11月1日，《個(gè)人信息保護(hù)法》正式實(shí)施，該法對(duì)共同處理、委托處理、個(gè)人信息轉(zhuǎn)移、其他個(gè)人信息處理者共享、自動(dòng)化決策、公共采集六大場(chǎng)景中的個(gè)人信息處理做了規(guī)定。對(duì)于金融與科技結(jié)合最為深入的三大類業(yè)務(wù)——征信、信用風(fēng)險(xiǎn)管理，線上營(yíng)銷，網(wǎng)點(diǎn)運(yùn)營(yíng)影響最大。金融機(jī)構(gòu)需要對(duì)照以上六大場(chǎng)景，梳理和審視合規(guī)展業(yè)所須采取的行動(dòng)。

10月10日，新金融聯(lián)盟基于《個(gè)人信息保護(hù)法》《征信業(yè)務(wù)管理辦法》《數(shù)據(jù)安全法》等法律法規(guī)頒布的背景，召開了“新法規(guī)下金融機(jī)構(gòu)的數(shù)據(jù)合規(guī)應(yīng)用”閉門研討會(huì)，深入討論金融機(jī)構(gòu)數(shù)據(jù)合規(guī)應(yīng)用相關(guān)問題，以下為成果簡(jiǎn)報(bào)。

2021年10月10日，新金融聯(lián)盟召開了“新法規(guī)下金融機(jī)構(gòu)的數(shù)據(jù)合規(guī)應(yīng)用”閉門研討會(huì)，中國(guó)金融四十人論壇提供學(xué)術(shù)支持。

建設(shè)銀行首席信息官金磐石、光大銀行(601818,股吧)信息科技部副總經(jīng)理王磊、北京銀行(601169,股吧)首席信息官龔偉華、南京銀行(601009,股吧)首席信息官余宣杰、清華大學(xué)法學(xué)院院長(zhǎng)申衛(wèi)星作主題發(fā)言。中國(guó)銀行(601988,股吧)原行長(zhǎng)李禮輝、對(duì)外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任許可點(diǎn)評(píng)，人民銀行相關(guān)部門負(fù)責(zé)人出席并與業(yè)界進(jìn)行了深入交流。來自商業(yè)銀行、金融科技公司、征信機(jī)構(gòu)的160余位高管通過線上線下參會(huì)。與會(huì)嘉賓就現(xiàn)行法律體系下金融機(jī)構(gòu)如何保護(hù)個(gè)人信息、合規(guī)地收集和利用數(shù)據(jù)展開了充分討論，并提出了有價(jià)值的意見和建議。

與會(huì)嘉賓均認(rèn)為，數(shù)據(jù)安全立法趨嚴(yán)，目的在于平衡產(chǎn)業(yè)發(fā)展與信息安全，促進(jìn)數(shù)據(jù)合理利用。面對(duì)新法規(guī)，商業(yè)銀行要高度重視數(shù)據(jù)安全與個(gè)人信息保護(hù)，盡快梳理并整改不合規(guī)業(yè)務(wù)與產(chǎn)品，建立健全制度、技術(shù)、文化三輪驅(qū)動(dòng)的數(shù)據(jù)安全治理體系。

多位業(yè)界嘉賓希望監(jiān)管部門針對(duì)現(xiàn)行法律出臺(tái)配套政策，并制定相應(yīng)實(shí)施細(xì)則，如細(xì)化金融控股集團(tuán)內(nèi)部數(shù)據(jù)共享要求，建立數(shù)據(jù)保護(hù)能力標(biāo)準(zhǔn)體系和算法安全評(píng)價(jià)體系等，以便金融機(jī)構(gòu)更好地落實(shí)監(jiān)管要求。

新法規(guī)旨在平衡發(fā)展與安全

一是立法趨嚴(yán)推動(dòng)產(chǎn)業(yè)健康發(fā)展。

隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《征信業(yè)務(wù)管理辦法》相繼出臺(tái)，我國(guó)已基本形成以“國(guó)家戰(zhàn)略-法律法規(guī)-部門規(guī)章/國(guó)家及行業(yè)標(biāo)準(zhǔn)”為框架的數(shù)據(jù)安全立法體系。立法趨嚴(yán)，目的在于保護(hù)個(gè)人信息權(quán)益、規(guī)范數(shù)據(jù)處理活動(dòng)、促進(jìn)數(shù)據(jù)合理利用，為數(shù)據(jù)要素流通、數(shù)據(jù)安全技術(shù)推廣、大數(shù)據(jù)商業(yè)模式創(chuàng)新構(gòu)筑了法律底線，推動(dòng)金融業(yè)和大數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展。

二是厘清信貸風(fēng)險(xiǎn)定價(jià)的合規(guī)原則。

《個(gè)人信息保護(hù)法》禁止對(duì)個(gè)人在交易價(jià)格等條件上實(shí)行不合理的差別待遇。何謂不合理？與會(huì)嘉賓認(rèn)為，基于個(gè)人支付意愿的差異化定價(jià)，以及基于種族、民族、特定身份等人格因素的歧視性待遇，屬于不合理的差別待遇；金融機(jī)構(gòu)根據(jù)個(gè)人、企業(yè)不同的信用等級(jí)給予差異化的信貸利率、擔(dān)保條件等，屬于基于成本的差別待遇，符合法律要求和市場(chǎng)規(guī)律。

三是明確征信管理邊界和信用信息定義。

《征信業(yè)務(wù)管理辦法》正式將征信替代數(shù)據(jù)應(yīng)用納入監(jiān)管，并強(qiáng)調(diào)從事個(gè)人、企業(yè)征信業(yè)務(wù)或信用評(píng)級(jí)業(yè)務(wù)均需取得合法資質(zhì)，金融機(jī)構(gòu)不得與無資質(zhì)的市場(chǎng)機(jī)構(gòu)開展商業(yè)合作獲取征信服務(wù)。

有嘉賓提示，信用信息定義中的“其他相關(guān)信息”，是指為了評(píng)價(jià)企業(yè)、個(gè)人金融信用所需要獲取的最小必要信息，持牌征信機(jī)構(gòu)可依法直接對(duì)此類信息進(jìn)行收集和使用；對(duì)于超出最小必要范圍的信息，應(yīng)取得信息主體知情同意。

銀行須強(qiáng)化數(shù)據(jù)應(yīng)用的合法合規(guī)

一是優(yōu)化不合規(guī)業(yè)務(wù)和產(chǎn)品。

商業(yè)銀行應(yīng)依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》和《征信業(yè)務(wù)管理辦法》開展全面的自我梳理，暫停不合規(guī)業(yè)務(wù)和產(chǎn)品，盡快優(yōu)化產(chǎn)品設(shè)計(jì)和流程標(biāo)準(zhǔn)。建議優(yōu)先修改超范圍收集個(gè)人信息的用戶協(xié)議條款；針對(duì)敏感個(gè)人信息，在產(chǎn)品流程設(shè)計(jì)中加入單獨(dú)授權(quán)環(huán)節(jié)；在智能投顧、精準(zhǔn)營(yíng)銷等自動(dòng)化決策過程中，保障消費(fèi)者對(duì)個(gè)人信息評(píng)估的自主決定權(quán)。

二是防范外部數(shù)據(jù)處理者風(fēng)險(xiǎn)。

商業(yè)銀行不應(yīng)與未持牌征信機(jī)構(gòu)合作獲取征信信息；與外部數(shù)據(jù)源合作時(shí)，應(yīng)重點(diǎn)防范第三方數(shù)據(jù)處理者因安全合規(guī)能力不足而產(chǎn)生的風(fēng)險(xiǎn)。針對(duì)數(shù)據(jù)服務(wù)廠商、業(yè)務(wù)合作方、境內(nèi)外分支機(jī)構(gòu)等不同類型的合作對(duì)象，建立差異化、精細(xì)化的數(shù)據(jù)共享安全合規(guī)審批機(jī)制。同時(shí)，應(yīng)遵循“最小化”原則引入外部數(shù)據(jù)，并定期組織安全合規(guī)事后評(píng)估。

