2021-2022企业数据合规研究报告.pdf_报告吧baogao8.com-

资源描述

nullnullnullnullnullnullnullnullnull企业数据合规研究报告目录前言 . - 1 - 总则一、数据合规价值观 . - 3 - （一）国内价值观 . - 3 - （二）国际价值观 . - 3 - 二、数据合规法律环境 . - 4 - （一）国内法律环境 . - 4 - （二）国际法律环境 . - 6 - 分则一、金融科技行业数据合规 . - 15 - （一）金融科技行业数据合规现状分析 . - 15 - （二）金融科技行业数据合规要点 . - 18 - （三）金融科技行业数据合规治理方案 . - 20 - （四）金融科技行业数据合规法律法规焦点问题 . - 22 - 二、智能汽车行业数据合规 . - 24 - （一）智能汽车行业数据合规现状分析 . - 24 - （二）智能汽车行业数据合规要点 . - 26 - （三）智能汽车行业数据合规治理方案 . - 30 - （四）智能汽车行业数据合规法律法规焦点问题 . - 33 - 三、在线教育行业数据合规 . - 35 - （一）在线教育行业数据合规现状分析 . - 35 - （二）在线教育行业案例及数据合规要点 . - 37 - （三）在线教育行业数据合规治理方案 . - 43 - （四）在线教育行业数据合规法律法规焦点问题 . - 45 - 四、电信和互联网行业领域数据合规 . - 46 - （一）电信和互联网行业数据合规现状分析 . - 46 - （二）电信和互联网行业数据合规要点 . - 51 - （三）电信和互联网行业数据合规治理方案 . - 52 - （四）电信和互联网行业法律法规焦点问题 . - 55 - - 1 - 前言在全球数字经济发展的大背景下，数据已成为企业的重要资产。 2021 年 6 月 10 日，第十三届全国人民代表大会常务委员会第二十九次会议审议通过了中华人民共和国数据安全法（以下简称数据安全法）。该法已于 2021 年 9 月 1 日起施行。数据安全法作为我国数据安全领域的基础性法律，明确了数据安全领域内治理体系的顶层设计，通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全，引领和促进数据的开发利用，要求企业依法强化合规建设，对企业与机构的责任、义务提出了更加细致的规范和要求。其中第一章明确要求 “应建立健全数据安全治理体系，提高数据安全保障能力”。为推进数据合规工作，排除企业数据合规风险，本白皮书基于企业数据合规工作的必要性，首先对国内外数据合规价值观和法律法规环境进行了概述；然后对金融科技、智能汽车、在线教育、电信及互联网四个重要领域的数据合规现状、要点、治理方案、法律法规焦点问题进行了详细介绍。中国软件评测中心（工业和信息化部软件与集成电路促进中心），简称“中国评测”，是工业和信息化部直属单位，创立于 1990 年。成立 30 年来，中国评测秉承“诚信、担当、唯实、创先”的核心价值观和“专业就是实力”的宗旨，先后承担了 10 万余款软硬件产品和 1 万余项信息系统工程的测试任务，已成为国内权威的第三方软、硬件产品及信息系统工程质量安全与可靠性检测机构。中国评测的业务网络覆盖全国 500 多个城市，出具的测试报告在 61 - 2 - 个国家和地区实现互认。中国软件评测中心网络空间安全测评工程技术中心致力于信息系统的网络安全防护和安全运行，支撑政府主管部门履行网络安全相关的社会管理和公共服务职能。长期服务和支撑国家部委、地方政府以及电信、交通、能源、银行、证券、保险、教育、卫生、广电等各大行业，提供网络信息安全战略咨询规划、网络安全平台设计咨询、信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估、 APP 安全认证检测、商用密码应用安全性评估等网络信息安全相关服务。在此感谢各高校、企业和研究机构有关专家对本白皮书的撰写指导，限于研究时间有限，报告内容难免存在纰漏，不足之处恳请各方同仁批评指正！中国软件评测中心非常期待能够与各行业、各领域专家进一步合作，共同推进企业数据合规工作。 - 3 - 总则一、数据合规价值观（一）国内价值观我国将数据定位为新型生产要素，数据作为新型生产要素，已正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。首部数据安全基础法中华人民共和国数据安全法已颁布，个人信息保护相关法律已经出台，围绕数据合规、数据治理的政策标准及体制体系研究正加紧开展，国内数据合规政策环境趋于明朗。我国各行业数据资源丰富，价值优势突出，利益相关方蜂拥而至，且随着各行各业数据内外部应用的同步拓展和推进，数据合规问题日益凸显，严重阻碍数据资源价值释放，数据合规需求更加迫切，数据合规研究及指导落地刻不容缓。（二）国际价值观国际上对数据资源高度重视，各国纷纷采取数据本地化等强制性措施，维护数据主权并争夺数据资源。国家间、企业间数据资源的争夺日益激烈，“数据主权”面临严重挑战。一方面，很多国家或组织通过强制数据本地化存储、强制性反加密制度（如强制性后门）等加强对数据获取、数据跨境流动及合作等方面的控制权。欧盟数据相关立法密集，深刻影响国际安全治理格局， - 4 - 包括美国、日本、韩国、印度等在内的十几个国家为打通欧盟立法产生的数据壁垒，与其已经达成或正在谈判以达成数据传输保护协议。另一方面，以美国为首的多个国家通过单方面主张域外管辖权获取境外数据，意图创建打破数据本地化政策的全新规则框架，但又以网络自由原则和人权保护为理由，对外国政府调取数据均以自身利益为先加以制衡。在数字经济全球化的当下，迫使包括中国在内的数据治理主体在数据相关战略部署，及中国企业在内的跨境数据运营主体在业务合规过程中，必须考虑、评估国际政策法律环境的约束和实际影响力。二、数据合规法律环境（一）国内法律环境国内数据合规政策、立法多头并进，数据治理迎来新格局。 2015 年 7 月 1 日，中华人民共和国国家安全法颁布并施行，同日，国务院办公厅印发关于运用大数据加强对市场主体服务和监管的若干意见，提出充分运用大数据先进理念、技术和资源，加强对市场主体的服务和监管，推进简政放权和政府职能转变，提高政府治理能力。 2017 年 6 月 1 日，中华人民共和国网络安全法正式施行，其中对个人信息保护作出明确规定。 2018 年 8 月 31 日，我国电子商务法公开颁布，除了对个人信息保护做出规定外，对于 “数据杀熟 ”问题也首次尝试做出回应。 - 5 - 2019 年 5 月 28 日，国家互联网信息办公室发布数据安全管理办法（征求意见稿），对利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，做了详细规定。 6 月 13 日，发布个人信息出境安全评估办法 (征求意见稿 )，目前两项公开征求意见工作已完成。 10 月 1 日，由国家互联网信息办公室发布的儿童个人信息网络保护规定正式施行。 12 月 1 日，等保 2.0 正式将大数据安全纳入监管体系。 2020 年 1 月 1 日，中华人民共和国密码法正式施行。 1 月 17 日至 18 日，中央政法工作会议强调，要把大数据安全作为贯彻总体国家安全观的基础性工程，依法严厉打击侵犯公民隐私、损坏数据安全、窃取数据秘密等违法犯罪活动。 3 月 30 日，中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见，提出 “加快培育数据市场要素 ”，优化经济治理基础数据库，培育数字经济新产业、新业态和新模式，加强数据资源整合和安全保护。 4 月 27 日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等 12 部门联合制定发布网络安全审查办法，明确网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，包括网络产品和服务使用后带来的关键信息基础设施重要数据被窃取、泄露、毁损的风险。 5 月 28 日，十三届全国人大三次会议表决通过中华人民共和国民法典，其中专设了 “隐私权与个人信息保护” 章节。 - 6 - 2020 年 6 月 28 日，我国第一部在数据安全领域的基础性法律中华人民共和国数据安全法（草案）在第十三届全国人大常委会第二十次会议通过审议，并于 7 月 3 日在中国人大网公开征求意见，随后中华人民共和国个人信息保护法（草案）公开征求意见。诸多政策、立法齐头并进，为数据及其安全治理落地实践提供全面保障。 2020 年 7 月，我国对外公布了数据安全法（草案）的征求意见稿，其在法律地位上与网络安全法国家安全法相一致。 2021 年 6 月 7 日，为促进国家数字经济的发展，维护国家数据安全，中华人民共和国数据安全法（草案三次审议稿）提请第十三届全国人大常委会第二十九次会议审议。 2021 年 6 月 10 日，国家主席习近平签署第八十四号主席令，公布中华人民共和国数据安全法，并自 2021 年 9 月 1 日起施行。该法是继网络安全法之后，又一部网络安全领域的重要法律，既是国家数据安全领域的基础法，又与其他相关法律相联系。数据安全法的出台，不仅有助于我国数字经济与国际接轨，同时为国家数字经济发展保驾护航，对指导我国数据行业安全规范运营具有重要意义。（二）国际法律环境 1 欧盟欧盟立法密集，深刻影响全球数据安全治理格局。 2016 年 4 - 7 - 月 27日，欧盟发布 2016/679号条例通用数据保护条例（ GDPR），取代 95/46/EC 号指令（欧盟数据保护指令）。条例制定了个人数据保护的一般规范，为欧盟内外个人数据的自由流动提供了确定性保护，开启了其成员国新一轮数据立法，是欧盟新形势下数据治理的里程碑事件。 7 月 6 日，首部网络安全相关法律网络与信息系统安全指令（ NISD）颁布，旨在加强基础服务运营商、数字服务提供商的网络与信息系统安全，并要求成员国及时转化为国内立法，与 GDPR 分别从安全和基本权利保障两个层面实现其网络治理战略意图。 2018 年 10 月 23 日，第 2018/1725 号条例联盟机构个人数据处理保护条例发布，其作为 GDPR 的补充，对欧盟机构在处理个人数据时对自然人的保护提出基本要求，明确了数据主体的权利范围及主要监管机关的职能和义务。为保障非个人数据在欧盟境内自由流动，更大程度地激发和释放数据价值， 2018/1807 号条例非个人数据自由流动条例于 11 月 14 日发布，该条例对数据本地化要求、主管当局的数据获取及跨境合作、专业用户的数据迁移等问题作出了具体规定，并考虑了服务提供商负担过度及市场扭曲等问题，进一步完善了欧盟数据治理框架。欧洲数据保护委员会的统计数据显示，在 GDPR 实施的第一年里，成员国共报告 28100 多例 GDPR 违规案件，罚款总额达 55,955,871 欧元（其中 5000 万欧元为对谷歌的罚款）。另根据 GDPR 执法追踪网站（）的统计，截至 2020 年 9 月，欧盟 - 8 - 成员国共开出 362 张与 GDPR 相关的罚单，总罚款金额高达 491,003,290 欧元，平均每单处罚 1,356,363 欧元，其中“对数据进行处理的法律依据不足”“缺乏足以保障数据安全的技术和组织措施”“违反数据处理的一般原则”等三种违法情形位居罚单数量和金额前三甲。 2019 年 4 月 17 日，第 2019/881 号条例关于 ENISA 和信息通信技术网络安全认证的条例（又称 2019 网络安全法案）正式颁布，这是欧盟网络安全治理的里程碑事件。法案指定欧盟网络和信息安全署（ ENISA）为永久性欧盟网络安全机构，确立了第一份欧盟范围的网络安全认证计划，以确保向欧盟境内提供的产品、服务满足其网络安全标准。 6 月 20 日，数据开放指令发布。欧盟的 “数据”和“安全”相关法律密集出台，与其“数字化单一市场”战略齐头并进，培育了良好的数据安全治理环境，深刻影响国际数据治理格局。在美国曝光监听丑闻及棱镜事件后，欧盟认为欧美长达 15 年的安全港协议不足以保护欧盟公民隐私。 2016 年 2 月 2 日，美国与欧盟达成新的隐私盾（ Privacy Shield）协议，新协议要求美国企业履行更加严格的义务以保护欧盟公民的个人数据，且必须做出相应承诺。 2019 年 1 月 23 日，日本与欧盟达成数据共享协议，在欧盟对其进行充分性认定前，日本实施了额外的保障措施，以确保由欧盟转移的数据享有符合欧洲标准的保护保障，并至少每四年进行一次协议运作审查。 - 9 - 与此同时，欧盟为 AI 数据采集立法，开创个人隐私保护监管先河。