专家点评 | 网络安全法视角下的金融机构大数据战略构建

随着远程身份识别技术和大数据方法的逐步推广，金融机构的业务流程和业务链条已经逐步实现了全程数据化。

数据成为金融机构业务推广、风险防控、业务审核、客户识别、产品创新的基数，大数据战略成为金融机构的核心战略。大数据战略推行，意味着金融机构必须成为数据的采集者、加工者、运用者，但数据本身重要的来源是金融机构的客户或者其他渠道的用户，大数据战略绕不开的一个障碍是个人信息保护。

2017年6月1日生效的《网络安全法》，在网络安全支持与促进、网络运行安全、网络信息安全、检测预警与应急处置等方面进行了规范。特别是在个人信息保护方面进行了专门的规制，对信息获取的原则、方法、法律责任也进行了明确。事实上，个人信息保护在民法通则、刑法、全国人大的相关决定、最高院司法解释中也都有规定。网络安全法是对上述原则、规则的概括性规定，也是在法律上进一步强化个人信息保护的举措。

个人信息保护与金融机构大数据战略，是天然的一对矛盾，吴卫明博士认为，在网络安全法的大背景下，如何合理的收集、加工、使用个人信息，成为企业大数据战略构建过程中必须考虑的因素。

对于公民个人信息保护，我国相关立法一直非常重视。除了民法通则及2017年即将生效的民法总则做了相应规定外，2012年全国人大常委会颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，也对此做了规定。该决定对于国家保护公民信息、网络服务提供者保护公民信息、信息的收集和使用规则、禁止泄漏和散布个人信息、禁止窃取和出售个人信息均做了较为详尽的规定。

2017年6月1日生效的《网络安全法》对于个人信息收集的原则、个人信息保护也做了详尽的规定。

《网络安全法》第22条规定： 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

《网络安全法》第41条规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

《网络安全法》第40条规定：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。42条规定：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

上述个人信息保护的规则，从信息收集、使用、保存、转移均做了规定。用一句话归纳就是，网络运营者可以收集公民个人信息，但应在必要范围内，并且不能随意交给第三方使用。

大数据的基础是信息的获取和加工、利用，但是这一过程必然涉及到对个人信息的获取。在实践操作中，常见的问题主要包括以下几个方面：

此类情况在手机应用程序中比较常见，比如部分手机应用程序，其默认功能设置为获取用户的地理信息，需要用户专门关闭后才停止信息的收集。此类应用将用户的地理信息作为提供用户需求分析以及改善服务体验的重要数据源， 在商业目的上具有一定的合理性，但却存在收集个人信息未经明示和获得用户同意的问题。

还有人脸识别过程中对用户面部特征信息的获取，也会存在获取用户人脸特征，但未能明确告知的情况。

可以说，明示告知，是网络运营者在获取用户信息过程中容易忽略的问题。

此种情况，容易发生在大型企业集团或金融集团内部。通常，金融企业会将收集到的用户信息作为自己的重要资产。而同一企业集团内部的不同主体所获取的用户信息通常具有互补性，在数据维度上也更为丰富，更有利于大数据模型的建立和分析。

于是，在同一集团内部，数据信息的混用也成为企业比较容易忽略的法律风险。此外，不同的企业主体之间，也存在着通过协议进行信息互换的情况。上述信息混用，如果没有取得用户事先同意，将会产生违法的风险。

由于互联网上个人信息获取的便利性和传递的低成本，加之信息资源的边际成本递减特性，导致信息的获取者往往有将获得的信息再次转卖的动机，业内部分互联网运营者缺乏个人信息保护的意识。

对于金融行业而言，通常并不具有主动窃取或出卖用户信息的动机，但是，出于大数据征信和风控的需要，经常会选择从第三方买入个人信息。这一点，在上海市2016年打击倒卖个人信息犯罪的执法活动中，已经有所体现。如果第三方数据提供商在个人信息提供过程中，未获得用户授权，或者第三方数据本身是通过不当爬取、恶意获取、非法买入获得，则金融机构从第三方获取信息的行为，将会存在很大的法律合规风险。

对于跨国经营的金融机构而言，在中国境内获得用户个人信息，如果需要跨境使用，也会面临法律合规问题。对此，《网络安全法》规定了“关键信息基础设施的运营者”特殊的跨境数据使用和安全审查规则。国家网信办发布的《个人信息和重要数据出境安全评估办法》（征求意见稿）则将个人信息出境的适用范围扩展到所有的网络运营者。金融机构作为国际间投资、贸易的结算和支付中枢，也将受到数据跨境适用规则的影响。

对于《网络安全法》及其他个人信息保护的法律、法规、规章对金融机构的影响，吴卫明博士认为，金融机构首先应构建自身的大数据战略，以此进行应对，降低法律对自己的影响。大数据战略应从以下几个方面予以考虑：

是否属于“关键信息基础设施的运营者”，这是网络者运营首先需要对自身作出的定位。按照《网络安全法》的规定，“关键信息基础设的运营者”除了需要承担普通网络运营者的法律责任外，在信息保护、内部合规、机构设置等方面还需要承担特殊责任。特别是在跨境信息传输和使用方面，需要承担更多的责任。

不同主体定位，机构的数据管理责任也不同，对于大数据利用的限制也会不同。因此，金融机构对自身的网络运营者地位作出界定，是大数据战略的前提。

不同数据，有着不同的价值，数据泄漏或混用给用户、社会公共利益、国家安全造成的损害也是不同的。吴卫明博士认为，数据分层战略，是企业大数据战略的基础。

这要求金融机构在收集用户信息前，需要对数据的维度作出合理的分析，并且对数据设置不同的敏感度层级。经过数据分层处理，针对不同的合规需要与合规事项，企业可以有采取更具针对性的应对方法。

从统计学意义上讲，数据维度的丰富，有利于数据模型的准确分析。但是，在商业应用中，也需要考虑因子的相关性，对于部分维度的数据，虽然具有相关性，但对于商业判断并不具有实质性价值，则可以在数据模型中大胆剔除。

按照个人信息保护的原则，过多的数据也会成为企业的负担，甚至带来不必要的法律风险。因此，数据模型优化也是金融企业大数据战略需要考虑的。

《网络安全法》在信息保护领域，既具有私法的特征，也带有公法特征。因此，网络安全法对于个人信息保护采用了公共责任立法的原则。即，如果网络运营者发生信息泄漏等安全事故，网络运营者需要承担相应的法律责任。这一点，与重大生产责任事故罪的立法思路是一致的。而网络运营者是否已经按照法律、法规、规章的要求建立了网络安全及个人信息保护制度、是否有完善的操作规程和完善的内部机构，就成为网络运营者在发生数据安全事故后能否免责或减轻法律责任的关键。

综上，金融机构作为重要的网络运营者，构建自身的大数据战略，是《网络安全法》环境下必不可少的基础工作。

分享或评论 | 欢迎转发此文到您的朋友圈，并通过微信回复到LCOUNCIL微信公众账号，或联系我们即刻获得此互动安排。

关注 | 点击本文标题下方蓝色“LCOUNCIL”即可关注-微信号：LCOUNCIL2014