金融數(shù)據(jù)治理正走在一個十字路口。

一方面，互聯(lián)網(wǎng)使得銀行等金融機構(gòu)對個人和小微企業(yè)展業(yè)，App等成為銀行“大零售”轉(zhuǎn)型載體。另一方面，數(shù)據(jù)治理的邊界在哪里，也正在拷問業(yè)內(nèi)。

近期，多家銀行App被密集點名，解開了銀行以App為代表的數(shù)據(jù)治理的冰山一角。

1月13日，國家計算機病毒應(yīng)急處理中心點名25款應(yīng)用，其中22款“未向用戶明示申請的全部隱私權(quán)限，涉嫌隱私不合規(guī)”。在金融領(lǐng)域有6款應(yīng)用被點名，民生銀行、興業(yè)銀行兩家股份制銀行，以及內(nèi)蒙古三家銀行和海峽銀行。

在被點名后，21世紀經(jīng)濟報道記者實測發(fā)現(xiàn)，興業(yè)銀行、內(nèi)蒙古銀行和鄂爾多斯銀行于1月13日當日立刻更新其用戶隱私政策。民生銀行也于翌日更新其隱私政策。

不過，在合規(guī)之外，如何解決數(shù)據(jù)治理的邊界，正在拷問業(yè)內(nèi)人士。

一位華南資深銀行業(yè)內(nèi)人士表示，未來的數(shù)據(jù)隱私保護要求越來越高。問題在于，如果說數(shù)據(jù)形成一個個孤島，又沒有辦法去開展政府、企業(yè)間的合作。“既不可能把所有人的數(shù)據(jù)放在一起，又要把跨機構(gòu)的數(shù)據(jù)層面的合作跑起來，同時也能夠兼顧到隱私保護的要求。”該人士表示，這不僅需要金融機構(gòu)在合規(guī)性方面有所動作，更要在金融科技領(lǐng)域能夠處理這一問題。

銀行迅即更新隱私政策

“對于數(shù)據(jù)隱私的保護部分，很重要的就是用戶的授權(quán)。但是授權(quán)管理我覺得還是有一點比較粗放的。”一位金融科技人士表示，并非到某一個網(wǎng)站、手機App打鉤，后臺數(shù)據(jù)庫有一個數(shù)據(jù)就表示授權(quán)完成了。

興業(yè)銀行表示，其收集的個人信息包括：證件類型、證件號碼、銀行卡號、手機號等。此外，該行用戶隱私保護條款顯示，該行會使用證件類型、證件號碼、手機號、設(shè)備型號、操作系統(tǒng)、唯一設(shè)備標識符、登錄IP地址、操作日志、位置信息、面部圖像(視頻)、聲音用于風險防范和詐騙監(jiān)測等。收集用戶手機銀行的頻率、總體使用情況、性能數(shù)據(jù)以便改善使用體驗。

民生銀行的隱私政策披露，會收集用戶在使用服務(wù)過程中產(chǎn)生的相關(guān)信息，以判斷賬戶風險以及控制信貸風險、保障正常提供服務(wù)、對于系統(tǒng)問題進行分析、統(tǒng)計流量，并在發(fā)送異常信息時予以排查。

1月15日，對此，興業(yè)銀行回應(yīng)21世紀經(jīng)濟報道記者查詢時表示，經(jīng)緊急核查，確認該問題為手機銀行安卓客戶端(5.0.4版本)為強化互動功能，便于客戶通過客戶端一鍵撥打業(yè)務(wù)咨詢電話與客戶經(jīng)理交流溝通，在系統(tǒng)安裝時向手機操作系統(tǒng)申請了與“撥打電話”相關(guān)的權(quán)限?？蛻粼谙蚩蛻艚?jīng)理撥打電話前，手機銀行客戶端還會再次向客戶詢問是否允許“撥打電話”，并未通過該功能額外獲取任何用戶隱私信息。

興業(yè)銀行表示，已經(jīng)第一時間與國家計算機病毒應(yīng)急處理中心聯(lián)系，在其指導下現(xiàn)已修訂完善了用戶隱私條款并更新，并對手機銀行客戶端App程序進行了優(yōu)化。

15日晚，民生銀行再次回應(yīng)稱，經(jīng)第一時間溝通排查，確認是手機銀行(5.12版)存在部分隱私條款有待補充完善之處。為嚴格落實監(jiān)管機構(gòu)關(guān)于客戶隱私保護的要求，手機銀行最新版本(5.2版)更新了隱私政策，進一步完善了攝像頭、位置等客戶信息相關(guān)內(nèi)容，明確了設(shè)備權(quán)限使用場景以及獲取客戶信息范圍和使用目的。

數(shù)據(jù)治理首個罰單

除App被點名，銀行業(yè)內(nèi)出現(xiàn)首個因數(shù)據(jù)治理被處罰的案例。

1月9日，銀保監(jiān)會披露的罰單信息顯示，安徽鳳陽農(nóng)商銀行被罰25萬元，被罰原因為“未能根據(jù)要求有效開展數(shù)據(jù)治理工作，數(shù)據(jù)治理存在嚴重缺陷，嚴重違反審慎經(jīng)營規(guī)則”。

