小贷业务个人信息安全合规风险管理研究 ——以A小额贷款有限公司为例.doc

《小贷业务个人信息安全合规风险管理研究 ——以A小额贷款有限公司为例.doc》由会员分享，可在线阅读，更多相关《小贷业务个人信息安全合规风险管理研究 ——以A小额贷款有限公司为例.doc（59页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、小贷业务个人信息安全合规风险管理研究 以A小额贷款有限公司为例学位类型：同等学力 论文作者：谢仙 培养学院：保险学院专业名称：金融学指导教师：游桂云 教授2020年2月Research on Personal Information Security Compliance Risk Management of Small Loan Business学位论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文所涉及的研究工作做出重要贡献的个人和集体，均已在文中以明确

2、方式标明。本人完全意识到本声明的法律责任由本人承担。特此声明学位论文作者签名： 年 月 日学位论文版权使用授权书本人完全了解对外经济贸易大学关于收集、保存、使用学位论文的规定，同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供本学位论文全文或部分的阅览服务；学校有权按照有关规定向国家有关部门或者机构送交论文; 学校可以采用影印、缩印或者其它方式合理使用学位论文，或将学位论文的内容编入相关数据库供检索；保密的学位论文在解密后遵守此规定。学位论文作者签名： 年 月 日导师

3、签名： 年 月 日摘 要随着信息技术的快速发展和互联网应用的普及，越来越多的组织大量收集、使用个人信息，给人们生活带来便利的同时，也出现了对个人信息的非法收集、滥用、泄露等问题，个人信息安全面临严重威胁。自然人因此也多了“数字人”的新身份，其个人信息通过互联网络被广泛地披露出来，个人信息安全问题不仅成为网络用户的私事，也关系到信息行业的健康发展及国家的经济竞争力。小额贷款公司也随着现有的监管从严、市场竞争加剧等经营环境影响，除开展原有的自有资金放款业务外开展了与第三方机构合作业务，如：联合放贷业务与流量分发业务模式。这就必然导致个人信息控制者的增多，增加了个人信息安全的合规风险。本文聚焦小额贷

4、款业务领域的个人借款人这一类特殊的网络用户的个人信息安全合规风险展开研究。本文先从小贷业务、个人信息、个人信息安全以及合规风险、合规风险管理的相关概念，以及个人信息安全的基本原则、具体要求几个方面对小贷业务个人信息安全合规风险管理的基础理论阐述的基础上以A小额贷款有限公司为例，从公司发展背景、组织架构、贷款产品项目、合作业务模式剖析了该公司的业务现状，进而深刻分析了自有资金、联合放贷和流量分发三种不同业务模式下的个人信息安全合规风险，并对此三种不同业务模式下的合规风险进行分析对比总结。最后对小贷业务在自有资金、联合放贷和流量分发三种不同业务模式下个人信息收集、共享方面提出了其所共同适用与独有的

5、个人信息安全合规风险管理建议。 关键词：小额贷款，个人信息安全，合规风险管理IAbstractWith the rapid development of information technology and the popularization of Internet applications, more and more organizations collect and use a large amount of personal information, bringing convenience to peoples lives, but also the illegal collect

6、ion, abuse, disclosure and other problems of personal information, personal information security is facing a serious threat.As a result, natural person also has a new identity of digital person, whose personal information is widely disclosed through the Internet. The security of personal information

7、 is not only a private matter for network users, but also related to the healthy development of the information industry and the economic competitiveness of the country.With the impact of the existing business environment, such as strict regulation and intensified market competition, small loan comp

8、anies have started to cooperate with third-party institutions in addition to the original lending business of their own funds, such as joint lending business and flow distribution business model.This will inevitably lead to the increase of personal information control, increasing the compliance risk

9、 of personal information security.This paper focuses on the personal information security compliance risk of individual borrowers, a special group of network users in the field of small loan business.This article first from small business loan, personal information, personal information security and

