未来,个人金融信息数据保护必将成为金融科技行稳致远的核心要素之一。随着银行数字化转型的持续纵深推进,银行在个人金融信息保护方面面临的形势将日趋严峻,挑战将日益增大。银行需要综合运用多种手段,以更加切实有效的方式强化个人金融信息保护,破解数据要素运用中的业务痛点和技术难点。
数字化发展,既是构筑国家竞争新优势的战略选择,也是满足人民日益增长美好生活需要的重要途径。依托云计算、大数据、人工智能、区块链等技术的不断迭代与演进,数字化发展又促成了金融和科技的完善结合,金融科技不仅改变了金融服务方式和效率,也改变了金融服务内容和质量,甚至改变了金融服务的性质和本质。金融科技的本源是工具,但金融科技与人性结合,便有了善恶,所以,如何划定金融科技的边界,规范金融机构和科技公司的行为,让金融科技增进而不是破坏人们的美好生活?在数字化发展中加强个人金融信息保护的问题,值得深入研究。
个人金融信息保护问题越来越得到重视
个人金融信息的界定
我国近年出台了一系列法律法规和监管要求
从2012年全国人大在法律层面明确个人信息定义,到2020年《个人信息保护法(草案)》(简称“个保法草案”)公开征求意见,我国个人信息保护立法经历了从无到有、从分散立法到统一立法的过程,大致可以分为立法起步、深化和统一三个阶段。
立法起步阶段(2012年至2017年)
此阶段标志是2012年全国人大常委会通过《关于加强网络信息保护的决定》,在法律层面首次确认了对个人信息进行保护的要求;2013年,工业和信息化部出台《电信和互联网用户个人信息保护管理规定》。但此阶段个人信息保护法律法规尚处于起步阶段,不够清晰,各类规定比较零散,有的还在说教层面,执法威慑相对还不够强。
此阶段,个人金融信息保护以监管部门通知为主。如,中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》(2011年)、《关于金融机构进一步做好客户个人金融信息保护工作的通知》(2012年),以及《征信业管理条例》(2013年)和《中国人民银行金融消费者权益保护实施办法》(2016年)等规定中也涉及信息保护内容。
立法深化阶段(2017年至2020年)
此阶段标志是2017年国家颁布《网络安全法》和最高法出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对网络信息管理全面规范,并且通过司法解释明确了个人信息保护的刑法量刑标准。此外,国家的执法力度越来越大。2019年针对爬虫行为开展了集中整治,多家大数据公司因数据违规被查。但此阶段国家尚未出台个人信息保护专门法,法律法规相对分散,系统性不足。
此阶段,个人金融信息保护纳入数据管理框架,监管部门也出台了个人金融信息保护规范。如银保监会发布《银行业金融机构数据治理指引》(2018年),将国家标准《信息安全技术个人信息安全规范》纳入银行业金融机构的合规标准体系;中国人民银行发布《个人金融信息保护技术规范》(2020年),明确了金融行业的信息保护技术标准。
统一立法阶段(2020年起)
在个人信息保护方面的监管执法惩处力度越来越大
银行一直注重个人金融信息保护
在数字化转型发展中,银行个人金融信息保护既属于管理范畴,也属于技术范畴,保护体系有三个共性特征:一是在组织机制上,强化全行统筹管控,建立了多位一体、职责明确的保护机制;二是在防护策略上,聚焦客户隐私维护,坚持个人金融信息收集和使用的“合法、正当、透明、必要”原则;三是在金融科技上,注重技术防控,打造全领域、纵深化的防控体系,从网络通信、系统应用、数据分析挖掘等各层面均有防控措施。
此外,银行近年来一直持续在海外布局,因此高度注重全球个人金融信息数据保护。在全面梳理境外机构所在国家和地区的数据安全和个人信息保护监管法规的基础上,形成全球监管合规库,制定了适合各境外机构的数据安全和个人金融信息保护基线。同时,针对部分国家数据本地化、个人信息加密存储等法律要求,因地制宜、因行施策,通过加密回传加密集中处理或本地部署海外专用核心系统等多种方式,有效遵循了各国的监管要求。
银行个人金融信息数据保护面临的挑战
