我國金融數(shù)據(jù)治理法律構建的三個維度

陳振云

(上海政法學院 國際法學院,上海 201701)

一、引言

隨著科技與金融的深入融合，金融業(yè)數(shù)字化的步伐明顯加快。在此過程中，數(shù)據(jù)從過去一度被視為金融業(yè)務運營的副產(chǎn)品一躍成為推動金融業(yè)務發(fā)展的核心要素，其本身所蘊含的經(jīng)濟屬性和價值屬性愈發(fā)受到國家和全社會的關注與重視。2019年10月，黨的十九屆四中全會公報正式將數(shù)據(jù)視為一種生產(chǎn)要素。2020年4月至5月，中共中央、國務院相繼發(fā)布《關于構建更加完善的要素市場化配置體制機制的意見》《關于新時代加快完善社會主義市場經(jīng)濟體制的意見》，進一步指明了加快培育數(shù)據(jù)要素市場的具體方向；同年10月29日，黨的十九屆五中全會通過了《中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》，進一步明確了提高數(shù)據(jù)治理水平，為數(shù)字化全面轉(zhuǎn)型夯實基礎，同時要積極建立和參與相關配套制度和標準規(guī)范、以及相關領域的國際規(guī)則和標準制定，為數(shù)字化全面轉(zhuǎn)型營造良好的法治環(huán)境。

進入大數(shù)據(jù)時代，伴隨著人工智能、區(qū)塊鏈、云計算以及大數(shù)據(jù)等新興數(shù)字技術手段對傳統(tǒng)金融行業(yè)帶來前所未有的沖擊，不僅金融服務理念、經(jīng)營模式、金融業(yè)態(tài)與產(chǎn)品迭代更新頻繁，數(shù)據(jù)量更是呈現(xiàn)指數(shù)式增長。在此背景下，數(shù)據(jù)在業(yè)務運營、戰(zhàn)略決策以及風險處置方面起到關鍵作用，因此如何有效利用數(shù)據(jù)成為金融機構亟需解決的重要議題。一方面，這對金融數(shù)據(jù)質(zhì)量提出了更高的要求；另一方面，這也引起了日益凸顯的數(shù)據(jù)安全問題。實現(xiàn)金融數(shù)據(jù)治理的雙核目標，即“挖掘金融數(shù)據(jù)價值”和“保障數(shù)據(jù)安全及隱私保護”，做好兩者之間的平衡和兼顧，確保金融數(shù)據(jù)治理的有效運行和健康發(fā)展，必須解決以下幾個問題：如何確立金融數(shù)據(jù)權屬；如何兼顧金融數(shù)據(jù)共享開放和保護數(shù)據(jù)安全與隱私；如何構建金融機構內(nèi)部數(shù)據(jù)管理的體制機制等。針對上述問題，本文將詳細闡釋金融數(shù)據(jù)治理的內(nèi)涵和必要性，借鑒國外數(shù)據(jù)治理的立法與實踐，結合我國金融數(shù)據(jù)治理的法律法規(guī)和實際情況，力圖完善金融數(shù)據(jù)治理的規(guī)制架構。

二、立法維度

(一)金融數(shù)據(jù)治理立法面臨的基礎性法律問題

1.金融數(shù)據(jù)概念界定的困境與反思

首先，在理論研究層面，鑒于金融數(shù)據(jù)的經(jīng)濟和社會雙重屬性，加之缺乏與其相關的系統(tǒng)性研究，金融數(shù)據(jù)的權屬定性變得困難重重。相反，數(shù)據(jù)權屬的研究則出現(xiàn)另一番景象，成果頗多且衍生諸多學說，譬如財產(chǎn)權說、人格權說以及新型權利說等。

最后，金融數(shù)據(jù)的內(nèi)涵比個人金融信息的范疇要大得多。其原因在于：一是金融數(shù)據(jù)既包括金融機構收集的原始數(shù)據(jù)，又包括被加工后的信息；二是鑒于金融機構的客戶包含個人客戶和企業(yè)客戶，與之對應，其收集、處理的數(shù)據(jù)同時涉及個人金融信息和企業(yè)客戶信息。

2.數(shù)據(jù)權屬的學術爭論

在數(shù)字經(jīng)濟時代，作為新型且關鍵生產(chǎn)要素，互聯(lián)網(wǎng)市場圍繞數(shù)據(jù)的競爭日益激烈。從2016年新浪微博訴陌陌案、大眾點評訴百度地圖案，到2017年菜鳥與順豐、騰訊微信與華為的數(shù)據(jù)之爭，再到2019年騰訊微信/QQ訴今日頭條抖音/多閃案，每個糾紛都引發(fā)了對數(shù)據(jù)權屬問題的關切。因此，厘清數(shù)據(jù)權屬邊界是建立數(shù)據(jù)秩序的必要條件。

首先，數(shù)據(jù)本身所蘊含的復雜屬性和承載的多重權利義務關系，幾乎不可能通過單一理論一勞永逸解決數(shù)據(jù)權屬問題，會引發(fā)廣泛爭議，像2016年6月公開征求意見的《民法總則(草案)》曾將數(shù)據(jù)信息作為知識產(chǎn)權客體。對此，在《民法總則》的正式文本中，第127條明確規(guī)定：“法律對數(shù)據(jù)、網(wǎng)絡虛擬財產(chǎn)的保護有規(guī)定的，依照其規(guī)定”，為未來繼續(xù)探討數(shù)據(jù)的權利屬性留下了空間。

