您的位置: 首页  > 学术论文 > 理论前沿 > 宏观调控法学 > 金融法 > 金融法一般

数字化时代个人金融数据治理的“精巧”进路

郭雳    2022-11-28  浏览量:150

摘要: 针对个人金融数据的良法善治是我国数字经济发展的关键。个人金融数据治理中出现的数据泄露与管理失范的现象,可能引发直接经济损失及国家安全风险。现有治理体系存在治理框架体系性与协调性缺乏、治理标准不周延、治理路径滞碍颇多、治理对象与结构之间张力显著等问题。“精巧规制”理论主张治理主体与治理工具的多元组合,并在治理体系的诸多方面与个人金融数据治理相适配。朝向“精巧”的个人金融数据治理转型应以政府法令完善数据治理框架,厘清数据治理的底线红线,加强数据全链条保护下的事中阶段治理,倡导政府、第三方组织与公民社会的多元主体协同共治,引导和规范治理对象的自我规制。

关键词: 金融数据;个人信息;数据治理;数字经济;精巧规制

正文:

习近平总书记指出,数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。数据要素是数字经济深化发展的核心引擎,数据资源被认为是继土地、劳动、资本后的经济社会又一重要生产要素,深刻改变着生产方式、生活方式和社会治理方式。近年来,随着《网络安全法》《数据安全法》《个人信息保护法》等相关法律的陆续出台,我国数据治理体系与法律基础不断丰富完善。在各类数据中,个人金融数据总量规模庞大,拥有丰富的价值创造潜力,成为数字化时代经济社会发展的关键要素。然而,随着金融科技水平与新金融业态的不断发展,现实中出现了大量金融机构与科技公司数据泄露和管理失范的情况,个人金融数据治理不当可能会引发直接经济损失与国家安全风险。

针对个人金融数据的良法善治已成为数字经济发展的时代命题。“金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分”“统筹数据开发利用、隐私保护和公共安全”“实施金融安全战略”已被写入“十四五”规划之中。个人金融数据治理问题不仅关系到个人人身与财产权益保护,还具有应对新时代金融风险、推动我国数字经济健康发展的战略意义。基于此,本文拟分析现有个人金融数据治理体系在治理框架、标准、路径和对象方面的局限性,尝试运用“精巧规制”(Smart Regulation)理论为个人金融数据治理提供一个基础理论框架,并重点探索精巧规制理论与个人金融数据治理结合下政府、第三方协会等治理主体,以及金融机构等治理客体的功能实现,以期实现数字化时代个人金融数据的良法善治,提高我国数字经济治理体系和治理能力现代化水平。


一、数字化时代个人金融数据的治理与挑战

(一)个人金融数据与数据治理

现有法规中,个人金融数据的含义由“一个中心”与“三类内容”构成。“一个中心”指在机构监管理念的长期影响下,金融数据的范围整体围绕“金融机构”或者“金融业机构”而展开。这一做法自2011年《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称《通知》)开始,到2020年《个人金融信息保护技术规范》(以下简称《技术规范》)等文件中均有体现。以《技术规范》为例,第3.2条将个人金融数据界定为“金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息”。

《技术规范》虽在第3.2条的注释中列举了部分个人金融数据,但其非穷尽式列举的范围界定实语焉不详。本文认为,可将个人金融数据范围划定为“三类内容”。类别一是先于且独立于金融活动而存在的个人身份数据,包括如姓名、性别、身份证号等与自然人相关的个人基本数据,以及指纹、人脸等生物识别数据;类别二是自然人参与金融机构业务过程中直接产生的金融活动数据,此类数据具备场景性较强的交易面向特征,如在金融机构开立的账户、密码、借贷、支付和担保数据等;类别三是《技术规范》第4.1条所界定的金融衍生数据,既非个人自然携带,也不是在参与金融活动中直接产生的,而是源自对前两类数据的加工、处理与分析,呈现出主体现有支付习惯、未来可能消费意愿等核心价值。

近年来,“数据治理”一词成为理论界与实务界普遍使用的热词。从发展脉络看,可以对其作两阶层理解。“治理”(Governance)一词源于拉丁文和古希腊语,原意是控制、引导和操纵的统治(Government),随着政治学和经济学的发展,后来被赋予了社会经济领域的新含义。“数据治理”的底部阶层可以理解为公司治理中的“数据管理”,表现为企业内部加强自上而下的数据资产管理能力,防范企业数据资产风险,是一种具备营利性的控制性管理。例如《金融业数据能力建设指引》第3.3条将“数据治理”视为“对数据进行处置、格式化和规范化的过程”;再如《银行业金融机构数据治理指引》第三条认为“数据治理”代表着“系统化的制度、流程与方法”,确保数据统一管理、高效运行与价值发挥。

随着数字经济与数字处理技术的不断发展,数据对提高生产效率的乘数作用不断凸显,逐渐超越了作为企业资产的内部资源定位,成为新时代经济社会发展的关键生产要素和“基础性战略资源”。同时,控制着公民社会大量数据的金融机构、科技公司泄露和滥用数据问题频发,公司内部的数据管理失范也产生了严重的负外部性问题。在数据价值与风险同步提升的趋势下,“数据治理”逐渐具备超越“内部管理”层面的新含义:产生了包含政府、社会组织、公民社会等在内的新行动主体,治理的权力运作向度朝着相互性和多元性扩散。世界银行发布的《2021年世界发展报告》认为,运作良好的数据治理的利益相关方包括“公民社会、公共部门和私营部门”,应当“对数据治理采取一种全政府、多利益相关方的方法”。有鉴于此,现代意义上的金融数据治理应当被理解为建立在良好的数据管理基础阶层之上,包含各类权利、原则和义务的规范和规则,体现公私主体协调过程中持续互动的一种广义概念。

(二)个人金融数据领域的现实挑战

1.数据泄露与管理失范问题频发

数字化时代金融业务多元化的快速发展带来了如“富山宝矿”般的金融数据,以商业银行为代表的金融机构逐步推动信息化建设和数据化转向。但从金融机构内部的数据治理来看,传统金融机构特别是其中的中小金融机构,自身在短期内不具备与数据价值创造相匹配的重视数据、保护数据的意识与能力,引发了内部数据管理系统不健全、数据泄露和滥用等一系列问题。实证研究显示,2021年度中国人民银行及银保监会向银行、保险公司、证券公司等各类金融机构共开出与数据相关的罚单1056张,处罚金额超过10.5亿元,涉及554家机构。相关罚单的违法行为内容集中在个人信息保护与信息网络安全上,包括“未按规定收集使用个人信息”“泄露客户个人信息”等。

数字化转型进程中由于自身缺乏足够的数据管理能力,许多金融机构在实践中将原本由自身负责处理的信息科技活动委托给服务提供商处理,这种外包行为所引发的风险早在2011年的《通知》中就得到了重视,但至今管控不力、业务中断、数据泄露等问题仍然频发。以2021年因多项违规被罚850万元的重庆某银行为例,基于挖掘数据价值的市场竞争需要,不具备较强数据自主分析能力的银行金融机构与科技公司达成深度合作,前者以较低的成本获得个人金融数据挖掘与处理服务,后者得以控制丰富的客户和消费者数据,借由算法分析提取金融数据价值。在这一合作模式中,重庆某银行的违法违规事由包括对“第三方合作机构缺乏管控”,并将部分信息科技管理和风险控制等核心环节外包给第三方合作机构。在二者建立合作关系时,重庆某银行这类传统金融机构的议价能力和鉴别对手方技术水平的能力均较弱,相对科技公司是承受风险的弱势一方,在开展合作后也难以监督数据挖掘与处理过程中的规范性,导致实践中各类滥用、非法收集、处理数据的情况频发。而大量非银机构在合作中博弈能力更弱,偏向于选择服务价格较低的科技公司进行合作,风控与监督能力亦难以达标,此类外包行为致使大量数据管理失范与泄露问题出现。

2.存在直接经济损失及国家安全风险的可能性

数据治理失范的影响不仅限于个人与金融机构,个人数据保护与国家安全已在社交媒体公司干涉政治选举、引发国家安全威胁等事件中产生深度交互。而个人金融数据更是在国家利益与安全中扮演着重要角色,数据治理失范可能引发直接经济损失或国家安全风险。第一类是自身具备较高价值的金融数据直接受到侵害,如美国第一资本银行(Capital One)数据库泄露案,约1.06亿张银行卡的用户及申请人信息遭到泄露,导致国家金融资产与金融体系直接受损。

第二类情形是大规模个人金融数据跨境流动对国家安全造成的风险。规模化数据与国家金融资产的直接相关性通常不高,往往以赴境外上市,委托境外数据中心、服务机构处理数据等合法授权的方式流向境外,某大型网约车平台公司即为典型的一例。2021年7月2日,网信办以“防范国家数据安全风险,维护国家安全,保障公共利益”为由,启动网络安全审查机制并终止新用户注册,从该平台公司控制的数据内容来看,自2018年初起该公司成立了金融服务事业部,并取得商业保理、融资租赁、保险代理、网络小贷、第三方支付等多个牌照,不仅包含大量个人出行数据,还控制着大量用户的个人基本数据、金融活动数据和衍生金融数据。这些个人金融数据中,有些直接就能定位到特定个人并复原成为信息图谱;有些非结构化个人金融数据直接流出的话,能够通过大数据算法等技术,对数据进行分析、挖掘、解码,分析得出特定年龄阶段的金融服务用户群体画像、金融重点产业结构画像,甚至是国家宏观经济状况。境外势力可以利用这些数据分析成果,发掘外资占比较高、杠杆率较高的金融市场薄弱环节,或借此打击我国经济体系,实施金融制裁,对我国网络主权、数据主权与国家安全造成威胁。

规模化金融数据跨境风险一旦成为现实,会对国家安全产生不可估量的损害,因此一直被各国所重视。以2018年某金融科技公司并购速汇金事件为例,美国近年来以维护数字竞争优势和强化“长臂管辖”为由,通过《澄清境外数据的合法使用法案》扩张了美国外资投资委员会(CFIUS)的审查权,限制特定领域外国投资的数据跨境流动。并购者虽然在其提交资料中承诺,速汇金的个人数据均会被加密并保留在境内,但最终CFIUS仍以美国士兵及其家人的财务数据可能被不法使用为由未予批准,双方只得终止该项并购。


二、个人金融数据的现有治理体系及局限性

数字技术的发展往往先于数字治理规范与社会结构的变革,因而难以直接建构一套行之有效的范式来应对个人金融数据的诸多问题。中国人民银行、银保监会、证监会等在各自监管业务范围内出台了相应的规章与行业标准,形成具有分业回应特征的治理体系。然而,个人金融数据治理现实中的突出挑战,反映出现有治理体系在治理框架、路径、对象和标准上存在的局限性。

(一)治理框架欠缺体系性与协调性

首先,目前过于分散的规范文件难以形成较为完整的治理规则框架。受限于我国金融业分业经营、分业监管的格局,与金融数据治理相关联的十余部文件与标准之间的关联比较有限,没有一部共通的“金融数据治理法”。各类文件出台部门、立法目的与治理方式并不统一,很难实现全面治理和协同治理,因此导致了不同文件之间的规则冲突。例如,就金融机构处理数据所应当明示的内容而言,《民法典》第一千零三十五条的披露规定是“目的、方式和范围”,而《金融消费者权益保护实施办法》(以下简称《消保办法》)第三十一条中的格式条款披露要求中,额外增加了“内容”和“可能后果”,这种法规之间对同一事项的不同规定,容易造成实践中金融机构适用规则的混乱。

其次,缺乏能开展统一性、协调性治理工作的统领或者牵头监管部门。由于我国的间接融资相较于直接融资发展更快,最早开展金融数据安全监管工作的是中国人民银行。然而,随着金融混业经营程度加深,以互联网金融和金融科技为代表的新金融业态的出现,使得金融数据治理工作难度加大,央行也仅能在银行业、征信业推进治理,现阶段在全国层面既缺乏专门的金融监管机构负责数据治理工作,也缺少金融数据治理的统筹协调部门。

最后,与金融数据治理直接相关联的法规较为零散,位阶与效力均较低。在现有金融数据(信息)相关的法律法规及行业标准中,位阶最高的是部门规章《消保办法》,次高的是《技术规范》。前者第二条所规定的适用范围有限,仅包括银行业金融机构与非银行支付机构。而且,《消保办法》本身是消费者保护法的特别法,将“消费者金融信息保护”部分独立成第三章,其“保护消费者新型权利”的基本逻辑与金融数据治理理念并不一致。位阶次高的《技术规范》属于部门规范性文件,但其所附通知的第一、第二条表述为金融业机构和行业协会“可结合实际”,“可根据工作需要”按照《技术规范》执行,呈现出推荐性、参考性而非强制性的软法特征,难以保障其效力与强制力。

(二)治理标准中分级分类并不周延

2021年出台的《数据安全法》确立了数据分级分类保护制度,已成为各行业数据风险研判与治理应对的逻辑起点。总体而言,个人金融数据的分级分类标准不够周延。一方面,多个分级分类体系与数据跨境之间的联系并不完善。《技术规范》第4.2条根据敏感程度将数据从高到低分为C3、C2、C1三个类别,《证券期货业数据分类分级指引》(以下简称《证期数据指引》)第8.3条也规定了数据定级的“对象、范围和程度”三要素。但即使是《技术规范》中敏感程度最高的C3类别数据,损害后果也局限于金融数据“主体的信息安全与财产安全”,未体现规模化的个人金融数据对公共利益、国家安全可能造成的影响;就《证期数据指引》而言,三要素中对社会公益与国家安全的考量亦付之阙如,而第8.3.1.3条的影响程度也是将事件对机构自身的影后果作为基本面向。这种分级分类方式与现有数据跨境传输未建立必要的联系,规则适用者不能据此得出不同金融数据出境行为在合法性、限制条件、安全防护要求等方面的差别。此外,其他涉及金融数据跨境的规定也存在不一致之处。如2016年发布的原《消保办法》第三十三条,以及仍然有效的《通知》第六条,均要求金融机构不得向境外提供境内个人金融数据。《消保办法》在2020年的修订中,相关数据跨境规定已成空白,但《通知》的内容未进行相应修改,法规间不一致使其难以有效指导金融机构与其他企业的数据合规工作。

另一方面,《个人信息保护法》第二十八条区分了敏感与非敏感个人信息,第二十九条要求处理敏感个人信息需遵循更为严格的“单独同意”程序。然而,“单独同意”虽然在人脸识别、健康医疗数据领域同样得到应用,但在线下、电子金融业务的具体要求和实现方式尚不清晰,有待探索出既不会导致金融机构履行严苛“知情”义务,又能实现敏感数据高级别保护的标准。此外,“单独同意”相较普通的知情同意规则,甚至是《技术规范》第3.22条“明示同意”标准的要求都要高,这进一步体现出合理划定敏感数据范围的重要性。《个人信息保护法》将生物识别数据、金融账户纳入敏感数据范围,但其宽窄相宜程度有待考量,并非所有金融账户数据都应当被认定为敏感数据,仍需根据其个人信息是否有较高概率的致害风险来综合判断,并进一步类型化和细化其他金融敏感数据范围。

(三)治理路径存在理论与现实滞碍

《个人信息保护法》兼具公法属性与私法属性已成为学界共识,但公私法之间边界与比例的问题仍有深入讨论的空间。在规则设计与法律实施中,《个人信息保护法》的私法属性相较公法属性而言得到充分践行,数据私法路径在个人金融数据治理实践中发挥着主要功能。展开来看,私法路径注重在事前和事后两个阶段施以关注,基于“信息自决权”的“知情同意”规则成为私权创设基础,违约之诉、侵权之诉等诉讼形式成为私权救济保障。然而,私法治理路径自身存在诸多滞碍,需要对事中阶段的治理缺失、公法保护的实际缺位进行深刻反思。

其一,私法治理路径的私权创设基础在理论与实践层面存在问题。在理论层面,数据对个人而言虽有利益联系,但概念之间的关联并非权益之上的完全归属。将数据界定为一种个人的支配性权利,很有可能在追求周延保护的同时,落入数据利用的僵局,对个人金融数据的价值创造施加过度抑制,造成数据领域的“反公地悲剧”。个人金融数据治理路径的选择决断,应基于如何把握风险控制与价值创造的平衡支点,而非是私法路径下从“自决”到“权利”的直觉推演。并且,理论上的数据人格权或新型民事权利体系缺乏足够的周延性,高度的信息自决权究竟包括哪些个人数据并不明晰。静态的民事权利客体理念实质上无法有效回应数据可识别性与相关性的扩张趋势,这一权利也难以为个人所支配。

而在实践层面,“知情同意”规则本身在个人金融数据治理中欠缺实际知情的基础。囿于个体与金融机构或科技公司在信息、技术、理解能力等方面的不对等,数据处理规则和隐私政策相较非金融领域的文本内容更加难以被理解。用户在大多数情况下跳过阅读,呈现出实际“不知情”的同意表象,可谓建构在“不知情”基础上的“强制披露失败”。而服务提供者对所披露条款的设置初衷,往往是为了控制企业风险而减轻或免除己方可能承担的责任。在这一动机驱使下,篇幅本就极长的格式条款中充斥着晦涩难懂的专业名词,而存在的大量例外规定使得该机制更加形同虚设。

其二,以个人同意为基准的治理路径必然依赖于私人主动进行监督与维权。但在我国司法实践中,一方面个人通过私法上的侵权之诉获得救济的难度很大。实证研究显示,由数据主体举证被告为数据泄露方存在极高的难度,公民举证不能与举证不足是导致败诉的最主要事由。另一方面,数据侵权的损失常常难以被计算和框定,预期获得的赔偿数额也处在非常低的水平。胜诉难、赔偿少、缺乏强制手段或选择性激励,这些因素使得个体极易陷入“集体不行动”(Collective Inaction)的困境。《个人信息保护法》第七十条虽然规定了公益诉讼,但其目前仅发挥示范性和补充性功能,难以对广泛的金融数据侵权行为作出现实回应。

