从“考拉征信、AdMaste事件”看现金贷行业的数据买卖黑链的法律问题
2013年以来,互联网现金贷行业迎来了爆发式的增长,随后因为网络现金贷平台出现的问题,其平台的借贷业务受到了有关部门的监管。而近来,考拉征信、AdMaster等核心业务与大数据息息相关的企业正在接受国家有关部门调查整治的消息如流感病毒般迅速弥漫,多位业内人士称“现在90%的大数据公司都不再开展新业务。”业内人士已经注意到,这次与2016年对现金贷平台的信贷业务的整改不同,种种迹象都指向了一个隐藏在现金贷平台背后的数据黑色产业链。
一、现金贷行业信息数据买卖黑链
现金贷普遍场景是一旦用户在一个网贷平台上注册,填入相关个人信息,不久就会收到几家甚至更多网贷平台的贷款电话和短信。透过电话轰炸和短信骚扰的表象,不难推知用户在该平台上注册的信息已经通过某种方式被“共享”给了其他平台。
与个人信息相关的数据主要用途是身份认证,精准营销和诈骗。在现金贷行业中,这种数据主要是用于精准营销,减少无效广告的投入。针对有贷款或出借需求的平台用户精准投放广告,由此产生了一个对用户信息数据需求量加大的市场,数据交易的黑色产业链悄然而起。网贷产业的数据黑色产业链主要有横向和纵向两种交易链条,分别是(如下图):(1)横向产业链条。平台之间主动出售,即平台出于数据盈利的目的,将手上已收集到的用户信息直接向其他平台出售;也包括对用户的“二次营销”,即将那些无法通过本平台放贷标准的这部分用户信息出卖给那些放贷审核标准较低的平台,促使这些用户与其他平台达成交易;(2)纵向产业链条。内鬼或黑客成为数据交易的主要来源,内鬼或黑客将其通过非法渠道收集到的个人信息出售给“中介商”,这些中介商将信息数据收集起来,打包卖给对用户数据有需求的网贷平台。
2017年6月1日生效实施的《中华人民共和国网络安全法》(以下称《网络安全法》)和与之配套的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,新规降低了个人信息数据犯罪的入罪门槛——非法获取、出售或提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的即入罪,加大了对数据买卖的纵向产业链的打击,对纵向产业链进行了有力的规制。
而这一次对考拉征信、AdMaster的监管动作似乎是要收紧网贷平台间数据“共享”的监管口子,规范数据交易横向产业链。
二、数据收集企业的法律合规问题
据网贷天眼研究院不完全统计,截至2018年10月31日,我国P2P网贷平台数量累计达6678家,其中问题平台4880家,在运营平台1798家,较9月份下降1.69%。整个10月份,无新增网贷平台,新增问题平台32家;本月,P2P网贷行业成交额达1411.22亿元,环比下降1.14%,贷款余额为11129.84亿元,环比下降1.37%。对现金贷平台的数据合规检查成为行业主旋律。
目前,许多网络现金贷平台通过与用户签订《用户协议》的方式来试图取得用户与个人信息相关的数据的使用、转让的权利,并以此来规避由此带来的违法违规风险。而随着《网络安全法》和为落实《网络安全法》而相继制定的各项规章、细则和行业标准的施行,现有的许多现金贷行业中的用户协议与隐私条款往往会因为违反法律法规的强制性规定而无效。这时候先行对企业自身的用户数据使用和转让业务进行法律合规检查显得尤为重要,平台对数据的合规要求主要体现在:
1、 平台的数据安全保护义务
现行立法下个人信息保护的相关法律已经渐成体系,不仅体现在传统法律领域《民法总则》《消费者权益保护法》《侵权责任法》《刑法》的规定上,在中国网络领域的基础性法律《网络安全法》和与之配套的法律法规也有体现:
相关法律法规 | 具体条款 |
《网络安全法》 | 第二十二条 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 |
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 | |
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 | |
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 | |
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 | |
《关于加强网络信息保护的决定》 | 一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。 任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。 |
二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。 网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。 | |
三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。 | |
四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。 | |
十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。 | |
《电子商务法》 | 第五条 电子商务经营者从事经营活动,应当遵循自愿、平等、公平、诚信的原则,遵守法律和商业道德,公平参与市场竞争,履行消费者权益保护、环境保护、知识产权保护、网络安全与个人信息保护等方面的义务,承担产品和服务质量责任,接受政府和社会的监督。 |
第二十三条 电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。 | |
第二十五条 有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。 | |
第三十二条 电子商务平台经营者应当遵循公开、公平、公正的原则,制定平台服务协议和交易规则,明确进入和退出平台、商品和服务质量保障、消费者权益保护、个人信息保护等方面的权利和义务。 | |
第七十九条 电子商务经营者违反法律、行政法规有关个人信息保护的规定,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的,依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。 | |
