印度的数据保护法案将如何影响贷款和金融科技?

已发表: 2020-07-05

贷方在贷款的整个生命周期中收集、处理和分析大量客户数据

任何贷款操作的第一步都是了解您的客户 (KYC) 流程

PDP 法案要求每个数据受托人建立一个强大的隐私系统来存储和处理个人数据

如今,有效的数据隐私保护措施已成为现代竞争优势的重要来源,因为消费者越来越喜欢与能够让他们在表面上控制其数据的组织打交道。

此外,今天的个人消费者比以往任何时候都更清楚他们对个人数据的权利。 一场辩论、拒绝或通过新法律来保护个人数据的全球运动推动了这种意识。 印度也将在今年通过一项管理个人数据的法规。

当我们阅读 2019 年印度个人数据保护 (PDP) 法案时,很明显银行、NBFC 和新时代金融科技公司的贷款必然会受到法案草案中包含的合规条款的影响。

让我们首先承认数据获取是贷款业务的核心。 贷方在贷款的整个生命周期中收集、处理和分析大量客户数据。 这有助于贷款授予实体评估风险并提供适合贷款寻求者需求的个性化服务。

为了保持合规,这些数据受托人必须确保他们了解合规规范和数据主体(或数据所有者)的权利。 下面,我们将探讨法案草案中提议的数据权利,这些权利直接转化为整个贷款流程的合规领域。

影响贷方合规的主要权利解释如下:

数据主体的权利定义
知情同意只有在数据主体在开始处理时明确同意后,才能处理个人数据。 因此,贷方不能假定默示同意处理客户数据。
特殊目的仅在处理目的所需的范围内收集个人数据。 这意味着它不能因未知或未声明的原因而被收集。
数据擦除在达到共享目的后,必须删除个人数据。 数据主体有权要求删除其个人数据。
数据可移植性当通过自动化方式处理个人数据时,数据主体有权以结构化、常用和机器可读的格式接收其个人数据的副本。

这些权利与在贷款过程的不同步骤收集的不同类型的数据有关。 尽管 RBI 和 SEBI 尚未针对金融科技行业发布单独的详细指南,但我们可以合理地预测 PDP 法案对合规性的影响如下:

KYC 流程

任何贷款操作的第一步都是了解您的客户 (KYC) 流程。 为此所需的基本文件是(a)身份证明和(b)地址证明。 这已经是一个基于同意的过程。

法案草案中可能影响 KYC 流程的条款是:

  • 存储限制:偿还贷款后,数据主体可以请求擦除所有 KYC 数据
  • 数据可移植性:随着 eKYC 和 VideoKYC 的采用,自动化处理变得越来越普遍。 数据受托人必须保留一份数据副本,以备数据委托人要求提供

信用承销

作为信贷承保过程的一部分,会检查许多数据源。 这些可以分为:

为你推荐:

RBI 的账户聚合器框架将如何改变印度的金融科技
资源

RBI 的账户聚合器框架将如何改变印度的金融科技

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:CitiusTech 首席执行官
消息

企业家无法通过“Jugaad”创建可持续、可扩展的初创公司:Cit...

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

公共资源

这包括有关客户的新闻文章、公共社交媒体资料等。由于此类个人数据是公开的,因此贷方不必担心违规行为。

私人资源

有许多私人资源可以用于信用承销。 在这里,我们讨论其中一些引起合规问题的问题。

短信阅读

这种信用评估方法相当新颖,需要明确同意才能进行处理。 尚待确定是否必须征得 SMS 交换相关方的同意。

基于银行登录的拉取

为了评估一个人的财务历史,许多贷方执行基于银行登录的拉取操作。 除了需要明确同意才能访问此数据源之外,这里的问题是这是否会违反数据受托人(银行)的信任,以及是否也需要他们的同意。

基于电子邮件登录的拉取

有时,申请人需要向个人电子邮件帐户等数据源提供登录凭据。 到目前为止,通常会寻求明确的许可来执行此操作,但并非总是如此。 有了该法案,基于电子邮件登录的 Scaping 需要 100% 基于同意。

信用局访问

贷方通常有义务在为贷款提供服务时与征信机构和其他第三方共享客户的个人数据。 根据该法案的规定,贷方必须向其客户解释交易、所涉及公司的详细信息以及这种数据传输的理由。

尽管信用评分是法案中的“合理目的例外” ,允许在未经同意的情况下处理个人数据,但不确定它是否授予数据擦除权的例外。 个人身份信息 (PII) 的存储意味着数据主体可以请求将其完全删除。

非传统类型的数据

信用局公司以前受《信用信息公司(监管)法》(CIC 法)的授权,该法不允许信用局使用替代数据来生成信用评分。 信用局只能使用来自核心银行系统的贷款账户数据。

这包括违约历史、违约规模和贷款还款时间。 随着数据源数量的增加,新法案是否允许其他来源尚待确定。 并且,合规规范如何适用于他们的处理。 这些来源可能是:

  1. 谷歌地方/ Yelp
  2. 支付处理器
  3. 电子商务平台
  4. 托运人

隐私设计

该法案要求每个数据受托人建立一个强大的隐私系统来存储和处理个人数据。 应从一开始就实施数据保护系统。 此“设计隐私”政策是一项强制性要求,必须经过数据保护机构的认证。 该政策必须在组织和当局的网站上公布。

处罚

不遵守规定将受到处罚。 该罚款可能高达 1.5 亿卢比或数据受托人上一财政年度全球总营业额的 4%,以较高者为准。 因此,金融科技公司和银行必须开始为这些合规措施做准备。

贷方的异议

目前形式的法案将所有形式的个人财务数据视为“敏感个人数据”。 该法案中对敏感个人数据的定义具有限制性,并引起了贷方的担忧。 印度数字贷款人协会 (DLAI) 已提交建议,以减少该法案实施的潜在限制。

为了降低贷款过程中欺诈的可能性,贷方需要访问消费者数据的各个方面。 这包括信用记录、财务状况和客户的一些替代数据。 根据当前 PDP 法案的规定,这个过程将变得乏味。 虽然合规规范对于个人数据保护是必要的,但这样的定义会无意中损害贷款业务。

结论

银行和金融科技行业需要一份清晰的合规清单。 对于当前法案将如何影响贷款等以数据为中心的流程的合规性,人们缺乏了解。 这是因为尚未针对金融科技领域发布具体规范。 印度储备银行和政府将需要为该行业制定指导方针,以确保功能和合规性不会发生冲突。