个人数据都被这类企业控制?侵犯个人金融信息罚单181件 银行竟是大户
原标题:个人数据都被这类企业控制着?侵犯“个人金融信息”罚单181件 银行竟是“大户”
数字经济时代,银行难掩“数据”之渴。“银行正在失去获客的阵地,金融不再发生在我们的网点,金融发生在场景中。” 一位金融科技从业者如是说。
与头部互联网平台、政府机构合作将成为银行重要的破局方式。“建立合作的目的不仅仅是共建合作场景,更关键的通过场景来获得客户和数据。”上述人士坦言。但在数据安全与个人信息保护被提上立法议程的情况下,各家金融机构从合作平台和用户处获取数据或将被监管高度关注,合规难度可能增加。
国家金融与发展实验室副主任曾刚向券商中国记者指出,未来对数据权属的明确,或将对整个金融体系的数据中后台建设带来根本性的影响,金融机构的数字化路径可能发生改变。
不同立场之间的博弈
传统业务模式中,银行主要依靠客户自身主动提供和上门访谈获取信息。步入数字经济时代,银行的业务模式已经逐步转向围绕数据展开。“有了数据之后,就可以精细用户画像,业务更能够实现精准营销,也就是获客。”有银行从业人员表示,现在最重要的就是获取数据,然后通过数据找到客户、识别客户。
然而,随着数据重要性不断提高,想尽办法获取数据的银行也被部分用户指责“过度收集个人信息”。深度科技研究院院长张孝荣也质疑,有些银行App的登录设计很微妙,不光要指纹识别,有的还需要人脸识别。“这么做据称是为了安全,难道以前不刷指纹与人脸的时候就不安全了吗?”张孝荣表示,有些银行肆无忌惮的收集用户信息、LBS通信录,甚至调用摄像头相册,“这些权限涉嫌侵犯用户隐私,必须予以纠正”。
与此同时,涉嫌侵犯个人信息的合规性风险也在增加。据移动支付网发布的《中国个人金融信息保护执法白皮书2020》不完全统计,央行在今年开出的行政处罚罚单中,案由涉及“个人金融信息”的共181张,涉罚金额合超1.8亿元人民币,处罚对象包括银行、证券公司、支付机构、消费金融公司等。
从监管处罚的情况来看,无论是处罚金额还是频次上,银行都是涉罚“大户”。从银行类型来看,涉及“个人金融信息”的相关处罚包括国有大行、股份行、城商行、村镇银行以及信用社等。也就是说,银行在这类相关违规问题上具有普遍性,并非某一类银行的问题。
部分业内人士认为,这是市场在便捷性和信息保护之间进行博弈后的选择,而用户作为个人信息的拥有者,也是促成这一结果的“合谋者”之一。“当前,我国民众之所以能够享受高度便利的金融支付服务,很大程度上都是用自身信息安全换来的。”有行业研究人士直言,“也可以理解成,在大势之下,国人也习惯了用一定隐私的暴露来换取生活上的方便”。
用户到底是愿意让渡隐私,还是缺少选择权?有法律人士告诉券商中国记者,用户牺牲个人的一些隐私去换取可享受的消费服务或是便利的电商服务,可能多半是被迫的。“自然人并没有主动愿意牺牲个人隐私去换取享受的便利,很多时候是被动的。”
这位法律人士进一步表示,这也是立法导向的结果。“从立法角度而言,目前国内的法律体系在保护个人隐私方面不够完善、力度不够大”。
随着数据安全和个人信息保护制度的不断完善,这个博弈过程还在继续,但也将变得更加公平。全联并购公会信用管理专业委员常务副主任刘新海表示,从企业的角度来看,数据也是宝贵的资产。“数据信息是不是企业应该开发?从消费者角度看,不涉及个人隐私的信息是不是还能交换?”
刘新海补充说,但作为监管部门,有义务划定底线,做出一个最基本的保护,例如一些特别敏感的数据如何采集、保存和使用,还有涉及儿童等弱势群体的信息保护问题等。
数据权属待明确
从某种程度上来看,不同立场之间博弈的,其实是对于数据权属的争夺。
“目前,各国法律似乎还没有准确界定数据财产权益的归属,大型科技公司实际上拥有数据的控制权。”银保监会主席郭树清日前发表演讲时表示,中国政府已明确将数据列为与劳动、资本、技术并列的生产要素,数据确权是数据市场化配置及报酬定价的基础性问题。“需要尽快明确各方数据权益,推动完善数据流转和价格形成机制,充分并公平合理地利用数据价值,依法保护各交易主体利益”。
对数据权属的讨论由来已久。浙江大学光华法学院互联网法律研究中心主任高艳东近日撰文直言,郭树清恰好点中了当前数字经济的命门:权属未定,产业迷茫。
有律师向券商中国记者指出,目前数据权属迟迟无法明确的主要争议在于:经过企业处理形成的个人数据归谁所有?“企业认为,针对用户的个人画像是凝聚了一定投入成本的产出物,所有权应该在企业。但如果这个数据指向用户个人,被用于向用户精准营销,用户是否有权要求企业删除该数据呢?”
