Wie wird sich Indiens Datenschutzgesetz auf Kreditvergabe und Fintech auswirken?
Veröffentlicht: 2020-07-05Kreditgeber sammeln, verarbeiten und analysieren während des gesamten Lebenszyklus eines Kredits eine Vielzahl von Kundendaten
Der vorbereitende Schritt jeder Kreditvergabe ist der Know-Your-Customer (KYC)-Prozess
Das PDP-Gesetz verpflichtet jeden Datentreuhänder, ein robustes Datenschutzsystem für die Speicherung und Verarbeitung personenbezogener Daten aufzubauen
Wirksame Datenschutzvorkehrungen sind heute zu einer wichtigen Quelle für Wettbewerbsvorteile in der modernen Ära geworden, da die Verbraucher zunehmend damit begonnen haben, den Umgang mit Organisationen zu bevorzugen, die ihnen den Anschein der Kontrolle über ihre Daten geben.
Außerdem sind sich einzelne Verbraucher heute mehr denn je ihrer Rechte in Bezug auf ihre personenbezogenen Daten bewusst. Dieses Bewusstsein wurde durch eine globale Bewegung katalysiert, neue Gesetze zum Schutz personenbezogener Daten zu diskutieren, abzulehnen oder zu verabschieden. Auch Indien wird dieses Jahr eine Verordnung über personenbezogene Daten verabschieden.
Beim Lesen des indischen Gesetzentwurfs zum Schutz personenbezogener Daten (PDP) von 2019 wird deutlich, dass die Kreditvergabe durch Banken, NBFCs und die New-Age-Fintech-Unternehmen zwangsläufig durch eine Kombination von Compliance-Klauseln beeinträchtigt wird, die im Gesetzesentwurf enthalten sind.
Beginnen wir mit der Erkenntnis, dass die Erfassung von Daten für die Kreditvergabe von zentraler Bedeutung ist. Kreditgeber sammeln, verarbeiten und analysieren während des gesamten Lebenszyklus eines Kredits eine Vielzahl von Kundendaten. Dies hilft der Kreditgewährungsstelle, das Risiko einzuschätzen und personalisierte Dienstleistungen anzubieten, die an die Bedürfnisse des Kreditsuchenden angepasst sind.
Um konform zu bleiben, müssen diese Datentreuhänder sicherstellen, dass sie die Compliance-Normen und die Rechte der Datenprinzipalen (oder Dateneigentümer) verstehen. Im Folgenden untersuchen wir die vorgeschlagenen Datenrechte im Gesetzesentwurf, die sich direkt in Compliance-Bereiche im gesamten Kreditvergabeprozess übersetzen.
Die primären Rechte, die die Compliance für Kreditgeber betreffen, werden im Folgenden erläutert:
| Recht des Datenverantwortlichen | Definition |
| Einverständniserklärung | Personenbezogene Daten werden nur nach ausdrücklicher Zustimmung des Datenverantwortlichen zu Beginn der Verarbeitung verarbeitet. Kreditgeber können daher nicht von einer stillschweigenden Einwilligung zur Verarbeitung von Kundendaten ausgehen. |
| Spezifischer Zweck | Personenbezogene Daten werden nur in dem Umfang erhoben, der für die Zwecke der Verarbeitung erforderlich ist. Das bedeutet, dass sie aus unbekannten oder nicht erklärten Gründen nicht erhoben werden können. |
| Datenlöschung | Personenbezogene Daten müssen gelöscht werden, nachdem der Zweck, für den sie weitergegeben wurden, erfüllt wurde. Der Datenverantwortliche hat das Recht, die Löschung seiner personenbezogenen Daten zu verlangen. |
| Datenübertragbarkeit | Wenn die Verarbeitung der personenbezogenen Daten automatisiert erfolgt ist, hat der Datenverantwortliche das Recht, eine Kopie seiner personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. |
Diese Rechte wirken sich auf die verschiedenen Arten von Daten aus, die in verschiedenen Phasen des Kreditvergabeverfahrens erhoben werden. Obwohl die RBI und SEBI noch separate, detaillierte Richtlinien für den Fintech-Sektor veröffentlichen müssen, können wir die Auswirkungen des PDP-Gesetzes auf die Compliance vernünftigerweise wie folgt vorhersehen:
KYC-Prozess
Der vorbereitende Schritt jeder Kreditvergabe ist der Know-Your-Customer (KYC)-Prozess. Die dafür erforderlichen Basisdokumente sind (a) Identitätsnachweis und (b) Adressnachweis. Dies ist bereits ein zustimmungsbasierter Prozess.
Die Klauseln aus dem Gesetzesentwurf, die den KYC-Prozess beeinflussen können, sind:
- Speicherbegrenzung: Nach Rückzahlung des Darlehens kann der Datengeber die Löschung aller KYC-Daten verlangen
- Datenübertragbarkeit: Mit der Einführung von eKYC und VideoKYC wird die automatisierte Verarbeitung immer üblicher. Der Datentreuhänder muss eine Kopie der Daten aufbewahren, falls dies vom Datenverantwortlichen verlangt wird
Kreditvergabe
Im Rahmen des Kreditvergabeprozesses werden eine Reihe von Datenquellen überprüft. Diese können unterteilt werden in:
Für dich empfohlen:
Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird
Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...
Wie Metaverse die indische Automobilindustrie verändern wird
Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...
New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...
Öffentliche Quellen
Dazu gehören Nachrichtenartikel über einen Kunden, öffentliche Social-Media-Profile usw. Da diese Kategorie personenbezogener Daten öffentlich ist, müssen sich Kreditgeber keine Sorgen über Verstöße machen.
