深入解析金融行业强监管态势升级下的合规实践要点

来源:iLaw合规

文章摘要
‍ 编者按: 2023年,银保监会及其派出机构的监管处罚案件数量较以往有大幅度增长,处罚案由呈现多样化特点,涉及面较广、业务及管理合规成为突出问题。


编者按:
2023年,银保监会及其派出机构的监管处罚案件数量较以往有大幅度增长,处罚案由呈现多样化特点,涉及面较广、业务及管理合规成为突出问题。
金融行业强监管态势升级,监管发布的业务管理制度规范日臻完善,持续强化合规监测前瞻性、穿透性、全面性,借助数据手段构建智能化合规管理能力,是提升金融机构合规管控水平的核心方向。那么金融行业的数据合规有何特殊性?金融集团跨主体账户互通的痛点和实践思路应当如何未雨绸缪?在当前背景下、人脸识别在金融业务中运用的合规要点?金融信创对金融数据合规的影响又是如何的?针对以上实务难点,本文就将深入解读并分享解决方案的探索,期待读者朋友们能够有所收获。
一、金融行业的数据合规框架及特殊性
01、监管机关的特殊性
一般的工商业企业处理数据合规和个人信息保护的合规工作,由网信部门负责综合的监管,工信部门从电信市场服务的角度去做管理,公安部门主要负责网络的安全,市场监督局对于市场主体以及消费者保护的角度去做一些监管。
金融行业的监管机关就相对复杂。第一是金融监管总局,其前身是银保监会,它主要监管的机构包括银行、保险公司、消费金融公司、信托,还有一些衍生的牌照等。第二是人民银行,人民银行核心监管的牌照或者持牌主体主要是两大类,一大类是征信,也就是个人征信和企业征信,另外一大类就是第三方支付机构。第三是证监会,证监会主管是基金、保险期货、基金的证券期货等牌照。金融监管机关直接的立法、执法和处罚活动是其区别于一般的工商业企业监管机关的显著特征。
02、监管机关的复杂性衍生带来规则的复杂性
传统的数据安全与个人信息保护的监管机关立法,会间接地影响到金融监管机关针对持牌金融机构的数安和个保的立法的内容,一方面是金融监管机关基于基础立法做的延伸、完善和细化,另一方面金融监管机关在立法的过程中,无可避免的也会涉及到对法律的一种解读,甚至可能会产生争议。
除了常规的网信及工信部门出台的法规包括《数据安全法》、《网络安全法》、《个人信息保护法》以及相关的一些核心的国标文件之外,在金融行业领域分门别类的“一行一会一局”又各自出台了相关的法规,它们共同地组成了金融机构、金融持牌主体在开展个保数安的合规工作的时候要通盘纳入考虑的法规。
03、规则的复杂性带来了合规落地的复杂性

基于《个人信息保护法》的大致拆解可以看出,《个人信息保护法》确立了以“告知+同意”为核心的多元合法性基础,而其他部分的主体内容包括:对外响应个人信息主体的请求,核心是确保个人信息处理环节合规;对内则要落地各项合规管理制度。
在金融行业的个人信息保护和数据安全合规落地的工作中,还要纳入四个维度的要求:第一是业务合规,必须要同步了解对应的金融业务的规则里面有什么特殊的要求。第二是金融消保的合规,在金融行业领域,金融消保的合规等同于个保合规,在讨论个保合规问题的时候,金融消保的要求一概绕不开。第三是反洗钱和电诈,强调金融机构的尽职调查工作。第四则是信息科技治理,金融机构与外部的科技平台合作,不管是系统开发、提供云服务,还是做线上的引流场景的嵌入,都会涉及到信息科技外包。而信息科技外包对于金融机构来说,也意味着机构的准入,外包事项的管理等工作也会在个保以及数安的相关合规工作中带来额外的挑战和要求。
二、金融集团跨主体账户互通的痛点与实践思路
01、账户互通
