21合规调查④｜水面下的失联修复：一条十块，运营商取得个人授权成合规关键

对于国人来说，再简单不过的一个道理：欠债还钱。但在现实生活中，有些债务人处于“隐形”状态，如何让他们现身？失联修复，便是帮助金融机构、催收机构找到“隐形”债务人的“神器”。

中国人民银行发布的《中国金融稳定报告（2023）》（以下简称《报告》）显示，截至2022年末，商业银行不良贷款余额2.98万亿元，同比增加1359亿元，不良贷款率1.63%，同比下降0.1个百分点。不良资产处置过程中，金融公司、催收机构等与失去联系的债务人重新建联是关键一步。

合规已经成为企业发展的红线和底线，对于失联修复业务发展而言，在相关债务人“失联”这一特殊情况下，用户是否真的理解并同意运营商向金融机构、催收机构提供联系自己的方式？随着各类金融机构不良资产处置的加速，就债务人重新建联而言仍未出台相关指导文件，失联修复所强调的合规又是否真的合规？

此前一段时间，互联网金融加持之下，中国消费信贷市场发展突飞猛进。市场繁荣背后，商业银行、消费金融公司等机构不良贷款余额和不良贷款率提升，影响着中国金融的稳定和发展。

《报告》显示，截至2022年末，逾期90天以上贷款余额2.3万亿元，同比增加1208.3亿元，增幅5.5%；逾期90天以上贷款余额与不良贷款余额之比为77.7%。不良资产处置是金融机构的挑战，同时也是行业发展的新机遇。

当下的失联修复，主要指“三网修复、失联连通”模式，相关机构探索在合法合规的前提下与运营商合作以解决失联难题。具体来看，金融机构和催收机构（需得到银行授权）要取得债务人事先合法授权。在取得授权的前提下，金融机构、催收机构向运营商输出加密的身份证信息，运营商根据提供信息，找到失联债务人在网手机号，采用脱敏数据提供一套外呼或短信触达服务，这样债权人与失联债务人便重新取得联系。

（失联修复过程示意图）

21世纪经济报道记者以业务沟通为由，通过社交媒体平台预留的联系方式，联系到了某运营商的项目经理，自称可以为相关需求方提供合规的失联修复业务。上述运营商工作人员告诉记者，“失联修复因涉及个人信息，各类资质审核都很严格。跟我们合作的第三方，比如银行，我们会给他提供一个平台，银行可以通过虚拟号码触达用户，但不会给到真实号码。”

广州某科技公司开展失联修复工作，负责产品咨询的工作人员告诉21记者，失联修复是一个很常规化的市场，其数据授权来自运营商，因为运营商才有用户的手机号码。客户主要来自保险公司、银行、贷款公司等，而他们作为第三方提供相关修复服务。

上述两位工作人员告诉记者，其所在机构失联修复业务仅向企业客户提供，因合规问题未向个人开放。记者通过公开资料搜集也暂未找到向个人提供失联修复业务的案例。

目前来看，失联修复的价格并不贵。“对于企业来说，一条十块，企业量比较大，都是几万条进行查询。”上述科技公司工作人员告诉记者。

企业集中采购的失联修复价格会比上述平台标价更低，也更具竞争力。如中国人民人寿保险股份有限公司今年3月拟采购失联客户电话召回服务，将失联修复的价格控制在最高10元/条。

根据21记者调查，失联修复的需求多来自银行、消费金融、保险等机构。人民法院为解决送达难、执行难的情况，亦有失联修复的需求。

从招标文件梳理来看，根据企业规模、性质不同，相关企业的失联修复预算从几十万到上千万不等。

以中国邮政旗下中邮消费金融有限公司（以下简称“中邮消费金融”）关于失联修复的招标数据来看，2020年中邮消费金融关于失联修复项目的采购预算为118万元（含税），2022年预算则上升为125万元（含税）。

2021年至2023年，江苏移动信息系统集成有限公司（企查查显示，该公司由中国移动通信集团江苏有限公司100%持股）连续三年发布了全网大数据失联修复服务项目的招标公告，采购全网大数据失联修复服务框架，预算金额（含税）逐年提高，分别为318万元、848万元、1166万元。

公开资料梳理来看，提供失联修复业务的公司主要分为两类，一是三大运营商会提供相关业务和产品，如移动梧桐风控的客户关系修复产品，联通的数盾风控产品。二是科技公司或数据公司，这类公司往往接入运营商丰富的数据资源，为相关需求方提供失联修复业务。

失联修复并不复杂。简单理解便是在满足相关授权的前提下，运营商可根据金融机构提供的加密身份证号码，依托其掌握的维度多元、关联性好的海量数据，结合手机号码实名登记制度，对用户身份进行核验并发现失联人当前活跃的手机号码，最终实现建联需求。

为提升建联的准确率，即便是拥有丰富数据资源的运营商，依旧会从外部引入相关数据。如今年1月，联通数字科技有限公司为引入外部的失联修复两网数据源，拟出资900万元（不含税）采购包含银行、保险及法院行业两网数据源及隐私号码。

此外，整理相关企业公开资料，物流端的数据或许也被用于失联修复业务。如云宝宝大数据产业发展有限责任公司的失联修复业务，相关业务简介表示使用了物流数据。

失联修复虽不为普通公众所熟知，但相关市场也正逐渐成熟。随着数据逐渐成为新型生产要素，一些开展失联修复业务的企业也在寻求上市。即便是登陆资本市场，数据合规和个人信息安全合规亦是监管关注重点。

