杨松 汪宓 | 我国银行数据共享规则的安全与发展“再平衡”
《探索与争鸣》杂志官方账号杨松|辽宁大学博士生导师,沈阳师范大学校长、教授,教育部长江学者特聘教授
汪宓|辽宁大学法学院金融安全与法治研究中心助理研究员
本文原载《探索与争鸣》2025年第1期
具体内容以正刊为准
非经注明,文中图片均来自网络
杨松
党的二十届三中全会对进一步深化金融体制改革作出重大部署,强调积极发展数字金融、普惠金融等五大金融领域,这是金融服务实体经济高质量发展的重要着力点,也是深化金融供给侧结构性改革的重要内容。加强数字经济法治建设,建立健全数据要素交易、 确权、 共享等方面的制度规则,促进金融数据共享,是实现数字普惠金融的核心驱动力,有利于提升金融新质生产力,促进金融高质量发展。数字普惠金融的本质是通过数字化形式实现普惠金融,使中小企业等长尾客户可便捷地享受金融服务、获取金融资源。目前,以数据共享为核心的金融业发展迅速,全球87%的国家及地区正在推行银行数据共享业务。银行数据共享不仅可以帮助个人和中小企业获得更好的金融服务,还可以减少大型银行数据垄断风险,提升金融市场竞争力,实现数字普惠金融目标。因此,许多国家和地区都在积极探索银行数据共享规则。银行数据共享的典型模式是开放银行,即银行通过API系统,允许金融消费者将银行掌握的数据转移、共享给金融科技公司等其他金融机构,以便更好地获取金融服务。但是,银行数据具有高度敏感性、传导性与风险性,银行数据的泄露或滥用对个人隐私、企业利益以及国家安全都可能造成巨大影响,需要重点关注银行数据安全与数据权利保护,以平衡银行数据共享规则中的安全与发展双重理念。本文通过比较研究,分析主要国家和地区银行数据共享规则和发展导向,并在此基础上研究我国制度体系的不足,就如何完善银行数据共享规则提出对策建议,促进数字普惠金融发展。
我国银行数据共享规则中的安全与发展
我国立法机构和政府部门出台了与银行数据共享的相关规则,旨在保障数据安全、金融安全以及消费者权益的前提下,充分实现银行数据市场价值,促进数字普惠金融发展。
(一)银行数据共享领域的规制现状
中央层面立法,我国全国人民代表大会及其常务委员会出台了《民法典》《个人信息保护法》《数据安全法》《网络安全法》《商业银行法》《电子商务法》以及《消费者权益保护法》等法律,为银行数据共享业务发展奠定了制度基础。此外,国务院、中国人民银行等部门还出台了行政法规、部门规章等可操作性较强的规范性文件,以细化银行数据共享业务的具体流程、相关主体的权责等事项。地方立法层面,各地地方人大常委会在数据共享、开放互通方面的立法经验丰富,出台了多部相关条例。大多地方性数据条例以打破“数据孤岛”、实现数据共享为核心理念,旨在促进地方数字经济发展。据此,地方立法可以从数据交流、数据流通、数据市场互操作性等方面,为发挥银行数据价值提供经验。
一方面,从维护银行数据共享安全规则层面,上述法律从数据安全、网络安全、隐私安全和消费者安全方面规定了参与银行数据共享业务主体的保护义务。此外, 2020年《金融数据安全 数据安全分级指南》明确了包括银行数据在内的金融数据安全定级要素、规则以及定级过程,为第三方评估机构开展金融数据检查提供了依据。该文件要求从国家安全、公众权益、个人隐私以及企业合法权益四个维度开展安全评估,并根据影响程度界定风险等级,从安全保障角度限制了不可共享的银行数据类别。2021年《金融数据安全 数据生命周期安全规范》还规定了金融数据采集、传输、存储、使用、删除等各阶段的处理要求,指导金融机构建立完善的金融数据生命周期防护机制。最后,我国出台了一系列保护银行数据、金融消费者权益的部门规章,要求参与银行数据共享业务的市场主体必须遵循这些安全性规定。
另一方面,从实现银行数据共享价值规则上看。首先,我国《个人信息保护法》第45条设立了“数据可携带权”,旨在增强主体对数据的控制力,提升“个人数据获取和转移的便捷性”,为银行数据共享业务的开展奠定了正当性基础。其次,我国统一了银行数据共享技术标准,提高了相关业务的互操作性。如果数据介入口径不统一、数据录入格式不一致,则会出现“数据孤岛”现象,阻碍银行数据共享市场的发展。2020年2月,中国人民银行出台了《商业银行应用程序接口安全管理规范》,规范了商业银行应用程序接口(API)的类型、等级、设计、部署、集成等,统一了银行数据共享的技术标准,这有利于促进银行数据共享业务实现有序、高效发展。再次,我国中央和地方立法都规定了数据中介商监管规则,旨在提升公众对数据共享业务的信任。我国《数据安全法》第33条规定了数据中介商的审核、记录以及查明数据来源等义务。《电子商务法》第二章规定了电子商务经营者办理登记、纳税、提供信息、保护信息等方面的义务,《个人信息保护法》第五章规定了个人信息处理者的信息安全保障、通知、监督及协助等义务,这些义务性规定也适用于数据中介商。从地方立法来看,《上海市数据条例》《重庆市数据条例》等地方性条例也参考《个人信息保护法》《数据安全法》《电子商务法》,明确了数据中介商规则,旨在为数据共享搭建信任桥梁,实现数据要素价值的最大化。
(二)我国银行数据共享的规制困境:安全与发展失衡
近年来,我国金融数据治理和监管取得显著进步,但仍存在“数据共享程度较低、隐私保护不足”等问题。银行数据共享可能带来数据滥用、网络攻击、隐私侵犯以及金融稳定等方面的风险,因此我国十分关注相关领域的安全风险防范。但是,银行数据价值实现与风范防范之间存在张力,我国制度体系过于强调安全保障而忽略了银行数据的市场价值,阻碍了数字普惠金融发展。
第一,银行数据制度逻辑以安全为首、共享为辅,不利于提升金融服务的可获得性和普惠性。从价值理念上看,我国银行数据相关规则多以安全为首、共享为辅,即以保护数据安全、消费者利益为核心目标,忽略了银行数据市场价值的重要性。法律层面而言,与银行数据共享、利用相关的条文仅存在于安全类制度中,没有单独的法律进行规定。例如,《数据安全法》第13条规定:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”该条款为银行数据利用、共享提供了重要的法律支持,但整体规则理念仍以安全保障为核心,无法通过银行数据共享实现数字普惠金融的目标。规范性文件层面而言,我国出台的与银行数据共享相关的行政法规、部门规章也都是以安全保障为目标,缺乏以发挥银行数据市场价值为核心的规则导向。从银行数据分类标准上看,相关规则都是从维护安全的角度进行分类,尚没有规则从发挥银行数据价值的角度进行分类。银行数据共享必须遵守2020年《金融数据安全 数据安全分级指南》、2020年《关于发布金融行业标准做好金融数据安全分级工作的通知》、2024年《数据安全技术 数据分类分级规则》等数据分类文件,但是这些数据分类都是从风险防范的角度出发,尚未明确界定可共享的银行数据类别。综上,我国尚未出台直接规制银行数据共享的法律法规或规范性文件,相关规则的价值理念倾向于安全防范,而非充分发挥银行数据市场价值。
第二,金融消费者的数据可携带权落实不到位,无法充分发挥银行数据价值。金融领域内,数据可携带权授予消费者便携式地控制、转移银行数据的权限,使更多金融机构能够访问、共享相关数据,因此落实数据可携带权是开展银行数据共享业务、发挥银行数据价值的核心驱动力。虽然我国《个人信息保护法》规定了数据可携带权,但是该规定较为原则化,无法有效落实。首先,我国的数据可携带权条款采用了“不完全法条”的设计,导致该权利的适用条件不明。《个人信息保护法》第45条规定,个人请求将信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。但是,我国网信部门并未出台数据可携带权的详细适用规则,导致具体适用条件不清,可操作性不强。其次,我国数据可携带权规则的保障制度不到位,如果数据控制者不合作则难以落实。例如,银行为保持竞争优势地位,可能以未能完整保存个人数据为由拒绝提供数据,但目前《民法典》《个人信息保护法》及《数据安全法》等法律并未规定银行完整、全面保存个人数据的具体义务,这阻碍了数据可携带权的实现。最后,数据可携带权的实施流程繁琐,涉及多环节、多主体、多过程,而我国目前尚未出台在各环节行使该权利的具体细则,相关主体的权责不明。据此,金融消费者可能因专业能力匮乏而难以控制数据流向,使隐私权受侵犯等风险加剧,这导致消费者不愿意参与银行数据共享业务,不利于实现金融数据资源价值最大化。整体而言,我国相关制度过于宏观,不利于实现银行数据价值最大化,需要进一步细化、提升可操作性。
第三,银行数据共享中的知情同意权难以实现,易造成隐私泄露风险。我国金融消费者难以有效控制银行数据的使用情况,其主要原因是知情同意权落实不到位。银行数据共享涉及金融消费者的个人隐私和敏感信息,需要告知消费者并得到其同意后才可开展相关业务,但是由于我国知情同意权保护不到位,导致消费者无法自主决定、控制个人数据的使用,这将破坏公众信任、阻碍银行数据共享业务的发展。2024年3月,国家金融监管总局发布《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》,指出银行保险机构侵害个人信息权益乱象丛生,影响消费者1.99亿人次,主要问题之一在于个人信息收集方面存在强制同意、扩大授权和笼统授权等问题。我国《个人信息保护法》以“告知—同意”为个人信息的核心处理逻辑,其初衷是为理性人创造充分自由的选择环境,化解信息不对称问题,但该模式在实践中存在局限。从技术上看,大数据科技改变了传统金融机构的经营模式,高速传播和数量庞大的数据使得金融消费者难以掌控。从形式上看,金融机构在获取客户授权时所提供的隐私保护条款的文本篇幅冗长繁琐,大量专业术语使得普通客户面临信息过载现象。实验统计称,如果每个在线用户花费10分钟阅读隐私条款,该行为的机会成本高达7810亿美元。现实中,个人不愿意花费大量时间试图理解这些条款,通常会略过而直接选择同意,导致实质性不知情的现象。这种模式不仅难以落实个人知情同意权,反而将责任从机构转移至个人身上。
第四,银行数据中介商监管规则可操作性不强,妨碍银行数据共享市场的快速发展。如何在数据主体与数据使用者之间建立起信任关系,是确保数据流动与共享的基础,数据中介商的出现为解决这一问题提供了新的载体,是发展银行数据共享业务的核心。但银行数据可携带权的实施流程较为复杂,可能因为数据主体缺乏专业能力而难以落地,而数据中介商提供专业服务,降低转移数据的时间成本和经济成本,提升银行数据共享效率。但是,我国目前的数据中介商监管规则不成熟,中央、地方规则存在矛盾混乱、标准不统一的现象,可操作性不强。其一,虽然《个人信息保护法》《电子商务法》《数据安全法》以及地方立法都涉及数据中介监管规则,但并未统一数据中介商的含义、地位及其权利义务等。其二,中央、地方立法对数据中介服务提供者的命名不一致,内涵外延以及业务范围也存在差异,容易造成监管混乱现象。其三,我国数据中介监管法律规则过于原则化,缺乏细节。《数据安全法》第33条规定了数据中介服务机构的义务,即“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录”。但是,该条描述简单,没有规定准入登记制度、缺乏具体的安全保障细则、尚未明确中介机构的独立性义务,且对数据中介交易过程的公平性、透明度和非歧视要求重视不够。此外,我国也没有单独的金融数据中介商规则,阻碍了银行数据共享业务发展,难以实现数字普惠金融目标。
全球银行数据共享规则的发展导向:安全与发展双向推进
银行业依托数据共享带来的业务价值已逐渐凸显,数据要素已成为银行业数字化转型,提升数字金融普惠性的重要驱动力。当前,欧美等国家都在积极探索银行数据共享规则,通过落实数据可携带权、扩大数据共享的权利客体范畴及提升消费者信任等方式,充分发挥银行数据价值,使更多主体获得优质金融服务,促进数字普惠金融发展。同时,这些国家也愈发重视金融消费者的数据自主权和隐私权保护,希望在保障金融安全和维护数据权利的前提下,实现银行数据价值的最大化。
(一)优化共享规则促进普惠金融发展
第一,落实共享主体的银行数据可携带权。国际标准化组织(ISO)将数据可携带权定义为无需重新输入数据即可轻松地将数据从一个系统传输到另一个系统的权利(能力)。欧盟、美国等都创设了较为完善的数据可携带权规则,为提高银行数据共享的便捷性和正当性提供了法律基础,帮助更多个人获得金融服务,促进数字普惠金融发展。但是,欧盟和美国相关规则中的数据可携带权不同,规制模式也有所差异。欧盟以“赋权模式”构建了数据可携带权,其《通用数据保护条例》(GDPR)第20条规定:“数据主体有权以结构化、常用的机器可读格式接收其提供给数据控制者的个人数据,并有权将这些数据转移给第三方机构,数据控制者不得对其进行阻拦。”2023年,欧盟通过了《公平获取和使用数据法》(EUDA),提升了数据互操作性和数据合约的可执行性,进一步提升了银行数据共享的便捷性。例如,欧盟《数据法案》 通过赋予用户数据使用权,“突破了传统数据所有权的桎梏, 强调数据资源的最大化利用, 从而促进数据共享与创新”。与欧盟的“赋权模式”不同,美国以“义务模式”构建了数据可携带权,即通过规定机构义务以保障数据主体以便捷、无障碍的方式转移数据。美国《多德-弗兰克华尔街改革与消费者保护法》第1033(d)条规定了消费者有权获得可读的、标准化的个人金融数据,宏观上要求金融机构为消费者提供访问个人金融数据的渠道。2024年10月,美国消费者金融保护局(CFPB)颁布了金融数据共享统一规则,要求金融服务提供商开放个人金融数据,并应消费者要求免费将其传输给其他提供商,落实数据可携带权。此外,美国各州也逐渐开始在隐私保护制度中规定数据可携带权义务。
第二, 扩大共享数据权利的客体范畴。为了更好地促进数字银行业发展,各国通过创设、修改规则,扩大了数据共享权利的客体范畴,拓宽了可共享的金融数据范围,帮助更多个人和企业获得金融服务,进而打击银行数据垄断,推进数字普惠金融。欧盟是最早发展银行数据共享市场的地区之一,其近期出台了银行数据共享新规。首先,欧盟提出优化金融数据共享、促进普惠金融的战略理念。2024年1月,欧盟《数据空间中的个人数据保护报告》称要在金融等各行业内创造安全、稳定的数据共同空间,为个人和企业提供共享数据的工具和平台。其次,欧盟将出台规则丰富可共享的银行数据种类。2023年6 月 28 日,欧盟委员会公布了《金融数据访问框架》(FIDA)提案,明确消费者和中小企业都可授予第三方机构访问银行数据的权利,拓宽了传统《支付服务指令》第二版(PSDII)下的银行数据共享范围,使之从支付账户数据扩大到各类金融客户数据。欧盟通过提升可共享的数据范围和制度可操作性,逐渐实现了以权利安全为核心的保守型范式向以发挥数据价值为目的的开拓型范式的转型。
第三,提高公众对银行数据共享市场的信任。目前,隐私保护已成为美国银行数据共享业务开展的主要障碍。数据显示,美国50%以上的消费者担心隐私泄露风险,47%的消费者担心失去对银行数据的控制权,27%的消费者担心金融机构滥用银行数据。数据共享可能涉及复杂的信息传输链,这使得消费者难以确定各环节的责任机构。目前,许多数据的使用脱离个人掌控,在未被告知的情况下就被数据中介商搜集、使用,使数据泄露、数据歧视等风险增加。对此,欧盟和美国正在积极构建先进的数据中介商监管规则。数据中介商是收集个人和非个人数据,并通过许可、出售、共享等方式处理数据,以实现数据供需关系匹配的中介机构。数据中介商独立于数据持有人与数据使用人,专业性较高、独立性较强,旨在加强公众对银行数据共享领域的信任,从而鼓励更多个人、企业参与银行数据共享业务。同时,数据中介商也可能成为侵犯金融消费者数据权和隐私权的机构之一,欧盟和美国也出台了多项法案对其进行监管。
(二)提升安全规则保障金融消费者权利
第一,重视保护金融消费者的数据自主权。《欧洲数据战略》提到了数据主权理念,即数据所有者保留对其数据的控制权,可以确定谁可以使用数据,以及在什么条件下使用数据。为了落实数据主权理念,欧盟修改了银行数据共享规则,提升了金融消费者的数据自主权,加强了其对数据的控制能力。2023年6月28日,欧盟委员会发布了《支付服务指令》第三版(PSD III)草案,改善了开放银行场景下的银行数据共享运作措施,允许非银行支付服务提供商访问欧盟支付系统,提升金融消费者对支付数据的控制权。此外,欧盟完善了数据访问权制度,加强了消费者对个人数据的控制。2023年11月,欧盟颁布了EUDA,该法第7条、第25条、第26条、第30条、第33条、第35条及第37条等条款,细化了GDPR第15条规定的个人数据访问权,明确了数据共享标准,为银行数据共享提供了更加清晰的框架和标准。
第二,夯实金融消费者的数据隐私权保护。虽然美国采取了市场驱动型监管模式,赋予了市场主体充分的自由裁量权,但仍十分注重消费者隐私保护,并将进一步优化数据隐私权保护规则。一直以来,美国没有出台联邦层面的数据隐私法,相关治理主要依靠消费者保护法、行业特定法规以及美国联邦贸易委员会指南等文件支撑,缺乏稳定性和可预见性。2024年4月7日,美国出台了《隐私权法案》(草案)(APRA),明确提出公民有权掌握个人数据,有能力行使数据隐私权。该法案的出台有效加强了参与银行数据共享业务的金融机构的隐私保护力度,同时也首次为金融消费者积极维护银行数据中的隐私安全提供了联邦层面的立法基础。此外,欧盟的银行数据共享规则规定了全面的消费者数据隐私保护措施。例如,PSD II要求金融机构进行强身份验证,以确保消费者知道并同意对其数据的使用、转移、处理,有效保护数据隐私权。PSD II还制定了消费者投诉规则,明确了责任分配方式和投诉处理时限,以完善数据隐私泄露的事后处理机制。
第三,加强银行数据共享中的政府监管。美国是开展银行数据共享业务的主要国家之一,并一直采取自愿、去监管的发展模式,即银行数据共享业务由市场主导,美国监管机构和立法者尚未就此采取立法行动或发布具有法律约束力的规则。但是,该模式将有所改变,美国政府将出台相关规则,加强对银行数据共享领域的监管。美国金融市场参与者已经认识到银行数据共享统一标准的必要性,美国银行数据交易所联合相关金融机构构建了“FDX API”银行数据共享标准,旨在提升市场兼容性。虽然“FDX API”标准已经取得了市场认可,但政府仍需要出台明确的银行数据共享标准规则,以维护金融市场的稳定性和可预期性。2024年10月,CFPB颁布了个人金融数据共享统一规则,禁止诱导和转换数据收集行为,并构建了数据撤销和删除等权限,以加强政府监管力度。
当下,全球银行数据共享治理主体呈现多元化现象,其中政府机构监管逐渐成为全球主流范式。政府机构监管范式的执行力强、治理速度快,容易获取社会公众信任,促进银行数据共享业务快速发展。但是,政府监管机构治理范式存在专业性不强、信息不对称等风险,可能阻碍治理效果。对此,行业机构治理模式有专业知识和信息充分等优势,能有效弥补政府监管的不足。譬如,新西兰开放银行市场由新西兰支付协会进行管理,其治理速度快、治理程序成熟,有利于促进银行数据共享,但目前缺少金融科技行业的参与,专业性有待提升。专门机构能够更加专业、集中地处理相关问题,但同时可能存在缺乏资金、人才以及耗费时间长等问题。据此,虽然全球银行数据共享市场治理有多种方式,但政府机构监管范式的效果好,并逐渐占据主流地位。
(三)全球银行数据共享规则的经验启示
第一,借鉴域外规则发展普惠金融的实践效果和经验。域外国家和地区的银行数据共享规则促进银行数据共享价值最大化、提升市场竞争活力,有助于数字普惠金融发展。目前,欧洲已经成为全球第一大银行数据共享市场,金融市场竞争力显著提升。例如,2019年1月至2023年3月,欧洲参与银行数据共享业务的第三方机构数量显著增加,从不到100个增加到560个。截至2023年5月,欧洲参与银行数据共享的用户达4260万,有效提升了金融普惠性。域外国家和地区通过创设完善数据可携带权规则,提升了银行数据共享的便捷性,扩大了可共享的银行数据范畴,并通过优化数据中介制度提高了公众对银行数据共享业务的信任,有效提升了数字金融普惠性。
我国银行数据共享市场发展较为缓慢,规则体系以安全为主、共享为辅,应该结合我国金融市场具体情况、适当借鉴域外制度经验,通过数据共享推动数字普惠金融发展。在发展数字普惠金融的同时,域外还十分关注金融消费者数据权利保护,包括消极性数据隐私权和积极性数据自主权,在全面保障消费者基本人权的基础上扩展银行数据共享领域。金融消费者的权利保障是开展银行数据共享业务的底线。我国银行数据共享规则重点关注数据隐私权等消极性权利保护,对数据自主权等积极性权利落实不到位。对此,可以适当学习域外的金融消费者权利保护规则,加强对积极性数据权利的保护,包括知情同意权、数据可访问权等数据自主权。整体而言,我国银行数据共享规则理念应从“关注金融安全为主”转向“平衡金融安全与数据价值”,同时在全面保障数据主体积极和消极权利的基础上,促进数字普惠金融发展。
第二,重视域外规则中的数字人权理念。数字人权理念涵盖“基础人权、衍生人权、特定人权”三个层面:基础人权包括信息权和隐私权,衍生人权包括网络接入权和数据自主权,特定人权包括数据可携带权、数据访问权、数据更正权、数据拒绝权、数据侵权行为起诉权等。域外银行数据共享规则充分体现了数字人权的理念,反映了数字人权三个层面的要求。从“基础人权”及“衍主人权”层面上看,域外银行数据共享规则充分重视金融消费者的数据隐私权保护,且愈发重视银行数据共享领域政府监管的作用,加强对相关金融机构的道德约束与法律规制,以落实金融消费者的数据自主权。从“特定人权”层面上看,欧盟GDPR、EUDA以及美国CCPA等银行数据共享规则落实、完善了金融消费者的数据可携带权。域外的数据可携带权规则反映了数字人权理念中的积极性权利保护要求。据此,域外银行数据共享规则体现了数字人权理念的三个层次,也从积极权利实现和消极权利保障两方面满足了该理念的相关要求。
我国银行数据共享规则需要适当借鉴域外经验,落实数字人权理念。国际层面上看,数字人权是全球数字治理与国际人权治理的重要联结点,也是全球价值融通与利益博弈的关键场域,关涉国际政治经济秩序的数字化转型升级,是我国提升国际数字话语权和规则制定权的突破口。联合国高度重视数字人权的发展,将保护隐私和个人数据安全作为一项基本人权予以保障。数字人权凝聚全球价值共识,是国际利益博弈的关键领域,我国银行数据共享规则应纳入数字人权理论,在数字金融领域积极塑造符合全球价值共识又具有中国特色的数字人权理念。国内层面,落实数字人权理念对于保护金融消费者权利、促进数字普惠金融发展至关重要。银行数据共享涉及获取、转移个人数据,同时也存在侵犯个人隐私和挑战数据安全等风险。据此,应该贯彻数字人权理念,帮助金融消费者实现数据可携带权、数据自主权等积极性权利,同时保障数据隐私权等消极性权利不受侵犯,提升公众对银行数据共享市场的信任,激励更多主体参与相关业务,促进相关业务可持续发展。
我国银行数据共享规则的完善路径
我国应该在普惠金融和共享经济理念下重塑银行数据共享规则,平衡安全与发展两大理念。在发挥银行数据价值方面,应夯实法律基础,坚持法治化道路;在加强风险规制方面,需要坚守持牌经营等底线规则,进行全流程安全防护。同时,需要重视金融消费者的基本权利保障,落实数字人权理论的核心要求。我国银行数据共享的主要障碍是个人数据共享权利不明、数据共享类别不清,公众担心数据安全和金融隐私泄露,导致行业信任基础薄弱,阻碍银行开展相关业务。对此,需要从发挥银行数据价值和保障数据主体权利两方面进行规则优化,构建服务实体经济、面向数字普惠金融的制度体系。
(一)发挥银行数据价值
数据已经成为重要的战略资源,数字普惠金融的发展高度依赖金融数据的收集、利用和共享。但是,我国银行数据共享规则忽略了银行数据市场价值,应适当借鉴域外立法经验,充分实现银行数据共享价值,促进数字普惠金融发展。
第一,细化银行数据可携带权规则。落实数据可携带权有利于发挥银行数据价值、提高数据共享效率,是实现积极性数字人权和推动数字普惠金融发展的重要驱动力。但我国《个人信息保护法》中的数据可携带权条款以宣示性为主、可操作性不强,建议细化、完善银行数据可携带权制度。2024年《银行保险机构数据安全管理办法》(以下简称《办法》)第29条提到银行数据共享问题,但该条内容可操作性不强。《办法》是第一个明确提及银行数据共享的规范性文件,建议在该文件中落实银行数据可携带权的具体细则。首先,《办法》中应界定数据可携带权的含义,明确银行数据可携带权的权利范围。其次,《办法》可以借鉴欧盟GDPR第20条、美国《多德-弗兰克华尔街改革与消费者保护法》第1033(d)条等条文,规定机构提升银行数据共享便捷性的义务,即要求银行等金融机构以结构化、常用的机器可读格式为消费者提供数据,保障个人以简易、无障碍的方式共享、转移个人数据。最后,《办法》还应明确银行数据共享的收费问题。银行数据共享会给金融机构带来时间、人力、数据格式转化、标准对接等成本,如果没有适当的收益激励,将降低机构参与数据共享业务的积极性。
为了平衡各方利益、防止不合理的搭便车行为,需要从成本收益理论出发,在注重效率的同时兼顾公平,明确银行数据可携带权的收费情形。对此,可以将银行数据分为四类:客户提供的数据、客户与银行交易记录数据、增值类客户数据和涉及其他个人的聚合类数据,并明确消费者对各类数据享有不同的权利。如澳大利亚规定,个人只对其提供的数据和交易记录数据享有免费行使的数据可携带权,而其他两类数据因涉及其他个人信息或银行额外投入的劳动力等资源,个人无权免费获得。据此,我国也可以授权银行对“增值类客户数据”的共享收取适当费用,即银行对基于客户交易数据、信用情况等信息进行洞察、分析或转换而创建的数据享有专属权,消费者无权对此类数据行使数据可携带权。
第二,制定银行数据分类共享规则。我国需要出台专门的银行数据分类共享规则,提升数据共享效率和金融普惠性,充分发挥银行数据共享价值。一方面,由于银行数据涉及个人隐私与金融安全,我国需要从维护个人权益与国家利益两方面出发,谨慎界定可共享的银行数据范围。首先,个人权利保护方面,可以借鉴“数据可分离性”理念,界定可共享的银行数据类别,落实数字人权保护理念。数据可分离性是一种哲学概念,用以确定数据与个人身份等隐私信息是否可以分离,即通过判断数据与个人之间的关系密切程度,从而决定该数据是否可以被视为个人隐私、触发隐私法保护。在银行数据共享分类规则制定上,数据可分离性理念为立法机构提供了一个有弹性的规范基础,有助于判断不同类型的银行数据共享是否会威胁个人隐私等,旨在保障数字人权利益的前提下实现银行数据分类共享。具体而言,如果某类银行数据过于敏感、与个人金融利益密切相关,那么这类银行数据则不具备数据可分离性,不应被纳入共享范围。其次,银行数据与金融安全密切相关,因此界定可共享的银行数据类别时,还需考虑共享行为可能给国家利益与社会公共利益带来的风险。《办法》第71条指出,国家金融监督管理总局将按照制定银行业保险业重要数据目录、提出核心数据目录建议,以监督指导银行保险机构开展数据分类分级管理和数据保护。对此,国家金融监督管理总局应该尽快落实该要求,根据数据可分离性以及数据风险系数,出台可共享的银行数据目录,明确各类银行数据的安全防护要求。
另一方面,建议修改阻碍银行数据共享的数据分类规则,为充分实现银行数据市场价值留下空间,促进数字普惠金融发展。2020年9月,全国金融标准化技术委员会出台了《金融数据安全数据安全分级指南》(以下简称《指南》),明确了“数据安全定级”,即根据金融业机构数据安全性遭受破坏后的影响对象和影响程度,将数据安全级别分为5级。但是,该标准仅仅从安全角度划分,忽略了金融数据的市场价值。对此,可以向欧盟学习,明确可共享的银行数据范围。具体而言,建议后续修改在该《指南》第4条的“目标、原则和范围”中纳入“实现金融数据价值”的理念,在内容部分中增加“发挥金融数据价值”专门章节,并明确界定可共享的银行数据、保险数据等金融数据的类别和范围。
第三,优化银行数据中介商规则。欧盟出台了以促进数据共享为目的的DGA,其中专门规定了数据中介商规则。数据中介商能有效解决数据共享中的信任匮乏问题,并提升数据市场互操作性,有利于实现数据价值最大化。但是,我国数据中介商规则过于原则化,且缺乏专门的银行数据中介商规则。对此,我国可以出台专门的《数据中介商条例》,并在其中单独设立银行数据中介商章节,落实银行数据中介商的安全保障义务。首先,《数据中介商条例》需要解决法律法规中数据中介机构名称混乱的问题,应该将相关机构统一命名为“数据中介商”,并界定数据中介商的基本内涵。其次,在市场准入阶段,《数据中介商条例》应坚持持牌经营理念、设置严格的许可审查规则,要求银行数据中介商全面、准确、真实地披露其机构信息,确保机构自身独立性。再次,在业务运营阶段,《数据中介商条例》应该重视银行数据中介商的中立性和专业性的保障。对此,可以规定数据中介商具有独立忠诚、告知同意、安全保障、专业服务、杜绝歧视、格式转换等义务,以提升数据共享的安全性、互操作性、连续性等,实现数据价值最大化。此外,由于银行数据具有敏感性、价值性和传导性等特征,《数据中介商条例》对参与银行数据共享的中介商应该设立更加严格的安全保障义务。《数据中介商条例》应该要求处理银行数据的中介商提供更加全面的数据安全保障措施,并购买保险,以覆盖因其不当行为给金融消费者带来的潜在损失,落实数字人权价值理念。最后,在机构退出或合并阶段,《数据中介商条例》应要求银行数据中介商做好数据销毁等保密工作,严格防范银行数据泄露导致的金融稳定风险。
为了实现金融支持实体经济的目标,可以在未来的《民营经济促进法》中纳入银行数据共享条款。《中华人民共和国民营经济促进法(草案征求意见稿)》第26条要求建立健全信用信息归集共享机制,这为民营经济组织向金融机构获得融资提供了便利。为了帮助更多民营企业获得金融服务,该条款应该将银行数据纳入共享范围,充分实现数据价值,帮助更多民营企业获得金融服务,促进数字普惠金融发展。同时,在后续统一的金融法典制定中,也应当规定银行数据共享条款,最大限度保障民营企业的权利。
(二)保障数据主体权利
金融数据固然能创造巨大的经济和社会价值,但存在着风险错配、隐私泄露、数据垄断、非法交易等治理与安全问题。为了落实数字人权理念,银行数据共享规则须保护金融消费者的知情同意权和数据隐私权,加强政府全流程监管,保障银行数据共享的安全性。
第一,出台共享指南保障知情同意权。数字人权理念强调个体的自主意志与正当权利,即具有自主性的个人无须从属于他人意志,落实知情同意权是遵循数字人权理念的核心要求之一。我国《个人信息保护法》和《办法》都以“告知—同意”授权机制为数据共享的核心规则,但是该权利进路流于形式,导致金融消费者的实质知情权被架空。美国CFPB制定了统一的金融数据共享标准,英国ICO也出台了《数据共享行为准则》,规定数据接收方和数据提供方之间签订的数据共享协议具体细节。据此,我国可以借鉴相关经验,出台《银行数据共享协议适用指南》,构建银行数据共享协议标准模板,并构建配套的登记、定期检查和投诉体系,旨在制定公平合理的银行数据共享协议,落实消费者知情同意权的救济措施。《银行数据共享协议适用指南》需要明确具体细节,包括银行数据共享目的、各方权利和义务、共享数据的法律依据、数据的准确性要求、可共享数据范围、数据处理责任,数据交换过程和方法、数据丢失时的报告和处理措施、争议解决程序、数据保护措施等事项。同时,《银行数据共享协议适用指南》还应界定“默认数据”范围,即无需消费者同意即可收集的数据数量和类型。如果超出“默认数据”范围,相关机构必须发出额外通知,引起个人关注。此外,国家数据局应联合地方数据交易所构建配套的银行数据共享协议登记和投诉系统,使得消费者能够清楚地了解银行数据的流向,有能力拒绝相关数据的使用和共享,保障个人知情同意权的实现。
第二,全流程保护数据隐私权。为了平衡银行数据共享的效率与个人隐私安全,不仅需要完善事前规则,还需加强事中监管、落实事后责任,构建全流程保护模式。首先,事前准入方面,应坚持持牌经营理念,构建资格认证机制。《办法》应明确资格认定的具体细则,对拟参与银行数据共享业务的银行、金融科技公司、数据中介商、数据聚合商等机构的资质进行审查,只有相关机构提供了充分的银行数据、个人隐私安全保障措施后,才能授予其参加银行数据共享业务的资质,这有利于优化银行数据共享的生态体系。其次,事中管理方面,建议修改《金融数据安全数据生命周期安全规范》,纳入金融数据共享规则,指导银行建立完善的银行数据共享业务全周期防护机制。同时,政府部门可以使用区块链的分布式账本技术进行追踪式监管,审查银行数据共享过程中的数据处理、转移、使用、储存等行为是否取得金融消费者同意,是否符合法律法规的相关要求,以保障个人的数据自主权与隐私权,落实数字人权理念。最后,事后追责方面,建议对金融消费者进行适当的倾斜性保护,采取举证责任倒置模式。快速有效的责任机制有利于公平、安全、高效地促进数据驱动型经济发展。由于银行数据共享涉及多环节、多主体、多流程,过程十分繁琐,而金融消费者专业能力有限,难以精准定位具体责任主体。对此,监管部门应该为金融消费者提供举报泄露银行数据、侵犯个人隐私等不当行为的投诉渠道,但不强制要求消费者提供能精准定位具体的侵害行为者的证据,而是采取举证责任倒置模式,即要求相关机构证明自己的行为合理合法,从而减轻消费者的举证责任与负担。
第三,明确治理机构以落实监管责任。如前所述,就治理机构的选择而言,全球各国银行数据共享治理模式包括政府监管、行业机构管理和专门性组织管理三类,各有利弊。政府监管范式的执行力强、治理速度快,容易获取社会公众信任,但也存在专业性不够强、信息不对称等风险,而行业机构能有效弥补政府监管的不足。目前,我国金融市场的完善程度不高,金融消费者面临风险较大,政府监管在保障消费者权益、维护金融稳定方面起着至关重要的作用。我国应该选择主要由政府机构监管银行数据共享,同时结合行业协会等力量,克服信息不对称、专业能力不足等问题。此外,国家金融监管总局、中国人民银行、网信办、国家数据局等政府机构都出台了与银行数据相关的文件,但并未明确银行数据共享的具体监管机构。对此,需要统一监管责任,防止多头监管的现象。鉴于银行数据共享涉及银行、金融科技公司、金融消费者、数据中介机构、数据聚合商等多方主体,应由国家金融监管总局协同中国人民银行、国家数据局及网信办共同治理,并由互联网金融协会等机构提供专业性技术支持,同时还需落实地方数据交易所的具体监管责任。建议从金融行业治理结构要素调适、 多层规范空间的交互塑造、 内外二元进路的互动运行等三个面向出发,实现金融行业治理现代化、 法治化。整体而言,应全面贯彻“机构监管、行为监管、功能监管、穿透式监管、持续监管”五大理念,维护银行数据共享安全,保护消费者数字人权。
结语
2024年4月,全国数据工作会议强调:“要提升数据资源开发利用水平。发挥公共数据资源开发利用的示范效应,持续探索企业数据、个人数据开发利用新路径,全力推动“数据要素×”行动,着力繁荣数据开发利用生态。”银行数据是重要的金融资源,应该通过共享的方式发挥其市场价值、降低成本,帮助更多个人、中小企业获得优质金融服务,促进数字普惠金融发展,实现金融支持实体经济的目标。目前,全球许多国家都在积极地开展银行数据共享业务,提升数字金融普惠性,并十分重视金融消费者权利保护,旨在双向推动银行数据共享的价值实现与安全保障。但是,我国银行数据规则体系过于注重安全风险防范,相对忽略了银行数据市场价值。同时,我国对金融消费者的数据可携带权和知情同意权落实不到位、银行数据中介商规则不明,导致公众对银行数据共享领域的信任程度不够,难以高效地开展相关业务,妨碍数字普惠金融发展。对此,需要借鉴域外立法经验,以数字人权理念为指引,从发挥数据价值和保障共享安全两方面,完善我国银行数据共享规则体系。
