数字经济系列(二)金融数字化转型中的合规保障

2022-02-24 12:20:03 和讯 

  马上消费研究院认为:数字化时代,伴随数字技术的创新和应用,必将带来生产、生活和社会治理的全新变革,同时,为了营造开放、健康、安全的数字生态和保障良性发展的有序秩序,需要高度重视数字化转型带来的一系列新领域的法律问题。因此,本次数字经济系列报道,马上消费研究院调研了大量实践案例,以数字经济涉及的三个核心法律合规问题为出发点,希望为监管部门、金融机构解决实际问题,给与一些启发和思考。

  数字化转型是当前时代面临的重大课题,2021年3月,我国发布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(简称“《规划纲要》”),提出“数字中国”与数字化转型路径。数字化转型,就是以数据作为传统行业转型的核心驱动力。按照《规划纲要》的表述,可以判断的是,未来社会发展的重要主题包括:激活数据要素潜能,迎接数字时代,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。

  从具体的建设目标角度,关于数字中国,《规划纲要》提出了四个方面的目标:(一)打造数字经济新优势。加强关键数字技术创新应用、加快推动数字产业化、推动产业数字化转型;充分发挥海量数据(603138)和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,壮大经济发展新引擎。(二)加快数字社会建设步伐。数字社会将提供智慧便捷的公共服务,建设智慧城市和数字乡村,构筑美好数字生活新图景;适应数字技术全面融入社会交往和日常生活新趋势,促进公共服务和社会运行方式创新,构筑全民畅享的数字生活。(三)提高数字政府建设水平。加强公共数据开放共享,推动政务信息化共建共用,提高数字化政务服务效能;将数字技术广泛应用于政府管理服务,推动政府治理流程再造和模式优化,不断提高决策科学性和服务效率。(四)营造良好数字生态。建立健全数据要素市场规则,营造规范有序的政策环境,加强网络安全保护,推动构建网络空间命运共同体;坚持放管并重,促进发展与规范管理相统一,构建数字规则体系,营造开放、健康、安全的数字生态。

  与数字化转型的大趋势相匹配,国家在金融领域也做了数字化转型的规划。2019年,中国人民银行组织编写并发布了《金融科技(FinTech)发展规划(2019-2021年)》(简称《发展规划》)。在这一规划中,系统提出和规划了金融科技发展的目标和重点任务。《发展规划》指出,在新一轮科技革命和产业变革的背景下,金融科技蓬勃发展,人工智能、大数据、云计算、物联网等信息技术与金融业务深度融合,为金融发展提供源源不断的创新活力。

  在数字化技术运用方面,《发展规划》重点提到了以下几个方面:一是科学规划运用大数据;二是合理布局云计算;三是稳步应用人工智能;四是加强分布式数据库研发应用;五是健全网络身份认证体系。

  2021年,中国人民银行再次组织编写并发布了《金融科技(FinTech)发展规划(2022-2025年)》(简称《新发展规划》)。在《新发展规划》中,开宗明义指出,数字经济的蓬勃兴起为金融创新发展构筑广阔舞台,数字技术的快速演进为金融数字化转型注入充沛活力,金融科技逐步迈入高质量发展的新阶段。为贯彻落实党中央、国务院决策部署,稳妥发展金融科技,加快金融机构数字化转型,根据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,特编制本规划。与《发展规划》相比,《新发展规划》明确将金融数字化转型作为目标。

  并且,《新发展规划》在重点任务中,对于全面塑造数字化能力,提出了更为详细和明确的举措。具体包括:强化数据能力建设、推动数据有序共享、深化数据综合应用、做好数据安全保护。

  从国家《十四五规划》及金融监管机构的相关规划中,可以看出,金融数字化转型是我国数字经济发展中不可或缺的重要部分。而金融行业的重要客体是货币,在电子化交易甚至数字货币的背景下,金融行业也是数字化转型最为典型的行业。

  然而,数字化转型对于社会和企业而言,仍处于习惯和逐渐接受的过程中,相关制度建设、社会心理适应、技术措施保障仍在不断发展之中。特别是法律法规更新快、技术性强,这也给金融机构专项带来一定的困扰。马上消费研究院认为,在数字化转型中,以下几个方面是金融机构需要特别关注的:其一、远程身份验证问题;其二、电子合同与电子签名问题;其三、数据合规与个人信息保护。当然,与此相关的还有诸多新兴领域的法律问题,限于篇幅,本文不再展开论述。

