八卦| 法律视角下商业银行数据合规建设的思考

标签: 数据合规法 IAPP 数据隐私 浏览量:0 2023-07-12

作者 | 吴春艳(九卦金融圈专栏作家)

来源 | 九卦金融圈

编辑 | 武文 张云迪

随着数字技术的发展,数据已经成为基础性和战略性资源,渗透到国家治理、社会发展、个人生活等各个方面。国家也将数据从基础资源变成重要的生产要素,随之,数据领域的各种制度与法律也越来越完善。



b89971a53dc9f3c

由此,数据合规将是企业面临的新兴合规内容,特别是金融企业。随着数字经济和实体经济不断纵深融合发展,数据要素的价值进一步放大,数据合规面临的环境和挑战也日趋复杂和重大。数据开发利用与数据合规的博弈与平衡,数据市场竞争环境下数据资源的垄断与开放,法规规范对数据参与者的赋权与监管等问题也越来越成为数据合规管理中不得不面临的基本问题。因此,面向数据要素进行数据合规体系建设,坚持合规与发展并重,既充分发挥数据价值,促进数据要素市场化,又避免数据隐私、数据泄露、数据滥用、数据损失等方面带来的合规问题,成为亟需解决的一大问题。


数字经济时代的数据合规挑战

不断迭代的法律法规带来的合规挑战

随着与数据相关的法律体系的不断迭代和完善,企业不得不面临合规制度不完善、合规要求更新不及时、合规措施落实困难等现实的挑战。一是适应我国不断发展变化的法律法规,以及全方位细化的监管政策体系,加强监测预警,规避和降低合规经营风险;二是适应全球不断发展变化的法律法规,包括遵守已经生效、即将生效的数据合规要求——涵盖当地数据合规与个人信息隐私保护、跨境数据传输安全合规要求等。


高昂的合规成本带来的经济压力

因未能遵守严格监管要求而产生的成本迅速增加,包括罚款、外部诉讼与和解费用等法律成本,以及声誉损害和业务损失。根据IBMSecurity发布的《2022年数据泄露成本报告》,基于对2022年全球550家组织经历的真实数据泄露的深入分析,数据泄露的全球平均成本达到了435万美元的历史最高水平,自2020年以来增长了12.7%。同时,网络攻击的持续性也揭示了数据泄露对企业造成的“挥之不去的影响”,该报告发现,83%的被研究组织经历过不止一次的数据泄露,同时,这些影响在违规发生后会持续很长时间,因为将近50%的违规成本是在违规发生一年多之后才产生的。

(来源:IBM Security《2022年数据泄露成本报告》)


开放金融服务模式带来的数据合规挑战

随着场景金融的发展,金融服务融于各类生活场景,人们随时、随地都可以获得银行服务,这给银行系统的可靠运行带来越来越高的要求。同时,外部数据服务也成为其中的脆弱环节,蕴含了因银行采购管理、行业监管政策、企业自身经营、信息系统技术等因素导致的极大的业务中断风险。开放金融服务方式,导致合作伙伴的数据合规能力对银行产生很大影响,需要采取主动的措施避免关联影响。


数据频繁流通引发的数据合规挑战

随着国家数据要素市场建设向纵深推进和不断提速,数据的流通性是商业银行盘活数据资产、释放资产红利的新抓手,也是创新发展的必然要求。然而,在数据流通过程中,也存在诸多风险隐患。比如,与第三方机构合作共享数据时,数据因明文流通或者复制滥用而导致大量隐私泄露;数据跨境过程中,因涉及重要数据或者一定规模的(敏感)个人信息外传,直接危及国家安全、企业合规与个人信息安全等。