欧盟委员会于 2020 年 4 月 21 日正式发布一项针对 AI 的法律监管框架。这份长达 81 页的立法草案指出，欧盟将禁止使用人工智能系统建立社会征信体系，同时将彻底禁止一些对个人隐私构成“高风险”的人工智能应用。这意味着未来不符合准入标准的 AI 系统，可能无法进入欧盟。 2020 年 11 月 4 日，欧盟推出与美国共享数据的合规条款。欧盟委员会发布更新的标准合同条款（ SCC），概述公司和组织如何与美国共享数据而又不违反欧盟的隐私法律。 SCC 为欧洲公司与美国和其他第三方国家 /地区交换数据提供了一种法律机制，将使得欧洲组织能明确在什么情况下进行跨境数据传输是合法的。 2020 年 11 月 25 日，欧盟发布数据治理法的提案，旨在通过增加对数据中介机构的信任并通过加强整个欧盟的数据共享机制来促进使用数据的可用性。 2021 年 7 月 22 日，荷兰数据保护局以侵犯儿童隐私为由，决定对字节跳动旗下短视频社交平台 TikTok（“抖音”国际版）处以 75 万欧元的罚款。这一事件意味着欧盟通用数据保护条例（ GDPR）（“ GDPR”）实施三年以来，中国企业（包括其控制的海外平台）第一次因违反 GDPR 相关条款而遭受处罚，具有一定标志性意义。欧盟的数据安全相关政策法律视图如图 1 所示： - 10 - 图 1：欧盟的数据安全相关法律政策视图 2 美国美国多点式进行数据立法，捍卫其多元化社会利益。目前美国尚无联邦层面的、正式的综合性数据安全立法，但美国从联邦层面多次强调将数据作为执法优先项，并于 2019 年底相继提交国家安全和个人数据保护法提案数据保护法提案。 2018 年 6 月 28 日，美国在州层面通过第一部数据隐私法案加利福尼亚州消费者隐私保护法 (CCPA)，并于 2020 年 1 月 1 日正式生效。法案强化了数据主体对个人信息的控制权，规范了企业收集处理数据的方式。此前，在 2018 年 1 月，特朗普签署了外国情报监视法案修正案第 702 条的更新授权，延续其霸权形式的互联网监视及情报收集计划，同意授权美国国家安全局 (NSA)监听境外目标人员并收集其相关数据情报。 2018 年 3 月 23 日，特朗普签署澄清合法使用海外数据法即 “ CLOUD 法案” ，通用数据保护条例网络与信息系统安全指令联盟机构个人数据处理保护条例非个人数据自由流动条例关于 ENISA和信息通信技术网络安全认证的条例数据开放指令数据治理法 - 11 - 法案提升了美国执法机构对境外存储数据的执法权限，即无论网络服务提供商的数据是否存储在美国境内，只要是提供商拥有、控制或监管，均须按照该法令的要求保存、备份和披露。同时允许“适格外国政府”执法机构调取美国存储数据，但“适格”认定、调取规则以及上述域外数据采集要求均以美国利益为先加以制衡。 2020 年 12 月，美国颁布外国公司问责法，要求在美上市公司披露额外信息，其中包括提供符合美国证券交易委员会的审计标准的审计报告。该法律规定，如果外国公司连续三年没有通过美国公众公司会计监督委员会的审计，那么将不能在美国任何交易所上市。此外，依据美国萨宾斯 -奥克利法案，上市公司必须在审计报告中提供“内部控制”内容，通常包括网络活动、帐号活动、数据库活动、用户活动、系统登入活动以及信息接入的参数和条件等等。值得关注的是，审计报告中必须包含公司在网络安全信息基础建设中的相关内容，其审计底稿中可能需要包括关键信息基础设施的详细参数。美国实施网络监控，威胁全球数据安全。美国领导的 “五眼联盟”以所谓“维护公共安全” 为由，要求一些高科技公司在加密应用程序中插入 “后门” ，以便为 “五眼联盟”开展“网络执法行动”提供便利。英国计算机周刊网站刊文指出，此举与真正的数据安全原则背道而驰。 “棱镜门”“方程式组织”“梯队系统”等旧账未了，如今又公然要求高科技公司给自己开 “后门”， - 12 - 这进一步暴露了美国在网络安全问题上的双重标准。事实上，美国才是全球最大的网络攻击者，长期在全球实施大规模网络监控，是名副其实的 “黑客帝国”。俄罗斯联邦安全会议副秘书奥列格赫拉莫夫说，美国不断强化针对别国网络空间的侦察和破坏活动，同时还指责他国是网络威胁的主要来源。 “世界上大部分网络攻击都是由美国发起的”。美国的数据安全相关政策法律视图如图 2 所示：图 2：美国的数据安全相关政策法律视图 3 其他国家以及国际组织国际数据治理情绪高涨，配套政策出台密集。 2017 年 5 月 30 日，日本个人信息保护法修订版全面施行。 2018 年 2 月 22 日，澳大利亚隐私法修正案数据泄露通知计划正式施行。 6 月 12 日，越南通过网络安全法，对个人信息保护作出规定。美国国家安全和个人数据保护法提案数据保护法提案加利福尼亚消费者隐私保护法澄清合法使用海外数据法外国情报监视法案修正案 - 13 - 8 月 14 日，巴西批准了通用数据保护法。 11 月 5 日，加拿大个人信息保护和电子文件法修正案生效，增加了强制性数据泄露通知报告要求。 2019 年 12 月 4 日，印度内阁通过个人数据保护法案，引入了更为广泛的数据本地化要求，对包括互联网行业在内的多个行业带来全面冲击。 2020 年 5 月 14 日，新加坡通信信息部和个人数据保护委员会联合发布个人数据保护法（修订）草案，是规范个人数据的收集、使用和披露的综合性立法。为配合该法更好执行，当地还配套出台了特定领域（如电信、房地产、教育、医疗、社会公益服务等行业）的个人数据保护指南。美国主导下的亚太隐私数据跨境体系（ APEC CBPRs）在经历沉寂期后迎来实质性进展。 2018 年 3 月，新加坡加入 CBPRs 体系； 11 月，澳大利亚和中国台北的加入申请也同时获得 APEC 批准。截至目前，在 APEC 21 个经济体中，已有美国、日本、加拿大、韩国、新加坡等 8 个经济体加入 CBPRs 体系。 ODCE 经合组织也在继 2013 年 7 月发布隐私及个人数据跨境流动保护指引后，于 2019 年 11 月，发布公共部门如何实现数据驱动的报告，以促进公共部门采用更多数据驱动的方法来制定政策、提供服务，并提出关于建设数据驱动型公共部门的建议。 2020 年 6 月 12 日、 6 月 30 日、 7 月 3 日、 9 月 2 日，欧盟、丹麦、英国和法国分别启动针对 TikTok涉嫌违反 GDPR的调查。越来越多的国家对数据保护实行严格监管，这是我国企业跨国运 - 14 - 营所面临的 “头号麻烦 ”。面对数据保护处罚的威胁，不愿或无力承担合规成本的企业往往选择退出 “高风险 ”的市场，而选择坚守的企业则采取积极的应对措施降低违规风险。一些在境外运营的中资互联网企业使用第三方云服务提供商（符合 GDPR 安全标准）对用户数据进行存储和管理，并与企业分担合规责任。根据字节跳动与甲骨文于 2020 年 9 月 13 日达成的关于 TikTok 美国业务的协议，甲骨文正式作为 TikTok 可信赖的数据安全合规合作伙伴，有权对 TikTok 美国的源代码进行安全检查，从而代表美国政府解决美国国家安全问题的意志。日益严格的数据保护已对跨境投资造成了负面影响。德勤会计师事务所发布的 2020 并购趋势报告指出，在欧盟 GDPR 和美国加州 CCPA 相继实施、生效的背景下， 70%的受访企业代表认为对并购的数字资产的保护是个值得关注的问题；数据安全的合规要求对企业并购的尽职调查和并购整合而言都构成潜在的风险。美国伊利诺伊技术学院 Jian Jia 等人于 2019 年 12 月发表了论文 GDPR 与风险投资的本地化，分析了 GDPR 实施一年以来欧盟外部和欧盟内部的风险投资变动情况。结果显示，欧盟外部对欧盟的风险投资、欧盟内部成员之间的风险投资、同一欧盟国家内部的风险投资的平均单笔交易美元金额分别下降 41.89%、 35.77%和 28.02%，交易数量分别减少 26.29%、 20.71% 和 13.67%。 - 15 - 分则一、金融科技行业数据合规（一）金融科技行业数据合规现状分析不谋全局者不足以谋一隅，以史为鉴可以知兴替。 2020 年下半年起各金融科技公司上市趋势陡然放缓、金融科技公司科创板上市政策亦陆续收紧，金融科技的未来监管趋势成为业界关注的重点话题。此后，央行、银保监会围绕“金融科技的本质是金融” 这一核心观点持续发声、出台政策。回顾过往，人们会发现，这一观点并非突然而降，央行、银保监会在此之前（公开信息可以追溯至 2017 年）便多次提及。站在今天的时点，谈及金融科技的数据合规监管，必须考虑“金融科技的本质是金融”所带来的特别监管要求。本部分将从中国金融科技的发展史与监管史的对照中，对未来的监管趋势进行分析。 1 中国金融科技发展、监管史中国金融科技的发展和监管历程，可以用“ 国家队持续筑基，市场队开疆拓土，最终迎来爆发式发展，监管放管结合 ”来形容。表 1：中国金融科技各技术领域发展、监管史技术领域发展进程及监管史支付清算技术建国至改开初期，是全国手工联行的手工操作阶段。进入 20 世纪 90 年代，全国电子联行系统上线，中国进入金融科技初步发展阶段。 2000 年后，大小额支付系统等的上线运行，开启中国现代化支付系统（ CNAPS）一代时期，中国的支付清算技术从一穷二白逐步进入世界先列；随着国家队 CNAPS 一代的上线和中国电子商务的发展，第三方线上、线下支付技术自 2005 - 16 - 年开始，进入了快速发展，支付宝、微信支付、网银在线、拉卡拉、银联商务等发展迅猛。 2010 年，网上支付跨行清算系统（超级网银）率先上线， 2013 年 CNAPS 二代正式切换上线（大小额支付系统升级二代，清算账户管理系统、支付管理信息系统、公共管理控制系统上线，相关系统配套改革升级），中国的支付清算技术进入世界领先地位；国家队夯实基础的同时，第三方支付爆发式发展后， “ 跨过银联直连银行 ”“ 超大规模备付金风险 ” 被监管关注，第三方支付开始进入严监管阶段，监管推出 “ 非银行支付机构网络支付清算平台（网联平台） ” ，并于 2019 年实现第三方支付全面接入网联、备付金集中存管。征信技术 1997 年，央行筹建银行信贷登记咨询系统，企业征信技术起步； 1999 年，上海资信有限公司开始个人征信试点，个人征信技术起步。 2004 年，建设企业和个人征信体系总体方案专题报告发布，征信业建设顶层设计完成。 2005 年，全国集中统一的企业信用信息基础数据库建成； 2006 年，个人信用信息基础数据库正式运行，同年，中国人民银行征信中心成立，企业信用信息基础数据库、个人信用信息基础数据库共同构成金融信用信息基础数据库（“一代”征信系统）。 2013-2017 年，监管进行了个人征信民营试点，但最终宣布八家试点全不合格；同期，监管还进行了企业征信机构备案，总数最高到 200 余家。 2018 年开始，个人征信业务重归监管，目前仅有 2 家持牌个人征信机构：百行征信（ 2018）、朴道征信（ 2020）；同期，企业征信机构备案也处于半封闭状态，新获备案的企业屈指可数。 2020 年 1 月，二代征信系统上线，丰富了基本信息和信贷信息内容、改进了信息展示形式、提升了信息更新效率、强化了系统安全防护能力；同期，随着数据安全和合规的监管加码，个人征信机构、企业征信机构的监管政策也进入变革期。其他金融科技 20 世纪 90 年代起，招行、工行便开始了虚拟银行、现代化银行系统的金融业务电子化之路。进入 2010 年，银行、保险、证券等金融机构与支付宝等互联网机构结合，开启了金融渠道网络化时代；这一时期， P2P 的兴起、乱象、清理之路，为我们理解金融科技发展和监管演进的关系提供了很好的样本。近期，随着人工智能、大数据、云计算、物联网等科技手段应用于金融产品创新、经营方式改变、业务流程优化，金融科技已从支撑业务向引领业务方向发展，金融数据的价值将 - 17 - 更加凸显。也是在这一阶段，监管开始从金融信息安全、金融消费者保护、征信合规监管、 App 违法违规治理等多方面对金融科技加强数据合规监管。 2017 年，中国人民银行金融科技（ FinTech）委员会成立，职责包括金融科技发展战略规划与政策指引、建立健全适合我国国情的金融科技创新管理机制、强化监管科技（ RegTech）应用实践。 2020 年 3 月金融标准化技术委员会发布个人金融信息保护技术规范、 2020 年 9 月央行金融消费者权益保护实施办法通过，标志着央行以个人金融数据为首发阵地拉开了金融数据治理与监管落地的序幕。 2 中国金融科技数据合规未来监管趋势及应对策略分析纵观中国金融科技的发展和监管史，监管层对金融科技创新是持开放、鼓励的态度，愿意给新技术、新业务发展试错的空间，但同时，对于行业发展乱象、金融风险过分集聚也毫不手软。