让“失联人”现身!失联修复业务一条十块,运营商取得个人授权成合规关键
作者丨郑雪 编辑丨王俊 对于国人来说,再简单不过的一个道理:欠债还钱。 中国人民银行发布的《中国金融稳定报告(2023)》(以下简称《报告》)显示,截至2022年末,商业银行不良贷款余额2.98万亿元,同比增加1359亿元,不良贷款率1.63%,同比下降0.1个百分点。不良资产处置过程中,金融公司、催收机构等与失去联系的债务人重新建联是关键一步。 合规已经成为企业发展的红线和底线,对于失联修复业务发展而言, 此前一段时间,互联网金融加持之下,中国消费信贷市场发展突飞猛进。市场繁荣背后,商业银行、消费金融公司等机构不良贷款余额和不良贷款率提升,影响着中国金融的稳定和发展。 《报告》显示,截至2022年末,逾期90天以上贷款余额2.3万亿元,同比增加1208.3亿元,增幅5.5%;逾期90天以上贷款余额与不良贷款余额之比为77.7%。不良资产处置是金融机构的挑战,同时也是行业发展的新机遇。 当下的失联修复,主要指“三网修复、失联连通”模式,相关机构探索在合法合规的前提下与运营商合作以解决失联难题。具体来看,金融机构和催收机构(需得到银行授权)要取得债务人事先合法授权。在取得授权的前提下,金融机构、催收机构向运营商输出加密的身份证信息,运营商根据提供信息,找到失联债务人在网手机号,采用脱敏数据提供一套外呼或短信触达服务,这样债权人与失联债务人便重新取得联系。 (失联修复过程示意图) 21世纪经济报道记者以业务沟通为由,通过社交媒体平台预留的联系方式,联系到了某运营商的项目经理,自称可以为相关需求方提供合规的失联修复业务。上述运营商工作人员告诉记者,“失联修复因涉及个人信息,各类资质审核都很严格。跟我们合作的第三方,比如银行,我们会给他提供一个平台,银行可以通过虚拟号码触达用户,但不会给到真实号码。” 广州某科技公司开展失联修复工作,负责产品咨询的工作人员告诉21记者, 上述两位工作人员告诉记者,其所在机构失联修复业务仅向企业客户提供,因合规问题未向个人开放。记者通过公开资料搜集也暂未找到向个人提供失联修复业务的案例。 目前来看,失联修复的价格并不贵。 企业集中采购的失联修复价格会比上述平台标价更低,也更具竞争力。 根据21记者调查, 从招标文件梳理来看,根据企业规模、性质不同,相关企业的失联修复预算从几十万到上千万不等。 以中国邮政旗下中邮消费金融有限公司(以下简称“中邮消费金融”)关于失联修复的招标数据来看,2020年中邮消费金融关于失联修复项目的采购预算为118万元(含税),2022年预算则上升为125万元(含税)。 2021年至2023年,江苏移动信息系统集成有限公司(企查查显示,该公司由中国移动通信集团江苏有限公司100%持股)连续三年发布了全网大数据失联修复服务项目的招标公告,采购全网大数据失联修复服务框架,预算金额(含税)逐年提高,分别为318万元、848万元、1166万元。 公开资料梳理来看,提供失联修复业务的公司主要分为两类, 失联修复并不复杂。简单理解便是在满足相关授权的前提下,运营商可根据金融机构提供的加密身份证号码,依托其掌握的维度多元、关联性好的海量数据,结合手机号码实名登记制度,对用户身份进行核验并发现失联人当前活跃的手机号码,最终实现建联需求。 此外,整理相关企业公开资料, 失联修复虽不为普通公众所熟知,但相关市场也正逐渐成熟。随着数据逐渐成为新型生产要素,一些开展失联修复业务的企业也在寻求上市。即便是登陆资本市场,数据合规和个人信息安全合规亦是监管关注重点。 以近期终止IPO的北京青牛技术股份有限公司(以下简称青牛技术)为例,青牛技术的智慧联络平台开展安全计算平台业务,业务主要有信息核验、失联修复两种场景。