(原标题:数据安全法将于9月1日起实施 金融数据管理迎来新挑战)
经济观察网 记者 万敏 2021年6月10日,据新华社报道,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。
此前6月4日,全国人大常委会法制工作委员会举行记者会,介绍了数据安全法草案三次审议稿的相关修改内容,也就是本次表决通过的内容。据介绍,根据各方面意见,本次提请审议的草案三审稿拟作主要修改包括:一是,建立工作协调机制,加强对数据安全工作的统筹。二是,明确对关系国家安全、国民经济命脉、重要民生、重大公共利益等数据实行更严格的管理制度。三是,要求提供智能化公共服务应当充分考虑老年人、残疾人的需求,不得对老年人、残疾人的日常生活造成障碍。四是,进一步完善保障政务数据安全方面的规定。五是,加大对违法行为的处罚力度。
今年3月,在国新办举行的新闻发布会上,国家互联网信息办公室副主任杨小伟表示,全国范围内深入实施《网络安全法》,进一步加强在政策、法律、监管多方面因素的统筹协调工作,加紧制定出台《数据安全法》、《个人信息保护法》,从而在法律层面为数据安全和个人隐私保护提供法律保障。
对于正在积极进行数字化转型的银行业等金融机构来说,数据安全、数据管理成为越来越重要的合规议题,《数据安全法》等个人信息数据相关领域的法规不断完善,对金融机构的数据管理也提出了新的挑战。
“数据规范、信息安全治理已成为金融业监管的重点工作,” 金融科技专家苏筱芮表示,其个人预计伴随着顶层制度的不断完善,金融业的数据治理工作将迈入常态化阶段,上级部门将加大对金融机构信息安全工作的监督管理,关于信息保护的罚单或更加频繁,金融机构应当严格对照监管要求强化内控管理,明晰人员分工,保护客户权益,从源头上杜绝可能存在的风险。
在行业层面,金融行业的个人用户数据收集管理,具体应采用何种机制框架能平衡安全性、兼顾保护市场创新活力,是近期市场人士讨论较多的话题。
同样在6月10日,中国财富管理50人论坛学术总顾问、清华大学五道口金融学院理事长吴晓灵在《平台金融科技公司监管研究》课题发布会上建议,对平台金融科技公司实行分级牌照管理,按数据公司介入金融业务的程度实行强度匹配的监管,探索建立个人数据账户制度等。
吴晓灵认为,更应注重平台金融科技公司数据治理的监管,即数据采集的合法性、个人隐私的保护、算法的伦理道德、数据的安全和技术的安全。凡是与金融机构合作的数据公司均应按合作的性质进行统一而有区别的金融监管,根据其介入金融业务的深浅程度,实行强度匹配的监管。有些要持有限牌照,有些可实行备案管理,有些则可通过合作的金融机构实行穿透式监管,不与金融机构合作的数据公司应按一般科技公司监管。
“为适应数字经济的发展,平衡个人数据保护和数据资源挖掘,我们的报告提出了探索建立个人数据账户制度的建议。”吴晓灵表示,平台公司应为个人建立数据账户。通过个人数据账户,确保个人对数据收集的充分知情权,维护个人数据权利,提升数据收集环节的规范程度。同时在个人授权的前提下为数据需求方“堵旁门、开正门”,体现了“我的数据我做主”的原则,同时还能促进数据协同环节的规范和发展。对于产生数据的平台,在确保数据脱敏并不可追溯的前提下,可对数据加工为产品并进行交易。允许第三方经个人授权后,有偿访问个人数据账户并为客户提供增值服务。
2020年末,央行在公开信息中首次指出“利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动,需要纳入征信监管。”1月11日,央行发布公告称,《征信业务管理办法(征求意见稿)》(以下简称“《办法》”)开始向社会公开征求意见。
监管层一手促进个人征信的规范化,一手严格管理征信滥用。2021年中国人民银行工作会议中,本年度重要工作方向亦包括,“强化支付领域监管,个人征信业务必须持牌经营,严禁金融产品过度营销,诱导过度负债,严肃查处侵害金融消费者合法权益的违法违规行为。”
一家上市金融科技公司高层对记者表示,公司高度关注数据隐私安全问题,监管对数据合规的要求会越来越严格这个趋势是一定的,公司经营中会将此方面相关情况放在非常高的优先级看待。在与银行的合作中,银行自身也有监管合规的要求,反过来也推动了金融科技公司在数据安全方面能力的提高。而就当前的政策来看,还需要等等数据征信的政策细则更清晰明朗,再去推演在行业中的影响和应用。