GDPR法案的实施对金融行业的影响及具体应对措施

摘要

2018年5月25日，欧盟正式实施了《通用数据保护条例》（GDPR），旨在保护用户的数据隐私，自法案实施以来，引起了国内外大型机构的高度重视，纷纷重新审视用户数据的合规性。国内商业银行也在不断关注欧盟这一数据保护条例，各大金融机构目前处于金融科技发展转型的重要阶段，人工智能、大数据等技术为其发展带来红利的同时，商业银行也应该妥善处理好GDPR实施的相关影响，从数据合规性等角度切入，制定应对措施防范制度及技术层面的风险。

关键词：GDPR；数据合规性；金融科技；商业银行

一、GDPR及数据保护的基本概念

1、GDPR法案概述

GDPR(General Data Protection Regulation)，即《通用数据保护条例》。这项法案在 2012 年 1 月份就已经起草，经过 4 年的探讨与协商，欧盟于 2016 年 4 月正式通过这一条例并宣布试行，到 2018 年 5 月 25 日（即今天）正式全面施行。由于 GDPR 规定，企业一旦违反这一条例，最高可面临全球营业额 4% 的罚款，因此被冠以“史上最严数据保护条例”的称号。此前，不论是 2017 年的几起大型数据泄漏事件，还是近期闹得沸沸扬扬的 FaceBook 与剑桥分析公司收集用户数据事件，都在暗中庆幸自己没撞上 GDPR 的正式实施。否则，他们面临的情形将比现在更为严峻。

2、数据合规性相关概念

GDPR规定：欧盟委员会有权将面向欧盟服务的他国企业的个人数据转移出境，并进行检查。《网络安全法》第37条规定我国重要个人数据应在境内存储，确需出境的需要进行安全评估。

G DPR 还完善和细化了数据主体的权利，全方位保障个人对其信息的控制权。 GDPR 第 13 条规定数据主体拥有“知情权”，企业收集用户数据时，必须以清楚、简明的方式向用户说明其数据收集目的等一系列信息。 GDPR 第 6 条规定，企业在收集处理数据时需存在合法的理由，包括用户同意、企业的合法利益等。

通过分析GDPR在数据保护方面的要求，总结了以下三点常用方法：

1.1 对数据进行分类分级： 制定数据资产的分类与分级标准，给数据资产清单打上密级标识，对不同密级数据制定不同策略，避免“一刀切”，什么都重要等于什么都不重要：

· 建立数据资产分类分级方法（典型的密级分为5类：公众级、内部使用级、机密级、受限机密级和注册机密级），制定分类分级变更审批流程和机制。

· 制定数据资产登记制度，并明确数据资产安全责任人、生产者、管理者、使用者等建立数据资产清单，并给敏感数据打标。

1.2 数据脱敏：

通过脱敏规则（如匿名、泛化、随机等）进行数据的变形，实现个人敏感隐私数据的可靠保护，几种常见的脱敏方法包括：

· 替换 ：以虚构的数据代替真值

· 置乱 ：对敏感数据列的值进行重新随机分布，混淆原有值和其他字段的联系

· 偏移 ：通过随机移位改变数字数据

· FPE ：即格式维持的加密是一种特殊的可逆脱敏方法

限制返回行数 ：仅提供响应数据的子集，防止用户访问到全部符合要求的数据

1.3 用户身份认证和访问行为监控：

制定数据服务安全控制策略，明确规定如下安全限制和措施：

· 身份鉴别

· 授权策略

· 访问控制机制

· 签名

· 时间戳

· 安全协议

二、GDRP法案实施对国内金融行业的影响分析

众所众知，我国各大金融机构正处在金融科技转型阶段，诸多商业银行和大型金融集团纷纷成立金融科技子公司，重点研究 包括大数据、人工智能、云计算和区块链在内的诸多技术在金融行业的创新发展。而欧盟GDPR法案的实施，也让各大金融机构在研究技术创新方面尤为谨慎，尤其是客户信息及数据的收集。

近年来，数据泄露事件时有发生，2018 年 12 月 1 日，美国万豪集团旗下的喜达屋酒店预订系统发生 5 亿个人数据泄露事件，这是继2017年雅虎30亿用户信息泄露后，世界历史的第二次个人数据泄露事件。而随着欧盟 GDPR法规的发布，若相关数据泄露事件是发生在其法规管辖范畴内，那么相应公司将可能面临巨额罚款。与其他行业相比，金融机构在开展业务的过程中会接触到更多关于客户的个人数据，从而受到 GDPR 的限制。

目前，国内各大金融机构也都在按照《网络安全法》、等保2.0的相关要求，对本单位的信息系统安全进行合规性检查等工作，然而《网络安全法》与GDPR的立法目的不尽相同，但在个人数据/信息保护的大方向上却有共通之处。但是需要正视的是，在个人数据/信息保护方面，GDPR规定得更为详尽与具体，给个人数据/信息主体赋予的权利更为积极主动，所展现出来的立法技术更为成熟，同时规定的处罚措施也更为严苛。下面，就个人数据保护的几个数据处理原则，做一个初步的对比，详见下表：

三、应对措施及建议

分别从体制及技术两个方面，列举国内金融机构关于GDPR法案实施的应对措施和几点建议:

1 、体制机制方面：

虽然GDPR与我国《网络安全法》等制度存在矛盾性。根据GDPR的规定，如果国内金融机构在欧盟境内设有分支机构，欧盟的监管机构有权进入其国内的经营场所或相关业务系统进行调查的权力。这将直接冲击我国《网络安全法》第37条个人数据和重要数据出境制度的实施，同时也对我国数据主权带来潜在的威胁。因此，国内金融机构在个人金融信息保护方面也在加紧向欧盟看齐， GDPR对于个人金融信息保护的力度更大，对于金融机构的约束力更强。但是，其与国内相关法规的差异性导致在同时在中、欧开展业务的金融机构需要设置不同的管理流程，采用不同程度的技术措施，使得合规业务面临诸多难题。

国内金融机构应当对GDPR条款进行深入研究和解读，并进行全面对标评估和检查，制定改进计划和措施。从产品研发、数据获取、使用及销毁等各个方面统筹管理，全面和系统性地解决合规问题。

2、技术层面：

国内金融机构应根据GDPR要求，进一步完善技术保护措施，尤其是在利用大数据技术进行客户数据分析及评估时，应按照GDPR的规定，处理用户的个人金融信息时，通过加固基础环境安全保护，以预防外部黑客攻击事件发生

2.1 通过在数据存储、数据加工、数据访问采用相应技术措施，实现数据访问最小化，数据加工匿名化和数据储存的加密化。

2.2 在个人敏感信息和非个人敏感信息分类的基础上，对个人信息进行更为细化的多级分类。 对个人信息进行分级制度管理，将管理重点放在高风险数据上，不仅能提高数据的安全性，更能提高金融机构对数据的利用程度。

2.3 提升自身的IT系统建设和信息安全防护能力，可以设立专业的数据保护官和配套管理机制，专门负责数据管理与数据安全，提升数据合规管理的能力。

通过本文上述分析，可以看出GDPR法案的推行对面向欧盟服务的我国金融机构带来了巨大挑战。目前，我国在个人数据保护的法律方面仍然不健全，金融机构应建立与国内监管、海外监管之间顺畅的沟通和报告机制，加强与欧盟金融机构及监管机构的沟通,及时了解监管动态，借鉴欧盟各金融机构响应GDPR的经验教训，加强个人信息保护工作。同时建议相关监管机构结合等级保护，加快出台我国数据出境安全评估办法。