金融行业的个人数据治理

2023-01-04 14:21:00
金融行业的个人数据治理  
第一节由许多奇主持。许多奇指出,中国在数据保护方面的法律越发完善,如何能够在金融行业中确保个人数据治理的合规以及保护成为重要话题。除了数据保护以外,如何让数据在流通中得到利用以实现高质量发展是一个同样重要的话题。从域外实践来看,各经济体或区域经济发展正成为数据治理政策的重要理由,监管趋向于对数据分级分类治理,这些趋势为金融机构利用数据创造了良好的条件。  
华盛顿大学法学院Pendleton Miller教席教授、亚洲法律研究中心主任Xuan-Thao Nguyen的发言主题是“Data Privacy and Security in Financial Institutions”。美国在联邦和各州(比如加州)层面有涉及金融机构数据隐私保护的法律。金融机构需要了解他们正在收集和加工的数据;随时更新不同司法管辖区的新法规,确定它们如何影响金融机构的运作并实施合规;将数据隐私和保护作为一个战略目标,而不仅仅是一个合规问题。金融机构需要理解客户的需求和期望。在董事会层面对金融机构的数据保护和隐私进行监督和问责,以传达一种强调数据保护和隐私的文化;对员工进行沟通和教育;在金融机构内拥抱并对外展示数据伦理。
中国人民银行征信中心研发部主任徐欣彦的发言主题是“征信系统数据特点及数据治理概况”。征信系统作为以数据为中心的信息系统,既有数据治理工作的一般性,也有征信系统数据治理问题的独特性。征信系统诞生那一刻就是围绕信息,特别是比较敏感的信贷信息,给银行和信息主体提供服务的。所以,征信行业发展过程中,数据质量治理是最基本的或者最重要的生命线。
征信系统数据特点归纳起来主要有三个方面:数据量大且高度结构化、数据具有微观性、数据资产敏感度高。征信中心数据治理的架构主要包括元数据与数据标准管理、数据质量管理、数据安全分级管理。随着数字金融的发展,征信业也将更加科技化、智能化和差异化;利用新技术提升征信系统的自动化水平;对接公共记录系统,扩展征信系统的覆盖面;研究探索如何创新替代数据的共享。  
复旦大学法学院副教授葛江虬的发言主题是“Regulating Personalized Pricing in China: Provisions and Judicial Practice”。在数据采集方面,部分机构未经授权私自收集个人信息或设置“不授权就不能使用”的霸王条款,超范围过度采集用户个人身份、行为、偏好等隐私数据,致使消费者被置于“隐私裸奔”的尴尬境地。在数据使用方面,以“精准定制个性化服务”为名肆意开展用户画像,将大数据作为杀熟、过度营销、诱导消费的工具,侵害金融消费者合法权益。
在对法律规定和司法案例做出梳理之后,葛江虬指出,对个性化定价的形式控制包括,透明度原则、提供中立结果的义务、解释的义务、个人拒绝的权利。对个性化定价的实质控制是禁止不合理的差别待遇。但是,何为“不合理”需要审慎解释。在反垄断法框架下解决这一问题也是可行的解决方案之一。  
上海交通大学法学院副教授何渊以“中国金融数据出境的安全评估框架”为主题做发言。《个人信息保护法》规定了个人信息出境的三条路径:网信部门组织的安全评估;专业机构进行的个人信息保护认证;标准合同。这一框架不仅是一般数据出境的路径,也是金融数据出境的路径。金融数据出境的场景包括传输、直接存储至境外;手动输入或上传至境外,即使用境外软件;境内存储,境外主体可获取,即境外可访问国内数据库。
金融领域的很多数据都属于重要数据的范畴,金融机构很多的系统都可能属于关键信息基础设施。如果是重要数据或者关键基础设施运营者,任何情况下进行数据跨境都需要监管机构的安全评估。如企业需要进行数据出境安全评估申报,则企业内部先进行现状尽调、差距分析、整改,形成自评估报告。在省网信办形式审核通过后,再由国家网信办做审查。
何渊强调,数据出境安全评估的合规不同于传统理解的评估,包括法律、管理、技术三个角度。数据跨境传输合规性的达成并不是一蹴而就的结果,而是一个持续性的、日益渐进的过程;在与监管机构沟通与交流中,要注重强调数据跨境传输的合法性、正当性与必要性。  
世界银行集团国际金融公司(IFC)金融机构局技术援助官员Collen Masunda的发言主题是“Impact of Data Protection Legislation on Data Governance Frameworks of Financial Institutions”。金融机构正面临加强数据管理和治理框架的压力。随着法律和监管环境的变化,网络风险的增加以及数据和技术的普遍应用,数据治理已经超越网络安全,成为金融机构的审计负责人最关心的问题之一。截至2021年底,全球已有151个国家实施或起草了数据保护方面的立法。欧盟GDPR正在成为大多数数据保护法律的基准,GDPR对监管影响主要体现在数据保护机构的设立上。数据保护立法改变了权力结构:大多数法律授权客户通过同意机制对其数据进行控制、数据主体有权对这些数据的使用和转移给予或拒绝给予或撤销同意。但事实上,这一权力并未得到完全落实,因为金融机构通常在消费者议价能力较低的时候(如消费者需要贷款时)寻求同意;且检查“同意”是否正确使用有实际困难等。数据保护规制的普及令金融机构的主要风险逐渐凸显,包括合规风险、跨境数据转移、数据滥用风险(特别是生成的数据)。
作为总结,Collen Masunda先生分享了一些洞见,如处理遗留数据质量问题非常重要;利用数据来创造价值仍处于早期阶段;新冠疫情加速了数字化进程;实施全企业范围的数据仓库是至关重要的;法律影响技术的实施,例如数据本地化规则影响到利用云存储和计算的能力;定期监管报告也很重要。(来源:复旦大学)
收藏 举报

延伸 · 阅读