開放銀行模式下個人數據共享的法律規制

趙吟

摘要：開放銀行作為新興的業務模式.在數據共享方面表現出不同的特點，給個人數據保護帶來多重挑戰。結合國內開放銀行發展現狀，法律規制當在厘清各方法律關系的基礎上，分階段有重點地推進。事前階段針對數據共享授權規則的不足進行相應優化，以確保個人的知情權和同意權。事中階段通過數據共享對象的篩選規則設計與信息披露義務的規則細化，來保證數據得以合理共享與使用。事后階段則依托多元糾紛解決機制實現數據共享各方責任的類型化.為個人提供有效的救濟途徑。

關鍵詞：開放銀行;數據共享;個人數據保護

中圖分類號：DF438.2 文獻標志碼：A

DOI：10.3969/j.issn.1001-2397.2020.03.11

近年來，互聯網、大數據、人工智能等技術手段促進了傳統金融的革新，科技與金融行業不斷融合發展。銀行業同樣融人數字化革命的浪潮，爭先擁抱數字經濟的藍海，邁入銀行4.0時代。m2015年，英國競爭和市場委員會（Competition and Markets Authority，以下簡稱“CMA”）開始主導開放銀行計劃，并成立了開放銀行工作組（Open Banking Working Group，以下簡稱“OBWG”），OBWG于2016年對外發布《開放銀行框架標準》。同年，歐盟通過了第二代支付服務法令（Payment Service Directive 2，以下簡稱“PSD2”），敦促歐洲各銀行應當將客戶數據開放給第三方。另外，歐盟的《一般數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）于2018年生效，這也正是歐盟積極推行開放銀行的底氣所在。與此同時，2017年，美國的聯邦金融消費者保護局（Consumer Financial ProtectionBureau，以下簡稱“CFPB”）發布了金融數據共享的九條指導原則。澳大利亞、新加坡及我國香港特別行政區也已經踏上開放銀行的探索之路。

2018年可謂是我國的開放銀行元年，浦發銀行、工商銀行、招商銀行等傳統大型銀行與眾邦銀行、微眾銀行等新興銀行紛紛推出了自己的開放平臺。截止目前，約65%的商業銀行已經涉足開放銀行業務。但我國監管機構及行業自律組織出臺的與開放銀行相關的治理框架、業務規范屈指可數。2019年中國人民銀行印發的《金融科技（FinTech）發展規劃（2019-2021年）》中提及要“以促進金融開放為基調，加強數據資源融合應用”，同時也應“加大金融信息保護力度”。黨的十九屆四中全會上亦明確指出，要“加強數據有序共享，依法保護個人信息”。在我國個人數據保護的法律體系尚不完善的情況下，能否妥善應對開放銀行背景下數據共享對個人數據安全帶來的挑戰，關系到開放銀行能否在我國落地生根，這也是保護金融消費者權益，防范化解系統性金融風險的關鍵之處。

一、基于開放銀行的個人數據共享界定

（一）開放銀行的運作模式

何謂開放銀行，國內業界尚未形成統一定義。開放銀行并非新的銀行類型，其實質是一種新的業務模式與經營理念。從數據共享角度而言，開放銀行是指銀行通過一定技術手段將收集儲存的數據共享至第三方機構，將其傳統的“客戶-銀行”的服務模式延長至“客戶-銀行-第三方-客戶”的服務模式。第三方機構憑借自己的技術優勢，結合海量數據能夠為消費者提供更為優質的產品與服務，銀行也得以通過開放銀行模式深度挖掘客戶的數據價值。現階段，商業銀行與其合作伙伴的對接方式為應用程序編程接口（Application Programming Interface，API）、軟件工具包端口（Software Development Kit，SDK）或H5（超文本標記語言5.0）方式，其中API接口應用最為廣泛。商業銀行將大量API接口集成到一個特定平臺，構建新的生態系統，將金融服務與實體經濟的多領域實現無縫銜接。

