值得关注的是，《个人金融信息（数据）保护试行办法》被列入《中国人民银行2019年规章制定工作计划》中，将对何为个人金融信息、谁可以获取个人金融信息等重要问题作出梳理。业内认为，监管出手正本清源，第三方风控公司、征信公司以及金融大数据公司等相关行业与金融机构的合作模式也将发生改变，过去双方联手“闷声发大财”的日子将不复存在。

“请问你是XXX吗？”“你是XXX同学的家长吗？”相信不少人都接到过这样的电话，对方能够直呼其名，说出孩子的姓名、家庭住址甚至一些金融信息，而呼叫内容往往是广告、推销或诈骗等。他们怎么知道我们的信息？我们的信息是怎样泄露的？

2018年3月，百度CEO李彦宏的一番话遭遇众多网民的不满，却也揭开了一个事实：“中国人对隐私不敏感，愿意用隐私交换便捷性，企业就可以用数据做一些事情”。然而，这只是数据泄露的其中一个原因。通过技术手段对个人信息进行采集也是互联网公司的常用做法，比如，“爬虫”软件就是其中之一。近段时间以来，“个人信息泄露”“暴力催收”等事件屡有发生，大数据行业野蛮生长的弊端不断暴露。

值得关注的是，《个人金融信息（数据）保护试行办法》被列入《中国人民银行2019年规章制定工作计划》中，将对何为个人金融信息、谁可以获取个人金融信息等重要问题作出梳理。业内认为，监管出手正本清源，第三方风控公司、征信公司以及金融大数据公司等相关行业与金融机构的合作模式也将发生改变，过去双方联手“闷声发大财”的日子将不复存在。

隐私成数据

当前，互联网、大数据、人工智能和实体经济深度融合，经济社会各个领域数据开发利用活动变得日益频繁。

多位业内人士告诉《金融时报》记者，数据作为一种潜在的资产，已经成为各方争夺的焦点，但滥用滥采、数据泄露、非法交易，这三点是大数据运用过程中不可回避的问题。

“个人数据是当前非法数据交易的主要数据类型，个人信息滥采滥用现象也十分严重。”工业和信息化部赛迪研究院电子研究所副所长陆峰表示，以手机电筒APP软件为例，除了要求获取电池和摄像头访问权限之外，还要求访问用户通信录和地理位置等与软件功能无关的个人信息。

这样的应用并不是少数。根据2018年中消协通报的100款App个人信息收集与隐私政策测评情况报告显示，共测评的10类100款App中，有91款App都存在过度收集用户个人信息的问题，近半数APP隐私条款内容不达标。支付宝滥用个人数据的事件就曾引爆网络舆论，2018年年初，支付宝公布的2017全民账单详细列出了每个人的消费详情，但有网友发现，在查看自己的数据之前，有一行授权界面的小字“我同意《芝麻服务协议》”，不但字特别小，而且是默认勾选好的。

中央财经大学中国互联网经济研究院副院长欧阳日辉告诉《金融时报》记者，现在各类移动应用十分普遍，这些APP对个人信息的采集和开发运用也越来越频繁，一定程度上造成了数据的滥用滥采问题。这些数据除了用作精准营销之外，还被一些不法分子用来实施精准诈骗或其他非法用途。

如果说上述类型的个人信息泄露某种程度上是用户自身出于“用隐私交换便捷性”的需要，那么，近期备受关注的“暴力催收”“爬虫”事件则掀开了数据泄露以及非法交易的另一角。

11月14日，公安部召开新闻发布会称，9月1日以来，各地网安会同刑侦部门收网打掉团伙147个，抓获嫌疑人1531名，采取刑事强制措施798名，铲除了一批帮助犯罪的技术服务商、数据支撑服务商、支付服务商，实现了对“套路贷”犯罪规模打击、生态打击。

在黑龙江公安机关网安部门侦破的“7.30”网络“套路贷”专案中，宋某因无力偿还贷款，“套路贷”平台通过骚扰电话、恐吓信息、诱导借款等形式，不断对其本人、家人、同事、朋友进行各种方式的“软暴力”催款，给其带来了巨大的精神压力。业内人士称，P2P暴力催收的背后是无孔不入的“爬虫”江湖，这种催收行为主要依靠爬虫技术的“配合”，不仅爬出你的个人信息，还爬出你的家人、朋友等隐私。其背后原理就是，某第三方大数据平台在未经授权的情况下，通过爬虫技术时时掌握借款人行踪与地址定位，然后将此信息转交给催收公司，由后者上门完成催收。

“爬虫本身是作为搜索引擎的底层技术，只是一些机构在利益的驱使下非法爬取数据并用作非法用途，给个人隐私披上数据的外衣让其看起来‘合理化’。”多位业内人士表达出这样的观点。中国人民大学国发院金融科技与互联网安全研究中心主任杨东也表示：“技术本身是中性的，无善恶之分，认识到这一点就可以理性、客观地看待数据分析市场和数据分析机构。”

大数据从业者

既然技术是中性的，爬虫也仅仅是通过互联网进行数据一种工具，且不是唯一工具。那么，为什么相关的企业却开始谈爬虫色变，有的科技公司干脆对外声称没有该业务或产品？

在分析人士看来，这些企业怕的是在一波强监管之下，整个行业会全军覆没。可以看到，随着监管开始正本清源，野蛮生长的大数据收集时代将进入冷静期，势必给第三方风控公司、征信公司以及金融大数据公司等带来商业变革，第三方数据公司与金融机构的合作模式也将发生改变。但是，在监管中倒下的永远是那些没有竞争能力和创新能力的企业。

