趙 坤

（中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)，北京 102425）

一、金融機(jī)構(gòu)催收外包個(gè)人信息保護(hù)現(xiàn)狀

（一）催收外包成為金融機(jī)構(gòu)逾期債務(wù)催收的重要方式

催收外包指金融機(jī)構(gòu)將逾期債務(wù)委托給催收公司，由其在金融機(jī)構(gòu)授權(quán)的基礎(chǔ)上向債務(wù)人催收、主張債權(quán)，引導(dǎo)債務(wù)人履行債務(wù)清償責(zé)任的行為和過(guò)程。現(xiàn)代金融產(chǎn)業(yè)鏈條分工不斷細(xì)化是金融市場(chǎng)發(fā)展成熟的必然趨勢(shì)。從國(guó)內(nèi)外信貸行業(yè)實(shí)踐看，發(fā)揮催收公司在人力資源、屬地資源、管理制度以及信息修復(fù)手段等方面的專業(yè)優(yōu)勢(shì)，有利于金融機(jī)構(gòu)降低催收成本、提高催收回款率。尤其中小金融機(jī)構(gòu)受管理能力、管理成本、系統(tǒng)支撐能力等因素制約，不具備大規(guī)模自建催收?qǐng)F(tuán)隊(duì)的能力，因而更加依賴于外包催收。委外催收主要是商業(yè)銀行、消費(fèi)金融公司等將逾期時(shí)間較長(zhǎng)、逾期金額較大、客戶風(fēng)險(xiǎn)等級(jí)較高的貸款外包給催收公司。在業(yè)務(wù)結(jié)構(gòu)上，金融機(jī)構(gòu)委外催收主要為個(gè)人消費(fèi)貸款、個(gè)人經(jīng)營(yíng)性貸款和個(gè)人信用卡業(yè)務(wù)。常用催收方式包括電話催收、上門催收、法律催收。理賠追償主要是保險(xiǎn)公司為各類個(gè)人消費(fèi)信貸提供信用保證保險(xiǎn)，當(dāng)客戶出現(xiàn)違約時(shí)，保險(xiǎn)公司承擔(dān)代償責(zé)任，同時(shí)協(xié)助銀行開展催收，其業(yè)務(wù)結(jié)構(gòu)和催收方式與委外催收大致相同。

（二）催收外包中的主要信息交互方式

金融機(jī)構(gòu)將逾期債務(wù)委托給催收公司，由催收公司向債務(wù)人催收、主張債權(quán)，要實(shí)現(xiàn)這一過(guò)程，金融機(jī)構(gòu)必須為催收公司提供一種可以觸達(dá)債務(wù)人的聯(lián)系方式，即金融機(jī)構(gòu)需要與催收公司進(jìn)行債務(wù)人個(gè)人信息的交互。從行業(yè)實(shí)踐看，傳統(tǒng)信息交互方式是金融機(jī)構(gòu)直接通過(guò)郵件傳輸?shù)仁侄螌鶆?wù)人信息轉(zhuǎn)移給催收公司，其弊端在于可能存在信息泄露或者信息倒賣等風(fēng)險(xiǎn)。為了規(guī)避這種風(fēng)險(xiǎn)，一些技術(shù)及資金實(shí)力較為雄厚的金融機(jī)構(gòu)開始自建統(tǒng)一的催收管理平臺(tái)，在這種模式下，催收公司直接通過(guò)金融機(jī)構(gòu)的催收管理平臺(tái)觸達(dá)債務(wù)人，在整個(gè)催收過(guò)程中，債務(wù)人的個(gè)人信息始終處于金融機(jī)構(gòu)可控系統(tǒng)內(nèi)部，大大降低了個(gè)人信息泄露風(fēng)險(xiǎn)。

1.郵件傳輸方式

部分金融機(jī)構(gòu)通過(guò)郵件加密傳輸方式將客戶信息提供催收公司（見(jiàn)圖1），催收公司下載客戶信息存儲(chǔ)在本地系統(tǒng)，金融機(jī)構(gòu)一般以合同約定方式要求催收公司采取敏感客戶信息脫敏、委案期結(jié)束后銷毀數(shù)據(jù)等措施保護(hù)個(gè)人信息。同時(shí)，金融機(jī)構(gòu)會(huì)定期或不定期派遣委外專員督導(dǎo)檢查催收公司個(gè)人信息保護(hù)措施落實(shí)情況。在郵件傳輸方式下，金融機(jī)構(gòu)需要與催收公司定期同步客戶還款信息，同步頻率一般為1-3天，少數(shù)機(jī)構(gòu)可以每30分鐘同步一次。此外，催收公司也可通過(guò)專線電話實(shí)時(shí)查詢借款人還款情況。

圖1 郵件加密傳輸信息方式

2.系統(tǒng)查詢方式

部分金融機(jī)構(gòu)通過(guò)自建內(nèi)外統(tǒng)一催收管理平臺(tái)，為催收公司開展業(yè)務(wù)提供客戶信息查詢服務(wù)（見(jiàn)圖2）。該方式避免了客戶信息“落地”到催收公司，但從行業(yè)實(shí)踐看，多數(shù)催收管理平臺(tái)采用明文顯示，仍然存在風(fēng)險(xiǎn)隱患。在信息同步上，一般由金融機(jī)構(gòu)或聯(lián)合放貸機(jī)構(gòu)為客戶提供還款通道，并將客戶還款信息實(shí)時(shí)同步到催收管理平臺(tái)。

圖2 自建催收系統(tǒng)信息查詢方式

從行業(yè)實(shí)踐看，傳統(tǒng)金融機(jī)構(gòu)主要采用加密郵件/sftp/接口傳輸方式與催收公司進(jìn)行信息交互，個(gè)別機(jī)構(gòu)建立了內(nèi)外統(tǒng)一催收平臺(tái)，或兩種方式兼而有之。相比之下，多數(shù)互聯(lián)網(wǎng)金融機(jī)構(gòu)建立了內(nèi)外統(tǒng)一催收平臺(tái)，僅個(gè)別機(jī)構(gòu)仍采用傳統(tǒng)加密郵件/sftp/接口傳輸方式?？傮w而言，新興的互聯(lián)網(wǎng)金融機(jī)構(gòu)在線上化催收技術(shù)應(yīng)用方面領(lǐng)先于傳統(tǒng)金融機(jī)構(gòu)。

（三）催收外包信息交互呈現(xiàn)規(guī)模大、維度廣的特征

1.信息規(guī)模大

互聯(lián)網(wǎng)金融的發(fā)展以及新技術(shù)的采用，使得金融機(jī)構(gòu)可以在風(fēng)險(xiǎn)和成本可控的情況下，經(jīng)營(yíng)更大規(guī)模、具有“短小頻急”特點(diǎn)的個(gè)人消費(fèi)信貸業(yè)務(wù)，在此過(guò)程中金融機(jī)構(gòu)會(huì)沉淀海量個(gè)人信息。與此同時(shí)，隨著金融機(jī)構(gòu)客群下沉以及經(jīng)濟(jì)周期等因素影響，逾期人數(shù)和待催收筆數(shù)有所上升，金融機(jī)構(gòu)對(duì)外部催收的需求增大，大規(guī)模逾期外包業(yè)務(wù)必然伴隨著海量金融用戶信息轉(zhuǎn)移。

2.信息維度廣

雖然《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等有關(guān)規(guī)定對(duì)個(gè)人金融信息保護(hù)提出了規(guī)范性要求，但個(gè)別金融機(jī)構(gòu)對(duì)外提供的客戶信息維度仍然較為寬泛，個(gè)人信息保護(hù)“最小夠用原則”尚未得到全面落實(shí)，除了客戶姓名、聯(lián)系電話、身份證號(hào)碼、銀行卡號(hào)、逾期金額、逾期時(shí)間以及緊急聯(lián)系人等基本信息外，還會(huì)提供婚姻狀況、學(xué)歷信息、個(gè)人及單位地址、社交信息、網(wǎng)絡(luò)行為信息等，保險(xiǎn)公司則會(huì)額外提供客戶保單信息。

