十一假期对大数据风控的从业者来说,过得并不轻松,因为这一行业正面临着又一次严峻的监管风暴:从9月初至今,多家大数据风控平台的高管协助警方调查,更有一些平台也纷纷暂停了服务。
据称,公安部和工信部正在开展数据安全的专项整顿工作,多家大数据风控企业或牵涉其中,具体情况尚未有官方正式通报。业内人士透露,起因是由于个别贷款机构,不当使用了来自大数据风控平台提供的借款人信息,进而造成暴力催收等案件的发生。
大数据风控也称为大数据分析或智能分析,其可根据通过各类智能算法、模型等,精准地刻画出用户的个人画像,由于能有效补充传统征信机构在客户数据上的不足,金融业逐步采用大数据分析机构的产品以扩展金融服务范围,开展小微企业贷款、普惠金融等业务。从2014年左右发展至今,中国目前存在数千家第三方大数据分析机构。
由于个别企业数据的获得和使用不当,加之中国尚未形成完善的个人数据保护法以及监管框架,个人信息泄露事件时有发生。
不过,鉴于信息时代下大数据分析的技术中性及其巨大价值,国家层面出台多项支持政策,在掀起此轮监管风暴同时,相关的法律法规和行业自律规则也在抓紧制定。业内普遍认为,合规发展前景可期。
监管一直在路上
从今年9月初至今,据不完全统计,包括魔蝎科技、新颜科技、天翼征信等平台的负责人被警方带走;聚信立、杭州有盾、北京天机、杭州存信、深圳白骑士等公司暂停服务。
不同于以往被监管对象聚焦在金融业务企业,本次监管的重心似乎更倾向于金融科技公司。
其实,警方在2018年就对大数据安全进行过整治,去年7月,公安部在“全国网络安全执法大检查行动”中,首次将大数据安全纳入检查对象,尤其是针对公民个人信息的保护是执法的重中之重。
而此轮监管行动大致开始于今年7月,6月28日,工信部办公厅印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,计划为期一年。几乎与此同时,据业内人士透露,公安部也开展了类似的整治行动,随后不久,媒体相继曝出多家大数据分析平台负责人协助警方调查、纷纷关闭服务等新闻。
对于这一新兴行业,中国人民大学国发院金融科技与互联网安全研究中心主任杨东认为,数据分析技术本身是中性的,并没有善恶之分,但他也发现,“由于企业发展良莠不齐,泥沙俱下,行业存在诸多纷扰和乱象。”
由于立法相对滞后等原因,个人信息泄漏事件时有发生。国际曾发生过诸如 Facebook 用户数据泄漏(剑桥分析事件)、印度公民身份数据库 Aadhaar 攻击等事件;国内亦有圆通条快递数据泄漏、华住旗下连锁酒店信息泄漏等。另外,数据分析机构也难免存在个人信息过度采集、数据滥用、非法贩卖个人信息等问题。这些情况都是工信部和公安部开展整理的背景和原因。
战略价值不可或缺
当前,大数据风控更多地应用于金融领域,尤其是随着互联网深入渗透于人们的生活之中,其已逐渐成为金融机构不可或缺的风险控制工具。
银行业内人士指出,大数据风控是专指提供数据分析、人工智能、机器学习、大数据平台能力以及分析咨询服务的企业,其价值体现和核心竞争力在于科技能力,能有效为银行等金融机构赋能,同时也是防范系统性风险的重要工具。
由世界银行IFC牵头,相关专家和大数据风控行业头部公司同盾科技等参与制订的涉金融服务数据分析行业规制的研究报告中,这样描述大数据分析在金融领域的作用:数据分析机构通过各类智能算法、模型的应用,能够非常精准地刻画出用户的个人画像,能够更好地分析个人行为模式,预测个人行动,这对于金融机构开展各类消费金融服务、控制风险尤为有效。
传统征信体系主要是针对有完整信贷记录的社会主体,无法满足大量缺乏信贷历史数据的借款人的金融需求。
例如,虽然中国的征信体系覆盖了8亿人群,但是有信贷记录的人群只有3亿多。特别是金融行业服务的下沉客群,更多地是使用民间借贷和网络借贷,其征信数据难以完整收集记录,而这些下沉客群也正是普惠金融需要覆盖的人群。另外,随着金融业务的线上化,各类黑产兴起,欺诈行为愈加隐蔽,仅靠传统的征信数据显然无法应对上述问题。
同盾科技蒋韬在《清华金融评论》的一篇署名文章中指出:大数据分析行业在欧美等发达国家的信用经济、消费经济、普惠金融等领域也扮演着不可替代的角色。
