网络借贷平台清退背景下个人信息保护问题探究

宋世豪

摘   要：为了促进互联网金融健康发展，网络借贷平台清退正在推进，但是对网络金融消费者产生了极大影响，清退过程中个人信息如何保护成为了法律规定的模糊地带。文章首先从网贷个人信息的范畴和泄露风险入手，然后根据清退过程的特点找寻个人信息保护的难点，提出了应当赋予个人信息主体保护权能，并给出了具体的个人信息保护制度设计建议。

关键词：网络借贷;个人信息;平台清退;保护

中图分类号：D912.29          文献标识码：A

Abstract： In order to promote the healthy development of Internet finance， the clearance of online lending corporation is being promoted， but it has greatly affected consumers of online finance. How to protect personal information during the clearance process has become a vague area regulated by law. This article starts with the scope and risk of leakage of personal information on Internet loans， and then finds the difficulties of personal information protection according to the characteristics of the clearance process. It is proposed that the protection authority of personal information subjects should be given， and give specific suggestions for the design of personal information protection system.

Key words： online lending; personal information; clearance; protection

1 引言

网络借贷是“互联网+”时代的新兴民间借贷模式，也即人们常说的P2P。2005年英国第一家P2P网络金融平台ZOPA成立并迅速发展，网络借贷模式于2007年传入中国并迅速发展。但是，随着网络借贷平台迅速发展，类似于e租宝平台恶意跑路，披着P2P外衣非法集资等現象频繁发生，网络金融消费者利益受到损失。中国银监会等四部门出台《网络借贷信息中介机构业务活动管理暂行办法》（本文简称《暂行办法》）期望解决乱象引入正轨，但是显然没有达到预想的目标，众多平台依旧相继退出市场。2019年开始，众多省份开始主动重拳出击逐渐清退不合规网络借贷平台，试图恢复良好网络金融环境。但是，可能由于资金的损失过于严重，包括政府在内社会均忽视了网贷平台清退过程中大量的商业信息和个人信息也随之泄露，造成了极大的利益受损。本文研究人员认为在网贷平台清退这一大背景下，如何妥善的进行信息保护是十分需要关注的问题。

2 网贷平台个人信息保护的必要性

网络借贷之所以能迅速火爆就在于其运用互联网技术可以迅速收集大量借贷双方信息，从而使双方各取所需。这是传统线下民间借贷所不能做到的，也是互联网运用的极致体现。借款人通过网贷平台可以广泛发布自己的借款信息，从而大量获取社会闲散资金以达到融资的目的;网络金融消费者则参考网贷平台公布的借款信息并根据自己的风险承受能力做出符合自己受益预期的投资决定。所以，促成网络借贷合同的订立需要大量数据的支持，网贷平台随之就成为了庞大的个人信息数据存储中心。

2.1 网贷平台个人信息保护范畴划定

讨论个人信息保护的必要性，首先就必须对其范畴进行划定，并非全部的个人信息均需网贷平台清退过程中保护。依据《暂行办法》中网贷平台对借贷双方信息管理的要求和《中华人民共和国网络安全法》（本文简称《网络安全法》）对个人金融信息的规定，网贷个人信息可以分为广义和狭义。

借助网贷平台参与借贷法律关系，首先需要在网贷平台进行登记注册。为了保证交易安全，一般的网贷平台均要求双方提供真实的姓名（公司名称）、身份证号（企业代码）、电话、资产情况、银行卡信息等，这类信息一般称之为原生信息。其次，随着大数据技术的发展，针对信息收集的方式转变为对在信息数据挖掘过程中产生的个人信息关联集成。借贷双方浏览网络平台，参与借贷交易过程会集成其自身的网贷行为信息，例如出借习惯、风险偏好等，这类信息一般称为衍生信息。狭义网贷个人信息一般由原生信息和衍生信息所构成，即对网贷交易产生实质影响的个人信息，这类个人信息确认无疑是网贷平台所储存信息中最重要、最需要保护的一类。另外，与个人相关但与网贷行为不产生实质联系但是却实际与个人相关的信息，如刷脸支付过程中数据库中所存留的个人脸部信息、所用手机的产品序列号等，此类信息称为弱关联信息。这类信息虽然与网贷行为无关，可一旦泄露也将对个人生活造成极大影响，所以这类信息也应当进行保护。这三类信息一起构成广义的网贷个人信息，即网贷交易行为过程中所涉及的所有借贷双方的个人信息。本文的研究人员认为网贷个人信息应采用广义的理解，广泛的将网贷行为涉及到的个人信息划入网络借贷个人信息保护的范畴之中。

