10月10日,新金融联盟举办了“新法规下金融机构的数据合规应用”研讨会,本文呈现了部分精彩内容。演讲嘉宾发言将陆续刊登,敬请关注。

  “过去大家在数据收集与应用上缺乏规则约束,我们也让子弹飞了一段时间,但那种放任自流的发展方式已经不适用当前的形势,建议大家尽快梳理不符合《网络安全法》《数据安全法》《个人信息保护法》以及《征信业务管理办法》的业务,分清轻重缓急,做好整改工作。”10月10日,在新金融联盟举办了“新法规下金融机构的数据合规应用”研讨会上,一位监管部门代表表示。

  在会议上,四位业界代表:建设银行(行情601939,诊股)首席信息官金磐石、光大银行(行情601818,诊股)(601818,股吧)信息科技部副总经理王磊、北京银行(行情601169,诊股)(601169,股吧)首席信息官龚伟华、南京银行(行情601009,诊股)(601009,股吧)首席信息官余宣杰,以及清华大学法学院院长申卫星做了主题发言。中国互联网金融协会区块链工作组组长、中国银行(行情601988,诊股)原行长李礼辉,对外经贸大学数字经济与法律创新研究中心主任许可,以及两位来自监管部门的代表进行了点评。

  来自商业银行、金融科技公司、征信机构的160余位嘉宾通过线上线下(行情300959,诊股)参加了会议。会议由新金融联盟秘书长吴雨珊主持,中国金融四十人论坛提供学术支持。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  研讨会现场

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  数据合规应用面临三大挑战

  《个人信息保护法》《征信业务管理办法》《数据安全法》等一系列法律法规的颁布,对商业银行的组织架构、责任人、制度体系及第三方独立监督等方面提出了颠覆性的要求。部分先知先觉的商业银行已基于数据合规的要求开始调整,但仍有不少问题待解。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  中国银行原行长 李礼辉

  李礼辉分析了数据安全的三个挑战:一是数据治理边界交叉,金融机构、国家机构、科技平台等彼此数据场景交叉,增加了数据安全保护的难度;二是数据安全技术体系滞后,如密码算法、智能合约等技术较易攻破,分布式架构比集中式架构更易发生数据安全问题;三是数据连接的零距离加大了风险。因此,要做好信息安全治理,需要积累新思路、新架构、新技术。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  建设银行首席信息官 金磐石

  “银行是个人信息的集散地,尤其是大型商业银行肩负着保护信息的巨大责任。” 金磐石认为,个人信息保护存在几大难点,一是保护目标泛化,需明确如何合理界定个人金融数据的边界、如何获取个人金融信息的使用权和管理权,以及如何界定企业内个人客户信息的管控职责等。二是数据治理缺少细化的数据操作标准和规范。三是保护的有效性与可持续性需加强,传统保护手段对开放共享环境适应性较差,亟需更灵活更有效的数据保护手段,平衡信息应用和保护。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  银行纷纷重构数据保护体系

  发言嘉宾围绕银行数据合规应用实践做了深入分享。

  金磐石介绍,建设银行的数据保护体系由五个维度构建:一是始于组织,即统一认知,合理分工,细化和落实各部门对应的责任义务,加强协同治理;二是稳于制度,将个人信息保护工作纳入总规划,建立数据安全管理制度体系,明确专项管控机制;三是精于流程,建立了数据分类分级管理流程、数据风险监测预警体系、信息安全事件响应与处置流程,以及业务条线串联交易流程客户信息保护机制;四是强于技术,建设客户隐私授权管理系统,落地个人客户信息智能监测,通过联合建模打破数据孤岛;五是成于文化,定期开展数据安全和个人信息保护宣传,尤其对重点人员明确数据安全红线。

