新浪财经 > 会议讲座 > 2009两岸信用管理论坛 > 正文
陈新玮:金融服务区域化的挑战与展望
新浪财经讯 2009年11月19日,由中国银行业协会、台湾金融研训院、中国诚信信用管理有限公司和中华征信所联合主办的“2009两岸信用管理论坛”在北京民族饭店隆重召开,本次论坛的主题是“两岸经贸合作与风险管控”。新浪财经全程直播本次论坛,图为勤业众信会计师事务所资深经理陈新玮。
陈新纬:各位嘉宾大家好!今天我们跟各位提的是金融服务区域化的挑战与展望,金融服务区域化的挑战与展望,我想在礼拜一大家已经接到一个让人很振奋的新闻——MOU的签署。相信对未来的金融业,在两岸的区域合作上,能够有更进一步的一个进展。但是,在金融服务区域化的时候,我们有一些外部的法规,会变成我们要去挑战的一个未来。有一些法规的要求,是我们必须要去满足的。而且我们要看,在这样的法规之下,我们要怎么去发展以及应对。
今天我们会从这几个方面跟各位做介绍:第一外资银行在台湾应注意的法规要求;第二,两岸对个人信息保护的要求;第三,如何应对个人信息保护的挑战。
首先看外资银行在台湾应注意的法规。外商银行在台湾有八大管控要求,分别是会计的要求、存款的要求、授信的要求、投资、信托、外汇、内部管理以及其他的部分。我们今天这个论坛是两岸信用管理论坛,因此相对于授信以及内部管理格外重要。我们在内部管理的时候,如画面上所示,有一个计算机处理个人资料保护法。这个法在未来,会有一些修订,这也是我们金融服务业在进入台湾的时候,要注意的一些要点。
根据这八大法规,我们去看,在信息的风险管控上,要注意的是哪些事项?首先,第一个是金融机构信息系统安全基准,这是由银行公会颁布的,我们必须要遵守。第二个是金融机构办理电子银行业务安全管控作业基准,金融机构委托他人处理内部作业制度及程序办法;金融控股公司及子公司自律规范,乱码化作业安全。另外,就是金融业个人数据档案安全维护,计算机处理个人数据保护法。这个法,我们预计在2011年,会修改为新的个人资料保护法,这是我们要特别注意的。
最后我们要特别注意,中国银监会所颁发的《商业银行信息科技风险管理指引》第三章第十九条。在这个条目上,银监会规定要严防两岸两地的一个监管水准不一致所产生的合规风险。因此在两岸的互动上、两岸的法规上,未来会是取其严。在台湾的分支机构,一样要符合银监会这边所颁发的相关规定。
我们做一个初步的总结,外资银行在台湾,面对这么多的法规,我们要怎么去做一个全面的信息风险管控?这些法规分别包含了信息服务风险管理、营运持续风险管理、信息安全风险管理、内部控制制度、风险管理、外包管理和个人信息数据保护。
我们谈一个重点,个人信息保护制度。我们看到一件事情,两岸对于个人信息资料的保护,有没有一些同语义的部分。画面上,这是国际间对于个人信息数据的法规的相关动态,目前大家所公认的个人信息保护,已经是一个全球趋势。我们看到台湾目前现有的法规,叫做《电脑处理个人资料保护法》,香港有香港的个人隐私管理条例,日本有日本的相关法规。目前,我们可能还没有看到一个统一两地的部分,但是这个情况在慢慢的改变中。我们先来看一下最新的一个消息,这是在本月15号,礼拜天的时候,所颁布的一个新的讯息。台湾财团法人联合征信中心新的会员规约,其中对于在台的外商银行分支机构,如果将信用资料移交给海外的总公司,情节重大的时候,会开除其会员资格,并且将违法的情况报送经管会,经管会也会以银行法对其处以行政财罚。我们都知道,在台湾金融业有发生一些个人资料外泄的事情,也许我们并没有依据《电脑处理个人资料保护法》去处罚,但是会根据行政财罚权处以罚款。
刚才是台湾的一个新的讯息。我们主持人这边有提到,在大陆也公布了一个新的征信管理条例征求意见稿的部分。虽然我们没有看到,在大陆这部分针对个人信息资料保护的相关要求。但是在这个征求意见稿,我们看到它的部分。在这里设了一个专章,规定了信息主体的权益保护。征信机构不得收集信息主体的民族、家庭出身、疾病病史、收入、存款、不动产、纳税数据等个人信息资料。这个部分跟台湾未来个人资料保护法有相同的地方。征信管理条例一共分为总则,征信机构的设立,征信业务的一般规则,信用评级,信息主体权益的保护,中国征信中心监督管理法律责任以及最后的负责。我们来看,在信息主体保护的部分,第36条,对于下列的个人资料,征信机构不得收集。第一,民族、家庭出身,宗教信仰、所属党派;第二,身体形态、基因、指纹、血型、疾病和病史。这个部分我们特别用红色标出来,等一下我们来对照一下台湾的法规,所有的监管机构,他们的角度是相同的。第三,收入数额、存款、有价证券、不动产;第四,纳税数额;第五,法律行政法规禁止收集的其他信息。在明确告知信息主体提供该信息可能产生的不利后果,并取得信息主体特别书面授权后,征信机构可以收集第三项、第四项的信息。对外提供信用信息的,应告知信息主体并且取得书面同意。主动告知信息主体资料的使用,这是另外一个跟台湾异中求同、同中求异的地方。第38条,信用信息使用人获得的信息不能用作与信息主体或征信机构约定之外的其他用途,不得未经授权向第三方提供。第39条,信用报告应包括信用信息,信用信息来源和信用信息查询记录。第40条,信息主体提出异议申请,信用机构未按照前款规定办理的,该信息主体有权以书面方式要求该征信机构一次性删除其所有信息。第41条,信息主体认为信息提供者和信用信息使用者侵害其合法权益的,可以向国务院征信业监督管理部门投诉。