2.2 网贷个人信息泄露的风险

个人信息的泄露将在生活中产生极大的风险，例如信用卡盗刷等。但是，对于网络借贷双方而言，由于双方均涉及到网络借贷交易行为，其个人信息的泄露将会依据网络借贷有针对的产生特殊风险。

首先，对于借款人而言，其个人信息泄露后由于其他金融机构了解到其有闲散资金，会集中向其发布金融投资广告，从而严重扰乱其生活。另外，个人信息泄露往往伴随着借款交易信息泄露，极有可能出现他人替代原出借人收取未偿还的欠款和利益的情况，从而导致出借人利益损失。对借款人来说，其它网贷平台获取其借款信息和个人信息后很可能会有针对性的诱导其用再次借贷的方式偿还债务，从而使其陷入高利贷款陷阱之中。有些网贷平台还在《用户隐私协议》等条款中加入查看手机通讯录等条款从而获取其亲戚、朋友的电话。这为不良催收提供了发展的途径。一旦相关信息泄露，借款人如若逾期不偿还利息本金，便可能会有不良催收人用其亲戚、朋友的生活安危威胁借款人，甚至将直接打扰相关人员的正常生活。

除此上述外，还有较多的法律风险。因此，网贷个人信息的保护是十分具有必要性的。

3 网贷平台清退背景下个人信息保护难点

网贷平台一旦经营不善或不符合相关法律法规便有可能被清退。清退过程中往往会产生经营情况混乱、人员变动频繁等情况。与正常经营的网贷平台情况差距较大，由此产生了个人信息保护的难点。

3.1 法律规定的缺位

对于个人信息保护的法律规定散见在各部法律、法规之中。《民法总则》第111条对个人信息保护进行了规定，明确个人信息作为一项权利应当受到保护。《消费者权益保护法》第14条规定了消费者信息权益应当受到保护。《电子商务法》第24条赋予了用户对信息的查询、更改以及删除的权限。但是，删除权是指用户注销后电子商务经营者应当立即删除用户数据，与网贷平台清退状况并不相符。《网络安全法》对消费者个人信息的内涵、保护措施，企业对个人信息保护的安全措施和网络安全事件的应对均进行了规定。《暂行办法》第27条要求网贷平台加强对个人信息的管理，确保信息安全。综上所述，研究人员发现所有对于信息保护都是在平台正常运营情况下要加强对于个人信息的保护，而对于平台清退后如何处理个人信息并没有给出相关规定。一般来说，公司清算或破产，其客户数据都应随之销毁，必要的数据需要进行妥善存档。但是，网贷平台从事借贷业务，清退后其存续的借贷关系妥善处理的前提是需要相关数据进行支撑。相关数据内必然包含着个人信息。所以，如果一刀切的采用“清退就删除所有个人信息”的方式是不恰当的。数据如何妥善处理就值得思考。

3.2 监管主体的缺位

清退过程中，针对个人信息保护的监管主体缺位也是目前一大问题。首先，我国金融监管模式采取分业监管。三个监管部门“一行两会”中均设立有金融消费者保护机构，负责与之相关的金融消费者权益保护监督工作。互联网金融的兴起给传统分业监管模式提出了新的挑战。与传统金融相比，互联网金融领域各行业的分界并不明确，业务交叉现象明显，公司涉及网贷平台业务的同时也涉足其他金融业务的情况较为普遍，此时难免出现推诿现象。其次，金融消费者保护机构在各部门中存在感较低。主要是因为其监管措施较为局限，监管依据法律位阶较低且多为柔性监管，缺乏强制力。而当前在互联网金融领域，消费者的投资种类逐渐增多，其个人信息权的保护也面临着侵权主体多样化、证据保存问题以及责任认定困难等问题。监管能力与监管实际難度的差距使得个人信息难以得到良好的保护。《暂行办法》第33条规定“各地方金融监管部门具体负责本辖区网络借贷信息中介机构的机构监管，包括对本辖区网络借贷信息中介机构的规范引导、备案管理和风险防范、处置工作。”此次网贷平台清退行动的主管部门正是金融监管局，主要目的是为维护良好网络金融秩序。但是，此过程中能否与相关部门加大配合兼顾注重个人信息的妥善处理则是一个巨大的问号。综上，不同的监管部门针对同一主体进行监管，究竟由哪个部门承担起个人数据保护的职责，急需在此次清退行动中予以明确。这不仅有利于清退过程中保证个人信息安全，也将明确一旦网络金融投资者个人信息泄露利益受损该找何部门进行投诉联络。