開放銀行生態系統可以分為三個層次：上層為商業生態系統，即金融科技公司、電商平臺等第三方機構（以下統稱“第三方機構”）通過API接口從銀行獲取相應數據，為客戶提供創新的金融服務;中層為開放銀行平臺，該平臺的構建是開放銀行實踐的基礎。根據現有的實踐來看，大體上可以將開放銀行組織模式分為自建平臺與第三方平臺兩種。傳統大型銀行依托其資金、技術、專業人才優勢自行搭建開放平臺，身兼二職，與商業生態對接。而新興的中小銀行通常尋求其他金融科技公司的支持，借助其技術優勢搭建開放平臺。下層則為銀行，提供賬戶管理、支付等業務，同時也是數據的提供者。例如，現有的銀行API接口類型涵蓋了支付結算、賬戶管理、理財融資等多種場景，對個人客戶來說，在第三方機構的APP上就可以同步查詢個人銀行賬戶余額與明細，無需再登陸銀行APP。

（二）開放銀行系統中的法律關系

開放銀行生態系統中的參與者主要有三方：個人客戶即數據主體;銀行即數據控制者;第三方機構即數據共享對象亦是共享數據的使用者，通過開發APP、網頁等為客戶提供服務，在與銀行簽約時亦被稱為“開發者”。個人客戶在銀行開設有賬戶，并基于賬戶產生了大量數據留存在銀行。第三方機構與銀行共享數據也可分為兩種情況：一是個人客戶在使用第三方機構服務的過程中需要調用自己留存在銀行的數據，獲得無縫銜接的銀行服務，如直接進行個人實名認證;二是第三方機構和銀行出于各種合作目的，在銀行獲得客戶授權后，將數據共享至第三方機構。

第一種情況下，個人客戶、銀行、第三方之間各自形成了合同關系，即“三角模式”。個人客戶首先與銀行簽訂了客戶服務協議，基于該服務協議，銀行收集相應服務所需的客戶個人數據，并且作為數據控制者同時需要承擔數據安全保障的義務（如采取加密、匿名處理等技術手段），在法律允許和客戶授權范圍內合理使用數據并履行信息披露義務。個人客戶則通過授權機制允許銀行將其個人數據分享至第三方，并對數據共享的全過程享有知情權。銀行與第三方機構則通過開發者協議形成合同關系，兩者之間的權利義務關系由雙方協商確定。一般而言，銀行有權對第三方機構的資格進行審查，并提出相應的數據安全建議。個人客戶通過第三方機構開發的APP或網頁使用其服務時，也與第三方機構形成了事實上的合同關系，第三方機構的數據安全保障義務與銀行相類似。第二種情況下，個人與銀行、銀行與第三方之間的合同關系與三角模式相同，唯一區別在于個人與第三方機構之間不存在合同關系，因此形成了“個人一銀行一第三方”的線性模式。

（三）共享個人數據的范圍及類型

“個人數據”“個人信息”等概念在學界還存在爭議，實踐中也存在混用的情形。歐盟GDPR中采用“個人數據”的表述，美國則采用“個人可識別信息”的表述。《民法典（草案）》（三次審議稿）（以下簡稱《民法典（草案）》）第1034條第2款采用“個人信息”的表述，對個人信息進行界定時體現了“可識別性”這一特征。《信息安全技術個人信息安全規范》（以下簡稱《信息安全規范》）中對個人信息的定義則是在此基礎上增添了“反映特定自然人活動情況的各種信息”，列舉范圍稍大于《民法典（草案）》。在《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》（銀發[2011]17號）（以下簡稱17號文）及《中國人民銀行關于印發（中國人民銀行金融消費者權益保護實施辦法）的通知》（銀發[2016]314號）（以下簡稱《金融消費者保護辦法》）中，針對銀行業務范圍內的個人數據表述為“個人金融信息”。但“個人金融信息”這一表述過于寬泛，其他金融業務領域內由金融機構獲取、加工、儲存的個人信息也屬于“個人金融信息”的范疇，故本文將銀行業的“個人金融信息”統一表述為“個人數據”，將其定義為個人在參與銀行業務的過程中產生的并由銀行獲取、加工、保存的各類可以單獨或與其他數據結合識別特定自然人身份的各種數據。

