尽管纷扰不断，但传统金融机构的线上化进程不可逆转。在这一进程中，数据分析机构所提供的各类工具和服务一时难以替代。以智能反欺诈为例，数据分析机构通过各种技术手段广泛采集到各类重要数据，并以此建模进而通过人工智能深度学习模型监控监督相关数据信息往来，进而及时发现预警危险数据、欺诈信息。对中小金融机构而言，自建上述建模分析能力的成本太高。若缺少数据分析机构的能力支撑，必然会增大业务风险；若停止相关业务，则会因缺乏竞争力而失去市场，同时也会影响到普惠金融的推进。

由于数据分析机构拥有海量的替代数据，能够有效弥补传统征信机构在客户数据上的不足，故而金融业逐步采用这些数据分析机构的产品和服务以扩展金融服务范围，例如开展小微企业贷款等普惠金融业务。随着数据分析机构服务金融业的作用越来越大，对其进行适当规制也成为有关各方亟须思考的问题。

毋庸置疑，数据分析机构为金融市场提供的相关技术与工具是中立的。然而，数据分析市场确实存在诸多乱象，问题出在人性善恶与规制(管理)不足。国家已经发布了一系列的规范性文件，如《网络安全法》、《数据安全管理办法(征求意见稿)》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，以及金融数据保护方面的部门规章制度等。然而，数据分析行业发展迅速，部分数据分析机构尚未及时消化各类规范要求，这就需要监管机构加强引导，促进行业建立一套良好的实践做法，在隐私保护与合理利用之间达到平衡，以包容创新促进数据的合理利用。

当前的紧要任务，我认为是推动形成金融监管机构、行业头部企业与法律界等共同研究探讨的善治局面，鼓励科技向善。针对当前数据分析行业的弊端，可以考虑采取以下措施：

第一，金融监管机构出台金融业个人数据保护合规操作指南。针对金融业大量使用自有个人数据和第三方个人数据以及相关法律法规尚未健全的现状，金融监管机构应出台相应的合规操作指南，引导金融机构及数据分析机构的合规运行。从欧盟个人数据保护的实践经验来看，在《数据保护指令》和GDPR出台前后，欧盟出台了一系列合规操作指南，帮助行业企业提高合规操作能力。

第二，建立个人数据保护的行业自律组织。由于金融业是数据分析机构的主要市场，对数据分析机构采取适当的监管措施是必要的。2018年11月，香港环联资讯发生泄漏个人信贷资料的事故。事发后，该公司立即停止了相关服务。香港金融管理局（金管局）在获知事故后通过银行公会要求环联立即全面调查事件，并尽早提升索取资料所需的认证程序。尽管环联并不受到金管局的直接监管，但该事故涉及银行向环联提供的个人信贷资料的安全性，因此金管局的介入是恰当的。金融监管机构可以要求数据分析机构做好数据保护与认证工作，进而可以组织数据分析机构建立市场化自律性行业协会，起到间接规范数据分析行业的作用。这样一来，如同香港金融监管局一样，金融监管机构可以对数据分析行业实施恰当的行为监管措施。

第三，以合规供应商清单的方式促进数据分析行业的发展。在金融业个人数据保护合规操作指南的指导下，金融监管机构可以进一步设置数据分析机构合规操作指南，要求数据分析机构按照指南要求开展相关个人数据保护工作，并采取现场检查、非现场检查等措施定期评估其合规性，根据合规性评估结果定期公布合规供应商清单，以此来加强数据分析行业的个人数据保护。

（作者系中国人民大学国发院金融科技与互联网安全研究中心主任）