随着数字化转型步伐的持续加快,个人金融信息在不同系统、产品、业务环节中快速流转,个人金融信息保护管理需要由静态安全为主向数据全生命周期管控动态拓展。未来随着银行数字化转型的持续纵深推进,数据要素的价值创造作用将更加凸显,个人金融信息保护面临的风险与挑战也将史无前例。
金融加速线上化带来泄露新风险
运营加速互联网化带来集中新挑战
监管加速完善趋严提出防护新要求
个人金融信息的数据权益归属问题
个人金融信息具有一定的特殊性。个人金融信息既是个人信息,又涉及公共利益。金融数据合规比一般的个人信息保护更为复杂。例如,《信息安全技术个人信息安全规范》规定,个人信息控制者目的达成后,应及时根据约定删除个人信息。但根据金融监管法律要求,客户身份资料在业务关系结束后、客户交易信息在交易结束后,均要按要求保存一定期限。
采用第三方数据的安全性问题
金融机构的数据或直接收集或由第三方提供。因第三方数据接入的风险点更加复杂,所以,运用第三方接入数据存在几个风险点。
我国个保法草案的适用主体为境内自然人。个保法草案虽然扩大了域外适用范围,但对范围的规定相对模糊和保守。个保法草案的保护主体侧重于个人。我国已处在数字经济跨越式发展阶段,对数据安全、个人信息安全问题更加重视。
我国个保法草案与欧盟GDPR的差异及其对银行的影响
欧盟GDPR将全球个人数据信息的保护和监管提升至更高层级。该条例不仅适用于设立于欧盟境内的主体,在许多情况下还可适用于非设立于、运营于欧盟境内的数据控制者和数据处理者。GDPR强调的监管要求体现出个人信息保护和数据合规的趋势。一是隐私治理。组织在特定情况下应设立数据保护官(DataProtectionOfficer,简称DPO)。组织需建立数据保护政策、隐私设计原则。二是数据保护。禁止数据跨境传输(除非采取适当措施)。对高风险的场景开展数据保护影响评估。三是告知同意。必须获取数据主体的明确同意,且同意清晰可辨。组织须要保留数据处理记录。四是客户权利响应。组织应及时响应客户的权利请求。数据主体拥有知情权、访问权、更正权等多项权利。五是事件响应。必须在72小时内汇报数据泄露事件。
我国个保法草案借鉴了欧盟GDPR等国际经验,同时也坚持从国情出发,在多方面与GDPR存在明显差异,且对银行可能会造成影响。
第一,合法性事由的部分条款规定范围相对更窄,部分兜底性条款则偏宽泛。
对于合法性事由,个保法草案的部分规定范围相对更窄。例如,欧盟GDPR的合法性事由中有以下情形:“对于保护数据主体或另一个自然人的核心利益所必要的”,“为了公共利益或基于官方权威而履行某项任务而进行的”。我国个保法草案则规定,“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”,“为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息”。
对于兜底性条款,个保法草案的规定则相对偏宽泛。例如,GDPR规定的情形为“处理对于控制者或第三方所追求的正当利益是必要的”,并有更细致的指导。个保法草案的兜底性条款为“法律、行政法规规定的其他情形”,并未明确指出其标准,规定偏宽泛,未明确体现正当利益事由。
第二,对罚款金额和执行标准的规定不够清晰。
欧盟GDPR规定的最高罚款为2000万欧元或上一年全球营业额的4%,两者取较高者,还规定了处罚的考量因素。欧盟也会通过指南文件等方式进行更细致的指导。《个人信息保护法(草案)》规定罚款为5000万元以下或上一年度营业额5%以下,但未明确是否为全球营业额,也未详细指导处罚中的具体考量因素。
第三,敏感个人信息处理的合规义务较重。
欧盟GDPR对特殊类型个人数据,实行原则性禁止加例外情形。对于同意的原则和方式,未进行特别规定。而我国个保法草案规定,个人信息处理者可处理敏感个人信息的情形为具有特定的目的和充分的必要性。同时,应取得个人单独同意,还应告知必要性、告知对个人的影响。在需要取得个人单独同意这一点上,个保法草案在合规方面对个人信息处理者的要求较高,企业的合规成本高。
第四,对成本承担的规定不够清晰。
欧盟GDPR规定,控制者应对个人数据提供副本,若任何数据主体要求提供额外副本,控制者可以收取合理费用。我国个保法草案未明确成本的承担问题,仅规定“个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供”。
