个人金融信息数据保护的无界与有界
Fintech的八宝粥2021/2/20 9:59:00

1月29日,银保监会开出2021年第一张罚单,中国农业银行因涉及发生重要信息系统突发事件未报告、重要信息系统突发事件未报告、数据安全管理粗放存在数据泄露风险、互联网门户网站泄露敏感信息等六项问题,被罚420万人民币。据《中国个人金融信息保护执法白皮书(2020)》不完全统计,截至2020年10月25日,中国人民银行总行及各地分支行开出的行政处罚罚单里,涉及“个人金融信息”的共181张。这181张罚单罚款金额合计超过人民币1.8亿元。

今年人民银行金融科技委员会的工作计划之一就是出台新阶段金融科技发展规划,加快推动金融数字化转型,发挥“技术+数据”双轮驱动作用,助力构建适应数字经济发展的现代金融体系。数据监管将成为未来监管的重点领域。

时代的发展与进步,总是伴随着饱含激情的创新和难以预见的颠覆。

近十年来,数字化转型成为具有颠覆效应的全球金融机构战略发展现象。

2017年前后,中国的金融机构特别是银行业相继拉开数字化转型大幕,并在有形与无形之间,将数字化转型及金融科技发展位列战略之首。

传统金融机构也好,互联网巨头也罢,均是凭借着技术、场景和流量三大抓手打通金融科技脉络,在随时、随地、随心触达客户的金融服务中,重新定义原本直线型的产业链,重新划分客户群体,让基于消费习惯、行为习惯的客户画像成为精准营销的标配,让生物特征等个人数据赋能体验,让金融面向长尾客户更加普惠。

这些阳光的正能量离开不数据。

数据是数字化时代的生产资料,如何合法合规使用客户的个人金融信息数据,既是金融机构数字化转型的核心动力之一,也是高质量发展中必需面对的边界和尺度。

时代洪流中,以“数”之名,唯有做好个人金融信息保护,使其“有界”,方能在充满无限可能的数智新世界,真正“无界”。

“无界”的缘起和AB面

千禧年前后,比尔·盖茨的银行恐龙论甚嚣尘上,此后二十年间,科技圈名人多次断言传统银行业的衰落。

大佬们并非仅仅忧虑银行跟不上技术的浪潮,更多的担心来自于银行业无法从工业时代的经营逻辑转变为互联网时代的思维。

从15世纪威尼斯河畔走来的现代银行,在工业大生产时代中发展壮大,强调的是精准可控与流程标准,相应的科技产品是“以银行为中心”。

数字化时代复杂性与不确定性指数级增长,用户与市场充满了不确定性,工业时代的思维终将消逝在时光中。用户在哪里、用户的喜好、行为和需要,破解一切的不确定性终究要诉诸于数据。

因为数据的存在,消费互联网时代的C端用户和产业互联网时代的B端用户,他们既是产品的使用者,也是产品的缔造者。

互联网巨头们创造出的场景金融生态和基于数据的风控体系,本质在于始终以用户为核心,在获取用户大量数据后,在与用户共同进化为新物种,过程中产生的粘性成为价值来源的核心所在。

未来只有两种公司,一种造流量,一种买流量,没有人愿意成为买流量的那一个。这是近年来银行大力发展场景生态的原生动力。

对于银行,经营客户的时代过去了,经营流量、经营内容才有未来。

当前,中国的移动支付普及率和规模位居全球首位,基本金融服务覆盖大江南北;数字信贷彻底改善了对小微、农户、个体工商户的金融普惠;覆盖10亿人的基本养老,实现13亿人跨省结算的基本医疗保险,得益于数字保险显著拓宽了保险的覆盖范围;依靠信贷数字化工具,金融。机构精准帮扶脱贫攻坚。2020年的抗疫中,“非接触式”金融科技服务,安全便捷的“在家”金融产品,保障了全社会的基本金融业务,互联网绿色金融通道大幅提高金融服务时效,支持各类企业迅速复工达产。

突如其来的新冠疫情在对经济产生冲击的同时,客观上全社会“被迫”参与了一场全面数字化的实验,加速推动了数字化进程的发展,中国经济发展呈现出全要素数字化特征,移动互联、数据智能渗透进个人、企业、政府行为的方方面面。“金融服务无所不在,就是不在银行网点”,这是《Bank 4.0》中对未来银行发展的预判。

