蜜月期结束?银行或大规模停止外部风控数据合作
三季度以来,部分地区监管与警方加大对第三方大数据公司的整治力度,多家第三方大数据公司爬虫业务负责人被警方带走协助调查,揭开了金融大数据乱象整治的序幕。
近日,有媒体报道称,中国人民银行已将《个人金融信息(数据)保护试行办法(初稿)》(以下简称“办法”)下发至各家银行,正在征求意见中。
2019年4月,央行发布了《中国人民银行2019年规章制定工作计划》中,其中就包括制定《个人金融信息(数据)保护试行办法》。随着年底临近,这份监管文件的正式出炉或已不远。
“近期多家合作银行确实更加关注数据留存等方面的问题。”一家大型金融科技公司内部人士对记者表示。
据悉,《个人金融信息(数据)保护试行办法(初稿)》第十二条中规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。”第十八条规定:“金融机构不得以”概括授权“的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”
当前,持有个人征信业务牌照的机构仅百行征信一家,也就是说,各类以大数据风控为名,行个人征信之实的第三方大数据公司,理论上来说其经营行为为无牌的“非法”状态。
相较2018年年初央行下发的《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》中,第七条,银行业金融机构通过外包开展业务的,应当充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。
银行业金融机构与外包服务供应商签订服务协议时,应当明确其保护个人金融信息的职责和保密义务,并采取必要措施保证外包服务供应商履行上述职责和义务,确保个人金融信息安全。银行业金融机构应要求外包服务供应商在外包业务终止后,及时销毁因外包业务而获得的个人金融信息。
显然此次“办法”对银行与外部数据合作的合规性要求更为细致具体,在合作对象的选择上也设置了更为严苛的准入门槛。
一位城商行零售业务人士对记者表示,该行在与大平台的合作中,平台方会进行流量的初步筛选,对互联网+羊毛党、黑灰产进行剔除,但风险策略是由银行拟定的。双方在客户金融信息方面是背靠背的模式,用户数据并不直接相通,平台方的数据来源并不会对银行说明。
强调核心风控不能外包,也是监管的一直强调的。今年以来,在网贷业务量开展较大的地区,如浙江银保监,多次发文强调,各银行不得将授信审查、风险控制等核心环节外包,今年9月17日下发的《关于进一步规范个人消费贷款有关问题的通知》,再次重申,不得将授信审查、风险控制等核心业务外包。
对于以中小城商行、农商行为主要目标客户的金融科技公司来说,金融信息管理的藩篱不断扎紧,绝非好消息。若无法通过持牌机构对数据来源的合规性审核,以“大数据风控”为主要卖点业务获将在监管的严控下失去用武之地。
但另一方面,绝大多数在信息数据系统方面处于弱势的小型区域性银行,本身是否有足够的能力进行数据来源的识别、审核就是一个问题。
“数据收集处理上,场外数据缺乏资讯提供者,内部数据也散落在多个系统,且中小银行非机构化风险数据处理能力不足,导致风险数据收集处理难;风险建模上中小银行缺乏专业人才及时更新风险模型,难以满足复杂情景的需求及进行实施监控;风险引擎上,中小银行缺乏自建风险引擎的能力,而市场上提供风险引擎的厂商往往不具备风险建模能力,需要另寻风险咨询公司,因此二者整合效率较低。” 由中小银行互联网金融(深圳)联盟、深圳壹帐通智能科技有限公司、埃森哲(中国)有限公司共同发布的《中小银行金融科技发展研究报告(2019)》这样指出。
在过去的几年中,市场意识较强、转型较快的小银行,纷纷上马与第三方金融科技公司的合作,增加第三方数据合作渠道,对用户的第三方征信、通讯等实名认证数据加强参考,不论是与金融科技公司的导流获客、还是风控共建等,都已在实践中展开了深度合作。未来各种互联网+银行的“联合贷”、“助贷”模式能否继续走下去,将有赖于双方能否找到在合规前提下可行的商业模式。
但对个人金融消费者来说,个人金融信息安全保护不断加强显然是个好消息,个人信息被滥用、盗用的现象,有望得到缓解。
“网络技术的发展使互联网企业拥有庞大的消费者信息数据库,但是如果对数据库管理不当,不仅会对消费者造成巨大的损失,也会影响自身的信誉与发展。”中国人民大学普惠金融研究院(CAFI)近日发布的《中国普惠金融发展报告(2019)》指出,目前,我国有关个人信息保护的法律分散于各部门当中,尚未专门制定个人信息保护的法律,如《刑法》中规定将非法获取和提供个人信息入罪。《消费者权益保护法》、《网络安全法》等也都规定了对个人信息权的保护。这种分散化的立法模式使个人信息保护在实践中缺乏协调性,导致保护的责任义务不清、打击力度不够、执行困难等问题。由于统一法律体系在短期内很难建立,而保护消费者信息迫在眉睫,建议设立行业自律组织作为保护主体来保护消费者的个人信息。