10、 compliance risk and compliance risk management of related concepts, and the basic principles and concrete requirements of personal information security aspects of small loan business personal information security compliance risk management on the basis of the basic theory of interpretation of A sma

11、ll loan co., LTD., for example, from the development background, organizational structure, project loan products, cooperation business model analyses the current situation of the companys business, and then deeply analyzed its own funds, lending and flow distribution of A combination of three differ

12、ent business mode of personal information security compliance risk,The compliance risk under three different business models is analyzed and compared.Finally, Suggestions on personal information collection and sharing under three different business models of self-owned capital, joint lending and flo

13、w distribution are put forward.Key words: small loan, personal information security, compliance risk managementII目录第1章 绪论11.1研究背景11.2研究意义11.3国内外研究综述11.3.1国外研究现状11.3.2国内研究现状21.3.3文献综述51.3.3.1国外文献综述51.3.3.2国内文献综述61.4研究内容与研究方法61.4.1研究内容61.4.2研究方法6第2章 小贷业务个人信息安全合规风险管理的基础理论82.1小贷业务的定义82.2个人信息的内涵与分类82.2.1

14、个人信息的界定方法82.2.2个人信息的界定范围92.2.3个人信息的分类102.2.3.1以信息内容为分类标准102.2.3.2以敏感程度为分类标准102.2.3.3以识别度为分类标准102.2.4个人信息安全的定义112.3个人信息安全的基本原则112.4个人信息安全的合规要求122.4.1 法律基本要求122.4.2 个人信息收集最小必要性要求122.4.3 收集合法性要求152.5合规风险管理的定义162.5.1合规风险的定义162.5.2合规风险管理的定义17第3章 小贷业务中个人信息安全合规风险管理的现状183.1小贷业务中个人信息控制者183.1.1 小贷公司183.1.2 网上

15、借贷业务平台运营商193.1.2 第三方个人信息控制者193.1.3 其他主体193.2小贷业务个人信息安全合规风险的主要表现203.2.1 个人信息的不当收集、使用203.2.1.1未通过隐私政策明示其收集使用规则203.2.1.2未明示收集使用个人信息的目的、方式和范围213.2.1.3未经用户同意收集使用个人信息213.2.1.4违反必要原则，收集与其提供的服务无关的个人信息213.2.1.5未经同意向他人提供个人信息223.2.1.6未按法律规定提供删除或更正个人信息功能223.2.1.7未公布投诉、举报方式等信息223.2.1.8 个人信息被不当收集、不当使用的列举223.2.2 个

16、人信息被泄露243.2.2.1硬件环境等基础设施建设安全性不高造成个人信息被泄露243.2.2.2个人信息安全防范体系不够强大造成个人信息被泄露243.2.2.3 个人信息控制者内部人员操作造成个人信息被泄露25第4章 案例分析：以A小额贷款有限公司为例264.1公司基本情况264.1.1公司发展背景264.1.2公司组织架构264.1.3 公司贷款产品项目274.1.4公司合作业务模式274.2 自有资金业务模式下个人信息安全合规风险分析284.2.1 自有资金业务模式介绍284.2.2 自有资金业务模式下收集的个人信息284.2.3 自有资金业务模式下个人信息安全合规风险314.3 联合放

17、贷业务模式下个人信息安全合规风险分析324.3.1 联合放贷业务模式介绍324.3.2 联合放贷业务模式下需共享的个人信息344.3.3 联合放贷业务模式下个人信息安全合规风险354.4 流量分发业务模式下个人信息安全合规风险分析354.4.1 流量分发业务模式介绍354.4.2 流量分发业务模式下需共享的个人信息364.4.3 流量分发业务模式下个人信息安全合规风险394.5 三种业务模式下的个人信息安全合规风险对比分析394.5.1 三种业务模式下涉及的个人信息对比分析394.5.2 三种业务模式下个人信息安全合规风险对比分析40第5章 小贷业务个人信息安全合规风险管理建议425.1个人信

