金融借贷,是指为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交易记录等功能,这里的金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构。
助贷业务,是指金融科技机构通过自有系统或渠道筛选目标客群,在完成自有风控流程后,将较为优质的客户输送给持牌金融机构、类金融机构,经持牌金融机构、类金融机构风控终审后,完成发放贷款的一种业务。
金融机构线上业务,是指金融服务机构通过网络提供金融服务,为用户提供从金融机构进行存款、保险及投资理财服务,包括账户开户、存款、交易、认购、赎回、投保、理赔、分红、交易记录、查询与客服等功能,具有银行、保险、理财、投资等资质在网络上提供服务的金融机构及金融中介机构(统称“金融服务机构”)。
2) 当金融机构出于向个人信息主体提供产品或服务的扩展业务,包括但不限于基于定位的扩展功能、基于相机的扩展功能、基于通讯录的扩展功能、基于日历的扩展功能、基于麦克风的扩展功能,收集使用个人信息时,应当在扩展业务功能开启前,向个人信息主体注意告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意。
a) 金融机构向与其存在业务关系的第三方提供个人信息的,应当事先明确告知信息主体第三方的姓名或者名称,第三方收集、处理、使用个人信息的特定的用途,范围和可能产生的后果等,并取得信息主体的明示同意。
注:金融机构将收集的个人信息委托给外包服务供应商或者外部合作机构处理的,应当事先取得个人信息主体的明示同意,并充分审查、评估外包服务供应商或者外部合作机构保护个人信息的能力,将其作为选择评估的重要指标。
b) 金融机构在评估个人信息保护及信息安全风险程度较低的情况下,通过协议方式委托第三方服务商对信息进行使用及处理,如计算机系统外包服务、科技外包服务商、广告服务、云服务、债务追讨、司法诉讼、法律及财务专业咨询机构、第三方SDK/API、小程序等。
1) 固定类型的委托外包服务可在隐私政策或服务合同内予以列明,清晰告知客户;
2) 不固定类型的委托外包服务可在具体应用场景予以说明,显著标示、提示第三方服务商名称。
注:委托第三方处理信息之前,应充分审查、评估第三方服务商保护个人金融信息的能力,通过委托处理协议约定职责和义务,对外部供应商、外部合作机构进行监督,并约定第三方服务商不得转委托。金融机构对委托机构及信息安全义务承担首要责任,不因委托而转移、减免。
助贷业务告知同意的适当时机:可以在借款客户选择“申请借款”、“立即申请”、“立即借款”等类似表述后,并在借款申请的基本业务功能开启前,向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将带来的影响。
注:这样操作告知的时间点和收集个人信息的时间点相差时间适当,且明确知道该客户具备借款意图后(非游客状态)向其告知较为合适,同时避免对无借款意图的客户造成不必要的打扰。
以下情形中,个人信息控制者共享、转让、公开披露个人信息,无需事先征得个人信息主体的授权同意:
a) 提供给中国人民银行个人征信中心或经其批准设立的合法征信机构;
b) 提供给中国互联网金融协会及其他合法成立的行业协会;
c) 基于非营利性科研目的的提供给科研机构(例如:高等院校、研究所等);
除以上内容,互联网金融场景下个人信息告知的内容、方式、展示、适当性,同意模式与实现形式等,可遵循指南的一般规定。
原文始发于微信公众号(安全牛):安全牛课堂丨互联网金融场景下的个人信息安全告知同意
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论