李燕：GDPR將對(duì)金融科技核心技術(shù)的商用和創(chuàng)新產(chǎn)生溢出效應(yīng)。金融科技企業(yè)在隱私權(quán)和信息安全上正面臨新的規(guī)制環(huán)境。

被稱為史上最嚴(yán)的個(gè)人信息保護(hù)法——歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)已經(jīng)開始正式實(shí)施。歐盟發(fā)布GDPR是出于什么樣的考慮?GDPR對(duì)積極在歐洲開展業(yè)務(wù)的中國科技企業(yè)有什么啟示?GDPR對(duì)算法和數(shù)據(jù)的要求，對(duì)極度依賴數(shù)據(jù)的新興產(chǎn)業(yè)造成什么影響?

金融科技以數(shù)據(jù)和技術(shù)為核心，是新興金融服務(wù)業(yè)的一大標(biāo)志。自互聯(lián)網(wǎng)革命、移動(dòng)互聯(lián)網(wǎng)革命以來，金融科技擴(kuò)展至金融領(lǐng)域的一切創(chuàng)新技術(shù)，如大數(shù)據(jù)、人工智能、區(qū)塊鏈、云計(jì)算等。金融科技的適用群體也逐漸從金融行業(yè)拓展至各類企業(yè)乃至普羅大眾。據(jù)2017年安永發(fā)布的金融科技采納指數(shù)顯示，目前全球1/3的消費(fèi)者正在使用兩種或更多的金融科技服務(wù)。金融科技在重塑金融業(yè)態(tài)和促進(jìn)社會(huì)的包容性增長上功不可沒。與此同時(shí)，金融科技企業(yè)在隱私權(quán)和信息安全上正面臨新的規(guī)制環(huán)境。鑒于GDPR的效力范圍，其將對(duì)金融科技核心技術(shù)的商用和創(chuàng)新產(chǎn)生溢出效應(yīng)。

GDPR對(duì)人工智能商用的合規(guī)影響

人工智能的三種主要技術(shù)均需要專有類型數(shù)據(jù)的支撐。例如，機(jī)器學(xué)習(xí)需要大量的標(biāo)簽樣本數(shù)據(jù)，模式識(shí)別偏重于信號(hào)、圖像、語音、文字、指紋等非直觀數(shù)據(jù)，人機(jī)交互則需要積累大量的用戶數(shù)據(jù)。當(dāng)下，人工智能正逐漸滲透至金融業(yè)KYC、貸款、風(fēng)控、資產(chǎn)配置、保險(xiǎn)等金融領(lǐng)域，需要符合GDPR要求。

(一)開展數(shù)字化投顧等自動(dòng)化決策服務(wù)

數(shù)字化投顧(Digital Investment Advice)的業(yè)務(wù)邊界在各國實(shí)踐上有所不同，對(duì)其界定也無共識(shí)。概念源于2016年美國金融業(yè)監(jiān)管局發(fā)布的數(shù)字化投顧報(bào)告，從監(jiān)管者視線出發(fā)，無從也無必要對(duì)各類商事主體提供的人工智能技術(shù)予以度量，無論是機(jī)器人或是人工智能投資顧問，無論服務(wù)商采取何種方式實(shí)現(xiàn)商業(yè)模式的智能，其輸出形式均可統(tǒng)一認(rèn)定為數(shù)字化投顧。有了大量數(shù)據(jù)輸入的人工智能，能夠根據(jù)消費(fèi)者經(jīng)濟(jì)情況判斷其風(fēng)險(xiǎn)承受能力，預(yù)測金融市場走向繼而給出個(gè)性化的理財(cái)規(guī)劃。市場對(duì)數(shù)字化投顧普遍看好，花旗銀行預(yù)測至2020年該市場AUM有望突破2.2萬億美元。