18、息安全合规风险管理共同适用的建议425.1.1 个人信息收集合规风险管理建议425.1.2 个人信息共享合规风险管理建议435.2 个人信息安全合规风险管理独有的建议435.2.1个人信息共享合规风险管理建议43参考文献46致谢49个人简历 在读期间发表的学术论文与研究成果50IV第1章 绪论1.1研究背景互联网时代的到来不仅改变了人们的日常生活方式，互联网信息技术也已成为决定经济活动成效的关键因素之一。然而，信息的开发利用虽然为人们提供了极大的便利，相伴而生的信息安全问题却也随着产生。个人信息受到的影响尤为大。现有的信息技术背景下，个人信息的收集、保存、使用、共享、转让、公开披露等个人信息处

19、理活动变得更加便利。个人信息的处理活动，一方面能产生巨大的经济价值和社会价值，另一方面使得个人信息也存在被非法收集、使用和泄露等安全问题。个人信息安全受到极大挑战与威胁，给社会秩序和个人利益带来危害。因此，保障个人信息安全是当前企业发展亟待解决问题之一。在小额贷款企业需要与高风险客户开展信贷业务才能覆盖其管理和运营成本的经营环境下，为了尽可能降低信贷违约率小额贷款公司在用户风险控制、额度授信和贷后法催等业务环节需要利用尽可能多的用户个人信息。用户个人信息不仅包含个人姓名、联系方式等个人基本信息、面部特征等个人生物识别信息、甚至还包括账号密码、财产信息、征信信息等。由于此类业务涉及的个人信息类型

20、比较多，一旦个人信息出现安全问题可能对个人信息主体权益带来重大风险。 1.2研究意义进入信息社会以来，个人信息、行为、数据等被电子化后成为信息元素被汇集成为大数据，也成为了人们人格、信息、财产的无形接口。具体到小额贷款领域，借款人个人信息已成为非常有价值的经济资源，信息技术的进步带来的个人信息被滥用的诸多问题，甚至造成借款人的人身财产损失，也给国家的信息主权带来了危机。故此，企业需加强合规风险管理建设来防范个人信息安全问题，以维护借款人的合法权益。使小贷企业实现稳健经营、审慎发展。因此，本文对小额贷款业务个人信息安全合规风险管理进行研究，就成为一个有意义的研究课题。1.3国内外研究综述1.3.

21、1国外研究现状国外学者关于个人信息安全方面的研究主要集中在如下：早在 90 年代，美国学者 Paul Schwartz 提出个人信息应当属于产权，他认为通过建立信息产权化模型可以将信息通过法律系统形成利益捆绑，通过法律限制一些违法的信息交易行为 Schwartz P. M., “Property, Privacy, and Personal Data,”J. Harvard Law Review, 2004, vol.117, issue.7, p.205.。Richard Posner 提出隐私经济学理论，他认为隐私权与社会富裕程度的提高有着密切的关系，随着社会富裕程度增加，人们便开始希望通

22、过隐匿一些个人信息避免社会负面评价，避免一些商业交易中不利情况，当富裕程度提高至一定程度，便由法律正式确认该权利。当人们隐瞒自身信息而这些信息又被法律所保护，那么这些信息在误导他人时只会增加交易成本 Posner R. A., “The Right of Privacy,” Georgia Law ReviewJ., vol.12, issue.3, 1978, p.393-422.。Helen Nissenbaum 教授认为要保护个人信息则应当对信息收集与传播的场合给予关注，确保信息不会与其发生的场合发生分离 Nissenbaum H., “Privacy as Contextual Int