（四）金融機(jī)構(gòu)通過(guò)“技防+人防”落實(shí)個(gè)人信息保護(hù)要求

目前，金融機(jī)構(gòu)普遍建立了催收外包管理制度，通過(guò)“技防+人防”相結(jié)合的方式加強(qiáng)個(gè)人信息的保護(hù)。

在“人防”方面，主要通過(guò)建立催收外包管理制度對(duì)催收公司加以規(guī)范。首先，強(qiáng)化金融機(jī)構(gòu)內(nèi)部管理，加強(qiáng)“事前準(zhǔn)入+事中監(jiān)測(cè)+事后處罰”，完善金融機(jī)構(gòu)個(gè)人信息保護(hù)各項(xiàng)內(nèi)控制度；其次，要求催收公司加強(qiáng)個(gè)人信息保護(hù)，與催收公司及催收人員簽署保密協(xié)議，要求催收公司定期開展員工培訓(xùn)考核；最后，加強(qiáng)作業(yè)現(xiàn)場(chǎng)管理。作業(yè)場(chǎng)地實(shí)行封閉式管理，進(jìn)行實(shí)時(shí)攝像監(jiān)控，禁止催收人員攜帶手機(jī)。不定期開展催收現(xiàn)場(chǎng)檢查，消除風(fēng)險(xiǎn)隱患。

在“技防”方面，部門金融機(jī)構(gòu)探索利用合規(guī)科技手段自建內(nèi)外催收統(tǒng)一管理平臺(tái)。一是系統(tǒng)上線前必須做滲透性測(cè)試，針對(duì)滲透性測(cè)試問(wèn)題必須完成整改；二是貸后催收管理系統(tǒng)實(shí)施內(nèi)外網(wǎng)隔離，實(shí)現(xiàn)信息可訪問(wèn)但不可保存；三是對(duì)催收員權(quán)限進(jìn)行統(tǒng)一管理，自動(dòng)保留信息查詢?nèi)罩?，定期檢查系統(tǒng)服務(wù)器漏洞，包括異常登錄、敏感信息查詢下載等；四是對(duì)客戶敏感信息進(jìn)行脫敏，少數(shù)貸后催收管理系統(tǒng)的電話催收采用“一鍵呼出”方式；五是利用智能語(yǔ)音識(shí)別技術(shù)對(duì)通話內(nèi)容進(jìn)行全程監(jiān)控，以便及時(shí)發(fā)現(xiàn)、處置催收人員的違規(guī)行為。

（五）逾期債務(wù)催收方式由線下轉(zhuǎn)為線上

隨著數(shù)字經(jīng)濟(jì)規(guī)模的擴(kuò)大，線上催收優(yōu)勢(shì)更加凸顯，成為行業(yè)發(fā)展的必然趨勢(shì)。一是非接觸。為滿足新冠肺炎疫情期間社會(huì)各方對(duì)“非接觸式”金融服務(wù)的特殊需求，金融機(jī)構(gòu)開始依托線上渠道開展催收業(yè)務(wù)，降低人員聚集和面對(duì)面接觸風(fēng)險(xiǎn)。二是成本低。個(gè)人消費(fèi)信貸業(yè)務(wù)具有小額分散的特點(diǎn)，線下催收難以覆蓋人工成本，短信、電話等線上催收方式成本相對(duì)較低。尤其是隨著人工智能技術(shù)的發(fā)展，部分金融機(jī)構(gòu)或催收公司開發(fā)了催收機(jī)器人及智能化的催收管理系統(tǒng)，可以根據(jù)歷史數(shù)據(jù)不斷優(yōu)化催收策略，增強(qiáng)預(yù)測(cè)外呼和人機(jī)協(xié)同，進(jìn)一步提高催收效率，降低了催收成本。三是效率高。隨著金融科技的發(fā)展，大數(shù)據(jù)分析、人工智能語(yǔ)音等應(yīng)用日漸增多，在一定程度上提高了線上催收的效率和效果。四是易管控。線下催收容易出現(xiàn)暴力催收、肢體沖突等問(wèn)題，利用催收平臺(tái)開展線上催收可以對(duì)催收進(jìn)行全程監(jiān)測(cè)管控，強(qiáng)化催收合規(guī)管理，減少可能引發(fā)的社會(huì)矛盾。

二、消費(fèi)金融催收外包個(gè)人信息保護(hù)面臨的主要風(fēng)險(xiǎn)

（一）多數(shù)機(jī)構(gòu)采用傳統(tǒng)信息傳輸方式，個(gè)人信息保護(hù)存在風(fēng)險(xiǎn)隱患

傳統(tǒng)金融機(jī)構(gòu)采用“郵件傳輸方式”直接將個(gè)人信息提供給催收公司，導(dǎo)致個(gè)人信息脫離金融機(jī)構(gòu)信息安全區(qū)域管理，安全風(fēng)險(xiǎn)增大。此外，在傳統(tǒng)信息傳輸方式下，金融機(jī)構(gòu)需要與催收公司定期同步還款信息，對(duì)于部分未能催回欠款的客戶，還會(huì)轉(zhuǎn)送多家機(jī)構(gòu)催收，且無(wú)法保證催收公司在合作結(jié)束后及時(shí)銷毀客戶信息，個(gè)人信息保護(hù)風(fēng)險(xiǎn)隱患突出。部分互聯(lián)網(wǎng)金融機(jī)構(gòu)建立了統(tǒng)一的催收管理系統(tǒng)，提升了個(gè)人信息保護(hù)能力，但存在系統(tǒng)安全性不高、隱私保護(hù)不到位等問(wèn)題?，F(xiàn)有催收管理系統(tǒng)信息查詢多為明文顯示，仍然存在安全隱患。

系統(tǒng)查詢方式在安全性上明顯優(yōu)于郵件傳輸方式，但傳統(tǒng)金融機(jī)構(gòu)在催收管理系統(tǒng)建設(shè)上相對(duì)遲緩，主要原因包括以下幾個(gè)方面：一是銀行等傳統(tǒng)金融機(jī)構(gòu)對(duì)于外部機(jī)構(gòu)直接訪問(wèn)自身系統(tǒng)存在疑慮。在監(jiān)管部門尚未明確相關(guān)政策的情況下，直接將系統(tǒng)延伸至催收公司，可能會(huì)使客戶信息面臨更大的安全風(fēng)險(xiǎn)。二是部分中小金融機(jī)構(gòu)業(yè)務(wù)規(guī)模較小、技術(shù)能力有限，難以承擔(dān)自建系統(tǒng)的開發(fā)和運(yùn)營(yíng)成本。從行業(yè)實(shí)踐看，自建催收管理系統(tǒng)成本一般為100萬(wàn)～500萬(wàn)/每年，部分自建催收管理系統(tǒng)成本超過(guò)了1000萬(wàn)/每年，且需要持續(xù)投入人力財(cái)力對(duì)系統(tǒng)進(jìn)行維護(hù)、升級(jí)優(yōu)化等。三是催收公司傾向于采用自建催收管理系統(tǒng)，以便于充分發(fā)揮其在催收和信息修復(fù)等方面專業(yè)優(yōu)勢(shì)，為提高催收回款率，金融機(jī)構(gòu)往往對(duì)此采取默許態(tài)度。