我们认为，未来金融科技数据合规监管的趋势将包括以下特点： (1)穿透监管，经营资质将成为重金融属性金融科技机构数据合规的压舱石。机构如果不仅开发、输出金融科技，还利用相关技术向客户直接提供金融性质服务，比如支付、征信、信贷等，那么持有相应经营资质则是数据合规的基本前提，没有相应经营资质，即便在技术、制度、运营方面全面达到了其他数据安全要求，也仍是非合规经营。 (2)审慎监管，善用技术、良好行业实践将成为细分行业可持续发展的数据合规路标。网贷行业以技术促进融资效率的初衷并不坏，但后期平台违规自融、买卖或违规使用客户数据、高杠杆对接金融市场等一系列坏操作，最终导致了行业的整体清理。第三方支付行业整体将技术用于促进商业发展，集聚的风险尚可化解，最后得以规范整顿后持续发展。两个行业监管的前车之鉴，明确传达了细分行业是否能够持续发展需要大部分参与者的良 - 18 - 好行业实践。 (3)监管科技，尊重、拥抱监管将是金融科技机构的数据合规路径。从中国金融科技的发展史可以看出，金融科技基本运行体制变革（联行清算制度）、基础设施建设重大飞跃（ CNAPS 一代、二代，征信系统，银联、网联）均是监管层主导下发生的，市场主体的金融科技大繁荣均得益于此。市场主体需对中国监管层在金融科技方面的了解度、前瞻性、管理思路有正确的认识和充分的尊重。在监管过程中，监管层对于某一行业暂时的未监管，有可能是在给予行业自由发展的空间，也有可能是监管紧迫度暂时靠后，但当监管风向已经吹向自己时，拥抱监管、主动合规将是明智的路径选择。 (4)双线监管，在遵守网络安全法数据安全法个人信息保护法等通用法律法规的同时，金融数据处理者还需要特别关注金融监管机构关于金融数据特别是个人金融信息处理的合规要求。在此种监管背景下，金融行业基于存款实名制等强制性义务收集的个人金融信息，将成为一种“沉默数据”；金融科技企业在处理金融数据时，需要通过充分分析数据性质、改良数据授权链等多种方式，激活沉默数据、盘活数据资产、拥抱大数据时代，面对新的挑战。（二）金融科技行业数据合规要点 1 取得相关经营资质 (1)金融类许可或备案，除了金融许可证外，常见的还有支付 - 19 - 许可、个人征信许可、企业征信备案、小贷许可、信用评级备案等； (2)电信类许可，常见的有 ICP 许可、 EDI 许可等。 2 安全等级保护和关键信息基础设施认定对于有信息系统运行的金融科技机构而言，合理地进行安全等级保护备案、及时地确定是否属于关键信息基础设施，既是数据合规义务，也是数据合规工作正确开展的基础。 3 建立数据合规制度和运行管理体制金融科技机构可以从制度制定、人员配备、体制运行等方面建立适合业务实际的数据合规体系，以做到数据合规有人管、有制度保障、有体系运行。 4 数据资产管理 (1)数据分类分级。金融机构已经有了明确的数据分类分级标准，其他金融科技机构可以参照标准对自己的数据资产进行分类分级，既方便确定合适的数据安全策略，也方便与各类金融机构合作过程中对于数据对接和通过合作机构准入的数据合规审查。 (2)数据跨境。现有监管对金融个人信息跨境有严格的前提条件，包括业务必要、客户明示同意、境外接收方为必要关联机构、开展安全评估、符合监管规定、境外机构数据安全保护能力达标、有措施确保境外机构的保密 /删除、案件协查义务等。由于业务特性，金融科技机构及其处理的数据很容易进入关键信息基础设施 - 20 - 运营者、重要数据的范围，随着数据安全法个人信息保护法的正式发布与陆续施行，金融科技机构在处理各类数据跨境时，均应当关注相关安全评估、备案或批准要求。 (3)个人信息、儿童信息保护。当前立法和监管政策对个人信息、儿童信息有更为严格和特殊的保护要求，金融科技机构在处理相关信息时应注意遵守。另外， To B 金融科技机构需要注意，由于个人信息与企业信息中高管、董事、股东信息的界定或者说分类边界并不清晰，且企业征信业务管理的相关规范还在征求意见中并未定稿，在处理相关信息时要格外注意合规问题，不能简单的以 B 端业务为由带过具体问题的分析处理。 (4)App 合规管理。金融科技机构在打造自有 App 或输出 App 产品时，要注意遵守 App 治理的相关明文规范，避免出现明确列举的 App 违法违规情形。