国际数据领域的立法

自欧洲《通用数据保护条例》(General Data Protection Regulation,简称GDPR)生效以来,各国相继出台或修订数据合规相关立法,数据合规立法已成为全球合规监管的主流趋势。现今全球已经有超过100个国家制定了数据保护相关的法律,40多个国家出台了相应的草案,国际社会开始进入数据保护的快速发展期。例如,美国的《国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019),俄罗斯的《个人数据法》(Personal Data Act of 2015),加拿大的《数字宪章》(Digital Charter 2019),印度的《个人数据保护法》(Personal Data Protection Bill 2019),澳大利亚的《消费者数据权利法案》(Consumer Data Right 2019)等。


纵观各国数据保护立法,主要呈现以下五个特点:

一是许多国家逐渐形成全方位保护的立法理念,并突出个人信息使用限制;

二是各国关于数据合规的立法,从数据的收集、存储、使用、加工、传输、提供、公开等一系列环节,都有相应的法规予以保护;

三是明确管辖范围,加强与数据流通密切的相关国家和地区的数据信息交流合作,共同打击数据侵权与泄露事件;

四是强调对个人信息和隐私的保护,大多数国家和地区均出台单独的法典对其进行规范;

五是各国开始采用精细化的立法方式来保护数据安全,明确各方法律义务责任。

我国数据领域立法

自2017年实施《中华人民共和国网络安全法》以来,我国开始迈进数据应用和治理法治化时代,数据保护的立法节奏不断加快。2021年9月1日《中华人民共和国数据安全法》正式施行,同年11月1日《中华人民共和国个人信息保护法》开始实施,同年11月14日国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》(以下简称“条例”),这标志着我国数据合规立法开始走向成熟。 “三法一条例”的颁布实施,标志着我国的数据合规立法已经进入了快速发展阶段。同时“三法一条例”也是当前企业数据合规建设的基本遵循。

纵览我国数据保护法律框架,呈现出“两主线、多维度”的立法特点。以“个人信息保护”和“重要数据保护”为两大主线,针对这两主线的法律规范设计不仅覆盖基础性法律规范,如《网络安全法》《数据安全法》《个人信息保护法》《刑法》和《民法典》,还涵盖中央和地方性法规及规章、司法解释和规范性文件。同时,各法律规范之间的设计和适用并非完全割裂,而是相互借鉴、相互联系,在多个维度上不断完善对个人信息和重要数据的法律保障。

全球众多严格的数据合规法律法规为企业的合规经营带来一定的挑战,但也为企业提供了加强数据保护的良好契机,倒逼企业审视自己的隐私保护政策和数据处理方式,提升企业核心价值,创造新的竞争优势,同时也使得企业的经营能够行稳致远。


数据来源的合法性

数据来源的合法性是企业通过数据创造价值的前提与基础,既是企业能够合规使用所获取到的数据的前提,也是监管机构关注的重点。在实践中,监管部门对数据来源的合法性的考察主要聚焦以下两个方面:

企业自主收集的数据。在收集个人信息时,应当遵守合法、正当及必要性原则,并且获得信息主体的同意。具体包括:

一是仅收集与业务直接相关的个人信息,避免收集与业务无关的信息;

二是如果收集的个人信息为敏感个人信息,还需要获取客户对于敏感个人信息收集与使用的明示同意;

三是在收集个人信息前,需制定《隐私政策》,并在《隐私政策》中具体说明个人信息的使用场景,采取技术措施(例如弹窗等)引导个人信息主体查阅隐私政策,获得个人信息主体明示同意后开展有关个人信息的收集活动。

来源于第三方的数据。在接收第三方数据时,要事先核实数据来源的合法性。

具体包括:一是此类数据在收集时,第三方是否获得了客户有关其个人信息收集与处理的同意,该同意应覆盖个人信息主体到企业的全部传输链接以及企业利用该数据的各类场景;二是建议第三方提供相应的证明文件,确保企业收集到的个人信息来源的可追溯性;三是应通过尽职调查等适当方式确认合作伙伴的数据来源合法合规、真实有效,确保对外提供数据不违反法律法规要求,并已获得信息主体本人的明确授权。


