经济观察网 胡群/文 “数据已成为金融数字化转型的基础性、战略性资源。”中国人民银行副行长范一飞发表在《金融电子化》2021年10月刊上文章显示，从“千人千面”的创新产品设计到“一人一策”的金融服务模式，从“去芜存菁”的业务流程优化到“除险保安”的风险安全防控，金融创新发展始终离不开数据的有力支撑。金融机构要高度重视数据工作，充分释放数据潜能，点燃金融数字化转型的“数据引擎”。

然而，数据要素广泛分布于银行、互联网公司、政府部门等众多机构中，它们都有隐私和安全的需求，要释放数据潜能并不容易。随着人工智能在各行业的应用落地，人们对于用户隐私和数据安全的关注度不断提高，用户更加关注隐私信息是否未经许可便被他人出于商业或其他目的而利用，甚至滥用。近年随着相关法律法规的进一步实施，已有很多互联网、金融机构等企业由于泄露用户数据而被重罚。

“为了获得平台公司的金融服务，中国的消费者往往需要向其提供个人信息。大型平台公司存在过度收集、甚至滥用消费者信息的情况，不利于消费者信息安全和隐私保护。”10月7日，中国人民银行行长易纲在在国际清算银行（BIS）监管大型科技公司国际会议上称，自2016年起，中国陆续出台了《网络安全法》《数据安全法》和《个人信息保护法》，着手治理信息收集和“霸王条款”，督促金融机构严格按照合法、正当、最小必要原则收集、使用和保管用户信息，充分保障个人隐私和消费者知情权、同意权、异议权、投诉权等合法权益。人民银行刚刚发布了《征信业务管理办法》，在征信领域规范了个人信息保护及信息主体各项合法权益。下一步，人民银行将在确保个人隐私和数据安全的前提下，探索实现更精准的数据确权，更便捷的数据交易，更合理的数据使用，继续激发市场主体活力和科技创新能力。

在这样的背景下，组织收集和分享数据越来越困难，尤其高度敏感的数据（如金融交易数据和医疗健康数据等）拥有者也会极力反对无限制计算和使用这些数据，数据拥有者只允许这些数据保存在自己手中，进而会形成各自孤立的数据孤岛。如果数据不能共享，可以保证数据对外不可见，但也不利于数据经济价值的发掘。如何在遵守更加严格的、新的隐私保护条例的前提下，解决数据碎片化和数据隔离问题？

“跑马圈地”时代已结束

大数据时代，数据已经成为个人或企业的核心资产，数据资产化趋势明显。数据将会对互联网、金融、医疗、政务等多个行业的发展发挥越来越重要的作用，在推动经济发展的同时也在带给社会更多的便利，但数据的不当使用也会带来对用户隐私的侵犯。近年来数据泄漏事故频发，数据安全和隐私保护问题引起了全球的关注。

在金融领域，近年监管机构已对多家金融机构就消费者权益保护体制机制不完善等问题进行处罚。如今年6月15日，中国银保监会消费者权益保护局发布《关于马上消费金融股份有限公司侵害消费者合法权益的通报》，通报指出，《隐私政策》收集客户信息不符合“必要”原则，如向客户收集“短信记录”，未对收集的通话记录、设备、地理位置等信息进行时间限定和范围限定。

“过去大家在数据收集与应用上缺乏规则约束，我们也让子弹飞了一段时间，但那种放任自流的发展方式已经不适用当前的形势，建议大家尽快梳理不符合《网络安全法》《数据安全法》《个人信息保护法》以及《征信业务管理办法》的业务，分清轻重缓急，做好整改工作。”10月10日，在新金融联盟举办了“新法规下金融机构的数据合规应用”研讨会上，一位监管部门代表表示。

“当前滥用数据、扰乱市场秩序问题已经非常严重。对此，金融管理部门将研究出台金融业数据应用规划和能力建设的指引，明确数据架构、分级分类、共享应用、隐私保护等相关的标准和管理措施。”2021年1月9日，中国人民银行科技司司长李伟在新金融联盟举办的“金融数据治理与个人信息保护”内部研讨会上表示，近年来，一些机构违规滥用数据、扰乱市场秩序、侵犯消费者权益，引发一些突出的问题。一是数据垄断。有的企业凭借电商、社交媒体、游戏等领域积累大量用户群体和渠道优势，把持流量入口，通过一些霸王条款过度采集数据，成为数据寡头、搞赢者通吃。二是不正当竞争。有的企业有了数据等于有了筹码，就会出现妨碍公平竞争、攫取超额利益等现象。一些金融机构在数据合作中失去话语权，不正当竞争就此形成。三是数据“绑架”。有的企业没有得到用户授权就肆意开展用户画像，然后进行“大数据杀熟”、过度营销和诱导消费。通过用户画像进行定制推送，侵犯金融消费者的知情权、选择权和隐私权。