23、egrity,J.” Washington Law Review, vol.79, issue.1, 2004,p.119-157.。美国律师，对个人信息法律保护有着长期研究的丹尼尔沙勒夫在其专著隐私不保的年代中提出了控制信息论，对保护个人信息安全问题提出了很具操作性的参考建议。他指出作为隐私的个人信息并不符合非黑即白的二元隐私观。对于多数人来说，既不希望自己的隐私成为绝对的秘密，但也不是完全的公开。因此个人信息保护的实质是需要如何控制个人信息的使用，被透露给哪些人以及信息传播的具体途径等 丹尼尔沙勒夫.隐私不保的年代M.南京:江苏人民出版社,2015.。国外学者关于小额贷款的风险管理方面的研

24、究主要集中在小额贷款风险管理的流程分析，Mommartz，Rochus（2006） Morduch.The Micre-finance SchismM.Harvard University.Department of Economics.1991.曾经在他们的风险管理及其背景一文中写到风险管理的基本步骤，他们共同提出，风险管理首先要考量机构的目标、需求以及成本等因素来确定机构存在的风险；第二步是根据机构确定风险带来的最后可能发生损失进行进一步的评估和考量；第三步是统计具体的明细，小额贷款公司必须细致的统计每个不同的业务，便于风险的控制和管理；第四步，坏账的补救，这是减少不良贷款损失的补救过程；

25、最后，小贷公司应该定期对风险管理体系进行升级和完善。早在上世纪九十年代，金融产品的风险管理流程就已经被提出，包括风险管理对金融机构产生的重大意义，同时还提出每家金融机构应该构建属于自己的风险系统来监控风险。在进行风险系统设计的过程中，由于实际核心是借款人的信用风险，所以提出信用评级必须应用在贷款的风险管理当中，以此来确保贷款的资金安全，其中提出贷款风险管理过程必须的几个步骤：风险识别，风险的识别和优化，规划和安排，跟踪和报告，控制和学习。1.3.2国内研究现状国内较早从事个人信息安全研究的专家是周汉华、齐爱民，他们早期对个人信息基本理论的研究为我国个人信息安全保护奠定了基础。基于之前的研究现在

26、国内学者对个人信息的研究已经有了很大的进步，当下我国对个人信息的研究主要集中在以下三个方面的研究，一、对“个人信息”和“个人隐私”本身的概念和特征进行的研究；二、侵犯个人信息安全的主要表现形式；三、保护个人信息安全立法现状和法律保护的研究。（1）对“个人信息”和“个人隐私”本身的概念和特征进行的研究。胡皓渊认为，大数据时代的个人信息由传统意义上的个人资料和因网络活动所产生的个人信息组成，对个人信息的保护构成法律保护网络隐私的关键 胡皓渊.从网络个人信息资料看网络隐私权保护D.华东政法大学,2007.。张新宝教授认为“个人隐私”包括私生活安宁和私生活秘密两个方面 张新宝.隐私权的法律保护M.北京

27、:群众出版社.2004.。个人信息是指与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息，“个人隐私”与“个人信息”两者是交叉关系，即有的个人信息因具有私密性属于个人隐私，公开程度高的个人信息则不属于；有的个人隐私具有识别性属于个人信息，而有的个人隐私也具有识别性但是对其进行保护也会存在难照顾到的情形，因此郭瑜认为可以建立一种新型权利“个人信息权”，进行专门保护 郭瑜.个人数据保护法研究M.北京:北京大学出版社.2012.。徐明教授认为，应当先扩展现有的语境下的隐私权，用隐私权对个人信息进行保护，而不应当在缺乏有效救济手段时而另起炉灶 徐明.大数据时代的隐私危机及其侵权法应对J.中国

