编者按:
《个人信息保护法》的颁布,是我国数字经济发展过程中的一个“里程碑”,确立了数字社会的基本原则和规则;同时,也将成为我国金融发展历史上的一个“里程碑”,明确了金融数字化应当遵循的基本准则和行为规范。对此,金融业要有足够的认识,足够的重视和足够的觉悟。
□王和
金融业离不开“个人信息”,因为,“个人信息”是金融业存在的基础,是“立业之本”。《个人信息保护法》的出台,将为金融业开启一个“依法用数”,规范发展的时代,也是一个本质创新和持续健康发展的时代。因此,面对《个人信息保护法》开启的“高标准,严要求”的时代,金融业没有退路,更不需要退路,而应当是拨乱反正,与时俱进,把握机遇,突破自我,提升能力,创新发展,推动金融行业的数字化转型,实现持续健康发展。
金融,特别是保险与“个人信息”密不可分
与其他金融业态不同,保险,属于典型的“个人信息”行业,即保险业对于个人信息的依赖程度更深更广。一是大数法则决定了保险存在的前提和基础是“个人”的集合;二是风险的一个重要特征是基于信息不对称,因此,保险在进行经营管理的过程中,势必要更多地获取信息,实现有效的风险管理。从这个视角看,保险与“个人信息”是密不可分的。
用发展的眼光看,保险的“正外部性”特征,使得保险能够在现代社会风险治理体系和能力现代化的过程中发挥更大的作用。近年来,通过“保险+”的模式创新,保险已经越来越多地扮演“社会风险管理者”的角色,发挥着独特,且卓有成效的作用。而这些作用的发挥,离不开对个人信息的“触碰”。
例如,在汽车保险中,全面导入基于智能网联车技术,开展了“按使用付费(UBI)”的产品创新,不仅能够使汽车保险的定价更加科学,还能够帮助驾驶人员纠正不良的驾驶习惯,给社会的道路安全和绿色出行带来积极的影响。而作为前提,需要获得更多基于驾驶人员个人驾驶行为的信息。
再如,在健康保险中,保险公司利用个人体检报告信息,结合穿戴式设备的信息,动态分析和监控客户的健康状况,并及时给予专业化的指导意见,及时发现健康隐患,及时进行就医和治疗,为客户提供有价值的保险服务,让客户的生活更健康。
在这个过程中,保险公司势必涉及大量的客户个人信息,其中许多都是“个人敏感信息”,在《个人信息保护法》中对个人信息的保护,特别是“个人敏感信息”的保护,均提出了非常严格的要求,并以法律责任进行强化,因此,如何按照《个人信息保护法》的要求,处理个人信息,是保险公司在未来的经营管理中面临的巨大挑战,同时,又是一个不容回避,必须面对和解决的问题。
金融业需要重新思考
针对个人信息的保护和利用,金融业面临“欲罢不能”的挑战,一方面金融业离不开个人信息,另一方面金融业个人信息保护的现状,距《个人信息保护法》的要求,仍存在较大差距。因此,需要一种全面和系统反省,即过去那些相对粗放,乃至违规的客户信息获取和利用方式,是对数字经济环境的破坏,是难以持续的。就数字经济发展而言,只有保护好数字环境的“绿水青山”,才能够有数字经济发展的“金山银山”,只有打造好“依法用数”的能力,才能够真正实现数字化的转型与发展,对此,需要行业的集体共识的觉醒和觉悟。
首先,要认识、理解并敬畏“数权”,即公民基于个人信息的权益,“数权”应当得到充分的尊重和保护。这次《个人信息保护法》采用了“根据宪法,制定本法”的措辞,目的就是要提高“数权”的地位,其根本诉求是“确权”,而“确权”的本质是“还权于民”,并强化数权“神圣不可侵犯”的意识。
其次,要觉悟、涵养并强化“数商”。“数商”,是指基于“数权”的智慧,是“数权”的商数。金融行业的“数商”,集中体现为在理解“数权”的基础上,强化对客户个人信息的绝对尊重和自觉保护,确保“取之有道”和“用之有道”,秉持并坚守“技术伦理和道德”,坚持并确保“技术向善和向上”。
客观讲,《个人信息保护法》的颁布与实施,对于金融行业而言,仍是一个巨大的挑战,因此,就金融行业而言,怎么强调《个人信息保护法》的重要性都不过分。从根本上讲,金融行业需要在《个人信息保护法》框架下,开启个人信息保护的新时代,重新思考金融的基础要素和底层逻辑等一系列问题。
