扫描分享

本文共字,预计阅读时间

数字化时代,数据是重要的生产要素,而企业应如何选择数据供应商,以及如何保障业务合作的合法有效、风险可控,成为棘手的现实难题。

特别是反欺诈、大数据风控等领域,供应商的数据污染将导致决策失效。如某放贷公司故意将正常履约用户标记为逾期用户,并将相应数据传输至第三方数据服务公司。当其他放贷公司查询第三方数据服务公司时,发现该用户为逾期用户而因此拒贷。对于借款用户而言,其除了在上述放贷公司能够续借成功外,在其他平台均被拒贷。对于第三方数据服务公司而言,其接受了标记错误的数据且向其客户提供查询服务将导致其客户决策失效并蒙受直接或间接的经济损失。并且,由于大数据自动决策(风控黑箱)日益成熟,目前的金融机构逐渐开始依赖第三方数据服务公司的风控数据服务(金融机构的征信数据并不能完全反映用户的真实信用状况,部分用户在非金融机构的多头借贷情况严重),且数据服务公司的服务输出更多以评分或评级的方式提供给其客户,导致在整个数据流里,数据污染问题难以稽查以及更正成本较高。

因此,对于企业而言,其不仅要对重要合作的数据供应商开展尽职调查,还要追溯数据供应商的数据来源以及其上游数据供应商的相关情况(数据生命周期)。

再以短信营销公司的手机号码数据问题为例。通过公开信息获取手机号码的一般方式为:根据《电信网码号资源管理办法》及其附件《电信网码号资源分类管理目录》,我国电话号码为11位,其中各段有不同的编码方式,前3位为移动通信网号(MAC),第4-7位为归属位置识别码(H0),第8-11位为用户号码。我国移动通信网号用于区分三大运营商,归属位置识别码按照地域进行分配,用户号码则随机生成。基于电话号码编制规则,电话号码段获取具体过程如下:(1)MAC为网络公开信息,通过公开检索即可获得,并能区分出运营商;(2)H0也为公开信息,通过公开检索可获得所有号段及归属位置识别码;(3)用户号码可通过序列号段进行补充。如已知MAC为137,四位H04509,即可自动序列生成13745090000、13745090001、13745090002........13745099999,共10,000个手机号码。

业内普遍的手机号码数据获取方式包括算法随机生成、公共网络爬取、脱敏数据批量采购,但也存在例如通讯录越权爬取、黑客攻击、内部员工泄露等以及相关黑灰产等,且由于合规路径获取数据的成本较高,导致业内存在大量违法交易/交换与手机号码相关的公民个人信息。如企业明知数据供应商的数据来源违法依然非法获取/购买的,则将涉嫌构成侵犯公民个人信息罪或掩饰、隐瞒犯罪所得罪。且即使企业不明知上述情形,但经黑灰产多次转手的数据一般污染严重,如为提高卖价,往数据里添加大量假数据以增加数量并使其混淆无法区分。

但不管如何,就目前的法律环境与市场竞争而言,企业无法做到绝对的数据合规,我们只能基于不同的业务场景,在商业利益与合规成本间需求相对优解,并对可预期的法律风险进行动态控制与防范。

《数据供应商尽职调查清单》示例:

网络安全一般义务

  • 企业是否制定符合《网络安全法》的网络安全制度、落实网络安全负责人以及相应执行情况
  • 网络安全相关技术措施(包括内部以及外部采购)
  • 网络日志监控并至少留存六个月的相关情况
  • 数据分类分级管理
  • 安全应急预案
  • 产品/服务是否符合国标的强制性要求
  • 是否为其产品、服务持续提供安全维护(包括内部以及外部采购)
  • 是否通过等保,等保等级是否与企业业务/产品相适应
  • 数据来源是否合法合规(溯及数据最上游)
  • 数据加密技术措施及处理情况
  • 保险合作情况
  • 是否有任何网络安全以及数据方面的不良记录(刑事立案、行政处罚等)

网络安全特别义务(关键信息基础设施运营者)

  • 确保支持业务稳定、持续运行的性能(关键信息基础设施“三同步”原则:同步规划、同步建设、同步使用)
  • 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查
  • 网络安全相关技术措施(包括内部以及外部采购)
  • 网络日志监控并至少留存六个月的相关情况
  • 数据分类分级管理
  • 应急预案
  • 定期进行安全教育,技术培训和技能考核
  • 重要系统和数据库容灾备份
  • 采购产品和服务,通过国家安全审查,签订安全保密协议
  • 每年对网络安全和风险进行一次检测评估,并将结果和改进报送相关部门
  • 个人数据和重要数据境内存储
  • 保险合作情况
  • 是否有任何网络安全以及数据方面的不良记录(刑事立案、行政处罚等)

合作前数据合规尽调

  • 绘制双向数据流转图(数据全生命周期),包括企业与数据供应商间的数据流情况,以及数据供应商的数据流情况
  • 数据流图表所涉及的数据应包括存储在服 务器、网络、第三方数据中心以及云、办公设备(台式机、笔记 本电脑、U 盘、移动硬盘、手机以及其他设备),联网设备以及工业控制系统中的数据等任何与公司业务相关的数据;
  • 区分数据合作中的个人信息、敏感个人信息以及其他涉及知识产权、商业秘密等重要数据;
  • 与数据供应商的合作涉及开放访问的系统权限,权限范围与级别等
  • 与数据供应商的合作与公司生效的隐私政策以及用户协议是否冲突
  • 与数据供应商的合作是否违反任何适用的法律法规或部门规章
  • 数据业务合作合同的相关权利义务安排

合作中数据合规尽调

  • 合作前绘制的双向数据流转图是否真实有效执行
  • 企业的数据收集使用的合规情况
  • 数据供应商的数据收集使用的合规情况
  • 数据处理后是否无法识别特定个人且不能复原,是否存在可反向识别或复原公民个人信息并使用上述信息的情形
  • 数据授权是否符合三重授权原则
  • 是否存在数据供应商的转授权情形
  • 是否存在将数据用于未经授权的用途的情形
  • 是否存在任一方可单方解除合同的情形
  • 保密义务履行情况

对数据业务合作合同尽调的重点审查内容:

  • 对数据库的合同保护及相关法律保护(版权、商业秘密或其他权益)
  • 数据的所有权(基础数据的所有权人、利用获得授权的数据得出的新数据或其他衍生作品的所有权等)
  • 授权许可(授权范围、权利限制、使用用途、转授权、竞争对手排除、数据合并限制以及其他权利义务等)
  • 匿名化(合作仅限于经匿名化处理的数据、严禁反向识别或复原公民个人信息以及严禁使用上述信息、严禁将数据用于未经授权的用途以及其他权利义务等)
  • 保密责任(信息披露限制、安全保密措施要求、涉及转授权的,则要求有权访问数据库或获取数据的第三方,应遵守与本数据业务合作同等的保密义务)
  • 数据水印(约定可通过增加伪数据、不可见字符、可替换数据、单一分发源数据等方式,对数据流进行追溯)
  • 单方解除权
  • 费用(结算方式、价格保护)
  • 审计(指定、时间、次数、费用承担)
  • 保证条款
  • 免责条款
  • 违约责任

相关条款示例,仅供参考:

  • 乙方保证其向甲方传输用户数据前应已获得用户的充分授权,并保证传输过程中的信息安全。
  • 未经甲方书面同意,乙方不得在任何业务、场合中使用包括但不限于甲方的品牌、商标、标识、企业字号等。
  • 乙方不得擅自将甲方产品进行任何的改动(包括但不限于软件名称、格式、数据、图片等)。乙方保证非经甲方事先书面同意,不对甲方产品进行反向工程(reverse engineer)、反向编译(decompile)或反汇编(disassemble),不得破坏其完整性(包括程序代码、数据等),不得删除其上的有关甲方版权的说明或申明等信息。
  • 乙方应保证其信息服务平台及信息服务行为的合法性和正当性,若乙方平台因合法性存在问题、侵犯第三人权益等行为造成甲方损失的,应全额予以赔偿。
  • 在本合同项下,如乙方的推广服务涉及搜集、传递客户信息,均视为乙方已获得用户合法有效授权。乙方除了应确保已获得客户关于搜集、使用该类信息的合法授权外,还应采取合法有效措施确保客户信息的安全性、隐秘性。
  • 乙方承诺因信息服务行为而点击/下载/安装/注册甲方产品的用户均为用户自愿行为,乙方未实施任何不良诱导及强制用户点击/下载/安装/注册的行为,乙方不得利用以下手段对合作内容进行推广:(1)强制用户点击、浏览;(2)利用或引入运营商流量(包括但不限于移动、电信、联通等运营商);(3)通过病毒程序、强行设置首页、劫持地址栏或浏览器、篡改用户缓存数据;(4)在用户正常浏览过程中,通过修改URL 参数或弹窗等形式劫持甲方自然流量。如乙方违反上述承诺而产生的用户,甲方有权拒绝该部分的结算。如乙方违反上述约定引起的全部法律责任,乙方应为此承担其所带来的全部及连带责任。
  • 乙方应当遵守国家法律法规关于公民个人信息保护的相关规定,包括但不限于应当采用合法方式搜集公民个人信息,并且未经被收集者同意,不得将合法收集的公民个人信息向他人提供(如未获得公民同意,该等信息应当是经过处理无法识别特定个人且不能复原)。因乙方违反相关法律法规招致的行政、民事、刑事责任或第三方向甲方的索赔概由乙方承担,如甲方已支付有关罚款、对第三方赔偿的,乙方应及时向甲方支付该等款项。
  • 除为履行本合同外,甲方使用乙方服务的环境只能在其内部与外网隔绝的内部审核系统中,不得在互联网页面和各类外网客户端开设审核入口或出口;甲方不得将乙方提供的服务接口、账号与公开开发端口对接,或与甲方用户直接对接,不得将使用乙方服务的接口或账号转交或转让或转接其他第三方使用,不得允许第三方通过甲方通道连接乙方提供的服务接口。

数字化时代,企业的数据合规,将如同安全生产与用工合规一样,成为每一家企业的风控标配,而对数据供应商的尽职调查,也将成为日常业务合作的流程惯例。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

评论


发表评论
您的评论提交后会进行审核,审核通过的留言会展示在上方留言区域,请耐心等待。
猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。