适用场景
涉及跨境信贷、消费金融、小额贷款等业务,且计划进行不良资产批量转让或处置的中国出海企业,尤其是在业务退出或风险处置阶段。
核心要点
1. 债权转让与个人信息转移的合规冲突
根据《民法典》,债权转让以通知债务人为生效要件,无需其同意。但根据《个人信息保护法》,向第三方提供个人信息通常需取得个人的单独同意。在不良资产批量转让场景下,债务人往往失联或不愿配合,获取单独同意在实践中几乎无法实现,形成了法律适用上的核心矛盾。
2. 个人信息转移的合法性基础分析
出海企业需审慎评估转移行为的合法性基础。直接适用‘取得个人单独同意’或‘为履行原合同所必需’均存在法理或实操困难。更可行的路径是依据‘为履行法定义务所必需’(如遵循特定金融监管规定),或论证其符合《个人信息保护法》第二十二条中因‘合并、分立、解散、被宣告破产等原因’而转移个人信息的情形,后者仅需履行告知义务,无需重新获取同意。
3. 最小必要与安全保护原则
转让方向受让方提供的债务人个人信息范围,必须严格遵守最小必要原则,仅限于受让方实现债权追索等目的所必需的信息。同时,必须采取加密、去标识化(如掩码处理)等技术和管理措施,确保信息在传输和使用过程中的安全,防止泄露和滥用。
4. 转让方与受让方的双向合规义务
转让方负有进行个人信息保护影响评估、安全审查受让方资质、签订数据处理协议、采取安全传输措施、妥善记录并事后删除数据等一系列主动合规义务。受让方在接收个人信息后,必须继续履行原个人信息处理者的保护义务,并采取不低于转让方的安全保密措施。
实务建议
- 在初始贷款合同格式条款中,明确约定未来可能采取的不良资产转让处置方式及相关的个人信息转移安排。
- 在决定转让前,对拟转移的个人信息行为进行专门的数据安全与个人信息保护影响风险评估。
- 对受让方(如资产管理公司)进行严格的背景审查和安全能力评估,确保其具备完善的个人信息保护制度与内控流程。
- 与受让方签署资产转让协议时,必须嵌入详细的数据处理条款,明确受让方的保护责任、安全措施标准及违约赔偿责任。
- 在转让前,依法以公告等适当方式履行对债务人的通知义务。
- 传输个人信息时,务必使用加密等安全通道,并对敏感信息进行去标识化处理。
- 完整记录并保存个人信息转移的全过程日志,包括时间、范围、目的和接收方信息。
- 转让完成后,及时删除自身系统中留存的、已转移的债务人个人信息,并定期进行合规审计。
风险提示
- 切勿将获取债务人‘单独同意’的合规责任简单前置到贷款合同签署时,因当时无法确定未来受让方,该同意可能因不符合‘单独、明确’要求而无效。
- 避免向受让方提供超出债权追索必要范围的个人信息,如过度提供健康、生物识别等敏感信息,极易违反最小必要原则。
- 切忌仅完成债权转让的法律通知,而完全忽视个人信息转移的独立合规流程,两者需并行处理。
- 不能因受让方是持牌金融机构或资产管理公司就放松对其数据安全能力的审查和协议约束。
- 注意不同国家/地区对不良资产转让及个人信息跨境传输可能有更严格的规定,需进行目的地合规研判。