数据不再是“越多越好”而是“够用就好”
面向未来,金融的传统经营模式面临着个人信息保护的挑战,特别是数据获取和利用方式。解决的关键是技术理念的调整,如简单的“以我为主”和“大集中”理念,是难以面对个人信息保护时代的基本要求,而分布式、边缘计算、区块链的底层逻辑,应当成为未来技术的基本理念,而支撑技术理念的关键是思维模式,包括数据利用要讲究“度”的把握,数据不再是“越多越好”,而是“够用就好”;同时,“可用不拥”“不求所有,但知所在,确保能用”“数据不动,价值动”等,应当成为金融面向新时代的新思维模式。
未来,技术与思想将呈现一种“相辅相成”的关系,即思想进步,推动技术创新,而技术创新,又进一步助力思想进步。而突破自我的局限是关键,不再执着于对数据的“占有”,而是关注对数据的“利用”;不再是简单地追求“集中”,而是更多地接受“分布”和“边缘”的概念,乃至追求一种“形散神聚”的状态;而最终的目的和皈依是真正“以客户为中心”,这才是我国金融应有的思想高度。
具体而言,宏观层面的解决,是积极研究和探索“匿名化”技术。因为,按照《个人信息保护法》,经过匿名化处理的个人信息,属于处理者的信息,这是金融业的基础资源。就保险而言,这些信息能够解决风险管理和保险经营“平均数”的需求。同时,“去标识化”技术也应当予以高度重视与充分运用。微观层面的解决,是高度关注隐私计算技术,仅仅靠制度和管理,是难以从根本上解决客户数据的有效保护问题,因此,应当通过全面导入隐私计算,从根本上,刚性地解决客户信息安全和隐私保护问题。
从行业和企业的视角看,特别是中小金融企业,要摒弃“单打独斗”的思维模式,以一种更加开放的心态,开放业务场景,积极探索与科技企业的合作,打造基于个人信息保护的新模式。就行业而言,借鉴“关键信息基础设施”的理念,搭建具有行业公信力的隐私计算平台是当务之急。平台建设可以导入“可信执行环境(TEE)”和“联盟链”等技术,同时,为下一步的“数据信托”模式,创造条件。边缘计算也是一种解决思路,即数据不动,算法动。此外,探索可信计算的嵌套模式,以满足不同环境和需求。
数字化的思维模式是关键
目前,金融行业面临的最大挑战是“短兵相接”,即《个人信息保护法》将于2021年11月1日正式实施,就金融行业的实际情况而言,无论是宏观,还是微观,无论是思想,还是技术的准备,均不是短时间内能够完成的,而不少金融企业,缺乏紧迫感,仍处于观望状态。
在《个人信息保护法》实施的大背景下,金融业的全面数字化转型,已不再是一道“选择题”,而是“必答题”。金融业要在进一步强化个人信息保护的框架下,划定红线,明确原则,建立覆盖全生命周期的数据治理和安全管理体系,加快技术层面的数字化转型,增强数据利用的安全性和合规性,推动经营理念的数字化转型,最终实现商业模式的数字化转型。同时,比数字化技术能力更重要的是数字化的思维模式,最终,形成一种金融企业特有的数字文化。
《个人信息保护法》的实施已进入倒计时,因此,行业需要“紧急总动员”,金融企业的高管要充分意识到:就《个人信息保护法》的贯彻和落实,怎么强调都不过分。因此,一方面是要全面和深入地开展《个人信息保护法》的学法和普法活动,确保知法、懂法、依法和用法。另一方面是要按照《个人信息保护法》的要求,结合《数据安全法》和《网络安全法》,开展全面的梳理和规范。一是要按照2020年中国人民银行颁布的《个人金融信息保护技术规范》标准,以及《银行业金融机构数据治理指引》等文件和标准,全面规范和落实相关标准和要求。二是要结合欧盟《通用数据保护条例》的实践情况,导入ISO27701“隐私信息管理体系”的治理框架,全面梳理并规范相关制度。三是要按照《个人信息保护法》的要求,结合企业的实际情况,搭建内部数据治理框架,制定和完善企业《数据合规管理手册》,提升个人信息保护能力,确保要求和举措的有效性和可操作性,确保落地和落实。
(作者系中国精算师协会副会长)
