■廖木興/圖
個人金融信息保護試行辦法來了!
數據治理到了迫在眉睫的關頭。為加強個人金融信息保護,目前《個人金融信息(數據)保護試行辦法》(初稿)(以下簡稱《辦法》)已經出爐,央行已經將文件下發至部分銀行徵求意見,其中定義了個人金融信息範疇,並規定了“除了依法設立的徵信機構之外,未經人民銀行批准,任何單位和個人不得從事個人金融信息的收集處理工作” 。
有業內人士表示,大數據風控行業對於個人信息的採集、使用等方面一直缺乏一個法定的“紅線”,《辦法》的出臺將規範金融數據的採集和使用,也會促進大數據行業優勝劣汰。
■新快報記者 許莉芸
收集個人金融信息?除官方機構外不允許
點餐關注公眾號後,就必須默認自己微信的個人信息被抓取;各類借貸軟件都抓取運營商的通訊錄、定位數據、購物網站數據等……就是在這樣的情況下,我們的個人信用數據會被某些個機構進行商業化操作,做成數據模型,無限次出售或者使用。
針對上述種種亂象,《辦法》首先對“個人金融信息”下了定義,包括個人原始信息以及延伸信息,比如實名認證四要素——身份證、姓名、銀行卡號、手機號等,也包括賬號信息、資產信息等金融信息,以確立保護的對象範圍。
在實際操作上,《辦法》規定“金融機構不得以‘概括授權’的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意”,也就是說我們日常中經常遇到的,將自己部分甚至全部的個人信息對不特定對象的授權這種情況將被禁止。
《辦法》還規定“除了依法設立的徵信機構之外,未經人民銀行批准,任何單位和個人不得從事個人金融信息的收集處理工作,以及對外提供個人徵信業務”,目前的官方徵信機構只有百行徵信這一家,也就是說,百行徵信成為唯一可以蒐集個人金融信息的機構。而且,就算得到徵信機構授權,使用數據也要註明用途,並且一次授權不得重複使用。
數據來源不合規?銀行不予合作
目前,不少商業銀行都在對提供業務數據的第三方機構進行摸排,對於不能保證數據來源合法的數據供應商,正準備停止合作。
就在上週,央行給銀行下發緊急調研通知,需銀行填報是否與第三方數據公司開展合作,排查的合作內容主要涉及數據採集、信用欺詐、信用評分、風控建模等方面,還要求上報第三方公司的名字、股東背景、是否涉及爬蟲。
“我們正準備換一家數據供應商。”某城商行人士坦言,但目前要想找到合規的供應商並不容易。另有業內人士透露,已經有中小銀行停止與部分第三方數據提供商的合作。
“大數據公司就是靠輸出數據、模型給銀行這些金融機構,這個路子被堵了,整個行業都涼了。”上海某大數據公司相關人士對新快報記者表示,傳統銀行對於外部渠道數據瞭解甚少,做小微金融時從第三方服務商購買數據和模型為近年普遍模式,如果大數據公司不再為銀行提供數據服務,那麼其在整個生態鏈中的角色和定位恐怕要重新梳理。
金融大數據行業的洗牌已悄然開始。9月初,杭州地區多家大數據服務公司,如摩羯科技、新顏科技等被曝關停爬蟲業務,負責人被帶走調查;9月底,大數據行業與銀行等金融機構合作業務較廣、具有行業影響力的同盾科技也被調查。很多涉及爬蟲業務的數據公司都已經暫停或調整服務。業內知名的第三方數據服務公司聚信立向用戶發佈消息稱,於2019年9月6日停止對外提供用戶授權的運營商爬蟲服務。
不過,《辦法》也為大數據供應商們提供了另一種業務思路,如規定了金融機構也可以通過外包服務開展業務。只是,金融機構對外包服務的要求更高。
“業務轉型一定要快。”上述人士對新快報記者表示,大數據供應商可以考慮向科技服務商轉型,如將大數據結合人工智能等新技術,通過風控規則建模等方式,對金融機構輸出評分決策等結果,向科技賦能轉型。但是,這部分業務如螞蟻金服、京東金融等的互聯網巨頭早已經入局。
個人信息保護法立法步伐加快
一直以來,數據獲取與使用的低門檻,也大幅降低了金融領域無證經營門檻,大量不具備基本從業素質、缺乏風險意識的機構無序競爭,給行業的治理整頓和可持續發展帶來很大難度。
今年以來,監管也正逐步推進個人信息保護工作。央行《辦法》的推出,意味著個人金融信息安全保護終於有了一部系統的、專門的法律條款,個人金融信息安全保護又邁出了一大步。
不過,中國當前在個人金融信息保護方面仍缺乏專門性立法,對違法機構和個人的法律追究機制也尚不健全。2019年3月的全國“兩會”上,十三屆全國人大二次會議新聞發言人張業遂表示,要通過立法加強個人信息保護,“全國人大常委會已將制定個人信息保護法列入本屆立法規劃,相關部門正在抓緊研究和起草,爭取早日出臺。”
閱讀更多 新快報 的文章
