2021年6月10日，《中華人民共和國數(shù)據(jù)安全法》（簡稱《數(shù)據(jù)安全法》）正式出臺，這是中國數(shù)據(jù)安全領(lǐng)域的首部基礎(chǔ)性法律規(guī)范，也是國家安全領(lǐng)域的又一重要立法。

《數(shù)據(jù)安全法》的出臺，及時(shí)地回應(yīng)現(xiàn)有數(shù)據(jù)安全領(lǐng)域的突出問題，有利于更好地規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)的有序開發(fā)與使用。在數(shù)字經(jīng)濟(jì)的大環(huán)境下，金融科技企業(yè)是早期的推動者和踐行者。金融科技企業(yè)的創(chuàng)新探索推進(jìn)了數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，數(shù)字經(jīng)濟(jì)的全球化也進(jìn)一步拓展了金融科技企業(yè)的經(jīng)營領(lǐng)域與發(fā)展前景。同時(shí)，技術(shù)的革新為數(shù)據(jù)使用的安全性提出了新挑戰(zhàn)。在優(yōu)化營商環(huán)境、包容審慎監(jiān)管的政策背景下，雖然國家不斷強(qiáng)調(diào)要為金融科技企業(yè)的創(chuàng)新發(fā)展提供便利，減少阻礙，但金融科技企業(yè)也應(yīng)主動、積極、及時(shí)地回應(yīng)和踐行立法，有序且合規(guī)地進(jìn)行技術(shù)研發(fā)或經(jīng)營活動。

信息、數(shù)據(jù)與數(shù)據(jù)安全

《數(shù)據(jù)安全法》所定義的數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。而數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。那么，《數(shù)據(jù)安全法》中的“數(shù)據(jù)”與《個(gè)人信息保護(hù)法》中的“信息”有什么區(qū)別呢？一般認(rèn)為，“數(shù)據(jù)”是一種客觀的，以數(shù)字的形式對事物/事件的客觀記載，是信息的載體；而“信息”，特別是“個(gè)人信息”，是一種主觀的，與個(gè)人權(quán)益更為直接關(guān)聯(lián)的，個(gè)人數(shù)據(jù)的表達(dá)和理解。在《數(shù)據(jù)安全法》層面，一方面，強(qiáng)調(diào)規(guī)制的“數(shù)據(jù)”，沒有特定性；另一方面，是對金融科技企業(yè)提出一種宏觀性、指導(dǎo)性的數(shù)據(jù)安全保護(hù)要求，針對的是金融科技企業(yè)對信息的客觀記錄行為，規(guī)范其普遍性的數(shù)據(jù)使用、處理活動。 

金融數(shù)據(jù)的處理活動應(yīng)具有正當(dāng)目的

在網(wǎng)絡(luò)技術(shù)空前發(fā)展的背景下，信息優(yōu)勢就是資源優(yōu)勢，掌握了信息優(yōu)勢就掌握了經(jīng)濟(jì)主動權(quán)，企業(yè)主體為保證經(jīng)濟(jì)實(shí)力，獲得市場的優(yōu)先地位，必須保證數(shù)據(jù)處理活動具有正當(dāng)目的。那么，什么才是“正當(dāng)目的”呢？我們認(rèn)為，至少包含以下三類。

第一，通過數(shù)據(jù)分析研判市場需求，提升服務(wù)質(zhì)量。

《數(shù)據(jù)安全法》第二十八條規(guī)定，開展數(shù)據(jù)處理活動以及研究開發(fā)數(shù)據(jù)新技術(shù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會發(fā)展，增進(jìn)人民福祉，符合社會公德和倫理。因而，金融科技企業(yè)可以利用數(shù)據(jù)研判市場需求及經(jīng)濟(jì)可行性，進(jìn)而判斷經(jīng)營計(jì)劃或決策能否滿足企業(yè)的發(fā)展目標(biāo)，從而使企業(yè)經(jīng)營決策更加科學(xué)與合理。

為上述目的進(jìn)行的金融數(shù)據(jù)處理活動主要包括用戶畫像和大數(shù)據(jù)分析。

用戶畫像。即從企業(yè)消費(fèi)群體的消費(fèi)習(xí)慣、年齡、職業(yè)特點(diǎn)等數(shù)據(jù)，判斷企業(yè)經(jīng)營活動的側(cè)重點(diǎn)，把握營利活動的主攻方向和產(chǎn)品、服務(wù)的定位，如通過產(chǎn)品或服務(wù)獲得的消費(fèi)者消費(fèi)習(xí)慣、年齡、職業(yè)、收入等個(gè)人信息，可以針對特定主體進(jìn)行產(chǎn)品或服務(wù)推薦，使企業(yè)的營銷活動更加具有針對性或效率性。或者通過對個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等數(shù)據(jù)的篩選、整合，將具有相同或類似特征的消費(fèi)者進(jìn)行分類，明晰其潛在的消費(fèi)因素，通過程序分析出較為貼切的產(chǎn)品或服務(wù)，使企業(yè)的經(jīng)營活動更加符合大部分消費(fèi)者的需求和經(jīng)濟(jì)水平。

需要注意的是，根據(jù)《電子商務(wù)法》第十八條的規(guī)定，金融科技企業(yè)如根據(jù)消費(fèi)者的興趣愛好、消費(fèi)習(xí)慣等特征向其提供商品或者服務(wù)的搜索結(jié)果的，應(yīng)當(dāng)同時(shí)向該消費(fèi)者提供不針對其個(gè)人特征的選項(xiàng)，尊重和平等保護(hù)消費(fèi)者合法權(quán)益。同時(shí)，金融科技企業(yè)在進(jìn)行用戶畫像時(shí)，往往需要對數(shù)據(jù)進(jìn)行匯聚融合。根據(jù)相關(guān)行業(yè)標(biāo)準(zhǔn)，對個(gè)人金融信息匯聚融合時(shí)應(yīng)注意：第一，匯聚融合的數(shù)據(jù)不應(yīng)超出收集時(shí)所聲明的使用范圍。因業(yè)務(wù)需要確需超范圍使用的，應(yīng)再次征得個(gè)人金融信息主體明示同意。第二，應(yīng)根據(jù)匯聚融合后的個(gè)人金融信息類別及使用目的，開展個(gè)人金融信息安全影響評估，并采取有效的技術(shù)保護(hù)措施。

大數(shù)據(jù)分析。金融科技企業(yè)可以基于消費(fèi)主體的個(gè)人信息大數(shù)據(jù)，運(yùn)用計(jì)算機(jī)程序剖析不同產(chǎn)品或服務(wù)的經(jīng)濟(jì)發(fā)展?jié)摿?，合理投放?jīng)營資源，評估經(jīng)營策略的可行性，從而減少企業(yè)的經(jīng)營風(fēng)險(xiǎn)。例如，企業(yè)可以從現(xiàn)有客戶的位置信息等數(shù)據(jù)大概判斷一個(gè)實(shí)體經(jīng)營方位，根據(jù)某一區(qū)域的客戶密集程度考慮實(shí)體門店的位置。這樣，既能夠較好滿足經(jīng)營活動目標(biāo)，又可以擴(kuò)大潛在客戶群體的接觸面積，增強(qiáng)產(chǎn)品或服務(wù)的影響力。企業(yè)在面對消費(fèi)主體的產(chǎn)品或服務(wù)需求的時(shí)候，可以利用消費(fèi)主體的個(gè)人信息數(shù)據(jù)判斷消費(fèi)主體是否具有相關(guān)資格或資質(zhì)，滿足企業(yè)對經(jīng)營風(fēng)險(xiǎn)的最低要求，如在借貸類企業(yè)運(yùn)用自動化決策分析申請借貸者的相關(guān)經(jīng)濟(jì)風(fēng)險(xiǎn)以及還款能力。

需要注意的是，利用數(shù)據(jù)進(jìn)行商業(yè)分析的過程是企業(yè)自身內(nèi)部的使用行為，并且建立在個(gè)人信息所有者事先授權(quán)同意的基礎(chǔ)之上，要保證分析過程中參與人員的信息保密義務(wù)，杜絕信息泄露行為，避免給個(gè)人信息主體造成不必要的精神或財(cái)產(chǎn)損害。

第二，配合、協(xié)助國家機(jī)關(guān)的司法和執(zhí)法活動。

企業(yè)在經(jīng)營活動中獲取的數(shù)據(jù)可以作為司法或執(zhí)法的重要證據(jù)，能夠?yàn)樗痉ɑ驁?zhí)法過程提供重要的協(xié)助。企業(yè)提供司法或執(zhí)法協(xié)助所依據(jù)的個(gè)人信息不僅限于企業(yè)所獲取的消費(fèi)主體個(gè)人信息數(shù)據(jù)，也包括企業(yè)內(nèi)部員工或其他主體的信息數(shù)據(jù)，如企業(yè)在提供產(chǎn)品或服務(wù)的同時(shí)，可能會保留消費(fèi)主體的姓名、付款賬號、電話號碼等個(gè)人信息，以便實(shí)現(xiàn)良好的售后服務(wù)或者安全保障。

企業(yè)提供司法與執(zhí)法協(xié)助的方式包括主動和被動兩種：被動提供是指司法機(jī)關(guān)或執(zhí)法機(jī)關(guān)向企業(yè)取證，企業(yè)基于法定義務(wù)主動提供所獲取的個(gè)人信息數(shù)據(jù)，協(xié)助司法或執(zhí)法機(jī)關(guān)辦理案件。主動提供是指企業(yè)基于敏感的法治嗅覺查驗(yàn)獲取到的個(gè)人信息中可能表明或表征違法違規(guī)的因素，企業(yè)基于相關(guān)違法違規(guī)的個(gè)人信息依法依規(guī)進(jìn)行舉報(bào)、報(bào)案的過程，也包括企業(yè)與司法機(jī)關(guān)或執(zhí)法機(jī)關(guān)建立合作共享的監(jiān)管平臺查驗(yàn)個(gè)人信息中可能包含的違法行為線索。例如，通過“寄遞e通”APP，快遞員通過手機(jī)掃描身份證件，寄件人的實(shí)名信息等基礎(chǔ)信息一目了然，這些信息被發(fā)送至監(jiān)管后臺，使監(jiān)管部門和運(yùn)輸企業(yè)對寄遞物品運(yùn)程信息隨時(shí)掌握。通過這種方式，成都快遞企業(yè)通過寄遞物流清理整頓發(fā)現(xiàn)涉毒線索，協(xié)助公安機(jī)關(guān)破案并查獲毒品。

第三，維護(hù)公共安全。

出于維護(hù)公共安全的需要，企業(yè)在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，所收集的個(gè)人信息除個(gè)人單獨(dú)同意外，只能用于維護(hù)公共安全，不能隨意公開或向他人提供。在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備所收集的個(gè)人信息的唯一目的就是維護(hù)公共安全，不能作為商用或數(shù)據(jù)分析。這主要是從政府監(jiān)管和個(gè)人信息泄露的角度出發(fā)進(jìn)行考慮，如果放寬企業(yè)權(quán)限，允許其在公共場所設(shè)置個(gè)人信息收集的設(shè)備，并且所得的個(gè)人信息能夠作為數(shù)據(jù)分析和盈利的基礎(chǔ)，那么不僅僅是普通個(gè)人無法在公共場所獲得應(yīng)有的個(gè)人信息安全，而且嚴(yán)重增加政府監(jiān)管范圍，造成行政、司法等機(jī)關(guān)的工作壓力。企業(yè)在公共場所安裝圖像采集、個(gè)人身份識別設(shè)備，不僅是公共場所營利單位為保障公共安全的方式，而且為相關(guān)政府或司法部門提供便利，公共場所的安全維護(hù)應(yīng)該由相關(guān)營利企業(yè)與相關(guān)行政、執(zhí)法、司法部門共同保障，企業(yè)通過安裝相關(guān)設(shè)備為公共場所的安全保駕護(hù)航，而且相關(guān)執(zhí)法和司法部門也可以通過企業(yè)安裝設(shè)備收集的個(gè)人信息獲取相關(guān)辦案線索。

金融科技企業(yè)對數(shù)據(jù)負(fù)有安全保護(hù)義務(wù)

金融科技企業(yè)基于正當(dāng)目的獲取與使用數(shù)據(jù)時(shí)，對其獲取及使用的數(shù)據(jù)負(fù)有安全保護(hù)義務(wù)，尤其要注意數(shù)據(jù)共享過程中的合規(guī)并關(guān)注違法獲取、使用數(shù)據(jù)的法律后果。

第一，數(shù)據(jù)共享的合規(guī)問題。

數(shù)據(jù)共享是企業(yè)之間為達(dá)到互惠互利的結(jié)果而選擇的資源共享方式，通過共享獲取的數(shù)據(jù)而增強(qiáng)企業(yè)的經(jīng)營能力。但是這種數(shù)據(jù)中也包括企業(yè)獲取的個(gè)人信息。企業(yè)之間就個(gè)人信息的收集與使用建立數(shù)據(jù)共享機(jī)制，在一定程度上可能造成對個(gè)人信息的不當(dāng)侵益。