当后疫情时代与《Bank 4.0》的时代叠加,在金融服务领域,数字化的工具方法、思维模式与发展理念将延续并深化,新经济催生数字化融资模式,新需求驱动多元化金融服务,新技术促进智能化金融创新。在这些“新”变化中,个人金融信息的经济价值将更加凸显。

这些“新”变化对于塑造后疫情时代的中国社会意义深刻,并与数据息息相关,这是个人数据特别是个人金融信息数据“无界”的缘起,也是数据于金融科技的A面。

有A面必有B面。

数据的洪流倾然而至,个人数据在这个庞然大物面前显得格外微弱,不断爆发的各种隐私泄露门、数据变卖门、非法使用门,让大众的情绪逐渐爆发,一切直指个人信息,数据保护。

2019年7月29日,美国第七大银行、世界第五大信用卡签发方第一资本银行(Capital One)数据库遭黑客攻击,约1.06亿银行卡用户及申请人信息泄露,成为美国历史上最大规模的银行数据泄露事件,可能给该行带来1亿至1.5亿美元的损失。

2020年上半年,国内一家知名银行分支机构在未经客户授权同意的情况下,向第三方提供客户的个人银行账户交易明细,引发社会广泛关注。事发后,银保监会认为该银行分支机构违背了为存款人保密的规定,并且严重侵害了金融消费者的信息安全保障权益。

据统计,最近几年个人金融信息泄露事件的年增长率高达35%,2020年中国互联网理财用户规模将达到6.05亿,若该领域个人数据安全事件愈演愈烈甚至失控,将对行业及社会层面造成不可估量的损失,这也显现出在保障金融消费者个人数据安全及相关权益方面,金融机构面临着前所未有的挑战。

B面的弊端已无需赘言,B面的缘起却需探究。

究其根源在于三点:

数据为王的必然行为

基于“数据为王”的认知,金融科技机构大量收集个人金融信息,并运用技术手段描绘出包括人口统计学特征、消费能力数据、兴趣数据、风险偏好等内容的客户画像。这些举措在为金融消费者带来便利的同时,也因各种管理强化措施不到位,或是道德风险防范不到位,造成了一些人借此机会非法收集他人的信息、甚至是滥用和泄露个人金融信息等问题。

赢者通吃的野蛮生长

大型科技公司往往利用数据垄断优势,暗暗裹挟重要金融基础设施的特征,阻碍公平竞争,获取超额收益。2019年美国司法部和联邦贸易委员会从开始对Facebook等科技巨头进行反垄断调查。比如,Facebook收购WhatsApp时曾承诺保持其数据独立性,但几年后试图融合双方数据,实现自身商业利益。这一行为引发了社会公众对隐私保护的担忧。

中国发展的特殊过往

中国“金融科技”经历了“互联网金融”阶段,由于从事“互联网金融”业务的非持牌的P2P等互联网企业在过去几年出现了忽视金融本质、风险属性和必要监管约束的现象,引发了严重的金融消费者保护风险和监管套利风险,其中以技术之名的个人数据滥用就是其中的典型。

A面B面,数据是把双刃剑。

“有界”的欧美实践和中国探索

2018年5月,欧盟出台《通用数据保护条例》(General Data Protection Regulation,下称GDPR),旨在为整个欧洲创建统一的数据隐私法,保护所有欧盟公民权益。

其前身是欧盟在1995年制定的《计算机数据保护法》,并在许多重要方面做出修改。对于数据主体权利、数据处理者义务、数据监管范围等作出了明确的规范和要求,其中个人权利、数据传输规定、监管范围和惩罚力度等较之前有较大变化,被称为史上最严格数据保护法。

GDPR定义了何谓敏感——涉及以下一种或一种以上类别的个人数据视为敏感数据,包括种族民族、政治观点、宗教哲学信仰、工会成员身份、健康及性取向、基因数据、经处理可识别的特定个人生物识别数据。值得关注的是基因数据和生物识别数据首次被提及,二者一直被视为金融科技身份认证、KYC、风控等领域的硬核力量。

GDPR明确了违反的代价——企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可;网站经营者必须事先说明会自动记录客户的搜索和购物记录,并获得用户的同意,否则按“未告知记录用户行为”作违法处理;明文规定了用户的“被遗忘权”,即用户个人可以要求责任方删除关于自己的数据记录;对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。

2018年5月28日报道,Facebook和谷歌成为GDPR法案下第一批被告;2019年7月8日,英国航空公司因为违反《一般数据保护条例》被罚1.8339亿英镑(约合16亿元人民币)。

