國際金融業數據治理特征與啟示

數據治理已成為數字產業發展的重要基礎，在消費者隱私權益保護、數據共享流通、數據價值挖掘、數據跨境流動等領域，各國出自其政治、經濟及數字產業、信息規模的特征，采取了差異化的數據治理路徑。我國積極探索建立金融業數據治理框架，可執行、可落地的相關辦法仍有待完善、細化。本文建議我國通過立法、行業監管指引等多層次規制框架，在服務于我國經濟發展的前提下加快探索和完善數據治理框架。

從長遠發展看，數據是生產力的資源。2019年11月，黨的十九屆四中全會首次將“數據”列為生產要素參與社會分配。數據是國家重要的戰略資源。針對數據的理解，應明確數據兼具保護與利用兩種屬性，需要對個人利益和公共利益加以調和：數據中屬于隱私的部分應劃歸隱私保護范疇，其余部分可合理、合法加以利用。正如歐盟《一般通用數據保護條例》（GDPR）開篇即表明，本條例制定關于處理個人數據中對自然人進行保護的原則，以及個人數據自由流動的規則。金融業數據具備一定特征，其數據治理需要在保護與利用平衡的框架下，針對這些特征審慎開展。

金融業數據特征

信息化時代以來，金融業作為信息的密集接觸者、處理者，在有意識或無意識狀態下積累了海量數據，作為交易、管理憑證。隨著大數據技術的發展，埋在數據下的信息價值逐漸凸顯。合理、合法利用數據蘊含的信息價值，需要明確金融業數據特征及數據治理難度，有的放矢地加以應對。

金融業非結構化數據占比提升，協同治理機制亟待建立。金融數據來源眾多，數據結構相對復雜，同一金融機構內部的數據甚至存在數據口徑不一、矛盾等情況。早期金融機構在收集數據階段對元數據的結構設定欠缺合理性，為數據治理及應用帶來難度。近年來，隨著金融機構與互聯網平臺合作更加密切，非結構化數據規模大幅提升，限制傳統數據庫技術、數據挖掘工具和數據清洗工具的使用效果。同時，金融基礎設施的數據治理缺少規范指引，金融行業數據協同治理機制較弱，常常存在不同機構的數據無法對接、形成一致數據庫的問題。

金融數據權屬及使用規范尚待明確。我國在數據確權方面的規制尚未形成清晰、明確的法律及實操指引。針對數據獲取、數據挖掘及使用、數據交易等的管理制度尚未出臺。現行法律框架下，部分金融機構在獲取客戶個人數據時存在過度采集、濫用和侵權行為。由于數據天然的可復制性、可共享性等特點，不乏存在金融機構或金融科技企業出售基于用戶數據的脫敏數據庫或行為分析報告等現象，存在潛在隱私侵犯風險。2020年7月，《中華人民共和國數據安全法（草案）》要求確立數據分級分類管理及風險評估、監測預警和應急處置等數據安全管制基本制度;明確開展數據活動的組織、個人的數據安全保護義務，落實數據安全保護責任等。《個人信息保護法（草案）》強調保護個人信息權益、規范個人信息處理活動。兩部法律主要強調了保護消費者隱私權，并無觸及數據權屬問題。

