《金融数据开发、使用与合规》

华诚律师事务所合伙人 吴月琴律师

大家下午好，我是来自于华诚律师事务所的吴月琴律师，非常荣幸有这样一个机会来分享我的主题：《金融数据的开发、使用与合规》。

其实，金融数据的这三个方面是相辅相成的，合规也就是在保护个人金融信息权益的基础上进行数据的挖掘、使用，以达到数据对金融行业的赋能作用。

今天我的课程具体会分为三部分，第一个是金融数据利用需求与监管现状，第二个是金融数据流通需求与个人金融信息保护，第三个是引起大家热议的平台型企业介入金融领域的竞争风险。因为内容比较多而时间有限，所以有些内容我就挑一些重点给大家做一点分享。

第一部分是关于金融数据利用需求与监管现状。

在金融行业，我们对数据的利用需求是非常巨大的，主要体现在三方面：一是金融产品创新需求，对于金融交易市场最原始的、底层的数据，是非常有必要进行进一步的开发与衍生的。比如说我们可以基于这些市场数据、行情数据，预测金融市场的发展趋势，开发一些金融产品。二是金融风控需求，这也无需多言，根据金融风险情况，对有关信息及数据进行分析，挖掘风险情况，提高风险识别和防控能力，比如对于金融消费潜在者的贷前调查、核保调查等。三是对消费者的营销需求，通过分析客户消费习惯和购买能力，对其投资能力进行预测，并进行精准营销或提供定制化产品和服务。还有一些其他的需求，这里就不再列举了。

接下来我将会举几个我们在业务服务中的实例。比如我们购买了一个医疗保险，要使用医疗保险来对我们看病就诊的费用主张理赔。在这样一个场景中，其实涉及了对六大类数据的使用：一是基础就诊信息，二是所涉金额的发票信息，三是诊断信息，四是相关的费用明细，五是包括既往病史、诊治经过等在内的具体的病历数据，六是检查检验数据。那么对于这些个人信息，对于保险公司行业，收集后就可以进行进一步的开发和研究，将这些经过合法授权的个人金融信息与征信数据、财务数据、行业数据以及其他相关数据相结合，通过提取保险公司的投保人和用户所拥有的共有的一些因子，就可以做一个智能风控的数据产品。这款产品主要包括五大方面的模型，包括健康、财务、信用、职业、行为等。基于这些模型，就可以对后来的投保人进行评价评分，从而得出其适合哪一个险种、保险公司的承保的赔偿率为多少的结论——这就是金融数据应用的一个典型示例。

我们说，监管是基于金融数据利用来进行不断的规范与细化的，那我们接下来梳理一下，金融数据利用的相关规定，现在主要是有四个层级的规范，第一个层级是最重要的基本的法律，即《数据安全法》、《个人信息保护法》和《网络安全法》；第二个层级是适用于分业监管的法律法规，比如《金融机构反洗钱和反恐怖融资监督管理办法》、《理财公司理财产品销售管理暂行办法》等；第三个层级是关于行业的规范标准，比如2020年的《个人金融信息保护技术规范》以及相关的金融安全的行业标准规范；第四个层级是颗粒度非常细致的一些规定，比如对于金融行业APP的违法违规处理办法、移动数据及个人信息的必要范围的规定等。我们在此就不再展开。

那么关于目前的监管现状，我们总结有三个特点，一是规范悬而未决：一方面，因为《个人信息保护法》尚未出台，导致很多企业在制定相关制度时没有准确的法律依据而仍处于观望的状态；其次很多法规仍处于征求意见稿的阶段，而我们的制度需要更细致的规则进行精细化的设计。二是对于金融行业数据监管日益强化：据统计，截至2020年10月底，金融行业涉及的因涉及个人信息违规而处罚的行政案件共有181起，金额达1.8亿。三是单位压力增加：在立法密集出台、监管强度日益加大的环境下，金融行业的合规成本与合规压力增大。

以反洗钱为例，法律法规要求金融机构要对客户进行尽职调查，收集三类信息，包括身份识别信息、身份资料信息、交易记录，那么这是否违反个人信息保护的相关法律呢？这就提示我们要在上述两种法律体系中做一个平衡。反洗钱义务是《个保法》明确规定可以作为豁免个人同意的例外，但要注意的是，豁免同意并不等于豁免告知义务，同时金融机构内容也要对收集到的数据进行规范的管理。因此不难发现，对于金融数据的监管要求并没有因为豁免同意的例外而降低。

另外，国家对于个人信息保护的执法力度也在增强。以滴滴出行为例，最近滴滴出行的这一事件就很好地体现了合规的压力和要求。而金融行业因为涉及到很多个人的敏感信息，许多大型的金融行业主体很可能会被认定为“CIIO”（关键信息基础设施运营者）。在此情况下，就需要相关主体去履行CIIO关于网络安全审查的义务。而滴滴出行最严重的后果是其APP被下架，也导致其他类似经营主体（如货运帮、Boss直聘）被联动进行审查。而这个例子也说明，不能因为国家没有审查而放松企业自身对于合规的要求。同时也提醒企业在不确定自己的制度是否合规的情况下，应及时主动向有关政府部门寻求指导，从而为企业后续商业发展消除隐患。

对于如何实现更好的监管，主要有三个方面：一是加快立法工作，推进具有实操性、可行性、同一性的规则、制度落地；二是明确监管红线，将确保数据安全作为进入数据开发的底层逻辑；三是创新监管模式，进一步推进“沙盒监管”试点，创新金融数据治理体系，从而帮助金融机构实现数据赋能。

第二部分是关于金融数据流通需求与数据开发。

以项目中关于保险行业的实例展开，当投保人需要投保时，保险机构就会面临需要数据流通的场景，比如其中的决策、定价、调查、核实过程。保险机构需要获得有关投保人的多方面的数据信息，其中就会涉及保险机构与医疗机构、政府机构以及其他保险机构的数据汇集、融合、流通的问题。

所以在数据流通及开放方面就会涉及三个方面的内容：一是公共数据开放的边界，包括公共数据的范围、公共数据开放的条件、对公共数据安全的担忧。二是个人金融信息共享的要求，包括可共享的范围、共享的合规动作。三是金融机构间数据流通的障碍，一方面是数据孤岛的存在，即机构获得的数据是否可以共享给其他机构；另一方面是数据安全的担忧。

那么围绕公共数据开放，其实已经有些地方政府出台了一些相关的地方性法规或举措来促进个人数据的开放，使之能够取之于民、用之于民。例如，上海的一网通办就尝试能够打通数据从而能够更好地服务上海市民。还有最近热议的深圳的数据条例，在这个数据条例中就专章规定了公共数据的共享、开放和流通问题，对公共数据开放作出了如下四个方面的限定：一是保护个人信息及隐私，保护私益为第一性，同时采取技术措施降低敏感度，从而促进数据流通。二是明确可公开数据范围，对公共数据进行分级分类，明确限制及公开条件。三是明确公众获取条件，如公众主体要求、使用要求、保障措施要求等；四是公共数据开放的目的是为了推进数字化改革与数字化建设，使公众获取公共数据更加便利，公共数据流通更加安全。

对于公共数据的流通与开放都是基于个人金融信息保护合规的要求，而对个人金融信息的保护则涉及了对个人金融信息生命周期的安全规范，其主要包括六个阶段，分别是收集、传输、存储、使用、删除、销毁。而大家目前都比较关注收集阶段的授权，而对于删除和销毁阶段没有给予足够的关注。而这也是现阶段监管的一个重点。而对于使用阶段，其包括了金融信息在显示终端的展示、向第三方的共享、转让、委托处理，甚至是公开披露等非常多方面的问题。

接下来我说一下对于在金融科技论坛上提到的关于金融信息数据的一个值得关注的重点，即“考虑到金融数据的敏感性和特殊性……所以要求银行业机构要进一步探索强化对客户信息使用知情权、数据使用协议理解权、数据’被遗忘权’等权利的保护”。具体到合规方面，金融机构第一要对个人金融信息进行分级分类，第二要进行安全影响评估，第三要注意告知及授权，第四涉及共享问题时要在合同中约定双方的义务以及数据安全保障责任的分担，第五是要响应、协助个人信息保护的行权。

对于委托第三方处理的问题，我们列举了以下六个需要关注的重点：第一是要获得个人信息主体的明示同意。第二是要评估受托方的个人金融信息保护能力。第三是要通过合同明确受托方的保护职责和义务。第四是要采取必要措施监督第三方履行相关职责和义务。第五是要在委托终止后确保第三方立即销毁获取的个人金融信息。第六是需要注意金融机构的个人金融信息安全保护义务不会因委托处理而转移或减免。

对于金融控股公司的信息共享问题，在之前出台的《金融控股公司监督管理试行办法》中，对金融控股集团之间的信息共享开了绿灯。其中特别提到“金融控股公司与其所控股机构之间、其所控股机构之间在开展业务协同，共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时，不得损害客户权益，应当依法明确风险承担主体，防止风险责任不清、交叉传染及利益冲突”。其次在“集团内部共享客户信息时，应当确保依法合规、风险可控并经客户书面授权或同意，防止客户信息被不当使用”。这些规定也为金融控股公司之间的信息共享提供了法律依据。

最后，是关于如何构建可信金融数据流通渠道，激发数据市场活力的问题。主要包含三个主体：一是交易市场，通过成熟的技术及可信的标准和规则，确保平台内数据流通安全。二是行业协会，发挥其自律监管作用，制定行业内数据流通统一标准，畅通数据流通渠道。三是监管机构，强化反垄断与反不正当竞争的执法，规范交易行为，维护公平有序交易环境。

第三部分是关于平台型企业介入金融领域的竞争风险。

平台型企业介入金融领域主要存在以下三大风险：一是资质风险，平台型企业需要在业务开展过程中明确哪些是属于金融行为、介入了金融行为的哪一环节、进而明确是否具备相应资质。二是不正当竞争风险，主要涉及如何合法获取、使用数据，是否会涉及不正当竞争等方面的问题。三是数据垄断风险，数据平台是存在天然的垄断倾向的，金融领域也当然的存在数据垄断问题。

对于如何消解风险，我们简单梳理了以下三个方面的措施：首先面对资质风险，应当加强资质监管，提高准入门槛，降低金融风险，细化金融牌照，探索分级牌照体系。其次是关于竞争法的风险，金融领域也涉及许多不正当竞争的执法，而随着个保法大年的到来，也会出现更多的监管实例。最后对企业自身来说，应当加强合规管理，评估经营过程中竞争行为的性质，避免面临监管风险。

关于平台型企业，其数据爬取与使用的合理限度在2019年下半年曾一度引起热议。金融企业在利用平台通过爬取或其他手段获取的相关数据时，应当注意使用的合理限度。具体包括判断其爬取的对象是否是合法、抓取的手段是否是合法、抓取的后续行为是否是合法等。在此就不再具体展开。

接下来，我们提炼了金融机构数据治理及合规工作的框架。在金融机构在进行数据治理与合规工作时应注意三大方面，一是资质管理；二是在数据管理方面要识别自己的数据资产并注意网络安全与相应数据的合规要求；三是制度管理，包括访问控制、风险评估等。

对于安全体系构建的问题，我们也提出了企业日常需要注意的五大核心问题，我认为对于金融机构最关键的还是要注意来自外部的风险，主要是注意对外包服务机构与外部合作机构的管理，还有就是确保具备行之有效的应急流程和预案。

最后，我们的数据合规服务所涉及的方面其实也是企业应当关注的重要工作。比如与受托方的数据共享协议文本的安排、评估数据合规差距及制度完善、对于数据资产运用方面的合并、收购问题等等。

时间有限，我今天的分享就到此结束，谢谢大家！