我國金融數據治理法律構建的三個維度

陳振云

(上海政法學院 國際法學院,上海 201701)

一、引言

隨著科技與金融的深入融合，金融業數字化的步伐明顯加快。在此過程中，數據從過去一度被視為金融業務運營的副產品一躍成為推動金融業務發展的核心要素，其本身所蘊含的經濟屬性和價值屬性愈發受到國家和全社會的關注與重視[1]。2019年10月，黨的十九屆四中全會公報正式將數據視為一種生產要素。2020年4月至5月，中共中央、國務院相繼發布《關于構建更加完善的要素市場化配置體制機制的意見》《關于新時代加快完善社會主義市場經濟體制的意見》，進一步指明了加快培育數據要素市場的具體方向；同年10月29日，黨的十九屆五中全會通過了《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》，進一步明確了提高數據治理水平，為數字化全面轉型夯實基礎，同時要積極建立和參與相關配套制度和標準規范、以及相關領域的國際規則和標準制定，為數字化全面轉型營造良好的法治環境。

進入大數據時代，伴隨著人工智能、區塊鏈、云計算以及大數據等新興數字技術手段對傳統金融行業帶來前所未有的沖擊，不僅金融服務理念、經營模式、金融業態與產品迭代更新頻繁，數據量更是呈現指數式增長[2]。在此背景下，數據在業務運營、戰略決策以及風險處置方面起到關鍵作用，因此如何有效利用數據成為金融機構亟需解決的重要議題。一方面，這對金融數據質量提出了更高的要求；另一方面，這也引起了日益凸顯的數據安全問題。實現金融數據治理的雙核目標，即“挖掘金融數據價值”和“保障數據安全及隱私保護”，做好兩者之間的平衡和兼顧，確保金融數據治理的有效運行和健康發展，必須解決以下幾個問題：如何確立金融數據權屬；如何兼顧金融數據共享開放和保護數據安全與隱私；如何構建金融機構內部數據管理的體制機制等。針對上述問題，本文將詳細闡釋金融數據治理的內涵和必要性，借鑒國外數據治理的立法與實踐，結合我國金融數據治理的法律法規和實際情況，力圖完善金融數據治理的規制架構。

二、立法維度

(一)金融數據治理立法面臨的基礎性法律問題

1.金融數據概念界定的困境與反思

首先，在理論研究層面，鑒于金融數據的經濟和社會雙重屬性，加之缺乏與其相關的系統性研究，金融數據的權屬定性變得困難重重。相反，數據權屬的研究則出現另一番景象，成果頗多且衍生諸多學說，譬如財產權說、人格權說以及新型權利說等[3]111。

其次，在法律法規層面，國內尚未對金融數據有較為清晰的概念。迄今為止，金融數據或金融信息的內涵或外延究竟如何，現行法律付諸闕如，部門規章亦未做出明確界定(1)數據和信息在目前法律文件和法律論述中并沒有嚴格區分，兩者混用的情形居多。。因此，實現金融數據規制法定化的必由之路是亟需立法部門進一步明確“信息”“數據”的定義[3]112。

再次，在語義層面，數據與信息之間既存在密切的內在聯系，又有顯著的區別，是形式與內容的關系[4]。簡單而言，本文所探討的數據是指在數字技術語境下的電子數據，它是信息的存在形式或記錄本身[5]152-153。2021年6月頒布的《數據安全法》就是基于上述理解將“數據”定義為“任何以電子或者其他方式對信息的記錄”(2)參見《中華人民共和國數據安全法》第三條。。相對應，信息是該等數據被讀取和解讀的內容。

最后，金融數據的內涵比個人金融信息的范疇要大得多。其原因在于：一是金融數據既包括金融機構收集的原始數據，又包括被加工后的信息；二是鑒于金融機構的客戶包含個人客戶和企業客戶，與之對應，其收集、處理的數據同時涉及個人金融信息和企業客戶信息[6]83。

綜上所述，本文結合既有研究和相關立法實踐， 將金融數據界定為金融機構通過開展業務、服務或其他合法渠道獲取、加工和保存的數據，該數據承載和反映個人與企業的相關信息(3)本文聚集個人數據。。

2.數據權屬的學術爭論

在數字經濟時代，作為新型且關鍵生產要素，互聯網市場圍繞數據的競爭日益激烈。從2016年新浪微博訴陌陌案、大眾點評訴百度地圖案，到2017年菜鳥與順豐、騰訊微信與華為的數據之爭，再到2019年騰訊微信/QQ訴今日頭條抖音/多閃案，每個糾紛都引發了對數據權屬問題的關切。因此，厘清數據權屬邊界是建立數據秩序的必要條件。

首先，數據本身所蘊含的復雜屬性和承載的多重權利義務關系，幾乎不可能通過單一理論一勞永逸解決數據權屬問題，會引發廣泛爭議，像2016年6月公開征求意見的《民法總則(草案)》曾將數據信息作為知識產權客體。對此，在《民法總則》的正式文本中，第127條明確規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”，為未來繼續探討數據的權利屬性留下了空間。

其次，數據作為什么權利的客體，這也是數據權屬問題的核心關切，需要結合不同的數據類型進行討論。目前來看，數據大體上分為三類，即個人數據、政府數據和企業數據。從個人數據保護法律視角來看，個人數據盡管其范圍和判斷標準仍有分歧，但其本身是一個比較明確的法律概念，即與個人相關的，且能夠識別個人身份的信息[7]2-3。在政府數據開放共享的大背景下，政府數據是公民對數據的知情權、訪問權和使用權的客體，其定義是政府部門利用國家財政資金，在履職過程中所采集的數據。因此，政府數據具有公共產品屬性[8]，同時蘊含極大的經濟和社會價值。相對于個人數據和政府數據都有著比較清晰的法律規范體系，企業數據的法律屬性則最模糊，也是引發爭議的焦點所在。在近些年有關企業之間數據糾紛的司法實踐中，法院一直通過競爭法路徑來承認和保護企業數據權益，其背后的邏輯就是要秉持公序良俗原則以及尊重市場規律，更是反映了經濟學規律[4]。與司法實踐中適用競爭法相比，我國學界更熱衷于數據財產賦權的探索，并涌現出數據權人身與財產雙重屬性說、數據財產權說、數據知識產權說、數據用益物權說以及數據有限排他權說等[9]。

最后，法學界對企業數據權屬的探討仍有分歧，但達成了兩個方面的共識：第一，企業數據權屬的界定并不否認原始數據主體的權利，這就意味著企業數據中如果包含個人數據，其處理和使用要符合個人信息保護法律法規的要求；第二，積極探索構建科學合理的數據權利體系，這有利于解決市場激勵問題，幫助市場主體消除疑慮，對數據投資形成穩定預期。

(二)域外金融數據治理立法的國際經驗

在數字經濟時代，金融業無疑是數據密集型行業，其創新和發展嚴重依賴于數據的處理和分析，而金融數據又恰恰涉及個人敏感信息且可識別度高，相應地對風險管控能力、數據保護能力以及技術處理手段提出了更高的要求。歐盟、美國和英國作為金融數據治理的立法先行者和實踐標桿，深入剖析三者立法思路與特征，可以為我國金融數據治理立法路徑提供有益的借鑒思路。

1.歐盟

(1)歐盟數據治理立法的歷史沿革

歐盟立法者較早制定了數據開放與安全的策略。歐盟委員會于1989年通過了第一份針對重復使用公共部門信息方面的文件，旨在成為“各國政府鼓勵使用和利用公共部門數據和信息的積極舉措”[10]。1995年，歐盟委員會采取了極其重要的一步，通過了《歐盟數據保護指令》。次年，歐盟委員會為了保護非個人數據，通過了《數據庫指令》，其中包含關于非個人數據庫版權和特殊權利的條款。1998年，在成員國之間技術和法律程序方面缺乏透明度和立法協調的背景下，歐盟委員會通過了《公共部門信息綠皮書》以便更好地為企業和公民利用非機密信息。2002年，歐盟頒布了第一個《電子隱私指令》，該指令規定了電信服務商應如何管理其用戶的數據，并于2009年進行了修訂。《公共部門信息指令》更側重于為了經濟目的而重新使用信息，分別在2013年和2017年修訂，最終被2019年7月16日生效的《開放數據指令》所取代[11]。

2010年以來，歐洲立法者對數據的關注力度逐步加大并推出了一系列數據戰略報告和重量級的數據立法，例如：2015年推出的《采用數字單一市場戰略》、2016年5月25日起生效的《通用數據保護條例》(General Date Protection Regulation,以下簡稱GDPR)、2019年7月16日生效的《開放數據指令》、以及歐盟委員會2020年2月19日出版的《數據戰略》。受到對當前大規模部署缺乏明顯保障措施的人工智能技術的監管緊迫性和道德框架未能充分回應問責和公正要求的驅動，歐盟決策者在實施/吸收消化GDPR的基礎上迅速采取行動，加大了對人工智能領域的監管，尤其在數據保護、算法責任和生物特征/面部識別保障等方面，同時也醞釀著有關算法和數據的新一輪立法。

在個人金融數據保護方面，歐盟采取統一立法方式，通過一系列法律文件(4)這些法律文件包括《另類投資基金經理指令》《反洗錢指令》《資本要求規則》《電子貨幣指令》《通用數據保護條例》《電子隱私指令》《網絡和信息系統指令》《金融市場基礎設施指令》《支付指令》《不公平商業行為指令》《金融服務遠程營銷指令》《保險分配指令》以及《抵押貸款指令》等。，成為公認的個人數據開放與保護水平最高的區域。歐盟個人金融數據保護制度框架首先立足于該地區對開放銀行的核心監管法律文件《支付服務指令》和《支付服務指令II》，同時通過數據立法、金融監管立法與商業行為準則，圍繞數據保護、網絡安全以及金融消費者權益開展協同規制。

(2)歐盟GDPR評析

2018年5月25日起生效的GDPR不僅體現了歐盟長期致力于個人數據隱私保護的傳統，更是歐盟立法者面對數字經濟時代不斷地涌現新技術發展的前瞻性思考和戰略性探索，盡可能平衡兼顧數據主體權利和其他正當權益，為全球提供一套以歐盟規則為范本的數據治理規則體系，使歐盟成為全球數字經濟秩序的引跑者[12]。GDPR統一了歐盟內個人數據保護立法，推動了歐盟內部數據流動的安全高效，相較于1995年《數據保護指令》，GDPR進一步加強了對歐盟數據主體的權利保護，主要體現在以下幾個方面:

一是大幅擴展GDPR的適用范圍。1995年《數據保護指令》的適用范圍仍依據傳統的管轄權范疇，即屬地因素，這意味著只有設立在歐盟或使用歐盟境內的設備進行了個人數據處理活動(除傳輸通道外)才會落入規制范圍(5)Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individual with regard to the processing of personal data and on the free movement of such data.。GDPR則擴大了法律的適用范圍，在“屬地”因素的基礎之上還增加了“屬人”因素[13]104。具體而言，針對設立在歐盟的機構，GDPR著重強調了無論數據處理的活動是否發生在歐盟境內，都必須遵守GDPR第3條第1款；對于那些設立在歐盟境外的機構來說，只要其數據處理活動涉及歐盟境內數據主體的個人數據，包括對歐盟境內個人活動的監控行為，也要受到GDPR規制(6)參見GDPR第3條。。

二是進一步夯實數據主體的權利。對比1995年《數據保護指令》，GDPR增設了新型的權利類型，其中最引人注目的是刪除權(被遺忘權)和數據可攜帶權(7)參見GDPR第17條和第20條。， 同時延展了知情權和訪問權(8)參見GDPR第12條、第13條和第15條。。總之，GDPR對數據主體的權利規定得如此詳實細致，不僅極大地提升了數據主體對于個人數據的實際控制能力，為個人權利保障提供了堅實的法律基礎，也對企業如何保障實現數據主體的權利提出了更高的具體要求，而且對企業的數據治理體系構建產生了深遠影響。

