崔庆军

大数据时代给金融行业的量化风险管理提供了大量的数据来源，但大数据市场鱼龙混杂，部分数据公司通过非法手段获取并出售客户隐私及敏感信息，银行如何平衡数据合规性与风险甄别的有效性？伴随国家陆续出台数据治理和信息安全方面的法律法规，给我们合规使用内外部数据提供了法律依据，大数据市场又会发生怎样的变革？相信在此背景下，备受关注的社会信用体系建设也将得到进一步推进。

2019年下半年以来，多家第三方数据、风控公司相继被调查。2019年7月18日，立木征信法人及大部分员工被警方带走；9月6日，魔蝎科技、新颜科技两家大数据风控服务商相关人员被警方带走；9月19日，信用管家位于杭州市西湖区的办公处遭遇警方突击检查。业内人士称，信用管家正是因为平台的“爬虫”数据业务而被查；9月26日，同盾科技有限公司爬虫类产品“数聚魔盒”负责人被查；10月21日上午，大量警察突击清查上市公司“51信用卡”位于杭州西溪谷的办公地点，多名高管及员工被警方带走。

长期以来，个人金融信息获取及保护层面缺乏明确监管要求，对于个人信息的采集、使用等方面一直缺乏一个法定的“红线”，很多的个人信息使用存在着游走在监管法律空白的问题。爬虫技术应用不当，会构成侵犯公民个人信息罪、非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪。随着《中华人民共和国网络安全法》（以下简称《网络安全法》）的实施、金融政策的不断完善、个人隐私保护的逐渐加强，野蛮生长的大数据收集时代进入冷静期，个人数据的收集和使用将逐步规范。

大数据行业爬虫风波折射出从业者法律意识淡薄，对于个人信息保护的法律法规置若罔闻。《网络安全法》被称为大数据行业最严格法规，解读《网络安全法》具有重要意义，不仅可以提高从业者的法律意识，而且有助于加强网络安全管理，做到有法可依、有法必依。

2017年6月1日，《网络安全法》正式实施，是我国在中共十八大以来在互联网领域针对网络安全制定和颁布的一部重要的基础性法律，既是网络安全管理的法律，也是安全保障法。从法律的管辖范围看，《网络安全法》体现了我国的网络空间主权，国内的管辖权、独立权和自卫权，确立了“防御、控制与惩治”三位一体的立法架构。

金融业作为信息与网络技术应用行业之一，从业机构加快推进落实《网络安全法》势在必行。《网络安全法》的实施将持续推动改进金融业机构网络安全管理的框架和流程，推动实现网络安全风险的精细化管理；在此基础上，紧跟金融科技发展趋势，加强新兴技术与金融融合发展及其在法律实施方面的研究，最终提升金融机构智能风控水平、服务实体经济的能力，促进金融机构可持续地科学发展。

为实现这一目标，金融业机构应进一步跟踪信息技术与金融融合的发展趋势和演进方向，分析由此带来的风险。金融业自身存在高风险性、强关联性和内在脆弱性等特点，信息技术与金融融合发展使得金融风险特征和表现形式发生了深刻变化，所以应以《网络安全法》实施为契机，不断加强新技术与金融融合发展及其在法律实施方面的研究。

金融业自身存在高风险性、强关联性和内在脆弱性等特点，信息技术与金融融合发展使得金融风险特征和表现形式发生了深刻变化。

对于商业银行而言，由于借贷双方信息不对称，信贷机构需要获取多维度的数据对借款人进行风险评估，进而产生大数据需求。而一些大数据公司为了商业利益滥用爬虫技术，肆无忌惮地获取客户隐私数据，并进行数据贩卖。爬虫风波深层次的原因是社会征信体系不完善、我国社会信用体系不健全。

与此同时，银行业监管部门也予以了高度关注。2019年以来，浙江银保监局多次发文强调，各银行不得将授信审查、风险控制等核心环节外包，其9月17日下发的《关于进一步规范个人消费贷款有关问题的通知》則再次重申，不得将授信审查、风险控制等核心业务外包。上述文件虽然只是一个地方性的监管政策，但反映了浙江等地区监管部门对风险和问题的政策反应更快，也释放了金融监管部门对消费信贷业务风险的高度关注信号，一定程度上代表了该领域未来监管政策的发展方向。

2019年10月，央行向部分银行下发了《个人金融信息（数据）保护试行办法》征求意见稿。《办法》重点涉及完善征信机制体制建设，将对金融机构与第三方之间征信业务活动等进一步作出明确规定，加大对违规采集、使用个人征信信息的惩处力度。政策落地后，将首先推动大数据服务商洗牌，扶优限劣，继而全面提升数据获取和使用门槛，驱动消费金融机构等数据使用者优胜劣汰。

2019年10月，北京银保监局出台了全国首个规范金融机构和金融科技公司合作的政策指南——《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》，要求银行加强合作机构管理，对合作机构建立准入、评估和退出机制，对辖内银行与金融科技公司开展合作类业务提出5个“严禁”要求。虽然鼓励金融科技的发展，但是金融科技的发展不能触碰法律红线。尤其是对滥用、泄露个人信息，要严防死守。

目前社会信用体系存在的问题

在立法机构、监管部门的大力推进下，虽然我国社会信用体系建设取得了重要进展，但是我们看到在全国范围内的“不能失信、不愿失信”的局面还远未形成，我国社会信用体系的建设亟待不断完善。

