随着互联网技术、信息技术与金融的深度融合，大数据金融、科技金融等概念成为金融机构转型过程中被热捧的词汇，也是众多电商企业、供应链企业、信息科技企业切入金融市场的重要突破口。

大数据作为战略资源的价值不断显现，数据收集、数据加工也日趋成为当前产品研发、市场营销、金融创新的重要工具。得数据者得市场，金融企业作为典型的虚拟经济形态，由于其无需依赖物流，加之支付的网络化，从而成为数据化的最大受益者。与此对应，金融行业也将成为数据应用的重要领域。

然而，金融机构如何收集数据、如何加工数据、如何分享及交换数据，长期以来并没有非常明确的法律规定。关于数据运用及保护的规则以个人隐私保护、企业商业秘密保护等方式散见于民法通则、反不正当竞争法、刑法及全国人大的相关决定中。2016年11月7日，《中华人民共和国网络安全法》（简称“网络安全法”）由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过并公布，并将于2017年6月1日起施行。网络安全法对于数据收集进行了明确和系统的规定，并对数据收集者的责任进行了明确的界定。锦天城律师拟通过本文，对于金融企业通过网络收集个人用户信息的规则进行归纳，并作出对策分析。

一、客户数据收集规则

1、数据收集的公开原则

网络安全法第22条规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。同时，该法还规定网络运营者收集、使用个人信息，应当公开收集、使用规则，明示收集、使用信息的目的、方式和范围。

在各种网络应用，用户的个人信息常常在不经意间被网络运营者收集并汇总。比如用户使用免费wifi过程中经常遇到的通过手机接收验证码方式，运营者即具备收集用户信息的可能性；生活中类似的信息手机场景还有许多。网络安全法对此类信息收集提出了规范要求。

2、数据收集的合法、正当原则

网络安全法第41条规定：网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

此条款为网络运营者信息收集的合法、正当性要求。即收集客户信息不能违反法律法规的规定，以及不能超出协议约定、社会道德规范等确立的正当性界限。

3、数据收集的最小化原则

最小化原则也称为必要性原则。网络安全法对此专门规定了信息收集的“必要性原则”，即网络运营者不得收集与其提供的服务无关的个人信息。从大数据运用角度看，网络经营者总是希望获取尽可能多的用户个人信息，从而可以在多个维度给用户“画像”，使得大数据的应用场景更加丰富，从而获取价值最大化。

个人数据收集的必要性原则，对此提出了规范，要求只能收集与其提供服务有关的个人信息，这对于金融企业在大数据运用与隐私保护之间的平衡能力以及对于法律的理解提出了较高要求。

锦天城律师认为，互联网各种场景的个人信息收集，一方面能够降低社会信用的审核成本，促进交易，推动创新，有利于经济发展；另一方面，一旦信息被滥用，信息系统相互之间的数据被不当拼接，将可能导致公民隐私遭受无法挽回的损失。因此，法律对于个人信息的收集提早予以规范，引导合理收集，是在公众安全与商业效率之间寻找一个动态平衡。立法也预留了一定的创新和自主空间，企业应积极应对。提早构建合理的数据结构和数据收集体系，从而将自身的数据价值最大化。

二、金融企业的应对措施

1、建立合理的公示机制

金融企业可以根据网络安全法及相关金融法规的要求，在其涉及到客户信息收集的网站、APP、其他移动端应用程序中，以合理的方式明示该应用将会收集信息，以及收集信息的种类、用途、目的、范围等，并以合理的方式获得用户同意。

在部分应用中，由于数据结构的复杂性，金融企业需要在明示获得用户同意与信息收集的便利性、高效性之间取得平衡，这对于网络经营者的数据法律风险管理能力提出了较高的要求。

2、规范数据收集方法

根据数据收集的合法性、正当性原则，收集客户信息的方法、手段不应违反法律、法规、合同约定，收集数据信息的内容、种类、范围也应遵守法律、法规即合同的约定。

对于金融企业而言，除了上述基本要求之外，还应建立敏感信息排除制度。即如果收集的个人信息可能会涉及到影响国家安全的敏感信息，应予以排除。避免所收集到的信息本身违反国家的保密或敏感信息保护制度，从而导致违法。

3、建立信息收集目录

根据个人信息收集的最小化原则，网络运营者不应收集与其提供服务无关的信息。这一条的规定看似简单，实则对于网络经营者的数据管理能力提出了很高的要求。锦天城律师认为，法律对于何为“与提供的服务无关”并没有准确界定，这就需要网络经营者综合运用市场知识、行业知识、部门法知识，对于本行业、本企业所涉及服务的市场、法律属性作出准确分析和认知，并据此描绘出“信息地图”，然后按图索骥，制作合理的个人信息收集目录。

网络安全法是电子商务及网络金融的基础性法律，金融机构作为重要的网络运营者，在用户数据收集放面不应“任性”。而是应根据网络安全法的要求，构建合理的数据收集体系。