“数”年快乐——万字长文说“数据融合”
前言
新年伊始,金杜网络安全与数据合规团队为大家带来关于数据融合的万字长文。祝愿金杜的新老朋友在鼠(数)年,做到风险心里有“数”,财富“数”不胜“数”,成为行业内“数”一“数”二的标杆!
正如我们在前文《平安夜里说平安——“数据资产”的误区与合规条件》中提到,在当前数据价值被广泛认知并逐渐形成数据资产的前提下,企业无论通过爬虫等自动化收集工具获取公共互联网的公开信息,或是与第三方数据源通过Open API等方式共享数据面临的成本都日益提高。此外,数据本身的不同属性(个人信息、重要数据等)使得数据外部共享受到多执法机关的关注和交叉监管,企业获取外部数据的合规风险也面临着不小的挑战。
因此随着企业获取外部数据成本和风险的增加,企业对于自有数据的深度挖掘显得尤为重要,企业内部“数据共享”、“数据打通”甚至“数据融合”已经成为企业数字化转型或者发挥数据资产价值最大化的重要工作。然而值得注意的是上述工作并不仅仅是通常理解的建立数据中台,完成技术上数据无条件共享和互惠,而应当是在符合法律法规及行业监管要求的前提下,从数据融合的商业逻辑和数据合规等多个角度构建的大工程。
本文将从数据融合的定义、涉及的常见法律问题和合规建议三方面,详细的和大家探讨数据融合的路径和合规要点。
一、数据融合的定义
尽管数据融合已经成为企业数据化战略中的常见表述,但对其具体的内涵目前尚未有统一的定义。不同的研究、讨论中对相关概念的内涵和外延解释并不相同。有研究认为,数据融合是通过表达手段和工具将不同来源的数据进行整合,以获得更高质量信息的一种形式化框架(data fusion is a formal framework in which are expressed means and tools for the alliance of data originating from different sources. It aims at obtaining information of greater quality)。[1]GB/T 36625.1-2018《智慧城市 数据融合 第一部分:概念模型》指出在智慧城市的场景下,会“通过采集与汇聚不同种类、不同来源数据,依次通过数据描述、数据组织和数据交换共享三个过程实现数据融合的功能,最终通过数据服务对外提供数据检索和展示等功能”,也就是说数据融合概念模型包含了(1)数据采集、(2)数据描述、(3)数据组织、(4)数据交换与共享和(5)数据服务共五个部分及(1)数据资产和(2)开放共享两个支撑要素。
从数据融合的实践来看,既有以政府公共数据为基础的数据融合如智慧城市、也有企业作为私主体开展数据融合、挖掘数据价值如数据中台。就基于公权力机关主导的如智慧城市、金融全行业的数据融合我们未来会专门撰文探讨和分享,以下是企业开展数据融合较为典型的场景:
场景1示例:
电商平台A公司,除传统的电子商务平台服务以外,同时会通过平台向用户提供小额借贷服务。为了提供更精准的服务,A公司希望可以打通两条产品线的数据库,根据用户的消费能力和消费习惯调整贷款额度、贷款利息。
场景2示例:
B集团内的众多子公司分别从事银行、保险、证券、信托以及其他实业业务。基于用户申请贷款前的金融风控目的,B集团将下属众多子公司收集的多类数据相结合用于资信调查、反欺诈等多个目的。
场景3示例:
C和D公司经营各自的在线视频网站,为提升网站个性化推荐的准确性和广告效益,与X公司竞争,两家公司决定共享用户数据形成更为精准的用户画像。
本文将重点分析上述场景1和场景2情况下企业内部数据融合的场景以及可能涉及的法律问题,[2]包括但不限于:
二、数据融合涉及的常见法律问题
(一)数据融合的范围确定:数据融合的行业主体限制要求
以银行业为例,在大数据技术应用等背景下,数据共享成为了最受关注的问题。例如,为满足客户风控目的的需要,银行通常会通过自建数据中台汇总行内各业务条线的客户信息,以形成客户金融风控的画像并确定行内对该客户的统一授信额度或金融评分。
除了接受集团各业务条线的委托处理客户信息以外,科技子公司可能还会以自己的名义对外提供数据融合以后的产品。[7]因此,科技子公司作为集团外的第三方可能被定为共享客户信息的数据控制者。相对于C-P模式而言,C-C模式下使得将融合数据用于新的用途成为可能。
1. 个人信息融合的用户授权同意
三、 企业数据融合的建议
在各行各业普遍考虑对公司内外部数据融合的当下,金融行业更是将数据向第三方开放和共享作为未来推进开放银行发展的前提条件[12]。企业数据融合后的巨大潜力也吸引公司纷纷开展数据中台的搭建工作。但如上所述,即使是更为简单的企业内部数据融合也应当是需要技术部门、法律合规部门与产品部门通力协作、集团内部关联公司达成共识、商业逻辑和合规框架并存的大工程,需要公司领导统一思想、大力支持才能完成。