  王磊介绍,光大银行于2021年8月底上线了企业级多方安全计算平台,在集团财富E-SBU的潜在高净值客户联合营销场景应用中落地实施,有效地促进了数据要素融合。在数据共享安全上,随着数据共享场景的快速增长,光大银行针对不同类型的第三方数据处理者,提出严格、差异化的管理要求,并建立数据共享安全合规审批机制。在数据安全运营上,光大银行利用数据安全分析工具,识别出敏感数据进行定级;此外计划建立数据安全审计分析和预警平台,实现总体的监测和预警。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  光大银行信息科技部副总经理 王磊

  龚伟华表示,北京银行启动了数据沙箱建设,基于元数据管理,通过自动化方式向不同类型的数据形成完备性、一致性和权威性的数据市场,灵活完成数据验证和探索,实现安全服务与管控。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  北京银行首席信息官 龚伟华

  余宣杰介绍,南京银行引入了多方外部数据,上线了40多个数据源,110个接口,这些数据的供应商包含政府机构、行业权威机构和第三方数据公司。在外部数据的管理上,南京银行构建了“四个统一”管理体系――统一采购,节约成本,避免重复采购,同时保障数据来源合法;统一数据采集平台,规范数据接入和加密传输;统一存储在大数据平台,保障数据传输和存储安全;统一共享,搭建数据中台、外部数据检索,支持业务部门多主题综合应用,保障数据使用合规。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  何为合理的“差别待遇”?

  李礼辉认为,《个人信息保护法》对数据开发利用、数据安全技术推广,以及数据安全技术利用方面的商业创新是支持的。我们需要考虑的是基于数据应用,如何进行风险定价。《个人信息保护法》规定,自动化决策要保持透明度,结果公平公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

  那么,区别差别待遇合理与不合理的标准是什么?许可表示,如果差异化的定价是基于成本,那就是合理的。《个人信息保护法》所说的“不合理”指的是基于个人支付意愿进行的比价。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  对外经贸大学数字经济与法律创新研究中心主任 许可

  “在信贷定价、担保条件的掌握上,银行根据客户不同的信用等级进行差别定价,符合市场规律,应该不属于不合理的差别待遇,这点希望监管予以明确。”李礼辉表示。

  监管部门代表表示,定价机制是市场化的,银行可以根据客户评级来决定。

  另位嘉宾表示,虽然哪些是合理的差别定价还较为模糊,但是有些方面肯定是不合理的,比如说杀熟。算法的安全应用也是一个世界性的难题,这方面应该加强管理。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  数据出境后怎么管理?

  目前,全球的数据流动监管主要以鼓励国内数据共享,约束跨境数据流动为框架。由于国家安全、国家间法律冲突等问题,各国尚未就数据流动达成一致。在立法取向上,美国强调跨境数据流通价值,欧盟则倾向于保护个人权利。

数据应用旧规则颠覆,银行、科技公司如何应对挑战?

  清华大学法学院院长 申卫星

  谈及我国的数据跨境立法情况,申卫星介绍到,《信息安全技术据出境安全评估指南(草案)》中将自然人、法人和其他组织金融信息列为重要数据,该规定将会对金融数据跨境产生重要影响。部分金融信息可能会被认定为重要数据。《个人信息保护法》第38、39条规定,个人金融信息跨境境三种路径:评估、认证、标准合同;个人信息出境需取得个人单独同意,并告知个人详细情况。《关键信息基础设施安全保护条例》第二条,金融领域一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。个人金融信息运营者存在被认定为关键信息基础设施运营者可能。

  关于数据出境的管理,李礼辉认为有两个关键点有待监管明确:一是银行的境外子公司或分行与境外机构分享管理数据时,应如何处理。二是金融机构在海外上市,面临国外严苛的审计与信息披露规定,应怎样应对。

  会议围绕以上议题进行了深入探讨,多位嘉宾强调,数据应用,合规是前提,只有更好地保护好个人信息安全,才能让金融科技更好地赋能数字化转型,推动银行业发展行稳致远。