2021年6月10日，《中华人民共和国数据安全法》（简称《数据安全法》）正式出台，这是中国数据安全领域的首部基础性法律规范，也是国家安全领域的又一重要立法。

　　《数据安全法》的出台，及时地回应现有数据安全领域的突出问题，有利于更好地规范数据处理活动，保障数据安全，促进数据的有序开发与使用。在数字经济的大环境下，金融科技企业是早期的推动者和践行者。金融科技企业的创新探索推进了数字经济的蓬勃发展，数字经济的全球化也进一步拓展了金融科技企业的经营领域与发展前景。同时，技术的革新为数据使用的安全性提出了新挑战。在优化营商环境、包容审慎监管的政策背景下，虽然国家不断强调要为金融科技企业的创新发展提供便利，减少阻碍，但金融科技企业也应主动、积极、及时地回应和践行立法，有序且合规地进行技术研发或经营活动。

　　信息、数据与数据安全

　　《数据安全法》所定义的数据是指任何以电子或者其他方式对信息的记录。而数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。那么，《数据安全法》中的“数据”与《个人信息保护法》中的“信息”有什么区别呢？一般认为，“数据”是一种客观的，以数字的形式对事物/事件的客观记载，是信息的载体；而“信息”，特别是“个人信息”，是一种主观的，与个人权益更为直接关联的，个人数据的表达和理解。在《数据安全法》层面，一方面，强调规制的“数据”，没有特定性；另一方面，是对金融科技企业提出一种宏观性、指导性的数据安全保护要求，针对的是金融科技企业对信息的客观记录行为，规范其普遍性的数据使用、处理活动。 

　　金融数据的处理活动应具有正当目的

　　在网络技术空前发展的背景下，信息优势就是资源优势，掌握了信息优势就掌握了经济主动权，企业主体为保证经济实力，获得市场的优先地位，必须保证数据处理活动具有正当目的。那么，什么才是“正当目的”呢？我们认为，至少包含以下三类。

　　第一，通过数据分析研判市场需求，提升服务质量。

　　《数据安全法》第二十八条规定，开展数据处理活动以及研究开发数据新技术，应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理。因而，金融科技企业可以利用数据研判市场需求及经济可行性，进而判断经营计划或决策能否满足企业的发展目标，从而使企业经营决策更加科学与合理。

　　为上述目的进行的金融数据处理活动主要包括用户画像和大数据分析。

　　用户画像。即从企业消费群体的消费习惯、年龄、职业特点等数据，判断企业经营活动的侧重点，把握营利活动的主攻方向和产品、服务的定位，如通过产品或服务获得的消费者消费习惯、年龄、职业、收入等个人信息，可以针对特定主体进行产品或服务推荐，使企业的营销活动更加具有针对性或效率性。或者通过对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等数据的筛选、整合，将具有相同或类似特征的消费者进行分类，明晰其潜在的消费因素，通过程序分析出较为贴切的产品或服务，使企业的经营活动更加符合大部分消费者的需求和经济水平。

　　需要注意的是，根据《电子商务法》第十八条的规定，金融科技企业如根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。同时，金融科技企业在进行用户画像时，往往需要对数据进行汇聚融合。根据相关行业标准，对个人金融信息汇聚融合时应注意：第一，汇聚融合的数据不应超出收集时所声明的使用范围。因业务需要确需超范围使用的，应再次征得个人金融信息主体明示同意。第二，应根据汇聚融合后的个人金融信息类别及使用目的，开展个人金融信息安全影响评估，并采取有效的技术保护措施。

　　大数据分析。金融科技企业可以基于消费主体的个人信息大数据，运用计算机程序剖析不同产品或服务的经济发展潜力，合理投放经营资源，评估经营策略的可行性，从而减少企业的经营风险。例如，企业可以从现有客户的位置信息等数据大概判断一个实体经营方位，根据某一区域的客户密集程度考虑实体门店的位置。这样，既能够较好满足经营活动目标，又可以扩大潜在客户群体的接触面积，增强产品或服务的影响力。企业在面对消费主体的产品或服务需求的时候，可以利用消费主体的个人信息数据判断消费主体是否具有相关资格或资质，满足企业对经营风险的最低要求，如在借贷类企业运用自动化决策分析申请借贷者的相关经济风险以及还款能力。

　　需要注意的是，利用数据进行商业分析的过程是企业自身内部的使用行为，并且建立在个人信息所有者事先授权同意的基础之上，要保证分析过程中参与人员的信息保密义务，杜绝信息泄露行为，避免给个人信息主体造成不必要的精神或财产损害。

　　第二，配合、协助国家机关的司法和执法活动。

　　企业在经营活动中获取的数据可以作为司法或执法的重要证据，能够为司法或执法过程提供重要的协助。企业提供司法或执法协助所依据的个人信息不仅限于企业所获取的消费主体个人信息数据，也包括企业内部员工或其他主体的信息数据，如企业在提供产品或服务的同时，可能会保留消费主体的姓名、付款账号、电话号码等个人信息，以便实现良好的售后服务或者安全保障。

