增長,大規(guī)模催收外包必然伴隨著海量個人信息轉(zhuǎn)移。同時,催收外包信息交互維度仍然較為寬泛,涉及個人身份信息、金融資產(chǎn)狀況信息、賬戶信息、借貸信息以及個人信用信息、金融交易信息等。這些信息構(gòu)成了個人完整的金融消費(fèi)畫像,一旦出現(xiàn)信息泄露將嚴(yán)重?fù)p害金融消費(fèi)者合法權(quán)益,甚至引發(fā)社會信任危機(jī)。此外,催收市場魚龍混雜加大了個人信息保護(hù)工作難度。目前,全國共有數(shù)千家催收公司,不同公司在管理制度和技術(shù)水平上差別較大,增加了金融機(jī)構(gòu)的篩選成本,也加大了個人信息保護(hù)工作難度。
在國家層面,近年來人民銀行科技司、征信局分別從技術(shù)和業(yè)務(wù)等方面持續(xù)加強(qiáng)個人信息保護(hù)制度建設(shè),相關(guān)工作取得顯著成效。2020年2月,人民銀行頒布實施了《個人金融信息保護(hù)技術(shù)規(guī)范》,規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求,對于規(guī)范金融業(yè)機(jī)構(gòu)個人金融信息保護(hù)工作、提升金融數(shù)據(jù)風(fēng)險防控能力具有重要意義。但從行業(yè)實踐看,目前仍有部分金融機(jī)構(gòu)對于個人信息保護(hù)不夠重視,或者因缺乏具體操作指引而在標(biāo)準(zhǔn)執(zhí)行層面存在困擾,個人信息保護(hù)要求尚未得到全面落實,非持牌金融機(jī)構(gòu)尤為嚴(yán)重。此外,由于金融機(jī)構(gòu)管理能力參差不齊,尤其中小金融機(jī)構(gòu)受資金規(guī)模和技術(shù)水平限制,對于催收公司的管理主要是遠(yuǎn)程非現(xiàn)場督導(dǎo),全生命周期個人信息保護(hù)機(jī)制有待加強(qiáng)。
針對傳統(tǒng)信息傳輸方式存在的安全技術(shù)風(fēng)險,建議在現(xiàn)有個人信息保護(hù)監(jiān)管框架和標(biāo)準(zhǔn)化工作基礎(chǔ)上,充分發(fā)揮行業(yè)自律組織的資源優(yōu)勢和技術(shù)優(yōu)勢,探索利用“數(shù)據(jù)脫敏+多方安全計算”等金融科技手段,建立符合行業(yè)發(fā)展趨勢和金融機(jī)構(gòu)現(xiàn)實需要的催收外包監(jiān)管科技服務(wù)平臺。既打破當(dāng)前貸后管理信息的“孤島”,實現(xiàn)信息綜合利用,提升全行業(yè)風(fēng)控水平,又保障信息脫敏和按照規(guī)定用途使用,實現(xiàn)個人信息的全方位、全過程、全天候自動保護(hù),促進(jìn)行業(yè)合規(guī)發(fā)展。同時,利用獨(dú)立第三方行業(yè)自律組織的公信力整合各方資源,有利于降低各類機(jī)構(gòu)自行探索建設(shè)系統(tǒng)的時間成本和資金成本,優(yōu)化社會資源配置。
針對金融機(jī)構(gòu)、金融科技公司個人信息保護(hù)不到位的問題,建議在監(jiān)管部門指導(dǎo)下充分發(fā)揮行業(yè)自律組織作用,加大個人信息保護(hù)標(biāo)準(zhǔn)宣貫工作的力度,并加強(qiáng)標(biāo)準(zhǔn)測評和認(rèn)證,積極推進(jìn)標(biāo)準(zhǔn)的落地實施。通過標(biāo)準(zhǔn)、測評和認(rèn)證三個環(huán)節(jié)形成個人信息保護(hù)管理閉環(huán),促進(jìn)個人金融信息的安全合規(guī)使用。此外,建議在個人信息保護(hù)政策框架下,結(jié)合催收外包業(yè)務(wù)特點(diǎn),制定跨安全域個人信息保護(hù)操作指引和實施細(xì)則,建立完善覆蓋信息系統(tǒng)全生命周期的安全管理機(jī)制,切實防范個人金融數(shù)據(jù)被泄露、被篡改、被丟失和非授權(quán)訪問等風(fēng)險,不斷提升金融機(jī)構(gòu)數(shù)據(jù)管理能力,充分挖掘數(shù)據(jù)要素資源價值潛力,促進(jìn)金融市場的健康發(fā)展。
建議依托催收外包監(jiān)管科技服務(wù)平臺加強(qiáng)行業(yè)監(jiān)管和自律管理,充分發(fā)揮行業(yè)自律對行政監(jiān)管的補(bǔ)充支撐作用。一是落實監(jiān)管政策和行業(yè)自律管理有關(guān)要求。依托行業(yè)自律組織資源,聯(lián)合“政產(chǎn)學(xué)研”各方力量,推動催收外包和個人信息保護(hù)有關(guān)監(jiān)管政策和行業(yè)自律管理要求內(nèi)嵌到監(jiān)管科技服務(wù)平臺中,提升全行業(yè)、全產(chǎn)業(yè)鏈個人信息保護(hù)能力;二是提供監(jiān)管科技服務(wù)支撐。針對監(jiān)管部門對于行業(yè)發(fā)展信息滯后的問題,應(yīng)明確相關(guān)金融機(jī)構(gòu)或者金融基礎(chǔ)設(shè)施要為監(jiān)管部門提供監(jiān)管數(shù)據(jù)查詢接口。加強(qiáng)監(jiān)管部門對金融機(jī)構(gòu)、催收公司業(yè)務(wù)的實時監(jiān)測分析,以便及時了解行業(yè)發(fā)展動態(tài),并根據(jù)行業(yè)最新發(fā)展實踐,加強(qiáng)業(yè)務(wù)合規(guī)動態(tài)管控,從而不斷提升金融風(fēng)險的甄別、防范和化解能力。