互联网贷款——信托互联网贷款整改

标签：银行与融资-金融科技，电信、传媒、娱乐与高科技

近期，中国银行保险监督管理委员会信托部下发的内部通知《关于进一步强化信托公司互联网合作贷款规范整改的通知》（“整改新规”）引发各方关注。

一、整改新规一览

在“一个整改”的总体思想下，整改新规分“三个自主”提出了具体要求（详见下图）。值得注意的是，随文发布的还有信托公司与联合贷款资金方（如有，“持牌资金方”）和各科技公司（“平台企业”）所应签署的合作协议模板（“模板合作协议”）以及互联网贷款管理必需的信息数据清单（“数据清单”），该模板合作协议和数据清单作为整改新规的落实和补充，对信托公司提供了较为明确的整改方向。

二、自主掌握信息数据引发讨论

在“三个自主”底线要求中，比较有争议的主要是自主掌握信息数据的要求。在该要求项下，信托公司应当在贷前审核及贷后放、扣款各环节掌握数据清单中的27个字段信息，并在模板合作协议中写明“平台企业应将合法获取的包括但不限于27个字段信息的信息直接传输给信托公司/持牌资金方”。关于该要求的解读和理解可谓是仁者见仁、智者见智：有观点认为该要求是监管对“征信断直连”开了一个口子，是对平台企业能够向信托公司传输的信息范围给出了一个标准答案；还有观点认为是“一定程度解决了征信断直连的信息传输范围问题，对于此前部分有争议的操作明确底线”。

不管是标准答案还是明确底线，都没有一个定论，是否该要求解决了“征信断直连”的一些痛点，是存疑的。

在展开论述之前，先来回顾一下“征信断直连”的发展进程（详见下图）。

可以看出，2021年7月的监管口径十分严格，强调平台企业无论是何种途径获取的信息数据均不能直接向金融机构提供。与之相呼应，9月出台的《征信业务管理办法》（“《征信业务办法》”）将信用信息界定为依法采集，为金融等活动提供服务，用于识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析评价信息。

虽说《征信业务办法》将一刀切的要求框定了一个范围，但对于信用信息到底包含哪些并未进行列举，尤其是《征信业务办法》中框定的判断信用状况的基本信息和其他相关信息，究竟包含了哪些信息，并没有明确说法。《征信业务办法》第四十二条要求征信机构应当将采集的信用信息类别向社会公开，但经查询百行和朴道的官网，并未发现相关公示信息。

不过，2021年10月中国人民银行有关负责人就《征信业务管理办法》答记者问[1]（“《答记者问》”）或许能给到一点提示。《答记者问》中提到，《征信业务办法》定义的征信管理范畴不涉及非商业合作的信息服务。比如，……汽车经销商、房产营销中介等市场机构依法代金融机构收集客户信息但并不对客户信息分析处理营利的，不适用本办法。互联网平台开展助贷等相关业务符合征信业务定义的，适用本办法。

对于上述表述可以提取两个关键信息点：“代金融机构收集客户信息但并不对客户信息分析处理营利不属于征信管理范畴”+“互联网平台开展助贷等相关业务符合征信业务定义的才属于征信管理范畴”。（后面的分析会借鉴这两个信息点）

三、数据清单/27个字段囊括的主要信息类型

先回到数据清单的内容，看看到底是哪些信息/数据被监管明确平台企业应当直接传输给信托公司/持牌资金方。

数据清单中将数据类型分为了四大类27个小项，看起来很多，总结一下，主要是包括个人身份信息、账户信息、清算信息三类。（此分类为我们的观点，是结合《个人金融信息保护技术规范》行业标准以及数据本身的特点进行的分类，详见下图）

可以明显看出，27个字段信息，主要涉及借款人的九要素信息、身份验证信息、放扣款的银行卡信息及扣款信息等，均为平台企业业务开展过程中直接产生或获取的信息。按照模板合作协议的表述，该等信息是信托公司和持牌资金方履行贷款管理主体责任的必要信息；同时，监管要求且合作协议明确写明平台企业应当将该等信息直接传输给信托公司/持牌资金方。

那么，平台企业向信托公司和持牌资金方（为行文便利，以下合称“持牌放贷机构”）所直接传输的三类信息，究竟是否属于平台企业在从事征信业务，以及平台企业与前述持牌放贷机构之间在信息（在此仅仅包括个人信息）传输处理方面，究竟属于何种个人信息的处理关系，值得讨论。

四、传输三类信息是否属于从事征信业务

按照《征信业务办法》的规定，征信业务是指对企业和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。而信用信息，按照其规定，实际上包括了三个因素：