金融業數據涉及國家安全等重大問題。部分金融數據的核心價值涉及國家安全問題，吸引了各類型有組織犯罪，為國家安全帶來威脅。2020年我國出臺的《金融數據安全數據安全分級指南》（JR/T0197-2020）將金融數據分為五級，其中第五級數據即為金融行業大型或特大型機構、金融交易重要核心節點的關鍵業務數據。若此類數據安全性遭到破壞，對國家安全、公眾權益將造成重大影響。因此，對于金融數據的跨境流動，各國監管提出了較高要求。美國以維護數字競爭優勢和強化“長臂管轄”為主旨，通過《澄清境外數據的合法使用法案》（又被稱為“云法案”）提出限制特定領域外國投資的數據跨境流動。《外國投資風險審查現代化法案》規定對于涉及“關鍵技術”“關鍵基礎設施”“關鍵或敏感數據”的美國企業做出的特定非控股外國投資，都會被納入安全審查范圍。歐盟則遵循“外嚴內松”政策，對其數據跨境流動白名單國家允許數據跨境自由流動，其他國家則需要面臨嚴格的跨境數據流動限制。日本積極參與跨太平洋伙伴關系協定等數據規則體系，也成為歐洲《一般通用數據保護條例》白名單國家。我國基于《網絡安全法》《個人信息和重要數據出境安全評估辦法》（征求意見稿）等，加強數據出境規制。

國際金融業數據治理現狀與發展方向

近年來，在信息技術的蓬勃發展趨勢下，針對數據獲取、使用、流通、安全保護等議題重要性凸顯。歐盟、美國、日本、新加坡等國家在金融業數據治理方面表現出了差異化的道路選擇。

歐盟以GDPR為主要數據治理框架。歐盟是數據保護制度最完善的區域之一，也是金融業高度發達的區域。歐盟金融業數據治理監管特征主要體現在以下方面：

第一，歐盟金融機構采集、利用客戶數據規范化，金融機構合規成本增加。2018年5月25日起，GDPR在歐盟成員國正式生效。GDPR對金融業不同情境中的數據治理問題進行了規范，對于數據主體權利、數據處理者義務、數據監管范圍等作出明確規范和要求，整體思路更強調對個人隱私的充分保護。GDPR定義了何為個人敏感數據，認為涉及種族民族、政治觀點、宗教哲學信仰、工會成員身份、健康及性取向、基因數據、經處理可識別的特定個人生物識別數據（如人工智能技術下的人臉識別等）。基因數據和生物識別數據是金融企業、金融科技企業進行身份認證、了解你的客戶（KYC）調查、風險控制等業務的基礎信息來源。GDPR提出，金融企業在獲取此類數據時應避免模糊且難以理解的語言、冗長的隱私政策等獲得數據許可。GDPR要求金融企業在線上服務中獲取用戶行為記錄（如搜索、點擊、收藏、購買、支付等）必須經過用戶的同意，否則按“未告知記錄用戶行為”做違法處理。此外，GDPR規定了用戶具備“被遺忘權”，即可要求金融機構刪除關于自己的數據記錄。若金融機構違反GDPR規定，其面臨的罰金最高可達2000萬歐元或全球營業額的4%。金融數據的長期缺失也將限制金融機構在經營分析、精準營銷等方面的智慧化能力，影響歐盟區銀行業數字化轉型步伐。

第二，歐盟金融機構數據壟斷被立法規制，新型金融科技類企業無須面臨數據歧視。2019年3月14日起，《支付服務法令II》執行，要求銀行等大型金融機構必須為第三方機構創建和開放測試環境，以方便第三方機構通過應用程序接口收集信息。該法令旨在破除大型金融機構的數據壟斷，允許新進入者共享金融數據。該法令的通過建立在GDPR關于數據可攜權基礎之上。可以看出，歐洲金融數據監管的思路總體遵循“嚴入、公平”思想，通過嚴格控制個人信息的采集端對個人用戶的隱私權進行充分保護，通過鼓勵合法采集數據的流通及應用防范數據壟斷風險，實現“個人利益”與“公眾利益”的較好平衡。

美國形成州層面、行業層面分散化數據治理框架。美國并未在聯邦層面制定統一的數據隱私保護基本法，對金融領域存在美國《銀行保密法》（U.S. Bank Secrecy Act，簡稱 BSA）。美國對金融行業數據治理的出發點主要為尋求金融安全與數據價值的平衡。BSA要求銀行業對特定交易的數據保留超過5年、甚至更長時間，以備反洗錢或其他犯罪調查。從州層面來看，2018年6月加州通過的《加州消費者隱私保護法》（CCPA）堪稱美國最嚴厲、最全面的個人隱私保護法案。該法案已于2020年1月1日生效。美國金融業數據治理監管特征主要體現在以下方面：

第一，美國金融機構整體受到的數據監管環境相對寬松化、碎片化。與歐盟不同，美國對于數據的監管與治理環境相對寬松。美國是全球最大的數據生產國之一，互聯網信息科技的發達程度居世界前列。美國對于數據交易合法化進程保持較大推動力度，在立法中明確了數據交易的合法性。數據經濟商（Data Broker）可合法收集并分析數據，并進行交易獲取利潤。為了鼓勵互聯網新興技術及產業的發展，美國對個人數據保護力度有限。CCPA是近年來被稱為最嚴格的個人隱私保護法案，相較GDPR，該法案仍更寬松，主要表現為兩個方面。其一，適用CCPA要求的機構范圍較GDPR覆蓋機構范圍更小。CCPA僅適用于滿足年收入超過2500萬美元或出售個人信息收入超過年收入50%以上的金融機構。其二，CCPA僅借鑒了GDPR在數據主體權利、數據泄露的預防和問責機制等方面的措施，賦予了消費者針對個人數據的訪問權、刪除權、知情權等權利;要求企業應披露收集到的數據，不得隨意出售數據。但CCPA摒棄了GDPR中關于數據跨境流通的部分閑置，鼓勵個人信息的商業流通。美國其他州數據保護法均在探索中或其力度較CCPA的要求更為寬松。

第二，美國數據反壟斷問題成為未來重要關注點。從價值取向上來說，美國充分認可并鼓勵金融機構充分利用數據，為其經營行為提供指引，助力美國金融機構增強國際影響力。隨著大型科技企業的崛起，為了保護數字產業、金融產業的良性發展，美國已著手對數據壟斷問題進行治理，市場執法機構對數據驅動型的并購交易將進行更嚴格的審查，并將充分考慮數據壟斷對市場競爭和消費者隱私保護帶來的不良影響。

日本數據治理框架向優化數據利用方向傾斜。日本《個人信息保護法》與2005年施行，并分別于2015、2017年進行修改。修訂法案在立法目的中增加了“在對個人權利利益加以保護的同時，還考慮到個人信息正確且有效地使用有助于增加經濟產出、創造有活力的經濟社會、豐富國民生活及其他有用之處”。整體而言，日本的數據監管與歐盟的要求及發展路徑較為相似，均從個人數據隱私立場出發，平衡數據價值利用與消費者個人隱私保護。

日本金融業數據監管與歐盟接軌，享受跨境數據流動紅利。日本從數據規模、互聯網產業發展等角度來看，其數字經濟發展步伐慢于美國等發達國家。因此，從需求情況而言，日本對于國內數據治理的監管需求更貼近于形成與世界領先國家較為統一的監管框架，促進其國內金融機構與國際金融業接軌，推動金融業開放。目前，日本已通過立法改革和雙邊承諾晉級歐盟GDPR白名單，其支持推廣的其他數據標準包括經合組織的隱私準則、亞太經濟合作組織（APEC）隱私框架原則等。基于政府背書的白名單機制將對區域中的金融機構帶來政策紅利，金融機構將可以獲得穩定、便利、且合規負擔及風險最小的跨境數據流動方式。

新加坡金融數據治理走在亞洲前列。新加坡是東南亞地區數字產業較發達的國家之一，新加坡政府注重數據治理，鼓勵在嚴格保護個人隱私的前提下，探索充分利用數據價值。新加坡政府積極推動數據領域的合作機制，于2018年加入APEC主導的跨境隱私規則體系（CBPR），并充分借鑒東南亞國家聯盟數字信息管理框架和經濟合作與發展組織隱私原則等，使得新加坡的數據治理走在亞洲前列。

新加坡金融機構須承擔九大數據保護責任。2012年10月，新加坡國會通過《個人數據保護法》（PDPA），并于2014年正式實施。2013年頒布PDPA的附屬法例《個人數據保護條例》。條例規定，金融機構等收集、使用數據的主體部門要承擔九大責任，包括獲得個人同意、告知使用目的、依法限制數據使用目的、保證數據的準確性和完整性、保證數據的安全性、滿足數據儲存限制要求、依法跨境流動、允許個人獲取和修改數據、接受問責等。新加坡對金融數據的監管政策可執行性較強，對金融機構的數據進行分類、上傳、數據共享等均形成較為完備的操作細則。同時，新加坡還要求金融機構在征求消費者數據采集同意時設有“不許呼叫注冊”規則，用于規范通過電話、手機短信等方式的營銷行為。此外，為了應對金融領域復雜的數據治理問題，新加坡在個人數據保護委員會下設金融數據治理主管部門。

新加坡致力于探索更加包容、有效的數據監管模式。新加坡對于數據采取分類治理思路。對絕大多數可公開、對增強其數字經濟發展有利的數據，新加坡政府十分支持此類數據資源的開發、采集和匯總，并對此大力推進。例如，新加坡通過構建“開源數據庫”項目，由公共部門收集的數據將對所有人開放，所有社會角色也都能參與到城市的建設和發展中。對于金融等領域，涉及到個人隱私保護、國家安全的數據，新加坡積極探索在現有法律框架下的試點創新。2017年7月，新加坡宣布在隱私保護領域建立監管沙盒機制。此后，新加坡個人信息保護委員會與新加坡信息通信媒體開發局合作，以“探索數據共享機制”為目的正式啟動了隱私保護監管沙盒。

我國數據治理監管框架加速制定。我國數字經濟迅猛發展，對于數據治理的法律與監管框架逐步完善。2020年以來，數據治理立法開啟提速鍵，《中華人民共和國數據安全法（草案）》《個人信息保護法（草案）》等相繼發布，公開征求意見。除此之外，我國《刑法》《民法典》《民法總則》《消費者權益保護法》《網絡安全法》《電子商務法》等多部法律、法規和規章涉及個人信息保護。

我國鼓勵數據的開放共享，金融機構獲取數據途徑多元。2015年以來，我國多部政策文件推進公共數據資源的開放，提出推進政務數據、科學數據等的整合與開放。我國已形成多個國家級、省級政府數據開放平臺，部分科技企業依托業務資源及平臺優勢搭建了公共數據開放平臺。金融機構在開展授信業務時，通過稅務、法務、個人征信等信息，降低了對于用戶抵質押的要求，創新了授信模式，將普惠金融業務延伸至長尾客戶。

我國對金融機構數據質量的要求形成明確指引。2018年以來，銀保監會發布《銀行業金融機構數據治理指引》（以下簡稱《指引》），出臺《銀行業金融機構監管數據標準化規范》等文件，指引銀行業金融機構加強數據治理，特別強調對數據質量的把控。具體而言，《指引》明確了銀行業金融機構要建立組織架構健全、職責邊界清晰的數據治理架構;建立數據質量監控體系，覆蓋數據全生命周期;對于數據治理不滿足有關法律法規和監管規則要求的銀行業金融機構，要求其制訂整改方案，責令限期改正，或與公司治理評價、監管評級等掛鉤。《指引》為金融機構數據治理提出更高要求，將重視數據價值的理念進行傳達，但《指引》的具體施行條款、步驟及監管處罰力度細化不足。

我國對外資金融機構數據本地化存儲要求較高，從國家安全視角出發。2006年，我國《電子銀行業務管理辦法》即確立金融數據存儲地應兼顧外資企業的需求，要求中資銀行業機構將數據服務器設置在境內，外資銀行業機構可設立在境內或境外。2016年出臺的《網絡安全法》強調“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息及重要數據應當在境內存儲”，突出強調數據本地化存儲。2020年公布的《數據安全法（草案）》則明確我國支持數據的跨境流動，前提是保障數據跨境安全。我國的主權安全是數據跨境流動、使用的基本前提。

