互联网金融浪潮下的个人数据隐私保护

本文由《恒生世界》授权零壹财经转载

引言：

近期，大数据立法再次被提到最高法的日程上，个人数据的泄露已经越来越影响这个日趋浮躁的社会，金融行业无论是银行、证券、基金、保险等传统金融机构还是三方支付、个人征信、网络借贷等互联网金融企业，都是可以获取大量用户数据的企业。互联网金融经过数年的发展，大数据在其中起了越来越重要的角色。它是区分互联网金融和传统金融最主要也是核心的一个特征。随着其发展，用户市场上出现了一个明显的趋势：无论是高净值用户、还是普通投资者，对产品和服务的需求越来越个性化和多样化，这对于互联网金融公司提出了更多的挑战。

数据的生命周期

以互联网基金销售公司为例，掌握的是在投资最前沿所积累的用户数据，应该加大金融IT技术的投入，深挖用户价值，建立自己的用户体系，为后期互联网金融环境的构建提供数据支持。

互联网投资用户数据的挖掘和分析，能方便企业掌握投资者和潜在投资者的家庭收入、可支配收入、投资需求、风险偏好等有用数据。一方面能帮助企业识别用户特征，推送相关金融产品和服务，另一方面，用户的特殊需求也能很好的帮助企业进行金融产品设计和研发。大数据渗透在互联网金融的各个领域中，应用场景也在逐步拓展。比如个人征信，其基础就是多元化的数据来源。现如今的数据来源与传统信贷差异巨大，除信用卡数据、还贷数据、个人基本信息外，还包含了社交媒体数据、网络借贷数据、网络购物数据、搜索记录数据、其他相关的数据等等。这些来自非传统数据来源的数据，极大的丰富了个人征信的数据库，对准确定义一个人的信用评级，帮助很大。除个人征信外，不同的金融产品在不同的场景下对数据的需求都是共通的。无论是三方支付、还是网商银行、还是互联网保险理财业务等，数据的来源已经通过金融场景的拓宽随之一起变得越来越多元化，未来的大数据构成，肯定会有更多类型的数据进入互联网金融领域。

数据从来源上来说经历了很大程度的拓展，这些数据产生后，部分具有使用价值，而绝大部门可以说是无用无意义的数据，所以如何做数据挖掘，也是互联网金融对数据使用的重要过程。以支付结算为例，客户的支付金额和支付频率可以作为账户安全验证的一个维度深度挖掘，同时可以作为生产模型的参考，进而输出给风控模型，此外交易的地理位置和使用交易时手机的系统同样可以作为账户安全验证的一个维度，也是同理。数据挖掘对于互联网金融机构的作用在于可以有效的提取所有数据中对于自己有用的数据，而不用面对大量的数据垃圾而无法发现数据的价值。

互联网金融发展至今，数据的利用已经变的越来越丰富，可以说大数据甚至是很多金融产品的核心技术。从大数据挖掘出的金融服务手段的提升对行业的影响深远。传统金融机构在加入互联网金融角逐的过程中可以通过用户的资产、收入、交易等数据，按照行业、地域、用户、资产等不同维度，系统分析用户资产变动情况，信用状况，风险偏好，并形成有效的金融服务方案，打破业务直接的独立状态，形成有效的串联。这是数据被利用在现有的业务流程改造、现有客户价值提升以及用户身份证明上。而互联网公司通过用户浏览行为的数据、网络消费的数据、社交和搜索行为的数据，分析出用户网上行为轨迹，推断用户偏好，同时也是对金融数据库的补充。这是数据被利用在精准营销和征信模型（KYC）上。当然大数据分析不一定会被利用在最初的目的上，公司在业务上的拓展上肯定会利用原始的数据分析，这种情况在如今的互联网金融企业中也比较普遍。

互联网金融与三方的数据合作

大部分互联网金融在利用用户数据进行分析时，会多维度分析，多产品利用，这怎么理解？简单来说就是数据不仅仅被用于最初的目的上，比如你的网上交易信息，开始只是用于追踪你的日常交易，但是这样的数据结合其他信息，可以判断出你的收入情况，消费能力，从而对你的理财能力，包括经济能力有了一个大概，那么假如该企业将你的数据分析结果“卖给”一家网上卖货币基金的公司，你很有可能就会收到源源不断的骚扰电话。这当然只是个比方，真正以出售数据为生的企业并不会做这么麻烦的数据分析。

互联网金融企业内部可能会有这样的利用，有时候是为了用户的方便，有时候不一定，这个我们不予评论。但是当互联网金融企业与第三方共享你的数据时，是否经过你的授权，这其实是很关键的，在共享的一瞬间，你的数据就泄露了。而互联网金融企业或者说绝大多数企业，表示用户在使用我们的产品或服务的时候与我们签订了协议，里面很详细的对数据的使用做了说明，那么这又引出下一个问题：授权。在与用户授权互联网金融企业会向用户提供服务前均会与用户在线签署相关使用协议 ，在使用协议中均包含“隐私政策”，而“隐私政策”均涉及到诸如“我们可能收集的信息”，“我们如何收集信息”、“我们如何使用信息”，“我们如何分享的信息”，“我们如何保护信息”、“什么是Cookie”等告知条款。由此可见，协议授权方式以及明示告知已成为收集、利用个人数据的一种通行模式。在信息收集方面，“隐私权政策”中明确了收集信息的三种方式：1、用户主动提供的信息。即用户注册账户及使用网络服务时填写、提交的信息；2、网络服务商在用户使用服务过程中收集的信息。这部分信息主要包括在用户使用网络服务时，网络平台自动接收并记录的用户浏览器和终端设备上的信息；3、来自第三方的信息。这部分信息主要来源于服务商的关联方及合作伙伴。

在告知了如何收集信息后，网络服务商通常会说明收集到的信息将如何使用，此处的使用一般认为为服务商对内使用。除了如维护、改进所提供的服务，预防欺诈及违法违规等较为笼统的使用方式外，还包括所谓的“个性化推荐”，包括向用户发送产品和服务信息；通过系统向用户展示个性化的第三方推广信息；基于数据的组合分析向用户提供个性化服务等。我相信所有的企业都可以做到这点，但是有一个问题就是数据的使用，是否被用于最初的目的，这也是上文里面提到的，加上绝大多数用于在第一次使用时，不会去注意这些授权，甚至说有些就是“霸王授权”，不同意则不能使用。导致我们的个人数据隐私没有真正得到保护，这也是未来法律中有必要法令化和明确化的。企业究竟如何使用我们的信息，是否会为我们保护好我们的隐私，数据在如今这个时代没有被滥用，真的十分重要。

互联网金融企业尤其是以BAT为代表的超巨公司，有责任也有义务在大数据时代保护用户的个人隐私。现在人们的隐私保护概念还比较单薄，但终究有一天，当人们的维权意识和自我保护意识到达一定的境界时，我们需要法律，需要机构来维护我们自己的权利，而大数据的最初目的也是为了更好的服务用户，善用，勿滥用。