GDPR已生效1个多月,会给金融行业带来哪些影响?

2018-07-04|小象 560

媒体报道:6月初的一次金融会议上,中国人民银行支付结算司副司长爽文谈到支付信息和数据安全时表示,“欧盟近期发布的《一般数据保护条例》对国内支付机构跨境业务合规性提出了严峻挑战,同时也给我国如何加强对数据安全监管提供了有益借鉴。”

他说,尽管在相关制度制定中,已经确立了市场机构采集、处理数据应当遵循合法性、透明性、最小化等基本原则,但实践中过度信息收集、滥用信息甚至买卖信息数据的情况依然严重。

undefined

《一般数据保护条例》是什么?

《一般数据保护条例》(General Data Protection Regulation),简称GDPR,是欧盟今年5月25日出台的个人数据保护条例,前身是欧盟在1995年制定的《计算机数据保护法》,这项条例的制定已延续了好几年。

作为“史上最严数据保护法”,GDPR正式生效1个多月。该条例对个人数据的收集、组织、存储、改编、查询、使用、组合、限制、清除或销毁明确规定。其中,这几条特别关键:

第3条,管辖范围,详细明确了适用的地域范围不仅限于欧盟境内,其域外效力延及业务涉及欧盟境内个人的境外组织机构。

第4条,对于个人数据和应用等定义,通过26项款明确个人数据、处理、剖析、整理汇集系统、控制者、第三方、基因数据、生物识别数据、有关健康的数据、监管机构、企业等。

第7条,同意条件。

关于GDPR,有5点要特别记住:

1、GPDR的管辖范围并不局限在欧盟境内,只要一家企业向欧盟境内的个人提供了商品或服务、并收集或处理了个人数据,不管该企业是否在欧盟境内设有机构,都适用于GDPR。

2、企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。

3、服务经营者必须事先向个人说明会自动记录用户的数据,并获得用户的同意,否则按违法处理。

4、GDPR不仅全面加强在全面加强个人信息保护、用户知情权和访问权,更强调了个人可以要求责任方删除关于自己的数据记录。

5、对相关组织机构提出更为严格的合规要求,并以最高罚没其全球营业额的4%或2千万欧元(以金额较高者为准)为条例的施行保驾护航。

北美、英国和亚洲的金融监管机构正紧急寻求关于GDPR的豁免,以免这项规定不利于跨境的案件调查。这些官员还警告说,该条例可能会不利于涉及操纵市场和反欺诈的国际调查和司法行动。

GDPR对金融运营有哪些影响?

过去几年,随着金融科技的突飞猛进和消费金融的爆发,从支付领域的身份识别(人脸、指纹、虹膜、语音识别)到信贷领域的大数据等,我国金融企业通过使用个人数据,提供了金融服务的便利性,弥补了传统金融的不足。但由于法律制度和文化环境等因素,在保护个人数据的合规性方面做得还不到位。

对于国内的金融企业来说,对于个人信息保护的合规性要求还将导致大量金融机构,传统的数据收集和处理方式陷入合规性风险。为了满足评估用户信用级别、控制业务风险等需求,很多金融机构采用的是共享金融数据库或者是购买金融数据的形式,例如共享“信用黑户”的黑名单数据。而在新规下,这一做法可能会受到法律的严格制约,即使是将用户部分数据开放给第三方,也在一定程度上侵犯了“企业处理和控制个人数据必须以可识别方式取得用户同意”的规定。

系统来看,GDPR对金融业务系统运营、信息化架构重构和金融科技发展等多个方面更有非常多的影响。

首先,促进数据安全保护体系持续精进。我国对个人信息保护的工作一直在加强。2017年《两高司法解释》和《网络安全法》的实施,到吸纳了大量GDPR理念和内容的《信息安全技术个人信息安全规范》于2018年5月1日的正式实施,已经对金融企业产生了实质性的影响。

在技术方面,顶象技术的“共享安全”模式,在个人数据保护和应用上提供了很好的指导意义。顶象技术的全链路纵深防御实时风控在为金融企业提供风险管理能力的同时,更良好满足了个人数据的保护和合规性要求。

其次,金融业务的合规成本将显著提升。为了满足合规性要求,很多金融机构需要根据法律的规定,来对业务系统以及IT基础设施进行系统性的调整。由于很多金融机构拥有大量的分支机构,而且业务系统庞大而复杂,因此这个调整将耗费很大的成本。在跨境金融方面,由于其业务大部分涉及个人数据传输且交易量巨大,会增加相应的合规性成本。

再有,金融科技的发展方向将会得到修正。在金融机构对大数据、人工智能等创新技术的应用中,数据都是至关关键的资源。虽然GDPR等法律法规并不反对经过用户同意、规范化的数据搜集以及存储,但是因为其要求这些数据使用行为必须经过用户同意,因此仍会产生一定的不确定性。为了消除不确定性,金融机构会更加的倾向于使用权威的数据源,并在处理个人数据的时候进行更加灵活的安排。

《一般数据保护条例》共有11章99条,回复“GDPR”免费查看中文版本(4万千多字)。详细目录如下:

第一章 一般性规定

第二章 原则

第三章 数据主体的权利

第四章 数据控制者和数据处理者

第五章 向第三国或国际组织转移个人数据

第六章 独立的监管机构

第七章 合作与一致性

第八章 救济方式、责任与制裁

第九章 有关特殊数据处理情形的规定

第十章 授权性法令与实施性法令

第十一章 最终条款

免费下载和浏览:https://www.dingxiang-inc.com/event/gdpr/gdpr.pdf

电话咨询
400-8786-123
QQ咨询 微信咨询