李燕：GDPR將對金融科技核心技術(shù)的商用和創(chuàng)新產(chǎn)生溢出效應(yīng)。金融科技企業(yè)在隱私權(quán)和信息安全上正面臨新的規(guī)制環(huán)境。

被稱為史上最嚴(yán)的個人信息保護(hù)法——歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)已經(jīng)開始正式實施。歐盟發(fā)布GDPR是出于什么樣的考慮?GDPR對積極在歐洲開展業(yè)務(wù)的中國科技企業(yè)有什么啟示?GDPR對算法和數(shù)據(jù)的要求，對極度依賴數(shù)據(jù)的新興產(chǎn)業(yè)造成什么影響?

金融科技以數(shù)據(jù)和技術(shù)為核心，是新興金融服務(wù)業(yè)的一大標(biāo)志。自互聯(lián)網(wǎng)革命、移動互聯(lián)網(wǎng)革命以來，金融科技擴(kuò)展至金融領(lǐng)域的一切創(chuàng)新技術(shù)，如大數(shù)據(jù)、人工智能、區(qū)塊鏈、云計算等。金融科技的適用群體也逐漸從金融行業(yè)拓展至各類企業(yè)乃至普羅大眾。據(jù)2017年安永發(fā)布的金融科技采納指數(shù)顯示，目前全球1/3的消費者正在使用兩種或更多的金融科技服務(wù)。金融科技在重塑金融業(yè)態(tài)和促進(jìn)社會的包容性增長上功不可沒。與此同時，金融科技企業(yè)在隱私權(quán)和信息安全上正面臨新的規(guī)制環(huán)境。鑒于GDPR的效力范圍，其將對金融科技核心技術(shù)的商用和創(chuàng)新產(chǎn)生溢出效應(yīng)。

GDPR對人工智能商用的合規(guī)影響

人工智能的三種主要技術(shù)均需要專有類型數(shù)據(jù)的支撐。例如，機(jī)器學(xué)習(xí)需要大量的標(biāo)簽樣本數(shù)據(jù)，模式識別偏重于信號、圖像、語音、文字、指紋等非直觀數(shù)據(jù)，人機(jī)交互則需要積累大量的用戶數(shù)據(jù)。當(dāng)下，人工智能正逐漸滲透至金融業(yè)KYC、貸款、風(fēng)控、資產(chǎn)配置、保險等金融領(lǐng)域，需要符合GDPR要求。

(一)開展數(shù)字化投顧等自動化決策服務(wù)

數(shù)字化投顧(Digital Investment Advice)的業(yè)務(wù)邊界在各國實踐上有所不同，對其界定也無共識。概念源于2016年美國金融業(yè)監(jiān)管局發(fā)布的數(shù)字化投顧報告，從監(jiān)管者視線出發(fā)，無從也無必要對各類商事主體提供的人工智能技術(shù)予以度量，無論是機(jī)器人或是人工智能投資顧問，無論服務(wù)商采取何種方式實現(xiàn)商業(yè)模式的智能，其輸出形式均可統(tǒng)一認(rèn)定為數(shù)字化投顧。有了大量數(shù)據(jù)輸入的人工智能，能夠根據(jù)消費者經(jīng)濟(jì)情況判斷其風(fēng)險承受能力，預(yù)測金融市場走向繼而給出個性化的理財規(guī)劃。市場對數(shù)字化投顧普遍看好，花旗銀行預(yù)測至2020年該市場AUM有望突破2.2萬億美元。

GDPR對基于大數(shù)據(jù)分析的自動化決策采取了審慎態(tài)度，對可能發(fā)生的算法歧視進(jìn)行了立法預(yù)防。GDPR規(guī)定，控制者在獲取個人信息時，為確保處理過程的公正透明，應(yīng)當(dāng)向數(shù)據(jù)主體提供相關(guān)信息，說明是否存在自動決策機(jī)制，以及在存在自動化決策的情形下，提供邏輯程序以及此類處理對于數(shù)據(jù)主體的意義和預(yù)期影響相關(guān)信息。同時還規(guī)定，當(dāng)自動化決策將對數(shù)據(jù)主體產(chǎn)生法律效力或造成重大影響時，數(shù)據(jù)控制者應(yīng)實施適當(dāng)措施保護(hù)數(shù)據(jù)主體的權(quán)利、自由和合法利益，保證數(shù)據(jù)主體對數(shù)據(jù)控制者的人為干預(yù)權(quán)表達(dá)觀點和異議。

