本报记者 单美琪 孟俊莲 北京报道
今年仍旧是金融科技的监管元年,监管的重点方向则为进一步细化金融科技发展规划,同时健全监管基本规则和标准,这其中数据监管将成为未来监管的重点领域。
日前,中国人民银行印发的《金融业数据能力建设指引》(下称《指引》)正式实施,进一步明确了金融业数据能力建设遵循用户授权、安全合规、分类施策、最小够用等五大基本原则,同时也为金融机构开展数据工作指明方向、提供依据。
“近年来信息安全与数据保护日益成为金融业的重要议题,金融业作为数据密集型行业,更需要加强对数据、对信息的防护,”一位行业分析人士表示,“但目前数据治理相关的标准还亟待统一,数据滥用等相关违法违规等惩处措施的细则也有待完善。”
数据采集和使用需确保用户充分知情
今年一月底,央行提出出台金融业数据能力建设指引,组织开展金融数据综合应用试点,着力将数据治理好、应用好、保护好。近日,由中国人民银行印发的《金融业数据能力建设指引》(下称《指引》)已于2月9日正式实施。
《指引》明确了金融业数据能力建设遵循用户授权、安全合规、分类施策、最小够用、可用不可见等五大基本原则。具体来看,用户授权方面,要求明确告知用户数据采集和使用的目的、方式以及范围,确保用户充分知情,获取用户自愿授权后方可采集使用,严格保障用户知情权和自主选择权。
其中,金融理财类APP近些年也因数据安全问题不断被点名整改。不久前,广东省通信管理局官网公布了215款因侵害用户权益和安全隐患问题被责令限期整改的APP应用名单,其中多款金融理财类App因首次运行未经用户阅读并同意隐私政策,申请获取存储权限和电话权限以及隐私政策中未逐一列出获取个人姓名、出生日期和证件号信息的目的、方式、范围等违规行为被通报整改。
此前也有有金融APP因滥用授权权限遭到监管通报。2019年,国家网络与信息安全通报中心发布通报指出,公安机关在开展APP违法违规采集个人信息集中整治中,下架整改100款违法违规APP,其中光大银行、天津银行等金融类APP上榜。
“对于金融机构以及其APP收集用户信息的权责边界,需要有关部门进一步细化厘清,包括对不同性质的金融APP用户信息授权进行分类管理,同时也要求各金融机构必须严格合规运营,如发生不合规现象必须予以重罚。”一位业内资深分析人士说道。2019年年底,央行也发文指导互联网金融协会启动金融APP的备案管理试点工作。
另外,上述《指引》也在安全合规中明确,要遵循国家法律法规、管理制度,符合国家及金融行业标准规范,建立健全数据安全管理长效机制和放护措施,严控访问权限,严防数据泄露、篡改、损毁与不当使用,依法依规保护数据主体隐私权不受侵害。
而在分类施策上,需要综合考量国家安全、公众权益、个人隐私和企业合法利益等因素,根据保密性、完整性、可用性等属性对数据进行分级分类管理。对不同级别数据进行分类实施策,采取差异化控制措施,实现数据精细化管理。
同时,数据采集要遵循最小够用和可用不可见原则,前者要求在数据采集使用方面要求确保数据专事专用、最小够用,杜绝过度采集、误用、滥用数据,切实保障数据主体的数据所有权和使用权。
后者则明确建立数据规范共享机制,在保障原始数据可用不可见的前提下,规范开展数据共享与融合应用,保证跨行业、跨机构的数据使用合规、范围可控,达到可用不可见,有效保护数据隐私安全,确保数据所有权不因共享应用而发生让渡。
当前金融行业数据治理发展步调不一
值得一提的是,2020年11月17日,中国互联网金融协会金融科技发展与研究专委会组织发布的《金融业数据要素融合应用研究》提出,数据要素融合是指在数据要素化背景下,对单一或多个数据源的数据进行关联、组合等操作,从而获得更好的数据处理效果。
传统的公开数据搜集、原始数据共享等融合方式存在一定局限性,依托先进技术探索数据“可用不可见”“定量定向使用”的创新解决方案是当前金融业数据要素融合的新途径、新方向。
金融科技资深观察人士苏筱芮表示,近年来,信息安全与数据保护日益成为金融业的重要议题,金融业作为数据密集型行业,更需要加强对数据、对信息的防护。
“目前的金融业数据要素应用已经存在大量实践,但在管理制度方面还存在一定短板。”苏筱芮进一步指出,“例如部分机构在数据合规方面的意识有所欠缺,又如数据治理相关的标准还亟待统一,数据滥用等相关违法违规等惩处措施的细则亦有待完善。”
另有接近监管层人士指出,就金融行业数据治理而言,目前行业数据治理与资源共享存在金融行业数据治理发展步调不一、数据收集与处理监管亟需加强等问题。
截至目前,中国银行保险监督管理委员会已发布《银行业金融机构数据治理指引》提出了中国银行业数据治理的规范体系,要求将银行业金融机构数据治理纳入公司治理范畴;中国人民银行也发布了《金融数据安全 数据安全分级指南》明确金融行业的数据分类标准;中国证券监督委员会发布了《证券期货业数据分类分级指引》为证券行业数据分类分级工作提供指导性原则。
此外,2020年9月23日,中国人民银行还发布了《金融数据安全数据安全分级指南》给出金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。随后又发布《多方安全计算金融应用技术规范》明确金融行业标准,规定多方安全计算技术金融应用的基础要求、安全要求、性能要求等。目前,金融行业依托数据管理带来的业务价值已逐渐凸显,数据要素将成为金融业数字化转型的重要驱动力和关键支撑力。
责任编辑:孟俊莲 主编:冉学东