《个人金融信息保护技术规范》解读
来源:互联网法律实务圈产品一线法务
近日,全国金融标准化技术委员会(简称“金标委”)发布了《个人金融信息保护技术规范》JR/T0171-2020(以下简称“《规范》”),《规范》引用及参考了以往与个人金融信息有关的多部法律规定及标准,大的框架与以往法规及标准基本上一脉相承。
《规范》最大的特点是,根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,从安全技术和安全管理两个方面,对个人金融信息生命周期各环节保护提出了规范性要求。
个人金融信息的定义决定了《规范》适用的主体及范畴,虽然《规范》是推荐性标准,但是鉴于金融业务在经济中的基础设施地位以及《规范》对金融业机构的定义,《规范》下的个人金融信息定义及覆盖的范畴比以往任何一部规定都广。而且,不仅是金融机构需要适用这个标准,与金融机构合作处理信息的第三方机构亦应参考。
一、个人金融信息的法律规制演进
2009年2月28日,《刑法修正案(七)》在《刑法》第二百五十三条增加“出售、非法提供公民个人信息罪、非法获取公民个人信息罪”,金融机构及其工作人员是其中明确列出的特定主体。
2011年5月1日,中国人民银行实施《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称“《通知》”),以部门规范性文件的形式对金融行业的个人信息保护进行规。此《通知》可以说是国内关于个人信息保护行政立法的先驱,不仅早于工信部2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》,也更是早于《全国人大常委会关于加强网络信息保护的决定》。
2012年3月15日,央视315晚会曝光了有关商业银行员工向不法分子出售客户个人金融信息,并导致大量客户总计3000余万元存款被盗的事件。12天之后,中国人民银行实施《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》,从制度、技术及员工教育三个维度要求金融机构强化对个人金融信息的保护力度。
2016年6月6日,中国人民银行、中国银行业监督管理委员会实施《银行卡清算机构管理办法》,其中涉及到个人金融信息的条款明确规定:银行卡清算机构和境外机构为处理银行卡跨境交易且经当事人授权,向境外发卡机构或收单机构传输境内收集的相关个人金融信息的,应当通过业务规则及协议等有效措施,要求境外发卡机构或收单机构为所获得的个人金融信息保密。
同年7月1日,中国支付清算协会实施《个人信息保护技术指引》,指导其协会成员规范处理个人信息,其中包括个人金融交易信息。
同年12月14日,中国人民银行实施《中国人民银行金融消费者权益保护实施办法》,其中对个人金融信息进行定义,并从金融消费者权益保护角度对金融消费者的个人金融信息处理进行立法。
2019年12月27日,中国人民银行发出《中国人民银行金融消费者权益保护实施办法(征求意见稿)》,拟将《中国人民银行金融消费者权益保护实施办法》(2016)从部门规范性文件上升为部门规章,并将个人金融信息更新为消费者金融信息,更新各细项规定。
2020年2月13日,中国人民银行实施《个人金融信息保护技术规范》(以下简称“《规范》”),从安全技术和安全管理两个方面,对个人金融信息全生命周期保护提出了规范性要求。
《规范》首先定义了金融业机构,《规范》规定:“本标准中的金融业机构是指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。”。换言之,《规范》以金融产品和服务为导向,既适用于直接向公众提供金融产品和服务的金融机构,也适用于与金融机构开展商业合作个人金融信息的非金融机构。
有些公司虽然不属于金融行业,但是只要与金融机构进行商业合作,涉及为金融机构提供数据收集、数据传输、数据存储、数据使用、数据加工、数据分析、数据删除等数据处理的任一环节的服务,《规范》同样可能成为这些公司从事个人金融信息处理业务的重要标准。
因此,如前所述,《规范》不仅仅值得金融机构关注,与金融机构合作的非金融机构同样应在其合规体系中落实此标准。
二、个人金融信息内容及分类
(一)个人金融信息内容
