银丹妮 张浩

数字经济已经成为新经济的最显著特征，随之而来的是数据合规问题。特别是随着欧盟GDPR的实施，数据合规日益成为决定企业业务数字化转型生死的关键问题。数据合规问题在金融领域最为突出，本文以助贷业务为例，分析数据合规的类型、困境和建议，亦供其他行业参考。

根据IDC报告，2020年亚太地区（不含日本）55%的企业都将以新型业务模式及数字化产品和服务重塑市场格局。麦肯锡也发布《中国数字经济如何引领全球新趋势》报告，指出中国的数字化使各个行业的价值链都将经历营收和利润池的彻底变革。

数字经济已经成为我国新经济的最显著特征，随之而来的是数据合规问题。特别是随着欧盟GDPR的实施，数据合规日益成为决定企业业务数字化转型生死的关键问题。5月28日，特殊时期的全国“两会”胜利闭幕，“民法典”获得通过，“数据合规”、“个人信息保护”亦成为热词。数据合规问题在金融领域最为突出，本文以助贷业务为例，分析数据合规的类型、困境和建议，亦供其他行业参考。

一、金融助贷业务的源起与优势

助贷业务的实质是信贷机构借助第三方优势，推动信贷业务的精准化，降低业务风险，平衡成本、收益和风险的活动。目前常见的融资担保、信用评级等都属于广义助贷业务的范畴。而近年来被频繁提及的助贷业务主要是指以新一代信息技术为基础，以科技服务类企业为第三方主体开展的助贷活动。

助贷业务的发展经历了从缓慢起步到快速增长再到重点监管三个阶段。助贷业务在我国的兴起可以追溯至2007年，两家银行机构（国开行深圳分行、建行深圳分行）和小额信贷技术服务公司（中安信业）开启合作，将国外发展较成熟的“商业银行+助贷机构”的模式进行本土化创新。由国开行提供资金，建行作为结算代理行，中安信业为国开行提供获客、风控、贷后等全流程服务。但由于对新兴模式的未知、对第三方机构的不信任和金融行业开展业务的审慎性，多数银行对助贷持谨慎态度，助贷业务发展缓慢。随着P2P等互联网金融的兴起，小额信贷市场迎来了新的生长契机，市场也呈现野蛮化发展，校园贷、现金贷屡屡被叫停，此时与传统金融机构共同合作的助贷模式迎来了新的发展契机，助贷业务再度崛起。

虽然助贷业务存在的部分风险开始显现，但助贷业务对于落实普惠金融政策，推动中小金融机构发展作用非常显著。在金融科技行业深度发展的助力下，助贷模式逐步多样化、高效化。在大数据、人工智能等新一代信息技术的赋能下，助贷模式帮助一些金融机构降低了信贷成本和坏账率，提高了贷款效率和杠杆率。助贷逐渐成为了帮助中小金融机构扩展业务、生存发展的重要路径，突破了传统线下贷款业务的局限性，跨越空间、地域，获得了更广泛的用户群体，也在具有更强金融科技能力的助贷机构的帮助下，中小金融机构也学到了更多的技术、风控、产品等经验，逐渐锻炼自己的数字化运营能力，既能拓展业务，又能够通过大数据技术等手段的协助，更好地降低金融风险。

二、助贷业务的运营模式及数据流转

根据助贷机构为合作机构（资金方）提供服务的类型和参与程度的不同，可以将助贷模式分为引流获客型、风控初审型和管理参与性。

（一）引流获客型助貸业务中数据流转

引流获客型助贷模式是指助贷机构仅向贷款机构提供借款人信息，作为流量入口将具有借贷需求的借款人引至贷款方的模式。助贷机构凭借自身平台优势、数据积累，为贷款机构引入具有借款意愿的潜质客户。

引流获客型助贷模式中数据流主要由以下环节构成：

（1）资金方与助贷机构达成合作，资金方将其需求传达至助贷机构，包括产品信息（审批方式、额度、利率、还款计划、还款方式等）、目标客户等。

（2）-（3）助贷机构根据资金方的需求设计引流方案，寻找潜在用户并进行营销推广。在此过程中，助贷机构通常会制定目标客户标签，并通过自身积累或第三方机构运用大数据分析技术进行筛选查询。如果是在自身积累的数据库进行查询，助贷机构需要获得用户授权;如需借助第三方机构，则涉及用户个人信息在两机构间的交互（共享、转让），一般适用“三重授权”原则，即“用户授权+平台授权+用户授权”，助贷机构需要获得用户的查询授权，同时第三方机构的数据来源也应合法有效，并且需要用户授权可共享转让。