28、法学，2017(1):130-149.。（2）侵犯个人信息安全的主要表现形式。王丽萍认为侵犯个人信息安全主要是因为个人信息的不正当收集和不正当使用。 王丽萍.信息时代隐私权保护研究M.济南：山东人民出版社.2008.杨震、徐雷认为侵犯个人信息安全主要是因为个人信息过度收集、不当使用和个人信息泄露，还在文中分析了过度收集、不当使用造成的安全风险的后果 杨震,徐雷.大数据时代我国个人信息保护立法研究J.南京邮电大学学报.2016 ,36(2):1-9.。李德成在其专著中详细分析了在互联网时代个人网络隐私可能为他人非法获取的主要途径：包括 Cookies 文件以及监视软件和识别机制被他人所滥用；被人

29、通过类似“食肉者”和“特洛伊木马”等间谍软件所盗用；或者为第三方在网上泄露、共享 李德成.网络隐私权保护制度初论M.北京：中国方正出版社.2001.。（3）对于保护个人信息安全立法现状和法律保护的研究。岳文婷教授认为当下我国个人信息保护立法缺陷首先应当提高个人信息保护的立法层次，加速专门法立法进程；完善民法中侵权赔偿原则、加大刑事处罚力度；同时设立专门保护机构，完善行业自律 岳文婷.大数据背景下我国个人信息法律保护的完善J.中北大学学报.2017,33(5):60-64.。学者郑毅认为，保护个人信息安全首先应当通过信息分类明确“个人信息”范畴，明确个人信息的人格权和财产权属性，扩大侵犯个人信息

30、安全的主体的追责范围 郑 毅.信息消费时代个人信息安全的法律保护J.郑州大学学报.2014,47(4):54-57.。目前我国对于小额贷款风险管理的研究主要集中在以下三个方面：一、风险管理问题成因的理论研究；二、风险管理模型构建；三、小额贷款法治建设等的相关研究。（1）小额贷款风险管理问题成因的理论研究王曙光（2007）10 王曙光.小额信贷:来自孟加拉乡村银行的启示J.中国金融,2007,04:28-29.指出，当前我国小额贷款公司发展速度非常之快，但是在发展的同时面临如下几个方面的问题：一是当前的小额贷款公司资金来源渠道单一；二是由于特殊的贷款主体导致的信用风险问题；三是行业不成熟导致缺乏

31、相应的监管政策；四是如何在这样一个不稳定的市场环境实现可持续的健康经营。孙晓慧（2013） 孙晓慧.我国农村小额贷款风险管理对策J. 经济纵横,2013,(12):89-92.认为，截止目前为止，我国小额贷款业务开展时间短、增速快、运营模式不成熟，由此导致一系列的问题。主要包括：贷款客户准入门槛低、客户提供担保的方式不完善、贷后管理模式不标准等问题，这些问题最终会导致公司逾期风险高的问题，给企业带来损失。因此要提高准入标准，防范小额贷款行业的风险。（2）小额贷款的风险管理模型的构建申韬（2010） 申韬. 基于软集合的小额贷款公司信用风险评估J. 南方金融,2010,(08):79-82.提出

32、，小贷公司的业务模式为信用消费贷款，因此贷后人员的主要工作时间安排了对客户资质、信用等情况进行审核，小贷公司根据自身发展期对客户的关注点也会有所偏重。根据发展期对小贷公司进行划分，可以将其划分为初期、发展期以及成熟期。不同的发展时期，小贷公司对客户的评估方法不同，侧重点不同。毛军吉、李志德（2013） 毛军吉,李志德. 科技小额贷款市场失灵及其治理基于“信用风险缺口”模型的分析J. 广州大学学报(社会科学版),2013,(07):51-55.指出贷款难、贷款贵问题是制约我国科技型中小企业发展的重要瓶颈，如何有效化解这一问题尤为紧迫。文章从信用风险缺口的视角，结合科技小额贷款市场的需求与供给状况

