SENSOR TOWER · GABE GOTTLIEB · AUGUST 2022
替代数据时代的合规
解读替代数据行业的合规性,以及企业如何更好地为新数据时代做好准备。
在我们的上一篇文章《数据不再是拓荒之前的美国西部》中,我们强调了合规计划在企业成功执行数据战略中的重要作用,银行和投资企业尤为如此,大多数银行和投资企业已开始大规模使用“替代性”数据集(简称“alt数据”),及时发现独特的投资机会。为了满足替代性数据的需求,强劲的“替代性数据产业”在过去十年里如雨后春笋般茁壮发展,它们借助“非传统”数据源生成独特、及时的洞察信息,供金融企业更好地了解市场,做出更明智的投资决定。一些流行的替代数据如:使用卫星图像来跟踪零售商的停车场拥挤程度,或汽车制造商生产/销售的汽车;以及使用交易数据来预测流行的面向消费者的服务是否令人满意。
实际上,仅仅依靠季度报告及其他公开声明进行投资决策的方法早已过时,取而代之的是复杂的模型,这些模型以大量的替代性数据源和传统数据为依据。
不过,这些替代性数据源必须遵守严格的安全和隐私法律法规,以及其他金融公司必须遵守的规则。更重要的是,金融公司被禁止使用重要的、非公开信息(“MNPI”或简称“内部信息”)提供投资建议。原因很简单,使用MNPI交易上市公司股票或其他证券违反了证券法,因此会接受严厉的民事和刑事处罚。美国证券交易委员会(SEC)专门规定了使用数据服务提供商(比如替代性数据提供商)的条款,要求金融公司“审查每家数据服务提供商遵守联邦安全法方面的合规计划,并确保服务提供商遵守为金融公司专门制定的政策和流程。”
Sensor Tower知道向金融公司提供替代性数据需要额外的审查,我们在下文中列举了与数据源和数据方法相关的核心条目,这些条目是移动应用程序所独有的,金融公司在做必要的调查时,应询问数据供应商。
数据源
一般来说,移动数据供应商获取数据有两种渠道:一手数据源和第三方数据源。顾名思义,一手数据源指数据供应商自己收集和处理的信息;第三方数据源指数据供应商从第三方获取的信息。审查一手数据源和第三方数据源的流程不尽相同。
由于一手数据源的数据是供应商自己收集的,因此合规计划应考虑核验以下方面:
收集了哪些数据,数据是否包含个人、财务、健康等任何敏感信息。
收集的数据是否包含隐私法中定义的个人验证信息(PII)。如果收集了PII,数据供应商的用户许可流程和隐私政策是否符合法律要求,是否充分,且没有通过数据供应商的服务对外提供PII。
收集的数据是否包含MNPI等保密信息,如果包含,收集该类保密信息的性质和目的是什么,必须确保数字供应商不对外提供保密信息。
收集的数据是否包含其他类型的敏感信息,如果包含,数据供应商在收集该类信息时是否遵守相关法律。
此外,还应评估一手数据收集的方式。举个例子,如果数据供应商从其他网站抓取信息,企业在制定合规计划时就应询问抓取政策的相关问题,确保符合适用法律和惯例做法。另一方面,如果数据供应商拥有并运营自有的基于应用程序的用户面板,还应审查用户面板包含的应用程序及供应商数据保护使用的数据。
面板包含的应用程序的功能很重要,因为它们有可能是通过Google Play或苹果应用商店等主流应用程序商店发布的。这些应用程序的功能及其收集的数据,应符合开发商的准则及应用商店的其他适用条款。
此外,评估应用程序是否收集个人信息也十分重要,因为这能帮助我们确保收集个人信息符合GDPR第五条及其他隐私法规定的“数据最小化”原则——收集的个人数据应限制在处理数据必要的范围内。数据供应商使用去标识化技术也很重要,因为此举能保护用户(更难识别用户)和数据供应商(降低储存用户信息的风险),并允许数据供应商更灵活地使用收集到的信息,GDPR第6(4)(e) 条及其他隐私法对此做了相关规定。
Sensor Tower坚持用最高的标准为所有移动分析企业提供服务,并致力于在解答客户的关键商业问题时,尽全力保护面板用户的隐私。在下一篇文章中,我们将详细介绍Sensor Tower自有的用户面板,以及该用户面板为何是安全、宝贵的资源。
数据方法
基于数据供应商使用的数据源,合规计划还应考虑评估使用来自这些渠道的数据,通过移动应用程序提供洞察观点的方法,包括数据准备、使用的数据科学模型的特点、数据供应商为确保数据源及其提供的观点的完整性执行的控制措施。
关键问题包括:
PII匿名及聚合的方法,以确保数据供应商提供的观点不含第三方PII。
使用了哪些数据科学模型,使用方法是怎样的,它们本质上是统计性还是聚合性模型。
在提供的数据中,数据模型生成的洞察观点包含哪些因素,有哪些数据是供应商数据源的镜像。
在任何情况下,供应商不得以提供观点或其他信息的形式,提供第三方保密信息或MNPI。
供应商是否严格控制数据源和生成洞察观点的读取及监控,确保数据源及生成洞察观点不被篡改,从而确保不提供第三方保密信息、MNPI、PII或其他相关信息。
数据供应商针对上述问题给出的信息,以及针对数据供应商数据实践及安全措施(包括业务连续性及灾难恢复)的常见重要问题均可用于验证数据供应商所说是否属实。App Annie (现已更名Data.ai) 就是最好的例子,SEC曾指控该公司蓄意误释其数据实践及保密信息的使用,误导顾客。
Sensor Tower一直致力于为包括替代性数据领域在内的各行各业提供合规产品,并随时做好准备解决新老顾客的任何疑问。如有需要,请联系您的客户经理,或发邮件至sales@sensortower.com。
和Sensor Tower一样,许多替代性数据领域的数据供应商一直以来重视合规,确保包括金融公司在内的众多客户能信赖我们的产品。我们相信,鉴于监管标准越来越高,在替代性数据领域提供数据,一定会让移动应用程序数据供应商成为更广泛的客户生态体系的最佳合作伙伴。简言之,鉴于上述原因,金融客户经常需要审查数据供应商的实践、数据质量及可用性。我们感激眼光敏锐的客户敦促我们不断改进,而金融行业从来不缺这样的客户。
经过我们在替代性数据领域的不懈努力,我们已与诸多优质数据提供商合作。从其他数字洞察公司,到整个生态体系,我们都非常有幸成为其中的一员,能够有机会与这些领先且重视合规的企业打交道,向他们学习。尽管有数据供应商犯了大错,为行业带来负面影响,但我们相信,替代性数据领域中绝大多数提供商和客户都是诚实、专注的。这些企业并非生活在蛮荒的美国西部,我们在追求卓越的道路上从未止步。