其次，數(shù)據(jù)作為什么權利的客體，這也是數(shù)據(jù)權屬問題的核心關切，需要結合不同的數(shù)據(jù)類型進行討論。目前來看，數(shù)據(jù)大體上分為三類，即個人數(shù)據(jù)、政府數(shù)據(jù)和企業(yè)數(shù)據(jù)。從個人數(shù)據(jù)保護法律視角來看，個人數(shù)據(jù)盡管其范圍和判斷標準仍有分歧，但其本身是一個比較明確的法律概念，即與個人相關的，且能夠識別個人身份的信息。在政府數(shù)據(jù)開放共享的大背景下，政府數(shù)據(jù)是公民對數(shù)據(jù)的知情權、訪問權和使用權的客體，其定義是政府部門利用國家財政資金，在履職過程中所采集的數(shù)據(jù)。因此，政府數(shù)據(jù)具有公共產(chǎn)品屬性，同時蘊含極大的經(jīng)濟和社會價值。相對于個人數(shù)據(jù)和政府數(shù)據(jù)都有著比較清晰的法律規(guī)范體系，企業(yè)數(shù)據(jù)的法律屬性則最模糊，也是引發(fā)爭議的焦點所在。在近些年有關企業(yè)之間數(shù)據(jù)糾紛的司法實踐中，法院一直通過競爭法路徑來承認和保護企業(yè)數(shù)據(jù)權益，其背后的邏輯就是要秉持公序良俗原則以及尊重市場規(guī)律，更是反映了經(jīng)濟學規(guī)律。與司法實踐中適用競爭法相比，我國學界更熱衷于數(shù)據(jù)財產(chǎn)賦權的探索，并涌現(xiàn)出數(shù)據(jù)權人身與財產(chǎn)雙重屬性說、數(shù)據(jù)財產(chǎn)權說、數(shù)據(jù)知識產(chǎn)權說、數(shù)據(jù)用益物權說以及數(shù)據(jù)有限排他權說等。

最后，法學界對企業(yè)數(shù)據(jù)權屬的探討仍有分歧，但達成了兩個方面的共識：第一，企業(yè)數(shù)據(jù)權屬的界定并不否認原始數(shù)據(jù)主體的權利，這就意味著企業(yè)數(shù)據(jù)中如果包含個人數(shù)據(jù)，其處理和使用要符合個人信息保護法律法規(guī)的要求；第二，積極探索構建科學合理的數(shù)據(jù)權利體系，這有利于解決市場激勵問題，幫助市場主體消除疑慮，對數(shù)據(jù)投資形成穩(wěn)定預期。

(二)域外金融數(shù)據(jù)治理立法的國際經(jīng)驗

在數(shù)字經(jīng)濟時代，金融業(yè)無疑是數(shù)據(jù)密集型行業(yè)，其創(chuàng)新和發(fā)展嚴重依賴于數(shù)據(jù)的處理和分析，而金融數(shù)據(jù)又恰恰涉及個人敏感信息且可識別度高，相應地對風險管控能力、數(shù)據(jù)保護能力以及技術處理手段提出了更高的要求。歐盟、美國和英國作為金融數(shù)據(jù)治理的立法先行者和實踐標桿，深入剖析三者立法思路與特征，可以為我國金融數(shù)據(jù)治理立法路徑提供有益的借鑒思路。

1.歐盟

(1)歐盟數(shù)據(jù)治理立法的歷史沿革

歐盟立法者較早制定了數(shù)據(jù)開放與安全的策略。歐盟委員會于1989年通過了第一份針對重復使用公共部門信息方面的文件，旨在成為“各國政府鼓勵使用和利用公共部門數(shù)據(jù)和信息的積極舉措”。1995年，歐盟委員會采取了極其重要的一步，通過了《歐盟數(shù)據(jù)保護指令》。次年，歐盟委員會為了保護非個人數(shù)據(jù)，通過了《數(shù)據(jù)庫指令》，其中包含關于非個人數(shù)據(jù)庫版權和特殊權利的條款。1998年，在成員國之間技術和法律程序方面缺乏透明度和立法協(xié)調(diào)的背景下，歐盟委員會通過了《公共部門信息綠皮書》以便更好地為企業(yè)和公民利用非機密信息。2002年，歐盟頒布了第一個《電子隱私指令》，該指令規(guī)定了電信服務商應如何管理其用戶的數(shù)據(jù)，并于2009年進行了修訂?！豆膊块T信息指令》更側(cè)重于為了經(jīng)濟目的而重新使用信息，分別在2013年和2017年修訂，最終被2019年7月16日生效的《開放數(shù)據(jù)指令》所取代。