3.3 数据防护措施最薄弱

对于个人信息的保护，《暂行办法》第18条有较为详细的规定，网络借贷信息中介机构应当具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度，建立信息可加管理等有段纸袋，保证系统安全稳健运行，进而保护出借人与借款人的信息安全。但在平台清退的过程中，网贷公司大概率仅能维持最低程度运营或已经处于歇业状态，数据库的保护就处于极其脆弱的状态，易受到来自内部和外部的攻击。首先从内部分析，平台清退意味着大多员工将失去工作，此时公司员工已无暇顾及数据库的安危，更多考虑自身生计问题。而个人信息由于具有财产属性，具有极大的金钱价值。此时员工很容易受到巨大利润的诱惑从而监守自盗，窃取网贷平台储存的个人信息出卖给社会不良分子以谋取利益。其次，从外部的角度来看，维护数据库的员工也可能已经随着清退工作进行而离职或无心工作，数据库抵御入侵能力基本瘫痪，此时极易遭受暴力破解防火墙进行数据窃取行为进而导致个人数据的泄露。所以，在平台清退时期，公司难以正常运营使得数据库处于极其危险的状态之下，是个人信息泄露的高危、高发阶段，数据库的安置问题亟需妥善处理。

4 清退中如何妥善保护个人信息

4.1 法律赋予个人信息主体权能

妥善保护个人信息，要求完善立法作为前提。而个人信息作为数据权利的一部分，首先应当明确其性质，进而明确该采用何种模式进行保护。学界目前对于个人信息权利的性质存在较大争议，主要包括数据财产说、人格权说等。但本文较为支持李爱君教授观点：数据权利由于其结构的客体的自然属性的不同，数据民事权利是一种新型的民事权利，有财产权、人格权和国家主权的特征。所以，其复杂的特征导致如果采取传统的权利属性进行保护往往是难以全面覆盖的。并且个人信息的利用随着互联网的发展将不断丰富，其内涵也将不断丰富拓展。以目前的情况来下定义，无论概念叙述的如何周延也难以跟随其前进的脚步。所以研究人员认为，与其讨论个人信息权利人其享有何种权利，不如学习消费者保护法的模式，赋予个人信息主体权能。即作为个人信息的主体拥有哪些支配、使用个人信息的能力。可以说，目前《电子商务法》给个人信息保护的权能发展提供了良好的开端。目前，已规定了个人信息主体拥有查询权、修改权、删除权;《暂行办法》第9条第6款体现了借贷双方个人信息的不得非法买卖、泄露权。应当以此为基础继续丰富个人信息权能体系。一旦侵犯了个人信息保护的权能，则侵权主体应当承担相应的法律责任。虽然众多学者建议起草专门的《个人信息保护法》。但是研究人员认为，目前我国立法资源紧张，单独立法可能性较低，个人信息保护法条散见于各法律、法规之中的状态将短时间难以改变，但相关法律制度必将更加丰富。应当继续依照赋予个人信息主体权能从而完善个人信息保护的基本法律逻辑进行权能与救济的法律制度构建。

4.2 网贷平台清退中个人信息处理制度构建

妥善处理个人数据重要的是有章可循、有据可依，以制度设计先行。为避免前文提到一刀切的删除处理，应当充分考虑到各种个人数据的特点分类处理。研究人员认为，网贷平台清退中的个人信息根据与存续借贷关系的联系程度可以再分为三类：无用数据、已完结借贷关系备案数据、存续借贷关系相关数据。

（1）存续借贷关系相关数据：是指有存续借贷关系用户的个人信息数据。此类信息与存续借贷关系联系密切，是继续正常履行借贷关系的基础，所以应当与存续借贷关系的处理一起进行。《暂行办法》第24条仅规定网贷平台印在解散或破产前妥善处理已撮合的存续借贷关系，具体如何处理没有给出具体规定。本文认为，个人信息数据妥善处理的前提是存续借贷关系的处理，可以参考英国的经验，订立生前遗嘱。英国金融监管局（FCA）于2014年发布新规将网贷平台监管纳入到监管框架之中。其中，针对网贷平台破产后的借贷关系如何处理也有所规定。要求网贷平台为破产后制定关于管理未到期借贷的计划，这份计划就是生前遗嘱。具体内容为存续借贷关系由另一家网贷平台接管，由新的网贷平台继续监督借款人履行代理人义务并从中收取一定的管理费用。本人认为，同为网贷机构，运营模式几乎相同，业务较为熟悉，所以由其它运营状况良好、信用良好的网贷机构接管原有存续的借贷关系是十分合理的。于此同时，相关的个人信息数据也应当随之转移到新的网贷机构之中，数据转移过程中应当全程由相关国家金融监管部门监督，避免数据在转移过程中产生泄露风险。转移到新网贷平台后，由于前后网贷平台对个人信息的保密条款中隐私保护程度有所不同，新网贷平台应当以不低于原网贷平台的隐私保护标准保护个人信息。

