SCI论文(www.lunwensci.com)
摘 要:本文对金融机构催收外包过程中个人信息保护现 状、风险隐患及成因进行了分析,并从基础设施、标准规 则、行业自律等角度就加强个人信息保护提出了针对性意 见建议,以期推动建立个人信息保护相关监管和行业自律 管理机制,切实保护金融消费者合法权益。
关键词:催收外包,个人信息保护,基础设施
一、金融机构催收外包个人信息保护现状
(一)催收外包成为金融机构逾期债务催收的重 要方式
催收外包指金融机构将逾期债务委托给催收公 司,由其在金融机构授权的基础上向债务人催收、主 张债权,引导债务人履行债务清偿责任的行为和过 程。现代金融产业链条分工不断细化是金融市场发展 成熟的必然趋势。从国内外信贷行业实践看,发挥催收 公司在人力资源、属地资源、管理制度以及信息修复手 段等方面的专业优势,有利于金融机构降低催收成本、 提高催收回款率。尤其中小金融机构受管理能力、管理 成本、系统支撑能力等因素制约,不具备大规模自建催 收团队的能力,因而更加依赖于外包催收。委外催收主 要是商业银行、消费金融公司等将逾期时间较长、逾 期金额较大、客户风险等级较高的贷款外包给催收公 司。在业务结构上,金融机构委外催收主要为个人消 费贷款、个人经营性贷款和个人信用卡业务。常用催 收方式包括电话催收、上门催收、法律催收。理赔追 偿主要是保险公司为各类个人消费信贷提供信用保证 保险,当客户出现违约时,保险公司承担代偿责任, 同时协助银行开展催收,其业务结构和催收方式与委 外催收大致相同。
(二)催收外包中的主要信息交互方式
金融机构将逾期债务委托给催收公司,由催收公 司向债务人催收、主张债权,要实现这一过程,金融 机构必须为催收公司提供一种可以触达债务人的联系 方式,即金融机构需要与催收公司进行债务人个人信 息的交互。从行业实践看,传统信息交互方式是金融 机构直接通过邮件传输等手段将债务人信息转移给催 收公司,其弊端在于可能存在信息泄露或者信息倒卖 等风险。为了规避这种风险,一些技术及资金实力较 为雄厚的金融机构开始自建统一的催收管理平台,在 这种模式下,催收公司直接通过金融机构的催收管理平台触达债务人,在整个催收过程中,债务人的个人 信息始终处于金融机构可控系统内部,大大降低了个 人信息泄露风险。
1.邮件传输方式
部分金融机构通过邮件加密传输方式将客户信息 提供催收公司(见图1),催收公司下载客户信息存储 在本地系统,金融机构一般以合同约定方式要求催收 公司采取敏感客户信息脱敏、委案期结束后销毁数据 等措施保护个人信息。同时,金融机构会定期或不定 期派遣委外专员督导检查催收公司个人信息保护措施 落实情况。在邮件传输方式下,金融机构需要与催收 公司定期同步客户还款信息,同步频率一般为1-3天, 少数机构可以每30分钟同步一次。此外,催收公司也 可通过专线电话实时查询借款人还款情况。
2.系统查询方式
部分金融机构通过自建内外统一催收管理平台, 为催收公司开展业务提供客户信息查询服务(见图 2)。该方式避免了客户信息“落地”到催收公司,但 从行业实践看,多数催收管理平台采用明文显示,仍 然存在风险隐患。在信息同步上,一般由金融机构或 联合放贷机构为客户提供还款通道,并将客户还款信 息实时同步到催收管理平台。
从行业实践看,传统金融机构主要采用加密邮件 /sftp/接口传输方式与催收公司进行信息交互,个别机构建立了内外统一催收平台,或两种方式兼而有之。 相比之下,多数互联网金融机构建立了内外统一催收 平台,仅个别机构仍采用传统加密邮件/sftp/接口传输 方式。总体而言,新兴的互联网金融机构在线上化催 收技术应用方面领先于传统金融机构。
(三)催收外包信息交互呈现规模大、维度广的 特征
1.信息规模大
互联网金融的发展以及新技术的采用,使得金融 机构可以在风险和成本可控的情况下,经营更大规 模、具有“短小频急”特点的个人消费信贷业务,在 此过程中金融机构会沉淀海量个人信息。与此同时, 随着金融机构客群下沉以及经济周期等因素影响,逾 期人数和待催收笔数有所上升,金融机构对外部催收 的需求增大,大规模逾期外包业务必然伴随着海量金 融用户信息转移。
2.信息维度广
