金融大数据运用与隐私权保护
金融大数据的运用有助于提高金融监管能力,重塑金融监管的方式。
金融先进技术可以让金融监管发挥更大的效力。先进的信息系统可以及时检测金融市场与企业的动态大数据。
加强对大数据运用的监管,一方面要加强行政监管,另一方面要加强行业自律管理。
A 前言:大数据是柄“双刃剑”
2017年7月18日晚间,基金行业爆出爆炸性消息,华夏基金原债券交易员王某在两年半的时间,利用200万元本金,通过“老鼠仓”获利1773万元。本案引起广泛关注在于“零口供”定案,也就是说,在没有犯罪嫌疑人的口供之下,通过客观的证据,形成完整的证据链,从而实现定罪。中国证监会稽查人员通过从交易所等调取相关账户的交易情况,并将账户交易特征进行比对,从交易的趋同性、时间的匹配性进行分析,得出涉案单个账户与华夏基金产品的匹配度最低也在85%以上,从而确定犯罪嫌疑人的作案事实。
金融行业“老鼠仓”的弊病由来已久,一直像毒瘤般存在。而通过本案,我们似乎看到了治病良方:金融大数据在行政监管和犯罪侦查方面的运用解决了以往很多的难题。
但同时,当我们查阅中国裁判文书网(最高法院建立的全国法院统一裁判文书公开平台)上的关于“出售、非法提供公民个人信息罪”的判决文书时,却也能深深感受到,在大数据的大潮中,公民的个人信息不停遭受非法兜售、使用,公民的隐私权仍然受到来自各种主体的泄露和侵犯。
大数据的运用和隐私权的保护就像一对孪生的“冤家兄弟”,相生相克,又如影随形。如何把握好两者合理的边界,处理好两者之间的微妙关系,不仅是道德问题、法律问题,还是广泛的操作实践问题。
B 金融大数据的运用
最早提出大数据概念的是全球著名的咨询公司麦肯锡,麦肯锡对于大数据的定义是:一种规模大到在获取、存储、管理、分析方面大大超出传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。
根据上述定义,业界对于大数据的构成通常运用四个V来解构,分别是:“Volume”,即数据体量巨大。大数据的起始计量单位至少是P(1000个T)、E(100万个T)或Z(10亿个T);“Variety”,即要求数据类型繁多,比如网络日志、视频、图片、地理位置信息等;“Value”即价值密度低,商业价值高;“Velocity”即处理速度快。
金融大数据主要运用于金融监管、经营管理、投资操作等三大领域。
国务院颁布的《推进普惠金融发展规划(2016—2020年)》提到,鼓励金融机构运用大数据、云计算等新兴信息技术,打造互联网金融服务平台。金融行业是大数据的先行者,国内监管部门、金融机构经过多年发展与积累,已经拥有海量数据,而且数据量还在不断增长。随着大数据技术和应用的日趋深入,大数据理念渐入人心。金融行业的大数据运用能力更是能够帮助监管机构、经营机构及投资者在多个方面得到有效提升。
金融监管
金融大数据的运用有助于提高金融监管能力,重塑金融监管的方式。上海证券交易所白硕、熊昊在《大数据时代的金融监管创新》一文中提到,大数据时代的金融监管将是一个精确化的金融监管,大数据为金融监管部门提供了全新的风险管理方式。传统的监管方式通常是监管部门制定系列的监管规定、规范,并按照各规定的要求,定期或不定期对金融机构进行检查,或通过各类线索对违规行为进行调查,从而约束经营机构的行为。不过传统的监管方式存在滞后性,通常是一种事后监管,不能非常好的实现事前预防。此外,传统的监管方式很难做到个性化、差异化监管,不可避免会出现“一刀切”的问题。
而金融的先进技术可以让金融监管发挥更大的效力。先进的信息系统可以及时检测金融市场与企业的动态大数据。多渠道的信息数据来源可以降低监管面对的信息不对称难题。通过机器学习可以构建智能监管监测系统,从而提高监管的有效性、及时性、低成本性。
以异常交易行为监控为例,各交易所已经实现实时监控,通常从交易行为、重点账户、股价指数、风险公司、公告舆情、跨市场行为等多个维度进行实时监控,以提升实时监控的针对性和覆盖面,确保及时发现异常交易行为。同时,我们还可以看到交易所运用科技的力量加强监察系统的自动化功能,运用舆情监测、预警处理、线索筛选等提升监察的效力和即时性,从而能够有效地配合证监会等相关部门的稽查执法。
经营管理
在第十四届上海衍生品市场论坛上,对“新形势下大数据在衍生品市场上的应用前景”进行了专门讨论。而在此前,第十一届中国期货分析师大会也将“大融合·大数据·大市场”作为主题。可见,在金融业融合发展与大数据时代背景下,经营机构都重点关注如何运用大数据提升经营管理能力。金融大数据的运用可以为经营机构提升客户管理、产品管理、营销管理、系统管理、风险管理、内部管理及优化等诸多方面。
以提升客户管理为例, 2016年9月,投资者适当性管理系统通过投资者客观实力和主观风险偏好两个维度来评估其风险承受能力,利用大数据、机器学习等新技术,对投资者客观实力进行评估,实现量化投资者风险承受能力,并实时动态调整。KYC2.0系统通过人工智能和大数据挖掘来实现了对投资者的“精准画像”,从而为客户管理提供精准的数据支持。
利用大数据提升经营管理的另一个表现是智能投顾的发展。在精准分析客户的基础上,结合金融大数据分析,可以对金融市场上的投资标的风险性、流动性、复杂性、收益预判等进行综合分析,从而为客户快速匹配投资标的,分散投资风险,并实现个性化的投资策略定制。
以期货行业为例,若期货经营机构有券商等其他金融机构的集团背景,能够实现金融全业务线的业务服务。若实现集团内的数据信息流动和共享,则经营机构能够运用全金融业务的数据进行分析、筛选,提炼出有效的信息为投资者服务。
投资操作
程序化交易的运用可以说是投资者对金融大数据运用的一个最重要体现。程序化交易是一种将交易策略交给计算机进行处理、判断和执行的交易方式。随着交易行情和交易数据的快速增长,数据的体量和来源不断增多,从如此巨大、繁杂的数据筛选、分析和进一步判断已然成为难题,而机器人的数据挖掘和学习则可以有效地解决这一难题,从而为投资者提升数据分析和交易处理能力。
C 金融大数据运用下的隐私权保护
虽然金融大数据的运用对于金融市场的参与主体都有着重要意义,但同时,我们也不能忽视大数据运用与生俱来存在的最大难题,即如何平衡大数据运用与隐私权保护的边界。
大数据广泛涉及、渗透个人隐私
隐私权是指与公众无关的、私人的事情,不为其他人所知所用的权利。在我国现行法律中,只有《侵权责任法》第二条明确提出隐私权并将其确定为民事权益。从《宪法》到《刑法》等其他单行法律、法规,虽然也都有与隐私权相关内容的表述,但都没有直接援引隐私权的概念。
隐私权作为一项民事权利,具有民事权利的权能。隐私权人对其本人的隐私依法享有占有、使用、收益、处分的权利。从法律意义上来讲,他人未经隐私权人同意,对其隐私进行收集、控制、运用、收益的行为都是侵权的。
而在大数据时代,信息抓取技术的运用使得人们在进行网络活动时,身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位、社交动态等,在不知不觉中成为大数据的一部分,继而被数据化存储于数据库中。隐私权人逐渐对其个人隐私失去占有、控制。占有、控制这些大数据资源的机构通过对个人数据的筛选、分析、重排后,可以获得个人画像。比如,金融大数据运用下,金融机构通过收集、抓取获取个人信息,可以通过个人的基本信息、投资经历、交易数据、信用数据等,对个人进行多维度的判断。可见,在大数据运用时代,个人在数据库中将是一个“透明人”,个人隐私呈现透明状态,隐私不再是隐私。
大数据无序应用致侵犯个人隐私案件频发
由于技术的局限性和个人隐私数据的价值性,个人隐私数据泄露、倒卖的事件更是时有发生。
2015年2月,汇丰银行大量秘密银行账户文件被曝光,涉及约3万个账户,这些账户总计持有约1200亿美元资产,堪称史上最大规模银行泄密。
2015年6月,工行快捷支付被曝存在严重漏洞,多位北京地区的工行储户遭遇存款被盗事件,犯罪分子借助非法途径截获短信验证码,轻而易举盗窃存款。
2015年10月,支付宝用户的实名认证信息下多出了5个未知账户,而且用户没收到任何形式的确认或是告知信息,不论是短信、邮件,或者是登陆后的站内信息都没有。此种类型的个人数据信息泄露的事件不胜枚举。拥有巨量个人数据信息的金融行业是数据泄露的重灾区。
2016年9月23日,雅虎至少5亿用户账户信息被黑客盗取除了电邮、出生日期等常规信息外,密保问题的答案,乃至一些个人专门开设的、毫无规律可循的二次加密密码也被盗取。
2016年4月,土耳其爆发重大数据泄露事件,直接导致近5000万土耳其公民的个人信息遭到威胁,其中包括姓名、身份证号、父母名字、住址等敏感信息。这些数据之后被黑客打包放在芬兰某IP地址下,人们可通过P2P任意下载他们感兴趣的数据。
D 建议:健全法规 加强监管
健全完善的隐私权保护法律体系
隐私权作为一项民事权利,对其保护的基本方法有两种,即预防和救济。预防来自于立法保护,救济来自于司法保护。
从立法保护来看,除了散见于《宪法》《刑法》等法律规定中的原则性规定外,2017年6月1日起施行的《网络安全法》是我国网络领域的基础性法律,明确了加强对个人信息保护。《网络安全法》规定,网络运营者应当建立健全用户信息保护制度;应遵循公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;不得泄露、窜改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息;不得非法出售或者非法向他人提供个人信息。
《网络安全法》的实施是个人信息安全保护的一个巨大进步,但是,从保护隐私权的角度来看还是不够的。对于隐私权的界定、隐私权的使用和处置、隐私权的救济方式等内容,还应当制定专门的法律如《隐私权保护法》等进行规定。对个人隐私权的保护,应当形成以《宪法》《网络安全法》《隐私权保护法》为基础,以《刑法》及其他单行法律为支撑的完整的法律保障体系。
从司法保护来看,在当前很多司法案件中,公民的合法隐私权益屡被侵犯,并被媒体或网络无限放大,但由于互联网的开放性、全球性、不完善性,以及隐私权侵权案件在侦查、起诉、取证、审判等方面存在诸多客观困难,导致隐私权通过司法救济的难度非常大。在司法保护方面,针对侵犯个人隐私案件取证难、举证难的问题,可适用过错推定原则,由数据控制者承担证明其自身不存在过错的责任。数据控制者本身在处理、使用数据时就须履行必要的注意义务,且其在取证、举证方面拥有技术与资金的支持,相较个人而言更具可执行性。
加强对金融大数据运用的监管
加强对大数据运用的监管,一方面要加强行政监管,另一方面要加强行业自律管理。
加强行政监管是指主管金融机构的行政监督管理部门,应为金融大数据的运用和客户隐私信息的保护提供行政监管保障,一方面,通过规定,明确金融机构获取客户信息的告知、采集客户信息的范围,对客户信息的保密、客户信息使用的范围,以及金融机构承担的责任等做出明确规定。另一方面,将客户隐私信息保护明确作为金融机构风险管理的重点内容。同时,监管部门应通过监管检查等多种方式对金融机构落实保护客户隐私信息进行监督。
2017年5月,中国人民银行成立金融科技(FinTech)委员会,旨在加强金融科技工作的研究规划和统筹协调。通过该举措,可以看到监管部门一方面更加强化监管科技(RegTech)的应用实践,积极利用大数据、人工智能、云计算等技术丰富金融监管手段,提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。另一方面在强化金融科技创新管理机制的同时,也充分考虑到处理安全与发展的关系。
同时,还应加强行业自律管理。行业自律管理组织可以根据监管部门的行政规定,因地制宜,因时制宜,结合行业特征,制定行业关于大数据运用及客户隐私信息保护的指引,建立《隐私权保护公约》,提供隐私权声明等文本,以充分发挥行业自律管理的作用,推动行业大数据运用的标准化,以及隐私权保护的有效性。
提高经营机构及个人的隐私权保护意识
由于受到历史传统、风俗习惯、文化背景、生活方式等多维因素的影响,我国的经营机构和公民的隐私意识相对来讲比较弱。因而,从根源来看,要加强对隐私权的保护,必须提高金融机构和公民的隐私权意识。
金融机构应当建立完善保密机制。一方面,增强员工法律意识,加强保密教育,与员工签订保密责任书。另一方面,加强对保密要害部门、要害部位和涉密工作人员的内控管理。此外,还要加强对业务外包单位及合作单位工作人员管理,及时消除风险隐患。
金融机构应当提高技术能力,加强金融系统信息技术的科技含量,运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新,确保信息及信息系统安全。
金融机构应当强化宣传教育,强化共同保护个人信息及隐私的意识。通过宣传教育,使公民明白保护其自身个人信息及隐私的权利和渠道。公民发现其个人身份信息、个人隐私被泄露、散布、滥用、买卖等,有权要求个人信息收集使用单位采取其他必要措施予以制止,并有权向有关部门举报、控告,直至依法提起诉讼。(作者单位:华泰期货)
责任编辑:陈近梅