×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>商业银行互联网贷款视角中个人风险数据在全生命周期中的合规分析

商业银行互联网贷款视角中个人风险数据在全生命周期中的合规分析

2020-03-27   金震华,宋华健

2020年1月18日,银保监会下发关于征询《商业银行互联网贷款管理暂行办法》(“《暂行办法》”)意见的通知,旨在对互联网贷款业务的规范经营进行规制。互联网贷款的核心要素包括三个方面:(1)在技术上,运用互联网和移动通信等技术手段;(2)在风险控制上,依赖风险数据与风险模型进行验证和风险管理;(3)在交易模式上,完全采用线上自动受理、评估、审批、签约、放款及贷后管理等全流程操作。因此,风险数据对互联网贷款风险管理的意义远远超过传统信贷业务。从借款人角度看,风险数据涉及机构或企业借款人的机构风险数据,以及个人(自然人)借款人的个人风险数据。在数据的合规与管理方面,尽管两者均适用银行数据治理的总体框架,但对个人风险数据的合规远比机构负责,因为其还涉及个人金融信息保护问题。

一、涉及个人风险数据的合规事项应适用个人金融信息保护相关规范

所谓风险数据,是指商业银行在对借款人进行身份确认,以及贷款风险识别、分析、评价、监测、预警和处置等环节收集、使用的各类内外部数据(《暂行办法》第三条第二款)。借款人涉及机构借款人与个人借款人,其中个人借款人的风险数据与个人金融信息保护、隐私保护等多重因素有关。2011年人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》中就提到了“个人金融信息”的概念,即“个人金融信息”是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。2020年2月,中国人民银行印发的JR/T 0171-2020发《个人金融信息保护技术规范》(“《个人金融信息规范》”)第3.2款明确规定,个人金融信息指的是“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”。

因此,“风险数据”与“个人金融信息”在内容上存在相互交叉重叠,“个人金融信息”中可以对个人贷款风险进行识别、分析、评价、监测、预警、处置等活动的相关数据属于个人的风险数据,因此个人金融信息的内涵外延大于个人风险数据,个人风险数据的处理仍应当适用个人金融信息保护的一般规定。

在2018年颁布的《银行业金融机构数据治理指引》(“《银行数据指引》”)中,一方面明确规定适用于所有银行业金融机构,另一方面因银行互联网贷款本身就是以大数据收集、应用为基础的业务,因此有关互联网贷款风险数据的治理也应适用该项指引。在《银行数据指引》第二十四条第二款规定,银行采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息有关的国家标准。我国涉及个人信息保护的相关标准,除了上述《个人金融信息规范》外,还涉及2013年2月实施的GB/Z 28828-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》,2018年5月1日实施的GB/T 35273-2017《信息安全技术 个人信息安全规范》及修订后全国信息安全标准化技术委员会于2020年3月6日发布GB/T 35273-2020《信息安全技术 个人信息安全规范》(“《个人信息安全规定2020版》”)。


因此,涉及个人金融信息相关的风险数据,在银行合规与风险管理中须重点关注的政策文件除了《暂行规定》,还有《银行数据指引》、《个人金融信息规范》、《个人信息规范2020版》等相关指引和标准。


二、数据全生命周期中的个人风险数据合规

《暂行办法》第三十二条规定:“商业银行应当建立风险数据安全管理的策略与标准,采取有效技术措施,保障借款人风险数据在采集、传输、存储、处理和销毁过程中的安全,防范数据泄漏、丢失或被篡改的风险”。显然,这是从数据生命周期角度阐述风险数据的安全管理规范,但该办法未对上述环节的内涵与外延做出明确界定。当然,该《暂行办法》所归纳的5个环节与《个人金融信息规范》所规定的6个环节存在表述上的差异。在解释上,可将《暂行办法》中风险数据的“处理”环节与《个人金融信息规范》第4.3款“个人金融信息生命周期”中的“使用”和“删除”环节相关联。

需要指出的是,在个人金融信息保护语境下,数据的“删除”与“销毁”在定义上存在不同,前者是使个人金融信息不可被检索、访问的过程,后者是对个人金融信息进行清除,使其不可恢复的过程。

