作者���:马梅若
来源��:金融时报
近日���,���,���,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施��。���。���。该法经三次审议���,��,于2021年8月20日表决通过���,���,��,是中国首部个人信息保护的专门性法律���。��。
对金融业而言���,���,《个人信息保护法》的颁布影响深远���。���。近年来���,���,���,金融科技快速发展��,���,大数据被视为“香饽饽”���。��。���。在数字经济时代��,���,��,作为资产的数据能够产生财富效应��,��,谁拥有了数据谁就拥有了资产���。��。���。���。然而���,���,���,���,在这个过程中���,���,���,数据的滥采滥用问题日益凸显���。���。
招联金融首席研究员董希淼表示���,���,���,���,金融行业属于数据密集型行业���,���,���,��,对数据依赖性极强���,���,��,如何守护好个人信息的‘潘多拉魔盒’���,���,��,���,更好地保障数据安全��,���,���,���,引导数据向善���,���,是金融业必须面对的重要课题���。���。���。
“《个人信息保护法》的落地实施���,��,���,使金融机构对个人信息保护从一般监管要求上升到强制性法律要求���,��,���,势必将引起金融行业高度重视���,���,���,���,促进金融机构进一步强化个人信息保护力度���,���,提升信息安全���、��、���、���、数据安全充分保障个人信息主体的各种权利���,���,���,以满足合规要求���。��。���。���。”一位资深业内专家对《金融时报》记者表示���。��。���。此外���,���,他表示��,���,���,《个人信息保护法》确定了个人信息处理的明示同意规则���,���,��,��,以及个人信息跨境传输规则等���。���。���。���。此后���,���,���,集团型或多级法人的金融机构在对个人信息的跨法人和跨境处理时���,���,��,���,需要特别注意防范合规风险��。��。���。��。
金融机构迎全流程合规挑战
《个人信息保护法》明确将金融账户纳入个人敏感信息���,���,���,���,包括生物识别���、���、宗教信仰���、���、��、特定身份���、���、���、医疗健康��、���、金融账户��、���、行踪轨迹等信息以及不满十四周岁未成年人的个人信息���,���,要求处理敏感个人信息应当取得个人的单独同意��;法律���、���、��、���、行政法规规定处理敏感个人信息应当取得书面同意的���,���,从其规定���。���。
“《个人信息保护法》在第28条中将金融机构所掌握的客户个人信息归类为‘敏感个人信息’这一特别类型���。���。���。���。”上海国际经济贸易仲裁委员会仲裁员汪灵罡表示���,��,���,金融机构所掌握的个人信息��,���,依据其获取途径和发挥作用地不同���,���,���,在《个人信息保护法》之下可归于不同的类型���,���,���,���,相应地由金融机构进行不同程度的保护���。���。��。���。如员工个人信息属于《个人信息保护法》下“个人信息”类型���,���,��,���,客户相关信息���、���、业务合作方相关个人信息属于“敏感个人信息”��。��。���。总体而言���,���,《个人信息保护法》为如何保护以及在什么程度上保护个人信息提供了一个法律框架���。���。
从金融机构的角度来说���,��,董希淼建议���,���,��,���,要建立个人信息数据库分级授权管理制度���,���,���,根据个人信息的重要程度���、��、��、业务需要��、���、敏感程度等���,��,实行分级管理���。���。例如���,��,���,���,对未满十八周岁未成年人的个人信息���,���,作为敏感个人信息予以更严格保护���;对需要向境外提供的个人信息���,��,应当通过国家相关部门的安全评估��。���。���。��。在个人信息处理过程中��,���,应在技术上对客户信息复制��、���、���、查询有硬约束���,���,比如建立分级审批���、��、���、双人控制等要求���。��。���。
“这要求建设全生命周期的保护���,���,即从敏感个人金融信息的收集���、���、���、传输���、���、���、���、存储���、���、���、使用���、���、删除���、���、���、销毁等处理的整个过程采取措施进行全生命周期的保护���。��。��。”索信达数据管理领域专家韦海晗告诉《金融时报》记者���,��,��,例如��,��,遵循明确和最小必要原则对个人信息收集进行规范��;采用加密等安全措施传输和存储个人敏感信息���,���,避免泄露���。���。
