盡管紛擾不斷，但傳統金融機構的線上化進程不可逆轉。在這一進程中，數據分析機構所提供的各類工具和服務一時難以替代。以智能反欺詐為例，數據分析機構通過各種技術手段廣泛采集到各類重要數據，并以此建模進而通過人工智能深度學習模型監控監督相關數據信息往來，進而及時發現預警危險數據、欺詐信息。對中小金融機構而言，自建上述建模分析能力的成本太高。若缺少數據分析機構的能力支撐，必然會增大業務風險；若停止相關業務，則會因缺乏競爭力而失去市場，同時也會影響到普惠金融的推進。

由于數據分析機構擁有海量的替代數據，能夠有效彌補傳統征信機構在客戶數據上的不足，故而金融業逐步采用這些數據分析機構的產品和服務以擴展金融服務范圍，例如開展小微企業貸款等普惠金融業務。隨著數據分析機構服務金融業的作用越來越大，對其進行適當規制也成為有關各方亟須思考的問題。

毋庸置疑，數據分析機構為金融市場提供的相關技術與工具是中立的。然而，數據分析市場確實存在諸多亂象，問題出在人性善惡與規制(管理)不足。國家已經發布了一系列的規范性文件，如《網絡安全法》、《數據安全管理辦法(征求意見稿)》、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，以及金融數據保護方面的部門規章制度等。然而，數據分析行業發展迅速，部分數據分析機構尚未及時消化各類規范要求，這就需要監管機構加強引導，促進行業建立一套良好的實踐做法，在隱私保護與合理利用之間達到平衡，以包容創新促進數據的合理利用。

當前的緊要任務，我認為是推動形成金融監管機構、行業頭部企業與法律界等共同研究探討的善治局面，鼓勵科技向善。針對當前數據分析行業的弊端，可以考慮采取以下措施：

第一，金融監管機構出臺金融業個人數據保護合規操作指南。針對金融業大量使用自有個人數據和第三方個人數據以及相關法律法規尚未健全的現狀，金融監管機構應出臺相應的合規操作指南，引導金融機構及數據分析機構的合規運行。從歐盟個人數據保護的實踐經驗來看，在《數據保護指令》和GDPR出臺前后，歐盟出臺了一系列合規操作指南，幫助行業企業提高合規操作能力。

第二，建立個人數據保護的行業自律組織。由于金融業是數據分析機構的主要市場，對數據分析機構采取適當的監管措施是必要的。2018年11月，香港環聯資訊發生泄漏個人信貸資料的事故。事發后，該公司立即停止了相關服務。香港金融管理局（金管局）在獲知事故后通過銀行公會要求環聯立即全面調查事件，并盡早提升索取資料所需的認證程序。盡管環聯并不受到金管局的直接監管，但該事故涉及銀行向環聯提供的個人信貸資料的安全性，因此金管局的介入是恰當的。金融監管機構可以要求數據分析機構做好數據保護與認證工作，進而可以組織數據分析機構建立市場化自律性行業協會，起到間接規范數據分析行業的作用。這樣一來，如同香港金融監管局一樣，金融監管機構可以對數據分析行業實施恰當的行為監管措施。

第三，以合規供應商清單的方式促進數據分析行業的發展。在金融業個人數據保護合規操作指南的指導下，金融監管機構可以進一步設置數據分析機構合規操作指南，要求數據分析機構按照指南要求開展相關個人數據保護工作，并采取現場檢查、非現場檢查等措施定期評估其合規性，根據合規性評估結果定期公布合規供應商清單，以此來加強數據分析行業的個人數據保護。

（作者系中國人民大學國發院金融科技與互聯網安全研究中心主任）