RODO i Prawo bankowe, czyli ocena zdolności kredytowej z wykorzystaniem biometrii i sztucznej inteligencji

W ostatnim artykule poruszyliśmy kwestię onboardingu klienta z użyciem wideoweryfikacji, skupiając się na kwestiach dotyczących przetwarzania danych biometrycznych. Pierwszy i „otwierający” krok mamy już za sobą – otwarty rachunek bankowy (dla uproszczenia przyjmijmy, że płatniczy). Ponieważ Bank X jest bankiem otwartym na innowacje, to na wideoweryfikacji jako źródle przetwarzania naszych danych nie poprzestaniemy. W kolejnej odsłonie zmierzymy się z realnymi problemami związanymi z wykorzystaniem danych biometrycznych (głównie) na potrzeby uzyskania kredytu, ale także kwestią wykorzystania sztucznej inteligencji/uczenia maszynowego na potrzeby dokonania tej oceny. W kolejnym artykule poruszymy kwestię biometrii (FaceID/TouchID) w kontekście płatności elektronicznych oraz dostępu do rachunku. Zaczynamy.

Jednym z obowiązków banku przed udzieleniem kredytu jest zbadanie zdolności kredytowej klienta (zainteresowane osoby odsyłam również do wytycznych EBA w sprawie oceny na potrzeby udzielenia kredytu hipotecznego), co wynika z art. 70 Prawa bankowego (dla start-upów jest pewna furtka w art. 70 ust. 4). W związku z tym zainteresowany podmiot (nie musi to być w końcu osoba fizyczna) musi przedłożyć na żądanie banku informacje i dokumenty niezbędne do oceny tej zdolności. To tyle w kontekście tzw. front-desku (oczywiście oprócz odebrania zgody na poddanie się ocenie). Ciekawsze mechanizmy mają miejsce „w tle”.

Ocena zdolności kredytowej z użyciem zautomatyzowanego narzędzia

Czasy „manualnej” analizy zdolności kredytowej (przynajmniej w odniesieniu do osób fizycznych) powoli odchodzą w niepamięć, a zastępują ją automatyczne systemy przetwarzania informacji wykorzystujące sztuczną inteligencję oraz duże zbiory danych (big data). Bank X z naszego przykładu również wykorzystuje tego typu rozwiązania.

Nie poruszając w tej chwili kwestii przetwarzania danych osobowych przeanalizujmy wykorzystanie algorytmu komputerowego do analizy zdolności kredytowej potencjalnego klienta (mamy więc zautomatyzowane przetwarzanie, o który mowa w art. 105a ust. 1a Prawa bankowego). W tym przykładzie klient podaje zestaw podstawowych danych identyfikacyjnych (nie musi tak naprawdę podawać zarobków, bo można je „zassać” z rachunku, do których następnie dokładane są kolejne „klocki”, jak np. dane z wyciągów z rachunków (w tym o zobowiązaniach) czy informacje z Biura Informacji Kredytowej. Pod uwagę można wziąć również inne elementy jak brak spłaty powyżej 60 dni czy przebieg realizacji żądania. Gdzie więc tutaj biometria? No właśnie…

Biometria wyłączona z automatycznego przetwarzania

Na przeszkodzie stoi nieszczęsny art. 105a ust. 1c, który wprost wskazuje, że w przypadku zautomatyzowanego przetwarzania na potrzeby oceny zdolności kredytowej nie możemy wykorzystywać danych, o których mowa w art. 9 Rozporządzenia 2016/679 (RODO). I tutaj zastanawia mnie jedno. Czy powołując art. 9 bez ust. 1 RODO ustawodawca zamierzał wyłączyć możliwość wykorzystania danych biometrycznych nawet w przypadku wyrażenia zgody przez użytkownika (na marginesie należy wskazać, że zgoda może być wyrażona w formie elektronicznej, ale na banku będzie ciążył obowiązek odpowiedniego zabezpieczenia tej zgody)?

Patrząc przez pryzmat konstrukcji przepisu wydaje się, że tak. Optowałbym jednak za przyjęciem, że wobec „nadrzędności” rozporządzenia unijnego (RODO) nad ustawa, zgoda użytkownika umożliwia przetworzenie danych biometrycznych na potrzeby oceny zdolności kredytowej. Inną sprawą jest ryzyko (finansowe, kredytowe) związane z podjęciem decyzji (pozytywnej) wobec osoby, która poddana została takiemu „przetwarzaniu”, np. w celu identyfikacji. Konsekwencje będą też bardziej doniosłe, gdy spojrzymy na inne obowiązki związane z uzasadnieniem w przypadku odmowy (o czym dalej).

Ale gdzie ta biometria?

Na pierwszy rzut oka trudno wyobrazić sobie wykorzystanie biometrii dla oceny zdolności kredytowej. W praktyce jednak już dzisiaj jest możliwe użycie biometrii w przynajmniej trzech aspektach:

Identyfikacja osoby „zamiast” podstawowych “tekstowych” danych osobowych, jak imię czy nazwisko (z jednej strony mogłoby to być „uwierzytelnienie” osoby na potrzeby rozpoczęcia procesu, a z drugiej – przy odpowiedniej certyfikacji eIDASowej – służyć mogłoby zawarciu umowy kredytu);
Wykorzystania głosu (cecha biometryczna) do „obsługi” asystenta głosowego (np. Alexa, Google Assistant), który umożliwia zaciąganie kredytu w banku użytkownika (tutaj głos miałby podobny charakter jak w punkcie 1) – inna sprawa, że pojawiłyby się tutaj pewne trudności związane ze spełnieniem wymogów Rozporządzenia 2018/389;
Analiza nietypowych („zakupowy szał” i zadłużanie się) i typowych zachowań płatniczych użytkownika w kontekście oceny zdolności kredytowej (tutaj podobna sytuacja jak w przypadku monitoringu transakcji pod kątem oszustw (fraudów), również z wykorzystaniem Big Data – mamy behawiorystykę.

