21世纪经济报道记者 陈植 上海报道
2021年11月,《个人信息保护法》(下称《个保法》)正式施行。
“过去一年期间,《个保法》对我们业务流程合规化带来了不少提升。”一位股份制银行合规部门人士向记者透露,除了银行APP更新个人隐私政策——将与个人权益存在重大关系的条款和个人敏感信息获取范畴采用粗体字标注,并如实告知个人数据使用范畴,银行内部也采取多项措施持续规范客户数据使用。
他透露,今年上半年他所在银行专门从技术部门与合规部门抽调多位业务骨干组建了敏感数据治理项目组,一是负责重构各个业务部门访问使用个人数据的权限,即严格实行账户统一管理与权限分离,相关个人敏感信息的访问与使用均遵循“最小必须原则”与“权责对应原则”,银行人员只能获得与其业务相关的数据操作与访问权限;二是充分借助云计算技术,将个人敏感数据部署到银行核心区域,封禁任何的拷贝、下载、存储、外设连接等操作,确保个人敏感信息不在操作终端落地,进而严控个人敏感数据获取与外发渠道;三是借助智能监测技术,对个人敏感数据的所有潜在泄露渠道埋设“探点”,尤其是实时监测邮件外发、违规打印,违规使用UBS、屏幕拍照等异常行为,管控所有数据出口。此外,若员工转岗或离职,敏感数据治理项目组可以迅速变更相关账号权限,把控好个人敏感数据安全“最后关口”。
一位城商行人士告诉记者,目前,他们正按照《个保法》相关条款与精神,加快对智能客服机器人的整改,确保智能客服机器人在解答客户金融服务疑惑时,只调取与业务相关的个人信息,避免个人信息被过度访问使用。
在他看来,这或许需要对智能客服机器人开展长期训练,从而让它真正“理解”各项金融业务所需的个人信息范畴。
“除此之外,我们发现银行要严格遵守《个保法》相关条款,另一个挑战是如何厘清各个业务部门的个人数据访问处理范畴。”这位城商行人士告诉记者。目前,无论是个人贷款部门,还是对公业务部门或信用卡部门,在处理个人信贷申请时都会尽可能多地访问收集个人敏感数据,作为他们完善信贷风控机制的重要依据。但在实际操作过程,有些个人敏感数据要么未能起到精准的增信作用,要么未经客户授权而再度使用。
针对这种状况,他所在的城商行正计划组建一个全新的数据分析部门,将所有个人客户的特定身份、医疗健康、金融账户、行踪轨迹等信息进行汇总分析,形成一个个信用分,未来业务部门只需访问采集这些个人信用分(无需直接获取个人敏感信息),就能开展各类贷款的风控审核。
他直言,尽管《个保法》已经施行一周年,但银行对个人信息的规范使用流程仍在不断优化,尤其是随着金融科技的持续进步,银行正致力于更精准地使用个人数据信息,让金融服务变得更高效便捷。
银行内部强化个人信息规范使用
“在去年11月《个保法》实施后,我们银行合规部门迅速组建了敏感数据治理项目组,目的是规范各类业务的个人数据过度使用问题。”一家股份制银行人士告诉记者。敏感数据治理项目组很快发现,银行APP端存在个人信息过度获取使用问题,其中最明显的迹象,是银行APP端往往通过默认、捆绑等方式,要求用户在申请某些金融服务时必须授权大量个人敏感数据被银行采集使用,此举与《个保法》相关精神相悖,需尽早整改。
但是,业务部门最初对此提出不少反对意见,原因是业务部门认为若完全按照《个保法》的相关要求,个人每申请一项金融服务,银行需先经他授权才能使用个人信息,不但造成金融服务体验变差,还增加了个人数据暴露风险。
这位股份制银行人士回忆说,当时合规部门也相当强硬,认为客户体验可以通过技术手段解决,但《个保法》相关条款精神必须严格遵守。最终,敏感数据治理项目组从IT部门抽调多位技术研发人员,着手开发一整套个人数据合规使用技术“嵌入”银行APP端,即个人用户只需输入一次个人数据信息,若他需要申请金融服务时,银行APP会自动识别这项金融服务所需的个人信息范畴,提醒用户可以通过一键点击同意银行再度使用这些个人信息,从而减少个人重复输入与数据暴露风险。
