金融科技背景下數據治理的國際經驗及路徑構建

□ 文 楊 晨

0 引言

近年來，隨著大數據、云計算、人工智能、區塊鏈等技術的誕生，金融與科技加快了融合的步伐，金融科技應運而生。金融科技是金融與科技的二元融合，以近乎顛覆的方式對傳統金融行業進行了體系化的重構。金融科技的發展有賴于強大的技術支持，數據的收集、分析、處理及應用是金融科技發展的必備要素，而由此產生的數據風險亦成為金融科技發展的遏制要素。金融數據風險可以從數據開放和保護予以考量，其主要問題在于數據隱私、數據監管失靈等。在國際金融數據治理的角度上，歐盟《通用數據保護條例》、美國《加州消費者隱私法》均為我國提供了有益的數據治理經驗。對我國而言，《數據安全法》《個人信息保護法》等法律也將推進中國金融科技健康、穩定的發展。

1 金融科技數據風險的現狀與成因

金融穩定委員會（FSB）于2016年將金融科技定義為“以數據為基礎，以金融技術驅動創新發展，并帶來全新的商業模式、產品及應用服務，會對金融市場、金融機構及金融服務產生顯著的影響?！痹诒砻婧x上，金融科技是由金融數據促進金融創新，通過改變傳統的金融交易方式、改革金融機構、增加金融產品、推進金融監管等方式，打破數據壁壘，利用新興技術與產業支持新金融業務的開展，諸如轉移支付活動、信息中介服務、業務外包活動等。在深層次含義上，金融科技是基于數據創新、科技創新，通過大數據即時應用場景演化出區塊鏈、智能投顧、數字貨幣、眾籌等新興技術與產業，打破了傳統意義上金融活動的時空限制。但是，金融科技作為信息時代的新興產物，存在技術安全、數據隱私、傳統監管規則失靈等問題，以及由金融與科技結合而成所產生的更為錯綜復雜的金融風險。

金融科技從產生之時，數據風險便相伴相隨，數據風險可以從開放和保護兩個角度予以考量。其一，從數據開放的角度思考，考慮到金融科技的市場主體一般為大型金融科技公司而非初創型公司。初創公司一般只提供傳統金融服務項目或者小型創新項目，而大型金融科技公司提供更為寬泛的數據業務、科技業務，用云計算、大數據分析等信息技術服務達到破除傳統金融服務收入占主導的局面。其二，從數據保護的角度而言，數據保護是指金融市場用戶作為數據主體，應當對自己的數據信息擁有廣泛的法律權利。大型金融科技公司、保險、證券等金融服務機構作為金融數據的處理、控制者，在征得用戶明確同意的前提下，才能獲取和使用金融用戶的各項數據。

2 國際金融數據治理的經驗及規則評述

2.1 歐盟《通用數據保護條例》解讀

早在2 01 2年，歐盟《通用數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）就已經出現在歐盟內部提案之中，并已于2018年5月25日施行。它主要規范了歐盟（EU）和歐洲經濟區（EEA）的公民隱私和數據保護的問題，并旨在通過標準化的監管框架協調歐盟成員國的數據保護原則。盡管這些改革法案與歐盟之前頒布的指令并不完全相同，但是GDPR的影響范圍絕不僅僅停留在歐盟區域，而是全球性的。受GDPR的廣泛影響，美國等國家均爭相出臺法律以期對隱私數據有更為系統和規范的保護。

2.1.1 GDPR的主要目標

GDPR是要保持199 5年和2002年的統一法令，同時更新隱私數據法以適應現代新的信息技術發展變化。僅在過去的十幾年時間里，信息技術在人們日常生活中的作用發生了巨大的變化。但是，法律具有滯后性，數據隱私法并沒有很快適應由技術發展帶來深刻的變化，這結果導致出現了許多關于如何執行先前指令的技術規范，同時允許它在當今社會繼續運行的問題。GDPR的另一個目標是保護消費者在數據保護方面的基本權利，并且確保個人數據在成員國之間可以自由流動。但是，由誰承擔未經授權的數據被分享和非法利用的后果均不得而知，但以防止潛在缺陷的發生，GDPR致力于通過規制大型科技公司來為歐盟公民提供保護。

