《数据安全管理办法（征求意见稿）》解读：互联网金融行业如何应对客户个人信息安全保护

2019年5月28日，国家互联网信息办公室发布了《数据安全管理办法》征求意见稿（以下简称“意见稿”），该规定针对在我国境内利用网络开展数据收集、存储、传输、处理、使用等活动以及数据安全的保护和监督管理等方面制定了法律规范。*

2017年6月1日生效的《中华人民共和国网络安全法》原则性规定较多，2018年5月1日生效的《信息安全技术个人信息安全规范》由国家标准化管理委员会参照欧盟《通用数据保护条例》（General Data Protection Regulation，简称“GDPR”）制定，其作为行业标准参考，为网络数据安全提供了技术规范标准。今后《数据安全管理办法》的最终出台，将为数据安全保护领域提供具有可操作性的技术规范和法律保障。

目前，越来越多的互联网金融企业在经营过程中，不论在智能获客、大数据风控、贷后催收等业务的开展，还是进行反欺诈模型的建设，都会通过网络收集客户信息，并针对这些信息数据进行存储、处理以及后续使用。就互联网金融企业在日常经营过程中客户数据管理和合规风险控制，本文作者根据该《数据安全管理办法（征求意见稿）》从以下几个方面进行解读。

一智能获客，制定并公开个人信息收集使用规则

意见稿第二章详细规定了网络运营者对于数据收集的规则，其中第八条列举了网络运营者应当突出的信息收集内容：

（一）网络运营者基本信息；（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；（四）个人信息保存地点、期限及到期后的处理方式；（五）向他人提供个人信息的规则，如果向他人提供的；（六）个人信息安全保护策略等相关信息；（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；（八）投诉、举报渠道和方法等；（九）法律、行政法规规定的其他内容。

关于本条的内容，很多互联网金融产品，如蚂蚁金服旗下的“花呗”已经在其《服务协议》与《隐私政策》中，针对客户信息收集提供了详细的信息收集使用规则，但意见稿中有关网络运营者基本信息、主要负责人姓名及联系方式等，在目前的互联网金融产品中未见体现。

征求意见稿第十五条：

网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，手机使用目的、规模、方式、类型、期限等，不包括数据内容本身。

此条，规定要求互联网金融企业涉及信息数据的业务运营具体方式向网信监管部门备案。在涉及客户信息的问题上，主管部门以备案制的形式进行监管，互联网金融企业在今后的业务开展过程中应当尽到更高的审慎义务。关于重要数据、个人敏感信息的界定问题，正式的《数据安全管理办法》颁布后也应当厘清其法律边界。

二智能营销，审慎运用“定向推送”

随着人工智能、大数据等新技术手段的高速发展，智能营销已渗透到我们日常生活的方方面面。全屏、插屏、Banner、信息流、H5互动、应用墙等广告投放方式，也已成为互联网金融企业通过大数据算法计算后，精准获客和定向推送的营销渠道。在现代人与智能手机共生的图景下，“漫屏”广告对人们注意力的“侵略”，似乎也成为信息科技高速发展带来的无法规避的“副作用”。

意见稿第二十三条明确了网络运营者关于定向推送的规定：

网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明‘定推’字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

今后互联网金融产品进行定向推送和商业广告定向投放时，应当审慎运用定向推送算法，并在相应推送标识处明显标注“定推”字样，同时设置客户可选择的拒收功能键，也就是“x关闭”键，以保证潜在客户对于广告信息接收的自主选择权。

三智能风控，数据分析披露及数据获取的法律标准

意见稿第三十条到第三十二条明确了网络运营者对第三方数据运用，以及利用其所掌握的数据进行统计、分析等不得损害他人合法权益的法律标准。在互联网金融企业通过人行征信或第三方征信企业提供的数据针对其信贷客户进行大数据风控分析客户模型时，在针对相应数据的留存及处理方面，应当在不影响国家安全、经济运行、社会稳定的宏观前提下进行，互联网金融企业提供的风控数据分析结果披露，亦不能够成为其为达到贷后催收的目的而使用的砝码。

大数据反欺诈是通过对数据的采集和分析，找出潜在欺诈者的蛛丝马迹，挖掘其数据的矛盾点和可疑点，识别和预防欺诈事件的发生。大数据收集了大量异构、多样化的信息，包括可交叉验证信息主体所提供的信息以及第三方信息来源的真实性，尤其是对于第三方信息来源，信息主体要进行长时间、全方位的伪造非常困难，成本也很高，因此大数据反欺诈模型的建立相较于传统人工风控具有较强的反欺诈能力。

网络爬虫是一个自动提取网页的程序，它为搜索引擎从万维网上下载网页，是搜索引擎的重要组成。传统爬虫从一个或若干初始网页的URL开始，获得初始网页上的URL，在抓取网页的过程中，不断从当前页面上抽取新的URL放入队列,直到满足系统的一定停止条件。聚焦爬虫的工作流程较为复杂，需要根据一定的网页分析算法过滤与主题无关的链接，保留有用的链接并将其放入等待抓取的URL队列。通过“爬虫”建模元数据，在用户的授权下，利用网络爬虫抓取公开的互联网数据，从而不断完善和丰富数据集，增加覆盖维这也是一项应用到互联网金融反欺诈模型建立中的一项技术手段。

意见稿第十六条明确了“爬虫”的法律红线：

网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

也就是说，在互联网金融企业为达到“反欺诈”模型建立，以完成风控体系，通过公开渠道抓取客户信息的自动化访问技术行为，不得超过该网站日均流量的1/3这一数据流量控制，这将对互联网金融企业大数据风控的数据来源产生新的约束。如何更大效率地获取信息数据，且不违反法律规定的“爬虫”红线，是互联网金融企业在日后的合规经营中应当关注的问题。

随着5G时代的到来，我国对数据保护的推进将是时代的必然选择，而互联网金融行业正处在高速发展的快车道上，客户隐私保护及数据安全制度和流程则是行业发展需要着力打造的“基础设施建设”。在正式的《数据安全管理办法》出台之前，互联网金融行业应做好相关准备以顺应时代的趋势。

以上为笔者观点，欢迎读者交流指正。

*注：

1.登陆中国政府法制信息网(网址：http://www.chinalaw.gov.cn)，进入首页的“立法意见征集”提出意见。

2.通过电子邮件方式发送至：security@cac.gov.cn。

3.通过信函方式将意见寄至：北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局，邮编100044，并在信封上注明“数据安全管理办法征求意见”。

意见反馈截止时间为2019年6月28日。

附件：《数据安全管理办法（征求意见稿）》

国家互联网信息办公室