2019年12月20日,全国人大常委会法工委发言人岳仲明在记者会上表示,2020年将制定《个人信息保护法》《数据安全法》。如何既遵循强化个人信息保护的整体立法趋势,又充分考虑金融领域的特殊性兼顾个人信息的适度流动共享,借此以消除金融市场的信息不对称痼疾,社会引发更高的预期。
业界联想到2019年9月以来随着银行合作类业务数据来源的合法性整肃,一些放贷平台、大数据公司被查,如何把握金融数据隐私保护与合规共享的尺度,围绕智能(大数据)风控引发热议,甚至衍生出超越技术本身的话题。如,行业的风险与创新、效率与安全、法律与监督,科技的善与恶等系列话题。
智能风控是借助智能技术和手段防范金融风险,现在自身遇见到行业风险,姑且将智能风控者称为抱薪者,他们带给他人与自己温暖,必须守正底线,把握平衡。结合实践案例,在此对智能风控行业提出创新与规制的思考。
一个底线 两个平衡
重要信号。对于智能风控行业,近期传递出两个重要信号,对其长远发展具有深远的影响,业界不仅看到了“风口”,也看到了“风向”。一个重要信号是增列数据作为生产要素。十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》中,首次将数据列为生产要素,与劳动、资本、土地、知识、技术、管理要素参与分配,并指出健全生产要素由市场评价贡献、按贡献决定报酬的机制。数据纳入生产要素是对其在现实中已经呈现的重要价值得到确认,也是对促进大数据、人工智能等行业的应用和发展给予更高的预期。基于大数据的智能风控将出现伴生成长的机会。另一个信号是更好纾困民营和中小微企业融资“难”与“贵”问题。新华社北京12月22日,《中共中央 国务院关于营造更好发展环境支持民营企业改革发展的意见》重磅发布,支持民营企业发展。在2019年12月10日至12日举行的中央经济工作会议上全面部署了2020年经济工作,其中提出继续深化金融供给侧结构性改革,更好地缓解民营和中小微企业融资难融资贵问题。基于人工智能、大数据、云计算等技术的智能风控突破了征信困境,让个人和企业(尤其是民营和中小微企业)金融需求更具可得性,智能风控出现了长足发展的机遇。
变量演变为不变量。智能风控处于新兴行业,创新往往对旧有的格局、体系带去革新,这也意味着行业会出现不确定性,甚至出现风险。美国投资家索罗斯曾言:“我什么都不怕,只怕不确定性。”但是,创新始终是推动一个国家、一个民族发展的重要力量。可喜的是,业界看到,以发展眼光来看待智能风控已然达成共识。除了创新,还是创新,变量已然成为不变量。
服务金融必筑“一个底线”。基于智能风控与诸多行业均有连接,尤其连接金融行业,智能风控企业必定要有风险意识、底线思维。对此,以同盾科技为例,探讨智能风控的底线与平衡,其创始人、CEO蒋韬在反欺诈和风控领域已有十多年丰富沉淀,拥有六年多风控企业创业经验,其创新创业实践对行业发展有着重要的借鉴意义。蒋韬提出智能风控的底线是,坚守科技赋能、保持第三方独立的角色,不放贷、不引流。
基于守正底线的基础上,接下来的标配动作便是寻求“两个平衡”:技术创新与良性发展之间的平衡,隐私保护与合规共享之间的平衡。对此蒋韬打了个比方,就像开车一样,只有靠着方向盘的左右调整,才能保证汽车的直线行驶。
动态平衡之一:技术创新与良性发展之间寻找平衡
数据是智能风控的基因。电子商务、社交网络催生了人们日常消费、社交活动的移动化、网络化,在金融面前“二化”催生出互联网金融形态,与此同时传统金融部分线上化。现在,在金融面前“三化”人们的消费、社交数据化,涵盖的结构性数据和非结构性数据为智能风控的发展奠定了基础。数据当然成为智能风控的基因。
走新路穿旧鞋的双重困境。首先,传统征信体系无法完全解决线上化的金融业务。基于我国征信体系已覆盖8亿人群、有信贷历史记录的人群仅3亿多的严酷事实,随着金融业务的线上化,各类“黑产”兴起,欺诈行为愈加隐蔽,线上处理的金融业务使用传统征信体系数据已然无法得心应对。其次,一些传统金融机构的风控手段单一,无法为包括中小微企业在内的长尾客户提供风险定价,当然也没有能力匹配相应的金融服务。
