金融機(jī)構(gòu)催收外包過程中個人信息保護(hù)問題研究

趙 坤

（中國互聯(lián)網(wǎng)金融協(xié)會，北京 102425）

一、金融機(jī)構(gòu)催收外包個人信息保護(hù)現(xiàn)狀

（一）催收外包成為金融機(jī)構(gòu)逾期債務(wù)催收的重要方式

催收外包指金融機(jī)構(gòu)將逾期債務(wù)委托給催收公司，由其在金融機(jī)構(gòu)授權(quán)的基礎(chǔ)上向債務(wù)人催收、主張債權(quán)，引導(dǎo)債務(wù)人履行債務(wù)清償責(zé)任的行為和過程?，F(xiàn)代金融產(chǎn)業(yè)鏈條分工不斷細(xì)化是金融市場發(fā)展成熟的必然趨勢。從國內(nèi)外信貸行業(yè)實踐看，發(fā)揮催收公司在人力資源、屬地資源、管理制度以及信息修復(fù)手段等方面的專業(yè)優(yōu)勢，有利于金融機(jī)構(gòu)降低催收成本、提高催收回款率。尤其中小金融機(jī)構(gòu)受管理能力、管理成本、系統(tǒng)支撐能力等因素制約，不具備大規(guī)模自建催收團(tuán)隊的能力，因而更加依賴于外包催收。委外催收主要是商業(yè)銀行、消費(fèi)金融公司等將逾期時間較長、逾期金額較大、客戶風(fēng)險等級較高的貸款外包給催收公司。在業(yè)務(wù)結(jié)構(gòu)上，金融機(jī)構(gòu)委外催收主要為個人消費(fèi)貸款、個人經(jīng)營性貸款和個人信用卡業(yè)務(wù)。常用催收方式包括電話催收、上門催收、法律催收。理賠追償主要是保險公司為各類個人消費(fèi)信貸提供信用保證保險，當(dāng)客戶出現(xiàn)違約時，保險公司承擔(dān)代償責(zé)任，同時協(xié)助銀行開展催收，其業(yè)務(wù)結(jié)構(gòu)和催收方式與委外催收大致相同。

（二）催收外包中的主要信息交互方式

金融機(jī)構(gòu)將逾期債務(wù)委托給催收公司，由催收公司向債務(wù)人催收、主張債權(quán)，要實現(xiàn)這一過程，金融機(jī)構(gòu)必須為催收公司提供一種可以觸達(dá)債務(wù)人的聯(lián)系方式，即金融機(jī)構(gòu)需要與催收公司進(jìn)行債務(wù)人個人信息的交互。從行業(yè)實踐看，傳統(tǒng)信息交互方式是金融機(jī)構(gòu)直接通過郵件傳輸?shù)仁侄螌鶆?wù)人信息轉(zhuǎn)移給催收公司，其弊端在于可能存在信息泄露或者信息倒賣等風(fēng)險。為了規(guī)避這種風(fēng)險，一些技術(shù)及資金實力較為雄厚的金融機(jī)構(gòu)開始自建統(tǒng)一的催收管理平臺，在這種模式下，催收公司直接通過金融機(jī)構(gòu)的催收管理平臺觸達(dá)債務(wù)人，在整個催收過程中，債務(wù)人的個人信息始終處于金融機(jī)構(gòu)可控系統(tǒng)內(nèi)部，大大降低了個人信息泄露風(fēng)險。

1.郵件傳輸方式

部分金融機(jī)構(gòu)通過郵件加密傳輸方式將客戶信息提供催收公司（見圖1），催收公司下載客戶信息存儲在本地系統(tǒng)，金融機(jī)構(gòu)一般以合同約定方式要求催收公司采取敏感客戶信息脫敏、委案期結(jié)束后銷毀數(shù)據(jù)等措施保護(hù)個人信息。同時，金融機(jī)構(gòu)會定期或不定期派遣委外專員督導(dǎo)檢查催收公司個人信息保護(hù)措施落實情況。在郵件傳輸方式下，金融機(jī)構(gòu)需要與催收公司定期同步客戶還款信息，同步頻率一般為1-3天，少數(shù)機(jī)構(gòu)可以每30分鐘同步一次。此外，催收公司也可通過專線電話實時查詢借款人還款情況。

