銀行VS網際網路平臺:一場數據權屬爭奪戰

來源：貿易金融

來源 | 證券日報

作者 | 杜曉彤 李穎超

數字經濟時代，銀行難掩「數據」之渴。

「銀行正在失去獲客的陣地，金融不再發生在我們的網點，金融發生在場景中。」有業內人士如是說。

與頭部網際網路平臺、政府機構合作將成為銀行重要的破局方式。但隨著數據安全與個人信息保護被提上立法議程，各家金融機構從合作平臺和用戶處獲取數據或將被監管高度關注，合規難度可能增加。

國家金融與發展實驗室副主任曾剛向證券時報·券商中國記者表示，未來對數據權屬的明確，或將對整個金融體系的數據中後臺建設帶來根本性影響，金融機構的數位化路徑可能發生改變。

不同立場之間的博弈

傳統業務模式中，銀行主要依靠客戶自身主動提供和上門訪談獲取信息。步入數字經濟時代，銀行的業務模式已逐步轉向圍繞數據來展開。「有了數據之後，就可以精細用戶畫像，業務更能夠實現精準營銷，也就是獲客。」有銀行從業人員表示，現在最重要的就是獲取數據，然後通過數據找到客戶、識別客戶。

然而，隨著數據重要性不斷提高，想盡辦法獲取數據的銀行也被部分用戶指責「過度收集個人信息」。

與此同時，涉嫌侵犯個人信息的合規性風險也在增加。據行動支付網發布的《中國個人金融信息保護執法白皮書2020》不完全統計，央行在今年開出的行政處罰罰單中，案由涉及「個人金融信息」的共181張，涉罰金額合計超過1.8億元，處罰對象包括銀行、證券公司、支付機構、消費金融公司等。

從監管處罰的情況來看，無論是處罰金額還是頻次上，銀行都是涉罰「大戶」。從銀行類型來看，涉及「個人金融信息」的相關處罰包括國有大行、股份行、城商行、村鎮銀行以及信用社等。也即是說，銀行在這類相關違規問題上具有普遍性。

部分業內人士認為，個人信息收集泛濫也是市場在便捷性和信息保護之間進行博弈後的選擇，而用戶作為個人信息的擁有者，也是促成這一結果的「合謀者」之一。「當前，我國民眾之所以能夠享受高度便利的金融支付服務，很大程度上都是用自身信息安全換來的。」有行業研究人士直言，「國人也習慣了用一定隱私的暴露來換取生活上的方便。」

用戶到底是願意讓渡隱私，還是缺少選擇權？亦有不同解讀。有法律人士告訴記者，用戶犧牲個人的一些隱私去換取可享受的消費服務多半可能是被迫的。「自然人並沒有主動願意犧牲個人隱私去換取享受的便利，很多時候是被動的。」

上述法律人士進一步表示，這也是立法導向的結果。「從立法角度而言，目前國內的法律體系在保護個人隱私方面不夠完善、力度不夠大」。

數據權屬待明確

從某種程度上來看，不同立場之間博弈的，其實是對數據權屬的爭奪。

「目前，各國法律似乎還沒有準確界定數據財產權益的歸屬，大型科技公司實際上擁有數據的控制權。」銀保監會主席郭樹清日前發表演講時表示，中國政府已明確將數據列為與勞動、資本、技術並列的生產要素，數據確權是數據市場化配置及報酬定價的基礎性問題。

對數據權屬的討論由來已久。浙江大學光華法學院網際網路法律研究中心主任高豔東近日撰文稱，郭樹清恰好點中了當前數字經濟的命門：權屬未定，產業迷茫。

有律師向記者表示，目前數據權屬遲遲無法明確的主要爭議在於：經過企業處理形成的個人數據歸誰所有？

「例如，企業認為，針對用戶的個人畫像是凝聚了一定投入成本的產出物，所有權應該在企業。但如果這個數據指向用戶個人，被用於向用戶精準營銷，用戶是否有權要求企業刪除該數據呢？」

數據權屬問題也受到金融行業的高度關注，尤其對於正在數位化道路上探索的金融機構而言，明確其權利歸屬所產生的影響或許更加深遠而重大。曾剛認為，未來對數據權屬的明確，或將對整個金融體系的數據中後臺建設帶來根本性影響，金融機構的數位化路徑可能發生改變。

例如，數據權屬的明確將對數據使用權進行界定，或將決定金融機構的數據使用範圍。曾剛對記者表示，在當前數據使用權尚未明確的背景下，數據的實際控制權在大型科技公司手上，這導致了金融機構朝著這些壟斷流量、壟斷數據的頭部場景靠攏，數據資源也進一步向它們集中。

「這是因為目前對數據的使用是沒有限制的，也就是企業實際掌握數據的控制權。」曾剛進一步解釋，在這樣的前提條件下，各行各業的數位化轉型基本上圍繞這些掌握數據的企業展開。「換句話說，由它們去為金融行業賦能，實際上就是基於它們所掌握的龐大數據量，說是技術賦能，但技術誰都有，數據才是最核心的」。