GDPR实施一年多以来,对于欧洲金融机构的直观影响主要在合规成本上升和数据传输受限,对于数据商业价值挖掘的潜在影响尚未凸显。

GDPR对于我国建立健全个人数据安全保障制度有着重要的参考价值,也警示了我国的金融机构和金融科技互联网巨头数据处理的不足。

在互联网科技发展迅猛的美国,早在1999年互联网泡沫时期,就发布了格雷姆-里奇-比利雷法案(Gramm–Leach–Bliley Act,GLBA),明确金融机构应保障客户信息的安全性与保密性。此外,美联储、美国联邦金融机构研究委员会等行业监管机关也发布了《客户信息保护标准》、《消费者金融信息隐私》等一系列金融行业实施细则。

近十年来,无论是在野蛮生长的互联网金融时代、还是在未来已来的数字化转型浪潮中,我国从司法、监管到行业,从未停止过对个人金融信息安全保护的探索。

2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》首次明确了个人金融信息的概念与范围,确立了使用原则和基本保护框架。

2015年《刑法修正案九》将“侵犯公民个人信息罪”作为现行《刑法》第二百五十三条之一,明确严重侵害个人金融信息的行为会受到刑事处罚。

2016年《中国人民银行金融消费者权益保护实施办法》在拓展金融机构外延时,相应扩大了“个人金融信息”的范围,同时对个人金融信息保护做出专门规定。

2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了“个人信息”的概念以及侵犯个人信息罪的具体定罪量刑标准。

2019年央行《金融科技(FinTech)发展规划(2019-2021年)》中提出建立金融信息安全风险防控长效机制,研究制定金融信息全生命周期管理制度和标准规范,加强金融信息安全防护,健全金融信息安全管理制度”。

2020年2月央行发布《个人金融信息保护技术规范》,为金融机构加强个人信息保护的合规建设和金融监管机构的监督、执法工作提供参考。

将于2021年实施的《民法典》,从定义、处理原则、条件和免责事由,到主体权利和与之对应的信息处理者的信息安全保障义务,再到公权力机关及其工作人员的保密义务,构建了一个较为完整的个人信息保护框架。

无界有界中的互联网公司和银行们

提到个人金融信息数据保护,普罗大众首先想到的往往并非银行,而是APP后的互联网巨头们。

巨头们的发展史就是一部数据要素价值的创造史。

各家基因不同,也各有侧重:

数据类型:公共数据、个人搜索需求数据。

技术专长:数据聚合、语义理解、深度学习。

应用方向:注重研究与实用性结合,核心围绕搜索。

渗透情况:以资产端、运营端、资金端、基础服务为一体的百度金融生态圈,从支持、指引、服务、供给多个角度构建起百度金融发展的大环境。

代表产品:百度钱包、百度小贷、百度财富、百度金融、百度征信。

数据类型:电商数据、信用数据。

技术专长:底层系统、并发处理。

应用方向:完善底层系统,做分享平台。

渗透情况:自成立起便明确走平台化道路,持续开放云计算,大数据和信用体系等底层平台,推动移动金融在三四线城市和农村普及。

代表产品:支付宝、蚂蚁微贷、花呗、借呗、网商银行、余额宝、招财宝、蚂蚁聚宝、众安保险等。

数据类型:关系数据、社交数据。

技术专长:技术低调、执行力强、封闭发开。

应用方向:产品持续补全、形成稳定生态圈、面向产品的挖掘。

渗透情况:腾讯以“连接一切”为终极战略目标,业务定位倾向于打造开放平台发挥“连接器”作用,故金融服务多为渠道、流量入口、平台等模式,强调合作共生。

互联网公司的个人金融信息数据处理具有三大共性特征:

一是科技加持的新模式。根据自身主营业务特征(如百度的搜索、阿里的电商、腾讯的社交),并借助自身的生态优势,广泛收集大量弱金融属性数据,主要是个人各类行为数据,加持云计算、大数据、人工智能多项硬核技术,全面捕获个人金融需求,并同时按照个人的风险特征,随时、随地、随心、随场景推送金融产品。

二是普惠长尾的正能量。从正面意义来看,这种模式改变了传统金融需要“强金融”数据(例如押品信息、个人身份、个人征信等)的模式,能够帮很多需要钱、有还款能力、但以前得不到服务的长款用户提供服务和解决问题,这是值得肯定的价值,当然这样的价值获取需要监管。

