来源 | 零壹财经
作者 | 曾卓
2021年11月30日,全联并购公会和零壹财经·零壹智库联合主办的“新机遇、新赛道,数据立法趋势探讨——《上海市数据条例》解读会”在线上召开。会议基于今年密集出台的国家和地方数据法规,以《上海市数据条例》为例,对数据监管的目的和要求、数据服务行业的合规操作与未来发展方向等进行了重点探讨。
会上,中伦律师事务所权益合伙人樊晓娟律师立足现行法规制度,围绕金融数据服务的定义、金融数据权属的确定、金融数据交易应注意的问题三个层面进行了演讲,为金融数据服务业的实务操作做出指引。
金融数据服务业的关键生产要素是金融数据,樊晓娟律师以两个具体的金融数据产品为例,引出对于金融数据概念的介绍。《金融数据安全 数据安全分级指南》中对金融数据做出了明确定义,简单来说,只要是与金融相关的数据都能被纳入金融数据的范畴。
金融数据服务业在国民经济行业中的分类,是包含于金融信息服务业,并归属于金融业的大框架内的,因此,与金融业其他机构一样,金融数据服务企业在从事相关服务时需要取得相应的牌照和许可。如果金融数据服务落在证券、期货的咨询方面,需要获得相应的证券期货投资咨询业务许可;如果金融数据服务落在互联网金融信息服务方面,需要取得增值电信业务的经营许可证,涉及信息网络传播、互联网新闻等业务的,还需要获得信息网络传播视听许可证、互联网新闻信息服务许可证等。外国机构在中国境内提供金融信息服务或者在中国境内投资设立金融信息服务企业,也都需要获得相应许可。
樊晓娟律师介绍,在金融数据的权属问题上,《上海市数据条例》和《深圳经济特区数据条例》都认可数据持有人对数据合法享有财产权利,但什么情况下采集的数据是企业享有所有权的?个人信息被企业采集后如何脱敏才能让企业享有所有权?这些问题还有待于进一步明确。
与金融数据权属息息相关的还有金融数据的来源问题。金融数据的来源有三种方式。
第一,直接采集,即金融机构直接向个人客户收集个人信息,应遵守《金融消费者权益保护法》、《个人金融信息保护技术规范》、《金融数据安全规范》、《个人信息保护法》等法律规定,个人金融信息采集时要做好分类分级保护措施,遵循技术规范,做好安全评估,且信息的取得和加工都必须遵循告知同意原则。
第二,爬取,即通过技术手段在互联网上爬取数据,应当遵守《个人信息保护法》、《网络安全法》、《反不正当竞争法》等规定。爬取数据还需要遵守爬取平台的协议,爬取非公开数据应当获得授权,避免妨碍被爬取平台正常经营。
第三,采购,即向其他数据处理者采购数据,应当遵守《数据安全法》、《合同法》等法律以及相应的地方性数据条例。卖方应保证其提供的数据或服务内容及来源合法,且不存在侵犯他人知识产权(如著作权)的情形,而采购方应确认所采购标的数据的使用范围、使用限制和使用期限等,确认所采购的数据和使用条款是否能在合规的前提下,符合采购方的实际业务需要。
对于金融数据的交易问题,樊晓娟律师认为有三点需要注意:
第一,金融数据产品设计要合规。要遵循金融数据分类分级规定,避免损害国家利益和扰乱金融秩序。金融数据以国内存储,国内交易为原则,涉及境外的数据交易则需经过证监会或有关主管部门统同意。
第二,金融数据产品交易要合规。交易前要确认对手资质,明确标的数据或数据产品的使用范围,对于使用后形成的数据的知识产权的归属、使用范围等要进行协商并予以明确。
第三,金融数据产品交易场所要合规。注意确认数据交易场所的资质,交易流程的合规性;遵守自律规则,严格保护国家数据安全,这样才能促进数据交易健康发展。
表:数据安全定级规则参考表
来源:金融数据安全-数据安全分级指南JR/T 0197-2020
