工行首席技術官呂仲濤：實行負面清單，建立規範的數據交易市場

新金融城

“跨行客戶金融數據共享問題已經成爲行業發展主要痛點，也是導緻風險管控跨行難的主要原因。”5月30日，在新金融聯盟主辦的“數據合規應用與金融消費者權益保護”研讨會上，中國工商銀行首席技術官呂仲濤表示。

關于數據合規應用的六點建議

文 | 呂仲濤

作爲金融數據信息收集、使用的重要市場主體，商業銀行掌握了大量個人身份、财産信息等重要的數據要素。同時，基于風險控制、授信審批、貸後催收、服務客戶等各種原因，商業銀行需要對所掌握的數據進行分析、利用，并在一定情況下對外提供輸出。

結合工作實踐，我從商業銀行數據合規的主要訴求，以及如何平衡數據商業價值與消費者權益保護，促進數據信息有序流動、高效配置談幾點思考。

從商業銀行數據應用的痛點和需求來看，近年來，在商業銀行數字化轉型發展過程中，數據信息合理利用和依法有序流動已成爲防範化解金融風險的關鍵手段。目前，跨行客戶金融數據共享問題已經成爲行業發展主要痛點，也是風險管控跨行難的主要原因。

以前講數據利用，很多時候銀行把焦點放到了跨行業的數據共享，即同政府、第三方公司的數據共享。現在更主要的痛點是跨行問題，這些數據如果能有效利用，可以解決更多重要與關鍵的問題。

我從風險角度談三方面體會，跨行客戶金融數據共享有助于提升客戶數據的廣度和深度，有助于加強客戶信用風險防控，有助于提升跨行聯動的風險防控的能力。具體而言：

第一，通過跨行金融數據對客戶資信情況進行核查。比如，對于來辦理貸款的客戶，可以通過流水驗真功能，對申請材料中的他行賬戶流水情況随機抽取驗真，從而有效甄别虛假材料和騙貸情況。

第二，借助跨行數據透徹了解貸款資金流向，加強貸後監測及預警能力。針對有預警、報警提示的客戶，可以利用信貸資金追蹤、異常資金流監測等功能，聯合跨行數據協同判斷信貸資金流是否違規。

第三，跨行數據可以反映出客戶是否有異常詐騙行爲。比如，借助大數據技術識别一戶多卡、睡眠卡中的高風險賬戶；同時，跨行數據也包括風險賬戶的篩查結果，可以在監管指導下開展風險賬戶信息共享，跨行聯動做好反欺詐的風險防控。

基于以上需求，有必要推動客戶數據、财務信息跨行的合理應用、适度應用，乃至爲未來跨行業應用做好工作。這是商業銀行的主要訴求。

結合前期《數據安全法》與《個人信息保護法草案（二次審議稿）》的内容，我從六個方面談談數據合規應用的建議：

第一，明确《個人信息保護法》與相關法律之間的關系。

最近無論從《民法典》、《個人信息保護法》、《網絡安全法》、《電子商務法》、《數據安全法》，還是征信條例等行業法規相繼出台，或者做了一些修訂。我們覺得還是要進一步明确相互之間法律關系，厘清“特别法優于一般法”，“後法優于前法”等法理原則适用前提，協同發揮作用。

第二，合理平衡數據信息保護與金融數據利用之間的關系。

金融數據是價值巨大的資産，爲了充分利用金融數據推動經濟社會發展，有必要通過适度數據開放、安全整合與安全共享，讓數據資源流動和利用起來。

具體而言，建議監管部門出台完善的金融大數據的使用規則，協調數據端口協議、統一數據輸出标準、建立數據共享平台，積極探索科學的管理方法和機制，厘清數據開發與利用過程中的責權利關系及實施程序。事先做底線規範，并對未來包括評估、審計在内的監管提供專業基礎。

