栏目编辑:叶纯青E-mail:**************
商业银行利用外部数据服务的
潜在风险与应对措施
■ 齐鲁银行 刘 建
摘要:伴随着信息技术的发展,互联网金融服务也得到快速发展,商业银行不断拓展利用外部数据辅助进行管理的业务和领域。商业银行与互联网金融服务企业的合作模式也存在诸多风险隐患,其中合规与法律风险、信息安全以及业务连续性风险尤其要引起商业银行的重视。银行应当在谨慎合规利用外部数据的基础上,强化对具有逐利本质的互联网金融服务企业的监督和管理,并与企业共同探索实践“安全多方计算”等技术措施,保护好银行的核心资产——客户信息。
关键词:商业银行;大数据;信息安全
近年来,互联网金融及互联网金融服务业务快速发展,部分互联网企业利用技术手段广泛收集个人和企业
信息,清洗转换加工后向第三方提供查询服务并收取费用。传统银行也开始越来越多地利用此类外部数据为精准营销、决策审批、风险防范等业务场景提供辅助信息。银行通过整合内外部数据,实现对客户的整体“画像”,有效促进了业务的创新和发展。金融机构、互联网大数据公司在开展业务合作时,多数仅聚焦于大数据信息服务带来的好处,但从风险防范角度看,此服务模式潜在合规与法律风险、信息安全风险、业务连续性风险等隐患。一、外部大数据信息服务的潜在风险
“数据是二十一世纪的石油”,越来越多的银行将数据作为资产来管理,对数据进行加工分析,促进金融创新和风险管理。传统银行的数据多为客户、账户、交易数据,且在相对封闭的系统环境中流动,其价值发挥远远不能满足银行创新需求,利用外部大数据辅助决策成为金融创新的必然发展方向。但银行与互联网大数据公司的合作存在诸多风险,具体表现为以下几方面。
(一)合规与法律风险
客户在申请办理银行业务尤其是授信业务时,一
作者简介: 刘 建(1978-),男,山东菏泽人,工学硕士,高级审计师,国际注册内部审计师(CIA),国际注册信息系统审计师(CISA), 供职于齐鲁银行内审部,研究方向:银行内部审计、非现场审计、信息科技审计。
收稿日期: 2020-09-24
栏目编辑:叶纯青E-mail:**************
般被要求签订“信用信息查询授权书”,通常约定“(银行)向金融信用信息基础数据库及其他经中国人民银行及其派出机构批准或备案的征信机构(以上统称‘征信机构’)查询授权人在征信机构中的全部信用信息及信用报告”。实际操作过程中易产生客户授权方面的法律风险,即征信机构主体不具备合法开展征信业务的资质、使用的“信用信息”的超出客户授权范围。
1. 银行合作的征信机构可能缺乏相关资质。目前,互联网大数据行业发展迅速,但缺乏相应的监管和规范,与银行合作的互联网大数据公司是否具备从事征信业务的资质尚无明确规界定。
从个人征信层面看,2013年国务院公布的《征信业管理条例》明确我国个人征信实行牌照制。2015年1月,人民银行下发《关于做好个人征信业务准备工作的通知》,要求中诚信征信有限公司等8家公司做好征信准备工作。2018年2月,人民银行将个人征信牌照颁发给百行征信有限公司。从企业征信层面看,根据《征信业管理条例》和《企业征信机构备案管理办法》,企业征信机构是“主要采集企业和事业单位等组织的信用信息,并进行整理、保存、加工和向信息使用者提供的机构”,对企业征信机构实行备案制管理,由企业注册地人民银行省级分支行负责办理。截至2018年9月,全国备案企业共有124家。
因此,银行应谨慎选择大数据信息服务提供商,加强对其资质和综合实力的评估,选择具有合法资质的公司开展合作,避免因提供信息服务的公司不具备资质而陷入客户纠纷,产生法律和声誉风险。
2. 银行使用的“信用信息”易超出客户授权范围。银行可以使用多种类型的互联网大数据公司提供的信息,“互联网征信”已远远超出了传统意义上的“征信”信息,其包含的客户数据主要有以下5种:一是信用信息,既包括银行传统授信一直使用的人民银行征信,又包含互联网金融背景下各类网贷平台的授信记录;二是购物行为信息,主要产生于各类购物平台,如淘宝、京东等,平台基于客户的购买行为、评价等方面的数据综合形成客户的评分;三是社交信息,主要产生于各类社交平台,如、微博等社交网络等,平台基于客户的社交行为进行评分;四是负面信息,主要来源于政府机关、监管部门等发布的客户涉案、涉诉、处罚等信息,通过网络渠道提高了信息的可获得性和透明性;五是位置信息,主要来源于客户出行、手机号码位置等,平台用于分析客户的出入地、行为习惯等。此外,客户享受各类互联网服务时会被迫交出多种个人信息,甚至是隐私信息。互联网大数据公司依托强大的技术优势,采集的多种渠道客户数据是否属于“信用信息”的范围尚不明确。