大数据清理整顿会波及谁？从广义上来说，这几乎涵盖了所有与之相关的行业，但指向也很明确，即“帮助犯罪的技术服务商、数据支撑服务商、支付服务商”。从与金融密切相关的大数据风控来看，目前包括主流的金融机构（银行）以及各类类金融机构（如小贷、P2P）基本都会使用。该行业当前的市场组成主要包括：中国人民银行征信中心和百行征信为代表的全面征信机构、八家专业征信信息提供商以及5000~6000从事大数据分析的企业。

但由于个人数据保护立法相对滞后，上述第三层级的市场目前表现良莠不齐、鱼龙混杂。据业内人士分析，第三层级大数据公司也分为三种，一种是没有自有数据只提供大数据产品或者基础技术的公司，第二种是自己业务能产生数据并且能对外输出数据和技术赋能的公司，第三种是自己不能产业业务数据，数据来源于爬虫爬取、对外购买、授权使用后再以此进行对外数据输出和技术赋能的公司。

“随着个人数据保护相关立法与监管的不断发展，那些使用爬虫技术进行个人隐私数据的暴力爬取的这类公司将受到清理整顿，如果完全不能用爬虫，此类公司只有与数据拥有方（比如政府或者行业机构）进行合作，授权使用或购买数据。”香颂资本执行董事沈萌说。

业内人士认为，虽然大数据风控理论上也有各种漏洞，比如数据来源和使用的合法性、数据质量及可持续性，风控模型本身设计是否存在缺陷等，但这只是说明大数据风控还有需完善之处，不能因此否定大数据的存在和应用价值。

安全与发展

从国际经验看，在欧美等发达国家，大数据行业在信用经济、消费经济、普惠金融等领域扮演着不可替代的角色。随着与人工智能、机器学习等技术的融合发展，大数据分析在我国也进入到了发展的快车道。根据IDC最新报告预测，2019年度全球大数据与智能分析的市场为1896.6亿美元，其中来自中国的市场贡献将达到96亿美元，预计2019年至2023年复合年均增长率达23.5%。

“当前，大数据行业被推上了风口浪尖，很多科技公司都未能逃过这一波攻势，在社会大众普遍对大数据不够了解、不够信任的基础上，任何风吹草动都会引发大家的关注。”某科技公司负责人告诉《金融时报》记者，对于机构而言，应该不断探寻用科技的手段寻求隐私保护与数据共享的平衡；对于行业来说，对数据规范使用的监管将是一个长期过程，也将是一个金融与科技、风险与创新、文化与心理、法律与监督等多方博弈，多方协商，最终达到一个最佳平衡点的过程。

在欧阳日辉看来，大数据开发利用一种不可逆转的发展趋势，关键是要树立安全的大数据发展观。坚持发展和安全双轮驱动原则，既要鼓励和支持大数据应用，又要同步做好安全风险的防范，积极稳妥推进大数据应用。

数据治理提上日程

业内人士认为，《个人金融信息（数据）保护试行办法》的提出或许只是一个信号，未来监管对大数据行业的整顿，将进一步深入下去。

陆峰认为，大数据时代，个人信息的商业价值和法律意义都在提升，加强数据治理，已经刻不容缓。

“面对利益的冲击，更需要筑牢法律的防火墙，让企业提高数据的安全保护重视程度，让职能部门强化对市场、行业的监督管理，让司法机关严厉惩处违法行为，为公民隐私穿上‘保护衣’。”陆峰说。

可以看到，随着数据问题频发，数据治理立法以及行业规范建设加快步伐。2018年9月7日，十三届全国人大常委会立法规划公布，《个人信息保护法》与《数据安全法》被列入第一类项目，个人信息保护和数据安全立法正式提上日程。行业规范建设方面，2018年5月，银保监会发布了《银行业金融机构数据治理指引》，要求提高数据质量、加强数据应用提升数据价值、监管机构要加强监管等 ，且要求数据治理时要遵循“全覆盖”原则，即应该覆盖机构的全部数据生命周期；10月12日，北京银保监局发布《关于规范银行与金融科技公司合作类业务及互联网保险业务的通知》，要求严禁与以“大数据”为名窃取、滥用、非法买卖或泄露客户信息的企业开展合作；北京市网络行业协会、北京邮电大学和公安部第三研究所相关专家研究起草了《互联网个人信息安全保护指引》。

杨东认为，当前的紧要任务是推动形成金融监管机构、行业头部企业与法律界等共同研究探讨的善治局面，鼓励科技向善。

针对当前大数据行业的弊端，杨东建议，金融监管机构出台金融业个人数据保护合规操作指南，引导金融机构及数据分析机构的合规运行；组织金融业成立行业自律组织，制定个人数据保护自律守则，设立"隐私认证"标识；根据合规性评估结果定期公布合规供应商清单，以此来加强数据分析行业的个人数据保护。

业内人士也表示，行业的繁荣发展不是某一家公司的使命，需要更多机构、更多智慧来共同促进，而在清理整顿之后，相信大数据行业将进入全新发展周期。

责任编辑：周星如