2010年以來，歐洲立法者對數(shù)據(jù)的關注力度逐步加大并推出了一系列數(shù)據(jù)戰(zhàn)略報告和重量級的數(shù)據(jù)立法，例如：2015年推出的《采用數(shù)字單一市場戰(zhàn)略》、2016年5月25日起生效的《通用數(shù)據(jù)保護條例》(General Date Protection Regulation,以下簡稱GDPR)、2019年7月16日生效的《開放數(shù)據(jù)指令》、以及歐盟委員會2020年2月19日出版的《數(shù)據(jù)戰(zhàn)略》。受到對當前大規(guī)模部署缺乏明顯保障措施的人工智能技術的監(jiān)管緊迫性和道德框架未能充分回應問責和公正要求的驅(qū)動，歐盟決策者在實施/吸收消化GDPR的基礎上迅速采取行動，加大了對人工智能領域的監(jiān)管，尤其在數(shù)據(jù)保護、算法責任和生物特征/面部識別保障等方面，同時也醞釀著有關算法和數(shù)據(jù)的新一輪立法。

(2)歐盟GDPR評析

2018年5月25日起生效的GDPR不僅體現(xiàn)了歐盟長期致力于個人數(shù)據(jù)隱私保護的傳統(tǒng)，更是歐盟立法者面對數(shù)字經(jīng)濟時代不斷地涌現(xiàn)新技術發(fā)展的前瞻性思考和戰(zhàn)略性探索，盡可能平衡兼顧數(shù)據(jù)主體權利和其他正當權益，為全球提供一套以歐盟規(guī)則為范本的數(shù)據(jù)治理規(guī)則體系，使歐盟成為全球數(shù)字經(jīng)濟秩序的引跑者。GDPR統(tǒng)一了歐盟內(nèi)個人數(shù)據(jù)保護立法，推動了歐盟內(nèi)部數(shù)據(jù)流動的安全高效，相較于1995年《數(shù)據(jù)保護指令》，GDPR進一步加強了對歐盟數(shù)據(jù)主體的權利保護，主要體現(xiàn)在以下幾個方面:

2.美國

(1)聯(lián)邦立法

在金融隱私權保護方面，美國國會在1978年通過了《金融隱私權法》(Right to Financial Privacy Act),該法要求聯(lián)邦機構只有獲得金融機構消費者的授權、行政傳票、司法傳票或者搜查令的情形下，金融機構才能向前者提供消費者的金融記錄。1999年《金融服務現(xiàn)代化法》第五部分專門對金融消費者隱私權保護進行了規(guī)定，明確要求金融機構具有尊重客戶的隱私、保護客戶非公開個人信息的安全和保密性的確定和持續(xù)的義務。作為聯(lián)邦執(zhí)法機構，聯(lián)邦貿(mào)易委員會對該法案的實施主要依靠兩份細則：一份是隱私規(guī)則，為了實現(xiàn)保護隱私的目的；另一份是安全保障規(guī)則，為了實現(xiàn)保護數(shù)據(jù)安全的目的。2010年7月，美國頒布了《多德-弗蘭克華爾街改革和消費者保護法案》，其中為金融隱私領域增設了一個消費者金融保護局。此外，聯(lián)邦層面涉及消費者金融隱私保護的法律還有《公平信用報告法》《公平和準確信貸交易法》《電子資金轉(zhuǎn)賬法》，以及《公平信貸機會法》等。

(2)州級立法

隨著網(wǎng)絡攻擊和數(shù)據(jù)竊取越來越普遍，作為互聯(lián)網(wǎng)科技企業(yè)的重鎮(zhèn)，加利福利亞州于2002年頒布了《數(shù)據(jù)泄露通知法案》，這也是全美數(shù)據(jù)泄露制度的起源。隨后，各州也紛紛效仿分別制定出自己的《數(shù)據(jù)泄露通知法案》。數(shù)據(jù)泄露制度主要有兩種功能：一是為企業(yè)保護敏感信數(shù)據(jù)提供驅(qū)動力；二是通知數(shù)據(jù)泄露的個人，使其能夠做出反應以減少潛在的損害。然而，事實證明鑒于數(shù)據(jù)泄露事件頻發(fā)，該法發(fā)揮的實際作用其實并不盡如意。在2018年爆發(fā)大規(guī)模數(shù)據(jù)泄露事件的影響下，各州迅速做出回應進一步修訂《數(shù)據(jù)泄露通知法》，其中有一條規(guī)定是向受到數(shù)據(jù)泄露影響的個人提供免費信用監(jiān)測服務。在州級諸多立法中，最引人注目、影響也最深的就是加州2018年6月公布的《2018年加州消費者隱私法案》(California Consumer Privacy Act of 2018,以下簡稱CCPA),此后CCPA又經(jīng)歷了大量修訂于2020年1月1日正式生效。最近一次重大變化是2020年11月3日加州大選投票中出現(xiàn)的24號提案(投票倡議)，即《2020年加利福利亞州隱私權法案》(CPRA)，獲得了大多數(shù)選民的批準，將于2023年1月1日正式生效。CPRA進一步增強了消費者權利，允許消費者可以阻止企業(yè)分享他們的個人數(shù)據(jù)、收集不完整的個人數(shù)據(jù)和限制企業(yè)使用敏感個人信息，諸如精準定位、種族、宗教信仰、基因數(shù)據(jù)、私人通訊、性取向和具體的健康信息等，同時設立專門的隱私保護機構，即加州隱私保護局，該機構的具體職責包括：執(zhí)行該州的隱私法、調(diào)查和懲處違法者。