33、，分别从加强企业信用建设和科技小额贷款机构的信用风险控制两个方面做了探讨，认为其核心就是要解决供需主体双方对贷款信用风险的信息不对称问题，最大限度地缩小信用风险缺口；并据此提出了建立健全科技小额贷款市场的政策建议。罗方科，陈晓红（2017） 罗方科,陈晓红. 基于 Logistic 回归模型的个人小额贷款信用风险评估及应用J. 财经理论与实践,2017,(01):30-35.在研究中构建了二分类 Logistic 信用风险评估模型，运用光大银行某分行样本数据，评估商业银行互联网金融个人小额贷款信用风险。结果显示：客户性别、学历、年龄、收入、职业、属地等因素对个人小额贷款信用风险影响显著。其中，

34、年龄、收入、学历等与客户信用等级呈正向关系，女性信用风险显著低于男性，持有信用卡、存贷比越低的客户其信用等级越高；一、二线城市客户的履约率普遍高于县地级市客户的履约率。鉴于此，商业银行应对互联网金融个人小额贷款信用风险进行有效规避和分散，与其相同的还有郑兰祥，万雪（2014） 郑兰祥,万雪. 基于 Logit 法的我国农村小额贷款公司信用风险评分模型构建研究J. 安徽农业大学学报(社会科学版),2014,(04):49-54.等人的研究。（3）小额贷款风险的法律监管研究小额贷款一直游走于法律边缘，一方面是小额贷款公司自身存在问题，一方面也反映出我国法律监管体系的不完善。因此，小额贷款风险的法律

35、监管研究也是该研究领域的重点关注对象。陶海英（2009） 陶海英. 小额贷款公司相关法律风险分析及解决关于小额贷款公司规则与实践的法律思考J. 中国律师,2009,(05):59-62.设立从事金融服务的小额贷款公司的法律依据不足，经营过程中面临系统性风险、违约风险等，监管主体不明确形成的监管缺失的风险，资金注入渠道单一造成的增资障碍。为了解决这些问题，学者建议：第一，通过引入中介机构的协同创新，对小额贷款公司的经营提供保障；第二，进一步明确监管主体和监管职责；第三，强化内部风险防控机制；第四，适时以营造先进管理制度为着眼点，引进外资等其他投资主体，提高小额贷款公司的管理水平。何平（2010）

36、 何平. 小额贷款公司经营风险的法律控制分析J. 求索,2010,(06):138-140.在研究中指出，小贷公司的经营风险主要来源于信用风险。为了能够对风险进行把控，保护小贷公司的合法权益，我国建立了一套较为完善的法律体系。法律明确表明对贷款进行管理以及融资渠道合规性的问题。但是就目前来说，整套监管体系还有很多不足，需要进一步完善。因此，小贷公司首先需要明确自己的定位、创新性的研究多种产品，积极探索新的制度模式，以保证公司能够持续发展。王建文、熊静（2013） 王建文, 熊敬. 小额贷款公司的法律规制与立法构想J. 国家检察官学院学报,2017,(01):144-153.在研究中指出，贷款行

37、为实质上是一种金融行为，小额贷款公司也带有浓重的金融机构色彩，其经营模式仍采用商业银行旧有运营模式。由于这种特殊性质，小额贷款公司比一般企业更需要接受监管。然而，基于非银行金融机构身份，小额贷款公司不受商业银行法的约束，公司法中也未涉及贷款业务的规定，因而小额贷款公司陷入无法可依的境地。因此，必须对小额贷款公司建立相关的法律规制和监管体系。文章中提到的建议包括：强制发起人承诺制度、严格资本制度、贷款利率的限定、明确注册最低要求等。1.3.3文献综述1.3.3.1国外文献综述从对国内学者的文献整理可以发现，国外学者认为个人信息应当属于产权的权属对个人信息进行了归属、提出了隐私权与社会富裕程度的提

