5月29日，第十二期数据保护官（DPO）沙龙在北京网联清算有限公司举行，主题为金融数据保护。围绕金融数据的合规办法、潜在风险与国内外监管趋势，一线实务工作者进行了探讨。

特殊的金融数据：

既包括个人敏感信息，又有很强的公共性

第十二期 DPO沙龙由网联清算有限公司（以下简称网联）承办。网联作为全国统一的非银行支付机构网络支付清算平台的运营者，成立还不到两年，已成为全球交易笔数最大的支付清算机构。仅在2018 年“双十一”当天，网联平台处理跨机构交易笔数就达到11.7亿笔，相应跨机构交易处理峰值超过9.2万笔/秒。

据了解，在快捷支付、网关支付、认证支付等场景中，网联平台都担负着交易信息转接和资金清算的责任。网联风险合规部（法务部）负责人赵英介绍，以快捷支付为例，客户的感知可能只是一两秒钟的支付过程，但在这短短的一两秒背后，却是一个复杂的交易链条，涉及到网联平台、支付机构和银行的多个信息转接动作。

每一笔交易的背后，都包括一系列个人信息，比如个人身份信息、交易金额、订单详情等。赵英说，网联每天处理数亿笔的交易，数据合规成为生命线。为了保障数据安全，网联在网络层、应用层等方面采取多种保密技术，让敏感信息加密传输、密文落库。

但金融数据，不仅有个人信息属性，还涉及到公共利益。多重属性的存在，导致金融数据合规比一般的个人信息保护更为复杂。

例如，《个人信息安全规范》提出，个人信息控制者目的达成后，应及时根据约定删除个人信息。但根据《中华人民共和国反洗钱法》《金融机构反洗钱规定》等法律的规定，客户身份资料在业务关系结束后、客户交易信息在交易结束后，应至少保存五年。

再如，网络安全法规定，网络运营者收集用户信息，应当向用户明示并取得同意。但在现实中，一些金融机构处在交易链条的中间，出于监管部门的风控要求被动收集客户信息，却难以获得用户的明示同意。

“在金融领域，无论是微观层面的反洗钱调查、犯罪调查，还是宏观层面的监管，都需要大量的数据。所以金融数据的私密性很强，公共性也很强。平衡起来很难。”洪延青说。

赵英认为，未来监管层在制定法律和政策时，需要将种种特殊情况考虑在内，平衡好监管要求与数据保护、用户同意与公共利益之间的关系。

潜在的风险因素：

聚合服务商、互联网广告与数据爬取

考虑到金融数据的公共属性和重要程度，腾讯数据隐私合规资深专家赵冉冉认为，《关键信息基础设施保护安全保护条例》正式出台后，很可能将金融行业的单位纳入关键信息基础设施范围。对具体的单位或企业来说，这意味着自身数据能得到更好的保护，但也意味着承担更多的安全义务。

赵英认为，关键信息基础设施的范围，是值得关注的问题。“大型的金融机构可能会被列入关键信息基础设施，但是中小型金融机构的数据处理量也很大，中小机构是不是也会被列入？ ”他认为，对于处理大量个人金融信息的中小型机构在业务发展过程中同样也应遵守有关数据合规的监管规定。

很多人在购物时，都有这样的体验：一个二维码，可以同时支持支付宝、微信或是其他支付钱包。赵英说，聚合二维码的背后，其实是聚合服务商。客户扫码之后，聚合服务商进行识别处理，将信息传输给收单机构，再转接给相应的账户机构，比如支付宝或微信。

据介绍统计，全国约有几千家的聚合服务商在提供服务。实质上是支付交易链条的重要一环，为广大商户和消费者带来便利，但目前对于聚合服务商的信息转接、存储和使用，没有明确的规范和要求。监管部门是否需要考虑将聚合服务商纳入监管范围之内，明确相关数据管理要求，让聚合服务商回归本源。

此外，赵英提到，一些机构在金融数据的开放利用方面也存在需要关注的地方。他说，金融数据的开放利用，有的是基于法律的规定，有的则是机构之间的约定，是否需要纳入统一规范？“交易的链条越长，数据转接过程越长，数据泄露的潜在风险也会越高。”

赵冉冉谈到了企业做数据合规时应该注意的业务风险点：金融互联网广告和数据爬取。

金融互联网广告方面，赵冉冉指出，上游数据提供方的合规性问题、为其他金融公司引流的用户授权问题和借牌推送金融广告问题，都要多加注意。

谈到数据爬取，赵冉冉说，如果爬取的数据属于未公开的个人信息，仍然需要获得信息主体的授权。如果涉及到未公开的企业信息，要考虑是否会侵犯商业秘密。如果是政府网站的数据，则要注意有没有相应的法律要求。

除了以上几点之外，还要考虑数据爬取是否存在不正当竞争的法律风险。可结合以下因素来判断：技术对抗性、被爬取网站运营者的意愿（可参考平台规则或用户协议中关于数据的条款，国外通常会明示，国内通常不允许爬取）、上述运营者为整理相关数据所投入的资源。爬取三分之一的数据量且被爬取者不同意，被判不正当竞争的风险较大。

焦点议题：

大数据征信与数据跨境

近年来，大数据征信备受关注。传统征信数据来自于借贷领域并主要应用于借贷领域，而大数据征信获取的主要是信息主体在线上的行为数据，包括网上的交易数据、社交数据以及其它互联网服务使用中产生的行为数据。

赵冉冉重点分析了大数据征信这一业务模式。“从传统意义上讲，大数据征信不属于征信。但最近大家也发现一个趋势，监管层表态要把大数据征信管起来。”

他介绍，在腾讯的实践中，主要从以下几个方面降低大数据征信方面的风险：一是限定业务合作范围，尽量避免与银行业合作传统信贷相关的数据业务；二是限定合作所涉及的数据，尽量避免将借贷类信息用于相关数据合作；三是尽量避免输出原始数据，尽可能开展技术合作，如必须输出数据，则可以考虑输出经过模型处理的分析结果。

赵冉冉还注意到大数据风控中的合规风险。在他看来，金融行业中的大数据风控比大数据征信更加普遍，目前没有完全规避风险的办法，主要通过业务模式设计和合规工作降低风险。

除了大数据征信与风控，几位分享嘉宾还和参会者重点讨论了数据跨境问题。

从网络安全法到 GDPR，全球多个国家和地区已就数据跨境作出规定。其中，网络安全法及配套文件主要围绕关键信息基础设施展开。赵英认为，还有一些问题在当前法律框架下有待解决。“未来有境外机构进入中国市场后，如果没有达到关键信息基础设施的标准，它的数据要不要境内存储？这是需要考虑的问题。如果允许数据境外存储和跨境传输，海量的个人信息和金融数据将给数据安全和监管带来非常大的挑战。” 他说。

赵冉冉表示，根据已出台的网络安全法、《个人信息和重要数据出境安全评估办法》《个人信息和重要数据出境安全评估标准》，识别数据是否出境要素主要有三个。

一是业务是否构成“境内运营”的情形：未在中国境内注册的网络运营者，但在境内开展业务，在中国境内提供商品或服务；二是是否涉及个人信息或重要数据；三是业务是否构成“数据出境”的情形，如境内运营中收集和产生的数据的存储位置从我国境内转移至我国境外；数据存储位置虽在我国境内，但数据接收方为不属于我国司法管辖的主体；网络运营者境内运营中收集和产生的数据存储位置虽未转移至境外，但被境外第三方机构、组织远程访问查看（公开信息、公开网页访问、跨国公司内部访问除外）。

赵冉冉建议，企业在具体的合规业务中，首先要做好“数据摸底”，理清数据的流动状况。“跨境传输的信息经过了哪些国家？要满足哪些国家的法律法规要求？判断完之后，就进入合规的流程。”他说。

从Safeguard Rule修订看美国监管趋势：愈发严格

谈到金融数据监管，赵英建议，将统一的数据保护顶层设计与金融数据专门规定相结合，将强制规范与自律约束相结合，将外部监管与企业内控合规相结合。在顶层设计方面，要更多地要针对不同的行业、环节和新兴业态，明确数据收集、处理、传输等活动中需要遵循的要求。

他举例说，《银行卡收单业务管理办法》对收单机构的信息存储有明确限制，要求收单机构不得以任何形式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。如今，随着移动支付迅速发展，遍布大街小巷的扫码交易中，已经脱离了实体卡片，那么收单机构能够存储什么样的客户信息？这里有值得考量的空间。

洪延青评价，进行监管时，国外是标准先行，国内则往往是业务先做，然后监管再介入。越来越多的主体试图进入生态，但数据保护的能力和水平又参差不齐，给监管层带来挑战。面对这一形势，监管层既要保证生态的良性运转、不阻碍创新，又要防范重大数据风险。

他指出，总体来说，监管层的态度很明确：长期以来的野蛮生长情况，不应该再继续了。在主题分享环节，他主要介绍了美国联邦贸易委员会（以下简称 FTC）近期针对《金融服务现代化法案》（以下简称 GLBA）提出的一则法律修正案。

《金融服务现代化法案》于1999 年通过，规定金融机构要确保客户数据安全。法案包括三部分：隐私规则（Privacy Rule），管理私密信息的收集和公开；安全保障规则（Safeguards Rule），规定金融机构必须采取特定的安全措施来保护这些信息；借口防备规定（Pretexting provisions），禁止使用虚假的借口来访问私密信息。

最初于2003年生效的Safeguards Rule以程序为导向，缺乏详细的安全步骤。FTC于3月5日发布通知，就修订后的Safeguards Rule公开征求意见。据媒体报道，FTC消费者保护局局长安德鲁·史密斯表示，修订中的变化是基于“FTC近20年的执法经验”，旨在“跟上市场趋势并响应技术发展”。

洪延青介绍，修订版本中增加了更详细的安全要求，对美国纽约州“金融机构网络安全规定”进行了细化。

具体变化包括：（1）加密和多重身份认证；（2）测试与监控（信息系统年度渗透测试、双年度系统漏洞测试）；（3）计划的执行（员工培训、聘用有资质的人员、最新情况的更新及培训等）；（4）对服务提供商的监督（合理选择、合同落实、定期评估其风险及安全保障措施）；（5）计划的评估；（6）事件响应方案（书面形式，并指定需包含的内容）；（7）董事会报告（包括报告内容要求）；（8）中小企业的豁免（不超过五千条的金融机构无需遵守书面风险评估、持续监控或定期渗透测试和缺陷评估、书面事件响应方案、董事会报告的义务）。

“FTC能不能把这一版确定下来并实施还有疑问，毕竟美国企业的力量非常强大，他们的传统是给予企业很大的自主权。但从总体趋势看，FTC规定得越来越细，原来是框架式的流程和步骤，现在变得非常详细。”洪延青说。（完）

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

11. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察