以美国为例,其个人数据市场结构为三个层级组成:第一层级为全面征信机构。美国三大著名个人征信机构益博睿(Experian)、艾克菲(Equifax)和环联(Trans Union)即属此列。
第二层级为专业征信信息提供商。这类机构主要帮助全面征信机构分销产品和服务,并提供特定领域的征信信息,机构数量有100多家。
第三层级为数据分析公司,非征信机构。这类机构有几千家之多,不在征信规制范围之内,除了为一二层级机构服务之外,也开展非个人信用类的数据分析服务。如美国个人消费信用评估公司FICO、美国金融科技公司ZestFinance。
当前,中国数据分析行业业已初步形成较为清晰的市场格局,主要组成的主体有:中国人民银行征信中心和百行征信为代表的全面征信机构、八家专业征信信息提供商,以及5000~6000家从事大数据分析的企业。
银行等金融机构大多已引入第三方大数据分析。以某城商行为例,该行结合内部自有数据、外部数据(人行征信、工商、司法、反欺诈数据、海关、黑名单、通信数据、税务等),形成客户数据统一视图,重点解决客户信息不对称问题。银行经营成本大大降低,调查时间平均缩短20%以上。在信贷全流程中的应用,贷前基于内外部数据,结合人工智能、知识图谱等技术建立客户准入和反欺诈规则,实现从“人控”到“机控”。
金融领域之外,大数据分析也存在着广泛的应用场景,如互联网平台、物流、大健康、零售、智慧城市、政务等领域。
近年来,国家层面出台多个促进人工智能、数字经济的的政策,如2017年7月,国务院印发《新一代人工智能发展规划》;同年12月,工信部印发《促进新一代人工智能产业发展三年行动计划(2018-2020)》,推动人工智能和实体经济深度融合;2018年3月和2019年3月的政府工作报告中,均强调人工智能等研发应用,壮大数字经济。国务院“十三五”规划也明确指出,完善科技和金融结合机制,形成各类金融工具协同发展的科技金融生态。
合规发展可期
大数据分析天然地与个人或机构的信息尤其是隐私联系在一起,如果在数据的获取、使用、存储等方面使用不当,很容易造成巨大的社会影响。
但中国目前关于个人信息保护的立法尚未完成,而是零散分布于法律、法规、部门规章以及国家标准中,如何保证金融业创新发展和风险防范的平衡、保护消费者隐私和权益,都是金融监管当局需要面对的重要课题。
故而金融监管机构在执行对涉及金融业务的数据分析行业的监管过程中,除了按照已经公布的相关法规、部门规章及指导规范要求执行外,有必要参考国际经验。
以欧盟为例,1995年10月,欧盟通过了《数据保护指令》,该指令为数据库权利人提供版权和特别权利的双重保护。它是欧盟第一个全面保护个人数据的法律制度,对所有部门和所有类型的信息数据的处理都具有法律效力。
2016年4月,欧洲议会通过了《通用数据保护条例》(GDPR),并于2018年5月25日正式生效。GDPR强调七大数据处理核心原则,包括合法性、公正性、透明性;目的限制;数据最小化;准确性;存储限制;完整性机密性;问责制。
与欧盟不同,美国至今尚无统一的个人信息保护法规,各类个人隐私保护规定零散分布于不同的法律法规之中,在执法方面也是分散监管的。
此外,英国的《Data Protection Act 2018》作为第三代数据保护法现已获得批准,其主要条款于2018年5月25日生效。亚洲国家如新加坡的《个人信息保护法规》、日本的《个人信息保护法》等五项法律、菲律宾的个人信息保护机构国家隐私委员会等。
就中国监管而言,央行、学者、企业都曾做过研究,建言献策。
在搭建好法律、监管和行业自律的框架下,编制金融消费者个人信息保护监督检查手册、制定金融业个人信息保护的合规性操作指南、建立金融业个人信息保护自律组织、间接推进数据分析行业自律性组织、以合规性供应商清单促进数据分析行业的发展。
杨东在《涉金融服务数据分析行业的价值与善治》中认为,出台金融业个人数据保护合规操作指南、建立个人数据保护的行业自律组织以及推出合规供应商清单等措施是当务之急。
据悉,此次监管风暴仍将延续一段时间,受此影响,数据分析公司普遍持观望情绪。但业内普遍认为,随着法律法规及行业自律规则的陆续完善,合规发展前景可期。
来源 | 21世纪经济报道
作者 | 陆宇
编辑 | 李清宇