觀點 | 個人信息保護法落地，金融機構如何重構數據安全治理體系？

11月1日，《個人信息保護法》正式實施，該法對共同處理、委托處理、個人信息轉移、其他個人信息處理者共享、自動化決策、公共采集六大場景中的個人信息處理做了規定。對于金融與科技結合最為深入的三大類業務——征信、信用風險管理，線上營銷，網點運營影響最大。金融機構需要對照以上六大場景，梳理和審視合規展業所須采取的行動。

10月10日，新金融聯盟基于《個人信息保護法》《征信業務管理辦法》《數據安全法》等法律法規頒布的背景，召開了“新法規下金融機構的數據合規應用”閉門研討會，深入討論金融機構數據合規應用相關問題，以下為成果簡報。

2021年10月10日，新金融聯盟召開了“新法規下金融機構的數據合規應用”閉門研討會，中國金融四十人論壇提供學術支持。

建設銀行首席信息官金磐石、光大銀行(601818,股吧)信息科技部副總經理王磊、北京銀行(601169,股吧)首席信息官龔偉華、南京銀行(601009,股吧)首席信息官余宣杰、清華大學法學院院長申衛星作主題發言。中國銀行(601988,股吧)原行長李禮輝、對外經貿大學數字經濟與法律創新研究中心主任許可點評，人民銀行相關部門負責人出席并與業界進行了深入交流。來自商業銀行、金融科技公司、征信機構的160余位高管通過線上線下參會。與會嘉賓就現行法律體系下金融機構如何保護個人信息、合規地收集和利用數據展開了充分討論，并提出了有價值的意見和建議。

與會嘉賓均認為，數據安全立法趨嚴，目的在于平衡產業發展與信息安全，促進數據合理利用。面對新法規，商業銀行要高度重視數據安全與個人信息保護，盡快梳理并整改不合規業務與產品，建立健全制度、技術、文化三輪驅動的數據安全治理體系。

多位業界嘉賓希望監管部門針對現行法律出臺配套政策，并制定相應實施細則，如細化金融控股集團內部數據共享要求，建立數據保護能力標準體系和算法安全評價體系等，以便金融機構更好地落實監管要求。

新法規旨在平衡發展與安全

一是立法趨嚴推動產業健康發展。

隨著《數據安全法》《個人信息保護法》《征信業務管理辦法》相繼出臺，我國已基本形成以“國家戰略-法律法規-部門規章/國家及行業標準”為框架的數據安全立法體系。立法趨嚴，目的在于保護個人信息權益、規范數據處理活動、促進數據合理利用，為數據要素流通、數據安全技術推廣、大數據商業模式創新構筑了法律底線，推動金融業和大數據產業健康發展。

二是厘清信貸風險定價的合規原則。

《個人信息保護法》禁止對個人在交易價格等條件上實行不合理的差別待遇。何謂不合理？與會嘉賓認為，基于個人支付意愿的差異化定價，以及基于種族、民族、特定身份等人格因素的歧視性待遇，屬于不合理的差別待遇；金融機構根據個人、企業不同的信用等級給予差異化的信貸利率、擔保條件等，屬于基于成本的差別待遇，符合法律要求和市場規律。

三是明確征信管理邊界和信用信息定義。

《征信業務管理辦法》正式將征信替代數據應用納入監管，并強調從事個人、企業征信業務或信用評級業務均需取得合法資質，金融機構不得與無資質的市場機構開展商業合作獲取征信服務。

有嘉賓提示，信用信息定義中的“其他相關信息”，是指為了評價企業、個人金融信用所需要獲取的最小必要信息，持牌征信機構可依法直接對此類信息進行收集和使用；對于超出最小必要范圍的信息，應取得信息主體知情同意。

銀行須強化數據應用的合法合規

一是優化不合規業務和產品。

商業銀行應依據《網絡安全法》《數據安全法》《個人信息保護法》和《征信業務管理辦法》開展全面的自我梳理，暫停不合規業務和產品，盡快優化產品設計和流程標準。建議優先修改超范圍收集個人信息的用戶協議條款；針對敏感個人信息，在產品流程設計中加入單獨授權環節；在智能投顧、精準營銷等自動化決策過程中，保障消費者對個人信息評估的自主決定權。