上述律师提到,从国内目前推出的几部征求意见稿来看,其实也显露出与欧盟GDPR趋同的倾向,即“数据所有权仍然归属个人,企业仅拥有控制权,个人可以要求企业停止处理、删除个人数据”。
数据权属问题也受到金融行业的高度关注,尤其对于正在数字化道路上探索的金融机构而言,明确其权利归属所产生的影响或许更加深远而重大。曾刚指出,未来对数据权属的明确,或将对整个金融体系的数据中后台建设带来根本性的影响,金融机构的数字化路径可能发生改变。
例如,数据权属的明确将对数据使用权进行界定,或将决定金融机构的数据使用范围。曾刚对券商中国记者表示,在当前数据使用权尚未明确的背景下,数据的实际控制权在大型科技公司手上,这导致了金融机构朝着这些垄断流量、垄断数据的头部场景靠拢,数据资源也进一步向它们集中。
“这是因为目前对数据的使用是没有限制的,也就是企业实际掌握数据的控制权。”曾刚进一步解释,在这样的前提条件下,各行各业的数字化转型基本上围绕这些掌握数据的企业展开。“换句话说,由它们去为金融行业赋能,实际上就是基于它们所掌握的庞大数据量,说是技术赋能,但技术谁都有,数据才是最核心的”。
有某持牌消费金融公司人士也向记者表示,金融机构应该注意到,随着个人信息保护相关政策法规的逐步完善,强监管环境下越来越强调企业相关资质的重要性,个人信息处理的持牌化,也将是必然趋势。
“有一种潜在可能是,监管后续或将对不同持牌机构的数据使用权作出不同规定,也就是说,首先要持有牌照,才能拿到数据在某些领域的使用权,如果没有,就无法使用。”曾刚推测,当前围绕头部场景展开的数字化路径可能就会被打破,继而更多的机构可能会更加重视自建场景和数据获取渠道。
外部合作数据引关注
据了解,银行业的数据可以笼统分为来自内部体系和外部接入的数据,得益于银行较为规范的内控体系,内部数据的保管较为严谨,接入外部数据这一合作模式则受到更多的关注。
有大行资深从业人员告诉记者,银行内部对个人信息的保管制度已经较为完善。具体而言,在客户资料的保管上,客户经理必须要设置密码对其进行保管。“这方面管理很严,也会定时检查与抽查,甚至搞突袭检查。”
此外,银行内部也规定了员工不能在内部单独查询客户信息,如果需要查询必须在说明理由后由主管授权。同时,主管不能操作柜员的系统。
一些内控方面的规定也进一步降低了信息通过内部人员流出的可能性。“近期,也有不允许员工对着系统屏幕拍照的通知下达。”券商中国记者从某大行人士处了解到,大型银行在内控上十分重视保密工作,对于客户资料只能在内部传递,要求不允许外传。
不过,宁人律师事务所金融与科技委员会副主任马军指出,银行这方面的内控仅侧重信息保管方面,而对个人信息数据的使用仍缺乏完善的制度体系。他介绍,银行需要满足网络安全等级保护测评的要求,俗称“等保测评”,“但这个测评侧重于技术层面,对法律合规性层面缺乏要求”。
但随着法律法规的完善,银行业在外部合作的数据获取和使用方面,可能会获得监管更高的关注。曾刚告诉记者,“未来如何强化对合作方的管理以及满足外部数据合规性审查等,也可能是未来银行需要重点考虑的问题”。
“近年来,银行在互联网端的业务发展迅速,内部数据很难完全满足展业需求,因此银行一直在拓展场景、接入外部数据。目前,银行通过自建场景获取的数据还比较少,更多的还是与主流的头部互联网平台进行对接以获取数据。”他举例介绍,比如现在广泛讨论的“开放银行”,在与场景方对接的过程中,如果外部接入的数据提供方无法满足数据安全和保护方面的合规要求,就可能将合规风险传导到银行。
“所以,强化合作的外部数据提供方可能是银行下一步要去重点关注的。”曾刚建议,银行在选取合作方时,可通过建立白名单等方式严格准入要求,同时在使用数据时也要紧紧围绕监管要求来展业。
中小银行或面临更大挑战
