工行首席技术官吕仲涛：实行负面清单，建立规范的数据交易市场

新金融城

“跨行客户金融数据共享问题已经成为行业发展主要痛点，也是导致风险管控跨行难的主要原因。”5月30日，在新金融联盟主办的“数据合规应用与金融消费者权益保护”研讨会上，中国工商银行首席技术官吕仲涛表示。

关于数据合规应用的六点建议

文 | 吕仲涛

作为金融数据信息收集、使用的重要市场主体，商业银行掌握了大量个人身份、财产信息等重要的数据要素。同时，基于风险控制、授信审批、贷后催收、服务客户等各种原因，商业银行需要对所掌握的数据进行分析、利用，并在一定情况下对外提供输出。

结合工作实践，我从商业银行数据合规的主要诉求，以及如何平衡数据商业价值与消费者权益保护，促进数据信息有序流动、高效配置谈几点思考。

从商业银行数据应用的痛点和需求来看，近年来，在商业银行数字化转型发展过程中，数据信息合理利用和依法有序流动已成为防范化解金融风险的关键手段。目前，跨行客户金融数据共享问题已经成为行业发展主要痛点，也是风险管控跨行难的主要原因。

以前讲数据利用，很多时候银行把焦点放到了跨行业的数据共享，即同政府、第三方公司的数据共享。现在更主要的痛点是跨行问题，这些数据如果能有效利用，可以解决更多重要与关键的问题。

我从风险角度谈三方面体会，跨行客户金融数据共享有助于提升客户数据的广度和深度，有助于加强客户信用风险防控，有助于提升跨行联动的风险防控的能力。具体而言：

第一，通过跨行金融数据对客户资信情况进行核查。比如，对于来办理贷款的客户，可以通过流水验真功能，对申请材料中的他行账户流水情况随机抽取验真，从而有效甄别虚假材料和骗贷情况。

第二，借助跨行数据透彻了解贷款资金流向，加强贷后监测及预警能力。针对有预警、报警提示的客户，可以利用信贷资金追踪、异常资金流监测等功能，联合跨行数据协同判断信贷资金流是否违规。

第三，跨行数据可以反映出客户是否有异常诈骗行为。比如，借助大数据技术识别一户多卡、睡眠卡中的高风险账户；同时，跨行数据也包括风险账户的筛查结果，可以在监管指导下开展风险账户信息共享，跨行联动做好反欺诈的风险防控。

基于以上需求，有必要推动客户数据、财务信息跨行的合理应用、适度应用，乃至为未来跨行业应用做好工作。这是商业银行的主要诉求。

结合前期《数据安全法》与《个人信息保护法草案（二次审议稿）》的内容，我从六个方面谈谈数据合规应用的建议：

第一，明确《个人信息保护法》与相关法律之间的关系。

最近无论从《民法典》、《个人信息保护法》、《网络安全法》、《电子商务法》、《数据安全法》，还是征信条例等行业法规相继出台，或者做了一些修订。我们觉得还是要进一步明确相互之间法律关系，厘清“特别法优于一般法”，“后法优于前法”等法理原则适用前提，协同发挥作用。

第二，合理平衡数据信息保护与金融数据利用之间的关系。

金融数据是价值巨大的资产，为了充分利用金融数据推动经济社会发展，有必要通过适度数据开放、安全整合与安全共享，让数据资源流动和利用起来。

具体而言，建议监管部门出台完善的金融大数据的使用规则，协调数据端口协议、统一数据输出标准、建立数据共享平台，积极探索科学的管理方法和机制，厘清数据开发与利用过程中的责权利关系及实施程序。事先做底线规范，并对未来包括评估、审计在内的监管提供专业基础。

第三，确定数据交易基本原则，建立规范化的数据交易市场。

在大数据时代，仅靠单一主体很难完成需要数据收集，需要通过互通合作、商业化采购等方式进行数据补充。可以预见，数据交易市场和规模目前还存在较大的增长空间。为了防止该市场领域野蛮成长，有必要前瞻性做好事前规范。

建议以负面清单制度作为数据交易的原则之一。对于涉及国家安全、经济安全、社会稳定、公共健康的安全数据要禁止交易，或者只能由特定交易主体开展、在有国家管理的特定场所进行交易。对于其它数据，可在数据提供者同意前提下，按照市场化原则开展交易。

现在成立了很多要素交易所，但是金融数据作为国家金融安全的主要组成部分，由国家管理的特定场所进行交易可能会比较稳妥。建议通过建立特定场所或者持牌机构在国家法定监管机构规范管理下进行交易，交易主体也应该是特定的交易主体。

第四，建议减少对信息内部分析及使用的限制。

商业银行通过数据整合，综合分析等大数据技术手段，能够更加精准识别客户风险承受能力、还款能力，更加精准推荐金融产品，并不断提高信用风险管控能力。

目前，《民法典》等法律法规对个人信息处理进行了相关规定。例如，根据《民法典》，个人信息内部加工使用，如用户体验分析改进，交叉销售等，均需取得客户同意，并明示处理的目的、方式、范围种类等。根据《个人信息保护法草案（二次审议稿）》，如处理的目的、方式、范围、种类等发生变更，应重新取得客户同意。

商业银行作为信息处理者，在进行内部分析和合理使用数据，对客户信息进行有效控制，建议适当减少对商业银行内部分析及合理使用数据信息行为的一些限制。考虑在内部分析数据环节，无需经过数据信息提供者同意，以更加顺应信息社会发展需要。

第五，建议加快推动个人征信机构发展，丰富互联网信息等征信数据。

根据征信业务管理条例规定，涉及个人征信业务的机构，是经国务院征信业监督管理部门批准。

目前，国内批准设立个人征信机构仅有人行征信中心、百行征信、朴道征信三家。但上述机构所掌握的个人信息种类不尽全面，尤其缺乏个人互联网贷款，线上行为分析、反欺诈信息等数据，不能完全满足当前商业银行的授信、风控等的分析需要。建议进一步加快推动个人征信机构发展，丰富个人互联网信息等征信数据，满足商业银行等机构的信息需求。

这里有两层意思：第一，征信系统本身需要发展补充完善，增加更多金融数据要素；第二，对于其它类型的金融数据，如果不能纳入，也比照前面建议，要跟它平行建立特定持牌数据共享处理机构。这取决于征信管理条例的范畴，要严格按照征信管理条例范畴进行信息收集，条例以外的金融数据也可以通过建立另外一个交易场所进行共享，不能简单地把所有的东西归到征信里面去做数据共享。

第六，建议适当增加跨境提供信息规则适用例外条例。

当前商业银行国际化程度越来越高，诸多跨境业务开展过程中，必须向境外机构提供客户信息，比如跨境汇款、跨境贸易结算等。

另外，商业银行还普遍存在集团境外机构委托境内机构处理信息，再由境内机构传回境外机构的信息。该种情况不同于一般情况下的向境外提供个人信息。

此外，因国际间法司法协助等监管原因需要提供个人信息，实践中也很难获得个人同意。

因此，建议在《个人信息保护法草案（二次审议稿）》中，现有的向境外提供个人信息有关要求的基础上，适当增加一些例外情况，如为个人办理所委托业务，必须向境外提供。个人信息处理者向境外提供的个人信息来源与境外接收方，国际司法协助以及境外行业监管，反洗钱监管等行政执法部门要求向境外提供个人信息。在符合要求情形下，有关的安全评估、专业机构认证、合同订立和主权授权方面的要求可适当做一些放宽。