(四)治理对象与控制结构之间的紧张显著

相较其他类型的数据而言,对金融数据的控制已成为机构自身的重要资产和核心竞争力,实践中的个人金融数据存在着多主体控制的结构性特征。在金融业务的实际开展中,数据控制方呈现出极为分散的三方结构:第一类是持牌金融机构,如银行、证券、保险等传统金融机构;第二类是持牌的非金融机构,如支付宝、易宝等依照《非金融机构支付服务管理办法》第三条取得《支付业务许可证》并从事支付业务的支付类非金融机构,又如取得征信牌照的非金融机构;第三类是从事金融业务的非持牌机构,例如或是获批金融牌照,或是通过为持牌金融机构提供信息科技服务而控制金融数据的大型科技公司和互联网企业。此外,小额贷款公司、担保公司等非正式金融组织替代传统银行业完成其信用中介功能,在我国监管语境下也属于未持牌但从事金融业务的数据控制者。

金融在我国属于特许行业,必须持牌经营。但是,以持牌为中心的范围标准与数据控制主体实际分散之间的紧张关系引发了一系列问题。一方面,现有持牌金融机构数据治理的重心在银行业机构,而现实中同样暴露较多问题的证券、期货、保险业数据治理力度偏弱。以证券期货为例,与数据治理直接相关的规范仅有《证期数据指引》一部规范性文件。根据其第8.3条,其影响程度为“严重”的顶格情形内容与特征均是以金融机构业务为基点,聚焦于业务开展、经济损失、严重监管处罚等后果,尚处在公司内部资产管理的初级治理阶层,治理逻辑与《数据安全法》第二十七条、第三十条、第三十一条脱离组织内部业务视角,保护数据背后重要价值的“自上而下”逻辑相悖。此外,依照《关于做好个人征信业务准备工作的通知》,非金融机构需持牌才能从事个人征信业务。但我国直到2018年才发放了首张个人征信牌照,截至目前也仅有3家机构获批,难以实质保障个人征信数据的安全与价值利用。

另一方面,从事金融业务的非持牌机构持续处于数据治理真空当中。《技术规范》第3.1条将“涉及个人金融信息处理的相关机构”也纳入金融业机构的定义中,意指前述第二类持牌的非金融机构,但从事金融业务的非持牌机构与金融机构的合作形式为提供身份验证、风控等基础支持服务,无法直接涵摄于现有的个人金融信息保护规则,诸如小额贷款、担保等类别的公司也处在治理盲区中。


三、“精巧规制”理论及与个人金融数据治理的适配

(一)精巧规制理论

现有个人金融数据治理体系存在较大的局限性,亟需引入新的理论框架对其进行完善。长久以来,规制理论界一直是遵从(Compliance)或威慑(Deterrence)进路的拥趸,将“命令—控制”(Command and Control)作为主要的规制形式。20世纪80年代初期,“命令—控制”型规制因难以应对西方环境领域的各类新问题而受到质疑,被批评过于繁琐、昂贵、僵化且成效缓慢,并被认为已经接近其技术能力的极限。同时,吸收新自由主义思想而兴起的放松型规制(Deregulation)在应对环境保护问题方面亦收效甚微。精巧规制理论诞生于这一背景下,由尼尔·古宁汉(Neil Gunningham)于1998年提出,主张发挥政府、企业、第三方等多元规制主体的功能,同时使用多重政策工具组合,实现成本更低、效益更高的治理效果。精巧规制被视作超越“命令—控制”型规制与放松型规制的“第三条道路”,已在世界各国的环境保护、航运治理、金融科技等领域有丰富的应用实践。

相较其他治理方式理论,精巧规制理论具有以下核心特征。首先,相比“命令—控制”型规制中政府和企业的二元组成,精巧规制在治理主客体关系层面更加多元化,强调将治理主体的外延广泛扩展至第三方机构、非政府组织乃至公民社会,认为非正式社会控制机制比正式社会控制机制更为重要。精巧规制理论的这一特点,与新公共管理运动中政府“治理外包”行为所引发的多元合作治理变革相一致。其次,在治理手段方面强调多元政策工具的选用与组合。精巧规制理论在很大程度上立足于回应型(Responsive)规制所构建的执法工具金字塔,其逻辑是尽可能依靠底层措施,并根据治理效果的回应沿金字塔层级逐步升级措施。如图1所示,精巧规制理论对这一金字塔模型进行了重建和扩展,更加强调教育、说服、建议和奖励等软性规制,突出第三方规制、自我规制在治理体系中的作用。最后,精巧规制理论在利益权衡方面吸收“命令—控制”型规制的前车之鉴,注重以有限的社会成本尽可能达到双赢结局,实现社会风险有效控制与价值创造之间的平衡,这也是其强调激发被治理对象进行自我规制的原因。

