7月2日,中国人大网发布《数据安全法(草案)》(下称“草案”)。
草案共七章五十一条,主要内容包括:确立数据分级分类管理以及风险评估、监测预警和应急处置等安全管理基本制度;明确开展数据活动的组织、个人承担数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,规定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。
随着信息技术和人类生产生活交汇融合,各类数据迅猛增长、海量聚集,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。数据安全已成为事关国家安全与经济社会发展的重大问题。党的十九届四中全会明确将数据作为新的生产要素,推动互联网、大数据、人工智能和实体经济深度融合。
草案的出台,对数据从业者和金融机构将带来什么影响呢?
数据从业者何去何从?
2017年5月开始,监管部门严厉打击违法开展数据活动的行为。最开始,15家大数据公司被列入调查名单。后来最多时,被调查的公司名单高达30多家,其中不乏估值超过几十亿的大公司。
2019年9月,大数据行业再次震荡,仅半个月时间,便有6家公司先后被爆出负责人被带走调查或公司已暂停、调整业务等消息。最开始,大家以为只抓“爬虫公司”,但很快数据交易公司、征信公司等都被调查。
这一度让数据行业风声鹤唳,如履薄冰。
这次草案的发布,规范数据活动,完善数据安全治理体系,以安全保发展、以发展促安全。对数据从业者是一个机遇和挑战,主要原因有下面几点:
(1)数据流通和商业变现变得规范。从草案第八条、第二十九条来看,企业或个人作为数据的拥有者,将切实得到经济价值;能持续自我产生数据的企业将会变得稀缺和重要,而仅靠数据采集加工的企业会面临淘汰及越来越多侵权诉讼的境地。
(2)数据分级,明确有可为有所不为。从草案第十九条,让数据公司放开了手脚,明确了“红线”。政府有关部门从源头上明确那些数据属于重点保护,绝对不可触及;而其它数据可以有条件或者免费向公众开。
(3) 数据安全领域将有一波新的创新红利。草案第十四条明确,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系。由此来看,数据安全咨询和培训、安全漏洞扫描、安全系统建设、数据安全事件监测预警以及数据中台建设等,将会是一批公司开拓业务的新方向。
(4)牌照化经营,明确惩罚机制。草案第四十三条规定:从事数据交易中介机构,负责审核数据提供方的资质和交易双方的身份信息;提供在线数据处理服务的服务者,要依法取得经营业务许可或者备案;数据交易中介机构,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以同时由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
对金融机构使用数据有何影响?
大数据的应用价值不仅对金融机构财务指标有直接影响,而且也推动金融机构的商业模式变革。金融机构通过构建场景,金融业务切入,最终通过大数据变现。
普通金融机构一年在数据上的采购费用少则几百万,多则上千万。而草案的出台,一方面规范数据的合理使用,同时对金融机构也是利好,主要原因有:
(1)数据来源更加规范合理。大数据开启智能时代,行业要想健康发展,数据源的合法合规,尤其重要。以前的大数据行业良莠不齐,其实存在很多表面高大上,号称高科技,其实就是收集黑产数据公司。而通过牌照和资质筛选,保留下来的是政府认可的合法合规数据公司。
(2)降低数据接入成本。草案第三十八条、第三十九条要求,国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用;同时构建统一数据规范,部门间数据互联互通。这从根本上让金融机构获取数据更加方便,减少系统做多源接口备份方案,避免重复建设。
(3)专注数据应用,提升业务变现能力。草案要求提高政务数据的科学性、准确性和时效性。如此,能促进社会信用体系发展,而金融机构应用更加及时、权威的公共数据,能减少坏账损失。
对金融机构应用数据的建议
金融机构应用数据需要注意些什么呢?根据草案第四章,提出如下建议:
(1)落实主体责任,在组织内做好数据安全教育。保障数据安全,落实数据管理部门以及相关负责人的主体责任。按照规定建立健全流程数据安全管理制度,采取相应的技术措施和其它必要措施,保障数据安全。除使用先进技术外,还要避免数据人为泄露或者删库跑路事件,防止组织的商业数据、保密数据、敏感数据的丢失和泄露。
(2)定期安全风险监测,对系统进行漏洞扫描。在我上一篇公众号《这些APP在偷窥你的隐私!》文章中有提到,黑客利用平台漏洞,收集网站和APP应用程序的个人信息。而第三方SDK也存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险。
(3)定期对数据活动开展风险评估,出具报告。草案第二十八条规定,风险评估报告包括本组织掌握的重要数据种类、数量、收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。
(4)采集用户数据要经过合法授权。不得未经用户允许采集信息,不得过度采集用户信息,不得滥用数据牟利。
“谁无暴风劲雨时,守得云开见月明”!《数据安全法(草案)》《网络安全法》和尚在制订中《个人信息保护法》,通过法律条文的形式,推动了数据时代的快速发展,让数字经济产业的良性发展迎来曙光。