《网络借贷信息中介机构业务活动管理暂行办法》 | 第九条 …妥善保管出借人与借款人的资料和交易信息,不得删除、篡改,不得非法买卖、泄露出借人与借款人的基本信息和交易信息; |
第十八条 网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。 网络借贷信息中介机构应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。 网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。 |
互联网现金贷平台对用户个人信息的保护不仅要满足《网络安全法》《关于加强网络信息保护的决定》《电子商务法》的规定,也要遵循网络借贷行业的特别规定,如《网络借贷信息中介机构业务活动管理暂行办法》。这些法律法规分别从个人信息收集应遵循的原则、收集范围、信息收集的方式与途径、保存方式、保存时间期限和信息安全保障等方面,对现金贷行业的个人信息保护提出了较为全面详细的要求。网络借贷平台需要依据这些法律从以下四个方面进行合规整改,充分履行平台对用户信息数据安全保护义务:(1)建立、公开完善的信息收集和使用规则。平台应当在网页或客户端首页的显著位置显示用户协议和隐私政策,用户信息使用条款中应当明确平台收集信息的范围,以及对这些信息的使用方式,如何共享、转让、公开披露用户信息的具体情况、程序、范围等信息。(2)完善平台个人信息的储存及跨境转移机制。平台可以在隐私政策中明确用户信息的保存期限、保存地域,以及对用户信息跨境转移的安全评估程序,明确因业务需要对用户信息进行跨境转移的具体规则。(3)建立和完善信息安全系统。例如,在技术上,采取加密技术确保数据的保密性,在管理机制上,制定网络安全事件应急预案,及时处理因系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险引起的用户信息泄露紧急应对机制,防止用户信息更大范围的泄露。(4)设立安全管理机构和安全管理负责人。比如平台可以考虑成立专责团队负责研发和应用多种安全技术和程序,对负责人和关键安全岗位人员进行安全背景审查,并建立安全管理机制和内部安全事件处理机制,明确数据泄露风险发生时的责任承担主体和内部归责机制。
1、 平台对收集的数据转让的限制
《网络安全法》第四十二条规定“……未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”,也就是说法律上并不限制数据的共享和转让行为,但是需要满足一定的要求。2017年12月29日,全国信息安全标准化技术委员会的《信息安全技术 个人信息安全规范》(以下称《个人信息安全规范》)(GB/T 35273-2017)国家标准正式发布,其中对个人信息的共享、转让的合法标准做出了具体的规定。可参见本团队先前文章重磅!四方面解读《信息安全技术 个人信息安全规范》
法律法规 | 具体条款 |
《信息安全技术 个人信息安全规范》(GB/T 35273-2017) | 8.2 个人信息共享、转让 个人信息原则上不得共享、转让,个人信息控制者确需共享、转让时,应充分重视风险,共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求: a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施; b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,确保数据接收方无法重新识别个人的除外; c) 共享、转让个人敏感信息前,除8.2 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意; d) 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等; e) 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任; f) 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。 |
显然,在当前现金贷行业平台的《用户协议》中,关于用户信息使用的条款普遍不符合以上对用户信息共享、转让的要求。如借贷宝的《用户协议》关于注册用户信息使用部分提到“向借贷宝的合作机构(该合作机构仅限于借贷宝为了完成拟向您提供的服务而合作的机构)提供您的用户信息”;“借宝科技有权对用户信息进行分析并形成用户信用数据库,借宝科技对该等用户信用数据库享有完整的所有权,借宝科技将该等信用数据库或将该等信用数据库提供给第三方使用均无需取得您的同意,亦无需向您支付任何费用”,这些条款的内容均体现用户同意平台将其数据与第三方分享,却基本上都未对用户信息利用、转让的范围加以限制或者限制条件模糊,不满足《个人信息安全规范》“8.2 b)”——“向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意”的要求。
为了达到降低平台得到用户对具体事项的授权成本,提高平台合理使用用户数据的效率,同时满足现行法律规制对个人信息的保护要求,平台可以在用户信息授权转让使用条款中加入与第三方共享数据的授权条款,如明确提出“当根据用户现提供给本平台的信息无法通过本平台借贷审核条件时,为了最大化满足平台用户的借贷需求,用户授权本平台向其他具有合格资质的信贷平台提供收集到的征信信息。”并采用加粗或不同颜色字体的形式突出转让条款内容,并在协议下方加入具体操作流程确保用户对个人信息转让情形明确并授权。
三、结语
在推进公共服务数字化的进程中,规范个人信息处理活动是为了数字经济的健康的发展,洞悉立法政策变化,在红线之内使用个人数据信息才能保障企业的稳步发展。法律法规的制定完善从来不是为了限制行业发展,而是为了规范和引导。正如考拉征信在此次事件中所言,“整治是为了更好地发展”。
[1]天眼研究:《网贷天眼10月网贷行业报告:数据平稳 合规检查成主旋律》。
[2]一本财经:《考拉征信、AdMaster被指接受调查,九成数据公司停工观望》。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
