励讯集团：数据合规开放的守护者

国际权威机构Statista 在2019年8 月发布的报告显示，预计到2020 年，全球大数据市场的收入规模将达到560 亿美元，较2018 年的预期水平增长约33.33%，较2016 年的市场收入规模翻一倍。

精励联讯（北京）信息技术有限公司（以下简称：精励联讯）为英国励讯集团（RELX）旗下律商联讯风险信息公司（LexisNexis Risk Solutions，以下简称：律商联讯）的全资子公司。律商联讯致力于应用大数据帮助其专业客户识别和管理风险，精励联讯则专注于为中国保险行业提供专业的数据和分析产品。关于公共数据合规开放，特别是个人信息的合规开放和安全应用，精励联讯和律商联讯有哪些成功经验或案例可以和业内同仁分享？让我们走近精励联讯董事总经理吕晓辉博士和精励联讯法务合规官李馨萌女士，听听他们的分享：

在这个数字化的社会中，每天通过人与人的互动、人与机器的互动、人与各类社会组织的互动以及各类机器、社会组织之间的互动，都会实时产生海量数据。数据开放将进一步释放这些海量数据的价值，通过数据挖掘与分析，把孤立分散的信息关联起来，更全面地感知个人消费者真实的现状和需求，赋能各类机构统筹资源，以便有针对性、前瞻性地满足个人消费者的需求，优化服务水平。

现阶段各国法规及监管的一般实践，是对个人消费者开放包括用于公共管理目的的公共数据，主要是政府持有数据的开放。相对于政府过去一直推行的信息公开而言，数据开放是将公共数据以机器可读的形式向社会包括个人消费者、应用开发方开放，并且赋予数据使用者获取、复制以及增值利用和传播的权利。这样会提高公共数据的利用率，也会鼓励公众为公共数据创造出更多的增值应用。

“复旦大学数字与移动治理实验室”在《中国地方政府数据开放报告2019年下半年》中提到，截至2019年10月，我国已有102个省级、副省级和地级政府上线了数据开放平台，平台总数首次超过100个。与2019年上半年相比，新增20个地方平台。目前，我国50%以上的省级行政区、1/3的副省级和近1/4的地级行政区已推出了政府数据开放平台。

部分与社会公共利益相关的个人信息，例如性别、民族、司法记录等，也应作为公共数据的一部分，向社会开放。同时，个人信息主体应对开放数据中的自身个人信息，拥有访问、管理、修改、导出、转移或删除的权利。另外，开放数据的应用开发方也应有义务支持个人信息主体查阅其自身数据被使用的情况，包括但不限于个人信息被哪些机构或个人使用、被使用的数据种类、使用方式、使用时间、是否向第三方转移等。

个人消费者会体验到数据汇聚融合后，自身所享受的服务的便捷性。个人消费者通过获取定制化的服务，为其日常生活及消费决策提供参考依据，获得既省钱又更新更好的服务。

个人信息保护始终是国家监管机构的重要关注点之一。2020年3月6日，国家市场监督管理总局及国家标准化管理委员会正式发布2020版《信息安全技术 个人信息安全规范》（GB/T 35273-2020），并将于2020年10月1日实施。对于个人信息使用的限制，2020新版“规范“根据业务功能划分个人信息收集范围，为规范收集个人信息的“最小必要”原则提供了参照标准。

国家通过制定《网络安全法》、《个人信息安全规范》以及《个人金融信息保护技术规范》等法律法规，对个人信息尤其是个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护，从安全技术和安全管理两个角度出发，提出了规范性要求。

从以大数据业务为主的励讯集团和律商联讯在欧美市场的成功经验来看，数据开放的法规环境给予个人消费者和企业良好的保障和发展空间。以个人信息处理的授权同意为例，美国的大多数隐私权保护法和其他数据管理法规，都是将保护消费者权益不受侵犯，在商业交易和提供个人信息（包括主动提供信息和跟踪采集个人活动数据在内）的过程中不被误导作为目标。这不但能保护消费者权益不受侵害，还能帮助其树立信心和信任度，积极参与电子商务和其他领域内的活动。

随着立法规制的加强，企业作为重要的数据采集和应用主体，加强自身的组织制度建设和管理对保护个人信息也很重要。企业应该根据个人信息保护相关法规的要求，任命个人信息保护负责人，在日常经营中提供常规的个人消费者隐私保护管理。企业还应在自身内部建立完善的数据与隐私管理制度，并在商业合同缔约过程中，规范合同方对在履行合同中获取的个人消费者数据的保护，从而维护自身的商业声誉。

同时，数据所有者个人信息输送给第三方确实存在潜在泄露风险。因此企业应对接受个人信息的第三方的数据安全能力成熟度进行评估，对第三方数据生命周期（产生、存储、传输、使用、销毁）进行管理和审计。保护隐私数据且能促进数据共享的有效方法包括：

• 不分享隐私数据

• 对隐私数据去标识化

• 个人信息主体自主授权

无论哪一级别的个人信息分享，都应做到对数据属性及数据量根据“最小必要”原则，采用数据加密技术及点对点地将信息分发给第三方，保证数据传输、存储、使用中的安全，做好数据的安全治理，实现对数据全生命周期的有效管理。

关于个人信息主体自主授权，要使个人消费者更加明晰其个人信息授权途径，数据采集方可以选择在隐私政策中展示个人信息控制界面，提供个人消费者访问、管理、修改、导出、转移或删除自身个人信息的功能链接，另外根据个人消费者选择、使用产品或服务的根本期待和最主要的需求，划分基本业务功能和扩展业务功能，将各项功能的授权同意界面分开展示，交互设置，保障个人消费者行使选择同意的权利。

同时，数据采集方还有义务严格地按照所获取的授权来应用数据，确保数据的保密性、完整性和可用性，以及数据使用和披露过程的合法性和合规性。这就要求数据采集方采用严格的流程来获取、存储、适用消费者授权，保留对每一个需要授权的数据的应用记录，保证数据生命周期内的各种活动的安全、数据完整性、过程留痕和可追溯性，对文档、程序、数据归档签名，保证完整和未被篡改，以备监管方的可能审计以及个人消费者对自身的个人信息被数据采集方应用情况的查询。

当然在个人信息主体授权之下，有能力最大限度利用个人信息价值的企业，也应当获得个人信息相应的处理和收益的权利，这种权利应当在所有权之下，而个人信息主体则应拥有处分其个人信息的决定权，换言之，谁用的好就给谁，这当中的决定权应当归于个人信息主体。

随着信息技术的发展进步，对于个人敏感信息的保护有了更多的技术手段，例如权限管理及远程访问管理工具、专业数据防泄露产品、专业密码和加密技术等。通过以上的技术工具，同时根据“业务需要”和“最小权限”原则进行权限管理，并对账户管理、远程访问管理以及操作记录管理等节点进行控制，可以更全面地保护个人消费者的隐私信息。

个人消费者作为个人信息主体和数据生产者，也应提高隐私保护意识，妥善保管个人敏感信息，了解自己享有的个人信息权利，善于通过授权的方式许可自身个人信息的合规利用，并使用法律武器维护自己的合法权益。

作为数字经济时代的核心生产要素，数据正成为科技创新的突破口，在任何与数据紧密联结的行业均是如此。推动数据开放共享，亟待监管制度的保驾护航。励讯集团及旗下律商联讯、精励联讯都将继续不遗余力地推动公共数据的合规开放与安全应用。