本文共字，预计阅读时间。

文/张跃星 陈昱彤

随着数据市场中新的数据源和数据类型不断涌现，越来越多的数据被用于金融产品、服务与风险管理的创新等各个方面，金融机构使用第三方数据机构来为其赋能的现象已经非常普遍，金融行业正在成为数据驱动型且数字化程度越来越高的行业。一方面，数据的采集和应用使得更多的人群获得了金融服务，推动了普惠金融的发展；另一方面，也产生了数据滥用和数据隐私泄露等风险。

数据机构作为数据市场的重要参与者，不断地渗入到金融服务领域之中。例如，信贷业务从获客、贷款审批、贷后监控到清收的整个生命周期过程都需要数据机构的服务来支持，其他的非信贷金融产品同样如此。近几年来，以银行为代表的金融机构与数据机构的开放合作渐渐成为一股潮流。特别是一些中小型金融机构由于自身信息技术能力较弱，在数据资源和IT系统建设方面都存在明显的弱势，于是希望通过与数据机构的合作寻求相应赋能并提升运营效率。金融机构与数据机构的合作按照应用场景进行分类主要包括：营销获客、资产定价、风险管理、市场调查。

营销获客

金融机构与数据机构合作实现营销获客的主要模式为金融机构根据自身营销需求向数据机构购买客户数据信息，其中中小型金融机构展现出了更广的需求面。一般来说，中小型金融机构自身数据库不够全面，比如可能缺少社交媒体、商品购物等第三方平台数据。为了对客户进行画像进而推动个性化、定制化精准营销，投放产品和广告，中小型金融机构会向数据机构购买用户数据以补充相关的数据维度。此外，金融机构为了提升金融产品的销售额，也会选择向数据机构购买一些潜在客户的数据信息，进行电话营销以及互联网在线营销等，以实现高效获客。

这种购买数据的服务一般较常运用于银行和保险公司，例如，银行的信用卡中心会向数据公司购买满足一定收入条件的消费者名单等，进行获客引流，或者获得更多数据对用户进行更好地画像，以更有助于实现精准营销；保险公司会根据所售卖保险产品的需要购买符合特定条件的名单。

资产定价

随着普惠金融的持续发展，金融机构，特别是中小型金融机构，开始重视长尾客户，包括借贷、保险等领域。中小微企业过去在传统金融机构办理业务时常出现资产被低估导致的获贷难、额度低等问题，这些问题的主要来源有三个：数据不足、业务性价比低、相关行业经验不足。在数据源方面，金融机构可以从数据机构获得更多该企业的资产数据进行多维度企业画像以支撑建模。在行业经验方面，数据机构可以通过市场调研，通过比对相似资产的市场定价形成较为准确的估值。在前两项技术的基础上，金融机构和数据机构有机结合，通过整合分析多维度企业行为数据生成中小企业资产评估和定价、保险资产评估和定价等。在形成自动化估值模型后，业务成本大大降低，提高了获客效率，解决了中小企业融资难、投保难、效率低、额度小等问题。例如，中证信用以场景为入口，为中小型企业提供资产评估和信用评级。数据机构通过技术赋能和运营赋能，设计适用的产品并匹配风险偏好适当的资金，为中小企业提供“全面、灵活、简便、合理定价”的助贷服务。

风险管理

金融领域以风险管理为核心，风险管理需要大量的数据进行建模。很多中小型金融机构的风险管理能力较弱，需要借助第三方数据机构的服务，改进其风险管理的方式和度量方法，帮助提升其风险管理能力。因此，风险管理也是金融机构与数据机构合作的主要类型之一。金融机构践行普惠金融的难点有两个：一是缺少有价值的数据；二是没有基于数据分析建立风控的能力。而数据机构拥有丰富的数据源以及更强大的分析建模技术，能够帮助金融机构精准地评估小微客户。

一方面，数据机构会利用大数据、人工智能等技术对业务数据进行分析与挖掘，建立各业务场景下的数据模型或设计像信贷评分之类的产品，可以供金融机构用于包括信贷风险控制等诸多场景，能够有效解决金融机构践行普惠金融的难点，高效率、低成本去识别和判断小微企业经营以及个人违约的风险。例如，网商银行借助母公司阿里巴巴基于自身付款平台和电商平台交易信息创建的芝麻信用分这一信用评级产品，创建相应的风险控制模型，并一直不断地提供大数据分析改进其风险控制。借助数据和科技等的加持，截至2019年底，网商银行发放贷款及垫款余额700.3亿元，已累计为2087万户小微企业和个人经营者提供服务，网商银行贷款不良率仅为1.3%。另一方面，数据机构对于市场风险的准确预测分析能够为金融机构提供欺诈检测服务，通过对市场风险建立预警机制，对风险的变动进行实时的捕捉，助力金融机构提前识别欺诈交易风险，降低因欺诈、信用违约等所导致的坏账风险，从而有效地控制成本。具体来说，数据机构可通过引入市场新闻、舆情、社交信息、政策变化，以及其他机构的信用数据，挖掘各方信息建立不同纬度的风险评估体系，对广义的不可控因素进行建模。金融机构可以通过自身需求实现定制化系统建设，从而获得量化的风险评估体系和指导方针。

市场调查

在市场调查方面，大多数金融机构的决策过程正在从以产品为中心向以客户为中心进行转变，机构内的运营、技术和系统优化均需要根据客户需求而变化，这就要求金融机构具备极高的数据洞察力以应对市场的迅速变化。如对新产业展开市场调查，基于市场上不同客群的风险承受能力、行为模式和理财习惯展开分析，提高预测市场和客户偏好变化的能力。在这种模式下，银行和金融机构可以快速交付新产品和服务，在抓住市场机遇的同时提高客户服务和忠诚度。

许多中小型金融机构扩宽新产业的速度慢、创新度低，这主要是因为市场调查成本高，以及客户群体多样化所带来的分析挑战。市场调查的成本不仅体现在人员需求上，还包括了大量的行业数据收集，有些还涉及消费者群体问卷调查等耗时长、人工投入大的工作。数据机构在这方面的赋能主要有三种形式：其一，有具体需求的金融机构可以将市场调查工作外包给第三方数据机构，利用第三方数据机构的数据能力和分析能力达到低成本、高效率地获得有针对性的调查报告以推进决策；其二，一些数据分析机构会定期发布调查报告和行业内参，有需要的机构可以注册成为这些分析咨询企业的会员，一同共享调查报告；其三，一些相关机构会提供数据收集服务，金融机构可以根据需要购买相关的市场数据包。

金融机构可以通过与第三方数据机构合作，在产品开发和评估等方面使用第三方数据服务，帮助管理层开发数据驱动的战略见解与决策，对金融机构的运营和产品设计进行优化。

金融机构使用第三方数据公司服务存在诸多风险

金融机构使用第三方数据公司的服务，可以实现高效获客、精准营销、有效风控、标准定价等，提高运营效率，降低运营成本，但双方在开放合作过程中也会存在一些风险隐患。

数据隐私泄露风险

数据隐私泄露风险的产生主要由于某些数据机构缺乏合规意识、破坏市场规律，滥用数据收集工具在个人不知情的情况下采集个人敏感数据。行业中广泛应用爬虫技术获取数据，采集内容主要包括：公开的第三方数据；抓取用户主动授权的个人基本信息、联系人信息、银行卡信息等数据；授权抓取数据，如设备号、IP地址、运营商/电商等用户授权后合规采集数据；经授权的平台数据，如用户在平台的历史借款、还款情况等用户已在注册协议或隐私协议中授权业务方进行分析的数据。除了部分数据公司可以获得用户授权外，数据机构行业还存在大量未获得授权爬取以及超出授权范围的爬取。有些数据公司应用爬取到的个人通讯录信息进行暴力催收，给社会带来了极大的不良影响。

数据隐私泄露风险的另外一个重要来源是数据机构和金融机构在个人信息储存和传输中脱敏工作不到位所造成的内源性风险，如有数据库权限的人员通过简单的查询或者反向解密操作就能获得隐私数据。这样的系统漏洞极易被不法分子所利用，造成个人隐私的二次售卖或是为诈骗团伙提供信息来源。数据库权限的管理不规范，或是金融机构与数据机构接口不安全等网络安全风险也容易引发一系列数据泄露事件。

算法歧视风险

算法歧视风险主要体现在基于机器学习算法的信用评估系统本身带来的针对某些人群的偏差，这种歧视是隐含在算法中的，可能通过信用评估分数来体现。譬如，由于种族原因或者性别原因，个人住房贷款率被悄悄提高了。这样的歧视有可能来源于数据的选择性偏差，与训练模型时“投喂”的数据样本平衡有着很大的关系。例如美国一些法庭使用一个名为COMPAS的人工智能系统，针对犯罪者标签预测未来犯罪可能性。由于其用于训练的数据集中黑人偏多，导致相同条件的黑人比白人更容易被机器判定为高概率重犯。如果数据偏差持续存在，基于某个偏差的算法歧视在系统的线上迭代过程中会被不断强化，这将引起极高的误判风险，并且导向一系列的伦理问题。

数据质量风险

数据机构行业数据来源十分广泛，其中不乏一些溯源不明确，质量良莠不齐，甚至不合规的数据集产品。受利益驱使，数据机构行业容易存在操控数据、数据造假、从非法渠道获取数据等违规操作。从数据收集方式来看，若数据机构通过调查问卷等方式收集数据，则数据源可能会有噪音严重、真实性存疑等质量问题，从而直接导致数据清洗难度大，甚至数据经过清洗和结构化处理后信息失真的风险。若数据机构采用埋点收集数据等自动化模式，则数据质量可能相对较高，但又难免存在消费者不知情，侵犯隐私权等问题。

在保证数据真实度较高、结构化程度较高的情况下，不同应用可能还对数据质量有着更高的要求。比如在针对市场中某一群体客户调研时，数据样本的平衡性和公正性十分重要，否则就会引发上文所陈述的算法偏差问题。此外，机构在合并数据集的过程中也可能出现破坏数据集质量的不规范操作。鉴于风控、营销等应用对数据精准度都有着较高的要求，数据集溯源、收集过程公开透明、对分析过程实行动态监控和实时监管至关重要。

数据垄断风险

近年来，阿里、腾讯等大科技公司正在利用其自身资源优势进军金融行业，作为新兴金融科技力量参与金融的数字化变革。这些大科技公司所拥有的资源优势包括大量的消费者个人数据和行为数据、发达的科技能力和可拓展性强的平台。国内的大科技公司倾向于利用已有的触达客户的平台和网络提供金融服务，与传统金融机构的账户、交易和结算体系对接，为广大人民群众提供各项金融服务。但是，这些科技巨头通常都不在金融监管体系之内，若其拥有比传统金融机构更广泛的数据维度，或者能够更加有效地提供金融中介的功能，就可以利用其在数据方面的优势产生信息垄断从而控制市场。比如，阿里巴巴控制了电商行业绝大部分数据，百度在搜索引擎方面拥有一定数据垄断地位等。

数据垄断和不受金融市场体系约束降低了大科技公司进入金融服务行业的成本，给科技巨头参与竞争提供了不公平的条件。从长远来看，此现象会激化市场的不平衡，可能会进一步导致系统性风险的积聚、增加监管套利以及不公平竞争的风险。

监管机构面临挑战

综上所述，数据机构所带来的监管挑战在宏观上挂钩市场乱象、资源调配不均等风险，微观上存在于产业链的每一个环节。具体流程可归纳为数据的获取、数据的质量保证、数据的安全储存和传输、以及数据的应用设计。此外，监管还面临着创新与规范力度互相制衡的挑战，如何做到既鼓励金融机构利用数据分析实现产业赋能，又确保其使用过程合规合法，是监管框架设计的一大挑战。

涉金融服务数据机构监管政策的国际经验

经研究发现，从全球的监管情况来看，对于服务于金融领域的第三方数据机构的监管总体上是比较弱的，有的国家和地区甚至没有监管，但是对于数据公司的规制整体处于趋严的状态。总体来看，英美等发达国家的金融监管机构，对于数据在金融行业的使用已经有成体系的规定，其他国家和地区的金融监管机构则尚处于研究、探索阶段，主要通过出台一些带有指导意义的，并非强制要求执行的原则性和框架性的政策，做一些新尝试。各个国家和地区对于数据机构的监管的总出发点，是希望能在支持金融创新与个人的数据保护之间寻求一个平衡。既支持和鼓励金融产品、服务与商业模式进行创新，同时也要确保数据和新技术的使用是有利于消费者的。

各国对于金融机构使用第三方数据服务的监管主要从以下三个角度出发：第一，以数据机构为主体，从消费者数据隐私保护和市场交易行为进行规制；第二，以金融机构为主体，对消费者金融隐私保护、算法使用、数据标准化等方面，进行监管或出台指导性意见；第三，从技术领域出发，对于发展迅速的人工智能、机器学习算法、大数据挖掘进行约束和引导。

具体到金融机构使用第三方数据公司服务存在的四个主要风险，国际上与此相关的监管概况如下：

数据隐私监管方面。在个人数据规制相对健全的国家和地区，鉴于金融服务对消费者的重要性，以及出于对金融机构声誉和金融部门系统性风险的考虑，通常已经出台全面的个人数据保护法和设立专门的个人数据保护监管机构，来负责所有涉及个人数据的方方面面。金融监管当局也会出台专门的政策或指引，规范受监管的金融机构对第三方数据机构服务的使用。

算法歧视监管方面。目前国际上关于算法歧视方面的立法主要体现在反歧视法和数据保护法中，由负责人权、反歧视的部门进行监管。

数据质量监管方面。近年来国际上针对数据治理、数据质量、数据管理的概念进行了广泛的讨论和概念的界定。目前国际上虽然没有明确的对于数据质量的约束性法律法规，但是数据质量早已作为数据管理的基础引发了各界的广泛关注。金融领域的数据治理主要从两个方面出发：一是，在提高行业相关意识和自律性的同时，通过权威组织和机构发布指导性的白皮书，帮助金融机构规范数据质量框架；二是，各国通过建立银行系统开放数据平台的方式使数据中心化，以求在根本上通过顶层高端开发人员的技术管理保证系统内部数据质量，并促进行业内数据共享和流动、减少金融机构向外界获取数据的需求。

数据垄断监管方面。在当前的科技行业发展形势下，不仅垄断现象日益加剧，反垄断监管的难度也在逐渐加大。目前全球范围数据垄断情况主要通过各国反垄断法案进行监管，除了以往的行业垄断和不正当竞争行为之外，各国监管机构开始将监管视线放到企业利用大数据影响消费者行为、获得市场支配力、驱逐或合并中小企业的行为，并对企业并购等涉及双方企业数据库合并的情况进行重点关注。

本文选取美国、欧盟、英国、新加坡、中国香港五个代表性国家和地区具体阐述国际上为了防范第三方数据公司为金融机构带来的风险相关的监管经验。

美国

数据隐私监管经验

作为个人数据隐私以及金融隐私监管最为严格的国家之一，美国在联邦政府和州政府层面均有出台相关的法案和非约束性指导原则，其具体监管框架较为复杂且处于不断发展的状态。相关的监管原则以及指导方针分布于不同的法律法规之中，赋予了联邦层面和州层面的个人数据监管机构和金融监管当局规范数据机构行为的权利。在美国从事经营活动的数据机构需要同时考虑其在联邦层面和所在州州政府层面的数据隐私合规问题。

在相关个人数据隐私法案和金融隐私法案的规定下，美国的监管模式大体上是个人数据监管机构以及金融监管当局平行合作的形式。在联邦法律层面上，数据机构在金融领域的商业行为不但受到有数据监管职能的机构管辖，同时也受到金融监管当局的约束。在州法律层面上，美国一些州颁布了独立的数据隐私法案或在一些法律文件中有相关条款，例如加利福尼亚州、佛蒙特州等，但只有纽约州颁布的法规针对服务于金融领域的第三方数据机构颁布了独立的条款。美国纽约州金融服务部于2017年3月通过的全美境内首部针对金融机构的网络安全法规，被视为美国金融业最新的《网络安全法》，该法规除管辖需要经过纽约州金融服务部的许可、注册、特许才可经营的实体以及受纽约州金融服务部监管的实体之外，还适用于向上述实体提供服务的第三方服务商。所以在州层面上，大多数州的数据机构主要是受所在州政府相关司法部门的管理，在纽约州从事与金融机构相关的商业活动则还将受到纽约州金融服务部的监管。

联邦层面上的管辖机构以联邦贸易委员会（FTC）和消费者金融保护局（CFPB）为主，拥有针对金融业的监管权力的相关部门还有美国证券交易委员会（SEC）、商品期货交易委员会（CFTC）、储蓄机构、证券监管机构等。美国联邦层面数据隐私保护相关法案及其规定如表1所示。

表1 联邦层面数据隐私保护相关法案

在州政府层面，不同州的法案赋予不同部门（多为州政府司法部门或下设机构）不同的监管权力，一些主要的相关州立法律以及监管部门如下表2所示：

表2  州政府层面数据隐私保护相关法案

总体来说，美国政府相关金融数据隐私方面的法案多为对实体企业整体上的信息使用和分享提出规范要求和指导意见，主要从以下六个角度出发：一是，基于风险路径（Risk-based Approach）的规范指导，GLBA与纽约州的网络安全法规都采用了风险路径，即要求企业自评估风险并采取适当的安全措施并定期上报的形式；二是，出台一些指导性意见，如2017年10月18日，CFPB发布了非约束性原则，以解决和协调金融创新、数据安全、消费者金融数据安全、隐私和准确性、不正当支付授权和消费者纠纷解决机制；三是，加强对消费者的信息披露，保证数据相关隐私规章制度的公开透明，如《消费者金融保护法案》和《公平与准确信用交易法》中所规定的相关机构向消费者和有关监管部门公开其隐私政策的义务，以及需要向消费者征求意见和规章制度披露相关的内容等；四是，向消费者赋予保护自己金融隐私的权益，例如消费者有权针对隐私泄露问题提起诉讼，以及CCPA中所规定用户有权随时删除其所有隐私信息；五是，对相关数据机构要求备案，如加州、佛蒙特州在制定的法案中要求对于数据经纪商的备案登记规定；六是，规定相关机构和企业设立信息安全官职位，如马萨诸塞等州要求机构在内部设立一名或多名信息安全官，以此来维持机构内部的信息安全计划。

算法歧视监管经验

美国的规制措施分为原则性和特定性方式两种。原则性方面，美国使用传统歧视的平等保护条款对算法歧视进行规范，主要涉及的法律有《公平信用报告法》和《民权法案》。在针对算法的具体规制方面，美国陆续出台了针对特定机构、特定高风险算法的规定，从数据源、技术性脱敏、部署控制等方面采取措施。信用机构和金融机构均受这些规则的限制，具有申报流程等义务。在地方上也有一些针对性的监管机构以及法律，如2018年1月17日纽约通过的“1696法案”，以及依据此法成立的“算法问责特别工作组。然而这些特定性的规则过去几年的实施并不顺利，如“1696法案”的原始草案关于披露的要求是“公布任何算法或者其他自动处理数据系统的源代码”，而科技公司以“迫使披露专有信息，损害其竞争优势”为由对该条款表示了强烈反对。至今为止，工作组还未能获得政府机构的算法框架。

数据质量治理监管经验

在指导性方针方面，美国证券交易委员会（SEC）发布了数据质量规范指导方针，从质量、正直、实用性、客观性和影响范围等角度给出了建议和指导。在开放银行方面，美国的开放银行系统已经历约十年的发展，形成了较为完善的生态体系。较有代表性的服务提供商如Mint公司、提供中间层数据流通和技术支持的有Apigee公司等。目前美国暂未发布有关API Bank（无界开放银行）的专门法律，但针对全球开放银行的发展潮流，CFPB适时发布了《消费者保护原则：经消费者授权的金融数据共享和整合》文件，以指导开放银行发展过程中的消费者金融数据共享和整合问题。

数据垄断监管经验

在反垄断方面，美国政府从2019年就开始加大对科技企业的监管力度，从国会、政府、相关机构方面接连向包括谷歌、亚马逊、Facebook和苹果在内的几大科技巨头提出诉讼，调查其利用企业规模操控市场、打压对手以及操纵消费者等行为。目前，国际上关于垄断方面的监管惩罚措施主要局限于罚款，其中监管最严格的欧盟委员会在近十年来依据反垄断法和数据隐私安全法等法律向科技巨头们收取了不菲的罚款。虽然监管者一致认为对科技巨头来说，罚款的惩罚力度过小，无法起到足够的威慑作用，但是由于科技巨头的规模巨大、渗透性强、影响力广，为社会带来了一定程度上的良性效益，监管者们难以在数据垄断行为的界定和惩罚措施上达成共识。美国反垄断小组委员会主席大卫西西里尼提出拆分一些科技巨头公司，但也有监管者指出即使是经过了拆分，这些公司的相关业务依旧互相联系。这不仅在实质上对削弱力量没有帮助，还有可能会给消费者带来更多不便。

在并购方面，美国近年开始加大针对纵向合并的关注，以防企业通过打通上下游、滥用或者交换敏感信息做到深度的行业垄断，从而做出提高成本、进行排他交易等严重损害消费者权益的行为。2020年1月10日，美国司法部（DOJ）与联邦贸易委员会（FTC）发布新《纵向合并指南（草案）》，并撤销1948年发布的《非横向合并指南》。除此之外，美国也开始加大对科技巨头在过往未受监管的信息披露，如FTC要求科技巨头披露过去十年无需在美国申报的全部交易。

欧盟

数据隐私监管经验

在数据隐私保护领域，欧盟可谓是全球监管最严格、惩罚力度最大的地区。其对于数据行为的监管框架主要基于《通用数据保护条例》（General Data Protection Regulation，简称GDPR），由欧洲数据保护委员会主导，各国分别进行参与。GDPR中要求企业必须重点保护个人数据而非控制企业流程，并定下了个人对隐私数据拥有控制权的基本前提。GDPR的框架下有两个主要角色：数据控制者和数据处理者，并制定了相应规则。GDPR对在欧盟内有经营行为，或是消费者涉及欧盟居民的机构和企业都有重大的影响，金融业尤甚。

GDPR的主要目标是协同欧盟各成员国分散的立法现状，提升公众对互联网业务固有风险的认知。为了协调法案与各国法律结合，法案规定各国依据自身情况设立数据保护机构，企业在数据安全保护方面应遵守其所在成员国对于数据保护机构的具体规定。在GDPR的要求下，每个欧盟成员国都设立了一个或多个数据保护机构（如德国），其中各成员国须指定其中一个监管机构，作为这些机构在欧洲数据保护委员会的代表，并需制定一项机制，以确保各家机构在遵守机制相关条款上的一致性。该代表机构是规范在该国进行经营活动的企业的主监管机构，企业也受其他辅监管机构的规范，GDPR中对于主辅监管机构的配合也有详细规定。

另外，GDPR中还要求符合规定的相关企业设立数据保护官（DPO）。其中金融机构符合“主要经营活动需要对大规模数据的定时、系统监管的企业和机构”的类别。GDPR建议从事金融活动的企业需要意识到其不仅是数据支配者也是数据处理者的身份并遵守这两个角色的义务，同时当企业和第三方服务公司进行合作的过程中，必须保证第三方公司也遵守所有适用于该企业的法则。对于违反GDPR的企业和机构，相关数据保护机构有权根据GDPR对企业处以高达两千万欧元或该企业全球利润的4%（取更高者）的罚款。

算法歧视监管经验

针对算法歧视的监管，欧盟主要使用以人权部门引导的反歧视监管以及以数据保护法为核心的数据应用规则。在反歧视法方面，欧盟在欧洲人权公约中明令定义了直接和间接的歧视行为。间接歧视在概念上对标美国的差别性影响，是算法歧视在规范框架中的普遍定义。在产生了歧视影响的情况下，即使歧视主体没有歧视行为动机时，间接歧视也成立。

在数据保护法方面，欧盟的GDPR中对算法歧视做出了原则性和特定性的规定。原则性方面，GDPR要求机构公开其使用个人数据进行的一切活动，这就包括了金融机构使用个人数据的算法。同时，GDPR提倡“以人为本”为核心推动AI技术开发使用。特定性方面，GDPR的第22章中明确对于个人信贷的信用评估方面算法做出了具体规定，明确表明个人具有不被一个完全由算法产生的决定所约束的权力。也就是说任何组织不得使用完全自动化的决策框架，生成可能对客体产生重要影响的决定，比如决定是否发放个人信贷、贷款额度、信用评级等。

数据质量监管经验

欧盟的数据质量治理体现在针对提高行业自律能力的指导性方针和搭建开放银行API、数据共享平台等方面。欧盟的开放银行体系是全球最早的开放银行体系之一，早在2007年便开始建设。2013年，欧盟发布了支付服务修订法案第二版（Payment Service Directive 2，简称PSD2），成为欧盟国家开放银行立法的基础。在PSD2中，主要针对信贷机构、支付机构、第三方支付服务提供商等相关支付类机构和企业提出相应规范性要求，其中包括了制定支付账户开放规则。要求以商业银行为代表的金融机构向第三方开放用户的账户和交易数据，同时要求降低电子交易欺诈的风险，加强对消费者数据的保护。2018年PSD2全面上线，一些国家（如西班牙）已经开始开放一些开放银行API。

此外，2020年2月，欧盟委员会提出了“信托项目”的新政策构想，计划于2022年开始实施。这个新政策指通过一种称为数据信托的机制为个人数据创建一个泛欧市场。数据信托是一个管理员，代表客户管理其数据，并对其客户负有信托责任。在这个机制下，全球的技术机构将不被允许收集和储存个人信息，所有个人信息都会存储在公共服务器中，并由数据信托进行管理。这个新机制将会从根本上降低数据质量风险和数据隐私泄露的风险。

数据垄断监管经验

在数据垄断方面，欧盟主要从反垄断法和数据隐私安全法出发进行监管。主要的监管部门是欧洲数据保护监管局（EDPS）。自2016年以来，欧洲反垄断执法机构实施了一系列新举措，以对“大数据”持有者和处理者适用竞争法法规。受到调查和处罚的大数据公司涉及各行各业，包括谷歌、Facebook、苹果等巨型企业。除了以往的反垄断相关条例，欧盟开始在外商投资制度、企业合并等方面加大监管力度。在并购方面，欧盟主要关注涉及数据库合并、消费者信息整合的一些并购案，如Facebook收购What’s APP等。

英国

数据隐私监管经验

在金融数据保护领域，英国采用个人数据保护监管机构和金融监管当局平行合作的监管模式。其中个人数据保护监管机构以信息专员办公室（Information Commissioner’s Office，简称ICO）为主，ICO是由英国女王亲自任命的独立的国家数据监管机构，其主要目的是保证GDPR和《数据保护法案》（Data Protection Act，简称DPA）相关的合规，并且作为国家主要的数据隐私权威机构保护国民个人隐私安全；金融监管当局方面以英国金融行为监管局（Financial Conduct Authority，简称FCA）为主，参与的监管机构还有审慎监管局（Prudential Regulation Authority，简称PRA）、英国银行等。在国际上，英国主要遵循的法案是欧盟所颁布的GDPR。英国方面计划在2020年底正式脱欧后将GDPR与现行法律相结合，颁布英国版本的GDPR（UK GDPR）。在这之前，英国依旧遵照欧盟颁布的法案。在国内方面，英国于2018年颁布了DPA，协同其他相关法案一同构建数据隐私保护框架。

ICO和FCA于2019年颁布的谅解备忘录（Memorandum of Understanding，简称MOU）确立了两个机构关于金融企业及其相关营业活动合规的监管框架，包括双方各自的职责、沟通方式、信息共享以及监管原则等。MOU规定，两个机构必须保持定期、有效的信息沟通和交流。对于各自发现的相关违规行为须向对方通报，且督促两机构间的信息传递。

在GDPR和DPA条例下，ICO的监管对象包括了所有在英国境内进行营业活动且涉及个人数据存储、使用、传输的机构与个人。FCA的监管对象则包括了金融市场的所有经营活动参与者。这表示与金融机构合作的第三方数据公司将受到这两个机构的同时约束。

总体来说，英国主要采取基于市场路径的监管措施，FCA的监管流程尽量贴近市场，包括对于市场和信号进行自发的分析，密切关注企业商业模式、经营困难情况等，深入与企业进行合作调研，以求在依据法律惩治违规行为的同时做到对违规行为的防范与预估。此外，英国数据监管机构还采用针对消费者的指示性教育宣传的方式为市场提供信号，2020年6月，ICO颁布了联合阿兰·图灵研究所（Alan Turing Institute）合作撰写的题为《解释由人工智能做出的决定》的人工智能指南，旨在帮助企业向受影响的个人解释人工智能是如何利用个人数据作出决策的，该宣传册属于欧洲联合的AI教育项目中的一部分。此外，英国在讨论是否要对第三方数据公司实行登记备案或者牌照管理的方式进行监管。

算法歧视监管经验

英国是世界上第一个针对算法歧视设立专门机构以展开应对措施的国家，其监管方针也从原则性和特定性两方面入手。在原则性方面，除了反歧视法外，算法歧视还在英国法律中违反了现行的数据保护法规。广告商基于个人敏感特征（性别、种族等）来瞄准信息群体被视为非法。这就意味着以智能算法作为决策工具的企业需要通过其他类别数据的收集，达成对目标对象更为精准的分析，提供更加适合受众口味或有利于自身利益诉求实现的产品和服务。

在特定性方面，针对人工智能算法歧视的监管主要由英国政府特别设立的数据伦理和创新中心（Centre for Data Ethics and Innovation,简称CDEI），联合内阁中的英国内阁办公室种族差异中心以及ICO进行，以调查研究金融服务、地方政府管理等中算法决策应用的潜在歧视问题。在具体措施上，2019年3月，CDEI发布了第一个年度工作计划和战略，同时ICO也发起“人工智能审查框架”项目，旨在研究审查人工智能应用的方法，以保证其透明、公平；为在合法范围内使用和创新人工智能提供指引”。2019年6月25日，ICO发布了名为《AI系统中的人类偏见与歧视》的研究报告，研究人工智能在维持或扩大人类偏见和歧视方面的作用，并为防范人工智能系统偏见和歧视风险提供技术和组织上的解决路径指导。

数据质量监管经验

英国政府对于数据质量的监管主要突出从源头上进行治理，以建立开放平台的模式保障数据的来源和质量。具体来说，主要从信息公开、数据开放、信息管理三个方面入手。在信息公开方面，由英国司法部主导立法、ICO推动和发挥监管作用。英国政府于2012年颁布《自由保护法》（Protection of Freedom,PFA），从“数据权”出发，扩大信息自由范围，明确政府部门和其他公共机构主动发布可重复使用数据集的义务，从而保障公众获得、使用数据集的需求。政府信息公开为各行各业进行数据收集提供了极大的便利，保证了数据来源的准确性。

在数据开放和信息管理方面，由政府数字服务局（Government Digital Service, GDS）领导，各部门和企业积极配合。英国自2009年以来一直致力于推动数据公开化、提高公布数据的质量和广度，其主要配置从基础设施、质量管理和研究赋能三个角度出发。在基础设施方面，建立“国家信息基础设施（National Information Infrastructure, NII）”，确保高质量数据的储存和发布；建立data.gov.uk网站以发布所有的数据集；建立公共部门透明委员会，作为质量管理方面的核心组织，负责协同公共部门数据专员和数据专家制定公共部门数据开放的标准，并设立隐私专家保障数据隐私问题。在研究赋能方面，由商业创新技能部下的数据战略委员会（Data Strategy Board, DSB）负责组建开放数据研究所（Open Data Institute, ODI），为公共部门、学术机构和创业企业使用开放数据提供“孵化环境”。

数据垄断监管经验

在反垄断方面，FCA具有金融领域的反竞争执法权力，其配合英国竞争与市场管理局（Competition and Markets Authority ,简称CMA）展开一系列反垄断调查。与欧盟和美国相似，英国反垄断机构近年来在消费者大数据使用方面加大了监管力度，发布了许多指导性的方针并展开了许多调查。早在2015年，CMA就发布了一份关于“消费者数据的商业使用”的报告。CMA重点列出了由大数据收集引起的潜在的反竞争效果，特别是公司能够凭借其收集的数据获得市场支配力，并随后使用该支配力，通过阻止或限制获取和使用消费者数据的途径来排除其竞争者。FCA专门针对市场零售保险业等行业提出需求，要求其提供所收集的大数据信息，以判断这些企业是如何利用大数据竞争的。

新加坡

数据隐私监管经验

在数据隐私保护方面，新加坡主要的监管机构为个人信息保护委员会（Personal Data Protection Commission，简称PDPA），其遵循《个人信息保护法案》（Personal Data Protection Act）。PDPA会监管与个人数据有关的收集、使用、披露和保护情况。涉金融服务数据机构的监管由新加坡金融管理局（Monetary Authority of Singapore，简称MAS）主导，主要是发布一些相关指导方针，并不具法律效应。例如，2016年MAS年发布了《关于外包风险管理的指导方针》，其中对银行、保险公司和信托公司等新加坡金融机构外包云服务进行了规定。同时，新加坡银行公会（ABS）也推出了《云计算实施指南》。

算法歧视监管经验

在算法歧视方面，新加坡主要通过一些指导性方针帮助加强相关领域的行业自律性和道德规范，其中就包括这一领域最为著名的FEAT原则。对于创新的技术（如人工智能）被越来越多的应用到金融产品与服务中所带来的风险和监管问题，2018年11月，MAS发布了FEAT原则，以促进在金融领域使用人工智能和数据分析（Artificial Intelligence & Data Analytics，简称AIDA）的公平（Fairness）、道德（Ethics）、问责制（Accountability）和透明度（Transparency）。2019年11月，MAS宣布与多家金融机构共同设立Veritas计划框架，帮助金融机构评估AIDA解决方案，保证其遵循FEAT原则，以加强金融服务行业的内部治理、对人工智能的应用以及数据的管理和使用。此外，PDPA还提出《人工智能监管框架范例》（A Proposed Model AI Governance Framework January），该框架旨在促进人工智能的使用，同时建立消费者信心，并为人工智能提供个人数据。该框架对人工智能的使用原则做出了规定，要求AI做出的决定应该是可解释的、透明的、公平的；人工智能系统应该是以人为中心的，着重强调了算法歧视的问题。为落实上述原则，该框架对内部治理结构与措施、人工智能决策中的风险管理、运营管理、用户关系管理等做出了进一步的规定。

数据质量监管经验

在数据质量监管方面，除上述几个指导性方针有相关的规范指示之外，新加坡也从开放银行API建设、数据共享的角度促进金融市场的数据质量治理。2016年11月，MAS就已联合新加坡银行工会（ABS）发布API指导手册（Finance as a Service:API Playbook），提供了API的选择、设计、使用环节最佳指导，以及相应的数据和安全标准建议。

数据垄断监管经验

在反垄断方面，新加坡的主要监管机构为新加坡竞争与消费者委员会（Competition and Consumer Commission of Singapore，简称CCCS）。近年来，新加坡通过赋予CCCS更高的权力拓宽其查询访问的范围，重点关注过往可能忽视的不当竞争，如涉及到大数据领域的技术行业。相关案例有2018年的Grab-Uber收购案等。

中国香港

数据隐私监管经验

在金融隐私保护领域，我国香港采用个人数据监管机构和金融监管当局联合合作的监管模式。其中个人数据保护机构方面以个人资料私隐专员公署（Privacy Commissioner for Personal Data）为主，金融监管当局方面以香港地区金融管理局（Hong Kong Monetary Authority, 简称香港地区金管局）为主。

香港地区个人资料私隐专员公署主要依照香港《个人资料（私隐）条例》进行监管，对包括个人资料的收集、使用、披露等在内的所有数据行为进行监管。香港地区金管局依照科技风险管理一般原则（TM-G-1）、持续业务运作规则（TM-G-2）、电子银行风险管理（TM-E-1）以及互联网发出征求存款的广告材料的规管（TM-E-2）对金融市场的数据隐私进行严格的管理。

对于金融机构使用第三方数据的行为，我国香港相关监管部门对所有参与金融市场活动的企业与机构作了十分详尽的规定，尤其是涉及科学技术和网络安全的企业。香港地区金管局不仅根据相关法案对金融机构使用第三方数据的行为进行严格的管理，同时还会针对正在迅速增长的第三方数据服务公司发布新的监管指导方案，引导相关机构建立完备的措施和机制。近期，香港地区金管局对银行业应用人工智能技术提出一些要求，指明如果银行使用人工智能技术，或与机构服务商合作，董事局跟高层管理人员必须负责使用人工智能技术所引起的结果。这就要求使用者对应用程序要有足够的专业知识，和对人工智能的认知。同时，对于例如香港地区银行机构使用外部云的技术外包方面也有相关条例，如全程监控和可审计等。技术外包搭建的系统也需要满足香港地区金管局对于金融机构系统安全的要求才可以投入使用。

香港地区个人数据保护法案对于数据行为的监管主要从以下两个原则出发：一是加强对消费者的信息披露，保证数据相关隐私规章制度的公开透明，例如法案限制所有机构使用和收集个人资料必须向消费者披露其收集、使用的目的和方式，以及资料的留存期等；二是向消费者赋予保护自己隐私的权益，用户有权消除自己被收集的数据或针对数据的滥用提起诉讼。

算法歧视监管经验

在算法歧视监管方面，除了反歧视的原则性规定外，香港针对算法在金融领域的使用出台了相关的指示性法案。香港地区金管局于2019年11月颁布了监管新规，要求银行及所有授权机构在采用大数据分析或人工智能分析技术时保障消费者利益，并严格遵循监察及责任、公平、公开透明和数据私隐保障四大原则（Governance and Accountability，Fairness，Transparency and Disclosure，Data privacy and Protection，简称GFTD框架），合理管理经营风险。此法案与新加坡的《FEAT原则》有许多相似之处。

数据质量监管经验

在数据质量治理方面，香港地区政府的主要措施体现在对金融机构提供的数据要求更高以及搭建统一的数据分享平台。近年来香港地区金管局对于银行申报的数据要求更为严格，比如要求银行提供更高颗粒度的数据，在提高监管科技效率的同时规范银行业的数据标准化存储和处理。2019年7月，香港地区金管局出台香港银行业开放应用程序界面（API）框架，其中包括一个具有开创性的KYT（Know Your Transactions，了解你的交易）平台。KYT是一个集中存储在港金融机构相关客户数据的平台。如果所有金融机构都将交易数据提交至KYT平台，它将可以展现相关机构客户所涉及的整个交易指令链。这个举措类似于欧盟提出的个人隐私数据共享平台在金融业的落地方案，其大大降低了各个金融机构的数据收集成本，在提高效率的同时也保证了数据的精准度和可用性。

数据垄断监管经验

在反数据垄断方面，香港地区相关法律法规还没有其他国家和地区那么健全。但作为全球最为繁荣的金融中心之一，香港地区对于金融领域的垄断行为和利用数据操纵市场等行为一直给予了重点关注。早在2014年，香港地区金管局就已经对包括花旗、德意志银行、摩根大通、瑞银和苏格兰皇家银行在内的国际大行进行调查，但当时，反垄断议题并未在调查范围内。随着香港地区于2016年更改出台新的《竞争法》并展开相关工作，汇丰、高盛、德意志银行等本身已经在其他市场涉及反垄断纠纷的国际大行，可能在香港地区也面临新的问题。

我国对于金融领域第三方数据公司的监管现状

截至目前，我国尚没有一个完整的数据规制框架，仍处于研究探索阶段，在数据监管制度上也不足以对数据机构进行有效规制，这让数据公司以及使用其服务的金融机构都面临着极大的政策不确定性。

我国对于数据活动的法律法规散见于《民法典》《全国人大常委会关于加强网络信息保护的决定》《网络安全法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《数据安全法（草案）》《银行业金融机构数据治理指引》《商业银行互联网贷款管理暂行办法（征求意见稿）》《刑法》及其修正案等规范性文件中，此外，还有一些金融数据保护方面的部门规章制度。2020年，全国人大常委会工作报告在下一步主要工作安排中指出，将在2021年制定《个人信息保护法》和《数据安全法》，其中《个人信息保护法（草案）》已于 2020 年10 月21 日正式向社会公开征集意见，里面对个人信息保护和利用做了很多细致的规定，它的出台将对合规企业充分利用数据和保护个人信息的平衡发挥重要作用；《数据安全法（草案）》在2020年7月2日举行的全国人大常委会第二十次会议中进行了审议并公开征求意见，将会搭建中国的数据安全保护体系。2020年5月9日，为规范商业银行互联网贷款业务经营行为，中国银行保险监督管理委员会（以下简称银保监会）发布了《商业银行互联网贷款管理暂行办法（征求意见稿）》，对于银行与第三方机构的合作监管作出了具体规定，包括“银行应当建立覆盖各类贷款合作机构的全行统一的准入机制，明确相应标准和程序，并实行名单制管理”，“银行如果需要从合作机构获取借款人风险数据，应通过适当方式确认合作机构的数据来源合法合规和真实有效，并已获得信息主体本人的明确授权；银行不得与违规收集和使用个人信息的第三方开展数据合作”。但是具体到金融领域使用第三方数据公司服务的行为，我国的金融监管当局尚没有出台明确的监管措施。在数据监管机构方面，我国主要由工业和信息化部、国家互联网信息办公室、发展和改革委员会、公安部、国家市场监督管理总局等监管部门来主导监管，没有单独的个人数据监管机构。

针对金融机构使用第三方数据公司服务存在的风险问题，我国大体上采用的是原则性监管的方式，没有对数据机构进行明确的细化监管。近年来，随着数据隐私、算法歧视、数据质量、数据垄断的风险逐渐得到重视，国家在修改法律时也在逐渐将数据合规治理加入现有的法律体系，重点规范科技巨头和各领域的数据使用。

在数据隐私保护方面，中国政府在2017年3月全国人民代表大会发布的《民法总则》中明确了个人的隐私权，于2021年正式施行的《民法典》延续了这一规定，并将数据、网络虚拟财产纳入保护范围，具有重大意义。新发布的《网络安全法》及相关标准重新强调了数据保护的重要性。银保监会在2018年5月出台的《银行业金融机构数据治理指引》中对于银行业金融机构的数据合规作出了具体规定，要求银行业金融机构依法合规采集数据，防止过度采集、滥用数据，保护客户隐私。2019年5月28日，国家互联网信息办公室发布了《数据安全管理办法（征求意见稿）》，明确规定，“网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则；网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门报备收集使用规则、使用目的和保存期限等”。2019年10月，中国人民银行向部分商业银行下发了《个人金融信息（数据）保护试行办法》初稿，向系统内部征求意见。《个人金融信息（数据）保护试行办法》第十八条规定：“金融机构不得以“概括授权”的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。”《个人金融信息（数据）保护试行办法》的推出显示出中国人民银行对于个人金融信息保护的重视，以及在相关监管方面的思路已经渐趋成熟。

在算法歧视监管方面，我国网信部门自2018年开始就逐步将算法、人工智能、互联网和数据使用纳入监管范围，但在算法歧视与算法公平方面的规制，我国相对于国外而言较为薄弱，在政策与法规层面的规定较少。截至目前为止，我国尚未颁布专门的算法规制方面的法律法规，仅在《网络安全法》《电子商务法》等法律中规定了与算法相关的条款。如《网络安全法》第十二条为算法设定了法律与道德底线，将网络安全观扩展到算法价值观之上；在《电子商务法》中首次将个性化推荐的消费者权益保护写入法律，要求经营者在依据大数据分析和算法基础上，要充分尊重消费者的自由选择权和公平交易权。

在数据质量治理方面，国内一些企业和学术组织将数据质量作为数据治理和产出效果的基础，促使了一些行业自律性数据质量监控的产生。在涉及金融领域的法制监管方面，国家近几年针对现金贷行业和大数据风控公司黑灰数据产业链进行了大力整治。其中包括大力整治爬虫产业，2019年修改的《数据安全管理办法》中规定对“网络产品核心业务功能运行的个人信息”以外的信息，网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。《数据安全管理办法》中还对网络运营者的备案和认证做出了规定，但针对这些规定，目前还没有出台具体的细则。

在数据垄断监管方面，自2008年8月1日《反垄断法》实施以来，我国的反垄断法律体系不断完善，但随着近年来互联网平台经济的蓬勃发展，基于传统反垄断法规，采用一般原则已较难处理依托互联网平台的新型业态的垄断问题。2019年发布的《禁止滥用市场支配地位行为规定（征求意见稿）》中，提到了把数据控制纳入考量范围内的意见，具体体现在新法案中规定在决定互联网等新经济业态经营者是否具有市场支配地位时，可以考虑相关行业掌握和处理相关数据的能力等因素。国家市场监督管理总局2020年先后公开了《反垄断法修订草案（征求意见稿）》《关于平台经济领域的反垄断指南（征求意见稿）》征求公众意见，《反垄断法修订草案（征求意见稿）》规定：“认定互联网领域经营者具有市场支配地位还应当考虑网络效应、规模经济、锁定效应、掌握和处理相关数据的能力等因素。”《关于平台经济领域的反垄断指南（征求意见稿）》对平台经济相关概念进行了界定，并从垄断协议、滥用市场支配地位行为、经营者集中、滥用行政权力排除、限制竞争等五个方面对平台经济垄断行为进行了具体规定。

对比国内外监管情况，可以看出我国对于数据公司的监管形势趋严，但仍存在着一些问题。一是相关法律法规不健全。数据行业对于自身合规的检查无据可依，存在法律障碍。国内对于金融机构与数据公司之间的行为规范尚不清晰，没有类似于《征信业管理条例》这类明确规范数据机构如何与金融机构进行合作的条例，这导致有合作的双方对于数据和数据分析服务的使用边界不够明晰。这也使得数据公司在做合规自查时缺乏可参考的标准依据。二是对于数据机构的许多监管规定都只停留在概念范围，未能落到实处，尤其是对于违法行为的界定不够清晰，没有从技术底层出发进行规范，给了很多不法企业钻空子的漏洞。三是现有规定较为原则而无法提供清晰的规则指引；此外，大数据与人工智能等新技术的运用、金融机构与第三方数据机构合作的崭新模式，都在颠覆传统规制思维，数据产权属性、规制主体的协调分工等等都需要与时俱进。

针对金融领域第三方数据机构的监管对策建议

金融行业是数据机构的主要应用领域，而金融业是一个严监管的行业，“强监管”是金融一直以来的标签，同时也是金融创新的重要保障。如果对于被监管的金融机构与第三方数据商的合作规制不严，一旦数据质量不高或算法模型出现偏差时，将有可能对金融市场产生蝴蝶效应，从而引发系统性风险，影响金融体系的稳定，因此，对于数据机构采取适当的监管措施非常有必要。

做好顶层设计，打造灵活监管应用框架

为了能够让数据行业的发展行稳致远，更好地为金融行业提供服务，促进普惠金融更快地发展，从长远来看，应打造一套灵活的监管框架，采取平衡适度的监管方式，既能确保促进数据服务行业的持续创新和金融普惠，同时又能维护好金融消费者的利益和金融体系的稳定性。在行业立法方面，应进一步加快推动我国《个人信息保护法》和配套立法的出台进程。在监管主导机构方面，建议由中国人民银行科技司作为主导改革的牵头机构，学习借鉴国外有益经验，由金融监管机构制定具体的针对金融机构使用第三方数据服务的部门规章和合规操作指引，引导金融机构及数据机构的合规运行；如有必要，应成立一个具有实施能力和执法权力的独立的个人数据监管机构，专门负责对相关的数据收集、处理、使用等行为进行审查和日常监督，来约束数据公司更为规范地从事数据获取及分析服务。在监管重点方面，加强对数据使用行为和场景的监管，将创新型参与者及其活动纳入监管范围，并将监管重点转向信息披露、防止不公平交易和客户产品开发的适宜性上。

加强行业自律性监管和企业自我规制

涉金融服务数据市场的良治需要政府监管、行业自律和企业约束三个层面的相互协同，营造政府外部监管、行业内部引导、企业自我规制相结合的治理框架,共同形成规范数据行业发展的合力。行业协会作为政府与企业之间的中介和桥梁，既可以充分领域监管机构政策意图和监管思路，配合监管机构开展相关整治工作，弥补监管的滞后性；又可以贴近市场，把握行业实际，有效引导并督促数据机构接受监管、完善内控、守法经营，是保障数据行业规范、健康发展的有效途径。因此，应加强行业协会的自律性监管和数据机构的自我规制。一是，充分发挥发挥行业自律组织的柔性监管作用，鼓励、支持数据机构组织成立自律性行业协会，通过制定行业规章和自律标准、促进会员间交流、开展专业教育和培训等方式对金融机构使用第三方数据服务时如何保护个人数据以及金融消费者利益等进行规范和监管。二是，鼓励数据机构建立内部控制程序和个人信息保护的规章制度，完善对数据收集、处理、使用等的管理流程。

建立科学认证机制和评价体系

金融业实行严格的市场准入制度，针对金融机构的设立一般采用审批制，只有获得牌照之后才能开展相应的金融业务。针对第三方数据机构一般不适合采用审批制，而又必须对第三方数据机构进行一定的规范和监管，因此，我们建议对此行业引入一套科学认证机制和评价体系，依托政府牵头成立的研究机构或行业自律组织成立一个专业的认证机构或部门，科学制定一套认证流程，对数据机构的数据保护能力、业务流程规范程度等方面进行评级，发放相应证书。数据机构可自行申请认证，这样可以引导数据机构不断进行自我完善和合规以获取更高等级认证，同时为金融机构考察数据机构品质提供参考，实现对数据机构的优胜劣汰，推动涉金融服务数据行业健康持续发展。

加强对于数据机构所用新技术的伦理性规范

应重视对数据机构所使用的具体技术的规制，加强对于技术的合伦理性的审查，以防止技术的不当使用对金融消费者利益的损害。可考虑建立道德委员会等机构，考察数据收集、处理、使用及相关的技术应用是否符合道德要求。可综合考虑各种因素，建立分级的监管体系：对于适合公开的，要求其公开源代码或核心算法；对于涉及商业机密等因素不适合公开的，可规定其委托第三方专业机构出具审查报告或提供自我审查报告；同时，在纠纷处理、举报申诉等方面，规定适用举证责任倒置原则，加强数据机构的举证责任，最大程度维护消费者权益。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意