今年1月,深圳证券交易所(以下简称深交所)对其首轮问询,其中便关注到了用户数据及业务合规性。深交所要求其说明智慧联络平台业务开展过程中对用户个人数据的接触情况;联系失联用户的过程中,是否合法合规;是否涉及“通过手机号及个人信息拨打骚扰电话的业务”等情形。 “失联修复过程中,需要考虑用户给予银行等金融机构、运营商的授权使用范围,用户个人信息流转过程中是否存在买卖交易以及相关买卖交易是否在隐私保护协议中体现及授权。”北京星来科技有限公司总编辑游涛说道。 据了解, 以银行和用户之间授权为例,根据截至2022年末的信用卡累计发卡量,记者梳理了工商银行、建设银行、中国银行、中信银行、招商银行五家银行信用卡开卡过程中个人信息授权的相关规定,五家银行个人信用卡的相关合约确认了银行违约催收的权利。 如工商银行《个人信息授权书》授权工商银行在依法合规的前提下,向有关单位提供本人个人信息,并从有关单位获取查询结果,可向本人联系人获取本人个人信息。 招商银行《信用卡(个人卡)通用领用合约》第五条“乙方同意并授权甲方通过乙方身份信息向通信运营商查询乙方名下的有效联系信息,并通过电话、短信等方式联系乙方。” 对外经济贸易大学数字经济与法律创新研究中心执行主任张欣提示,“用户在签订信用卡领用合约或个人信息授权书时,通常涉及对个人信息使用的授权。然而, “假如金融机构打算通过运营商获取失联人员新的手机号,需要关注运营商是否获得当事人授权、相关授权是否约定买卖数据的权限。”游涛在接受21世纪经济报道记者采访时说道。 记者梳理了三大运营商的用户隐私政策及相关协议, (左一为联通截图,右一为电信截图) 张欣表示,实践中,个人对运营商的授权可能是较为粗糙的一揽子授权,授权范围过广。个人事先和运营商签订的授权文件中的个人信息,和运营商真正调取的个人信息,二者之间存在信息差,用户未必能够真正愿意授权。 失联修复模式之下,另一个值得关注的问题,手机号码,尤其是失联人员未在银行留存的号码,是否属于敏感个人信息?对于敏感信息与否的判断影响着该类信息是否需要保护以及如何保护的问题。 张欣在接受记者采访时表示,在司法实践中,法院多从场景的角度综合考虑个人信息汇聚融合后的整体属性,如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的,应判断个人信息整体具有敏感个人信息属性。 “就手机号码而言,其不仅是通讯联系的基本工具,也是个人身份识别的重要标识之一,广泛关联个人的社交网络、财务信息以及网络行为等。因此,手机号码的泄露可能导致个人隐私的侵犯和安全风险的增加,在失联修复的场景下,可认为其属于个人敏感信息。”张欣说道。 游涛则认为,手机号码属于普通个人信息,未向银行提供的手机号码也属于普通个人信息范畴。游涛进一步解释,《个人信息保护法》第二十八条对敏感个人信息的外延作了列举式规定,一般不能随意扩大范围。 21记者综合梳理来看, 一方是不良资产处置、失联修复的刚需,另一方则是摸索中前进的失联修复业务合规。伴随数据要素市场的建设和发展,金融机构又该如何平衡数据的有效利用与个人隐私的保护? 张欣在接受记者采访时表示,这意味着金融机构应建立严格的数据管理体系,确保数据的使用目的明确、合法,并且采取足够的安全措施保护数据不被滥用或泄露。同时,需要加强对用户的通知和透明度义务,确保用户对自己的数据如何被使用有充分的知情权。 “对于失联修复这类可能涉及个人敏感信息使用的场景,金融机构还应严格遵守最小必要原则,在合法合规的前提下有序开展数据利用。严格控制信息查询的目的、方式和范围,防止过度采集、滥用个人信息。 本期编辑黎雨桐实习生李洁