近日,上海论坛2022高端圆桌“提升金融机构个人数据治理,促进数字金融良性发展”如期举行。圆桌由复旦发展研究院、复旦大学法学院、复旦大学数字经济法治研究中心、全球数字金融中心(杭州)、APEC工商理事会(ABAC)/亚太金融论坛(APFF)共同承办,邀请了来自中国、美国、泰国、日本、越南等亚太地区的专家学者和实务界人士,围绕金融行业的个人数据治理,以及金融机构在个人数据治理领域的良好实践两大议题展开了深入交流。APEC-APFF金融基础设施发展网络(FIDN)牵头人赖金昌先生、复旦大学数字经济法治研究中心主任许多奇教授担任圆桌联合主席。
复旦大学副校长、中国金融法治研究院(CILF)院长陈志敏指出,金融数据治理具有双重价值目标,除了“数据保护”之外,更为重要的是通过数据的流通与使用以实现数据的财产价值,为金融行业的数字化转型和实现高质量发展提供动力。金融数据治理首要要求金融业机构建立金融数据治理的基本框架,开展自上而下的组织、标准与流程建设。
APEC-APFF主席、泰国银行家协会(TBA)秘书长Kobsak Duangdee指出,数据和数据分析已经越来越多地成为金融服务不可或缺的一部分。与此同时,金融机构在收集、使用和共享个人数据方面正受到监管机构和公众越来越多的监督。如何平衡金融机构和消费者的利益,同时满足数字化业务运营和数据隐私合规的需求一直是一个挑战。金融机构将不仅需要在这一新领域开展内部机构和能力建设,而且需要金融监管机构和其他部门的支持。泰国央行已于2021年9月发布了一份《关于数据治理的政策声明》(Policy Statement on Data Governance)。泰国银行家协会最近还制定了《个人数据保护指南》(Guideline on Personal Data Protection)。该文件为各种金融产品和服务设置了具体的数据示例,以展示数据隐私的要求以及银行机构可能的应对方式。金融机构有责任发展其在个人数据治理方面的内部能力,同时意识到与监管机构和其他部门组织合作的必要性。个人数据治理将很快成为金融机构内部业务运营、风险管理和合规监测的一个重要组成部分。
第一节:金融行业的个人数据治理
第一节由许多奇主持。许多奇指出,中国在数据保护方面的法律越发完善,如何能够在金融行业中确保个人数据治理的合规以及保护成为重要话题。除了数据保护以外,如何让数据在流通中得到利用以实现高质量发展是一个同样重要的话题。从域外实践来看,各经济体或区域经济发展正成为数据治理政策的重要理由,监管趋向于对数据分级分类治理,这些趋势为金融机构利用数据创造了良好的条件。
华盛顿大学法学院Pendleton Miller教席教授、亚洲法律研究中心主任Xuan-Thao Nguyen的发言主题是“Data Privacy and Security in Financial Institutions”。美国在联邦和各州(比如加州)层面有涉及金融机构数据隐私保护的法律。金融机构需要了解他们正在收集和加工的数据;随时更新不同司法管辖区的新法规,确定它们如何影响金融机构的运作并实施合规;将数据隐私和保护作为一个战略目标,而不仅仅是一个合规问题。金融机构需要理解客户的需求和期望。在董事会层面对金融机构的数据保护和隐私进行监督和问责,以传达一种强调数据保护和隐私的文化;对员工进行沟通和教育;在金融机构内拥抱并对外展示数据伦理。
中国人民银行征信中心研发部主任徐欣彦的发言主题是“征信系统数据特点及数据治理概况”。征信系统作为以数据为中心的信息系统,既有数据治理工作的一般性,也有征信系统数据治理问题的独特性。征信系统诞生那一刻就是围绕信息,特别是比较敏感的信贷信息,给银行和信息主体提供服务的。所以,征信行业发展过程中,数据质量治理是最基本的或者最重要的生命线。
征信系统数据特点归纳起来主要有三个方面:数据量大且高度结构化、数据具有微观性、数据资产敏感度高。征信中心数据治理的架构主要包括元数据与数据标准管理、数据质量管理、数据安全分级管理。随着数字金融的发展,征信业也将更加科技化、智能化和差异化;利用新技术提升征信系统的自动化水平;对接公共记录系统,扩展征信系统的覆盖面;研究探索如何创新替代数据的共享。