《规范》主要以列举式的方式明确规定个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他七个模块的内容,具体如下图:
(二)个人金融信息类别
根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,《规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。《规范》对个人金融信息的分类是《规范》的核心特点,金融机构及非金融机构的合规就围绕此内容展开。
注:个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生髙敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。
三、个人金融信息处理规范合规要点
《规范》在个人金融信息生命周期各环节对C3、C2、C1三类信息进行差异化规范,主要从技术、管理层面对C3、C2类别信息的处理制定较为严格的规范,保障个人金融信息安全。
其中,最为严苛的是明确规范:不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。
"新运营,鑫共享"——记南京银行运营转型咨询规划项目
近期,南京银行成立了 “运营转型领导小组”,正式启动了“运营转型咨询规划项目”,着力推动大运营体系的建设。
本次项目旨在立足全行视角,确认银行运营转型的战略定位,并充分结合业务发展需求以及技术变革趋势,吸收国内外银行运营模式的领先实践经验,规划、设计适合银行的运营体系以及发展模式,并详细设计未来三年的大运营转型的实施路线图,为银行整体战略发展奠定坚实基础。
在现状分析阶段– 全面的现场访谈与调研:行高层相关领导、总行各部门负责人及骨干、分行高层领导及骨干开展了129场访谈与探讨,通过两次问卷调研,并收集7500余份反馈。
在全行各部门支持下,流程工作组完成全行范围最大规模的一次流程梳理工作,举行3场培训,绘制数百支二级和三级业务流程,并组织业务部门、科技部门、分行和后台管理部门进行了多轮头脑风暴,对流程问题进行了现场讨论与总结,通过全面交叉验证确保现状流程以及问题发现的真实性、准确性。
综合归类整理出南京银行当前运营管理发展面临的6大类14个核心问题,并且对核心问题进行深入分析,归纳出7个内在原因,并最终挖掘出与三大深层原因。
围绕现状阶段发现的三大深层根本原因,项目组在蓝图规划阶段着力开展了八个模块的规划与设计工作,包括:(1)运营模式设计(2)运营职能共享 (3)流程管理机制 (4)流程梳理设计(5)渠道协同规划(6)共享后台建设(7)运营价值评估(8)科技能力要求。各工作模块的设计既考虑南京银行运营的整体战略定位,又统筹评估了近期亟待解决的问题和长远的发展要求。
运营模式设计方面:构建三层次的运营目标模式,明确总分支运营管理的职责定位,确定统一的管控模式。咨询项目实施过程中,项目组确定了三个主要业务速赢点,均在近期完成上线,同时在头脑风暴中确定17个速赢实施点,10个完成上线。
速赢一:小企业“鑫快捷”流程。完成了8个大环节的优化改造并在南京分行试点落地
速赢二:对公人民币账户开立及变更流程
围绕业务的五大痛点,完成了15个改造点,提升客户体验、释放网点柜面压力并进一步控制操作风险
速赢三:柜面客户级服务优化
立足于客户,以“客户”为中心,以客户号为引导,实现了系统客户机统一服务,系统流程功能优化以及系统灵活参数配置。
智慧运营,银行业竞争的下一个决胜之地
来源:BCG波士顿咨询
接触层:线上化、定制化,打造“定制体验”
“接触层”是与客户发生直接交互的界面和触点,便利化、简单化、人性化的互动体验是成就接触层客户体验的关键要素。近几年客户的行为模式和期望正在发生根本性的变化,是驱动客户接触层向“线上化”和“定制化”转型的重要力量。
“线上化”:客户和银行的接触界面及触点趋向多元化,过去以网点、ATM为主,如今以移动银行、呼叫中心甚至公众服务号等线上渠道取代传统渠道成为客户和银行往来次数最多的渠道类别。打通线上全流程,支持更多业务迁移到线上渠道是大部分银行过去建设的重点。例如,国内多家银行已经在公司业务微信公众号上新增对公开户功能,并采用在线填单与扫描上传开户所需材料照片相结合的方式,对客户申请进行预审核。客户可直接在手机端微信公众号页面填写基本信息并选择账户配套服务,线上完成对公开户操作。