因此，從事數(shù)字化投顧的企業(yè)應(yīng)當(dāng)為客戶提供自動化決策有關(guān)信息，并為客戶提供表達(dá)觀點和質(zhì)疑的途徑。對于數(shù)字化投顧的算法公開問題，涉及商業(yè)秘密、知識產(chǎn)權(quán)保護(hù)等問題，能否以及向數(shù)據(jù)主體披露到何種程度，歐盟29條工作組就此問題發(fā)布的指南提出，對于自動決策，數(shù)據(jù)控制者并不必然要解釋完整的算法，面對用戶，用盡可能簡單的方法告知算法的基本邏輯或標(biāo)準(zhǔn)即可。

(二)生物識別技術(shù)應(yīng)用于金融交易

生物識別技術(shù)是對個人生理及行為特征的測量及統(tǒng)計分析，正在被越來越多地應(yīng)用于支付等金融服務(wù)中，用于識別或是輔助識別用戶的身份，并有望成為金融交易中采用的主要識別形式之一。生物識別相關(guān)的生理特征包括DNA、指紋、臉部、手部、視網(wǎng)膜、耳部特征以及氣味，行為特征包括手勢、聲音、打字的節(jié)奏以及步態(tài)等。生物識別技術(shù)的商用前景廣闊，可增強(qiáng)金融交易的安全性，并為用戶提供極佳的“無感式”身份識別體驗。

GDPR將涉及健康、基因數(shù)據(jù)、經(jīng)處理可識別特定個人的生物識別數(shù)據(jù)定義為敏感數(shù)據(jù)。企業(yè)需慎重對待此類特殊數(shù)據(jù)，不僅要在獲取數(shù)據(jù)時需要征得數(shù)據(jù)主體的明示同意，作為數(shù)據(jù)控制者或處理者還需承擔(dān)對數(shù)據(jù)的安全保障義務(wù)，在技術(shù)和管理措施上采取必要措施，包括委派數(shù)據(jù)保護(hù)官(DPO)、在處理個人敏感數(shù)據(jù)時還需滿足相關(guān)成員國的條件，發(fā)生數(shù)據(jù)泄露事故時及時履行報告義務(wù)等。

GDPR對大數(shù)據(jù)技術(shù)商用的合規(guī)影響

大數(shù)據(jù)產(chǎn)業(yè)是以數(shù)據(jù)生產(chǎn)、采集、存儲、加工、分析和服務(wù)為主的經(jīng)濟(jì)活動。大數(shù)據(jù)對金融領(lǐng)域的創(chuàng)新影響力強(qiáng)，數(shù)據(jù)維度越豐厚，用戶畫像越精細(xì)，企業(yè)所能觸達(dá)的業(yè)務(wù)會越多元。大數(shù)據(jù)技術(shù)應(yīng)用于精準(zhǔn)營銷、信用評估等業(yè)務(wù)均將受到GDPR影響。

(一)描摹數(shù)據(jù)畫像用于精準(zhǔn)營銷和信用評估

數(shù)據(jù)畫像是對數(shù)據(jù)和個人信息匯總和分析，為特定個體或人群的特征刻畫標(biāo)簽，并根據(jù)其需求和企業(yè)服務(wù)優(yōu)勢提供差異化服務(wù)，可提高產(chǎn)品推送的精準(zhǔn)程度、增強(qiáng)用戶黏性。數(shù)據(jù)畫像主要應(yīng)用于精準(zhǔn)營銷和用戶信用評估等業(yè)務(wù)環(huán)節(jié)。