复旦大学法学院副教授葛江虬的发言主题是“Regulating Personalized Pricing in China: Provisions and Judicial Practice”。在数据采集方面,部分机构未经授权私自收集个人信息或设置“不授权就不能使用”的霸王条款,超范围过度采集用户个人身份、行为、偏好等隐私数据,致使消费者被置于“隐私裸奔”的尴尬境地。在数据使用方面,以“精准定制个性化服务”为名肆意开展用户画像,将大数据作为杀熟、过度营销、诱导消费的工具,侵害金融消费者合法权益。
在对法律规定和司法案例做出梳理之后,葛江虬指出,对个性化定价的形式控制包括,透明度原则、提供中立结果的义务、解释的义务、个人拒绝的权利。对个性化定价的实质控制是禁止不合理的差别待遇。但是,何为“不合理”需要审慎解释。在反垄断法框架下解决这一问题也是可行的解决方案之一。
上海交通大学法学院副教授何渊以“中国金融数据出境的安全评估框架”为主题做发言。《个人信息保护法》规定了个人信息出境的三条路径:网信部门组织的安全评估;专业机构进行的个人信息保护认证;标准合同。这一框架不仅是一般数据出境的路径,也是金融数据出境的路径。金融数据出境的场景包括传输、直接存储至境外;手动输入或上传至境外,即使用境外软件;境内存储,境外主体可获取,即境外可访问国内数据库。
金融领域的很多数据都属于重要数据的范畴,金融机构很多的系统都可能属于关键信息基础设施。如果是重要数据或者关键基础设施运营者,任何情况下进行数据跨境都需要监管机构的安全评估。如企业需要进行数据出境安全评估申报,则企业内部先进行现状尽调、差距分析、整改,形成自评估报告。在省委网信办形式审核通过后,再由国家网信办做审查。
何渊强调,数据出境安全评估的合规不同于传统理解的评估,包括法律、管理、技术三个角度。数据跨境传输合规性的达成并不是一蹴而就的结果,而是一个持续性的、日益渐进的过程;在与监管机构沟通与交流中,要注重强调数据跨境传输的合法性、正当性与必要性。
世界银行集团国际金融公司(IFC)金融机构局技术援助官员Collen Masunda的发言主题是“Impact of Data Protection Legislation on Data Governance Frameworks of Financial Institutions”。金融机构正面临加强数据管理和治理框架的压力。随着法律和监管环境的变化,网络风险的增加以及数据和技术的普遍应用,数据治理已经超越网络安全,成为金融机构的审计负责人最关心的问题之一。截至2021年底,全球已有151个国家实施或起草了数据保护方面的立法。欧盟GDPR正在成为大多数数据保护法律的基准,GDPR对监管影响主要体现在数据保护机构的设立上。数据保护立法改变了权力结构:大多数法律授权客户通过同意机制对其数据进行控制、数据主体有权对这些数据的使用和转移给予或拒绝给予或撤销同意。但事实上,这一权力并未得到完全落实,因为金融机构通常在消费者议价能力较低的时候(如消费者需要贷款时)寻求同意;且检查“同意”是否正确使用有实际困难等。数据保护规制的普及令金融机构的主要风险逐渐凸显,包括合规风险、跨境数据转移、数据滥用风险(特别是生成的数据)。
作为总结,Collen Masunda先生分享了一些洞见,如处理遗留数据质量问题非常重要;利用数据来创造价值仍处于早期阶段;新冠疫情加速了数字化进程;实施全企业范围的数据仓库是至关重要的;法律影响技术的实施,例如数据本地化规则影响到利用云存储和计算的能力;定期监管报告也很重要。
第二节:金融机构在个人数据治理领域的良好实践
第二节由赖金昌主持。赖金昌指出,本节中有三个问题值得重点讨论,第一,金融机构在个人数据治理方面,有哪些基本做法?包括组织架构、流程管理、责任分配、异议处理、金融消费者教育等。第二,不同经济体对金融机构有哪些具体的要求?第三,各经济体的金融监管当局,对于金融机构有没有提供相应的指引和帮助?
