引言
近年来新冠疫情的不断反复,给各行各业都带来了较大冲击。小贷行业、金融机构坏账的大幅攀升,不仅导致了不良资产规模快速上涨,还引发暴力催收等乱象。为化解不良资产面临的困境,逐步放宽对不良贷款转让的限制,2021年银保监会印发了《关于开展不良贷款转让试点工作的通知》(银保监办便函[2021]26号),该通知以试点方式拓展了不良资产处置的范围和方式,如允许个人不良贷款进行批量转让,但我们提醒小贷公司和金融机构需要关注在此过程中对个人信息的保护问题以及避免暴力催收而引发的各类风险。
《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)作为我国个人信息保护领域最高效力等级的立法,于2021年11月1日正式实施,建立了一套全面、综合、系统的个人信息保护制度体系。其中包括当个人信息处理者将个人信息提供给第三方时,须征得个人信息主体的单独同意。在不良贷款转让的法律关系中,当原债权人将不良资产打包出售时,伴随着债权变更的效果,债务人的个人信息不可避免地将转移给受让人(即资产管理公司)[1],否则既无法证明债权的真实性,金融资产管理公司也无法再追索到这些债务人,因此按以上逻辑,须征得债务人的单独同意。但是,落地到实际的业务逻辑中,债务人的单独同意并非易取,这将导致对不良资产转让的达成提出新的挑战。
本文拟通过对不良资产转让过程中转移债务人个人信息的合法前提进行研究和分析,旨在揣摩相关法律依据背后的用意,为小贷公司和金融机构符合当前个人信息保护要求提出合规建议。
一、民法上债权转让的生效条件
债权类不良资产转让从权利变动角度看属于民法上的债权转让关系。《中华人民共和国民法典》(以下简称“《民法典》”)规定,债权转让以通知债务人为生效要件,并未明确要求债务人同意。根据《民法典》第五百四十六条第一款,债权人转让债权,未通知债务人的,该转让对债务人不发生效力。即不良资产的出让方应在转让不良资产债权之前通知债务人,在满足此项生效条件的前提下向受让人转让债权合同的,方能对债务人发生法律效力。关于通知方式,实践中主要分为公告通知和逐一通知(包括口头通知、邮寄通知、起诉通知)。债权人应根据相关法律法规、司法解释对不同类型机构的要求,结合债权转让性质,选择适用的通知方式,符合法定的通知时间要求。[2]
二、不良资产转让中债务人个人信息转移的行为分析
如上所述,不良资产转让的过程及结果不可避免地涉及债务人个人信息的转移与处理。纵然从民事法律关系的角度,通知债务人后,可以实现不良资产债权转让的效力,但从个人信息保护角度,《个人信息保护法》对债务人个人信息从转让人转移至受让人有单独的合规要求。
(一)向受让人提供债务人个人信息行为的合法性基础
从个人信息保护角度分析不良资产转让行为,首先需要对选择并适用债务人个人信息转移行为的合法性基础进行分析。
根据《个人信息保护法》第十三条,处理个人信息须满足以下情形之一:
(1)取得个人的同意;
(2)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(3)为履行法定职责或者法定义务所必需;
(4)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(5)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(6)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(7)法律、行政法规规定的其他情形。
利用排除法,与不良资产转让中涉及的债务人个人信息转移至受让人比较相关且适用的合法事由可能是上述第(1)(2)(3)项和第(7)项,我们将在下文分别讨论。
1. 是否适用“取得个人的同意”
在《个人信息保护法》中,“同意”分为“一般同意”和“单独同意”,多数情形下,取得个人的一般同意即可,而在五种特殊场景下需要取得“单独同意”,即对外提供个人信息、公开个人信息、处理敏感个人信息、跨境传输个人信息、将在公共场所采集的个人图像及身份识别信息用于维护公共安全以外的目的。单独同意,区别于“格式合同”或者“一揽子授权同意”等获取个人信息主体的同意,需要个人信息处理者与相关个人通过另行订立协议方式,或者个人信息处理者以单独弹窗的方式增强地告知相关个人有关其个人信息处理的类型、范围、方式、目的、双方的权利义务以及采取的保护措施等内容,并就该特定协议或告知签署同意。