GDPR是要保持1995年和2002年的統一法令，同時更新隱私數據法以適應現代新的信息技術發展變化。

2.1.2 GDPR消費者的告知與同意

GDPR規定要求數據收集者和控制者必須遵循關于收集消費者個人數據時，需要發出進行處理的通知并取得其知情同意，這使得消費者擁有信息處理的知情權以及對數據相關的權利保護。GDPR要求數據控制者在收集個人數據時必須充分告知消費者，他們的數據何時以及出于何種目的將被進行處理。這需要消費者明確表示同意，且同意聲明必須使用清晰明了的語言，不應包含不公平的條款。根據第一次GDPR的執法行動，法國隱私監管機構發布了對GDPR定義的術語的嚴格解釋，即“充分通知”和“有效同意”，并澄清所提供的通知必須清晰且易于消費者找到其所在之處。在公布的執法決定中，法國國家信息與自由委員會譴責Google使用消費者個人信息，特別指出Google違反了透明度義務，其提供給消費者的信息不足缺乏有效的同意要件，并最終處以5000萬歐元的罰款。

2.1.3 GDPR數據主體的擴展權利

GDPR以嚴格的標準維護歐盟區域內數據主體的權利，其數據主體的權利范圍也較為廣泛，它保護所有的自然人而不問其國籍或居住地。GDPR擴展的數據主體權利主要體現在以下四個方面：第一，侵權通知的發出。當公司意識到因違規操作產生個人數據泄露時，其有義務在可行的情況下，并在七十二小時內向其數據主體報告數據泄露的相關情況。第二，數據主體獲取數據的權利。數據主體具有要求數據控制者、處理者告知自己的數據是否正在被使用的權利。第三，被遺忘權。被遺忘權是一項由公平信息實踐保護的數據隱私權，旨在確?！皵祿幚淼臏蚀_性、透明度和工具合理性”。但如果出現以下任一情況，數據主體可以刪除其信息而不進行進一步處理：（1）數據主體撤回同意或反對數據處理；（2）個人數據不再需要用于收集目的；（3）數據被非法處理。第四，其他權利。GDPR下的其他權利包括數據主體接收透明信息、訪問其個人數據以及反對處理其個人數據的權利，而所有這些廣泛的權利比以往任何時候都更能限制數據控制者和處理者。

GDPR規則為全球數據治理的立法奠定了基礎，具有劃時代的意義。無論GDPR的適用性如何，與消費者個人信息交互的公司在實施數據隱私保護計劃時都具有前瞻性。GDPR規則一方面建立起數據保護制度，另一方面擴大了數據保護的適用范圍和數據主體的權利，并進一步區分了數據控制者和處理者，同時設計了相應的具體制度予以規制。

GDPR規則為全球數據治理的立法奠定了基礎，具有劃時代的意義。

2.2 美國《加州消費者隱私保護法》評析

2.2.1 CCPA的主要內容

2020年1月1日，美國《加州消費者隱私保護法》（California Consumer Privacy Act，以下簡稱“CCPA”）正式開始實施，其成為美國歷史上第一個全面的隱私保護法律。CCPA代表了GDPR數據隱私監管時代的延續，由以下兩個方面得以體現：其一，與GDPR類似，CCPA的執法范圍非常廣泛。任何收集加州居民個人信息的企業都屬于CCPA的監管范圍。CCPA監管的營利性企業需滿足以下三個要求之一：（1）總收入超過2500萬美元；（2）擁有購買、接收、出售或共享超過5萬名消費者、家庭的個人信息或設備；（3）企業年收入的50%以上來自于銷售消費者的個人信息。CCPA的管轄范圍遠小于GDPR，從根本上影響了加利福尼亞州內從事洲際貿易的所有企業。居住在該州的加利福尼亞州居民和消費者，包括家庭用品和服務的客戶、員工和企業對企業的交易，CCPA將提供與GPDR同等廣泛的數據信息保護。其二，全面定義個人信息。CCPA以更為全面的方式重新定義了個人信息，CCPA所涵蓋的個人信息可以被概括為直接或間接識別、相關、描述消費者或家庭，并能夠與該消費者或家庭相關聯的任何內容。CCPA的豁免政策與GDPR并不相同，它包括針對個人信息的個人或家庭成員設有特別規定。根據該法律，公司有權酌情決定使用去標識化的個人信息。此外，給數據主體提供的主要權利之一是收集通知和違規通知。CCPA要求企業告知客戶正在收集哪些類別的個人信息以及收集信息的原因。最后，經濟激勵措施。GDPR規定，企業不能因數據主體行使權利而歧視數據主體，并且沒有像CCPA那樣有選擇同意使用個人信息的經濟激勵措施。

2.2.2 對比CCPA與GDPR的異同之處

G D P R和C C PA雖 然 具 有相同的規范模式，卻規定了不同的職責和義務。因此，現在符合GDPR數據隱私框架的公司將不一定符合CCPA數據隱私框架體系，企業需進行合規審查。GDPR創造了比CCPA更多的數據隱私權，并對商界產生了更廣泛的影響。具體表現在以下四個方面：首先，在GDPR和CCPA下，被遺忘權中的刪除程序應用是不同的。根據GDPR，除非適用豁免程序，數據主體必須滿足數據被刪除的條件，隨后控制者必須刪除相應數據。而在CCPA下，消費者不必滿足任何條件，卻存在可以拒絕請求的有限具體的豁免清單。其次，消費者選擇加入和選擇退出的權利并不相同。GDPR要求消費者選擇允許處理數據，而CCPA要求消費者可以選擇不允許公司出售他們的數據信息。再者，CCPA不需要像GDPR需要企業設立數據保護官，但它確實要求企業培訓員工參與合規性審查工作和回應客戶數據處理關于是否符合CCPA。最后，這兩項法律都為集體訴訟設立了訴訟因由，要求數據泄露的企業需進行最低法定損害賠償，并允許國家對違規行為處以罰款。集體訴訟和違規處罰金額一般不會相同，企業不合規的風險也可能非常高。

3 我國金融數據風險監管的實施路徑

近年來，我國陸續出臺《網絡安全法》《數據安全法》《個人信息保護法（草案）》等法律。中國正在積極探索建立金融數據治理框架，但相關可落地的方法仍有待完善。中國是世界經濟難以分割的重要組成部分，應積極參與全球數據治理規則的制定，以阻止全球市場的進一步倒退分割。

3.1 我國《數據安全法》中的跨境數據管理制度

《中華人民共和國數據安全法》（以下簡稱《數據安全法》）于2021年9月1日起正式施行。第一，它明確重要數據出境安全管理制度。該法第31條規定了數據的出入境安全管理制度和管理辦法。其一，該條規定了關鍵信息基礎設施運營者在境內運營過程中采集、生成的重要數據的出境安全管理應適用《網絡安全法》第37條規定的一般與例外情形。其二，對其他數據處理者在國內運營中收集和生成的重要數據的規定，目前可參考國家網信辦在2017年發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱，《辦法》），其中第9條規定了6類重要數據?！掇k法》規定網絡運營者在將數據輸出境時，應當向行業主管部門或者監管部門的現場提交安全評估報告。由于該《辦法》尚未正式頒布實施，征求意見稿發布時間較長，對關鍵信息基礎設施經營者以外的數據處理者，數據出境安全管理的相關規定尚不明確，因此需等待官方出臺正式的文件。但在此之前，公司需要密切關注其重要數據出境時的合規義務。最后，嚴格規制面向境外司法或者執法機構的數據出境活動?！稊祿踩ā返?6條制定的背景是近年來國家之間的數據管轄權存在沖突，并在國際大環境中日趨激烈。2018年3月，美國通過了《澄清海外合法使用數據法》，該法第103(a)(1)條規定，“無論該信息是在美國國內還是國外，電子通信服務或遠程計算服務提供者需保存、備份或披露電子通信信息者、內容提供者以及擁有、保管或控制任何記錄或其他與客戶有關，并由客戶產生的信息?！边@為在數據領域確立“長臂管轄”規則奠定了初步立法基礎。在此背景下，我國《數據安全法》的規定明確了境內數據的管轄權以及相關機構的法律責任，這不僅意味著第36條的規定是企業應嚴格履行的一項數據合規義務，還在法律上也有可進行援引的法律規范。