再来我们看一下台湾的,台湾的新法叫《个人资料保护法》,有六大重点,第一扩大保护个体。现有的《电脑处理个人资料保护法》,仅限于计算机处理,并不包含原有传统的纸本的登陆作业。第二,普遍适用主体。以前就把它仅限于影响重大民生的产业以及政府机关,包含征信业、银行、保险、证券、电信、医疗等。未来所有的产业,都应该保护它所拥有的个人资料。第三,增修行为规范,限制收集特种资料。这跟刚才我们的证券管理条例有雷同的部分。规范了书面同意方,增加告知义务,放宽查询权利,限制任意营销。第四,强化行政监督。新法最大的不同,是在旧法只对目的事业主管机构,对所管辖的事业主体有财政裁员权,而新法则具备这个权利。比如说今天我们有一个公司,在台北市,虽然没有目的事业机关,但是一旦他泄露了信用信息,台北市政府可以进行调查以及惩处的作业。强化行政监督部分,会是未来一个重大的影响。第七,新法大家最紧张的,就是促进民众参与。建立了团体诉讼的机制,这个机制会让我们更为紧张的部分是,未来可能会有所谓的职业的个人信息的诉讼的一个团体,与进行个人信息诉讼为业的律师。最后部分是调整责任内涵。
我们继续看一下,刚才我们提到特种资料跟大陆的征信管理条例有雷同的地方,医疗、基因、性生活、健康检查及犯罪前科之个人资料不得收集。赔偿上限,大家非常关心,这个也是一个最新的信息,我们看到这是12号的一个最新信息,原本在个人资料保护的本身,有所谓的无上限版,有行政院的5000万版,以及最后定案的两译版本。目前朝野协商已经通过了,预计进入二三读的程序。最后,主动知会数据外泄之业务,以及举证责任的变动。这是我们要特别注意的地方,因为在法界有个名言,举证责任之所在,败诉之所在。我们来看一下现行法规与修正草案重要规定比较。第一,现行法规定的个人材料,在修整草案有特别规定的事情,医疗、基因、性生活、健康等特别放进来了。适用主体过去只有八大影响民生的行业,新法任何的自然人法人全部一并适用,保护客体任何形式的资料。特种资料规定,医疗等五种资料不得收集,除非法律明文许可的,如保险。
我们看到两岸对信息资料的保护有一些相同的地方,我们也看到,他这些法对未来会有一些冲击。在座有些金融业的先辈,我们来看一下我们企业未来如何因应两地的法规,金融业尤其是银行业,我们未来在监管取其严的情况下,如何符合两地的要求。在个人信息的保护上,经常大家会有一个盲点,是不是由信息科技部门这边来主责就可以了?注意到,机密数据如客户数据、事物数据,机密包含纸本以及电子数据,常常是跨系统间与部门间平移。因此个人信息数据的保护,仅依赖信息系统安全的管控是不够的。第二个,在新法,两岸的未来的法规都强调一件事情,针对个人信息资料保护,要注意到它生命周期的循环。包括资料的取得,信息的储存、使用、利用,分享资料归档。我们如何达成这样一个保护的能力,在企业我们注意到,企业的隐私策略在哪里。你要先编定隐私保护的架构,未来如何施展,隐私的冲击分析,一旦产生个人信息外泄的时候,对我们有哪些冲击。程序以及政策的重点,很重要的是文化的转换。前面这五项,并不是单单一个信息科技部门所能够解决的议题。在个人信息保护上面,前五项需要是整个公司的共同决策,信息科技部门所能够提供的,只有在后续的解决方案组合的设计,系统架构,持续监控,以及通报的作业。
我们谈到信息的生命周期循环,谈到法规的要求、谈到我们需要有隐私保护的政策,我们也谈到我们要有一个框架,信息保护的框架,完整的信息保护的框架在Deloitte里面,应该设定组织的个人信息保护、政策、规范,于业务处理流程中,布建管款措施。个人信息的资料,并不是强调个人信息资料的机密性,而是强调个人信息资料的合理使用。但是除了合理使用以外,我们还要保护他资料不会外泄,因此你要去注意到基本信息安全的管控,如何去建构我们保护资料的地方,最后找到真正资料的外泄点。在个人信息数据保护的一个架构之下,由上而下,分别如我们画面上所看到,你要定义隐私策略、政策以及程序重点,隐私保护的架构,隐私分析及主要方案、系统架构、持续监控。
在国际上已经有一项标准,BS10012,2009年版。这是由英国标准协会制定的个人信息保护系统相关规定,这是第一个在合理使用部分,我们可以使用的标准。第二,对于储存资料的保护,我们可以参考ISO27001,信息安全的标准。基于这两套标准,我们相信为金融信用业未来系资料能够做到良好的保护。谢谢!
新浪声明:新浪网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。