张韶华:数据分析行业没有征信牌照 应采取行为监管而非审慎监管
凤凰网WEMONEY讯 6月27日,在由中关村互联网金融研究院、中国互联网金融三十人论坛(CIF30)主办的第三届金融科技与金融安全峰会上,中国人民银行参事室副巡视员、国务院参事室金融研究中心秘书长张韶华围绕“隐私保护与数据分析行业规制”主题发表演讲。
张韶华提出,数据分析行业通常不是个人征信机构,没有征信牌照,但是收集了很多个人数据,并加工和分析个人数据。征信与数据分析行业有一些联系,但更多的是区别,征信机构是正规的、受监管的,必须领取牌照。目前看,征信在信贷信用领域是主流,数据分析行业只发挥补充作用。比如,目前征信没有接入互联网金融平台数据,但数据分析公司却能收集和整理一些相应的数据。
“现在是信息化时代,有人也说是大数据时代,未来发展方向我不好断言,有可能数据分析行业未来会占优势。这是因为,大数据会做出更精准的、更立体的3D画像。数据分析行业数据来源非常广泛,其中包括不合规的,像窃取以及不合法的私下买卖交易等。”张韶华说。
当前,数据分析行业大多为金融机构提供服务,张韶涵在课题调研的数据也证实了这一点。“我们课题组面向国内一些比较大、运作比较规范的的数据分析行业开展了问卷调查,发现23家公司里,平均收集一亿左右个人的相关数据,量非常大。可见,数据分析行业和你个人生活已经是非常紧密了。通过发放问卷调查发现,23家数据分析行业几乎百分之百都面向金融机构提供服务。”
对于我国个人信息保护的情况,张韶涵指出,“我国个人信息保护机构目前比较分散,大家不知道个人信息保护到底由谁来负责。金融消费者保护部门原来是四家,现在银保监会合并了以后还有三家,这在全球是绝无仅有的。”
最后,张韶华建议,服务金融机构的数据分析行业应从以下四个方面规制,一是在立法和顶层设计方面,通过《个人信息保护法》和《数据安全法》规范;二是在行业监管方式方面,采取行为监管而非审慎监管,通过金融监管部门规范金融机构和数据分析行业的合作规则,实现间接监管;三是推动行业协会在数据分析行业方面的自律作用;四是采取快速的纠纷解决机制,构建司法、行政和解、调解、仲裁、第三方为一体的纠纷解决机制。(凤凰网WEMONEY 曾仰琳/编辑)
下附张韶华演讲全文:
张韶华:大家好,最近我的团队一直研究数据分析行业规制课题,我今天简单讲三个方面:
第一,隐私、个人数据和个人敏感信息。隐私概念最早提出是在1890年,当时是布兰戴斯和沃伦这法学家提出了隐私权这个概念,最早的隐私权又叫“个人独处的权利”(right to be alone)。今天,隐私权的范围已经远远不限于此了,它包括个人生活的安宁、个人数据信息的安全等等。各国现在都对个人数据或者个人信息加强了保护,最深层次的法律基础还是在于隐私权保护方面。当然,有些国家现在也没有明确的隐私权概念,通常就把相应权利归为宪法上的公民基本权利,或者叫人格权。
个人数据和个人信息到底什么关系?大家好像有时候有点糊涂,觉得是等同的概念。我只能告诉大家,在立法这个领域里它们是基本等同的,但实际上是有区别的。大家可以看这个图,通常数据或者大数据可以解读为信息,而信息最后要通过数据来表达,就是这么一个关系。他们不完全是等同的。只不过在现实立法上,各国法律通常称为《个人数据保护法》或者《个人信息保护法》,基本等同了。个人数据类型,大家可以看图,大家目前最关心的是自己的网络、手机还有金融财务方面的信息。
英国欧华律师事务所的这张图,对全球个人数据保护强度进行了梳理。大家可以看一下保护强的主要是在西欧、北美还有澳大利亚。咱们国家现在是橙色的,橙色还可以,是一个“稳健保护”状态。我们都知道现在我们国家正在制订《个人信息保护法》还有《数据安全法》,都是朝着保护强度更好的方向去发展。