GDPR對數(shù)據(jù)畫像有明確的定義，是指對個人數(shù)據(jù)進(jìn)行任何自動化處理，包括利用個人數(shù)據(jù)評估與自然人有關(guān)的特定方面，特別是針對與自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個人偏好、興趣、信譽(yù)、行為習(xí)慣、位置與行蹤相關(guān)的分析和預(yù)測。使用用戶畫像若涉及對數(shù)據(jù)主體產(chǎn)生法律影響或其他重大影響，需符合以下要求：或取得歐盟或其成員國明確授權(quán);或是用戶畫像對數(shù)據(jù)主體與數(shù)據(jù)控制者簽訂或履行合同是必要的;或是基于數(shù)據(jù)主體的明確同意。

在大數(shù)據(jù)業(yè)務(wù)模式中，大多數(shù)情形下使用用戶畫像很難說對于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的，因此，在絕大多數(shù)情形下，需要取得數(shù)據(jù)主體對使用用戶畫像的明確同意。對此，企業(yè)應(yīng)當(dāng)告知數(shù)據(jù)主體提供用戶畫像的相關(guān)邏輯，包括對于數(shù)據(jù)主體產(chǎn)生預(yù)期后果的相關(guān)信息，并且告知數(shù)據(jù)主體享有對用戶畫像的反對權(quán)。此外，針對特殊類型個人數(shù)據(jù)，例如宗教信仰、政治觀點、性取向、性生活、基因或者健康數(shù)據(jù)等敏感數(shù)據(jù)，除非數(shù)據(jù)主體明確同意基于特定目的而授權(quán)處理其個人數(shù)據(jù)(但成員國仍然可就基因數(shù)據(jù)、生物特征數(shù)據(jù)或者健康相關(guān)的個人數(shù)據(jù)處理采取維持、限制或者其他措施)，否則基于特殊類型的個人數(shù)據(jù)處理將被禁止。

此外，盡管GDPR中未對數(shù)據(jù)畫像算法提出可解釋性要求，但是，社會對算法透明、算法向善的預(yù)期依然是數(shù)據(jù)畫像商用在倫理層面所面臨的挑戰(zhàn)。對此，企業(yè)應(yīng)定期開展算法審計，以保證客戶不受歧視，并為客戶提供允許表達(dá)觀點和質(zhì)疑商業(yè)決定的途徑。

(二)追蹤消費者網(wǎng)絡(luò)行為推薦定向廣告

網(wǎng)絡(luò)行為定向廣告是大數(shù)據(jù)技術(shù)應(yīng)用于廣告行業(yè)的產(chǎn)物，主要是利用算法追蹤消費者的搜索、瀏覽、成交等網(wǎng)絡(luò)行為，繼而構(gòu)建模型計算消費者的購買偏好，推出定制化廣告。

定向廣告倚賴對信息的搜集和分析，市場上部分網(wǎng)站通過cookie等技術(shù)對用戶的網(wǎng)絡(luò)行為進(jìn)行記錄。移動互聯(lián)網(wǎng)技術(shù)出現(xiàn)后，還可能涉及對用戶實時地理位置(行蹤軌跡)的記錄。GDPR將個人數(shù)據(jù)定義為可用于識別自然人(數(shù)據(jù)主體)的任何信息。例如該自然人的姓名、電子郵件地址、IP地址、位置數(shù)據(jù)，或自然人所特有的遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會性身份因素。對于網(wǎng)絡(luò)設(shè)備、應(yīng)用、工具、協(xié)議中留存的cookie痕跡，如果具有唯一指向性，這些cookie信息可生成個人檔案識別具體自然人，即具有身份識別性。GDPR第26條前注說明，當(dāng)數(shù)據(jù)可被用來直接或間接識別自然人時，那么其就是個人數(shù)據(jù)/信息。這意味著不是所有但大部分被用來識別用戶的cookie信息要受GDPR規(guī)制，這就包括有關(guān)廣告、功能服務(wù)之類cookie信息。

企業(yè)收集cookie信息，需遵循GDPR對數(shù)據(jù)畫像的相應(yīng)規(guī)定，上文已經(jīng)論述。對于定向廣告運營商而言，收集用戶的cookie信息行為，僅身份安全驗證、防止交易欺詐等小部分信息可適用履行合同之必要的合法事由，搜集其他cookie信息時須征得用戶的明示同意，不能采取默認(rèn)同意，此外還需給予用戶撤回同意等選擇權(quán)。

基于區(qū)塊鏈技術(shù)開展創(chuàng)新業(yè)務(wù)的合規(guī)沖突

區(qū)塊鏈作為金融產(chǎn)業(yè)的底層技術(shù)受到許多國家與機(jī)構(gòu)的關(guān)注和測試。達(dá)沃斯論壇創(chuàng)始人克勞斯曾預(yù)言在2025年之前，全球GDP總量的10%將利用區(qū)塊鏈技術(shù)儲存，屆時貨幣形態(tài)、商業(yè)模式等將因區(qū)塊鏈技術(shù)的成熟改變內(nèi)涵。

區(qū)塊鏈本質(zhì)上是通過去中心讓所有人都擁有相同的賬本，區(qū)塊鏈尤其公有鏈的數(shù)據(jù)是透明的，任何一個參與者都可獲得完整的數(shù)據(jù)備份，可看到所有的交易信息，并且不可篡改，這是區(qū)塊鏈的優(yōu)勢，但是與GDPR中心化的規(guī)范方式，賦予個人數(shù)據(jù)的更正權(quán)、刪除權(quán)和被遺忘權(quán)的行使存在沖突。面對GDPR的合規(guī)要求，區(qū)塊鏈在金融科技的應(yīng)用面臨挑戰(zhàn)。

GDPR規(guī)定，數(shù)據(jù)主體在相應(yīng)理由下有權(quán)要求控制者及時刪除其個人數(shù)據(jù)。此外還規(guī)定，若數(shù)據(jù)主體已請求企業(yè)刪除相關(guān)個人數(shù)據(jù)的任何鏈接、副本或者復(fù)印件，但企業(yè)已將其個人數(shù)據(jù)公開，在考慮現(xiàn)有技術(shù)和實施成本后，企業(yè)應(yīng)當(dāng)采取合理步驟，通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者刪除此類信息。這就對應(yīng)用區(qū)塊鏈技術(shù)的企業(yè)提出極高的合規(guī)要求。區(qū)塊鏈解決去中心化信任的關(guān)鍵功能就在于數(shù)據(jù)的不可篡改性。一旦信息經(jīng)過驗證并添加至區(qū)塊鏈，就會永久存儲起來，除非能夠同時控制住系統(tǒng)中大多數(shù)節(jié)點，否則單個節(jié)點上對數(shù)據(jù)庫的修改是無效的，同時控制眾多節(jié)點幾乎是不可能的，企業(yè)保護(hù)刪除權(quán)也近乎西西弗斯推石頭。

GDPR對云計算的合規(guī)影響

云計算通過互聯(lián)自由流通使得超級計算能力成為可能，可解決海量異構(gòu)信息處理和多樣化復(fù)雜應(yīng)用的整合問題，成為眾多金融科技企業(yè)的選擇。越來越多的銀行、證券、保險、支付業(yè)類金融企業(yè)都在通過引入云計算來增強(qiáng)數(shù)據(jù)的安全性、加快信息共享速度、提高服務(wù)質(zhì)量、降低運營成本，中國已成為全球第二大云服務(wù)市場。

在典型的云服務(wù)場景中，云服務(wù)商是數(shù)據(jù)處理者，云計算的客戶是數(shù)據(jù)控制者。GDPR對控制者、處理者在大多數(shù)情境下提出了相同的要求，例如，承擔(dān)數(shù)據(jù)安全保障義務(wù)，實施適當(dāng)?shù)募夹g(shù)和組織性措施、配合監(jiān)管機(jī)構(gòu)執(zhí)行任務(wù)等。GDPR對云服務(wù)商(作為數(shù)據(jù)處理者)與云客戶(作為數(shù)據(jù)控制者)之間的權(quán)利義務(wù)也進(jìn)行了規(guī)范，若未經(jīng)控制者事先書面授權(quán)，數(shù)據(jù)處理者不能雇用另一個數(shù)據(jù)處理者。若為一般的書面授權(quán)，處理者應(yīng)當(dāng)通知控制者任何有關(guān)打算增加或替換其他處理者的更改，以使控制者有機(jī)會反對這樣的更改。此外，若處理者認(rèn)為某項指令違反了GDPR或其他歐盟或成員國的數(shù)據(jù)保護(hù)規(guī)定，處理者應(yīng)當(dāng)立即通知控制者。為符合GDPR要求，市場上與云服務(wù)合同對轉(zhuǎn)售授權(quán)、安全保障措施(較之95指令，GDPR將安全保障措施從控制者擴(kuò)展到處理者)、風(fēng)險管理責(zé)任相關(guān)條款均需修訂。