17號文將“個人金融信息”分為七類，新近發布的《個人金融信息保護技術規范》（以下簡稱《個人金融信息規范》）則將個人金融信息按敏感程度分為三類。鑒于《個人金融信息規范》僅是金融行業標準，并不具有強制力，加之開放銀行模式下，個人客戶基于OAuth 2.0標準向銀行授權時，第三方機構并不會接觸到客戶的賬號密碼、生物識別信息等鑒別信息。因此在現有規定基礎上，可以將涉及共享的個人數據歸納為三類：個人身份數據、個人財務數據及在前兩類數據基礎上通過分析等手段生成的增值數據。個人身份數據是指與個人客戶身份息息相關，由客戶直接向銀行提供的各類數據，包括姓名、出生日期、證件號碼、個人地址、聯系電話等，這類數據當然歸屬個人客戶且具有一定的敏感性。個人財務數據涵蓋了個人財產狀況、賬戶數據、信用數據、交易數據等多種數據，如存取款記錄、轉賬記錄、信用卡還款情況、賬戶余額等，這類數據雖然是在銀行提供的服務中產生并由銀行管理、保存，但本質上是基于個人客戶的行為產生。因此個人財務數據的所有權仍應歸個人所有，銀行僅是數據的控制者。增值數據是指銀行為了充分挖掘數據價值，在原有的個人身份數據與財務數據基礎上充分整合個人客戶的多個賬戶，并通過編排、分析而產生的非基礎數據，應當歸銀行所有。在開放銀行的數據共享過程中，個人身份數據和個人財務數據的分享應當取得個人客戶的授權同意。而增值數據本身能否分享還存在爭議，同樣存在爭議的還有“聚合數據集”這一類型，這兩類數據均被認為是銀行付出了成本所產生，若歸人共享數據的范圍，無異于把銀行的商業秘密公之于眾，不符合商業道德。

（四）個人數據保護面臨的挑戰

雖然開放銀行在我國掀起了浪潮，但相關規則和標準尚未落地。相比于英國和歐盟國家的“制度先行”，我國仍是實踐先于制度，在其經營過程中潛藏著法律風險。目前的立法無法與開放銀行適配，使得客觀存在的個人數據保護問題更加突出。2013年《消費者權益保護法》中增設第29條有關經營者對消費者個人信息保護的規則。2015年國務院辦公廳印發《關于加強金融消費者權益保護工作的指導意見》（以下簡稱《意見》）首次確立金融消費者的信息安全權。但信息安全權的概念并未真正突破現有金融相關立法對個人數據的保護體系，其內涵也無法完全覆蓋個人數據保護的所有內容。《網絡安全法》《電子商務法》等相關法律雖然對個人數據保護有所涉及，但是立法目的并未落腳于數據保護，易形成立法真空。央行方面則發布了《金融消費者保護辦法》及相關規范性文件，但對個人數據的規定仍較為籠統。2017年發布的《信息安全規范》及2020年發布的《個人金融信息規范》雖然對數據共享的各個環節進行了詳細規定，但由于僅屬于國家標準與行業標準，其效力層級所決定的保護力度顯然有所不足。

就事前階段來講，個人客戶的“同意行為”本應成為數據共享合法性判斷的首要標準，但在我國“知情一同意”相關規定較為籠統且缺乏可操作性的情況下，個人數據本身得到的保護力度被削弱。銀行取得個人客戶授權時并未對共享數據的種類、用途等給予充分披露，并且銀行基于最大限度利用數據的需求，向個人索取無限度的個人數據利用期限和范圍。對現有的“知情一同意”授權規則進行優化，或許可以有效保障個人客戶知情權。在事中階段，由于我國商業銀行開展開放銀行業務都處于自行摸索階段，也尚未形成統一的第三方機構選擇標準。對第三方機構進行準入門檻的設置是避免個人數據濫用的關鍵所在。并且，為了確保第三方在授權范圍內利用數據，數據共享環節的信息披露要求則是監控數據合理使用的必要措施。在事后階段，探索多元化糾紛解決機制與責任認定規則，可為個人數據安全遭受侵害的個人客戶提供有效救濟途徑。階段式的法律規制，不在于面面俱到的強制要求，而在于有選擇的重點防控，需要結合開放銀行特殊的運作模式設計相應規則，形成兼容軟法治理與硬法規范的全方位保護閉環。