38、高有着密切的关系的隐私经济学理论、个人信息应不与发生的场合分离、对保护个人信息安全问题都提出了很具操作性的参考建议，即个人信息保护的实质是需要如何控制个人信息的使用，被透露给哪些人以及信息传播的具体途径等。对国内的研究有一定的参照意义。从国外学者对小额贷款风险管理流程的研究成果来看，风险管理过程必须有的几个步骤：风险识别，风险的识别和优化，规划和安排，跟踪和报告，控制和学习。这些研究成果为国内学者对小额贷款风险管理方面问题的研究提供了研究思路。但是缺乏对小贷业务个人信息安全合规风险管理方面的研究。1.3.3.2国内文献综述从对国内学者的文献整理可以发现，我国对个人信息安全的研究主要在概念、特征

39、的明晰与区分这类基础领域，如个人信息概念界定、个人信息与个人隐私之间的关系，对个人信息保护应当设立新的权利还是应当用“隐私权”保护。以及侵犯个人信息安全的主要表现形式和保护个人信息安全立法现状和法律保护方面的研究。目前，也已有一些学者将研究的着眼点放在了基于大数据技术所带来的个人信息安全的新问题。国内专家学者也分别从风险管理问题成因的理论研究、风险管理模型构建、小额贷款法治建设等的相关研究等不同的角度对小额贷款业务风险展开研究，取得了相应成果，但是缺乏对小贷业务在个人信息安全方面的合规风险管理方面的研究缺乏。本文基于诸多学者的研究进行总结，从合规风险管理的视角对小贷业务个人信息安全展开研究，为

40、小贷业务个人信息安全合规风险管理方面提供建议。1.4研究内容与研究方法1.4.1研究内容本文的研究内容主要是致力于以案例分析为基础，深入研究小额贷款涉及的个人信息安全合规风险，以期得出科学性和实践性并存的结论。（1）论文第一章主要是绪论部分，讲明了本文的研究背景与研究意义，并对国内外的文献资料及专家学者有关个人信息安全、小额贷款风险管理的观点进行了研究和总结。（2）论文第二章主要阐述了小贷业务个人信息安全合规风险管理的基础理论，解释了小贷业务、个人信息、个人信息安全以及合规风险、合规风险管理的的相关概念，同时对个人信息安全的基本原则、具体要求进行了阐述。（3）第三章主要从小贷业务中个人信息控制

41、者、小贷业务个人信息安全合规风险的主要表现两个方面对小贷业务中个人信息安全合规风险开展分析。（3）第四章以A小额贷款有限公司为例，从公司发展背景、组织架构、运营现状、贷款产品项目、合作业务模式展开分析，深度剖析了该公司的业务现状。并剖析了A公司的业务现状的基础上，深刻分析了三种不同业务模式下的个人信息安全合规风险，并对三种不同业务模式进行分析对比总结。（5）第五章主要是基于上述章节的分析，在个人信息收集、共享方面提出了三个业务模式下所共同适用与独有的个人信息安全合规风险管理建议。1.4.2研究方法（1）文献搜索法：通过查询检索有关小额贷款风险管理、个人信息相关的报刊、书籍、期刊、硕博论文等，同

42、时也采用互联网检索的方式，检索有关小额贷款风险管理、个人信息相关的资讯及商业信息等，研究小额贷款公司在实务中面临的个人信息安全合规风险以及处理方式，同时还对小额贷款业务不同业务模式下涉及的相关个人信息安全合规风险进行了检索。（2）案例分析法：通过收集了解A小额贷款有限公司的运营模式与数据，以此了解A小额贷款有限公司目前的现状和个人信息安全合规风险，分析问题出现的原因，并给出解决问题对应的方案，以此实现A小额贷款有限公司个人信息安全合规风险的有效把控。解决A小额贷款有限公司目前存在的个人信息安全合规风险问题以及为同行业提供借鉴经验。（3）价值分析方法：小额贷款业务个人信息安全合规风险管理需结合实

