7月24日,中国人民银行官网发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《征求意见稿》”),其中提到,数据安全工作遵循“谁管业务,谁管业务数据,谁管数据安全”基本原则。 针对数据治理、数据安全等方面的问题,《中国经营报》记者采访了毕马威中国华南区金融科技主管合伙人蔡正轩及毕马威中国金融科技财务咨询审计服务合伙人陈思杰。陈思杰认为,金融机构的数字化转型逐步进入深水区和攻坚期,亟须在获客、风控、运营等方面加快补齐数字化短板,将金融科技应用重点更多向优流程、强运营倾斜。蔡正轩提示道,根据调研,数据要素流通和融合应用是金融机构数据治理的主要痛点,同时,金融数据治理仍需重点关注过度采集个人信息的隐私安全问题。 规范数据处理者行为 人民银行在《<中国人民银行业务领域数据安全管理办法(征求意见稿)> 起草说明》中指出,《征求意见稿》细化明确人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务,保障消费者和企业用户的合法权益,促进数据要素市场高质量发展。 所谓数据处理者,《征求意见稿》中明确,是指开展数据处理活动的金融机构和其他机构。 《征求意见稿》强调,数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划;数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。 蔡正轩认为,金融机构是数据要素流通较为活跃的行业,既是数据的需求方,也是数据的共享方,数据的有效流通有助于促进数据价值释放。 毕马威中国此前发布的《2023年中国金融科技企业首席洞察报告》显示,近三年,各类金融机构的数字化转型评分基本处于2~4分,数字化进度保持平稳。其中,银行业评分连续三年稳居第一,保持在3.5分以上。陈思杰告诉记者,从近期银行在科技领域的主要投入分析到,银行主要投入方向包括获客、风控、远程、offline服务等方面,其中,数据的应用十分普遍。 具体来看,获客方面,银行以客户深度洞察为核心,以数据分析、AI为依托,全维度沉淀客户数据资产,深挖客户数据价值,分析客户个性化需求,为精准营销和产品升级提供依据与助力。风控方面,银行通过深入运用大数据、创新AI算法、区块链技术等拓展风控覆盖面,建立数字化、智能化的监测和预警体系,提高风险的识别、判断和分析效率,提升数字化风控能力。运营方面,银行以降本增效为驱动,搭建运营数据集市,以应用场景为导向,建设运营指标标签,搭建运营数据分析体系;打通运营业务流程,实现线上线下流程的衔接,构建全渠道、场景化、精细化的客群运营体系;通过数字化技术实现企业运营管理指标化、数据透明化、过程可视化、行动敏捷化、价值最大化。 “近年来,在消费互联网快速发展的背景下,我国金融机构数字化转型可以说是基于零售、始于营销,在这些方面的数字化程度往往较高。但是随着消费互联网‘红利效应’递减,金融机构的数字化转型逐步进入深水区和攻坚期,亟须在获客、风控、运营等方面加快补齐数字化短板,将金融科技应用重点更多向优流程、强运营倾斜。”陈思杰说。 加强数据融合+提升数据私隐保护 在《征求意见稿》之前,2022年12月,中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),旨在从数据产权、流通交易、收益分配、安全治理等四方面构建数据基础制度,增强金融科技等领域的发展新动能。 “目前,加强数据融合和提升数据私隐保护等是银行数据治理的主要发力方向。”谈及目前金融机构在数据治理方面的难点,蔡正轩告诉记者,金融科技正处于爬坡过坎的深化应用阶段,业务拓展和运营管理各领域各环节均需要数据支持,对数据要素流通和融合应用的需求极为迫切。但目前数据来源多样、数据标准不同、数据质量不一,叠加对数据安全和隐私保护的考虑限制了数据融合应用,数据共享和融合应用依然面临现实困难,数据要素价值难以充分发挥。 关于数据融合创新应用管理措施要求,《征求意见稿》亦指出,数据处理者采用隐私计算等技术促进数据融合创新应用时,应当确认原始数据未离开自身控制范围,且多个数据提供行为关联后,暴露约定范围外信息的风险可控。 “根据调研,数据要素流通和融合应用仍是金融机构数据治理的主要痛点,选择此选项的受访占比56%,比去年提高4个百分点。同时,金融数据治理仍需重点关注过度采集个人信息的隐私安全问题,42%的企业将其作为第一选项,相比2022年上升了5个百分点。此外,缺乏覆盖数据生命周期的治理框架(42%)、数据质量较低(34%)、基于算法的价格歧视和掠夺式定价(31%)等也是普遍存在的数据治理问题。”蔡正轩表示。 蔡正轩认为,破解金融机构数据治理难题需要进一步落实《数据安全法》、《个人信息保护法》、“数据二十条”等法律规范和相关金融标准规则,建立涵盖数据全生命周期的数据安全管理体系。具体来看,可以探索建立公共数据、企业数据、个人数据的分类分级确权授权制度,遵循“用户授权、安全合规、分类施策、最小够用、可用不可见”等原则,规范自身采数、用数、存数行为,定期开展数据安全审计和外部评估,注重运用区块链、隐私计算等技术,推动金融数据安全共享与融合应用;综合运用约谈高管、限期整改、行业通报、监管评级挂钩、行政处罚等各类监管措施,持续加大对侵犯个人隐私、违规采集数据、非法数据买卖等危害金融消费者权益的行为的监管执法及惩处披露力度,进一步加强个人金融信息保护和金融数据安全保障。
|