金融需求更具可得性。基于人工智能、大数据、云计算等技术的智能风控突破了传统征信的困境。利用技术,结合风险,搭建模型,让个人和企业金融需求更具可得性。一方面,机器取代人已然成为可能,比如,服务中小微企业的“三品(产品、押品、人品)三表(电表、水表、纳税申报表)”“两有(劳动意愿、劳动能力)一无(没有不良嗜好)”尽调,不再停留在人海战术层面,智能风控让机器做“调查”。另一方面,大批量作业下的风险识别更准、更快成为现实,比如,涉农金融机构提倡的“口袋银行”“背包银行”模式里面,让农户获得一笔小额贷款信贷员不再跑破一双鞋,智能风控让数据“跑”起来。
让金融更接近本质。金融“零”风险的或然率可遇不可求,降低金融风险放在宏观视角下观察则体现了预期与现实的统一。国务院“十三五”规划指出,要促进金融产品和服务创新,完善科技和金融结合机制,形成各类金融工具协同发展的科技金融生态。伴随新的经济形态发展,金融是实体经济的血液,资金流向更有发展前景的实体经济,智能风控参与优化资源配置,更加体现金融的本质。
智能风控价值的三个层面。既然让金融更接近本质,智能风控体现巨大的商业和社会双重价值。研究同盾科技行业实践的案例,服务金融行业方面,智能风控的价值至少体现在三个层面。
第一层,襄助金融机构提升智能反欺诈能力。网络“黑产”每年给社会造成的损失巨大。根据同盾科技不完全统计,当前全国已确认识别的欺诈团伙上万个,团伙成员超百万,全年“黑产”引发的经济损失高达915亿元,造成个人信息泄露高达65亿条次,线上交易平均欺诈人均损失9400元。同盾科技每天欺诈情报监测预警超过100万次,日均拦截IP代理行为超过150万次,帮助各类机构保护账户及交易安全超过200亿次,累计为全社会保护了万亿元资产。
第二层,协助金融机构完善智能风控体系。利用决策引擎、复杂网络、机器学习平台和设备指纹等技术,以及AaaS平台,协助银行有效对前中后台进行重塑,形成贷前、贷中、贷后体系化和全周期的生态系统。还是以同盾科技为例,目前服务300多家银行,其中有6家国有银行、12家股份制银行;服务6家财险公司;服务24家持牌消费金融公司。对核心技术的掌握也是智能风控发展的重要前提,同盾科技依托2019年初设立的人工智能研究院载体,稳步布局推动人工智能战略,围绕智能语音、自然语言处理、计算机视觉、机器学习四大核心取得了多项专利成果。
第三层,相助金融机构更好发展普惠金融。智能风控大幅提高金融运行效率,降低金融服务门槛,使得中小微企业、中低收入人群等弱势群体能够享受到公平合理、便捷快速的普惠金融服务。反观同盾科技与杭州和唐山两座城市共建的中小微企业综合金融服务平台,则切实为实体经济和小微经济搭建了融资桥梁。还有一例证,利用智能风控,为传统征信机构无法覆盖的个人或中小微企业取得了首次获取信贷支持的机会,从而助推了社会信用体系建设,同盾科技以此入围了首批国家信用体系建设单位,与国家信息中心达成信用共享协议,与杭州等城市达成合作,探索地方城市市民信用评分机制的应用。
平衡点:科技向善行业善治。鉴于智能风控行业发展良莠不齐,监管规制亟待完善,行为规则尚待制定,市场氛围有待形成。如何形成科技向善、行业善治局面,有识之士建言不断。
其一,建议出台金融业个人数据保护的合规性操作指南。即便2020年《个人信息保护法》《数据安全法》出台之后,针对金融业大量使用自有个人数据和第三方个人数据服务的情况,蒋韬建议监管部门出台金融业个人数据保护的合规性操作指南,促进金融机构及智能风控行业第三方机构的合规运行。此举借鉴了欧盟个人数据保护的实践经验,在《数据保护指令》(1995年)、《通用数据保护条例》(GDPR,2018年)出台前后,相关机构出台了一系列合规性操作指南,帮助行业提高合规操作能力。