在互联网思维中,考虑到用户的流量以及用户的体验,金融集团会用流量思维尽可能地去把这些用户留存在自己集团体系内。“用户只需一个账户、一个密码、一次登录,就可以轻松实现银行、投资、保险等个人账户管理与资产管理的多种需求,提供一站式便捷服务。”金融集团会提供非常多的类似上述的账户互通环节,让用户能够更便捷地去使用他们不同的产品。
02、行业实践
针对账户互通,行业实践中大致存在两种模式,第一种是在注册时签署《互通服务协议》,集团统一隐私政策并罗列涉及主体名单,针对精准营销等数据使用和共享行为进行单独告知。第二种是登陆金融APP需使用综合平台账号,通过平台隐私政策取得“大授权”,共享前并未单独告知用户或取得同意。
金融或科技集团内部的个人信息共享互通,存在很强的商业动因。一方面,从集团内部来看,综合金融服务意味着对现有数据资源(包括商业数据与个人信息)的强力整合,可以降低运营成本、提升工作效率、提高决策质量。另一方面,从客户体验来看,综合金融服务提供的多场景、多维度金融产品和服务,也可以统一用户体验、精准触达需求、减少频繁打扰。
但在现实中则存在着以下困境:第一是在实践当中平台和金融机构有账户信息共享的行为,但是没有向用户明确地告知和披露,对于用户来说一方面不利于保护个人信息,另外一方面对于消费者知情权、自主选择权等权利也会有不利的影响,同时也导致大数据杀熟行为层出不穷;第二是法律法规对于整个个人信息保护规则的重构完善也限制了互通账户的进行,特别是在《个人信息保护法》出台后,针对个人信息的跨主体对外提供所设置的“完整告知+单独同意”、用户的拒绝权、撤回权等权利响应要求,均从个人信息保护维度对上述功能的实现带来了现实痛点。
03、主要痛点
第一是集团整体的合规成本会增加。集团内部不同的主体各自构成独立的个人信息处理者,需要响应个保法以及相关法规的要求,例如建立自身的内控制度、进行数据的隔离以及完善相关的软件硬件设施,都会对整个集团的运维成本以及合规成本带来比较大的增加。
第二是对于资源整合有一定的限制。不同的个人信息在集团统一处理的话,可以更大程度地挖掘用户的信息价值。但是如果在个保法受限于告知加同意甚至是单独同意的场景下,用户可能不会同意平台去处理这些信息或者是共享这些信息,那么在一定程度上也会影响集团的整个数据的共享。
第三则是用户体验不佳。在使用过程当中可能会因为受限于单独同意的要求,平台会配置不同的这个页面,不同的弹窗,然后也会有重复的信息采集、重复的授权,对于用户来说整体的观感不是特别好。
04、不同维度下面临的合规障碍
1.个保法下无豁免
在绝大多数情况下,当金融集团的各个持牌主体在开展金融业务时,各个主体均构成独立的个人信息处理者(自主决定个人信息的处理目的、处理方式),他们并没有任何必要性和合理性把自身掌握的个人信息提供给集团内的关联主体。在这一大前提下,如果各个金融持牌主体之间希望实现所谓的“账户互通”,那就不可避免地涉及到个人信息“对外提供”(通常需要满足告知+单独同意的要求)。而个保法对于关联公司之间的信息共享也没有提供额外的豁免。
2.金控集团无特权
我们能看到一些有意或无意的误读,认为只要取得金控牌照,个人信息便可在集团内无限制地互通和共享。但很遗憾,事实并非如此。从金控集团的关联交易、并表管理等层面来看,虽然有一些规定可以共享客户信息,但是它整体的原则还是要依法合规,甚至提到要取得用户的同意,所以金控集团对于整体的账户互通并没有明显的豁免。金控集团无论是业务协同、客户信息共享,还是关联交易、并表管理,均需以满足现有的个保监管法规为前提,并无特权以突破《个保法》的要求。
3.反洗钱法缺细则