基于上述分析,不良资产转让人将债务人的个人信息提供给受让人,理论上应当适用《个人信息保护法》第二十三条“对外提供个人信息”的规定。根据第二十三条,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向相关个人告知其个人信息接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。但是,就实践而言,不良资产转让人对不良资产进行批量转让,往往所涉的不良资产债务人不仅数量多,而且大部分处于违约、失联状态,该时点与债务人取得联系的难度极大、成本很高。即使能够取得联系,个人债务人出于躲避债权人催收、保护个人利益的角度考虑,一般也不会就债权转让事宜提供单独的同意。
即使将获取债务人的单独同意时间节点提前,即在签署贷款合同时,通过合同条款约定借款人同意当其逾期不还借款时,出借人有权对该不良资产进行打包出售以及附随地向受让人提供债务人的个人信息以进行风险评估和风控,但在签署贷款合同时,难以预料出借人是否会考虑将该借款人作为债务人的不良资产的债权进行转让,在合同签署阶段也难以预料个贷违约后债权人实际会向谁转让债权,更遑论根据《个人信息保护法》第二十三条向借款人告知受让人的名称或者姓名、联系方式、处理方式等信息。因此,也很难在签署借款合同的时点(当借款人还比较配合且容易联系的情况),先行获得出借人根据第二十三条所要求的“单独同意”。
因此,在实践中,无论是贷款合同签署时(贷款发放时的情况与合同签署时的情况一样,本文不再赘述),还是出借人决定将不良资产批量转让时,按照《个人信息保护法》第二十三条的要求征得借款人的“单独同意”,几乎无法实现。倘若严格按照此条进行解释和适用,可能会与不良资产转让的基本要求相悖,导致转让事宜难以推进。
2. 是否适用“为订立、履行个人作为一方当事人的合同所必需”
此项合法性基础的适用主要围绕个人作为合同一方主体,主动有意愿向作为个人信息处理者的一方提出缔结合同或者履行事实合同义务的请求。这个请求代表了该个人对于其何种个人信息将被个人信息处理者处理、用于何等目的、使用何种方式处理是明知且愿意交付的,因此该自愿履行合同的行为已经覆盖了其对同意的意思表示。
就本文所讨论的事项来看,是否能够适用该项合法性事由,需要同时考虑以下两个条件。条件A:借款人为订立贷款合同,在与出借人缔结贷款合同时,是明知且有意愿向出借人提供并进而通过出借人(转让人)向受让人提供债务人个人信息的;以及条件B:转让人(出借人)向受让人提供债务人(借款人)的个人信息是否为履行贷款合同所必需。为了简化几方间复杂的关系链路,我们将其相互间的联系进行进一步的拆解:
基于合同①(贷款合同):债务人因资金需求,往往主动向出借人提出缔结贷款合同或者履行事实合同的请求。双方签订借款合同时,合同中通常会明确债务人需要向债权人提供的个人信息类型、范围、处理目的等条款,债务人同意并履行该合同的行为表示其授权债权人按照贷款合同约定的目的对其相关个人信息进行处理。此时,出借人自然成为了个人信息处理者,借款人提供其个人信息也是履行贷款合同所必需的,同时借款人签署贷款合同代表其是知悉且同意提供相关个人信息的。因此,仅从合同①的关系来看,出借人处理个人信息时将“为订立、履行个人作为一方当事人的合同所必需”作为合法性基础倒是顺理成章。
但是,如我们在分析第1点(“取得个人的同意”)合法性基础时所述,签署贷款合同当时,难以预料某特定个贷是否会发生违约,以及无法确认单笔贷款最终的受让主体是谁并在借款合同中明确。因此,将借款人的个人信息向签约时不确定的受让人提供解释成是为了履行贷款合同之必须,既从情理上不好被接受,又从法理上站不住脚。为了防止借款人违约,在贷款合同中约定违约责任责无旁贷,如当债务人逾期不还借款时应承担较重的违约金等,或当债务人真正违约时采取法律救济措施。换言之,转让不良资产并不是借款人违约时的唯一且必然选择。当然,出于保护出借人的利益,预先在借款合同中埋设例如债权人有权对不良资产进行打包出售并由此将附随地向受让人提供债务人的个人信息等条款以进行风险评估和风控的话未尝不可,但这不代表出借人向受让人提供借款人个人信息是借款人与出借人订立贷款合同之必需,故条件A难以全部满足。