二、個人數據共享的事前規制：“知情一同意”授權

（一）“知情一同意”授權的實踐困境

銀行服務通過API接口嵌入商業場景中時，第三方機構即通過API接口接觸到客戶的個人數據，客戶則在該場景中通過第三方設計運營的APP調用本人在銀行儲存的個人數據。此過程中，API接口即是閥門，數據通過閥門源源不斷地流向第三方，而客戶的授權行為則如同擰開閥門的舉動，因此授權機制可謂是保護個人數據的第一道門檻。歐盟GDPR規定了“明示同意規則”。《民法典（草案）》第1038條第1款、《網絡安全法》第42條均明確規定信息控制者未經信息被收集者同意，不得向第三方提供個人信息。17號文第4條及《金融消費者保護辦法》第30條則要求銀行在取得客戶授權時，應當在條款中明確向第三方提供數據的范圍和具體情形，并禁止銀行用概括授權的方式過度索取個人客戶的授權。但有關授權規則明顯較為籠統，尚未有細化的操作和判斷標準，造成適用上存在較大障礙，同意的有效性也難以確定。即使《個人金融信息規范》等標準為個人數據使用的各個流程提供了指引，也因強制力的缺乏難免形同虛設，而且同樣存在籠統表述的問題。總而言之，現有的“知情一同意”規則未根據個人數據的類型作出區分，無論數據公開與否、敏感與否，均“一刀切”地規定銀行應當提前披露的信息，亦未根據不同的數據分享對象作出不同的授權要求。

再次，在外在形式上，個人客戶的事前授權條款是隱私保護政策的一部分，應當獨立于其與銀行訂立的客戶協議。否則這些條款將成為格式合同的一部分，個人客戶僅有同意或不同意兩種選擇，本該具有的“協商”“合意”功能成為空談。銀行的隱私保護政策應當逐漸從純粹的閱讀文本向功能文本轉變。在這種理念的指導下，銀行的隱私保護政策不再作為格式條款的形式而存在，可采用多項選擇的方式，由客戶根據自身需求分別勾選愿意接受的條款項目。銀行亦可提供完整版與摘要版兩種條款，將關系到客戶個人數據安全的重要信息濃縮至摘要版條款中，減輕客戶的閱讀壓力，也便于客戶的理解。

最后，銀行可在現有的開放平臺中嵌入“個人客戶管理中心”模塊來完善“知情一同意”授權規則的操作。對于追求高效且數據風險承受能力強的個人客戶來說，可以根據自己需求在管理中心上預設一些“白名單”，如第三方要求接入哪些類型API接口時無需經過自己授權，或是哪些類型的個人數據可以無授權共享，再如對某些特定第三方機構開放自己的數據。這些預設的“白名單”一定程度上可以減少不必要的重復授權。對于謹小慎微的個人客戶來說，對“白名單”的設置更為謹慎一些，或者將該功能棄之不用，堅持傳統的“一事一授權”模式即可。同時，該管理中心亦可整合授權的變更與撤銷功能，詳細列明個人客戶已經作出的授權信息，包括授權時間、授權期限及授權內容等信息，使得個人客戶能夠在個人終端隨時查看個人數據被授權共享的情況，并基于自己的風險判斷與現實需求對授權進行變更或撤銷。

三、個人數據共享的事中規制：對象選擇與信息披露

（一）共享對象準入設計

開放銀行對傳統銀行業務的革新并未改變銀行的本質。我國的金融科技創新應當堅持持牌經營，只有持有相應牌照的機構才能參與創新的金融服務。在開放銀行背景下，數據共享對象為各類第三方機構，由其作為開發者，基于各銀行構建的平臺進行應用開發。參與開放銀行數據共享的各類第三方機構數量無疑是龐大的，要求每家公司都獲取牌照從成本與效率角度來講都難以實現。那么是否所有第三方機構都可以來分一杯羹呢？答案是否定的。具體來說，這些第三方機構中包括金融科技公司、電商平臺等，其中金融科技公司又可以分為銀行直接投資或組建的金融科技子公司及第三方金融科技公司。銀行系金融科技子公司脫胎于現有銀行，其風險管理能力、數據安全保障能力都相對較高。體量較大、運營時間較長的第三方機構經過市場檢驗，其實力與可靠程度也不亞于銀行系金融科技子公司。但那些初出茅廬的新創公司，無論是數據安全保障水平，還是公司的信譽都無法得到保證。因此，有必要對數據共享對象的準入進行具體規制。

統觀全球，不同國家和地區在第三方機構的選擇上采用不同的模式。英國《開放銀行框架標準》中規定，由開放銀行實施機構制定和執行開放銀行目錄，該目錄提供了可以申請調用API的第三方“白名單”。我國香港特別行政區金融管理局提出了三種模式：1.雙邊模式（Bilateral），即銀行就其與第三方機構的雙邊約定，根據與第三方的合作性質，由銀行依據既定政策和程序進行風險評估和盡職調查。2.中央模式（Central Entity），即各個銀行共同資助和組建一個中央機構，并一同參與制定一套通用的治理標準和評估服務，由該機構來負責對第三方進行統一認證。3。基于某種共同基準的雙邊模式（Bilateral with a Common Baseline），先由各個銀行制定并通過一系列的第三方機構治理的共同基準，但各個銀行可以在該基礎上根據需求適當增加自己的特殊要求。對此，香港特別行政區金融管理局的建議是采用第三種具有靈活性的雙邊模式。由于形成了一致的共同標準，第三方機構在向不同銀行申請API接入資格時可以避免重復準備資格認證材料，而銀行在評估第三方機構資格時亦可參考其他銀行的評估結果，這使得認證過程兼具可靠性與效率性。此外，值得借鑒的是，蘇寧金融于2018年上線了“區塊鏈黑名單共享”系統，該系統基于區塊鏈技術，提供了黑名單的添加、查詢、刪除、投訴四類功能。

結合“白名單+黑名單”的雙重篩選機制或許可以成為高效篩選第三方機構的工具。鑒于我國尚未建立或指定開放銀行的實施機構，由各個參與開放銀行的商業銀行自發組建并參與該共享名單系統顯得更具有可行性。該共享名單系統應當兼具添加、查詢、刪除、投訴四類功能。各家銀行都作為一個節點，將自己業務開展過程中積累的名單數據加密發布到區塊鏈上。針對已經向各個銀行申請過API接入資格的開發者，參與該系統的銀行將本行已經認證的開發者名單同步至該系統，同時明確，通過三家及三家以上銀行審核的開發者將進入白名單，黑名單內的機構亦可同種方式寫入，從而實現欺詐風險的聯防聯控。而對于那些被排除在兩類名單外的開發者，銀行仍舊可以采用傳統的“申請一審核”方式加以篩選。隨著時間的推移，該共享名單系統的內容將愈加豐富，由銀行人工審核的開發者數量也將逐漸減少。參與發布的銀行亦可查詢其他機構發布的信息，若發現名單數據造假，查詢機構也能在系統中進行投訴。并且該過程中的數據發布行為與數據查詢行為均為匿名操作，從而保護銀行的商業機密。至于銀行對數據共享對象的審核標準，除了傳統的要素外，還可以針對用戶數量、市場份額等進行動態調整。因個人開發者難以被監管、且數據保護能力顯著低于企業開發者，監管機構或許可以對開發者資質作出籠統規定，如禁止個人開發者參與銀行數據共享。

（二）信息披露義務要求

《民法典（草案）》第1035條第1款第3、4項規定處理個人信息應當明示處理信息的目的、方式和范圍，并且要求不得違反法律及行政法規的規定和雙方的約定。17號文第4條及《金融消費者保護辦法》第30條均規定銀行在向第三方提供“個人金融信息”時還應當向客戶明確提供信息的范圍、具體情形、可能后果。可見，現有立法僅對銀行的信息披露義務作出要求，未對第三方機構獲取數據后的信息披露進行規制，且對銀行信息披露義務的規定也著眼于授權前階段，缺乏對數據共享過程中后續階段的監督。

傳統模式下銀行在獲取授權時披露的信息有效期僅限于獲取授權那一刻，這與大數據時代高頻率的數據處理與共享需求是背道而馳的。對于三角模式下的個人客戶來說，本身就是基于使用第三方機構服務的需求向銀行作出授權，必然已經得知個人數據的分享對象，再由銀行告知其具體信息并無太大意義。這一類客戶更關注的是數據的后續使用情況，如是否在授權范圍內使用等。對于事先在“個人客戶管理中心”中開啟白名單的客戶或線性模式下第三方機構直接向銀行請求批量共享數據所涉及的客戶來說，個人數據共享全過程的信息披露都顯得至關重要。第三方作為共享數據的最終使用方，也應當履行相應的信息披露義務。這一點上，歐盟GDPR第30條要求數據控制者及數據處理者均應承擔數據處理的記錄義務。放在開放銀行語境下，銀行和第三方機構都應當承擔數據處理的記錄義務。澳大利亞的《建議》中也要求銀行與第三方機構謹慎保留數據傳輸記錄，以便監管機構隨時監督與調查。客戶應享有查看數據授權過程的權利，并且相關機構需對所有授權設置有效期。

為了避免信息披露流于形式，法律規制需著眼于細化銀行與第三方的信息披露義務，以保障個人客戶對其個人數據的采集、儲存、使用、共享全流程的知情權。對此，我國的銀行和第三方機構可以通過前文提及的“個人客戶管理中心”履行相應的信息披露義務，促進數據共享流程透明化，降低信息不對稱。

首先，銀行的信息披露義務集中于授權前階段，就信息披露的內容而言，銀行獲得授權前應當告知數據共享的目的、數據接收方信息、共享的數據類型、共享時長及潛在風險。第三方機構的信息披露義務則集中于授權后階段，第三方機構應當實時記錄獲取數據的時間、數據被用于何種用途、對數據采取的安全保護措施等，力求將數據從被授權共享開始的每個流程都在平臺上留下記錄，確保信息披露的真實性、準確性與完整性。

其次，銀行和第三方應當及時披露風險信息，做好風險軌跡的保存。《民法典（草案）》第1038條第2款和《網絡安全法》第42條第2款規定信息控制者和網絡運營者在發生或可能發生危及信息安全情況時的及時通知義務。GDPR第33條和第34條分別規定了數據控制者和數據處理者在數據泄漏后的及時告知義務。由數據共享導致的個人數據泄漏等風險事件發生后，銀行及第三方機構應在合理期間內及時通知數據主體及監管部門，協助數據主體維護權益，明確告知其可采取的救濟措施及如何行使司法救濟的權利等。其中，針對數據主體的告知義務中，若存在告知成本過大無法與數據泄漏風險相匹配的情況，數據控制者可采用公告或相似措施來作為履行告知義務的方式。在發生或可能發生危及數據安全的事件時，銀行和第三方應當及時通知個人客戶，通知的方式可以是電話、短信，也可通過實時平臺進行預警。

再者，有效性也是銀行與第三方機構信息披露義務的要求之一。銀行和第三方機構上傳的資料應當是完整詳實的，但是在向個人客戶顯示的時候可以醒目方式標注實質信息，如：數據使用場景等可能對客戶的授權產生實質影響的信息，決定哪些信息稱為實質信息則可以采用大數據分析的方法。并且，平臺應當支持“個性化定制”即由個人客戶決定顯示在其首頁的是哪些類型的披露信息，基于其信息接收偏好來顯示信息。

四、個人數據共享的事后規制：解決路徑與責任認定

（一）多元糾紛解決機制

就世界范圍來看，GDPR第79條賦予數據主體司法救濟權。《開放銀行框架標準》中規定由一個獨立的開放銀行實施機構來負責落實開放銀行標準并處理客戶糾紛。當客戶遭遇數據共享糾紛時，有權聯系第三方機構或數據提供者即銀行進行協商，若糾紛逾期仍未得到處理，則該糾紛可以交由開放銀行實施機構進行處理。并且英國還設置了一個爭議管理系統（Dispute Management svstem，簡稱DMS）及附隨的最佳實踐準則，包括一套定型化的表格和清晰的溝通流程。個人客戶可以提交對銀行或第三方機構的投訴或爭議，并通過該系統進行投訴或爭議的管理、查詢。