此外,需要注意的是,在传统银行数据治理中将数据交换作为一个独立的环节。《电子银行业务管理办法》第五十四条规定,电子银行业务的数据交换与转移,是指金融机构根据业务发展和管理的需要,利用电子银行平台与外部组织或机构相互交换电子银行业务信息和数据,或者将有关电子银行业务数据转移至外部组织或机构的活动。可见,银行数据交换需满足以下三个特点:(1)转移的对象为商业银行的业务信息和数据;(2)转移的目的需以业务发展和管理需要为前提;(3)转移的主体应为两个不同的主体,数据接收方或交换方既可以是金融机构本集团内部的组织或机构,亦可以是外部的组织或机构。

三、关于个人风险数据采集中的合规要求

风险数据的采集时整个数据生命周期的第一个环节,也是风险管理的重中之重。数据采集的来源的合法、合规性存在问题,如同“毒树之果”,后续的数据储存、使用或处理等环节必然会收到影响,且存在民事、行政,乃至刑事法律风险。《个人金融信息规范》与《个人信息安全规定2020版》规定应根据信息类别确定个人金融信息收集方案,除“明确授权-同意”原则、“最小必要”原则外,还提出以下具体行为规范与与技术要求:

(1)不应欺诈、诱骗,或以默认授权、功能捆绑等方式误导强迫个人金融信息主体提供信息,应保障用户在多项业务功能间的自主选择权,尊重个人信息主体的自主意愿;

(2)不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;

(3)不应通过非法渠道间接获取个人金融信息,应确保收集信息来源的可追溯性,间接获取个人信息时还应了解应个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;

(4)不应隐瞒金融产品或服务所具有的收集个人金融信息的功能,应采取技术措施(如弹窗、明显位置URL链接等),引导个人金融信息主体查阅隐私政策,并获得其明示同意后,开展有关个人金融信息的收集活动;

(5)不应收集法律法规与行业主管部门明令禁止收集的个人金融信息,对于C3类别信息,通过受理终端、客户端应用软件、浏览器等方式收集时,应使用加密等技术措施保证数据的保密性,防止其被未授权的第三方获取;

(6)通过受理终端、客户端应用软件与浏览器等方式引导用户输入(或设置)银行卡密码、网络支付密码时,应釆取展示屏蔽等措施防止密码明文显示,其他密码类信息宜采取展示屏蔽措施;

(7)在网络支付业务系统中,应采取具有信息输入安全防护、即时数据加密功能的安全控件对支付敏感信息的输入进行安全保护,并采取有效措施防止合作机构获取、留存支付敏感信息;

(8)在停止提供金融产品或服务时,应及时停止继续收集个人金融信息的活动。

四、关于个人风险数据传输中的合规要求

《暂行办法》第四十七条要求商业银行应当采用有效技术手段,保障借款人数据安全,确保商业银行与借款人、合作机构之间传输数据环节数据的保密性、完整性、真实性和抗抵赖性,并做好定期数据备份工作。对于个人风险数据传输过程的参与方应保证其在传输过程中的保密性、完整性和可用性,具体技术要求如下:

(1)应建立相应的个人金融信息传输安全策略和规程,采用满足个人金融信息传输安全策略的安全 控制措施,如安全通道、数据加密等技术措施;

(2)传输个人金融信息前,通信双方应通过有效技术手段进行身份鉴别和认证;

(3)通过公共网络传输时,C2、C3类别信息应使用加密通道或数据加密的方式进行传输,保障个人金融信息传输过程的安全;对于C3类别中的支付敏感信息,其安全传输技术控制措施应符合有关行业技术标准与行业主管部门有关规定要求,采取加密等安全措施;

(4)应根据个人金融信息的不同类别,釆用技术手段保证个人金融信息的安全传输;低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授权完整要素的情况),应提升相应的安全传输保障手段;

(5)个人金融信息传输的接收方应对接收的信息进行完整性校验;

(6) 应建立有效机制对个人金融信息传输安全策略进行审核、监控和优化,包括对通道安全配置、密码算法配置、密钥管理等保护措施的管理和监控;

(7)应采取有效措施(如个人金融信息传输链路冗余)保证数据传输可靠性和网络传输服务可用性。

五、关于个人风险数据储存中的合规要求

在安全管理方面,涉及个人金融信息的储存应满足国家法律法规与行业主管部门的有关要求,并符合授权使用的目的所必须的最短时间要求,超过该期限后,应进行删除或匿名化处理。对数据储存的技术要求为:

(1)应留存非本机构的银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN 和CVN2)、银行卡密码、网络支付密码等C3类别信息,若确有必要留存的,应取得个人金融信息主体及账户管理机构的授权;

(2)应根据个人金融信息的不同类别,釆用技术手段保证个人金融信息的存储安全,将个人生物识别信息与个人身份信息分开储存;低敏感程度类别的个人金融信息因参与身份鉴别等关键活动导致敏感程度上升的(如,经组合后构成交易授 权完整要素的情况),应提升相应的安全存储保障手段;

(3)C3类别个人金融信息应采用加密措施确保数据存储的保密性;

(4)受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生 物识别信息的样本数据、模板,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时予以清除;

(5)釆取必要的技术和管控措施保证个人金融信息存储转移过程中的安全性;

(6)收集个人金融信息后,个人金融信息控制者宜立即对个人金融信息数据进行去标识化处理,并采取技术和管理方面的措施,将去标识化、匿名化后的数据与可用于恢复识别个人的信息采取逻辑隔离的方式进行存储并加强访问和使用的权限管理,确保去标识化、匿名化后的信息与个人金融信息不被混用;

(7)在停止运营时,应及时停止继续收集个人金融信息,并将停止运营的通知以逐一送达或公告的形式通知信息主体。此外,还应依据国家法律法规与行业主管部门有关规定要求,对所存储的个人金融信息进行妥善处置,或移交国家与行业主管部门指定的机构继续保存。

六、关于个人风险数据处理的合规要求

1、关于委托处理

由于在《个人金融信息规范》中直接规定了C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理,因此就风险数据能否进行委托处理应当从其具体情况出发。

“C3类别信息以及C2类别信息中的用户鉴别辅助信息”主要包含用户主体身份鉴别,即身份识别的相关数据,而“个人风险数据”除了身份识别外侧重点在于包括对客户贷款综合风险进行评估的各种数据,可见“个人风险数据”概念外延大于“C3类别信息以及C2类别信息中的用户鉴别辅助信息”,两者是一种包含关系。因此“个人风险数据”在处理过程中,涉及到“C3类别数据以及C2类别信息中的用户鉴别辅助信息”应当遵守其在委托处理以及披露方面的禁止性特殊规定。

2、个人风险数据共享、转让的具体要求

(1)应向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型,并事先征得个人金融信息主体明示同意,共享、转让经去标识化处理(不应仅使用加密技术)的个人金融信息,且确保数据接收方无法重新识别个人金融信息主体的除外;

(2)准确记录和存储个人金融信息的共享、转让情况,包括共享、转让的日期、规模、目的,帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况以及数据接收方基本情况等,通过合同等方式规定数据接收方的责任和义务;

(3)个人金融信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制成消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息;

(4)C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让;

(5)转接清算、登记结算等情况,应依据国家有关法律法规与行业主管部门有关规定与技术标准执行;

(6)当因收购、兼并、重组、破产等情况,对个人金融信息主体提供金融产品或服务的金融业机构主体变更而发生个人金融信息共享、转让时,具体要求如下:(a)金融业机构将其提供的金融产品或服务移交至其他金融业机构的情况,应使用逐一传达(或公告)的方式通知个人金融信息主体;(b)承接其金融产品或服务的金融业机构,应对其承接运营的金融产品或服务继续履行个人金融信息保护责任;如变更其在收购、兼并重组过程中获取的个人金融信息使用目的,应重新获得个人金融信息主体明示同意(或授权)。

(7)因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任。

3、个人风险数据公开披露的具体要求

(1)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

(2)应向个人金融信息主体告知公开披露个人金融信息的目的、类别,并事先征得个人金融信息主体的同意,并向其告知涉及的信息内容;

(3)准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;

(4)承担因公开披露个人金融信息对个人金融信息主体合法权益造成损害的相应责任;

(5)C3类别信息,以及C2类别信息中的用户鉴别辅助信息不应公开披露。

4、因金融产品或服务的需要,银行将收集的个人金融信息委托给第三方机构处理的,须从自身和第三方机构(包含外包服务机构和外部合作机构)两个层面做好应对工作

对银行自身的要求具体包括以下6个方面:

(1)委托行为不应超出己征得个人金融信息主体授权同意的范围或遵循《个人金融信息规范》7.1中对于征得授权同意的例外所规定的情形,并准确记录和保存委托处理个人金融信息的情况;