虽然《个人金融信息保护技术规范》等有关规定对 个人金融信息保护提出了规范性要求,但个别金融机构 对外提供的客户信息维度仍然较为宽泛,个人信息保护 “最小够用原则”尚未得到全面落实,除了客户姓名、 联系电话、身份证号码、银行卡号、逾期金额、逾期时 间以及紧急联系人等基本信息外,还会提供婚姻状况、 学历信息、个人及单位地址、社交信息、网络行为信息 等,保险公司则会额外提供客户保单信息。
(四)金融机构通过“技防+人防”落实个人信息 保护要求
目前,金融机构普遍建立了催收外包管理制度,通 过“技防+人防”相结合的方式加强个人信息的保护。
在“人防”方面,主要通过建立催收外包管理制 度对催收公司加以规范。首先,强化金融机构内部管 理,加强“事前准入+事中监测+事后处罚”,完善金 融机构个人信息保护各项内控制度;其次,要求催收 公司加强个人信息保护,与催收公司及催收人员签署 保密协议,要求催收公司定期开展员工培训考核;最 后,加强作业现场管理。作业场地实行封闭式管理, 进行实时摄像监控,禁止催收人员携带手机。不定期 开展催收现场检查,消除风险隐患。
在“技防”方面,部门金融机构探索利用合规科 技手段自建内外催收统一管理平台。一是系统上线前 必须做渗透性测试,针对渗透性测试问题必须完成整 改;二是贷后催收管理系统实施内外网隔离,实现信 息可访问但不可保存;三是对催收员权限进行统一管 理,自动保留信息查询日志,定期检查系统服务器漏 洞,包括异常登录、敏感信息查询下载等;四是对客户敏感信息进行脱敏,少数贷后催收管理系统的电话 催收采用“一键呼出”方式;五是利用智能语音识别 技术对通话内容进行全程监控,以便及时发现、处置 催收人员的违规行为。
(五)逾期债务催收方式由线下转为线上
随着数字经济规模的扩大,线上催收优势更加凸 显,成为行业发展的必然趋势。一是非接触。为满足 新冠肺炎疫情期间社会各方对“非接触式”金融服务 的特殊需求,金融机构开始依托线上渠道开展催收业 务,降低人员聚集和面对面接触风险。二是成本低。 个人消费信贷业务具有小额分散的特点,线下催收难 以覆盖人工成本,短信、电话等线上催收方式成本相 对较低。尤其是随着人工智能技术的发展,部分金融 机构或催收公司开发了催收机器人及智能化的催收管 理系统,可以根据历史数据不断优化催收策略,增强 预测外呼和人机协同,进一步提高催收效率,降低了 催收成本。三是效率高。随着金融科技的发展,大数 据分析、人工智能语音等应用日渐增多,在一定程度 上提高了线上催收的效率和效果。四是易管控。线下 催收容易出现暴力催收、肢体冲突等问题,利用催收 平台开展线上催收可以对催收进行全程监测管控,强 化催收合规管理,减少可能引发的社会矛盾。
二、消费金融催收外包个人信息保护面临的主要 风险
(一)多数机构采用传统信息传输方式,个人信 息保护存在风险隐患
传统金融机构采用“邮件传输方式”直接将个人 信息提供给催收公司,导致个人信息脱离金融机构信 息安全区域管理,安全风险增大。此外,在传统信息 传输方式下,金融机构需要与催收公司定期同步还款 信息,对于部分未能催回欠款的客户,还会转送多家 机构催收,且无法保证催收公司在合作结束后及时销 毁客户信息,个人信息保护风险隐患突出。部分互联 网金融机构建立了统一的催收管理系统,提升了个人 信息保护能力,但存在系统安全性不高、隐私保护不 到位等问题。现有催收管理系统信息查询多为明文显 示,仍然存在安全隐患。
系统查询方式在安全性上明显优于邮件传输方 式, 但传统金融机构在催收管理系统建设上相对迟缓, 主要原因包括以下几个方面:一是银行等传统金融机构 对于外部机构直接访问自身系统存在疑虑。在监管部门 尚未明确相关政策的情况下,直接将系统延伸至催收公 司,可能会使客户信息面临更大的安全风险。二是部分 中小金融机构业务规模较小、技术能力有限,难以承担 自建系统的开发和运营成本。从行业实践看,自建催收管理系统成本一般为100万~500万/每年,部分自建催收 管理系统成本超过了1000万/每年, 且需要持续投入人 力财力对系统进行维护、升级优化等。三是催收公司倾 向于采用自建催收管理系统,以便于充分发挥其在催收 和信息修复等方面专业优势,为提高催收回款率,金融 机构往往对此采取默许态度。
(二)催收外包行业信息交互规模大、维度广、 机构杂,加大个人信息保护难度
据银保监会公布的数据显示,近年来金融机构贷 款逾期率、不良率呈上升趋势,催收外包业务规模不 断增长,大规模催收外包必然伴随着海量个人信息转 移。同时,催收外包信息交互维度仍然较为宽泛,涉 及个人身份信息、金融资产状况信息、账户信息、借 贷信息以及个人信用信息、金融交易信息等。这些信 息构成了个人完整的金融消费画像,一旦出现信息泄 露将严重损害金融消费者合法权益,甚至引发社会信 任危机。此外,催收市场鱼龙混杂加大了个人信息保 护工作难度。目前,全国共有数千家催收公司,不同 公司在管理制度和技术水平上差别较大,增加了金融 机构的筛选成本,也加大了个人信息保护工作难度。
(三)个人金融信息保护标准落地执行不到位, 全生命周期个人信息保护机制有待加强
在国家层面,近年来人民银行科技司、征信局分 别从技术和业务等方面持续加强个人信息保护制度建 设,相关工作取得显著成效。2020年2月,人民银行 颁布实施了《个人金融信息保护技术规范》,规定了 个人金融信息在收集、传输、存储、使用、删除、销 毁等生命周期各环节的安全防护要求,对于规范金融 业机构个人金融信息保护工作、提升金融数据风险防 控能力具有重要意义。但从行业实践看,目前仍有部 分金融机构对于个人信息保护不够重视,或者因缺乏 具体操作指引而在标准执行层面存在困扰,个人信息 保护要求尚未得到全面落实,非持牌金融机构尤为严 重。此外,由于金融机构管理能力参差不齐,尤其中 小金融机构受资金规模和技术水平限制,对于催收公 司的管理主要是远程非现场督导,全生命周期个人信 息保护机制有待加强。
三、相关建议
(一)探索建立统一的催收外包监管科技基础设 施,不断强化催收外包个人信息保护
针对传统信息传输方式存在的安全技术风险,建 议在现有个人信息保护监管框架和标准化工作基础 上,充分发挥行业自律组织的资源优势和技术优势, 探索利用“数据脱敏+多方安全计算”等金融科技手 段,建立符合行业发展趋势和金融机构现实需要的催收外包监管科技服务平台。既打破当前贷后管理信息 的“孤岛”,实现信息综合利用,提升全行业风控水 平,又保障信息脱敏和按照规定用途使用,实现个人 信息的全方位、全过程、全天候自动保护,促进行业 合规发展。同时,利用独立第三方行业自律组织的公 信力整合各方资源,有利于降低各类机构自行探索建 设系统的时间成本和资金成本,优化社会资源配置。
(二)积极推动个人信息保护标准落地实施,提 升金融机构数据治理能力
针对金融机构、金融科技公司个人信息保护不到 位的问题,建议在监管部门指导下充分发挥行业自律 组织作用,加大个人信息保护标准宣贯工作的力度, 并加强标准测评和认证,积极推进标准的落地实施。 通过标准、测评和认证三个环节形成个人信息保护管 理闭环,促进个人金融信息的安全合规使用。此外, 建议在个人信息保护政策框架下,结合催收外包业务 特点,制定跨安全域个人信息保护操作指引和实施细 则,建立完善覆盖信息系统全生命周期的安全管理机 制,切实防范个人金融数据被泄露、被篡改、被丢失 和非授权访问等风险,不断提升金融机构数据管理能 力,充分挖掘数据要素资源价值潜力,促进金融市场 的健康发展。
(三)充分发挥行业自律对行政监管的补充作 用,加强催收外包个人信息保护监管科技支撑
建议依托催收外包监管科技服务平台加强行业监 管和自律管理,充分发挥行业自律对行政监管的补充 支撑作用。一是落实监管政策和行业自律管理有关要 求。依托行业自律组织资源,联合“政产学研”各方 力量,推动催收外包和个人信息保护有关监管政策和 行业自律管理要求内嵌到监管科技服务平台中,提升 全行业、全产业链个人信息保护能力;二是提供监管 科技服务支撑。针对监管部门对于行业发展信息滞后 的问题,应明确相关金融机构或者金融基础设施要为 监管部门提供监管数据查询接口。加强监管部门对金 融机构、催收公司业务的实时监测分析,以便及时了 解行业发展动态,并根据行业最新发展实践,加强业 务合规动态管控,从而不断提升金融风险的甄别、防 范和化解能力。
参考文献
[1] 杜宁,杨祖艳.数据要素时代金融业的使命[J]. 中国金融,2020(13):61-63.
[2] 李东荣.数字化时代个人金融信息保护的思考[J].金融电子化,2020(8):6-9.
[3] 刘丹丹.金融消费权益保护视角下商业银行债务催收外包业务问题研究[J].武汉金融,2018(3):65-69.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网! 文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/guanlilunwen/52603.html
