车评人袁启聪将自己的遭遇放到了微博上,他质疑招商银行将个人及家人信息泄露给催收公司。

银行方面则坚称,其委托第三方公司处置账务问题的流程合法合规,不存在泄露客户信息的情况。

“你太太去世了,要不要帮她还信用卡?”近日接到的一通突如其来的电话,令袁启聪感到不适。

来电显示是私人手机号码,对方声称自己是招商银行的,要求他替过世的妻子偿还信用卡欠款。袁启聪对来电方身份提出质疑,最后得知对方是“收数公司”的。

袁启聪将自己的遭遇放到了微博上,他质疑招商银行将个人及家人信息泄露给催收公司。这一事件再次引发公众对于个人信息安全的关注。

那么,银行和第三方催收公司的边界在哪儿?用户的信息安全究竟由谁来保障?

妻子去世丈夫被催债

11月15日,微博大V资深车评人袁启聪发布微博讲明来龙去脉。两周前,他接到一个私人手机号码来电,询问“你太太去世了,你要不要帮她还信用卡”,来电者自称是招商银行的,随后在追问下改口“是收数公司”的。当被问及如何取得袁启聪及家人信息的敏感问题时,来电者立即挂断电话。

袁启聪在微博上强调,妻子在去世前,并没有向他交代过任何有关银行信用卡方面的信息,自己也并不清楚妻子的财务状况。

针对此事,11月16日晚,招商银行发布了一份《关于袁先生反馈我行服务体验问题的说明》,表示并无违规泄露客户信息。

招行信用卡中心表示,曾在7月23日至9月30日两个多月里,先后通过短信、电话联系客户本人及客户指定联络人几十次,均未能联系上。

“鉴于长时间未能联系到持卡人及其指定联络人,2020年10月,我行按照合规规范管理的方式,持续委托有资质的第三方公司处理客户账务问题,该公司通过集中管理带录音的固定电话、工作手机多次联系未果。”招行方面称,后续,该公司通过客户指定联络人袁先生的微博公开信息得知并同时确认其夫人不幸去世的消息。

“经查核,我行信用卡中心委托第三方公司处置账务问题的流程合法合规,不存在泄露客户信息的情况。”招行表示,对于袁先生反映的外呼人员会话态度问题,我行正在调取相关录音查验,如发现不符合服务规范的情况,将予以严肃处理。

对于银行方“话术”,袁启聪感到不满。11月17日,袁启聪在微博再次发文提出质疑,“为什么之前几十次都找不到我?我一发微博,就可以‘第一时间联系上我’呢?还有,是“从我的微博知道我家庭状况”的说辞,也真是够严谨的。”

他表示自己曾主动去电近十次,每次都留下详细信息供联系,但招商银行信用卡方面回避他的疑问并不回电话。另外,尽管已接到招商银行信用卡负责人陈女士的电话,但袁启聪仍然没有收到官方的还款对账单,只能凭催收公司报出的大概数目还款。

催收公司是否涉及违规

在袁启聪看来,事实最核心也是最重要的诉求,是银行把用户信息泄露的问题。

“昨天银行与我沟通时,我提出‘你们如何界定隐私信息的范围?’你们认为向收数公司共享的个人电话,账户信息均不属于隐私,但我认为,这就是!”他在11月17日发布的微博中强调。

那么,这到底属不属于信息泄露呢?监管部门对于银行委托第三方催收机构并共享客户信息的行为是怎么看的呢?

“从催收的角度来看,如果该‘收数公司’是银行官方授权的机构,其展开的收款提醒业务并非违规,该业务是合规的,在此前提成立的情况下,便不涉及个人信息泄露。”信用卡专家董峥表示,信用卡目前只有《商业银行信用卡业务监督管理办法》,其中关键是不许用暴力催收,即在催收过程中不允许有违反道德的一些举动,等于认可了催收这件事情本身,但是催收不能产生暴力,不能产生信息泄露方面的问题,即除了被授权的第三方之外。

但也有律师表示,一般“催收”只能对欠款的人进行催收,用影响其家人的方式催收是违反信息保密的法律规定,毕竟其家人不是欠债人,因此该案例可能涉及违规。

《商业银行信用卡业务监督管理办法》第六十八条指出,发卡银行应当对债务人本人及其担保人进行催收,不得对与债务无关的第三人进行催收,不得采用暴力、胁迫、恐吓或辱骂等不当催收行为。“信息透露给被授权的催收公司这一项,一般不认为违法。但如果银行要求催收公司向欠款人家属或者亲戚朋友催收,可能涉嫌违法。”上海华万律师事务所律师郝大海认为。

“信用卡催收是一个游离于法律层面的边缘地带,正常催收成功一般不会引发问题,但一旦催收对象有较为激烈的反对举动,很容易出现问题。”董峥说。

金融业需加强信息保护

早在2009年,原银监会出台的《关于进一步规范信用卡业务的通知》(下称《通知》)就明确规定,银行业金融机构应审慎实施催收外包行为。对因催收外包管理不力,造成催收外包机构损害欠款人或其他相关人合法权益的,银行业金融机构承担相应的外包风险管理责任。

“金融机构及其合作伙伴应该从数据的采集、存储、加工、传输、披露等环节规范用户个人信息管理,例如采集前需征求用户同意,必要时应采取去标识化原则等,通过制度及流程的梳理来加强内部管控,遵循‘用户授权、最小够用、专事专用、全程防护’原则。”麻袋研究院高级研究员苏筱芮告诉《国际金融报》记者。

苏筱芮建议,金融业需加强信息保护,可以从三方面入手:

一是要推进行业自律,可参照发达国家经验将相关条款纳入法律,明确有关团体组织的合法地位,亦可以为自律组织制定更为细化的规范性文件提供法律依据;

二是要加强机构自治,先要提升机构意识。有一些中小银行,连个人信息保护相关的内部联络渠道都没有披露,隐私政策更只有寥寥数行,自治水平与国外相比天差地别,需要政府部门、自律组织等加大监督和培训;

三是可督促机构在其官方网站、APP等开设专门页面公示举报渠道,亦可提升公众的参与度与个人信息保护意识。

记者 曹韵仪