对《个人金融信息保护技术规范》收集条款的初步认识(DPO社群成员观点)
近日,全国金融标准化技术委员会发布金融行业标准《个人金融信息保护技术规范》(下称《规范》),引发行业关注。尽管有业内人士认为,《规范》是行业技术标准,对各金融业机构仅具有参考作用,并不具有约束力,但笔者认为,除了保障个人金融信息的安全的核心目的之外,《规范》还释放出了其他一些重要信号。
其中C3类别信息主要为用户鉴别信息,敏感程度最高,比如银行卡磁道数据、账户交易密码、个人生物识别信息。C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,比如手机号、证件信息、交易流水。
可以说,C3、C2信息代表了金融业机构掌握的核心数据,对客户的信息安全与财产安全至关重要。但在现实中,存在不少核心数据掌握在无金融业相关资质的第三方公司手里的情况,近来迅猛增长的互联网助贷业务尤为突出。
这一业务中,助贷公司向金融机构提供获客、授信审查、风控、贷后管理等环节的服务,金融机构再根据得到的审核结果向资金需求方发放贷款。
传统金融机构的资金渠道多、成本低,但是数字风控能力相对较弱;助贷公司如互联网平台和金融科技机构则相反,能够直接触达客户个人,积累了海量客户行为数据,并在实践中掌握了出色的大数据风控技术,但资金规模不足且没有放贷资格。两者优势互补,是一门双赢的生意。
笔者了解到,助贷公司的主要合作方是一些获客和风控能力较弱的城商行、农商行。它们往往会将授信审查、风险控制等核心环节外包,放弃了对“贷不贷,贷多少”的自主决策,完全依赖助贷公司,逐渐异化成单纯的资金提供方。
这样一来,大量银行客户的个人金融信息留存在第三方助贷公司,作为资金提供方的银行只获得一个“贷”或“不贷”的结果,却对客户本身不够了解,成为“授权”、“委托”下的常见情形。
中国互联网金融协会互联网银行专业委员会编写的《开放银行发展研究报告(2019)》指出,开放银行促使商业银行与多个合作伙伴建立连接,对信息安全技术及风险防控能力提出了挑战,还面临潜在的第三方欺诈、数字入侵及客户隐私泄露等问题。
从去年10月开始,监管就密集发文,旨在让核心能力、核心数据回归持牌金融业机构,助贷业务收紧已经成为趋势所向。中国银保监会下发的《关于印发融资担保公司监督管理补充规定的通知》规定,为各类放贷机构提供客户推介、信用评估等服务的机构未经批准不得提供或变相提供融资担保服务。浙江、北京等多地也纷纷发文,要求金融机构自身承担风险,不允许互联网平台兜底;不得将贷款“三查”、风险控制等核心业务环节外包给合作机构。
此次《规范》的上述条款也释放了这一信号。它的出台进一步制约了野蛮生长的助贷业务,也将对暴力催收、高利贷、滥用用户隐私信息等现象起到拨乱反正的作用。
不过,笔者认为,现实并不是非黑即白的——在审慎监管的同时,《规范》并没有“一刀切”地斩断助贷业务:除了“委托”、“授权”,助贷公司与金融业机构间的合作还可以通过“共享”路径展开,数据共享到何种程度也可以依据双方意愿商定。
比如银行可以选择跟助贷公司签订协议,共同认定一种判定贷款风险的算法,助贷公司无需把自己的原始数据交给银行,但可以提供一些基于原始数据的衍生性数据,依然能够满足银行。这样既增强了银行对客户的了解,也给助贷公司留了一条活路。
当然,《规范》想要达成的效果还是让金融业机构回收核心数据、核心能力,自己去判断贷出去每一笔钱的风险大小和贷款者的信用好坏,而不仅仅扮演一个“出纳”的角色。与此同时,也给目前的助贷业务附加了一个严格限定条件。
《规范》的出台无疑给助贷业务提出了新的挑战。金融业机构急需正视自身在大数据风控能力上的不足,而助贷公司想要合规,就必须让渡一部分数据,并在现有业务模式的基础上积极创新。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点