美国政治经济研究中心(PERC)研究部主任Patrick D. Walker的发言主题是“Emerging Good Practices of Personal Data Governance in Financial Institutions”。个人数据治理的需要可能来自法律法规、商业伙伴与数据供应商要求、保护机构品牌、形象等。数据和信息的使用是现代机构的关键,特别是金融机构。金融机构的最终目的是利用数据,而不仅仅是保护它。因此,它也必须以一种有用的方式来管理。它应该是可伸缩的、灵活的、可搜索的、可访问的和易于组织的。
对于数据治理,第一步是优先考虑IT /信息。将CTO, CIO, CSO提升到最高职位,认识到IT和信息是机构的关键;制定预算或启用预算,以反映信息在机构中的中心作用。第二步是规划召集IT团队(如CTO、CIO、CSO)和其他部门领导讨论当前和未来的需求,并计划实施整个机构的IT和信息战略。
中国交通银行数据管理与应用部副总经理周学张的发言主题是“商业银行个人数据治理实践”。商业银行数据治理的三个发展趋势是治理体系标准化、数据安全场景化、数据资源要素化。
过去数据安全被信息安全所涵盖。现在,数据安全与网络安全的概念各有侧重,数据安全侧重于用户数据主权的保护,网络安全侧重于数据传播过程中的保护。概念的区分为后续的组织架构设计、职能分布、工作安排提供了指引。
香港大学嘉里基金法学教授Douglas W. Arner以“Data Governance, Financial Data Governance and Open Banking: International and Domestic Regulatory Competition, Cooperation and Conflict”为主题发言。金融数据治理指的是与金融数据、数字金融和相关数字基础设施有关的规则和原则的异构系统。数据治理方式、金融监管和个人金融数据监管(如开放银行政策)的共同应用带来一系列挑战。第一,金融监管和数据治理有时有共同的目标,而在其他情况下则有潜在的冲突。第二,金融全球化和数据流的碎片化之间的关系日益紧张。金融数据的本地化是各经济体日益重视数字、金融和经济主权的结果,且不同金融数据制度之间缺乏互操作性。未来,金融数据本地化的趋势可能会更加明显,因为新的金融科技带来的资金流动的不透明性可能会加强数据本地化存储的需求。
在大多数方面,金融就是数据。因此,影响数据的法律和监管将对金融系统产生影响,而金融监管必须处理金融的数字化和数据化。政策制定者、监管机构和市场参与者必须重新定义金融数据和金融数据分析,摆脱基于集中控制的规则和流程,主动设计基于去中心化技术的解决方案。
驭鉴数字科技(杭州)董事兼总经理陈雷围绕反洗钱中的数据治理做主题发言。反洗钱数据的采集分为三个阶段:初次识别、风险分级、结合外部数据重新识别。数据治理本质是业务优化,而狭义的数据安全、数据保护就像是在高速路中设置的交通规则、界限等。
在反洗钱数据治理中,可以通过大数据技术识别信息流、资金流和关系图谱,提高反洗钱有效性。除了人员和技术保障之外,应当做到系统隔离:一是仅在生产机上操作,二是禁止通过移动存储设备向外拷贝数据,三是生产机与OA网段、互联网之间网络隔离。
金融机构在反洗钱数据治理中会对信息字段中的关键核心信息进行脱敏,但这不会牺牲风险标签;同时用户系统行为坚决检测,看看哪些客户的信息经常被查询,还有用户查询这些信息的异常特征,如时间段异常、查询次数异常、交易数据下载太多或者量过大等。
北京植德律师事务所合伙人兼合规部负责人王艺以“金融机构数据治理的监管趋势、合规重点与合规框架”为主题发言。从2022年的监管趋势上看,对金融机构的执法处于数据合规不同细分行业前列,具有处罚金额高,处罚对象范围广的特点。个人信息保护纠纷案件呈上升趋势。数据领域犯罪以帮助信息网络犯罪活动罪较为突出。公益诉讼案件具有立案数量大、胜诉率高的特点。
在金融机构数据治理框架方面,企业可以从战略/政策/流程、数据处理、数据跨境管理、第三方数据处理、数据安全、数据泄露管理、数据风险管理及消费者权益保护机制等八个方面搭建企业内部的数据治理框架。
在本节末尾,各位嘉宾相互进行了交流和探讨,并回答了观众的提问。
APEC-APFF总协调人、日本大和总研高级顾问Julius Caesar Parrenas指出,在当今的数字经济中,数据对企业和消费者都很重要。一些司法辖区目前正在努力开发围绕数据的下一代法律和监管框架。然而,这些努力还需进一步协调,仍然存在的数据孤岛和不同的数据安全和隐私方法都可能导致持续的低效率和增加摩擦。
数据治理的进展需要各方对未来的数据生态系统有一个共同的愿景并进行合作。为此,APEC与多方合作制定了“金融服务数据生态体系建设路线图”。该路线图旨在为创建一个有利的生态系统提供思路,以便更广泛地收集、分享和使用数据,促进普惠性和高效的金融服务。它还提出了各经济体和APEC可以采取的实际步骤,以开始创建一个区域制度安排,通过解决数据跨境流动对数据安全和隐私的影响来促进数据跨境流动执法以及数据基础设施、数据驱动型产业的发展。