กฎหมายคุ้มครองข้อมูลของอินเดียจะส่งผลกระทบต่อสินเชื่อและ Fintech อย่างไร
เผยแพร่แล้ว: 2020-07-05ผู้ให้กู้รวบรวม ประมวลผล และวิเคราะห์โฮสต์ของข้อมูลลูกค้าตลอดวงจรชีวิตของเงินกู้
ขั้นตอนเบื้องต้นของการดำเนินการให้กู้ยืมคือกระบวนการ Know-Your-Customer (KYC)
ร่างกฎหมาย PDP กำหนดให้ผู้ไว้วางใจข้อมูลทุกคนสร้างระบบความเป็นส่วนตัวที่แข็งแกร่งสำหรับการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล
การปกป้องความเป็นส่วนตัวของข้อมูลที่มีประสิทธิภาพในปัจจุบันได้กลายเป็นแหล่งสำคัญของความได้เปรียบในการแข่งขันในยุคปัจจุบัน เนื่องจากผู้บริโภคเริ่มชอบที่จะจัดการกับองค์กรที่ควบคุมข้อมูลของตนมากขึ้น
นอกจากนี้ ผู้บริโภคแต่ละรายในปัจจุบันตระหนักถึงสิทธิของตนเกี่ยวกับข้อมูลส่วนบุคคลมากขึ้นกว่าเดิม ความตระหนักนี้ได้รับการกระตุ้นโดยการเคลื่อนไหวระดับโลกเพื่ออภิปราย ปฏิเสธ หรือใช้กฎหมายใหม่เพื่อปกป้องข้อมูลส่วนบุคคล อินเดียเองก็กำลังจะผ่านข้อบังคับเกี่ยวกับข้อมูลส่วนบุคคลในปีนี้เช่นกัน
ขณะที่เราอ่านกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDP) ของอินเดียปี 2019 ปรากฏว่าการให้กู้ยืมโดยธนาคาร NBFC และบริษัทฟินเทคยุคใหม่ต้องได้รับผลกระทบจากการผสมผสานของเงื่อนไขการปฏิบัติตามข้อกำหนดที่รวมอยู่ในร่างกฎหมายนี้
เรามาเริ่มด้วยการยอมรับว่าการได้มาซึ่งข้อมูลเป็นศูนย์กลางของการดำเนินการให้กู้ยืม ผู้ให้กู้รวบรวม ประมวลผล และวิเคราะห์โฮสต์ของข้อมูลลูกค้าตลอดวงจรชีวิตของเงินกู้ ซึ่งจะช่วยให้หน่วยงานที่ให้สินเชื่อสามารถวัดความเสี่ยงและนำเสนอบริการส่วนบุคคลที่ปรับให้เข้ากับความต้องการของผู้ขอสินเชื่อ
เพื่อให้เป็นไปตามข้อกำหนด ผู้ดูแลข้อมูลเหล่านี้ต้องมั่นใจว่าพวกเขาเข้าใจบรรทัดฐานการปฏิบัติตามข้อกำหนดและสิทธิ์ของเจ้าของข้อมูล (หรือเจ้าของข้อมูล) ด้านล่างนี้ เราสำรวจสิทธิ์ในข้อมูลที่เสนอในร่างกฎหมายที่แปลตรงไปยังส่วนต่างๆ ของการปฏิบัติตามกฎตลอดกระบวนการให้ยืม
สิทธิ์หลักที่ส่งผลต่อการปฏิบัติตามข้อกำหนดสำหรับผู้ให้กู้มีคำอธิบายด้านล่าง:
| สิทธิ์ของ Data Principal | คำนิยาม |
| ความยินยอม | ข้อมูลส่วนบุคคลจะถูกประมวลผลหลังจากได้รับความยินยอมอย่างชัดแจ้งจากเจ้าของข้อมูลเมื่อเริ่มดำเนินการ ดังนั้น ผู้ให้กู้จึงไม่สามารถถือว่ายินยอมโดยปริยายสำหรับการประมวลผลข้อมูลลูกค้า |
| วัตถุประสงค์เฉพาะ | ข้อมูลส่วนบุคคลจะถูกรวบรวมเฉพาะในขอบเขตที่จำเป็นสำหรับวัตถุประสงค์ในการประมวลผลเท่านั้น ซึ่งหมายความว่าไม่สามารถรวบรวมได้ด้วยเหตุผลที่ไม่เป็นที่รู้จักหรือประกาศ |
| การลบข้อมูล | ข้อมูลส่วนบุคคลจะต้องถูกลบหลังจากบรรลุวัตถุประสงค์ในการแบ่งปัน ผู้ดูแลข้อมูลมีสิทธิ์ขอให้ลบข้อมูลส่วนบุคคลของตน |
| การพกพาข้อมูล | เมื่อดำเนินการประมวลผลข้อมูลส่วนบุคคลด้วยวิธีการอัตโนมัติ ผู้ดูแลข้อมูลมีสิทธิ์ได้รับสำเนาข้อมูลส่วนบุคคลในรูปแบบที่มีโครงสร้าง ใช้กันทั่วไป และสามารถอ่านได้ด้วยเครื่อง |
สิทธิ์เหล่านี้มีผลกับข้อมูลประเภทต่างๆ ที่รวบรวมในขั้นตอนต่างๆ ของกระบวนการให้ยืม แม้ว่า RBI และ SEBI จะยังไม่เปิดเผยแนวทางโดยละเอียดสำหรับภาคส่วนฟินเทค แต่เราสามารถคาดการณ์ผลกระทบของร่างกฎหมาย PDP ที่มีต่อการปฏิบัติตามได้ดังนี้:
กระบวนการ KYC
ขั้นตอนเบื้องต้นของการดำเนินการให้กู้ยืมคือกระบวนการ Know-Your-Customer (KYC) เอกสารพื้นฐานที่จำเป็นสำหรับการดำเนินการนี้คือ (a) หลักฐานระบุตัวตนและ (b) หลักฐานที่อยู่ นี่เป็นกระบวนการ ตามความยินยอมอยู่ แล้ว
ข้อจากร่างกฎหมายที่อาจส่งผลต่อกระบวนการ KYC ได้แก่:
- ข้อจำกัดในการจัดเก็บ: หลังจากชำระคืนเงินกู้แล้ว ผู้ให้บริการข้อมูลสามารถร้องขอให้ลบข้อมูล KYC ทั้งหมดได้
- การพกพาข้อมูล: ด้วยการนำ eKYC และ VideoKYC มาใช้ การประมวลผลอัตโนมัติจึงกลายเป็นเรื่องปกติ ผู้ดูแลข้อมูลต้องเก็บสำเนาข้อมูลไว้ในกรณีที่เจ้าของข้อมูลร้องขอ
การรับประกันสินเชื่อ
มีการตรวจสอบแหล่งข้อมูลจำนวนหนึ่งซึ่งเป็นส่วนหนึ่งของกระบวนการจัดจำหน่ายสินเชื่อ เหล่านี้สามารถแบ่งออกเป็น:
แนะนำสำหรับคุณ:
วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย
ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...
Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร
บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?
Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...
หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...
แหล่งข้อมูลสาธารณะ
ซึ่งรวมถึงบทความข่าวเกี่ยวกับลูกค้า โปรไฟล์โซเชียลมีเดียสาธารณะ ฯลฯ เนื่องจากข้อมูลส่วนบุคคลประเภทนี้เป็นข้อมูลสาธารณะ ผู้ให้กู้จึงไม่ต้องกังวลกับการไม่ปฏิบัติตามข้อกำหนด
แหล่งข้อมูลส่วนตัว
มีแหล่งข้อมูลส่วนตัวจำนวนหนึ่งที่สามารถคัดลอกมาเพื่อการจัดจำหน่ายสินเชื่อได้ ในที่นี้เราจะพูดถึงบางประเด็นที่ก่อให้เกิดความกังวลเรื่องการปฏิบัติตามข้อกำหนด
การอ่าน SMS
วิธีการประเมินเครดิตนี้เป็นวิธีการใหม่อย่างมาก และจะต้องได้รับความยินยอมอย่างชัดแจ้งสำหรับการประมวลผล ยังไม่เป็นที่แน่ชัดว่าจะต้องได้รับความยินยอมจากทั้งสองฝ่ายที่เกี่ยวข้องกับการแลกเปลี่ยน SMS หรือไม่
เข้าสู่ระบบธนาคารตาม Pull
ในการประเมินประวัติทางการเงินของบุคคล ผู้ให้กู้จำนวนมากดำเนินการดึงข้อมูลเข้าสู่ระบบธนาคาร นอกเหนือจากข้อเท็จจริงที่ว่าจำเป็นต้องได้รับความยินยอมอย่างชัดแจ้งในการเข้าถึงแหล่งข้อมูลนี้ คำถามก็คือว่าสิ่งนี้จะเป็นการละเมิดความไว้วางใจจากผู้ดูแลข้อมูล (ธนาคาร) หรือไม่ และหากจำเป็นต้องได้รับความยินยอมจากพวกเขาด้วย
การเข้าสู่ระบบด้วยอีเมล Pull
บางครั้งผู้สมัครจะต้องให้ข้อมูลรับรองการเข้าสู่ระบบไปยังแหล่งข้อมูล เช่น บัญชีอีเมลส่วนตัว จนถึงขณะนี้มักจะขออนุญาตอย่างชัดแจ้งเพื่อให้ดำเนินการตามนี้ แต่ไม่เสมอไป เมื่อเรียกเก็บเงินแล้ว การกำหนดขนาดตามการเข้าสู่ระบบอีเมลจะต้องเป็นไปตามความยินยอม 100%
การเข้าถึงข้อมูลเครดิตบูโร
ผู้ให้กู้มักจะถูกบังคับให้แบ่งปันข้อมูลส่วนบุคคลของลูกค้ากับเครดิตบูโรและบุคคลที่สามอื่น ๆ ในขณะที่ให้บริการเงินกู้ ภายใต้บทบัญญัติของการเรียกเก็บเงิน ธุรกรรม รายละเอียดของบริษัทที่เกี่ยวข้อง และเหตุผลสำหรับการถ่ายโอนข้อมูลนี้จะต้องอธิบายโดยผู้ให้กู้ให้กับลูกค้าของตน
แม้ว่าการให้คะแนนเครดิตจะเป็น " ข้อยกเว้นตามวัตถุประสงค์ที่สมเหตุสมผล" ในใบเรียกเก็บเงินซึ่งอนุญาตให้ประมวลผลข้อมูลส่วนบุคคลโดยไม่ได้รับความยินยอม แต่ก็ไม่แน่ใจว่าจะให้ข้อยกเว้นจากสิทธิ์ในการลบข้อมูลหรือไม่ การจัดเก็บข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นได้ (PII) หมายความว่าผู้ดูแลข้อมูลสามารถขอให้ลบออกทั้งหมดได้
ประเภทข้อมูลที่ไม่ใช่แบบดั้งเดิม
บริษัทในสำนักงานเคยได้รับคำสั่งจากพระราชบัญญัติบริษัทข้อมูลเครดิต (ระเบียบ) (กฎหมาย CIC) ซึ่งไม่อนุญาตให้สำนักงานเครดิตใช้ข้อมูลทางเลือกในการสร้างคะแนนเครดิต เฉพาะข้อมูลบัญชีเงินกู้จากระบบธนาคารหลักเท่านั้นที่เครดิตบูโรใช้ได้
ซึ่งรวมถึงประวัติการผิดนัด ขนาดของค่าผิดนัด และเวลาชำระคืนเงินกู้ ด้วยจำนวนแหล่งข้อมูลที่เพิ่มขึ้น ยังไม่มีการพิจารณาว่าแหล่งข้อมูลอื่นได้รับอนุญาตภายใต้ร่างกฎหมายใหม่หรือไม่ และวิธีการที่บรรทัดฐานการปฏิบัติตามจะนำไปใช้กับการประมวลผลของพวกเขา แหล่งที่มาดังกล่าวอาจเป็น:
- Google สถานที่/ Yelp
- ตัวประมวลผลการชำระเงิน
- แพลตฟอร์มอีคอมเมิร์ซ
- ผู้ส่งสินค้า
ความเป็นส่วนตัวโดยการออกแบบ
ร่างกฎหมายกำหนดให้ผู้ไว้วางใจข้อมูลทุกคนสร้างระบบความเป็นส่วนตัวที่แข็งแกร่งสำหรับการจัดเก็บและประมวลผลข้อมูลส่วนบุคคล ควรมีการนำระบบการปกป้องข้อมูลมาใช้ตั้งแต่เริ่มแรก นโยบาย "ความเป็นส่วนตัวโดยการออกแบบ" นี้เป็นข้อกำหนดบังคับและต้องได้รับการรับรองโดยหน่วยงานคุ้มครองข้อมูล นโยบายจะต้องเผยแพร่บนเว็บไซต์ขององค์กรและหน่วยงาน
บทลงโทษ
การไม่ปฏิบัติตามมีโทษ บทลงโทษนี้อาจสูงถึง 15 สิบล้านรูปีหรือ 4% ของมูลค่าการซื้อขายทั่วโลกของผู้ให้ข้อมูลทั่วโลกในปีการเงินก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า ดังนั้นจึงจำเป็นสำหรับบริษัทฟินเทคและธนาคารที่จะเริ่มเตรียมการสำหรับมาตรการปฏิบัติตามเหล่านี้
ความขัดแย้งจากผู้ให้กู้
ใบเรียกเก็บเงินในรูปแบบปัจจุบันรับรู้ข้อมูลทางการเงินส่วนบุคคลทุกรูปแบบว่าเป็น 'ข้อมูลส่วนบุคคลที่ละเอียดอ่อน' คำจำกัดความของข้อมูลส่วนบุคคลที่ละเอียดอ่อนในใบเรียกเก็บเงินนี้มีข้อ จำกัด และทำให้เกิดความกังวลสำหรับผู้ให้กู้ สมาคมผู้ให้กู้ดิจิทัลแห่งอินเดีย (DLAI) ได้ส่งข้อเสนอแนะเพื่อลดข้อจำกัดที่อาจเกิดขึ้นที่กฎหมายบังคับใช้
เพื่อให้กระบวนการให้กู้ยืมมีแนวโน้มที่จะเกิดการฉ้อโกงน้อยลง ผู้ให้กู้จำเป็นต้องเข้าถึงข้อมูลผู้บริโภคในแง่มุมต่างๆ ซึ่งรวมถึงประวัติเครดิต สถานะทางการเงิน และข้อมูลทางเลือกของลูกค้า ภายใต้บทบัญญัติของร่างกฎหมาย PDP ฉบับปัจจุบัน กระบวนการนี้จะกลายเป็นเรื่องน่าเบื่อหน่าย แม้ว่าบรรทัดฐานของการปฏิบัติตามข้อกำหนดนั้นจำเป็นสำหรับการปกป้องข้อมูลส่วนบุคคล คำจำกัดความดังกล่าวจะส่งผลเสียต่อการดำเนินการให้กู้ยืมโดยไม่ได้ตั้งใจ
บทสรุป
อุตสาหกรรมการธนาคารและฟินเทคต้องการรายการตรวจสอบการปฏิบัติตามข้อกำหนดที่ชัดเจน ยังไม่ค่อยเข้าใจถึงผลกระทบที่ร่างกฎหมายปัจจุบันจะส่งผลต่อการปฏิบัติตามกระบวนการที่เน้นข้อมูลเป็นหลัก เช่น การให้ยืม นี่เป็นเพราะว่าบรรทัดฐานเฉพาะยังไม่ได้รับการเผยแพร่สำหรับพื้นที่ฟินเทค RBI และรัฐบาลจะต้องจัดทำแนวทางสำหรับภาคส่วนเพื่อให้แน่ใจว่าการทำงานและการปฏิบัติตามข้อกำหนดจะไม่ขัดแย้งกัน