危險的數據生意

本報記者 鄭瑜 張榮旺 北京報導

只要你申請過貸款，大概率就有數據公司對你做出過評估，且評估指標幾乎涵蓋購物、出行、支付、外賣、手機卡中數據流量情況等各個維度。如今，甚或是你近一段時間內在凌晨上網的痕跡，亦會成為各家數據公司與網際網路公司反欺詐產品風控維度上單獨列出的常見一項，而這些指標或正在影響著金融機構對你的信用評價。

從2013年網際網路金融火爆，到2020年疫情加速金融機構線上化業務轉型，精準獲客與線上風控服務需求暴增，數據公司與流量巨頭基於海量數據的各種應用輸出，逐步成為銀行、證券、保險等金融行業無法抗拒與割捨的工具。

而在「為金融機構輸出建模與技術系統搭建研發門檻較高，短期難以得到高回報，屬於吃力不討好」的論調下，數據公司普遍選擇了更輕鬆暴利的「數據生意」——表面上，其從事著輸出建模和提供諮詢業務，但私下卻在非合規地收集數據、加工買賣。在國內數據立法仍然真空的環境下，這些數據公司迅速做大規模。另外，還有企業徵信公司違規涉足個人徵信業務情況。

流量巨頭掌控數據資源

誰擁有或掌握著我們在網際網路上留下的痕跡？

中國銀保監會主席郭樹清曾發表演講表示，「目前，各國法律似乎還沒有準確界定數據財產權益的歸屬，大型科技公司實際上擁有數據的控制權。」

事實上，當你在上網社交、購物、娛樂、閱讀時，已經進入數據採集的範圍。

當接受免費或收費的服務時、安裝打開APP時，用戶都需要勾選用戶隱私協議，約定平臺對用戶個人信息、上網痕跡等數據的採集、使用等權利。實際上，多數情況下這種勾選行為是帶有強制性的，即不勾選就無法享受服務或使用APP。然而，這種勾選行為即代表著，平臺獲得了用戶授權，可以採集用戶數據，進而加工分析、共享給合作方，幫助其實現營銷獲客、金融風控等目標。

有監管科技專家告訴《中國經營報》記者，當前市場對數據商業化的定位並不清晰。網際網路平臺提供APP或服務，在免費獲取用戶海量數據並進行用戶畫像後，通常有兩種做法：第一種是為金融機構加工數據、提供數據治理，將其變為商業判斷；第二種是將數據運用於商業場景之中，找到用戶需求，將購物、外賣、電影等商業場景引入，再布局消費信貸，利用數據資源和渠道優勢與不具備獲客能力的中小金融機構合作聯合貸款助貸分潤等等。

流量競爭的背後是對數據資源的野心。網際網路流量平臺一方面想盡辦法採集更多維度的用戶信息，另一方面尋找變現途徑，利用這些信息謀取利益。

2020年中央經濟工作會議將「強化反壟斷和防止資本無序擴張」列為2021年八項重點工作之一，並明確提出要完善數據收集使用管理。

中國人民銀行科技司司長李偉近期在一次內部研討會上表示，近年來，一些機構違規濫用數據、擾亂市場秩序、侵犯消費者權益，引發一些突出的問題。比如憑藉電商、社交媒體、遊戲等領域積累大量用戶群體和渠道優勢，把持流量入口，通過一些霸王條款過度採集數據，成為數據寡頭、搞贏者通吃。再比如，有的企業沒有得到用戶授權就肆意開展用戶畫像，然後進行「大數據殺熟」、過度營銷和誘導消費。通過用戶畫像進行定製推送，侵犯金融消費者的知情權、選擇權和隱私權。

馬裡蘭大學教授弗蘭克·帕斯奎爾（Frank Pasquale）提出的「算法黑箱」概念，將當下大數據時代稱為「黑箱時代」。「黑箱」將所有重要信息記錄清楚，個人只是信息的生產者，卻不知道這些信息將被用於何處，會產生什麼樣的影響。

科技行業垂直媒體「淺黑科技」撰文舉例，一個人如果在搜尋引擎上搜了好多P2P平臺的名字，甚至搜索了「不還花唄會怎樣」之類的詞彙，系統就可能認定此人的財務狀況很差，可以給他打一個風險很高的分數。這時，如果他來到平臺借錢，大概率將被拒絕。

