11月15日，由北京移动金融产业联盟、移动支付网联合主办的2018第三届中国移动金融安全大会在深圳顺利召开，金杜律师事务所合伙人、合规业务部负责人宁宣凤以“从中国《网络安全法》和欧洲《一般数据保护条例》看移动金融行业数据合规”为主题进行了演讲。

宁宣凤首先介绍了移动金融行业发展趋势及特点。随着移动设备的普及，新型技术的应用，使得移动金融服务更具便捷性和普惠性，国际化趋势明显，行业分工细化。承接移动互联网开放性特点，面临安全风险挑战。

宁宣凤认为当下移动金融行业发展有三个重点合规问题：1、个人敏感信息处理合规问题；2、跨境业务的法律适用识别及数据流动风险控制问题；3、业务外包场景下的数据流转与数据安全问题。在演讲中，她对三个问题做出了简明扼要的解析。

随着移动支付理念的日渐普及，与安全认证技术的成熟发展，生物支付逐渐成为主流支付方式，生物识别技术在移动金融场景中的适用，其中将无可避免涉及、汇集众多类型的个人敏感信息。

在法律上，无论是《个人信息安全规范》，还是欧盟GDPR，都针对个人敏感信息（或特殊类型个人数据）规定了更为严谨的处理规则。在数据共享不可避免的情况下，如何把控合规风险呢？

宁宣凤认为，首先应该确认数据来源合法性，相应地对外共享数据时确认取得相应的共享行为授权。其次，数据汇聚和衍生时，仅在获授权的限度内使用相关数据，并确认是否获得相应授权。然后，数据交互中确认自身角色定位，进行权利义务和责任划分，分配风险。最后，通过简要的尽职调查或抽样审计，切实地履行数据控制者和处理者的审慎义务。

她强调了数据管理平台DMP面临的合规风险，例如第三方数据来源合法性以及数据使用范围限制的合规风险。

在跨境业务合规方面，宁宣凤说由于数据的流动是多端的，甚至可能是全球范围内的，里面就涉及包括但不限于法律适用、主权机构职权范围、数据跨境交互等多个问题，她表示这对于移动金融行业而言将是极大的挑战。

宁宣凤认为具体的场景需要具体的分析，因为《网络安全法》和GDPR下有着不同的规定。在跨境业务涉及数据的跨境流动时，应首先识别数据从产生、流动、到接收所可能涉及的各方主体，在确定参与数据流转的各方主体基础上，识别数据发送方、接收方所在国家，从而识别数据流动在不同司法辖区下的合规风险。

最后，宁宣凤简明扼要的介绍了移动金融产品业务外包的发展及常见模式，对《网络安全法》和GDPR有关数据委托处理的合规要求进行了简单的说明。她认为，针对业务外包的数据合规风险控制，需要事先对外包服务商开展尽职调查，评估其数据安全能力，其次适时通过协议手段明确服务商的安全义务和责任。