在当前注重对个人信息保护的背景下,极易造成信息的误用、滥用。互联网企业收集加工售卖此类信息的服务模式处于法律和监管合规的灰地带。尤其是2019年9月以后,多家互联网大数据公司陆续被查,多涉嫌利用网络爬虫技术侵犯个人隐私或与助力暴力催收,部分公司与银行存在合作关系,这给从事“数据生意”的企业敲响了警钟。
(二)信息安全风险
大数据查询服务的流程是:在客户与银行发生业务关系时,银行将客户的基本信息如客户名称、证件号码等经互联网渠道提供给外部第三方公司;公司自主运维的系统储存了海量的从互联网中收集的各类客户信息,根据银行提供的要素进行搜索查询,将查询到的客户其他信息再经互联网渠道发送给银行;银行通过技术接口获得该信息并进行解析,辅助行内信息系统进行业务决策。在业务管理和技术安全方面,此服务模式都存在信息泄露风险。
在业务管理方面,银行与外部公司的数据交互,银行核心的客户信息暴露于外部公司的掌控之下,企业信息如企业名称、客户数量规模、行业分布、体风险状况等,个人信息如姓名、年龄、地址、经商信息、特定行为信息等,都存在被公司有意或无意泄露的风
栏目编辑:叶纯青E-mail:**************
险。同时,公司也能利用银行数据进行综合加工生成衍生信息,公开发布或有偿提供涉及行业、地域等内容的各类客户分析报告,使银行面临潜在的自身经营信息或客户信息泄露风险。
在技术安全方面,银行与外部公司的数据传输经互联网渠道完成,数据传输的加密措施、涉及系统的安全漏洞防护、计算机病毒和黑客攻击等多种因素都会影响传输信息的安全。银行与公司方系统同时暴露于互联网环境中,也增加了遭受黑客攻击、信息泄露的风险,这方面的案例早已屡见不鲜。
(三)业务连续性风险
随着金融科技发展,金融服务融于各类生活场景,人们随时、随地都需要获得银行服务,这给银行系统的可靠运行提出了越来越高的要求。外部数据服务成为其中的脆弱环节,蕴含了极大的业务中断风险。这些风险主要来自于银行采购管理、行业监管政策、企业自身经营、信息系统技术等因素。
一是银行采购成本限制导致数据稳定性无法得到保证。大数据信息服务受限于购买成本,银行一般只采购单个公司的数据或多个公司不同类别的数据,存在数据单一来源问题。任何数据的不稳定都会影响银行系统向客户提供服务的能力,产生业务中断风险。
二是行业政策调整容易导致企业无法提供持续服务。正如前文所述,互联网企业从事的“数据生意”处于灰地带,在隐私越来越受到重视、监管日益趋紧的形势下,互联网大数据企业面临较大的政策风险,随时可能断供数据,从而影响银行持续提供相关服务。
三是数据企业经营倒闭带来服务中断。近些年,互联网大数据服务呈现爆发式增长,竞争也越发激烈。
企业发展目标、管理能力、技术实力等存在差异,经营业绩较差的公司很难存活,从而影响合作的银行,造成银行服务中断。
四是信息技术故障导致银行业务中断。大数据查询服务往往与银行系统有一定程度的耦合性,由于通信双方设备故障、网络中断、电力中断等原因,会造成外部数据传输中断,影响银行业务的决策审批过程甚至造成业务中断。
二、银行业金融机构防范相关风险的应对措施
各类基于数据的服务提供者和使用者不应当仅关注于使用数据带来的好处,也应当统筹考虑,规避数据使用行为中存在的风险,在保障消费者的隐私权益的基础上保障自身业务的合法合规、稳健运行。
(一)严格遵守涉及客户信息保护的法律要求
1. 谨慎使用外部数据涉及的客户信息内容。虽然在国家层面尚未出台相关个人信息保护法律法规,但遭受过信息泄露的用户对于立法的呼声越来越高。根据中国消费者协会此前调查,遇到过个人信息泄露者占比高达85%。个人信息泄露的主要途径包括经营者未经本人同意收集个人信息,经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,网络服务系统存有漏洞造成个人信息泄露以及不法分子通过病毒、钓鱼网站等手段盗取、骗取个人信息等。
银行应当谨慎运用外部数据服务,在查询用户信息时,尽量使用明确被定义属于监管允许范围内的信息,防范合规与法律风险。同时,随着社会信用体系的不断完善,人行征信系统涵盖的信用信息的范围也在不断扩大,信用信息在可预见的将来会被人行征信中心和百信征信全覆盖,其余的信息可能不会被归入信用信息的范畴,并将在采集、应用场景方面面临更为严格的管制。
