6月15日,银保监会消费者权益保护局发布《关于马上消费金融股份有限公司侵害消费者合法权益的通报》(以下简称《通报》)。《通报》指出,马上消费金融公司存在营销宣传夸大误导、产品定价管理不规范、学生贷款管理不规范、合作商管控不严、联合贷款管理不到位、不合规催收、消费者权益保护体制机制不完善等问题,违反了《国务院办公厅关于加强金融消费者权益保护工作的指导意见》《消费金融公司试点管理办法》等相关规定,侵害了消费者的知情权、自主选择权和公平交易权等权益。
其中,《隐私政策》收集客户信息不符合“必要”原则,如向客户收集“短信记录”,未对收集的通话记录、设备、地理位置等信息进行时间限定和范围限定。
移动互联时代,随着越来越多的数据产生,用户隐私保护日益成为市场及监管机构关注的热点,当前,仍有不少数字科技类企业强制或在用户不知情时开放与其提供的服务毫不相关的各种手机权限。随着数据安全合规的监管日益严格,“知情”、“自愿”、“适度”、“必要”等限制性要素将成为每一家数字科技公司收集客户信息的原则。
遏住数据不当使用的咽喉
大数据时代,数据已经成为个人或企业的核心资产,数据资产化趋势明显。数据将会对互联网、金融、医疗、政务等多个行业的发展发挥越来越重要的作用,在推动经济发展的同时也在带给社会更多的便利,但数据的不当使用也会带来对用户隐私的侵犯。近年来数据泄漏事故频发,数据安全和隐私保护问题引起了全球的关注。
2016年11月,我国通过了《中华人民共和国网络安全法》,旨在通过多项举措加强个人信息和数据保护。2018年5月在欧盟生效的《通用数据保护条例》 (GDPR)规定用户可以要求经营者删除其个人数据并且停止利用其数据进行建模,而违背该条例的企业将会面临巨额罚款。在GDPR正式实施一个月后,美国加利福尼亚州颁布了《2018年加州消费者隐私法案》(CCPA),加强消费者隐私权和数据安全保护。2019年5月28日,我国国家互联网信息办公室发布了《数据安全管理办法(征求意见稿)》,提出了收集重要数据的备案制以及向第三方提供重要数据的批准制的新要求。2020年2月,中国人民银行发布《个人金融信息保护技术规范》,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。2020年10月1日,《信息安全技术个人信息安全规范》正式实施,数据安全和隐私保护将迎来新时代。2021年6月10日,据新华社报道,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。
“在当前的技术和社会条件下,数据价值发挥和数据隐私保护是一对矛盾体,也正在通过法规和治理等多种手段来达成某一种平衡态,例如在某些场景下,用户会牺牲30%的隐私来获得70%的便利。”蓝象智联创始人兼CEO徐敏称,隐私计算的各种技术本质上就是在优化这个平衡态。隐私计算是在保护用户隐私的前提下,让数据可以参与各种场景的建模、预测等应用。
怎样保护个人隐私?
普华永道发布的《中国金融科技调研2020》指出,科技创新既是金融业发展的动力,也成为了新的风险来源。本次调研的受访者普遍认为,政府应对金融科技进行适当监管,避免野蛮生长和套利创新。 其中,最需要做的就是规范个人隐私和数据安全。
今年3月,在国新办举行的新闻发布会上,国家互联网信息办公室副主任杨小伟表示,全国范围内深入实施《网络安全法》,进一步加强在政策、法律、监管多方面因素的统筹协调工作,加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。
对于正在积极进行数字化转型的金融机构以及金融科技来说,数据安全、数据管理已成为合规议题,《数据安全法》等个人信息数据相关领域的法规不断完善,对金融机构的数据管理也提出了新的挑战。
“数据治理监管的重点,一是数据采集的规范性,明示数据用途,坚持‘合法、正当、最少、必要’原则;二是对个人隐私的保护,如须加工必须保证脱敏处理,非经特别授权不可被恢复;三是算法、模型须可审计可监督,且符合伦理道德、非歧视。四是保护消费者利益,保障客户有质询、申述渠道。”6月10日,中国财富管理50人论坛学术总顾问、清华大学五道口金融学院理事长吴晓灵代表《平台金融科技公司监管研究》课题组成员答记者问时表示,信息技术和数据的合法合规应用,关系到行业与市场的健康发展。监管部门在维护市场公平竞争、防范垄断、保护公民隐私方面有必要建立一套合理、有效的监管机制,并通过监管科技的运用,有效保护合法竞争、坚决防范系统性风险,为市场各参与方保驾护航。
