关于我们+
产品与服务+
解决方案+
客户案例+
AI创新中心+
投资者关系+
资源中心+
联系我们+
申请演示+
申请演示-
作者:马梅若
来源:金融时报
近日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施。该法经三次审议,于2021年8月20日表决通过,是中国首部个人信息保护的专门性法律。
对金融业而言,《个人信息保护法》的颁布影响深远。近年来,金融科技快速发展,大数据被视为“香饽饽”。在数字经济时代,作为资产的数据能够产生财富效应,谁拥有了数据谁就拥有了资产。然而,在这个过程中,数据的滥采滥用问题日益凸显。
招联金融首席研究员董希淼表示,金融行业属于数据密集型行业,对数据依赖性极强,如何守护好个人信息的‘潘多拉魔盒’,更好地保障数据安全,引导数据向善,是金融业必须面对的重要课题。
“《个人信息保护法》的落地实施,使金融机构对个人信息保护从一般监管要求上升到强制性法律要求,势必将引起金融行业高度重视,促进金融机构进一步强化个人信息保护力度,提升信息安全、数据安全充分保障个人信息主体的各种权利,以满足合规要求。”一位资深业内专家对《金融时报》记者表示。此外,他表示,《个人信息保护法》确定了个人信息处理的明示同意规则,以及个人信息跨境传输规则等。此后,集团型或多级法人的金融机构在对个人信息的跨法人和跨境处理时,需要特别注意防范合规风险。
金融机构迎全流程合规挑战
《个人信息保护法》明确将金融账户纳入个人敏感信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息,要求处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
“《个人信息保护法》在第28条中将金融机构所掌握的客户个人信息归类为‘敏感个人信息’这一特别类型。”上海国际经济贸易仲裁委员会仲裁员汪灵罡表示,金融机构所掌握的个人信息,依据其获取途径和发挥作用地不同,在《个人信息保护法》之下可归于不同的类型,相应地由金融机构进行不同程度的保护。如员工个人信息属于《个人信息保护法》下“个人信息”类型,客户相关信息、业务合作方相关个人信息属于“敏感个人信息”。总体而言,《个人信息保护法》为如何保护以及在什么程度上保护个人信息提供了一个法律框架。
从金融机构的角度来说,董希淼建议,要建立个人信息数据库分级授权管理制度,根据个人信息的重要程度、业务需要、敏感程度等,实行分级管理。例如,对未满十八周岁未成年人的个人信息,作为敏感个人信息予以更严格保护;对需要向境外提供的个人信息,应当通过国家相关部门的安全评估。在个人信息处理过程中,应在技术上对客户信息复制、查询有硬约束,比如建立分级审批、双人控制等要求。
“这要求建设全生命周期的保护,即从敏感个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程采取措施进行全生命周期的保护。”索信达数据管理领域专家韦海晗告诉《金融时报》记者,例如,遵循明确和最小必要原则对个人信息收集进行规范;采用加密等安全措施传输和存储个人敏感信息,避免泄露。
首先,在采集数据时就必须规范。北京金融控股集团有限公司董事长范文仲曾表示,数据的采集者对个人数据的采集要告知客户主体,并明确采集的目的和范围,不能捆绑式、垄断式授权,或者用晦涩难懂的法律文书和停止服务的霸权条款来诱导、强迫客户签订授权协议。授权的范围一定要和服务功能相匹配,不应要求和业务功能无关的隐私数据。对个人生物特征和生活行为数据的采集和识别要特别审慎,必须要有法理的支持。
此外,在具体的数据使用环节,金融机构应尽量不提供与数据个人主体强关联的原始数据。范文仲表示,除了具有法律要求和少量专业持牌机构之外,数据应该经过脱敏处理,降低和个人身份的强耦合关联,尽量进行代码化、指标化处理,同时控制模型风险,保持数据标签使用的有效性和隐私保护的合理平衡。
构建大数据运营服务闭环
当然,强调个人信息保护,并不意味着对相关信息的绝对禁止使用。在对外经贸大学数字经济与法律创新研究中心主任许可看来,《个人信息保护法》并不是去阻止或限制金融行业应用新技术利用个人信息的法律。他表示:“恰恰相反,《个人信息保护法》是想做到个人信息保护和个人信息利用的平衡。”
“法律、法规及监管制度的日益严格以及企业自身发展的内在需求,都促使银行业将数据安全视为重中之重。”韦海晗表示。
不过,数据安全也并非一个孤立的部分。韦海晗表示,数据安全是信息安全体系的一部分,数据安全管理工作贯穿于整个数据管理体系之中,关系到整个数据管理体系的搭建。
在这方面,尽管各家金融机构都相当重视数据治理,但仍存在很多挑战。金融数据治理领域专家赵涵告诉《金融时报》记者:“当前业内普遍存在数据不可知、不可控、不可取和不可联的四类痛点。”他解释称,“不可知”是指业务部门不知道数据有什么用,也不知道业务分析场景要什么样的数据;“不可控”是指业务部门觉得数据部门不亲民,数据部门又不了解业务,发挥不了数据的价值;“不可取”是指内部数据孤岛严重,不同业务部门的数据库各自为政,跨部门使用数据非常困难;“不可联”是指仅仅做数据的收集和统计,没有形成数据之间的有效关联。因此,他建议,做好数据治理必须构建大数据运营服务的闭环。具体来看,首先,构建数据运营服务能力成熟度评价模型框架;其次,依照数据能力评估框架,制定数据服务能力建设任务蓝图,包括渠道、前台、中台、后台、管理层等层面;再次,基于业务数据分布,构建价值地图。此外,制定数据供应主体评估框架,对不同部门及分行进行评价,再生成数字能力建设的管理广告牌。他强调,数据能力评价应完整覆盖数据生命周期的各个环节。
“总之,只有真正用好数据,数据才会产生价值。金融机构打造数据应用良好生态环境,强化数据分析对决策参考能力,应重点从客户服务营销、风险与欺诈行为管控、产品和渠道优化、运营管理优化及合规与内控等方面加强数据应用,指导经营分析决策,支持业务发展。”赵涵表示。
相关媒体报道: