数字经济时代,银行难掩“数据”之渴。
“银行正在失去获客的阵地,金融不再发生在我们的网点,金融发生在场景中。”有业内人士如是说。
与头部互联网平台、政府机构合作将成为银行重要的破局方式。但随着数据安全与个人信息保护被提上立法议程,各家金融机构从合作平台和用户处获取数据或将被监管高度关注,合规难度可能增加。
国家金融与发展实验室副主任曾刚向证券时报·券商中国记者表示,未来对数据权属的明确,或将对整个金融体系的数据中后台建设带来根本性影响,金融机构的数字化路径可能发生改变。
不同立场之间的博弈
传统业务模式中,银行主要依靠客户自身主动提供和上门访谈获取信息。步入数字经济时代,银行的业务模式已逐步转向围绕数据来展开。“有了数据之后,就可以精细用户画像,业务更能够实现精准营销,也就是获客。”有银行从业人员表示,现在最重要的就是获取数据,然后通过数据找到客户、识别客户。
然而,随着数据重要性不断提高,想尽办法获取数据的银行也被部分用户指责“过度收集个人信息”。与此同时,涉嫌侵犯个人信息的合规性风险也在增加。据移动支付网发布的《中国个人金融信息保护执法白皮书2020》不完全统计,央行在今年开出的行政处罚罚单中,案由涉及“个人金融信息”的共181张,涉罚金额合计超过1.8亿元,处罚对象包括银行、证券公司、支付机构、消费金融公司等。
从监管处罚的情况来看,无论是处罚金额还是频次上,银行都是涉罚“大户”。从银行类型来看,涉及“个人金融信息”的相关处罚包括国有大行、股份行、城商行、村镇银行以及信用社等。也即是说,银行在这类相关违规问题上具有普遍性。
部分业内人士认为,个人信息收集泛滥也是市场在便捷性和信息保护之间进行博弈后的选择,而用户作为个人信息的拥有者,也是促成这一结果的“合谋者”之一。“当前,我国民众之所以能够享受高度便利的金融支付服务,很大程度上都是用自身信息安全换来的。”有行业研究人士直言,“国人也习惯了用一定隐私的暴露来换取生活上的方便。”
用户到底是愿意让渡隐私,还是缺少选择权?亦有不同解读。有法律人士告诉记者,用户牺牲个人的一些隐私去换取可享受的消费服务多半可能是被迫的。“自然人并没有主动愿意牺牲个人隐私去换取享受的便利,很多时候是被动的。”
上述法律人士进一步表示,这也是立法导向的结果。“从立法角度而言,目前国内的法律体系在保护个人隐私方面不够完善、力度不够大”。
数据权属待明确
从某种程度上来看,不同立场之间博弈的,其实是对数据权属的争夺。
“目前,各国法律似乎还没有准确界定数据财产权益的归属,大型科技公司实际上拥有数据的控制权。”银保监会主席郭树清日前发表演讲时表示,中国政府已明确将数据列为与劳动、资本、技术并列的生产要素,数据确权是数据市场化配置及报酬定价的基础性问题。
对数据权属的讨论由来已久。浙江大学光华法学院互联网法律研究中心主任高艳东近日撰文称,郭树清恰好点中了当前数字经济的命门:权属未定,产业迷茫。
有律师向记者表示,目前数据权属迟迟无法明确的主要争议在于:经过企业处理形成的个人数据归谁所有?“例如,企业认为,针对用户的个人画像是凝聚了一定投入成本的产出物,所有权应该在企业。但如果这个数据指向用户个人,被用于向用户精准营销,用户是否有权要求企业删除该数据呢?”
数据权属问题也受到金融行业的高度关注,尤其对于正在数字化道路上探索的金融机构而言,明确其权利归属所产生的影响或许更加深远而重大。曾刚认为,未来对数据权属的明确,或将对整个金融体系的数据中后台建设带来根本性影响,金融机构的数字化路径可能发生改变。
例如,数据权属的明确将对数据使用权进行界定,或将决定金融机构的数据使用范围。曾刚对记者表示,在当前数据使用权尚未明确的背景下,数据的实际控制权在大型科技公司手上,这导致了金融机构朝着这些垄断流量、垄断数据的头部场景靠拢,数据资源也进一步向它们集中。
“这是因为目前对数据的使用是没有限制的,也就是企业实际掌握数据的控制权。”曾刚进一步解释,在这样的前提条件下,各行各业的数字化转型基本上围绕这些掌握数据的企业展开。“换句话说,由它们去为金融行业赋能,实际上就是基于它们所掌握的庞大数据量,说是技术赋能,但技术谁都有,数据才是最核心的”。
外部合作数据引关注
据了解,银行业的数据可以笼统分为来自内部体系和外部接入的数据,得益于银行较为规范的内控体系,内部数据的保管较为严谨,接入外部数据这一合作模式则受到更多关注。
有大行人士告诉记者,银行内部对个人信息的保管制度已经较为完善。具体而言,在客户资料的保管上,客户经理必须要设置密码对其进行保管。“这方面管理很严,也会定时检查与抽查,甚至搞突袭检查。”此外,银行内部也规定了员工不能在内部单独查询客户信息,如果需要查询必须在说明理由后由主管授权。同时,主管不能操作柜员的系统。
不过,宁人律师事务所金融与科技委员会副主任马军认为,银行这方面的内控仅侧重信息保管方面,而对个人信息数据的使用仍缺乏完善的制度体系。马军介绍,银行需要满足网络安全等级保护测评的要求,俗称“等保测评”,“但这个测评侧重于技术层面,对法律合规性层面缺乏要求”。
但随着法律法规的完善,银行业在外部合作的数据获取与使用上,可能会获得监管更高的关注。曾刚告诉记者,“未来如何强化对合作方的管理以及满足外部数据合规性审查等,也可能是未来银行需要重点考虑的问题。”
“近年来,银行在互联网端的业务发展迅速,内部数据很难完全满足展业需求,因此一直在拓展场景、接入外部数据。目前,银行通过自建场景获取的数据还比较少,更多的还是与主流的头部互联网平台进行对接以获取数据。”曾刚举例,比如现在广泛讨论的“开放银行”,在与场景方对接的过程中,如果外部接入的数据提供方无法满足数据安全和保护方面的合规要求,就可能将合规风险传导到银行。
“所以,强化合作的外部数据提供方可能是银行下一步要去重点关注的。”曾刚建议,银行在选取合作方时,可通过建立白名单等方式严格准入要求,同时在使用数据时也要紧紧围绕监管要求来展业。
中小银行
或面临更大挑战
“一些中小银行受限于自主研发能力,也在寻求其他利润合作联盟的方式和与金融科技企业合作,利用第三方的资源。”12月11日,国务院参事、银保监会原副主席王兆星在“第四届中国数字银行论坛”上指出,这可能是下一步中小商业银行选择之一,但也蕴含很多不确定因素和风险。
曾刚也坦言,相对大行来说,中小银行数据治理能力相对较差,在合规使用外部数据方面问题较多,加上在合作关系中不如大行强势,可能存在更多的风险。“很多国有银行、股份制银行的数据治理很多年前就开始了。”他表示,大型银行梳理和构建数据基础的行动比中小银行早得多,也走得相对更远。
未来,中小银行也应参考大银行的一些标准,逐步建立起涉及外部合作准入的一些要求。“国家在数据安全方面也可能会出台一些政策,去积极构建与之相应的一些风险管理要求,也能够及时把在外部数据对接方面出现的风险进行有效防控。”曾刚表示。
“很多中小银行的数字化做不起来,除了人才团队、业务意识和技术因素外,还有一个原因就是数据不过关。”亦有城商行人士表示,但银行的数字化建设知易行难,就以数据治理为例,不仅需要漫长的工作积累,还需要内部协同。
“从根本上来说,中小银行还是要提高自主意识,在个人信息保护方面加强技术与合规团队的建设。”马军表示,一些地方性中小银行“技术靠别人、咨询也靠别人,自主意识特别弱”。此外,银行体系内部常常“法务部门不管技术部门,技术部门不管法务部门”。
他说,“必须有两部门的统一协调,银行才能建立起较为完善的个人信息保护制度。”
法律制度尚待细化
当谈到行业规范会不会对银行的数字化转型进展产生影响时,多位业内人士向记者表示,合规是使行业变得有序的过程,能够促使企业在有法可依的范围内更好、更安全地使用数据,与发展是相互促进的良性循环。
一位支付机构人士表示,实际上,对于头部企业来说,信息泄露事件对品牌和口碑都有负面影响。所以,“它们其实很愿意提高合规能力”。亦有律师认为,“过去野蛮生长的状态下,金融机构也非常担心被罚”,如果法律法规层面逐渐完善,虽然会增加金融机构的合规成本,但其违法成本也会降低,“因为行业终于‘有法可依’了”。
但目前,监管层面还缺乏更细化的规章和明确的分工。有法律人士表示,由于目前颁布的相关草案较为笼统,行政机关和执法机关如何分工等尚未明确,所以不排除会有多头交叉监管。
马军也认为,从监管现状来看,确实存在各部门管辖权界定不清,造成一些部门“各处插手”,结果出现“九龙治水”的问题。但他指出,多头监管也不一定是问题所在,而是趋势所向,因为个人信息保护制度的建立必然需要各部门分工合作。
刘新海表示,在一个基本的法律框架下,不同地区、不同行业对数据的积累程度和需求情况各有不同。“经济发达地区,有些监管需要更加严格;经济不发达地区可以宽松一点。支持其发展,每个行业也有各自特性,对数据敏感程度不一。因此,各部门、各地方政府后续结合各自特征再推出细化的规章制度或许是更符合现实的考量。”