针对企业数据融合的常见问题,我们进一步建议:(一)原始数据溯源及合规对企业而言,数据的采集是数据融合的始点,采集数据质量的高低会直接影响企业开展数据融合的成本和合规风险。“错误数据、异常数据、缺失数据等‘脏数据’产生”[13],影响数据的完整性和准确性,还可能给全局数据的融合互通造成实质性障碍。因此我们建议企业:以普遍适用的法定义务合规性为评估起点、结合所处行业的监管要求对数据的收集、使用、存储和共享等全生命周期的对存量数据的产生/收集过程和利用方式的合法合规性进行评估。 制定并实施统一的数据采集标准和统计口径,以避免在后续数据融合场景中出现对“同一数据源在不同关联公司的表述不同”或“看似相同的数据实际含义大相径庭”[14]的情况,保障数据的一致性,为不同业务线或关联企业间的数据融合和分析奠定良好基础。
就分类而言,企业应当根据收集数据的主体、收集数据的业务、具体的数据收集场景、收集数据的类别、具体的数据字段逐层对数据进行分类;此外企业在对数据分类的时候还应当依据普遍适用的法律合规要求和行业特定的监管标准对数据的合规性进行评估,并将是否合规作为数据分类的标签之一在分类结果中进行体现。 就分级而论,企业需要在数据分类的基础上结合数据的信息内容、数据的敏感程度、数据的法定和约定保密性等情况,对数据的安全属性进行评级。 最终企业需要以数据分级分类结果为依据,在综合考虑数据本身的价值、平衡数据安全性和商业价值的基础上合理划定数据融合的原始数据范围。[16]
从数据融合与集团原有业务的关联性而言,数据中台模式由于建立在企业内部,通常会更加强调与业务的协调和匹配企业自身的业务需求,因此如果企业开展数据融合的主要目的是为了企业自身的业务运营服务,数据中台的模式可能更有助于实现数据与业务的融合、并及时贴合业务需求进行相应调整;而相比之下,科技子公司模式下,由于科技子公司与提供数据的关联公司之间是相互独立的实体,二者之间的关系更类似于数据服务提供者和数据服务使用者,因此在与集团内关联企业沟通、了解服务需求方面可能会稍有劣势。 从数据价值的商业化利用和技术能力角度来看,数据中台模式主要是作为企业内部的辅助者,为企业自身的数据处理和使用提供技术支持;而科技子公司除了向集团内的关联企业提供数据服务和技术赋能外,更多地是依托于集团内丰富的数据资源,作为独立主体提供数据产品和技术产品,实现数据价值的输出。以金融行业的科技子公司为例,根据零壹智库所发布的《商业银行科技战略案例库》,部分股份制银行已“将金融科技提升到总战略高度”[17],并将科技子公司作为推进技术成果落地应用的重要窗口。在这种情况下,对科技子公司的技术能力也相应提出了更高的要求,因此企业在选择数据融合的具体模式时,还需要考虑现有的数据技术能力。 除此之外,企业自身所处的行业以及数据监管的强度也是应当纳入模式选择中的考量因素之一。通常而言,如果企业或其关联公司所处的为强监管的行业或者在业务开展过程中涉及较多的敏感数据、保密性数据,则在企业内部建立数据中台开展数据融合的合规性风险可能会低于将数据提供给第三方科技子公司用于数据融合的情形。
(四)商业模式的搭建
从合规角度来看,数据融合的商业模式搭建需要满足必要性原则,即企业需要从消费者的视角建立数据融合与为消费者提供服务的直接关联。
建立统一账号或会员机制是实现多业务线数据或关联实体间数据融合必要性的重要路径之一,但并不是唯一的途径。企业应当充分考虑业务的特性,从数据融合后可能为用户带来的增值利益出发研究数据融合的商业逻辑,同时激励用户额外授权同意企业整合并分析其数据。
(五)多主体对于数据融合变现的利益
数据融合各方能够主张各自对数据融合变现的利益主要有两项依据:
其一是原数据持有方(如集团内业务部门或关联公司)作为原始数据的持有人参与了数据融合项目,且其所拥有的原始数据在项目中对于数据融合后商业价值的提升做出了相应的贡献;在这种情况下,汇总数据的承接方(如科技子公司)可能需要结合对各业务部门或关联企业所持有的参与数据融合项目的原始数据进行价值评估,其中价值评估既需要考虑原始数据的绝对价值,也需要考虑其在数据融合项目中可能贡献的相对价值,并以评估结果为基础通过协商最终确定该部分的利益分配。
其二如我们在前文所提示,实现数据融合的商业模式中满足必要原则且用来激励客户授权同意的权益往往是由原数据持有方向客户提供,集团内业务部门或关联企业可能需要付出相应的成本,我们同时建议在约定变现利益的分配时对于该部分有所体现,作为集团内业务部门或关联企业投入成本的反馈或补偿,以维系整个商业模式的良好平稳运转。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
李沅珊
主办律师
合规业务部
张乐健
律师助理
合规业务部
查看往期相关文章,请点击以下链接:
[1] Wald, L., 1998. Data fusion: a conceptual approach for an efficient exploitation of remote sensing images. In: Proceedings of the 2nd conference "Fusion of Earth data: merging point measurements, raster maps and remotely sensed images", published by SEE/URISCA, Nice, France, pp. 17-23
