GDPR将如何影响金融科技行业？

李燕：GDPR将对金融科技核心技术的商用和创新产生溢出效应。金融科技企业在隐私权和信息安全上正面临新的规制环境。

被称为史上最严的个人信息保护法——欧盟《一般条例》(GDPR)已经开始正式实施。欧盟发布GDPR是出于什么样的考虑?GDPR对积极在欧洲开展业务的中国科技企业有什么启示?GDPR对算法和数据的要求，对极度依赖数据的新兴产业造成什么影响?

金融科技以为核心，是新兴金融服务业的一大标志。自互联网革命、移动互联网革命以来，金融科技扩展至金融领域的一切创新技术，如等。金融科技的适用群体也逐渐从金融行业拓展至各类企业乃至普罗大众。据2017年安永发布的金融科技采纳指数显示，目前全球1/3的消费者正在使用两种或更多的金融科技服务。金融科技在重塑金融业态和促进社会的包容性增长上功不可没。与此同时，金融科技企业在隐私权和信息安全上正面临新的规制环境。鉴于GDPR的效力范围，其将对金融科技核心技术的商用和创新产生溢出效应。

GDPR对人工智能商用的合规影响

人工智能的三种主要技术均需要专有类型数据的支撑。例如，机器学习需要大量的标签样本数据，模式识别偏重于信号、图像、语音、文字、指纹等非直观数据，人机交互则需要积累大量的用户数据。当下，人工智能正逐渐渗透至金融业KYC、贷款、风控、资产配置、保险等金融领域，需要符合GDPR要求。

(一)开展数字化投顾等自动化决策服务

数字化投顾(Digital Investment Advice)的业务边界在各国实践上有所不同，对其界定也无共识。概念源于2016年美国金融业监管局发布的数字化投顾报告，从监管者视线出发，无从也无必要对各类商事主体提供的人工智能技术予以度量，无论是机器人或是人工智能投资顾问，无论服务商采取何种方式实现商业模式的智能，其输出形式均可统一认定为数字化投顾。有了大量数据输入的人工智能，能够根据消费者经济情况判断其风险承受能力，预测金融市场走向继而给出个性化的理财规划。市场对数字化投顾普遍看好，花旗银行预测至2020年该市场AUM有望突破2.2万亿美元。

GDPR对基于大数据分析的自动化决策采取了审慎态度，对可能发生的算法歧视进行了立法预防。GDPR规定，控制者在获取个人信息时，为确保处理过程的公正透明，应当向数据主体提供相关信息，说明是否存在自动决策机制，以及在存在自动化决策的情形下，提供逻辑程序以及此类处理对于数据主体的意义和预期影响相关信息。同时还规定，当自动化决策将对数据主体产生法律效力或造成重大影响时，数据控制者应实施适当措施保护数据主体的权利、自由和合法利益，保证数据主体对数据控制者的人为干预权表达观点和异议。

因此，从事数字化投顾的企业应当为客户提供自动化决策有关信息，并为客户提供表达观点和质疑的途径。对于数字化投顾的算法公开问题，涉及商业秘密、知识产权保护等问题，能否以及向数据主体披露到何种程度，欧盟29条工作组就此问题发布的指南提出，对于自动决策，数据控制者并不必然要解释完整的算法，面对用户，用尽可能简单的方法告知算法的基本逻辑或标准即可。

(二)生物识别技术应用于金融交易

生物识别技术是对个人生理及行为特征的测量及统计分析，正在被越来越多地应用于支付等金融服务中，用于识别或是辅助识别用户的身份，并有望成为金融交易中采用的主要识别形式之一。生物识别相关的生理特征包括DNA、指纹、脸部、手部、视网膜、耳部特征以及气味，行为特征包括手势、声音、打字的节奏以及步态等。生物识别技术的商用前景广阔，可增强金融交易的安全性，并为用户提供极佳的“无感式”身份识别体验。

GDPR将涉及健康、基因数据、经处理可识别特定个人的生物识别数据定义为敏感数据。企业需慎重对待此类特殊数据，不仅要在获取数据时需要征得数据主体的明示同意，作为数据控制者或处理者还需承担对数据的安全保障义务，在技术和管理措施上采取必要措施，包括委派数据保护官(DPO)、在处理个人敏感数据时还需满足相关成员国的条件，发生数据泄露事故时及时履行报告义务等。