传统的线下渠道也将越来越具有“线上”形态,呈现无纸化、电子化趋势。线下受理环节的信息电子化采集与即时传输提升,相应地将大力提高信息真实性的即时验证能力。具体体现在,运用指纹、人脸影像、电子签名、电子印章等技术突破纸质、人工基础的客户交互,将线下手工流程转移至线上,不仅可以提高流程效率、优化客户体验,同时也可以为后续的处理工作省去资料流转、录入、复核等多个环节,并且提高数据质量。海内外已有多家银行正在进行这方面的尝试。马来西亚RHB下属的Easy Bank是流程线上化创新的典范,通过在网点柜面内引入无纸化系统,实现了零售业务线下的100%无纸化电子流处理(参阅下图)。客户能同步看到柜员的系统操作,进行电子签名并点击确认。电子信息采集的同时,通过指印辨识技术、人脸识别技术、公检法等机关数据库、国家征信系统等的互相联网,实现全电子化客户尽职调查、即时开户和即时贷款审批。
未来线上线下渠道越来越融合——客户在任一渠道触点开启流程,可以随时切换至其他渠道完成完整的流程操作。保证线上线下流程的无缝衔接和一致的卓越体验愈加重要,这对银行对不同渠道的流程和界面进行统一管理提出了高要求。
“定制化”:在数字化企业的驱动下,客户对“定制体验”的要求标准日益提升,不仅体现在根据客户细分为其提供差异化的产品,更进一步体现在人性、定制的交互界面和服务。以富国银行为例,推出高端对公网银平台“CEO”,客户可以任意自选、定制网银平台界面,在平台上用“博客”形式与客户经理、客服交互,收取针对性的产品信息及运维提示,同时后台相应业务的处理情况在界面上及时显示,前、后台交互更加频繁。
交付层:自动化、集约化,实现“高效处理”
客户接触层是端到端客户旅程的“前台”,而服务交付层则是处理业务活动的作业 “后台”,其运营效率将影响整个流程的交付时间和质量,同样支撑客户体验的实现,也是影响运营成本的重要变量。伴随客户旅程的数字化渗透和技术创新的不断突破,未来服务交付层将逐步转变为“智慧工厂”,在风控合规的基础上,实现作业处理的高度自动化、集约化,操作尽量由系统自主、直通完成,而人工服务逐步转变工作重点,将专业交付与高端服务作为主要工作,只做不得不、或者为满足高价值客户的要求而需要人工处理的业务。
“自动化”:过去电子流的工作方式主要是前台通过影像扫描设备和系统,将纸质文件信息传送至后台作业中心进行切片、人工录入和后续处理。未来随着线上业务占比的大幅提高和前台流程数字化的渗透,前后台直通式、自动化作业处理将成为重要方向。在前台电子化信息采集后,通过前台与后台作业系统的整合,实现不同系统信息的有效对接与切换,建立覆盖端到端流程的电子化工作流,真正实现业务处理的直通处理。在加强流程自动化的基础上,可在系统中加入逻辑判断,实现部分风险点的识别从人工控制向系统控制转变。而人工处理则可专注于需要专业水平或专家知识判断才能处理好的复杂活动,如资本类外汇业务的政策性审核等。
“集约化”:过去处理层的活动处理以“集中化”为主要方向,国内领先银行在全国或者省域层面建立物理作业中心,通过人员和场地的“物理集中”,实现规模效应;各物理中心之间自成体系,负担自身范围内的业务。但物理集中在推进的过程中面临两个关键挑战:一是对于专业类中心,定位于处理有业务特色、需要较高专业技能的复杂工作(如国际业务单证处理),对人才专业能力要求较高,在较高层级建立物理中心面临专业人员招募困难的挑战,在较低层级集中往往又无法实现工作量的饱和;二是建立大型物理中心、特别是以行内作业人员为主的中心(如授权中心)的过程中,在内部人员跨地域调配上面临较大阻力。如何充分考量人员抽调的现实因素的掣肘,同时尽量集约化利用运营人员资源成为新的议题。
管控层:云端化、数据化,强化“智慧管控”
最后,管控层是整个运营平台的“神经中枢”,在接触层和交付层转型的驱动下,管控层的功能也将由运营风险控制为主向任务管理、风险控制、数据分析与反馈的综合功能转变,呈现“云端化”和“数据化”的发展趋势。
“云端化”:如上文所说,逻辑集中下的“集约化”作业将成为处理层运营活动重要的发展方向,而“云运营”管理平台的建设是实现“集约化”作业的关键,旨在通过资源组合方式的优化和资源投入的统筹安排,提高运营体系的整体效能。
