中国版《数据三法》的实施进展、挑战及政策建议——基于16家在沪银行的快速调研

内容提要

2021年以来，我国《数据安全法》、《征信业务管理办法》、《个人信息保护法》三部法律法规正式实施，被业内视为中国版《数据三法》，对中国金融科技的发展，乃至全球大数据产业的博弈都将形成重大影响。为此，央行上海总部面向全市16家银行开展调研，深入评估数据监管新规落地的冲击效应，了解机构应对策略，评估行业后续发展趋势及面临的重大挑战，总结提出前瞻性政策建议。

数据保护立法质量是决定一国金融科技发展水平的重要因素。2020年1月，韩国国会通过著名的《数据三法》，对行业发展起到重要的规范与引导作用，被视为韩国第四次产业革命的重要基石。2021年以来，我国《数据安全法》、《征信业务管理办法》（以下简称《征信新规》）、《个人信息保护法》（以下简称《个保法》）三部法律法规正式实施，被业内视为中国版《数据三法》，对中国金融科技的发展，乃至全球大数据产业的博弈都将形成重大影响。

一、中国版《数据三法》的实施取得重要进展

调研显示，样本机构总体上较好地落实了监管要求：对于外部数据的采集，基本遵循了告知和最小化等原则；对于集团内部独立法人间的数据交流和数据管理使用了包括匿名化、脱敏化、隐私计算、物理隔离等手段；对于集团二级部门间的数据交流和数据管理则采用行内规定、匿名化、变形等处理方式。

（一）从执行进度看，接近九成机构基本完成新规落地

调研显示，2021年《征信新规》、《个保法》出台后，87.5%的银行对行内数据采取了更为严格的管理措施，12.5%的银行正在研究。除外部数据交流外，所有被调研银行对于内部数据交流也保持了高度的严谨性，均采取了隔离等措施确保数据不被滥用。单位对于监管新规高度强调的“基于用途”处理等基本原则有充分了解，另有31.3%的机构让各部门按照自身情况决定处理方式。

（二）从保护技术看，四种模式成为数据保护的主流手段

目前被调研机构的信息保护手段主要包括以下四种：一是物理隔离(62.5%)，机构的普遍做法有：制定规章制度、限制数据获取权限、限制外部非授权储存设备的读取等方式、基于不同用途的数据进行分类储存。二是脱敏及变形处理(25.0%)。包括动态脱敏和静态脱敏技术，在不违反规则条件下，对真实数据进行改造并使用。三是建立数据仓库、大数据平台、数据保险箱(18.8%)。对每张库表进行隔离，生产、测试数据落实严格分网段隔离。四是隐私计算(6.3%)。通过多方安全计算平台、联邦计算平台进行数据交流。还有部分银行（如中国银行、农业银行）反映正在搭建零信任安全架构，为保护资源的安全性，通过细分资源访问控制来防止非法访问和横向移动。

（三）从业务创新看，五种技术路线为业务创新注入新活力

新监管环境下，银行业务流程和模式都面临调整，如不少评分类产品输出已经停止，改为输出模型。调查显示，目前商业银行正积极探索合规的数据保护与交流技术，且并无统一技术路线。目前常见的路径主要包括以下五种：53.3%的机构通过采购或研发多方安全计算、联邦学习等隐私计算服务，来提升数据流动、联合建模的合规性；26.6%的机构妥善利用数据加密技术，在数据全生命周期中持续对数据各个场景进行保护；6.7%的机构选择从数据脱敏到同态加密的递进应用，实现在不改变数据分布的情况下的数据加密及隐私保护；6.7%的机构通过去标识化、匿名化等技术在委托处理、对外提供等场景保障数据隐私合规；6.7%的机构通过软硬件一体化结合方案，无缝适配各类业务系统和数据治理流程。

二、中国版《数据三法》落地时面临的“四大挑战”

调查显示，机构在落地监管要求时对部分法规条款的实施程度和定义、告知义务背后的道德风险、存量数据合规性改造有所困惑。

（一）部分监管要求缺乏量化指标，限制机构创新

一是“最小化原则”没有具体量化指标，导致实际操作存在一定困难。《个保法》第三十四条要求个人信息收集应满足最小化要求，但是没有明确最小化的容忍程度。机构反映向监管报送的客户信息就包括如民族、婚姻等字段，超出了业务必须最小原则，在银行遵循个保法的要求及监管履职之间还需要进一步沟通和协商，细化业务应用场景。二是“匿名化”缺乏具体标准，如脱敏、变形、隐私计算等手段需要达到何种程度才算完成了个人信息的匿名化；匿名化后的数据通过多维度处理还原到更细的颗粒度时，什么样的颗粒度是合规的。