GDPR對(duì)基于大數(shù)據(jù)分析的自動(dòng)化決策采取了審慎態(tài)度，對(duì)可能發(fā)生的算法歧視進(jìn)行了立法預(yù)防。GDPR規(guī)定，控制者在獲取個(gè)人信息時(shí)，為確保處理過程的公正透明，應(yīng)當(dāng)向數(shù)據(jù)主體提供相關(guān)信息，說明是否存在自動(dòng)決策機(jī)制，以及在存在自動(dòng)化決策的情形下，提供邏輯程序以及此類處理對(duì)于數(shù)據(jù)主體的意義和預(yù)期影響相關(guān)信息。同時(shí)還規(guī)定，當(dāng)自動(dòng)化決策將對(duì)數(shù)據(jù)主體產(chǎn)生法律效力或造成重大影響時(shí)，數(shù)據(jù)控制者應(yīng)實(shí)施適當(dāng)措施保護(hù)數(shù)據(jù)主體的權(quán)利、自由和合法利益，保證數(shù)據(jù)主體對(duì)數(shù)據(jù)控制者的人為干預(yù)權(quán)表達(dá)觀點(diǎn)和異議。

因此，從事數(shù)字化投顧的企業(yè)應(yīng)當(dāng)為客戶提供自動(dòng)化決策有關(guān)信息，并為客戶提供表達(dá)觀點(diǎn)和質(zhì)疑的途徑。對(duì)于數(shù)字化投顧的算法公開問題，涉及商業(yè)秘密、知識(shí)產(chǎn)權(quán)保護(hù)等問題，能否以及向數(shù)據(jù)主體披露到何種程度，歐盟29條工作組就此問題發(fā)布的指南提出，對(duì)于自動(dòng)決策，數(shù)據(jù)控制者并不必然要解釋完整的算法，面對(duì)用戶，用盡可能簡單的方法告知算法的基本邏輯或標(biāo)準(zhǔn)即可。

(二)生物識(shí)別技術(shù)應(yīng)用于金融交易

生物識(shí)別技術(shù)是對(duì)個(gè)人生理及行為特征的測量及統(tǒng)計(jì)分析，正在被越來越多地應(yīng)用于支付等金融服務(wù)中，用于識(shí)別或是輔助識(shí)別用戶的身份，并有望成為金融交易中采用的主要識(shí)別形式之一。生物識(shí)別相關(guān)的生理特征包括DNA、指紋、臉部、手部、視網(wǎng)膜、耳部特征以及氣味，行為特征包括手勢、聲音、打字的節(jié)奏以及步態(tài)等。生物識(shí)別技術(shù)的商用前景廣闊，可增強(qiáng)金融交易的安全性，并為用戶提供極佳的“無感式”身份識(shí)別體驗(yàn)。

GDPR將涉及健康、基因數(shù)據(jù)、經(jīng)處理可識(shí)別特定個(gè)人的生物識(shí)別數(shù)據(jù)定義為敏感數(shù)據(jù)。企業(yè)需慎重對(duì)待此類特殊數(shù)據(jù)，不僅要在獲取數(shù)據(jù)時(shí)需要征得數(shù)據(jù)主體的明示同意，作為數(shù)據(jù)控制者或處理者還需承擔(dān)對(duì)數(shù)據(jù)的安全保障義務(wù)，在技術(shù)和管理措施上采取必要措施，包括委派數(shù)據(jù)保護(hù)官(DPO)、在處理個(gè)人敏感數(shù)據(jù)時(shí)還需滿足相關(guān)成員國的條件，發(fā)生數(shù)據(jù)泄露事故時(shí)及時(shí)履行報(bào)告義務(wù)等。

GDPR對(duì)大數(shù)據(jù)技術(shù)商用的合規(guī)影響

大數(shù)據(jù)產(chǎn)業(yè)是以數(shù)據(jù)生產(chǎn)、采集、存儲(chǔ)、加工、分析和服務(wù)為主的經(jīng)濟(jì)活動(dòng)。大數(shù)據(jù)對(duì)金融領(lǐng)域的創(chuàng)新影響力強(qiáng)，數(shù)據(jù)維度越豐厚，用戶畫像越精細(xì)，企業(yè)所能觸達(dá)的業(yè)務(wù)會(huì)越多元。大數(shù)據(jù)技術(shù)應(yīng)用于精準(zhǔn)營銷、信用評(píng)估等業(yè)務(wù)均將受到GDPR影響。

(一)描摹數(shù)據(jù)畫像用于精準(zhǔn)營銷和信用評(píng)估

數(shù)據(jù)畫像是對(duì)數(shù)據(jù)和個(gè)人信息匯總和分析，為特定個(gè)體或人群的特征刻畫標(biāo)簽，并根據(jù)其需求和企業(yè)服務(wù)優(yōu)勢提供差異化服務(wù)，可提高產(chǎn)品推送的精準(zhǔn)程度、增強(qiáng)用戶黏性。數(shù)據(jù)畫像主要應(yīng)用于精準(zhǔn)營銷和用戶信用評(píng)估等業(yè)務(wù)環(huán)節(jié)。

GDPR對(duì)數(shù)據(jù)畫像有明確的定義，是指對(duì)個(gè)人數(shù)據(jù)進(jìn)行任何自動(dòng)化處理，包括利用個(gè)人數(shù)據(jù)評(píng)估與自然人有關(guān)的特定方面，特別是針對(duì)與自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個(gè)人偏好、興趣、信譽(yù)、行為習(xí)慣、位置與行蹤相關(guān)的分析和預(yù)測。使用用戶畫像若涉及對(duì)數(shù)據(jù)主體產(chǎn)生法律影響或其他重大影響，需符合以下要求：或取得歐盟或其成員國明確授權(quán);或是用戶畫像對(duì)數(shù)據(jù)主體與數(shù)據(jù)控制者簽訂或履行合同是必要的;或是基于數(shù)據(jù)主體的明確同意。

在大數(shù)據(jù)業(yè)務(wù)模式中，大多數(shù)情形下使用用戶畫像很難說對(duì)于數(shù)據(jù)主體與數(shù)據(jù)控制者的合同簽訂或合同履行是必要的，因此，在絕大多數(shù)情形下，需要取得數(shù)據(jù)主體對(duì)使用用戶畫像的明確同意。對(duì)此，企業(yè)應(yīng)當(dāng)告知數(shù)據(jù)主體提供用戶畫像的相關(guān)邏輯，包括對(duì)于數(shù)據(jù)主體產(chǎn)生預(yù)期后果的相關(guān)信息，并且告知數(shù)據(jù)主體享有對(duì)用戶畫像的反對(duì)權(quán)。此外，針對(duì)特殊類型個(gè)人數(shù)據(jù)，例如宗教信仰、政治觀點(diǎn)、性取向、性生活、基因或者健康數(shù)據(jù)等敏感數(shù)據(jù)，除非數(shù)據(jù)主體明確同意基于特定目的而授權(quán)處理其個(gè)人數(shù)據(jù)(但成員國仍然可就基因數(shù)據(jù)、生物特征數(shù)據(jù)或者健康相關(guān)的個(gè)人數(shù)據(jù)處理采取維持、限制或者其他措施)，否則基于特殊類型的個(gè)人數(shù)據(jù)處理將被禁止。

此外，盡管GDPR中未對(duì)數(shù)據(jù)畫像算法提出可解釋性要求，但是，社會(huì)對(duì)算法透明、算法向善的預(yù)期依然是數(shù)據(jù)畫像商用在倫理層面所面臨的挑戰(zhàn)。對(duì)此，企業(yè)應(yīng)定期開展算法審計(jì)，以保證客戶不受歧視，并為客戶提供允許表達(dá)觀點(diǎn)和質(zhì)疑商業(yè)決定的途徑。

