2021年11月,《個人信息保護法》(下稱《個保法》)正式施行。
“過去一年期間�,《個保法》對我們業(yè)務流程合規(guī)化帶來了不少提升�����!币晃还煞葜銀行合規(guī)部門人士向記者透露,除了銀行APP更新個人隱私政策——將與個人權益存在重大關系的條款和個人敏感信息獲取范疇采用粗體字標注��,并如實告知個人數據使用范疇��,銀行內部也采取多項措施持續(xù)規(guī)范客戶數據使用��。
他透露��,今年上半年他所在銀行專門從技術部門與合規(guī)部門抽調多位業(yè)務骨干組建了敏感數據治理項目組�,一是負責重構各個業(yè)務部門訪問使用個人數據的權限����,即嚴格實行賬戶統一管理與權限分離,相關個人敏感信息的訪問與使用均遵循“最小必須原則”與“權責對應原則”�����,銀行人員只能獲得與其業(yè)務相關的數據操作與訪問權限���;二是充分借助云計算技術���,將個人敏感數據部署到銀行核心區(qū)域�����,封禁任何的拷貝��、下載���、存儲、外設連接等操作���,確保個人敏感信息不在操作終端落地�,進而嚴控個人敏感數據獲取與外發(fā)渠道�����;三是借助智能監(jiān)測技術�����,對個人敏感數據的所有潛在泄露渠道埋設“探點”,尤其是實時監(jiān)測郵件外發(fā)�����、違規(guī)打印���,違規(guī)使用UBS����、屏幕拍照等異常行為��,管控所有數據出口����。此外,若員工轉崗或離職����,敏感數據治理項目組可以迅速變更相關賬號權限�,把控好個人敏感數據安全“最后關口”。
一位城商行人士告訴記者��,目前����,他們正按照《個保法》相關條款與精神���,加快對智能客服機器人的整改,確保智能客服機器人在解答客戶金融服務疑惑時����,只調取與業(yè)務相關的個人信息,避免個人信息被過度訪問使用�。
在他看來,這或許需要對智能客服機器人開展長期訓練����,從而讓它真正“理解”各項金融業(yè)務所需的個人信息范疇。
“除此之外���,我們發(fā)現銀行要嚴格遵守《個保法》相關條款�����,另一個挑戰(zhàn)是如何厘清各個業(yè)務部門的個人數據訪問處理范疇���!边@位城商行人士告訴記者�����。目前,無論是個人貸款部門�����,還是對公業(yè)務部門或信用卡部門�,在處理個人信貸申請時都會盡可能多地訪問收集個人敏感數據,作為他們完善信貸風控機制的重要依據��。但在實際操作過程�,有些個人敏感數據要么未能起到精準的增信作用,要么未經客戶授權而再度使用���。
針對這種狀況�����,他所在的城商行正計劃組建一個全新的數據分析部門��,將所有個人客戶的特定身份、醫(yī)療健康�、金融賬戶、行蹤軌跡等信息進行匯總分析����,形成一個個信用分��,未來業(yè)務部門只需訪問采集這些個人信用分(無需直接獲取個人敏感信息)���,就能開展各類貸款的風控審核。
他直言�����,盡管《個保法》已經施行一周年�,但銀行對個人信息的規(guī)范使用流程仍在不斷優(yōu)化,尤其是隨著金融科技的持續(xù)進步�����,銀行正致力于更精準地使用個人數據信息���,讓金融服務變得更高效便捷���。
銀行內部強化個人信息規(guī)范使用
“在去年11月《個保法》實施后,我們銀行合規(guī)部門迅速組建了敏感數據治理項目組����,目的是規(guī)范各類業(yè)務的個人數據過度使用問題�������!币患夜煞葜沏y行人士告訴記者����。敏感數據治理項目組很快發(fā)現����,銀行APP端存在個人信息過度獲取使用問題,其中最明顯的跡象��,是銀行APP端往往通過默認��、捆綁等方式���,要求用戶在申請某些金融服務時必須授權大量個人敏感數據被銀行采集使用��,此舉與《個保法》相關精神相悖��,需盡早整改�����。
但是����,業(yè)務部門最初對此提出不少反對意見�����,原因是業(yè)務部門認為若完全按照《個保法》的相關要求����,個人每申請一項金融服務,銀行需先經他授權才能使用個人信息�����,不但造成金融服務體驗變差�,還增加了個人數據暴露風險。
這位股份制銀行人士回憶說����,當時合規(guī)部門也相當強硬,認為客戶體驗可以通過技術手段解決�����,但《個保法》相關條款精神必須嚴格遵守。最終�,敏感數據治理項目組從IT部門抽調多位技術研發(fā)人員,著手開發(fā)一整套個人數據合規(guī)使用技術“嵌入”銀行APP端�,即個人用戶只需輸入一次個人數據信息,若他需要申請金融服務時�,銀行APP會自動識別這項金融服務所需的個人信息范疇,提醒用戶可以通過一鍵點擊同意銀行再度使用這些個人信息��,從而減少個人重復輸入與數據暴露風險��。