金融监管机构对于金融科技的监管正在完善,一方面通过“监管沙盒”继续鼓励创新试点,另一方面出台多项新规,引导传统金融机构与金融科技公司规范创新,保障消费者权益,确保市场公平竞争。
人民银行发布的《中国金融稳定报告2020》显示,2019年12月,北京市率先启动金融科技创新监管试点,2020年,在上海市、成渝地区、粤港澳大湾区、河北雄安新区、杭州市、苏州市等地扩大试点。截至2020年8月末,已推出60个试点项目,既有商业银行、清算机构等持牌金融机构牵头申请,也有电信运营商、金融科技公司等科技企业直接申报。
今年3月26日,人民银行发布并实施《人工智能算法金融应用评价规范》(下文简称《规范》),这是一部由人民银行提出,全国金融标准化技术委员会归口的文件,规定了人工智能算法在金融领域应用的基本要求、评价方法和判定标准,适用于开展人工智能算法金融应用的金融机构、算法提供商及第三方安全评估机构等。该文件从安全性、可解释性、精准性和性能方面开展AI算法评价,适用对象分为资金类场景和非资金类场景。
《平台金融科技公司监管研究》课题组建议,对平台金融科技公司进行数据合规监管,并探索建立个人数据账户制度。一是建立个人数据的标准体系,建立公民数字身份,实现身份信息和业务数据的分离;二是明确实质知情同意为个人数据的采集原则;三是数据采集机构应向数据主体提供充分的数据账户管理和授权权限,其他数据需求方在获得用户授权后即可访问个人数据账户中的相关数据;四是个人数据不可二次分享以保护初始采集机构的利益;五是个人数据账户采取“商业主导+政府分级监管”的管理模式,对于不涉及生物信息、宗教信仰、金融财务等非敏感数据,可对相关活动和机构实行事后备案管理即可。
隐私计算
目前几乎所有的个人信息资产包括房产、存款、汽车、保单等已成为信贷或各种交易的依据。同盾科技人工智能研究院发布的《知识联邦白皮书》指出,简单直接共享这些数据资产无法保护用户隐私。如果数据不能共享,可以保证数据对外不可见,但也不利于数据经济价值的发掘。把数据资产根据场景提取有用的知识,把知识开放共享才是保证数据可用的一种合理解决方案,这就是资产知识化。从数据资产化和资产知识化可以看出一种数据应用的新趋势——数据可用不可见。
近年,学术界和工业界以及监管机构都已经开始在数据安全和隐私保护方向的探索。尤其是在大数据、人工智能和密码学等领域,出现了安全多方计算、隐私计算、联邦学习、可信执行环境等多个方向,都在研究如何在保证数据安全的前提下打破数据孤岛,实现数据可用。
“隐私计算是让用户不牺牲隐私的情况下,获得更多的便利,也给社会经济带来更多的福祉。”徐敏称,在隐私计算的加持下,实际交换的不是数据本身,而是数据的价值,是数据使用权和所有权的分离。在这个技术的支持下,数据价值交换将逐步形成多种形态、多级市场共存的健康形态,无论是政府层面组建的大数据价值交易所、还是行业型或区域型的大数据价值交易市场、或者机构之间的直接数据价值交互,在多种市场形态的支持下,全社会的数据价值将进行健康、有序、有价地交互,让数据真正成为社会经济活动的重要基础要素。
麦肯锡全球资深董事合伙人曲向军认为,未来十年,是科技驱动和科技赋能金融行业的黄金时期,也是金融行业业务模式变革和竞争格局变化的关键阶段。中国的金融科技企业、投资机构和传统金融机构需时刻关注全球金融科技的技术趋势和业务模式创新,结合中国实际,深挖中国庞大的市场潜力。围绕金融场景,打造金融生态,持续建设自身能力与核心竞争力,推动转型与开放合作,迎接即将到来的金融科技浪潮。
对于监管机构而言,《平台金融科技公司监管研究》课题组建议,建设全国性的“监管大数据平台”。应当在公共治理的范式 下完善平台经济的协同治理,打破政府和企业原有的责任边界,实行 共同治理。政府部门可以与平台企业合作,联合建设大数据监管平台, 加快金融业综合统计和信息标准化立法,利用科技手段推动监管工作信息化、智能化。