银行金融机构风控迎来新法规，违法面临千万处罚

《个保法》实施后，金融机构的风控部门也要适时调整了。11月1日起，我国第一部保护公民个人信息的专门法律《中华人民共和国个人信息保护法》（下称《个保法》）正式生效，正在大家都在围绕这部法律对大数据杀熟、数据泄露、信息过度采集等方面时，《个保法》也在影响着银行、消费金融公司经营者的风控措施。

从《个保法》内容可以看到，《个保法》将自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等各种信息全面纳入保护范围。这些信息又是银行、消费金融公司、小贷平台放贷风控必须要采集的信息，因此如何合法合规的收集个人信息成为机构风控方亟待解决的难题。

《个保法》共八章七十四条，明确了个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门等个人信息保护的各个方面，刚好涉及到贷前的信息收集、处理和贷后的催收等方面。

众所周知，目前贷款风控模型主要依靠于大数据，数据越丰富，则风控效果越佳。《个保法》个人信息处理规则一章中，首先在第十三条提出处理个人信息需要取得个人同意。对于目前许多APP不接受获取信息就不能使用的情况，《个保法》十六条提出个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，并且即使用户同意机构处理个人信息后，还能有权撤回其同意。这一定程度上加大了风控部门在收集借贷者信息的难度，也提高了违规的风险。

在个人征信方面，按照《个保法》第4条和第73条的规定，个人征信机构属于个人信息处理者的范畴，所以也必须遵守《个保法》的规定。而在《个保法》中，多处条例规定了机构在处理个人信息时应明确的义务，包括告知接收方相关信息、个人信息实行分类管理、自动化决策征信产品透明度和公平合理等的义务，对于个人征信机构而言，也是一个极大的挑战。

对于违法者的处罚，《个保法》规定，情节严重的企业会被没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款，还有可能被吊销相关业务许可或者吊销营业执照。不仅如此，直接负责的主管人员和其他直接责任人员也不能幸免，会被处10万元以上100万元以下罚款，还会被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人，这意味着，相关负责人不再能够以员工个人行为逃避责任。

值得注意的是，个保法中明确提出被侵权者也应该获得相关赔偿，条例提到因为处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

在《个保法》出台之前，我国主要通过《电信和互联网用户个人信息保护规定》、《网络安全法》、《刑法》等法律法规对个人信息予以保护，虽然这三部法律中都有对于个人信息保护的相关规定，但由于比较细碎且并未形成系统，各地法院对于其解读也不尽相同，这导致个人信息的保护长时间以来没有明显进展。

在金融借贷平台，违规收集个人信息并用于获利也时有发生，今年8月湛江某银行客户经理王某出售银行客户信息共31465条，这些客户信息被相关贷款公司用于拨打电话并推销贷款业务信息；去年5月，江苏淮安警方破获了一起特大贩卖公民个人信息案，共抓获26名嫌疑人，涉案金额2000多万元，媒体报道，这场案件中有银行内部员工协助犯罪，仅靠帮忙查询银行卡信息一年黑色收入超30万元。

国内大行对于个人信息保护也时常因为缺位而被处罚，今年8月央行公布的11张罚单共罚1588千万，违法行为主要涉及违反信用信息采集规定及违反账户管理相关规定，涉及银行包括建设银行、交通银行、邮储银行、华夏银行、兴业银行等5家银行。

银行等金融机构在个人信息保护上屡次被罚却屡教不改，很大一部分原因是目前为止的法律文书并未明确个人信息采集、处理的界限以及处罚的力度标准，如今《个保法》实施之后，对于信息保护的边界更加明晰，金融机构在收集信息的操作上也有了标准指导。

对于银行、消费金融公司而言，目前最为关键的是按照《个保法》的要求修改信息收集的方式，例如对于线上信息收集方，必须修改客户端的界面展示，将用户授权个人信息的选项前置，还要给客户提供随时撤销其授权的按钮。

从长久而言，金融机构的风控也必须进行相应调整，《个保法》明确规定处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应该取得个人的单独同意，并且用户随时能够撤销自己的同意，金融机构如果不能够处理这方面的问题，风控的有效性将会大打折扣。