第五,在自动化决策方面的合规要求较高。
我国个保法草案规定,个人若认为个人信息处理者的自动化决策对其权益造成重大影响,则有权要求予以说明,且个人有权拒绝仅通过自动化决策做出决定。个保法草案还规定,“通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项”。这些要求对个人信息处理者是比较高的,且容易与其他法律产生冲突。如,贷款自动审批类的自动化决策结论如为拒绝客户申请,符合《商业银行法》规定;但客户如依据个保法草案主张拒绝银行的审批结论,此种情况该如何处理,也需要加以考虑和明确。此外,个保法草案要求,在自动化决策中“应当保证决策的透明度和处理结果的公平合理”,但对透明度和公平合理的具体标准规定不够细致,不便于个人信息处理者实际执行。
关于数据跨境的合规要求可能会有较大影响
欧盟GDPR在数据跨境方面,规定了特别告知同意、数据保护标准条款、履行合同必要等多种方式。我国个保法草案则提出了数据跨境的前提条件是要告知个人且取得单独同意。个保法草案还对本地化存储的情形做出了规定。这些规定对跨境经营者会有一定的影响。
总之,从我国个保法草案与GDPR的差异来看,一方面,有些规定对个人信息处理者的合规义务要求较高;另一方面,有些规定不够清晰,执行标准不明确。后续如果完全按此立法实施,可能对国内市场主体履行个人信息处理者的权利义务有一定影响,对银行做好个人信息保护与数字经济创新发展的平衡有一定影响。
进一步强化个人金融信息数据保护的建议
完善保护机制强化合法合规
在数字化时代银行要将数据安全保障特别是个人金融信息保护定位为一项长期性、系统性工程,需要持续完善信息保护机制,构建适应新金融、新技术、新业态的个人金融信息保护体系。同时平衡好创新与管控之间的关系,在平衡中进一步发挥好数据要素的价值创造作用。
提升保护意识强化多元效用
数字化时代银行要将个人金融信息保护定位为一项长期性、系统性工程,需要持续完善信息保护机制,构建适应新金融、新技术、新业态的个人金融信息保护体系。首先凸显协同作用,银行普遍采用传统的科层制架构,而个人金融信息保护需要管理部门、业务部门、科技部门、总分行机构的高度协同,须采用柔性敏捷模式持续提升保护协同性;其次强调理性保护,数据要素是大数据时代银行能够为客户提供更好服务与体验的关键,要强化保护策略和举措的合理性,避免过度保护,在大数据与个人隐私中间找到平衡点,这关乎银行的数字化转型发展,也关乎每个消费者的体验;再次发挥文化力量,银行内部要建立全方位的数据安全保护文化,切实做到有效识别自身关键数字资产要素,制订适当的保护策略和风险缓释计划,将数据保护纳入每位员工的工作职责;最后做好消费者保护教育,承担社会责任,配合政府和社会机构加大对个人金融信息数据安全的教育,推动社会公众意识到个人金融信息保护是维护公民隐私、维护商业利益、维护国家安全的关键所在,每个公民都有义务从自身做起维护包括自身数据在内的数据安全。
探索保护模式强化技术管控
银行要积极利用隐私数据识别、数据加密、安全存储、区块链等技术,构建自主可控、可支撑亿量级客户和高并发交易的数据保护能力,不断提高金融科技服务的安全性,保障用户隐私与资金安全,共同搭建健康安全的金融科技生态圈。
持续探索适应发展的保护模式。银行要认识到未来的保护不是简单的筑高墙式的封闭保护,而是在合法合规使用内外部数据的基础之上,进行的一种开放式的保护,因此要加大技术投入,积极研究运用新兴隐私计算模式,基于多方安全计算、隐私保护、区块链等技术,实现数据可用不可见,解决场景金融发展过程中内外数据协同计算中的数据安全和隐私保护问题,助力安全高效地完成联合风控、联合营销、联合科研等跨机构数据合作任务,驱动业务价值增长;强化战略科技力量,综合利用现代新技术,构建自主可控、可支撑亿量级客户和高并发交易的数据保护能力,使自身为国家数据安全贡献应有的力量。
规范对外合作强化生态建设
总之,未来,个人金融信息数据保护必将成为金融科技行稳致远的核心要素之一。银行需要综合运用多种等手段,以更加切实有效的方式强化保护,破解数据要素运用中的业务痛点和技术难点,然后更好地拓展场景生态、释放数据生产力,让金融科技更加有效地服务实体经济、服务人民的美好生活。