摘要：大数据时代，打破数据孤岛、促进数据汇聚融合，是金控集团及成员企业发挥金融数据效用、实现数据价值的必经之路。本文结合当前金融数据整合的实践以及整合过程中所面临的困境，对金控集团数据整合中的主要问题进行了分析，包括对数据整合动因、合法性基础、参与者角色以及数据整合框架等，并给出了相应建议。

金控集团通常由一家金融控股公司（简称“金控公司”）和多家金融成员企业（简称“成员企业”）组成，涉足银行、信托、证券、期货、基金、保险等两项以上的金融业务。长期以来，金控集团的各个成员企业在开展业务过程中分别积累了不同维度、不同类型的客户数据。这些数据都是随着成员企业各自的业务发展自然积累起来的，形式各异，彼此分割，形成了金控集团内部的一个个“信息孤岛”。随着大数据时代的到来，金控集团存在极强的动因来整合这些可能高度关联的数据。

金控集团通过将来源于不同成员企业的金融数据汇聚在一起，进行加工、分析、挖掘和可视化等处理，形成数据产品反馈给各成员企业，可分别用于交叉营销和精准营销、优化运营管理、研发新产品以及风险控制等目的。例如，金控集团通过汇聚来自银行、证券、基金、保险等不同领域的数据，对特定客户进行社会网络分析，将相似的注册地址、电话号码，或者相同的任职人员，或相互对应的款项进出等因素进行联机分析，可以识别潜在的关联关系，从而防止重复授信或骗贷等。

构建数据整合的合法性基础

金控集团开展数据整合，面临的第一个问题就是合法性问题。总体来看，目前数据领域的一般规则对数据整合的支撑不足，金融领域的特殊规则对数据整合的限制较多。

数据领域的一般规则

目前，关于数据整合的一般规则集中体现在《网络安全法》和国家标准《个人信息安全规范》（简称“《安全规范》”）中。《网络安全法》第18条提到国家促进数据资源开放，但只提到公共数据，不涉及商业数据和个人信息。《网络安全法》第42条规定，未经被收集者同意，网络运营者不得向他人提供个人信息，但是，经过处理无法识别特定个人且不能复原的除外；第44条规定，任何个人和组织不得非法出售或者非法向他人提供个人信息。这两条原则性的规定采用的是否定表述方式，没有正面肯定个人信息共享的合法性。从逻辑上说，用户同意是共享个人信息的必要非充分条件，除了获取用户同意，是否还要满足其他条件不得而知。

作为目前个人信息保护实践最重要的规则文件，《安全规范》为数据整合提供了更多的支撑，其第8条确认了在确有需要时可以共享和转让个人信息，并明确了具体条件。最近的修订稿则更进一步，规定了对个人信息汇聚融合的要求，在一定程度上肯定了数据整合的合法性。不过，以《安全规范》作为金控集团数据整合的依据，也存在不足：一是其只适用于个人信息，不适用于非个人信息；二是其为推荐性国家标准，效力层级较低；三是其为一般规则，在适用顺序上劣后于金融行业的特殊规定。

金融领域的特殊规则

2011年，中国人民银行出台的《关于银行业金融机构做好个人金融信息保护工作的通知》中规定，金融机构不得向本金融机构以外的其他机构和个人提供个人金融信息，仅有的例外为“业务必需且用户授权”或“法律法规、中国人民银行另有规定”。据此，“原则禁止+有限例外”成为金融领域数据共享的基本监管框架。

2016年，中国人民银行发布了《金融消费者权益保护办法》，第32条认可了为数据分析目的而对外提供客户金融信息的合法性，为金融数据整合开了一个口子。2013年，银监会出台的《银行业金融机构信息科技外包风险监管指引》（银监发〔2013〕5号）也认可了数据处理外包行为。但是相对于形态多样的数据整合方式而言，这些口子显得过小。

证券基金领域的监管框架与银行领域类似。证监会于2018年发布的《证券基金经营机构信息技术管理办法》第34条规定，除法律法规和中国证监会另有规定外，证券基金经营机构不得允许或者配合其他机构、个人截取、留存客户信息，不得以任何方式向其他机构、个人提供客户信息。在这一规定下，任何形式的数据整合都必须依赖法律法规或证监会的明确的允许规定，否则就存在合规风险，而目前似乎找不到明确允许的规定。

7月26日，中国人民银行发布《金融控股公司监督管理试行办法（征求意见稿）》，第22条规定金控集团的成员企业之间可以共享客户信息。这一规定与上述限制性条款的例外情形接榫，为数据共享提供了明确的法律依据，有望扫清金融集团数据整合的法律障碍。

数据整合的三类主要参与者

金控集团数据整合的参与者有三类：科技公司、成员企业和金控公司，三种主体的角色各不相同。

科技公司：数据整合的实施者

数据整合需要具体的实施主体，大数据平台也需要实际的运营主体，出于专业化和风险隔离等考虑，这个角色通常由金控集团内具有独立法人资格的科技公司来承担。为此，科技公司需要解决数据处理能力和数据安全能力问题。数据处理能力本质上属于商业问题，法律并无强制要求。科技公司应当具备相应的硬软件设施和有经验的数据分析团队，至少需要证明其数据处理能力超出单个成员企业的水平，否则无法说服成员企业积极参与数据整合。

数据安全能力既是合规要求，也是消除成员企业数据安全担忧的现实需要。《关于银行业金融机构做好个人金融信息保护工作的通知》第7条规定，“银行业金融机构通过外包开展业务的，应当充分审查、评估外包服务供应商保护个人金融信息的能力，并将其作为选择外包服务供应商的重要指标。”《证券期货业信息安全保障管理办法》第36条规定，“??经营机构应当建立供应商管理制度，定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。”可见，数据安全能力是科技公司实施数据整合的重要前提。

成员企业：数据整合的贡献者与受益者

成员企业既是原始数据的提供者，也是整合后形成的数据产品的使用者和受益者。成员企业参与数据整合，需要解决参与动力的问题。从宏观和长期来看，数据整合能够在营销、研发、运营、风控等方面为金控集团带来诸多收益，这是开展数据整合的根本动力所在。但收益分布是不均衡的，一是成员企业之间横向不均衡，二是收益实现时间的纵向不均衡。成员企业因业务不同，数据类型和规模不同，对数据整合的需求也不同，所以贡献数据较多、数据价值较高者，从数据整合中获取的收益可能反而较少。此外，在短期内，成员企业可能向科技公司提供了大量的有价值的数据，但受限于数据处理能力，科技公司难以输出高价值的数据产品，或者由于经营管理模式的惯性，成员企业短期内难以充分利用这些数据产品。这两种情况都会影响成员企业参与数据整合的积极性。

解决上述问题的关键在于，在金控集团内形成一套对数据资产和数据产品进行市场化定价和利益补偿的机制，使各成员企业的贡献和收益实现均衡，进而实现金控集团收益的整体提升。

金控公司：数据整合的推动者和统筹协调者

当前的金融数据整合，主要是自上而下的模式。相对于专注于特定业务的成员企业，金控公司更加关注战略和全局的问题，对于当前世界范围内金融科技的发展更加敏感，对于数据整合带来的竞争优势抱有更多期待，因此，有更加迫切的动机来推动金控集团内的数据整合，这是数据整合的最初的推动力量。当数据整合成为集团战略后，科技公司被赋予实施者的角色。即使是出于自身利益的考虑，科技公司也会积极协助金控公司，劝说和促使更多成员企业加入数据整合，否则，科技公司将面临巧妇难为无米之炊的尴尬局面。能够立即从数据整合中获得直接收益的成员企业也会成为数据整合的推动力量。但不可否认的是，在最初阶段，数据整合的推动力量主要来自金控公司。

数据整合是一项系统性、持续性的工作，而且鲜有先例可循。因此，在实施过程中，有大量的问题需要解决，金控公司的统筹协调功能就显得尤为重要。根据相关理论，企业集团是介于单一企业与完全的市场竞争之间的中间形态。不同成员企业之间、成员企业与科技公司之间既不是完全的市场竞争关系，也不是完全的内部行政管理关系。金控公司基于股权关系等，对成员企业有一定的控制力和影响力；各成员企业基于现代公司治理结构，同时，又具有相当的独立性。如果一开始采用完全市场化的机制，在利益不均衡的情况下，数据整合就难以启动，或者即使启动，整合规模和范围也有限，整合效果不彰；如果一开始采用行政化的手段，则可能使数据整合流于框架和形式，不能真正发挥提升竞争优势的效果，还可能与公司治理与合规管理发生冲突，产生合规风险。这要求金控公司充分发挥统筹协调功能，在市场机制与行政手段之间寻求平衡。

合理搭建数据整合架构

基于各方在数据整合中的不同角色，金控集团数据整合的整体架构有以下搭建模式：

统一签约模式

科技公司与所有成员企业共同签署一份统一的数据整合协议。各成员企业之间的权利义务保持一致，按照统一方式向科技公司提供数据，科技公司汇聚所有数据，统一进行处理，并将数据产品反馈给各成员企业。优点是科技公司与各成员企业之间可以相互授权，形成授权网络，并统一安排各方的权利义务，从而实现全面的、高水平的数据整合。但这种模式对于统筹协调的要求较高，如果成员企业较多，不同成员企业的意见不统一，则推进难度较大，进度缓慢。

分别签约模式

科技公司分别与各成员企业签署“一对一”数据整合协议。在尽可能采用统一协议模板的前提下，各成员企业可根据各自的业务特点和实际情况，确定提供给科技公司的数据范围以及提供方式、整合模式、整合成果、工作进度等。优点是可根据各成员企业的情况灵活安排，快速启动，成熟一家纳入一家，逐步推进。但是，这种模式下缺乏统一的协议，囿于合同的相对性，只能实现各成员企业对科技公司的星状授权，不能形成各成员企业之间的交叉网状授权，授权不充分可能导致某些整合动作受限，如不能实现全集团内的标签打通，或者成员企业对整合成果的应用受限，从而影响整合的效果。

三方签约模式

这种模式与前面两种模式的区别在于，金控公司作为一方，加入科技公司与成员企业的统一协议或单独协议中。科技公司与成员企业的权利义务不变，金控公司只承担统筹协调职责，不参与数据的提供、接收和处理。优点是在这种模式下，金控公司从幕后走向前台，基于协议赋予的权利行使统筹协调职责，在某些情况下（如金控公司控制力较弱），可以提高整合工作效率。

结语

随着大数据技术在金融领域的广泛应用，金融数据整合成为大势所趋。金控集团通过整合集团内的数据，可以实现营销、研发、运营、风控等多种目的，全面提升集团竞争力。

此外，科技公司、成员企业以及金控公司应当明确自身的角色定位，充分发挥各自的功能和作用，并结合金控集团的实际情况，采取适当的合同架构，这样才能顺利推进数据整合并取得实际效果。

（本文作者为竞天公诚律师事务所合伙人）