财新传媒
位置:博客 > 李燕 > GDPR对FinTech关键业务合规影响分析

GDPR对FinTech关键业务合规影响分析

金融科技以数据和技术为核心,是新兴金融服务业的一大标志。金融科技原本指应用于银行或贸易公司后台的计算机技术,自互联网革命、移动互联网革命以来,金融科技扩展至金融领域的任何创新技术,如大数据、人工智能、区块链、云计算等。金融科技的适用群体也逐渐从金融行业拓展至各类企业乃至普罗大众,据2017年安永发布的金融科技采纳指数显示,目前全球1/3的消费者正在使用两种或更多的金融科技服务。金融科技在重塑金融业态和促进社会的包容性增长上功不可没。
 
与此同时,金融科技企业在隐私权和信息安全上正面临新的规制环境。鉴于GDPR的效力范围,凡在欧盟有布局的企业,或是设立在欧盟境内作为数据的控制者或处理者,或是未设立在欧盟境内但其数据处理行为发生在向欧盟境内数据主体提供商品或服务过程中,或是涉及监控欧盟境内的数据主体的行为都将受该条例约束。为避免合规风险和声誉受损,金融科技企业需要努力将隐私保护积极构建入整个运营系统中。在此过程中,企业的安全文化或将面临重大调适,并体现在战略规划、系统设计、数据治理、流程管理和内控审计等方方面面。金融科技的商业模式普遍以数据驱动为基础,GDPR将对人工智能、大数据、区块链、云计算和物联网的商用和创新产生溢出效应。
 
一、GDPR对人工智能商用的合规影响
 
人工智能主要技术的发展,都需专有类型的数据,如机器学习需要大量的标签样本数据,模式识别偏重于信号、图像、语音、文字、指纹等非直观数据,人机交互则需要积累大量的用户数据。当下人工智能正逐渐渗透至金融业KYC、贷款、风控、资产配置、保险等领域。智能数据时代,人工智能在金融科技的应用需符合GDPR对数据处理的要求。
 
(一)生物识别技术应用于金融交易
 
生物识别技术是对个人生理及行为特征的测量及统计分析,正在被越来越多地应用于支付等金融服务中,用于识别或是辅助识别用户的身份,并有望成为金融交易中采用的主要识别形式之一。生物识别的生理特征包括DNA、指纹、脸部、手部、视网膜、耳部特征以及气味,行为特征包括手势、声音、打字的节奏以及步态等,这些旨在增强安全性同时在某种程度上提升了用户体验感的人工智能技术,全球市场规模已达百亿美元。
 
数据立法者对技术商用带来的隐私保护和网络安全问题非常关切。GDPR前言第32条规定,处理个人数据之前应征得数据主体的同意,通过清楚明确的行为自愿表明同意对其个人数据进行处理,例如通过书面陈述或者口头声明。默示、预选方框或者不作为不构成同意。GDPR规定,涉及健康、基因数据、经处理可识别特定个人的生物识别数据为敏感数据,为遵守GDPR,企业需要慎重对待此类特殊数据,不仅要在获取生物识别数据时征得数据主体的明示同意(在雇佣关系中,原则上,同意处理敏感数据不被认为是自愿作出),而且,作为数据控制者或处理者还须根据GDPR要求,承担对数据的安全保障义务,在管理措施、技术上采取必要措施,包括委派数据保护官(DPO)、在处理个人敏感数据时还需满足相关成员国的条件,发生数据泄露事故时及时报告控制者等。
 
(二)开展数字化投顾等自动化决策服务
 
目前,数字化投顾的业务边界各国实践有所不同,对其界定也无共识。数字化投顾(Digital Investment Advice)的概念源于2016年美国金融业监管局发布的《数字化投顾报告》,反映了监管者对于监管对象的认知。从监管者视线出发,无从也无必要对各类商事主体提供的人工智能技术予以度量,无论是机器人(Robos)或是人工智能投资顾问(Artificial Intellgence Investment Advice),无论服务商采取何种方式实现商业模式的智能,其输出形式均可统一认定为数字化投顾。有了大量数据输入的人工智能,能根据消费者经济情况判断其风险承受能力,对金融市场走向进行预测继而给出建议,为用户安排个性化理财规划。
 
GDPR对基于大数据分析的自动化决策采取了审慎态度,对可能发生的算法歧视进行了立法预防。GDPR第13、14条规定,控制者在获取个人信息时,为确保处理过程的公正透明,应当向数据主体提供相关信息,是否存在自动决策机制,以及在存在自动化决策的情形下,有关逻辑程序、包括此类处理对于数据主体的意义和预期影响的信息。同时,GDPR第22条规定,在包括数据画像在内的自动化决策将对数据主体产生法律效力或造成重大影响时,数据控制者应当实施适当措施保护数据主体的权利、自由和合法利益,保证数据主体对数据控制者的人为干预权能够表达观点,以及保留异议权。
 
上述条款要求控制者应当为数据主体提供自动化决策的相关信息,并为客户提供允许表达观点和质疑决定的途径。人工智能的算法涉及商业秘密、知识产权保护等问题,能否以及如何向数据主体提供,仍待商榷。欧盟29条工作组就此问题发布指南,关于自动决策,数据控制者并不必然要解释完整的算法,面对用户,需要用尽可能简单的方法告知算法的基本逻辑或标准。
 
二、GDPR对大数据技术商用的合规影响
 
大数据产业是以数据生产、采集、存储、加工、分析、服务为主的相关经济活动,包括数据资源建设、大数据软硬件产品的开发、销售和租赁活动,以及相关信息技术服务。大数据在金融领域的创新影响力巨大,数据维度越丰富,用户画像就会越精细,企业所能触达的业务也会越丰富。大数据技术应用于精准营销和信用评估等业务均受到GDPR的影响。
 
(一)追踪消费者网络行为推荐定向广告
 
网络行为定向广告是利用算法追踪消费者的搜索、浏览、成交等网络行为,构建模型从而计算购买偏好,进而向消费者传送基于其个人兴趣而定制的广告,就其本质而言,是大数据技术应用于广告行业的产物。
 
定向广告倚赖于对信息的搜集和分析,市场上部分网站或通过Cookie等技术对用户的网络行为进行记录,移动互联网技术出现后,还可能涉及对用户实时地理位置(行踪轨迹)等敏感类个人信息的记录。GDPR第4条将个人数据定义为可用于识别自然人(数据主体)的任何信息。例如,该自然人的姓名、电子邮件地址、IP地址、位置数据或者自然人所特有的遗传性、精神性、经济性、文化性或社会性身份因素。对于网络设备、应用、工具、协议中留存的Cookie痕迹,如果具有唯一指向性,这些Cookie痕迹可生成个人档案识别具体自然人,即具有身份识别性。GDPR第26条前注说明,当数据可被用来直接或间接识别自然人时,那么其就是个人数据/信息。这意味着不是所有但大部分被用来识别用户的Cookie痕迹要受GDPR规制,这就包括有关广告、功能服务的Cookie痕迹,例如调查和聊天工具中Cookie痕迹。企业收集cookie信息,需遵循GDPR对数据画像的相应规定(下文将详述)。对于定向广告运营商而言,收集的用户cookie信息仅身份安全验证、防止交易欺诈等小部分信息可适用履行合同之必要的合法事由,搜集其他Cookie痕迹时须征得用户的明示同意,默认同意选项将消失,获得同意后还需给予用户选择权如撤回同意等。这将降低用户体验感,为定向广告业务施加高昂的合规成本。
 
(二)描摹数据画像用于精准营销和信用评估
 
数据画像是对数据和个人信息汇总和分析,为特定个体或人群的特征刻画标签,并根据其需求和自身服务优势提供不同的服务,可提高产品推送的精准程度、增强用户黏性,主要应用于精准营销和用户信用评估等业务环节。
 
GDPR第4条对数据画像有明确的定义,“对个人数据进行任何自动化处理,包括利用个人数据评估与自然人有关的特定方面,特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置与行踪相关的分析和预测”。根据GDPR的规定,使用用户画像如对数据主体产生法律上的影响或其他重大影响,需满足以下条件之一,或是取得欧盟或其成员国明确授权(包括欺诈和逃税监控,以及欧盟机构或国家监督机构的法规、标准及指引规定的预防目的);或是用户画像对于数据主体与数据控制者的合同签订或合同履行是必要的;或是基于数据主体明确的同意。
 
在大数据业务模式中,大多数情形下使用用户画像也很难说对于数据主体与数据控制者的合同签订或合同履行是必要的,因此,在绝大多数情形下,需要取得数据主体对使用用户画像的明确同意。对此,GDPR的要求应当告知数据主体存在用户画像并提供相关逻辑、包括此类处理对于数据主体产生的预期后果的有效信息。其次,应当告知数据主体享有对用户画像的反对权。再次是针对特殊类型个人数据,例如宗教信仰、政治观点、性取向、性生活、基因或者健康数据等敏感数据,除非数据主体明确同意基于特定目的而授权处理其个人数据(但成员国仍然可就基因数据、生物特征数据或者健康相关的个人数据处理采取维持、限制或者其他措施),基于特殊类型的个人数据处理才能被允许。此外,尽管GDPR中并未明确算法的可解释性要求,但社会对算法向善和透明度相关的道德预期依然是AI商业化在伦理层面所面临的挑战。对此,企业应该定期开展算法审计,以保证个人不受歧视,并为客户提供允许表达观点和质疑决定的途径。GDPR对数据画像的诸多限定性要求要求企业在处理数据时需格外小心。
 
