作者:中国人民银行济南分行 刘振海 马征 王栋
中国人民银行东营市中心支行 丁福利
为保护公民免受隐私和数据泄露的影响,欧盟颁布了《通用数据保护条例》(GDPR),自2018年5月25日GDPR正式施行以来,包括谷歌、Facebook在内的许多企业被依据GDPR起诉或处罚。与此同时,我国个人信息保护工作也在稳步推进,一方面国家法规标准陆续出台,另一方面包括金融行业在内的各行业也在根据自身特点完善落实措施。当前,越来越多的金融机构走出国门、走向世界,面对GDPR的挑战我国金融行业将如何应对,值得我们深入探讨。
GDPR颁布与我国数据保护制度的形成
GDPR适用范围不仅包括欧盟内的企业,也包括在欧盟营运以及搜集、处理或利用欧盟公民个人信息的企业或组织等。GDPR规定用户在数据方面享有数据访问权、被遗忘权、限制处理权以及数据移植权等权利,对企业做出了非常严苛详细的规定,并对企业违法行为的惩罚力度非常大。GDPR生效的第一天,Facebook和谷歌就遭到起诉,被指控强迫用户同意共享个人数据。这一诉讼讲使Facebook和谷歌将分别面临39亿欧元和37亿欧元(共计约88亿美元)的罚款。2019年1月22日,法国数据保护监管机构CNIL根据GDPR对谷歌开出了5000万欧元的罚单,这是GDPR颁布以来最大的罚单。
在我国,个人金融信息保护制度体系也正在形成。2017年6月1日正式实施的《网络安全法》在法律层面明确了个人信息保护工作的基本要求。《个人信息安全规范》于2018年5月1日正式实施,《个人信息保护法(草案)》也在加紧制定当中。从金融行业看,人民银行于2016年正式发布了《中国人民银行金融消费者权益保护实施办法》并组织金融机构开展了一系列具体工作,大力推进金融消费者的个人信息保护工作。2019年2月发布的《中国人银行网络数据安全管理指南》则从技术角度明确了个人数据安全管理要求。
GDPR对我国金融行业的挑战
1.GDPR与我国制度存在矛盾性和差异性。GDPR与我国制度存在矛盾性。根据GDPR的规定,如果国内金融机构在欧盟境内设有分支机构,欧盟的监管机构有权进入其国内的经营场所或相关业务系统进行调查的权力。这将直接冲击我国《网络安全法》第37条个人数据和重要数据出境制度的实施,同时也对我国数据主权带来潜在的威胁。在此背景下,欧盟境内金融机构将面临巨大的挑战。GDPR与我国制度存在差异性。我国在个人金融信息保护方面也在加紧向欧盟看齐,但整体来看,GDPR对于个人金融信息保护的力度更大,对于金融机构的约束力更强、违规处罚力度更大。两者的差异性导致在同时在中、欧开展业务的金融机构需要设置不同的管理流程,采用不同程度的技术措施,使得合规业务面临诸多难题。
2.对金融科技应用带来挑战。金融科技以数据和技术为核心,包括大数据、人工智能、云计算和区块链等技术创新在金融行业的发展应用。但在GDPR严格的数据收集及应用要求下,金融科技应用面临较大挑战。一是不利于大数据和人工智能在金融领域的应用。目前金融行业广泛利用大数据技术进行客户评估,按照GDPR的规定,金融机构以营销为目的而处理用户的个人金融信息,则用户有权在任意时间提出异议。这使得获取大量用户金融数据将变得非常困难,同样会影响到需要使用大量样本数据做支撑的深度学习算法(人工智能的核心算法之一)。二是对于云计算应用带来了重大挑战。在一般行业中,服务商是数据处理者和数据控制者,用户是数据主体。而在云计算应用中,云服务商是数据处理者,云的用户是数据控制者和数据主体。GDPR对于数据控制者、数据处理者在大多数情况下提出了相同的要求,也就是说普通云用户和服务商一样需要承担较多的要求和责任,这对于普通用户来说是难以实现的。三是对于区块链应用带来冲击。区块链是去中心化的共识算法,而GDPR的规则要求中心化的机构去承担相关保护义务,以实现对个人金融信息保护的目的,两者存在矛盾性。
3.金融机构合规成本短期内将显著上升。GDPR要求金融机构处理和控制个人金融信息必须取得用户同意,并采取简洁明了的语言让用户了解其个人金融信息的使用和处理情况。GDPR规定超过250人的金融机构需要设立数据保护官。如上要求将会在短期内提高金融机构的合规成本。全球知名公司Oliver Wyman合伙人Chris McMillan提出,金融机构在调整客户数据处理方式和IT基础设施方面存在巨大挑战,每个用户的信息可能在一家银行上百个业务系统中控制和处理,每个业务系统的调整可能都需要数月的时间,短期内难以满足GDPR的制度要求。