基于開放銀行的特殊架構，有關爭議的解決遵循“以內部解決機制為主，外部解決機制為輔”的原則較為妥當。內部解決機制不僅僅是向銀行進行投訴，第三方機構也應當設置個人客戶的投訴渠道。不妨借鑒英國的DMS系統，以“個人客戶管理中心”作為基礎，嵌入爭議管理功能，個人客戶通過預設的反饋表單提交投訴或爭議。為了防止出現互相推諉的局面，銀行方面應當作為受理投訴或爭議的積極牽頭人，先通過內部核查程序進行協調解決，由專人及時跟進受理過程并將進度實時同步，涉及第三方機構責任也應當由銀行與第三方對接協商。個人客戶僅需通過平臺中心查詢進度，待銀行和第三方機構達成一致意見形成解決方案后再決定是否接受該結果。

當內部解決機制無法達到個人客戶心中預設結果時，個人客戶可以訴諸外部程序解決。首先是向上級監管部門投訴，在我國現有的銀行監管體制內，還未出臺統一的開放銀行標準的情況下，由中國人民銀行及其分支機構受理投訴是合適的，但更理想的路徑是由專門的數據監管機構或行業自律組織來處理糾紛。一方面，中國人民銀行及銀保監會對個人數據的監管保護也僅限于銀行業務范圍內，在數據被共享至第三方機構后，其對數據的保護可謂心有余而力不足。另一方面，針對第三方機構，網信部門、市場監督管理部門等多部門都有行政監督職權，難免出現多頭監管的困境，重疊導致低效或真空導致無效。因此，建立專門的數據監管機構不僅能節省行政資源，減少第三方機構的合規成本，更能對個人數據實施全面、有力的保護。考慮到傳統訴訟作為爭議解決的途徑對于d'-.k客戶來說存在證據收集等方面的障礙，倘若銀行在未獲得個人客戶授權的情況下向第三方機構批量共享數據，或是超越授權共享，又或是第三方機構超越授權范圍處理數據，專門的數據監管機構可以據此提起公益訴訟，切實保護與同一銀行或第三方機構產生糾紛的大量個人客戶之合法權益，即將公益訴訟范圍擴大至金融領域。

（二）民事責任分類認定

在開放銀行的運作中就個人數據共享問題可能出現如下糾紛：1.銀行違背個人客戶的意愿，向第三方共享個人數據，即無授權共享或超越授權范圍共享;2.銀行取得了個人客戶的授權，第三方機構獲取數據后，超越被授權范圍將數據用于其他用途;3.銀行取得了個人客戶的授權，但是由于技術原因或人為原因導致數據泄漏，并造成財產損失;4.無授權或超越授權共享的情況下，由于技術原因或人為原因導致數據泄漏，并造成財產損失。由于個人數據共享后，理論上的數據使用者數量可以有很多個，如何避免銀行與第三方機構之間互相推諉責任？銀行與第三方機構的責任應當如何分配？若出現信息泄漏的情形，在銀行、第三方機構以及可能存在的侵權主體之間責任如何劃分？銀行是否取得客戶授權對銀行的責任承擔有何影響？這些問題都有諸多值得討論的空間。

我國現行法律體系中有關數據安全責任承擔的條款散見于不同的法律規定之中。第三方機構通過APP或網頁向個人客戶提供服務，也可視為網絡平臺。《網絡安全法》《消費者權益保護法》對網絡平臺的信息安全保障義務作出規定，是為網絡平臺經營者承擔責任的依據。但是具體的責任類型和承擔方式仍不完善，更多的強調行政責任和刑事責任。由于個人數據糾紛中個人客戶更多采用民事救濟手段來保障權益，因此有必要根據不同的糾紛類型設置相應的民事責任認定規則及相應的責任承擔方式。

第一種糾紛類型中，銀行作為數據控制者，違反數據共享規則無授權共享或超越授權范圍共享屬于過錯方，理應承擔主要責任，個人客戶基于協議有權要求銀行承擔違約責任。第三方機構作為數據接收方（暫不論其是否有審查授權的謹慎義務）通過數據共享獲取了利益，應當在獲利范圍內對個人客戶承擔賠償責任，但該賠償責任并非是違約責任。三角模式下，個人客戶雖然與第三方形成了事實上的合同關系，但這種合同關系是基于第三方向個人提供的服務展開，第三方基于合同需要承擔的合理使用數據義務是以數據來源合法為前提的。在銀行未經授權或超越授權向第三方共享數據時，第三方獲取數據的來源并不合法，這種對個人客戶的數據權利侵害的行為性質與線性模式下第三方從銀行獲得未經授權的數據之行為性質并無區別。因此，這種糾紛類型中，個人客戶有權請求第三方承擔侵權責任，第三方應當立即停止使用并及時刪除相關數據。

