商业银行金融科技伦理治理研究与实践
2022-05-30王磊
王磊
数字经济时代,金融科技蓬勃发展,同时也衍生出数据、算法等诸多伦理失范问题,掣肘金融科技健康发展,引起国家高度重视和社会广泛关注。商业银行作为金融科技创新的“主力军”,自觉加强金融科技伦理治理是不可推卸的责任,而“从何处开始金融科技伦理治理”已成为当下商业银行亟待解决的共性问题。商业银行从数据安全和个人信息保护着手,秉持“数据向善”的伦理理念,积极探索实践金融科技伦理治理体系建设,为金融科技活动立起“伦理标尺”,是全面数字化转型过程中的社会责任与价值观。
金融科技与金融科技伦理
金融科技是金融和科技的有机结合,是以技术为核心驱动力的金融创新。伦理即所谓“人伦道德之理”,是指社会主体在处理人与人、人与社会、人与自然相互关系时应遵循的各种道德规范和行为准则。延伸至金融科技领域则是指金融科技活动中各利益相关方需要遵循的价值理念和行为规范。
随着金融数字化转型步伐的加快,传统金融服务的方式和业态发生深刻改变,业务数据化的同时数据也在业务化、资产化和资本化,数据既是传统人、财、物等生产要素在数字世界中的映射,又可借助数字技术成为新的生产要素,使得人与人、人与机器、人与资本之间的关系发生巨大变化,金融科技伦理问题随之产生并不断涌现。金融活动中数据所映射的主客体以及数据之间的行为及其相互关系是否遵循社会行为规范,成为金融科技伦理研究的主要对象之一。
数据伦理和算法伦理是金融科技伦理的典型失范问题
当前,数字技术高速发展,数据处理能力日益增强,对金融科技创新发展起到了关键性作用,成效显著。但数据被处理后具有巨大价值,从而催生出了虚假数据、“大数据杀熟”等数据伦理与算法伦理失范问题。
數据伦理问题。在数字技术的驱动下,金融数据商业价值加速释放,同时也随之出现了数据侵权、隐私泄露、数据霸权、虚假数据泛滥等多种表现形式的数据伦理问题,对金融消费者隐私权、知情权、数据权以及人类自由和社会公平造成了侵害,甚至危害了公共利益和国家安全。例如,未经授权私自收集个人信息、超范围过度采集用户隐私数据或设置“不授权就不能使用”的霸王条款,违背客户数据所有权、控制权和选择权;不履行客户敏感信息保护的信义义务,使客户信息被盗用或出售,产生相关的不良交易、限定交易、捆绑销售等行为,导致不公平协议;过度营销、诱导消费的工具,侵害金融消费者的合法权益;借助平台和系统的隐蔽性,制造水军刷单、虚假评价、虚假排名等虚假数据引导金融消费者进行消费;将所掌握的金融数据甚至未经脱敏的个人金融信息作为利益交换的筹码,在未经用户同意的情况下随意共享或售卖数据资源,拓展衍生业务,从中非法牟利。
算法伦理问题。在数字化背景下,算法的运算对象正在发生着巨大变化,正在由物向人转变,当金融消费者成为金融科技的“计算”对象时,算法控制、算法绑架、算法共谋等问题逐渐凸显,给个人和社会带来诸多风险和不利影响,引发伦理争议。例如,利用算法黑箱隐藏定价规则,将不同用户打上标签“分拣”并实施差别定价,严重损害金融的公平性和普惠性;通过智能算法匹配金融消费者的消费倾向和偏好,进行产品与服务的成瘾性、趋同性的推荐和诱导,让金融消费者对其模式和结果形成过度依赖,逐渐达到对金融选择权形成“隐性控制”;通过算法快速抓取和分析数据,由此动态调整定价或更隐蔽地实施统一定价,与同业达成“算法共谋”形成市场垄断,侵犯消费者的公平交易权。
数据安全与个人信息保护是金融科技伦理治理的起点
目前,监管部门和全社会都高度关注金融科技伦理,商业银行强化金融科技活动的伦理治理,既是落实金融科技伦理治理主体责任的要求,也是获得客户认同感和信任感,打造数字经济时代核心竞争力的迫切需要。商业银行通过建设企业级金融科技伦理治理体系,能有效预防和化解金融科技活动带来的伦理风险,而数据安全与个人信息保护正是这一重要工作的起点。
数据安全与个人信息保护具备较为成熟的法规与政策土壤
自2018年5月25日欧盟《通用数据保护条例》(General Data Protection Regulation)正式实施以来,世界范围内已有130多个国家和地区推动了以个人信息保护为主的数据保护立法,通过确定数据利益相关主体以及厘清各自权益范围来达到规范数据处理活动的目的。2021年以来,欧盟又陆续发布《数字服务法案》《数字市场法案》《数据治理法案》《人工智能法案》,新西兰发布《算法宪章》等,为各国数据与算法合规的立法与执行提供了重要参考。
2021年,我国颁布并实施《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,国家网信办陆续发布《常见类型移动互联网应用程序必要个人信息范围规定》《互联网信息服务算法推荐管理规定》《网络数据安全管理条例(征求意见稿)》《数据出境安全评估指南》等法规,中国人民银行作为监管机构发布《征信业务管理办法》以及《数据安全分级指南》《数据生命周期安全规范》《个人金融信息保护技术规范》等金融行业标准,为促进数字经济的健康发展,增进人民福祉奠定了坚实的法律基础,同时为商业银行落地实施数据与算法合规建设提供了重要依据。
数据安全与个人信息保护是金融科技伦理的底线要求
数据安全与个人信息保护的内涵和外延不断拓展,从科技系统、应用技术、运行保障及应急等传统信息安全技术层面,扩展到贯穿客户权益保障、业务及应急管理、产品与渠道管理、风险管控等银行全方位业务流程中。一方面,要求金融企业评估数据处理活动的每一个环节是否符合合规与伦理要求,满足合法、正当、必要及告知原则;另一方面,对生产、开发测试、办公环境下用户使用不同类型、不同敏感程度数据的行为进行监测审计,并持续发现、预警甚至阻断异常访问行为,以充分保障能否有效保护个人、法人数据主体的合法权益,并在特定场景下维护国家安全。
习近平总书记在中央全面深化改革领导小组第二十六次会议中强调指出:“数据基础制度建设关乎国家发展与安全大局,要维护国家数据安全、保护个人信息和商业秘密,促进数据高效流通、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。”由此可见,数据安全与个人信息保护是数字经济发展的基础,也是金融科技创新发展的前提,更是金融科技伦理的合规底线要求。
数据安全与个人信息保护是金融科技伦理治理的核心工作
从企业治理层面看,以数据与算法为主要对象的数据安全和个人信息保护管理体系与金融科技伦理治理在组织架构、管理机制、管理要点以及工具支撑上均有明显的关联性与重合性。
从落地实施层面看,数据合规以个人信息安全影响评估(PIA)为主,侧重从个人权益保护角度,对处理敏感个人信息、向其他处理者提供个人信息、数据跨境等场景进行事先评估。算法合规以算法安全影响评估为主,侧重从算法的设计开发、验证测试、部署运行等生命周期进行安全评估,不仅涉及算法自身安全,也包括算法应用安全。基于合法、不伤害、尊重主体、公平、保护隐私等一系列伦理原则,通过数据合规和算法合规对金融科技活动风险进行考察,实现金融科技伦理治理。
由此可见,从法律基础、底线要求和核心工作三个角度,以法律法规为准绳,行业监管为依据,先合规、后伦理的数据安全和个人信息保护,是开展金融科技伦理治理体系建设的起点和必然选择。
光大银行数据安全与个人信息保护建设实践