三是積極探索、審慎使用隱私計(jì)算技術(shù)。

銀行科技條線應(yīng)積極探索多方安全計(jì)算、聯(lián)邦學(xué)習(xí)、可信計(jì)算、差分隱私等隱私計(jì)算技術(shù)，不斷向用戶個(gè)人信息“可用不可見”方向邁進(jìn)，在合規(guī)實(shí)踐中尋找數(shù)據(jù)融合解決方案。同時(shí)，建議金融機(jī)構(gòu)審慎使用匿名化、去標(biāo)識(shí)化技術(shù)開發(fā)大數(shù)據(jù)產(chǎn)品，嚴(yán)防“偽匿名”導(dǎo)致的數(shù)據(jù)誤用和濫用。

以制度、技術(shù)、文化驅(qū)動(dòng)數(shù)據(jù)安全治理

一是搭建全行數(shù)據(jù)安全治理體系。

要明確信息處理者和使用者義務(wù)，將數(shù)據(jù)安全與個(gè)人信息保護(hù)上升至銀行內(nèi)部治理體系層面。

組織架構(gòu)方面，依法確立個(gè)人信息保護(hù)的負(fù)責(zé)人制和主管部門，明確決策、協(xié)調(diào)和執(zhí)行三層職責(zé)歸屬，各條線協(xié)同落實(shí)法規(guī)要求。

制度規(guī)范方面，建立涵蓋信息采集、存儲(chǔ)、使用、共享、披露、銷毀的全生命周期管理機(jī)制；在項(xiàng)目開發(fā)的分析、設(shè)計(jì)、開發(fā)、上線等各個(gè)階段，開展信息安全合規(guī)評(píng)估；針對(duì)敏感信息保護(hù)、員工行為規(guī)范等領(lǐng)域，建立專項(xiàng)管控機(jī)制。

與會(huì)的建設(shè)銀行(601939,股吧)、光大銀行、北京銀行和南京銀行相關(guān)負(fù)責(zé)人表示，已在積極搭建數(shù)據(jù)安全治理體系并初見成效。

二是以技術(shù)創(chuàng)新強(qiáng)化數(shù)據(jù)安全管理。

商業(yè)銀行要緊跟前沿科技，強(qiáng)化數(shù)據(jù)安全管理的技術(shù)支撐。建立員工行為分析大數(shù)據(jù)模型，及時(shí)識(shí)別不合規(guī)操作；通過聯(lián)合建模打破數(shù)據(jù)孤島，和政府公共部門、電信運(yùn)營(yíng)商、頭部電商企業(yè)等聯(lián)合開展風(fēng)控和反欺詐工作；采用云端集中管控模式，保證數(shù)據(jù)環(huán)境安全可控；建立個(gè)人信息智能監(jiān)測(cè)系統(tǒng)，防控用戶終端和網(wǎng)絡(luò)邊界數(shù)據(jù)泄露。

三是重視數(shù)據(jù)安全文化建設(shè)。

央行正在將金融倫理準(zhǔn)則納入金融科技能力評(píng)估體系。金融機(jī)構(gòu)要開展金融倫理文化建設(shè)，定期進(jìn)行數(shù)據(jù)安全和個(gè)人信息保護(hù)培訓(xùn)和宣傳。通過案例警示等形式明確數(shù)據(jù)安全紅線，筑牢個(gè)人信息保護(hù)人人有責(zé)的企業(yè)文化；通過引入權(quán)威數(shù)據(jù)安全能力培訓(xùn)和資格認(rèn)證體系，提升專業(yè)人員數(shù)據(jù)安全素養(yǎng)。