　　企业提供司法与执法协助的方式包括主动和被动两种：被动提供是指司法机关或执法机关向企业取证，企业基于法定义务主动提供所获取的个人信息数据，协助司法或执法机关办理案件。主动提供是指企业基于敏感的法治嗅觉查验获取到的个人信息中可能表明或表征违法违规的因素，企业基于相关违法违规的个人信息依法依规进行举报、报案的过程，也包括企业与司法机关或执法机关建立合作共享的监管平台查验个人信息中可能包含的违法行为线索。例如，通过“寄递e通”APP，快递员通过手机扫描身份证件，寄件人的实名信息等基础信息一目了然，这些信息被发送至监管后台，使监管部门和运输企业对寄递物品运程信息随时掌握。通过这种方式，成都快递企业通过寄递物流清理整顿发现涉毒线索，协助公安机关破案并查获毒品。

　　第三，维护公共安全。

　　出于维护公共安全的需要，企业在公共场所安装图像采集、个人身份识别设备，所收集的个人信息除个人单独同意外，只能用于维护公共安全，不能随意公开或向他人提供。在公共场所安装图像采集、个人身份识别设备所收集的个人信息的唯一目的就是维护公共安全，不能作为商用或数据分析。这主要是从政府监管和个人信息泄露的角度出发进行考虑，如果放宽企业权限，允许其在公共场所设置个人信息收集的设备，并且所得的个人信息能够作为数据分析和盈利的基础，那么不仅仅是普通个人无法在公共场所获得应有的个人信息安全，而且严重增加政府监管范围，造成行政、司法等机关的工作压力。企业在公共场所安装图像采集、个人身份识别设备，不仅是公共场所营利单位为保障公共安全的方式，而且为相关政府或司法部门提供便利，公共场所的安全维护应该由相关营利企业与相关行政、执法、司法部门共同保障，企业通过安装相关设备为公共场所的安全保驾护航，而且相关执法和司法部门也可以通过企业安装设备收集的个人信息获取相关办案线索。

　　金融科技企业对数据负有安全保护义务

　　金融科技企业基于正当目的获取与使用数据时，对其获取及使用的数据负有安全保护义务，尤其要注意数据共享过程中的合规并关注违法获取、使用数据的法律后果。

　　第一，数据共享的合规问题。

　　数据共享是企业之间为达到互惠互利的结果而选择的资源共享方式，通过共享获取的数据而增强企业的经营能力。但是这种数据中也包括企业获取的个人信息。企业之间就个人信息的收集与使用建立数据共享机制，在一定程度上可能造成对个人信息的不当侵益。

　　具体到金融数据，相关问题可能更加复杂。根据相关行业标准，金融科技企业与其他主体共享金融数据时，要充分重视数据转移或交换过程中的安全风险，并至少做到：第一，在共享前，应开展个人金融数据安全影响评估，并依据评估结果采取有效措施保护数据安全。第二，在共享前，应对数据接收方进行数据安全保障能力评估，并与其签署数据保护责任承诺。第三，在共享支付账号及其等效信息时，除法律法规和行业主管部门另有规定外，应进行脱敏处理；因业务需要无法使用支付标记化技术时，应进行加密。第四，应部署数据防泄露监控工具，监控及报告个人金融数据的违规外发行为。第五，应部署流量监控技术措施，对共享的数据进行监控和审计。第六，应根据“业务需要”和“最小权限”原则，对个人金融数据的导出操作进行细粒度的访问控制与全过程审计，采取两种或以上的鉴别技术对导出数据操作人员进行身份鉴别。

　　即使数据共享的现象已经普遍存在，并且产生相应的经济动力，但这并不能掩饰数据共享机制给数据安全特别是个人信息安全带来的弊端。因数据共享而造成个人信息的不当利用和泄露，实质上会给个人信息主体造成权利的损害。信息主体对数据共享机制中的个人信息是具有权利的，企业等主体在进行数据共享时，应充分尊重个人信息的权利主体的意愿，在取得授权同意的前提下进行数据共享，而不是直接采用“拿来主义”，对于已经公开的个人信息，其共享和利用不用受到严格限制。

　　第二，违法获取、使用数据的法律后果。

　　企业违法违规获取、使用数据主要分为两种：一种是作为型，即利用非法获取的个人信息进行违法犯罪等活动，以获取不正当利益。如曾有犯罪分子成立公司先后研发出两款没有实际贷款功能的APP产品，并投入资金通过网络进行推广宣称可以贷款，利用被害人急需借钱的心理，引诱被害人在该两款APP软件填写个人信息注册，从而非法获取公民个人信息，并将获取的信息转卖牟利。另一种是不作为型，即未设置良好的信息防御系统，或者企业数据监管保护机制存在缺陷等，为违法分子获取个人信息提供可乘之机。

　　针对这类问题，《数据安全法》为相关主体设定了严格的法律责任。根据该法第四十五至四十八条规定，对违法实施金融数据处理活动的组织、个人，有关主管部门可以作出两百万元的罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；如果违反国家核心数据管理制度，危害国家主权、安全和发展利益的，则可处以最高一千万元的罚款，构成犯罪的，依法追究刑事责任。

　　（作者陈悦系安徽大学管理学院讲师，澄观治库研究员，法学博士；王凌光系广州大学粤港澳大湾区法制研究中心研究员、澄观治库高级研究员）