第三，确定數據交易基本原則，建立規範化的數據交易市場。

在大數據時代，僅靠單一主體很難完成需要數據收集，需要通過互通合作、商業化采購等方式進行數據補充。可以預見，數據交易市場和規模目前還存在較大的增長空間。爲了防止該市場領域野蠻成長，有必要前瞻性做好事前規範。

建議以負面清單制度作爲數據交易的原則之一。對于涉及國家安全、經濟安全、社會穩定、公共健康的安全數據要禁止交易，或者隻能由特定交易主體開展、在有國家管理的特定場所進行交易。對于其它數據，可在數據提供者同意前提下，按照市場化原則開展交易。

現在成立了很多要素交易所，但是金融數據作爲國家金融安全的主要組成部分，由國家管理的特定場所進行交易可能會比較穩妥。建議通過建立特定場所或者持牌機構在國家法定監管機構規範管理下進行交易，交易主體也應該是特定的交易主體。

第四，建議減少對信息内部分析及使用的限制。

商業銀行通過數據整合，綜合分析等大數據技術手段，能夠更加精準識别客戶風險承受能力、還款能力，更加精準推薦金融産品，并不斷提高信用風險管控能力。

目前，《民法典》等法律法規對個人信息處理進行了相關規定。例如，根據《民法典》，個人信息内部加工使用，如用戶體驗分析改進，交叉銷售等，均需取得客戶同意，并明示處理的目的、方式、範圍種類等。根據《個人信息保護法草案（二次審議稿）》，如處理的目的、方式、範圍、種類等發生變更，應重新取得客戶同意。

商業銀行作爲信息處理者，在進行内部分析和合理使用數據，對客戶信息進行有效控制，建議适當減少對商業銀行内部分析及合理使用數據信息行爲的一些限制。考慮在内部分析數據環節，無需經過數據信息提供者同意，以更加順應信息社會發展需要。

第五，建議加快推動個人征信機構發展，豐富互聯網信息等征信數據。

根據征信業務管理條例規定，涉及個人征信業務的機構，是經國務院征信業監督管理部門批準。

目前，國内批準設立個人征信機構僅有人行征信中心、百行征信、樸道征信三家。但上述機構所掌握的個人信息種類不盡全面，尤其缺乏個人互聯網貸款，線上行爲分析、反欺詐信息等數據，不能完全滿足當前商業銀行的授信、風控等的分析需要。建議進一步加快推動個人征信機構發展，豐富個人互聯網信息等征信數據，滿足商業銀行等機構的信息需求。

這裏有兩層意思：第一，征信系統本身需要發展補充完善，增加更多金融數據要素；第二，對于其它類型的金融數據，如果不能納入，也比照前面建議，要跟它平行建立特定持牌數據共享處理機構。這取決于征信管理條例的範疇，要嚴格按照征信管理條例範疇進行信息收集，條例以外的金融數據也可以通過建立另外一個交易場所進行共享，不能簡單地把所有的東西歸到征信裏面去做數據共享。

第六，建議适當增加跨境提供信息規則适用例外條例。

當前商業銀行國際化程度越來越高，諸多跨境業務開展過程中，必須向境外機構提供客戶信息，比如跨境彙款、跨境貿易結算等。

另外，商業銀行還普遍存在集團境外機構委托境内機構處理信息，再由境内機構傳回境外機構的信息。該種情況不同于一般情況下的向境外提供個人信息。

此外，因國際間法司法協助等監管原因需要提供個人信息，實踐中也很難獲得個人同意。

因此，建議在《個人信息保護法草案（二次審議稿）》中，現有的向境外提供個人信息有關要求的基礎上，适當增加一些例外情況，如爲個人辦理所委托業務，必須向境外提供。個人信息處理者向境外提供的個人信息來源與境外接收方，國際司法協助以及境外行業監管，反洗錢監管等行政執法部門要求向境外提供個人信息。在符合要求情形下，有關的安全評估、專業機構認證、合同訂立和主權授權方面的要求可适當做一些放寬。