金融機構催收外包過程中個人信息保護問題研究

趙 坤

（中國互聯網金融協會，北京 102425）

一、金融機構催收外包個人信息保護現狀

（一）催收外包成為金融機構逾期債務催收的重要方式

催收外包指金融機構將逾期債務委托給催收公司，由其在金融機構授權的基礎上向債務人催收、主張債權，引導債務人履行債務清償責任的行為和過程。現代金融產業鏈條分工不斷細化是金融市場發展成熟的必然趨勢。從國內外信貸行業實踐看，發揮催收公司在人力資源、屬地資源、管理制度以及信息修復手段等方面的專業優勢，有利于金融機構降低催收成本、提高催收回款率。尤其中小金融機構受管理能力、管理成本、系統支撐能力等因素制約，不具備大規模自建催收團隊的能力，因而更加依賴于外包催收。委外催收主要是商業銀行、消費金融公司等將逾期時間較長、逾期金額較大、客戶風險等級較高的貸款外包給催收公司。在業務結構上，金融機構委外催收主要為個人消費貸款、個人經營性貸款和個人信用卡業務。常用催收方式包括電話催收、上門催收、法律催收。理賠追償主要是保險公司為各類個人消費信貸提供信用保證保險，當客戶出現違約時，保險公司承擔代償責任，同時協助銀行開展催收，其業務結構和催收方式與委外催收大致相同。

（二）催收外包中的主要信息交互方式

金融機構將逾期債務委托給催收公司，由催收公司向債務人催收、主張債權，要實現這一過程，金融機構必須為催收公司提供一種可以觸達債務人的聯系方式，即金融機構需要與催收公司進行債務人個人信息的交互。從行業實踐看，傳統信息交互方式是金融機構直接通過郵件傳輸等手段將債務人信息轉移給催收公司，其弊端在于可能存在信息泄露或者信息倒賣等風險。為了規避這種風險，一些技術及資金實力較為雄厚的金融機構開始自建統一的催收管理平臺，在這種模式下，催收公司直接通過金融機構的催收管理平臺觸達債務人，在整個催收過程中，債務人的個人信息始終處于金融機構可控系統內部，大大降低了個人信息泄露風險。

1.郵件傳輸方式

部分金融機構通過郵件加密傳輸方式將客戶信息提供催收公司（見圖1），催收公司下載客戶信息存儲在本地系統，金融機構一般以合同約定方式要求催收公司采取敏感客戶信息脫敏、委案期結束后銷毀數據等措施保護個人信息。同時，金融機構會定期或不定期派遣委外專員督導檢查催收公司個人信息保護措施落實情況。在郵件傳輸方式下，金融機構需要與催收公司定期同步客戶還款信息，同步頻率一般為1-3天，少數機構可以每30分鐘同步一次。此外，催收公司也可通過專線電話實時查詢借款人還款情況。

圖1 郵件加密傳輸信息方式

2.系統查詢方式

部分金融機構通過自建內外統一催收管理平臺，為催收公司開展業務提供客戶信息查詢服務（見圖2）。該方式避免了客戶信息“落地”到催收公司，但從行業實踐看，多數催收管理平臺采用明文顯示，仍然存在風險隱患。在信息同步上，一般由金融機構或聯合放貸機構為客戶提供還款通道，并將客戶還款信息實時同步到催收管理平臺。

圖2 自建催收系統信息查詢方式

從行業實踐看，傳統金融機構主要采用加密郵件/sftp/接口傳輸方式與催收公司進行信息交互，個別機構建立了內外統一催收平臺，或兩種方式兼而有之。相比之下，多數互聯網金融機構建立了內外統一催收平臺，僅個別機構仍采用傳統加密郵件/sftp/接口傳輸方式。總體而言，新興的互聯網金融機構在線上化催收技術應用方面領先于傳統金融機構。

（三）催收外包信息交互呈現規模大、維度廣的特征

1.信息規模大

互聯網金融的發展以及新技術的采用，使得金融機構可以在風險和成本可控的情況下，經營更大規模、具有“短小頻急”特點的個人消費信貸業務，在此過程中金融機構會沉淀海量個人信息。與此同時，隨著金融機構客群下沉以及經濟周期等因素影響，逾期人數和待催收筆數有所上升，金融機構對外部催收的需求增大，大規模逾期外包業務必然伴隨著海量金融用戶信息轉移。