三是无形垄断的负效应。因为“赢者通吃”,包括百度、阿里、腾讯,甚至京东在内的非金融系金融科技公司,因其主营产品已形成了事实垄断,无奈之中个人信息数据已牢牢掌握在头部互联网企业,同时因人工智能算法推荐等技术带来的“信息茧房”,无形之中个人“被迫”使用金融消费,互联网公司的分期金融、消费金融产品等类产品问题最为突出。

和互联网公司相比,银行系有三点不同:

一是来源,银行主要还是以自身系统产生的数据为主,外部数据占比较小;互联网公司是以自身经营的生态数据为主,同时广泛吸纳外部数据,两相占比的选取与具体的数据应用主题相关。

二是性质,银行所用数据是低密度、高可信,互联网公司所用数据是高密度、但依赖技术处理后高可信,银行还是更愿意相信强金融属性数据,特别是身份、征信、存贷支行为等数据,互联网公司更信赖日积月累中的个人行为数据。

三是能力,互联网致力于生态建设,并完全依靠大数据支持业务发展,在系统建设之初通常已经预埋了大量的数据捕获点,所以在获取个人数据的力度、深度和密度方面明显优于银行。

无论过往,在数智时代的浪潮中,当数据要素成为最为重要的生产力后,银行系已全面对标互联网公司,高度重视个人金融信息数据对于经营营销的价值和意义。

坦率地讲,在数据使用的规则和底线方面,互联网公司们和银行系是趋同的,都是合法合规、能用尽用。

但是,相较于以技术和数据起家的互联网公司,即使假设一切在依法合规的情况下获取,银行在个人数据的数量和质量以及处理能力方面,和互联网大佬们依然有差距。

在具体使用的微观层面,因为数据密度、建模能力和使用深度等因素,互联网公司的数据运用必然更广泛,必将带给客户“泛滥”之感,其中既有互联网公司一切基于数据的文化,也从另一方面佐证了互联网公司的能力。由此带来的问题是互联网公司“大”到一定程度,一旦数据运用层面一点点的管理缺位,就会带来引发数据保护相关问题。

的确,未来只有两种公司,一种造流量,一种买流量,没有人愿意成为买流量的那一个。这是近年来银行大力发展场景生态的原生动力。

对于传统金融机构,经营客户的时代过去了,经营流量、经营内容才有未来。

银行系无界有界新挑战

未来随着大型银行数字化转型的持续纵深推进,数据要素的价值创造作用将更加凸显,个人金融信息保护面临的风险与挑战也将史无前例,大型银行的个人金融信息保护永远在路上。

一是金融加速线上化,带来泄露新风险。

随着银行业的全面数字化,特别是“后疫情”时代,“零接触”的全面线上金融成为各大行“标配”,数据泄露的风险敞口也在激增。相比传统封闭式架构,基于移动互联的线上金融势必采取开放式架构,而开放架构的不足客观存在,更易成为攻击目标。同时技术在促进业务创新的同时,也需直面新技术的两面性,云平台数据汇集使单体风险演化为系统风险,大数据时代的个人隐私数据易被滥用等需要重点关注........因为发展场景金融,银行场景与外部场景环环相扣,其中的个人金融信息数据保护成为发展的防线,也是底线。此外,近年来金融机构容易成为主要攻击目标,攻击者从炫耀技术到诈骗勒索目的不一,攻击防范的复杂严峻可见一斑。

二是运营加速互联网化,带来集中新问题。

进入数字化时代之后,银行的竞争力在与能够充分发挥数据要素的效用,依托人工智能等技术了解客户、触达客户并获客活客。依托数据要素经营的未来银行,必需合规合法整合多方、海量、高维、异构的数据,并采用数字化的运营模式,才能及时了解经营管理状态,降低经济环境不确定性带来的风险,降低市场与周期波动带来的风险,降低客户需求变化带来的风险。数字化运营的内生需要必需加大数据的集中程度,同时也将带来更大的泄露风险。当前很多大型银行都在全力推进数据中台、数据湖建设,但是传统的授权模式、多头的流出途径、复杂的交换渠道也需要配套做彻底的改变,需要技术、思维与管理齐头并进,才能化解与之相伴相生的个人金融信息数据集中泄露风险。

三是监管加速完善趋严,带来防护新要求。

从2018年欧盟GDPR,到我国已将《个人信息保护法》《数据安全法》等已纳入全国人大立法议程,同时《个人信息安全规范》国家标准和《个人金融信息保护技术规范》金融行业标准相继出台,全球个人金融信息安全保护司法与监管持续完善,并不断趋严。根据新的司法与监管要求,数据权益代表了数据的权利和利益,贯穿在数据流转的整个生命周期,同时数据生产者跟数据消费者之间的合作关系由过往很多时候默认的买卖关系转变为租赁关系,这就意味着,即使数据被授权使用,数据所有者依然既是拥有者也是生产者,从来没有放弃对自己数据的权利。在数据已成为大型银行重要生产要素,并成为智能化发展基石的情况下,这些改变势必对个人金融信息数据保护提出新的要求。