以近期终止IPO的北京青牛技术股份有限公司（以下简称青牛技术）为例，青牛技术的智慧联络平台开展安全计算平台业务，业务主要有信息核验、失联修复两种场景。今年1月，深圳证券交易所（以下简称深交所）对其首轮问询，其中便关注到了用户数据及业务合规性。深交所要求其说明智慧联络平台业务开展过程中对用户个人数据的接触情况；联系失联用户的过程中，是否合法合规；是否涉及“通过手机号及个人信息拨打骚扰电话的业务”等情形。

“失联修复过程中，需要考虑用户给予银行等金融机构、运营商的授权使用范围，用户个人信息流转过程中是否存在买卖交易以及相关买卖交易是否在隐私保护协议中体现及授权。”北京星来科技有限公司总编辑游涛说道。

据了解，当前催收行业普遍采取的合规模式是三重授权。首都师范大学教授吴高臣、硕士研究生陈顺宇在一篇名为《失联债务人信息修复合法性研究》的论文中对于三重授权予以明确：首先由债务人授权金融机构处理其个人信息，金融机构再相应授权给催收机构，此外，债务人还需要授权三网运营商处理其个人信息。

以银行和用户之间授权为例，根据截至2022年末的信用卡累计发卡量，记者梳理了工商银行、建设银行、中国银行、中信银行、招商银行五家银行信用卡开卡过程中个人信息授权的相关规定，五家银行个人信用卡的相关合约确认了银行违约催收的权利。

债务人是否授权金融机构从第三方获取其个人信息方面，部分银行通过合约予以明确确认。

如工商银行《个人信息授权书》授权工商银行在依法合规的前提下，向有关单位提供本人个人信息，并从有关单位获取查询结果，可向本人联系人获取本人个人信息。

对外经济贸易大学数字经济与法律创新研究中心执行主任张欣提示，“用户在签订信用卡领用合约或个人信息授权书时，通常涉及对个人信息使用的授权。然而，这种授权应当明确、具体，且用户应充分了解其授权的范围和后果。相关条款的设计应在合理和必要限度内，不能过度收集和使用个人信息，并且应当有明确的目的和使用限制，确保金融机构不会滥用用户信息。”

失联修复合规的关键在于，三重授权框架之下，运营商处理债务人个人信息时以何种形式取得债务人的同意。

“假如金融机构打算通过运营商获取失联人员新的手机号，需要关注运营商是否获得当事人授权、相关授权是否约定买卖数据的权限。”游涛在接受21世纪经济报道记者采访时说道。

记者梳理了三大运营商的用户隐私政策及相关协议，联通《中国联通用户隐私政策》、电信《用户隐私政策（详细版）》中明确表示，个人如授权银行等第三方查询、收集在运营商的信息，运营商在对个人信息来源的合法性确认之后，会依法合规使用或对外提供信息。移动的《服务协议》《隐私政策》为一揽子授权，并未对第三方授权查询予以明确说明。

（左一为联通截图，右一为电信截图）

张欣表示，实践中，个人对运营商的授权可能是较为粗糙的一揽子授权，授权范围过广。个人事先和运营商签订的授权文件中的个人信息，和运营商真正调取的个人信息，二者之间存在信息差，用户未必能够真正愿意授权。

失联修复模式之下，另一个值得关注的问题，手机号码，尤其是失联人员未在银行留存的号码，是否属于敏感个人信息？对于敏感信息与否的判断影响着该类信息是否需要保护以及如何保护的问题。

张欣在接受记者采访时表示，在司法实践中，法院多从场景的角度综合考虑个人信息汇聚融合后的整体属性，如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的，应判断个人信息整体具有敏感个人信息属性。

“就手机号码而言，其不仅是通讯联系的基本工具，也是个人身份识别的重要标识之一，广泛关联个人的社交网络、财务信息以及网络行为等。因此，手机号码的泄露可能导致个人隐私的侵犯和安全风险的增加，在失联修复的场景下，可认为其属于个人敏感信息。”张欣说道。

游涛则认为，手机号码属于普通个人信息，未向银行提供的手机号码也属于普通个人信息范畴。游涛进一步解释，《个人信息保护法》第二十八条对敏感个人信息的外延作了列举式规定，一般不能随意扩大范围。

21记者综合梳理来看，关于手机号码是否属于敏感个人信息，当前并无明确界定，相关法律法规、标准对其界定也并不一致。失联修复场景下，债务人手机号码是否属于敏感信息仍有待相关机构予以明确。

一方是不良资产处置、失联修复的刚需，另一方则是摸索中前进的失联修复业务合规。伴随数据要素市场的建设和发展，金融机构又该如何平衡数据的有效利用与个人隐私的保护？

张欣在接受记者采访时表示，这意味着金融机构应建立严格的数据管理体系，确保数据的使用目的明确、合法，并且采取足够的安全措施保护数据不被滥用或泄露。同时，需要加强对用户的通知和透明度义务，确保用户对自己的数据如何被使用有充分的知情权。

“对于失联修复这类可能涉及个人敏感信息使用的场景，金融机构还应严格遵守最小必要原则，在合法合规的前提下有序开展数据利用。严格控制信息查询的目的、方式和范围，防止过度采集、滥用个人信息。最后，外部监管也是十分必要的。适时制定行业技术标准和合规指引等亦有助于针对性地提升行业数据使用的规范性。”张欣说道。