基于个人信贷业务通用场景的
跨机构多源数据流通安全应用案例
推荐单位:甘肃省数据局
申报单位:兰州银行股份有限公司
一、数据流通场景和安全治理挑战
个人信贷业务智能化水平的提升受限于客户信用数据流通与安全治理水平。兰州银行股份有限公司(以下简称“兰州银行”)聚焦个人信贷业务场景,围绕营销人员移动展业及数字风控建设要求,合规运用多源数据,融合构建面向信贷业务场景定制化的风险评估报告,有效推动信用数据在授信审批与动态风控中的有序共享与价值释放。
该案例场景中的业务流程为,兰州银行作为枢纽联合第三方征信机构建立数据安全交互模式,在获取用户信贷申请及数据授权后,依托数字加密认证等技术发起数据调用请求。第三方机构在本地可信环境提取用户反欺诈、信用历史等特征,仅回传脱敏信用评分与模糊标签。兰州银行融合多源数据进行AI建模,输出包含风险标签、信用评分及审批决策的风险评估报告。该模式深度融入信贷业务全流程,形成数据安全闭环管理体系,有效保障跨机构数据流通的安全可控。
上述场景中存在3方面安全治理挑战,一是由于数据分类分级保护执行策略缺乏内部统一规范,易导致防护不足;二是用户数据使用授权的时效、范围及场景与实际用数行为可能存在偏差,数据跨机构流通缺乏多方安全协作机制,难以实现全程留痕与权责闭环管理;三是用于授信审批的AI风控模型存在“黑箱”问题,导致数据全流程使用缺乏透明性与可追溯性,决策逻辑不可解释,影响风控公平性与结果可信度。
二、安全治理措施
(一)健全数据合规管理与分类分级机制,夯实数据安全治理基础。依据《个人信息保护法》中“知情同意、最小必要”原则,规范用户授权,杜绝“默许”和“全权授权”,实现授权前置。同时,数据授权使用严格遵循“一次一用”原则,确保数据使用的目的与授权范围始终保持一致。依据《数据安全法》等建立统一分类分级安全策略,明确使用权限与责任边界,落实最小化采集与留存期限控制。
(二)完善组织与制度保障机制,筑牢数据安全责任防线。为厘清跨机构数据共享责任,制定企业《外部数据管理办法》,明确第三方数据引入、使用、评估规范,并通过合作协议约定责任边界。为明晰银行内部跨部门数据管理责任,成立由银行风险、合规、数据、科技、审计等部门组成的模型评审委员会,强化协同治理。同时,制定实施企业《数据安全管理办法》等制度,明确各方安全职责,将数据调用、模型开发、风险评估纳入规范管理,实现数据与模型风险管理的可审计、可追责、可管控。
(三)基于多方协作与可视化决策,构建“数据可用不可见、模型算法可管控”的安全流通体系。兰州银行联合具备个人征信业务经营合法资质的第三方机构建立可信架构,通过部署安全计算节点、统一网关等技术筑牢传输屏障,第三方机构本地提取数据特征,仅输出脱敏后的信用评分与标签。同时,利用决策引擎将“黑箱”算法转化为可视化决策流,严控决策结果合理性,在满足数据“可用不可见”的同时,有效降低AI模型风险。
三、典型意义和安全治理成效
兰州银行通过融合多源合规数据,构建“模型驱动、机制保障、服务协同”三位一体治理体系,有效解决个人信贷场景中数据分类分级保护执行策略不统一、跨机构流通协作机制不完善及AI风控“黑箱”等难题,实现数据可用不可见、模型风险可管控,在保障安全的前提下,推动多源数据安全融合与价值释放,有效提升数字金融服务质效,为行业跨机构数据流通安全应用树立了标杆。