圖1 郵件加密傳輸信息方式

2.系統(tǒng)查詢方式

部分金融機(jī)構(gòu)通過自建內(nèi)外統(tǒng)一催收管理平臺，為催收公司開展業(yè)務(wù)提供客戶信息查詢服務(wù)（見圖2）。該方式避免了客戶信息“落地”到催收公司，但從行業(yè)實踐看，多數(shù)催收管理平臺采用明文顯示，仍然存在風(fēng)險隱患。在信息同步上，一般由金融機(jī)構(gòu)或聯(lián)合放貸機(jī)構(gòu)為客戶提供還款通道，并將客戶還款信息實時同步到催收管理平臺。

圖2 自建催收系統(tǒng)信息查詢方式

從行業(yè)實踐看，傳統(tǒng)金融機(jī)構(gòu)主要采用加密郵件/sftp/接口傳輸方式與催收公司進(jìn)行信息交互，個別機(jī)構(gòu)建立了內(nèi)外統(tǒng)一催收平臺，或兩種方式兼而有之。相比之下，多數(shù)互聯(lián)網(wǎng)金融機(jī)構(gòu)建立了內(nèi)外統(tǒng)一催收平臺，僅個別機(jī)構(gòu)仍采用傳統(tǒng)加密郵件/sftp/接口傳輸方式。總體而言，新興的互聯(lián)網(wǎng)金融機(jī)構(gòu)在線上化催收技術(shù)應(yīng)用方面領(lǐng)先于傳統(tǒng)金融機(jī)構(gòu)。

（三）催收外包信息交互呈現(xiàn)規(guī)模大、維度廣的特征

1.信息規(guī)模大

互聯(lián)網(wǎng)金融的發(fā)展以及新技術(shù)的采用，使得金融機(jī)構(gòu)可以在風(fēng)險和成本可控的情況下，經(jīng)營更大規(guī)模、具有“短小頻急”特點(diǎn)的個人消費(fèi)信貸業(yè)務(wù)，在此過程中金融機(jī)構(gòu)會沉淀海量個人信息。與此同時，隨著金融機(jī)構(gòu)客群下沉以及經(jīng)濟(jì)周期等因素影響，逾期人數(shù)和待催收筆數(shù)有所上升，金融機(jī)構(gòu)對外部催收的需求增大，大規(guī)模逾期外包業(yè)務(wù)必然伴隨著海量金融用戶信息轉(zhuǎn)移。

2.信息維度廣

雖然《個人金融信息保護(hù)技術(shù)規(guī)范》等有關(guān)規(guī)定對個人金融信息保護(hù)提出了規(guī)范性要求，但個別金融機(jī)構(gòu)對外提供的客戶信息維度仍然較為寬泛，個人信息保護(hù)“最小夠用原則”尚未得到全面落實，除了客戶姓名、聯(lián)系電話、身份證號碼、銀行卡號、逾期金額、逾期時間以及緊急聯(lián)系人等基本信息外，還會提供婚姻狀況、學(xué)歷信息、個人及單位地址、社交信息、網(wǎng)絡(luò)行為信息等，保險公司則會額外提供客戶保單信息。

（四）金融機(jī)構(gòu)通過“技防+人防”落實個人信息保護(hù)要求

目前，金融機(jī)構(gòu)普遍建立了催收外包管理制度，通過“技防+人防”相結(jié)合的方式加強(qiáng)個人信息的保護(hù)。

在“人防”方面，主要通過建立催收外包管理制度對催收公司加以規(guī)范。首先，強(qiáng)化金融機(jī)構(gòu)內(nèi)部管理，加強(qiáng)“事前準(zhǔn)入+事中監(jiān)測+事后處罰”，完善金融機(jī)構(gòu)個人信息保護(hù)各項內(nèi)控制度；其次，要求催收公司加強(qiáng)個人信息保護(hù)，與催收公司及催收人員簽署保密協(xié)議，要求催收公司定期開展員工培訓(xùn)考核；最后，加強(qiáng)作業(yè)現(xiàn)場管理。作業(yè)場地實行封閉式管理，進(jìn)行實時攝像監(jiān)控，禁止催收人員攜帶手機(jī)。不定期開展催收現(xiàn)場檢查，消除風(fēng)險隱患。

