金融科技以數據和技術為核心，是新興金融服務業的一大標志。自互聯網革命、移動互聯網革命以來，金融科技擴展至金融領域的一切創新技術，如大數據、人工智能、區塊鏈、云計算等。金融科技的適用群體也逐漸從金融行業拓展至各類企業乃至普羅大眾。據2017年安永發布的金融科技采納指數顯示，目前全球1/3的消費者正在使用兩種或更多的金融科技服務。金融科技在重塑金融業態和促進社會的包容性增長上功不可沒。與此同時，金融科技企業在隱私權和信息安全上正面臨新的規制環境。鑒于GDPR的效力范圍，其將對金融科技核心技術的商用和創新產生溢出效應。

GDPR對人工智能商用的合規影響

人工智能的三種主要技術均需要專有類型數據的支撐。例如，機器學習需要大量的標簽樣本數據，模式識別偏重于信號、圖像、語音、文字、指紋等非直觀數據，人機交互則需要積累大量的用戶數據。當下，人工智能正逐漸滲透至金融業KYC、貸款、風控、資產配置、保險等金融領域，需要符合GDPR要求。

（一）開展數字化投顧等自動化決策服務

數字化投顧（DigitalInvestmentAdvice）的業務邊界在各國實踐上有所不同，對其界定也無共識。概念源于2016年美國金融業監管局發布的數字化投顧報告，從監管者視線出發，無從也無必要對各類商事主體提供的人工智能技術予以度量，無論是機器人或是人工智能投資顧問，無論服務商采取何種方式實現商業模式的智能，其輸出形式均可統一認定為數字化投顧。有了大量數據輸入的人工智能，能夠根據消費者經濟情況判斷其風險承受能力，預測金融市場走向繼而給出個性化的理財規劃。市場對數字化投顧普遍看好，花旗銀行預測至2020年該市場AUM有望突破2.2萬億美元。

GDPR對基于大數據分析的自動化決策采取了審慎態度，對可能發生的算法歧視進行了立法預防。GDPR規定，控制者在獲取個人信息時，為確保處理過程的公正透明，應當向數據主體提供相關信息，說明是否存在自動決策機制，以及在存在自動化決策的情形下，提供邏輯程序以及此類處理對于數據主體的意義和預期影響相關信息。同時還規定，當自動化決策將對數據主體產生法律效力或造成重大影響時，數據控制者應實施適當措施保護數據主體的權利、自由和合法利益，保證數據主體對數據控制者的人為干預權表達觀點和異議。

因此，從事數字化投顧的企業應當為客戶提供自動化決策有關信息，并為客戶提供表達觀點和質疑的途徑。對于數字化投顧的算法公開問題，涉及商業秘密、知識產權保護等問題，能否以及向數據主體披露到何種程度，歐盟29條工作組就此問題發布的指南提出，對于自動決策，數據控制者并不必然要解釋完整的算法，免備案主機，面對用戶，用盡可能簡單的方法告知算法的基本邏輯或標準即可。

（二）生物識別技術應用于金融交易

生物識別技術是對個人生理及行為特征的測量及統計分析，正在被越來越多地應用于支付等金融服務中，用于識別或是輔助識別用戶的身份，并有望成為金融交易中采用的主要識別形式之一。生物識別相關的生理特征包括DNA、指紋、臉部、手部、視網膜、耳部特征以及氣味，行為特征包括手勢、聲音、打字的節奏以及步態等。生物識別技術的商用前景廣闊，可增強金融交易的安全性，并為用戶提供極佳的“無感式”身份識別體驗。

GDPR將涉及健康、基因數據、經處理可識別特定個人的生物識別數據定義為敏感數據。企業需慎重對待此類特殊數據，不僅要在獲取數據時需要征得數據主體的明示同意，作為數據控制者或處理者還需承擔對數據的安全保障義務，在技術和管理措施上采取必要措施，包括委派數據保護官（DPO）、在處理個人敏感數據時還需滿足相關成員國的條件，發生數據泄露事故時及時履行報告義務等。

GDPR對大數據技術商用的合規影響

大數據產業是以數據生產、采集、存儲、加工、分析和服務為主的經濟活動。大數據對金融領域的創新影響力強，數據維度越豐厚，用戶畫像越精細，企業所能觸達的業務會越多元。大數據技術應用于精準營銷、信用評估等業務均將受到GDPR影響。

（一）描摹數據畫像用于精準營銷和信用評估

數據畫像是對數據和個人信息匯總和分析，為特定個體或人群的特征刻畫標簽，并根據其需求和企業服務優勢提供差異化服務，可提高產品推送的精準程度、增強用戶黏性。數據畫像主要應用于精準營銷和用戶信用評估等業務環節。