(2)C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。转接清算、登记结算等情况,应依据国家有关法律法规及行业主管部门有关规定与技术标准执行;

(3)对委托处理的信息应釆用去标识化(不应仅使用加密技术)等方式进行脱敏处理,降低个人金融信息被泄露、误用、滥用的风险;

(4)应对委托行为进行个人金融信息安全影响评佔,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施;

(5)应对第三方机构等受委托者进行监督,方式包括但不限于:(a)依据《个人金融信息规范》7.2.1的要求,通过合同等方式规定受委托者的责任和义务;(b)依据《个人金融信息规范》7.4.2的要求,对受委托者进行安全检査和评估;

(6)应对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,确保其个人金融信息收集、使用行为符合约定要求;并对其收集个人金融信息的行为进行审计,发现超出约定行为及时切断接入。将收集的个人金融信息委托给第三方机构处理的,应对第三方机构等受委托者提出如下要求:

(1)应严格按照金融业机构的要求处理个人金融信息,如因特殊原因受委托者未能按照要求处理个人金融信息,应及时告知金融业机构,并配合金融业机构进行信息安全评估,并采取补救措施以保护个人金融信息的安全,必要时应终止其对个人金融信息的处理;

(2)未经书面授权,受委托者不应将其处理的个人金融信息再次委托给其他机构进行处理;

(3)应协助响应个人金融信息主体的请求;

(4)如受委托者在处理个人金融信息过程中无法提供足够的信息安全保护水平或发生安全事件,应及时告知金融业机构,配合进行信息安全评估与安全事件调査,并釆取补救措施以保护个人金融信息的安全,必要时应终止其对个人金融信息的处理;

(5)在委托关系解除时(或外包服务终止后),受委托者应按照金融业机构的要求销毁其处理的个人金融信息,并依据双方协商的期限承担后续的个人金融信息保密责任;

(6)应准确记录和保存委托处理个人金融信息的情况。

5、境内金融机构风险数据因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供的,具体要求如下:

(1)应符合国家法律法规及行业主管部门有关规定,如《金融消费者权益保护实施办法》中第三十四条规定:“在中国境内收集的消费者金融信息的存储、处理和分析应当在中国境内进行。因业务需要,确需向境外提供消费者金融信息的,应当同时符合以下条件:(一)为处理跨境业务所必需;(二)经金融消费者书面授权;(三)信息接收方为完成该业务所必需的关联机构(含总公司、母公司或者分公司、子公司等);(四)通过签订协议、现场核查等有效措施,要求境外机构为所获得的消费者金融信息保密;(五)符合法律法规和其他相关监管部门的规定。”

(2)应获得个人金融信息主体明示同意;

(3)应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估,确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求;

(4)应与境外机构通过签订协议、现场核査等方式,明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协査等职责义务。

6、个人风险数据删除的相关要求

根据《个人金融信息规范》第3.25款的定义,删除(delete)系在金融产品和服务所涉及的系统中去除个人金融信息的行为,使其保持不可被检索、访问的状态。个人金融信息在删除过程中的具体技术要求如下:

(1)应釆取技术手段,在金融产品和服务所涉及的系统中去除个人金融信息,使其保持不可被检索和访问;

(2)个人金融信息主体要求删除个人金融信息时,金融业机构应依据国家法律法规、行业主管部门有关规定以及与个人金融信息主体的约定予以响应。

七、关于个人风险数据销毁的合规要求

关于个人风险数据在销毁过程中的具体要求如下:

(1)应建立个人金融信息销毁策略和管理制度,明确销毁对象、流程、方式和要求;

(2)应对个人金融信息存储介质销毁过程进行监督与控制,对待销毁介质的登记、审批、介质交接、销毁执行等过程进行监督;

(3)销毁过程应保留有关记录,记录至少应包括销毁内容、销毁方式号时间、销毁人签字、监督人签字等内容;

(4)存储个人金融信息的介质如不再使用,应采用不可恢复的方式(如消磁、焚烧、粉碎等)对介质进行销毁处理;存储个人金融信息的介质如还需继续使用,不应只采用删除索引、删除文件系统的方式进行信息销毁,应通过多次覆写等方式安全地擦除个人金融信息,确保介质中的个人金融信息不可再被恢复或者以其他形式加以利用;

(5)云环境下有关数据清除应依据JR/T 0167-2018的9. 6执行。

相关研究