刘绪光

在畅通国民经济循环、保障产业链供应链的稳定运行大背景下，物联网作为金融科技的重要手段，成为金融机构在供应链金融市场上的重要核心竞争力。本文重点介绍物联网技术在供应链金融中的应用及数据合规要点，以助力金融机构防控金融风险，服务实体经济，解决中小微企业融资难题，打造高质量供应链、产业链。

2020年4月，中共中央、国务院正式发布《关于构建更加完善的要素市场化配置体制机制的意见》，首次明确数据是一种新型生产要素。党的十九届五中全会审议通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》进一步提出推进数据要素市场化改革、加快数字化发展。受新一轮新冠肺炎疫情和国际局势变化影响，部分工业企业产业链供应链受阻，市场主体面临较大困难，新的经济下行压力进一步加大。金融作为现代经济核心，一直与技术相互穿插、聚合、激荡和动态发展。近年来，随着人工智能、大数据、云计算、物联网、第五代移动通信技术（5G）、区块链等新一代信息技术日趋成熟、高度融合，金融数字化转型已是大势所趋，物联网技术在供应链金融中的应用也越来越受到行业的关注。

物联网固化产业链、供应链，疏通社会融资信用堵点

物联网在供应链金融领域广泛运用的背后是一种对数据资源的有效使用。基于物联网的数据采集处理有利于解决企业和金融机构之间的信息不对称问题，推动金融业务促进实体经济发展，缓解中小企业融资难题，是发挥数据要素价值、促进数据有效应用的有益尝试。“物联网+供应链金融”将资金、信息与实体企业相结合，在授信准入、贷后管理等领域探索突破，诞生了一系列创新模式，如大宗商品动产质押、数字信用体系等。

“物联网+供应链金融”开启大宗商品动产融资业务新阶段

动产融资是供应链金融的基础。近年来，钢贸、煤炭等成为许多银行不愿提及的“敏感词汇”。行业信用恶化导致银行、借款人、贷押监管机构等各方之间的信任度有所下降，银行沿用多年的仓单质押、互联互保等传统的大宗商品融资业务模式受到前所未有的挑战，企业普遍陷入融资困境。传统动产融资贷款需要聘请第三方监管公司对质押物进行监管，监管的质量和准确性，主要取决于监管公司的管理能力和现场监管人员的履责程度，融资面临重复抵质押、押品不足值、押品不能特定化、货权不清晰、监管过程不透明、监管方道德风险、预警不及时等一系列风险。对于企业来说，传统动产质押需要将企业的物资转移到银行所信任的三方库，增加企业物流支出，影响经营效率。

随着金融科技的发展，物联网、区块链等技术在供应链金融领域的应用为解决动产质押风控难题提供了绝佳路径。银行借助物联网实现对动产的无遗漏监管，通过全过程、全环节监控，赋予动产以不动产的属性，大大降低动产质押风险，重振银行动产融资。

在物联网动产融资业务模式下，利用物联网技术实现对动产质押物的24小时不间断监控，提高风险防控能力；运用区块链技术将货物及货物所对应的人、车、库、器等信息都登记在区块链上，解决各方信任问题。通过物联网证据链实现货物所有权转移，确保质押物权属清晰、没有争议，所有环节实现“闭环操作”。通过物联网金融科技与银行信贷系统的结合创新，实现全程无抵押、无担保、无信用评级的物联网金融新模式，助力防控金融风险，服务实体经济。

“物联网+供应链金融”推动数字信用新秩序

目前，银行主要依靠客户提供的财务报表和银行资金流水信息，掌握信贷客户生产运营情况，缺乏有效监控实体企业运行状况的手段。通过客户经理贷后定期或者不定期现场实地检查，人力成本较高，信息更新滞后，难以全面真实反映企业实际经营情况。

利用物联网技术，在贷前环节，监控企业关键生产数据，如在企业厂区出入口、生产车间等关键位置部署智能视频设备和物联网通信设备，采集企业人员进出信息、车间人员密度信息，运用区块链技术进行数据安全可信传输，建立企业数据模型；在贷中环节，对企业生产要素实时及历史数据进行分析，改进贷款融资风险额度模型；在贷后环节，对监测数据进行汇总。这有效解决了授信业务中困扰银行的贸易背景真实性和抵质押监管安全性等难点问题，提高了数据获取效率和风控水平。

金融的核心支撑是信用体系，物联网技术赋能供应链金融，打破信息不对称，打造数字信用体系，实现了资金流、信息流、实体流的三流合一，降低虚拟经济风险，破解中小微企业贷款难问题，为提升供应链金融服务创造了机遇。

赋能数据要素价值释放，严守数据应用安全合规边界

随着物联网技术与供应链金融深度融合发展，潜在的数据合规、安全问题层出不穷。近些年来，我国建立了较为完善的数据合规法律体系，包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》，以及相关监管规则，共同构建了这一规则体系。面对安全管理的高标准、严要求，一方面要在进一步强化个人信息保护的基础上，划定红线，明确原则，审慎授权，提升内外部风险甄别、防范和化解能力：另一方面要注重防范数据合规使用风险，完善数据合规使用标准，纵观数据采集、存储、处理、分析等重要环节，建立覆盖全生命周期的数据治理和安全管理体系，加强制度建设和数据应用教育培训，切实保护物联网数据在供应链金融应用中的合规使用。

构建物联网金融数据全生命周期安全治理体系

数据采集。目前，金融业务中的物联网数据采集形式主要有三种：一是直接从内置物联网设备或类似属性零部件中获取数据。金融机构与数据资产所有方形成合作伙伴关系，在不侵犯数据相关权利的前提下，通过接口改造等方式，将数据接入金融机构物联网平台。二是对缺乏内置物联网设备的资产进行改造，赋予其物联网属性，并从中获取数据。金融机构与资产所有方签订合作协议，在多数情况下，由金融机构提供相关服务，直接将所获取的物联网数据加以应用，承担设备费用，并与产业方签署数据授权、用途、保密等协议。三是通过外部工具，针对资产、物件所处环境规模化获取数据。如用大型外置设备采集数据，涉及前期较大成本投入，金融机构通常与战略合作伙伴共同投资大型设备，如卫星，一起承担、分摊大型监测设备资产成本。由于数据源本身的宏观性、公共性，通过大型设备采集的数据可能并不需要经由外部授权，直接应用于风险预警即可。

数据存储。金融业务数据须采取安全加密措施进行储存，收集个人信息后，应立即进行去标识化处理，对去标识化后的数据与可用于恢复识别的信息分开管理，并对超出保存时限的数据予以删除，存储设备须具有备份和恢复功能。

数据利用。金融机构利用数据不能超过与个人信息主体约定的范围，经过处理无法识别特定个人信息且不能复原的除外。金融机构应采取相应保护措施：一是匿名化，完全不能识别、经过匿名化处理的数据不属于个人信息；二是去标识化，保留个体颗粒度，如采取假名、加密、哈希函数等方式，可借助额外信息复原个人信息，去标识化处理的数据仍属于个人信息，其使用同样需要符合授权范围。

数据共享。基于金融机构数据应用的合规性要求，金融机构鲜有直接将数据与外部合作伙伴进行共享，即使是与关联业务单位共同就某一物联网数据进行场景研发、运用，也通常需要客户同时向金融机构及其关联方进行授权。但从某些角度看，金融机构可以实现在不泄露客户隐私的情况下，将物联网数据所产生的价值与客户进行共享。

物联网数据在供应链金融应用中的合规性探讨

上文已从数据采集、存储、利用、共享等重要环节，阐述了金融数据生命周期安全防护，下文将以问答的形式，对物联网技术在供应链金融应用中的常见数据合规问题予以讨论。

物联网设备收集、处理个人信息是否具备合法性基础

根据《个人信息保护法》规定，收集、处理个人信息，应当遵循合法、正当、最小、必要的原则，应明示收集和处理个人信息的目的、方式及范围。原则上，收集、处理个人信息应取得个人信息主体的同意。而作为例外情形，包括“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”等特殊情况下，可以在没有个人同意的情况下，处理相关个人信息。但是，个人信息处理者仍应当遵循各项处理原则、规制，不能非法、过度处理个人信息。

在处理物联网数据前，个人信息处理者可能难以取得个人信息主体的知情同意。物联网数据采集设备布设在移动物体或环境中，信息采集过程是自动持续发生的，不同于普通互联网环境下个人用户对数据信息收集的主动甄别和选择，物联网环境下个人数据信息的收集是被动发生的，如个人信息主体并非有关金融业务、服务的消费者或平台的注册用户，那么个人信息处理者和个人信息主体间的交互与连接点仅限于物联网设备。但物联网设备和服务几乎无法向个人展示其隐私政策，特别是那些设置在公开场所的设备，很难完全告知个人其正在收集数据，人们意识不到物联网设备的存在，更不能退出被动的数据收集活动。因此，物联网数据信息获取存在处理个人信息未取得合法性基础的风险。