“一些中小银行受限于自主研发能力,也在寻求其他利润合作联盟的方式和与金融科技企业合作,利用第三方的资源。”12月11日,国务院参事、银保监会原副主席王兆星在“第四届中国数字银行论坛”上指出,这可能是下一步中小商业银行选择之一,但也蕴含很多不确定因素和风险。
曾刚也坦言,相比大行来说,中小银行数据治理能力相对较差,在合规使用外部数据方面问题较多,加上在合作关系中不如大行强势,可能存在更多的风险。“很多国有银行、股份制行的数据治理很多年前就开始了。”
曾刚指出,数字化的核心是要把数据打通,过去银行数据是“烟囱式”的,数据汇集在各个部门,但各个部门之间没有一个共同的平台将数据以标准的格式统一。“这也就导致很多银行有大量的数据,但却没法用”。也即是说,大型银行梳理和构建数据基础的行动比中小银行早得多,也走得相对更远。
未来,中小银行也应参考大银行的一些标准,逐步建立起涉及外部合作准入的一些要求。“国家在数据安全方面也可能会出台一些政策,去积极构建与之相应的一些风险管理要求,也能够及时的把在外部数据对接方面出现的风险进行有效防控。”曾刚表示。
“很多中小银行的数字化做不起来,除了人才团队、业务意识和技术因素外,还有一个原因就是数据不过关。”亦有城商行人士表示,但银行的数字化建设知易行难,就以数据治理为例,不仅需要漫长的工作积累,还需要内部协同。
“从根本上来说,中小银行还是要提高自主意识,在个人信息保护的方面加强技术与合规团队的建设。”马军表示,一些地方性中小银行“技术靠别人、咨询也靠别人,自主意识特别弱”。此外,银行体系内部常常“法务部门不管技术部门,技术部门不管法务部门”,他指出,“必须有两部门的统一协调,银行才能建立起较为完善的个人信息保护制度”。
法律制度尚待细化
当谈到行业规范会不会对银行的数字化转型进展产生影响时,多位业内人士向记者表示,合规是使行业变得有序的过程,能够促使企业在有法可依的范围内更好、更安全地使用数据,与发展是相互促进的良性循环。
一位支付机构人士表示,实际上,对于头部企业来说,信息泄露事件对品牌和口碑都有负面影响。所以,“它们其实很愿意提高合规能力”。亦有律师指出,“过去野蛮生长的状态下,金融机构也非常担心被罚,特别是一罚就是上千万的顶格处罚”,如果法律法规层面逐渐完善,虽然会增加金融机构的合规成本,但其违法成本也会降低,“因为行业终于‘有法可依’了”。
但目前,监管层面还缺乏更细化的规章和明确的分工。有法律人士表示,虽然《数据安全法(草案)》中提到,由行业主管部门来进行数据安全的监管,但不同部门可能出现监管的交叉重叠,例如由于目前颁布的相关草案较为笼统,行政机关和执法机关如何分工等尚未明确,所以不排除有可能会多头交叉监管。他补充,这点也还需要按进一步的部门规章如何细化。
马军也认为,从监管现状来看,确实存在各部门管辖权界定不清,造成一些部门“各处插手”,结果“九龙治水”的问题。但马军指出,多头监管也不一定是问题所在,而是趋势所向,因为个人信息保护制度的建立必然需要各部门分工合作。
刘新海表示,因为中国幅员辽阔,在一个基本的法律框架下,不同地区、不同行业对数据的积累程度和需求情况各有不同。“经济发达地区,有些监管需要更加严格,经济不发达地区可以宽松一点,支持其发展,每个行业也有各自特性,对数据敏感程度不一。因此各部门、各地方政府后续结合各自特征再推出细化的规章制度或许是更符合现实的考量。”
此外,刘新海还提到,除了法律规章外,要完善个人信息保护制度还需“软硬兼施”。他指出,很多信息泄露事件是发端于快递员、电商平台小商家等环节,对于这类情况很难仅通过上层法律设计进行约束,而需要建立起职业道德教育、监督惩罚机制等配套设施。“简而言之,个人要教育、平台要约束、司法要跟进,这个过程需要慢慢完成,相信未来也会慢慢完善。”
(文章来源:券商中国)