第三方數據服務商的合規瑕疵

某金融科技公司產品負責人曉波向記者透露，「在監管合規要求之下，大數據公司轉型壓力非常大。」

相較於網際網路公司基於自有平臺用戶數據開展業務或引入合作變現流量，數據公司合規性更加堪憂。不單單是因為其為銀行等金融機構提供的快速核查欺詐和信用風險服務，與個人徵信業務的邊界模糊，其掌握數據來源也可能存在合規瑕疵。

比如，目前市面上數據公司提供數據產品的主要維度——多頭借貸信息，即一般包括申請人一段時間內（7天到兩年不等），在銀行或非銀行金融機構的申請次數。但這個次數是如何得出的呢？

曉波告訴記者，多頭數據雖然經過去標示化等處理符合法律規範，但合規瑕疵始終存在。「機構並未授權大數據公司將用戶在本機構申請記錄提供給其他金融機構。再者，用戶也未授權大數據公司可以將這個機構的信息，再次給別的機構提供服務。所以這兩次授權都有可能存在瑕疵。」

記者獲得的一家金融數據服務商的報價單就明確表示，該公司基於自有的海量數據，通過相關算法挖掘用戶行為。服務項目包括身份證二要素驗證（核查身份證姓名是否一致）、手機三要素驗證（驗證移動、聯通、電信手機號與綁定身份證號和姓名是否一致）等。

「從合規性而言，談何自有數據？以大數據公司提供的驗證產品為例，身份證號與姓名是否一致的要素驗證，第三方數據公司與服務C端的網際網路平臺不同，其自身並無C端平臺，也無個人業務，按理也不會留存個人信息，本不會有掌握用戶身份證號碼與姓名的可能性。當金融機構請求核驗要素，大數據公司為何能夠達成服務（反饋數據驗證結果）？」有從業者反問道。

記者注意到，有些大數據公司也注意到了合規要求。遂在其風控產品介紹中表示，其風控數據產品的底層數據均從合作的信貸機構處收集，即合規機構在合作期間上傳的相關信息，所有數據的採集、加工、應用均經過所有人的授權許可。並特別表明：在無法取得合作方授權的情況下，公司將不留存此合作方的任何查詢信息，無任何形式的網絡爬取或簡訊截取。

不過，多位業內人士告訴記者，目前銀行等金融機構出於自身保護的考慮，會將授權寫得儘量籠統。

金融機構失去話語權

當前，消費信貸快速發展，個人徵信需求越來越強。

奧緯諮詢預計，中國消費信貸市場規模預計從2017年的10萬億元增長至2021年的16萬億元，年均複合增長率為12.47%。據公開報導，截至2020年11月末，央行徵信系統收錄有信貸記錄的自然人6.1億人。

與此同時，隨著普惠金融的推進，金融機構開始深入三四線城市及農村地區，加快服務下沉客群市場成為趨勢。但下沉市場客戶大多在央行徵信沒有記錄，屬於徵信「白戶」，這給銀行與非銀機構準確判斷個人信用提出了難題。

而在數據公司與網際網路巨頭的前後夾擊之下，部分金融機構對其提供的大數據風控服務支持也逐步產生依賴。

有持牌消費金融公司高管對記者表示，目前公司很大成本是花在第三方數據上，因為央行徵信之外的商業數據都是市場化的價格。「消費信貸市場普遍面臨數據成本的壓力。」

記者了解到，目前包括國有大行在內的金融機構，其風控在多頭借貸信息領域普遍面對「非A即B」的選項。

「目前我們風控依賴數據，而數據是需要合作的，但靠我們一家數據遠遠不夠，必須尋求外部合作。」另一家消費金融公司負責人也表示。

有業內人士表示，目前頭部數據整合性公司，都是在行業市場化早期對接了不少渠道，因而快速崛起。

監管反面顯然也注意到了這些風險。「有的企業有了數據等於有了籌碼，就會出現妨礙公平競爭、攫取超額利益等現象。一些金融機構在數據合作中失去話語權，不正當競爭就此形成。」李偉表示。

中國銀行法學研究會理事肖颯表示，日前央行發布的《徵信業務管理辦法（徵求意見稿）》（以下簡稱「《管理辦法》」）對於徵信也進行了引導與規制。「我們發現其中增加了反歧視、反壟斷性質的條款，同時，對於徵信不公對個人和企業將產生的潛在危害進行了原則規定。」

在金誠同達上海辦公室高級合伙人彭凱律師看來，目前對非持牌機構的監管已不斷趨嚴。「在過去，數據行業與金融行業不受監管，邊際成本極低：數據行業依靠數據分析能力可以批量化處理信用信息獲利，金融行業依賴便捷、獲取門檻低的信用分析結果進行風險判斷和金融決策，但現在信息處理和使用均需要遵守信息安全的規範要求，包括遵循『最少、必要』原則和用於合法、正當目的，數據行業和金融行業必須規範經營，野蠻生長將直接面臨行政處罰甚至刑事風險。」

「對於大數據公司來說，當前最賺錢的仍是數據服務。數據產品利潤率高，邊際效應明顯，但隨著數據相關立法的不斷完善，數據服務的合規性瑕疵會慢慢凸顯。對於大數據公司，特別是本身就不產生數據的大數據服務公司，必須儘快割捨數據服務，向模型服務、風控諮詢以及其他數據加工相關服務轉型。」曉波強調。

行業普遍認為，數據加工業務雖然合規，但成本相對數據服務較高，銀行駐場模式下要投入高人力運營成本，屬於重資產模式。

對此，曉波認為，在當前情況下，大數據服務商需要思考的是如何讓產品能夠標準化。「大數據服務商已經完成了他們第一桶金的挖掘，當下最重要的是要思考第二業務發展點究竟在哪兒？」

金融科技行業專家蘇筱芮告訴記者，開年就有企業徵信機構收到巨額罰單，充分釋放出這樣一種市場信號：徵信業務屬於金融業務，必須持牌經營，需要經過中國人民銀行批准，市場機構不得擅自從事個人徵信業務活動。未來，從事數據利用、數據處理相關的工作，要更加重視信息安全、隱私保護與金融消費者的權益保護，持牌經營是監管導向。

告別野蠻生長

在監管持續收緊的背景下，留給數據行業合規轉型發展已經所剩無幾。

2021年1月11日，央行公布的《管理辦法》，是繼2013年《徵信業管理條例》《徵信機構管理辦法》後，徵信行業即將迎來的又一重磅新規。

山東濰坊市地方金融監管局副局長歐永生告訴記者，如《管理辦法》落地執行，將是徵信法治化建設的重要一步，將在引導徵信業健康發展，完善徵信體系等方面發揮重要作用。《管理辦法》堅持了底線思維，對信用信息和徵信業務做了明確規定，為開展徵信活動，尤其是為市場開展個人徵信活動設立標準、底線。「一方面進一步重申和落實凡金融業務和活動必須納入監管的要求。另一方面，對保護信息主體權益提出了更高要求，明確了規範信用信息的使用，保障用於合法目的。」

歐永生表示，《管理辦法》明確以「信用信息服務、信用服務、信用評分、信用評級、信用修復」等名義對外提供徵信功能服務，適用本辦法。應該說對目前社會上非持牌機構影響較大，將面臨合規風險，一旦落地執行，將受到嚴格監管。

《管理辦法》同時也明確金融科技公司可以與徵信機構合作，提供有關數據處理服務；或者徵信機構可以委託其他機構向信息主體提供免費信用報告查詢服務。可以說，這是金融監管部門對金融行業歸位盡責的要求，因此非持牌徵信服務機構應該儘快轉型，可按照辦法提出的路徑與徵信機構進行合作；或者儘快向科技外包、技術賦能、業務聚合等純科技類公司轉型發展。

「數據行業與徵信深度融合，在推動徵信體系完善的同時也會帶來數據行業的蓬勃發展。金融行業將隨著徵信行業的規範發展，進一步破解投融資雙方的信息不對稱，進一步創新更多基於信用的金融產品和服務，降低金融服務成本，提升金融服務實體經濟效率和質量。」歐永生展望道。

在具體影響方面，彭凱表示，《管理辦法》落地執行將主要給數據行業、金融行業帶來「納入監管的企業及業務範圍增加、企業經營風險劇增、經營成本上升利潤空間降低」等三方面的影響。