3.英國

總體來說，英國屬于監(jiān)管政策驅(qū)動的開放銀行發(fā)展模式，即監(jiān)管部門頒布相關監(jiān)管政策，強制要求銀行開放數(shù)據(jù)給英國金融市場行為管理局(Financial Conduct Authority,簡稱FCA)審核認證的第三方機構，并規(guī)定了API標準、數(shù)據(jù)標準和安全標準。然而，英國自2021年1月1日起正式脫歐，導致支付監(jiān)管政策發(fā)生變化以致于呈現(xiàn)出“停頓”狀態(tài)，而這種狀態(tài)要持續(xù)至2022年3月底。目前遭到停頓狀態(tài)的法規(guī)包括《支付服務條例2017》(Payment Services Regulations 2017)和《支付賬戶條例2015》(Payment Accounts Regulations 2015)。但是，英國開放銀行仍在遵循PSD2的相關規(guī)定。鑒于英國與歐盟之間關于金融服務業(yè)的談判依然不明朗，達成協(xié)議更是遙遙無期，無論數(shù)據(jù)開放的范圍還是機構的數(shù)量都會受到較大限制，這無疑給英國開放銀行的長期發(fā)展蒙上了一層陰影。

4.國際立法動向評析

盡管歐盟、美國和英國在金融數(shù)據(jù)治理立法的出發(fā)點和思路各有不同，但三者無疑都強調(diào)在滿足數(shù)據(jù)安全和隱私保護的前提下積極推動金融數(shù)據(jù)的開放、流通與共享。歐盟通過GDPR第20條數(shù)據(jù)可攜帶權和PSD2第66、67條的規(guī)定，賦予個人或用戶對其個人數(shù)據(jù)或賬戶信息的控制權和可攜帶權。英國同樣通過自上而下、監(jiān)管政策驅(qū)動的模式，積極建立行業(yè)標準，設置獨立機構、設定監(jiān)管權限與構建爭議解決機制等在內(nèi)的完整治理體系，以及基于消費者數(shù)據(jù)保護的緣由對訪問銀行數(shù)據(jù)的第三方進行事先要獲得FCA授權的限制。與歐盟和英國不同，美國采用自下而上、市場驅(qū)動的模式，出臺零星的非強制性的指導意見以鼓勵開放。美國消費者金融保護局在2017年發(fā)布了有關消費者金融數(shù)據(jù)共享的九條指導意見，對獲取數(shù)據(jù)主體、消費者權利等問題進行了規(guī)定。同時監(jiān)管部門沒有強制要求金融機構開放數(shù)據(jù)，而是給予市場更多自我發(fā)展的空間和自我調(diào)節(jié)的權利。

(三)我國立法現(xiàn)狀與完善芻議

1.立法現(xiàn)狀

到目前為止，我國立法機關制定的《民法典》《數(shù)據(jù)安全法》《個人信息保護法》只涉及到相關數(shù)據(jù)權益的內(nèi)容，而沒有明確數(shù)據(jù)法律性質(zhì)，也就意味著數(shù)據(jù)權的法律定位仍不清晰?？傮w來看，既有的國家法律賦予了政府更多的數(shù)據(jù)權力，包括獨立的最高管理權、規(guī)劃權、控制權、公共數(shù)據(jù)歸屬權等。相比之下，無論是全國首部地方綜合性數(shù)據(jù)立法2021年6月25日出臺的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》，還是緊隨其后2021年11月25日頒布得《上海市數(shù)據(jù)條例》，兩部地方立法無一例外地秉持促進與保護并重的基本思路，積極探索數(shù)據(jù)權益利用與保護的新機制，不僅給予了地方政府數(shù)據(jù)主導權，也賦予了企業(yè)和個人更多的數(shù)據(jù)權益，譬如企業(yè)的創(chuàng)新發(fā)展權和個人的數(shù)據(jù)處置權，這些舉措兼顧了數(shù)據(jù)各方主體的權益訴求，對于數(shù)字經(jīng)濟時代數(shù)據(jù)資源高效配置、充分發(fā)揮數(shù)據(jù)要素在經(jīng)濟社會發(fā)展中的核心作用提供了強有力的法律保障，為我國今后數(shù)據(jù)立法提供了很好的示范作用和寶貴的實踐經(jīng)驗。

2.立法完善芻議

首先，《個人信息保護法》是我國在個人數(shù)據(jù)保護領域的基本法，具體到多元化的金融數(shù)據(jù)應用場景，如何正確適用相關的個人數(shù)據(jù)處理規(guī)則，同時滿足“挖掘金融數(shù)據(jù)價值”和“保障數(shù)據(jù)安全及隱私保護”的雙核目標，是目前亟需解決的問題。與此同時，應當認識到金融行業(yè)和個人金融數(shù)據(jù)的特殊性，回歸金融數(shù)據(jù)治理的本源，通過金融領域的專門立法來實現(xiàn)個人金融數(shù)據(jù)保護與分享是未來的基本方向。

