财新传媒
位置:博客 > 高声谈 > 金融机构外部数据管理框架设计及隐私计算的作用

金融机构外部数据管理框架设计及隐私计算的作用

金融行业的隐私计算应用,在经历了去年底的繁华与喧闹后,逐渐进入到体现实用价值的理性发展阶段。我们看到,行业落地案例均具备了解决实际问题的实用特性,而其中最为主要、也是占比最高的用途指向是:更安全、更合规地将外部合规数据价值引入到金融机构之中。隐私计算技术,也愈发趋近“数据价值传递的基础设施”这一本质。
 

笔者系列文章曾经介绍过金融机构如何选择隐私计算公司与技术,如何设计技术框架,讨论过不同场景下的合规方案设计以及引入隐私计算的必要性等问题。这些问题,其实包含在另外一个大的问题框架下——金融机构外部数据管理。对于金融机构来说,这是操作层面更具优先性的问题选项,也是隐私计算的理论和实操前提。

 

外部数据管理的必要性

 

随着“数字中国”、“工业互联网”等一系列倡议和政策的推行实施,数据在生产经营活动中的对于管理和决策效率的提升作用已经为人所知,只是受限于各行业互联网化和数字化程度不同,数据对其赋能效果不同。这涉及到数据管理的门槛问题,换句话说,数据解决方案需要一定的基础设施投入。具备了数据基础设施和与外部数据对接、分析的前提条件,才能真实触发外部数据的引入和管理,才能更大程度上发挥数据传递尤其是外部大数据的价值与作用。

 

当前我国的大数据市场面临大规模重构之前通过明文方式交易数据、数据代理层层转包、缓存数据成为必然操作的市场做法无以为继,二手数据厂商、数据代理和转包商纷纷被清理出市场,合法合规数据源骤减。与此同时,数据需求有增无减,市场呼吁尽快明确数据全流程管理细则、标准,尤其是数据交易、定价等制度机制,打消数据源价值输出顾虑,打通数据价值传递堵点。

 

由于缺乏明确的数据传递交易细则,因此金融机构应该加深对数字相关法律法规的研读理解,摸清合规操作底线和中间模糊地带,对准外部数据管理基准;同时保持对市场前沿和监管动态的把握,积极响应监管部门关于数据管理创新技术的了解与应用,深入开展创新技术原理学习与可用性分析,将将合法、合规且适合自己的创新技术和操作模式及时引入进来,提前享受创新红利。

 

最后,将这些研究结论总结归纳形成本机构外部数据管理制度,用以指导并规范全公司相关行为。对于有些金融机构,还设置了专门的数据管理部门,对数据工作统一归口管理。

 

无论何种管理方式,管理目标可能是一致的,那就是:整合需求、避免重复;规范流程,避免操作风险;一点接入,提高效率,充分共享;制度和技术双重约束,确保使用安全。
 

外部数据管理设计原则

 

参考了多家金融机构外部数据的管理原则,笔者按照重要性进行排序如下:

 

合法合规性、持续稳定性、共享连通性、本源权威性、渠道多样性、成本合理性。

 

其中,持续稳定性是指:由于需求是一贯的,而不同数据源提供的哪怕同类型数据服务,也会存在覆盖人群规模和查询方式不同、人群统计特点和特征偏差等问题,从而引发查询结果或模型效果的偏差因此应着重判断该数据源公司持续经营稳定性、该类型数据获取的持续性、技术输出的稳定性、客群基数规模(基数越大,特征值的稳定性偏差越小)。

 

共享连通性有两层含义:一是金融机构内部的充分共享这需要搭建统一的外部数据引入平台,并打通金融机构内部不同法人主体或分支机构使用的合规屏障(一般涉及到隐私政策与客户授权协议中的相关内容,当然,告知和授权应该遵循合理原则)。二是特指隐私计算技术的互联互通性由于不同的数据源公司使用了不同的隐私计算产品,导致其稀缺数据源回因隐私计算产品的不同形成“技术鸿沟”,因此我们要充分关注数据源支持的隐私计算产品种类,以及不同隐私产品的兼容性问题。

 

本源权威性是指对数据源公司采集该数据或特征值的合理性和权威性的评估举例来说,很多机构都合法拥有并存储海量个人客户的身份证照片和身份证号,可以提供核验比对服务。其中一定是公安部的个人身份信息数据库最权威,其合规出口将是金融机构优先对接的个人身份信息数据源。其次,金融机构应关注数据源对输出转移数据价值的告知和授权是否充分、合理,这将极大减轻金融机构使用该数据源的合规性以及告知和授权义务的负面影响。

 

在引入外部数据时,金融机构基本上可以只关注一手数据源因为在《个人信息保护法》的新要求下二手数据源输出数据价值的合法出口已经被限制在很小的范围之中(详见《金融业外采数据法律隐患与改造建议》,高声谈公号进门左转),使用其数据的合规性风险较高,建议不予考虑。

 

渠道多样性是指:为确保业务数据需求的连贯性,对于重要的数据维度,最好有偏差不大的替代数据渠道备份

 

除此以外,在全流程管理方面也有三种模式可选:自主分散模式、统分结合模式、统一集中模式,分别对应不同程度的数据统一管理强度金融机构可以结合自身业务特点进行选择。

 