彭凱指出，根據現行的《徵信業管理條例》第二條，「徵信業務，是指對企業、事業單位等組織（以下簡稱企業）的信用信息和個人的信用信息進行採集、整理、保存、加工，並向信息使用者提供的活動。」在當時（2013年）的立法環境下，對信貸場景中的信貸記錄類信息（包括借貸信息和逾期記錄）進行處理是最常見的徵信業務，而《管理辦法》將「信貸」場景擴大到「為金融經濟活動提供服務」，將信用信息種類和範圍擴增為「用於判斷個人和企業信用狀況的各類信息。包括但不限於：個人和企業的身份、地址、交通、通信、債務、財產、支付、消費、生產經營、履行法定義務等信息，以及基於前述信息對個人和企業信用狀況形成的分析、評價類信息。」由此，使得原先「信用信息」概念和範圍界定不明的法律滯後局面被打破，原先不受《徵信業管理條例》的數據行業和金融行業機構，都有可能被納入央行徵信監管。

「事實上，隨著網際網路科技（如大數據、AI算法、數據建模）和網際網路金融平臺（如P2P、小貸、網際網路商業銀行、分期購物平臺等）的發展，市場對於個人徵信的需求早已從信貸查詢擴大到徵信查詢、進件審核、身份核驗、債務清收、風險控制、大數據分析、信用評級、用戶畫像分析等。此前，這些業務未被定義為徵信業務，如徵信管理意見稿落地執行，從事上述業務將可能被定性為『徵信業務』，進而成為『燙手山芋』。《徵信業管理條例》第七條明確規定，『未經國務院徵信業監督管理部門批准，任何單位和個人不得經營個人徵信業務。』一旦無證經營個人徵信業務，就有可能面臨著企業被取締、沒收違法所得，並處以5萬元～50萬元的罰款以及構成刑事犯罪的風險。」彭凱補充道。

曉波進一步表示，當前，國家正在加快推進個人信息保護法、數據安全法等新法律的出臺，監管正在更大力度的規範個人信息的依法合規使用。大數據行業也將隨之向好發展。「這是一個良幣驅逐劣幣的過程。在此過程中，保證持牌機構來開展個人徵信業務，去依法合規的使用個人數據。原本的大數據服務商可以從事數據加工、數據洞察等分析服務。比如研發聯邦學習、安全多方計算等技術，提高數據與數據之間的共享技術能力將會成為趨勢。目前很多國家機關以及國企比如發改委、央行、稅務總局、國家電網都將數據進行共享，建議下一步由政府牽頭，建立規章制度與規範，推進行業標準的制定，相信未來通過國家力量，能夠更好的發揮數據的價值，讓數據要素市場良性發展。」

彭凱認為，未獲得個人徵信牌照的從業機構尚未到窮途末路之時，因為當前持牌機構只有百行徵信和樸道徵信，兩家獨大不符合市場需求，也不利於市場競爭，尤其是金融風控，不能缺少信用信息分析。對於非持牌徵信機構，徵信管理意見稿並非一棒子打死，非持牌機構可以取得徵信機構的授權為個人信息主體提供免費信用報告查詢服務，也可以與徵信機構合作，為金融經濟活動提供個人或企業信用信息及信息處理。但必須尋求持牌機構的授權或合作才能繼續開展徵信業務，無論是與持牌機構洽談磋商的成本，還是支付的合作費用都是一筆飛來橫『債』。」

全聯併購公會信用管理專業委員會常務副主任、研究員劉新海表示：「《管理辦法》對信用信息進行了定義，並對採集和使用中的信用主體的信息保護和數據安全進行了規定。短期來看，會增加數據行業和金融行業的合規成本。但長期來看，通過保護信用主體權益來獲得信用主體信任，對規範行業以及促進行業在數字經濟中未來健康發展有積極作用，但關於信用信息的定義從專業角度有待商榷。」

值得注意的是，記者日前在暗訪中發現，多家數據公司仍然對記者表示，其數據產品可以提供個人用戶信息核驗、信用風險與欺詐風險查詢服務。對於數據行業未來的發展，本報將持續關注。