大数据金融模式及运作 大数据金融模式

老网关（资深金融从业者）

经十三届全国人大常委会第二十九次会议审议通过并正式发布的《数据安全法》，今天正式施行。我的突出感受是《数据安全法》体现的业务导向和发展导向。围绕“数据”和“数据安全”，不再仅仅是“技术”或“科技”，将有助于发挥和挖掘“数据”的生产要素属性和商业潜力，使行业数字化转型走向更广更深的融合未来。分享一些我的理解，请批评指正！

银行业作为关系国家安全和经济金融发展的重要生命线，是保障公众智能公共服务的重要主体，既是海量数据的采集和存储场所，也是重要敏感数据的主要应用场所或验证来源。同时，探索和推动服务、运营、管理等各个层面的数字化商业模式转型升级，也是金融业的主阵地。落实党中央决策部署、国家安全观和《数据基本法》要求，将呈现四个新特点：

一是体现业务发展导向。方法鼓励依法合理有效利用数据，注重统筹发展和安全，这是全国人大常委会三次审议修改的重点之一。其主要目的是促进数据应用和数据元素价值挖掘。基于数据的创新应用，提升对客户的智能化服务水平，加快自身数字化业务模式的转型升级，支持行业数字化发展，是银行新的发展机遇。就银行自身而言，随着线上成为数据采集的主要来源和主要应用场所，在遵守法律法规的前提下，聚焦线上业务和服务发展，对外开放数据和数字服务的引领作用将持续加强，将助推数据开发和安全新技术的发展。

二是体现客户权益保障导向。的措施明确保障数据依法有序自由流动，推动以数据为关键要素的数字经济发展，同时要求考虑老年人及其需求。银行应对客户数据的收集、存储、使用、处理、传输、披露和删除实施具体保障安排，涵盖知识、决策、咨询和复制、信息传递、更正、补充和退出安全等客户权益保护的具体方面。同时，要围绕无障碍服务作出更有针对性的安排，结合不可逆转的数字化发展前景，对智能化、数字化安排进行前瞻性研究，弥合数字鸿沟，降低特殊群体使用难度，持续优化客户体验，维护社会公德和伦理道德，增进民生福祉。

三是体现体系化管理导向。的措施明确要求建立健全全过程数据安全管理制度和安全保障安排，切实履行数据安全保护义务。具体到银行，突出业务层面的数据应用安全防控和应急保障安排尤为重要，包括将客户权益保护、在线服务体验、客户智能服务类型、数量和数据处理活动纳入风险评估和业务应急安排体系，建立和完善涵盖在线渠道数据隐私保护政策、千人智能服务、产品和营销推荐及应急保障、在线智能风险控制系统和能力建设、数据应用监控和管理以及系统、架构、算法和底层安全保障的技术部署等业务层面。

的自律惩戒合规管理安排。

四是有效衔接数字化监管和认证审查。办法明确国家建立数据安全审查制度，和集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，统筹协调强化数据安全风险信息的获取、分析、研判、预警等工作。对于银行而言，面向数据应用、业务发展和体现数据价值的经营目标，进一步明晰数据治理管理构架，完善章程制度，强化自我评估机制，加强涉数合作管理，尤其是在线上化数字化转型升级过程中，随着监管行业标准制定和认证组织管理的不断深入，积极协同实施机器可读标准的嵌入式监管，在升级银行服务经营管理模式的同时，助力数字化、智能化监管升级。商业银行落实2018年5月银保监会《银行业金融机构数据治理指引》也将随之走向新的发展阶段。

2.贯穿服务经营和管理全程

对于银行而言，数据安全法的合规利用数据、谋求业务发展主旨，大大扩展了数据安全工作的内涵和外延，将其从科技系统、应用技术、运行保障及应急等技术层面，扩展到贯穿客户权益保障、业务发展、智能化服务和经营、业务及应急管理，以及数字化智能化监管的全方位和全流程，在继续巩固夯实技术层面各类安排的同时，聚焦客户服务、管理、制度建设、智能化风险管理、投诉咨询举报核查响应和认证、监测及监管衔接等业务及管理维度，尤其是聚焦解决专业能力积累及队伍建设、人才培养、顶层设计等方面所存在的薄弱环节和重要点位问题，将是规避合规风险，保障全面深入落实数据安全法，抢抓数字经济发展机遇，推动体系化转型升级和竞争能力建设的重中之重。

3.提高体系化治理能力

一方面，从去年以来各级监管部门针对各类APP应用所作的用户权益保护检查整治情况看，涉及的问题包括强制、频繁、过度索取用户权限、欺骗误导强迫客户、超范围收集个人信息等等，具体表现还有开弹窗关闭按钮不突出、营销广告推送频繁、诱导跳转、内容摆布不合理、存有安全隐患、性能不佳、视觉体验不佳、流程安排不合理、关闭或退出、注销等功能入口布放深等等。应该说，近年来，在各级监管部门的组织领导下，银行业对于手机银行APP等线上渠道的服务能力建设重视程度普遍提升，因此银行业对于自身APP管理显然更为缜密审慎，因此，违规情况相较其他行业少之又少。由于手机银行等线上渠道事实上已经成为承载服务和经营的主阵地，以及保障数据安全和个人信息保护的主战场，因此，银行业整体都在不断增强线上专业化服务能力和人才储备，建立线上体验设计规范，建成线上渠道智能机器人等直客服务体系，以及客户声音采集和面向客户的咨询、投诉、宣教支撑体系，建立并持续完善线上渠道数据埋点及应用基础规范，强化深化线上数字化服务和经营能力，同时构建线上智能化风控体系，并不断优化用户隐私保护协议内容，增强可读性，扩展涵盖幅面，细化保护内容，提高修订频率，同时加强线上各类产品、服务、营销活动、资讯内容上线面客前的消保审查。除此之外，也在不断细化管理制度、加强底层技术防控能力。

另一方面，《国家安全法》对建立风险预防、评估和预警的相关制度，制定完善应对各领域国家安全风险预案做出明确要求，《数据安全法》明确了对数据应用的事前风险评估报告、事中监测预警、事后应急处置机制等的工作要求，《个人信息保护法》则进一步对包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹，以及不满十四周岁未成年人个人信息等敏感个人信息权益做出了保障、赔偿及惩戒安排，尤其是对通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，所进行的自动化决策，提出了要保持透明度、公平公正性、禁止不合理差别待遇，要同时提供不针对个人特征的选项或者向个人提供便捷拒绝方式安排，以及就对个人权益产生重大影响的自动化决策提供说明的权益保障安排。这对于银行业数字化转型发展而言显然提出了新的更高要求：

业务和服务管理层面，建立和应用数字化、智能化的数据应用安全度量标准及手段，加快机器可读标准的嵌入式、智能化管理在内部审计或外部监管管理进程，这也是人民银行3月发布的《人工智能算法金融应用评价规范》管理精神要义所在；数据处理层面，加强加密、去标识化等安全技术应用；数据管理层面，加强数据分类应用、分类管理；数据应用及合作层面，研究匿名化数据引入、加工和输出，挖掘不同管理框架下的数据交流合作潜力和金融数据的巨大商业价值。

4.数据分级分类标准化管理，展开确权交易等市场化探索

《数据安全法》第二十一条给出的建立数据分类分级保护制度基本原则包括对于经济社会发展重要程度和破防后的危害程度两个核心方面。2020年10月人民银行正式发布《金融数据安全数据分级分类指南》(JR/T0197—2020)，根据金融机构数据安全性遭受破坏后，对国家安全、公众权益、个人隐私、企业合法权益等所造成的影响程度，将数据安全级别由高到低划分为五级，影响程度从高到低划分为非常严重、严重、中等和轻微，并给出了建议的最低安全级别，特别强调对于个人数据信息的安全定级应从高考虑（如：如各类账户密码等C3类信息属于4级；支付账号、动态口令等C2类信息为3级；账户开立时间、开立机构等C1类信息为2级）。

在实操中，要确定各级各类数据颗粒度和识别数据安全等级关键要素，不断明晰和完善数据分级分类标准和定级工作流程；对于存量系统和数据，要建立跨系统的数据映射关系，实施数据清理，形成存量数据资产清单；对增量数据而言，尤其要结合当前线上渠道是数据采集和应用主战场的趋势和特点，从建立埋点采集和客户隐私保护规范开始，贯穿基于客户画像的千人千面智能化服务、关联引流等智能化推荐、场景化情景化智能营销以及智能风控等各类智能化应用，实施起自源头的全生命周期数据管理，形成标准化数据资产和应用规范，进而促成数据资产确权，成为可定价、可转移、可交易数据生产要素，进一步向数据资产共享、流通和数据价值变现迈进。

因此，必须以客户服务和业务导向，不断建立健全覆盖线上渠道数据隐私保护政策、千人千面智能化服务、产品和营销推荐以及应急保障等业务层面，线上智能风控体系和能力建设及数据应用监测管理层面，以及系统、架构、算法等技术部署及底层安全保障层面的全流程穿透式分类分级防御体系，和必要的自律惩戒合规管理安排，从业务管理的视角做出资源、制度、工作体系等全方位安排，而不再仅局限于技术层面。

此外，数据交易的前提是确权和数据资产标准化，各行各业统一数据标准和管理强度，将是极具潜力也是极为挑战的工作，因此，在数据管理相对规范，技术应用能力相对较强，业务发展场景丰富的银行业内，围绕普惠服务、绿色低碳和填补数字鸿沟，率先探索特定领域或场景下的数据资产交易或数据权益抵质押安排，促进行业内有章可循的数据交换或共享，研究其所带来的产出价值和转移形式，加强业内及跨业数据标准化进展交流，都将有利于逐步摸索形成更为成熟可控的市场化进程推动路径。

5.守住个人信息保护和金融科技金融为本底线探索新兴数据处理技术应用

各行各业都在积极挖掘数字化服务、经营、管理潜力，以期打破产能瓶颈，实现转型升级，因此，银行业基于线上化连接和数字化应用，不断延展线上平台化经营能力，聚合对公对私等各类服务生态，在依法合规前提下，加强自有数据整合应用，以及必要的数据引入和输出，形成可对外开放的标准化服务输出能力，在自身转型发展的同时，支撑数字化产业和促进产业数字化发展，是提升行业竞争力的必选安排。

随着《网络安全法》《数据安全法》《个人信息保护法》等大法陆续施行，合规使用数据和有效防控风险日益重要，这客观上促进了数据领域的各种新兴技术应用探索，同时也对数据匿名化、信息脱敏、数据共享以及算法、算力、计算效率、置信度、计算成本、安全保护等各方面提出了更多要求，在技术尚待证明成熟或前景色尚待证明确凿时，以有效落实个人信息保护和防控金融风险作为前提条件和基本原则，体现业务先导，重视线上渠道等数据采集及应用头阵的源头治理，让技术服务于人，体现金融科技金融本质，应成为保障数据安全合规的基本遵循。（本文为作者观点，不代表本头条号立场）