來源/消金界

而在這部法律生效之前，《個人信息保護法》已于8月20日頒布。

在此之前，我國主要通過《電信和互聯網用戶個人信息保護規定》、《網絡安全法》、《刑法》（如《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》）等法律法規對個人信息予以保護。彼時各規定層級參差不齊，也散落在各部門各領域內，不免有些凌亂。

而《個人信息保護法》的頒布，意味著在個人信息保護領域終于有了基礎性的法律。

可以看出，加快完善法律法規，織就數據安全、個人隱私保護的大網，已是全社會的共識。那么接下來，全行業學習法律法規，適應新環境，就顯得迫切。

《個人信息保護法》全文共八章、七十四條。本文將圍繞該法對于消費金融的從業主體產生的影響進行展開論述，并拋磚引玉，嘗試提出幾種初步的應對措施，僅供參考、交流。

撤銷權的明確與保護?

第十五條 基于個人同意處理個人信息的，個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式。

個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

第十六條 個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務；處理個人信息屬于提供產品或者服務所必需的除外。

《個人信息保護法》第十五條明確賦予了個人作為信息所有者，具有“同意”及“撤回其同意”（即“授權”與“撤銷授權”）的權利。通過“賦權”、“確權”，避免以往實踐中普遍出現的“一次授權、終身使用”現象。

而為了使條款具有可實施性，使個人信息處理者能夠真正尊重個人的撤銷權，《個人信息保護法》第十六條將保護撤銷權形式的義務加在了個人信息處理者一側，要求其需提供便捷的方式使信息所有人能夠有效的撤回其“同意”，且其不得因此拒絕提供產品或服務。

對于目前消費金融的從業主體而言，其一方面需盡快改造其客戶端的界面展示，設置明顯、有效、操作友好的操作路徑，供客戶隨時撤銷其授權；另一方面，從業者們也需盡快探索有效的風控手段，更迭與優化模型策略，持續有效地識別借款人的貸中、貸后欺詐風險及信用風險的識別與評估，避免在貸中、貸后階段因客戶撤銷其同意，而無法繼續使用、處理借款人的個人信息，進而導致已發放貸款發生集中違約的極端情況。

不對抗第三人及連帶責任?

第二十條?兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人信息處理者要求行使本法規定的權利。

個人信息處理者共同處理個人信息，侵害個人信息權益造成損害的，應當依法承擔連帶責任。

考慮到業務實踐中往往存在多主體合作的情況，《個人信息保護法》第二十條特別明確了兩個及兩個以上個人信息處理者共同處理個人信息的權利分擔及責任承擔。

也即，法律并不限制多個個人信息處理者共同處理個人信息的行為，但前提是需要明確約定在業務合作中的權利義務分擔，并且該約定并不對外產生對抗個人的效力，個人可以向任何一方主張其應有的權利。

且，共同處理個人信息的主體因此而承擔連帶責任，若其行為對個人產生了損害，則個人有權對任意一方、多方提出對其全部損失進行賠償的要求。

目前，大多數消費金融業務都以助貸平臺與金融機構合作的模式展開（多為助貸、聯合貸等），在多主體共同處理個人信息的情形十分常見。

《個人信息保護法》頒布后，助貸平臺及金融機構都應迅速梳理合作業務項下的對個人信息處理的流程及具體方式，并在交易文件中明確操作模式、雙方權責分配。

考慮到前述文件并不對主張索賠的個人產生對抗效力，因此需要特別關注索賠后的追償條款。

也就是說，放貸主體應當在交易文件中明確，個人對其中某一方進行索賠后，若該方并非過錯方，則其可要求過錯方對已受損失主張賠償的權利。

自動化決策結果的有效性?

