Q1:这几年金融科技发展很快,想请王律师谈谈金融科技能力建设中的数据合规问题。
王律师:我们之前服务过的金融科技公司还是挺多的。这里面包括有持牌的公司,比如像银行的这样公司,他们金融科技的建立;也包括保险公司,另外还有一些纯做金融科技的公司,如通过一些隐私计算方式去做金融科技的公司。
但是我想,如果大家稍微对金融科技有所了解、或者是知道金融行这个行业的话,就会发现:金融科技这个能力,实际上是建立在大量数据的加工、整理,或者是靠数据去堆砌、提高这种金融能力的。所以说,这个行业是离不开大量的数据的,也可以说是离不开这里面大量的个人金融信息或者金融数据的。
这里面存在两个问题:
第一点,你在建立这样的金融科技能力时候,有一个容易暴露风险的情况,就是与数据源相对应的风险。我们接触过很多的金融科技公司,也包括些一般的金融机构,却很难看到有一家机构是完全用自己的数据的,他们基本上都会通过各种方式去对接外面的数据,或者是通过公开爬取、获取的数据。那对数据源本身的来源合法合规性的审查,就是这里面的风险最重要的一个点。
第二个点是,大家都知道,金融数据它本身的这种利益性很强。包括一开始提的那个问题当中,我们处理的那个案件,为什么会在这样的一些企业当中会出现大量这样数据泄露的情况?而且这样的一些企业,我们感觉他们的信息安全工作已经比很多行业都要更好了,但是它仍然会出现这样的问题。很重要的原因就是,这里面的个人金融信息以及个人的一些数据的价值太大,有很多人盯上了这样的一些数据。
所以说,数据泄露有一套完整的、内部权限管理的安排。而且,针对数据合规中数据安全的问题,这个领域当中目前又是极其重要的。这个也是金融科技培训建设当中大家需要特别去关注的一些风险点。
我还想稍微补充一点,就是金融科技和行政许可之间的关系。现在因为出台了征信业务管理办法,所以这里面可能会有一种可能:即,金融科技公司提供的业务会需要一些行政许可的前置,并且和行政许可的工作结合在一起。那咱们提供的服务是否需要行政许可,也是需要大家也特别去关注的。
这个也是可能大家是容易去忽视的一个点。
Q2:19年底,一批金融科技公司因为爬虫事宜被查处,近期也频频看到因爬虫承担法律责任的案例,王律师如何看爬虫在金融行业应用中的风险。
王律师:首先,爬虫在金融行业的这个应用就是非常广的。其实我们这么多年的工作,有一条主线就是跟着爬虫走的。爬虫这种工具,虽然说现在因为各种各样的原因大家可能会比较避讳这个词,但是确确实实,在金融行业,特别是金融科技这种行业,爬虫这种工具是大家必不可少的,那这里面的风险也需要大家特别去关注,特别是像我刚刚提到的那个案件,里面也涉及到爬虫相关的一些东西。但是我想跟大家去分析,以我这么多年的经验来看,在金融行业当中使用爬虫这种工具,最核心的两个风险点是什么呢?