人民银行发布的《中国金融稳定报告2021》显示，近年来，科技与金融深度融合，对金融市场、金融机构和金融业务模式产生深刻影响。随着金融新业态蓬勃发展，交叉性金融产品与服务不断增加，金融风险跨行业、跨市场、跨区域交叉传染的风险上升，金融消费者面临的信息不对称、信息泄露、信息欺诈等问题加剧，金融消费纠纷快速增长，涉众类案件时有发生，不利于经济金融和社会稳定。加强金融消费者权益 保护是新发展阶段防范化解金融风险的客观需要。

移动互联时代，随着越来越多的数据产生，用户隐私保护日益成为市场及监管机构关注的热点，当前，仍有部分数字科技类企业强制或在用户不知情时开放与其提供的服务毫不相关的各种手机权限。随着数据安全合规的监管日益严格，“知情”、“自愿”、“适度”、“必要”等限制性要素将成为每一家数字科技公司收集客户信息的原则。

对于正在积极进行数字化转型的金融机构以及金融科技来说，数据安全、数据管理已成为合规议题，《数据安全法》以及将于11月1日起施行的《中华人民共和国个人信息保护法》等个人信息数据相关领域的法规不断完善，金融机构的数据管理也面临新的挑战。

“数据治理监管的重点，一是数据采集的规范性，明示数据用途，坚持‘合法、正当、最少、必要’原则；二是对个人隐私的保护，如须加工必须保证脱敏处理，非经特别授权不可被恢复；三是算法、模型须可审计可监督，且符合伦理道德、非歧视。四是保护消费者利益，保障客户有质询、申述渠道。”6月10日，中国财富管理50人论坛学术总顾问、清华大学五道口金融学院理事长吴晓灵代表《平台金融科技公司监管研究》课题组成员答记者问时表示，信息技术和数据的合法合规应用，关系到行业与市场的健康发展。监管部门在维护市场公平竞争、防范垄断、保护公民隐私方面有必要建立一套合理、有效的监管机制，并通过监管科技的运用，有效保护合法竞争、坚决防范系统性风险，为市场各参与方保驾护航。

如何保护隐私？

科技创新既是金融业发展的动力，也成为了新的风险来源。普华永道发布的《中国金融科技调研2020》指出，政府应对金融科技进行适当监管，避免野蛮生长和套利创新。 其中，规范个人隐私和数据安全尤为重要。

今年3月，在国新办举行的新闻发布会上，国家互联网信息办公室副主任杨小伟表示，全国范围内深入实施《网络安全法》，进一步加强在政策、法律、监管多方面因素的统筹协调工作，加紧制定出台《数据安全法》《个人信息保护法》，从而在法律层面为数据安全和个人隐私保护提供法律保障。

“规范金融机构营销宣传和信息披露。”《中国金融稳定报告2021》指出，下一步将健全金融营销宣传行为监管体制机制，完善智能高效的金融广告监测体系，提高金融营销宣传行业自律意识。继续以综合执法检查为主、专项检查和行政调查为补充开展金融消费权益保护执法，加大信息披露、消费者金融信息保护、金融营销宣传等重点领域执法力度，强化数字技术监管手段。加强金融消费者权益保护评估工作及结果沟通，深化评估结果运用。

范一飞在上述文中给出了四条实现路径：一是加强数据治理。建立涵盖采集、处理、分析、使用的全流程管理体系，统一数据标准规则、做好分级分类，建设企业级数据字典和数据资源目录，着力提升数据准确性、有效性和易用性。二是推动数据共享。坚持“用户授权、安全合规、最小必要、专事专用”原则，探索应用多方安全计算、联邦学习等技术，在保障原始数据不出域前提下规范开展数据共享，实现数据可用不可见、数据不动价值动。三是深化数据应用。加强金融与公共服务领域信息互联互通，运用联合建模、图计算等手段，建立以客户为中心的数据服务能力，深挖数据综合应用场景，实现数据对金融服务实体经济、普惠百姓民生的多项赋能。四是做好数据保护。严格落实《数据安全法》《个人信息保护法》等法律法规，坚持制度规范和技术防护“双管齐下”，建立数据全生命周期安全保护机制，运用匿迹查询、去标记化等措施，严防数据误用、滥用，切实保障金融数据和个人隐私安全。

