第二章 法律法规与监管要求:国内外主要合规监管框架
做合规风控系统,第一件事不是写代码。
是搞清楚——你到底要防什么?
我见过太多团队,一上来就搞规则引擎、搞实时监控,结果业务方问一句「你这个系统覆盖了GDPR的哪些条款?」直接哑火。说白了,合规系统是戴着镣铐跳舞。镣铐就是法律法规,你不先把它摸清楚,后面全是白干。
2.1 全球三大合规监管框架
我个人习惯,把全球合规框架分成三类:数据隐私类、财务内控类、金融安全类。这三类几乎覆盖了90%以上的合规场景。
2.1.1 GDPR(通用数据保护条例)
GDPR是欧盟的法规,但它的影响力是全球性的。只要你的系统处理了欧盟居民的个人数据,就得遵守。
核心原则:
- 合法、公正、透明:用户得知道你在收集什么数据,用来干嘛
- 目的限制:数据只能用于收集时声明的目的
- 数据最小化:只收集必要的数据,别贪多
- 存储限制:数据不能无限期保留
- 完整性与保密性:安全措施必须到位
我在项目中遇到过:一个客户要求系统记录用户每一次数据访问日志,并且保留至少6个月。当时我们设计了一个审计日志模块,每天产生上亿条记录。嗯,这里要注意——日志本身也属于个人数据,同样受GDPR约束。你不能把日志明文存着,得加密,还得做访问控制。
GDPR对系统设计的关键影响:
| 条款 | 系统要求 | 实现方式 |
|---|---|---|
| 第17条(被遗忘权) | 用户可要求删除个人数据 | 逻辑删除 + 数据擦除机制 |
| 第20条(数据可携带权) | 用户可导出个人数据 | 提供API或下载功能 |
| 第33条(数据泄露通知) | 72小时内通知监管机构 | 自动告警 + 事件响应流程 |
| 第35条(数据保护影响评估) | 高风险处理需做DPIA | 风险评估模块 + 文档记录 |
2.1.2 SOX(萨班斯-奥克斯利法案)
SOX主要针对上市公司,核心是财务内控。你想想看,如果一家公司的财务数据可以被随意篡改,那还谈什么合规?
SOX的核心要求:
- 第302条:CEO和CFO必须对财务报告的真实性负责
- 第404条:管理层必须评估并报告内部控制的有效性
- 第409条:重大事件必须及时披露
避坑指南:我曾经帮一家金融科技公司做SOX合规改造。他们原来的系统,财务数据修改没有任何审计日志。谁改的、改了什么、什么时候改的,全查不到。这要是被审计到,直接就是重大缺陷。后来我们加了一个强制性的审计追踪层——所有涉及财务数据的写操作,必须先写日志,再写数据。顺序不能反。
SOX对系统设计的关键影响:
- 所有财务相关操作必须有不可篡改的审计日志
- 权限控制必须严格分离(比如:录入和审核不能是同一个人)
- 系统变更必须有审批流程和回滚机制
- 定期生成内部控制报告
2.1.3 反洗钱(AML)
反洗钱是金融行业的重头戏。我做过几个银行的项目,反洗钱系统的复杂度远超想象。
核心监管要求:
- 客户尽职调查(CDD):开户时必须核实客户身份
- 交易监控:实时检测可疑交易模式
- 可疑交易报告(STR):发现可疑行为必须上报
- 记录保存:交易记录至少保存5年
注意:反洗钱系统最怕的是「误报率太高」。我见过一个系统,每天产生几万条告警,风控团队根本看不过来。结果真正可疑的交易反而被淹没了。所以设计规则引擎时,一定要平衡灵敏度和精确度。我个人习惯是先做规则粗筛,再用机器学习模型做二次过滤。
2.2 行业特定合规要求
不同行业的合规要求差异很大。我列几个常见的:
2.2.1 金融行业
- 巴塞尔协议III:资本充足率、流动性风险
- PCI DSS:支付卡数据安全
- KYC:了解你的客户
2.2.2 医疗行业
- HIPAA:美国医疗数据隐私与安全
- 医疗器械法规(MDR):欧盟医疗器械监管
2.2.3 数据安全行业
- 网络安全等级保护(等保2.0):中国网络安全法
- 个人信息保护法(PIPL):中国版GDPR
2.3 合规框架知识体系图
下面这张图,是我梳理的合规框架核心逻辑。你把它记在脑子里,做系统设计时就不会跑偏。
2.4 合规框架落地的通用原则
不管你面对的是哪个框架,有几个原则是通用的:
- 审计优先:所有操作都要可追溯。我建议在设计阶段就把审计日志当成一等公民,而不是事后补丁。
- 最小权限:用户只能访问他工作必需的数据。别图省事给所有人开管理员权限。
- 数据分类:先搞清楚你的数据里哪些是敏感数据,哪些是普通数据。不同等级的数据,保护措施不一样。
- 自动化合规:能用代码实现的合规检查,就别靠人工。人工容易漏,也容易累。
一个小技巧:我每次做合规系统设计,都会先画一张「合规要求-系统功能」映射表。左边列法律法规的具体条款,右边列系统需要实现的功能。这样评审的时候,审计师问起来,你直接指给他看——「这条,对应的是我们系统的这个模块。」省心省力。
好了,这一章的内容就到这里。合规框架是地基,地基打不牢,后面盖再高的楼也是危房。下一章我们开始聊具体的系统架构设计——怎么把这些合规要求,变成真正能跑的代码。