文/刘洋 重庆银监局城市商业银行监管处
从国际监管趋势看,金融信息权正在替代金融隐私权成为监管重点,相较于金融隐私权所强调的私密性,金融信息权则更加强调控制性、安全性及实用性,突出个人信息保护的全面性。
大数据时代,信息科技与金融的深度融合,给普惠金融的发展带来前所未有的机遇,也带来数据使用效率和安全的矛盾。2016年,习近平主席代表中国在G20杭州峰会上签订了《二十国集团数字普惠金融高级原则》,倡导既要利用数字技术推动普惠金融发展,又要平衡好数字普惠金融发展中的创新与风险,并采取负责任的数字金融措施保护消费者权益。2017年12月8日,中共中央政治局就实施国家大数据战略进行了第二次集体学习,习近平总书记又高瞻远瞩地指出要保障数据安全,加快建设数字中国。
从银行业的应用看,大数据与传统数据分析相比,具有数据量大、数据类型多样、数据价值密度低、数据处理速度快的特点,显著改变了数据在银行业的应用场景和角色地位。数据分析从传统上财务管理、绩效考核等宏观综合性领域,扩展到精准营销和风险控制等微观领域,使得消费者个人信息的细节数据成为分析对象。消费者数据在银行业务决策中起到关键作用,但反过来又对消费者自身利益产生重大影响。围绕大数据在银行业应用特点,在权衡创新带来的效率与风险的基础上,结合国际监管与立法的最新实践提出加强行为监管,可进一步思考保护金融消费者信息权的建议。
银行业数据应用呈现新特点
数据范围从局部到全体。一方面,数据更加多元化,在过去主要使用银行内部积累的账户数据、交易数据的基础上,新增了外购或以各种方式获取的外部数据,如税务数据、工商数据、司法数据、社交数据、消费数据、位置数据和轨迹数据等。在数据类型上也从直接数据向衍生数据扩展,IAF(Information Accountability Foundation)研究指出,大数据分析中所使用的数据从消费者直接提供的数据(Provided data),扩展到观察的数据(Observed data),衍生的数据(Derived data)和推断的数据(Inferred data)。后三类数据中包括机器自动记录的日志数据和物联网(IOT)数据。另一方面,数据分析的范围从传统数据结构数据,扩大到电子报表、网页和文本、图像、多媒体信息等半结构或非结构数据,大大扩展了数据范围。
分析方法从确定到不确定。英国监管部门ICO(Information Commissioner’s Office)的研究显示,大数据与传统数据分析方法上的区别,主要存在三个不确定:分析算法的不确定性、处理过程的不确定性和使用目的的不确定性。在分析算法上,大数据分析在“发现阶段”是开放式的,其结果未经预先想定,具有高度不确定性,属于探索性分析(Exploratory analysis)。在处理过程上,基于大数据的深度学习需要构建具有多隐层的非线性神经网络模型,数据在多层网络和大量节点中的处理非常复杂(如Google Brain内部有10亿个节点),会形成一个无法理解其处理过程的“黑盒”,因此经过深度学习训练的人工智能作出的决策,我们只能从结果判断决策的有效性,但无法以人类理性根据其决策结果回溯和解释其作出决策的原因。相对于传统数据分析,深度学习难以在处理过程中呈现可理解的逻辑确定性。在使用目的上,大数据分析的一个重要特征是数据收集目的和分析目的的分离。这是因为大数据挖掘有可能发现表面上看起来毫不相关的不同数据集之间的关联,如对社交数据的分析可能被用于投资,对位置数据的分析不仅可用于导航还可能被用于信用评级。因此数据存在“二次使用”问题,在数据最初被收集时,很难预见后期全部分析和使用目的。
金融消费者保护面临多重挑战
数据分析目的的不确定性与数据使用告知方式存在矛盾。传统上通常采用告知与同意方式(Notice and consent)来保障消费者对银行机构收集和使用自己数据的知情权。大数据分析中,目的的不确定性对告知和同意带来两个方面的矛盾。一是“事前”告知与目的滞后性的矛盾。大数据分析在“二次利用”的情况下,客观上银行机构只有在通过探索性分析发现数据集之间的关联规律后,才能在“事中”确定数据的使用目的,因此,在数据初始收集是很难预测到未来可能对用户信息进行何种形式及何种程度的利用,要在获取用户信息时进行充分提示告知几乎是不可能的。二是征得同意与“涉他”关联性的矛盾。大数据分析的一个重要数据来源是非结构化的社交数据,如论坛聊天记录、图片影像资料等。这些数据中往往存在难以清晰拆分的多人关联信息。当对特定对象进行分析时,不可避免地将同时对其他相关人员的数据进行处理,这将导致需要征得同意的人员范围非常大而且不可预测。
数据分析范围的扩大导致传统信息保护模式出现失效。一方面多数据集交叉分析导致“去身份化”措施失效。为了保护个人信息,传统的隐私保护要求采用去身份化(De-identification)脱敏措施,对某些敏感数据通过剥离“个人识别信息(PII)”来保证不泄露用户身份。然而,被严格脱敏的金融消费者个人信息可能会在多数据集的交叉分析和二次利用中实现身份标志的复原(Re-identification),从而导致泄露。近期网上流传的某银行ATM机照片显示,在不同的业务页面,会分别单独显示客户的姓和名,综合在一起就能还原客户的完整姓名。
另一方面,跨组织分析导致物理隔离措施失效。内外部网络物理隔离是重要且有效的传统反信息泄露措施。但由于数据范围扩大后涉及大量不同的组织,数据控制者(Data controllers)和处理者(Data processors)开始分离。银行通过跨组织流程,使用外部数据分析公司提供的分析处理服务,势必需要在银行内外部频繁传输海量数据,物理隔离这样的传统反泄露措施逐渐面临失效。
数据分析过程的不确定性导致消费者权利较难实现。一是导致隐性歧视难以避免。在大数据分析中,数据选择,问题界定和结果决策都可能会有偏误,进而导致潜在的歧视性危害。如,银行机构通过大数据分析可能得出某些特征的人群信用风险较高的结论,从而系统自动拒绝该特征人群的信贷申请。从宏观看,整个银行业使用趋同的算法将可能导致系统性歧视,使得某些人群很难获得金融服务。二是导致消费者对个人信息的访问、转移和更正等权利难以实现。基于深度学习等高度复杂算法形成的“黑盒”使得数据处理过程中的中间数据不像传统数据分析中那样容易获取、转移和更正。
数据角色地位的变化刺激对个人数据收集出现“两个过度”。随着数据在银行机构运营中的角色逐渐从业务附属品升级为重要的核心资产,使得银行对于数据的收集可能出现与过去扩大资产规模相类似的强烈激励。
一是过度收集数据。不仅收集当前分析需要的数据,也收集目前无用的数据,因为这些数据未来可能会被挖掘出价值。纯存储公司(Pure Storage)一项覆盖英国、法国和德国多家商业机构的研究显示,72%的被访机构承认他们曾收集过之后从未使用的数据。
二是过度存储数据。大数据时代单位数据存储成本大幅降低,数据处理能力大幅提升,导致出现技术史学家乔治·戴森指出的“存储数据的成本低于删除数据的成本”。未来银行机构数据存储期限将可能大大超过达到数据分析目的所必须的时间。
加强行为监管保护消费者权益
监管理念上树立信息权综合保护理念。当前我国银行业消费者保护的政策框架中,对金融消费者个人信息的保护主要局限于隐私保护。但大数据语境下,个人数据对银行业金融消费者的影响远远超出了以隐私保护为核心的狭义信息安全范畴。从国际监管趋势看,金融信息权正在替代金融隐私权成为监管重点,相较于金融隐私权所强调的私密性,金融信息权则更加强调控制性、安全性及实用性,突出个人信息的保护的全面性。如欧盟《一般数据保护条例》(General Data Protection Regulation,GDPR,以下简称《条例》)将在2018年5月25日正式生效,替代1995年发布的《欧盟数据保护指令》(Directive 95/46/EC),成为大数据时代第一部数据保护条例。《条例》进一步细化和扩展了个人信息权利,在知情权、访问权、拒绝权等基础上,引入了“数据可携权”“被遗忘权”等新型的权利类型。“数据可携权”指用户可以无障碍地将其个人数据在信息服务提供者之间进行转移。“被遗忘权”要求数据控制者不仅删除自己所控制的数据,还要通知第三方停止利用并删除之前传递的数据,对传统“删除权”进行了扩展,强化了保护。我国银行业行为监管中,借鉴欧盟树立信息权综合保护理念,不仅有利于建立适应大数据时代要求,全面有效的消费者信息保护体系,也有利于与国际监管接轨。
监管规制上采取结果导向。由于大数据在数据范围、分析方法等方面的特性,数据收集和分析过程中经常存在非目的性、非确定性因素,政策制定者既无法预估所有可能进行预先规范,同时又不可能“一刀切”式禁止,使得对数据收集、加工、存储和分析的过程进行单纯的行为规制缺乏实际可行性。因此,监管政策规制的着眼点应当集中于“数据利用”的结果上,以“数据利用”是否会给信息主体带来损害为评判标准。结果导向型治理思路下,要求加重金融机构作为信息收集方、利用方的义务。以美国为例,2015年2月,美国颁布了《消费者隐私权保护法案(草案)》进一步增加了金融机构的保护义务的内容:将金融机构等数据控制者的自觉性义务,合目的性和受限性收集等义务扩大到贯穿数据收集、加工和使用的各个环节。并在此基础上,增加了金融机构等数据控制者的风险评估管理义务,要求其对消费者信息在各环节可能面临的风险进行评估以决定自己的行为。
监管保护力度上采取适度原则。大数据分析本身特性与个人信息权的保护存在矛盾,过于严格的信息权保护可能过度限制大数据分析能力,进而对数字普惠金融效果产生负面影响。欧盟《条例》由于过于严格,在欧盟内部也存在争议。美国进入特朗普时代后,在创新效率和数据安全的权衡中,开始向创新倾斜,2017年3月,美国参众两院投票撤销奥巴马时期美国联邦通信委员会(FCC)发布的网络用户隐私权保护法案,允许网络供应商收集和出售用户的网络浏览历史、位置信息等,标志着美国互联网政策发生变化。反映出全球主要国家在监管方式和力度上仍在探索,尚存分歧。我国在有关监管政策的制定中,应充分考虑发展中国家特点和银行业信息需求,采取适度保护原则,既加强金融消费者信息权保护,又防止给银行业设置过高的合规成本,影响和限制大数据创新在银行业的应用和发展。
本文原载于《中国银行业》杂志2018年第3期。