其次，與世界上其他國家設立了專門的數(shù)據(jù)保護機構不同，《個人信息保護法》的頒布并未改變我國個人數(shù)據(jù)保護執(zhí)法“九龍治水”的現(xiàn)象。面對紛繁復雜的數(shù)據(jù)保護事宜以及來自技術、法律和社會等方面的新問題層出不窮，設立統(tǒng)一獨立數(shù)據(jù)保護機構是大勢所趨。這不僅有利于數(shù)據(jù)保護法律法規(guī)的實施，也有助于數(shù)據(jù)糾紛的解決。該機構的具體職責包括：行駛規(guī)章制定權、發(fā)布行政指導、行使調(diào)查檢查權、處罰權和受理調(diào)解數(shù)據(jù)爭議等。現(xiàn)階段而言，由國務院金融穩(wěn)定發(fā)展委員會牽頭協(xié)調(diào)，人民銀行領銜，具體金融數(shù)據(jù)保護職責交由各金融監(jiān)管機構負責。

再次，建立金融消費者數(shù)據(jù)權保護的特別規(guī)范，主要從以下幾個方面入手： 一是賦予金融消費者完備的數(shù)據(jù)權權能，這就意味著金融消費者作為數(shù)據(jù)主體享有占有、使用、收益和處分權。具體而言，金融消費者享有數(shù)據(jù)的最終控制權，可以同意或拒絕金融機構利用其數(shù)據(jù)。此外，基于數(shù)據(jù)利用的效率考量，金融機構理應有權分享數(shù)據(jù)增值帶來的收益，從而提升數(shù)據(jù)的開發(fā)和使用價值，以實現(xiàn)雙贏目標。二是加強金融機構的數(shù)據(jù)保護義務及責任，要在法律上明確金融機構對數(shù)據(jù)利用結果作出評估的強制義務，并基于該評估對金融消費者進行自發(fā)性保護。三是開展金融消費者教育，發(fā)揮金融監(jiān)管機構在此過程中的主導性作用以及行業(yè)協(xié)會等自律組織的積極作用，通過舉行各種線上或線下定期培訓，讓金融機構知悉在數(shù)據(jù)保護領域要承擔的責任和義務，同時又可以讓金融消費者能夠觸手可及地了解數(shù)據(jù)保護的基本知識。

三、監(jiān)管維度

(一)監(jiān)管視域下數(shù)據(jù)治理的內(nèi)涵與外延

如前所述，數(shù)據(jù)治理的核心在于“治理”而非“管理”，目的是保障數(shù)據(jù)的高效利用和釋放數(shù)據(jù)價值，實現(xiàn)企業(yè)的有序運營，對此，本文將數(shù)據(jù)治理界定為：以數(shù)據(jù)為治理對象，在確保數(shù)據(jù)安全與隱私保護的前提下，建立健全數(shù)據(jù)管理體制機制以及規(guī)則體系，厘清政府、市場、個人等多元參與主體在數(shù)據(jù)流通的各個環(huán)節(jié)的權責關系，形成共享、開放以及有序的數(shù)據(jù)流通模式，從而最大化地釋放數(shù)據(jù)價值，提升政府公共管理能力和國家治理能力。確切地說，數(shù)據(jù)治理是各方參與者良性互動，復雜的動態(tài)變化的過程。從宏觀視角而言，數(shù)據(jù)治理是政府、企業(yè)以及個人通過采用政策、法律、標準、技術、教育等方法和手段，來實現(xiàn)數(shù)據(jù)安全與有序流通從而最大限度地挖掘和釋放數(shù)據(jù)價值的過程；從微觀視角而言，數(shù)據(jù)治理是不同機構針對各種原始數(shù)據(jù)進行處理和分析的過程。

在數(shù)字時代，正因為數(shù)據(jù)具有體量大、種類多、處理快、價值高等特征，造就了數(shù)據(jù)治理的多樣性特征，其中包括數(shù)據(jù)治理過程的動態(tài)互動、數(shù)據(jù)治理的整體性、數(shù)據(jù)治理的時效性以及數(shù)據(jù)治理的匹配性，具體內(nèi)容如下：

首先，數(shù)據(jù)治理的過程是多方參與主體之間的相互作用和相互影響的關系，這就要求數(shù)據(jù)治理主體能夠準確掌握數(shù)據(jù)標準、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全以及數(shù)據(jù)主體的權責在治理過程中不同環(huán)節(jié)的關聯(lián)性；其次，數(shù)據(jù)治理的過程強調(diào)整體數(shù)據(jù)的相關性分析和運用；再次，數(shù)據(jù)治理的過程要求數(shù)據(jù)治理主體能夠快速應對市場變化，同時對于數(shù)據(jù)的分析和運用也要精準和快速；最后，數(shù)據(jù)治理的過程必須符合數(shù)據(jù)治理主體的實際狀況，展開數(shù)據(jù)治理之前需要對自身的治理能力做一個全面評估，包括管理與運營模式、業(yè)務規(guī)模以及風險控制能力等。

(二)監(jiān)管視域下金融數(shù)據(jù)治理面臨的現(xiàn)實問題

從微觀層面來看，金融數(shù)據(jù)治理當前面臨的現(xiàn)實問題有：金融數(shù)據(jù)治理制度體系構建遲緩、金融數(shù)據(jù)質(zhì)量偏低、金融機構之間的數(shù)據(jù)治理能力差異偏大、金融數(shù)據(jù)治理的專業(yè)化程度不高、金融機構數(shù)據(jù)治理文化理念缺失以及金融數(shù)據(jù)孤島與割裂等。

1.金融數(shù)據(jù)治理制度體系構建速度緩慢

2018年5月，銀保監(jiān)會發(fā)布了《銀行業(yè)金融機構數(shù)據(jù)治理指引》(簡稱指引)，依據(jù)《指引》規(guī)定，金融數(shù)據(jù)治理需要建立完善數(shù)據(jù)治理架構，實現(xiàn)對數(shù)據(jù)的全生命周期全覆蓋。詳言之，金融機構的首要任務是在公司戰(zhàn)略層面高度重視數(shù)據(jù)治理，將其納入公司治理范疇，同時結合實際情況設立首席數(shù)據(jù)官。此外，金融機構應當確立數(shù)據(jù)治理牽頭部門，明確各部門之間的職責，構建數(shù)據(jù)質(zhì)量控制機制。這產(chǎn)生了一個令人囧境的局面：一方面，《指引》促使金融機構內(nèi)部架構進行改造升級，這一過程卻是相當耗時費力的；另一方面，這一漫長的過程與大數(shù)據(jù)時代日新月異的變化格格不入，極大拖延了金融機構發(fā)展的步伐。

2.金融數(shù)據(jù)質(zhì)量偏低

托尼·費舍爾(Tony Fisher)曾提到：“如果基本數(shù)據(jù)不可靠，大多數(shù)企業(yè)的大數(shù)據(jù)計劃要么會失敗，要么效果會低于預期。造成上述結果的關鍵原因在于，數(shù)據(jù)生命周期之中流入了不一致、不準確、不可靠的數(shù)據(jù)?！遍L期以來，金融數(shù)據(jù)來源廣泛、內(nèi)容龐雜，一直缺乏權威統(tǒng)一的標準和界定，尚且不同的金融機構和組織對同類數(shù)據(jù)口徑的認知也存在較大的偏差，造成了許多同名不同義的數(shù)據(jù)，結果是數(shù)據(jù)“清洗”成本高、碎片化嚴重，使得數(shù)據(jù)整合利用的難度大幅提升。對此，央行于2021年2月發(fā)布了《金融業(yè)數(shù)據(jù)能力建設指引》，旨在為金融機構開展數(shù)據(jù)治理工作指明方向。金融數(shù)據(jù)質(zhì)量治理可以通過“疏”與“堵”的方式持續(xù)提升數(shù)據(jù)質(zhì)量。具體而言，“疏”意味著加強頂層設計，制定統(tǒng)一的數(shù)據(jù)架構、數(shù)據(jù)標準，構建數(shù)據(jù)質(zhì)量的管理機制；“堵”意味著通過技術手段，即數(shù)據(jù)質(zhì)量工具，來篩查數(shù)據(jù)處理中的問題。

3.金融機構之間的數(shù)據(jù)治理能力差異偏大

大型金融機構，憑借資本、規(guī)模、科技、人才以及市場等優(yōu)勢，在數(shù)據(jù)治理能力方面占據(jù)先天優(yōu)勢。相較于大型金融機構，不難發(fā)現(xiàn)，中小型金融機構受制于有限的資金、薄弱的基礎設施，導致數(shù)據(jù)處理能力和技術水平較差，迫使他們大多選擇外包和采購來獲取數(shù)據(jù)治理賦能服務。中小金融機構往往出于經(jīng)濟成本考量，選擇那些出價較低的數(shù)據(jù)公司或科技公司，但這類公司的技術水平參差不齊，甚至出現(xiàn)非法獲取數(shù)據(jù)等非法行為，造成金融數(shù)據(jù)安全的隱患。

4.金融數(shù)據(jù)治理的專業(yè)化程度不高

(三)我國金融數(shù)據(jù)治理監(jiān)管框架的路徑選擇

隨著英國、歐盟等國家和地區(qū)紛紛推行開放銀行模式和相關監(jiān)管政策逐步落地，開放銀行正成為世界金融業(yè)發(fā)展的新趨勢，備受關注。在國內(nèi)銀行，四大行、股份制銀行和城商行都在積極探索符合自身發(fā)展的開放銀行模式。與英國和歐盟由監(jiān)管政策驅(qū)動的發(fā)展模式不同，中國屬于市場驅(qū)動型的開放銀行發(fā)展模式。針對以數(shù)據(jù)分享理念為核心內(nèi)涵的開放銀行，國內(nèi)監(jiān)管層需要運用現(xiàn)代監(jiān)管手段，同時采取新的監(jiān)管模式與政策來防范新風險。

首先，明確監(jiān)管主體，建立監(jiān)管框架。目前，我國尚未明確對開放銀行監(jiān)管的專門監(jiān)管機構，與開放銀行業(yè)務相關的指導性規(guī)范較少，也未出臺與其有關的監(jiān)管框架，導致金融機構在開放銀行業(yè)務上“千人千面”。因此，現(xiàn)階段有必要采用功能監(jiān)管與雙峰監(jiān)管并舉的監(jiān)管模式,具體做法如下：一是由國務院金融穩(wěn)定發(fā)展委員會、中國人民銀行出面對金融數(shù)據(jù)進行宏觀審慎監(jiān)管，協(xié)調(diào)各監(jiān)管部門之間的金融數(shù)據(jù)監(jiān)管信息，落實各司的數(shù)據(jù)監(jiān)管責任，理順各司的職責關系，強化跨部門、跨行業(yè)聯(lián)合監(jiān)管能力；二是由銀保監(jiān)會、證監(jiān)會分別對各自監(jiān)管的領域內(nèi)的金融數(shù)據(jù)進行監(jiān)管，加大宣傳教育的力度，提高消費者對數(shù)據(jù)安全的認識，強化維權意識。此外，鼓勵金融行業(yè)自律性組織通過出臺自律性條例進行行業(yè)監(jiān)管，并建立數(shù)據(jù)和技術共享的監(jiān)督管理機制。總而言之，該監(jiān)管規(guī)則體系以包容審慎為監(jiān)管原則，以消費者權益保護為出發(fā)點，通過行業(yè)監(jiān)管和機構監(jiān)管并舉、行業(yè)監(jiān)管先于機構監(jiān)管的監(jiān)管模式，防范金融數(shù)據(jù)開放與共享所帶來的風險，同時積極探索柔性監(jiān)管，并逐步加大數(shù)據(jù)監(jiān)管的靈活度。