首先第一个风险是,因为你爬取数据的这种手段可能会构成的刑事相关的风险。核心的法律条文是,我们刑法当中的二百八十五条,特别是第二项。第一项是非法侵入计算机信息系统罪;第二项是非法获取计算机信息系统数据罪、非法控制计算机信息系统罪;第三项是非法提供侵入、控制计算机信息系统程序、工具罪。
这三项都是我们经常能看到的,在金融行业当中,在做爬虫业务当中可能会触碰到的法律风险,而在这其中又以第二个罪名尤为多。
这次普陀的案件,应该也是涉及这个罪名。综上,大家在抓取数据的时候,我们有一些与之对应的建议,因为这个罪名要构成的话,它有两个核心的构成要件:
第一,你要有突破安全措施的这样的一些手段。这个我们经常都能看到,比如说切换 IP 、切换 device ID 等手段,现在在很多案件当中也可能会被认定为「侵入」,这是比较容易构成刑事相关风险的。
第二,另外一个核心要件,我们也能够去做一些规避,即超越授权或者非法授权的这种情况。
我们可以看到,现在很多案件其实都是因为触碰到第二个核心的点,最终才会被认定为非法获取计算机信息系统数据。
综上,我们在爬取的时候特别需要去关注两个核心要件。
特别是在金融行业,我们有这么多数据需要爬取的情况下,如果这两个点能守住的话,也许就可以规避掉大部分里面的刑事风险。这个是在做金融行业的爬虫时需要特别去防范的一个风险。
还有一个需要注意的点是关于不正常竞争的。
因为我们现在金融行业会做很多数据的爬取,接着去做一些数据产品,提供给别人或者是提供给自己使用。但我们可以看到,这两年越来越多一些针对数据的产品,并且他们之间的不正当竞争越来越多。
尤其是在头部的互联网企业之间,比如说之前的那个「大众点评诉百度」「新浪诉脉脉」这样一系列案件,本质上都是因为数据的爬取产生的不正当竞争案件,数量非常多。
这是金融行业爬虫中特别要注意的。
至于其他的一些,比如说侵犯公民个人信息、或者说常见的知识产权相关的一些案件,也是需要大家去就是去关注的。
但是在金融行业的爬虫,这项技术本身是没有问题的,只是说你如何去使用技术,在什么场景去使用这些数据,可能会给你带来不同的法律风险。这个是我们需要提醒大家的。
Q3:我们了解到你们和金链盟、金融科技微洞察数据一起发布过一个《 DDTP :分布式数据传输协议》的报告,是关于可携带权在中国的实现路径探讨,能否给我们介绍下。
王律师:个人信息可携带权这个概念,其实挺早之前在国外就已经被提出来了。但是要说它被大家所熟知,主要还是因为 GDPR 将这个制度引入了。国内的话,就这次的《个保法》而言,我觉得也是一个非常好的一个尝试,将个人信息可携带权的这个规定引入到我们的《个保法》里面。一开始的制定个人信息可携带权的初衷,我个人的理解是:为了扩充个人信息的控制权,并让他能够更好地被衡量。另外还有一个目的是,防止数据的垄断。
我们知道,现在很多数据事项都掌握在互联网的一些大的平台手里,那个人要想把这些数据拿出来、或者是要传给第三方,实际上是比较难的。这在无形当中就促成了平台对个人性数据的一些垄断。
基于此,我们为什么要去引入这么一个概念,把它放到我们的《个保法》里面?这一次我们在报告里面,实际上也进行了分析;并且也通过这个报告分析、整理了到目前为止,全球在个人信息可携带权上面的一些立法的现状,以及这些国家具体的一些落地情况。
但是我们一直在思考一个问题,为什么会想到「中国路径」?既然《个保法》已经给了我们一个个人信息可携带权的定义,由此可以在不同主体之间,去将这些自己的个人信息进行移转,而且会要求平台提供相应的一些帮助。
个人信息它的价值大家都清楚,特别是在金融行业当中,我们都知道,实际上很多业务的支撑是要靠大量的个人金融信息的。
但,为什么这个数据这么难以流转起来?我们现在一方面要考虑到的是合规监管的这样的一些要求;另一方面,我们也在思考,为什么我们的个人信息、个人金融信息没有流动?
在分析之后,我的答案是:因为它的利益主体和它的权利主体不一致。这个要怎么去解释呢?
可以说,我们将这些数据给银行、或者是其他平台利用之后,实际上最终利用这些数据的产生价值的或者获得利益的,实际上是平台,而不是个人。
那这个问题,我们要如何解决?是不是把这两者之间做一个统一就可以了?由个人信息可携带权的定义,我们可以想到,个人信息可携带权实际赋予了个人能够在不同平台之间去转移个人信息的权利,那就是说:因为这个概念的出现,我们之后可能可以达到个人权利主体和利益主体的一致。
所以说,在这个前提支撑下,我们考虑了一些特别的场景。
我举一个线下的例子,比如说,我们在 A 银行有一些流水。那我要去 B 银行贷款的时候,我往往会去 A 银行把我的这些流水拉出来,然后提供给B银行,这就是一个线下的场景,一个我们在利用这个可携带权的一个案例。
但是,当这些条件都完全放在线上时,可能又会是另一种场景:你跟 A 银行说。我要把我这些流水信息提供给 B 银行,现在A银行根本就做不到,因为这个东西还没有完全落地。
不过,这个对于我们未来做这个事情会有一个很好的基础,即数据可以在不同的主体之间进行流动。
如果是基于原则、或者说是基于个人主动去告诉、同意,去做一些移转的话,其实它有可能真的能达到我们前面说的:利益主体和权利主体的一致。这能极大地去促进个人金融信息与个人信息的流转。
当然,这个从另外一个角度来说,这个对可能金融机构而言也会是一个挺好的机会。权利基础已经有了,法律也已经规定了可以这样,就那我们是不是可以在这个基础之上去建设一些东西、创设一些东西,帮助企业真的把这些个人信息流转起来、真的利用起来,把这个里面的价值发挥起来。
所以,金融机构可以去考虑这个问题。是一个挺好的路径。这就是我们称为「中国路径」的思考。
当然,这个东西还有很长的路要走,有各方面的原因。但是我觉得,这个可能在未来会是未发掘的一个金矿。
Q4:金融行业,尤其是银行业、保险业对数据交易的需求是非常旺盛的,谈到数据交易,肯定离不开一个词「隐私计算」,隐私计算是近来频繁出现在数据合规领域中的热词,能否谈谈隐私计算在【数据交易】以及金融行业中作用以及对于数据合规工作带来的影响?
王律师:隐私计算确确实实是这两年比较热的词。特别是从去年开始,有很多新兴的数据交易所出来之后,就更是一个热度很高的词了。在金融行业当中,有很多数据是存在交互的,因此隐私计算也是在金融行业当中最早应用的。
我常常讲「我们做的也是技术」,我们团队从 19 年开始就在帮国内的一些金融科技公司以及银行在做隐私计算当中的一条路径,包括隐私计算联盟学习这个场景的落地。在这过程中,也看到了很多问题。但是不得不说,这个技术这两年在技术上逐步地成熟。
就隐私计算本身来看,我个人理解,如果用一句话去解释这个隐私计算的话,我认为:隐私计算,它本质上是在实现这种数据的可用不可见的这个目标的过程当中,所产生的一系列技术或者是理论的一个集合。
隐私计算为什么这么受大家的重视?我想,是因为现在已经能够达成共识了:隐私计算这项技术,未来可能会成为数据交易的底层技术。
不过,隐私计算本身并不像大家可能理解的那样;我们很多人会认为,隐私计算这件事它就一点问题都没有,是完全符合我们法律法规的。
这个我觉得也是一个误解。我们在做隐私计算相关的具体项目落地,特别是在金融行业当中这样的隐私计算联盟学习产品的落地的时候,也发现了:它自身也有一些绕不开的一些合规的问题。
由隐私计算这个名字、或者最早引入国内的原因来看,它根本上是要解决两大核心的问题:一个是隐私保护法律法规越来越严的问题;另外一个就是数据孤岛。但是并不像很多人理解的,我用了隐私计算,那我就一定合规;隐私计算它本身还是一项技术工具,到底合不合规,实际上我们还是要从就数据合规本身这个底层去判断,比如说:这里面到底有没有数据交互?它的数据处理行为是否达到了合规的要求?
这里面也有一些内容需要我们大家特别去关注。从我们的业务实践来看,虽然我们经常称隐私计算为「数据可用不可见」,或者「数据不出本地」,但是实际上在做这个隐私计算的过程当中,仍然存在部分数据的交互。
这些数据到底是不是个人信息,以及它交互的这个数据量有没有获得同意,实际上还需要看具体场景。但是这里面大家还是要按照正常的数据合规的这个逻辑去审视,特别是【个人信息交互】这一点,你要去识别,识别到底有没有个人信息的交互,而且个人信息的交互有没有在原始端获得这样的一个告知同意,这个是需要特别去关注的。
大家不要觉得做了隐私计算,好像所有问题都解决了,这就是已经合规了。那我觉得这个误解大家需要去消除。
Q5:如何实现金融行业的数据合规工作标准化?
王律师:在回答这个问题之前,我想要先跟大家去解释一个问题:为什么我们在数据合规中、特别是在金融数据合规当中要去做这个标准化工作呢?大家可能也感觉得到,包括我前面也在提,未来金融数据的合规可能会成为一个大量的、常态化的工作。那这样的一个常态化、或者说大量的工作,给我们的数据合规工作提出了两个方面的挑战。
第一,怎么能保证我们大量的数据合规工作的质量达到统一的基准线?
第二,怎么能在这样大量的数据工作中提高我们的效率?或者说的直白一点,我们怎么才能做到:让我们自己的法务能够提高工作效率的同时,不把大量的工作时间都花在一个不停的、常态下的一个工作中。
那标准化就是一个非常好的解决方式。如果我们把大量的标准化工作做好之后,是不是百分之七、八十的工作都可以由业务部门自己内部去解决,而不需要所有东西都由法务来承担?
我觉得这个对法务来说是最现实的一点,即工作上的很多东西都可以交给自动化。
同时,这个工作因为是标准化的,在经过整理之后的,工作本身的这个质量也能得到保证。为什么要去做数据合规工作标准化,我觉得这是很重要的一个原因。
说了它的必要性之后,怎么去做数据合规(特别是金融数据合规)当中的标准化,我觉得有几个路径。等一会我还可以分享一下我们现在正在做的一个业务场景。
首先,我觉得很核心的一点是:金融数据的合规点很多,但是哪些是企业本身应该重点去关注的合规问题、或者是监管的重要的问题?因为不是所有的问题都是那种常态化的问题,也不是所有的问题都需要我们去做标准化。
有可能有一些问题,你在做这一年当中也就发现一次,你不需要去做这种标准化的工作。那我们要梳理出数据合规工作中,哪些是需要做标准化的,合规义务或者合规风险的重点在什么地方。
第二个核心的点是:针对一些特别容易出现合规风险的点,我们去完整梳理这里面的一些合规义务。对合规义务进行一个完整的拆解之后,再去形成一些标准化的东西,比如说文本,标准化的这个流程就足以去支撑我们的日常合规工作了。
举一个简单的案例,比如数据跨境标准化的这个场景,我要怎么去做呢?跟大家去分享一下我们的一些经验。我们做了标准化流程当中的几个步骤。
首先,我们做数据跨境,第一个要做的标准化流程会是:跨境的识别。可能对大多数做数据合规的法务来说,对数据跨境本身的识别不是什么太大问题;但是如果你想把它做成标准化流程,想让你的业务部门也能理解什么是数据跨境,那对他们来说,实际上这个工作是需要花时间去了解的,包括我们理解跨境的访问,如果是境外直接访问境内的数据这种情况,对于我们法务应该不成问题,这肯定是数据跨境。
但是在很多业务部门的小伙伴来看,可能这就是一个需要分析的问题。所以说,首先,我们要去做这种数据跨境的识别工作。
第二个需要做的就是数据的识别,识别该跨境场景到底有哪些数据不同的数据,因为它们是不是个人信息、是不是敏感个人信息、是不是重要数据,就决定了我最后的义务到底要履行哪些。
我前面也提到了数据跨境,虽然现在来看是一个限制出境的情况,但并不是说不能出境,只要你满足合规义务要求就能出境。
在进行数据识别之后,第三个流程是做相应的业务识别,在知道满足什么样的合规义务、你去履行之后,可以去促进这个工作。
把目前对合规义务履行的情况和现在业务的识别进行一个对比之后,就成为了第四个流程,即合规义务履行情况的识别。
在这四个流程之后,这整个流程就形成了一个标准化。在这个标准化当中,我们可能会有一套完整的标准化的流程,方便我们的业务部门去使用。也可以说百分之七八十的工作在拥有一套标准化的流程之后,其他业务部门就可以自行按这个标准化流程去使用,但可能还会有一些冗余、或者是有部分不能解决的问题,还是需要最后落到法务这边再去解决,或者是外部律师来做支撑。不过在完成这样的标准化流程工作之后,我认为百分之七八十的工作都可以通过这种标准化的方式去解决掉。
我了解的 i LAW 自己也在做这样的一些标准化工作,甚至比我刚才提到的做得还要更深。
在做产品化的这个流程之后,应该也会有标准化的一些方向;我也希望能和 iLAW 这边多做一些这方面的沟通,好好学习。
联系客服