GDPR对我国金融行业影响及应对建议

为保护公民免受隐私和数据泄露的影响，欧盟颁布了《通用数据保护条例》（GDPR），自2018年5月25日GDPR正式施行以来，包括谷歌、Facebook在内的许多企业被依据GDPR起诉或处罚。与此同时，我国个人信息保护工作也在稳步推进，一方面国家法规标准陆续出台，另一方面包括金融行业在内的各行业也在根据自身特点完善落实措施。当前，越来越多的金融机构走出国门、走向世界，面对GDPR的挑战我国金融行业将如何应对，值得我们深入探讨。

GDPR颁布与我国数据保护制度的形成

GDPR适用范围不仅包括欧盟内的企业，也包括在欧盟营运以及搜集、处理或利用欧盟公民个人信息的企业或组织等。GDPR规定用户在数据方面享有数据访问权、被遗忘权、限制处理权以及数据移植权等权利，对企业做出了非常严苛详细的规定，并对企业违法行为的惩罚力度非常大。GDPR生效的第一天，Facebook和谷歌就遭到起诉，被指控强迫用户同意共享个人数据。这一诉讼讲使Facebook和谷歌将分别面临39亿欧元和37亿欧元（共计约88亿美元）的罚款。2019年1月22日，法国数据保护监管机构CNIL根据GDPR对谷歌开出了5000万欧元的罚单，这是GDPR颁布以来最大的罚单。

在我国，个人金融信息保护制度体系也正在形成。2017年6月1日正式实施的《网络安全法》在法律层面明确了个人信息保护工作的基本要求。《个人信息安全规范》于2018年5月1日正式实施，《个人信息保护法（草案）》也在加紧制定当中。从金融行业看，人民银行于2016年正式发布了《中国人民银行金融消费者权益保护实施办法》并组织金融机构开展了一系列具体工作，大力推进金融消费者的个人信息保护工作。2019年2月发布的《中国人银行网络数据安全管理指南》则从技术角度明确了个人数据安全管理要求。

GDPR对我国金融行业的挑战

1.GDPR与我国制度存在矛盾性和差异性。GDPR与我国制度存在矛盾性。根据GDPR的规定，如果国内金融机构在欧盟境内设有分支机构，欧盟的监管机构有权进入其国内的经营场所或相关业务系统进行调查的权力。这将直接冲击我国《网络安全法》第37条个人数据和重要数据出境制度的实施，同时也对我国数据主权带来潜在的威胁。在此背景下，欧盟境内金融机构将面临巨大的挑战。GDPR与我国制度存在差异性。我国在个人金融信息保护方面也在加紧向欧盟看齐，但整体来看，GDPR对于个人金融信息保护的力度更大，对于金融机构的约束力更强、违规处罚力度更大。两者的差异性导致在同时在中、欧开展业务的金融机构需要设置不同的管理流程，采用不同程度的技术措施，使得合规业务面临诸多难题。

2.对金融科技应用带来挑战。金融科技以数据和技术为核心，包括大数据、人工智能、云计算和区块链等技术创新在金融行业的发展应用。但在GDPR严格的数据收集及应用要求下，金融科技应用面临较大挑战。一是不利于大数据和人工智能在金融领域的应用。目前金融行业广泛利用大数据技术进行客户评估，按照GDPR的规定，金融机构以营销为目的而处理用户的个人金融信息，则用户有权在任意时间提出异议。这使得获取大量用户金融数据将变得非常困难，同样会影响到需要使用大量样本数据做支撑的深度学习算法（人工智能的核心算法之一）。二是对于云计算应用带来了重大挑战。在一般行业中，服务商是数据处理者和数据控制者，用户是数据主体。而在云计算应用中，云服务商是数据处理者，云的用户是数据控制者和数据主体。GDPR对于数据控制者、数据处理者在大多数情况下提出了相同的要求，也就是说普通云用户和服务商一样需要承担较多的要求和责任，这对于普通用户来说是难以实现的。三是对于区块链应用带来冲击。区块链是去中心化的共识算法，而GDPR的规则要求中心化的机构去承担相关保护义务，以实现对个人金融信息保护的目的，两者存在矛盾性。

3.金融机构合规成本短期内将显著上升。GDPR要求金融机构处理和控制个人金融信息必须取得用户同意，并采取简洁明了的语言让用户了解其个人金融信息的使用和处理情况。GDPR规定超过250人的金融机构需要设立数据保护官。如上要求将会在短期内提高金融机构的合规成本。全球知名公司Oliver Wyman合伙人Chris McMillan提出，金融机构在调整客户数据处理方式和IT基础设施方面存在巨大挑战，每个用户的信息可能在一家银行上百个业务系统中控制和处理，每个业务系统的调整可能都需要数月的时间，短期内难以满足GDPR的制度要求。