2. 密切关注法律和监管政策动向。目前,国家缺乏个人信息保护的项层设计,《征信业管理条例》以及人民银行发布的涉及个人金融信息保护的通知和技术规范等层次较低,约束性较差,远远不能应对当前信息采集、泄露、倒卖、滥用等各种违规行为。如2020年2月,中国人民银行发布《个人金融信息保护技术规范》,明确了适用机构为金融业机构,包含国家金融管理部门监督管理的持牌金融机构以及涉及个人金融信
栏目编辑:叶纯青E-mail:**************
息处理的相关机构,从安全技术和业务管理方面对个人信息处理提出了规范性要求。银行应当监守社会责任,对信息滥用行为不推波助澜,在合理、合法的基础上应用外部数据服务,并做好预案,及时根据法律法规要求调整使用范围。
银行为什么用db2数据库
(二)强化银行内控管理
风险重在预防。银行在利用外部大数据之初就应当做好规划,完善体制机制,合理设置管控措施,全面防范此类服务模式带来的风险隐患。
1. 加强外部数据管理机制建设。随着银行各类业务的创新发展,越来越多部门需要借助外部数据辅助开展业务和风险管理。银行应当建立完善的外部数据管理机制,明确职责归属,制定数据使用和保护管理办法,明确工作流程和审批权限,严格审查内外部数据交换的内容,从整体上防范信息泄露风险。
2. 降低内外部信息交互系统的耦合程度。银行内部在应用大数据服务时,应当优化场景设置,尽量降低内外部系统的耦合程度,做到外部服务中断不影响行内业务流程或将影响降到最低。同时做好外部服务中断的应急预案并开展演练,保持业务稳健发展。
3. 加强外包公司服务和风险管理。在外包服务项目立项时做好外包风险评估,从法律风险、转包风险、信息安全、业务连续性等方面识别潜在风险,有针对性做好风险防范措施。同时,强化合同内容管理,增加外包服务特有内容的条款约定,在法律合同层面提供权益保障。此外,银行应当采取有效措施加强对外部公司的监控和检查,关注其持续经营能力、内部控制管理、信息系统的安全性和灾备建设等情况,保障银行隐私信息的安全性。
(三)加大互联网信息安全防护力度
1. 结合区块链和加密技术,探索安全多方计算应用模式。银行需要与互联网大数据公司开展协作,但又应当尽量避免数据协作共享过程中的信息泄露风险。针对此类服务场景,创新区块链和安全多方计算(MPC)技术的研究和应用,可在获取服务的同时保护好银行隐私数据,即双方利用安全多方计算技术,实现银行从大数据公司查询所需数据但大数据公司却不知道银行查询的内容。安全多方计算技术方案可以有效解决数据行业面临的信任难点问题,且能保证数据在流转和运行中如果被黑客攻击,也只能拿到一串无意义的随机信息。阿里巴巴在2017年就开始推进该方案建设,目前正在主导立项《基于安全多方计算的隐私保护技术指南》,推进MPC技术标准化建设和应用的更广泛落地,让数据更安全可靠地最大化发挥价值。
2. 完善内外网安全管理,防范各类信息安全风险。互联网服务容易遭受各类病毒和黑客的攻击,导致信息泄露或业务中断。银行应当切实加强与外部服务商之间的网络安全管理工作,采取有效措施保障信息传输过程的完整性、保密性,加强网络区域的安全设置,提高防火墙、入侵检测、服务器主机等设施的安全防范能力,全方位提升信息安全防护水平。
数据是资产已成为互联网时代人们的共识。发挥数据价值,最大程度地满足人民众对金融服务的需求和对于美好生活的向往,这一愿景驱动了银行和企业的不断创新和技术进步,推动了社会的前进和发展。但在当前环境下,银行业、互联网大数据公司如何切实落实安全措施,保护好客户和自身数据安全,推动大数据风控行业的合规、有序、健康发展,尚任重道远。FTT
参考文献:
[1]王童. 基于区块链的隐私保护机制研究[D]. 西安:西安电子科技大学,2019.
[2]中国人民银行. 企业征信机构备案管理办法[DB/OL]. (2016-10-19)[2020-03-20]. www. sohu/a/116511482_116190.
[3]李万祥. 阿里牵头全球首个安全多方计算国际标准,让“可用不可见”数据更安全[N]. 经济日报,2020-04-03.
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论