编者按:
《个人信息保护法》的颁布,是我国数字经济发展过程中的一个“里程碑”,确立了数字社会的基本原则和规则;同时,也将成为我国金融发展历史上的一个“里程碑”,明确了金融数字化应当遵循的基本准则和行为规范。对此,金融业要有足够的认识,足够的重视和足够的觉悟。
□王和
金融业离不开“个人信息”,因为,“个人信息”是金融业存在的基础,是“立业之本”。《个人信息保护法》的出台,将为金融业开启一个“依法用数”,规范发展的时代,也是一个本质创新和持续健康发展的时代。因此,面对《个人信息保护法》开启的“高标准,严要求”的时代,金融业没有退路,更不需要退路,而应当是拨乱反正,与时俱进,把握机遇,突破自我,提升能力,创新发展,推动金融行业的数字化转型,实现持续健康发展。
金融,特别是保险与“个人信息”密不可分
与其他金融业态不同,保险,属于典型的“个人信息”行业,即保险业对于个人信息的依赖程度更深更广。一是大数法则决定了保险存在的前提和基础是“个人”的集合;二是风险的一个重要特征是基于信息不对称,因此,保险在进行经营管理的过程中,势必要更多地获取信息,实现有效的风险管理。从这个视角看,保险与“个人信息”是密不可分的。
用发展的眼光看,保险的“正外部性”特征,使得保险能够在现代社会风险治理体系和能力现代化的过程中发挥更大的作用。近年来,通过“保险+”的模式创新,保险已经越来越多地扮演“社会风险管理者”的角色,发挥着独特,且卓有成效的作用。而这些作用的发挥,离不开对个人信息的“触碰”。
例如,在汽车保险中,全面导入基于智能网联车技术,开展了“按使用付费(UBI)”的产品创新,不仅能够使汽车保险的定价更加科学,还能够帮助驾驶人员纠正不良的驾驶习惯,给社会的道路安全和绿色出行带来积极的影响。而作为前提,需要获得更多基于驾驶人员个人驾驶行为的信息。
再如,在健康保险中,保险公司利用个人体检报告信息,结合穿戴式设备的信息,动态分析和监控客户的健康状况,并及时给予专业化的指导意见,及时发现健康隐患,及时进行就医和治疗,为客户提供有价值的保险服务,让客户的生活更健康。
在这个过程中,保险公司势必涉及大量的客户个人信息,其中许多都是“个人敏感信息”,在《个人信息保护法》中对个人信息的保护,特别是“个人敏感信息”的保护,均提出了非常严格的要求,并以法律责任进行强化,因此,如何按照《个人信息保护法》的要求,处理个人信息,是保险公司在未来的经营管理中面临的巨大挑战,同时,又是一个不容回避,必须面对和解决的问题。
金融业需要重新思考
针对个人信息的保护和利用,金融业面临“欲罢不能”的挑战,一方面金融业离不开个人信息,另一方面金融业个人信息保护的现状,距《个人信息保护法》的要求,仍存在较大差距。因此,需要一种全面和系统反省,即过去那些相对粗放,乃至违规的客户信息获取和利用方式,是对数字经济环境的破坏,是难以持续的。就数字经济发展而言,只有保护好数字环境的“绿水青山”,才能够有数字经济发展的“金山银山”,只有打造好“依法用数”的能力,才能够真正实现数字化的转型与发展,对此,需要行业的集体共识的觉醒和觉悟。
首先,要认识、理解并敬畏“数权”,即公民基于个人信息的权益,“数权”应当得到充分的尊重和保护。这次《个人信息保护法》采用了“根据宪法,制定本法”的措辞,目的就是要提高“数权”的地位,其根本诉求是“确权”,而“确权”的本质是“还权于民”,并强化数权“神圣不可侵犯”的意识。
其次,要觉悟、涵养并强化“数商”。“数商”,是指基于“数权”的智慧,是“数权”的商数。金融行业的“数商”,集中体现为在理解“数权”的基础上,强化对客户个人信息的绝对尊重和自觉保护,确保“取之有道”和“用之有道”,秉持并坚守“技术伦理和道德”,坚持并确保“技术向善和向上”。
客观讲,《个人信息保护法》的颁布与实施,对于金融行业而言,仍是一个巨大的挑战,因此,就金融行业而言,怎么强调《个人信息保护法》的重要性都不过分。从根本上讲,金融行业需要在《个人信息保护法》框架下,开启个人信息保护的新时代,重新思考金融的基础要素和底层逻辑等一系列问题。