基于合同②(不良资产转让协议):债权人与受让人间形成债权转让法律关系。伴随债权转让协议,债权人向受让人提供债务人的个人信息应当符合《个人信息保护法》最小必要原则。根据《信息安全技术 个人信息安全规范(GB/T 35 273—2020)》(以下简称“《个人信息安全规范》”),“最小必要”是指收集的个人信息类型应与实现产品或服务的业务功能有直接关联(即没有上述个人信息的参与,产品或服务的功能无法实现)。为订立合同②,债权人应当只向受让人提供与评估债务人资信相关的最少范围的个人信息。出于两个合同性质的不同,提供借款人个人信息的目的亦不同。简单地说,借款人基于贷款合同向出借人提供的个人信息范围很大程度上大于转让人(出借人)基于不良资产转让协议需向受让人提供的债务人个人信息范围。如果将“转让人向受让人提供借款人个人信息的范围”解释为为履行合同①所必需,那么将无法支撑签署贷款合同所需的个人信息类型的要求;反过来,如果将贷款合同中收集的借款人个人信息全部提供给受让人,那么很可能违反《个人信息保护法》的最小必要原则。即使债权人届时并非全部提供,那么在合同①中确定提供哪些信息也是存疑的。因此,条件B也无法满足。
3. 是否适用“为履行法定职责或者法定义务所必需”
根据《个人信息保护法》第十三条,为履行法定职责或者法定义务所必需的,法人实体可以以此为由收集处理个人信息。其中,“法定职责”包括法定职权和法定责任,是指立法机关、行政机关以及司法机关等公权力机关依据法律法规的规定而享有的职权以及必须履行的义务。“法定义务”是指个人信息处理者依据法律、法规的规定而负有的义务。[3]因此,如果转让方能找到切实可行的法律依据,也可以将该事由作为个人信息处理活动的合法前提。
从债权人转让不良资产收益权的角度,《金融企业不良资产批量转让管理办法》(财金〔2012〕6号)第三十条规定,金融企业应在法律法规允许的范围内及时披露资产转让的有关信息;《关于规范银行业金融机构信贷资产收益权转让业务的通知》(银监办发〔2016〕82号)也明确规定了出让方的信息披露义务,即出让方银行和其他相关交易主体应当按照有关要求,向投资者及时、准确、完整地披露拟转让收益权的信贷资产相关情况。尽管财金〔2012〕6号在法律效力层级为部门规章,但仅使用了“及时披露资产转让的有关信息”的用词,我们更倾向于理解为向债务人发出转让公告,并未明确向受让人提供与债务人信贷情况有关的个人信息。银监办发〔2016〕82号虽然既指明了披露的对象也明确了提供信息的类型,但令人遗憾的是,它是规范性文件而非法律法规。
从受让人受让不良资产收益权的角度,《金融资产管理公司条例》(国务院令第二百九十七号)第十三条规定,金融资产管理公司收购不良贷款后,即取得原债权人对债务人的各项权利。原借款合同的债务人、担保人及有关当事人应当继续履行合同规定的义务。当贷款合同约定的还款期限届满,借款人不履行还款义务且无法被联系到,而债权人决定向金融资产管理公司打包出售不良资产时,我们理解,转让人完成公告通知义务后,可以根据上述条例和双方签署的不良资产转让协议向受让人转交贷款合同,包含其中的债务人个人信息。上述条例既呼应了《民法典》第五百四十七条“债权人转让债权的,受让人取得与债权有关的从权利,但是该从权利专属于债权人自身的除外”,同时也为债务人个人信息向受让人转移找到了合适的理由—为债务人继续履行原借款合同所必需。因此,“为履行法定义务所必需”可以作为转让人向受让人提供借款人信息的合法性基础。
4. 是否适用“法律、行政法规规定的其他情形”
本款为《个人信息保护法》的兜底条款,且其他情形应当由法律、行政法规规定,而不良资产处置为信贷资产的细分领域,大部分规定属于部门规章、规范性文件层面,如以本款作为转让人向受让人提供借款人信息的合法性基础存在一定难度。
需要注意的是,《个人信息保护法》第二十二条规定,“个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。”则不良资产转让是否可以适用此条要求,作为法律规定的其他情形,从而获得个人信息转移行为的合法性基础,请见下列第(二)部分的分析。
