查看原文
其他

金融集团数据整合:“信息孤岛”攻坚战


数据隐私和网络安全

专栏


本文首发于《当代金融家》杂志2019年第8期,原文有删节,在此全文刊出。

一、数据整合何以发生?


金融集团包含多个成员企业,通常涉足银行、信托、证券、期货、基金、保险等两项以上的金融业务。金融集团的各个成员企业在开展业务过程中分别积累了不同维度、不同类型的客户数据。通常而言,这些数据都是随着成员企业各自的业务发展而自发形成的,彼此分割,形成了金融集团内部的一个个“信息孤岛”。随着大数据时代的到来,金融集团存在极强的动因来整合这些可能高度关联的数据。

金融集团通过将来源于不同成员企业的金融数据汇聚在一起并进行加工、分析、挖掘和可视化等处理,形成数据产品反馈给各成员企业,可以实现如下目的:

1. 精准营销与交叉营销

多维度的用户画像及群体的进一步细分使得推广内容能够更加精准地触达目标客户,从而实现千人千面的个性化营销。此外,数据整合还可以充分发掘现有客户资源,通过交叉营销满足其多种金融需求,避免重复开展不盈利的营销活动。

2. 优化运营管理

通过整合数据,可以形成直观反映全局的行业发展趋势及用户行为特征的洞察报告,为集团与成员企业的经营管理与战略决策提供支撑,识别流程缺陷,优化运营管理。

3. 研发新产品、开发新服务

客户在不同领域表现出的行为特征与趋势是集团及成员企业在新业务场景中预测客户需求、打造新产品或服务的参考依据。

4. 风险管理与反欺诈

通过透视客户与不同成员企业的交易行为,以更加及时、准确地发现集团和成员企业面临的风险。

比如,通过汇聚来自银行、证券、基金、保险等不同领域的数据,对特定客户进行社会网络分析,将相似的注册地址、电话号码,或者相同的任职人员,或相互对应的款项进出等因素进行联机分析,从而识别潜在的关联关系,防止重复授信或骗贷等。

二、如何构建数据整合的法律基础?


金融集团开展数据整合,面临的第一个问题就是合法性问题。总体来说,目前数据领域的一般规则对数据整合的支撑不足,金融领域的特殊规则对数据整合限制较多。

1. 数据领域的一般规则

目前关于数据整合的一般规则集中体现在《网络安全法》和国家标准《个人信息安全规范》中。

根据《网络安全法》第42条、第44条,未经被收集者同意,网络运营者不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外;不得非法出售或者非法向他人提供个人信息。

从《网络安全法》的上述规定可以看出,现阶段立法者对于用户数据以保护为主,并不鼓励数据共享和整合。一是“未经被收集者同意,不得向他人提供个人信息”采用的是否定的表述方式,没有正面肯定数据共享的合法性。二是从逻辑上看,用户同意是共享数据的必要条件,不是充分条件,除了获取用户同意,是否还要满足其他条件不得而知。从法理上分析,数据安全,尤其是达到一定数量的金融数据的安全,不仅关乎个人权益,也关乎国家安全和社会公共利益(参见《网络安全法》第1条)。因此,仅有用户同意不足以确保国家安全和公共利益。

作为目前个人信息保护领域最重要的规则文件,《个人信息安全规范》(以下简称“《安全规范》”)为数据整合提供了更多的支撑,其第8条确认了在确有需要时可以共享和转让个人信息,并明确了具体的条件和要求。最近的修订稿则更进一步,明确规定了对个人信息汇聚融合的要求,在一定程度上肯定了数据汇聚融合的合法性。不过,以《安全规范》作为金融集团数据整合的法律依据,也存在一些不足:一是《安全规范》只适用于个人信息,不适用于非个人信息;二是《安全规范》是推荐性国家标准,效力层级较低;三是《安全规范》是一般规则,在适用顺序上劣后于金融行业的特殊规定。

2. 金融领域的特殊规则

相对于其他行业,金融行业的数据更加敏感,因此数据整合面临的法律限制较多。

中国人民银行在2011年出台的《关于银行业金融机构做好个人金融信息保护工作的通知》中规定,金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息,仅在“业务必需且用户授权”或“法律法规、中国人民银行另有规定”的情况下方可对外提供。据此,“原则禁止+例外允许”成为金融领域数据流动的基本监管框架。

此后,中国人民银行在2016年发布《金融消费者权益保护办法》,第32条认可了为数据分析目的而对外提供客户金融信息的合法性,为金融数据整合开了一个口子。银监会2013年出台的《银行业金融机构信息科技外包风险监管指引》(银监发[2013]5号)也认可了数据处理外包行为。不过,这些口子开得过小,且不明确。