数据不再是“越多越好”而是“够用就好”
面向未来,金融的传统经营模式面临着个人信息保护的挑战,特别是数据获取和利用方式。解决的关键是技术理念的调整,如简单的“以我为主”和“大集中”理念,是难以面对个人信息保护时代的基本要求,而分布式、边缘计算、区块链的底层逻辑,应当成为未来技术的基本理念,而支撑技术理念的关键是思维模式,包括数据利用要讲究“度”的把握,数据不再是“越多越好”,而是“够用就好”;同时,“可用不拥”“不求所有,但知所在,确保能用”“数据不动,价值动”等,应当成为金融面向新时代的新思维模式。
未来,技术与思想将呈现一种“相辅相成”的关系,即思想进步,推动技术创新,而技术创新,又进一步助力思想进步。而突破自我的局限是关键,不再执着于对数据的“占有”,而是关注对数据的“利用”;不再是简单地追求“集中”,而是更多地接受“分布”和“边缘”的概念,乃至追求一种“形散神聚”的状态;而最终的目的和皈依是真正“以客户为中心”,这才是我国金融应有的思想高度。
具体而言,宏观层面的解决,是积极研究和探索“匿名化”技术。因为,按照《个人信息保护法》,经过匿名化处理的个人信息,属于处理者的信息,这是金融业的基础资源。就保险而言,这些信息能够解决风险管理和保险经营“平均数”的需求。同时,“去标识化”技术也应当予以高度重视与充分运用。微观层面的解决,是高度关注隐私计算技术,仅仅靠制度和管理,是难以从根本上解决客户数据的有效保护问题,因此,应当通过全面导入隐私计算,从根本上,刚性地解决客户信息安全和隐私保护问题。
从行业和企业的视角看,特别是中小金融企业,要摒弃“单打独斗”的思维模式,以一种更加开放的心态,开放业务场景,积极探索与科技企业的合作,打造基于个人信息保护的新模式。就行业而言,借鉴“关键信息基础设施”的理念,搭建具有行业公信力的隐私计算平台是当务之急。平台建设可以导入“可信执行环境(TEE)”和“联盟链”等技术,同时,为下一步的“数据信托”模式,创造条件。边缘计算也是一种解决思路,即数据不动,算法动。此外,探索可信计算的嵌套模式,以满足不同环境和需求。
数字化的思维模式是关键
目前,金融行业面临的最大挑战是“短兵相接”,即《个人信息保护法》将于2021年11月1日正式实施,就金融行业的实际情况而言,无论是宏观,还是微观,无论是思想,还是技术的准备,均不是短时间内能够完成的,而不少金融企业,缺乏紧迫感,仍处于观望状态。
在《个人信息保护法》实施的大背景下,金融业的全面数字化转型,已不再是一道“选择题”,而是“必答题”。金融业要在进一步强化个人信息保护的框架下,划定红线,明确原则,建立覆盖全生命周期的数据治理和安全管理体系,加快技术层面的数字化转型,增强数据利用的安全性和合规性,推动经营理念的数字化转型,最终实现商业模式的数字化转型。同时,比数字化技术能力更重要的是数字化的思维模式,最终,形成一种金融企业特有的数字文化。
《个人信息保护法》的实施已进入倒计时,因此,行业需要“紧急总动员”,金融企业的高管要充分意识到:就《个人信息保护法》的贯彻和落实,怎么强调都不过分。因此,一方面是要全面和深入地开展《个人信息保护法》的学法和普法活动,确保知法、懂法、依法和用法。另一方面是要按照《个人信息保护法》的要求,结合《数据安全法》和《网络安全法》,开展全面的梳理和规范。一是要按照2020年中国人民银行颁布的《个人金融信息保护技术规范》标准,以及《银行业金融机构数据治理指引》等文件和标准,全面规范和落实相关标准和要求。二是要结合欧盟《通用数据保护条例》的实践情况,导入ISO27701“隐私信息管理体系”的治理框架,全面梳理并规范相关制度。三是要按照《个人信息保护法》的要求,结合企业的实际情况,搭建内部数据治理框架,制定和完善企业《数据合规管理手册》,提升个人信息保护能力,确保要求和举措的有效性和可操作性,确保落地和落实。
(作者系中国精算师协会副会长)