央行日前發布《征信業務管理辦法(征求意見稿)》(下稱《辦法》)。這是繼2013年《征信業管理條例》和《征信機構管理辦法》實施後,征信行業有望迎來的又壹重磅新規。
數據公司被納入監管當然是好事,消費者的數據安全將進壹步得到保護。但是,在《 財經 國家周刊》的采訪調研中,也有壹些數據行業從業人員提出了疑問。
從過往公開信息來看,在央行之前,網信、公檢法、市場監管、消協、計算機安全等相關領域的主管部門,發文、約談、檢查、執法……都曾將數據行業納入過管轄範圍。
“我們要應對壹輪輪的檢查,哪個部門來都不敢怠慢,各個部門之間的監管也沒有壹個固定的標準和機制,企業疲於應付。希望能盡快立法統籌,減少企業的合規成本。”某企業數據安全負責人說。
當前,風控數據已經不限於金融領域的信貸數據進行收集、加工和使用。壹些教育背景、社交活動、上網行為等信息,都被用於判斷個人和企業的還款意願和還款能力。
因此,壹些互聯網貸款公司在進行貸款審批的過程中,會盡可能多地采納多元信息。這也促進了第三方數據公司的發展。在這個過程中,行業確實出現過買賣個人數據、侵犯公司隱私的事件發生。
這是央行出手規範征信行業的壹個大背景。
那麽,誰在這個監管範圍內?
按照《辦法》,“在中華人民***和國境內,對個人和企業、事業單位等組織(以下統稱企業)開展征信業務及其相關活動的,適用本辦法。”
對此,有金融行業人士提出,這壹監管對象該如何判定?僅指持牌征信機構,還是包括壹些第三方數據公司。“第三方的數據服務公司該怎麽定性,何事可做,何事禁止,需要通過什麽途徑做,可能需要《辦法》再進壹步明確界定。”壹位從業者認為。
《辦法》最後提到:與征信機構合作,為金融經濟活動提供個人或企業信用信息的其他信息處理者,應當在簽署合作協議後向中國人民銀行或其副省級城市中心支行以上分支機構報備。
“這是相關規定第壹次使用‘其他信息處理者’這個說法。從業者可能第壹反應是希望進壹步明確:這說的是我嗎?”壹位投身風控行業逾十年的資深專家說。
盡快做好意見征集,確定細則,成了整個行業的期待。“銀行壹直在問,妳們安不安全,能不能跟妳們合作。《辦法》正式出臺後,我們再看,能做就做,不能做就關門吧。”前述數據服務公司CEO表示。
其實,關於金融數據的規範和治理,各部門壹直在行動。
2019年11月,公安機關開展APP違法采集個人信息集中整治,下架整改100余款違法違規APP,其中,包括光大銀行、天津農商銀行、天津銀行等3家銀行APP被點名。
2020年1月13日,國家計算機病毒應急處理中心點名25款應用,其中22款“未向用戶明示申請的全部隱私權限,涉嫌隱私不合規”。金融領域有6款應用,包括民生銀行、興業銀行兩家股份制銀行,以及內蒙古三家銀行和海峽銀行。
“數據的形態特別復雜,沒邊界,監管也是壹樣,現在是‘N龍治水’,有關部門都出動了,對APP的數據安全和隱私保護進行檢查。”前述企業數據安全負責人說,“所有部門都來檢測,這其實沒有問題,但問題在於,標準是什麽?每個部門都有自己的標準,這次檢測說我們合格了,大家特別開心,下次檢測說我們不合格,就要整改。”
此外,如果為銀行提供服務的第三方公司都被劃入“征信機構”,監管起來難免力不從心。
壹方面是檢查人手的不足。“央行征信部門起碼要擴充好幾倍才能夠完成。如果落地很難,很多文件到最後有可能就成了空文,沒有根治性效應,或者象征性地執法。”壹位曾經在央行征信中心工作過的資深專家說到。
另壹方面是監管技術的挑戰。“機器學習、人工智能的各種評估方法不同於簡單的數據收集和整理,它有非常強的技術性,並且在日新月異地發展。要監管技術,就要考慮有沒有相應的技術能力來實現監管。”上述風控行業專家說。
有業內人士建議,在立法上,希望能夠考慮個人隱私保護的短期壓力和數據行業長期發展的平衡。在執法上,建議慎用媒體曝光和刑事手段。
“既然以規範為目的,就要規範的方式,而不是壹棍子打死不給改錯機會,要促成行業對話。其次,刑事手段的使用對營商環境,尤其是對私營企業經營者的安全感影響非常大。希望在規範的基礎上要慎用刑事手段,多用管理、規範、溝通,讓大家整改。”這位行業人士說。