汇业评论

文 | 王小敏 吴俊熠 汇业律师事务所

随着我国数据保护各项法律法规与国家或行业标准的不断出台与完善，如何在行业发展的同时实现数据安全合规地处理亦成为供应链金融行业关注的重点。本文从供应链金融供给端主体的视角出发，探讨供应链金融行业目前面临的数据合规挑战，同时提供相应的合规建议。

一、什么是供应链金融

供应链金融指商业银行、保险公司、商业保理公司、融资担保机构、小额贷款公司等供应链金融供给端从供应链整体结构和信用出发，运用自偿性融资、金融科技等方式控制风险，为供应链上的企业所提供的以融资为主的综合金融服务。

二、供应链金融的特点

供应链金融与传统金融相比具有显著特征：

1.资金供给端要求的担保物不同。传统金融中常采用保证担保或不动产抵押；而供应链金融则主要利用供应链交易过程中的流动资产（预付款、存货、应收账款等）作为担保，在特定供应链金融解决方案下，也有可能以信用授信方式进行融资。

2.资金供给端对风险评估的方式不同。传统金融往往是孤立的、静态的研判资金需求方风险；而供应链金融更加注重对供应链中的交易链路和交易主体进行分析，对风险研判是联系、动态的。

因此，供应链金融交易过程的流动性、交易主体的联系性，将影响供应链金融供给端对数据信息的依赖性，其需要借助数据信息综合评估金融服务风险。

三、供应链金融中会涉及哪些数据

在供应链金融模式下，存在多方参与主体，主体间的数据流通与共享变得更加频繁和复杂，该模式下，可能涉及以下数据：

1.反映供应链金融需求端主体的基本商业信息和能力的数据：如财务数据、生产数据、资质许可、销售业绩、现金流量、技术水平、资产负债、专业人员等。

2.反映供应链真实性的数据信息：如交易信息（采购订单、买卖合同等）、货物信息、仓储信息、物流信息等。

3.反映供应链金融资金动态的金融数据：贷款金额、资金流向、资金使用情况等。

在上述几类数据中，均可能涉及个人信息。如资金需求方的法定代表人或股东个人信息、买家的个人信息等。

四、供应链金融供给端主体的数据合规风险及防范

供应链金融模式下，数据流动频繁且必要。对于供应链金融供给端主体来说，为了掌握供应链基本情况、动态情况，确保交易的真实性，需要持续关注供应链全链条动向，而数据作为客观事实的真实性反映，成为供给端确认相关风险与事实的必然选择，因此作为供应链供给端的金融或类金融机构，在进行数据处理活动时，势必面临下述合规问题：

（一）数据收集合规风险及防范

供应链金融模式下，因涉及众多的参与主体，不排除某些主体非法收集和使用不明来源的数据，如未经授权的收集数据、使用非法的数据收集方式等，当此类数据开始流转，将引发合规问题。而由于数据收集方式（间接获取与直接获取）的差异，供给端面临的合规问题及防范处理方式也不尽相同。

（1）供给端间接获取的数据。一方面，供给端作为数据接收方应当尽可能审查数据在多个主体之间流转的授权链路是否完整、授权是否清晰；另一方面，供给端须与数据提供方之间达成数据来源合法的承诺，通过要求数据提供方在业务合作协议或数据处理协议中承诺数据来源合法、签署合规承诺函等方式对数据来源合法性做出保证，甚至可要求数据提供方提供数据来源合法的证明材料，以对数据来源合法性作进一步审查。

（2）供给端自行收集、直接获取的数据。在供应链金融中，供给端也需要自行获取必要数据，用以评估相应供应链业务的安全风险。在收集数据过程中，应注意收集行为方式、收集内容的合规性，在采用自动化工具访问、收集数据时，不得违反法律、行政法规或者行业自律公约、不得影响网络服务正常功能，或者避免侵犯他人知识产权等合法权益，若过程中违反相关合法性要求，供给端应当停止访问、收集数据行为并采取相应补救措施。

此外，无论间接获取或直接获取数据时，涉及个人信息的，需审查来源是否合法、是否具备合法性基础、是否符合最小必要等原则，以及后续的处理活动是否属于个人信息主体的授权范围内等。

（二）数据使用合规风险及防范

供给端作为数据接收方，供应链金融业务中的数据处理者，将获得大量的数据流入，若供给端将所获数据进行非法交易或使用，如未经授权的数据出售、公开等，这些行为可能违反相关法规，带来严重的合规风险。

（1）履行约定义务。供给端应当履行与数据提供方之间的约定义务，不得超出约定的目的、范围、处理方式处理个人信息和重要数据，且不得从事相关法规规定的禁止性行为。

（2）进行数据分类分级管理。供给端应当考量国家安全、公众权益、个人隐私和企业合法利益等因素，对数据进行分类分级管理。对不同级别数据进行分类分级管理，采取差异化安全管理和控制措施，将数据安全性遭受破坏可能带来的风险降至最低或降至可接受的范围内，实现精细化管控。

（3）采取必要控制措施。供给端应采取与数据安全级别相匹配的安全管控机制和技术措施，确保数据的保密性、完整性和可用性，通过技术手段将原始信息脱敏，并与关联性较高的敏感信息进行安全隔离、分散存储，严控访问权限，严防数据泄露、篡改、损毁与不当使用。

（4）动态调整数据治理方案。供给端的数据治理方案应当依据业务类型、参与主体信用、潜在风险性等动态调整。数据保护的治理方案不应是一成不变、静态的，而应基于过程中发现的新影响、新情况实施动态性调整。

五、结语

跨境电商供应链金融模式中的数据合规问题，俨然已成为跨境电商业务场景下的重要合规方向。供应链金融供给端主体作为数据处理者、数据主要流入端，其数据合规风险及防范也应成为关注重点，供给端在借助数据信息带来的利好作用的同时，也务必履行法律规定的数据合规义务。