GDPR下监管科技的设计挑战
GDPR(General Data Protection Regulation,《通用数据保护条例》)要求组织能够自证其遵守数据保护法规,而监管科技(RegTech)近期在金融合规方面取得了巨大的应用,增强了金融监管合规性。发表在22nd ICEIS的论文Design Challenges for GDPR RegTech论证了RegTech方法在GDPR合规中的应用,提出了一个符合GDPR的RegTech方法,用以助力组织履行其数据保护义务。中国人民大学金融科技研究所(微信ID:ruc_fintech)对文章核心内容进行了编译。
来源 | 22nd International Conference on Enterprise Information Systems
作者 | Paul Ryan, Martin Crane and Rob Brennan
编辑 | 江俊毅
引言
2018年5月,欧盟出台了GDPR(通用数据保护条例)。这项法规为数据主体带来了高度的保护,同时也为使用数据的组织带来了极大的挑战。
许多组织会指定一名数据保护官(DPO)来负责这项事务,DPO必须具备“专业素质,尤其是数据保护法律和实践方面的专家知识”(GDPR第37条)。随着不断变化的业务以及不断变化的法律解释,DPO需要时刻保持警惕,不断更新学习。
相比之下,RegTech已经成为金融行业监管合规的自动化框架。2008年的“全球金融危机”已促使金融组织通过自动化、数字化和机器学习算法实现强有力的数据治理,将法规遵从性规定映射到软件代码中,实现自动化或半自动化的监管监督和合规报告。
因此,对GDPR合规问题应用RegTech方法有望为DPO提供自动化跟踪合规进展的能力,识别合规薄弱环节,这将大大提高组织合规的能力和效率,以符合GDPR的要求。
GDPR合规的常见方法
企业软件解决方案:
当前,已有许多企业开发了专门的工具用于帮助组织履行其GDPR合规义务。仅2017年,全球对隐私相关初创企业的风险投资就超过了5亿美元,有超过263家供应商提供数据隐私软件服务。这些解决方案包含多种形式,从简单的问卷和模板到侧重于GDPR合规性的各个方面,主要类别如下表所示:
尽管供应商提供了多种隐私软件解决方案,但“没有一家供应商能实现自动使组织符合GDPR”(IAPP 2018)。事实上,大多数企业提供的解决方案涵盖3个或更少的类别,如图所示:
这些软件解决方案存在几项缺陷:
●没有公开的方法或证据支持其有效性甚至实用性。
●许多此类解决方案是独立的,缺乏与其他GDPR合规系统的互操作性,无法轻松组装成工具链,无法提供全面的合规报告和指标,无法实现质量改进过程或数据分析。
●侧重于人工或半自动的评估方法,这些方法是劳动密集型的,依赖于领域专家,而不是数据驱动。
●由私营企业创建,基于对法规的解释,而不是根据监管机构的意见而制定。
成熟度模型:
能力成熟度模型已用于合规性监控多年,例如美国注册会计师协会隐私成熟度模型(AICPA,2011)广泛用于了解组织的隐私合规性状况。这种方法作为衡量是否符合GDPR的一种方法的缺点是,它的诞生早于GDPR,因此需要更新以反映新法规。最近的IAPP成熟度框架(2019年)制定了一系列通过“经验丰富的隐私和安全专业人员、律师和监管机构之间的合作”构建的检查清单,提供了一个轴上的合规性可视化。但它们也存在一些缺点:
●属于劳动密集型,依赖于高技能劳动力/领域专家。
●容易产生人为的主观性偏见和错误。
●很少更新。
●所选措施采用了一系列需要学术验证的问题和检查表。
●不适合作为自动化过程和质量改进工具链的一部分。
虽然这些成熟度模型表明了一个组织的GDPR合规性地位,但上述的局限阻止了这些工具在自动化道路上的进一步发展。
自我评估工具:
多个数据保护监管机构提供了自我评估清单和问责工具包,以协助组织进行数据保护合规。这些工具包广泛覆盖了GDPR所有原则,提供了法规遵从性的概述,但其主要缺点在于,它们本质上是高级的自我评估工具,是通用而缺乏深度的,与成熟度模型一样,它们过度依赖于用户的定性输入,并且缺乏与其他解决方案的互操作性。然而优势在于,它们是由监管机构开发的,而不像前者由企业独立开发。
RegTech合规工具的使用经验
RegTech可定义为“使用技术解决方案来促进合规和监控”(Colaert,2017)。2008年金融危机导致新的合规立法大幅增加,RegTech成为了解决金融行业合规挑战的主要方案,主要有以下原因:
●不断提高的合规要求
●数据科学与人工智能的发展
●合规成本增大
●监管机构寻求效率的提升
从最简单的形式(如自动报告或仪表板视图)到用于执行特定监管功能的复杂工具的各种合规技术软件,RegTech解决方案的关键驱动力是使合规报告变得简单并且高效,降低个别错误带来的风险,并建立自动化系统以促进合规。RegTech有能力使组织能够使用业务数据来提高决策能力,并快速识别不合规情况。
RegTech解决方案的一个重要应用是在反洗钱领域,可以自动检测到大额金融存款并向合规官报告,从而减少工作人员疏忽造成的人为错误风险。另一方面,金融工具市场(MiFID)测试可帮助组织机构根据自动处理的问卷调查结果确定必须向客户提供何种级别的投资建议,此方案有助于组织通过流程自动化减少错误并履行其法律义务。这些RegTech解决方案通过增强数据的集成、自动化的使用、预测分析和战略流程调整,消除了对人工干预的需要,有效降低了合规的复杂性。
金融领域的合规创新与上述GDPR合规工具之间的对比表明,将RegTech方法应用于GDPR,将为DPO、组织和监管机构带来重大利益。它甚至可以通过提供自动化、透明的问责机制来回避GDPR认证体系的问题,监管者无需求助于缓慢的第三方认证服务就可以进行查询和分析,这种技术的混合迭代可以为组织带来显著的利益。
GDPR中RegTech的应用
RegTech合规方法寻求自动化的数据输入以减少人为错误并消除主观性,通用标准、协议和语义的使用促进了一种灵活且经济高效的合规方法。下一代GDPR合规工具需要考虑使用RegTech方法来履行其职责。
图一:GDPR合规的RegTech方法:
以一个GDPR高级评估工具为例,它是根据RegTech的发展而开发的,基于数据保护监管机构创建的自我评估清单,用于衡量一个组织的GDPR合规性水平。该工具被设计成一个分层的信息交付系统,提供信息和见解,以便DPO能够更有效地测量、监控和管理业务绩效,并相应地解决问题。
评估工具提供如图所示的三层数据。顶层是用于监控和报告目的的合规性的可视化图形化概述,第二层是提供GDPR各个方面视图的维度数据,最后一层是每个GDPR合规性区域的详细信息。
图二:三层数据示意图
该工具使用W3C社区的数据保护词汇表,使用显式语义描述上下文并将其转化为一个评估工具。组织每个月的总体GDPR合规性月度得分如图所示。此信息为DPO提供了组织合规性的高级可视化视图。
图三:每月总体GDPR合规性月度得分
GDPR监管部门也可以查看评估工具的结果,以分析组织在GDPR合规的各个方面的表现,从而提高DPO的可视性。在表2中,该组织在准确性和保留率方面完全符合要求,但在数据泄露方面只有50%符合要求。可见,该工具提供了GDPR方面的详细信息,向监管者提供准确反馈以推动做出行动,提高组织合规的效率。
表2(评估工具的结果):
这个例子已经展示了使用RegTech方法实现GDPR的合规的大致流程。其优势在于:它利用监管机构自己提出的要求,能够作为评估合规性的有力平台。评估工具满足全面性的要求,因为涵盖了GDPR的广度,并且提供了GDPR领域的具体分数。评估过程是可重复的,因为它可以每隔一段时间运行以生成趋势性分析。结果产生了具体和相关的分数,可用于推动纠正措施。使用来自不同来源的数据作为输入,以及使用商定的语义标准将业务流程映射到评估工具中,将消除用户的定性输入,有助于消除主观性,提高产出质量。
结论
现有的合规工具虽然能够在某种程度上有助于实现GDPR合规的目标,但每种工具都有其缺点。而GDPR合规的RegTech方法表明,通过灵活、经济高效、可扩展和信息丰富的工具相结合,可以使用技术来实现对合规监控和报告的改进。如果制定了商定的语义标准来自动化流程并消除数据输入的主观性,则有机会进一步开发GDPR合规工具。从评估工具生成的合规报告可用于确定组织不符合GDPR的领域,并将绩效与其他组织进行比较。DPO可以利用结果将资源引导到不合规的领域并提高其得分,从而降低GDPR罚款的风险。总而言之,对GDPR采用RegTech方法可以使组织更好地履行其数据保护的责任义务,提升合规和监管的水平和效率。
……
获取完整报告
请后台回复“GDPR监管科技”
获取下载链接
END
编辑/江俊毅
排版/孔 煜
责编/张 谦
【延伸阅读】