其二,建议设立行业自律组织。中国人民大学国发院金融科技与互联网安全研究中心主任、CFT50学术委员杨东撰文建议设立金融业个人数据保护行业自律组织,以此制定个人数据保护自律守则,设立隐私认证标识。此举借鉴日本情报处理开发协会(JIPDEC)的做法,作为隐私标识系统认证提供商,该机构推出隐私标识系统,评估私营企业采取适当措施保护个人信息的制度。蒋韬三句话不离本行,他建议建立智能风控行业自律性组织。作为智能风控的主要市场,金融业是涉及个人数据分析的智能风控的重要利益相关方,反过来有必要通过相关自律性组织,要求智能风控第三方机构做好金融业个人数据的保护与认证工作。2018年香港环联公司(Transunion)泄漏了公众人物信贷报告,香港金融管理局通过银行公会责成涉事机构彻查,此为典型事例。尽管涉事机构并不受到香港金融管理局直接监管,但是该事故涉及到银行向涉事机构提供的个人信贷资料的安全性,因此香港金融管理局通过银行公会实施了监管。同理,银保监会可以透过相应行业自律组织,如智能风控行业自律性组织、银行业协会,对涉事机构进行监管。
其三,建议建立个人数据保护合规性供应商清单制度。综合蒋韬、杨东建议,金融机构要求第三方机构在金融业个人数据保护的合规性操作指南指导下,开展相关个人数据保护工作。金融业个人数据保护行业自律组织、智能风控行业自律性组织定期评估第三方机构的合规性,张榜评估结果,公布合规性供应商清单,从而促进智能风控行业的个人数据保护工作。
动态平衡之二:金融数据保护与合规共享之间寻求平衡
金融业融合科技已成趋势,金融数据隐私保护与合规共享的关系渐次明晰。比如,在《联合国消费者保护准则》中明确了“保护消费者隐私和全球信息自由流动”。再如,欧盟既通过了《通用数据保护条例》,严格保护个人金融信息,又通过了2019年9月14日开始生效的《支付服务指令修正案指令》(PSD2),鼓励银行与第三方(零售商、金融科技公司等)开放、利用确保安全的客户数据,推动自身的业务创新。
金融数据保护现状。虽然在《中国人民银行法》《商业银行法》《证券法》《保险法》《网络安全法》等法律法规中,在《数据安全管理办法(征求意见稿)》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法律法规的配套性文件中,在《关于银行业金融机构做好个人金融信息保护工作的通知》《关于金融机构进一步做好客户个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》《银行业金融机构数据治理指引》《个人信息出境安全评估办法(征求意见稿)》等规范性文件中,均出台了保护个人金融数据的对应条款,但是,目前我国尚未有统一的个人金融数据保护法律法规。2019年9月以来随着银行合作类业务数据来源的合法性整肃,一些放贷平台、大数据公司被查,业界对于2020年将制定的《个人信息保护法》《数据安全法》充满期待,未来个人金融信息立法的关注提升到了前所未的高度。中央民族大学法学院副教授、清华大学智能法治研究院兼职研究员朱芸阳撰文提出,个人金融信息立法既需要尊重加强个人信息保护的整体立法趋势,也需要充分考虑金融领域的特殊性,兼顾加强个人信息的流动共享,适度的信息共享、信息披露是克服金融市场信息不对称的重要手段。
金融数据共享流动。
首先,监管层鼓励创新,促进金融机构的数据资产在流动中增值。《银行业金融机构数据治理指引》要求在风险管理、业务经营和内部控制中加强数据应用,实现数据驱动;《金融控股公司监督管理试行办法》(征求意见稿)允许金融控股公司与其所控股机构之间共享客户信息。这些规范性文件体现了数据流动共享。事实上,用户、场景从线下迁移到线上,金融机构已经从封闭平台向开放平台转型,跨界获客、交叉营销已经是金融数据共享取得的初步成果。
其次,金融数据共享是金融机构在履行法定义务。在《反洗钱法》等法律法规中,在《个人存款账户实名制规定》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《支付机构反洗钱和反恐怖融资管理办法》《保险机构洗钱和恐怖融资风险评估及客户分类管理指引》《非居民金融账户涉税信息尽职调查管理办法》等规范性文件中规定,通过客户身份识别、客户尽调,金融机构履行反洗钱、反腐败和税收等义务。