43、际情况分为三个领域：一是价值领域，二是技术领域，三是业务领域。价值领域是核心精神理念，表现为“应当”或“不应当”的价值判断；技术领域是对个人信息的规制路径、保护原则的规划，表现为“是”或“不是”的技术选择；业务领域从企业具体业务模式场景来判断，表现为“必要”或“非必要”的业务选择。（4）总结归纳法：通过对A 小额贷款公司自有资金、联合放贷和流量分发三种不同业务模式下的个人信息安全合规风险深刻分析及对比分析。最后对小贷业务在自有资金、联合放贷和流量分发三种不同业务模式下个人信息收集、共享方面提出了其所共同适用与独有的个人信息安全合规风险管理建议。8第2章 小贷业务个人信息安全合规风险管理的基础理

44、论个人信息因其能识别到特定个人身份而成为有价值的信息资源，不管是哪个领域都会积累形成规模化的个人信息库，均具有显而易见的经济价值。如何化解个人信息危机、维护信息主体的合法权益成为当今社会面临的重要课题。而在此之前，准确定义个人信息的内涵，划定个人信息的外延范围便是首先需要面对和解决的问题。2.1小贷业务的定义小额贷款业务（小贷业务）主要为由于各种各样的原因被拒之门外（包括：抵押物不符合标准、担保人不具备资格、公司处于起步阶段现金流不稳定以及其他各种原因）处在融资困难的垂死边沿的这类经济体提供贷款。由于小额贷款可以满足这类经济体对小额资金的需求，也就成为越来越受青睐的融资渠道之一。在2008年银

45、监会（现银保监会）、中国人民银行颁布的“关于小额贷款公司试点的指导意见”之后，小额贷款业务这种民间资本的注入变得更加规范，因此小额贷款业务也正式走向金融大舞台。所谓小额贷款，是指在小额信贷基础上发展起来的，主要为中低收入人群和微型、小型企业提供的，贷款金额一般为20万元以下，主要解决一些小额、分散、短期、无抵押、无担保的资金需求的金融服务活动。2.2个人信息的内涵与分类2.2.1个人信息的界定方法个人信息的界定方式主要有两种，一是通过抽象的描述划定一个开放式的标准，即“抽象描述”的界定方法；二是通过列举的方式对个人信息做出硬性规定，即“具体列举”的界定方法。前者多见于各国的个人信息保护制度中，

46、例如：个人信息是指已识别或可识别个人的信息。这种定义方式开放而封闭，且具有弹性，可以灵活适应时代技术的发展。然而，其弊端也是显而易见的。它仅仅通过语义重复的方式描述了个人信息的含义，没有明确指出已识别与可识别的区别。换言之，单独依靠这种方式无法从大量信息中准确找到哪些属于个人信息，哪些属于非个人信息。正是基于开放式标准的不确定性，一些国家和地区同时采取了列举的规定模式。例如：GDPR 第四条第一款在抽象描述了个人信息的含义后，列举了包括姓名、自然人所持有的精神性特征等信息以加强对已识别和可识别概念的具象表达。列举模式虽然避免了不确定性，却由于界定范围相对狭窄导致无法将所有信息类别完整包罗进去。

47、此外，列举模式规定的是一个相对静止的概念，无法满足信息社会的发展变化。一言以蔽之，列举模式即没有给个人信息规定一个完整的概念，也没有向我们展现不属于个人信息范围的方法，无法给予个人以完整的信息权益保护。如上所述，“抽象描述”的界定方法和“具体列举”的界定方法具体化罗列都各有其利弊，单独使用任何一种方式界定个人信息都无法满足个人信息保护法的需要。因此，综合运用上述两种方式描述个人信息的内涵成为了一个不容忽视的选择，欧盟的 GDPR 和我国于2016 年 11 月 7 日发布的网络安全法都采用了抽象概括加具象罗列的个人信息界定模式。2.2.2个人信息的界定范围我国网络安全法第七十六条第五款对个人信息的概念做出了明确规定，即，个人信息，是指以电子或者其他方式记录的能够单独或者与其