一是社会诚信缺失和信用交易风险问题仍较突出。失信现象已超出经济交易范畴，涉及社会交往、商务交易、政务诚信和司法公信等领域。与此同时，近年来我国实体经济经营困难，企业应收账款规模攀升，局部金融风险时有发生。二是公共信用机制与市场信用机制发展很不平衡。近年来我国社会信用体系建设工作主要是围绕公共信用机制展开，整体上对市场信用机制建设重视和引导不够。此外，信用法规标准不健全，信息孤岛和信息滥用问题突出，线上线下发展不平衡，信用评价和信用服务市场秩序问题凸显，甚至出现网上虚假交易、恶意差评和炒信（利用网络虚假交易炒作商家信用）等现象。三是我国社会信用体系建设的体制机制面临挑战。目前我国主要依靠社会信用体系建设部际联席会议推动相关工作，虽然主要牵头单位推动协调力度很大，但由于全国性信用建设法规尚未出台，不同部门重视程度和工作思路不一致，在信息共享、联合奖惩等工作协同方面仍面临诸多困难。

欧美国家经过探索与实践，已经形成了较为完善的社会信用体系，通过借鉴欧美的发展模式和建设经验，有助于促进我国社会信用体系的建设和完善。

美国模式社会信用体系介绍

美国是世界信用交易额最高的国家，其社会信用体系是市场主导型模式。主要特征是信用服务全部由私营机构提供。政府在社会信用体系中仅进行信用管理立法，并监督执行。其框架包括以下几方面内容：

第一，相关法律体系的建立是信用行业健康发展的基础。20世纪60年代末以来，美国在原有信用管理法律、法规的基础上，进一步制定与信用管理相关的法律，经过不断完善，目前已形成了比较完整的框架体系。

第二，信用中介服务机构在信用体系中发挥重要作用。美国有许多专门从事征信、信用评级、商账追收、信用管理等业务的信用中介服务机构，在很大程度上避免了因信用交易额的扩大而带来的更多的信用风险。

第三，市场主体较强的信用意识促进了信用体系的发展。美国信用交易十分普遍，缺乏信用记录或信用记录历史很差的企业很难在业界生存和发展，而信用记录差的个人在信用消费、求职等诸多方面都会受到很大制约。

第四，对信用行业有较好的管理。盡管政府在对信用行业管理中所起的作用比较有限，但美国的有关政府部门和法院仍然起到信用监督中应有的作用，其中联邦贸易委员会是信用管理行业的主要监管部门，司法部、财政部货币监理局和联邦储备系统等在监管方面也发挥着重要作用。而且美国信用管理协会、信用报告协会、美国收账协会等一些民间机构，在信用行业的自律管理等方面发挥了重要作用。

我国社会信用体系建设的建议

推进我国社会信用体系的建设，建议从以下六个方面展开。

一是促进社会征信体系的构建和完善，完善征信体系有利于创造一个良好的经济信用环境促进市场经济的健康发展。结合我国实际国情，要充分发挥政务信息共享效应，还须推进金融、税务、工商、社保、海关、司法、市场监管等相关领域信息资源的全方位开放，加快建立全国统一联网的信用信息系统，形成全国范围内的信用信息数据库。定期对企业和个人信用信息进行更新，依法对外开放信用信息，实现信息共享，保证征信渠道的畅通。

二是推进信用立法工作，为优化营商环境提供信用法制保障。通过信用立法有效规范信用信息的采集、整合、交换、发布和使用，优化社会信用环境，促进经济社会健康持续发展。

三是打破信息孤岛，大力推进公共信用信息的归集共享。围绕重点领域和重点人群建立动态更新的信用信息记录。创新采集方式，一方面依托共享平台，广泛、机制化地采集各部门在行政管理和公共服务过程中形成的信用信息，另一方面依托第三方机构、行业协会商会等机构采集市场主体在经济社会活动中的信用信息。

四是加强对信用行业的监管，现阶段我国信用中介机构良莠不齐，相关法律制度还不完善。对信用行业的监管比较薄弱。我国应采用政府和行业协会并存的监管模式。政府应在监管中起主导作用，行业协会协助政府监管信用市场。

五是建立守信激励机制，推进公共信用信息应用。鼓励运用大数据技术，开发基于公共信用信息的信贷支持和金融服务产品，使守信主体享受便利优惠，提升守信获得感。

六是建设与数字时代相适应的社会信用体系。充分重视数字技术在经济社会中快速普及带来的变化，推动我国社会信用体系建设逐渐形成“政府推动，社会共建，健全法制，规范发展，统筹规划，分步实施，重点突破，强化应用”的社会信用体系建设新格局。

基于以上六个方面，值得强调的是在社会信用体系建设中，结合《网络安全法》的实施，金融行业作为经营信用风险的专业机构，其作用的发挥也是我们需要重点关注的。

一是明晰网络安全职责主体，完善网络安全保障体系。各金融机构需要不断提高风险意识，将信息安全风险纳入本机构的全面风险管理框架，建立专职部门和队伍，开展安全设施建设、风险评估、应急演练和专项治理，持续改进运维监控流程与手段，健全内部协同工作和外部应急协调机制，建立本机构重要网络与信息系统安全保障体系。

二是落实关键制度，加强行业应用。在《网络安全法》中，明确了与行业应用密切相关的制度安排，金融业机构应落实制度要求，并结合行业、机构实际，加强配套办法、规章制度和规划、标准设计。对客户数据收集应遵守公开、合法正当、最小化的原则，建立合理的公示机制并规范数据收集方法；在此基础上加强运用技术手段，实现行业信息共享和情景感知，实施跨部门、跨行业应急演练，做好监测预警与突发情况处置工作。