（二）部分条款内容缺少明确定义，机构难以执行

一是《个保法》第二十九条“单独同意”没有明确定义，导致金融机构普遍担心合规问题的存在。例如，相关风险在制式合同中呈现是否属于“单独同意”。二是《个保法》第三十条应告知处理的必要性及个人影响，但“告知”并无准确定义，执行中可能不同机构存在差异，达到何种程度即算完成了告知义务。三是《个保法》第十四条“同意需自愿、明确作出。必要条件下应书面，要素变更应重新获取”，但书面同意获取较难，因此金融机构希望了解《个保法》中的各必要条件的定义。

（三）部分合规要求缺少客户支持，存在道德风险

调查机构反映，“告知-同意”义务在实际落地中存在一定困难。例如，按照相关法律和规章制度要求，对于不良贷款委外清收外包业务，银行应在业务开展前主动告知客户其个人信息将被提供给第三方受托机构，但在实际操作过程中，金融机构发现委外清收的客户还款意愿不高，同意情况相应较差，清收工作难以展开。又如在部分场景下因经营管理原因需要收集客户配偶及其他联系人信息，但在实际操作中难以根据监管要求获取联系人本人同意。还有银行反馈，在信用卡各环节及服务中均涉及处理客户信息，如严格按照“告知-同意”规则执行，一旦客户不同意银行将其信息用于前述业务目的或部分业务目的，将导致信用卡业务无法正常开展。

（四）部分历史数据合规难度较大，期待变通处理

新规前存量数据因采集时间较早，当时的制度体系及技术水平未能完全按照新规后的要求来执行。如新规实施前收集的部分信息可能存在范围超过监管要求的情况；对于还在存续期的已受理的历史业务，按照新规处理敏感信息时额外告知主体也存在一定阻力。

三、中国版《数据三法》的修订与实施探索

（一）从不同路径推进数据监管试点，探索最佳实践案例

当前，人民银行金融科技创新监管工具（中国版“监管沙盒”）在全国推广实施，成为金融数字化和金融科技创新的重要协同机制，在提升监管质效、促进金融创新、改善金融服务等方面取得良好成效。下一步，建议设定相关专题性金融科技创新监管工具，如隐私保护金融科技创新监管工具，选取一批有代表性的机构从不同技术路径包括脱敏、变形、零信任、隐私计算、联邦计算等进行监管试点，尤其是重点鼓励多机构联合申请进行的数据交互项目入盒，探索最佳实践案例。

（二）细化监管，对部分要求进一步明确

当前《数据安全法》、《征信新规》和《个保法》已陆续出台，银行保险机构的监管进入了一个深化、细化阶段。建议针对调研中金融机构普遍反映的重点问题，召集金融机构再进行若干次研讨会，明确机构共同难点，进一步细化监管规则。针对机构提出的不够量化等问题，建议根据后期调研、商讨结果制定量化标准，方便机构执行落地。针对机构提出的存量数据管理问题，建议明确该部分数据的处理方式，对于未授权的补齐授权，对于超范围收集的采取集中销毁。

（三）鼓励建立通用平台，帮扶小微金融机构

根据《中小银行金融科技发展研究报告（2020）》，目前有七成的银行没有金融科技一级部门，尤其是农商行由于规模普遍较小、创新能力不强等方面的约束，在金融科技发展的大趋势下面临着更大压力，监管新规对于这类银行可能会造成一定冲击。为帮助此类机构更好落实监管要求，建议鼓励成立通用数据安全监管平台，采取小微金融机构抱团或融入大金融机构平台等方式探索数字经济下的金融科技合规探索和数字化转型，更好促进小微金融机构安全、合规运营。

* 本文仅代表作者个人观点，与其所在机构无关。

END

作者：黄叶苨，复旦大学应用经济学博士后流动站

原文《中国版<数据三法>的实施进展、挑战及政策建议——基于16家在沪银行的快速调研》全文将刊载于中国外汇交易中心主办《中国货币市场》杂志2022.12总第254期。

更多阅读

◆地缘政治关系与美元储备货币地位的未来

◆我国债券市场开放对外汇市场的影响

◆人民币汇率弹性增强背景下的市场展望

扫码关注我们