  一、远程身份核验的法律问题

  金融数字化转型过程中,非面对面交易(远程交易)是重要的方式之一。当然,除了通常的远程服务、远程电子合同签署等针对自然人的识别之外,还包括对法人或其他社会组织的身份识别,以及对物联网设备(IoT)的识别。

  对于数字化环境下的身份认证与核验的问题,监管早有关注,这不仅是金融合规管理的基础,也是金融交易得到法律支持的前提。《金融科技(FinTech)发展规划(2019-2021年)》对于重要技术问题,提别提到了“健全网络身份认证体系”。即构建适应互联网时代的移动终端可信环境,充分利用可信计算、安全多方计算、密码算法、生物识别等信息技术,建立健全兼顾安全与便捷的多元化身份认证体系,不断丰富金融交易验证手段,保障移动互联环境下金融交易安全,提升金融服务的可得性、满意度与安全水平。

  在实践中,金融交易的身份验证通常包括以下几方面:

  1、个人远程身份识别

  对于个人的远程身份识别,通常采用的方式包括:多要素交叉识别、数字证书识别、生物特征识别等。

  (1)多要素交叉识别

  多要素交叉验证,是个人身份远程识别的重要方式之一,即通过对身份证进行形式审核,并辅以其他信息交叉完成实名注册注册的身份认证。有的机构会要求提供身份证号码,有的则会要求手持身份证上传照片。根据身份证号码与公安人口信息库数据的比对,可以确认确实有这一自然人主体存在,但由于远程操作中,无法确定身份证的真伪,或者无法确认操作者是否本人。因此,一般在实施网上实名注册时,还需要用户提供手机号码、银行卡卡号等信息。在手机号码为实名注册的情况下,通过发送手机短信验证码等方式进行实名注册的身份核实。通过多要素交叉验证方式进行的上述身份认证,需要通过繁琐、复杂的证据链条锁定主体身份。在实务操作中成本较高,且效力有限。

  (2)生物特征识别

  生物特征识别也是远程身份识别过程中最常见的识别方式,在使用身份证注册的同时,通过电脑或手机、移动智能终端的摄像头扫描获取用户的面部特征数字模型,并将其与公安人口数据库中的照片进行比对,从而对用户进行识别。而虹膜信息、指纹信息等生物特征作为与人体相关性极强的一种特征,同样具有识别准确率高等特点,可以用于远程身份识别。

  但是,生物特征识别如果没有合规约束,也具有一定的危险性和潜在的社会危害性。生物特征识别的基础是对用户的生物特征实施扫描并建立数字模型,以数字模型与现有的生物特征比对,从而完成身份的认证。

  (3)数字证书识别

  用户在实名注册同时,通过数字证书的方式完成身份认证,也是一种可行的方法。数字证书的认证系统主要是基于非对称加密技术建立的,通过第三方数字认证(300579)机构对用户身份进行核验,并发放数字认证证书,用户基于证书的持有,做出的电子签名,可以视为产生了手写签名或盖章的法律效力。在现有的技术条件下,其所采用的不对称加密技术被公认具有很高的安全性、不可篡改性和不可抵赖性。

  2、法人或其他社会组织的身份识别

  对于法人或其他社会组织而言,一般也可以通过数字证书等方式进行识别,比如由第三方电子认证机构为法人或者社会组织发放数字证书,在法人或者其他社会组织签署文件、在线发出数据电文过程中,即可以完成对其的远程身份验证。

  当然,另外一个解决方案则是由登记机关为法人或其他社会组织发放电子相关的电子身份证明。此类证明采取的技术原理与第三方电子认证机构(CA)的数字证书基本一致。总体而言,都可以采用非对称加密技术,通过电子签名方式,证明在线进行文件签署主体的身份。

  二、电子合同与电子签名合规

  电子合同是金融远程交易的支撑文件,但是,以数据电文方式签署的合同在传输、存储中,如何证明其完整性与不可篡改性,不仅是合同履行中的重大问题,也是发生争议时需要关注的核心法律问题之一。《金融科技(FinTech)发展规划(2019-2021年)》指出,综合运用数字签名技术、共识机制等手段,强化金融交易报文规范管理,保障金融交易过程的可追溯和不可抵赖,提升金融交易信息的真实性、保密性和完整性。