（二）催收外包行業(yè)信息交互規(guī)模大、維度廣、機(jī)構(gòu)雜，加大個(gè)人信息保護(hù)難度

據(jù)銀保監(jiān)會(huì)公布的數(shù)據(jù)顯示，近年來(lái)金融機(jī)構(gòu)貸款逾期率、不良率呈上升趨勢(shì)，催收外包業(yè)務(wù)規(guī)模不斷增長(zhǎng)，大規(guī)模催收外包必然伴隨著海量個(gè)人信息轉(zhuǎn)移。同時(shí)，催收外包信息交互維度仍然較為寬泛，涉及個(gè)人身份信息、金融資產(chǎn)狀況信息、賬戶信息、借貸信息以及個(gè)人信用信息、金融交易信息等。這些信息構(gòu)成了個(gè)人完整的金融消費(fèi)畫像，一旦出現(xiàn)信息泄露將嚴(yán)重?fù)p害金融消費(fèi)者合法權(quán)益，甚至引發(fā)社會(huì)信任危機(jī)。此外，催收市場(chǎng)魚龍混雜加大了個(gè)人信息保護(hù)工作難度。目前，全國(guó)共有數(shù)千家催收公司，不同公司在管理制度和技術(shù)水平上差別較大，增加了金融機(jī)構(gòu)的篩選成本，也加大了個(gè)人信息保護(hù)工作難度。

（三）個(gè)人金融信息保護(hù)標(biāo)準(zhǔn)落地執(zhí)行不到位，全生命周期個(gè)人信息保護(hù)機(jī)制有待加強(qiáng)

在國(guó)家層面，近年來(lái)人民銀行科技司、征信局分別從技術(shù)和業(yè)務(wù)等方面持續(xù)加強(qiáng)個(gè)人信息保護(hù)制度建設(shè)，相關(guān)工作取得顯著成效。2020年2月，人民銀行頒布實(shí)施了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各環(huán)節(jié)的安全防護(hù)要求，對(duì)于規(guī)范金融業(yè)機(jī)構(gòu)個(gè)人金融信息保護(hù)工作、提升金融數(shù)據(jù)風(fēng)險(xiǎn)防控能力具有重要意義。但從行業(yè)實(shí)踐看，目前仍有部分金融機(jī)構(gòu)對(duì)于個(gè)人信息保護(hù)不夠重視，或者因缺乏具體操作指引而在標(biāo)準(zhǔn)執(zhí)行層面存在困擾，個(gè)人信息保護(hù)要求尚未得到全面落實(shí)，非持牌金融機(jī)構(gòu)尤為嚴(yán)重。此外，由于金融機(jī)構(gòu)管理能力參差不齊，尤其中小金融機(jī)構(gòu)受資金規(guī)模和技術(shù)水平限制，對(duì)于催收公司的管理主要是遠(yuǎn)程非現(xiàn)場(chǎng)督導(dǎo)，全生命周期個(gè)人信息保護(hù)機(jī)制有待加強(qiáng)。

三、相關(guān)建議

（一）探索建立統(tǒng)一的催收外包監(jiān)管科技基礎(chǔ)設(shè)施，不斷強(qiáng)化催收外包個(gè)人信息保護(hù)

針對(duì)傳統(tǒng)信息傳輸方式存在的安全技術(shù)風(fēng)險(xiǎn)，建議在現(xiàn)有個(gè)人信息保護(hù)監(jiān)管框架和標(biāo)準(zhǔn)化工作基礎(chǔ)上，充分發(fā)揮行業(yè)自律組織的資源優(yōu)勢(shì)和技術(shù)優(yōu)勢(shì)，探索利用“數(shù)據(jù)脫敏+多方安全計(jì)算”等金融科技手段，建立符合行業(yè)發(fā)展趨勢(shì)和金融機(jī)構(gòu)現(xiàn)實(shí)需要的催收外包監(jiān)管科技服務(wù)平臺(tái)。既打破當(dāng)前貸后管理信息的“孤島”，實(shí)現(xiàn)信息綜合利用，提升全行業(yè)風(fēng)控水平，又保障信息脫敏和按照規(guī)定用途使用，實(shí)現(xiàn)個(gè)人信息的全方位、全過(guò)程、全天候自動(dòng)保護(hù)，促進(jìn)行業(yè)合規(guī)發(fā)展。同時(shí)，利用獨(dú)立第三方行業(yè)自律組織的公信力整合各方資源，有利于降低各類機(jī)構(gòu)自行探索建設(shè)系統(tǒng)的時(shí)間成本和資金成本，優(yōu)化社會(huì)資源配置。