二是防范外部數據處理者風險。

商業銀行不應與未持牌征信機構合作獲取征信信息；與外部數據源合作時，應重點防范第三方數據處理者因安全合規能力不足而產生的風險。針對數據服務廠商、業務合作方、境內外分支機構等不同類型的合作對象，建立差異化、精細化的數據共享安全合規審批機制。同時，應遵循“最小化”原則引入外部數據，并定期組織安全合規事后評估。

三是積極探索、審慎使用隱私計算技術。

銀行科技條線應積極探索多方安全計算、聯邦學習、可信計算、差分隱私等隱私計算技術，不斷向用戶個人信息“可用不可見”方向邁進，在合規實踐中尋找數據融合解決方案。同時，建議金融機構審慎使用匿名化、去標識化技術開發大數據產品，嚴防“偽匿名”導致的數據誤用和濫用。

以制度、技術、文化驅動數據安全治理

一是搭建全行數據安全治理體系。

要明確信息處理者和使用者義務，將數據安全與個人信息保護上升至銀行內部治理體系層面。

組織架構方面，依法確立個人信息保護的負責人制和主管部門，明確決策、協調和執行三層職責歸屬，各條線協同落實法規要求。

制度規范方面，建立涵蓋信息采集、存儲、使用、共享、披露、銷毀的全生命周期管理機制；在項目開發的分析、設計、開發、上線等各個階段，開展信息安全合規評估；針對敏感信息保護、員工行為規范等領域，建立專項管控機制。

與會的建設銀行(601939,股吧)、光大銀行、北京銀行和南京銀行相關負責人表示，已在積極搭建數據安全治理體系并初見成效。

二是以技術創新強化數據安全管理。

商業銀行要緊跟前沿科技，強化數據安全管理的技術支撐。建立員工行為分析大數據模型，及時識別不合規操作；通過聯合建模打破數據孤島，和政府公共部門、電信運營商、頭部電商企業等聯合開展風控和反欺詐工作；采用云端集中管控模式，保證數據環境安全可控；建立個人信息智能監測系統，防控用戶終端和網絡邊界數據泄露。

三是重視數據安全文化建設。

央行正在將金融倫理準則納入金融科技能力評估體系。金融機構要開展金融倫理文化建設，定期進行數據安全和個人信息保護培訓和宣傳。通過案例警示等形式明確數據安全紅線，筑牢個人信息保護人人有責的企業文化；通過引入權威數據安全能力培訓和資格認證體系，提升專業人員數據安全素養。

希望監管部門出臺配套機制與實施細則

一是明確集團內部數據共享機制。

目前，《個人信息保護法》并未將金融機構母公司、子公司之間的數據共享與一般的第三方共享相區分，集團內部能否在使用目的一致的前提下開展數據共享，仍有待明確。與會嘉賓認為，目前金融控股集團已經受到了嚴格監管，建議適當放寬其內部數據共享要求，推動成員企業整合數據，以發揮其資源協同優勢。

二是開展數據保護能力資質認證。

建議監管部門完善數據保護能力標準體系，通過評估數據處理者和數據使用者的貫標、落標情況，對其進行資質認證，以此來提高進入數據生態的條件，督促商業銀行加快推進數據安全能力建設。

三是建立算法安全評價體系。

大數據算法在應用過程中產生了諸多問題，例如算法共振放大市場風險、算法歧視造成“大數據殺熟”等。算法的高復合性、低透明度與快速變化的特征，提高了算法審計的難度。建議監管部門建立算法安全評價體系，加強金融行業算法應用管理。

四是數據跨境實施細則正在制定中。

商業銀行與境外分支機構共享數據，或開展“跨境理財通”等常規性業務，需要對批量產生的個人信息數據進行出境審批。為減輕金融機構合規負擔，保證業務順利進行，國家網信部門正在制定相應細則，簡化此類數據跨境的審批流程。

此外，針對非關鍵信息基礎設施生產和收集的重要數據，網信部門正在制定相應的出境安全管理辦法。

（簡報執筆：新金融聯盟秘書處 彭斯嘉）

【關于我們】

新金融聯盟成立于2016年，致力于打造一個高質量的新金融政策研討和業務交流平臺。成立以來，聯盟共組織各類閉門研討會、優秀企業參訪近百場，議題涵蓋金融科技、資產管理、普惠金融等方向。部分研討成果形成報告，呈送給相關部門，推動了業界與監管的溝通交流，助力理事單位的合作共贏。

本文首發于微信公眾號：新金融城。文章內容屬作者個人觀點，不代表和訊網立場。投資者據此操作，風險請自擔。