(二)向受让人提供债务人个人信息行为的性质
讨论不良资产债权转让过程中的债务人个人信息转移是否适用《个人信息保护法》第二十二条之前,我们可以将此问题追溯至《个人信息安全规范》和《民法典》的有关规定,进而从修改思路、立法依据等方面对第二十二条是否适用进行分析。
《个人信息安全规范》以发生个人信息共享、转让行为的原因为划分标准,分为因(1)“收购、兼并、重组、破产”原因导致的共享、转让和(2)“其他”原因导致的个人信息共享、转让两大类情形。两种情形下个人信息提供一方需要履行的义务程度不同。前者仅须向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,无需取得个人的同意。而后者除需向个人信息主体告知情形(1)下所有需告知的内容以外,还须征得个人信息主体的授权同意(非《个人信息保护法》中的“单独同意”,具体区别不再赘述)。此外,提供方还须履行评估、记录和存储相关情况、对接收方进行监督等义务。《个人信息安全规范》对情形(2)提出更高合规要求的原因在于,情形(2)通常伴随着商业交易而发生,即提供方出于商业利益的考虑将个人信息作为资产或资源向接收方进行共享、转让,具有一定的主动性和/或营利性;而情形(1)通常是伴随着组织架构的变动或债务人在破产时将资产出售等公司层面的调整进而发生转移,个人信息仅作为资产的一部分而被附随转移,向第三方提供个人信息的行为往往具有被动性和/或非营利性。
《个人信息保护法》一定程度上沿用了《个人信息安全规范》的分类方法,将向第三方转移个人信息的行为分解为第二十二条项下“因合并、分立、解散、被宣告破产等原因需要转移个人信息”和第二十三条项下的“向其他个人信息处理者提供其处理的个人信息”两类情形。前者向个人告知接收方的名称或者姓名和联系方式即可,无需取得同意;而后者,个人信息处理者则需要向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。二者不同之处有两点:第一,《个人信息安全规范》将相关场景限定于“收购、兼并、重组、破产”四种场景,而《个人信息保护法》使用了“合并、分立、解散、被宣告破产等原因”的表述。我们理解,这一“等”字拓展了应用场景的可能性,为未来企业适用各类无需获取个人单独同意的情况预留了解释空间。第二,《个人信息保护法》第二十三条并未使用“共享、转让”一词,而是使用了“提供”的表述。从字面意思理解,“提供”一词涵盖的应用场景也大于“共享、转让”的范围,但同时弱化了对个人信息控制权的类型区分。《个人信息安全规范》中的“共享”指信息传输方与接收方分别对个人信息拥有独立控制权;“转让”是指个人信息传输给接收方后,控制权由提供方向接收方转移,前者不再拥有控制个人信息的权利;而“提供”并未明确提供行为发生后享有控制权的主体归属哪一方还是两者均有,因而可解释的空间被扩大。“提供”还是能感受到给予时的一种“主动性”。第二十二条使用的是“转移”,则更体现因特殊情形而伴生给出的被动状态。
此外,根据《个人信息保护法》第二十二条,因合并、分立、解散、被宣告破产等原因需要转移个人信息的,除传输方应履行向个人的告知义务外,“接收方还应当继续履行个人信息处理者的义务”。其立法意图可以参考《民法典》的有关规定,即法人合并、分立的,其权利和义务由合并、分立后的法人享有和承担。我们理解,原实体的权利和义务因法人实体被转让而一并被转让至合并、分立后的新实体。同理,被宣告破产、解散的,受让方因债权债务的概括承受,同样也继承了转让方的权利义务。另外,《金融资产管理公司条例》(国务院令第二百九十七号)第十三条规定,也提到了金融资产管理公司收购不良贷款后取得原债权人对债务人的各项权利,包括要求债务人、担保人及有关当事人继续履行原借款合同的义务。
因此,不良资产转让人将债务人的个人信息传输给受让人(金融资产管理公司)的合法性依据既可以《个人信息保护法》第十三条第一款第(三)项“为履行法定义务所必需”,也可以是该条第(七)项“法律、行政法规规定的其他情形”,即,不良资产打包出售(即债权转让)属于《个人信息保护法》第二十二条中“等”的情形,出借人从借款人处取得相关权利义务(包括个人信息)、向受让人转移并且受让人在接盘后不发生原贷款合同中权利义务范围的变化,债权人(出借人)仅需向债务人(借款人)告知接收方的名称或者姓名和联系方式即可,无需再次取得债务人的单独同意。
