金融科技发展过程中关于数据保护的法律思考

“金融科技”无疑是2017年度最热门的话题之一，“金融+互联网”的联合无限放大了传统金融市场的有限边界，人类已经不可逆转地进入了互联网金融时代。

伴随本轮技术创新，智能化金融服务带给投资者前所未有的投资体验。金融稳定理事会FSB(Financial Stability Board)第一次对金融科技做出了定义：通过技术手段推动金融创新，形成对金融市场、机构及金融服务产生重大影响的业务模式、技术应用以及流程和产品。这表明金融必然依托技术手段实现信贷、支付、保险、理财等金融服务的互联互通，而促成这一技术实现的关键因素——数据，起到了不容忽视的作用。但由于我国法律对数据本身权利归属及数据收集、存储、分析、流通和商用的规范等不够完善，数据合规缺乏具有操作性的指南的问题都给数据保护提出了挑战。

一、数据本质

大数据时代，对于金融科技企业来说，其核心资产大都以的数据形式存在，主要分为企业数据和用户数据。企业数据一般指与其企业经营类型有关的商业秘密、商业广告及其他公开数据；用户数据即企业在经营过程中获得的用户个人信息。对于企业的商业秘密等非公开数据，我国有专门的法律及司法解释予以保护，具有一定内部性，而用户个人信息的数据涉及多方利益，因而则具有外部性，且法律关系较为复杂，因而本文重点探讨对于个人信息形成的数据的保护。 关于个人信息的定义，《电信和互联网用户个人信息保护规定》及新出台的《中华人民共和国网络安全法》（“《网络安全法》”）中均有规定，即指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。因此，金融科技公司基于用户提供的信息提供产品及服务，用于经营分析，其为客户营销和风险管控形成的数据成为企业的核心资产，具有巨大商业价值。

二、数据安全

进入大数据时代，数据成为企业竞争实力最重要的资源。数据本身的价值重要程度不言而喻，而随着技术手段的广泛应用，黑客和恐怖分子窃取或者破坏数据的机会增加，手段更加高明和隐秘，从而导致数据泄露产生的诸如身份盗窃、欺诈行为、数据滥用等触犯法律的行为。 一般来说，不法分子主要是通过网络攻击、植入病毒等方式，破坏计算机系统的功能、正常运营、并以删除数据相威胁，向网站经营者、用户等利益相关人索要钱款。如5月12日全球多国爆发电脑勒索病毒事件，受害者的电脑被黑客锁定，需按照提示支付价值相当于300美元（约合人民币2069元）的比特币才可解锁。 对于金融科技企业来说，技术驱动型本质决定了其潜在的技术风险，技术和交易平台系统的安全漏洞将会对其核心资产——数据资源带来较大风险，进一步辐射到整个金融系统。因此，金融科技公司必须重视数据维护、数据应用和数据创新，加大在网络安全方面的技术的投入和研发。

三、合规建议

对于本身掌握大量数据的金融科技企业来说，尽管我国在对数据所有权归属、数据标准化、数据交易等没有专门的法律规制，但是对于信息传播、宣传推广、个人信息保护权利保护等方面都有专门的规定。因此，对于企业在数据治理则应进行如下制度架构安排：

第一，制定网络运行安全机制，按照《网络安全法》及其他关于网络行为规制的法律要求开展互联网业务，并建立网络安全等级制度，明确网络行为规范和责任主体，在危机发生时能够启动处理机制。

第二，对于涉及国家安全的关键信息基础设施的网络产品和服务建立专门的数据保护机制，这就需要企业对关系国家安全的产品和服务进行数据管理及保护。

第三，建立数据治理制度。明确哪些数据可以公开、哪些数据应当作为商业秘密管理，如何收集和使用个人数据，确保收集和使用行为不侵犯他人的权利。

总之，数据虽然为企业控制使用，但是数据的不当使用可能损害他人合法利益，还会使企业陷入危险或危机。

因此，数据合规管理重要性自不待言，尤其是金融科技企业建立起数据治理制度是在互联网时代必须的商业安排。 作者：陈云峰律师，中伦文德律师事务所高级合伙人，互联网金融法律委员会主任，擅长互联网金融法律业务。

标签：