在“技防”方面，部門金融機(jī)構(gòu)探索利用合規(guī)科技手段自建內(nèi)外催收統(tǒng)一管理平臺。一是系統(tǒng)上線前必須做滲透性測試，針對滲透性測試問題必須完成整改；二是貸后催收管理系統(tǒng)實施內(nèi)外網(wǎng)隔離，實現(xiàn)信息可訪問但不可保存；三是對催收員權(quán)限進(jìn)行統(tǒng)一管理，自動保留信息查詢?nèi)罩?，定期檢查系統(tǒng)服務(wù)器漏洞，包括異常登錄、敏感信息查詢下載等；四是對客戶敏感信息進(jìn)行脫敏，少數(shù)貸后催收管理系統(tǒng)的電話催收采用“一鍵呼出”方式；五是利用智能語音識別技術(shù)對通話內(nèi)容進(jìn)行全程監(jiān)控，以便及時發(fā)現(xiàn)、處置催收人員的違規(guī)行為。

（五）逾期債務(wù)催收方式由線下轉(zhuǎn)為線上

隨著數(shù)字經(jīng)濟(jì)規(guī)模的擴(kuò)大，線上催收優(yōu)勢更加凸顯，成為行業(yè)發(fā)展的必然趨勢。一是非接觸。為滿足新冠肺炎疫情期間社會各方對“非接觸式”金融服務(wù)的特殊需求，金融機(jī)構(gòu)開始依托線上渠道開展催收業(yè)務(wù)，降低人員聚集和面對面接觸風(fēng)險。二是成本低。個人消費(fèi)信貸業(yè)務(wù)具有小額分散的特點(diǎn)，線下催收難以覆蓋人工成本，短信、電話等線上催收方式成本相對較低。尤其是隨著人工智能技術(shù)的發(fā)展，部分金融機(jī)構(gòu)或催收公司開發(fā)了催收機(jī)器人及智能化的催收管理系統(tǒng)，可以根據(jù)歷史數(shù)據(jù)不斷優(yōu)化催收策略，增強(qiáng)預(yù)測外呼和人機(jī)協(xié)同，進(jìn)一步提高催收效率，降低了催收成本。三是效率高。隨著金融科技的發(fā)展，大數(shù)據(jù)分析、人工智能語音等應(yīng)用日漸增多，在一定程度上提高了線上催收的效率和效果。四是易管控。線下催收容易出現(xiàn)暴力催收、肢體沖突等問題，利用催收平臺開展線上催收可以對催收進(jìn)行全程監(jiān)測管控，強(qiáng)化催收合規(guī)管理，減少可能引發(fā)的社會矛盾。

二、消費(fèi)金融催收外包個人信息保護(hù)面臨的主要風(fēng)險

（一）多數(shù)機(jī)構(gòu)采用傳統(tǒng)信息傳輸方式，個人信息保護(hù)存在風(fēng)險隱患

傳統(tǒng)金融機(jī)構(gòu)采用“郵件傳輸方式”直接將個人信息提供給催收公司，導(dǎo)致個人信息脫離金融機(jī)構(gòu)信息安全區(qū)域管理，安全風(fēng)險增大。此外，在傳統(tǒng)信息傳輸方式下，金融機(jī)構(gòu)需要與催收公司定期同步還款信息，對于部分未能催回欠款的客戶，還會轉(zhuǎn)送多家機(jī)構(gòu)催收，且無法保證催收公司在合作結(jié)束后及時銷毀客戶信息，個人信息保護(hù)風(fēng)險隱患突出。部分互聯(lián)網(wǎng)金融機(jī)構(gòu)建立了統(tǒng)一的催收管理系統(tǒng)，提升了個人信息保護(hù)能力，但存在系統(tǒng)安全性不高、隱私保護(hù)不到位等問題?，F(xiàn)有催收管理系統(tǒng)信息查詢多為明文顯示，仍然存在安全隱患。

系統(tǒng)查詢方式在安全性上明顯優(yōu)于郵件傳輸方式，但傳統(tǒng)金融機(jī)構(gòu)在催收管理系統(tǒng)建設(shè)上相對遲緩，主要原因包括以下幾個方面：一是銀行等傳統(tǒng)金融機(jī)構(gòu)對于外部機(jī)構(gòu)直接訪問自身系統(tǒng)存在疑慮。在監(jiān)管部門尚未明確相關(guān)政策的情況下，直接將系統(tǒng)延伸至催收公司，可能會使客戶信息面臨更大的安全風(fēng)險。二是部分中小金融機(jī)構(gòu)業(yè)務(wù)規(guī)模較小、技術(shù)能力有限，難以承擔(dān)自建系統(tǒng)的開發(fā)和運(yùn)營成本。從行業(yè)實踐看，自建催收管理系統(tǒng)成本一般為100萬～500萬/每年，部分自建催收管理系統(tǒng)成本超過了1000萬/每年，且需要持續(xù)投入人力財力對系統(tǒng)進(jìn)行維護(hù)、升級優(yōu)化等。三是催收公司傾向于采用自建催收管理系統(tǒng)，以便于充分發(fā)揮其在催收和信息修復(fù)等方面專業(yè)優(yōu)勢，為提高催收回款率，金融機(jī)構(gòu)往往對此采取默許態(tài)度。

（二）催收外包行業(yè)信息交互規(guī)模大、維度廣、機(jī)構(gòu)雜，加大個人信息保護(hù)難度

據(jù)銀保監(jiān)會公布的數(shù)據(jù)顯示，近年來金融機(jī)構(gòu)貸款逾期率、不良率呈上升趨勢，催收外包業(yè)務(wù)規(guī)模不斷增長，大規(guī)模催收外包必然伴隨著海量個人信息轉(zhuǎn)移。同時，催收外包信息交互維度仍然較為寬泛，涉及個人身份信息、金融資產(chǎn)狀況信息、賬戶信息、借貸信息以及個人信用信息、金融交易信息等。這些信息構(gòu)成了個人完整的金融消費(fèi)畫像，一旦出現(xiàn)信息泄露將嚴(yán)重?fù)p害金融消費(fèi)者合法權(quán)益，甚至引發(fā)社會信任危機(jī)。此外，催收市場魚龍混雜加大了個人信息保護(hù)工作難度。目前，全國共有數(shù)千家催收公司，不同公司在管理制度和技術(shù)水平上差別較大，增加了金融機(jī)構(gòu)的篩選成本，也加大了個人信息保護(hù)工作難度。

（三）個人金融信息保護(hù)標(biāo)準(zhǔn)落地執(zhí)行不到位，全生命周期個人信息保護(hù)機(jī)制有待加強(qiáng)

在國家層面，近年來人民銀行科技司、征信局分別從技術(shù)和業(yè)務(wù)等方面持續(xù)加強(qiáng)個人信息保護(hù)制度建設(shè)，相關(guān)工作取得顯著成效。2020年2月，人民銀行頒布實施了《個人金融信息保護(hù)技術(shù)規(guī)范》，規(guī)定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，對于規(guī)范金融業(yè)機(jī)構(gòu)個人金融信息保護(hù)工作、提升金融數(shù)據(jù)風(fēng)險防控能力具有重要意義。但從行業(yè)實踐看，目前仍有部分金融機(jī)構(gòu)對于個人信息保護(hù)不夠重視，或者因缺乏具體操作指引而在標(biāo)準(zhǔn)執(zhí)行層面存在困擾，個人信息保護(hù)要求尚未得到全面落實，非持牌金融機(jī)構(gòu)尤為嚴(yán)重。此外，由于金融機(jī)構(gòu)管理能力參差不齊，尤其中小金融機(jī)構(gòu)受資金規(guī)模和技術(shù)水平限制，對于催收公司的管理主要是遠(yuǎn)程非現(xiàn)場督導(dǎo)，全生命周期個人信息保護(hù)機(jī)制有待加強(qiáng)。

三、相關(guān)建議

（一）探索建立統(tǒng)一的催收外包監(jiān)管科技基礎(chǔ)設(shè)施，不斷強(qiáng)化催收外包個人信息保護(hù)