(二)追蹤消費(fèi)者網(wǎng)絡(luò)行為推薦定向廣告

網(wǎng)絡(luò)行為定向廣告是大數(shù)據(jù)技術(shù)應(yīng)用于廣告行業(yè)的產(chǎn)物，主要是利用算法追蹤消費(fèi)者的搜索、瀏覽、成交等網(wǎng)絡(luò)行為，繼而構(gòu)建模型計(jì)算消費(fèi)者的購買偏好，推出定制化廣告。

定向廣告倚賴對(duì)信息的搜集和分析，市場上部分網(wǎng)站通過cookie等技術(shù)對(duì)用戶的網(wǎng)絡(luò)行為進(jìn)行記錄。移動(dòng)互聯(lián)網(wǎng)技術(shù)出現(xiàn)后，還可能涉及對(duì)用戶實(shí)時(shí)地理位置(行蹤軌跡)的記錄。GDPR將個(gè)人數(shù)據(jù)定義為可用于識(shí)別自然人(數(shù)據(jù)主體)的任何信息。例如該自然人的姓名、電子郵件地址、IP地址、位置數(shù)據(jù)，或自然人所特有的遺傳性、精神性、經(jīng)濟(jì)性、文化性或社會(huì)性身份因素。對(duì)于網(wǎng)絡(luò)設(shè)備、應(yīng)用、工具、協(xié)議中留存的cookie痕跡，如果具有唯一指向性，這些cookie信息可生成個(gè)人檔案識(shí)別具體自然人，即具有身份識(shí)別性。GDPR第26條前注說明，當(dāng)數(shù)據(jù)可被用來直接或間接識(shí)別自然人時(shí)，那么其就是個(gè)人數(shù)據(jù)/信息。這意味著不是所有但大部分被用來識(shí)別用戶的cookie信息要受GDPR規(guī)制，這就包括有關(guān)廣告、功能服務(wù)之類cookie信息。

企業(yè)收集cookie信息，需遵循GDPR對(duì)數(shù)據(jù)畫像的相應(yīng)規(guī)定，上文已經(jīng)論述。對(duì)于定向廣告運(yùn)營商而言，收集用戶的cookie信息行為，僅身份安全驗(yàn)證、防止交易欺詐等小部分信息可適用履行合同之必要的合法事由，搜集其他cookie信息時(shí)須征得用戶的明示同意，不能采取默認(rèn)同意，此外還需給予用戶撤回同意等選擇權(quán)。

基于區(qū)塊鏈技術(shù)開展創(chuàng)新業(yè)務(wù)的合規(guī)沖突

區(qū)塊鏈作為金融產(chǎn)業(yè)的底層技術(shù)受到許多國家與機(jī)構(gòu)的關(guān)注和測試。達(dá)沃斯論壇創(chuàng)始人克勞斯曾預(yù)言在2025年之前，全球GDP總量的10%將利用區(qū)塊鏈技術(shù)儲(chǔ)存，屆時(shí)貨幣形態(tài)、商業(yè)模式等將因區(qū)塊鏈技術(shù)的成熟改變內(nèi)涵。

區(qū)塊鏈本質(zhì)上是通過去中心讓所有人都擁有相同的賬本，區(qū)塊鏈尤其公有鏈的數(shù)據(jù)是透明的，任何一個(gè)參與者都可獲得完整的數(shù)據(jù)備份，可看到所有的交易信息，并且不可篡改，這是區(qū)塊鏈的優(yōu)勢，但是與GDPR中心化的規(guī)范方式，賦予個(gè)人數(shù)據(jù)的更正權(quán)、刪除權(quán)和被遺忘權(quán)的行使存在沖突。面對(duì)GDPR的合規(guī)要求，區(qū)塊鏈在金融科技的應(yīng)用面臨挑戰(zhàn)。

