王磊

數(shù)字經(jīng)濟(jì)時代，金融科技蓬勃發(fā)展，同時也衍生出數(shù)據(jù)、算法等諸多倫理失范問題，掣肘金融科技健康發(fā)展，引起國家高度重視和社會廣泛關(guān)注。商業(yè)銀行作為金融科技創(chuàng)新的“主力軍”，自覺加強(qiáng)金融科技倫理治理是不可推卸的責(zé)任，而“從何處開始金融科技倫理治理”已成為當(dāng)下商業(yè)銀行亟待解決的共性問題。商業(yè)銀行從數(shù)據(jù)安全和個人信息保護(hù)著手，秉持“數(shù)據(jù)向善”的倫理理念，積極探索實踐金融科技倫理治理體系建設(shè)，為金融科技活動立起“倫理標(biāo)尺”，是全面數(shù)字化轉(zhuǎn)型過程中的社會責(zé)任與價值觀。

金融科技與金融科技倫理

金融科技是金融和科技的有機(jī)結(jié)合，是以技術(shù)為核心驅(qū)動力的金融創(chuàng)新。倫理即所謂“人倫道德之理”，是指社會主體在處理人與人、人與社會、人與自然相互關(guān)系時應(yīng)遵循的各種道德規(guī)范和行為準(zhǔn)則。延伸至金融科技領(lǐng)域則是指金融科技活動中各利益相關(guān)方需要遵循的價值理念和行為規(guī)范。

隨著金融數(shù)字化轉(zhuǎn)型步伐的加快，傳統(tǒng)金融服務(wù)的方式和業(yè)態(tài)發(fā)生深刻改變，業(yè)務(wù)數(shù)據(jù)化的同時數(shù)據(jù)也在業(yè)務(wù)化、資產(chǎn)化和資本化，數(shù)據(jù)既是傳統(tǒng)人、財、物等生產(chǎn)要素在數(shù)字世界中的映射，又可借助數(shù)字技術(shù)成為新的生產(chǎn)要素，使得人與人、人與機(jī)器、人與資本之間的關(guān)系發(fā)生巨大變化，金融科技倫理問題隨之產(chǎn)生并不斷涌現(xiàn)。金融活動中數(shù)據(jù)所映射的主客體以及數(shù)據(jù)之間的行為及其相互關(guān)系是否遵循社會行為規(guī)范，成為金融科技倫理研究的主要對象之一。

數(shù)據(jù)倫理和算法倫理是金融科技倫理的典型失范問題

當(dāng)前，數(shù)字技術(shù)高速發(fā)展，數(shù)據(jù)處理能力日益增強(qiáng)，對金融科技創(chuàng)新發(fā)展起到了關(guān)鍵性作用，成效顯著。但數(shù)據(jù)被處理后具有巨大價值，從而催生出了虛假數(shù)據(jù)、“大數(shù)據(jù)殺熟”等數(shù)據(jù)倫理與算法倫理失范問題。

數(shù)據(jù)倫理問題。在數(shù)字技術(shù)的驅(qū)動下，金融數(shù)據(jù)商業(yè)價值加速釋放，同時也隨之出現(xiàn)了數(shù)據(jù)侵權(quán)、隱私泄露、數(shù)據(jù)霸權(quán)、虛假數(shù)據(jù)泛濫等多種表現(xiàn)形式的數(shù)據(jù)倫理問題，對金融消費者隱私權(quán)、知情權(quán)、數(shù)據(jù)權(quán)以及人類自由和社會公平造成了侵害，甚至危害了公共利益和國家安全。例如，未經(jīng)授權(quán)私自收集個人信息、超范圍過度采集用戶隱私數(shù)據(jù)或設(shè)置“不授權(quán)就不能使用”的霸王條款，違背客戶數(shù)據(jù)所有權(quán)、控制權(quán)和選擇權(quán);不履行客戶敏感信息保護(hù)的信義義務(wù)，使客戶信息被盜用或出售，產(chǎn)生相關(guān)的不良交易、限定交易、捆綁銷售等行為，導(dǎo)致不公平協(xié)議;過度營銷、誘導(dǎo)消費的工具，侵害金融消費者的合法權(quán)益;借助平臺和系統(tǒng)的隱蔽性，制造水軍刷單、虛假評價、虛假排名等虛假數(shù)據(jù)引導(dǎo)金融消費者進(jìn)行消費;將所掌握的金融數(shù)據(jù)甚至未經(jīng)脫敏的個人金融信息作為利益交換的籌碼，在未經(jīng)用戶同意的情況下隨意共享或售賣數(shù)據(jù)資源，拓展衍生業(yè)務(wù)，從中非法牟利。

算法倫理問題。在數(shù)字化背景下，算法的運算對象正在發(fā)生著巨大變化，正在由物向人轉(zhuǎn)變，當(dāng)金融消費者成為金融科技的“計算”對象時，算法控制、算法綁架、算法共謀等問題逐漸凸顯，給個人和社會帶來諸多風(fēng)險和不利影響，引發(fā)倫理爭議。例如，利用算法黑箱隱藏定價規(guī)則，將不同用戶打上標(biāo)簽“分揀”并實施差別定價，嚴(yán)重?fù)p害金融的公平性和普惠性;通過智能算法匹配金融消費者的消費傾向和偏好，進(jìn)行產(chǎn)品與服務(wù)的成癮性、趨同性的推薦和誘導(dǎo)，讓金融消費者對其模式和結(jié)果形成過度依賴，逐漸達(dá)到對金融選擇權(quán)形成“隱性控制”;通過算法快速抓取和分析數(shù)據(jù)，由此動態(tài)調(diào)整定價或更隱蔽地實施統(tǒng)一定價，與同業(yè)達(dá)成“算法共謀”形成市場壟斷，侵犯消費者的公平交易權(quán)。

數(shù)據(jù)安全與個人信息保護(hù)是金融科技倫理治理的起點

目前，監(jiān)管部門和全社會都高度關(guān)注金融科技倫理，商業(yè)銀行強(qiáng)化金融科技活動的倫理治理，既是落實金融科技倫理治理主體責(zé)任的要求，也是獲得客戶認(rèn)同感和信任感，打造數(shù)字經(jīng)濟(jì)時代核心競爭力的迫切需要。商業(yè)銀行通過建設(shè)企業(yè)級金融科技倫理治理體系，能有效預(yù)防和化解金融科技活動帶來的倫理風(fēng)險，而數(shù)據(jù)安全與個人信息保護(hù)正是這一重要工作的起點。

數(shù)據(jù)安全與個人信息保護(hù)具備較為成熟的法規(guī)與政策土壤

自2018年5月25日歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）正式實施以來，世界范圍內(nèi)已有130多個國家和地區(qū)推動了以個人信息保護(hù)為主的數(shù)據(jù)保護(hù)立法，通過確定數(shù)據(jù)利益相關(guān)主體以及厘清各自權(quán)益范圍來達(dá)到規(guī)范數(shù)據(jù)處理活動的目的。2021年以來，歐盟又陸續(xù)發(fā)布《數(shù)字服務(wù)法案》《數(shù)字市場法案》《數(shù)據(jù)治理法案》《人工智能法案》，新西蘭發(fā)布《算法憲章》等，為各國數(shù)據(jù)與算法合規(guī)的立法與執(zhí)行提供了重要參考。

2021年，我國頒布并實施《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個人信息保護(hù)法》，國家網(wǎng)信辦陸續(xù)發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》《數(shù)據(jù)出境安全評估指南》等法規(guī)，中國人民銀行作為監(jiān)管機(jī)構(gòu)發(fā)布《征信業(yè)務(wù)管理辦法》以及《數(shù)據(jù)安全分級指南》《數(shù)據(jù)生命周期安全規(guī)范》《個人金融信息保護(hù)技術(shù)規(guī)范》等金融行業(yè)標(biāo)準(zhǔn)，為促進(jìn)數(shù)字經(jīng)濟(jì)的健康發(fā)展，增進(jìn)人民福祉奠定了堅實的法律基礎(chǔ)，同時為商業(yè)銀行落地實施數(shù)據(jù)與算法合規(guī)建設(shè)提供了重要依據(jù)。

數(shù)據(jù)安全與個人信息保護(hù)是金融科技倫理的底線要求

數(shù)據(jù)安全與個人信息保護(hù)的內(nèi)涵和外延不斷拓展，從科技系統(tǒng)、應(yīng)用技術(shù)、運行保障及應(yīng)急等傳統(tǒng)信息安全技術(shù)層面，擴(kuò)展到貫穿客戶權(quán)益保障、業(yè)務(wù)及應(yīng)急管理、產(chǎn)品與渠道管理、風(fēng)險管控等銀行全方位業(yè)務(wù)流程中。一方面，要求金融企業(yè)評估數(shù)據(jù)處理活動的每一個環(huán)節(jié)是否符合合規(guī)與倫理要求，滿足合法、正當(dāng)、必要及告知原則;另一方面，對生產(chǎn)、開發(fā)測試、辦公環(huán)境下用戶使用不同類型、不同敏感程度數(shù)據(jù)的行為進(jìn)行監(jiān)測審計，并持續(xù)發(fā)現(xiàn)、預(yù)警甚至阻斷異常訪問行為，以充分保障能否有效保護(hù)個人、法人數(shù)據(jù)主體的合法權(quán)益，并在特定場景下維護(hù)國家安全。

習(xí)近平總書記在中央全面深化改革領(lǐng)導(dǎo)小組第二十六次會議中強(qiáng)調(diào)指出：“數(shù)據(jù)基礎(chǔ)制度建設(shè)關(guān)乎國家發(fā)展與安全大局，要維護(hù)國家數(shù)據(jù)安全、保護(hù)個人信息和商業(yè)秘密，促進(jìn)數(shù)據(jù)高效流通、賦能實體經(jīng)濟(jì)，統(tǒng)籌推進(jìn)數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理，加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系?！庇纱丝梢?，數(shù)據(jù)安全與個人信息保護(hù)是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)，也是金融科技創(chuàng)新發(fā)展的前提，更是金融科技倫理的合規(guī)底線要求。

數(shù)據(jù)安全與個人信息保護(hù)是金融科技倫理治理的核心工作

從企業(yè)治理層面看，以數(shù)據(jù)與算法為主要對象的數(shù)據(jù)安全和個人信息保護(hù)管理體系與金融科技倫理治理在組織架構(gòu)、管理機(jī)制、管理要點以及工具支撐上均有明顯的關(guān)聯(lián)性與重合性。

從落地實施層面看，數(shù)據(jù)合規(guī)以個人信息安全影響評估（PIA）為主，側(cè)重從個人權(quán)益保護(hù)角度，對處理敏感個人信息、向其他處理者提供個人信息、數(shù)據(jù)跨境等場景進(jìn)行事先評估。算法合規(guī)以算法安全影響評估為主，側(cè)重從算法的設(shè)計開發(fā)、驗證測試、部署運行等生命周期進(jìn)行安全評估，不僅涉及算法自身安全，也包括算法應(yīng)用安全?；诤戏ā⒉粋?、尊重主體、公平、保護(hù)隱私等一系列倫理原則，通過數(shù)據(jù)合規(guī)和算法合規(guī)對金融科技活動風(fēng)險進(jìn)行考察，實現(xiàn)金融科技倫理治理。

由此可見，從法律基礎(chǔ)、底線要求和核心工作三個角度，以法律法規(guī)為準(zhǔn)繩，行業(yè)監(jiān)管為依據(jù)，先合規(guī)、后倫理的數(shù)據(jù)安全和個人信息保護(hù)，是開展金融科技倫理治理體系建設(shè)的起點和必然選擇。

光大銀行數(shù)據(jù)安全與個人信息保護(hù)建設(shè)實踐

2020年以來，光大銀行一直密切關(guān)注“兩法”的發(fā)布實施進(jìn)程，深入研究了國家網(wǎng)信辦、中國人民銀行、銀保監(jiān)會等監(jiān)管機(jī)構(gòu)出臺的一系列監(jiān)管規(guī)定與執(zhí)法動作，明確了數(shù)據(jù)安全與個人信息保護(hù)是光大銀行數(shù)字化運營及數(shù)據(jù)資產(chǎn)價值釋放過程中的安全合規(guī)底座與風(fēng)險防線。光大銀行以保護(hù)數(shù)據(jù)主體權(quán)益為核心目標(biāo)，推動構(gòu)建全行數(shù)據(jù)安全與個人信息保護(hù)體系，為啟動金融科技倫理治理建設(shè)在組織制度、管理機(jī)制、技術(shù)工具等方面打下堅實的基礎(chǔ)。

搭建并建立數(shù)據(jù)安全管理制度體系框架。光大銀行搭建了以《數(shù)據(jù)政策》為指導(dǎo)綱領(lǐng)，涵蓋政策、管理辦法、實施細(xì)則與技術(shù)規(guī)范三層的制度框架體系。主要包括《數(shù)據(jù)安全管理辦法》《數(shù)據(jù)共享安全管理法》《個人信息保護(hù)技術(shù)實施細(xì)則》《個人信息保護(hù)技術(shù)規(guī)范》《個人信息保護(hù)應(yīng)急預(yù)案》《辦公環(huán)境數(shù)據(jù)安全實施細(xì)則》等，明確了數(shù)據(jù)安全和個人信息保護(hù)的流程機(jī)制，指導(dǎo)和規(guī)范數(shù)據(jù)安全工作，為推動金融科技倫理治理奠定了制度基礎(chǔ)。

應(yīng)用開發(fā)流程中實施個人信息影響評估（PIA）。光大銀行創(chuàng)新建立了PIA評估機(jī)制與300+評估要點，其中，處理個人信息的最小必要原則是評估要點中最核心的內(nèi)容。PIA機(jī)制于2022年1月實現(xiàn)了線上化流程，在零售、數(shù)金條線“40+”系統(tǒng)中推廣。對手機(jī)銀行、陽光惠生活、云繳費等存量應(yīng)用進(jìn)行專項評估，形成應(yīng)用開發(fā)流程中事前、事后評估機(jī)制，落地個人信息保護(hù)工作。

數(shù)據(jù)共享安全管理從一事一議轉(zhuǎn)向常態(tài)化。數(shù)據(jù)共享、跨境場景呈快速增長趨勢，光大銀行全面梳理數(shù)據(jù)共享類型、方式、準(zhǔn)入資質(zhì)、協(xié)議等，建立數(shù)據(jù)共享安全影響評估機(jī)制。已開展外部數(shù)據(jù)服務(wù)商的專項評估與整改工作，包括與集團(tuán)簽訂《集團(tuán)數(shù)據(jù)共享治理框架協(xié)議》，與盧森堡分行簽訂《數(shù)據(jù)處理者協(xié)議》等。通過研究《數(shù)據(jù)出境安全評估辦法》的相關(guān)要求，建立數(shù)據(jù)跨境安全管理機(jī)制，以實現(xiàn)數(shù)據(jù)安全的落地實施。

加速建設(shè)創(chuàng)新技術(shù)研究與工具開發(fā)。2021年8月，光大銀行率先上線業(yè)內(nèi)首家基于多方安全計算技術(shù)的數(shù)據(jù)共享融合基礎(chǔ)設(shè)施平臺，探索個人信息跨企業(yè)間安全共享的可行路徑。2022年重點建設(shè)數(shù)據(jù)安全分級、數(shù)據(jù)安全監(jiān)測審計、辦公環(huán)境數(shù)據(jù)安全防護(hù)系統(tǒng)等技術(shù)工具，為有效防范因內(nèi)部人員違規(guī)而導(dǎo)致的數(shù)據(jù)泄露與濫用風(fēng)險，以及數(shù)據(jù)安全管理常態(tài)化運營提供了重要技術(shù)支撐。

“數(shù)據(jù)向善”是商業(yè)銀行未來發(fā)展的核心價值觀

數(shù)字經(jīng)濟(jì)時代，現(xiàn)實世界中的思想、物品、組織、個人等都被數(shù)據(jù)化，再通過科技手段實現(xiàn)全人類在虛擬世界的“重生”，每個實體都被賦予一個構(gòu)建在數(shù)據(jù)之上的虛擬身份，任何對數(shù)據(jù)施加的活動必然通過這一虛擬身份映射并影響到現(xiàn)實世界。因此，虛擬世界中也需要建立與現(xiàn)實世界中“客戶為先”“以人為重”等價值導(dǎo)向相一致的企業(yè)核心價值觀。

《金融科技發(fā)展規(guī)劃（2022-2025年）》強(qiáng)調(diào)要強(qiáng)化金融科技治理，全面塑造數(shù)字化能力，健全多方參與、協(xié)同共治的金融科技倫理規(guī)范體系，構(gòu)建互促共進(jìn)的數(shù)字生態(tài)，特別是對金融機(jī)構(gòu)履行金融科技倫理管理主體責(zé)任提出了明確的要求。一方面，要落實法律法規(guī)和監(jiān)管機(jī)構(gòu)對數(shù)據(jù)安全與個人信息保護(hù)的相關(guān)要求，切實履行數(shù)據(jù)管理的主體責(zé)任，將“數(shù)據(jù)合規(guī)”理念內(nèi)化于自身血液，融入到每一項金融科技活動中，確保金融數(shù)據(jù)處理活動的合法合規(guī)性，以獲得數(shù)據(jù)主體的信任。另一方面，要主動承擔(dān)金融科技倫理管理主體責(zé)任，加強(qiáng)金融科技倫理日常管理，提前預(yù)防、有效化解金融科技活動中的倫理風(fēng)險，切實履行商業(yè)銀行在數(shù)字經(jīng)濟(jì)時代的社會責(zé)任。

未來，隨著現(xiàn)實個體對虛擬身份權(quán)利意識逐漸覺醒，金融科技的倫理要求也將日益嚴(yán)苛。商業(yè)銀行應(yīng)將“數(shù)據(jù)向善”的核心價值觀融入企業(yè)發(fā)展長期戰(zhàn)略，一以貫之地做好數(shù)據(jù)安全與個人信息保護(hù)工作，推動金融科技倫理治理工作。

（作者系中國光大銀行信息科技部副總經(jīng)理、數(shù)據(jù)服務(wù)中心總經(jīng)理、光大集團(tuán)數(shù)字化協(xié)同實驗室資深研究員）

責(zé)任編輯：孫 爽