最高可罚1.5亿,GDRP落地对国内银行意味着什么?

转载   •   6月1日, 2018

古之希腊,今之欧盟。

如果说,过去武力孱弱、城邦分散而在罗马、波斯两大强权间挣扎求存的希腊曾以其璀璨的哲学思想深刻影响了西欧中东古典文明,那么,现在机制僵化、故步自封而在与美国、中国数字经济竞争中渐渐不敌的欧盟将以其领先的立法技术重新定义全球信息时代的规范风貌,而其划时代的立法文件,正是这部《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)。

作为商业银行从业人员,我们关注GDPR,不仅仅是其凶悍而霸道的罚则——最高可达1.5亿元人民币(约数,即2000万欧元)或全球营业额的4%(且以高者为准)固然令人齿寒,但更为重要的是,一方面,处在转型期的我国商业银行正在快速向诸多场景的诸多伙伴开放,作为融资和支付的基础设施在效益提升的同时也在集中和传导风险,另一方面,银行赖以生存的根基是以信息不对称而跨时空、跨主体地调配资金资源,如果合规成本持续高企,效率的低下将可能成为巨人倒下的阿喀琉斯之踵。

简言之,对于有志于“星辰大海”而正在经历金融科技转型的国内商业银行来说,如果不能妥善处理GDPR实施的相关影响,效果不啻于一剑封喉——被锁死在技术和经营的低水平上而逐渐“内卷”,最终在时代的洪流中悄然出局。不过,虽然在GDPR经欧洲议会审议通过后,特别是在5月25日实施前后,坊间有大量分析文章涌现,但更多还是站在个人权利保护或者国家法制建设层面的言说,具体到商业银行的探讨确不多见。因此,笔者不揣冒昧,拟从商业银行合规工作视角切入,力图呈现GDPR之于银行的独特观察框架,并对其影响和对策作简要探讨。

1. 辖的两个面向

作为具有强制执行力而非再需要转化为国内法的“条例”,GDPR威力首先在于管辖权在个人权利保护旗帜下的扩展:首要和基本的当然还是属地管辖,只是这种管辖已经因广义解释而“变味”:一方面,条例适用于营业机构/营业场所设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动,且不论该处理行为是否发生在欧盟境内;另一方面,这里的营业机构/营业场所还要做广义解释,其不仅包括了银行法人及其分行或子行,还包括了没有实体,但利用金融科技手段实际开展业务的情形。

极端情形下,即使某中资银行法兰克福分行委托新加坡分行处理了中国公民个人数据,依然也要落在GDPR的管辖之内。

不宁唯是。GDPR在属地管辖之上继续强化了“保护管辖”,其要义有二:对保护主体而言,不仅仅是欧盟成员国公民,即使是在欧盟一个或多个成员国居住满三个月的居民也纳入保护;对保护条件而言,首先是为欧盟境内的数据主体提供货物或服务而不论有偿或无偿,对于银行来说,即使是在网站是部署了德文等欧盟语言版本并为交易提供便利,甚至只是专门提及欧盟客户,而不实际发生支付等业务,也会受其规制;其次是对数据主体在欧盟境内的行为进行监控,这里的监控自然包括了国内津津乐道的用户画像,在此情形下,如果某欧盟成员国公民旅居中国时下载使用了国内银行服务,且在回国后没有卸载或停止服务,该银行也会因为持续的信息收集而受到管辖。最后,还包括根据国际公法,欧盟成员国法律可适用于该数据处理活动的。

2. 银行的三重身份

在确定落入属地或保护管辖后,银行还将因为身份的不同而承担不同的责任:

其一,单独的数据控制者,即独立确定个人数据处理的目的和方式。这里的个人数据处理是指对个人数据进行的任何操作,包括不限于数据的收集、组织、存储、改编、查询、使用、组合、限制、清除或销毁等等。

其二,共同的数据控制者,即共同决定数据处理目标、条件和手段的两个或两个以上数据控制者。这里不论关系远近、不谈协议有无,只要在事实上进行了数据处理关键操作的合作就会被认定。GDPR要求共同的数据控制者应以一种透明的方式安排各自的义务和责任,但不论彼此之间协议如何安排,各方均应履行GDPR对数据控制者的实质性要求,且数据主体有权向其任何一名主张权利。

对于商业银行来说,随着场景金融的兴起,越来越多的金融服务依赖合作伙伴技术、渠道、流量的合作,而合作伙伴由于种种原因,也大多在积极开拓包括欧盟在内的国际市场。这就一方面要在协议中专门明确相关情形下的责任分担,并对合作第三方进行审计,另一方面也要尽量识别和避免因为事实形成数据处理合作,避免责任波及。

其三,数据处理者,其较之数据控制者所不同的是不具有数据处理的“决策权”,因而也仅依其与数据控制者达成的协议承担合同责任。原本对于商业银行来说,除了总分行(子行)内部因IT系统外包等情形外,往往只作为数据控制者,鲜少有作为数据处理者的情形,然而在所谓“金融科技赋能”相关业务兴起后,一些大中银行(或其独立的金融科技子公司)也会相应地承担起处理者的义务。商业银行一方面要区隔作为处理者相对于控制者的责任,另一方面也要在技术和协议上防止擅自超越数据控制者的授权开展处理行为,以免承担数据控制者所有的义务和责任。更为重要的,是除了输出系统、数据等技术能力外,也要输出与之相配的合规能力。