2.信息維度廣

雖然《個人金融信息保護技術規范》等有關規定對個人金融信息保護提出了規范性要求，但個別金融機構對外提供的客戶信息維度仍然較為寬泛，個人信息保護“最小夠用原則”尚未得到全面落實，除了客戶姓名、聯系電話、身份證號碼、銀行卡號、逾期金額、逾期時間以及緊急聯系人等基本信息外，還會提供婚姻狀況、學歷信息、個人及單位地址、社交信息、網絡行為信息等，保險公司則會額外提供客戶保單信息。

（四）金融機構通過“技防+人防”落實個人信息保護要求

目前，金融機構普遍建立了催收外包管理制度，通過“技防+人防”相結合的方式加強個人信息的保護。

在“人防”方面，主要通過建立催收外包管理制度對催收公司加以規范。首先，強化金融機構內部管理，加強“事前準入+事中監測+事后處罰”，完善金融機構個人信息保護各項內控制度；其次，要求催收公司加強個人信息保護，與催收公司及催收人員簽署保密協議，要求催收公司定期開展員工培訓考核；最后，加強作業現場管理。作業場地實行封閉式管理，進行實時攝像監控，禁止催收人員攜帶手機。不定期開展催收現場檢查，消除風險隱患。

在“技防”方面，部門金融機構探索利用合規科技手段自建內外催收統一管理平臺。一是系統上線前必須做滲透性測試，針對滲透性測試問題必須完成整改；二是貸后催收管理系統實施內外網隔離，實現信息可訪問但不可保存；三是對催收員權限進行統一管理，自動保留信息查詢日志，定期檢查系統服務器漏洞，包括異常登錄、敏感信息查詢下載等；四是對客戶敏感信息進行脫敏，少數貸后催收管理系統的電話催收采用“一鍵呼出”方式；五是利用智能語音識別技術對通話內容進行全程監控，以便及時發現、處置催收人員的違規行為。

（五）逾期債務催收方式由線下轉為線上

隨著數字經濟規模的擴大，線上催收優勢更加凸顯，成為行業發展的必然趨勢。一是非接觸。為滿足新冠肺炎疫情期間社會各方對“非接觸式”金融服務的特殊需求，金融機構開始依托線上渠道開展催收業務，降低人員聚集和面對面接觸風險。二是成本低。個人消費信貸業務具有小額分散的特點，線下催收難以覆蓋人工成本，短信、電話等線上催收方式成本相對較低。尤其是隨著人工智能技術的發展，部分金融機構或催收公司開發了催收機器人及智能化的催收管理系統，可以根據歷史數據不斷優化催收策略，增強預測外呼和人機協同，進一步提高催收效率，降低了催收成本。三是效率高。隨著金融科技的發展，大數據分析、人工智能語音等應用日漸增多，在一定程度上提高了線上催收的效率和效果。四是易管控。線下催收容易出現暴力催收、肢體沖突等問題，利用催收平臺開展線上催收可以對催收進行全程監測管控，強化催收合規管理，減少可能引發的社會矛盾。

二、消費金融催收外包個人信息保護面臨的主要風險

（一）多數機構采用傳統信息傳輸方式，個人信息保護存在風險隱患

傳統金融機構采用“郵件傳輸方式”直接將個人信息提供給催收公司，導致個人信息脫離金融機構信息安全區域管理，安全風險增大。此外，在傳統信息傳輸方式下，金融機構需要與催收公司定期同步還款信息，對于部分未能催回欠款的客戶，還會轉送多家機構催收，且無法保證催收公司在合作結束后及時銷毀客戶信息，個人信息保護風險隱患突出。部分互聯網金融機構建立了統一的催收管理系統，提升了個人信息保護能力，但存在系統安全性不高、隱私保護不到位等問題。現有催收管理系統信息查詢多為明文顯示，仍然存在安全隱患。

系統查詢方式在安全性上明顯優于郵件傳輸方式，但傳統金融機構在催收管理系統建設上相對遲緩，主要原因包括以下幾個方面：一是銀行等傳統金融機構對于外部機構直接訪問自身系統存在疑慮。在監管部門尚未明確相關政策的情況下，直接將系統延伸至催收公司，可能會使客戶信息面臨更大的安全風險。二是部分中小金融機構業務規模較小、技術能力有限，難以承擔自建系統的開發和運營成本。從行業實踐看，自建催收管理系統成本一般為100萬～500萬/每年，部分自建催收管理系統成本超過了1000萬/每年，且需要持續投入人力財力對系統進行維護、升級優化等。三是催收公司傾向于采用自建催收管理系統，以便于充分發揮其在催收和信息修復等方面專業優勢，為提高催收回款率，金融機構往往對此采取默許態度。