如何开展物联网数据分类分级管理和保护

物联网收集的数据和信息不仅是海量的，而且是异常复杂、立体、个性化的，除了可能属于征信数据、金融数据外，还可能属于国家、各个行业、地区的重要数据，企业商业秘密、个人信息等。哪些数据需要法律的特殊保护，以及保护的范围、边界、程度，哪些物体产生的数据可以作为公开资料或者经授权可以公开，值得金融机构关注。

重要数据

《数据安全法案》明确国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。此外，各地区、各部门还会按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。参考《网络数据安全管理条例（征求意见稿）》第七十三条，重要数据包括工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据，以及达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据。

在数据类型上，物联网设备通常用于监测农业、工业等领域的生产情况，如利用卫星采集农庄农田的气候数据、利用土壤监测设备采集土地情况数据、利用设备手环监测企业生产运行情况、产能利用率、仓库库存等信息。由于国家、地区、有关行业主管部门尚未制定有关重要数据的目录、清单、类型，目前金融机构无法判断物联网设备收集的数据是否属于重要数据。由于有关数据可能包含重点行业和领域安全生产、运行的数据，以及地理、气象等数据，不排除物联网设备收集的数据属于重要数据。

其他类型数据

物联网收集的数据除了属于重要数据，还可能属于企业商业秘密、个人信息，有关法律法规对安全管理提出了要求。例如《征信业务管理办法》规定，从事征信业务及其相关活动，应当保护信息主体合法权益，保障信息安全，防范信用信息泄露、丢失、毁损或者被滥用，不得危害国家秘密，不得侵犯个人隐私和商业秘密。《个人信息保护法》规定个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

物联网信息数据的合法使用人在使用中如何制定详尽规则，如保密期限、保密等级、储存标准、安全保护标准等，尚无一套完备的法律体系作为指导依据。金融机构在实践中可参考全国信息安全标准化技术委员会于2021年制定的《网络安全标准实践指南——网络数据分类分级指引》关于网络数据分类分级原则、框架和方法，指导自身数据分类分级工作。

数据能否作为依据

金融机构基于物联网技术产生的客观信息数据可作为业务决策依据或参考，但因为物联网技术和物联网金融领域法律制度尚不完善，金融机构依赖物联网客观信息数据作为决策依据产生的纠纷能否得到法律上的保护，尚存在不确定性，例如将通过物联网监测的客观信息数据作为贷后依据，要求疑似风险客户提前清偿贷款等。物联网在收集客观信息数据时如果遭遇数据被篡改、复制、破坏或部分遗失，导致结果判断的不准确，则可能产生法律纠纷。

金融机构应保证有关物联网数据客观反映客户的生产经营等情况，在发现客户风险时，可要求客户予以说明，并通过其他数据交叉验证风险是否真实存在，防范数据不准确、数据模型偏差等风险。

物联网设备安装范围广泛、安装数量多，可能存在数据被篡改、复制、破坏、遗失的风险。企业可通过信息安全等级保护，制定相关信息安全防护措施加以防范。国标GB∕T22240-2020《信息安全技术 网络安全等级保护定级指南》明确将物联网感知、网络传输、处理应用等特征要素作为定级保护对象，国标GB∕T 22239-2019《信息安全技术 网络安全等级保护基本要求》对物联网网络安全等级保护提出了具体、细致的要求。

结语

物联网是互联技术进一步延伸的产物，在高速发展的现代社会中的作用将更加重要。伴随数字技术不断发展，我们乐观期待，金融业可以在安全、合规的前提下，通过企业架构的演进和治理模式的变革，促进业务与业务链接、业务与技术融合，推动金融科技在实体业务多场景中落地与应用，引领业务突破和发展，形成越发强大的金融科技生态体系。本文对金融机构利用物联网技术开展供应链金融业务及其应用中的数据合规问题进行了深入剖析，并根据相关金融数据保护的监管要求提出了数据合规建议，以期为金融机构发展新型供应链金融提供借鉴。