根据人民银行制订的法规,集团内可以制定一些反洗钱、反恐怖融资信息的共享和使用的机制和程序。但是由于数据范围和适用目的的局限性,对于整体集团的账户互通信息共享并没有很大作用,总体看来“业务场景有限”、“数据范围有限”、“操作规则模糊”。一方面,该等规则较为原则性,实践中如何落地暂无可操作的标准细则;另一方面,即使可以操作,也仅限于在反洗钱、反恐怖融资这一场景下共享必要的信息,对于解决集团内部海量的数据共享需求效果也十分有限。
4.金融机构监管严
抛开个人信息保护的通用规则与反洗钱监管的特殊义务来看,金融集团本身由于从事诸多金融业务,且金融机构牌照繁多,因此还应受限于本身的机构监管规则,而对于金融机构、金融数据的监管,不可谓不严格。诸如商业银行、保险机构、证券基金经营机构、支付机构等,均存在相应的“机构展业独立”、“系统数据独立”、“客户信息与资料保密”等类似要求,如果泄露信息或者未经允许将信息提供给第三方,还将受到相应的处罚。因此,金融集团拟对用户个人信息进行共享互通的,也有必要结合所涉及的金融机构类型、金融数据类型、业务场景等综合判断,避免一揽子地、无限制地数据共享。
05、替代思路
第一是区分不同的类型与合法性基础,判断是否要取得用户的单独同意。例如如果集团内不同主体基于向用户提供统一服务而涉及个人信息共享,可以考虑将该等信息提供行为解释为《个保法》项下的“履行合同所必需”。
第二是集中存储或系统共用,构建委托处理法律关系。这并非真正意义上的“账户互通”,但至少足以实现基础的“个人信息集中存储”。
第三是匿名化处理与隐私计算,避免原始数据出库。但值得注意的是,由于数据科学领域也存在诸如假名化、去标识化、匿名化等对匿名程度的不同区分,因此,在实践中,企业往往将这些方法与法律语境下的匿名化相混淆,需要尽量避免。
三、人脸识别在金融业务中运用的合规要点
01、人脸识别的环节
信息采集——特征提取——身份识别——结果输出
金融领域现在对于人脸识别技术的应用非常的广泛,比如在平时履行反洗钱义务、反恐怖主义融资义务、反电信诈骗义务,以及日常的一些账户实名制管理、用户身份核验,甚至是贷款合规性管理等工作中,都会或多或少用到人脸识别技术。从金融机构的角度来看,人脸识别技术的运用可以极大地提升他们对于用户需求的响应效率,提升他们的服务速度。
但是,人脸识别技术的运用将必然涉及到处理人脸信息。人脸信息作为敏感个人信息,应当适用更加谨慎的处理原则,人脸信息的处理活动也应当适配更加严格的合规要求。
02、合规要点
结合已出台的法律法规及最新公布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,运用人脸识别技术及处理人脸信息过程中应当予以关注的合规要点主要包括:
1.合规原则:
最小必要:只有在具有特定目的和充分的必要性,并采用严格保护措施的情形下,才能够使用人脸识别技术,使用人脸识别技术的目的必须要与服务目的强相关。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,要优先用其他的技术,比如在一个具体的业务当中,金融机构需要对一个自然人的身份进行核验,当金融机构既可以使用人脸识别技术,同时还有一个其他替代方案时,就要优先选择不使用生物识别技术的方案。最后要在最小的范围内使用所收集到的人脸信息,所采取的方式也应该是对个人信息主体权益影响最小化的方式。
单独同意:人脸信息属于敏感个人信息,在处理敏感个人信息的时候,根据个保法要取得个人的单独同意。
特殊要求:收集未成年人的人脸信息,需要获得监护人的单独同意。
2.红线情形
一是避免使用人脸识别技术分析敏感个人信息。即不能够利用自然人的人脸信息、以及使用人脸识别技术去分析处理民族、宗教、社会阶层等等敏感个人信息,取得个人同意,单独同意的除外。
二是重大场景中,人脸识别只能起到人身核验的辅助作用。在社会救助、不动产处分等等对于个人的重大权益有影响的场景中,使用人脸识别技术只能是辅助的人身核验手段,具体的身份核验还是要以人工操作为主。
三是存储要求,使用人脸识别技术处理人脸信息时,不能够存储人脸原图。这个之前只是国标中的推荐性要求,征求意见稿落地后可能会成为强制要求。
3.其他监管要求
第一,在处理人脸信息的时候,要事前进行个人信息保护的影响评估。第二,人脸识别过程当中收集人脸信息所使用的图像采集等硬件设备要进行年度的安全评估、风险监测,这个要看征求意见稿落地之后的具体要求。
线下场景还会有一些特殊的操作要求。第一是隐私场所不能够安装人脸信息的处理设备;第二,公共场所进行图像采集,需要具备合理的目的(例如为维护公共安全所必需)以及合理的采集方式(例如标注显著标识);第三,内部场所对于人脸信息的收集处理,所收集到人脸信息要进行内部的严格保密以及控制传播。
4.人脸识别技术服务提供商的合规要求
建议优选接入官方数据库、技术系统符合三级等保要求的人脸识别技术服务提供商;涉及到提供硬件设备、图像采集设备的服务提供商,其设备还需要经过有资质的机构的检测和认证,这个可以根据服务提供商具体提供的设备情况具体去判断。
5.未来可能的备案要求
第一是备案主体,备案主体是人脸识别的使用者;第二是备案条件,存储了人脸信息超过一万或者在公共场所使用了人脸识别技术的人脸识别使用者都要备案;第三是备案机关为网信部门。征求意见稿落地后,可以再去关注具体的备案条件和要求。
四、金融信创对金融数据合规的影响
01、我国金融信创的现状
经历了起步期、萌芽发展期、试点期之后,目前我国的金融信创已经大步迈入推广期。随着金融试点范围的逐步扩大,试点落地已经由国有大型银行逐步扩展至中小型银行,以及各种其他不同类型的金融机构。
我国的金融信创在发展过程中也体现出了自己的特征。从分级角度而言,起步于国有大行,再陆续辐射至中小银行以及其他不同类型的金融机构;从分层角度而言,按照办公系统、一般业务系统、核心业务系统、金融工具的顺序从外围系统逐渐切入至核心系统;从分阶段角度而言,以先试点、后全面的顺序确保稳步落地。
02、金融数据安全保护的挑战
目前金融行业的运行,依赖着大量的敏感个人信息以及重要数据的高频流转。相应地,在金融信创、金融行业数字化转型的快速发展背景下,金融数据安全面临的挑战也愈加严峻。近年来,我国高度重视金融数据安全保护,持续出台并完善相关法律制度。截至目前,我国已经形成了以网络安全法、数据安全法以及个人信息保护法等法律为核心,以相关的行政法规、部门规章为依托,以及各种国家标准和行业标准等为指南的金融数据安全合规体系。
03、合规要点
第一,核心系统本地化部署要求。金融信创的最终目标就是实现金融行业IT产业链核心技术产品的安全自主可控,对于金融机构的核心系统而言,由于涉及大量客户敏感个人信息和重要数据,部分法规已明确要求机构落实核心系统本地化部署。
第二,关注外包风险。在金融信创的过程中,由于金融机构往往在科技能力方面存在一定欠缺,难免会涉及到与多元主体进行合作等问题,外包风险也是近年来监管关注的重点之一。
第三,技术赋能合规要求落地。相关法律法规提出了若干针对数据安全保护的合规要求,而大量的要求则需要通过匹配技术手段才能得以真正落地。因此,金融行业信创除了满足金融机构的业务需求外,也需要关注从技术层面是否能够全面落实合规要求。
第四,关注合作方资质。由于信创产业具有关乎国家科技发展和社会信息安全的特殊性,而金融行业更是典型的受监管行业,因此对于信创技术合作方在行业准入方面一般具有极其严格的标准。

技术驱动法律,专业成就未来