第三,金融数据共享可以更好地进行反欺诈。借助API(Application Programming Interface,应用程序接口)、SDK(SoftwareDevelopment Kit,软件开发工具包)等技术将数据、服务等标准化或组件化之后,智能风控机构等外部合作伙伴与金融机构实现了信息共享。反欺诈、智能风控和安全行业对于数据,好比人与水的关系,建立更严格的行业准入机制下,需要一定程度开放数据的使用。欧盟《通用数据保护条例》规定“当数据获取用作反欺诈或者安全目的”的“例外”情况成为很好的他山之石,表明智能风控需要更多的数据才能更好地同欺诈分子对抗,更多贡献和谐。
平衡点:数据流通中保障安全。蒋韬分析,可以考虑采取两条措施达到金融数据保护与合规共享之间的平衡。
其一,建议制定配套的金融科技标准体系。中国人民银行副行长范一飞在2019年新浪金麒麟论坛上指出,金融科技是未来全球金融竞争的制高点,谁掌握好这一最先进的生产力,谁就拥有最强的金融核心竞争力。金融科技的发展离不开金融数据的合规共享。蒋韬分析,制定配套的金融科技标准体系,从而可以保证金融数据安全的流通,随之产生强大的乘法效应反过来促进金融科技的进步。
其二,创新性安全保护举措覆盖金融数据共享全过程。
第一,前置共享金融数据准入条件。蒋韬建议建立金融行业合格第三方服务提供商资质审核,包括技术安全资质和业务合规等准入条件。借鉴国际通行的做法不失为终南捷径。欧盟《支付服务指令修正案指令》规定参与银行金融数据交换的第三方均要获得资质认证,英国竞争和市场管理局(CMA)则建立了开放隐含数据的安全体系,美国在获得银行的相关审查后第三方业务机构方可准入。
第二,事中技术“处理”数据从而达到保护数据的目的。这是业界的例行做法,目前已然通行起来。既然金融数据合规共享是打破“数据孤岛”、提升数据使用效能、推进金融创新、服务普惠金融的不二路径,那么,第三方服务提供商从金融机构共享的数据,不是简单粗暴“拿来”,而是要进行分类、“清洗”和“脱敏”,真正做到创新性地保护金融数据安全。
第三,事后复盘透过创新技术扩大共享金融数据成果。通过多年的实践,同盾科技正以创新技术,寻求金融数据保护与合规共享之间平衡的新路径。获得PCI DSS(Payment Card Industry Data SecurityStandard)认证,得到了全球第三方支付行业数据安全标准制定机构的对其数据安全的认可,似乎同盾科技已经获得了技术创新的安全通行证。
它推出“联邦学习”,实则是采用分布式深度学习技术,参与各方在加密基础上共建公共虚拟模型,在训练和交互全过程中,各方数据始终停留在“本地”,不参与迁移、交换和合并,很好地破解隐私安全、数据共享难题。蒋韬分析,“联邦学习”有望成为下一代智能风控的重要底层技术,该技术系同盾科技人工智能研究院院长、美国常春藤名校佛罗里达大学终身教授李晓林主导开发,在这一领域同盾科技已经走在了行业的前列。
宋代禅宗大师青原行思(靖居和尚)提出参禅的三重境界:第一重境界,“看山是山,看水是水”,看到事物的表象;第二重境界,“看山不是山,看水不是水”,透过表象看到了本质;第三重境界,“看山还是山,看水还是水”,从本质又联想到发展的事物。
具象来说,禅宗大师的三重境界也反映出智能风控行业金融数据安全创新性保护举措覆盖共享全过程的三种境界。抽象反观,禅宗大师的三重境界亦暗合了智能风控抱薪者暖人暖己的“一个底线”与“两个平衡”。
在智能风控行业稳健发展过程中,同盾科技作为业内重要的一员,在坚决拥抱监管、坚持科技向善方面,势必要承担、也应当承担更多的社会责任。
各地区各部门要充分认识营造更好发展环境支持民营企业改革发展的重要性,切实把思想和行动统一到党中央、国务院的决策部署上来,加强组织领导,完善工作机制,制定具体措施,认真抓好本意见的贯彻落实。国家发展改革委要会同有关部门适时对支持民营企业改革发展的政策落实情况进行评估,重大情况及时向党中央、国务院报告。