■廖木兴/图
个人金融信息保护试行办法来了!
数据治理到了迫在眉睫的关头。为加强个人金融信息保护,目前《个人金融信息(数据)保护试行办法》(初稿)(以下简称《办法》)已经出炉,央行已经将文件下发至部分银行征求意见,其中定义了个人金融信息范畴,并规定了“除了依法设立的征信机构之外,未经人民银行批准,任何单位和个人不得从事个人金融信息的收集处理工作” 。
有业内人士表示,大数据风控行业对于个人信息的采集、使用等方面一直缺乏一个法定的“红线”,《办法》的出台将规范金融数据的采集和使用,也会促进大数据行业优胜劣汰。
■新快报记者 许莉芸
收集个人金融信息?除官方机构外不允许
点餐关注公众号后,就必须默认自己微信的个人信息被抓取;各类借贷软件都抓取运营商的通讯录、定位数据、购物网站数据等……就是在这样的情况下,我们的个人信用数据会被某些个机构进行商业化操作,做成数据模型,无限次出售或者使用。
针对上述种种乱象,《办法》首先对“个人金融信息”下了定义,包括个人原始信息以及延伸信息,比如实名认证四要素——身份证、姓名、银行卡号、手机号等,也包括账号信息、资产信息等金融信息,以确立保护的对象范围。
在实际操作上,《办法》规定“金融机构不得以‘概括授权’的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意”,也就是说我们日常中经常遇到的,将自己部分甚至全部的个人信息对不特定对象的授权这种情况将被禁止。
《办法》还规定“除了依法设立的征信机构之外,未经人民银行批准,任何单位和个人不得从事个人金融信息的收集处理工作,以及对外提供个人征信业务”,目前的官方征信机构只有百行征信这一家,也就是说,百行征信成为唯一可以搜集个人金融信息的机构。而且,就算得到征信机构授权,使用数据也要注明用途,并且一次授权不得重复使用。
数据来源不合规?银行不予合作
目前,不少商业银行都在对提供业务数据的第三方机构进行摸排,对于不能保证数据来源合法的数据供应商,正准备停止合作。
就在上周,央行给银行下发紧急调研通知,需银行填报是否与第三方数据公司开展合作,排查的合作内容主要涉及数据采集、信用欺诈、信用评分、风控建模等方面,还要求上报第三方公司的名字、股东背景、是否涉及爬虫。
“我们正准备换一家数据供应商。”某城商行人士坦言,但目前要想找到合规的供应商并不容易。另有业内人士透露,已经有中小银行停止与部分第三方数据提供商的合作。
“大数据公司就是靠输出数据、模型给银行这些金融机构,这个路子被堵了,整个行业都凉了。”上海某大数据公司相关人士对新快报记者表示,传统银行对于外部渠道数据了解甚少,做小微金融时从第三方服务商购买数据和模型为近年普遍模式,如果大数据公司不再为银行提供数据服务,那么其在整个生态链中的角色和定位恐怕要重新梳理。
金融大数据行业的洗牌已悄然开始。9月初,杭州地区多家大数据服务公司,如摩羯科技、新颜科技等被曝关停爬虫业务,负责人被带走调查;9月底,大数据行业与银行等金融机构合作业务较广、具有行业影响力的同盾科技也被调查。很多涉及爬虫业务的数据公司都已经暂停或调整服务。业内知名的第三方数据服务公司聚信立向用户发布消息称,于2019年9月6日停止对外提供用户授权的运营商爬虫服务。
不过,《办法》也为大数据供应商们提供了另一种业务思路,如规定了金融机构也可以通过外包服务开展业务。只是,金融机构对外包服务的要求更高。
“业务转型一定要快。”上述人士对新快报记者表示,大数据供应商可以考虑向科技服务商转型,如将大数据结合人工智能等新技术,通过风控规则建模等方式,对金融机构输出评分决策等结果,向科技赋能转型。但是,这部分业务如蚂蚁金服、京东金融等的互联网巨头早已经入局。
个人信息保护法立法步伐加快
一直以来,数据获取与使用的低门槛,也大幅降低了金融领域无证经营门槛,大量不具备基本从业素质、缺乏风险意识的机构无序竞争,给行业的治理整顿和可持续发展带来很大难度。
今年以来,监管也正逐步推进个人信息保护工作。央行《办法》的推出,意味着个人金融信息安全保护终于有了一部系统的、专门的法律条款,个人金融信息安全保护又迈出了一大步。
不过,中国当前在个人金融信息保护方面仍缺乏专门性立法,对违法机构和个人的法律追究机制也尚不健全。2019年3月的全国“两会”上,十三届全国人大二次会议新闻发言人张业遂表示,要通过立法加强个人信息保护,“全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。”
閱讀更多 新快報 的文章