GDPR对大数据技术商用的合规影响

大数据产业是以数据生产、采集、存储、加工、分析和服务为主的经济活动。大数据对金融领域的创新影响力强，数据维度越丰厚，用户画像越精细，企业所能触达的业务会越多元。大数据技术应用于精准营销、信用评估等业务均将受到GDPR影响。

(一)描摹数据画像用于精准营销和信用评估

数据画像是对数据和个人信息汇总和分析，为特定个体或人群的特征刻画标签，并根据其需求和企业服务优势提供差异化服务，可提高产品推送的精准程度、增强用户黏性。数据画像主要应用于精准营销和用户信用评估等业务环节。

GDPR对数据画像有明确的定义，是指对个人数据进行任何自动化处理，包括利用个人数据评估与自然人有关的特定方面，特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置与行踪相关的分析和预测。使用用户画像若涉及对数据主体产生法律影响或其他重大影响，需符合以下要求：或取得欧盟或其成员国明确授权;或是用户画像对数据主体与数据控制者签订或履行合同是必要的;或是基于数据主体的明确同意。

在大数据业务模式中，大多数情形下使用用户画像很难说对于数据主体与数据控制者的合同签订或合同履行是必要的，因此，在绝大多数情形下，需要取得数据主体对使用用户画像的明确同意。对此，企业应当告知数据主体提供用户画像的相关逻辑，包括对于数据主体产生预期后果的相关信息，并且告知数据主体享有对用户画像的反对权。此外，针对特殊类型个人数据，例如宗教信仰、政治观点、性取向、性生活、基因或者健康数据等敏感数据，除非数据主体明确同意基于特定目的而授权处理其个人数据(但成员国仍然可就基因数据、生物特征数据或者健康相关的个人数据处理采取维持、限制或者其他措施)，否则基于特殊类型的个人数据处理将被禁止。

此外，尽管GDPR中未对数据画像算法提出可解释性要求，但是，社会对算法透明、算法向善的预期依然是数据画像商用在伦理层面所面临的挑战。对此，企业应定期开展算法审计，以保证客户不受歧视，并为客户提供允许表达观点和质疑商业决定的途径。

(二)追踪消费者网络行为推荐定向广告

网络行为定向广告是大数据技术应用于广告行业的产物，主要是利用算法追踪消费者的搜索、浏览、成交等网络行为，继而构建模型计算消费者的购买偏好，推出定制化广告。

定向广告倚赖对信息的搜集和分析，市场上部分网站通过cookie等技术对用户的网络行为进行记录。移动互联网技术出现后，还可能涉及对用户实时地理位置(行踪轨迹)的记录。GDPR将个人数据定义为可用于识别自然人(数据主体)的任何信息。例如该自然人的姓名、电子邮件地址、IP地址、位置数据，或自然人所特有的遗传性、精神性、经济性、文化性或社会性身份因素。对于网络设备、应用、工具、协议中留存的cookie痕迹，如果具有唯一指向性，这些cookie信息可生成个人档案识别具体自然人，即具有身份识别性。GDPR第26条前注说明，当数据可被用来直接或间接识别自然人时，那么其就是个人数据/信息。这意味着不是所有但大部分被用来识别用户的cookie信息要受GDPR规制，这就包括有关广告、功能服务之类cookie信息。

企业收集cookie信息，需遵循GDPR对数据画像的相应规定，上文已经论述。对于定向广告运营商而言，收集用户的cookie信息行为，仅身份安全验证、防止交易欺诈等小部分信息可适用履行合同之必要的合法事由，搜集其他cookie信息时须征得用户的明示同意，不能采取默认同意，此外还需给予用户撤回同意等选择权。

基于区块链技术开展创新业务的合规冲突

区块链作为金融产业的底层技术受到许多国家与机构的关注和测试。达沃斯论坛创始人克劳斯曾预言在2025年之前，全球GDP总量的10%将利用区块链技术储存，届时货币形态、商业模式等将因区块链技术的成熟改变内涵。

区块链本质上是通过去中心让所有人都拥有相同的账本，区块链尤其公有链的数据是透明的，任何一个参与者都可获得完整的数据备份，可看到所有的交易信息，并且不可篡改，这是区块链的优势，但是与GDPR中心化的规范方式，赋予个人数据的更正权、删除权和被遗忘权的行使存在冲突。面对GDPR的合规要求，区块链在金融科技的应用面临挑战。

