作者: 金杜律师事务所

数据行业面临重大的洗牌和重整。截止到2019年10月,已经有数十家大数据公司遭到调查或被列入调查名单,其中甚至包括曾经的头部企业。部分大数据公司的负责人或业务人员被警方带走配合调查。多家数据公司已经暂停其数据爬取业务。与此同时,央行2019年10月初出台《个人金融信息(数据)保护实行办法(初稿)》,目前已经下发给各银行征求意见。该规定预计将会给整个银行金融机构现有的风控操作带来巨大变化。几乎同时,上海市政府于2019年10月1日起正式实施全国首部针对公共数据开放的地方政府规章《上海市公共数据开放暂行办法》。多种信号相结合,我们有理由期待一个全新的金融风控及个人信息收集、使用的行业格局。

根据部分媒体的观点,近期执法对象多涉及为金融(科技)行业提供类征信个人数据,尤其是作为网贷风控工具,不少平台实际接入高炮平台。而此次整顿的执法机关为公安机关,而非个人信息保护的监管机关。执法的起因为部分个人信息被用于贷后催收,以致发生命案,从而使得公安向前溯及查处个人信息的来源及用途。并有分析指出此轮大清理,与公安部门高压整治套路贷等金融犯罪行为更为相关。[1]

在此轮被查处的公司中,大都涉及如下行为:

  1.  非法爬取个人信息: 不少被查处的企业都对外提供爬虫服务,可以为金融机构爬取个人信息作为其风控数据。这些企业本身具有爬虫的技术能力及专门团队,能够利用技术手段多方爬取收集相关个人的信息。
  2. 非法买卖及提供个人信息:目前不少数据公司虽然以向金融机构提供数据分析的技术服务为主要业务,但在竞争态势下,事实上没有数据源本身的公司很难再竞争中获得优势。因而这些公司大都都会提供数据源本身,为金融机构提供综合的“解决方案”式的服务。这就会牵涉到对数据的买卖和对外提供。
  3. 个人信息被非法利用并引起后果: 例如个别网贷公司为催收借款人还贷,不仅通过从数据公司获得电话、家庭住址等对个人进行联系骚扰,甚至还有公司将借款人个人通讯录中的联系人信息用于催收还贷,在借款人社交网络中形成压力。有的甚至造成被催收的个人发生自杀等恶性事件。

目前我国的刑法中规定有侵犯公民个人信息罪,所规制的行为包括非法获取个人信息,以及非法向他人提供或出售个人信息两个大类。

这些行为分别对应了我国目前刑法中第二百五十三条【侵犯公民个人信息罪】中的不同情形。[2]其中非法爬取个人信息会构成“窃取或者以其他方法非法获取公民个人信息”,买卖个人信息会构成非法获取个人信息及向他人出售公民个人信息。所提供出去的个人信息如果被非法利用,则会构成所谓的“情节严重”,从而直接导致定罪量刑的不同。

值得注意的是,爬虫在互联网技术圈内实属寻常的工具和手段。因而其利用也十分普遍。但是爬虫用于爬取个人数据时却会存在较大的违法甚至犯罪风险。

此外,我国目前法律也规制为合法经营活动而购买信息的行为。这为广大金融机构的经营带来了很高的合法性风险,使得其不得不谨慎评估其与第三方数据服务机构的协议是否合法。例如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)利用非法购买、收受的公民个人信息获利五万元以上的;

(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

(三)其他情节严重的情形。”

与此同时,央行下发《个人金融信息(数据)保护实行办法(初稿)》,目前已经下发给各银行征求意见。根据央行《中国人民银行2019年规章制定工作计划》的规定,该保护办法应为本年度工作计划范围内。因而,业内人士推测离正式发布可能为期不远。

据称,其中第十二条规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息”。第十八条规定:“金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意”。这些规定击中了目前金融机构较为常用的个人信息的授权模式,因而可能导致金融机构不得不大幅调整现有的风控模式。

另外,据称《办法》中还规定了,除了依法设立的征信机构之外,未经人民银行批准,任何单位和个人不得从事个人金融信息的收集处理工作,以及对外提供个人征信业务。

金融机构通常能够获得其被服务的个人的授权,收集其相关个人信息用于风控及服务之目的。因而金融机构及第三方数据服务机构会认为在其在收集该等个人信息时,是得到了数据主体的授权。然而,该等个人可能难以在授权时了解金融机构将以何种方式收集其信息,以及收集的是哪一些信息。而数据服务机构在接受金融机构委托向其它渠道收集该等特定个人的信息时,事实上通常并未获得有效的该等特定个人的明确知情、授权和批准。而收集的范围也可能大大超出了服务提供所需要的范围。这种模式违反了目前我国个人信息保护体系的基本原则,如果再央行的规定中进一步明确,将使得这些存在争议及定性不确定的行为明确地被认定为违法而被予以禁止。

如果按照这样的规定,可以预见今后金融机构无法再以低成本及较为省事的方式与第三方数据公司签署服务协议,一揽子获得其提供的低价有效的服务。而必须只能向国家批准设立的征信机构采集数据。

同时,上海市率先正式实施《上海市公共数据开放暂行办法》。该暂行办法以促进和规范公共数据开放和利用,提升政府治理能力和公共服务水平,推动数字经济发展为宗旨,确立了政府将以“需求导向、安全可控、分级分类、统一标准、便捷高效”的原则将其所掌握的公共数据进行公开共享的基本体系。

所谓需求导向,是指政府将会把与民生紧密相关、社会迫切需要、行业增值潜力显著和产业战略意义重大的高价值公共数据,应当优先纳入开放重点。所谓分级分类,是会把公共数据分为非开放类、有条件开放类和无条件开放类等几种类型,实施不同的开放条件和监管措施。未来,政府会将公共数据首先进行标准化,使得公开的数据为具备原始性、可机器读取、可供社会化再利用的数据集。未来,市民及企业可以通过政府的数据平台便利地通过下载、接口调用等方式直接使用公开可得的数据。

今年早些时候,北京市经信局发布《关于通过公共数据开放促进人工智能产业发展的工作方案》,以及就《北京市公共数据管理办法(征求意见稿)》广泛征求意见。可以预见也将在不久的将来加速对政府公共数据的开放共享。而全国多个省市也已经推出公共数据平台逐步开始开放相关数据。

这三个貌似没有关联的不同政府部门的行动,却似乎向我们勾勒出一副明日的数据行业图景。从数据法律的���构来看,数据资源在我国更可能将作为一种公共资源的形式存在,由政府主导进行数据的整合、汇总、共享、标准化和统一,以较低的成本和可控的方式提供给各行业使用,使得数据资源在中国的流动是低成本的、统一的、安全的并受到规范和有效控制的,从而促进数据资源在未来的智能化进程中助力各行业的发展,并在数据流动、利用以及公民个人信息保护的不同诉求间取得平衡。

作为第三方数据服务公司,通过积累爬取个人原始数据而获得竞争优势的时代或许将一去不复返。今后的竞争优势可能会更加建立在数据梳理、清洗、加工等的技术手段方面。有不少公司已经在通过各种技术手段开创新的数据处理方式,通过技术保障个人信息受到保护的前提下的数据有效处理。这无疑会是另一轮新的发展机会和方向。

而作为数据产品需求方的包括金融机构在内的各行业企业,也必然将在法律框架内尽到尊重和保护个人信息的法律责任。这可能带来额外的成本和代价,但我们每一个主体都身在其中,这是保证整体社会福祉以及行业健康长远发展所必须支付的对价。