11月1日,《个人信息保护法》正式实施,该法对共同处理、委托处理、个人信息转移、其他个人信息处理者共享、自动化决策、公共采集六大场景中的个人信息处理做了规定。对于金融与科技结合最为深入的三大类业务——征信、信用风险管理,线上营销,网点运营影响最大。金融机构需要对照以上六大场景,梳理和审视合规展业所须采取的行动。
10月10日,新金融联盟基于《个人信息保护法》《征信业务管理办法》《数据安全法》等法律法规颁布的背景,召开了“新法规下金融机构的数据合规应用”闭门研讨会,深入讨论金融机构数据合规应用相关问题,以下为成果简报。
2021年10月10日,新金融联盟召开了“新法规下金融机构的数据合规应用”闭门研讨会,中国金融四十人论坛提供学术支持。
建设银行首席信息官金磐石、光大银行(601818,股吧)信息科技部副总经理王磊、北京银行(601169,股吧)首席信息官龚伟华、南京银行(601009,股吧)首席信息官余宣杰、清华大学法学院院长申卫星作主题发言。中国银行(601988,股吧)原行长李礼辉、对外经贸大学数字经济与法律创新研究中心主任许可点评,人民银行相关部门负责人出席并与业界进行了深入交流。来自商业银行、金融科技公司、征信机构的160余位高管通过线上线下参会。与会嘉宾就现行法律体系下金融机构如何保护个人信息、合规地收集和利用数据展开了充分讨论,并提出了有价值的意见和建议。
与会嘉宾均认为,数据安全立法趋严,目的在于平衡产业发展与信息安全,促进数据合理利用。面对新法规,商业银行要高度重视数据安全与个人信息保护,尽快梳理并整改不合规业务与产品,建立健全制度、技术、文化三轮驱动的数据安全治理体系。
多位业界嘉宾希望监管部门针对现行法律出台配套政策,并制定相应实施细则,如细化金融控股集团内部数据共享要求,建立数据保护能力标准体系和算法安全评价体系等,以便金融机构更好地落实监管要求。
新法规旨在平衡发展与安全
一是立法趋严推动产业健康发展。
随着《数据安全法》《个人信息保护法》《征信业务管理办法》相继出台,我国已基本形成以“国家战略-法律法规-部门规章/国家及行业标准”为框架的数据安全立法体系。立法趋严,目的在于保护个人信息权益、规范数据处理活动、促进数据合理利用,为数据要素流通、数据安全技术推广、大数据商业模式创新构筑了法律底线,推动金融业和大数据产业健康发展。
二是厘清信贷风险定价的合规原则。
《个人信息保护法》禁止对个人在交易价格等条件上实行不合理的差别待遇。何谓不合理?与会嘉宾认为,基于个人支付意愿的差异化定价,以及基于种族、民族、特定身份等人格因素的歧视性待遇,属于不合理的差别待遇;金融机构根据个人、企业不同的信用等级给予差异化的信贷利率、担保条件等,属于基于成本的差别待遇,符合法律要求和市场规律。
三是明确征信管理边界和信用信息定义。
《征信业务管理办法》正式将征信替代数据应用纳入监管,并强调从事个人、企业征信业务或信用评级业务均需取得合法资质,金融机构不得与无资质的市场机构开展商业合作获取征信服务。
有嘉宾提示,信用信息定义中的“其他相关信息”,是指为了评价企业、个人金融信用所需要获取的最小必要信息,持牌征信机构可依法直接对此类信息进行收集和使用;对于超出最小必要范围的信息,应取得信息主体知情同意。
银行须强化数据应用的合法合规
一是优化不合规业务和产品。
商业银行应依据《网络安全法》《数据安全法》《个人信息保护法》和《征信业务管理办法》开展全面的自我梳理,暂停不合规业务和产品,尽快优化产品设计和流程标准。建议优先修改超范围收集个人信息的用户协议条款;针对敏感个人信息,在产品流程设计中加入单独授权环节;在智能投顾、精准营销等自动化决策过程中,保障消费者对个人信息评估的自主决定权。
二是防范外部数据处理者风险。