政策建議

數據治理已成為數字產業發展的重要基礎，在消費者隱私權益保護、數據共享流通、數據價值挖掘、數據跨境流動等領域，各國出自其政治、經濟及數字產業、信息規模的特征，采取了差異化的數據治理路徑。我國積極探索建立金融業數據治理框架，可執行、可落地的相關辦法仍有待完善、細化。建議我國通過立法、行業監管指引等多層次規制框架，在服務于我國經濟發展的前提下加快探索。

第一，在國家核心利益基礎上研究制定我國數據治理發展路徑。數據是重要的生產要素之一，在數字化浪潮下的全球競爭格局中，其重要性將與日俱增。目前，各國均結合本國數字經濟發展情況、本國經濟對其他經濟體的依存度、本國社會法制發展進程等，制定相應的數據治理法律框架與準則。如何維護我國數字經濟發展的既有優勢、通過政策創新激發數據資源中的商業價值、維護經濟社會穩定及人民合法權益等，應當成為我國數據治理的發展目標。同時，我國金融科技企業在全球的發展屬于前列，在數據應用規制出臺、加碼前應充分考慮對部分新業態的影響，避免對數字產業造成重要打擊，影響我國數字產業全球競爭力。

第二，堅守數據安全底線，保護國家、金融機構、消費者合法利益不被損害。在數據跨境流動、海外金融機構在境內開展金融業務的數據傳輸及應用的規制中，充分考慮國家安全與國家利益。對金融機構的數據開放與共享機制，可探索在監管沙盒的框架下試行，切實維護金融機構數據安全，防止數據開放技術導致的新型金融風險。對于消費者的數據獲取、加工、利用及流通，綜合利用加密存儲、數據脫敏等技術，保護消費者個人隱私權益不被侵害。

第三，建立完善金融業數據協同治理的規范。當前，我國形成了以銀行業金融機構為主的金融業數據治理框架，但證券業、保險業、金融科技企業等的數據治理尚未納入統一、完整框架。建議針對金融行業形成數據協同治理體系，推動建設金融基礎設施，完善金融機構數據治理制度體系。在現有的金融業數據分類定級標準基礎上，推進重要數據的識別與認定，形成行業重要數據目錄，推動行業數據流動有章可循，數據活動風險實現有效評估。

第四，推動金融基礎設施配套，為數據治理提供“硬環境”。在加快推進研究數據治理立法進程的同時，建議進一步加強金融基礎設施的互聯互通，發揮金融基礎設施在信息流通、安全保護方面的優勢，通過設立數據共享中心或依托現有系統開展金融數據共享的試點，為金融數據治理提供“硬環境”。在金融數據的共享試點基礎上，探索形成數據要素市場流通的基礎設施，逐步完善數據確權、開放、流通、交易相關制度。

第五，推動數據反壟斷制度建立，完善金融科技監管框架。部分金融科技平臺企業商業模式建立在對數據的分析、加工及價值挖掘上。建議加快制定金融科技經營業務許可或備案的相關制度，規范此類企業獲取數據、利用數據及數據傳輸、共享須遵循的基本原則，將其納入監管體系。目前，此類平臺的數據壟斷對社會及金融市場穩定造成潛在影響。一方面，“大數據殺熟”等現象縷縷發生，其對數據的利用是否向善仍需要監管對其進行引導;另一方面，基于其對消費者的多維數據的分析及授信模型是否可靠，仍未經過完整金融周期的驗證。建議監管從實際出發，加快數據反壟斷條例的研究，防范金融業數據風險，推動金融科技企業合規發展。

（李夢宇為中國銀行研究院研究員。本文編輯/王曄君）