《个人信息保护法》来了，催收要变天？

《个人信息保护法》（以下简称“个保法”）于2021年11月1日施行后，第三人的电话还能不能打？强制收集通讯录信息为提供借款服务的前提，是否违反最小必要原则？失联修复能不能做？债权转让后，受让方还能不能委托第三方催收？侵犯个人信息的法律责任有哪些？应对的态度是法不责众还是拥抱监管？

“告知-同意”原则

“告知-同意”原则是《个保法》第13条以及《民法典》第1035条等法律规定的，处理个人信息的基本原则。在进行各种个人信息处理时，首先要遵守的就是“告知-同意”原则。

“告知-同意”原则的例外情形，《个保法》第十三条进行了列举，但并未明确规定“企业出于保护自身合法利益，也可以不经个人信息主体同意收集和使用个人信息。”即作为合同一方的个人出现违约（如债务逾期），并非可以排除适用“告知-同意”原则的例外情形。

第三人的电话还能不能打？

催收过程中涉及的第三人，一般指紧急联系人或通讯录联系人等非借款人。紧急联系人一般是信用卡或个人贷款中，由持卡人或借款人在申请办卡或申请贷款时提供给债权人的，通讯录一般是网络贷款场景下，由借款人通过线上授权，债权人或平台方通过技术手段获取的。

那么《个保法》施行后，第三人的电话还能不能打？要回答这个问题，先回答以下几个问题。

首先，第三人的信息是怎么给到债权人的？一般是持卡人或借款人填的，而不是紧急联系人本人填的。

其次，第三人有没有直接授权银行使用第三人的信息？没有。

最后，持卡人或借款人有没有权利代替第三人授权债权人使用紧急联系人的信息？没有。

结论：如果严格适用“告知-同意”原则，联系第三人有一定违法风险。

强制收集个人手机通讯录的信息是否违反“最小必要”原则？

一般在线上贷款的场景中，强制搜集客户的手机通讯录信息被作为一项风控手段而广泛采用，搜集通讯录的目的就是在客户发生逾期后，联系其通讯录中的人对逾期客户施压，也就是大家经常听说的爆通讯录。但搜集通讯录是提供贷款服务的必要前提条件吗？不搜集通讯录就不能放贷款吗？好像不是，之前没有搜集通讯录的技术条件时，贷款照样放。

《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》的第十四项金融借贷中，金融借贷基本业务功能必要信息为：收集“两位常用紧急联系人的联系方式，仅用于金融机构在借贷人逾期不还款时进行催款，应允许用户在金融借贷应用中手动输入紧急联系人信息，而不应强制读取用户的通讯录。”但这只是全国信息安全标准化技术委员会发布的规范，法律层级较低，个保法施行后，是否会收紧执法尺度，金融借贷领域严格使用“告知同意”原则，有待进一步观察。如果收紧，催收公司向通讯录联系人施压的催收策略，使用空间将大大压缩甚至不可行。

失联修复还能不能做？怎么做？

银行可以委托第三方修复，这个第三方应该仅指运营商，因为只有运营商有能力修复。银行等债权人在信用卡领用合约或借贷合同中一般会有相应条款获取客户授权，在发生逾期时向第三方查询债务人的通讯信息。

银行委托的催收公司是否可以根据银行的委托，转委托运营商修复？不能。

因为持卡人只委托了银行向第三方修复，没有允许银行委托第三方再向第四方去修复，也就是第三方不能转委托，所以第三方只能是运营商。据了解，运营商开放查询的主体仅限于银行、保险和法院，并着重审查授权链条的完整性。

银行委托运营商修复后，再给催收公司使用？实践中不可行，因为运营商修复后返回的手机号一般不是明文。

法院给银行委托的律师出具调查令，查询债务人联系方式，或许可行，但批量诉讼的情况下，审判法院倾向于审理缺席判决的案件，不希望联系上太多被告，导致到庭被告增加，还需以诉源治理的名义与法院协调，争取获得法院支持。

关于失联修复的合法合规性，可参考新浪诉脉脉案确立的“三重授权”原则，该原则是北京知识产权法院在“新浪诉脉脉”（二审判决书（2016）京73民终588号民事判决书）一案中确立的合法收集使用个人信息的原则，“三重授权”即：“用户授权”+“平台授权”+“用户授权”。第一重授权为用户授权平台，第二重授权为平台授权第三方，第三重授权为用户授权第三方。

