關於我們+
產品與服務+
解決方案+
客戶案例+
AI創新中心+
投資者關係+
聯繫我們+
申請試用+
申請試用-
作者:馬梅若
來源:金融時報
近日,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正式實施。該法經三次審議,於2021年8月20日表決通過,是中國首部個人信息保護的專門性法律。
對金融業而言,《個人信息保護法》的頒布影響深遠。近年來,金融科技快速發展,大數據被視為“香餑餑”。在數字經濟時代,作為資產的數據能夠產生財富效應,誰擁有了數據誰就擁有了資產。然而,在這個過程中,數據的濫採濫用問題日益凸顯。
招聯金融首席研究員董希淼表示,金融行業屬於數據密集型行業,對數據依賴性極強,如何守護好個人信息的‘潘多拉魔盒’,更好地保障數據安全,引導數據向善,是金融業必鬚麵對的重要課題。
“《個人信息保護法》的落地實施,使金融機構對個人信息保護從一般監管要求上升到強制性法律要求,勢必將引起金融行業高度重視,促進金融機構進一步強化個人信息保護力度,提升信息安全、數據安全充分保障個人信息主體的各種權利,以滿足合規要求。”一位資深業內專家對《金融時報》記者表示。此外,他表示,《個人信息保護法》確定了個人信息處理的明示同意規則,以及個人信息跨境傳輸規則等。此後,集團型或多級法人的金融機構在對個人信息的跨法人和跨境處理時,需要特別注意防範合規風險。
金融機構迎全流程合規挑戰
《個人信息保護法》明確將金融賬戶納入個人敏感信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行踪軌蹟等信息以及不滿十四周歲未成年人的個人信息,要求處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。
“《個人信息保護法》在第28條中將金融機構所掌握的客戶個人信息歸類為‘敏感個人信息’這一特別類型。”上海國際經濟貿易仲裁委員會仲裁員汪靈罡表示,金融機構所掌握的個人信息,依據其獲取途徑和發揮作用地不同,在《個人信息保護法》之下可歸於不同的類型,相應地由金融機構進行不同程度的保護。如員工個人信息屬於《個人信息保護法》下“個人信息”類型,客戶相關信息、業務合作方相關個人信息屬於“敏感個人信息”。總體而言,《個人信息保護法》為如何保護以及在什麼程度上保護個人信息提供了一個法律框架。
從金融機構的角度來說,董希淼建議,要建立個人信息數據庫分級授權管理制度,根據個人信息的重要程度、業務需要、敏感程度等,實行分級管理。例如,對未滿十八周歲未成年人的個人信息,作為敏感個人信息予以更嚴格保護;對需要向境外提供的個人信息,應當通過國家相關部門的安全評估。在個人信息處理過程中,應在技術上對客戶信息複製、查詢有硬約束,比如建立分級審批、雙人控制等要求。
“這要求建設全生命週期的保護,即從敏感個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程採取措施進行全生命週期的保護。”索信達數據管理領域專家韋海晗告訴《金融時報》記者,例如,遵循明確和最小必要原則對個人信息收集進行規範;採用加密等安全措施傳輸和存儲個人敏感信息,避免洩露。
首先,在採集數據時就必須規範。北京金融控股集團有限公司董事長范文仲曾表示,數據的採集者對個人數據的採集要告知客戶主體,並明確採集的目的和範圍,不能捆綁式、壟斷式授權,或者用晦澀難懂的法律文書和停止服務的霸權條款來誘導、強迫客戶簽訂授權協議。授權的範圍一定要和服務功能相匹配,不應要求和業務功能無關的隱私數據。對個人生物特徵和生活行為數據的採集和識別要特別審慎,必須要有法理的支持。
此外,在具體的數據使用環節,金融機構應盡量不提供與數據個人主體強關聯的原始數據。範文仲表示,除了具有法律要求和少量專業持牌機構之外,數據應該經過脫敏處理,降低和個人身份的強耦合關聯,盡量進行代碼化、指標化處理,同時控制模型風險,保持數據標籤使用的有效性和隱私保護的合理平衡。
構建大數據運營服務閉環
當然,強調個人信息保護,並不意味著對相關信息的絕對禁止使用。在對外經貿大學數字經濟與法律創新研究中心主任許可看來,《個人信息保護法》並不是去阻止或限制金融行業應用新技術利用個人信息的法律。他表示:“恰恰相反,《個人信息保護法》是想做到個人信息保護和個人信息利用的平衡。”
“法律、法規及監管制度的日益嚴格以及企業自身發展的內在需求,都促使銀行業將數據安全視為重中之重。”韋海晗表示。
不過,數據安全也並非一個孤立的部分。韋海晗表示,數據安全是信息安全體系的一部分,數據安全管理工作貫穿於整個數據管理體系之中,關係到整個數據管理體系的搭建。
在這方面,儘管各家金融機構都相當重視數據治理,但仍存在很多挑戰。金融數據治理領域專家趙涵告訴《金融時報》記者:“當前業內普遍存在數據不可知、不可控、不可取和不可聯的四類痛點。”他解釋稱,“不可知”是指業務部門不知道數據有什麼用,也不知道業務分析場景要什麼樣的數據;“不可控”是指業務部門覺得數據部門不親民,數據部門又不了解業務,發揮不了數據的價值;“不可取”是指內部數據孤島嚴重,不同業務部門的數據庫各自為政,跨部門使用數據非常困難;“不可聯”是指僅僅做數據的收集和統計,沒有形成數據之間的有效關聯。因此,他建議,做好數據治理必須構建大數據運營服務的閉環。具體來看,首先,構建數據運營服務能力成熟度評價模型框架;其次,依照數據能力評估框架,制定數據服務能力建設任務藍圖,包括渠道、前台、中台、後台、管理層等層面;再次,基於業務數據分佈,構建價值地圖。此外,制定數據供應主體評估框架,對不同部門及分行進行評價,再生成數字能力建設的管理廣告牌。他強調,數據能力評價應完整覆蓋數據生命週期的各個環節。
“總之,只有真正用好數據,數據才會產生價值。金融機構打造數據應用良好生態環境,強化數據分析對決策參考能力,應重點從客戶服務營銷、風險與欺詐行為管控、產品和渠道優化、運營管理優化及合規與內控等方面加強數據應用,指導經營分析決策,支持業務發展。”趙涵表示。
相关媒体报道: