11月1日,《個人信息保護(hù)法》正式實施,該法對共同處理、委托處理、個人信息轉(zhuǎn)移、其他個人信息處理者共享、自動化決策、公共采集六大場景中的個人信息處理做了規(guī)定。對于金融與科技結(jié)合最為深入的三大類業(yè)務(wù)——征信、信用風(fēng)險管理,線上營銷,網(wǎng)點運營影響最大。金融機構(gòu)需要對照以上六大場景,梳理和審視合規(guī)展業(yè)所須采取的行動。
10月10日,新金融聯(lián)盟基于《個人信息保護(hù)法》《征信業(yè)務(wù)管理辦法》《數(shù)據(jù)安全法》等法律法規(guī)頒布的背景,召開了“新法規(guī)下金融機構(gòu)的數(shù)據(jù)合規(guī)應(yīng)用”閉門研討會,深入討論金融機構(gòu)數(shù)據(jù)合規(guī)應(yīng)用相關(guān)問題,以下為成果簡報。
2021年10月10日,新金融聯(lián)盟召開了“新法規(guī)下金融機構(gòu)的數(shù)據(jù)合規(guī)應(yīng)用”閉門研討會,中國金融四十人論壇提供學(xué)術(shù)支持。
建設(shè)銀行首席信息官金磐石、光大銀行(601818,股吧)信息科技部副總經(jīng)理王磊、北京銀行(601169,股吧)首席信息官龔偉華、南京銀行(601009,股吧)首席信息官余宣杰、清華大學(xué)法學(xué)院院長申衛(wèi)星作主題發(fā)言。中國銀行(601988,股吧)原行長李禮輝、對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心主任許可點評,人民銀行相關(guān)部門負(fù)責(zé)人出席并與業(yè)界進(jìn)行了深入交流。來自商業(yè)銀行、金融科技公司、征信機構(gòu)的160余位高管通過線上線下參會。與會嘉賓就現(xiàn)行法律體系下金融機構(gòu)如何保護(hù)個人信息、合規(guī)地收集和利用數(shù)據(jù)展開了充分討論,并提出了有價值的意見和建議。
與會嘉賓均認(rèn)為,數(shù)據(jù)安全立法趨嚴(yán),目的在于平衡產(chǎn)業(yè)發(fā)展與信息安全,促進(jìn)數(shù)據(jù)合理利用。面對新法規(guī),商業(yè)銀行要高度重視數(shù)據(jù)安全與個人信息保護(hù),盡快梳理并整改不合規(guī)業(yè)務(wù)與產(chǎn)品,建立健全制度、技術(shù)、文化三輪驅(qū)動的數(shù)據(jù)安全治理體系。
多位業(yè)界嘉賓希望監(jiān)管部門針對現(xiàn)行法律出臺配套政策,并制定相應(yīng)實施細(xì)則,如細(xì)化金融控股集團內(nèi)部數(shù)據(jù)共享要求,建立數(shù)據(jù)保護(hù)能力標(biāo)準(zhǔn)體系和算法安全評價體系等,以便金融機構(gòu)更好地落實監(jiān)管要求。
新法規(guī)旨在平衡發(fā)展與安全
一是立法趨嚴(yán)推動產(chǎn)業(yè)健康發(fā)展。
隨著《數(shù)據(jù)安全法》《個人信息保護(hù)法》《征信業(yè)務(wù)管理辦法》相繼出臺,我國已基本形成以“國家戰(zhàn)略-法律法規(guī)-部門規(guī)章/國家及行業(yè)標(biāo)準(zhǔn)”為框架的數(shù)據(jù)安全立法體系。立法趨嚴(yán),目的在于保護(hù)個人信息權(quán)益、規(guī)范數(shù)據(jù)處理活動、促進(jìn)數(shù)據(jù)合理利用,為數(shù)據(jù)要素流通、數(shù)據(jù)安全技術(shù)推廣、大數(shù)據(jù)商業(yè)模式創(chuàng)新構(gòu)筑了法律底線,推動金融業(yè)和大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展。
二是厘清信貸風(fēng)險定價的合規(guī)原則。
《個人信息保護(hù)法》禁止對個人在交易價格等條件上實行不合理的差別待遇。何謂不合理?與會嘉賓認(rèn)為,基于個人支付意愿的差異化定價,以及基于種族、民族、特定身份等人格因素的歧視性待遇,屬于不合理的差別待遇;金融機構(gòu)根據(jù)個人、企業(yè)不同的信用等級給予差異化的信貸利率、擔(dān)保條件等,屬于基于成本的差別待遇,符合法律要求和市場規(guī)律。
三是明確征信管理邊界和信用信息定義。
《征信業(yè)務(wù)管理辦法》正式將征信替代數(shù)據(jù)應(yīng)用納入監(jiān)管,并強調(diào)從事個人、企業(yè)征信業(yè)務(wù)或信用評級業(yè)務(wù)均需取得合法資質(zhì),金融機構(gòu)不得與無資質(zhì)的市場機構(gòu)開展商業(yè)合作獲取征信服務(wù)。
有嘉賓提示,信用信息定義中的“其他相關(guān)信息”,是指為了評價企業(yè)、個人金融信用所需要獲取的最小必要信息,持牌征信機構(gòu)可依法直接對此類信息進(jìn)行收集和使用;對于超出最小必要范圍的信息,應(yīng)取得信息主體知情同意。
銀行須強化數(shù)據(jù)應(yīng)用的合法合規(guī)
一是優(yōu)化不合規(guī)業(yè)務(wù)和產(chǎn)品。
商業(yè)銀行應(yīng)依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》和《征信業(yè)務(wù)管理辦法》開展全面的自我梳理,暫停不合規(guī)業(yè)務(wù)和產(chǎn)品,盡快優(yōu)化產(chǎn)品設(shè)計和流程標(biāo)準(zhǔn)。建議優(yōu)先修改超范圍收集個人信息的用戶協(xié)議條款;針對敏感個人信息,在產(chǎn)品流程設(shè)計中加入單獨授權(quán)環(huán)節(jié);在智能投顧、精準(zhǔn)營銷等自動化決策過程中,保障消費者對個人信息評估的自主決定權(quán)。
二是防范外部數(shù)據(jù)處理者風(fēng)險。
商業(yè)銀行不應(yīng)與未持牌征信機構(gòu)合作獲取征信信息;與外部數(shù)據(jù)源合作時,應(yīng)重點防范第三方數(shù)據(jù)處理者因安全合規(guī)能力不足而產(chǎn)生的風(fēng)險。針對數(shù)據(jù)服務(wù)廠商、業(yè)務(wù)合作方、境內(nèi)外分支機構(gòu)等不同類型的合作對象,建立差異化、精細(xì)化的數(shù)據(jù)共享安全合規(guī)審批機制。同時,應(yīng)遵循“最小化”原則引入外部數(shù)據(jù),并定期組織安全合規(guī)事后評估。
三是積極探索、審慎使用隱私計算技術(shù)。
銀行科技條線應(yīng)積極探索多方安全計算、聯(lián)邦學(xué)習(xí)、可信計算、差分隱私等隱私計算技術(shù),不斷向用戶個人信息“可用不可見”方向邁進(jìn),在合規(guī)實踐中尋找數(shù)據(jù)融合解決方案。同時,建議金融機構(gòu)審慎使用匿名化、去標(biāo)識化技術(shù)開發(fā)大數(shù)據(jù)產(chǎn)品,嚴(yán)防“偽匿名”導(dǎo)致的數(shù)據(jù)誤用和濫用。
以制度、技術(shù)、文化驅(qū)動數(shù)據(jù)安全治理
一是搭建全行數(shù)據(jù)安全治理體系。
要明確信息處理者和使用者義務(wù),將數(shù)據(jù)安全與個人信息保護(hù)上升至銀行內(nèi)部治理體系層面。
組織架構(gòu)方面,依法確立個人信息保護(hù)的負(fù)責(zé)人制和主管部門,明確決策、協(xié)調(diào)和執(zhí)行三層職責(zé)歸屬,各條線協(xié)同落實法規(guī)要求。
制度規(guī)范方面,建立涵蓋信息采集、存儲、使用、共享、披露、銷毀的全生命周期管理機制;在項目開發(fā)的分析、設(shè)計、開發(fā)、上線等各個階段,開展信息安全合規(guī)評估;針對敏感信息保護(hù)、員工行為規(guī)范等領(lǐng)域,建立專項管控機制。
與會的建設(shè)銀行(601939,股吧)、光大銀行、北京銀行和南京銀行相關(guān)負(fù)責(zé)人表示,已在積極搭建數(shù)據(jù)安全治理體系并初見成效。
二是以技術(shù)創(chuàng)新強化數(shù)據(jù)安全管理。
商業(yè)銀行要緊跟前沿科技,強化數(shù)據(jù)安全管理的技術(shù)支撐。建立員工行為分析大數(shù)據(jù)模型,及時識別不合規(guī)操作;通過聯(lián)合建模打破數(shù)據(jù)孤島,和政府公共部門、電信運營商、頭部電商企業(yè)等聯(lián)合開展風(fēng)控和反欺詐工作;采用云端集中管控模式,保證數(shù)據(jù)環(huán)境安全可控;建立個人信息智能監(jiān)測系統(tǒng),防控用戶終端和網(wǎng)絡(luò)邊界數(shù)據(jù)泄露。
三是重視數(shù)據(jù)安全文化建設(shè)。
央行正在將金融倫理準(zhǔn)則納入金融科技能力評估體系。金融機構(gòu)要開展金融倫理文化建設(shè),定期進(jìn)行數(shù)據(jù)安全和個人信息保護(hù)培訓(xùn)和宣傳。通過案例警示等形式明確數(shù)據(jù)安全紅線,筑牢個人信息保護(hù)人人有責(zé)的企業(yè)文化;通過引入權(quán)威數(shù)據(jù)安全能力培訓(xùn)和資格認(rèn)證體系,提升專業(yè)人員數(shù)據(jù)安全素養(yǎng)。
希望監(jiān)管部門出臺配套機制與實施細(xì)則
一是明確集團內(nèi)部數(shù)據(jù)共享機制。
目前,《個人信息保護(hù)法》并未將金融機構(gòu)母公司、子公司之間的數(shù)據(jù)共享與一般的第三方共享相區(qū)分,集團內(nèi)部能否在使用目的一致的前提下開展數(shù)據(jù)共享,仍有待明確。與會嘉賓認(rèn)為,目前金融控股集團已經(jīng)受到了嚴(yán)格監(jiān)管,建議適當(dāng)放寬其內(nèi)部數(shù)據(jù)共享要求,推動成員企業(yè)整合數(shù)據(jù),以發(fā)揮其資源協(xié)同優(yōu)勢。
二是開展數(shù)據(jù)保護(hù)能力資質(zhì)認(rèn)證。
建議監(jiān)管部門完善數(shù)據(jù)保護(hù)能力標(biāo)準(zhǔn)體系,通過評估數(shù)據(jù)處理者和數(shù)據(jù)使用者的貫標(biāo)、落標(biāo)情況,對其進(jìn)行資質(zhì)認(rèn)證,以此來提高進(jìn)入數(shù)據(jù)生態(tài)的條件,督促商業(yè)銀行加快推進(jìn)數(shù)據(jù)安全能力建設(shè)。
三是建立算法安全評價體系。
大數(shù)據(jù)算法在應(yīng)用過程中產(chǎn)生了諸多問題,例如算法共振放大市場風(fēng)險、算法歧視造成“大數(shù)據(jù)殺熟”等。算法的高復(fù)合性、低透明度與快速變化的特征,提高了算法審計的難度。建議監(jiān)管部門建立算法安全評價體系,加強金融行業(yè)算法應(yīng)用管理。
四是數(shù)據(jù)跨境實施細(xì)則正在制定中。
商業(yè)銀行與境外分支機構(gòu)共享數(shù)據(jù),或開展“跨境理財通”等常規(guī)性業(yè)務(wù),需要對批量產(chǎn)生的個人信息數(shù)據(jù)進(jìn)行出境審批。為減輕金融機構(gòu)合規(guī)負(fù)擔(dān),保證業(yè)務(wù)順利進(jìn)行,國家網(wǎng)信部門正在制定相應(yīng)細(xì)則,簡化此類數(shù)據(jù)跨境的審批流程。
此外,針對非關(guān)鍵信息基礎(chǔ)設(shè)施生產(chǎn)和收集的重要數(shù)據(jù),網(wǎng)信部門正在制定相應(yīng)的出境安全管理辦法。
(簡報執(zhí)筆:新金融聯(lián)盟秘書處 彭斯嘉)
【關(guān)于我們】
新金融聯(lián)盟成立于2016年,致力于打造一個高質(zhì)量的新金融政策研討和業(yè)務(wù)交流平臺。成立以來,聯(lián)盟共組織各類閉門研討會、優(yōu)秀企業(yè)參訪近百場,議題涵蓋金融科技、資產(chǎn)管理、普惠金融等方向。部分研討成果形成報告,呈送給相關(guān)部門,推動了業(yè)界與監(jiān)管的溝通交流,助力理事單位的合作共贏。
本文首發(fā)于微信公眾號:新金融城。文章內(nèi)容屬作者個人觀點,不代表和訊網(wǎng)立場。投資者據(jù)此操作,風(fēng)險請自擔(dān)。