（二）積極推動(dòng)個(gè)人信息保護(hù)標(biāo)準(zhǔn)落地實(shí)施，提升金融機(jī)構(gòu)數(shù)據(jù)治理能力

針對(duì)金融機(jī)構(gòu)、金融科技公司個(gè)人信息保護(hù)不到位的問(wèn)題，建議在監(jiān)管部門指導(dǎo)下充分發(fā)揮行業(yè)自律組織作用，加大個(gè)人信息保護(hù)標(biāo)準(zhǔn)宣貫工作的力度，并加強(qiáng)標(biāo)準(zhǔn)測(cè)評(píng)和認(rèn)證，積極推進(jìn)標(biāo)準(zhǔn)的落地實(shí)施。通過(guò)標(biāo)準(zhǔn)、測(cè)評(píng)和認(rèn)證三個(gè)環(huán)節(jié)形成個(gè)人信息保護(hù)管理閉環(huán)，促進(jìn)個(gè)人金融信息的安全合規(guī)使用。此外，建議在個(gè)人信息保護(hù)政策框架下，結(jié)合催收外包業(yè)務(wù)特點(diǎn)，制定跨安全域個(gè)人信息保護(hù)操作指引和實(shí)施細(xì)則，建立完善覆蓋信息系統(tǒng)全生命周期的安全管理機(jī)制，切實(shí)防范個(gè)人金融數(shù)據(jù)被泄露、被篡改、被丟失和非授權(quán)訪問(wèn)等風(fēng)險(xiǎn)，不斷提升金融機(jī)構(gòu)數(shù)據(jù)管理能力，充分挖掘數(shù)據(jù)要素資源價(jià)值潛力，促進(jìn)金融市場(chǎng)的健康發(fā)展。

（三）充分發(fā)揮行業(yè)自律對(duì)行政監(jiān)管的補(bǔ)充作用，加強(qiáng)催收外包個(gè)人信息保護(hù)監(jiān)管科技支撐

建議依托催收外包監(jiān)管科技服務(wù)平臺(tái)加強(qiáng)行業(yè)監(jiān)管和自律管理，充分發(fā)揮行業(yè)自律對(duì)行政監(jiān)管的補(bǔ)充支撐作用。一是落實(shí)監(jiān)管政策和行業(yè)自律管理有關(guān)要求。依托行業(yè)自律組織資源，聯(lián)合“政產(chǎn)學(xué)研”各方力量，推動(dòng)催收外包和個(gè)人信息保護(hù)有關(guān)監(jiān)管政策和行業(yè)自律管理要求內(nèi)嵌到監(jiān)管科技服務(wù)平臺(tái)中，提升全行業(yè)、全產(chǎn)業(yè)鏈個(gè)人信息保護(hù)能力；二是提供監(jiān)管科技服務(wù)支撐。針對(duì)監(jiān)管部門對(duì)于行業(yè)發(fā)展信息滯后的問(wèn)題，應(yīng)明確相關(guān)金融機(jī)構(gòu)或者金融基礎(chǔ)設(shè)施要為監(jiān)管部門提供監(jiān)管數(shù)據(jù)查詢接口。加強(qiáng)監(jiān)管部門對(duì)金融機(jī)構(gòu)、催收公司業(yè)務(wù)的實(shí)時(shí)監(jiān)測(cè)分析，以便及時(shí)了解行業(yè)發(fā)展動(dòng)態(tài)，并根據(jù)行業(yè)最新發(fā)展實(shí)踐，加強(qiáng)業(yè)務(wù)合規(guī)動(dòng)態(tài)管控，從而不斷提升金融風(fēng)險(xiǎn)的甄別、防范和化解能力。