来源:“平安普惠金融研究院”微信公众号
适逢第7个全国“金融知识普及月”,中国人民银行于上周发布修订版《中国人民银行金融消费者权益保护实施办法》(以下简称“《办法》”),将于2020年11月1日起施行。《办法》共七章、六十八条,多处提及消费者金融信息和数据的保护要求。在金融行业数字化进程提速、数据要素市场化发展的趋势下,如何平衡数据发展和信息保护成为重要命题。
2015年国务院印发《促进大数据发展行动纲要》提出“充分利用现有企业、政府等数据资源和平台设施,注重对现有数据中心及服务器资源的改造和利用,建设绿色环保、低成本、高效率、基于云计算的大数据基础设施和区域性、行业性数据汇聚平台,避免盲目建设和重复投资”, 鼓励不同政务部门、商业机构之间,在遵循数据治理规范的前提下,以高效经济的方式进行数据共享与业务合作,打破数据竖井瓶颈,盘活数据资源。这一发展思路映射在普惠金融领域,将促进金融供给增量扩面,解决中长尾人群因结构性数据缺失、信用档案薄而难以获得金融服务的问题。
数据发展是一把双刃剑,撕开了金融行业数字化转型的突破口,为普罗大众提供金融便利,但数据要素的深度介入也带来挑战。以往,金融机构以开展对公贷款业务为主,国内企业征信行业的发展相对成熟,贷款客户的数据保护问题并未凸显。随着近年互联网消费贷款的崛起,金融消费者的各类数据逐步被应用于营销、风控、贷后等多个业务环节,数据保护问题浮出水面。
相关法律制度和细则规范的缺失、部分从业机构数据治理能力不足、合作机构准入和监管不到位、消费者自身风险防范和保护意识的薄弱等因素,形成金融消费者数据保护领域的诸多灰色地带。
金融消费者数据安全风险有哪些?
数据泄露 从业机构和金融消费者的共同挑战
根据IBM发布的一项报告,每条丢失或被盗数据的平均成本为158美元,3年内增加了15%;而美国非盈利组织Privacy Rights Clearinghouse的统计数据显示,截至2018年末,全世界金融业累计发生的数据泄露已高达6.44亿次,而在2005年,这个数字仅为762次。数据泄露俨然是金融数据安全最“贵”的风险。数据泄露不仅容易造成个人隐私信息被盗用、贩卖,导致消费者遭到违规营销骚扰,甚至引发经济损失;而从业机构也将因此面临司法纠纷、行政处罚,品牌声誉下滑等危机。
数据泄露的途径分为外部泄露和内部泄露两种。前者顾名思义,指因黑客攻击、病毒、钓鱼性链接等外部恶意攻击导致的泄露。内部泄露,则主要指由从业机构内部员工因操作疏忽、失误导致的无意泄露,或为不当牟利而有预谋地泄露或贩卖客户数据。
另外,消费者信息保护意识淡薄也是数据泄露风险滋生的一个因素。较为常见的现象是账户管理疏忽,如密码太简单、不经常更换密码、随意向他人透露密码等。消费者中也存在不少“用隐私换便利”的情况。2018年中国消费者协会发布《APP个人信息泄露情况调查报告》显示,接近60%用户在授权APP时从不或仅偶尔阅读用户协议或隐私政策。另一份调研报告显示,在愿意用隐私信息换取服务便利的消费者中,约67%的消费者是为享受折扣或促销;40%是为了能够一键登录便捷使用。
数据过度收集和运用 大数据诱惑的近忧与远虑
《办法》第二十九条和第三十八条分别指出,“银行、支付机构不得收集与业务无关的消费者金融信息”,“银行、支付机构应当按照法律法规的规定和双方约定的用途使用消费者金融信息,不得超出范围使用”。原则上,从业机构收集和使用客户数据均应遵循“最小化”原则,即只为当前交易,只用于当前交易。
商业的逐利性让从业机构很难摆脱大数据的“诱惑”,其实互联网公司将留存在自有生态体系内的数据用于客户行为分析和预测,进行既有业务的优化和新业务的开发,本无可厚非,也是数字化发展的应有之义。但市场上也不乏以大数据来谋不义之财的行为,形成对消费者利益的威胁,近两年多次被热议的“大数据杀熟”套路就是一个典型案例。
理论上,消费者是个人数据的所有者,拥有管理自身数据的权益,但在供需双方的实际交互中,真正对数据进行支配和运用的其实是服务商,而非用户本身。由于金融素养不足和金融产品的复杂性,不少用户会被动选择放弃主动性,掉入“授权免责陷阱”,成为数据安全隐患。
从长远角度,服务商也并非一直是受益方。普遍认为,数据资产是“多多益善”,这是因为只看到了大数据的红利,却忽视了其成本。事实上采集、使用、保有数据等都会产生大量的财务成本、合规成本,是数据资产所附带的隐形负担。如果服务商无法持续从大数据中挖掘价值,反哺主营业务创造收益,那么大数据资产反而成为一种需要“远虑”的风险。
如何保障消费者数据安全?
监管顶层设计和制度已逐步完善,近年连续出台的多个金融消费者保护和金融数据治理的监管文件明确了监管原则、责任主体和数据治理的相应规范。站在服务机构的视角,则可以从管理、制度和技术层面切入,落实金融数据保护责任。
建立数据安全管理的组织架构,明确责权。当数据成为一种生产要素,数据安全就应当被提升到生产安全问题的高度来看待。相应的,从业机构需要将数据安全治理视作“一把手”工程,相关的组织架构需要吸纳从决策层到技术基层的力量,并制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,将数据安全治理方针贯穿整个组织架构链条。
形成端到端的数据保护体系。数字经济时代,数据的应用已然渗透在业务的各个环节,这就要求数据安全管理需要遵循端到端全生命周期覆盖的原则,流程上包括业务经营、风险管理和内部控制流程中的全部数据,数据源上包括内部数据和外部数据,管理范围上覆盖所有分支机构和附属机构。在机构间合作逐渐常态化的背景下,金融机构的数据保护举措还应当包括对合作机构的准入、合作数据源的审查以及合作机构客户交互的监管等。
实施管理权限分权化。目前,部分机构仍采取“最小化员工数据管理权”的方式来满足数据安全要求,但这种方式存在弊端,虽然管理权限获取人数的最小化原则能够降低内部数据泄露的风险,但同时也会限制员工的工作效率。更合理的方式是:管理权限的分权化,即将权限分散在不同人员手中,接近数据的任何人员可以根据职能需求访问客户的某些字段,但不能访问所有字段。
明确考核机制和奖惩制度。正负面清单约束力的有效发挥,离不开奖惩制度的设置。通过落到实处的考核制度和奖惩机制,对数据管理人员进行正面引导,抬高违规成本,让数据泄露、贩卖等不当行为成为一门“损人不利己”的亏本买卖,更有助于斩断利益链条,从源头上规避操作风险行为。
发展数据安全治理技术。在技术层面,除了通过防火墙、反扒、智能监控各种技术手段防范数据不受外部攻击之外,从业机构也应积极探索数据安全治理技术,用数字化的手段应对数据安全问题,及时诊断和预警业务操作过程中出现的数据安全风险,并设计灵活高效的响应和处置机制。