（1）采集方式（依法）；

（2）采集目的（为金融活动等提供服务）；

（3）信息范围（识别判断企业和个人信用状况的基本信息、借贷信息、其他相关信息，以及基于前述信息形成的分析评价信息）。

如果仅仅从信用信息的信息范围角度，其外延非常广泛，比如，三类信息叠加之后，是否构成了持牌放贷机构判断个人还款能力和意愿的信用信息（无论单独构成或者与持牌放贷机构的信息库进行撞库或者其他信息结合后，构成信用信息中的“其他相关信息”），确实难以定论。又比如，根据APP最少收集原则，实际上APP运营商也会存在为满足APP服务功能收集同类信息的可能，不能仅仅因为其收集的信息范围与信用信息的范围发生重叠，从而认为该类信息也属于信用信息。因此，在判断是否触碰征信红线时，需要更为关注的是采集目的，即：信息收集是否为金融活动等提供服务。如果平台企业的信息收集，存在着向金融机构提供金融服务的目的，则平台企业向金融机构提供或者传输该等信息的行为，都可能导致被监管认为是存在从事征信业务的风险。从“断直连”的角度，尤其是传统助贷机构，其向金融机构提供平台企业内生成或者收集的个人信息属于其核心业务模式，且不论传输或者提供给金融机构的信息范围，其模式本身就足以引起监管的警惕。

另一方面，从互联网贷款特点上说，三类信息解决了你是谁（基本信息），是不是本人操作（身份验证信息）以及贷款用途真实性（账户信息和清算信息），如果不允许平台企业对三类信息进行传输，又会对互联网贷款业务的贷款安全和效率产生影响。因此，我们更倾向于认为三类信息的传输，是专门针对互联网贷款业务特点达成的平衡或者对“断直连”的例外，至于在网络贷款业务背景下三类信息的传输，究竟是属于平台企业没有从事征信业务，还是属于特别豁免，监管并没有明确。如果将监管允许的网络贷款背景下三类信息传输安排，认为基础在于三类信息不属于信用信息，会导致三类信息传输扩大到网络贷款业务之外的其他金融业务合作，但该等理解是否恰当，值得进一步观察。

五、平台企业和持牌放贷机构关系界定

从平台企业向持牌放贷机构的三类信息传输角度，按照《答记者问》的排除法，代金融机构收集且不对客户信息分析处理营利不属于征信业务管理范畴。从个人信息处理角度，代为收集的安排可能将持牌放贷机构与平台企业之间的关系定位为前者为个人信息处理者，而后者为受托处理者，持牌放贷机构决定了个人信息的处理目的和处理方式。从征信业务层面，平台企业受金融机构委托和指示收集并传输给金融机构，收集行为是平台企业做出，但收集主体应认定为是金融机构，在这个层面似乎可以排除平台企业从事征信业务的嫌疑。但是，排除法里面，除了代为收集的条件外，还有一个条件是不对客户信息分析处理营利，该等条件对于平台企业来说可能很难具备。在代为收集情形下，同一类信息对于平台企业而言，其既可能是个人信息处理者，也可能同时兼具受托处理者的身份，大部分平台企业的平台生态决定了其作为个人信息处理者需要使用个人信息进行营利（无论是通过广告或者接入其他应用）。因此，《答记者问》中该排除适用范围是极其有限的。

另外，值得关注的，如果采用委托处理模式来解决征信业务问题，就意味着平台企业从受托处理角度，其代为金融机构收集的信息，从收集之初，其个人信息的性质极有可能转化为个人金融信息。按照《个人金融信息保护技术规范》，身份验证信息和账户信息属于C2类别的信息，金融机构不应委托或授权无金融业相关资质的机构收集C2类别信息，即数据清单的三类信息中至少有两类信息是不能由非持牌机构受托处理的。总体而言，就整改新规下允许的三类信息传输而言，平台企业与持牌放贷之间的个人信息处理关系宜界定为两个独立个人信息处理者之间的关系。

综上，监管针对互联网贷款业务允许平台企业向持牌放贷机构进行三类信息传输，其基础究竟是认可该等传输行为不构成征信业务，亦或是一种特别豁免，值得进一步观察。同时，从个人信息处理角度，宜将平台企业与持牌放贷之间的个人信息处理关系界定为两个独立个人信息处理者之间的关系。

六、平台企业的“动”与“静”

既然如此，平台企业就应该按照监管的要求至少将数据清单中27个字段的信息直接传输给持牌放贷机构。至于模板合作协议中提到的“包括但不限于27个字段”外的哪些信息可以传输，平台企业可以暂时“按兵不动”。

平台企业还应关注的是整改新规中对于其数据合规和内部流程方面的要求，做到：

（1）合法获取客户信息，确保获得信息主体明确有效授权；

（2）信息传输应严格符合法律法规要求；

（3）确保传输信息资料的完整性、准确性、合法性、合规性、及时性、有效性、一致性；

（4）数据信息的采集、处理、储存和传输应当经过企业的法律、合规、消保等内部部门审核并向持牌放贷机构出具书面意见。

 扫码下载文章