数字经济时代，银行难掩“数据”之渴。

        “银行正在失去获客的阵地，金融不再发生在我们的网点，金融发生在场景中。”有业内人士如是说。

        与头部互联网平台、政府机构合作将成为银行重要的破局方式。但随着数据安全与个人信息保护被提上立法议程，各家金融机构从合作平台和用户处获取数据或将被监管高度关注，合规难度可能增加。

        国家金融与发展实验室副主任曾刚向证券时报·券商中国记者表示，未来对数据权属的明确，或将对整个金融体系的数据中后台建设带来根本性影响，金融机构的数字化路径可能发生改变。

        不同立场之间的博弈

        传统业务模式中，银行主要依靠客户自身主动提供和上门访谈获取信息。步入数字经济时代，银行的业务模式已逐步转向围绕数据来展开。“有了数据之后，就可以精细用户画像，业务更能够实现精准营销，也就是获客。”有银行从业人员表示，现在最重要的就是获取数据，然后通过数据找到客户、识别客户。

        然而，随着数据重要性不断提高，想尽办法获取数据的银行也被部分用户指责“过度收集个人信息”。与此同时，涉嫌侵犯个人信息的合规性风险也在增加。据移动支付网发布的《中国个人金融信息保护执法白皮书2020》不完全统计，央行在今年开出的行政处罚罚单中，案由涉及“个人金融信息”的共181张，涉罚金额合计超过1.8亿元，处罚对象包括银行、证券公司、支付机构、消费金融公司等。

        从监管处罚的情况来看，无论是处罚金额还是频次上，银行都是涉罚“大户”。从银行类型来看，涉及“个人金融信息”的相关处罚包括国有大行、股份行、城商行、村镇银行以及信用社等。也即是说，银行在这类相关违规问题上具有普遍性。

        部分业内人士认为，个人信息收集泛滥也是市场在便捷性和信息保护之间进行博弈后的选择，而用户作为个人信息的拥有者，也是促成这一结果的“合谋者”之一。“当前，我国民众之所以能够享受高度便利的金融支付服务，很大程度上都是用自身信息安全换来的。”有行业研究人士直言，“国人也习惯了用一定隐私的暴露来换取生活上的方便。”

        用户到底是愿意让渡隐私，还是缺少选择权?亦有不同解读。有法律人士告诉记者，用户牺牲个人的一些隐私去换取可享受的消费服务多半可能是被迫的。“自然人并没有主动愿意牺牲个人隐私去换取享受的便利，很多时候是被动的。”

        上述法律人士进一步表示，这也是立法导向的结果。“从立法角度而言，目前国内的法律体系在保护个人隐私方面不够完善、力度不够大”。

        数据权属待明确

        从某种程度上来看，不同立场之间博弈的，其实是对数据权属的争夺。

        “目前，各国法律似乎还没有准确界定数据财产权益的归属，大型科技公司实际上拥有数据的控制权。”银保监会主席郭树清日前发表演讲时表示，中国政府已明确将数据列为与劳动、资本、技术并列的生产要素，数据确权是数据市场化配置及报酬定价的基础性问题。

        对数据权属的讨论由来已久。浙江大学光华法学院互联网法律研究中心主任高艳东近日撰文称，郭树清恰好点中了当前数字经济的命门：权属未定，产业迷茫。

        有律师向记者表示，目前数据权属迟迟无法明确的主要争议在于：经过企业处理形成的个人数据归谁所有?“例如，企业认为，针对用户的个人画像是凝聚了一定投入成本的产出物，所有权应该在企业。但如果这个数据指向用户个人，被用于向用户精准营销，用户是否有权要求企业删除该数据呢?”

        数据权属问题也受到金融行业的高度关注，尤其对于正在数字化道路上探索的金融机构而言，明确其权利归属所产生的影响或许更加深远而重大。曾刚认为，未来对数据权属的明确，或将对整个金融体系的数据中后台建设带来根本性影响，金融机构的数字化路径可能发生改变。

        例如，数据权属的明确将对数据使用权进行界定，或将决定金融机构的数据使用范围。曾刚对记者表示，在当前数据使用权尚未明确的背景下，数据的实际控制权在大型科技公司手上，这导致了金融机构朝着这些垄断流量、垄断数据的头部场景靠拢，数据资源也进一步向它们集中。

        “这是因为目前对数据的使用是没有限制的，也就是企业实际掌握数据的控制权。”曾刚进一步解释，在这样的前提条件下，各行各业的数字化转型基本上围绕这些掌握数据的企业展开。“换句话说，由它们去为金融行业赋能，实际上就是基于它们所掌握的庞大数据量，说是技术赋能，但技术谁都有，数据才是最核心的”。

        外部合作数据引关注

        据了解，银行业的数据可以笼统分为来自内部体系和外部接入的数据，得益于银行较为规范的内控体系，内部数据的保管较为严谨，接入外部数据这一合作模式则受到更多关注。

        有大行人士告诉记者，银行内部对个人信息的保管制度已经较为完善。具体而言，在客户资料的保管上，客户经理必须要设置密码对其进行保管。“这方面管理很严，也会定时检查与抽查，甚至搞突袭检查。”此外，银行内部也规定了员工不能在内部单独查询客户信息，如果需要查询必须在说明理由后由主管授权。同时，主管不能操作柜员的系统。

        不过，宁人律师事务所金融与科技委员会副主任马军认为，银行这方面的内控仅侧重信息保管方面，而对个人信息数据的使用仍缺乏完善的制度体系。马军介绍，银行需要满足网络安全等级保护测评的要求，俗称“等保测评”，“但这个测评侧重于技术层面，对法律合规性层面缺乏要求”。

        但随着法律法规的完善，银行业在外部合作的数据获取与使用上，可能会获得监管更高的关注。曾刚告诉记者，“未来如何强化对合作方的管理以及满足外部数据合规性审查等，也可能是未来银行需要重点考虑的问题。”

        “近年来，银行在互联网端的业务发展迅速，内部数据很难完全满足展业需求，因此一直在拓展场景、接入外部数据。目前，银行通过自建场景获取的数据还比较少，更多的还是与主流的头部互联网平台进行对接以获取数据。”曾刚举例，比如现在广泛讨论的“开放银行”，在与场景方对接的过程中，如果外部接入的数据提供方无法满足数据安全和保护方面的合规要求，就可能将合规风险传导到银行。

        “所以，强化合作的外部数据提供方可能是银行下一步要去重点关注的。”曾刚建议，银行在选取合作方时，可通过建立白名单等方式严格准入要求，同时在使用数据时也要紧紧围绕监管要求来展业。

《电鳗快报》