（4）具有贷款需求的融资方通过助贷机构的贷款产品页面填写申请贷款的信息，包括用户姓名、性别、国籍、职业、地址、电话、证件号码、贷款金额、银行卡号等。同时，人脸识别对比环节通常也在助贷机构完成，助贷机构将获取身份证正反面、活体检测视频和检测过程中截取的照片。

（5）助贷机构向资金方传输用户确认或同意的与申请贷款相关的信息。

（6）资金方对助贷机构推介的客户进行独立的风控审查，判断是否授信放贷，并进行贷后的催收管理。

（二）风控初审型助贷业务中数据流转

风控初审型助贷模式是指在助贷机构帮助资金方提供贷款服务时，对融资方做初步的风控审核，通过后再将融资方推至资金方做二次审核的模式。

在引流获客型助贷模式的基础上，增加了进行风控初审的环节，助贷机构可从自身风控策略、用户交易等维度对用户风险等级进行独立评估，对申请贷款业务的融资方进行筛选，并将经过风控初审筛选后的融资方推介至资金方，但在这种模式下，助贷机构的推介不构成对用户风险水平的担保、保证，贷款机构仍应该对甲方推介的融资方进行评估并承担风险，需要根据自身风险策略对融资者身份进行识别并审慎判断。在进行风控初审过程中，助贷机构通常需要获得用户授权，能够到合法第三方机构查询用户信息，用以进行风险策略判断。在风控初筛完成后，将筛查后的融资方推介至贷款机构，贷款机构在此基础上做二次风控审核，并审慎判断是否放贷。

（三）管理参与型助贷业务中数据流转

管理参与型助贷是指助贷机构更加深度地参与到贷前的风控、贷中持续跟踪及贷后管理工作中。此前实践中的做法通常是助贷机构在贷款机构自有账户或共有账户中存入一定保证金，用以确保助贷机构可兜底承担借款逾期风险。

在管理参与型助贷模式下，除了进行前期风控审核外，贷后资金方会向助贷机构提供融资方贷款的相关信息，包括审批结果、还款结果、还款状态、还款计划等，由助贷机构向融资方展示相关信息，推送还款提醒，负责催收管理相关工作。在贷后管理环节，助贷机构通常需要更加丰富的融资方信息，用以判断逾期率，制定催收方案，因此除了自身的数据积累外，往往还需要借助第三方机构的更加丰富的数据资源，对融资方进行更精准“跟踪式管理”。

数据的利用是助贷业务发展的基石。在助贷业务中，业务数据将在各方主体间交互流转，以支撑贷款机构、助贷机构与融资方间信贷生态体系的构建。但在数据获取、数据流转、数据运用的过程中，会触碰个人隐私、各方财产利益等，助贷业务中数据的限制与运用的平衡成为了一个关键性难题，梳理助贷业务中数据的流转、权属关系，平衡数据合规与产业发展，成为亟待解决的问题。

三、助贷业务发展之数据应用的困境

（一）资金方委托助贷机构收集用户信息之权利基础

助贷业务中，虽然存在资金方、助贷机构、融资方多方主体，但助贷机构主要承担信息撮合（信息渠道）的作用，形成借贷关系的相对人仍然是资金方与融资方。如资金方通过委托协议委托助贷机构向融资方收集贷款相关个人信息，该委托是否应在事前向融资者告知并征得明确同意？而且不同于一般的物品，信息具有可复制性，受托者收集信息后便自然成为了信息持有方，不符合“一物一权”原则，助贷机构是属于信息控制者抑或信息处理者、该信息如何传输、信息权属如何界定、是否可以二次使用、是否可留存，都是需要进一步明确的问题。

在2020年年初发布的《个人金融信息保护技术规范》中，规定了金融机构不应委托或授权无金融业相关资质的机构收集C3、C2类别信息，这对于无牌照助贷机构而言具有较大影响，意味着无金融业相关资质的助贷机构无法接受资金方委托收集用户鉴别信息和可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息。而收集用户信息是助贷机构实现助贷业务的基础性资料，无法收集用户信息则缺乏开展该业务的前提、也丧失了助贷机构数据分析技术的优势。