内部数据安全治理

若内部的数据安全管理制度无法完善,则数据安全无法保障,数据也就无法在制度的保障下发挥价值。因此,在确定了数据来源的合法性后,企业还需要对企业内部的数据安全进行管理,聚焦数据处理、数据流动和基础安全等方面,搭建覆盖数据全生命周期的数据安全管理机制。


数据的使用与处理

数据的使用与处理包括数据的收集、存储、使用、加工、传输、提供、公开等活动。数据的使用与处理应采取合法、正当的方式,遵循诚信原则进行。在不同的业务领域,有着相应的法律法规或监管政策对企业的数据使用与处理进行规定,对于企业而言,其合规要点也相应地因行业监管要求的不同而有相应的特殊性。企业应结合自身情况,建立系统性的数据合规管理机制,同时在内部对具体管理措施的内容、针对的数据对象、负责的人员等予以明确,并全面记载管理措施的实施情况,以确保数据的使用与处理合法合规,以备监管机构提出检查时,能够拿出相应的记录来进行说明,或者在发生合规风险时,用于证实已尽到必要的保障义务。


商业银行当前数据合规建设面临的问题

一是缺乏适宜的数据合规管理体系。多数商业银行将数据合规管理纳入数据安全管理统一管理,但数据安全管理和数据合规管理既有交叉,又有不同。数据合规是指对数据的收集、存储、使用、加工、传输、提供、公开等全生命周期活动须符合国家法律法规、监管规定、行业准则和国际条约、规则以及公司章程、相关规章制度等要求;而数据安全是通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

因此,数据合规=数据安全+法律法规、监管规定、行业准则和国际条约、规则以及公司章程、相关规章制度对数据主体的强制性要求。如果缺少适宜的数据合规管理体系,各项工作机制难以真正有效运转,容易产生数据虽然是安全的,但合规风险不可控,或者数据虽然是合规的,但却存在安全隐患。

二是缺乏适用的组织体系。因为缺乏适用的组织体系,多数商业银行无法很好地回答以下三个问题:一是数据安全和数据合规工作分别由哪个部门负责;二是数据安全工作开展的组织、方法、工具可以在哪些方面或者维度帮助数据合规工作,具体怎么做;三是如果现在没有明确地定义数据合规工作的责任方,数据安全的责任方又能做些什么,使得数据合规风险可控。

三是缺少懂业务、懂数据、懂技术、懂法律、懂管理的业内专家。商业银行的业务链条大部分过长,数据是流动的,并伴随业务进行流转,其中任何一个环节出现数据合规问题,都会对金融数据资产合规造成严重的威胁。因此数据合规管理相较于传统的企业合规管理对人才素质提出更高的要求。

从业务上,需要将数据合规的价值显现化;从技术上,需要考虑数据架构的设计及流程规范;从数据上,需要将数据合规工作拆分,并逐步推动落实;从法律上,需要将法定义务落实到管理细则;从内审上,需要制定数据合规评估的范围和标准。


商业银行数据合规体系建设建议

治国无其法则乱,守法而不变则衰。数据安全合规并非简单的技术问题,也并非简单的数据问题,不仅涉及数据与业务之间的场景关系,数据与人之间的处理关系,而且涉及法律法规、标准流程等合规合法问题。随着技术的发展,将安全前置,将数据合规工作贯穿于数据生命周期将成为数据合规与治理的重要思路。


制定合理的制度体系

一是完善数据合规管理体系。第一,明确数据合规责任人及其所要承担的职责,划清数据合规红线,以便各方遵守。第二,明确数据合规管理部门,将数据合规管理职能融入到现有的合规管理体系,作为合规部门的职责之一。第三,制定并不断完善数据合规计划,结合自身业务特点、监管政策、风险识别等多种因素制定数据全生命周期的合规计划,并根据内外部环境的变化不断调整。第四,将数据合规纳入平衡记分卡中合规的考核中,用好考核“指挥棒”,提升总分行对数据合规工作的重视程度。

二是协同管理技术、数据和业务合规流程。第一,将个人信息安全理念嵌入IT系统,通过技术手段优化隐私计算、完善个人信息安全能力框架。第二,将个人信息安全与业务流程设计相结合,基于业务场景、业务流程,从技术能力、合规能力、运营能力、管理能力、流程制度等维度快速搭建内部个人信息安全壁垒,实现技术+人工的全流程数据合规管理与运营方案。


建立适应的组织体系

紧密结合自身合规管理办法,建立完善的数据合规组织架构,清晰地构建数据合规的三道风险防线,嵌入数据合规风险识别评估、合规咨询、合规举报、合规应对机制等数据合规运行工作机制,切实强化数据合规风险防控。

合规、监察、审计、内控、风险等各类体系,需要整合、统筹和衔接,厘清管理界限和接口、避免相互交叉和冲突、实现资源的集约和共享,以体系融合为主线,以规章制度管理为抓手,以合规审核为重点,以依法治行为目标的企业级经营管理体系,从而保障我行实现健康持续发展。比如,法律合规部门负责制定数据合规制度(“立法”);数据管理部门按照合规制度,行使数据管理职权、履行职责、贯彻和实施数据合规活动(“执法”);监察合规审计部门,按照职权和程序,具体运用数据合规制度处理相关违规事件(“司法”);业务部门和分行按照数据合规要求开展业务(“守法”)。


加强数据风险评估与处理

一是建立数据风险评估机制。在识别数据风险的基础上,分析和评估数据风险的来源、发生的可能性、后果的严重性等,并对数据风险进行分析,根据风险评估结果对不同职级、工作范围的管理层和员工进行风险提示,以实现事前预防的效果。

二是建立外部数据尽职调查及合规评估机制。在引入外部数据时,要遵守以下五项原则,并建立起一套切实可行的数据安全及个人信息保护管理制度,对引入的外部数据源和数据供应商进行必要的尽职调查和合规性评估。

第一,合规优先原则。遵循法律法规、采购合同、客户授权及本行信息安全与隐私保护政策等相关规定。

第二,责任明确原则。所有引入的外部数据都应有明确的管理责任主体,承担数据引入方式、数据安全及隐私要求、数据共享范围、数据使用授权、数据质量监管、数据退出销毁等责任。

第三,有效流动原则。使用方优先使用银行已有数据资产,避免重复采购、重复建设。

第四,可审计、可追溯原则。控制访问权限,留存访问日志,做到外部数据使用有记录、可审计、可追溯。

第五,受控审批原则。在授权范围内,外部数据管理责任主体应合理审批使用方的数据获取要求。

三是建立健全数据安全事件应急预案与风险处置机制。发生个人信息泄露、篡改、丢失等事件,数据处理者应当立即采取补救措施,并通知数据合规管理部门。安全事件涉嫌犯罪的,应当及时向公安机关报案。

四是建立便捷的数据合规投诉举报渠道。允许员工实名或者匿名通过内部系统举报数据违规行为,动员员工参与数据合规的监督工作,尽可能地减少组织自我监督时的漏洞与死角。


强化数据合规运行与保障

一是建立数据合规的咨询机制。管理层和各部门员工在工作中可以向数据合规管理部门咨询数据合规问题。数据合规管理部门应当不断学习、提升合规管理水平,也可以通外部机构开展数据合规咨询合作。

二是建立数据合规发现机制。通过设置日常的流程监控、内部审核、重点核查及定期评审等方式发现组织及员工的违规性行为,并及时按照合规计划采取相应的处置措施。

三是建立培训机制。定期为管理层和员工组织数据合规培训,使其了解最新的数据法规、数据合规计划、监管规定、岗位角色与职责等,培养数据合规意识,建设数据合规文化。

数据隐私认证

热点资讯

直播公开课 更多>

    免费试听 查看更多>

    • IAPP CIPP/E欧盟隐私法GDPR

      试听

    • 工程与隐私Engineering and Privacy

      试听

    • IAPP 之Information Provision Obligations信息提供义务

      试听

    IAPP咨询报名

    IAPP报名