近日,以“一脑赋能、数惠全城”为目标,新型智慧城市示范城市建设按下快进键的长沙,在运用大数据等科技手段赋能金融行业转型发展,以及政务数据加快开放共享在金融领域应用等方面,又迈进坚实一歩。
长沙市数据资源管理局、湖南湘江新区财政局(金融办)分别与工商银行、中国银行、建设银行等20家银行代表共同签署了数据服务合作协议,将协同市数据资源管理局汇集的各类政务数据等公共数据资源,共同探索金融大数据服务体系,以解决中小微企业信贷业务中银企信息不对称、授信成本高等问题,弥补传统信贷业务短板。
不仅长沙,全国已有多个省市正在积极探索“政务大数据+普惠金融”模式,并已据此推出大数据普惠金融平台,如上海的“大数据普惠金融应用”,苏州的“征信贷”、“信e贷”,深圳的“深信贷”,福建省的“金融服务云平台”,安徽合肥的“信易贷”平台,以及浙江金华的“信义贷”平台等。这些平台,目前基本都是政府牵头主办,为了解决中小微企业的融资需求,通过平台归集的电力、税务、人社、市场监督管理局、公安、住建、交通厅等相关政府部门开放的各类涉企政务数据等公共数据,自上而下打通部门间的信息孤岛,或将上述数据通过平台直接向指定银行开放,或利用上述数据形成企业身份认证、企业精准画像、信用报告、信用评分和风控建模等数据应用向银行提供,为银行向中小微企业发放贷款提供数据支撑。
本文将主要针对上述场景中涉及的业务模式,即利用涉企政务大数据,为银行提供企业“信用画像”的应用和服务涉及的有关政策和法律问题进行探讨。
01宏观背景
中小微企业长期融资难的原因,一方面是缺乏抵押物、缺乏担保,并且在传统银行业机构缺乏可参考的信用指标;另一方面是涉及这些企业的非金融“替代数据”难获取,这些数据大部分形成于政府各个部门对于企业的管理活动之中,信息与银行不互通。为了破解该困境,一方面需要持续推进涉企政务大数据的归集、共享、开放和在金融领域的应用,打破“数据孤岛”,提升信用数据的政银企的互通共享;另一方面,需要引导金融行业利用新技术手段如大数据、人工智能、区块链等,改善“征信+授信决策”服务,充分利用以政务大数据为主的“替代数据”,为中小企业“精准画像”,帮助中小企业建立“信用档案”,以为中小企业的授信提供信用评级依据。
大数据“企业信用画像”能够化解上述银企信息不对称的长期矛盾,主要是因为其具有以下的特征:
1)利用先进的大数据技术,可以低成本、高效率地获取更多的公共涉企信息,将采集范围延伸至传统征信无法覆盖的领域,比如政务大数据等丰富的涉企公共数据,利用这些非金融“替代数据”,让银行可以为企业建立分类分级信用评价,并据此决定给予企业贷款的授信额度、期限配置、贷款利率等,有利于提高信贷可获得性;并且,2)大数据建立的评分模型也更重视信息的实时性和动态性,数据量大,刻画维度广,利于为银行提供贷前、贷中、贷后的更全面的信用评估。
大数据“企业信用画像”的应运而生,除了互联网、大数据、人工智能等高科技的飞速发展提供了技术条件,以及金融机构自身转型发展的内生动力以外, 一些国家宏观政策如智慧城市建设、政府数据开放和普惠金融发展等,也为其孕育和发展提供了政策土壤。
简要说来:
1、智慧城市建设和政府数据开放为“企业信用画像”提供了丰富替代数据来源
“互联网+政务服务”平台充当着智慧城市的“大脑”,行政机关在履行行政管理和公共服务职责过程中掌握的海量信息,依靠大数据技术和互联网可以跨层级、跨地域、跨行业、跨部门地进行整合。这些政府数据属于十分重要的一种资源, 但是以往并没有被充分有效利用。当前,国内多个省市上线政务云平台、公共服务云平台,大数据中心等,承担起城市政务民生数据的归集和管理工作,进一步探索和尝试政府数据互联互通机制、提升数据归集的深度和广度、促进政府数据有序开放。
开放数据共享只是政府数据开放第一步,促进数据应用才是根本目的,因而促进数据应用也往往是政府数据开放政策的关联举措。大数据企业信用画像,就是政府数据开放在金融领域应用的一个很好的范例。通过充分挖掘公共数据背后的金融价值,发改、税务、公安、海关、民政、法院、公管、人社、自规、供水、燃气等相关部门的涉企数据为企业信用画像提供了丰富的 “替代数据”信用信息资源。
2、社会信用体系建设和普惠金融要求引导金融机构利用数字化手段为中小微企业建立“信用画像”
随着社会信用体系建设的不断深入,我国市场对于个人和企业信用征信产品以及服务的需求也在显著增长。地方征信平台和第三方征信机构的大数据企业“信用画像”能够弥补央行征信系统内数据和信息的“先天不足”,形成与央行征信系统协调、多元化、差异化的发展格局。
通过大数据为中小微企业建立“信用画像”,也能够优化金融供给侧改革,推动普惠金融高质量发展。银保监会在印发《关于2021年进一步推动小微企业金融服务高质量发展的通知》中亦强调,银行业金融机构要综合运用互联网大数据等金融科技手段,将公共涉企数据与机构内部金融数据有机结合,改进业务审批技术和风险管理模型,为小微企业准确“画像”,实现金融资源向长尾客户的精准“滴灌”。
然而,在实践中利用政务大数据为企业进行“信用画像”也面临一些阻碍,例如所构建的大数据模型的可信赖性和精度提升必须建立在大数据有效、充分抓取和处理的基础之上,对数据的处理、分析和建模能力提出了更高要求。另外,第三方机构提供大数据“信用画像”不仅面临多头监管,在网络安全和数据合规方面也面临诸多挑战等。
02 法律风险点
大数据“信用画像”离不开数据处理活动,数据就是“信用画像”的根本,通过运用大数据技术构建征信模型及算法,对信用主体信息进行采集、分析、整合和挖掘,多维度刻画信用主体的状况,形成对信用企业主体的信用评价,实现风险监测与预警。然而,这个过程分析使用的数据并非内生于自身,在现行法律框架下数据权属以及权利范围尚无明确界定的情形下,确保数据来源及使用的合法合规是大数据信用画像业务开展的基础。这个过程主要涉及数据安全、个人信息的保护以及对商业秘密和国家秘密的保护等。
“信用画像”如果用产业链来进行描述的话,其上游就是负责数据收集和预处理、然后是数据分析,下游来进行画像构建。数据的预处理主要是数据的收集和清洗,包括数据的分级和脱敏;信用数据涉及各个方面通过数据清洗可以发现并纠正包括检查数据一致性,处理无效值和缺失值等, 数据分析主要建模可视化分析、数据挖掘算法、预测性分析等。画像构建主要是多维度、多分类的方式来进行画像的立体和准确。这个过程就牵涉到可能涉及的众多法律问题:
1、现存立法的空缺导致各项标准还不够准确
2、企业数据处理的边界性模糊
3、公共数据和个人数据的交叉
4、企业数据处理中可能涉及相关的刑事风险
5、数据确权不明容易被窃取、泄漏、滥用、劫持
6、数据流动对于安全管理具有挑战性
03 立法概况
随着数据经济时代的到来,各类数据的分析利用程度不断提高,使得数据挖掘的经济价值得以彰显;另一方面,大数据、区块链等金融科技通过“替代数据”提供的信贷服务,也是对原有监管体制的一种突破,故为了应对数字时代的新挑战,有关征信业务监管、数据安全、个人信息保护、网络安全等方面的立法活动,有望对不断涌现的征信新业态在规范层面做出澄清和回应,也就尤为值得关注。
征信业务监管
《征信业管理条例》系第一部专门适用于征信业的行政法规,明确规定了征信机构的设立要求、征信业务的基本规则等内容;《征信机构管理办法》和《企业征信机构备案管理办法》在《征信业管理条例》基础上,进一步详细规定征信机构的设立、变更与终止的管理要求,以及规定了备案的受理、审核、管理等内容。
近年来,人民银行加强了征信业务监管,先后约谈、处罚蚂蚁集团及鹏元征信等部分金融科技公司违法违规从事征信业务,引起了业界的广泛关注。而人民银行今年年初公布的《征信业务管理办法(征求意见稿)》(以下简称《征求意见稿》)是征信行业迎来的又一重磅新规(未生效),有利于业界理清业务合规边界,把握监管尺度,其中有五点尤其值得关注:
一是《征求意见稿》从宽认定了“信用信息”和“征信业务”。将“信用信息”扩大至与金融经济活动有关的几乎所有金融、经济及交易记录信息;这一定义弥补了以往立法在信用信息定义上的空白。将“征信业务”扩展并囊括了包含以“信用信息服务、信用服务、信用评分、信用评级、信用修复”等名义对外开展征信服务的活动。
《征求意见稿》在信用信息和征信业务上的规定,进一步反映了央行对于征信活动拓展监管的表态,此次《征求意见稿》将信用画像、信用评价等服务纳入征信业务监管,也显示出未来对于大数据风控行业的监管也可能将逐步构成征信业务监管的组成部分。
二是《征求意见稿》明确了“征信机构”适用资质要求的范畴,除传统征信业务外,将目前市场主流的利用大数据分析与处理等实质从事信用评价等业务的活动,包括但不限于信用画像、评分、评价类业务等,均纳入了征信业务范畴,也就意味着若《征求意见稿》生效,日后从事相关征信业务也需符合法律法规对“征信机构”的资质和设立的要求和规定。
值得注意的是,《征求意见稿》也没有完全“堵死”这个行业,而是开了两个口子:
对于征信机构以外与征信机构合作,或为金融经济活动提供个人或企业信用信息的“其他信息处理者”,以“签署合作协议”+“监管报备”方式予以规制。
三是《征求意见稿》确立了了信息采集的“最少、必要”的原则,不得过度采集。这一处《征求意见稿》与《民法典》、《网络安全法》等其他立法确立的原则保持了一致。但是大数据信用画像应用本身的特性驱使其收集更多、更丰富的数据,而这与“最少、必要”原则存在一定冲突,如何厘清边界,还有待未来进一步规范和明晰。
四是《征求意见稿》规定征信机构采集非公开的企业信用信息,应当采取适当的方式取得企业的同意。
五是《征求意见稿》对直接交易模式的合规性审查做了规定:不仅要求征信机构应当对信息提供者的业务合法性、信息来源、信息质量、信息安全、信息主体授权等进行审核,以保障采集信用信息的合法、准确和可持续;还要求征信机构对使用方的身份、业务资质、使用目的、是否取得授权等事项进行必要的审查,进一步强化征信机构自身数据合规的管理要求。
综上所述,《征求意见稿》对信用信息的采集、规范体现出趋严的监管趋势,同时对于“类征信”行业也会有规范的效果,可以预见征信业务管理等方面的立法活动和政策也必将逐渐与实务活动相匹配,相关合规审查应对此密切关注。
数据处理活动
《中华人民共和国数据安全法》(以下简称“《数据安全法》”)出台并将于2021年9月1日正式施行,使得数据合规一时间成为了各界热烈讨论的话题。以下将以《数据安全法》的内容为基本框架,进行简要探讨。
一是进一步为政务数据开放并在不同领域应用,提供了法律依据。第五章明确规定了“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动数据开放利用。”但与此同时,《数据安全法》也注意到政府履职过程中和委托第三方设计、运维电子政务系统可能带来的安全问题,并据此要求相关国家机关制定完善的数据安全管理制度、严格的批准程序以应对实践中存在的数据泄露等安全风险。
二是要求数据分级分类保护和对重要数据重点保护。不过具体应该如何分类,什么才是“重要数据”,《数据安全法》没有明确确定,有待未来由各部门、各地区通过出台部门规章、地方法规等作具体要求。
数据分级分类是数据治理和生命周期管理的基础,大数据“企业信用画像”涉及的政务数据的敏感性是对于类似业务有关数据进行分级需要重点关注的问题。目前政务数据的分级分类尚未有国家层面的数据分级标准规范,不过,实践中有一些地方标准可供参照,如北京正在制定中的地方标准《政务数据分级与安全保护规范》(征求意见稿),按照数据发生泄漏、篡改、丢失或滥用后的影响对象、影响程度和影响范围,将数据细分为四个安全等级,有利于数据流转中的安全管理。此外,中国人民银行印发的行业标准《金融数据安全数据安全分级指南》明确了金融数据安全分级的规则,也可以适当参照。
三是确立数据全生命周期安全保护为义务。《数据安全法》要求有效加强全生命周期的安全管控,明确数据收集、存储、使用、加工、传输、提供、公开、销毁等各个阶段的安全要求。
四是从事数据交易的中介服务机构有义务对数据来源进行审核。但是实务中,数据交互的形式多种多样,因而 “数据交易”的内涵有待厘清。例如,将各类政务数据归集到一起的大数据中心/平台,通过API接口,向下游用户开放数据查询等功能服务的,是否属于这里的“数据交易”?又如,实践中通过隐私计算,以在各方数据不出本地的情况下,各参与方只交换密文形式的中间计算结果或转化结果,不交换数据,保证各方数据不露出的交互模式,又是否也属于“数据交易”的一种广义形式?目前缺乏明确的答案。
总的来说,《数据安全法》作为数据领域的基础性法律, 搭建出了数据安全保护的框架。但是对于涉及个人隐私、个人信息保护、商业秘密、国家秘密的数据,除要遵循《数据安全法》外,还应当厘清与《民法典》《反不正当竞争法》《网络安全法》《保密法》和正在制定的《个人信息保护法》(未生效)等之间的适用和衔接问题。这些法律与《数据安全法》共同构建出我国数据和网络安全的法律保护体系。
值得一提的是,从中国个人信息保护的立法活动来看,中国并没有完全借鉴欧洲模式或美国模式,即不是欧盟GDPR对于个人信息进行强监管和高层级的保护,也不完全是美国模式秉持数据自由流通价值至上倾向,可以期待,在未来的数据立法活动中,中国很可能创造出具有鲜明中国特色的中国模式。
网络安全
《国家安全法》《网络安全法》《电子商务法》《网络安全审查办法》等法律规范构成了我国信息化发展法律政策框架。正在拟制之中的一系列配套法规,如《网络安全等级保护条例(征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》等,将进一步细化和明确各项制度的具体内容;此外,正在修订的《网络安全等级保护实施指南(GB/T25058)》和《网络安全等级保护定级指南(GB/T22240)》等国家标准也将为网络运营者和监管部门提供更加具体可操作的合规指引。
大数据“企业信用画像”业务中涉及电信网络使用有关事项的还需遵循上述网络安全有关的法律法规。尤其,互联网高速发展时代给计算机网络信息安全带来了全新的挑战,诸如数据系统被攻击、非法控制、遭受干扰或破坏、以及重要数据被窃取、泄露、毁损的的风险等,这些安全事件甚至可能直接影响国家安全、公共利益。因此相关合规还需审查业务的开展是否适用包括但不限于《网络安全法》及其配套法规规定的网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施的安全保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络安全事件管理制度等。
另需注意的是,日前,国家互联网信息办公室对滴滴出行启动了网络安全审查,这是国家首次对企业启动网络安全审查,该新闻事件重新引起了各界对网络安全审查的高度关注。根据《网络安全审查办法》,网络安全审查适用于“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的”情形。因此网络安全的合规审查还需关注,归集和处理海量政府涉企大数据的数据库和大数据金融平台是否属于符合“关键信息基础设施”认定条件的重要网络和信息系统,以及是否需要按照规定和流程申报网络安全审查。
大数据“企业信用画像”在金融领域应用相关政策和法律问题探讨
作者:刘娅 邓雯来源:天地人律师事务所

近日,以“一脑赋能、数惠全城”为目标,新型智慧城市示范城市建设按下快进键的长沙,在运用大数据等科技手段赋能金融行业转型发展,以及政务数据加快开放共享在金融领域应用等方面,又迈进坚实一歩。