（二）催收外包行業信息交互規模大、維度廣、機構雜，加大個人信息保護難度

據銀保監會公布的數據顯示，近年來金融機構貸款逾期率、不良率呈上升趨勢，催收外包業務規模不斷增長，大規模催收外包必然伴隨著海量個人信息轉移。同時，催收外包信息交互維度仍然較為寬泛，涉及個人身份信息、金融資產狀況信息、賬戶信息、借貸信息以及個人信用信息、金融交易信息等。這些信息構成了個人完整的金融消費畫像，一旦出現信息泄露將嚴重損害金融消費者合法權益，甚至引發社會信任危機。此外，催收市場魚龍混雜加大了個人信息保護工作難度。目前，全國共有數千家催收公司，不同公司在管理制度和技術水平上差別較大，增加了金融機構的篩選成本，也加大了個人信息保護工作難度。

（三）個人金融信息保護標準落地執行不到位，全生命周期個人信息保護機制有待加強

在國家層面，近年來人民銀行科技司、征信局分別從技術和業務等方面持續加強個人信息保護制度建設，相關工作取得顯著成效。2020年2月，人民銀行頒布實施了《個人金融信息保護技術規范》，規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，對于規范金融業機構個人金融信息保護工作、提升金融數據風險防控能力具有重要意義。但從行業實踐看，目前仍有部分金融機構對于個人信息保護不夠重視，或者因缺乏具體操作指引而在標準執行層面存在困擾，個人信息保護要求尚未得到全面落實，非持牌金融機構尤為嚴重。此外，由于金融機構管理能力參差不齊，尤其中小金融機構受資金規模和技術水平限制，對于催收公司的管理主要是遠程非現場督導，全生命周期個人信息保護機制有待加強。

三、相關建議

（一）探索建立統一的催收外包監管科技基礎設施，不斷強化催收外包個人信息保護

針對傳統信息傳輸方式存在的安全技術風險，建議在現有個人信息保護監管框架和標準化工作基礎上，充分發揮行業自律組織的資源優勢和技術優勢，探索利用“數據脫敏+多方安全計算”等金融科技手段，建立符合行業發展趨勢和金融機構現實需要的催收外包監管科技服務平臺。既打破當前貸后管理信息的“孤島”，實現信息綜合利用，提升全行業風控水平，又保障信息脫敏和按照規定用途使用，實現個人信息的全方位、全過程、全天候自動保護，促進行業合規發展。同時，利用獨立第三方行業自律組織的公信力整合各方資源，有利于降低各類機構自行探索建設系統的時間成本和資金成本，優化社會資源配置。

（二）積極推動個人信息保護標準落地實施，提升金融機構數據治理能力

針對金融機構、金融科技公司個人信息保護不到位的問題，建議在監管部門指導下充分發揮行業自律組織作用，加大個人信息保護標準宣貫工作的力度，并加強標準測評和認證，積極推進標準的落地實施。通過標準、測評和認證三個環節形成個人信息保護管理閉環，促進個人金融信息的安全合規使用。此外，建議在個人信息保護政策框架下，結合催收外包業務特點，制定跨安全域個人信息保護操作指引和實施細則，建立完善覆蓋信息系統全生命周期的安全管理機制，切實防范個人金融數據被泄露、被篡改、被丟失和非授權訪問等風險，不斷提升金融機構數據管理能力，充分挖掘數據要素資源價值潛力，促進金融市場的健康發展。

（三）充分發揮行業自律對行政監管的補充作用，加強催收外包個人信息保護監管科技支撐

建議依托催收外包監管科技服務平臺加強行業監管和自律管理，充分發揮行業自律對行政監管的補充支撐作用。一是落實監管政策和行業自律管理有關要求。依托行業自律組織資源，聯合“政產學研”各方力量，推動催收外包和個人信息保護有關監管政策和行業自律管理要求內嵌到監管科技服務平臺中，提升全行業、全產業鏈個人信息保護能力；二是提供監管科技服務支撐。針對監管部門對于行業發展信息滯后的問題，應明確相關金融機構或者金融基礎設施要為監管部門提供監管數據查詢接口。加強監管部門對金融機構、催收公司業務的實時監測分析，以便及時了解行業發展動態，并根據行業最新發展實踐，加強業務合規動態管控，從而不斷提升金融風險的甄別、防范和化解能力。