最后，建構科技監(jiān)管與人力監(jiān)管相輔相成的雙輪驅(qū)動型監(jiān)管。在邁入數(shù)字金融時代，科技與金融的融合在帶來各種利好的同時，也暗藏著更多風險。傳統(tǒng)金融監(jiān)管受制于金融監(jiān)管固有的信息不對稱、監(jiān)管技術手段落后以及金融立法的滯后，這就造成在開放銀行面前顯得捉襟見肘。要突破此困局，監(jiān)管機構應當建立以數(shù)據(jù)監(jiān)管為核心的科技監(jiān)管模式，其真正的潛力是通過高質(zhì)量的數(shù)據(jù)集和強大的計算能力，圍繞數(shù)據(jù)聚合、大數(shù)據(jù)處理和解釋、建模分析與預測，從而推動由過去“了解客戶”到現(xiàn)在“了解數(shù)據(jù)”的轉(zhuǎn)變。為此，監(jiān)管機構可通過人工智能、大數(shù)據(jù)、云計算和區(qū)塊鏈等技術手段的應用實現(xiàn)有效的數(shù)據(jù)收集、報告、管理和分析流程。在此過程中，監(jiān)管方通過科技手段從被動監(jiān)管轉(zhuǎn)為主動監(jiān)管，使得監(jiān)管方與被監(jiān)管方處于平等獲取數(shù)據(jù)的地位，同時也形成了一種新型的關系，即分布式平等監(jiān)管，其深層次含義是監(jiān)管扁平化替代層級制監(jiān)管，監(jiān)管方單一治理轉(zhuǎn)變?yōu)槔尕P方共同治理。此外，不可否認，智能化的動態(tài)監(jiān)管是高效的、客觀的，但是人工智能的負面效應也給監(jiān)管帶來漏洞，為此傳統(tǒng)的人為監(jiān)管或許可以成為另一道安全閥，給新形態(tài)的監(jiān)管機制提供了更加可信可控的強有力保障。

四、市場維度

銀保監(jiān)會2018年頒布得《指引》明確指出，銀行業(yè)金融機構應當構建職責邊界清晰的數(shù)據(jù)治理組織架構，明確各部門之間的職責分工，形成多層次、相互銜接的科學工作運行機制。因此，從市場層面來看，在金融數(shù)據(jù)治理方面，金融機構要完善數(shù)據(jù)治理組織架構和相關制度，加大對于金融數(shù)據(jù)保護的力度。

首先，在組織架構上，金融機構可以依據(jù)內(nèi)部實際管理情況劃分，從決策層、管理層到執(zhí)行層分級、分層設置數(shù)據(jù)管理部門和專職崗位，將責任落實到人，構建和完善數(shù)據(jù)治理組織架構和崗位職責。

其次，在金融數(shù)據(jù)保護上，金融機構要建立數(shù)據(jù)安全管理制度，主要涵蓋：一是數(shù)據(jù)認證授權管理，作為第一道安全屏障，通過嚴格的用戶分級授權和認證授權，對數(shù)據(jù)進行訪問和使用權限控制，防范非授權訪問，同時堅持數(shù)據(jù)“最小夠用”原則進行數(shù)據(jù)授權使用；二是敏感數(shù)據(jù)使用管理，借助脫敏工具實現(xiàn)對敏感數(shù)據(jù)進行自動識別、智能脫敏；三是數(shù)據(jù)安全共享管理，要建立有效的數(shù)據(jù)共享等級機制，同時要能夠做到對共享數(shù)據(jù)中敏感信息的脫敏保護；四是設立數(shù)據(jù)保護官，按照“誰管理誰負責”的原則，專門負責數(shù)據(jù)保護工作；五是數(shù)據(jù)安全事故處理，要定期進行數(shù)據(jù)安全評估與審計，還要建立數(shù)據(jù)應急預案，模擬發(fā)生數(shù)據(jù)泄露或其他數(shù)據(jù)安全事故，組織開展應急演練，完善處置流程，保證妥善保障數(shù)據(jù)安全，降低對金融業(yè)務正常運營的影響。