希望監(jiān)管部門出臺(tái)配套機(jī)制與實(shí)施細(xì)則

一是明確集團(tuán)內(nèi)部數(shù)據(jù)共享機(jī)制。

目前，《個(gè)人信息保護(hù)法》并未將金融機(jī)構(gòu)母公司、子公司之間的數(shù)據(jù)共享與一般的第三方共享相區(qū)分，集團(tuán)內(nèi)部能否在使用目的一致的前提下開展數(shù)據(jù)共享，仍有待明確。與會(huì)嘉賓認(rèn)為，目前金融控股集團(tuán)已經(jīng)受到了嚴(yán)格監(jiān)管，建議適當(dāng)放寬其內(nèi)部數(shù)據(jù)共享要求，推動(dòng)成員企業(yè)整合數(shù)據(jù)，以發(fā)揮其資源協(xié)同優(yōu)勢(shì)。

二是開展數(shù)據(jù)保護(hù)能力資質(zhì)認(rèn)證。

建議監(jiān)管部門完善數(shù)據(jù)保護(hù)能力標(biāo)準(zhǔn)體系，通過評(píng)估數(shù)據(jù)處理者和數(shù)據(jù)使用者的貫標(biāo)、落標(biāo)情況，對(duì)其進(jìn)行資質(zhì)認(rèn)證，以此來提高進(jìn)入數(shù)據(jù)生態(tài)的條件，督促商業(yè)銀行加快推進(jìn)數(shù)據(jù)安全能力建設(shè)。

三是建立算法安全評(píng)價(jià)體系。

大數(shù)據(jù)算法在應(yīng)用過程中產(chǎn)生了諸多問題，例如算法共振放大市場(chǎng)風(fēng)險(xiǎn)、算法歧視造成“大數(shù)據(jù)殺熟”等。算法的高復(fù)合性、低透明度與快速變化的特征，提高了算法審計(jì)的難度。建議監(jiān)管部門建立算法安全評(píng)價(jià)體系，加強(qiáng)金融行業(yè)算法應(yīng)用管理。

四是數(shù)據(jù)跨境實(shí)施細(xì)則正在制定中。

商業(yè)銀行與境外分支機(jī)構(gòu)共享數(shù)據(jù)，或開展“跨境理財(cái)通”等常規(guī)性業(yè)務(wù)，需要對(duì)批量產(chǎn)生的個(gè)人信息數(shù)據(jù)進(jìn)行出境審批。為減輕金融機(jī)構(gòu)合規(guī)負(fù)擔(dān)，保證業(yè)務(wù)順利進(jìn)行，國(guó)家網(wǎng)信部門正在制定相應(yīng)細(xì)則，簡(jiǎn)化此類數(shù)據(jù)跨境的審批流程。

此外，針對(duì)非關(guān)鍵信息基礎(chǔ)設(shè)施生產(chǎn)和收集的重要數(shù)據(jù)，網(wǎng)信部門正在制定相應(yīng)的出境安全管理辦法。

（簡(jiǎn)報(bào)執(zhí)筆：新金融聯(lián)盟秘書處 彭斯嘉）

【關(guān)于我們】

新金融聯(lián)盟成立于2016年，致力于打造一個(gè)高質(zhì)量的新金融政策研討和業(yè)務(wù)交流平臺(tái)。成立以來，聯(lián)盟共組織各類閉門研討會(huì)、優(yōu)秀企業(yè)參訪近百場(chǎng)，議題涵蓋金融科技、資產(chǎn)管理、普惠金融等方向。部分研討成果形成報(bào)告，呈送給相關(guān)部門，推動(dòng)了業(yè)界與監(jiān)管的溝通交流，助力理事單位的合作共贏。

本文首發(fā)于微信公眾號(hào)：新金融城。文章內(nèi)容屬作者個(gè)人觀點(diǎn)，不代表和訊網(wǎng)立場(chǎng)。投資者據(jù)此操作，風(fēng)險(xiǎn)請(qǐng)自擔(dān)。