此前，關(guān)于“銀行數(shù)據(jù)治理”的罰單很少見，且均為上報監(jiān)管數(shù)據(jù)不合規(guī)所致。例如，河南省方城縣農(nóng)村信用合作聯(lián)社去年12月被罰70萬元，原因是違反《關(guān)于印發(fā)銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引的通知》等規(guī)定，信貸資產(chǎn)質(zhì)量不真實;未按規(guī)定報送非現(xiàn)場監(jiān)管報表，經(jīng)責令整改后，仍出現(xiàn)錯報;以貸收息、以貸收貸。

安徽鳳陽農(nóng)商銀行是目前所見第一單因數(shù)據(jù)治理被處罰的銀行，但尚不清楚該行被處罰的具體原因。

此前2019年10月，一些大數(shù)據(jù)公司被曝出存在“違規(guī)爬蟲”，銀行與第三方大數(shù)據(jù)公司、金融科技類公司合作也引起廣泛關(guān)注。部分銀行也開始自查數(shù)據(jù)治理問題。

“我們首先是斷掉一些可能涉嫌不合規(guī)的數(shù)據(jù)接口，并自查大數(shù)據(jù)來源。”一位股份行人士指出，目前機構(gòu)對一些非持牌的大數(shù)據(jù)公司合作比較謹慎。

銀行數(shù)據(jù)一般分為內(nèi)部數(shù)據(jù)治理及外部數(shù)據(jù)治理。內(nèi)部數(shù)據(jù)治理問題涉及到客戶隱私泄漏、過度營銷等。外部數(shù)據(jù)治理問題涉及到信息采集的不合理、不合法，如非法爬蟲等。

監(jiān)管正在對數(shù)據(jù)治理進行規(guī)范，2018年5月，銀保監(jiān)會發(fā)布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》，從數(shù)據(jù)治理架構(gòu)、數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)價值實現(xiàn)、監(jiān)督管理等方面規(guī)范銀行業(yè)金融機構(gòu)的數(shù)據(jù)管理活動。這標志著銀保監(jiān)會首次將數(shù)據(jù)治理提高到銀行常規(guī)管理的戰(zhàn)略高度。

去年12月26日，銀保監(jiān)會發(fā)布《現(xiàn)場檢查辦法(試行)》，銀行業(yè)和保險業(yè)機構(gòu)應(yīng)當按照銀保監(jiān)會及其派出機構(gòu)要求，加強數(shù)據(jù)治理，按照監(jiān)管數(shù)據(jù)標準要求，完成檢查分析系統(tǒng)所需數(shù)據(jù)整理、報送等工作，保證相關(guān)數(shù)據(jù)的全面、真實、準確、規(guī)范和及時。銀保監(jiān)會及其派出機構(gòu)應(yīng)當加強對銀行業(yè)和保險業(yè)機構(gòu)信息科技外包服務(wù)等工作的監(jiān)督檢查。

監(jiān)管沙盒強化數(shù)據(jù)合規(guī)性

值得注意的是，金融科技監(jiān)管沙盒試點已經(jīng)注意到這一問題。

1月14日，中國人民銀行營業(yè)管理部披露2020年第一批金融科技創(chuàng)新監(jiān)管試點應(yīng)用，6個應(yīng)用擬納入金融科技創(chuàng)新監(jiān)管試點，并向社會公開征求意見。

21世紀經(jīng)濟報道記者注意到，金融科技監(jiān)管沙盒均有提及數(shù)據(jù)隱私的合規(guī)性評估、技術(shù)安全評估和風險提示。

例如，工商銀行試點“基于物聯(lián)網(wǎng)的物品溯源認證管理與供應(yīng)鏈金融”，基于物聯(lián)網(wǎng)技術(shù)采集產(chǎn)品的生產(chǎn)制造、質(zhì)檢、庫存、物流、銷售等全生命周期特征數(shù)據(jù)，不可篡改地記錄在區(qū)塊鏈上，并接入物聯(lián)網(wǎng)服務(wù)平臺及企業(yè)智能管理系統(tǒng)(ECSP)。

該項目由于涉及企業(yè)內(nèi)部供應(yīng)鏈數(shù)據(jù)，工行在合法合規(guī)性評估中指出，該項目采集的涉及企業(yè)核心生產(chǎn)經(jīng)營信息不向第三方提供，數(shù)據(jù)存儲和保護機制可防范相關(guān)信息被竊取、篡改、破壞等惡意行為的發(fā)生，符合國家關(guān)于用戶數(shù)據(jù)隱私保護等相關(guān)法律法規(guī)。在技術(shù)安全性評估方面，相關(guān)NFC芯片加密技術(shù)符合標簽安全等級EAL4。

此外，銀聯(lián)、小米數(shù)科、京東數(shù)科合作的試點項目“手機POS創(chuàng)新應(yīng)用”，其合法合規(guī)性評估也指出，手機POS在數(shù)據(jù)收集和使用方面的設(shè)計方案可防范收單過程中支付數(shù)據(jù)和用戶敏感信息被竊取、篡改、破壞等惡意行為的發(fā)生，符合國家關(guān)于用戶數(shù)據(jù)隱私保護、持卡人權(quán)益保護等相關(guān)法律法規(guī)。