（二）助貸机构向第三方机构获取用户信息的权利基础

在收集融资方信息方面，资金方委托助贷机构收集可谓是直接委托，但助贷机构如何收集、是否再委托第三方机构收集融资方的相关信息，则不在资金方的可控范围之内。通常情况下，都是通过助贷机构与融资者签署协议来直接获得用户授权以完成这一行为。但这里的第三方机构是否应当有一定范围、由谁来监管第三方机构与助贷机构间的信息交互行为成为难点。

（三）助贷机构风控模型的权利归属及其监管

在助贷机构帮助资金方做风控审核的过程中，助贷机构通过资金方、融资方的授权可以从多方获取风控相关信息，形成数据积累，并通过这些数据不断训练风控模型，强化自己的核心优势。在向合作资金方推介客户时，助贷机构通常也只会将通过风控模型筛查后的名单传输给资金方，但是对于底层数据和模型参数等，助贷机构并不会与资金方共享。而由于资金方（通常是传统金融机构）的数据能力、风控能力有限，虽然会对助贷机构推介的客户名单进行二次风控审核，但在现实中资金方往往基于成本、技术等因素的限制不会再进行精细化评审，甚至流于形式，对助贷机构推送的客户一概授信，利用助贷机构兜底、担保公司担保等方式变相将核心风控外包。

虽然监管多次强调核心风控不得外包，资金方必须做独立风控审核，但现实中很难真正实现这一方式。因此，加强对于通过助贷业务积累的风控模型、数据来源的监管，不失为一条可考虑的路径，能够更好地把控助贷业务中的风险，也能够更好地利用助贷机构具有的优势，减少金融机构的风控审核成本。既能弥补资金方金融风控能力的缺失，又能够有效降低助贷机构风控数据来源及运用的不合规。

（四）助贷机构进行贷后管理获取与运用用户个人信息的行为规制

助贷机构在负责贷后管理的过程中，通常需要对贷款人进行“跟踪式监管”，向融资方推送还款信息，随时把握融资方的逾期概率，以便及时回款。而要实现准确、及时的贷后管理、催收，助贷机构需要借助多渠道信息，对融资方进行全方位画像，在此阶段最容易触碰侵犯个人信息的红线，而资金方通常难以控制助贷机构贷后管理的行为，监管如何有效介入成为需要进一步考量的问题。

四、助贷业务中的数据合规制度建议

（一）原则引领：坚守创新与安全的平衡

创新与安全的平衡是社会经济发展持续的矛盾。数据及相关技术在金融领域的尝试更是处于该矛盾的中央。数据在助贷业务中的应用既降低传统金融风险，也在不经意间造成了衍生风险。而要推动业务和技术方案走向成熟，需要监管方面“包容审慎”的监管态度、“纠正与再发展”的监管措施以及“对社会利益不断平衡”的监管理念。

在具体措施方面，一是应持续推动监督检查，避免业务和企业野蛮生长;二是应积极固化优秀案例，引导行业整体发展;三是系统评估业务创新的潜力，把握业务发展趋势，有目的和界限地为创新留有余地。

（二）破局关键：界定各数据主体的责任

模糊的权利、义务和责任是助贷业务中数据风险持续存在的重要原因。根据现有规定，归口风控是降低风险的主要应对措施，即在助贷业务中资金方必须要承担起独立风控、把控风险数据来源的责任。但实践中，现有规定与客观实践存在部分错位。贷款机构存在对助贷机构技术支撑的依赖，最终大部分风控工作实际由助贷机构完成。而最终责任的不清晰导致助贷机构、金融机构等主体在数据处理活动中缺乏界限感和责任意识，在一定程度上提高了数据风险。因此，解决问题的路径不应该仅仅是归口风控，而是可以在明晰风控决策者与风控协助者角色的基础上，归置数据责任，例如可以参考数据控制者与数据处理者的责任划分。

（三）长久之计：技术与规则的共同治理

数据的流通是其发挥“生产要素”价值的关键。数据保护的根本矛盾，是个体角度中直接客体的隐私权、生活安宁权，与企业角度中财产权益、商业秘密等的冲突。如果该冲突得以缓解或消除，那么数据的流通就会被更广泛地接受。

因此，以联邦学习等为代表的新技术，可以推动各方数据以一种更安全、更高效的方式融合，在避免泄露个人隐私和企业的原始级数据的同时，又能够充分利用数据，赋予其新的价值。而且可以进一步设计以此类技术为基础的数据运用的“同意”机制，而不再局限于当前形式上的“授权同意”，推动数据在助贷业务各主体间的安全有效运用。（注：作者个人观点不代表所在单位）