GDPR規(guī)定，數(shù)據(jù)主體在相應(yīng)理由下有權(quán)要求控制者及時(shí)刪除其個(gè)人數(shù)據(jù)。此外還規(guī)定，若數(shù)據(jù)主體已請(qǐng)求企業(yè)刪除相關(guān)個(gè)人數(shù)據(jù)的任何鏈接、副本或者復(fù)印件，但企業(yè)已將其個(gè)人數(shù)據(jù)公開，在考慮現(xiàn)有技術(shù)和實(shí)施成本后，企業(yè)應(yīng)當(dāng)采取合理步驟，通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者刪除此類信息。這就對(duì)應(yīng)用區(qū)塊鏈技術(shù)的企業(yè)提出極高的合規(guī)要求。區(qū)塊鏈解決去中心化信任的關(guān)鍵功能就在于數(shù)據(jù)的不可篡改性。一旦信息經(jīng)過驗(yàn)證并添加至區(qū)塊鏈，就會(huì)永久存儲(chǔ)起來，除非能夠同時(shí)控制住系統(tǒng)中大多數(shù)節(jié)點(diǎn)，否則單個(gè)節(jié)點(diǎn)上對(duì)數(shù)據(jù)庫的修改是無效的，同時(shí)控制眾多節(jié)點(diǎn)幾乎是不可能的，企業(yè)保護(hù)刪除權(quán)也近乎西西弗斯推石頭。

GDPR對(duì)云計(jì)算的合規(guī)影響

云計(jì)算通過互聯(lián)自由流通使得超級(jí)計(jì)算能力成為可能，可解決海量異構(gòu)信息處理和多樣化復(fù)雜應(yīng)用的整合問題，成為眾多金融科技企業(yè)的選擇。越來越多的銀行、證券、保險(xiǎn)、支付業(yè)類金融企業(yè)都在通過引入云計(jì)算來增強(qiáng)數(shù)據(jù)的安全性、加快信息共享速度、提高服務(wù)質(zhì)量、降低運(yùn)營成本，中國已成為全球第二大云服務(wù)市場。

在典型的云服務(wù)場景中，云服務(wù)商是數(shù)據(jù)處理者，云計(jì)算的客戶是數(shù)據(jù)控制者。GDPR對(duì)控制者、處理者在大多數(shù)情境下提出了相同的要求，例如，承擔(dān)數(shù)據(jù)安全保障義務(wù)，實(shí)施適當(dāng)?shù)募夹g(shù)和組織性措施、配合監(jiān)管機(jī)構(gòu)執(zhí)行任務(wù)等。GDPR對(duì)云服務(wù)商(作為數(shù)據(jù)處理者)與云客戶(作為數(shù)據(jù)控制者)之間的權(quán)利義務(wù)也進(jìn)行了規(guī)范，若未經(jīng)控制者事先書面授權(quán)，數(shù)據(jù)處理者不能雇用另一個(gè)數(shù)據(jù)處理者。若為一般的書面授權(quán)，處理者應(yīng)當(dāng)通知控制者任何有關(guān)打算增加或替換其他處理者的更改，以使控制者有機(jī)會(huì)反對(duì)這樣的更改。此外，若處理者認(rèn)為某項(xiàng)指令違反了GDPR或其他歐盟或成員國的數(shù)據(jù)保護(hù)規(guī)定，處理者應(yīng)當(dāng)立即通知控制者。為符合GDPR要求，市場上與云服務(wù)合同對(duì)轉(zhuǎn)售授權(quán)、安全保障措施(較之95指令，GDPR將安全保障措施從控制者擴(kuò)展到處理者)、風(fēng)險(xiǎn)管理責(zé)任相關(guān)條款均需修訂。

GDPR對(duì)物聯(lián)網(wǎng)業(yè)務(wù)的合規(guī)影響

物聯(lián)網(wǎng)(IoT)擁有廣闊的發(fā)展前景，其通過可穿戴設(shè)備等智能終端搜集數(shù)據(jù)傳遞給云計(jì)算中心，從而改變數(shù)據(jù)交互的形式，目前已率先應(yīng)用于車險(xiǎn)、健康險(xiǎn)等保險(xiǎn)業(yè)務(wù)。