To tylko trzy przykład, które można sobie wyobrazić w kontekście wykorzystania biometrii na potrzeby oceny zdolności kredytowej. Nowe technologie i rozwijające się wykorzystanie algorytmów komputerowych może wykreować nowe rozwiązania. Nie jest to więc tylko hipotetyczna sytuacja, ale realny problem, z którym być może przyjdzie się zmierzyć „odważniejszemu” bankowi lub fintechowi.

Co z tą „dziewiątką”?

Teoretycznie można spróbować zakwalifikować te dane jako niewykazujące cech „biometrycznych”, choć w przypadku głosu mogłoby to być trudne do spełnienia. Chyba, że w ramach wydawanych komend podajemy imię i nazwisko, PESEL etc. – w dalszym ciągu rodzi to jednak pytanie o przetwarzanie danych biometrycznych, ale w prawdopodobnie dozwolonym kontekście – nie na potrzeby oceny zdolności kredytowej, a samej identyfikacji. W takim przypadku – braku biometrii – możemy powołać się na „inną” kategorię danych, którą możemy wykorzystać na mocy art. 105a ust. 1b (mamy katalog otwarty).

Myślę, że intencją ustawodawcy było jednak wprowadzenie zakazu dyskryminacji przy ocenie zdolności kredytowej ze względu na płeć, rasę czy orientację seksualną, a nie „zakazanie” stosowania biometrii. Jest to oczywiście moje osobiste zdanie. Chętnie poznam zdanie czytelników.

Co poza przetwarzaniem danych?

Samo przetwarzanie danych to jedno wyzwanie, natomiast mamy jeszcze art. 70a oraz 105a ust. 1a Prawa bankowego, które nakładają dodatkowe obowiązki na banki korzystające z automatycznych rozwiązań w zakresie oceny zdolności kredytowej.

Po pierwsze, bank na wniosek osoby ubiegającej się o ocenę ma obowiązek w formie pisemnej przekazać wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej, które to wyjaśnienie zawiera informacje na temat czynników, w tym danych osobowych tej osoby, które miały wpływ na dokonaną ocenę zdolności kredytowej. To raczej nie budzi kontrowersji. Nieco inaczej ma się jednak sprawa z art. 105a ust. 1a.

Zastosowanie zautomatyzowanego rozwiązania decyzyjnego jest uwarunkowane umożliwieniem osobie, której ocena dotyczy, otrzymania wyjaśnień co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu przeprowadzenia ponownej decyzji oraz do wyrażenia swojego stanowiska. Dlaczego moim zdaniem przepis jest nieco kontrowersyjny? Dlatego, że jest dość mocno niedookreślony i rodzi szereg pytań.

Algorytm

Czytając przepis można dojść do wniosku, że teoretycznie taka osoba może żądać przekazania zasad jakimi rządzi się dany algorytm (co jest de facto jego sercem). Tutaj oczywiście odnoszę się do wykorzystania czystego uczenia maszynowego (tutaj mamy bardzo wrażliwe informacje stanowiące tajemnicę handlową – a przynajmniej powinny one ją stanowić), a sprawa komplikuje się, jeżeli mamy do czynienia z prawdziwą sztuczną inteligencją. Co w takiej sytuacji powinien otrzymać wnioskodawca? Wydaje się, że mógłby żądać wyłącznie tych danych na jakich oparło się oprogramowanie wraz z metodologią „wyceny” zdolności kredytowej. I nic poza tym, czyli jak przy czynniku ludzkim. Ewentualnie dane, do których „równał” dany algorytm, choć tutaj pojawia się również pytanie o kwestię ewentualnej dyskryminacji.

Mamy jakieś wnioski?

Niektórym czytelnikom może się wydać, że przykłady, które opisałem powyżej to na razie science-fiction. Jeszcze niedawno jednak nikt nie myślał o zakupach z użyciem „twarzy”, a np. w Chinach jest to już jakiś trend. Rozwój tego typu rozwiązań będzie w dużej mierze podyktowany „dostosowaniem” regulacji do zmieniającego się otoczenia. Jeżeli będzie istniało zbyt wysokie ryzyko regulacyjne, to mało jaki podmiot zdecyduje się na wprowadzenie takiego produktu lub usługi. Niewykluczone jednak, że z pomocą przyjdzie Urząd, który w ramach rozwijania innowacji, np. poprzez Innovation Hub lub piaskownicę regulacyjną, umożliwi przynajmniej przetestowanie tego typu rozwiązań.

W kolejnej części

One thought on “RODO i Prawo bankowe, czyli ocena zdolności kredytowej z wykorzystaniem biometrii i sztucznej inteligencji”

Paweł pisze:

14 sierpnia 2019 o 22:37

Witam,

Tak jak Pan uważam, że ustawowy zakaz wykorzystania danych biometrycznych nie odnosi się do sytuacji w której podmiot danych wyraża zgodę na przetwarzanie danych tej kategorii.

Swoją drogą istnieją produkty ubezpieczeniowe / kredytowe uwzględniające w scoringu stan zdrowia bądź też aktywność fizyczną klienta

Pozdrawiam i czekam na kolejne publikacje

Odpowiedz

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech