2021年11月,《個人信息保護法》(下稱《個保法》)正式施行。
“過去一年期間,《個保法》對我們業(yè)務(wù)流程合規(guī)化帶來了不少提升。”一位股份制銀行合規(guī)部門人士向記者透露,除了銀行APP更新個人隱私政策——將與個人權(quán)益存在重大關(guān)系的條款和個人敏感信息獲取范疇采用粗體字標注,并如實告知個人數(shù)據(jù)使用范疇,銀行內(nèi)部也采取多項措施持續(xù)規(guī)范客戶數(shù)據(jù)使用。
他透露,今年上半年他所在銀行專門從技術(shù)部門與合規(guī)部門抽調(diào)多位業(yè)務(wù)骨干組建了敏感數(shù)據(jù)治理項目組,一是負責重構(gòu)各個業(yè)務(wù)部門訪問使用個人數(shù)據(jù)的權(quán)限,即嚴格實行賬戶統(tǒng)一管理與權(quán)限分離,相關(guān)個人敏感信息的訪問與使用均遵循“最小必須原則”與“權(quán)責對應(yīng)原則”,銀行人員只能獲得與其業(yè)務(wù)相關(guān)的數(shù)據(jù)操作與訪問權(quán)限;二是充分借助云計算技術(shù),將個人敏感數(shù)據(jù)部署到銀行核心區(qū)域,封禁任何的拷貝、下載、存儲、外設(shè)連接等操作,確保個人敏感信息不在操作終端落地,進而嚴控個人敏感數(shù)據(jù)獲取與外發(fā)渠道;三是借助智能監(jiān)測技術(shù),對個人敏感數(shù)據(jù)的所有潛在泄露渠道埋設(shè)“探點”,尤其是實時監(jiān)測郵件外發(fā)、違規(guī)打印,違規(guī)使用UBS、屏幕拍照等異常行為,管控所有數(shù)據(jù)出口。此外,若員工轉(zhuǎn)崗或離職,敏感數(shù)據(jù)治理項目組可以迅速變更相關(guān)賬號權(quán)限,把控好個人敏感數(shù)據(jù)安全“最后關(guān)口”。
一位城商行人士告訴記者,目前,他們正按照《個保法》相關(guān)條款與精神,加快對智能客服機器人的整改,確保智能客服機器人在解答客戶金融服務(wù)疑惑時,只調(diào)取與業(yè)務(wù)相關(guān)的個人信息,避免個人信息被過度訪問使用。
在他看來,這或許需要對智能客服機器人開展長期訓練,從而讓它真正“理解”各項金融業(yè)務(wù)所需的個人信息范疇。
“除此之外,我們發(fā)現(xiàn)銀行要嚴格遵守《個保法》相關(guān)條款,另一個挑戰(zhàn)是如何厘清各個業(yè)務(wù)部門的個人數(shù)據(jù)訪問處理范疇。”這位城商行人士告訴記者。目前,無論是個人貸款部門,還是對公業(yè)務(wù)部門或信用卡部門,在處理個人信貸申請時都會盡可能多地訪問收集個人敏感數(shù)據(jù),作為他們完善信貸風控機制的重要依據(jù)。但在實際操作過程,有些個人敏感數(shù)據(jù)要么未能起到精準的增信作用,要么未經(jīng)客戶授權(quán)而再度使用。
針對這種狀況,他所在的城商行正計劃組建一個全新的數(shù)據(jù)分析部門,將所有個人客戶的特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息進行匯總分析,形成一個個信用分,未來業(yè)務(wù)部門只需訪問采集這些個人信用分(無需直接獲取個人敏感信息),就能開展各類貸款的風控審核。
他直言,盡管《個保法》已經(jīng)施行一周年,但銀行對個人信息的規(guī)范使用流程仍在不斷優(yōu)化,尤其是隨著金融科技的持續(xù)進步,銀行正致力于更精準地使用個人數(shù)據(jù)信息,讓金融服務(wù)變得更高效便捷。
銀行內(nèi)部強化個人信息規(guī)范使用
“在去年11月《個保法》實施后,我們銀行合規(guī)部門迅速組建了敏感數(shù)據(jù)治理項目組,目的是規(guī)范各類業(yè)務(wù)的個人數(shù)據(jù)過度使用問題。”一家股份制銀行人士告訴記者。敏感數(shù)據(jù)治理項目組很快發(fā)現(xiàn),銀行APP端存在個人信息過度獲取使用問題,其中最明顯的跡象,是銀行APP端往往通過默認、捆綁等方式,要求用戶在申請某些金融服務(wù)時必須授權(quán)大量個人敏感數(shù)據(jù)被銀行采集使用,此舉與《個保法》相關(guān)精神相悖,需盡早整改。
但是,業(yè)務(wù)部門最初對此提出不少反對意見,原因是業(yè)務(wù)部門認為若完全按照《個保法》的相關(guān)要求,個人每申請一項金融服務(wù),銀行需先經(jīng)他授權(quán)才能使用個人信息,不但造成金融服務(wù)體驗變差,還增加了個人數(shù)據(jù)暴露風險。
這位股份制銀行人士回憶說,當時合規(guī)部門也相當強硬,認為客戶體驗可以通過技術(shù)手段解決,但《個保法》相關(guān)條款精神必須嚴格遵守。最終,敏感數(shù)據(jù)治理項目組從IT部門抽調(diào)多位技術(shù)研發(fā)人員,著手開發(fā)一整套個人數(shù)據(jù)合規(guī)使用技術(shù)“嵌入”銀行APP端,即個人用戶只需輸入一次個人數(shù)據(jù)信息,若他需要申請金融服務(wù)時,銀行APP會自動識別這項金融服務(wù)所需的個人信息范疇,提醒用戶可以通過一鍵點擊同意銀行再度使用這些個人信息,從而減少個人重復(fù)輸入與數(shù)據(jù)暴露風險。
他透露,目前這項個人數(shù)據(jù)合規(guī)使用技術(shù)在APP端的使用反饋相當不錯。比如個人用戶在銀行APP端認購某款理財產(chǎn)品時,銀行后臺會通過大數(shù)據(jù)與智能技術(shù)自動“識別”他所需的個人信息,通過銀行APP端提示個人用戶需點擊同意銀行調(diào)取使用這些個人信息,作為銀行快速辦理理財產(chǎn)品銷售的依據(jù)。
與此同時,銀行APP端還提供理財產(chǎn)品與個人用戶風險承受能力是否匹配的自動認證功能,即用戶若在APP端申請購買某款理財產(chǎn)品,銀行后臺會根據(jù)個人以往信息數(shù)據(jù)判斷他的風險承受能力是否合適購買這類理財產(chǎn)品,并及時提示用戶風險承受能力與這類理財產(chǎn)品“不符”,需用戶重新輸入個人信息完成個人風險承受能力的重新評估。
在這位股份制銀行人士看來,此舉的最大好處,就是銀行內(nèi)部人員無需訪問大量個人客戶敏感信息,完全由智能化系統(tǒng)完成個人數(shù)據(jù)信息的驗證分析,如此最大限度減少了個人信息被人為過度訪問收集的風險。
上述城商行人士指出,要做好這項工作,另一個關(guān)鍵是銀行各個業(yè)務(wù)部門需厘清各自金融服務(wù)的個人數(shù)據(jù)使用范疇。
以往,無論是個人金融部門,還是信用卡部門或?qū)珮I(yè)務(wù)部門,只要涉及信貸業(yè)務(wù),就會盡可能多地訪問收集個人客戶的大量敏感數(shù)據(jù)信息,作為判斷信貸風險的重要依據(jù)。但在實際操作過程,有些個人敏感數(shù)據(jù)未必與信貸風控需求直接匹配,甚至還沒有獲得個人客戶的授權(quán)。
他透露,目前他們也借鑒其他銀行的做法,通過重構(gòu)各個業(yè)務(wù)部門訪問使用個人數(shù)據(jù)的權(quán)限,嚴格落實個人敏感信息的訪問與使用均遵循“最小必須原則”與“權(quán)責對應(yīng)原則”,即銀行業(yè)務(wù)人員只能獲得與其業(yè)務(wù)相關(guān)的數(shù)據(jù)操作與訪問權(quán)限。
“目前此舉已產(chǎn)生不錯效果,很多不必要的個人敏感數(shù)據(jù)內(nèi)部獲取處理行為得到有效遏制,但要徹底解決這個問題,銀行還需重新厘清各項金融業(yè)務(wù)所需的個人數(shù)據(jù)信息,最大限度規(guī)避個人敏感信息被過度訪問使用,有效捍衛(wèi)《個保法》相關(guān)精神。”這位城商行人士向記者強調(diào)說。
新型貸款服務(wù)模式應(yīng)運而生
值得注意的是,在《個保法》實施后,部分銀行正通過變革業(yè)務(wù)流程催生一系列新型信貸服務(wù)模式——即由個人主動遞交個人信息數(shù)據(jù)作為增信依據(jù),從而獲取所需的信貸額度。
“以往,銀行都是先要求個人(包括大量個體戶與夫妻店小微企業(yè)主)先輸入大量個人敏感信息,作為他們申請貸款能否獲取的關(guān)鍵依據(jù),但在《個保法》出臺后,這種做法可能涉嫌過度采集個人敏感數(shù)據(jù),因此我們轉(zhuǎn)變了信貸思路,若個人想要獲取更高的信貸額度,就自主遞交新的個人數(shù)據(jù)信息,供銀行作為信貸風控的新依據(jù)。”一家民營銀行信貸部門負責人向記者指出。此舉等于讓個人(包括廣大小微企業(yè)主)自主掌握個人信息數(shù)據(jù)的“主動權(quán)”,即他們可以基于自身需求,選擇性地提交個性化數(shù)據(jù)信息,作為銀行調(diào)高他們信貸額度的新依據(jù),既保護了他們的個人信息,又讓很多個人信息轉(zhuǎn)化成真正意義上的信用財富。
記者獲悉,目前不少銀行都在嘗試這類做法,比如允許小型貨運公司負責人通過上傳貨車照片、道路運輸證、貨運合同發(fā)票等個性化信息數(shù)據(jù),經(jīng)信貸審核后有機會獲取更高的授信額度,或者夫妻店店主上傳店面門頭、貨架商品、發(fā)票等經(jīng)營數(shù)據(jù),申請更高的信貸額度。
多位業(yè)內(nèi)人士指出,隨著《個人信息保護法》、《數(shù)據(jù)安全法》、《征信業(yè)管理辦法》等政策陸續(xù)出臺,業(yè)界日益注重對小微客群的信息保護。未來,銀行信貸模式或許會從“他證”模式,將“他證”與“自證”結(jié)合模式變遷。前者主要依靠小微企業(yè)與個人授權(quán),由銀行機構(gòu)從其他渠道獲取大量個人數(shù)據(jù),作為信貸授信的審核基礎(chǔ)。后者則基于銀行在獲取個人有限信息數(shù)據(jù)后,由個人主動向銀行提供更多元化的個人數(shù)據(jù)信息,從而申請自己所需的信貸額度。
“目前,這種做法已應(yīng)用在智能客服機器人領(lǐng)域,以往個人因某些原因向銀行申請延期還款時,智能客服機器人總是提醒他要注意個人信用記錄受損,時常一言不合引發(fā)不必要的貸款服務(wù)糾紛。如今,智能客服機器人會主動提醒個人遞交某些個人信息數(shù)據(jù),只要能證明他可以在約定時間內(nèi)繼續(xù)還款,銀行就可能會同意他的延期還款請求,令貸款服務(wù)糾紛發(fā)生幾率大幅下降。”前述城商行人士指出。
最新評論