  1、金融电子合同的法律属性

  金融电子合同是指平等主体的自然人、法人或其他组织之间以数据电文为载体,并利用电子通信手段设立、变更、终止民事权利义务关系的协议。《民法典》第四百六十九条规定了当事人订立合同,可以采用书面形式、口头形式和其他形式,其第三款规定“以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,视为书面形式”,对于当事人以数据电文形式订立电子合同的方式予以认可。虽然电子合同被视为符合法律要求的合同签订形式,但如何证明数据电文在传输、存储过程中未被篡改,则是一个实践中常见的技术问题。对此,一般认为,通过可靠电子签名签署的电子合同,其电子签名具有与手写签名同等的效力。我们《电子签名法》对于电子签名的应用、可靠电子签名、电子签名的认证均做了相应的规定。

  2、电子签名的应用和法律注意事项

  电子签名的应用场景主要包括电子政务及金融、电子商务,尤其在网络金融中有广泛的适用。在网络金融的应用场景中,金融行业成为电子签名服务商的发力重点。除了在与客户的交易中使用电子签名外,金融机构内网在保证信息安全保密性的同时,在已建立的信息系统中嵌入电子签名功能,有效防止机密信息在存储和传输过程中来自内部的篡改、伪造,确保信息的真实性,完整性和签名人的不可抵赖性。在电子签名的应用中,最为核心的法律问题就是电子签名的可靠性。

  根据《电子签名法》第13条的规定,“电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”被赋予特殊法律地位的可靠电子签名本身并不是一个技术概念,而是一个相对于一般电子签名的法律范畴,即法律授予超过一般电子签名效力的,被认为具有较高可靠性的电子签名。但通常而言,可靠电子签名往往是达到一定技术要求的数字签名。

  从司法实践来看,法官可以从以下三个方面判断是否符合上述可靠的电子签名要素:一是考察电子签名是否属于签名人专有和控制。主要查明如下事实:(1)颁发数字证书的过程是否合法有效,是否由依法设立的CA机构发放证书,有无进行身份实名验证。二是考察在签署数据电文时,数字证书是否由电子签名人控制。三是考察电子签名的技术方案,了解签署后对于电子签名本身或者数据电文内容与形式的改动是否能被发现,比如对于运用数字签名技术的电子签名,一般认为是可靠的。

  三、数据合规问题

  在实施数字化转型过程中,数据安全及合规问题是无法回避的重要问题。金融机构由于其在国民经济中的枢纽作用和重要节点作用,投融资活动、资金支付结算几乎随时都在高频发生,与此相伴的则是大量金融数据的产生、收集、存储、加工、利用、和流转。而在数字化转型过程中,金融机构通过全流程在线方式开展业务越来越普遍,金融数据成为金融数字营销、金融产品设计、风险控制、反欺诈、自动化决策的基础。

  金融数据中,不乏对于国家安全、国民经济运行、社会稳定产生影响的国家核心数据、重要数据。此外,金融数据中还包含大量个人信息,对于个人信息的保护,不仅涉及金融消费者的隐私,还涉及到金融交易中自动化程序对于金融消费者权利的侵害。

  金融数据的安全及合法合规利用,不仅会对金融消费者的切身利益造成影响,并且大量的金融重要数据、核心数据的泄露、非法出境,可能还会对国家利益和社会稳定造成不可弥补的损失。

  近些年来,在数字化转型进程中,我国建立了较为完善的数据合规法律体系。包括《网络安全法》、《数据安全法》、《个人信息保护法》及《关键信息基础设施安全保护条例》,以及中国人民银行、银保监会的相关监管规则,共同构建了这一规则体系。

  对于金融企业而言,应按照相关法律法规及监管规则的要求,建立完善的数据合规体系,对于金融领域的国家核心数据、重要数据、个人信息予以保护,并且建立健全相应的数据合规与个人信息保护的组织架构和管理体系。

  总体而言,数字化转型是金融企业能力重新构建的过程,涉及到的法律即合规问题纷繁复杂。受篇幅限制,本文仅对其中的部分内容做了粗浅的介绍。希望对实务有所裨益。

(责任编辑:王治强 HF013)

   【免责声明】本文仅代表合作供稿方观点,不代表和讯网立场。投资者据此操作,风险请自担。

看全文
写评论已有条评论跟帖用户自律公约
提 交还可输入500

最新评论

查看剩下100条评论

热门阅读

    和讯特稿

      推荐阅读

        和讯热销金融证券产品