正在筹划的《个人金融信息保护试行办法》(以下简称《办法》)传出更多细节——除了依法设立的征信机构之外,未经人民银行批准,任何单位和个人不得从事个人金融信息的收集处理工作,以及对外提供个人征信业务。
官方认证自上而下的征信体系或完善?
这意味着,除了百行征信等官方设立的机构外,任何机构,都不得采集个人金融信息。根据这一监管逻辑,未来或将由官方认证的百行牵头,逐步填补中国征信市场的巨大空白。
据了解,央行对于个人信息,尤其是个人金融信息的保护工作,一直都很重视。2019年4月16日,中国人民银行就在其官方网站发布了《中国人民银行2019年规章制定工作计划》,将《个人金融信息(数据)保护试行办法》(“《办法》”)列入制定计划之中,是中国金融领域落实《网络安全法》确立的网络信息安全和网络运行安全两大制度的最高位阶部门规章。
公开资料显示,央行已成立了“个人信息保护课题组”,由央行征信中心的王晓蕾副主任担任课题组的负责人,课题组成员由来自央行、信息研究领域、律所、法学院的专家组成。
央行课题组已就个人信息保护做了大量的比较研究。《个人金融信息(数据)保护试行办法》的推出,意味着央行在个人金融信息保护的监管方面,思路已经成熟。
而近来监管对大数据行业的整顿,会随着即将来临的《个人金融信息(数据)保护试行办法》,进一步深入下去。
一刀切严打大数据行业前景堪忧
那么“个人金融信息”的边界又在哪里呢?据传,《办法》也对什么是“个人金融信息”进行了定义。它涵盖的内容很广,其中包括个人信息的原始信息以及延伸信息,比如身份信息等四要素,也包括账号信息、资产信息等金融信息。而“个人的基础信息和延伸信息”这个定义,几乎包含了个人的所有敏感信息。
实际上近几年来,个人信息保护立法的事项一直是热议话题,而个人金融信息作为个人信息中最重要的一种,其安全性直接影响到个人财产的安全,《办法》的“出炉”对于保护个人金融信息安全、个人财产安全的意义不言而喻。
不过,令行业紧张的是,这一细则如果实施,大数据公司现有的运作模式将完全被推翻。不过根据最新流出的《办法》细则,机构可以通过外包服务开展业务,只是对外包服务的要求更高,金融机构要进行充分调研审查,评估外包服务公司的能力。并且,按照相关法规,任何数据的采集和使用,都是单次的,也就是说,这项服务结束后,数据要立刻删除。
这即是说,大数据公司往后只能以“不碰数据,只做风控服务”的方式与金融机构合作,才能保住一条生路。