GDPR规定，数据主体在相应理由下有权要求控制者及时删除其个人数据。此外还规定，若数据主体已请求企业删除相关个人数据的任何链接、副本或者复印件，但企业已将其个人数据公开，在考虑现有技术和实施成本后，企业应当采取合理步骤，通知处理此数据的其他数据控制者删除此类信息。这就对应用区块链技术的企业提出极高的合规要求。区块链解决去中心化信任的关键功能就在于数据的不可篡改性。一旦信息经过验证并添加至区块链，就会永久存储起来，除非能够同时控制住系统中大多数节点，否则单个节点上对数据库的修改是无效的，同时控制众多节点几乎是不可能的，企业保护删除权也近乎西西弗斯推石头。

GDPR对云计算的合规影响

云计算通过互联自由流通使得超级计算能力成为可能，可解决海量异构信息处理和多样化复杂应用的整合问题，成为众多金融科技企业的选择。越来越多的银行、证券、保险、支付业类金融企业都在通过引入云计算来增强数据的安全性、加快信息共享速度、提高服务质量、降低运营成本，中国已成为全球第二大云服务市场。

在典型的云服务场景中，云服务商是数据处理者，云计算的客户是数据控制者。GDPR对控制者、处理者在大多数情境下提出了相同的要求，例如，承担数据安全保障义务，实施适当的技术和组织性措施、配合监管机构执行任务等。GDPR对云服务商(作为数据处理者)与云客户(作为数据控制者)之间的权利义务也进行了规范，若未经控制者事先书面授权，数据处理者不能雇用另一个数据处理者。若为一般的书面授权，处理者应当通知控制者任何有关打算增加或替换其他处理者的更改，以使控制者有机会反对这样的更改。此外，若处理者认为某项指令违反了GDPR或其他欧盟或成员国的数据保护规定，处理者应当立即通知控制者。为符合GDPR要求，市场上与云服务合同对转售授权、安全保障措施(较之95指令，GDPR将安全保障措施从控制者扩展到处理者)、风险管理责任相关条款均需修订。

GDPR对物联网业务的合规影响

物联网(IoT)拥有广阔的发展前景，其通过可穿戴设备等智能终端搜集数据传递给云计算中心，从而改变数据交互的形式，目前已率先应用于车险、健康险等保险业务。

物联网持续获取人体的部分生理特征，势必涉及到大量敏感数据，需要满足GDPR对此类特殊数据的合规要求。在数据收集越来越方便的背景下，物联网收集的数据具有二次开发的增值价值，能否将其用于和最初收集目的完全不同的领域，也需要进行合规评估。比如，在数据分享给第三方时，GDPR要求数据控制者应当提供其收集数据的目的等，须就此再次征得数据主体的明确同意。此外，可穿戴设备具有开放性等特征，使其容易受到非法用户的攻击，企业需要贯彻GDPR提出的技术性及组织性措施要求，定期测试、访问和评估，以确保数据处理的安全性。

总之，鉴于GDPR的效力范围，凡在欧盟有布局的企业，或是设立在欧盟境内作为数据的控制者或处理者，或是未设立在欧盟境内但其数据处理行为发生在向欧盟境内数据主体提供商品或服务过程中，或是涉及监控欧盟境内数据主体的行为都将受该条例约束。为避免合规风险和声誉受损，大型企业已火速展开合规行动。谷歌、脸书和推特等企业已面向GDPR进行合规布局，纷纷更新用户隐私条款。在国内，阿里巴巴旗下的全球速卖通、腾讯旗下的微信海外版和京东旗下的全球购等企业，以及涉及欧洲业务的中国制造企业和航空企业等，都已在官方网站上更新用户隐私条款。

未来，金融科技企业需要努力将隐私保护积极纳入整个运营系统中。在此过程中，企业的安全文化或将面临重大调适，并体现在战略规划、系统设计、数据治理、流程管理、内控审计等方方面面。主动尊重用户的隐私权不是一件坏事，通过厘清内部数据的流向，提升用户对其隐私信息的控制度、透明度和安全度，一方面将极大增强消费者对企业的信任度，有助于商业可持续开展，另一方面也将帮助企业拓展新的业务蓝海。而率先实现数据有效治理的企业无疑将赢得关键业务领域的话语权和核心竞争力。