保护个人数据或者个人信息,也不可能说只要是个人信息、个人数据全部都要严格保护,立法对于信息和数据的保护,也要和数据信息有效利用之间取得一个平衡。现在是信息化时代,有人也说是大数据时代,在这个时代里,我们必须保护个人信息,但保护的重点应是个人敏感信息,要对个人信息进行脱敏和去标识化,禁止侵害个人隐私。这是各国对个人敏感信息的一些梳理,个人敏感信息的范围会随着不同国家政治、经济、文化、传统会有变化和调整。
第二,为什么研究数据分析行业的规制问题。这幅图是世界银行集团国际金融公司赖金昌先生制作的。征信机构之外,更广阔的就是数据分析行业。数据分析行业通常不是个人征信机构,没有征信牌照,但是收集了很多个人数据,并加工和分析个人数据。征信与数据分析行业有一些联系,但更多的是区别,征信机构是正规的,受监管,必须领取牌照。全世界每个国家平均两到三家的个人征信机构,更多的是一些信用报告分析公司甚至普通数据分析公司。目前看,征信在信贷信用领域是主流,数据分析行业只发挥补充作用。比如,目前征信没有接入互联网金融平台数据,数据分析公司却收集和整理一些相应的数据。大数时代,未来发展方向我不好断言,有可能数据分析行业未来会占优势。这是因为,大数据会做出更精准的、更立体的3D画像。数据分析行业数据来源非常广泛,其中包括不合规的,像窃取以及不合法的私下买卖交易等。
第三,服务金融机构的数据分析行业如何规制。我们课题组面向国内一些比较大、运作比较规范的的数据分析行业开展了问卷调查。我们发现23家公司里,平均收集一亿左右个人的相关数据,量非常大。可见,数据分析行业和你个人生活已经是非常紧密了。如何进行规制?我简单给大家汇报一下。一是在立法和顶层设计方面。我们的问卷调查发现,23家数据分析行业几乎百分之百都面向金融机构提供服务。在立法方面主要通过《个人信息保护法》《数据安全法》进行规范,当然,金融监管部门也要制定相应的办法和指引。二是行业监管方面。未来应该主要是行为监管。行为监管和金融消费者保护是紧密结合在一起的。具体的监管方式,我们建议不要对这个行业进行直接监管。所谓直接监管就是数据分析行业要有一个明确的监管部门,要发牌照。我们采取的是由金融监管部门来对金融机构做一些规范要求,主要包括与数据分析行业合作的规则和标准等。欧盟美国对个人数据领域的监管不同。欧盟非常严格,各国由专门的数据保护机构实行统一监管。美国相对比较宽松,采取分部门监管方式。联邦贸易委员会(FTC)负责对消费者统一进行保护的同时,一些专业领域像医疗、教育、交通、金融等由各自监管部门负责个人数据保护。金融领域个人数据保护方面,目前消费者金融保护局(CFPB)深度介入。我国个人信息保护机构目前比较分散,大家不知道个人信息保护到底由谁来负责。金融消费者保护部门原来是四家,现在银保监会合并了以后还有三家,这在全球是绝无仅有的。全球基本上是统一的金融消费者保护部门。市场监管部门作为一般消费者保护部门的同时,又有金融消费者保护部门,同时还有工信部、公安部、网信办,大家都有一定职能。未来个人金融信息保护方面如何规范?如何分工?我们会和全国人大法工委经济法室在立法过程中加强协调并予以明确。面向金融机构提供服务的数据分析行业如何规制?我前面讲过,建议实行间接监管方式。三是要有专门的数据分析行业协会。现在行业协会成立也是比较难的,我们会推动这件事情。四是要采取非诉纠纷解决机制。大家不要一有争议都去找法院。当事人自己可达成和解,还有行政和解,还有调解、仲裁以及第三方非诉纠纷解决机制等等方式来解决。总之,在个人金融信息保护、数据分析行业规制领域,还有很多工作需要做,我们会全力继续推动。
谢谢大家。
