Как законопроект о защите данных в Индии повлияет на кредитование и финтех?

Опубликовано: 2020-07-05

Кредиторы собирают, обрабатывают и анализируют множество данных о клиентах на протяжении всего жизненного цикла кредита.

Предварительным этапом любой кредитной операции является процесс «Знай своего клиента» (KYC).

Законопроект PDP обязывает каждого доверенного лица создать надежную систему конфиденциальности для хранения и обработки личных данных.

Эффективные меры защиты конфиденциальности данных сегодня стали важным источником конкурентного преимущества в современную эпоху, поскольку потребители все чаще предпочитают иметь дело с организациями, которые дают им видимость контроля над своими данными.

Кроме того, сегодня индивидуальные потребители как никогда осведомлены о своих правах в отношении своих личных данных. Это осознание было катализировано глобальным движением по обсуждению, отклонению или принятию новых законов о защите персональных данных. Индия также собирается принять в этом году закон, регулирующий персональные данные.

Когда мы читаем законопроект Индии о защите персональных данных (PDP) 2019 года, становится очевидным, что на кредитование банками, NBFC и финтех-компаниями нового века обязательно повлияет сочетание положений о соответствии, включенных в законопроект.

Начнем с признания того, что сбор данных занимает центральное место в кредитной операции. Кредиторы собирают, обрабатывают и анализируют множество данных о клиентах на протяжении всего жизненного цикла кредита. Это помогает организации, предоставляющей ссуду, оценить риск и предложить персонализированные услуги, адаптированные к потребностям соискателя ссуды.

Чтобы соответствовать требованиям, эти фидуциары данных должны убедиться, что они понимают нормы соответствия и права участников данных (или владельцев данных). Ниже мы рассмотрим предлагаемые права на данные в законопроекте, которые напрямую переводятся в области соблюдения требований в процессе кредитования.

Основные права, влияющие на соблюдение кредиторами требований, поясняются ниже:

Право Принципала данных Определение
Информированное согласие Персональные данные должны обрабатываться только после явного согласия, данного владельцем данных в начале их обработки. Следовательно, кредиторы не могут предполагать подразумеваемое согласие на обработку данных клиентов.
Особая цель Персональные данные собираются только в объеме, необходимом для целей обработки. Это означает, что он не может быть собран по неизвестным или объявленным причинам.
Удаление данных Персональные данные должны быть удалены после достижения цели, для которой они были переданы. Владелец данных имеет право потребовать удаления своих персональных данных.
Переносимость данных Когда обработка персональных данных осуществляется с помощью автоматизированных средств, владелец данных имеет право на получение копии своих персональных данных в структурированном, широко используемом и машиночитаемом формате.

Эти права имеют отношение к различным типам данных, собираемых на разных этапах кредитного процесса. Хотя RBI и SEBI еще не выпустили отдельные подробные инструкции для сектора финансовых технологий, мы можем разумно предвидеть влияние законопроекта о PDP на соответствие требованиям, как показано ниже:

Процесс ЗСК

Предварительным этапом любой кредитной операции является процесс «Знай своего клиента» (KYC). Основными документами, необходимыми для этого, являются (а) удостоверение личности и (б) подтверждение адреса. Это уже процесс, основанный на согласии .

Пункты законопроекта, которые могут повлиять на процесс KYC:

  • Ограничение хранения: после погашения кредита субъект данных может запросить удаление всех данных KYC.
  • Переносимость данных: с внедрением eKYC и VideoKYC автоматизированная обработка становится обычным явлением. Доверенное лицо данных должно хранить копию данных на случай, если это будет запрошено субъектом данных.

Кредитный андеррайтинг

В рамках процесса кредитного андеррайтинга проверяется ряд источников данных. Их можно разделить на:

Рекомендуется для вас:

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии
Ресурсы

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: генеральный директор CitiusTech
Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Как Metaverse изменит индийскую автомобильную промышленность
Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Что означает положение о борьбе со спекуляцией для индийских стартапов?
Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Как стартапы Edtech помогают повышать квалификацию и готовят рабочую силу к будущему
Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

Общедоступные источники

Сюда входят новостные статьи о клиенте, общедоступные профили в социальных сетях и т. д. Поскольку эта категория персональных данных является общедоступной, кредиторам не нужно беспокоиться о несоблюдении требований.

Частные источники

Есть ряд частных источников, которые могут быть извлечены для андеррайтинга кредита. Здесь мы обсудим некоторые из них, которые поднимают вопрос соблюдения.

Чтение СМС

Этот метод оценки кредитоспособности является значительно новым, и для его обработки требуется явно выраженное согласие. Еще предстоит определить, потребуется ли согласие обеих сторон, участвующих в обмене SMS.

Банковский логин на основе пула

Чтобы оценить финансовую историю человека, многие кредиторы выполняют запрос на основе входа в банк. Помимо того факта, что для доступа к этому источнику данных требуется явное согласие, вопрос здесь заключается в том, будет ли это нарушением доверия доверенного лица данных (банка) и потребуется ли согласие от них.

Электронная почта, основанная на входе в систему

Иногда от кандидатов требуется предоставить учетные данные для входа в источник данных, например в личную учетную запись электронной почты. До сих пор для этого обычно требовалось явное разрешение, но не всегда. При наличии законопроекта скейпинг на основе входа в систему по электронной почте должен быть на 100% основан на согласии.

Доступ к кредитному бюро

Кредиторы часто обязаны делиться личными данными клиента с кредитными бюро и другими третьими лицами при обслуживании кредита. В соответствии с положениями законопроекта, сделки, сведения о вовлеченных компаниях и обоснование такой передачи данных должны быть разъяснены кредиторами своим клиентам.

Хотя кредитный скоринг является « исключением для разумных целей» в законопроекте, который позволяет обрабатывать персональные данные без согласия, неясно, предоставляет ли он исключение из права на удаление данных. Хранение личной информации (PII) подразумевает, что субъект данных может запросить ее полное удаление.

Нетрадиционные типы данных

Компании-бюро ранее подчинялись Закону о компаниях с кредитной информацией (регулирование) (Закон CIC), который не позволяет кредитным бюро использовать альтернативные данные при формировании кредитных рейтингов. Кредитные бюро могли использовать только данные о кредитных счетах из основной банковской системы.

Это включало историю дефолтов, размер дефолтов и время погашения кредитов. С ростом числа источников данных еще предстоит определить, разрешены ли альтернативные источники в соответствии с новым законопроектом. И как нормы соответствия будут применяться к их обработке. Потенциально такими источниками могут быть:

  1. Google Адреса/ Yelp
  2. Платежные процессоры
  3. Платформы электронной коммерции
  4. Грузоотправители

Конфиденциальность по дизайну

Законопроект обязывает каждого доверенного лица создать надежную систему конфиденциальности для хранения и обработки персональных данных. Система защиты данных должна быть внедрена с самого начала. Эта политика «Конфиденциальность по умолчанию» является обязательным требованием и должна быть сертифицирована Управлением по защите данных. Политика должна быть опубликована на веб-сайте организации и органа.

Штрафы

Несоблюдение влечет за собой штраф. Этот штраф может доходить до 15 крор рупий или 4% от общего мирового оборота фидуциара данных за предыдущий финансовый год, в зависимости от того, что больше. Таким образом, финтех-компаниям и банкам необходимо начать подготовку к этим мерам соответствия.

Несогласие с кредиторами

Законопроект в его нынешнем виде признает все формы личных финансовых данных «конфиденциальными личными данными». Это определение конфиденциальных личных данных в законопроекте носит ограничительный характер и вызывает опасения у кредиторов. Ассоциация цифровых кредиторов Индии (DLAI) представила рекомендации по снижению потенциальных ограничений, налагаемых законопроектом.

Чтобы сделать процесс кредитования менее подверженным мошенничеству, кредиторам необходимо получить доступ к данным о потребителях. Сюда входят кредитная история, финансовое положение и некоторые альтернативные данные о клиентах. В соответствии с положениями текущего законопроекта о PDP этот процесс станет утомительным. Хотя нормы соответствия необходимы для защиты персональных данных, такое определение непреднамеренно повредит кредитной операции.

Вывод

Банковской и финтех-индустрии нужен четкий контрольный список соответствия. Недостаточно понимания того, как текущий законопроект повлияет на соблюдение требований для процессов, ориентированных на данные, таких как кредитование. Это связано с тем, что конкретные нормы для финтех-пространства еще не выпущены. RBI и правительство должны будут разработать руководящие принципы для сектора, чтобы гарантировать, что функционирование и соответствие не противоречат друг другу.