在证券基金领域,监管者也对数据整合采取“原则禁止+例外允许”的监管思路。证监会于2014年发布的《证券公司客户资料管理规范》第4.4条规定,“证券公司应对客户资料予以保密,非依法律法规规定、监管报送、客户同意或者因客户身份识别的需要,不得向任何单位和个人提供。”证监会于2018年发布的《证券基金经营机构信息技术管理办法》(证监会令第[152]号)第34条规定,除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。在这一规定下,任何形式的数据整合都必须依赖法律法规或证监会的明确的允许规定,否则就是不合规的。

3. 金控公司监管办法带来的变化

在上述监管框架下,金融数据整合的合法空间非常有限,但最新的立法趋势表明,监管者有意为金融数据整合提供更大的自由空间。2019年7月26日,中国人民银行发布《金融控股公司监督管理试行办法(征求意见稿)》(以下简称“《草案》”),第22条规定,金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息。这一规定与上述限制性条款的例外情形接榫,为数据共享提供了明确的法律依据,有望扫清金融集团数据整合的法律障碍。《草案》第23条进一步规定了客户信息共享的条件:“金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权,防止客户信息被不当使用。”按照当前金融机构的数据安全水平和合规水平,满足这些条件并不困难。

需要说明的是,虽然《草案》为金融控股集团客户信息共享提供了明确的法律依据,但有三点仍然需要注意:

一是《草案》为金融控股集团设置了严苛的实体条件和程序条件,只有满足各项实体条件并经中国人民银行批准,才能设立金融控股公司,成立金融控股集团。只有依法设立的金融控股集团和金融机构跨业投资控股形成的金融集团(见《草案》第2条)才能适用客户信息共享的规则。除此以外的金融机构或金融集团不能适用《草案》,故原则上不得共享客户信息。

二是《草案》只为金融集团内部的客户信息共享开了绿灯,并未放开集团内企业与外部机构之间的信息共享,无论外部机构是否为金融机构。故超出金融集团范围共享客户信息仍然存在法律障碍。

三是根据《草案》第2条,金融控股集团包括金融控股公司以及其所控股的金融机构,金融机构仅限于:商业银行(不含村镇银行)、金融租赁公司、信托公司金融资产管理公司、证券公司、基金管理公司、期货公司、人身保险公司、财产保险公司、再保险公司、保险资产管理公司、金融管理部门认定的其他金融机构。另据《草案》第17条,除了投资控股上述金融机构外,金融控股公司还可以投资经金融管理部门认定与金融业务相关的机构,但投资总额账面价值原则上不得超过金融控股公司净资产的15%。根据中国人民银行随《草案》一并发布的《答记者问》,金融科技公司就是典型的与金融业务相关的非金融机构,对辅助金融业务发展十分重要。在符合投资限额的前提下,金融控股公司可以投资设立金融科技公司。这就为金融科技公司参与金融集团内信息共享、甚至担当集团内客户信息共享整合平台的运营主体提供了依据。这也契合当前金融集团客户信息共享整合的普遍实践。

三、数据整合的参与者有哪些?


金融集团的数据整合主要涉及三类主体:科技公司、成员企业和集团公司。三种主体分别扮演不同的角色,其中科技公司的角色最为重要。

1. 科技公司:数据整合的实施者

金融集团内的数据整合需要具体的实施主体,大数据平台也需要实际的运营主体。虽然集团公司可以承担这个角色,或者设立专门的数据业务部门来承担这个角色,但是出于风险隔离、专业化等因素考虑,这个角色通常由集团内具有独立法人资格的科技公司来承担。

科技公司承担数据整合实施者的角色,需要解决数据处理能力和数据安全能力问题。数据处理能力本质上属于商业问题,法律并无强制要求。科技公司通常需要具备相应的硬软件设施和有经验的数据分析团队,至少需要证明其数据处理能力超出单个成员企业的水平,否则无法说服成员企业积极参与数据整合。在实践中,科技公司并不是一开始就具有很强的数据处理能力,其能够向成员企业输出的数据产品也很有限,但是这是一个“先有鸡还是先有蛋”的问题,缺乏足够的数据资源和项目锻炼,科技公司的数据处理能力不可能得到提升。因此,在数据整合的初期,金融集团和成员企业不宜对科技公司的数据处理能力提出过高的要求,应当给予科技公司试错和提升的空间。

金融数据高度敏感高度密集,对数据安全的要求高于一般行业。因此,科技公司需要具备相应的数据安全能力,以满足合规要求,并消除成员企业对数据安全的担忧。《关于银行业金融机构做好个人金融信息保护工作的通知》第7条规定,“银行业金融机构通过外包开展业务的,应当充分审查、评估外包服务供应商保护个人金融信息的能力,并将其作为选择外包服务供应商的重要指标。”《证券期货业信息安全保障管理办法》第36条规定,“核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。”由此可见,数据安全能力是科技公司实施数据整合的重要前提。

科技公司应当证明自身具有足够的数据安全能力。证明方式一是说明采取的数据安全保护措施,包括技术措施和管理措施,如身份鉴别、访问控制、数据加密、数据备份、病毒防范、入侵防范、去标识化和匿名化等,以及制定安全管理制度、设置安全管理部门和人员、开展个人信息安全影响评估、制定应急预案、开展应急演练、开展员工安全培训、聘请第三方评估、安全审计等。

证明方式二是说明通过的外部测评或认证等,如网络安全等级保护测评、ISO27001认证、国际信息安全管理体系认证、TRUSTArc、App个人信息安全认证等。

2. 成员企业:数据整合的贡献者与受益者

在数据整合中,成员企业既是原始数据的提供者,也是整合后输出的数据产品的使用者和受益者。成员企业参与数据整合,需要解决参与动力的问题。

从宏观和长期来看,随着数据分析技术的广泛和深入的应用,数据整合能够在客户营销、产品研发、运营改善、风险控制等方面为成员企业带来诸多收益,这是成员企业参与数据整合的根本动力所在。但在现实中,收益是不均衡的,而这种不均衡体现在两个层面,一是成员企业之间的不均衡,二是收益实现时间的不均衡。因为不同成员企业从事的业务不同,形成的数据的类型和规模也就不同,对于数据整合的需求和利用也不同,所以很可能出现的局面是,贡献数据较多、数据价值较高的成员企业,从数据整合中获取的收益较少,这样的成员企业参与数据整合的动力就较小。此外,即使从长期来看,各成员企业的贡献和收益可以实现均衡,短期内的局面却可能是成员企业向科技公司提供了大量的有价值的数据,而受限于数据处理能力,科技公司难以输出高价值的数据产品,或者由于经营管理模式的惯性,成员企业短期内难以充分利用这些数据产品,因此成员企业参与数据整合的动力有限。

当前金融集团数据整合的动力主要来自于集团从战略层面的推动,是自上而下的。但是,要使数据整合真正成为金融集团的核心竞争优势,就必须让成员企业将外在动力转化为内在动力,自下而上地推动数据整合,其中的关键则在于,形成一套对数据资产和数据产品进行定价和利益补偿的机制,通过市场机制,使各成员企业的贡献和收益实现均衡,进而实现集团收益的整体提升。当然,知易而行难,由于理论研究和立法供给的不足,当前对于数据资产的定性和权属尚且没有形成一致意见,遑论数据资产的公允定价和自由交易。要真正实现基于市场化机制的数据整合,还有很长的路要走。

3. 集团公司:数据整合的推动者和统筹协调者

集团公司在数据整合中主要扮演两个角色。在规划阶段,集团公司是数据整合的主要推动者;在实施阶段,集团公司是数据整合的统筹协调者。

如前所述,当前的金融数据整合,主要是自上而下的模式。相对于专注于特定业务的成员企业,集团公司更加关注战略和全局的问题,对于当前世界范围内金融科技的发展更加敏感,对于数据整合带来的竞争优势抱有更多期待,因此,有更加迫切的动机来推动集团内的数据整合,这是数据整合的最初的推动力量。当数据整合成为集团战略后,科技公司被赋予实施者的角色。即使是出于自身利益的考虑,科技公司也会积极协助集团公司,劝说和促使更多成员企业加入数据整合,否则,科技公司将面临巧妇难为无米之炊的尴尬局面。能够立即从数据整合中获得直接收益的成员企业也会成为数据整合的推动力量。但是不可否认的是,在最初阶段,数据整合的推动力量主要来自集团公司层面。

数据整合是一项系统性、持续性的工作,而且鲜有先例可循。因此,在实施过程中,有大量的问题需要解决,集团公司的统筹协调就显得尤为重要。根据相关理论,企业集团是介于单一企业与完全的市场竞争之间的中间形态。不同成员企业之间、成员企业与科技公司之间既不是完全的市场竞争关系,也不是完全的内部行政管理关系。集团公司基于股权投资关系等,对于各成员企业有一定的控制力和影响力;各成员企业基于公司法和证券法确立的公司治理结构,又具有相当的独立性。如果一开始就采用完全市场化的机制,在利益不均衡的情况下,数据整合就难以启动,或者即使启动,规模和范围也很有限,整合效果不彰;如果完全采用行政化的手段,则可能使数据整合流于框架和形式,不能真正发挥提升竞争优势的效果,还可能与公司治理与合规管理发生冲突,产生合规风险。这就要求集团公司充分发挥统筹协调功能,在市场机制与行政手段之间寻求巧妙的平衡。

四、数据整合的架构如何搭建?


金融集团数据整合的整体架构有以下几种搭建模式:

1. 统一签约模式

科技公司以及所有参与数据整合的成员企业共同签署一份统一的数据整合协议。各成员企业的权利义务一致,按照统一方式向科技公司提供数据,科技公司汇聚所有数据,统一进行处理,并将数据产品反馈给各成员企业。

统一签约模式的优点是,科技公司与各成员企业之间、不同成员企业之间可以相互进行数据处理授权,形成授权网络,并统一安排与数据有关的各项权利义务和责任,从而实现全面的、高水平的数据整合。但是这种模式对于成员企业的整体统筹协调要求较高,如果成员企业较多,不同成员企业的意见不统一,则推进难度较大,进度缓慢。

2. 分别签约模式

科技公司分别与各成员企业签署数据整合协议。在尽可能采用统一协议模板的前提下,各成员企业可根据各自的业务特点和实际情况,确定提供给科技公司的数据范围、提供方式、整合模式、整合成果、工作进度、与科技公司的费用责任分担等。

分别签约模式的优点是,可以根据各成员的业务特点、数据情况等进行灵活安排,成熟一家纳入一家,快速启动,逐步推进。但是,这种模式下缺乏统一的协议,囿于合同的相对性,只能实现各成员企业对科技公司的星状授权,不能形成各成员企业之间的交叉网状授权,授权不充分可能导致某些整合动作受限,比如不能实现全集团内的标签打通,或者成员企业对整合成果的应用受限,从而影响整合的效果。

3. 三方签约模式

这种模式与前面两种模式的区别在于,集团公司作为一方,加入科技公司与成员企业的统一协议或单独协议。数据整合的权利、义务仍然由科技公司与各成员企业承担,集团公司只承担统筹协调职责,不参与数据的提供、接收和处理。由于集团公司不接触数据,因此没有业务资格、数据安全能力等方面的要求。

在前面两种模式下,集团公司依据股权关系和管理关系行使统筹协调职责,不体现在数据整合协议中。在三方签约模式下,集团公司从幕后走向前台,通过协议赋予集团公司统筹协调的权利和义务,在某些情况下(如集团公司控制力较弱),这种模式有利于集团公司开展相关工作,提高整合工作效率。

五、结语


风物长宜放眼量。随着大数据技术在金融领域的广泛应用,金融数据整合成为大势所趋。金融集团通过整合集团内的数据,可以实现营销、研发、运营、风控等多种目的,全面提升集团竞争力。

数据整合面临的首要障碍是法律依据不充分,即将出台的金控公司监管办法如能明确允许集团内数据整合,则可以廓清这一障碍。此外,科技公司、成员企业以及金控公司应当明确自身的角色定位,充分发挥各自的功能和作用,并结合金融集团的实际情况,采取适当的合同架构,这样才能顺利推进数据整合并取得实际效果。


数据隐私和网络安全专栏往期文章

1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求

2. 您的公司有数据保护官了吗?

3. 个人信息安全——“用户同意”之浅析

4. 记账理财APP的个人信息合规挑战

5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”

6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题

7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争

8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点

10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解

12. 欧盟《统一数据保护条例》(GDPR)适用问答

13. 中国企业的GDPR合规挑战

14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究

15. 银行业金融机构数据治理中的个人信息保护

16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化

17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对

18. 放弃or坚持——出海游戏公司如何应对GDPR?

19. 标准合同条款:欧盟个人数据出境的常规路径之一

20. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍

21. 当资本运作遇到网络安全:尽调该怎么做?
22. 电信和互联网行业网络安全大检查来临,你准备好了吗?

23. 企业如何开展网络与数据安全事件应急演练?

24. 银行业金融数据出境的监管框架与脉络

25. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?

26. 实施已满三月,区块链新规“回头看”

27. 网约车与电商法的适用五题

28. 网约车行业数据保护的规则及其特点

29. 企业如何应对数据泄露


作者介绍



   袁立志    


合伙人

021-2613 6222

yuan.lizhi@jingtian.com


袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。袁律师于2016年作为合伙人加入竞天公诚律师事务所。

袁律师持有IAPP(国际隐私专家协会)颁发的CIPP/E证书。

袁律师的执业领域为网络安全与数据保护、企业融资、并购及公司法律事务。袁律师最早从2009年开始即为客户提供商用密码等方面的法律服务,2016年曾主办大数据企业上海思贤信息技术股份有限公司(836095)新三板挂牌项目。

近年来,袁律师曾为多家知名企业提供数据法律服务,包括大型金融集团、汽车制造商、头部互联网企业、数据企业、医疗机构等。



声明 DISCLAIMER


本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。

This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存