最后，在監(jiān)管信息報送上，金融機構要建立適應監(jiān)管數(shù)據(jù)報送工作需要的信息系統(tǒng)，實現(xiàn)流程控制的程序化，提高監(jiān)管數(shù)據(jù)加工的自動化程度。此外，金融機構端要實現(xiàn)與監(jiān)管端以數(shù)字化的方式互相連通：一方面，機構端可以從監(jiān)管端獲取數(shù)字化的監(jiān)管要求并準確轉(zhuǎn)化為內(nèi)部約束，確保機構和業(yè)務實時合規(guī)；另一方面，機構端可以實時向監(jiān)管端傳輸數(shù)據(jù)，動態(tài)地形成各種合規(guī)報告，減少人工干預，提高準確度，減少合規(guī)成本。

五、結語

邁入數(shù)字金融時代，數(shù)據(jù)是金融領域最重要的資源。金融行業(yè)中的數(shù)據(jù)積累、數(shù)據(jù)傳輸、數(shù)據(jù)儲存已經(jīng)為人工智能、大數(shù)據(jù)、云計算、區(qū)塊鏈等數(shù)字科技的應用提供了必備的土壤。數(shù)字科技不是替代人，而是更好地服務和賦能于人，替代其去做重復單調(diào)的操作和程序，從而提升人的生產(chǎn)效率。因此，數(shù)字科技是釋放數(shù)據(jù)生產(chǎn)力的主要途徑和催化劑。數(shù)據(jù)是數(shù)字科技和金融行業(yè)的共同基因，兩者天然適配，給金融服務帶來了巨大變革，包括降低運行成本、場景無界融合、擴大數(shù)據(jù)積累、提升客戶體驗以及提供個性化服務和擴展金融服務的覆蓋范圍等。金融數(shù)據(jù)治理能力成為金融機構數(shù)字化轉(zhuǎn)型的關鍵所在。一方面，在這一創(chuàng)新升級的過程中，數(shù)據(jù)的流通與分享為實現(xiàn)個性化服務和風控模型、降低金融服務成本、促進供需精準匹配、提高金融效率以及迸發(fā)新業(yè)態(tài)與新模式提供了不可缺少的前提條件。另一方面，金融數(shù)據(jù)日益顯現(xiàn)出其商業(yè)價值的同時，一旦發(fā)生重大數(shù)據(jù)泄露或重大數(shù)據(jù)資產(chǎn)丟失，其引發(fā)的風險和次生風險對于金融機構而言或許是致命的。因此，金融數(shù)據(jù)治理的必要性和現(xiàn)實意義在于以下四個層面：一是從維護國家安全的角度出發(fā)，限制金融數(shù)據(jù)的跨境流動的根本目的在于維護“數(shù)據(jù)主權”，以免數(shù)據(jù)傳輸方的所在國失去其金融數(shù)據(jù)的控制權與管轄權；二是從維護金融穩(wěn)定和安全的角度出發(fā)，行之有效的金融數(shù)據(jù)治理對于防范金融風險的蔓延至關重要；三是從維護金融消費者合法權益的角度出發(fā)，鑒于金融機構與消費者之間的信息不對稱容易引發(fā)金融機構濫用客戶的金融信息而侵害了個人隱私權和財產(chǎn)權，完善金融數(shù)據(jù)治理有利于保護金融消費者所擁有的合法數(shù)據(jù)權益；四是維持金融數(shù)據(jù)價值與數(shù)據(jù)安全及隱私保護之間的動態(tài)平衡，這也是金融數(shù)據(jù)治理孜孜不倦地追求目標。

在科技與金融加速融合的過程中，金融數(shù)據(jù)治理為建設數(shù)字化金融發(fā)揮了重要作用，具體表現(xiàn)在以下三個方面：一是提供開放統(tǒng)一的高質(zhì)量、標準化數(shù)據(jù)；二是提供高效高質(zhì)的數(shù)據(jù)應用保障；三是提供強有力的風險管控和決策支持?？v觀而言，金融數(shù)據(jù)治理是系統(tǒng)性工程，需要從三個維度去構建，即立法層面、監(jiān)管層面和市場層面。近幾年，國家、地方和金融行業(yè)對數(shù)據(jù)治理的重視程度越來越高，進一步推動了金融數(shù)據(jù)治理和數(shù)據(jù)安全防護水平，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》《銀行業(yè)金融機構數(shù)據(jù)治理指引》《個人金融信息保護技術規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》等各級各類法律法規(guī)政策指引相繼出臺，為數(shù)據(jù)開放、共享以及監(jiān)管奠定了法制基礎。未來，隨著金融數(shù)據(jù)法律性質(zhì)的明晰和金融數(shù)據(jù)分類等級保護制度的進一步完善，這有利于構建金融數(shù)據(jù)生命周期全流程的監(jiān)管機制，同時將促進金融數(shù)據(jù)業(yè)務的健康有序發(fā)展。此外，監(jiān)管部門采用監(jiān)管科技與人工監(jiān)管的協(xié)調(diào)運行的方式，可以有效保障數(shù)據(jù)儲存和傳輸?shù)陌踩裕@著提高數(shù)據(jù)流通和使用的合規(guī)性，以及促進數(shù)據(jù)開放與共享。再次，金融機構要完善金融數(shù)據(jù)治理組織框架，加大對于金融數(shù)據(jù)的保護力度，同時構建金融機構告知說明義務從而保護金融消費者的合法權益。為此，上述做法將有助于增強我國在國際金融數(shù)據(jù)治理體系建設中的話語權和影響力。