1.1 数据源合规的五大推动力

数据成为第五大生产要素、数据安全关乎国家安全、权威数据开放流通成为趋势、数据交易市场有法可依、金融风控技术竞争白热化是数据源合规的五大推动力，如图1-1所示。

1. 数据成为第五大生产要素

2020年4月9日，中共中央、国务院公布关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》（以下简称《意见》）。《意见》指出了土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求。《意见》明确了数据作为生产要素，可以进行市场交换，形成各种生产要素价格与体系，并由此形成数据要素市场。数据要素市场需要有完备的数据确权、定价、开放、流通、交易、监管、安全保护等方面的体制机制保障。在数据要素市场化确权过程中，合规数据将是金融机构在数据要素市场采购的唯一产品，非合规数据不仅不利于数据要素发挥市场价值，还会影响数字经济的发展，是国家重点打击、金融机构禁止采购的对象。

2. 数据安全关乎国家安全

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》（以下简称《数据安全法》），该法于2021年9月1日起施行。《数据安全法》作为我国数据安全领域的基础性法律，明确了数据安全领域内治理体系的顶层设计，通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全，引领和促进数据的开发利用，要求企业强化依法合规建设，对数据提供方、数据处理方、数据服务商提出更高的数据合规要求。

《数据安全法》出台之前，市场上充斥着大量的无资质数据提供商，数据来源五花八门，主要有爬虫爬取数据、黑市购买数据、在移动设备上内嵌SDK非法采集数据等。另外，还存在一些第三方及第四方支付企业擅自将用户支付数据打包对外出售，一些短信服务商非法读取用户短信内容获取用户支付、理财、借贷等数据并基于此对外提供数据服务，如图1-2所示。这些机构的数据涉及公民个人敏感信息，如果国家不加以管控，流失到境外，将会对国家安全造成不可估量的影响。

《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也严格规定了个人敏感信息的采集、处理及应用合规要求。无资质数据提供商及数据服务商、数据来源不合规的数据提供商及数据服务商均无资格在市场上生存，而金融机构更应该意识到数据源合规的重要性，数据采购应远离非法数据机构。

3. 权威数据开放流通成为趋势

金融风控环节常用数据大致分为4类，即内部沉淀的数据、用户自填的数据、通过技术手段获取的数据、权威数据，如图1-3所示。

1）内部沉淀的数据：主要指金融机构在运营过程中合理存储的数据，如金融机构提供金融服务时获取的用户身份数据、申请数据、借款数据、还款数据、存款数据、支付数据等。

2）用户自填的数据：主要包括申请贷款时用户填写的身份信息、学历信息、婚姻信息、家庭住址、单位及职务信息、紧急联系人信息。某些金融机构使用问卷型风控手段，用户填写的问卷答案也可以作为一种辅助数据。

3）通过技术手段获取的数据：分3种类型。第一种是2019年年底公安部门重点打击的金融科技企业提供的信用卡邮箱账单、运营商半年通话详单、社保公积金缴费信息、学籍网学历信息采集服务所依赖的数据，这类数据是非法缓存用户提供的登录账号和密码，通过缓存得到敏感数据；第二种是借助爬虫手段，采集政府相关部门公开的工商数据、信用黑名单、通缉名单等，以及互联网公开的所有与个人、企业相关的碎片数据；第三种是通过提供服务的设备、App及SDK采集到的数据，包括移动设备中App下载情况、打开情况、使用情况及卸载情况，用户的各种生物特征（如人脸、指纹及声纹等）数据，用户的操作习惯及行为（如喜欢左滑、点击力度大等）信息。

4）权威数据：主要指政府机构、国企等提供的数据，如金融机构离不开的公安部身份实名数据、社保及公积金数据、央行征信数据、银联及运营商数据等。这些数据均涉及个人和企业，是相对敏感的非公开数据，因此对外服务时需要经过脱敏、去标识化等处理，以满足相关政策法律法规的要求。

从2014年开始，随着大数据战略上升为国家战略，各地方政府大力发展智慧城市、智慧政务、智慧民生等，政府部门的数据经过标准化治理后，为其开放奠定了基础。同时2021年9月1日正式实施的《数据安全法》作为数据行业的基本法，也为更多部门开放数据树立了信心。地方数据交易所及交易平台机制的不断完善，将加快推动政府数据、国企数据作为国有资产对外开放的进度，并加大力度及广度。4类金融风控数据获取途径如图1-4所示。

4. 数据交易市场有法可依

数据是数字经济社会的重要生产要素，数据交易则是满足数据供给和需要的最主要方式，明确数据交易的法律地位，是满足现实需求、助力数字经济发展的重要表现，是当前数据交易发展的制度基础。《数据安全法》第十九条规定，国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场；第三十三条还规定了数据交易中介服务机构的主要义务及提供交易中介服务的规则。这有利于在保障安全的基础上促进数据有序流动，激励运营商主动参与数据交易活动，促进大数据产业的健康发展。

国家认可数据交易市场存在的必要性，各地政府也鼓励并积极成立国有控股的数据交易所，并确认了数据交易中介服务机构存在的价值及存在要求。金融机构风控业务数据源除了从持牌征信机构处获取，还可以从合规的数据交易场所处获取。

5. 金融风控技术竞争白热化

无论是金融科技服务商还是金融机构本身，算法、风控模型都相差不大，各机构的主流算法均是决策树、逻辑回归、支持向量机、随机森林及XGBoost等，风控模型均以A、B、C卡评分模型为主，所以各机构的风控能力仅靠算法和模型取胜是非常困难的。在算法能力水平差异不大的情况下，采购足够多的合规、有效数据是金融机构提升模型效果及风控水平的唯一路径。

2020年7月12日施行的《商业银行互联网贷款管理暂行办法（征求意见稿）》（以下简称《办法》）第三十三条提到：“如果需要从合作机构获取借款人风险数据，应通过适当方式确认合作机构的数据来源合法合规、真实有效，对外提供数据不违反法律法规要求，并已获得信息主体本人的明确授权。商业银行不得与违规收集和使用个人信息的第三方开展数据合作。”《办法》明确了商业银行采购数据应合法合规。

《办法》针对的是商业银行，其他金融机构也应该自觉遵守该办法的要求。金融风控离不开数据，第三方数据中介机构在提供数据服务时，也需要确保数据的合规性，《数据安全法》第三十三条规定：“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。”

除了前面提到的合规的数据交易场所外，拥有备案资质的数据交易中介平台、持牌征信机构、国资企业数据服务公司等均可作为金融机构采购合规数据的渠道，如图1-5所示。