虽然在银行运营领域,“云运营”的概念还未广泛落地,但在其他行业早就有成熟应用。滴滴打车就是典型的“云平台”案例,需求端是需要打车服务的用户,供给端是已在平台上获得准入的车辆资源。在客户下单后,客户需求统一接入云平台,平台通过预先定义的明确规则,在供给范围内快速精准地匹配最优的服务资源,推动资源效用最大化。当服务完成后,用户和车主可以在打车软件上对用车服务进行相互评价,评价结果便于平台端到端跟踪和掌握运营水平,并持续改进服务效率。由此可见,需求统筹、精准撮合、闭环管理、驱动优化是云平台运转的核心特点。
运营管理“云平台”的高效运转,需要具备三个关键功能要素:作业服务撮合、信息跟踪分析和统筹管理(参阅下图)。首先平台需建立明确的作业准入规则、交付标准、撮合规则,以实现作业服务的有效撮合。通过准入规则和交付标准扎口管理,推动资源方(运营)和需求方(业务)良好沟通,对齐双方期望;通过供需撮合机制的设计,将需求高效地与最优的资源进行匹配,有效削峰填谷。例如基于客户与任务的性质排序优先,并将任务导入相应流程(例如“绿色通道”、“重点审核”等);设计管理逻辑,将任务分配至相应的处理与服务团队(例如“专业审批”、“高端客服”);建设削峰填谷机制及特别状况下的任务调拨机制。其次,需建立信息跟踪和分析的统一管理平台,集中管理作业指令和数据,保证所有作业流“一个源头、统一接入标准”,并对作业和服务的交付信息闭环跟踪。最后,平台建立相应的统筹管理机制至关重要,包括基于平台作业需求预测和产能规划的容量管理机制、资源方(运营)和需求方(业务)的相互评价机制、对平台个人和团队绩效的考核评估机制、跨区域运营服务作业的计价机制等。此外,平台在对各区域作业规则进行统一扎口管理的同时,需要确保各区域政策传导的及时性,使平台能够对外部监管要求的变化及时响应。
如何转型:围绕五大抓手,打造运营核心竞争力
顶层设计:定义运营目标,量化转型成果,规划转型路径
运营有四大目标:风控、成本效率、质量、柔性。过去,运营工作的目标始终是四个目标之间的权衡,核心运营目标的选择与全行的发展阶段及业务战略高度相关。在今天的银行业,技术的进步正在突破原有的成本经济学模型,下一代运营可以通过技术应用实现不同运营目标之间的统一,在实现运营“质量、柔性”的同时保证运营的“成本效率”。国内银行运营体系建设十多年来,大多追求“别出事就好”。然而面对内外环境的变化,银行需要重新审视运营转型的目标,以支撑业务战略的转变。
前后台分工:突破“小运营”,扩大运营板块的覆盖范围
流程优化:建设基础工具,运用综合手段,对流程进行统筹优化
流程优化的“统筹”特点首先体现在“端到端”视角上。在客户眼中,一个交付流程始于他的购买决策,止于他的需求得到满足,银行需要始终立足“端到端”流程视角。过去国内银行普遍采用“大集中”法优化流程,即把原本柜面的部分操作性活动集中到后台中心完成,但是在实际效果上无论是客户还是网点基层都对于优化效果的“感受”不足——流程效率提升和人员集约效果都不明显。究其原因,是“中心”法缺乏“端到端”流程视角。以下图国内银行与海外行对公开户流程对比为例,国内银行着眼于流程的各个具体环节,基于现有流程进行部分环节的集中,效率反而会因为接口、换手的增加受到很大的不利影响。
组织治理:建立端到端流程管理的组织和机制保障,固化流程治理职能
基于云平台建设运营逻辑集约管理体系是趋势。海外银行运营板块较为独立,甚至是采用独立子公司的形式集中支持业务发展。在国内,考虑到分行制的特色和各地监管的不同要求,建议用云平台集约化组织管理的模式。只有在一个平台上通盘考虑全局所需的专业和技术性人才,考虑根据容量要求来配置编制,考虑集约化的培训和经验共享,考虑按工作“质”和“量”来量化考核,减少中间环节和不必要的流转,才能实现运营管理的专业化、体系化和精简化。
基础管理能力:价值管理、团队建设、变革管理,支撑运营转型
运营的持续健康发展需要坚实的能力基础。价值管理是运营转型的仪表盘,为监控、评价和决策提供量化基础;团队建设能够真正将转型落实到“人”;运营转型是持久战,变革管理是实现“变而不疲,变而不乱”的关键。
免责声明:以上内容均源于公开媒体,文中提供的包括但不限于数据、观点、文字等信息,不构成任何诉讼的法律证据及判断依据。