[2]考虑到相比于公司内部或与关联企业间的数据共享,与集团外第三方共享数据在安全保护和使用用途等方面更加难以管控,因此可能需要采取更为严格的事先数据安全影响评估以及对第三方提出有关共享数据安全保护和使用限制的严格义务要求。
[3] 《证券基金经营机构信息技术管理办法》第三十四条规定,除法律法规和中国证监会另有规定外,证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息,不得以任何方式向其他机构、个人提供客户信息。
[4] 依据《人类遗传资源管理暂行办法》第四条,国家对重要遗传家系和特定地区遗传资源实行申报登记制度,发现和持有重要遗传家系和特定地区遗传资源的单位或个人,应及时向有关部门报告。未经许可,任何单位和个人不得擅自采集、收集、买卖、出口、出境或以其他形式对外提供;依据《医疗机构病历管理规定(2013版)》第十五条,为患者提供诊疗服务的医务人员,以及经卫生计生行政部门、中医药管理部门或者医疗机构授权的负责病案管理、医疗管理的部门或者人员外,其他任何机构和个人不得擅自查阅患者病历。
[5] 依据《信息安全技术 个人信息安全规范》第8.1条的要求,个人信息控制者委托处理个人信息时,应要求受委托者:1)严格按照个人信息控制者的要求处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;2)如受委托者确需再次委托时,应事先征得个人信息控制者的授权;3)协助个人信息控制者响应个人信息主体提出的请求;4)如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;5)在委托关系解除时不再保存个人信息。
[6] 依据央行2019年7月26日发布的《金融控股公司监督管理试行办法(征求意见稿)》第二十二条,金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源,发挥协同效应。金融控股公司可以在集团内部建立金融控股公司与其所控股机构之间、其所控股机构之间的协同机制,对集团各项资源进行合理配置。在开展业务协同时,金融控股司、其所控股机构应当依法以合同等形式明确风险承担主体,防止风险责任不清、交叉传染及利益冲突。此外,第二十三条还规定,金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权,防止客户信息被不当使用。金融控股公司所控股机构在提供综合化金融服务时,应当尊重客户知情权和选择权
[7] 以银行科技子公司为例,其术输出方式主要有软件输出、云平台输出、开放平台输出、咨询服务输出四种模式。参见,重磅!6大银行金融科技子公司,有了这么多大布局!,搜狐,http://www.sohu.com/a/313232984_670374。
[8] 参见《个人信息安全规范》第8.2(e)条。
[9] 参见《个人信息安全规范》第5.5(b) (2)条。
[10] CNIL认为,Google各类文件中关于目的的描述如“在内容和广告方面提供个性化服务、确保产品和服务的安全、提供和开发服务等”,在实施处理范围及其后果方面过于笼统。且数据收集的描述也分散在各文件中,描述也模糊,因此不准确也不完整。
[11] 关于保存期限有一类为“由于特定原因,信息会长时间保存”,这种表述并没有表明任何明确的期限或用于确定该期限的使用标准,该表述违反了GDPR规定必须提供的信息。参见朱玲风,从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点),https://mp.weixin.qq.com/s/G3kU1rE72lyP2LwOmO8uIw(最后访问于2019年5月9日)。
[12] 开放银行(Open Banking), 根据Gartner的定义,是指在法律和监管保障数据安全性的前提下,银行通过开放客户账户信息系统等方式,向已经授权可信第三方服务商及其他合作伙伴等共享数据、算法、交易、流程和其他业务功能的模式。解决好数据共享带来的问题和挑战,是开放银行能否成功的关键。
[13] 《李伟:做好数据治理 更快更好地推进数字化转型》,http://www.cs.com.cn/xwzx/hg/201912/t20191202_6004216.html,2019-12-27。
[14] 《李伟:做好数据治理 更快更好地推进数字化转型》,http://www.cs.com.cn/xwzx/hg/201912/t20191202_6004216.html,2019-12-27。
[15] 《网安法》第二十一条第(四)项。
[16] 例如,根据我国台湾地区《金融控股公司子公司间共同营销管理办法》第 11 条的规定,金融控股公司子公司间交互运用客户资料时, 如果没有法令的另外规定,或者经客户签订契约或书面明示同意者,所共享使用的数据不得包含客户姓名或地址以外之其他数据。
[17] 《8家股份制银行科技战略布局:对内成立金融科技子公司,对外寻求合作》,http://www.01caijing.com/finds/report/details/254484.htm,2019-12-27.
感谢关注金杜研究院