正文
对于P2P平台而言,个人信息的共享既包括平台向第三方提供用户信息的情形,如按照监管部门及行业协会的要求上报用户信息;与存管银行、第三方支付、电子存证服务等机构共享用户信息。也包括P2P平台从第三方处获取用户个人信息的情形。根据《网络安全法》的规定:
网络运营者“未经被收集者同意,不得向他人提供个人信息。”
因此,P2P平台向第三方提供用户个人信息时,应当向用户告知共享个人信息的目的、信息接收方的类型等并取得用户的同意。同时,建议P2P平台通过协议约定等方式约束个人信息的接收方履行相应的信息保密义务。而对于P2P平台从诸如资产推荐方、信用信息服务机构等第三方处间接获取用户个人信息时,建议应当采取适当的方式了解该等第三方获得的个人信息的授权同意范围,并对于该等第三方收集的个人信息来源的合法性进行确认。
《网络借贷信息中介机构业务活动信息披露指引》(银监办发〔2017〕113号)要求P2P平台履行相应的信息披露义务,如P2P平台需要在出借人确认出借资金前向其披露借款人主体性质、所属行业、收入及负债情况等基本信息。对于P2P平台而言,其在公开披露用户信息时,一方面应提前向用户告知公开披露的个人信息的目的、类型,并取得用户的同意。另一方面,如果需要公开披露用户的姓名、证件号码等敏感信息,在不违背监管要求的前提下,可考虑进行适当的匿名化处理,以满足保护用户个人信息的目的。
除了在业务开展过程中履行信息披露要求外,不少P2P平台曾以“老赖名单”、“逾期黑名单”等形式在平台上公布逾期借款人的相关信息。P2P平台自主公布逾期借款人信息一方面实属无奈,在没有更多有效手段的前提下,只能采取该等方式以起到警示借款人按时足额还款的目的。但另一方面该等做法也引发了对于P2P平台是否有权自主公布逾期借款人信息、是否侵犯了借款人隐私权利的广泛讨论。值得一提的是,今年8月8日,互联网金融风险专项整治工作领导小组办公室下发了《关于报送P2P平台借款人逃废债信息的通知》,要求上报恶意逃废债的借款人名单,全国整治办将协调征信管理部门将上述逃废债信息纳入征信系统和“信用中国”数据库,对相关逃废债行为人形成制约。
今年以来P2P平台的暴雷潮引发了社会的广泛关注,网贷平台一旦发生“暴雷”事件,大众往往最关心的便是其兑付能力如何。对于P2P平台“暴雷”乃至决定退出网贷行业时,其控制的用户个人信息如何处理却没有得到足够的重视。各地发布的退出指引对于P2P平台清退时的个人信息处理也基本上没有进行相应的规定。前文提到,P2P平台因其业务特殊性控制了大量的用户个人信息,其中不乏不少用户的个人敏感信息。如果在P2P平台清退时,其控制的用户信息没有得到妥善处理,则容易引发信息泄露、非法买卖信息等风险事件,造成重大不良影响。
P2P平台清退时,其所控制的用户个人信息应当如何处理?一方面,按照《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)的规定:
“电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。”
P2P平台应当为用户提供注销账号的服务,并在用户停止使用其服务后,停止对用户个人信息的收集和使用。另一方面,参照《个人信息安全规范》的要求:
“当个人信息控制者停止运营其产品或服务时,应:a) 及时停止继续收集个人信息的活动;b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;c) 对其所持有的个人信息进行删除或匿名化处理。”
P2P平台进入清退阶段时,应当停止收集个人信息的活动,并对其持有的个人信息进行删除或匿名化处理。此前,江苏省互联网金融协会发布的《江苏省网络借贷平台个人信息安全保护规范指引(草案)》也对该问题进行了相应规定:
“网络借贷平台破产或解散时,若无法继续完成承诺的个人信息处理目的,需删除个人信息。”
网络借贷业务中个人信息安全保护问题的矛盾点在于,一方面P2P平台因其业务特殊性,注定要收集控制大量的用户个人信息。另一方面,网络借贷业务领域的个人信息安全保护问题却始终没有引起足够的重视,我们在评价P2P平台业务开展情况时,从来更关注于其业务规模、资金存管、信息披露以及其他合规要求的满足程度等问题。这也导致了P2P领域个人信息风险事件的频繁发生。此前就有媒体报道有不法分子兜售P2P平台的用户数据,包括了用户姓名、身份证、成交数据等相关信息。而不少用户也曾投诉其在一些P2P平台提交的个人信息遭到泄露。网络借贷业务发展至今,经历了从最初的野蛮生长到如今逐步向合规化、持续化发展的转变,接下来我们或许应当在个人信息安全保护的问题上倾注更多的目光。