(二)与个人金融数据治理的适配性

第一,精巧规制理论与个人金融数据治理中各主体发挥功能的逻辑起点一致。精巧规制理论建构者划定了两条适用场景的“红线”:一是必须在持续互动的各治理主客体之间使用才有可能有效,二是逐级递增的政策工具不能适用于存在不可弥补的损失,或灾难性破坏的严重风险之情境。这其实明确了数据治理“精巧”进路下各主体的功能发挥方向。通过精巧规制理论棱镜来审视个人金融数据治理中的政府角色,个人金融数据跨境存在引发大量经济损失、危害国家整体安全的特定破坏性风险,对于此类风险,政府应划定底线和确立标准,施以事前严格审查措施、事中流程监管措施与事后严厉惩罚措施。而在这种特定破坏性风险之外,金融数据治理的主客体间天然处在业务来往、数据互通等持续互动中。此种情形下,政府不再扮演传统政府和企业二元规制中直接干预者的角色,其主要功能是进行规则重塑:为第二级、第三级等其他治理者合理分配治理权力,便于后者在执法工具金字塔体系中拾级而上,激励并保障多重数据治理主体功能的实现。

第二,精巧规制理论与个人金融数据治理路径相契合。现有偏重私法的治理路径主要关注事前和事后阶段的数据治理,其自身在理论和实践上有着较大局限性。相较而言,国家改变原本消极的“守夜人”角色,在事中阶段通过更有力的规制手段保护处于弱势地位的个人,并将数据治理上升为国家保护义务的公法路径观点已有丰富的研究。数据公法治理和监管协调既可为金融机构内部数据治理提供规范引导和标准依据,也能够提供法律、制度和政策保障。作为一种社会控制形式,精巧规制主张量体裁衣式选择使用范围广泛的政策工具混合体,更加注重在事中治理过程中政策工具的运用,并根据金融数据控制方的行为回应所选用的相关执法工具,实现规制手段的渐次增强,弥合私法路径在事中治理阶段的缺陷。

第三,精巧规制理论能够平衡治理成本与收益,适配数字化时代个人金融数据的治理对效率和公平的价值追求。如前所述,金融数据治理的对象包括各类从事金融业务或是与金融业务相关的机构,天然形成数据实际控制者分散的结构。治理主体以“命令—控制”的方式“夺取”现有主体控制权,并自上而下再次赋权给其他主体的做法既难以实现,又与市场化配置数据资源相违背,更难以助力数字经济的健康发展。相较之下,更理性的方式是遵循现有市场结构与商业交易,推动和刺激第三方的协同治理,以及治理对象在一定空间内的自我治理,以较低的经济和社会成本来实现治理目标。当然,这并不意味着抛弃对公平价值的追求,“精巧”进路要求在强制和非强制治理工具间取得微妙平衡,而当治理措施难达目的时,仍具备严厉惩罚性制裁手段的威慑与兜底,保障数据治理过程中的实质公平。


四、数字化时代个人金融数据治理的“精巧”进路

(一)完善个人金融数据治理的框架与底线

精巧规制理论强调政府是多元治理主体中最关键一环,政府法令仍处于相对优越的地位,现有政府治理角色应从直接治理者向规则、底线和标准制定者的角色转移。首先,政府应整合位阶较低、存在冲突的现有规范体系,形成协调统一的个人金融数据法律法规体系。《技术规范》《金融数据安全数据安全分级指南》(以下简称《指南》)等文件相继推动金融数据治理实践,《个人信息保护法》更是明晰了数据治理的逻辑起点与一般法依据。而从现有进度来看,《个人金融信息(数据)保护试行办法》在2019—2021年间均被列入央行的年度规章制定工作计划中,并已于2019年底向部分银行征求意见。央行有必要尽快推动制定《个人金融信息(数据)保护试行办法》,弥合金融数据专门性规范在部门规章位阶之上的缺失,整合、吸收和引领现有的各项金融行业标准,消除不同金融业务之间的规则割裂,最终形成完整统一的金融数据治理法律体系。

其次,确立清晰包容的个人金融数据范围,缓解有限治理对象与分散控制结构之间的张力。《技术规范》第3.1条将“涉及个人金融信息处理的相关机构”也纳入了金融业机构的范围,拓展了以持牌机构为判断标准的数据范围,是一种较为可取的方式。在此之上,还应继续坚持“金融活动全部纳入金融监管,金融业务必须持牌经营”的理念,发挥功能监管与行为监管的基石作用,运用穿透式监管等原则对“涉及个人金融信息处理”的范围进行解释,将仍处在监管真空的从事金融业务的非持牌机构纳入治理范围。此外,应尽快规范金融数据体量较大的证券期货行业,沿着《数据安全法》《技术规范》等法律法规的逻辑修订《证期数据指引》第8.3条规定的影响情形及判断要素,推动证券期货业金融数据治理阶层的提升。

党的十九大报告明确提出了“坚持总体国家安全观”。个人金融数据治理的“精巧”进路也有必要为数据跨境可能引发的国家总体安全风险划定底线与红线,并将金融数据治理规范中的各分级分类体系对应统一。一方面,良好的数据分级分类制度应做到“内外兼修”:对内与金融机构内部数据资产管理规范相协调,对外注重与《数据安全法》第二十一条的重要数据、核心数据,以及数据出境相关规则相衔接。另一方面,《指南》作为最新出台的金融行业标准,兼顾了《数据安全法》的国家安全立法视角与金融行业机构实践,应将《指南》作为金融数据分级分类体系构建的蓝本,重点修订第5.3条的《数据安全定级规则参考表》,要求“安全级别参考”为5级的数据除法律法规和监管机构另有规定外,原则上严格落实本地化;4级到2级的数据可以根据具体业务类型再继续向下分类,并结合特定场景下出境的必要性与合理性等综合判断出境标准;1级数据在取得主体同意并符合企业内部数据资产管理程序后允许出境。

(二)强化事中阶段个人金融数据治理

习近平总书记指出,规范数字经济发展,需要“实现事前事中事后全链条全领域监管”。循沿个人金融数据治理的“精巧”进路,应更注重克服传统私法治理路径的不足。一方面是对个人金融数据事中阶段治理的强化和落实,应在《数据安全法》第二十七条及《技术规范》第七章相关规定的基础上,重点强化金融数据控制者事中阶段的信息披露义务,弥合监管机构与个体的信息不对称劣势。具体而言,应要求其持续披露相较“知情同意”环节变动的数据使用方式、潜在风险及与其他机构共享情形,还应要求控制者建立事中披露的管理系统,并在该系统中向个体开放自主选择披露通知频次与方式的功能。同时,还应当丰富事中阶段的规制“工具箱”,强调教育、说服和奖励在规制措施中的占比,为金融机构的事中自我规制创造空间,并根据金融机构对治理措施的响应来选择是否运用更加严格、强制力更高的规制工具。

另一方面,应当对现有偏重私法的治理路径进行调整。一是对敏感信息在个人金融数据领域的映射范围加以修正。对于金融敏感数据范围,“鉴别数据”尚未完全处在《个人信息保护法》第二十八条列举的金融数据范围中,而《技术规范》第4.2条将“用户鉴别信息”划定为最高敏感程度C3,《指南》亦将其最低安全级别参考认定为4级,原因是其一旦遭到未经授权的查看或变更,将会对主体财产安全甚至人身安全造成严重危害。应当将鉴别数据纳入金融敏感数据的范围中,并随着国际局势与新兴数据处理技术的发展,根据数据安全需要及时更新金融敏感数据的认定类别。二是细化事前阶段“单独同意”的实现标准。对于金融敏感数据适用“单独同意”的实现标准,可以借鉴《个人信息安全规范》第5.4条对人脸识别“单独同意”的实践处理经验,以“充分知情、自愿、明确、单独”的要件标准进行判定。以银行手机服务软件为例,需要通过弹窗或跳转页面的充分知情形式,单独告知专门针对敏感数据的处理内容与规则,取得用户对本事项主动做出的同意,并在未取得同意时保障用户能够以其他形式接受金融服务,以满足“自愿”标准的要求。三是完善《个人信息保护法》第五十七条的事后补救与通知规则,将通知时间与补救措施相同步为“立即”,将可能的相关救济方式补充至通知内容的要求中,并限定可不通知客户的例外条款的适用情形。

(三)推动实现多元治理主体协同共治

1.政府、社会组织与公众多方共治

党的十九届四中全会明确提出,要“建设人人有责、人人尽责、人人享有的社会治理共同体”。《“十四五”数字经济发展规划》也指出,健全完善数字经济治理体系需要形成“政府、平台、企业、行业组织和社会公众多元参与、有效协同的数字经济治理新格局”。推动实现个人金融数据的多元主体协同共治,不仅是“精巧规制”进路的理论内涵,更是国家治理体系和治理能力现代化的应有之义。个人金融数据的多元共治既包括多个监管部门之间的协作,也包括政府作为整体与第三方行业组织、公民社会的协同共治。

第一,设立统一的个人金融数据治理牵头部门,这既是遵循全国金融工作会议“加强功能监管与更加重视行为监管”的理念,也有助于减少金融机构数据合规的套利空间。央行在规制标准制定以及查处银行业机构金融数据治理行政违法等方面已有丰富实践,建议将央行作为全国层面统一负责金融数据治理的专门机构,并以央行为牵头单位,联合银保监会、证监会、公安部等监管部门,建立金融数据治理协调与联合执法等机制。考虑到与金融机构建立外包合作的科技公司也是泄露和滥用金融数据的主要机构,应将网信办、工信部等部门纳入整体协同治理体系之中,明确作为个人信息保护“统筹协调”部门的网信办与央行之间的职责划分与合作形式,推动金融数据治理标准与执法力度的相对统一。

第二,充分发挥行业协会、第三方认证组织、云服务提供商等机构在个人金融数据治理中的结构性功能。习近平总书记指出,完善数字经济治理体系,需要“开展社会监督、媒体监督、公众监督,形成监督合力”。首先,加强金融行业组织在数据治理中的行业自律作用,鼓励和引导行业组织在标准制定、文件论证、文化建设等方面与政府合作,并吸收如《指南》等较为完善的成果上升成为法律规范。其次,发挥第三方认证机构等民间组织的专业优势和资源优势,替代政府在市场规模较大、专业性较强的领域开展合规评价工作。再次,国际货币基金组织发布的2021年《迈向数字时代的全球数据进路》报告称,第三方云服务提供商正在成为金融中介机构持有数据的关键存储库。应加强此类市场服务提供商与监管部门的协调与合作,发掘其在控制数据跨境流动方面的功能。

第三,积极推动和鼓励社会公众参与到个人金融数据治理之中。公民社会能够发挥替代治理的功能,以更高的社会认可度和更低的国家成本实现公共政策目标。首先,培养与增强金融数据主体的数据保护权利与意识,鼓励其参与到金融数据治理全流程中。其次,建立健全知情同意规则的效果同样能体现在社会公众共治之中:通过“单独同意”等方式,个体更加明确个人金融数据被使用的内容与方式,较以往更易于发现数据滥用的具体情形,具备参与数据治理更加坚实的识别能力。第三,现有《个人信息保护法》第六十一、第六十五条明确规定了履行个人信息保护职责部门接受投诉、举报的义务,《消保办法》第四十条更是规定了央行在金融机构不接受投诉处理时的兜底义务。应持续完善和畅通数据滥用的投诉举报途径,由央行统一负责接受、处理投诉举报及兜底工作,简化个人投诉金融数据滥用的电子化流程,消解私法救济中的集体行动困难。第四,鉴于个人金融数据收集与处理的专业化程度较高,也可以考虑通过设置“吹哨人”等内部监督举报制度,以提高数据滥用成本的方式加强数据安全保障。

2.治理对象的自我规制

法律存在天然的不完备性,对数据滥用行为的有效捕获率同样存在上限。精巧规制理论倡导发展数据控制者的自我规制,达成低成本下加强规制主客体之间的紧密联系、提升规制完整性和系统性的效果。一方面,应继续激活金融机构、科技公司开展自我规制(Group Self-regulation)。《指南》《技术规范》中参与起草单位涵盖了大部分类别的规制对象,既包括银行、证券、保险公司,又有支付、金融科技类公司。应着力引导广泛的规制对象参与到个人金融数据治理法规与行业标准制定中,推动其“自下而上”地完善和维护金融行业秩序,使数据治理规则在数字经济发展中得到普遍认同。

另一方面,应当积极为自我规制主体创造完善的引导措施与约束规范。金融机构建立内控制度的要求虽在《通知》第三条、《消保办法》第八条有所体现,但仅为宣示性或原则性规定。从现实来看,制度型公共产品的提供能降低个体自我规制成本,政府及行业协会应当为相关企业提供内控制度架构搭建详细指引、事前事中阶段的信息披露等规则模板,引导企业重点从数据生命周期、数据处理人员和处理技术管理等三方面加强制度建设。此外,在金融机构数字化转型进程中,应格外重视机构与科技公司之间信息科技合作外包的风险。2022年1月出台的《银行保险机构信息科技外包风险监管办法》针对这一问题作出有益尝试,监管机构还应当进一步梳理出不同金融业务中科技外包的合作流程及风险点,推动金融机构提升信息科技外包的风险管控能力,防范外包服务商集中情形下的行业集中度风险。


作者简介: 郭雳,法学博士,北京大学法学院教授。

版权声明: 《上海交通大学学报(哲学社会科学版)》2022年第5期