商业银行不应与未持牌征信机构合作获取征信信息;与外部数据源合作时,应重点防范第三方数据处理者因安全合规能力不足而产生的风险。针对数据服务厂商、业务合作方、境内外分支机构等不同类型的合作对象,建立差异化、精细化的数据共享安全合规审批机制。同时,应遵循“最小化”原则引入外部数据,并定期组织安全合规事后评估。
三是积极探索、审慎使用隐私计算技术。
银行科技条线应积极探索多方安全计算、联邦学习、可信计算、差分隐私等隐私计算技术,不断向用户个人信息“可用不可见”方向迈进,在合规实践中寻找数据融合解决方案。同时,建议金融机构审慎使用匿名化、去标识化技术开发大数据产品,严防“伪匿名”导致的数据误用和滥用。
以制度、技术、文化驱动数据安全治理
一是搭建全行数据安全治理体系。
要明确信息处理者和使用者义务,将数据安全与个人信息保护上升至银行内部治理体系层面。
组织架构方面,依法确立个人信息保护的负责人制和主管部门,明确决策、协调和执行三层职责归属,各条线协同落实法规要求。
制度规范方面,建立涵盖信息采集、存储、使用、共享、披露、销毁的全生命周期管理机制;在项目开发的分析、设计、开发、上线等各个阶段,开展信息安全合规评估;针对敏感信息保护、员工行为规范等领域,建立专项管控机制。
与会的建设银行(601939,股吧)、光大银行、北京银行和南京银行相关负责人表示,已在积极搭建数据安全治理体系并初见成效。
二是以技术创新强化数据安全管理。
商业银行要紧跟前沿科技,强化数据安全管理的技术支撑。建立员工行为分析大数据模型,及时识别不合规操作;通过联合建模打破数据孤岛,和政府公共部门、电信运营商、头部电商企业等联合开展风控和反欺诈工作;采用云端集中管控模式,保证数据环境安全可控;建立个人信息智能监测系统,防控用户终端和网络边界数据泄露。
三是重视数据安全文化建设。
央行正在将金融伦理准则纳入金融科技能力评估体系。金融机构要开展金融伦理文化建设,定期进行数据安全和个人信息保护培训和宣传。通过案例警示等形式明确数据安全红线,筑牢个人信息保护人人有责的企业文化;通过引入权威数据安全能力培训和资格认证体系,提升专业人员数据安全素养。
希望监管部门出台配套机制与实施细则
一是明确集团内部数据共享机制。
目前,《个人信息保护法》并未将金融机构母公司、子公司之间的数据共享与一般的第三方共享相区分,集团内部能否在使用目的一致的前提下开展数据共享,仍有待明确。与会嘉宾认为,目前金融控股集团已经受到了严格监管,建议适当放宽其内部数据共享要求,推动成员企业整合数据,以发挥其资源协同优势。
二是开展数据保护能力资质认证。
建议监管部门完善数据保护能力标准体系,通过评估数据处理者和数据使用者的贯标、落标情况,对其进行资质认证,以此来提高进入数据生态的条件,督促商业银行加快推进数据安全能力建设。
三是建立算法安全评价体系。
大数据算法在应用过程中产生了诸多问题,例如算法共振放大市场风险、算法歧视造成“大数据杀熟”等。算法的高复合性、低透明度与快速变化的特征,提高了算法审计的难度。建议监管部门建立算法安全评价体系,加强金融行业算法应用管理。
四是数据跨境实施细则正在制定中。
商业银行与境外分支机构共享数据,或开展“跨境理财通”等常规性业务,需要对批量产生的个人信息数据进行出境审批。为减轻金融机构合规负担,保证业务顺利进行,国家网信部门正在制定相应细则,简化此类数据跨境的审批流程。
此外,针对非关键信息基础设施生产和收集的重要数据,网信部门正在制定相应的出境安全管理办法。
(简报执笔:新金融联盟秘书处 彭斯嘉)
【关于我们】
新金融联盟成立于2016年,致力于打造一个高质量的新金融政策研讨和业务交流平台。成立以来,联盟共组织各类闭门研讨会、优秀企业参访近百场,议题涵盖金融科技、资产管理、普惠金融等方向。部分研讨成果形成报告,呈送给相关部门,推动了业界与监管的沟通交流,助力理事单位的合作共赢。
本文首发于微信公众号:新金融城。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
