商业银行互联网贷款数据安全有章可循 业内提示尽早筹划业务调整
原标题:解读互联网贷款管理办法|商业银行互联网贷款数据安全有章可循 业内提示尽早筹划业务调整
摘要:日前,《商业银行互联网贷款管理暂行办法》(以下简称《暂行办法》)非官宣版本被媒体曝光,部分条款引发业内外关注。
日前,《商业银行互联网贷款管理暂行办法》(以下简称《暂行办法》)非官宣版本被媒体曝光,部分条款引发业内外关注。
业界普遍认为,该文件不仅为助贷业务合规发展指明了方向,成为商业银行、消费金融公司、网络小贷公司以及其他各类金融科技公司利好所在,也为金融科技更多应用场景的设置、网络和数据安全的系统防护等作出规定。
“虽然《暂行办法》只是完成了小范围及内部的征求意见,目前应还没正式出台,但其内容已经在业内广泛解读。”行业分析人士对记者表示,“而且对比而言,上述办法对银行与第三方机构合作范围的要求更加详细。”
另外,业内还认为虽然《暂行办法》安排了3年的过渡期,但是商业银行等金融机构和消费金融公司、融资担保公司、大数据公司以及其他相关合作机构等非金融机构应尽早筹划相关业务的适应性调整。
提升金融科技创新速度
2020年1月18日,银保监局向多家商业银行下发关于征询《商业银行互联网贷款管理暂行办法》意见的通知。记者注意到,此次传出的《暂行办法》与2018年11月《商业银行互联网贷款管理办法(征求意见稿)》相比内容有所调整以及更新,是继其下发征求意见之后首次出现的新版本。
《暂行办法》不仅对互联网贷款、风险数据、联合贷款、合作机构以及对贷款期限、贷款额度、跨区域经营等方面给出明确的定义和详细的规定。还对金融科技诸多应用场景的设置、网络和数据安全的系统防护等提出规定。
对此,财经专栏作家李庚南在接受《华夏时报》记者采访时表示,金融科技无疑是近年来业界和监管部门都高度关注的热点。《暂行办法》虽然直接规范的是商业银行开展互联网贷款业务,但由于互联网贷款业务天然亲“科技”性,与金融科技具有天然的渊源。
近年来,金融科技的快速发展为行业转型升级创造了可能,而随着技术的不断创新,互联网贷款业务也得到了迅猛发展,重度参与其中的银行与金融科技公司之间的合作更备受关注。
李庚南提到,商业银行开展互联网贷款往往需要运用金融科技手段优化信贷流程和客户评价模型,需要借助互联网和移动通信等信息通信技术的支撑保障业务的顺利开展。因此,《暂行办法》实际上通过对商业银行与第三方机构即金融科技公司的合作行为的规范,间接地对金融科技行业进行规范,同时也在客观上对金融科技的应用升级。
实际上,金融科技一方面大大改善了金融领域信息不对称状况,提升了传统金融机构风险管理能力;另一方面,其自身内在的风险性也不容忽视。金融科技的运用是金融业务之间的交叉性增强,在缓解信息不对称的同时,也加剧了系统性的信息不对称,具有隐蔽性和系统性。在互联网模式下,这种风险很容易突破地域限制,具有很强的传染性。其在操作和平台技术方面潜在的安全风险往往更具有破坏性。
在其看来,正是基于金融科技本身内生的风险性,监管出台了《暂行办法》,从规范商业银行开展互联网贷款特别是开展与第三方机构合作的角度,提出了一系列监管要求。我们看到,《暂行办法》设置了许多涉及金融科技的应用场景,要求商业银行运用金融科技建立安全、合规、高效和可靠的互联网贷款信息系统。
例如,第十七条要求商业银行应当按照反洗钱和反恐怖融资等工作要求,通过构建身份认证模型,采取联网核查、生物识别等有效措施识别客户身份,线上对借款人的身份数据、借款意愿进行核验,确保借款人的身份数据真实有效,借款意愿为借款人本人真实意愿的表达。
而第四十八条则要求商业银行应当充分评估合作机构的信息系统服务能力、可靠性和安全性以及敏感数据的安全保护能力,开展联合演练和测试,加强合同约束,确保不因外部合作而降低商业银行信息系统的安全性,确保业务连续性。
聚焦网络数据安全升级
在刚刚过去一年,由互联网贷款业务而引发的暴力催收、隐私信息泄露、大数据爬虫非法获取数据等事件令人触目惊心,行业内网络数据安全和风险问题也不断暴露出来。
记者注意到,在《暂行办法》第三章“风险数据和风险模型管理”中详细规定了风险数据的来源、使用、保管、质量以及风险模型的管理流程、开发、测试、评审和监测等,可以看出将对网络和数据安全提出了更高的要求。
“强调加强互联网数据安全也是《暂行办法》的重点之一。”李庚南说,“大数据既是金融科技的‘硬核’,又是金融科技的‘软肋’。数据风险与信息安全风险的相互交织,恰是金融科技风险防范的关键,也自然是监管关注的要点。”
他认为,正如第三章中“风险数据和风险模型管理”占用了大量篇幅一样,文件详细的从风险数据的来源、使用等多方面都提出了具体的监管要求,而这些要求的落实显然离不开金融科技的支撑。例如第31条,要求商业银且通过适当方式确认合作机构的数据来源合法合规,并已获得数据所有权人的明确授权。
值得一提的是,在《暂行办法》的第四章“信息科技风险管理”中规定,商业银行应当采取必要的网络安全防护措施,加强网络访问控制和行为监测,有效防范网络攻击等威胁。涉及数据交互行为的,应当采取切实措施,实现敏感数据的有效隔离,保证数据交互在安全、合规的环境下进行;应当采用有效技术手段,保障借款人数据安全,确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性,并做好定期数据备份工作。
在李庚南看来,上述规定除了有望扭转商业银行互联网贷款业务乱象、优化监管部门金融风险的管控外,其将进一步加速金融科技的应用和互联网贷款业务中网络和数据安全系统防护的升级。
客观上来看,该文件将从需求端进一步加速金融科技的应用和互联网贷款业务中网络和数据安全系统防护的升级,推动相关金融科技产品的研发,推动金融科技数据安全的提升。同时通过监管规制的传导,促进金融科技自身风险“硬伤”的弥补,推动金融科技网络和数据安全保护技术的迭代。
另有分析人士指出,虽然《暂行办法》安排了3年的过渡期,但是商业银行等金融机构和消费金融公司、融资担保公司、大数据公司、贷款催收公司以及其他相关合作机构等非金融机构应该尽早筹划相关业务的适应性调整,加速相关金融科技产品的研发,加速网络和数据安全保护技术的迭代。