4.金融机构将面临高额罚款的风险。由于GDPR的条款设置非常严格,金融机构难以在短时间内达到合规要求,会面临巨额违规罚款的风险,给跨国金融机构的发展带来较大的挑战。对于数据安全保障措施不力、没有提供全面透明的隐私政策以及没有签订书面的数据处理协议等行为,最高可处1000万欧元或上一年度全球营业收入2%的罚款,两者取其高者。对于违反数据处理一般性原则、侵害个人的合法数据权利以及拒绝服从监管机构的执法命令等行为,最高可处2000万欧元或者上一年度全球营业收入4%的罚款,两者取其高者。对于我国的大型银行来说,一旦触犯这些规定,将可能面临数十亿乃至上百亿元的天价罚金。
中国金融行业应对GDRP的对策建议
1.加强与欧盟监管当局合作。GDPR在对个人信息处理提出严格要求的同时,赋予监管机构各种权利,包括对违反规定的单位处以巨额罚款的权利。发生个人数据泄露事件后,G-DPR要求事发机构在72小时内向所在国家监管当局报告。因此,金融机构应建立与国内监管、海外监管之间顺畅的沟通和报告机制,加强与欧盟金融机构及监管机构的沟通,及时了解监管动态,借鉴欧盟各金融机构响应GDPR的经验教训,加强个人信息保护工作。
2.加强制度建设,保证个人数据处理合规合法。全球化程度越高的银行受到GDPR的影响越大。国内金融机构(包括互联网银行)应当对GDPR条款进行深入研究和解读,并进行全面对标评估和检查,制定改进计划和措施。金融机构要完全满足GDPR条款要求,需要从产品设计、营销、服务、数据管理等多个方面统筹管理,全面和系统性地解决合规问题。对于短期不能解决的问题,要考虑制定应急预案等过渡性方案,保证个人数据处理的合规性;同时,也应规划长远解决方案,保证问题的彻底解决。
3.加快出台我国数据出境安全评估办法。GDPR规定:欧盟委员会有权将面向欧盟服务的他国企业的个人数据转移出境,并进行检查。《网络安全法》第37条规定我国重要个人数据应在境内存储,确需出境的需要进行安全评估。上述条款将给面向欧盟服务的我国企业带来巨大挑战。目前,《个人信息和重要数据出境安全评估办法(征求意见稿)》尚未正式实施,基于我国个人信息的安全性和捍卫数据主权的考虑,应尽快落实我国数据出境安全评估办法。
4.加大违法惩处力度,保证个人信息安全性。面对日益严峻的个人信息泄露的巨大的黑色产业链,我国现有法规的处罚较轻,导致大量违法分子铤而走险,侵害公民个人信息的案件时有发生。对此,应加大惩处力度,提高违法成本。一是在《网络安全法》中提高罚款金额的上限;二是在《个人信息保护法(草案)》中增加处罚的方式;三是在《刑法》中加大对违法犯罪分子的量刑标准。此外,还可以增加其他惩处措施,例如将行政处罚情况向社会公告,将违法行为记入社会信用报告等。
5.建议建立数据分级制度,细化管理规则。建议在个人敏感信息和非个人敏感信息分类的基础上,对个人信息进行更为细化的多级分类。比如,对非个人敏感信息可以进一步分为姓名、民族和学历等基本信息,以及网购记录、网页浏览历史等反映客户兴趣爱好的生活信息。前者泄露对用户损失很小,后者泄露将会被广告商利用,给用户生活带来不良影响。对个人敏感信息也可以进一步细分为健康情况、住院史和宗教信仰等隐私信息,以及银行卡账号、常用口令、邮箱密码等财产信息。前者泄露将侵犯用户的隐私权,后者泄露将给用户的财产安全带来风险。对个人信息进行分级制度管理,将管理重点放在高风险数据上,不仅能提高数据的安全性,更能提高金融机构对数据的利用程度。
6.加强技术防范,避免个人数据泄露事件发生。有效防范个人数据泄露事件是落实个人数据隐私权保护的重要措施。金融机构应根据GDPR要求,进一步完善技术保护措施,通过加固基础环境安全保护,以预防外部黑客攻击事件发生;通过在数据存储、数据加工、数据访问采用相应技术措施,实现数据访问最小化,数据加工匿名化和数据储存的加密化。近期,Facebook因为涉及泄露大量客户数据正遭遇信任危机,美国哈德逊湾旗下百货公司数据外泄导致500万张银行卡信息被黑客盗取,我国也发现肆意盗取政府、银行等企业数据的免费WIFI软件。我国金融行业应当高度警惕数据安全风险,一方面提升自身的IT系统建设和信息安全防护能力,另一方面可以设立专业的数据保护官和配套管理机制,专门负责数据管理与数据安全,提升数据合规管理的能力。
本文节选自《金融电子化》2019年04月刊
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。