第二十四條?個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。

通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

《個人信息保護法》第二十四條對自動化決策進行了明確約定，最直接也是受影響最大的是各大消費產品供給平臺（如某寶、某東、某程等），已經有太多的文章對此進行分析評論了，本文不多贅述。

但消費金融從業主體并非可以安枕無憂，本條第三款明確約定“通過自動化決策方式作出對個人權益有重大影響的決定，個人有權要求個人信息處理者予以說明，并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定”。

也即，通過助貸平臺向金融機構申請貸款的個人，因助貸平臺或金融機構的自動篩選策略、數據風控模型的設定，其貸款申請被拒絕、貸款額度明顯降低或貸款利率明顯提升等，個人將有權要求個人信息處理者做出說明，且根據前文“共同處理”規則，個人有權要求助貸平臺及金融機構任一主體履行上述說明義務。

在極端情況下，其還有權要求個人信息處理者做出通過非自動化決策的方式進行再決策。

對于金融機構而言，其并不直接觸達借款人、客訴處理能力較助貸平臺而言略弱，因此，可將相應客訴處理委托給助貸平臺完成。

而在與助貸機構的交易文件中，需明確約定此種情況下的客訴處理和糾紛處理方案，同時完善自主客服體系的搭建。

另外，助貸平臺及金融機構均應建立應對客訴處理的人工審批機制，做好送該種事件的處理預案，以應對借款人提出的“再決策”需求。

個人信息保存的時效性?

第四十七條?有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：

（一）處理目的已實現、無法實現或者為實現處理目的不再必要；

（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；

（三）個人撤回同意；

（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；

（五）法律、行政法規規定的其他情形。

法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

雖《個人信息保護法》對于個人信息的儲存期限僅有原則性規定（第六條，“個人信息的保存期限應當為實現處理目的所必要的最短時間”），并無明確的時間規定，但第四十七條明確了個人信息的儲存終止的情形。

也就是說，在相應條件屆滿后，個人信息處理者應當主動，或者在個人要求下被動刪除相應信息。

這條規定本無可厚非，且刪除的情形并無不合理之處。但對于習慣了儲存借款人個人信息的助貸平臺和金融機構，突然要求其不再存儲這些得來不易的信息，好比切膚之痛。

不過還好的是，個人信息并不包括“匿名化處理后的信息”（《個人信息保護法》第四條），如果助貸平臺和金融機構在信息獲取后能夠做好匿名化處理，那么這種處理后的信息將具有不可還原性、不可識別性，無法再定位到個人特征，便可妥善儲存，繼續使用在其模型策略的優化更迭過程中。

個人信息使用的事前評估?

第五十五條?有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：

（一）處理敏感個人信息；

（二）利用個人信息進行自動化決策；

（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；

（四）向境外提供個人信息；

（五）其他對個人權益有重大影響的個人信息處理活動。

第五十六條?個人信息保護影響評估應當包括下列內容：

（一）個人信息的處理目的、處理方式等是否合法、正當、必要；

（二）對個人權益的影響及安全風險；

（三）所采取的保護措施是否合法、有效并與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

《個人信息保護法》第五十五條、第五十六條要求個人信息處理者需要在處理敏感信息、進行自動化決策等行為之前，需要先對該行為對個人信息保護的影響，從處理目的、處理方式、對個人權益的影響及安全風險、保護措施等方面進行綜合評估。

該條規定實際上是將個人信息處理者對個人信息保護義務進行的一種行為模式的細化規定，并沒有超越本法對于個人信息保護的基本原則——“合法、正當、必要、誠信原則”、“目的明確和最小必要原則”、“公開透明原則”以及“質量及安全保障原則”。

且，對于明顯處于弱勢的個人來說，讓個人信息處理者承擔這項義務，理所應當。

但無需過于擔憂，對于助貸平臺及金融機構而言，本條規定落實的成本并不高、需要增加的工作量也并不多，僅需在內部項目報審、立項過程中，增加一份關于個人信息保護的針對性分析報告即可。報告的目的、適用情形、內容按照條款都基本上明確了，逐一落實就好。

以上，先寫到這里，考慮到這部法律的層級比較高，后續肯定還有監管機構出臺細則、指引。我們靜觀其變。