外部合作數據引關注

據了解，銀行業的數據可以籠統分為來自內部體系和外部接入的數據，得益於銀行較為規範的內控體系，內部數據的保管較為嚴謹，接入外部數據這一合作模式則受到更多關注。

有大行人士告訴記者，銀行內部對個人信息的保管制度已經較為完善。具體而言，在客戶資料的保管上，客戶經理必須要設置密碼對其進行保管。「這方面管理很嚴，也會定時檢查與抽查，甚至搞突襲檢查。」此外，銀行內部也規定了員工不能在內部單獨查詢客戶信息，如果需要查詢必須在說明理由後由主管授權。同時，主管不能操作櫃員的系統。

不過，寧人律師事務所金融與科技委員會副主任馬軍認為，銀行這方面的內控僅側重信息保管方面，而對個人信息數據的使用仍缺乏完善的制度體系。馬軍介紹，銀行需要滿足網絡安全等級保護測評的要求，俗稱「等保測評」，「但這個測評側重於技術層面，對法律合規性層面缺乏要求」。

但隨著法律法規的完善，銀行業在外部合作的數據獲取與使用上，可能會獲得監管更高的關注。曾剛告訴記者，「未來如何強化對合作方的管理以及滿足外部數據合規性審查等，也可能是未來銀行需要重點考慮的問題。」

「近年來，銀行在網際網路端的業務發展迅速，內部數據很難完全滿足展業需求，因此一直在拓展場景、接入外部數據。目前，銀行通過自建場景獲取的數據還比較少，更多的還是與主流的頭部網際網路平臺進行對接以獲取數據。」曾剛舉例，比如現在廣泛討論的「開放銀行」，在與場景方對接的過程中，如果外部接入的數據提供方無法滿足數據安全和保護方面的合規要求，就可能將合規風險傳導到銀行。

「所以，強化合作的外部數據提供方可能是銀行下一步要去重點關注的。」曾剛建議，銀行在選取合作方時，可通過建立白名單等方式嚴格準入要求，同時在使用數據時也要緊緊圍繞監管要求來展業。

中小銀行或面臨更大挑戰

「一些中小銀行受限於自主研發能力，也在尋求其他利潤合作聯盟的方式和與金融科技企業合作，利用第三方的資源。」12月11日，國務院參事、銀保監會原副主席王兆星在「第四屆中國數字銀行論壇」上指出，這可能是下一步中小商業銀行選擇之一，但也蘊含很多不確定因素和風險。

曾剛也坦言，相對大行來說，中小銀行數據治理能力相對較差，在合規使用外部數據方面問題較多，加上在合作關係中不如大行強勢，可能存在更多的風險。「很多國有銀行、股份制銀行的數據治理很多年前就開始了。」他表示，大型銀行梳理和構建數據基礎的行動比中小銀行早得多，也走得相對更遠。

未來，中小銀行也應參考大銀行的一些標準，逐步建立起涉及外部合作準入的一些要求。「國家在數據安全方面也可能會出臺一些政策，去積極構建與之相應的一些風險管理要求，也能夠及時把在外部數據對接方面出現的風險進行有效防控。」曾剛表示。

「很多中小銀行的數位化做不起來，除了人才團隊、業務意識和技術因素外，還有一個原因就是數據不過關。」亦有城商行人士表示，但銀行的數位化建設知易行難，就以數據治理為例，不僅需要漫長的工作積累，還需要內部協同。

「從根本上來說，中小銀行還是要提高自主意識，在個人信息保護方面加強技術與合規團隊的建設。」馬軍表示，一些地方性中小銀行「技術靠別人、諮詢也靠別人，自主意識特別弱」。此外，銀行體系內部常常「法務部門不管技術部門，技術部門不管法務部門」。

他說，「必須有兩部門的統一協調，銀行才能建立起較為完善的個人信息保護制度。」

法律制度尚待細化

當談到行業規範會不會對銀行的數位化轉型進展產生影響時，多位業內人士向記者表示，合規是使行業變得有序的過程，能夠促使企業在有法可依的範圍內更好、更安全地使用數據，與發展是相互促進的良性循環。

一位支付機構人士表示，實際上，對於頭部企業來說，信息洩露事件對品牌和口碑都有負面影響。所以，「它們其實很願意提高合規能力」。亦有律師認為，「過去野蠻生長的狀態下，金融機構也非常擔心被罰」，如果法律法規層面逐漸完善，雖然會增加金融機構的合規成本，但其違法成本也會降低，「因為行業終於『有法可依』了」。

但目前，監管層面還缺乏更細化的規章和明確的分工。有法律人士表示，由於目前頒布的相關草案較為籠統，行政機關和執法機關如何分工等尚未明確，所以不排除會有多頭交叉監管。

馬軍也認為，從監管現狀來看，確實存在各部門管轄權界定不清，造成一些部門「各處插手」，結果出現「九龍治水」的問題。但他指出，多頭監管也不一定是問題所在，而是趨勢所向，因為個人信息保護制度的建立必然需要各部門分工合作。

劉新海表示，在一個基本的法律框架下，不同地區、不同行業對數據的積累程度和需求情況各有不同。「經濟發達地區，有些監管需要更加嚴格；經濟不發達地區可以寬鬆一點。支持其發展，每個行業也有各自特性，對數據敏感程度不一。因此，各部門、各地方政府後續結合各自特徵再推出細化的規章制度或許是更符合現實的考量。」