（2）已完结借贷关系备案数据。是指所参与的借贷合同均已履行完毕的用户的个人信息。这类个人信息根据《暂行办法》第18条第2款的规定，留存期限为自借贷合同到期起5年。其目的是保证交易安全，一旦双方事后产生纠纷可作为证据参考。所以对于这类个人信息首先应当保证其妥善保存，不能直接删除。其次网贷平台清退后继续由原网贷平台的数据库保存显然风险过大，本文研究人员认为此类数据也可以随存续借贷关系的数据一起转移到新网贷平台中去，并在原网贷平台清算过程中给予新网贷平台一定的管理费用。但新网贷平台应当注意，除了数据转移过程应当受到相关国家金融监管部门监督外，接收后应当设立单独数据专区并进行断网物理防护，避免因联网遭受网络数据窃取。其次非因特定原因禁止随意浏览其中数据，并指定专职人员确保定期清理储存达到时限的数据，一旦数据泄露则责任落实到新平台之中。

（3）无用数据：是指平台所保留的从未参与过借贷关系的或所参与借贷关系数据已超过储存时限的用户个人信息。此类信息一旦平台进入清退程序原则上应当立刻删除，并在相关网站、App平台进行公示。

在个人信息处理过程中，作为清退行动的推动者和网贷平台的监管者，金融监管部门应当承担起个人信息监管保护的职责。根据《暂行办法》第33条的规定，风险防范、处置工作也属于金融监管部门的职责范围之内。其应当加强与金融消费者保护部门的配合，避免在清退过程中由于个人信息泄露对金融消费者带来二次伤害，对相关职责主要负责人员、工作人员玩忽职守、滥用职权的尚不构成犯罪的，依法给予处分，构成犯罪的移送有关部门处理。同时严格落实网贷平台个人信息保护责任，根据不同个人信息处理方式，确定不同责任主体，一旦出现问题则予以相应行政处罚，涉嫌犯罪的移动有关部门处理。

4.3 经营过程中的个人信息收集制度

个人信息保护制度构建应当贯穿网络借贷平台经营始终，从而增强企业个人信息保护意识，也为避免清退过程中的个人信息保护困难提供了基础。首先，在个人信息收集过程中，目前利用互联网技术用户使用App均要求签订隐私格式条款，其内容应当向金融监管部门备案并对涉及收集个人信息内容对金融消费者进行显著提示，落实用户知情并同意才能收集的法律法规。并且应当强化信息收集关联原则，即平台所收集的个人信息必须与网贷活动存在最密切关联，能与网贷活动的每一环节建立映射。其次，网贷平台会将收集的个人信息共享披露给同业经营者、政府机关等。如果出于法定原因必须披露，此时应当予以授权豁免即不需经用户同意;如果是隐私协议内原因，此时仅需用户注册时签订的隐私协议授权即可;但是如因非必要原因的共享披露，这种披露使用必须真实、全面告知用户共享披露目的并征得用户的新授权。并且要赋予用户中止共享披露的权利，此时网贷平台要及时停止并要求对方删除用户的个人信息。

5 结束语

网络借贷的热潮已经过去，众多金融消费者已经在网贷平台清退的巨浪中遭受了损失。随着个人信息权利保护意识的觉醒，在网贷清退过程中避免个人信息泄露的二次损失也应当成为投资者保護的关注重点。同时也应当认识到，消费者个人信息保护是一项系统的工作，从理论上对其内涵的认识到法律制度的构建再到具体企业和政府部门责任的落实均需进一步加强研究与探讨。

参考文献

[1] 刘根东、陶然.p2p网贷平台的风险和防范[J].电子科技大学学报.2017，3：22-26.

[2] 彭晓娟.互联网投融资平台监管之法律进路[J].中南民族大学学报（人文社会科学版），2017，37（05）：152-155.

[3] 李爱君.数据权利属性与法律特征[J].东方法学，2018（03）：64-74.

[4] 李爱君、张珺. 数据安全与监管[C]. 金融创新法律评论2018（01）：31-44.

[5] 吴振华.大数据背景下金融消费者个人信息的保护和利用[J].金融科技时代，2018（12）：53-56.