导读

2021年，十余家银行因外包业务违规被监管处罚，暴露出外包机构管理存在的缺陷，比如部分科技公司研发的系统存在安全漏洞，敏感信息安全保护能力偏弱，导致银行出现业务中断和信息泄露等。数字经济时代是生态融合、价值共生的时代，因此，在数字化转型过程中，越来越多的银行要与科技公司开展合作，激活数据要素价值。那合作的过程中是否存在风险？如果有，又该如何将风险降低在可控范围内，在数据安全合规的前提下保证数据价值的实现，是银行与科技公司合作的“鱼与熊掌”难题。现在，这个难题有了突破口。

1、拆解数据合作四大环节

首先需要了解的是，银行与科技公司间的数据合作，都有哪些流程环节呢？这里以对公业务为例，阐述一下全流程中双方的分工及权责关系。

Step 1：数据输入

 需要贷款的企业授权银行访问和使用商流、物流、资金流、信息流等“四流”数据，银行委托科技公司对企业所在供应链进行数字化改造并采集数据。科技公司除了掌握贷款企业的相关数据，还会根据银行需求，从第三方数据公司、公开信息等多种渠道获得更多的支持和辅助数据。

Step 2：数据存储

 采集完成后的数据，可以在银行与科技公司进行双向备份。

Step 3：数据分析

科技公司利用其专业性帮助银行完成数据的脱敏、清洗与数据分类分级，利用人工智能算法挖掘数据的有用信息，使数据完成从“数据”到“数据资产”的转变。

Step 4：数据应用

科技公司帮助银行利用数据重新认识业务对象，推动风控数字化、智能化，改善运营管理流程，驱动业务交互过程的敏捷化、便利化、智能化，实现金融普惠，推动经济发展降本增效。

2、不容忽视的风险

习近平总书记指出，“要把主动防范化解系统性金融风险放在更加重要的位置，科学防范，早识别、早预警、早发现、早处置”。数据合作过程中的风险管理，也必须遵循这一原则。从风险识别的角度讲，这里的风险主要分为两类，一类是权益性风险，主要包括数据权属不清和隐私泄露风险；另一类是非权益性风险，主要是指科技公司因数据供给服务不到位造成的风险，涉及到数据传输的及时性和持续性。

数据权属不清风险

银行把企业数据外包给科技公司进行收集与分析，这一过程可能会存在数据所有权不清楚的地方，即在每一环节，数据的权属到底是归属于企业、银行还是科技公司。数据权属明晰是数据使用的基础，否则，数据权属不清会进一步造成数据滥用。

隐私泄露风险

银行与科技公司的合作会使得金融信息数据使用范围扩大、渠道增加，隐私泄露风险有所提升。部分中小银行和科技公司在数据的采集、存储和使用等过程中，尚未建立个人隐私保护的长效完整机制，一定程度上增加了客户身份信息、交易信息外泄风险。另外，科技公司可能通过整合企业的多维度信息数据，倒推出企业的核心隐私数据，从而非法转卖企业关键信息，对企业造成严重的负面影响。

比如，2021年3月，印度移动支付巨头MobiKwik与某科技公司搭建的存储服务器存在重大漏洞，导致泄露了约1亿用户的个人信息，包括交易日志、部分付款卡号、密码哈希以及个人身份证明文件等。这些信息被黑客以1.5个比特币的赎金在市场上公开拍卖，在全世界范围内都造成了恶劣影响。

数据传输的及时性和持续性风险

一方面，数据只有能够实时动态反映客户需求的变化，才能及时调整产品服务、风控运营等策略，在VUCA时代赢得主动。如果合作科技公司无法保证数据及时性，那么银行在激活数据要素价值方面的效果就会大打折扣。