此外，对于小程序、 H5、 web 端产品，目前的监管趋势也是参照适用、逐步纳入，建议与 App 产品统一标准、从严管理。（三）金融科技行业数据合规治理方案 1 内部治理要点数据合规在法律层面、技术层面、运营管理层面均面临不同的挑战和难点，需要自上而下的有效协同，仅仅作为单一主体（ DPO、 CDO 或 CCO 等）或部门（法律合规部、 IT 运维部门或数据合规部等）的责任很难达到机构的共同完善和整体合规。因此，建议金融科技机构建设决策层牵头、数据合规或类似部门执 - 21 - 行、全员参与的全方位、跨部门的数据协同管理体系： (1)顶层支持。数据合规负责人应具有足够高的层级和管理权限，以保障和推动机构整体对数据合规问题自上而下的严肃、积极对待。 (2)事前、事中、事后合规落地。数据合规部门事前可从数据合规培训、数据合规文化建设等方面加强全体员工的数据合规意识；事中可在业务前期即参与产品创新、业务流程设计，减少事后纠错带来的内部抵触、成本浪费；关注事后排查，定期抽检，确认既定措施是否有效落实或是否存在技术故障导致合规瑕疵。 (3)业务协同。金融科技机构在展业过程中，尤其是项目初期，经常难以在取得 “明确具体 ”的授权场景下与合作方交互数据，数据合规部门应和业务部门、技术部门协同合作，建立合理的数据处理机制，保障合规底线与数据可用性。 (4)物质保障。数据合规的落地需要资金、技术、人员等多方面的支持，金融科技机构需给予合理的保障。 2 外部治理要点金融科技机构数据合规治理除了做好自身内部建设外，外部建设亦很重要，主要包括监管、交易方、第三方机构三个方面。 (1)拥抱监管、有效合规。如前所述，拥抱监管将是金融科技机构的数据合规路径。在拥抱监管的同时，更为重要的是在监管框架下进行有效的合规建设，既不能不满足监管要求，也要避免用力过猛。比如在等保认定方面，要结合自身系统和业务的实际情况，合理认定等保级别，认定级别过低，将造成企业在网安层 - 22 - 面的主体义务履行不合规，而超越实际情况拔高等保级别，则不仅会承担过高的等保义务，在等保与 CIIO 认定标准存在一定相似性的情况下，企业还可能需要承担更高的 CIIO 数据合规义务。 (2)交易方合规管控。数据合规需从取得到流转全流程均尽审慎义务，数据流转过程中应注意协议层面各方的责任分配，要求参与方均应尽到自身合规义务。不过，业务场景中常难以核查数据提供方或数据接收方授权落实情况，此时建议在不影响客户体验的情况下，尽量在自身平台建立完整的授权结构，避免合作方不合规导致自身风险。 (3)有效利用第三方机构。数据合规的规制、评测等存在大量复杂的专业问题，这些问题全凭机构自身的力量去解决，既不现实也不经济，有效利用律师事务所、合规事务所、评测机构、科研院所等专业力量，往往可以更高效的解决企业遇到的实际问题。（四）金融科技行业数据合规法律法规焦点问题 1 个人征信数据“断直连”对金融科技市场侧的影响今年 7 月，央行征信管理局要求平台、金融机构就个人信息全面 “断直连 ”，即过渡期后平台不得将个人信息直接提交金融机构，而要通过 “平台 -征信机构 -金融机构 ”的路径提交。考虑到目前个人征信机构仅有两家，其监管路径和对后续市场格局的影响，将与当年第三方支付机构断直连十分相似。目前，业界大体有两个应对路径，一是寻找征信机构合作，一是通过个人直传（比如 H5 直跳银行界面）。前者对现有市场格 - 23 - 局和交易结构影响较大，对科技平台的科技和数据实力要求更高；后者则面临客户体验较差、再次被监管禁止等风险。相比较，前者更为长远。需要注意的是，本次断直连仅涉及个人信息，主要针对消费金融，暂不涉及企业征信信息。但考虑到征信业务管理办法正在征求意见，其对企业征信信息、企业征信业务的范围作了较大范围的扩充，一旦通过，企业征信断直连亦非不可能。建议端机构早做打算，尽早研究征信机构合作业务模式，或者依业务情况申请企业征信备案。 2 网络安全审查办法修订对金融科技资本侧的影响网络安全审查办法修订特别增加了超百万用户的运营者在国外上市需网络安全审查的规定，且近期亦有消息指证监会拟将所有红筹 VIE 架构纳入监管。如果上述措施落地，金融科技企业美国上市之路将难度大增。针对此项变化，业

展开阅读全文