最近几年，学术界和企业界都已经开始在数据安全和隐私保护方向的探索。尤其是在大数据、人工智能和密码学等领域，出现了安全多方计算、隐私计算、联邦学习、可信执行环境等多个方向，都在研究如何在保证数据安全的前提下打破数据孤岛，实现数据可用。

“数据要素分为可用数据和不可用数据，不可用数据的边界由《数据安全法》《个人信息保护法》界定，而可用不可见的数据受法律、商业权益、个人隐私多重因素制约。”10月13日，CAAI名誉副理事长杨强在由中国人工智能学会、星云Clustar联合举办的2021年中国人工智能大会（CCAI 2021）人工智能产业论坛上分享数据要素、联邦学习的技术背景与研究展望时表示，联邦学习具备数据不出库、性能效率大幅改善的技术优势。以赋能金融行业数字化转型为例，大多数金融机构往往受限于隐私保护、安全、合规的要求，不能轻易进行多方数据流通，通过联邦学习技术实现联合建模、扩充模型空间，可以构建更加精准化、智能化的金融服务体系。

“隐私计算的作用在于隐私保护基础上实现数据价值最大化。”建信金科创新实验室总经理王雪在上述论坛上表示，通过多方数据融合分析，最大程度挖掘数据价值，在满足监管要求的前提下，实现数据互联互通，通过新的业务模式扩展外部数据连接，解决数据供给侧和需求侧匹配的问题。目前这一应用早在2019年初已在建信金科及建行业务中开始实践。

数据安全下半场

“隐私计算技术可以帮助人工智能为代表的应用领域，合理引入更多受隐私、安全因素限制的数据，促进人工智能模型向精准化、效率化发展；推动不同机构的数据融合，催生出新的应用场景，让过去的不可能成为可能。同时，新兴技术的发展也面临场景探索、市场教育普及等多重挑战，就隐私计算而言，数据安全、信息安全相关法律法规也会带来一些方向上的影响。”香港科技大学智能网络系统实验室主任、副教授、星云Clustar创始人陈凯认为，数据要素是数字化建设与人工智能高质量发展的基础燃料，而要充分发挥数据的燃料效应，离不开隐私计算的强大推力。

国务院发展研究中心金融研究所副所长陈道富表示，大数据的核心价值在于连接与共享，无法连接的单体数据不具有大数据集合的群体价值。建立以征信体系为核心的信息共享，搭建地方政府主导的以政务数据为主的数据共享，探索企业市场化方式的数据流通，以隐私保护计算技术实现数据的合规、安全流通，将成为我国数据共享方式的重要思路。

“随着《数据安全法》《个人信息保护法》的陆续出台实施，种种动向表明数据产业正逐渐进入新时代，数据生态也将发生翻天覆地的变化。在技术发展的机遇期，以隐私计算与事理图谱为核心的新一代数据技术将成为这一时代的重要技术支撑。”恒生电子研究院院长、原上海交易所总工程师白硕认为，数据安全进入下半场，以合规为底线，意味着把合规要求精准传导到数据架构、数据治理、数据交互的每一个细节。

今年3月26日，人民银行发布并实施《人工智能算法金融应用评价规范》，这是一部由人民银行提出，全国金融标准化技术委员会归口的文件，规定了人工智能算法在金融领域应用的基本要求、评价方法和判定标准，适用于开展人工智能算法金融应用的金融机构、算法提供商及第三方安全评估机构等。针对当前部分金融科技公司算法过度采集用户信息，以及保障数据隐私，避免用户敏感信息泄露等，该规范要求，设计文档制定了反馈信息的要求，在满足用户需求的前提下，遵循最小够用的原则，避免反馈信息过多，造成逆向攻击；系统采取与设计文档一致的安全防护措施，保障训练数据安全，防止用户敏感信息泄露。

清华大学交叉信息研究院副教授，清华大学金融科技研究院副院长、区块链研究中心主任，华控清交创始人徐葳表示，隐私计算的目标是可用不可见，即保护数据本身的保密性，某种程度上，也使得计算内容、计算方式包括结论所有方变得更加透明化，将更容易被监管。在满足个人信息保护要求、让AI大数据行业健康可持续发展的双重条件下，找到平衡点，进而合理优化监管制度，是技术层面希望可以做出的贡献。