針對傳統(tǒng)信息傳輸方式存在的安全技術(shù)風(fēng)險，建議在現(xiàn)有個人信息保護(hù)監(jiān)管框架和標(biāo)準(zhǔn)化工作基礎(chǔ)上，充分發(fā)揮行業(yè)自律組織的資源優(yōu)勢和技術(shù)優(yōu)勢，探索利用“數(shù)據(jù)脫敏+多方安全計算”等金融科技手段，建立符合行業(yè)發(fā)展趨勢和金融機(jī)構(gòu)現(xiàn)實需要的催收外包監(jiān)管科技服務(wù)平臺。既打破當(dāng)前貸后管理信息的“孤島”，實現(xiàn)信息綜合利用，提升全行業(yè)風(fēng)控水平，又保障信息脫敏和按照規(guī)定用途使用，實現(xiàn)個人信息的全方位、全過程、全天候自動保護(hù)，促進(jìn)行業(yè)合規(guī)發(fā)展。同時，利用獨(dú)立第三方行業(yè)自律組織的公信力整合各方資源，有利于降低各類機(jī)構(gòu)自行探索建設(shè)系統(tǒng)的時間成本和資金成本，優(yōu)化社會資源配置。

（二）積極推動個人信息保護(hù)標(biāo)準(zhǔn)落地實施，提升金融機(jī)構(gòu)數(shù)據(jù)治理能力

針對金融機(jī)構(gòu)、金融科技公司個人信息保護(hù)不到位的問題，建議在監(jiān)管部門指導(dǎo)下充分發(fā)揮行業(yè)自律組織作用，加大個人信息保護(hù)標(biāo)準(zhǔn)宣貫工作的力度，并加強(qiáng)標(biāo)準(zhǔn)測評和認(rèn)證，積極推進(jìn)標(biāo)準(zhǔn)的落地實施。通過標(biāo)準(zhǔn)、測評和認(rèn)證三個環(huán)節(jié)形成個人信息保護(hù)管理閉環(huán)，促進(jìn)個人金融信息的安全合規(guī)使用。此外，建議在個人信息保護(hù)政策框架下，結(jié)合催收外包業(yè)務(wù)特點(diǎn)，制定跨安全域個人信息保護(hù)操作指引和實施細(xì)則，建立完善覆蓋信息系統(tǒng)全生命周期的安全管理機(jī)制，切實防范個人金融數(shù)據(jù)被泄露、被篡改、被丟失和非授權(quán)訪問等風(fēng)險，不斷提升金融機(jī)構(gòu)數(shù)據(jù)管理能力，充分挖掘數(shù)據(jù)要素資源價值潛力，促進(jìn)金融市場的健康發(fā)展。

（三）充分發(fā)揮行業(yè)自律對行政監(jiān)管的補(bǔ)充作用，加強(qiáng)催收外包個人信息保護(hù)監(jiān)管科技支撐

建議依托催收外包監(jiān)管科技服務(wù)平臺加強(qiáng)行業(yè)監(jiān)管和自律管理，充分發(fā)揮行業(yè)自律對行政監(jiān)管的補(bǔ)充支撐作用。一是落實監(jiān)管政策和行業(yè)自律管理有關(guān)要求。依托行業(yè)自律組織資源，聯(lián)合“政產(chǎn)學(xué)研”各方力量，推動催收外包和個人信息保護(hù)有關(guān)監(jiān)管政策和行業(yè)自律管理要求內(nèi)嵌到監(jiān)管科技服務(wù)平臺中，提升全行業(yè)、全產(chǎn)業(yè)鏈個人信息保護(hù)能力；二是提供監(jiān)管科技服務(wù)支撐。針對監(jiān)管部門對于行業(yè)發(fā)展信息滯后的問題，應(yīng)明確相關(guān)金融機(jī)構(gòu)或者金融基礎(chǔ)設(shè)施要為監(jiān)管部門提供監(jiān)管數(shù)據(jù)查詢接口。加強(qiáng)監(jiān)管部門對金融機(jī)構(gòu)、催收公司業(yè)務(wù)的實時監(jiān)測分析，以便及時了解行業(yè)發(fā)展動態(tài)，并根據(jù)行業(yè)最新發(fā)展實踐，加強(qiáng)業(yè)務(wù)合規(guī)動態(tài)管控，從而不斷提升金融風(fēng)險的甄別、防范和化解能力。