他透露,目前这项个人数据合规使用技术在APP端的使用反馈相当不错。比如个人用户在银行APP端认购某款理财产品时,银行后台会通过大数据与智能技术自动“识别”他所需的个人信息,通过银行APP端提示个人用户需点击同意银行调取使用这些个人信息,作为银行快速办理理财产品销售的依据。
与此同时,银行APP端还提供理财产品与个人用户风险承受能力是否匹配的自动认证功能,即用户若在APP端申请购买某款理财产品,银行后台会根据个人以往信息数据判断他的风险承受能力是否合适购买这类理财产品,并及时提示用户风险承受能力与这类理财产品“不符”,需用户重新输入个人信息完成个人风险承受能力的重新评估。
在这位股份制银行人士看来,此举的最大好处,就是银行内部人员无需访问大量个人客户敏感信息,完全由智能化系统完成个人数据信息的验证分析,如此最大限度减少了个人信息被人为过度访问收集的风险。
上述城商行人士指出,要做好这项工作,另一个关键是银行各个业务部门需厘清各自金融服务的个人数据使用范畴。
以往,无论是个人金融部门,还是信用卡部门或对公业务部门,只要涉及信贷业务,就会尽可能多地访问收集个人客户的大量敏感数据信息,作为判断信贷风险的重要依据。但在实际操作过程,有些个人敏感数据未必与信贷风控需求直接匹配,甚至还没有获得个人客户的授权。
他透露,目前他们也借鉴其他银行的做法,通过重构各个业务部门访问使用个人数据的权限,严格落实个人敏感信息的访问与使用均遵循“最小必须原则”与“权责对应原则”,即银行业务人员只能获得与其业务相关的数据操作与访问权限。
“目前此举已产生不错效果,很多不必要的个人敏感数据内部获取处理行为得到有效遏制,但要彻底解决这个问题,银行还需重新厘清各项金融业务所需的个人数据信息,最大限度规避个人敏感信息被过度访问使用,有效捍卫《个保法》相关精神。”这位城商行人士向记者强调说。
新型贷款服务模式应运而生
值得注意的是,在《个保法》实施后,部分银行正通过变革业务流程催生一系列新型信贷服务模式——即由个人主动递交个人信息数据作为增信依据,从而获取所需的信贷额度。
“以往,银行都是先要求个人(包括大量个体户与夫妻店小微企业主)先输入大量个人敏感信息,作为他们申请贷款能否获取的关键依据,但在《个保法》出台后,这种做法可能涉嫌过度采集个人敏感数据,因此我们转变了信贷思路,若个人想要获取更高的信贷额度,就自主递交新的个人数据信息,供银行作为信贷风控的新依据。”一家民营银行信贷部门负责人向记者指出。此举等于让个人(包括广大小微企业主)自主掌握个人信息数据的“主动权”,即他们可以基于自身需求,选择性地提交个性化数据信息,作为银行调高他们信贷额度的新依据,既保护了他们的个人信息,又让很多个人信息转化成真正意义上的信用财富。
记者获悉,目前不少银行都在尝试这类做法,比如允许小型货运公司负责人通过上传货车照片、道路运输证、货运合同发票等个性化信息数据,经信贷审核后有机会获取更高的授信额度,或者夫妻店店主上传店面门头、货架商品、发票等经营数据,申请更高的信贷额度。
多位业内人士指出,随着《个人信息保护法》、《数据安全法》、《征信业管理办法》等政策陆续出台,业界日益注重对小微客群的信息保护。未来,银行信贷模式或许会从“他证”模式,将“他证”与“自证”结合模式变迁。前者主要依靠小微企业与个人授权,由银行机构从其他渠道获取大量个人数据,作为信贷授信的审核基础。后者则基于银行在获取个人有限信息数据后,由个人主动向银行提供更多元化的个人数据信息,从而申请自己所需的信贷额度。
“目前,这种做法已应用在智能客服机器人领域,以往个人因某些原因向银行申请延期还款时,智能客服机器人总是提醒他要注意个人信用记录受损,时常一言不合引发不必要的贷款服务纠纷。如今,智能客服机器人会主动提醒个人递交某些个人信息数据,只要能证明他可以在约定时间内继续还款,银行就可能会同意他的延期还款请求,令贷款服务纠纷发生几率大幅下降。”前述城商行人士指出。