如果该“三重授权”原则类比适用到失联修复的场景中，那么第一重授权为客户（即债务人）授权债权人（银行、消金、网贷平台等），第二重授权，债权人授权第三方（电信运营商），第三重授权，债务人授权第三方。

“三重授权”原则在实践中有一定争议，由于实施成本高，可操作性还有待检验。再者，我国不是判例法国家，北京知识产权法院的判决也非最高院指导案例，因此是否其他案件也适用该原则存在不确定性。

债权转让

个贷不良批量转让放开后，已成功转让多笔个贷不良资产包，资产管理公司作为受让方也面临处置问题。

债权转让后，受让方还能不能委托催收公司催收？委托催收公司的话，本人和第三人都可以联系吗？这看起来好像不是问题，又好像是个问题。

说“好像不是问题”，是说银行能催，资产管理公司为什么不能催？我是“奉旨收购”啊，也是有金融或类金融牌照的啊。不能催怎么处置，只能诉讼吗？

而“又好像是个问题”是指，债权人变为受让人，按照告知同意原则，债务人没有直接授权受让人使用其个人信息，第三人更没有。而个人违约并不是个保法明确规定的豁免适用告知同意原则的例外情形。

个人认为，债权转让后，受让方处理个人信息分两类情况，一是处理债务人本人信息，二是处理从原债权人处获取的债务人之外的第三人信息。

处理债务人本人信息，应类比适用《个保法》第二十二条规定，该条规定了个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的情形下，如何处理接收到的个人信息。个人认为，债权受让人可以继续处理债务人个人信息，但应通知债务人，通知内容为受让方名称和联系方式。但债权受让人改变处理目的、处理方式，应重新取得债务人授权。

根据《个人金融信息保护技术规范》7.1.3使用条款，规定了收购、兼并、重组、破产等情形下的个人金融信息处理规则，个人认为债权转让应类比适用该处理规则。则受让人应逐一传达（或公告）的方式告知债务人，受让方继续履行个人金融信息保护职责，改变适用目的需重新取得债务人明示同意（或授权）。

从另一个角度分析，债权转让的标的是什么？不仅仅是请求债务人偿还一笔欠款的权利，还应包括原债权人实现债权的相关权利，包括对债务人采取催收、诉讼的权利，债务人对原债权人的授权，债务人个人信息的使用权等。

再引申一个问题，受让方是否有权通过第三方（如电信运营商）查询债务人的信息？债权转让是否构成个人信息查询授权的转让？即债权受让方是否自动取得债务人对原债权人授权？个人认为受让人可以委托第三方查询债务人本人的信息，不需另行单独授权。

总之，个人认为债权受让人有权处理从原债权人处获取的债务人信息，但债务人之外的第三人信息，包括债务人的联系人、亲属等，个人认为无权处理，如需处理应获得第三方单独授权。

侵犯个人信息权利应承担的责任

发生侵犯个人信息权利的行为，应承担的法律责任有行政责任、民事责任和刑事责任。

行政责任

违反《个保法》要承担的责任主要是行政责任，个人信息保护工作由国家网信部门负责统筹协调，另外还有国务院相关部门和县级以上地方政府。承担责任的类型主要有责令改正、警告、没收违法所得、责令暂停或者终止提供服务、罚款、暂停业务或停业整顿、吊销相关业务许可或者吊销营业执照等。

其中“罚款”的规定应格外注意，罚款的范围为五千万元以下或者上一年度营业额百分之五以下，这个处罚力度还是挺大的，真有被罚款的可能公司也就倒闭了。

民事责任

民事责任主要依据是《民法典》人格权编中关于个人信息保护的规定，违反这些条款主要承担民事责任。

刑事责任

刑事责任主要涉及两个罪名，侵犯个人信息罪和暴力催收非法债务罪。

执法尺度和利益博弈

银行、消费金融公司、网贷平台等有大量的逾期坏账，而委托催收公司催收的方式，是之前也是将来很长一段时间里最主要的追讨欠款的方式，除了明显违法的情况外，执法的过程中也会考虑金融机构的金融风险，毕竟催收完全停止，坏账增加太多太快，都不利于金融风险防控。

因此，对法律规定的理论解读，得出的结论对催收的开展可能是不利的，但法律实施过程也会考虑各种因素和利益的平衡。对于个保法的施行，催收从业人员及各类金融机构的应对态度，应以积极拥抱监管为主，而不是抱着法不责众的侥幸心理继续实施违法行为或打擦边球，否则后果也许比较严重。