构建有界无界“护城河”

个人金融信息数据保护必将成为金融科技行稳致远的核心要素之一,亟需构建起有界与无界的"护城河"。

顶层完善,强化合法合规

当前,国家立法机关已将《个人信息保护法》、《数据安全法》等数据保护专项法律纳入立法计划。需要深刻认知金融消费者并非“愿意用隐私交换便捷性”,关注数据确权,平衡数据所有人的权利与数据支撑自身发展的作用,既要保护数据所有人对数据拥有的固有权利,确保自身合法、合规并合理处理与使用;关注数据估值,注重划分数据资源固有的商业价值与数据挖掘应用产生的商业价值,形成合理的数据使用价格机制,充分公平地发挥数据价值;关注事件处置,建立清晰的数据侵权事件处理流程和善后机制,若发生侵权事件,除了承担起应当的司法责任,也要有内部问责机制,举一反三避免重犯;关注数据跨境,结合自身全球布局,持续跟踪并明确个人数据的归属权和司法管辖权,最大程度维护数据所有人的基本权益。

全面发力,强化多元效用

个人金融信息保护是一项长期性、系统性工程。首先凸显协同作用,大型银行普遍采用传统的科层制架构,个人金融信息保护需要管理部门、业务部门、科技部门、总分行机构的高度协同,需采用柔性敏捷模式持续提升保护协同性;其次强调理性保护,数据要素的是大数据时代银行能够为客户提供更好服务与体验的关键,要强化保护策略和举措的合理性,避免过度保护,在大数据与个人隐私中间找到平衡点,这关乎银行的数字化转型发展,也关乎每个消费者的体验;再次发挥文化力量,内部要建立全方位的数据安全保护文化,切实做到有效识别自身关键数字资产要素,制定适当的保护策略和风险缓释计划,将数据保护纳入每位员工的工作职责;最后做好消保教育,承担社会责任,配合政府和社会机构加大对个人金融信息数据保护的教育,推动社会公众意识到保护是维护公民隐私、维护商业利益、维护国家安全的关键所在,每个公民都有义务从自身做起维护包括自身数据在内的数据安全。

守正创新,强化技术管控

个人金融信息数据保护是“法治人治”,更要依托技术的硬核力量,让保护成为固化的无形力量。要在守正中,持续强化成形的保护方法,综合起来就是要全方位落实央行三年金融科技规划中对信息数据保护的技术要求,遵循合法、合理原则,选择符合国家及金融行业标准的安全控件、终端设备、APP等产品进行金融信息采集和处理,利用通道加密、双向认证等技术保障金融信息传输的安全性,运用加密存储、信息摘要等手段保证重要金融信息机密性与完整性,通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录,防范金融信息集中泄露风险。要在创新中,持续探索适应发展的保护模式,大型银行要认识到未来的保护不是简单的筑高墙式的封闭保护,而是在合法合规使用内外部数据的基础之上,进行的一种开放式的保护,因此要加大技术投入,积极研究运用新兴隐私计算模式,基于多方安全计算、隐私保护、区块链等技术,实现数据可用不可见,解决场景金融发展过程中,内外数据协同计算中的数据安全和隐私保护问题,助力安全高效地完成联合风控、联合营销、联合科研等跨机构数据合作任务,驱动业务价值增长;要强化战略科技力量,综合利用隐私数据识别、数据加密、安全存储、区块链等技术,构建自主可控、可支撑亿量级客户和高并发交易的数据保护能力,使自身为国家数据安全贡献应有的力量。

2010年《失控》在中国出版,凯文•凯利到中国后被疯狂追逐,每个人都在问他预言的镜像未来。

十年后,他预言的世界已经无法回避,地图应用的年度报告,记录着活动路径,支付应用的年度账单,记录着衣食住行。

未来已来,技术的力量裹挟数据的洪流,将把人类社会带向更加斑斓的未来。

在度量的世界、量化的万物中,人类期待更加敏锐地感知世界,这是生命的本能,同时捍卫权利、保护自我,依然是与生俱来的本能。


展开全文
相关阅读
资讯查询取消