Data Privacy sa Pagbabangko at Serbisyong Pinansyal

Tungkol sa Episode na Ito

Ang sektor ng Pagbabangko, Serbisyong Pinansyal, at Seguro (BFSI) ang humahawak sa ilan sa mga pinakasensitibong personal at pinansyal na datos, kaya naman ito ang pangunahing pokus ng Digital Personal Data Protection Act (DPDPA)Sa sesyong ito na "Oras ng Pagkapribado," tatalakayin ng mga eksperto sa industriya kung paano mababalanse ng mga institusyong pinansyal ang mahigpit na mga kinakailangan sa regulasyon sa pangangailangan para sa digital na inobasyon at maayos na karanasan ng customer.

Ang mga sumusunod na FAQ ay batay sa mga insight na ibinahagi sa video.

Mga Madalas Itanong

Paano binabago ng DPDPA ang kalagayan para sa sektor ng BFSI kumpara sa mga umiiral na regulasyon ng RBI?

Bagama't sinusunod na ng mga bangko ang mahigpit na mga alituntunin ng RBI, ipinakikilala ng DPDPA ang isang pahalang na balangkas na partikular na nakatuon sa "Pangunahing Data" (ang kostumer). Binabago nito ang pokus mula sa "seguridad" lamang patungo sa "mga karapatan sa privacy," na nangangailangan sa mga bangko na magbigay ng detalyadong abiso, pamahalaan ang partikular na pahintulot para sa bawat layunin, at tiyaking mabubura ang data kapag natupad na ang pangunahing layunin, maliban kung may ibang hinihingi ang batas.

Ano ang pinakamalaking hamon sa pagpapatupad ng "Purpose Limitation" sa pagbabangko?

Kadalasang nangongolekta ng datos ang mga bangko para sa isang dahilan (hal., pagbubukas ng savings account) ngunit nais itong gamitin para sa iba pa (hal., paunang pag-apruba ng pautang). Sa ilalim ng DPDPA, pinapayagan lamang ito kung ang tahasang at may kaalamang pahintulot ay nakuha para sa bawat partikular na layunin. Ang pamamahala ng mga "consent stack" na ito sa maraming produkto ng pagbabangko ay isang malaking balakid sa operasyon.

Paano dapat pangasiwaan ng mga institusyong pinansyal ang "Legacy Data" sa ilalim ng bagong batas?

Ang mga bangko ay nagtataglay ng mga dekada ng datos ng mga kostumer. Iminumungkahi ng mga eksperto na ang mga institusyon ay dapat magsagawa ng isang pagsasanay na "Pagtuklas ng Datos" upang matukoy kung anong datos ang mayroon sila, bakit nila ito mayroon, at kung kailangan pa ba nila ito. Kung ang orihinal na pahintulot ay hindi nakakatugon sa mga pamantayan ng DPDPA, ang mga bangko ay dapat magpadala ng mga bagong abiso sa mga umiiral na kostumer upang mapatunayan ang patuloy na pagproseso ng datos.

Ano ang papel na ginagampanan ng mga "Consent Manager" sa ecosystem ng pananalapi?

Ipinakikilala ng DPDPA ang konsepto ng Consent Manager, isang plataporma na nagbibigay-daan sa mga gumagamit na pamahalaan, bawiin, at subaybayan ang kanilang mga pahintulot sa iisang lugar. Para sa sektor ng BFSI, naaayon ito sa balangkas ng "Account Aggregator," na nagbibigay-daan sa mas malinaw na pagpapalitan ng impormasyong pinansyal habang binibigyan ang mga customer ng ganap na kontrol.

Paano mapapamahalaan ng mga bangko ang panganib ng mga "Significant Data Fiduciaries" (SDFs)?

Dahil sa dami at sensitibidad ng datos na kanilang pinoproseso, malamang na maituturing na mga SDF ang karamihan sa malalaking bangko. Kinakailangan nito na magtalaga sila ng isang Data Protection Officer (DPO), magsagawa ng regular na Data Protection Impact Assessments (DPIA), at sumailalim sa mga independiyenteng audit upang matiyak na matatag ang kanilang privacy posture.

Ano ang epekto ng DPDPA sa mga pakikipagsosyo sa fintech ng ikatlong partido?

Kadalasang nakikipagsosyo ang mga bangko sa mga fintech para sa KYC, lead generation, o pagproseso ng pautang. Sa ilalim ng Batas, ang bangko ay nananatiling "Data Fiduciary" na responsable para sa anumang mga pagkakamali ng fintech na "Data Processor." Nangangailangan ito ng mas mahigpit na pagtatasa ng panganib ng vendor at ang pagsasama ng "Privacy by Design" sa pagitan ng mga pangunahing sistema ng bangko at ng app ng kasosyo.

Paano gumagana ang "Karapatang Magbura" kapag hinihiling ng mga batas sa pananalapi ang pagpapanatili ng datos?

Ito ay isang karaniwang punto ng kalituhan. Ang DPDPA nagpapahintulot sa pagpapanatili ng datos kung kinakailangan ng ibang batas (tulad ng mga pamantayan ng AML o KYC). Dapat magbalanse ang mga bangko: burahin ang datos na hindi na legal na kinakailangan, ngunit panatilihin ang mga rekord na ipinag-uutos ng RBI o mga awtoridad sa buwis, kahit na humiling ang isang customer ng pagbura.

Ano ang unang hakbang na dapat gawin ng isang institusyong pinansyal tungo sa pagsunod?

Ang pinagkasunduan mula sa sesyon ay magsimula sa isang Mapa ng Daloy ng DatosHindi mo mapoprotektahan ang hindi mo alam na umiiral. Ang pagmamapa kung paano pumapasok ang data sa bangko, kung saan ito nakaimbak, kung sino ang may access dito, at kailan ito umaalis sa sistema ay ang mahalagang pundasyon para sa lahat ng iba pang pagsisikap sa privacy. Ang video na ito ay nagbibigay ng malalimang pagtingin sa interseksyon ng teknolohiya sa pananalapi at data privacy batas, na nagtatampok ng mga eksperto na tumatalakay sa praktikal na landas pasulong para sa mga entidad ng BFSI sa India.