GDPR對物聯(lián)網(wǎng)業(yè)務(wù)的合規(guī)影響

物聯(lián)網(wǎng)(IoT)擁有廣闊的發(fā)展前景，其通過可穿戴設(shè)備等智能終端搜集數(shù)據(jù)傳遞給云計算中心，從而改變數(shù)據(jù)交互的形式，目前已率先應(yīng)用于車險、健康險等保險業(yè)務(wù)。

物聯(lián)網(wǎng)持續(xù)獲取人體的部分生理特征，勢必涉及到大量敏感數(shù)據(jù)，需要滿足GDPR對此類特殊數(shù)據(jù)的合規(guī)要求。在數(shù)據(jù)收集越來越方便的背景下，物聯(lián)網(wǎng)收集的數(shù)據(jù)具有二次開發(fā)的增值價值，能否將其用于和最初收集目的完全不同的領(lǐng)域，也需要進(jìn)行合規(guī)評估。比如，在數(shù)據(jù)分享給第三方時，GDPR要求數(shù)據(jù)控制者應(yīng)當(dāng)提供其收集數(shù)據(jù)的目的等，須就此再次征得數(shù)據(jù)主體的明確同意。此外，可穿戴設(shè)備具有開放性等特征，使其容易受到非法用戶的攻擊，企業(yè)需要貫徹GDPR提出的技術(shù)性及組織性措施要求，定期測試、訪問和評估，以確保數(shù)據(jù)處理的安全性。

總之，鑒于GDPR的效力范圍，凡在歐盟有布局的企業(yè)，或是設(shè)立在歐盟境內(nèi)作為數(shù)據(jù)的控制者或處理者，或是未設(shè)立在歐盟境內(nèi)但其數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)過程中，或是涉及監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為都將受該條例約束。為避免合規(guī)風(fēng)險和聲譽(yù)受損，大型企業(yè)已火速展開合規(guī)行動。谷歌、臉書和推特等企業(yè)已面向GDPR進(jìn)行合規(guī)布局，紛紛更新用戶隱私條款。在國內(nèi)，阿里巴巴旗下的全球速賣通、騰訊旗下的微信海外版和京東旗下的全球購等企業(yè)，以及涉及歐洲業(yè)務(wù)的中國制造企業(yè)和航空企業(yè)等，都已在官方網(wǎng)站上更新用戶隱私條款。

未來，金融科技企業(yè)需要努力將隱私保護(hù)積極納入整個運營系統(tǒng)中。在此過程中，企業(yè)的安全文化或?qū)⒚媾R重大調(diào)適，并體現(xiàn)在戰(zhàn)略規(guī)劃、系統(tǒng)設(shè)計、數(shù)據(jù)治理、流程管理、內(nèi)控審計等方方面面。主動尊重用戶的隱私權(quán)不是一件壞事，通過厘清內(nèi)部數(shù)據(jù)的流向，提升用戶對其隱私信息的控制度、透明度和安全度，一方面將極大增強(qiáng)消費者對企業(yè)的信任度，有助于商業(yè)可持續(xù)開展，另一方面也將幫助企業(yè)拓展新的業(yè)務(wù)藍(lán)海。而率先實現(xiàn)數(shù)據(jù)有效治理的企業(yè)無疑將贏得關(guān)鍵業(yè)務(wù)領(lǐng)域的話語權(quán)和核心競爭力。

標(biāo)簽： 安全 大數(shù)據(jù) 大數(shù)據(jù)產(chǎn)業(yè) 大數(shù)據(jù)分析 大數(shù)據(jù)技術(shù) 大數(shù)據(jù)技術(shù)應(yīng)用 電子郵件 服務(wù)商 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)技術(shù) 基于大數(shù)據(jù) 金融 數(shù)據(jù)分析 數(shù)據(jù)庫 搜索 網(wǎng)絡(luò) 信

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。