“在数据共享上,银行与子公司二者能否适用于同一主体来管理,希望监管予以明确。至少在金融业,我认为这种关系应该看作总分公司,而不是两个独立法人,否则会增加很大的工作量。”10月10日,在新金融联盟举办的“新法规下金融机构的数据合规应用”研讨会上,中国银行原行长李礼辉在点评中表示。
李行长分析了数据安全面临的三个新挑战,进一步讨论了信息保护与应用、风险定价机制、数据安全治理与内部数据共享机制等四个方面的问题。
会上,建设银行首席信息官金磐石、光大银行(601818,股吧)信息科技部副总经理王磊、北京银行(601169,股吧)首席信息官龚伟华、南京银行(601009,股吧)首席信息官余宣杰、清华大学法学院院长申卫星做了主题发言。李礼辉行长、对外经贸大学数字经济与法律创新研究中心主任许可,以及两位来自监管部门的代表进行了点评。会议由新金融联盟秘书长吴雨珊主持,中国金融四十人论坛提供学术支持。实录详见→数据应用旧规则颠覆,银行、科技公司如何应对挑战?
嘉宾发言陆续刊登中,以下为李礼辉行长发言全文,已经本人审核。如果您在数字金融、金融创新、资管转型等领域有心得,欢迎来稿,共同探讨。(详见:征稿 | 数字时代话金融,分享您的所思所得)
数据合规应用的
三大挑战与四个建议
文 | 李礼辉
中国银行原行长 李礼辉
各位下午好!刚才几位银行代表做了很好的发言,介绍了数据治理、数字化转型的经验,谈到了在组织架构、制度机制、流程标准、技术平台上的数据合规应用实践,值得更多金融机构参考借鉴。我希望大家在数据安全治理方面做得更好,并且总结与推广经验,带动更多中小型银行尽快达到监管要求。
今年《数据安全法》《个人信息保护法》《征信业务管理办法》等重要法律法规集中出台。《数据安全法》总体上比较严格,《个人信息保护法》相对来说具体一些,《征信业务管理办法》则对征信业务做了非常具体的规定。这些规定将对金融机构的数据业务带来更多压力,所以在实施过程中还需要主管部门根据实际情况进一步细化和具体化。
数据安全面临三大挑战
我最近对金融业数据安全治理的现状做了一些研究,金融业的数据化架构对数据安全构成了一些新挑战,体现在三个维度。
第一,数据治理硬边界的交叉。主要表现为三方面:一是金融机构与工商企业、公立机构和国家机关共享场景,以触达客户,获取数据资源;二是金融机构与电信运营商等外部机构合作获取数据;三是金融机构与科技平台直接或者间接产生金融业务。还有一些其他情况,这些都扩大了数据治理边界交叉的范围,增加了数据安全保护的难度。
第二,数据安全技术体系滞后。目前银行基本上采取的是“大集中+分布式+数据云”的技术架构,在分布式端对端的架构上,数据机房的安全必须更多地依赖智能合约等技术,而传统的防火墙在新架构下能力有限,分布式架构比集中式架构更容易发生数据安全的问题,而且密码算法及智能合约逻辑上的漏洞经常会成为黑客攻击的突破口。
第三,数据连接的零距离。随着5G的飞速发展,中国5G手机越来越多,在这样一个数据连接的社会中,人和人之间、人和物之间、物和物之间的空间距离可以说趋近于零。这在提升便捷性的同时,也会带来更大的危险性。基于互联网的高速性和广覆盖,既可能出现单一的,也可能出现系统性的金融风险。信息安全治理还需要积累一些新思路、新架构、新技术,才能够做好。
定价机制、数据共享等问题需细化指导
今天的议题是“新法规下金融机构的数据合规应用”,我就以下四个方面做一些探讨,供机构参考,同时也希望监管部门能够给予更具体的指导。
第一,个人信息保护与数据的应用二者的关系如何把握?
数据应该保护,但过度保护肯定不利于数据应用,不利于发挥数据资源的价值。系列法律法规的颁布,明确了国家对数据开发利用,数据安全技术推广,以及对数据安全技术利用进行商业创新的支持。所以怎样更好地把握这两者的关系,希望金融主管部门给予更具体的指导。
第二,基于数据应用的风险定价机制如何把握?
《个人信息保护法》明确,自动化决策要保持透明度,结果要公平公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。对银行业来说,所谓的差别待遇会表现在信贷定价、利率、担保条件等方面的掌握,其中哪些是合理的,哪些是不合理的,需要进一步界定。
实际上利用大数据做分析,很重要的一点,就是要根据个人、企业信用等级的不同来进行风险定价,这是应有之意。我认为银行业根据对客户信任程度的不同,执行差异化的定价是必须的,符合市场规律,应该不属于不合理的差别待遇。我们怎么样做到不抵触《个人信息保护法》中关于不合理的差别待遇的规定,希望央行和银保监会有一个相对具体、明确的指导意见,便于银行业更好地执行。
第三,数据安全治理有一些很具体的问题需要明确。数据共享是数据资源开发利用的必然途径,共享之后数据的边界怎么界定,相关数据安全管理责任怎么区分,怎样做到在数据共享的过程中有效管控,这些方面还需要进一步研究。
第四,银行与子公司二者关系是适用于不同的主体,还是做同一主体来管理,希望监管予以明确。
一是在数据共享上,二者关系如何认定。比如说建行与建信金科是母子公司,至少在金融业,我认为这种架构应该看作总分公司,而不是母子公司的两个独立法人,如果把它看作两个独立法人,会增加很大的工作量。当然现在除了建行以外,其他银行基本上也都子公司化,但这些子公司如果全部或大部分股权都由某一些银行来控制,那就有必要定义为单独的法律主体。在满足一定条件的前提下,建议允许金融机构的母子公司在共享数据方面能够更加便利。
二是银行数据出境如何管理。当银行的境外子公司或分行与境外机构分享管理数据时,应如何处理;当金融机构在海外上市,面临国外严苛的审计与信息披露规定,应怎样应对。希望监管机构对以上问题予以指导。
往期嘉宾发言
?? 央行科技司李伟:做好数据治理,强化个人隐私保护
?? 互联网存款业务的国内外监管新进展
?? 工行首席技术官吕仲涛:实行负面清单,建立规范的数据交易市场
?? 平安银行(000001,股吧)蔡新发:商业银行数字化转型的实践分享及升级建议
?? 光大银行杨兵兵:发挥生产要素价值,推进数据交易先行先试
【关于我们】
新金融联盟成立于2016年,致力于打造一个高质量的新金融政策研讨和业务交流平台。成立以来,联盟共组织各类闭门研讨会、优秀企业参访近百场,议题涵盖金融科技、资产管理、普惠金融等方向。部分研讨成果形成报告,呈送给相关部门,推动了业界与监管的沟通交流,助力理事单位的合作共赢。
本文首发于微信公众号:新金融城。文章内容属作者个人观点,不代表本站立场。投资者据此操作,风险请自担。