首先���,���,在采集数据时就必须规范���。���。���。���。北京金融控股集团有限公司董事长范文仲曾表示��,���,���,数据的采集者对个人数据的采集要告知客户主体���,���,并明确采集的目的和范围��,���,不能捆绑式���、���、垄断式授权��,���,���,���,或者用晦涩难懂的法律文书和停止服务的霸权条款来诱导���、���、��、强迫客户签订授权协议���。���。���。授权的范围一定要和服务功能相匹配���,���,不应要求和业务功能无关的隐私数据���。���。���。���。对个人生物特征和生活行为数据的采集和识别要特别审慎���,���,必须要有法理的支持���。���。
此外���,���,���,���,在具体的数据使用环节���,���,金融机构应尽量不提供与数据个人主体强关联的原始数据���。���。���。范文仲表示���,��,��,除了具有法律要求和少量专业持牌机构之外��,���,数据应该经过脱敏处理���,���,降低和个人身份的强耦合关联���,���,��,���,尽量进行代码化��、���、��、指标化处理��,��,���,同时控制模型风险���,���,���,��,保持数据标签使用的有效性和隐私保护的合理平衡���。���。���。��。
构建大数据运营服务闭环
当然���,��,��,���,强调个人信息保护��,���,并不意味着对相关信息的绝对禁止使用���。���。��。在对外经贸大学数字经济与法律创新研究中心主任许可看来���,���,《个人信息保护法》并不是去阻止或限制金融行业应用新技术利用个人信息的法律���。��。他表示���:“恰恰相反���,��,���,《个人信息保护法》是想做到个人信息保护和个人信息利用的平衡���。���。���。”
“法律���、���、���、法规及监管制度的日益严格以及企业自身发展的内在需求���,���,���,都促使银行业将数据安全视为重中之重���。��。���。��。”韦海晗表示���。���。��。���。
不过���,���,��,数据安全也并非一个孤立的部分��。���。韦海晗表示���,���,���,数据安全是信息安全体系的一部分���,���,数据安全管理工作贯穿于整个数据管理体系之中���,��,���,关系到整个数据管理体系的搭建���。���。��。
在这方面���,���,���,���,尽管各家金融机构都相当重视数据治理��,��,��,��,但仍存在很多挑战���。���。���。���。金融数据治理领域专家赵涵告诉《金融时报》记者��:“当前业内普遍存在数据不可知���、���、���、��、不可控���、���、���、���、不可取和不可联的四类痛点��。���。���。”他解释称���,���,“不可知”是指业务部门不知道数据有什么用��,���,也不知道业务分析场景要什么样的数据���;“不可控”是指业务部门觉得数据部门不亲民���,���,��,���,数据部门又不了解业务���,���,发挥不了数据的价值���;“不可取”是指内部数据孤岛严重���,���,���,不同业务部门的数据库各自为政���,��,跨部门使用数据非常困难���;“不可联”是指仅仅做数据的收集和统计���,���,���,���,没有形成数据之间的有效关联���。���。因此���,���,���,���,他建议��,��,���,���,做好数据治理必须构建大数据运营服务的闭环��。��。���。具体来看���,���,首先���,���,构建数据运营服务能力成熟度评价模型框架���;其次���,��,依照数据能力评估框架��,��,���,���,制定数据服务能力建设任务蓝图��,���,��,包括渠道��、��、���、前台���、���、��、���、中台���、���、后台���、��、���、���、管理层等层面��;再次���,��,���,���,基于业务数据分布���,���,��,��,构建价值地图���。���。���。���。此外���,���,���,制定数据供应主体评估框架��,���,���,对不同部门及分行进行评价���,���,���,���,再生成数字能力建设的管理广告牌���。���。���。他强调���,���,数据能力评价应完整覆盖数据生命周期的各个环节���。��。���。
“总之���,���,只有真正用好数据���,���,��,���,数据才会产生价值��。��。���。���。金融机构打造数据应用良好生态环境���,��,���,强化数据分析对决策参考能力���,���,��,应重点从客户服务营销��、���、���、���、风险与欺诈行为管控���、���、��、���、产品和渠道优化��、��、���、���、运营管理优化及合规与内控等方面加强数据应用��,���,��,���,指导经营分析决策���,���,支持业务发展��。��。���。���。”赵涵表示���。���。���。���。
相关媒体报道��:
