金融集团数据整合：“信息孤岛”攻坚战

本文首发于《当代金融家》杂志2019年第8期，原文有删节，在此全文刊出。

金融集团通过将来源于不同成员企业的金融数据汇聚在一起并进行加工、分析、挖掘和可视化等处理，形成数据产品反馈给各成员企业，可以实现如下目的：

多维度的用户画像及群体的进一步细分使得推广内容能够更加精准地触达目标客户，从而实现千人千面的个性化营销。此外，数据整合还可以充分发掘现有客户资源，通过交叉营销满足其多种金融需求，避免重复开展不盈利的营销活动。

2. 优化运营管理

通过整合数据，可以形成直观反映全局的行业发展趋势及用户行为特征的洞察报告，为集团与成员企业的经营管理与战略决策提供支撑，识别流程缺陷，优化运营管理。

3. 研发新产品、开发新服务

4. 风险管理与反欺诈

通过透视客户与不同成员企业的交易行为，以更加及时、准确地发现集团和成员企业面临的风险。

1. 数据领域的一般规则

目前关于数据整合的一般规则集中体现在《网络安全法》和国家标准《个人信息安全规范》中。

根据《网络安全法》第42条、第44条，未经被收集者同意，网络运营者不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外；不得非法出售或者非法向他人提供个人信息。

从《网络安全法》的上述规定可以看出，现阶段立法者对于用户数据以保护为主，并不鼓励数据共享和整合。一是“未经被收集者同意，不得向他人提供个人信息”采用的是否定的表述方式，没有正面肯定数据共享的合法性。二是从逻辑上看，用户同意是共享数据的必要条件，不是充分条件，除了获取用户同意，是否还要满足其他条件不得而知。从法理上分析，数据安全，尤其是达到一定数量的金融数据的安全，不仅关乎个人权益，也关乎国家安全和社会公共利益（参见《网络安全法》第1条）。因此，仅有用户同意不足以确保国家安全和公共利益。

作为目前个人信息保护领域最重要的规则文件，《个人信息安全规范》（以下简称“《安全规范》”）为数据整合提供了更多的支撑，其第8条确认了在确有需要时可以共享和转让个人信息，并明确了具体的条件和要求。最近的修订稿则更进一步，明确规定了对个人信息汇聚融合的要求，在一定程度上肯定了数据汇聚融合的合法性。不过，以《安全规范》作为金融集团数据整合的法律依据，也存在一些不足：一是《安全规范》只适用于个人信息，不适用于非个人信息；二是《安全规范》是推荐性国家标准，效力层级较低；三是《安全规范》是一般规则，在适用顺序上劣后于金融行业的特殊规定。

2. 金融领域的特殊规则

相对于其他行业，金融行业的数据更加敏感，因此数据整合面临的法律限制较多。

中国人民银行在2011年出台的《关于银行业金融机构做好个人金融信息保护工作的通知》中规定，金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息，仅在“业务必需且用户授权”或“法律法规、中国人民银行另有规定”的情况下方可对外提供。据此，“原则禁止+例外允许”成为金融领域数据流动的基本监管框架。

此后，中国人民银行在2016年发布《金融消费者权益保护办法》，第32条认可了为数据分析目的而对外提供客户金融信息的合法性，为金融数据整合开了一个口子。银监会2013年出台的《银行业金融机构信息科技外包风险监管指引》（银监发[2013]5号）也认可了数据处理外包行为。不过，这些口子开得过小，且不明确。

在证券基金领域，监管者也对数据整合采取“原则禁止+例外允许”的监管思路。证监会于2014年发布的《证券公司客户资料管理规范》第4.4条规定，“证券公司应对客户资料予以保密，非依法律法规规定、监管报送、客户同意或者因客户身份识别的需要，不得向任何单位和个人提供。”证监会于2018年发布的《证券基金经营机构信息技术管理办法》（证监会令第[152]号）第34条规定，除法律法规和中国证监会另有规定外，证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息，不得以任何方式向其他机构、个人提供客户信息。在这一规定下，任何形式的数据整合都必须依赖法律法规或证监会的明确的允许规定，否则就是不合规的。

3. 金控公司监管办法带来的变化

在上述监管框架下，金融数据整合的合法空间非常有限，但最新的立法趋势表明，监管者有意为金融数据整合提供更大的自由空间。2019年7月26日，中国人民银行发布《金融控股公司监督管理试行办法（征求意见稿）》（以下简称“《草案》”），第22条规定，金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息。这一规定与上述限制性条款的例外情形接榫，为数据共享提供了明确的法律依据，有望扫清金融集团数据整合的法律障碍。《草案》第23条进一步规定了客户信息共享的条件：“金融控股公司及其所控股机构在集团内部共享客户信息时，应当确保依法合规、风险可控并经客户书面授权，防止客户信息被不当使用。”按照当前金融机构的数据安全水平和合规水平，满足这些条件并不困难。

需要说明的是，虽然《草案》为金融控股集团客户信息共享提供了明确的法律依据，但有三点仍然需要注意：

一是《草案》为金融控股集团设置了严苛的实体条件和程序条件，只有满足各项实体条件并经中国人民银行批准，才能设立金融控股公司，成立金融控股集团。只有依法设立的金融控股集团和金融机构跨业投资控股形成的金融集团（见《草案》第2条）才能适用客户信息共享的规则。除此以外的金融机构或金融集团不能适用《草案》，故原则上不得共享客户信息。

二是《草案》只为金融集团内部的客户信息共享开了绿灯，并未放开集团内企业与外部机构之间的信息共享，无论外部机构是否为金融机构。故超出金融集团范围共享客户信息仍然存在法律障碍。

1. 科技公司：数据整合的实施者

金融集团内的数据整合需要具体的实施主体，大数据平台也需要实际的运营主体。虽然集团公司可以承担这个角色，或者设立专门的数据业务部门来承担这个角色，但是出于风险隔离、专业化等因素考虑，这个角色通常由集团内具有独立法人资格的科技公司来承担。

科技公司承担数据整合实施者的角色，需要解决数据处理能力和数据安全能力问题。数据处理能力本质上属于商业问题，法律并无强制要求。科技公司通常需要具备相应的硬软件设施和有经验的数据分析团队，至少需要证明其数据处理能力超出单个成员企业的水平，否则无法说服成员企业积极参与数据整合。在实践中，科技公司并不是一开始就具有很强的数据处理能力，其能够向成员企业输出的数据产品也很有限，但是这是一个“先有鸡还是先有蛋”的问题，缺乏足够的数据资源和项目锻炼，科技公司的数据处理能力不可能得到提升。因此，在数据整合的初期，金融集团和成员企业不宜对科技公司的数据处理能力提出过高的要求，应当给予科技公司试错和提升的空间。

金融数据高度敏感高度密集，对数据安全的要求高于一般行业。因此，科技公司需要具备相应的数据安全能力，以满足合规要求，并消除成员企业对数据安全的担忧。《关于银行业金融机构做好个人金融信息保护工作的通知》第7条规定，“银行业金融机构通过外包开展业务的，应当充分审查、评估外包服务供应商保护个人金融信息的能力，并将其作为选择外包服务供应商的重要指标。”《证券期货业信息安全保障管理办法》第36条规定，“核心机构和经营机构应当建立供应商管理制度，定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。”由此可见，数据安全能力是科技公司实施数据整合的重要前提。

科技公司应当证明自身具有足够的数据安全能力。证明方式一是说明采取的数据安全保护措施，包括技术措施和管理措施，如身份鉴别、访问控制、数据加密、数据备份、病毒防范、入侵防范、去标识化和匿名化等，以及制定安全管理制度、设置安全管理部门和人员、开展个人信息安全影响评估、制定应急预案、开展应急演练、开展员工安全培训、聘请第三方评估、安全审计等。

证明方式二是说明通过的外部测评或认证等，如网络安全等级保护测评、ISO27001认证、国际信息安全管理体系认证、TRUSTArc、App个人信息安全认证等。

2. 成员企业：数据整合的贡献者与受益者

在数据整合中，成员企业既是原始数据的提供者，也是整合后输出的数据产品的使用者和受益者。成员企业参与数据整合，需要解决参与动力的问题。

从宏观和长期来看，随着数据分析技术的广泛和深入的应用，数据整合能够在客户营销、产品研发、运营改善、风险控制等方面为成员企业带来诸多收益，这是成员企业参与数据整合的根本动力所在。但在现实中，收益是不均衡的，而这种不均衡体现在两个层面，一是成员企业之间的不均衡，二是收益实现时间的不均衡。因为不同成员企业从事的业务不同，形成的数据的类型和规模也就不同，对于数据整合的需求和利用也不同，所以很可能出现的局面是，贡献数据较多、数据价值较高的成员企业，从数据整合中获取的收益较少，这样的成员企业参与数据整合的动力就较小。此外，即使从长期来看，各成员企业的贡献和收益可以实现均衡，短期内的局面却可能是成员企业向科技公司提供了大量的有价值的数据，而受限于数据处理能力，科技公司难以输出高价值的数据产品，或者由于经营管理模式的惯性，成员企业短期内难以充分利用这些数据产品，因此成员企业参与数据整合的动力有限。

当前金融集团数据整合的动力主要来自于集团从战略层面的推动，是自上而下的。但是，要使数据整合真正成为金融集团的核心竞争优势，就必须让成员企业将外在动力转化为内在动力，自下而上地推动数据整合，其中的关键则在于，形成一套对数据资产和数据产品进行定价和利益补偿的机制，通过市场机制，使各成员企业的贡献和收益实现均衡，进而实现集团收益的整体提升。当然，知易而行难，由于理论研究和立法供给的不足，当前对于数据资产的定性和权属尚且没有形成一致意见，遑论数据资产的公允定价和自由交易。要真正实现基于市场化机制的数据整合，还有很长的路要走。

3. 集团公司：数据整合的推动者和统筹协调者

集团公司在数据整合中主要扮演两个角色。在规划阶段，集团公司是数据整合的主要推动者；在实施阶段，集团公司是数据整合的统筹协调者。

如前所述，当前的金融数据整合，主要是自上而下的模式。相对于专注于特定业务的成员企业，集团公司更加关注战略和全局的问题，对于当前世界范围内金融科技的发展更加敏感，对于数据整合带来的竞争优势抱有更多期待，因此，有更加迫切的动机来推动集团内的数据整合，这是数据整合的最初的推动力量。当数据整合成为集团战略后，科技公司被赋予实施者的角色。即使是出于自身利益的考虑，科技公司也会积极协助集团公司，劝说和促使更多成员企业加入数据整合，否则，科技公司将面临巧妇难为无米之炊的尴尬局面。能够立即从数据整合中获得直接收益的成员企业也会成为数据整合的推动力量。但是不可否认的是，在最初阶段，数据整合的推动力量主要来自集团公司层面。

1. 统一签约模式

科技公司以及所有参与数据整合的成员企业共同签署一份统一的数据整合协议。各成员企业的权利义务一致，按照统一方式向科技公司提供数据，科技公司汇聚所有数据，统一进行处理，并将数据产品反馈给各成员企业。

统一签约模式的优点是，科技公司与各成员企业之间、不同成员企业之间可以相互进行数据处理授权，形成授权网络，并统一安排与数据有关的各项权利义务和责任，从而实现全面的、高水平的数据整合。但是这种模式对于成员企业的整体统筹协调要求较高，如果成员企业较多，不同成员企业的意见不统一，则推进难度较大，进度缓慢。

2. 分别签约模式

科技公司分别与各成员企业签署数据整合协议。在尽可能采用统一协议模板的前提下，各成员企业可根据各自的业务特点和实际情况，确定提供给科技公司的数据范围、提供方式、整合模式、整合成果、工作进度、与科技公司的费用责任分担等。

分别签约模式的优点是，可以根据各成员的业务特点、数据情况等进行灵活安排，成熟一家纳入一家，快速启动，逐步推进。但是，这种模式下缺乏统一的协议，囿于合同的相对性，只能实现各成员企业对科技公司的星状授权，不能形成各成员企业之间的交叉网状授权，授权不充分可能导致某些整合动作受限，比如不能实现全集团内的标签打通，或者成员企业对整合成果的应用受限，从而影响整合的效果。

3. 三方签约模式

这种模式与前面两种模式的区别在于，集团公司作为一方，加入科技公司与成员企业的统一协议或单独协议。数据整合的权利、义务仍然由科技公司与各成员企业承担，集团公司只承担统筹协调职责，不参与数据的提供、接收和处理。由于集团公司不接触数据，因此没有业务资格、数据安全能力等方面的要求。

数据整合面临的首要障碍是法律依据不充分，即将出台的金控公司监管办法如能明确允许集团内数据整合，则可以廓清这一障碍。此外，科技公司、成员企业以及金控公司应当明确自身的角色定位，充分发挥各自的功能和作用，并结合金融集团的实际情况，采取适当的合同架构，这样才能顺利推进数据整合并取得实际效果。