央行“个人信息保护办法”,对金融机构影响几何?
媒体报道,《个人金融信息(数据)保护试行办法(初稿)》(简称“办法”)已下发到各家银行征求意见。《办法》第十二条和第十八条规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”
《办法》对金融机构与第三方之间征信业务活动等进一步作出明确规定,加大对违规采集、使用个人征信信息的惩处力度。这对浑水摸鱼冒充征信机构,其实做数据倒卖生意的部分数据公司亮起了红灯。
“正规军”推动金融数据应用合规化
金融领域个人信息与个人的资产、信用状况等高度相关,也是征信体系的重要组成部分。出台统一的信息保护办法,对数据获取和使用的正规化和统一化提出了明确要求,利于征信机制体制建设。
2017年数据显示,全国工商登记中带有征信字样的数据企业有50多万家,其中20多万家想做个人征信。但是由央行批准,中国互联网金融协会与8家机构联合成立的百行征信,是唯一一家获得个人征信牌照的机构。
央行征信管理局局长万存知曾表示,市场上进行个人征信的机构目前没有一家合格,在达不到市场需求和监管要求。
据了解,很多数据机构都想追求依托互联网形成自己的业务闭环,这样在客观上就分割了市场的信息链,而且每一家的信息覆盖范围都受到限制,信息不广、不全面就带来产品的有效性不足,不利于信息共享;其次,很多数据机构各自依托某一个企业或者企业集团发起创建,在业务或者公司治理结构上不具备或者不具有第三方征信独立性,存在比较严重的利益冲突;再者,数据机构的基本理念和基本规则了解不够,而且也不太遵守,在没有以信用登记为基础的情况下,在数据极为有限的情况下,根据各自掌握的有限的信息进行不同形式的信用评分并对外进行使用,存在信息误采误用问题。
除了以上问题,很多市场上现有的某些机构在数据获取来源上闪烁其词,而且在用途上也模糊不清。
由监管部门牵头成立百行征信,建立了统一的数据信息采集和应用标准,打破因信息孤岛造成的局面,与央行征信中心的银行借贷市场形成互补关系,构建覆盖中国全部人群的征信版图,实现全社会征信数据的最终收口。
截至2019年8月末,百行征信已与1071家机构达成了业务合作和信息共享意向,其中402家机构完成了接入服务协议签署,200多家机构正在进行数据接入联调测试,165家机构已实现信息共享。个人征信生产系统已采集借款人数逾7140万,信贷账户数逾1.12亿个。
金融机构自建风控的浪潮来袭
对违法违规大数据机构的监管,切断个人信息的灰色获取渠道,也驱使金融机构寻求合法合规的合作方及征信机构。至此,行业中已形成共识:仅靠接入三方数据就做业务的“快餐版”风控模式结束,构建自主可控的、可持续的风控能力时代到来。
金融机构需在以下几个方面开展全面的“内功”建设:
1、加强合规意识:看清大数据行业监管形式,抛弃沿用老方法恢复业务的幻想,尤其不要寄希望于在金融业务里打任何擦边球,一旦业务突然停摆,只会影响自身品牌的口碑和业务的持续发展;
2、用好官方数据,挖掘自有数据价值:数据仍然是开展风控业务的“石油”,人行和百行征信的数据将会成为主要数据来源,其他三方数据服务商进行整顿后,或许可以提供一部分非核心数据作为补充。更重要的是,机构应该着眼于挖掘自有业务数据的价值,如近期业内备受关注的顶象关联网络应用方案,便可以把与业务需求紧密相关的客群特征、业务数据、交易信息、核心征信、合规数据等海量数据利用起来,科学构建“有内涵、可外延”的复杂关联网络,再在网络的基础上搭建如反团伙欺诈、智能营销等一系列人工智能应用。
3、抓紧自建完善的业务安全能力:充分构建自主可控的业务安全能力,摆脱对三方机构的依赖才是解题的核心。未来的金融行业竞争必然是金融业务和科技能力的角逐,机构应着眼于未来的业务,通过布局一整套的业务安全方法论、系统与制度建设,逐步形成独有的竞争能力。