三、总结与建议
根据前述分析,我们提出以下合规建议,供实践中各方参考与运用:
首先,在前述理解和分析下,从法条解释和立法意图看,更倾向于将转让人不良资产打包出售归为无需征得债务人同意、履行了通知后即可合法地向资产管理公司提供的情形,以符合行业发展的正常路径。同时,也有待监管机关对此情形下的执法口径进一步明确。在有可能的情况下,将来依据《个人信息保护法》出台的细则或者司法解释可以将因不良资产出售而发生的债务人个人信息转移明确归入到《个人信息保护法》第二十二条的适用情形。
其次,因贷款合同中可能包含债务人的身份证信息、银行账户、征信信息等敏感个人信息,一旦泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此需要出借人传输时履行较高的合规义务以防范风险。在不良资产出售的情况下,通过总体评估,假如通过采取必要保护措施,高风险可以被克减和降低的,则建议积极采取控制措施。例如,在提供的信息范围上进行控制,提供范围尽可能小,只限于新债权人维权所必须的信息类型与数量。并且,建议转让人在传输个人信息时,对债务人信息进行去标识化处理,例如将身份证号或者手机号中几位进行打掩码处理,达到一旦受让人接收后,其能够通过征信系统自行查询债务人征信状况的程度即可。
再次,我们建议,在此类情况下,转让方还应当开展以下合规措施:
- 建议转让方在相关合同的格式条款中对可能采取的不良资产处置措施(如不良资产转让的方式、通知方式)等进行明确;
- 转让方在不良资产转让前对个人信息的转让行为进行结合数据安全、个人信息保护方面的风险评估,以确保风险处于可控范围内;
- 明确向受让人提供债务人个人信息转移的合法依据,并进行记录;
- 对受让人进行安全评估,与受让人签署数据处理协议,确保受让人有隐私政策并受其约束;并对受让人提前进行背景审查确保其能够在接收到债务人个人信息后采取不低于转让人实施的安全与保密措施并且有完善的制度体系和规范的内控流程;与受让人签署的资产转让协议或者数据处理协议中明确约定受让人应采取不低于转让人实施的安全与保密措施,因处理个人信息发生安全事件而应承担全部责任;
- 在不良资产转让前以适当的方式通知债务人;
- 在向受让人传输债务人个人信息时,采取加密传输方式,确保传输安全;
- 准确记录和存储个人信息转移的情况,包括转移的日期、规模、目的,以及数据接收方的基本情况等;
- 转移后,对相关个人信息进行删除,并定期进行审计。
截至目前,《个人信息保护法》已经实施了近半年。我们发现,《个人信息保护法》在为各类机构指明合规方向的同时,某些疑难问题适用《个人信息保护法》时并非能直接按图索骥。本文以不良资产转让所涉个人信息转移为例进行分析,旨在通过对不同领域法律法规进行交叉解释、对实践操作展开探索等,建议企业能够将特定行业及领域的相关立法与《个人信息保护法》进行结合解读和研究,进一步提出新问题和新思路,明确合规方向、细化合规措施,以使得立法技术和监管尺度的更加准确与精良,同时符合个人信息保护与数字经济创新发展间的平衡。
注释:
[1] 《关于开展不良贷款转让试点工作的通知》第十条(依法保护有关贷款主体信息)的规定,资产管理公司对批量收购的个人贷款,应依法依规获取原贷款合同约定的债务人相关的个人信息,并按照原合同的约定使用个人信息。同时,应采取必要措施保护个人信息,防止发生个人信息泄露或非法使用的情形。
[2] 银行业信贷资产登记流转中心(“银登中心”)发布了《银行业信贷资产登记流转中心信贷资产收益权转让业务规则(试行)》和《银行业信贷资产登记流转中心信贷资产收益权转让业务信息披露细则》(银登字〔2016〕16号),对信贷资产收益权(包括不良资产收益权)转让的通知方式提出了时间和方式的具体要求,即出让方银行最迟应当于转让前3个工作日,通过银登网发布《信贷资产收益权转让公告》。
[3] 国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”的阶段性成果《论个人信息处理中无需取得个人同意的情形》,作者为清华大学法学院程啸、王苑。