GDPR对国内商业银行影响及应对策略

  • 格式:pdf
  • 大小:945.81 KB
  • 文档页数:2

网络空间战略论坛
C
48 / 2018.07
随着国家“一带一路”倡议的提出,国内商业银行金融服务的国际化程度越来越高,势必不同程度地受到欧盟《通用数据保护条例》(GDPR)影响。

那么,对于GDPR 将对哪些商业银行产生影响,影响范围有多大,以及商业银行应采取哪些应对策略等问题,本文进行一些探讨,提供一些借鉴。

一、GDPR 与银行领域关键词
欧盟GDPR 旨在加强欧盟公民个人
数据隐私权保护,为欧盟公民个人数据保护制定一套更严格的法律和处罚规定。

GDPR 全文共十章九十九条,包括一般条款、原则、数据主体的权利、控制者和处理者、将个人数据转移到第三国或国际组织、独立监管机构、合作与一致性、救济责任与惩罚、特定处理情形相关的条款、授权法案与实施性法案等,分别对条例的目标、适用范围、个人数据处理原则、数据主体权利、数据控制者和处理者的责任、个人数据的安全、将个人数据转移到第三国或国际组织、监管机构的任务和权利、欧盟数据保护委员会任务等做了具体规定。

从银行角度理解GDPR 条款,需要明晰几个关键定义。

数据主体是指拥有和处理其个人数据,具有欧盟公民身份的银行客户。

数据控制者是指拥有欧盟客户个人数据,对个人数据处理提出需求(包括处理目的、处理方式等)的银行机构。

数据处理者是指根据业务需求、监管要求、个人数据安全保护及IT 运维需要,执行欧盟客户个人数据处理具体操作的银行机构。

个人数据是指可识别欧盟客户的相关信息,包括姓名、身份、地址、网上标识,以及客户本人特有的身体、生理、遗传、精神、经济、文化、社会身份等信息。

二、对国内商业银行产生的影响
1.影响范围
GDPR 规定,无论是否在欧盟内设立分支机构,只要向欧盟公民提供产品或服务,或者监控欧盟公民在欧盟范围内活动,都需遵守此条例。

具体的影响范围包括:欧盟内设立银行分支机构,向欧盟客户提供金融产品和金融服务的银行机构;通过互联网等技术,面向欧盟客户提供线上金融产品和金融服务的银行机构;承担欧盟客户个人数据的加
工处理、传输、储存的银行IT 运维机构(包括外包商);提出欧盟客户个人信息采集或加工的银行机构;其他
涉及欧盟客户个人信息处理的银行机构。

2.受约束行为
GDPR 规定,欧盟公民个人数据处理、储存、传输都需遵守此条例。

个人数据处理主要指银行对欧盟客户个人数据进行的任何操作,包括不限于数据的收集、记录、组织、调整、更改、检索、咨询、使用、排列、组合、限制、清除或销毁等。

个人数据储存主要指银行对欧盟客户个人数据(包括客户信息、账户信息、交易信息等)通过备份介质进行存放或备份。

个人数据传输主要指银行在对欧盟个人数据进行批量加工,提供联机服务过程中,所执行的个人数据传输,或将个人数据转移到第三国。

三、商业银行典型场景的合规问题
1.个人数据处理合法性问题
根据GDPR 合法性规定,除非数据控制者为履行法定义务、公共利益、官方权威、保护数据主体核心利益,一般性原因的个人数据处理,需数据主体同意、数据主体请求或数据主体参与契约明确。

为保证银行处理个人数据的合法性,客户在通过银行柜台或自助
王亮
中国银行数据中心
GDPR 对国内商业银行影响及应对策略
2018.07 /
49
终端(包括移动自助终端)办理业务时,银行应与客户通过契约形式列明银行为保证业务正常开展所必须的个人数据处理工作。

2.金融产品设计及营销合规性问题
GDPR 规定,数据主体有权随时反对出于营销目的的个人数据处理,包括用户画像。

一旦反对,数据控制者须立即停止针对这部分个人数据的处理行为。

根据该条款,银行应谨慎利用大数据、人工智能等技术进行用户画像;谨慎向欧盟客户宣传和提供智能化个人定制金融产品。

3.个人数据访问控制问题
GDPR 规定,个人数据处理应遵守“目的限制”“数据最小化”原则。

银行在保证业务正常开展、IT 正常运维前提下,应对个人数据访问加强管理,实现最少有权人访问最少数据。

4.客户备份数据保留周期合规性问题
GDPR 规定,个人数据处理应遵守“限期储存”原则,个人数据储存时间不应超过实现其处理目的所必需的时间。

数据主体具有被遗忘权,即数据主体有权要求数据控制者删除其个人数据。

就银行而言,当客户在银行办理存款、贷款等业务时,当契约到期后,银行应删除客户个人数据,客户也有权提出删除要求。

银行应从制度和技术手段考虑,如何应对客户删除个人数据的要求;同时,应自查个人数据备份周期能否满足条例要求。

5.个人数据转移到第三国合规问题
关于个人数据转移到第三国,GDPR 专门用一章篇幅提出具体的监管要求。

国内商业银行在推进信息系统全球逻辑集中、区域逻辑集中过程中,必然会遇到个人数据转移到第三国问题。

建议应考虑几个方面问题:(1)协调个人数据属地国监管当局,对第三国及个人数据处理机构进行评估和认定。

(2)银行在制度和技术手段上需得到充分保障。

(3)个人数据跨境传输,应采用符合国际标准的加密技术。

(4)可能会面临双重或多重监管问题,应在制度、措施上研究和落实。

四、商业银行应采取的应对策略
1.思想上高度重视,组织上加强领导,全面对标评估产生影响
GDPR 对欧盟公民个人数据保护要求之严,几乎将所有可识别个人身份的欧盟公民个人数据的操作纳入GDPR 管理范畴;处罚力度之大,罚款范围从1000万到2000万欧元,或企业全球年营业额的2%到4%。

GDPR 正式生效对国内商业银行会产生不同程度影响,全球化程度越高的银行将受到影响越大。

国内商业银行(包括互联网银行)应从战略高度考量现在和将来带来的影响及应对策略,加强评估工作的统一领导,成立相应的组织,对GDPR 条款进行深入研究和解读,并组织相关机构进行全面对标评估和检查,根据评估结果,制定改进计划和措施。

2.过渡方案和长远规划并举,保证个人数据处理合规合法
根据GDPR 条款,商业银行要完全满足条例要求,需要从产品设计、产品营销、产品服务、IT 运维、数据管理等多个方面统筹管理,全面和系统性地解决合规问题。

对于短期不能解决的问题,要考虑通过应急预案等方式作为过渡性方案,保证个人数据处理的合规性;同时,也应规划长远解决方案,保证问题的彻底解决。

3.有效防范个人数据泄露事件发生
有效防范个人数据泄露事件发生是落实个人数据隐私权保护的重要措施。

商业银行应根据GDPR 具体条款要求,进一步完善相关制度和流程,强化管理,保证个人数据处理的合规性。

同时,进一步完善技术保护措施,通过加固基础环境安全保护,以预防外部黑客攻击事件发生;通过在数据存储、数据加工、数据访问采用相应技术措施,实现数据访问最小化,数据加工匿名化和数据储存的加密化。

4.加强与监管当局合作
GDPR 对个人数据处理提出严格要求同时,赋予监管机构各种权利,例如,监管机构具有决定是否对违反规定的单位处以巨额罚款的权利;当发生个人数据泄露事件时,要求在72小时内向客户属地国监管当局报告等。

商业银行应建立与国内监管、海外监管之间顺畅的沟通和报告机制。