（二）

征得同意

《网络安全法》 [3]和《个人信息保护法(草案)》的多个条文 [4]要求网络经营者或个人信息处理者收集包括个人信息在内的用户信息的，事先要清晰说明收集目的和处理规则并征得个人的明示同意。

根据上述规定，在向借款客户收集个人信息时，互联网平台也应向借款客户说明其网络消费、网络交易数据等会被用于分析评定其信用风险等情况。

所以，互联网平台运营主体在设计收集用户信息的告知界面时，也需要针对不同的客户群体有的放矢。

二、数据安全

《暂行办法》第二十二条第（三）项要求网络小贷公司的业务系统“符合网络与信息安全管理要求，具有完善的防火墙、入侵检测、数据加密、应急处置预案以及灾难恢复等网络安全设施和管理制度，保障系统安全稳健运行和各类信息安全”。《网络安全法》 [5]和《数据安全法（草案）》 [6]也对网络安全、防止信息泄露、加强安全监测等有类似的规定。

网络小贷“评定和防控客户信用风险主要借助互联网平台内生数据信息” [7]；同时，在网络小贷运营过程中，还涉及了借款客户的大量资金信息、征信信息等。因此，网络小贷公司及互联网平台的运营主体尤其需要关注业务系统、互联网平台的数据安全。除采取必要的技术措施确保数据安全外，还需要建立健全一套风险监测、报告以及补救的运行机制，有能力在发生数据泄露、毁损、丢失的情况时，及时发现、及时报告和妥善补救。

三、数据利用

根据《暂行办法》对于网络小贷的定义，以及《暂行办法》第九条要求互联网平台“能够积累客户经营、消费、交易等内生数据信息用于评估客户信用风险”，利用内生数据分析、评估借款客户的信用风险，是网络小贷这一商业模式的重要组成部分。另外，《暂行办法》第十五条关于互联网平台所需条件的规定反映了《暂行办法》允许网络小贷公司“主要作为信息提供方与机构合作开展贷款业务”。《暂行办法》第十六条、第十七条则要求网络小贷公司依法接入征信系统和全国网络小贷的登记系统，依法及时报送信息。

从上述规定来看，网络小贷中，数据利用至少包括三种方式：一是直接用于评估、分析自有借款客户的信用风险；二是在联合贷款业务中，向其他机构提供互联网平台用户的网络交易、网络消费等数据；三是依法向法定征信系统和登记系统对接并报送信息。

无论以上哪种数据利用方式，都需要遵守相关法律法规关于数据利用的规定。

（一）

征得同意和告知流程

如前文所述用户信息的收集的合规要求一样，需要在利用相关数据前，需要清晰的告知用户数据的利用规则，并且取得用户的明示同意。

进一步而言，如果是网络小贷公司作为信息提供方，将用户/客户的个人信息提供给其他机构的，不但要征得用户/客户的同意，根据《个人信息保护法（草案）》规定 [8]，还应当事先告知用户/客户“第三方的身份、联系方式、处理目的、处理方式和个人信息的种类”，并取得用户/客户个人的单独同意。并且，如果合作的其他机构在处理目的、处理方式上有变化的，还需要重新征得用户/客户个人的同意。

（二）

自动化决策的适当性

《暂行办法》第二条定义明确了网络小贷公司不但利用数据分析结果确定贷款方式和额度，并且还在线完成包括贷款审核、贷款方法等小额贷款业务的全部流程。这样就涉及到利用个人信息自动化决策的过程。

《个人信息保护法（草案）》第二十五条第一款规定：“利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理……”“大数据杀熟”是利用大数据技术的业务被广泛关注的问题，监管部门也已经对此引起重视，包括10月初文化和旅游部印发的《在线旅游经营服务管理暂行规定》，在双十一来临之际北京 [9]、哈尔滨 [10]等地监管部门约谈了部分电商企业都关注了此问题。在网络小贷中，同样需要避免类似“大数据杀熟”的问题。

实际上，“大数据杀熟”除了商业利益驱动外，也有技术完善的问题。这就需要网络小贷公司和互联网平台运营主体在业务系统和互联网平台的技术层面不断改进，包括改进算法，避免因技术原因导致网络小贷违反自动化决策适当性的相关规定。

（三）

依法报送信息

《暂行办法》第十六条和第十七条的规定下接入法定征信系统 [11]和登记系统，并报送信息属于网络小贷公司的法定义务。与之相印证的，《个人信息保护法（草案）》第十三条也授权个人信息者“为履行法定职责或者法定义务所必需”可以处理个人信息。

结语

数据的收集、储存、传输、利用与网络小贷密不可分，是网络小贷商业模式的技术基础。因此，数据合规及个人信息保护必然是网络小贷中的重要话题。《暂行办法》尚在征求意见中，本文中提到的《个人信息保护法（草案）》、《数据安全法（草案）》也是在征求意见中。本文仅以这些征求意见稿和草案作为参考，展开为网络小贷的数据合规及个人信息保护的思考。相信随着相关法律规则的完善，网络小贷的数据合规、个人信息保护的也会越来越规范。

[1]《网络安全法》第四十一条第二款。

[2]《个人信息保护法(草案)》第六条。

[3]《网络安全法》第四十一条第一款、第二十二条第三款。

[4]《个人信息保护法(草案)》第十三条、第十四条、第十八条。

[5]《网络安全法》第四十二条第二款。

[6]《数据安全法（草案）》第二十七条。

[7]《暂行办法》第二十二条第二项。

[8]《个人信息保护法（草案）》第二十四条。

[10] https://dy.163.com/article/FQNU0GJ20550LIJ8.html

[11]根据《暂行办法》第十六条规定，法定征信系统包括“金融信用信息基础数据库等征信系统”和“中国人民银行批准设立的个人征信机构和备案的企业征信机构”。

声明

本文旨在法规之一般性分析研究或信息分享，不构成对具体法律的分析研究和判断的任何成果，亦不作为对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文采取的任何作为或不作为承担责任。如需转载或引用本文的任何内容，请联系作者 ([email protected]);未经作者同意，不得转载或引用本文的任何内容。

The End

作者简介

樊晓娟 律师

业务领域：私募股权与投资基金, 资本市场/证券, 收购兼并, 科技、电信与互联网

印磊 律师

上海办公室 资本市场部

洪嘉宾 律师

上海办公室 资本市场部

竺雨辰

上海办公室 资本市场部

特别声明：

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。返回搜狐，查看更多