他透露�����,目前這項個人數據合規(guī)使用技術在APP端的使用反饋相當不錯����。比如個人用戶在銀行APP端認購某款理財產品時,銀行后臺會通過大數據與智能技術自動“識別”他所需的個人信息��,通過銀行APP端提示個人用戶需點擊同意銀行調取使用這些個人信息�,作為銀行快速辦理理財產品銷售的依據。
與此同時����,銀行APP端還提供理財產品與個人用戶風險承受能力是否匹配的自動認證功能��,即用戶若在APP端申請購買某款理財產品�,銀行后臺會根據個人以往信息數據判斷他的風險承受能力是否合適購買這類理財產品��,并及時提示用戶風險承受能力與這類理財產品“不符”��,需用戶重新輸入個人信息完成個人風險承受能力的重新評估�����。
在這位股份制銀行人士看來�����,此舉的最大好處����,就是銀行內部人員無需訪問大量個人客戶敏感信息����,完全由智能化系統完成個人數據信息的驗證分析,如此最大限度減少了個人信息被人為過度訪問收集的風險�����。
上述城商行人士指出,要做好這項工作���,另一個關鍵是銀行各個業(yè)務部門需厘清各自金融服務的個人數據使用范疇�。
以往��,無論是個人金融部門��,還是信用卡部門或對公業(yè)務部門�,只要涉及信貸業(yè)務,就會盡可能多地訪問收集個人客戶的大量敏感數據信息��,作為判斷信貸風險的重要依據����。但在實際操作過程,有些個人敏感數據未必與信貸風控需求直接匹配�,甚至還沒有獲得個人客戶的授權。
他透露�,目前他們也借鑒其他銀行的做法,通過重構各個業(yè)務部門訪問使用個人數據的權限���,嚴格落實個人敏感信息的訪問與使用均遵循“最小必須原則”與“權責對應原則”��,即銀行業(yè)務人員只能獲得與其業(yè)務相關的數據操作與訪問權限�����。
“目前此舉已產生不錯效果�,很多不必要的個人敏感數據內部獲取處理行為得到有效遏制,但要徹底解決這個問題�����,銀行還需重新厘清各項金融業(yè)務所需的個人數據信息����,最大限度規(guī)避個人敏感信息被過度訪問使用���,有效捍衛(wèi)《個保法》相關精神���。”這位城商行人士向記者強調說���。
新型貸款服務模式應運而生
值得注意的是���,在《個保法》實施后,部分銀行正通過變革業(yè)務流程催生一系列新型信貸服務模式——即由個人主動遞交個人信息數據作為增信依據,從而獲取所需的信貸額度�����。
“以往���,銀行都是先要求個人(包括大量個體戶與夫妻店小微企業(yè)主)先輸入大量個人敏感信息���,作為他們申請貸款能否獲取的關鍵依據,但在《個保法》出臺后��,這種做法可能涉嫌過度采集個人敏感數據����,因此我們轉變了信貸思路,若個人想要獲取更高的信貸額度���,就自主遞交新的個人數據信息���,供銀行作為信貸風控的新依據��!币患颐駹I銀行信貸部門負責人向記者指出���。此舉等于讓個人(包括廣大小微企業(yè)主)自主掌握個人信息數據的“主動權”�,即他們可以基于自身需求,選擇性地提交個性化數據信息���,作為銀行調高他們信貸額度的新依據��,既保護了他們的個人信息����,又讓很多個人信息轉化成真正意義上的信用財富�����。
記者獲悉����,目前不少銀行都在嘗試這類做法���,比如允許小型貨運公司負責人通過上傳貨車照片��、道路運輸證��、貨運合同發(fā)票等個性化信息數據��,經信貸審核后有機會獲取更高的授信額度��,或者夫妻店店主上傳店面門頭�、貨架商品、發(fā)票等經營數據�,申請更高的信貸額度。
多位業(yè)內人士指出�����,隨著《個人信息保護法》�����、《數據安全法》���、《征信業(yè)管理辦法》等政策陸續(xù)出臺�,業(yè)界日益注重對小微客群的信息保護�����。未來��,銀行信貸模式或許會從“他證”模式��,將“他證”與“自證”結合模式變遷。前者主要依靠小微企業(yè)與個人授權�,由銀行機構從其他渠道獲取大量個人數據,作為信貸授信的審核基礎����。后者則基于銀行在獲取個人有限信息數據后,由個人主動向銀行提供更多元化的個人數據信息���,從而申請自己所需的信貸額度�����。
“目前���,這種做法已應用在智能客服機器人領域,以往個人因某些原因向銀行申請延期還款時�����,智能客服機器人總是提醒他要注意個人信用記錄受損���,時常一言不合引發(fā)不必要的貸款服務糾紛。如今���,智能客服機器人會主動提醒個人遞交某些個人信息數據��,只要能證明他可以在約定時間內繼續(xù)還款����,銀行就可能會同意他的延期還款請求,令貸款服務糾紛發(fā)生幾率大幅下降������!鼻笆龀巧绦腥耸恐赋觥
(責任編輯:李悅 )
最新評論