三、基于区块链技术开展创新业务的合规冲突
 
有评论者将区块链技术列为自蒸汽机、电力、互联网之后最重要的颠覆性创新。达沃斯论坛创始人克劳斯•施瓦布认为,区块链是第四次工业革命的重要成果,预计到2025年之前,全球GDP总量的10%将利用区块链技术储存,届时货币、商业模式等都将因区块链技术的成熟而改变其内涵。GDPR是中心化的规范方式,规范的正是各式各样中心化的数据控制者和处理者。区块链尤其公有链的数据是透明的,任何一个参与者都可以获得完整的数据备份,可以看到所有的交易信息,并且不可篡改,这是区块链的优势,但是也与GDPR规定的个人数据的更正权、删除权和被遗忘权等存在直接冲突。
 
GDPR第17条规定,数据主体在具备相应理由下有权要求控制者及时删除其个人数据。此外,第17条第2款规定,如果数据主体已经请求控制者删除相关个人数据的任何链接、副本或者复印件,但控制者已经将其个人数据公开,在考虑现有技术和实施成本后,控制者应当采取合理步骤,通知处理此数据的其他数据控制者删除此类信息,这是对应用区块链技术的数据控制者构成了极大的挑战。区块链解决去中心化信任的关键功能就在于数据的不可篡改性。一旦信息经过验证并添加至区块链,就会永久的存储起来,除非能够同时控制住系统中大多数节点,否则单个节点上对数据库的修改是无效的,而同时控制众多节点几乎是不可能的,删除权任务也几乎成了西西弗斯推石头的任务。
 
四、GDPR对云计算的合规影响
 
云计算通过互联自由流通使得超级计算能力成为可能,可以解决海量异构信息处理和多样化复杂应用的整合问题,成为众多金融科技企业的选择。
 
在典型的云服务场景中,云服务商是数据处理者,云计算的客户是数据控制者。GDPR对控制者、处理者在大多数情境下提出了相同的要求,例如承担数据安全保障义务,实施适当的技术和组织性措施、配合监管机构执行任务等。GDPR对云服务商(作为数据处理者)与云客户(作为数据控制者)之间的权利义务也进行了规范,GDPR第28条规定,若未经控制者特别的或一般的事先书面授权,处理者不能雇用另一个处理者。若为一般的书面授权,处理者应当通知控制者任何有关打算增加或替换其他处理者的更改,以使控制者有机会反对这样的更改。因此,市场上云服务转售将面临合规风险。此外,如处理者认为某项指令违反了GDPR或者其他欧盟或成员国的数据保护规定,处理者应当立即通知控制者。为符合GDPR要求,云服务合同中有关转售授权、风险管理责任、安全保障措施(较之95指令,GDPR将安全保障措施从控制者扩展到处理者)均面临调整,控制者和处理者需更新具体条款方能达成GDPR合规要求。
 
五、GDPR对物联网业务的合规影响
 
物联网(Iot)拥有广阔的发展前景,其通过可穿戴设备等智能终端搜集数据传递给云计算中心,改变了数据交互的形式,已率先应用于车险及健康险等业务。
 
物联网持续获取人体的部分生理特征,涉及到大量敏感数据,需要满足GDPR对此类数据的合规要求(可参考上文生物识别应用于金融交易的合规要求)。在物联网对数据的收集越来越方便的背景下,加上企业对信息处理能力的增强,数据具有二次开发的增值价值,能否将其用于和最初收集目的完全不同的领域,需要进行合规评估。比如在数据分享给第三方时,GDPR第14条要求数据控制者应当提供其收集数据的目的等,如若要与第三方分享用户数据,则须就此再次征得数据主体的明确同意。但获得用户授权不一定能够规避数据共享上存在的风险。此外,可穿戴设备具有开放性等特征,使其容易受到非法用户的攻击,作为数据控制者的物联网运营商需要贯彻GDPR技术性及组织性措施,定期进行测试、访问、评估,以确保处理过程的安全性。
 
金融科技企业作为数据控制者或处理者时,如违反GDPR相关规定,不仅面临比以往更严厉的经济制裁,而且还将导致公司声誉和业务严重受损。对此,美国的谷歌、脸书和推特等企业已面向GDPR进行合规布局,纷纷更新用户隐私条款。在国内,阿里巴巴旗下的全球速卖通、京东旗下的全球购、腾讯旗下的微信海外版等,以及涉及欧洲业务的中国制造企业和航空企业等,都已更新用户隐私条款、加强数据安全管控措施以符合GDPR要求。
 
在某种程度上,GDPR也在驱使金融科技行业加强数据的治理和内控合规管理,扩大内部数据的清晰流向,率先实现数据有效治理的金融科技企业将赢得更多的核心竞争力和主动权。对于金融科技企业而言,充分尊重用户的隐私权,提升对用户隐私信息保护的透明度、控制力和数据安全,一方面将极大地增强消费者对企业的信任度,另一方面也将帮助金融科技企业拓展新的业务蓝海。
 
(本文原载于FT中文网,仅代表作者本人观点,与所服务机构无关)
 



推荐 1