具體到金融數(shù)據(jù)，相關(guān)問題可能更加復(fù)雜。根據(jù)相關(guān)行業(yè)標(biāo)準(zhǔn)，金融科技企業(yè)與其他主體共享金融數(shù)據(jù)時(shí)，要充分重視數(shù)據(jù)轉(zhuǎn)移或交換過程中的安全風(fēng)險(xiǎn)，并至少做到：第一，在共享前，應(yīng)開展個(gè)人金融數(shù)據(jù)安全影響評估，并依據(jù)評估結(jié)果采取有效措施保護(hù)數(shù)據(jù)安全。第二，在共享前，應(yīng)對數(shù)據(jù)接收方進(jìn)行數(shù)據(jù)安全保障能力評估，并與其簽署數(shù)據(jù)保護(hù)責(zé)任承諾。第三，在共享支付賬號及其等效信息時(shí)，除法律法規(guī)和行業(yè)主管部門另有規(guī)定外，應(yīng)進(jìn)行脫敏處理；因業(yè)務(wù)需要無法使用支付標(biāo)記化技術(shù)時(shí)，應(yīng)進(jìn)行加密。第四，應(yīng)部署數(shù)據(jù)防泄露監(jiān)控工具，監(jiān)控及報(bào)告?zhèn)€人金融數(shù)據(jù)的違規(guī)外發(fā)行為。第五，應(yīng)部署流量監(jiān)控技術(shù)措施，對共享的數(shù)據(jù)進(jìn)行監(jiān)控和審計(jì)。第六，應(yīng)根據(jù)“業(yè)務(wù)需要”和“最小權(quán)限”原則，對個(gè)人金融數(shù)據(jù)的導(dǎo)出操作進(jìn)行細(xì)粒度的訪問控制與全過程審計(jì)，采取兩種或以上的鑒別技術(shù)對導(dǎo)出數(shù)據(jù)操作人員進(jìn)行身份鑒別。

即使數(shù)據(jù)共享的現(xiàn)象已經(jīng)普遍存在，并且產(chǎn)生相應(yīng)的經(jīng)濟(jì)動力，但這并不能掩飾數(shù)據(jù)共享機(jī)制給數(shù)據(jù)安全特別是個(gè)人信息安全帶來的弊端。因數(shù)據(jù)共享而造成個(gè)人信息的不當(dāng)利用和泄露，實(shí)質(zhì)上會給個(gè)人信息主體造成權(quán)利的損害。信息主體對數(shù)據(jù)共享機(jī)制中的個(gè)人信息是具有權(quán)利的，企業(yè)等主體在進(jìn)行數(shù)據(jù)共享時(shí)，應(yīng)充分尊重個(gè)人信息的權(quán)利主體的意愿，在取得授權(quán)同意的前提下進(jìn)行數(shù)據(jù)共享，而不是直接采用“拿來主義”，對于已經(jīng)公開的個(gè)人信息，其共享和利用不用受到嚴(yán)格限制。

第二，違法獲取、使用數(shù)據(jù)的法律后果。

企業(yè)違法違規(guī)獲取、使用數(shù)據(jù)主要分為兩種：一種是作為型，即利用非法獲取的個(gè)人信息進(jìn)行違法犯罪等活動，以獲取不正當(dāng)利益。如曾有犯罪分子成立公司先后研發(fā)出兩款沒有實(shí)際貸款功能的APP產(chǎn)品，并投入資金通過網(wǎng)絡(luò)進(jìn)行推廣宣稱可以貸款，利用被害人急需借錢的心理，引誘被害人在該兩款A(yù)PP軟件填寫個(gè)人信息注冊，從而非法獲取公民個(gè)人信息，并將獲取的信息轉(zhuǎn)賣牟利。另一種是不作為型，即未設(shè)置良好的信息防御系統(tǒng)，或者企業(yè)數(shù)據(jù)監(jiān)管保護(hù)機(jī)制存在缺陷等，為違法分子獲取個(gè)人信息提供可乘之機(jī)。

針對這類問題，《數(shù)據(jù)安全法》為相關(guān)主體設(shè)定了嚴(yán)格的法律責(zé)任。根據(jù)該法第四十五至四十八條規(guī)定，對違法實(shí)施金融數(shù)據(jù)處理活動的組織、個(gè)人，有關(guān)主管部門可以作出兩百萬元的罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；如果違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，則可處以最高一千萬元的罰款，構(gòu)成犯罪的，依法追究刑事責(zé)任。

（作者陳悅系安徽大學(xué)管理學(xué)院講師，澄觀治庫研究員，法學(xué)博士；王凌光系廣州大學(xué)粵港澳大灣區(qū)法制研究中心研究員、澄觀治庫高級研究員）