“爬虫”业务清理整顿波及银行 金融数据监管势在必行

　　近期，“非法爬虫”令大数据行业站到风口浪尖，部分公司的“爬虫”团队被全部裁员，大量人员主动离职。与此同时，继人民银行要求各地银行排查与第三方数据公司合作情况后，中国互联网金融协会也向会员机构发布《关于增强个人信息保护意识依法开展业务的通知》，要求会员机构对数据合作方进行排查。“爬虫”究竟是什么？为何引发轩然大波？

　　“非法爬虫”危害大

　　所谓“爬虫”，本质是一种网络信息搜索技术。“以往，信息的浏览和获取是人工进行的，而‘爬虫’是通过数字机器人的方式从互联网获取信息。”苏宁金融研究院、金融科技研究中心副主任孙扬在接受《上海金融报》记者采访时介绍称，“只要网站具备robots文件、遵循robots协议，互联网行业允许公开信息的爬取。随着大数据的发展，‘爬虫’技术被大数据公司、金融机构等用于获取数据，助力风控决策。”

　　“简单来说，‘爬虫’可以高效、大规模地进行信息读取和收集的工作。”中伦文德律师事务所高级合伙人陈云峰对《上海金融报》记者表示，“随着商业模式不断创新，‘爬虫’技术不仅在搜索引擎领域运用广泛，还在众多行业中颇有建树。例如，数据信息平台可通过‘爬虫’技术实现及时、动态更新推送。”

　　既然“爬虫”技术运用非常广泛，近期为何引发巨大争议？其合规边界在哪里？

　　“未经过用户授权，对个人信息数据的访问、获取、保存、使用和出售，或者超范围访问等行为都是不合法的。”孙扬表示，“非法爬虫”可能导致非法放贷、非法数据交易、用户隐私泄露、金融诈骗等一系列问题。

　　在业内人士看来，“爬虫”技术本身是中性的，但如果使用有问题，则可能成为违法的工具。“从现有法规及法律实践看，‘爬虫’技术极大地提升了搜索引擎的精确度与灵敏性，是数据化时代的重要工具，但其本身带有一定的‘风险性质’。”陈云峰指出，爬取公开数据信息，一般不会涉及刑事犯罪，但需注意不能因此干扰或破坏所爬网站的正常运行。同时，如果所爬企业开展同类业务，且其网站的数据经过加工，爬取其网站信息并直接加以利用的，可能构成不正当竞争。

　　“通过‘爬虫’技术抓取数据时，需关注爬取的内容是否获得用户授权，以及相关数据是否是个人信息或非公开信息等。此外，即便获得使用授权，机构获得数据后的使用方式是否违规，是否存在买卖行为也值得关注。”零壹研究院院长于百程在接受《上海金融报》记者采访时表示，“数据公司之所以从事‘非法爬虫’，主要是觊觎数据的价值，期望通过超出授权的‘非法爬取’或非法数据买卖等获取利润。”

　　金融数据监管势在必行

　　鉴于“非法爬虫”的危害性，监管部门对相关公司及业务展开清理整顿，一些高度依赖“爬虫”数据的机构受到波及，其中亦包括很多中小银行。

　　“‘爬虫’业务被清理整顿，对于业务依赖‘爬虫’数据的金融机构将产生影响。”于百程表示，“例如，若金融机构以‘爬虫’数据进行风控开展线上贷款业务，‘爬虫’被停后，数据缺失或导致风控模型无法运转。”

　　“‘爬虫’业务的清理整顿，对大数据风控类企业打击最大，影响最深，业内大多数公司面临生存危机，整顿改制迫在眉睫。”陈云峰表示，“同时，人民银行开始调查银行与第三方机构的合作关系，严禁与以‘大数据’为名窃取、滥用、非法买卖或泄露客户信息的企业开展合作。”

　　“鉴于此，银行与第三方机构合作前，应该审查第三方机构通过‘爬虫’获取的数据是否得到授权；将客户资料共享给第三方机构时，也应确保数据用途。”陈云峰强调。

　　孙扬指出，“大型金融机构和互联网公司主要依靠自身积累的长期数据，因此清理整顿主要将对自身数据积累很少的中小银行、非银金融机构造成一定影响，但基于人行及百行征信的数据，很多中小机构也能够做得很好。”从全球范围看，在大数据监管及个人数据信息保护方面，部分发达国家的立法经验或可借鉴。

　　“2017年，英国政府公布《数据保护法案》，取代实施了近20年的《1998年数据保护法》。该项法案进一步强化了对个人的保护，给予公民更多的个人信息控制权；完善了对企业利益的保护，根据数字经济发展的需要，促进企业更好地保护个人数据，规范审慎经营从而提升企业声誉和业务；为刑事司法机构设定了专门的数据保护框架，法案考虑到刑事司法机构为了制裁犯罪行为而收集、使用、分享数据信息的需要，匹配相应的数据处理框架满足执法目的需求。这对我国个人数据保护具有极大的借鉴意义。”陈云峰表示。

　　“当前我国数字经济发展迅猛，为保障和促进数字经济持续健康发展，一方面要鼓励基于数据的经济创新发展，另一方面要对数据提供必要的保护，确保其安全、恰当地被利用。”陈云峰进一步指出，“目前，我国个人信息(数据)保护主要以刑事打击为主，且力度不断加大，对基于数字的创新发展带来了一定影响。未来，我国个人信息保护的主要路径，应当在一部专门的《个人信息保护法》基础之上，综合运用民事、行政和刑事等多种手段，充分保护公民个人数据安全，也保障和促进我国数字经济健康持续发展。”

　　“2018年12月13日，由15名美国民主党参议员组成的小组共同提出了《数据保护法案》。该法案旨在保护用户个人信息，并要求大型科技公司、网站、应用程序和其他在线提供商采取合理措施保护个人信息并防止用户数据滥用。如果该法案获得通过，将成为第一部在联邦政府层面解决美国隐私问题的法案。”孙扬表示。

　　值得关注的是，我国的《个人金融信息(数据)保护试行办法(初稿)》(以下简称《办法》)亦已出炉。据悉，央行已将《办法》下发至各银行，目前正在征求意见中。

　　“《办法》对个人金融融信息保护所应遵循的基本原则、程序和制度进行了统一的规范，有望改变当前各类规定之间存在的重复甚至冲突现象，将填补大数据风控行业在个人信息采集、使用等方面的法律空白。同时，《办法》在明确法律义务，指引大数据金融行业人员从业规范的同时，也赋予了一定的法律权利，真正做到‘有法可依’。”陈云峰表示。

　　“不过，目前对‘爬虫’和数据业务的合规边界仍不清晰。”于百程指出，这方面，需要《办法》等进行明确。

　　在业内人士看来，目前金融数据的监管仍存在诸多难点。“大数据监管缺乏依据，且制度化和常态化监管未形成。同时，对于金融大数据，监管部门之间的分工也不明确。”陈云峰说。

　　“监管部门此前主要针对金融业务和信息科技进行监管，未能对金融科技实现全流程监管，同时金融数据产品也没有通过国家权威机构的认证。”孙扬表示，目前监管部门已经做了很多工作，包括制定金融科技产品目录、金融科技产品认证机制、金融科技监管规定等，或将于近一两年内逐渐完善。

　　陈云峰建议，对于金融数据的监管，首先应该明确人民银行的大数据监管职责，拓宽对金融大数据监管范畴，建立健全金融大数据监管制度与法规。同时，利用“两综合、两管理”加强金融大数据监管，并大力推进金融业信息标准化建设。

　　“数据是数字化时代最宝贵的财富，诸多业务效率的提升均依赖数据，在金融领域，数据的价值更加凸显。”于百程指出，对金融数据的监管，一方面要从法制层面明确标准，保护个人信息不被侵害；另一方面也要建立数据的基础设施，从政府数据共享开放，到征信数据体系的建立，以提升金融业务的效率。