3. 规制的四层体系

GDPR赋予数据主体的权利即为课以数据控制者/数据处理者的义务。在合法、公平、透明、目的限制、最小范围、准确性、完整性和保密性诸原则之下,商业银行要尊重和保护数据主体的访问权、修改权、被遗忘权、限制处理权、携带权和反对处理权。在规范文本上,建议重点关注对数据持有第三方的监督(第7条);儿童保护特别规则(第8条);权利人被告知权(第12-14条);被遗忘权(第17条);数据可携权(第20条);数据挖掘限制规则(第21条)以及严重数据侵权事件的知情权(第33、34条)等条款。这些条款落实到银行内控机制下,可投射为制度-技术-产品-公司治理的多层体系:

制度上,除了严格保护数据主体权利外,商业银行不仅要合规,还要以可见的形式合规,保存就其职责范围内的处理活动的书面(包括电子)记录,发生个人数据泄露事件时还被强制限时上报。除此之外,作为数据控制者/数据处理者的银行还被要求“自我规制”,遵守GDPR精神之下由国际组织、行业协会等拟定的“行为规则”,并向有权认证机构申请内控制度的合格评定,以向监管机构展示数据处理活动的合规性。

技术上,商业银行被要求主动建立“数据保护管理体系”(Data Protection Management System,DPMS),通过引入信息技术安全管理理念,拓展ISO 27001和ISO 27002标准,规范处理过程中的基础设施、数据管理和用户交互行为,以满足GDPR第24条第1款和第2款的规定。

产品上,商业银行要建立“经设计以保护隐私”(Privacy by Design, PbD)理念支持下的“经设计以保护数据”(Data Protection by Design)机制,主动预见并提前阻止个人数据风险发生:在授权提示产品设计上,要将数据保护作为默认设置,并在保持开放透明的前提下将其贯穿于数据收集、存储、处理、转让乃至删除的各环节、全过程。

公司治理上,除了对特定情形下的数据处理指派数据保护官、进行数据保护影响评估等外,商业银行还应主动地实施“基于风险进路”(Risk-based Approach)的规范方法,制定相应细则并纳入高管决策,最终令安全义务从外部“自上而下”地强制实施转变为内部“发自内心”的自我执行。

4. 影响的多元维度

针对GDPR可能的司法管辖,商业银行马上应着手的除前述建构制度以完善治理,明确协议以分散风险外,还应在技术上对直接或间接拥有、支配、有权使用的个人数据进行清查和分类,并在隐私政策指引下,对数据进行加密和匿名化处理。进一步地,作为实施保障还建议商业银行应匹配专门的人力和财力资源投入并开放相应权限,同时注意总分行内部之间、境外不同分行之间制度的衔接与统一。

另外,金融、信息等产业的政府部门、行业协会等也应有所作为:在国内进一步完善建立完善细化相关管理制度,为合规工作提供重要指针,为(可能的)企业应诉提供抗诉事由;在国外要推动不同层面的立法和执法交流,就规范管辖等展开磋商并对银行等开展培训指导。

除了表面的制度约束外,GDPR的实质影响更在于历史性地改变了被规范对象的发展趋势。较之以往,欧盟此次的立法并没有建立在对权利基础、构成要件充分探讨的基础上,反而掺杂了数据竞争、法制竞争的考量。这就在事实上形成了以五亿消费市场为“人质”、以规范换取交易的某种“经济恐怖主义”。在违背自由竞争的基础规则之余,也开启了世界各主要经济体在民粹思潮驱动下的“作秀”竞争,在此背景下,数据-信息经济前期的快速发展恐难继续。

更恶劣的,是以保护管辖为幌子,将不同司法区域的管辖冲突赤裸裸地展现在世人眼前。比如,GPDR关于从数据保护官到数据保护的一系列措施,在细节上就与《网络安全法》的相关条款多有相悖且有待解释明确。不仅如此,GPDR还在企业之外,将公法主体也纳入管辖,这些都在客观上增加了银行等涉欧企业的守法和经营成本,不利于全球市场的良性发育和要素在全球的自由流动。

最后,对于商业银行乃至金融科技企业来说,还可能意味着业务逻辑的根本转变。过去,在移动互联、人工智能、大数据、物联网等前沿技术驱动下,银行等金融业务唯快不破,效率成为核心追求。未来,合规不但是成本,更是约束和保护,银行的竞争也将由单一的规模优势加速转变为要素整合。在这一历史进程中,不但合规将由成本中心转变为一定意义上的利润中心,更为根本的,可能是银行产品能力取代营销能力成为核心资源,进而把市场竞争推进至一个新的时代。

转载自央行观察(微信公众号ID:YANGHANGGUANCHA),原文链接《最高可罚1.5亿,GDRP落地对国内银行意味着什么?