VUCA是数字经济时代特点之一

另一方面，在合作过程中，个别科技公司缺少保证数据持续性的预案和备案，一旦出现数据中断问题，会导致连锁反应，甚至引起业务中断，给银行带来巨大的损失。

3、“鱼与熊掌”兼得之法

没有100%的安全，只能去做100%的防御。要想应对以上种种风险和问题，需要监管部门、银行、科技公司三方共同努力，不断创新模式、加强合作。

建议监管方： 开展节点式金融监管

 随着数字技术的发展，银行价值链不断细化、开放化，包括科技公司在内的不同主体可以充分参与到银行价值链中，共同创造价值。在这个过程中，传统的以单一机构为主体、全面承担整个业务流程风险的监管模式逐渐变得不再适用，节点式金融监管需要登上舞台。

节点式金融监管保证每个参与主体的权利责任对等，尽可能将外部性内化。监管可分解到每个细化和网格化后的环节、节点或行为，保证每个节点或行为都遵循监管规定。

利用节点式金融监管，能够充分渗透到银行与科技公司数据合作的四大环节中，分别进行微观和宏观审慎监管，明确各环节中银行、科技公司、贷款企业、第三方数据公司等各方的权力与责任，提升监管的针对性和有效性，保证业务链条稳健运行。

建议银行与科技公司： 共建安全可信的数据合作机制

好的数据合作模式，一定是银行与科技公司在权责清晰的前提下，秉承互利共赢、融合赋能的开放心态，共建安全可信的数据合作机制。银行能够在风险可控的前提下，充分利用科技公司专业的数据采集与预处理、存储、分析能力，实现价值共创。当然，银行必须要严把准入关，选取科技实力强、合作流程规范、有资质背书、有风险防范方案和应急预案的科技公司合作。

在合作过程中，银行需要与科技公司一起完成五大步骤。第一，建立和完善数据安全管理体系，重点强化数据安全的制度保障和组织保障。第二，做好数据流管理，明确数据全周期流动轨迹及重要环节相关方责权利。第三，进行数据安全分类分级管理，建立统一、完善的数据生命周期安全保护框架，制定有针对性的数据安全管控措施。第四，利用隐私计算等先进技术，在保障敏感数据不出域前提下规范开展数据共享应用，确保数据交互安全、使用合规、范围可控，实现数据可用不可见、数据不动价值动，在最小必要、专事专用原则下提升数据要素资源配置效率。第五，共建可信环境，实现服务全生命周期数据安全保证。

数据安全管理体系框架图

为了确保数据传输的及时性，银行与科技公司要共同建立实时、T+1、周期性的数据采集加工时效机制，针对不同需求匹配不同时效的数据。例如，直接反映客户需求变化的数据，时效就可以限定在实时和T+1。

为了确保数据连接的持续性，银行与科技公司要做好自动化的数据同步接口程序部署，并做好数据同步的质量监控，在发现任何数据缺失或错误等异常情况时，进行实时告警。同时，选择能够给予持续数据源的第三方机构合作，提前制定数据传输中断的应急预案及恢复、备选方案。

总 结

随着2022年初银保监会下发《关于银行业保险业数字化转型的指导意见》，对于银行、尤其是中小银行而言，数字化转型成为生死存亡之战，而高质量数字化转型必然离不开与科技公司的高质量合作。作为一家懂金融的科技公司，聚均科技拥有独立的质量可信体系，建立起数据流管理体系，明晰数据全周期流动轨迹及重要环节相关方权责利，在不直连银行核心系统、数据安全合规可控基础上发挥数据价值。聚均科技与银行共建风险“防火墙”，让数据真正成为银行数字化转型的驱动力。

参考文献：
   【1】陈道富：《建设全国层面的监管大数据平台》
   【2】陈道富：《对数字金融监管基本原则及重点的思考和建议》
   【3】曾燕、杨佳慧：《数字技术驱动的银行业监管创新与对策建议》
   【4】李明肖：《银行与金融科技公司合作类业务存在的问题及监管思路》
   【5】熊巧琴、汤珂：《数据要素的界权、交易和定价研究进展》
   【6】Abowd, J. M., and Schmutte, I. M.: 《An economic analysis of privacy protection and statistical accuracy as social choices》
   【7】Acquisti, A., Taylor, C., and Wagman, L.: 《The economics of privacy》