2020年以来,光大银行一直密切关注“两法”的发布实施进程,深入研究了国家网信办、中国人民银行、银保监会等监管机构出台的一系列监管规定与执法动作,明确了数据安全与个人信息保护是光大银行数字化运营及数据资产价值释放过程中的安全合规底座与风险防线。光大银行以保护数据主体权益为核心目标,推动构建全行数据安全与个人信息保护体系,为启动金融科技伦理治理建设在组织制度、管理机制、技术工具等方面打下坚实的基础。
搭建并建立数据安全管理制度体系框架。光大银行搭建了以《数据政策》为指导纲领,涵盖政策、管理办法、实施细则与技术规范三层的制度框架体系。主要包括《数据安全管理办法》《数据共享安全管理法》《个人信息保护技术实施细则》《个人信息保护技术规范》《个人信息保护应急预案》《办公环境数据安全实施细则》等,明确了数据安全和个人信息保护的流程机制,指导和规范数据安全工作,为推动金融科技伦理治理奠定了制度基础。
应用开发流程中实施个人信息影响评估(PIA)。光大银行创新建立了PIA评估机制与300+评估要点,其中,处理个人信息的最小必要原则是评估要点中最核心的内容。PIA机制于2022年1月实现了线上化流程,在零售、数金条线“40+”系统中推广。对手机银行、阳光惠生活、云缴费等存量应用进行专项评估,形成应用开发流程中事前、事后评估机制,落地个人信息保护工作。
数据共享安全管理从一事一议转向常态化。数据共享、跨境场景呈快速增长趋势,光大银行全面梳理数据共享类型、方式、准入资质、协议等,建立数据共享安全影响评估机制。已开展外部数据服务商的专项评估与整改工作,包括与集团签订《集团数据共享治理框架协议》,与卢森堡分行签订《数据处理者协议》等。通过研究《数据出境安全评估办法》的相关要求,建立数据跨境安全管理机制,以实现数据安全的落地实施。
加速建设创新技术研究与工具开发。2021年8月,光大银行率先上线业内首家基于多方安全计算技术的数据共享融合基础设施平台,探索个人信息跨企业间安全共享的可行路径。2022年重點建设数据安全分级、数据安全监测审计、办公环境数据安全防护系统等技术工具,为有效防范因内部人员违规而导致的数据泄露与滥用风险,以及数据安全管理常态化运营提供了重要技术支撑。
“数据向善”是商业银行未来发展的核心价值观
数字经济时代,现实世界中的思想、物品、组织、个人等都被数据化,再通过科技手段实现全人类在虚拟世界的“重生”,每个实体都被赋予一个构建在数据之上的虚拟身份,任何对数据施加的活动必然通过这一虚拟身份映射并影响到现实世界。因此,虚拟世界中也需要建立与现实世界中“客户为先”“以人为重”等价值导向相一致的企业核心价值观。
《金融科技发展规划(2022-2025年)》强调要强化金融科技治理,全面塑造数字化能力,健全多方参与、协同共治的金融科技伦理规范体系,构建互促共进的数字生态,特别是对金融机构履行金融科技伦理管理主体责任提出了明确的要求。一方面,要落实法律法规和监管机构对数据安全与个人信息保护的相关要求,切实履行数据管理的主体责任,将“数据合规”理念内化于自身血液,融入到每一项金融科技活动中,确保金融数据处理活动的合法合规性,以获得数据主体的信任。另一方面,要主动承担金融科技伦理管理主体责任,加强金融科技伦理日常管理,提前预防、有效化解金融科技活动中的伦理风险,切实履行商业银行在数字经济时代的社会责任。
未来,随着现实个体对虚拟身份权利意识逐渐觉醒,金融科技的伦理要求也将日益严苛。商业银行应将“数据向善”的核心价值观融入企业发展长期战略,一以贯之地做好数据安全与个人信息保护工作,推动金融科技伦理治理工作。
(作者系中国光大银行信息科技部副总经理、数据服务中心总经理、光大集团数字化协同实验室资深研究员)
责任编辑:孙 爽