第二種糾紛類型中，第三方機構才是真正的過錯方。三角模式下的第三方機構基于與個人客戶的合同關系應當對其承擔違約責任。線性模式下的第三方機構由于和個人客戶不存在基礎法律關系，應當對個人客戶承擔侵權責任。由于銀行和個人客戶之間存在客戶協議，銀行需要承擔相應的數據安全保障義務，加之銀行和第三方機構之間存在合作協議，銀行還應當履行對第三方機構嚴格審查義務。因此在這種情況下，銀行最終是否要對個人客戶承擔違約責任取決于銀行是否履行了審查義務。

第三種糾紛和第四種糾紛類型相似，都是由于技術原因或人為原因導致數據泄漏，銀行是否取得授權將影響銀行需要承擔的責任比例。銀行可依據雙方的合作協議，調查數據泄漏發生的緣由認定責任方，由最終的責任方對其行為承擔相應的法律后果。在技術原因造成數據泄漏的情形下，對銀行與三角模式下的第三方機構而言，除非有證據證明其盡到數據安全保障義務和審查義務，否則應當對個人客戶承擔違約責任;而線性模式下的第三方機構，原則上應當對個人客戶承擔侵權責任。在人為原因造成數據泄漏的情形下，盡管銀行與第三方機構可能并非最終的責任方，但是否盡到數據安全保障義務仍會影響其責任的承擔。不存在數據濫用行為的情況下，若數據泄漏是由銀行或第三方機構內部人員造成的，還需要區分職務行為與非職務行為：內部人員因執行工作任務造成數據泄漏的，即推定其所屬機構未盡到數據安全保障義務，應當承擔責任。內部人員因謀取私利造成數據泄漏的，由該責任人員承擔侵權責任，并由該責任人員所屬機構對此承擔連帶責任，除非所屬機構能夠證明自己沒有過錯。若數據泄漏歸因于其他第三人，由該真正侵權人承擔侵權責任，若銀行或第三方機構無法證明自己盡到應盡義務的，應當對此承擔補充賠償責任。在銀行或第三方機構存在無授權或超越授權共享數據的情形下，先根據前述規則追究數據泄漏方的責任，再參照第一、二種糾紛類型追究數據濫用行為的責任。

為了簡化個人客戶獲得賠償的步驟以確保更好的救濟，無論何種類型糾紛中，只要個人客戶向銀行或第三方機構任一方提出賠償請求，被請求方都應當首先進行全額賠償，再向其他方追償，除非責任主體能夠證明自己與損害結果無因果關系。若第三方機構為“銀行系金融科技子公司”，即便銀行本身無過錯，其也應當對個人數據侵權行為承擔連帶責任。這符合金融控股公司加重責任的思路，也符合個人數據保護的目的。

五、結語

開放銀行模式的興起為銀行業轉型發展提供了機遇，更關系到我國金融開放、金融創新的進程。但同時我們要看到，開放銀行改變了原有組織架構、業務運行模式，現有的規則體系已經不能滿足個人數據保護的需求，分階段的規制思路也不足以涵蓋個人數據保護的全過程，還需要銀行、個人、第三方機構等相互之間的合同條款加以配合，交由意思自治來達至合理共享下的利益最佳狀態。此外，由于開放銀行涉及大量的專業技術問題，如何將法律規制與實際運作有效銜接，如何在個人數據保護與數據共享的效率之間尋求平衡點也值得進一步思考。開放銀行只是金融科技發展在銀行業的縮影，開放銀行模式下的個人數據保護路徑或許也能為后續其他金融行業的發展提供范本。正值《個人信息保護法》與《數據安全法》制定的契機，期待立法機關予以回應，讓法律為開放銀行的發展保駕護航。