数据合规严要求:《商业银行互联网贷款管理暂行办法》简评

来源:中伦律师事务所

文章摘要
2018年11月,中国银行保险监督管理委员会(“银保监会”)下发《商业银行互联网贷款管理办法(征求意见稿)》,对商业银行互联网贷款业务的定义和范畴、授信和风控、数据与模型、催收合作等方面作出了详细规定

2018年11月,中国银行保险监督管理委员会(“银保监会”)下发《商业银行互联网贷款管理办法(征求意见稿)》,对商业银行互联网贷款业务的定义和范畴、授信和风控、数据与模型、催收合作等方面作出了详细规定。在此基础上,据传《商业银行互联网贷款管理暂行办法》(“《暂行办法》”)已于近期下发至多家银行,共包含七个章节、七十条实施细则,对商业银行互联网贷款业务经营行为进行规范。值得注意的是,《暂行办法》明确“风险数据管理”的模式,专章规定“信息科技风险管理”,体现出互联网贷款领域加强网络安全与数据保护的趋势。虽然银保监会目前尚未正式公布《暂行办法》,相关内容可能会发生变更,但是目前《暂行办法》所体现的监管思路仍值得我们关注。
一、风险数据治理
1. 明确“风险数据”定义
《暂行办法》第三条明确“风险数据”的定义,“风险数据是指商业银行在对借款人进行身份确认,以及贷款风险识别、分析、评价、监测、预警和处置等环节收集、使用的各类内外部数据。”2012年,原中国银行业监督管理委员会发布的《商业银行资本管理办法(试行)》(“《管理办法》”)第132条就明确规定“商业银行应当系统性地收集、整理、跟踪和分析各类风险相关数据,建立数据仓库、风险数据集市和数据管理系统……”。作为《管理办法》附件的《信用风险内部评级体系监管要求》从内部评级角度对风险数据集市进行规定,“风险数据集市是为满足内部评级的信息需求而定义和设计的数据集合,应包括单个客户、单笔债项的详细数据,以及行业、区域、产品等资产组合以及宏观层面的数据等”。由此可见,《暂行办法》中“风险数据”范围广泛,不局限于一般的个人信息,与贷款风险识别、分析、评价、监测、预警、处置等活动相关的数据都可能被纳入监管范围。《暂行办法》以“风险数据”为抓手,对其收集、使用、保管等一系列活动提出具体的合规要求。
2. 规范“风险数据”的管理

二、信息科技风险管理的“四个安全”
2009年,原中国银行业监督管理委员会发布《商业银行信息科技风险管理指引》,对商业银行运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险进行全面管控。《暂行办法》专章规定信息科技风险管理,主要提出“四个安全”:
一是网络安全,要求“商业银行应当采取必要的网络安全防护措施,加强网络访问控制和行为监测,有效防范网络攻击等威胁。与合作机构涉及数据交互行为的,应当采取切实措施,实现敏感数据的有效隔离,保证数据交互在安全、合规的环境下进行[4]。”此要求与中国人民银行2019年8月22日印发的《金融科技(FinTech)发展规划(2019-2021年)》中“利用通道加密、双向认证等技术保障金融信息传输的安全性,通过身份认证、日志完整性保护等措施确保金融信息使用过程有授权、有记录,防范金融信息集中泄露风险”的要求相呼应,金融信息保护力度进一步加强。
二是客户端安全,要求“商业银行应当加强对部署在借款人一方的互联网贷款信息系统客户端程序(包括但不限于浏览器插件程序、桌面客户端程序和移动客户端程序等)的安全加固,提高客户端程序的防攻击、防入侵、抗反编译等安全能力[5]。”2019年12月底,为加强移动金融客户端应用软件安全管理,中国人民银行发布了《移动金融客户端应用软件安全管理规范》,我们理解相关机构可以对照其中客户端应用软件安全的要求,提高客户端安全能力。
三是数据安全,要求“商业银行应当采用有效技术手段,保障借款人数据安全,确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性,并做好定期数据备份工作[6]。”“等保2.0”国家标准[7]中的《信息安全技术网络安全等级保护基本要求(GBT22239-2019)》规定了“数据完整性”、“数据保密性”、“数据备份恢复”等的安全要求。“抗抵赖性”被纳入“数据完整性”的要求范围,并在第四级安全要求中明确提出。我们理解,相关机构可以参照等保2.0国家标准要求开展数据保护合规工作,及时开展等保备案、定级、测评工作,以满足网络安全和数据保护相关合规要求。
四是合作机构系统安全,要求“商业银行应当充分评估合作机构的信息系统服务能力、可靠性和安全性以及敏感数据的安全保护能力,开展联合演练和测试,加强合同约束,确保不因外部合作而降低商业银行信息系统的安全性,确保业务连续性[8]。”《暂行办法》也明确了合作机构的范围,不仅包括“银行业金融机构、保险公司等金融机构和融资担保公司”,也包括“电子商务公司、大数据公司、信息科技公司、贷款催收公司以及其他相关合作机构等非金融机构”。将范围如此广泛的合作机构纳入系统安全的评估机制,将影响银行金融领域上下游整个生态环境,上下游机构都必须遵守网络安全合规要求,不断提高网络安全保护能力,否则将对自身业务经营产生不利影响。
随着金融领域网络安全与数据保护不断加强的立法、执法趋势,我们也将及时关注相关立法、执法进展,为相关企业提供更多有益帮助。
[注]
[1] 《个人信息安全规范》第5.1.c)条。
[2] 《个人信息安全规范》第5.3.b)条。
[3]《银行业金融机构数据治理指引》第五条第(四)款。
[4]《商业银行互联网贷款管理暂行办法》第四十五条
[5]《商业银行互联网贷款管理暂行办法》第四十六条
[6]《商业银行互联网贷款管理暂行办法》第四十七条
[7] 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)三个网络安全领域的国家标准,构成等保2.0国家标准。
[8]《商业银行互联网贷款管理暂行办法》第四十八条

技术驱动法律,专业成就未来