×

扫码分享

EN

大数据技术的违法边界在哪里? ——解析大数据行业整肃风暴背后的新技术合规问题

2019-10-12 作者:陈国彧

关键词:智能风控 大数据 爬虫技术 金融监管 新技术合规


阅读前请先思考下面的问题:


1.金融机构能摒弃大数据技术吗?


2.大数据技术应用的违法边界在哪里?


3.新技术应用与合法合规是相悖而行的吗?


4.大数据企业合法合规的商业模式到底是什么?


1.大数据技术在金融行业的应用已势不可挡


2018年底到2019年9月以来,对大数据行业的整肃风暴震动整个智能风控行业。大数据行业的高管和从业人员人人自危,一时间对金融科技行业是否需要“关门过节”的传言不绝于耳。被调查第三方数据分析公司所从事业务的数据调用数亿级,提供营销评分模型、风险分析、反欺诈、多维度用户画像、授信评分、贷后预警等数据分析及评估服务。


实事求是地说,上述大数据分析服务是金融行业在风控审核中所必须的。以消费金融行业为例,一直被两大主要经营风险所困扰,一是欺诈;二是了解客户的真实资信状况。


首先,金融机构反欺诈是刚需。以消金行业为例,单笔无担保贷款金额在10-50万左右,此类普惠金融产品申请量大,传统审贷成本高。而当前骗贷团伙日益猖獗,短时间能持有同一批资料不断试错不同消金机构,通过虚构个人资料,骗取大量资金。因此消金机构必须依靠分析欺诈数据提取特征、建立数据模型,审核海量的贷款申请。

2020年11515.png

大数据被广泛应用

其次,金融机构开展业务必须对客户的资信等信息状况做准确了解。而精确地了解你的客户(KYC)必须建立在掌握多层次多维度的个人信息基础上包括但不限于身份信息、财产信息、账户信息、信用信息、社保信息、电信运营商信息等。海量的信息必须依靠准确的金融风控模型算法才能精确评估分析客户的真实资信状况。


大数据技术迅速地在以传统稳健著称的金融机构风控中占据金融行业数字化转型的关键位置,足以证明其浪潮势不可挡。按照IDC《2018年中国企业数字化发展报告》,除ICT(信息与通讯)金融产业的数字化程度最高。按照零壹智库的数据,截至2018年11月,已收录3000家以上的金融科技公司,其中大数据类的公司占47%,几乎半壁江山。在业务上,金融科技公司也以数字化营销、数字化风控为主。可见金融机构对大数据公司需求强劲。


那么如此有市场需求的朝阳行业,到底出现了什么问题?


本文认为,主要问题出现在金融科技行业需要准确认知新技术落地的合法合规边界,即法律的刚性红线到底在哪里。大数据企业多在A轮融资下,创始人更应在构建商业模式时,提前咨询专业律师的意见,加强法律保护意识,顶住投资人的压力,在非法暴利面前,坚持正确(合法)的商业模式。


2. 大数据技术不是助力犯罪和非法经营的通行证


重新检视近期被调查的大数据企业,我们看到公开资料暴露出来的违法问题,有些与大数据技术本身无关,主要包括以下三种:


涉嫌助力暴力催收等违法犯罪行为


据悉,某被查企业合作方涉嫌暴力催收已于2019年7月26日被查。另一家被查企业也被怀疑助力暴力催收,向催收机构发送贷款人及关联人精准资料。


按照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》法释〔2017〕10号(以下简称“法释【2017】10号文”)对刑法第253条之一规定的侵犯公民个人信息罪做了特别解释,其中:

违法出售或提供公民个人信息助力犯罪的情节属于“情节严重”即需要刑事处罚予以惩戒的起刑标准,处三年以下有期徒刑或者拘役,并处或者单处罚金的:


▲出售或者提供行踪轨迹信息,被他人用于犯罪的;


▲知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的。


法释【2017】10号文规定,造成以下被害人重伤甚至死亡等严重后果的情节属于“情节特别严重”应处以处三年以上七年以下有期徒刑,并处罚金:


▲造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;


▲造成重大经济损失或者恶劣社会影响的;


大数据企业在处理数据的过程中,掌握大量精准的个人敏感信息例如联系地址、行踪等。但在各种变现的压力下,如明知将上述信息故意出售或提供给放贷平台助力暴力催收涉黑涉爆,就将触及刑法底线,构成犯罪行为。


涉嫌非法经营


公开资料显示,被查企业的关联企业曾发布现金贷APP软件亲自下场放贷、撮合贷款。而这些被查企业经营范围仅限于“互联网软件、系统软件的设计开发,电子设备的设计、生产、销售”,并无金融牌照。


大数据企业掌握大量精准的个人信息数据,不少企业不愿意“抱着金饭碗讨饭吃”,进而非法挖掘所掌握的数据价值,所谓“近水楼台先得月”,直接撮合放贷平台与贷款人的放贷业务赚取贷款中介费、甚至有些不具有金融牌照,擅自进场放贷。

2020年11516.png

大数据技术出现被违法使用的情况

金融科技公司本身并无互联网小额贷款或者消费金融牌照,擅自非法经营未获行政许可的经营项目,属于监管部门坚决予以取缔的非法金融业务活动。


按照国务院《非法金融机构和非法金融业务活动取缔办法》第11、12、22条之规定:

▲对非法金融机构和非法金融业务活动的犯罪嫌疑人、涉案资金和财产,由公安机关依法采取强制措施,防止犯罪嫌疑人逃跑和转移资金、财产

▲对非法金融机构和非法金融业务活动,经中国人民银行调查认定后,作出取缔决定,宣布该金融机构和金融业务活动为非法,责令停止一切业务活动,并予公告

▲设立非法金融机构或者从事非法金融业务活动,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由中国人民银行没收非法所得,并处非法所得1倍以上5倍以下的罚款;没有非法所得的,处10万元以上50万元以下的罚款


按照《中华人民共和国刑法》第二百二十五条【非法经营罪】的规定

▲未经国家有关主管部门批准非法经营证券、期货、保险业务的,或者非法从事资金支付结算业务的;

▲情节严重的,处五年以下有期徒刑或者拘役,并处或者单处违法所得一倍以上五倍以下罚金;

▲情节特别严重的,处五年以上有期徒刑,并处违法所得一倍以上五倍以下罚金或者没收财产。


大数据行业的整肃风暴让我们重新审视大数据行业的主业还是需要回归技术。大数据公司还是需要靠技术形成核心竞争力,而非单纯卖数据、助贷中介、甚至非法消费金融行业。大数据风控公司并不因为先进技术而能规避市场监管;违法犯罪行为也势必受到依法追责。


涉嫌违法收集获取个人数据


大数据公司最大的风险其实就是收集获取数据的合法性问题。


此次大数据整肃风暴中的被查企业均涉嫌用爬虫技术利用一些大平台的技术漏洞,非法获取数据。不少大数据公司包括一些颇为知名的持牌平台,都有收集无罪的迷思。非法收集而来的数据成为数据行业原罪的真正源头,从而影响到数据加工处理的整个生命周期各个产业链的合法合规。


从政府监管层面,我们看到欧盟、美国和中国都对违法收集行为进行了严格规制。因为源头将影响整个大数据行业的健康发展。


按照国家《网络安全法》及其配套规定,大数据企业必须做到以下:

▲产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定

▲收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意

▲不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外

▲不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息


通过爬虫技术去爬取数据和信息非法出售或提供给第三方,不仅违反了国家《网络安全法》的上述规定,按照非法获取的信息种类涉嫌的罪名还可能包括但不限于非法提供国家秘密、情报罪;侵犯著作权罪;非法提供信用卡信息罪;侵犯商业秘密罪;侵犯公民个人信息罪;

非法获取国家秘密罪;非法获取计算机系统数据罪等十多项违法犯罪。   


可见,大数据企业的收集边界在整个数据产业周期中是重中之重,也是法律的刚性红线,国家已在最严格的刑事处罚维度进行了严密预防和打击,已不是单纯的技术违规违法。


3. 大数据技术应用同样需要合法合规


我们认为,本次大数据行业的整肃行动揭示了监管部门的倾向:大数据技术既不是规避法律监管的神坛;也不是人人喊打的洪水猛兽。


大数据行业的发展也不会因为被调查的个别公司而溃不成军。


相反,本次整肃行动将促使大数据行业在合法合规的正常轨道上回归技术创新的初心,健康发展。


我们建议对于坚持技术创新,合法合规的大数据企业,应以此为契机,拥抱监管,合规现行。


具体应参考国内外先进金融数据行业实施数据安全合规审计,包括但不限于以下内容:


▲对照监管口径,内部自查各业务线是否存在灰色区域,坚决取缔违规业务

▲以本企业为坐标,严格要求上下游企业做好数据收集来源合规

▲切实建立分级授权的个人信息保护体系和制度依据

▲不时审查数据合规执行情况

▲加强高管员工数据保护法律意识教育

▲建立数据安全实时监测体系以及紧急事件预案及演练


4. 专注市场有需求的大数据合法合规应用是可行的公司商业模式


创新行业确实有高于传统行业的风险,但同时也为企业家提供商业机会的蓝海。我们在鼓励技术创新的同时,更需要法律关怀创业者、新技术企业的高管和从业人员。他们承受创业压力的同时,律师可最大限度地合法协助新技术落地,降低违法违规风险,兼顾投资人、创始人和高管的合法利益。


▲金融科技公司虽然名字里有金融,但在没有获得金融牌照前,必须专注于做科技。形成有小的金融科技产品和成熟的技术

▲挖掘数据价值必须以合法合规挖掘为前提。在个人信息保护日趋严格的今天,C端授权以及转授权已成为第三方数据公司避免违法违规风险的最重要保障

▲必须建立上下游的数据合规体系。了解你的供应商数据来源的合法性;了解你的客户数据使用是否完全出于合法目的

▲新技术上线前除了技术排查还需要做合规监管风险排查,否则不能面向公众宣传使用


按照央行最新公布的《金融科技(Fintech)发展规划(2019-2021)》(银发【2019】209号文),我们看到监管机构还是欢迎金融科技为推动金融转型升级的持续赋能。在该文中,央行也表态支持,金融科技成为防范化解金融风险的新利器。包括运用大数据、人工智能等技术建立金融风控模型,有效甄别高风险交易,实现风险控制早识别、早预警、早处置。


作为法律从业人员,我们看到,金融科技作为新技术正经历从野蛮生长到逐步合规的过程。我们需要加强对新技术道德伦理、法律合规方面的研究和分析。新技术行业也需要承担社会责任。正如麦肯锡《影响金融科技的十大趋势》里面所述:“新技术是协同与颠覆并存。可靠的业务模式和良好的执行远胜稀奇古怪的技术”。在追求快速扩张的同时,我们要用法律合规护航行业领先的创业者和参与者,倡导大数据行业的健康发展。