数据的分类存储与管理

 

首先是数据的分级分类管理,对于不同安全等级的数据,应该对应不同的存储策略、技术加密手段、管理审批流程和授权展示方式。

 

金融数据的分级分类管理及相应操作可以参考中国人民银行发布的《个人金融信息保护技术规范》(JRT0171-2020)和《金融数据安全 数据安全分级指南》(JRT0197-2020)。需要提示的是,对于金融数据安全等级4级以上的以及C3类别的个人金融信息应采取加密措施存储,且不应明文展示

 

为了使用方便,金融机构还将金融数据按照种类分为:核验类、评分类、标签类、黑名单类、金融市场类、价格评估类、其它类;或者按照主体分为:个人数据、企业数据、其它数据;按照服务方式分为:接口类、批量文件类、终端账号及报告类、其它类。

 

在数据分类方面,没有统一标准,不同金融机构应结合自身业务特点和使用方便进行分类。举例说明,蚂蚁金服按照数据敏感度不同将数据分为第一梯队是非商业化数据源,强调在合法合规的前提下,有效实现非商业化合作,保证业务稳定开展;第二梯队是国家队数据源,做为源头数据,其合规及数据质量更具备实效保障;第三梯队是商业化数据源,这类数量占比较大,基于对数据合规及安全优先级的考量,将逐渐优化为第二梯队。

 

实际使用时,要在数据中台或者不同用途的数据集市中按照上述类别分别建立不同库表,用于提高检索和数据提取效率。

外部数据管理流程

 

按照外部数据从需求收集到使用终结、退出与删除的全流程,应建立不同环节的操作规范,其中涉及到的主要环节和关键节点如下:

 

需求评估,包括:需求内 容描述、应用场景描述、数据使用量预估、效益预估、业务可行性 方案和安全保障措施。这更多是数据采购的可行性分析,为采购立项做准备。

 

建立外部数据资源目录外采立项后,需要寻找最合适的数据源。这是一项经验工作,考察数据商务BD团队的市场掌握广度及深度:既能够全面了解同一类型数据的市场不同合规数据厂商,还要深入探听到不同厂商的客群覆盖度、客群画像范围、标签丰富度、数据整齐性甚至测试支持度等核心能力的区别与优劣以有的放矢,提高对接效率和准度。因此有必要建立外部数据资源目录,围绕数据厂商的上述特点建立档案,并且随着使用的深入而不断更新理解与目录。

 

合法、合规性评估。前文和笔者系列文章均有详细分析,不再赘述。金融机构可以结合法规解读形成内部的《可信数据评估标准》,对不同数据源的不同类型数据按照可信度和合规性划分等级。

 

数据安全影响评估该环节是《个人信息保护法》对信息处理机构的明确要求,是金融机构的必选动作。具体可参考国家标准《信息安全技术 个人信息安全影响评估指南》(GB-T 39335-2020)和中国人民银行发布的《金融数据安全 数据安全评估规范(征求意见稿)》。

 

数据分级分类管理、使用授权管理前文有分析,不再赘述。

 

数据价值量化评估这是一个可选动作,是为了更好的认知数据和再次的使用数据,与数据源目录相辅相成。金融机构可围绕:成本价值(采购金额*质量系数)、业务价值(对业务的提升)、经济价值(降本增效评估)等维度,对不同数据源的不同数据维度进行量化评估,为续购和退出提供依据。当然,所有的量化评估都由个人倾向主导,因此量化评估切忌流于形式。

 

采购环节一般来说,遵循金融机构既有集中采购或招投标流程制度即可。但需要强调的是,机构越大,制度流程和决策机制越长,有些金融机构可能只能一年实施一次集中招投标。如此数据采购频次,很难与频繁变化的外部数据市场与快速创新的数据价值引入模式相适应,因此最好设定一些灵活机制或制度口子,可为外部数据管理的灵动性加分

 

数据统一对接平台对于实现统一管理甚至集中采购的金融机构,为方便管理,提高对接效率,最好搭建一套外部数据对接平台,实现外采数据的枢纽和归集管理。统一规范金融机构内部数据标准与字典,针对外部数据,设计标签字段自动翻译器;针对不同使用目的制定不同的数据查询或调用路由策略,提高复杂调用的智能化程度。

 

数据使用情况跟踪评估是指制定一套管理机制,围绕数据使用量、共享情况、数据质量等内容进行定期跟踪,出具年度评估报告。

 

数据使用终结及退出一个数据源使用终结后要最终画好句号,结算完历史费用,不留后账;处置好查得信息,严格按照数据全生命周期管理相关制度进行存储、删除与销毁。

 

最后我们看一下建行的成功示范。建行按照使用目的创建了采集与共享、数据资产管理、数据质量检核、数据安全管理等一系列工作机制;建立了客户隐私授权、智能资讯平台、地图信息服务平台、知客通等在内的外部数据服务体系,“外数慧查”、“一键体检”、“一键尽调”等在内的外部数据服务产品,形成了扎实的数据中台能力,助力数据红利的持续释放。

 

笔者个人公众号:高声谈,Inter-FinanceCow

邮箱:gaoshengtan2021@yeah.net

欢迎读者多交流!



推荐 0