发布日期:
数字金融中个人金融信息保护的合规要点
文章字数:999
由于数字经济迅猛发展,金融行业正在发生重大而实质性的变革,而大数据、人工智能技术在提高金融服务效率的同时也将个人金融信息保护推到了行业前台。《个人信息保护法》的正式实施为此类数字金融活动提供了明确的法律指引。故本文从法律条文及监管规定出发,系统、严谨地梳理数字金融场景下个人金融信息保护的合规要点。
从《个人信息保护法》的相关规定可知,敏感个人信息的处理必须符合“特定目的”及“充分必要性”两个要件,因此对数字金融机构的业务提出更高、更明确的要求:金融机构首先要厘清个人信息处理的具体目的,所收集的个人金融信息宜与所从事的业务处理直接相关,绝不可无限制收集。同时《金融数据安全数据安全分级指南》等行业标准对金融机构个人信息保护工作做了极好的补充细化。故金融机构宜在法律框架下主动、系统地建立内部管理制度及技术防护体系,切实构建起对个人信息全生命周期予以保护的长效机制。
大数据风控是数字金融最突出、最核心的竞争力,其本质是以海量个人金融信息为数据基础进行风险评估,因此必然要严格在法律框架下运行。《个人信息保护法》明确规定,以自动化决策方式作出对个人权益有重大影响的决定的,个人有权要求说明,亦有权拒绝仅以自动化决策的方式作出决定。由此引出金融机构在开展大数据风控时应遵循的三项明确规则:其一为完善信息授权机制,在采集、使用个人金融信息之前必须获得信息主体明确、自愿的书面同意。其二为建立决策可解释机制,风控模型所作的风控结论及调整理由都应当可供信息主体充分理解。其三为切实保障信息主体的程序性权利,主动开辟投诉渠道,设置异议处理机制,让信息主体的合法权益真正得到有效救济。
算法歧视是数字金融中十分典型的、值得重视的法律风险,因为算法本身及所用训练数据都可能存在偏见,故算法在不自知的情况下就有可能对某些群体产生歧视性影响,而这是对法律所奉行的公平原则的直接违背。因此《个人信息保护法》明确规定了个人信息处理要采取措施保证个人信息处理活动符合法律、行政法规的规定,且要防范非法处理个人信息。
由于数字金融时代个人金融信息保护既是法律合规的基本要求,也是金融机构获得市场信任、实现长远发展的重要前提,因此完善制度体系、加强合规建设,是数字金融健康发展的必由之路。故而宜由行业各方通力协作,在法治轨道上系统、审慎地推进数字金融高质量发展,切实构建安全可信的金融服务生态。
作者单位:郑州升达经贸管理学院文法学院
从《个人信息保护法》的相关规定可知,敏感个人信息的处理必须符合“特定目的”及“充分必要性”两个要件,因此对数字金融机构的业务提出更高、更明确的要求:金融机构首先要厘清个人信息处理的具体目的,所收集的个人金融信息宜与所从事的业务处理直接相关,绝不可无限制收集。同时《金融数据安全数据安全分级指南》等行业标准对金融机构个人信息保护工作做了极好的补充细化。故金融机构宜在法律框架下主动、系统地建立内部管理制度及技术防护体系,切实构建起对个人信息全生命周期予以保护的长效机制。
大数据风控是数字金融最突出、最核心的竞争力,其本质是以海量个人金融信息为数据基础进行风险评估,因此必然要严格在法律框架下运行。《个人信息保护法》明确规定,以自动化决策方式作出对个人权益有重大影响的决定的,个人有权要求说明,亦有权拒绝仅以自动化决策的方式作出决定。由此引出金融机构在开展大数据风控时应遵循的三项明确规则:其一为完善信息授权机制,在采集、使用个人金融信息之前必须获得信息主体明确、自愿的书面同意。其二为建立决策可解释机制,风控模型所作的风控结论及调整理由都应当可供信息主体充分理解。其三为切实保障信息主体的程序性权利,主动开辟投诉渠道,设置异议处理机制,让信息主体的合法权益真正得到有效救济。
算法歧视是数字金融中十分典型的、值得重视的法律风险,因为算法本身及所用训练数据都可能存在偏见,故算法在不自知的情况下就有可能对某些群体产生歧视性影响,而这是对法律所奉行的公平原则的直接违背。因此《个人信息保护法》明确规定了个人信息处理要采取措施保证个人信息处理活动符合法律、行政法规的规定,且要防范非法处理个人信息。
由于数字金融时代个人金融信息保护既是法律合规的基本要求,也是金融机构获得市场信任、实现长远发展的重要前提,因此完善制度体系、加强合规建设,是数字金融健康发展的必由之路。故而宜由行业各方通力协作,在法治轨道上系统、审慎地推进数字金融高质量发展,切实构建安全可信的金融服务生态。
作者单位:郑州升达经贸管理学院文法学院