3.2 我國《個人信息保護法》與GDPR、CCPA的對比

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）已于2021年11月1日起正式施行。與GDPR、CCPA等制度相比，我國《個人信息保護法》雖有不同之處，卻亦有其自身的特性。其一，適用范圍。《個人信息保護法》第3條第1款設定的基本原則為屬地主義，即無論數據處理者是外國主體還是個人信息主體是外國人，只要數據處理活動發生在中國境內，均適用本法。而《個人信息保護法》第3條第2款也借鑒了GDPR的規則，具有事實上“長臂管轄”的效果。其二，個人信息的定義?！秱€人信息保護法》第4條規定了個人信息的范疇，在歷經《網絡安全法》《民法典》的發展變化，最終確定“識別標準+關聯標準”的判斷方式。有關識別標準的判斷方法是從信息到個人，可以通過信息自身的特征來識別個人，例如身份證信息、籍貫等；而關聯標準是從個人到信息，即已知的特定個人在其活動中產生的信息，例如某人的定位、手機賬單等。其三，合法、有效標準?！秱€人信息保護法》首次突破了《網絡安全法》以“告知—同意”為核心的單一法律基礎，對《民法典》第1035條所規定的“法律、行政法規另有規定”進行了細化和擴展。雖然《個人信息保護法》還未像歐盟GDPR的規定，要求數據控制者在收集數據主體個人數據時需說明處理的法律依據，但此有益于企業制定對應的數據合規策略，以確保個人信息的合規性。《個人信息保護法》第14條、第15條規定了在個人信息主體同意處理個人信息的情形下，需達到獲得個人同意的有效標準及符合撤回同意進行規定。該同意應由個人在充分知情的前提下，自愿、明確地作出，且可以被便捷地撤回。第16條還規定，個人信息處理者不得拒絕提供產品或者服務的相關理由。其四，跨境傳輸的路徑。在跨境傳輸的通用要求上，無論企業構成何種主體，只要涉及將個人信息跨境傳輸，就要求保障境外接收方處理個人信息的活動時需達到《個人信息保護法》規定的對個人信息最基本的保護標準，且告知個人關于個人信息跨境傳輸的相關情況并取得個人的單獨同意，當然，這需要事先進行個人信息保護影響評估。在跨境傳輸的路徑設計上，對于個人信息處理者來說，在進行數據跨境傳輸時，除滿足上述一般的要求以外，還需要根據數據本身的特征以符合規則的基本要求。最后，個人信息主體權利?！秱€人信息保護法》規定的法定權利與GDPR以及CCPA的對比下，該法第44條賦予信息主體具有對信息的決定權，這在GDPR和CCPA項下卻沒有明確指出，而第45條第2款首次引入了GDPR和CCPA項下的可攜帶權，由此可知，我國《個人信息保護法》與GDPR和CCPA等制度仍有異同，并趨于相互吸收、借鑒。

我國應借鑒國際數據治理的經驗，積極建設國際數據治理合作機制，投身于數據安全治理之中。

4 結束語

在通信信息技術飛速發展的時代，金融科技在全球市場領域進行了廣泛應用，金融用戶信息的收集、分析及處理更為便捷與專業，數據的合理使用、流通安全、信息共享等問題引發廣泛關注。在國際上，歐盟、美國等國家在數據治理中均積累了一些先進的國際經驗?！秱€人信息保護法》的通過和正式實施，我國缺乏專門的個人信息保護立法的時代一去不復返，并會迎來個人信息保護的新時代。我國應借鑒國際數據治理的經驗，積極建設國際數據治理合作機制，投身于數據安全治理之中。面對新的法律規則與市場環境，我國企業也迫切需要重塑內部合規及管理體系，結合自身數據處理活動的能力，設置數據保護機構并承擔起數據治理的行政職責，以應對數據治理帶來的合規風險。■