GDPR将如何影响金融科技行业？

金融科技以数据和技术为核心，是新兴金融服务业的一大标志。自互联网革命、移动互联网革命以来，金融科技扩展至金融领域的一切创新技术，如大数据、人工智能、区块链、云计算等。金融科技的适用群体也逐渐从金融行业拓展至各类企业乃至普罗大众。据2017年安永发布的金融科技采纳指数显示，目前全球1/3的消费者正在使用两种或更多的金融科技服务。金融科技在重塑金融业态和促进社会的包容性增长上功不可没。与此同时，金融科技企业在隐私权和信息安全上正面临新的规制环境。鉴于GDPR的效力范围，其将对金融科技核心技术的商用和创新产生溢出效应。

GDPR对人工智能商用的合规影响

人工智能的三种主要技术均需要专有类型数据的支撑。例如，机器学习需要大量的标签样本数据，模式识别偏重于信号、图像、语音、文字、指纹等非直观数据，人机交互则需要积累大量的用户数据。当下，人工智能正逐渐渗透至金融业KYC、贷款、风控、资产配置、保险等金融领域，需要符合GDPR要求。

（一）开展数字化投顾等自动化决策服务

数字化投顾（DigitalInvestmentAdvice）的业务边界在各国实践上有所不同，对其界定也无共识。概念源于2016年美国金融业监管局发布的数字化投顾报告，从监管者视线出发，无从也无必要对各类商事主体提供的人工智能技术予以度量，无论是机器人或是人工智能投资顾问，无论服务商采取何种方式实现商业模式的智能，其输出形式均可统一认定为数字化投顾。有了大量数据输入的人工智能，能够根据消费者经济情况判断其风险承受能力，预测金融市场走向继而给出个性化的理财规划。市场对数字化投顾普遍看好，花旗银行预测至2020年该市场AUM有望突破2.2万亿美元。

GDPR对基于大数据分析的自动化决策采取了审慎态度，对可能发生的算法歧视进行了立法预防。GDPR规定，控制者在获取个人信息时，为确保处理过程的公正透明，应当向数据主体提供相关信息，说明是否存在自动决策机制，以及在存在自动化决策的情形下，提供逻辑程序以及此类处理对于数据主体的意义和预期影响相关信息。同时还规定，当自动化决策将对数据主体产生法律效力或造成重大影响时，数据控制者应实施适当措施保护数据主体的权利、自由和合法利益，保证数据主体对数据控制者的人为干预权表达观点和异议。

因此，从事数字化投顾的企业应当为客户提供自动化决策有关信息，并为客户提供表达观点和质疑的途径。对于数字化投顾的算法公开问题，涉及商业秘密、知识产权保护等问题，能否以及向数据主体披露到何种程度，欧盟29条工作组就此问题发布的指南提出，对于自动决策，数据控制者并不必然要解释完整的算法，面对用户，用尽可能简单的方法告知算法的基本逻辑或标准即可。

（二）生物识别技术应用于金融交易

生物识别技术是对个人生理及行为特征的测量及统计分析，正在被越来越多地应用于支付等金融服务中，用于识别或是辅助识别用户的身份，并有望成为金融交易中采用的主要识别形式之一。生物识别相关的生理特征包括DNA、指纹、脸部、手部、视网膜、耳部特征以及气味，行为特征包括手势、声音、打字的节奏以及步态等。生物识别技术的商用前景广阔，可增强金融交易的安全性，并为用户提供极佳的“无感式”身份识别体验。

GDPR将涉及健康、基因数据、经处理可识别特定个人的生物识别数据定义为敏感数据。企业需慎重对待此类特殊数据，不仅要在获取数据时需要征得数据主体的明示同意，作为数据控制者或处理者还需承担对数据的安全保障义务，在技术和管理措施上采取必要措施，包括委派数据保护官（DPO）、在处理个人敏感数据时还需满足相关成员国的条件，发生数据泄露事故时及时履行报告义务等。

GDPR对大数据技术商用的合规影响

大数据产业是以数据生产、采集、存储、加工、分析和服务为主的经济活动。大数据对金融领域的创新影响力强，数据维度越丰厚，用户画像越精细，企业所能触达的业务会越多元。大数据技术应用于精准营销、信用评估等业务均将受到GDPR影响。

（一）描摹数据画像用于精准营销和信用评估

数据画像是对数据和个人信息汇总和分析，为特定个体或人群的特征刻画标签，并根据其需求和企业服务优势提供差异化服务，可提高产品推送的精准程度、增强用户黏性。数据画像主要应用于精准营销和用户信用评估等业务环节。

GDPR对数据画像有明确的定义，是指对个人数据进行任何自动化处理，包括利用个人数据评估与自然人有关的特定方面，特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、信誉、行为习惯、位置与行踪相关的分析和预测。使用用户画像若涉及对数据主体产生法律影响或其他重大影响，需符合以下要求：或取得欧盟或其成员国明确授权；或是用户画像对数据主体与数据控制者签订或履行合同是必要的；或是基于数据主体的明确同意。

在大数据业务模式中，大多数情形下使用用户画像很难说对于数据主体与数据控制者的合同签订或合同履行是必要的，因此，在绝大多数情形下，需要取得数据主体对使用用户画像的明确同意。对此，企业应当告知数据主体提供用户画像的相关逻辑，包括对于数据主体产生预期后果的相关信息，并且告知数据主体享有对用户画像的反对权。此外，针对特殊类型个人数据，例如宗教信仰、政治观点、性取向、性生活、基因或者健康数据等敏感数据，除非数据主体明确同意基于特定目的而授权处理其个人数据（但成员国仍然可就基因数据、生物特征数据或者健康相关的个人数据处理采取维持、限制或者其他措施），否则基于特殊类型的个人数据处理将被禁止。

此外，尽管GDPR中未对数据画像算法提出可解释性要求，但是，社会对算法透明、算法向善的预期依然是数据画像商用在伦理层面所面临的挑战。对此，企业应定期开展算法审计，以保证客户不受歧视，并为客户提供允许表达观点和质疑商业决定的途径。

（二）追踪消费者网络行为推荐定向广告

网络行为定向广告是大数据技术应用于广告行业的产物，主要是利用算法追踪消费者的搜索、浏览、成交等网络行为，继而构建模型计算消费者的购买偏好，推出定制化广告。

定向广告倚赖对信息的搜集和分析，市场上部分网站通过cookie等技术对用户的网络行为进行记录。移动互联网技术出现后，还可能涉及对用户实时地理位置（行踪轨迹）的记录。GDPR将个人数据定义为可用于识别自然人（数据主体）的任何信息。例如该自然人的姓名、电子邮件地址、IP地址、位置数据，或自然人所特有的遗传性、精神性、经济性、文化性或社会性身份因素。对于网络设备、应用、工具、协议中留存的cookie痕迹，如果具有唯一指向性，这些cookie信息可生成个人档案识别具体自然人，即具有身份识别性。GDPR第26条前注说明，当数据可被用来直接或间接识别自然人时，那么其就是个人数据/信息。这意味着不是所有但大部分被用来识别用户的cookie信息要受GDPR规制，这就包括有关广告、功能服务之类cookie信息。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!