Private Quellen
Es gibt eine Reihe privater Quellen, die für die Kreditvergabe genutzt werden können. Hier diskutieren wir einige von ihnen, die die Besorgnis über die Einhaltung von Vorschriften aufwerfen.
SMS-Lesen
Diese Methode der Bonitätsprüfung ist erheblich neu und würde eine ausdrückliche Einwilligung zur Verarbeitung erfordern. Es muss noch festgestellt werden, ob die Zustimmung beider am SMS-Austausch beteiligter Parteien eingeholt werden müsste.
Bank-Login-basierter Pull
Um die Finanzgeschichte einer Person zu bewerten, führen viele Kreditgeber einen Bank-Login-basierten Pull durch. Abgesehen davon, dass für den Zugriff auf diese Datenquelle eine ausdrückliche Einwilligung erforderlich ist, stellt sich hier die Frage, ob damit das Vertrauen des Datentreuhänders (Bank) verletzt würde und ob auch von diesem eine Einwilligung erforderlich wäre.
E-Mail-Login-basierter Pull
Manchmal müssen Bewerber Anmeldeinformationen für eine Datenquelle wie ein persönliches E-Mail-Konto angeben. Bisher wurde dafür meist eine ausdrückliche Genehmigung eingeholt, aber nicht immer. Mit dem Gesetzentwurf müsste das E-Mail-Login-basierte Scaping zu 100 % auf Zustimmung basieren.
Zugriff auf die Schufa
Kreditgeber sind oft verpflichtet, die personenbezogenen Daten eines Kunden mit Kreditauskunfteien und anderen Dritten zu teilen, während sie einen Kredit bedienen. Gemäß den Bestimmungen des Gesetzentwurfs müssen die Kreditgeber ihren Kunden die Transaktionen, Angaben zu den beteiligten Unternehmen und die Begründung für diese Datenübermittlung erläutern.
Obwohl das Kredit-Scoring eine „ Ausnahme für vernünftige Zwecke“ in der Gesetzesvorlage ist, die die Verarbeitung personenbezogener Daten ohne Zustimmung erlaubt, ist es nicht sicher, ob es eine Ausnahme vom Recht auf Datenlöschung gewährt. Die Speicherung von personenbezogenen Daten (PII) impliziert, dass ein Datenverantwortlicher verlangen kann, dass diese vollständig gelöscht werden.
Nicht-traditionelle Arten von Daten
Bürounternehmen wurden zuvor durch den Credit Information Companies (Regulation) Act (CIC Act) beauftragt, der es Kreditauskunfteien nicht erlaubt, alternative Daten zur Generierung von Kredit-Scores zu verwenden. Lediglich Kreditkontodaten aus dem Kernbankensystem konnten von den Auskunfteien verwendet werden.
Dazu gehörten die Ausfallhistorie, die Höhe der Ausfälle und die Rückzahlungszeit von Krediten. Angesichts der zunehmenden Zahl von Datenquellen muss noch festgelegt werden, ob alternative Quellen nach dem neuen Gesetzentwurf zulässig sind. Und wie Compliance-Normen für ihre Verarbeitung gelten würden. Mögliche Quellen könnten sein:
- Google Places/Yelp
- Zahlungsabwickler
- E-Commerce-Plattformen
- Versender
Datenschutz durch Design
Der Gesetzentwurf verpflichtet jeden Datentreuhänder, ein robustes Datenschutzsystem für die Speicherung und Verarbeitung personenbezogener Daten aufzubauen. Ein Datenschutzsystem sollte von Anfang an implementiert werden. Diese „Privacy by Design“-Richtlinie ist eine zwingende Anforderung und muss von der Datenschutzbehörde zertifiziert werden. Die Richtlinie muss auf der Website der Organisation und der Behörde veröffentlicht werden.
Strafen
Zuwiderhandlung wird mit einer Strafe geahndet. Diese Strafe kann bis zu 15 Millionen Rupien oder 4 % des weltweiten Gesamtumsatzes eines Datentreuhänders im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist. Daher ist es für Fintech-Unternehmen und Banken unerlässlich, sich auf diese Compliance-Maßnahmen vorzubereiten.
Widerspruch von Kreditgebern
Der Gesetzentwurf in seiner jetzigen Form erkennt alle Arten von personenbezogenen Finanzdaten als „sensible personenbezogene Daten“ an. Diese Definition sensibler personenbezogener Daten im Gesetzentwurf ist restriktiv und weckt Bedenken bei Kreditgebern. Die Digital Lenders Association of India (DLAI) hatte Empfehlungen vorgelegt, um potenzielle Beschränkungen zu verringern, die das Gesetz durchsetzt.
Um den Kreditvergabeprozess weniger anfällig für Betrug zu machen, müssen Kreditgeber auf Aspekte von Verbraucherdaten zugreifen. Dazu gehören Kredithistorie, Finanzlage und einige alternative Daten von Kunden. Unter den Bestimmungen des aktuellen PDP-Gesetzes würde dieser Prozess langwierig werden. Obwohl Compliance-Normen für den Schutz personenbezogener Daten erforderlich sind, wird eine solche Definition dem Kreditgeschäft unbeabsichtigt schaden.
Fazit
Die Banken- und Fintech-Branche braucht eine klare Compliance-Checkliste. Es herrscht Unklarheit darüber, wie sich die aktuelle Gesetzesvorlage auf die Compliance bei datenzentrierten Prozessen wie der Kreditvergabe auswirken wird. Dies liegt daran, dass für den Fintech-Bereich noch keine spezifischen Normen veröffentlicht wurden. Die RBI und die Regierung müssen Richtlinien für den Sektor erarbeiten, um sicherzustellen, dass Funktion und Compliance nicht im Widerspruch stehen.