物聯(lián)網(wǎng)持續(xù)獲取人體的部分生理特征，勢必涉及到大量敏感數(shù)據(jù)，需要滿足GDPR對(duì)此類特殊數(shù)據(jù)的合規(guī)要求。在數(shù)據(jù)收集越來越方便的背景下，物聯(lián)網(wǎng)收集的數(shù)據(jù)具有二次開發(fā)的增值價(jià)值，能否將其用于和最初收集目的完全不同的領(lǐng)域，也需要進(jìn)行合規(guī)評(píng)估。比如，在數(shù)據(jù)分享給第三方時(shí)，GDPR要求數(shù)據(jù)控制者應(yīng)當(dāng)提供其收集數(shù)據(jù)的目的等，須就此再次征得數(shù)據(jù)主體的明確同意。此外，可穿戴設(shè)備具有開放性等特征，使其容易受到非法用戶的攻擊，企業(yè)需要貫徹GDPR提出的技術(shù)性及組織性措施要求，定期測試、訪問和評(píng)估，以確保數(shù)據(jù)處理的安全性。

總之，鑒于GDPR的效力范圍，凡在歐盟有布局的企業(yè)，或是設(shè)立在歐盟境內(nèi)作為數(shù)據(jù)的控制者或處理者，或是未設(shè)立在歐盟境內(nèi)但其數(shù)據(jù)處理行為發(fā)生在向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)過程中，或是涉及監(jiān)控歐盟境內(nèi)數(shù)據(jù)主體的行為都將受該條例約束。為避免合規(guī)風(fēng)險(xiǎn)和聲譽(yù)受損，大型企業(yè)已火速展開合規(guī)行動(dòng)。谷歌、臉書和推特等企業(yè)已面向GDPR進(jìn)行合規(guī)布局，紛紛更新用戶隱私條款。在國內(nèi)，阿里巴巴旗下的全球速賣通、騰訊旗下的微信海外版和京東旗下的全球購等企業(yè)，以及涉及歐洲業(yè)務(wù)的中國制造企業(yè)和航空企業(yè)等，都已在官方網(wǎng)站上更新用戶隱私條款。

未來，金融科技企業(yè)需要努力將隱私保護(hù)積極納入整個(gè)運(yùn)營系統(tǒng)中。在此過程中，企業(yè)的安全文化或?qū)⒚媾R重大調(diào)適，并體現(xiàn)在戰(zhàn)略規(guī)劃、系統(tǒng)設(shè)計(jì)、數(shù)據(jù)治理、流程管理、內(nèi)控審計(jì)等方方面面。主動(dòng)尊重用戶的隱私權(quán)不是一件壞事，通過厘清內(nèi)部數(shù)據(jù)的流向，提升用戶對(duì)其隱私信息的控制度、透明度和安全度，一方面將極大增強(qiáng)消費(fèi)者對(duì)企業(yè)的信任度，有助于商業(yè)可持續(xù)開展，另一方面也將幫助企業(yè)拓展新的業(yè)務(wù)藍(lán)海。而率先實(shí)現(xiàn)數(shù)據(jù)有效治理的企業(yè)無疑將贏得關(guān)鍵業(yè)務(wù)領(lǐng)域的話語權(quán)和核心競爭力。

標(biāo)簽： 安全 大數(shù)據(jù) 大數(shù)據(jù)產(chǎn)業(yè) 大數(shù)據(jù)分析 大數(shù)據(jù)技術(shù) 大數(shù)據(jù)技術(shù)應(yīng)用 電子郵件 服務(wù)商 谷歌 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)技術(shù) 基于大數(shù)據(jù) 金融 數(shù)據(jù)分析 數(shù)據(jù)庫 搜索 網(wǎng)絡(luò) 信

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。