准入门槛

根据《國(guó)民(mín)经济行业分(fēn)类 》(GB/T 4754-2017)，金融信息服務(wù)属于金融业，"指向从事金融分(fēn)析、金融交易、金融决策或者其他(tā)金融活动的用(yòng)户提供可(kě)能(néng)影响金融市场的信息（或者金融数据）的服務(wù)，包括征信机构服務(wù)"。因此，金融数据服務(wù)属于金融信息服務(wù)类别，适用(yòng)相关的准入门槛规定。

2019年2月1日起，國(guó)家互联网信息办公室发布的《金融信息服務(wù)管理(lǐ)规定》正式生效，对金融信息服務(wù)提供者（"服務(wù)提供者"）的资质作出了规定："金融信息服務(wù)提供者从事互联网新(xīn)闻信息服務(wù)、法定特许或者应予以备案的金融业務(wù)，则应当取得相应资质"。服務(wù)提供者需要取得的基础的业務(wù)许可(kě)是增值電(diàn)信业務(wù)经营许可(kě)证（"ICP许可(kě)证"），如果同时提供互联网新(xīn)闻信息服務(wù)、证券期货业務(wù)服務(wù)，则应另外取得相应许可(kě)。

针对外國(guó)（境外）金融信息服務(wù)机构，则需要遵守《外國(guó)机构在中國(guó)境内提供金融信息服務(wù)管理(lǐ)规定》和《外國(guó)机构在中國(guó)境内提供金融信息服務(wù)申请许可(kě)说明》，满足规定中的资质要求，并向國(guó)家互联网信息办公室申请金融信息外國(guó)机构在中國(guó)境内提供金融信息服務(wù)的许可(kě)证书。

根据《证券、期货投资咨询管理(lǐ)暂行办法》的规定，為(wèi)证券、期货投资人或者客户提供证券、期货投资分(fēn)析、预测或者建议等直接或者间接有(yǒu)偿咨询服務(wù)，无论是以研讨会、讲座的形式，还是通过電(diàn)话、网络等方式，都必须取得中國(guó)证监会的业務(wù)许可(kě)。部分(fēn)服務(wù)提供者若取得了证监会颁发的经营证券期货业務(wù)许可(kě)证，可(kě)以同时提供许可(kě)范围内的咨询服務(wù)。

例如，股民(mín)常用(yòng)炒股软件同花(huā)顺的服務(wù)就包括证券投资咨询，证监会官网公布的证券投资机构名录中，同花(huā)顺位列其中。

服務(wù)提供者通过互联网向用(yòng)户有(yǒu)偿提供金融类数据及信息的形式比较常见，如向散户提供股指播报、财经快讯等；向机构用(yòng)户提供金融数据库、定制投研系统、风控系统和估值系统等服務(wù)。在此情况下，服務(wù)提供者应当取得ICP许可(kě)证，并根据《互联网信息服務(wù)管理(lǐ)办法》的要求前往各地方省级通信管理(lǐ)局进行办理(lǐ)。

服務(wù)提供者的部分(fēn)业務(wù)可(kě)能(néng)包含向用(yòng)户通过互联网提供关于金融的视频或音频节目，而这些服務(wù)提供者需要根据《互联网视听节目服務(wù)管理(lǐ)规定》的要求取得信息网络传播视听节目许可(kě)证。如果服務(wù)提供者在自有(yǒu)网站或平台端，為(wèi)用(yòng)户提供有(yǒu)关金融的新(xīn)闻信息服務(wù)，则还需要遵守《互联网新(xīn)闻信息服務(wù)管理(lǐ)规定》，取得互联网新(xīn)闻信息服務(wù)许可(kě)证。

数据来源

一般情况下，数据来源有(yǒu)三大类：

银行、保险公司等金融机构因其直接面对个人客户的特性，多(duō)采取直接采集的手段，所直接获得的数据和信息多(duō)為(wèi)个人身份、财产等，以及通过客户交易获得客户的交易习惯与偏好、投资意愿等数据信息。

由于金融数据服務(wù)提供者处理(lǐ)的元数据大部分(fēn)是金融市场和金融交易相关的数据，例如股票、债券发行人的信息披露内容、交易品种、交易量、金融产品所涉的行业数据等大量来自于市场活动的非个人信息，并且金融数据服務(wù)提供者对数据量和数据广度往往有(yǒu)很(hěn)高的要求。所以，金融数据服務(wù)提供者的数据来源中，直接采集数据的比重一般较低。

仅靠面对面采集个人信息和数据，效率较低且信息类别单一，没有(yǒu)指向性。爬取是目前服務(wù)提供者获取数据和信息常见途径之一。但是，服務(wù)提供者在爬取数据时，要从爬取行為(wèi)和数据本身两方面进行合规判断。

在爬取行為(wèi)方面，服務(wù)提供者应当遵循被爬取平台的Robots协议爬取数据，避免绕过技术性障碍，未经平台授权收集数据，或造成服務(wù)器拥堵而导致妨碍被爬取平台正常经营。如服務(wù)提供者作出上述行為(wèi)，很(hěn)可(kě)能(néng)涉嫌不正当竞争，卷入诉讼纠纷，并承担赔偿被爬取方的经济损失及合理(lǐ)诉讼开支、停止虚假宣传、消除不良影响等法律责任。如果侵入他(tā)人计算机信息系统或者采用(yòng)其他(tā)技术手段，获取该计算机信息系统中存储、处理(lǐ)或者传输的数据的，情节严重的，有(yǒu)可(kě)能(néng)构成非法获取计算机信息系统数据罪，承担刑事责任。

对于数据本身而言，服務(wù)提供者应当注意，爬取个人信息时，服務(wù)提供者和被爬取平台均需要取得个人授权，否则是违反《网络安全法》[1]的行為(wèi)，将面临接受罚款、关停业務(wù)乃至吊销证照的处罚；另外，在爬取数据后，服務(wù)提供者应当在授权范围内使用(yòng)数据和信息，不得对作品进行不正当的修改或剪裁，导致侵犯他(tā)人知识产权等合法权益的情况发生。

采購(gòu)是金融数据流通的主要方式，合规风险也相对较低。金融数据服務(wù)提供者处理(lǐ)的数据量巨大，因此经常会向其他(tā)数据处理(lǐ)者采購(gòu)数据。例如，部分(fēn)金融数据服務(wù)提供者会向巨潮咨询网的运营方等采購(gòu)上市公司的公开披露信息。

在采購(gòu)数据时，采購(gòu)方至少应注意两方面的合规。一方面，卖方应保证其提供的数据或服務(wù)内容及来源合法，且不存在侵犯他(tā)人知识产权（如著作权）的情形；另一方面，采購(gòu)方应当确认所采購(gòu)标的数据的使用(yòng)范围、使用(yòng)限制和使用(yòng)期限等，是否能(néng)在合规的前提下符合采購(gòu)方的实际业務(wù)需要。建议采購(gòu)方在法律专家的指导下准备相关的采購(gòu)合同。

金融数据产品设计

常见的金融数据产品或服務(wù)包含数据库应用(yòng)、数据解决方案、数据接口开发、标准化数据表结构等，用(yòng)于进行聚合量化、投资研究、风险控制、开发交易系统等功能(néng)。设计这些产品，不仅要满足法律规定，也要符合國(guó)家制定的國(guó)家标准和行业标准。

金融数据，是指金融业机构开展金融业務(wù)、提供金融服務(wù)以及日常经营管理(lǐ)所需或产生的各类数据，这些数据可(kě)以用(yòng)传统数据处理(lǐ)技术或大数据处理(lǐ)技术进行组织、存储、计算、分(fēn)析和管理(lǐ)。[2]

元数据是数据中的数据，一般用(yòng)来对数据进行描述，方便对数据进行查找、管理(lǐ)和使用(yòng)。[3]元数据的性质使其对于数据的分(fēn)级分(fēn)类具有(yǒu)重大作用(yòng)。

《金融数据安全——数据安全分(fēn)级指南》根据数据的安全性及遭到破坏后可(kě)能(néng)造成的影响，将数据分(fēn)為(wèi)五个等级，从一级到五级，数据安全性遭到破坏的影响逐渐变强，数据的重要性也逐渐增大。《证券期货业数据分(fēn)类分(fēn)级指引》则从业務(wù)条線(xiàn)出发，确定了证券期货业務(wù)数据的分(fēn)类分(fēn)级方法。

（点击图片查看大图）

对于服務(wù)提供者来说，设计产品时，应当灵活运用(yòng)元数据，对数据进行初步的说明和管理(lǐ)，再遵循分(fēn)类分(fēn)级标准进行分(fēn)类分(fēn)级。对级别较高的数据，予以更严密的保护措施。如业務(wù)信息大类下，保险业務(wù)类中的特殊风险标的信息，因涉及航空、航天、核電(diàn)站和石油开发等相关数据，最低参考安全级别為(wèi)四级。四级数据一般只针对特定人员公开，在产品中使用(yòng)此类数据，应当采取全部脱敏的措施，再投入产品的使用(yòng)当中。如果评定时数据级别已经达到五级，一旦泄露会对公众权益造成严重影响，或对國(guó)家安全造成影响，此类数据则不应投入到制作金融服務(wù)产品之中。

《金融信息服務(wù)管理(lǐ)规定》第八条[5]对服務(wù)提供者作出禁止性规定，凡是服務(wù)提供者在开展业務(wù)时，设计的产品中有(yǒu)散布虚假信息、欺诈、影响金融市场稳定、乃至危害國(guó)家安全的现象，一律将受到國(guó)家或地方的互联网信息办公室的惩戒、处罚，根据服務(wù)提供者的具體(tǐ)违法情节，可(kě)能(néng)会被列入失信名单；构成犯罪的，将被依法追究刑事责任。

服務(wù)提供者应当在产品设计期间注重数据的真实性及可(kě)靠性，防止从数据中提取虚假信息，并在售后做好数据库及产品的维护，以免触碰法律红線(xiàn)。

数据是具有(yǒu)生命周期的，从开始采集、传输、储存、使用(yòng)到最后的删除或销毁，各个环节都有(yǒu)一定的安全防护要求，服務(wù)提供者可(kě)以参考行业标准《金融数据安全——数据生命周期安全规范》（JR/T022——2021）对数据从产生至消亡的全流程进行管理(lǐ)。

数据采集时应明确双方在数据安全方面的责任和义務(wù)，明确采集的范围、数据来的来源等，如果数据的级别较高，需要采取技术措施增强验证。数据传输时要加强网络传输安全，可(kě)以采取身份认证、数字签名等方法，确保传输双方是可(kě)信任的，在传输过程中完全保密并传输完整的数据。在传输后，数据的存储安全也需要服務(wù)提供者安排必要的技术措施，确保数据安全备份，并建立数据恢复功能(néng)。数据使用(yòng)期间则需要两道防線(xiàn)，即组织保障和运维保障，需要建立完善的人员管理(lǐ)制度，并对访问权限进行控制，在使用(yòng)数据期间持续进行安全监测。

相关服務(wù)提供者可(kě)以通过上述一系列措施，实现对数据全生命周期的安全管控。

《个人金融信息保护技术规范》与《个人信息保护法》的精神相一致，对个人金融信息也确立境内储存原则，并同时要求，如确实需要向境外公司（含总公司、母公司或分(fēn)公司、子公司及其他(tā)為(wèi)完成该业務(wù)所必需的关联机构）提供，应进行个人金融信息安全评估，确保境外机构数据安全保护能(néng)力达到要求，并通过与境外机构签订协议、现场核查等方式，监督境外机构履行数据保密、删除和协查义務(wù)。

另外，证券业作為(wèi)金融业内主要分(fēn)支，2020年3月施行的《证券法》对证券期货的监管做了全面而详细的规定。筆(bǐ)者理(lǐ)解，对于证券业数据跨境问题，应秉持两个原则：第一个原则是与境外证券监管机构建立监督管理(lǐ)合作机制，共同对跨境数据进行管理(lǐ)；第二个原则是未经证监会和其他(tā)有(yǒu)关主管部门同意，数据不得擅自出境。但这一规定相对笼统，有(yǒu)待更為(wèi)细化的法律依据出台。金融数据的跨境传输涉及國(guó)家金融安全，除个人金融信息跨境传输的规定外，其他(tā)金融数据的跨境传输法律规定，有(yǒu)待进一步完善。

金融数据交易合规

交易是金融信息服務(wù)提供者开展业務(wù)时必不可(kě)少的一环，一般分(fēn)為(wèi)两个模式，即点对点进行交易，和通过数据交易所进行交易，二者各有(yǒu)风险防控要点。

签订数据服務(wù)合同时，应当在合同中明确数据的使用(yòng)范围和数据的来源。另外，针对金融行业信息变化速度快的特点，要在合同中对数据信息的完整性、准确性和及时性作出书面约定。

如果是提供投研工具、金融系统等服務(wù)，则需要注意服務(wù)提供者是否对合同项下的数据及服務(wù)内容具有(yǒu)完全的知识产权，以及在之后使用(yòng)数据时是否需要注明来源等细节要求。

根据《数据安全法》及相关地方性规定，数据交易所应当建立一系列的自律监管规则。交易所应通过建立安全、可(kě)信、可(kě)控、可(kě)追溯的数据交易环境，保障双方利益，防止在交易过程中因不信任而带来不必要的麻烦和损失；应选择经审批成立的合规交易场所，在交易所的服務(wù)流程、交易规则及自律监管规则下实施数据交易，使交易各方更多(duō)一重保障。

进一步的，金融数据交易因涉及金融市场稳定、个人信息安全及國(guó)家安全的特质，除遵守交易所的自律监管规则外，部分(fēn)金融数据产品可(kě)能(néng)不宜通过数据交易场所挂牌，还有(yǒu)待相关法规的进一步指引。

声明

本文(wén)旨在法规之一般性分(fēn)析研究或信息分(fēn)享，不构成对具體(tǐ)法律的分(fēn)析研究和判断的任何成果，亦不作為(wèi)对读者提供的任何建议或提供建议的任何基础。作者在此明确声明不对任何依据本文(wén)采取的任何作為(wèi)或不作為(wèi)承担责任。如需转载或引用(yòng)本文(wén)的任何内容，请联系作者(fanxiaojuan@zhonglun.com); 未经作者同意，不得转载或引用(yòng)本文(wén)的任何内容。