三是嚴格問責數據控制者和處理者。雖然1995年《數據保護指令》中提出了數據控制者、數據處理者兩個主體概念，但是絕大多數法律要求都是針對數據控制者提出的，鮮有涉及處理者責任。GDPR則直接將數據處理者納入到規范的范疇，明顯加重了數據控制者和處理者的責任，對兩者的約束規范十分嚴格，主要體現在：GDPR規定了控制者和處理者對于數據處理活動的記錄義務(9)參見GDPR第30條。； GDPR規定了對于高風險的數據處理活動，要事先進行數據保護影響評估(10)參見GDPR第35條。； GDPR規定如果數據保護影響評估的結果是高風險，數據控制者則應當就相關數據處理活動向監管機構進行事先協商，監管機構應當在收到協商申請的特定期限內提出處理意見(11)參見GDPR第36條。； GDPR規定了一旦發生數據泄露事故，數據控制者應當在72小時內向監管機構報告，若未能在72小時內通知監管機構的，需要解釋延遲原因，而數據處理者應當在知曉數據泄露發生后及時告知數據控制者(12)參見GDPR第33、34條。； GDPR對于數據安全保障措施，提出了數據控制者與處理者同等的且更加具體的要求(13)參見GDPR第32條。； GDPR還特別細致規定了數據控制者與數據處理者之間的合同內容，同時將數據監管機構的監管權力從控制者延伸至處理者(14)參見GDPR第28條和82條。。

四是監管一致性機制、嚴苛的處罰機制與司法救濟機制。首先，GDPR在規定了監管機構獨立性之外，還明確規定了歐盟監管機構一致性機制，即面對歐盟成員國多個監管機構的情形，為了減少監管成本和企業合規成本，主導監管機構應當與其他監管機構通過一致性機制相互合作、相互協助，彼此分享相關信息，并在恰當的時機開展聯合行動，同時與歐盟委員會加強配合(15)參見 GDPR第63條。。其次，GDPR加重了處罰力度。根據GDPR的規定，如果數據控制者或處理者沒有實施充分的IT安全保障措施，或者沒有提供全面的、透明的隱私政策，沒有簽訂書面的數據處理協議的話，處以1 000萬歐元或者企業上一財政年度全球營收的2%，兩者取其高；如果數據控制者或處理者違反數據處理的一般性原則(包括同意的條件)，侵害數據主體的合法權利，或拒絕監管機構的執法命令的話，處以2 000萬歐元或企業上一財政年度全球營收的4%，兩者取其高(16)參見GDPR第83條。。最后，GDPR規定了若不服監管機構做出的決定或監管機構不作為，當事主體可以尋求司法救濟。如果數據控制者或處理者因違反GDPR而導致數據主體遭受物質上或非物質上的傷害，數據主體有權向數據控制者或處理者提出損害賠償。GDPR同時也規定了消費者機構可以代表數據主體行駛上述司法救濟的權利(17)參見GDPR第26條、第80條以及第82條。。

2.美國

與歐盟不同，盡管美國頻繁遭受網絡攻擊和經歷了無數次數據泄露事件，尤其是臉書數據泄露事件引發了美國社會各界的高度關注，目前聯邦層面的統一隱私立法在國會依然沒有任何實質性進展。相反，作為最早提出隱私權的國家(18)1890年，山姆莉·D·沃倫(Samuel D.Warren)和路易斯·D·布蘭戴斯(Louis D.Brandeis)共同完成了一篇經典論文《論隱私權》(Right to Privacy)，發表在《哈佛法學評論》第4卷第5期上，重點論述了隱私權的基本概念和作為一種新型權利類型的法律保護原則。，美國數據隱私保護立法呈現出非常分散、復雜和技術化的特征，根據各行業的特點有針對性地制定了至少12部不同的聯邦法律[13]102。

(1)聯邦立法

在金融隱私權保護方面，美國國會在1978年通過了《金融隱私權法》(Right to Financial Privacy Act),該法要求聯邦機構只有獲得金融機構消費者的授權、行政傳票、司法傳票或者搜查令的情形下，金融機構才能向前者提供消費者的金融記錄[14]。1999年《金融服務現代化法》第五部分專門對金融消費者隱私權保護進行了規定，明確要求金融機構具有尊重客戶的隱私、保護客戶非公開個人信息的安全和保密性的確定和持續的義務[15]。作為聯邦執法機構，聯邦貿易委員會對該法案的實施主要依靠兩份細則：一份是隱私規則，為了實現保護隱私的目的；另一份是安全保障規則，為了實現保護數據安全的目的[16]。2010年7月，美國頒布了《多德-弗蘭克華爾街改革和消費者保護法案》，其中為金融隱私領域增設了一個消費者金融保護局[17]。此外，聯邦層面涉及消費者金融隱私保護的法律還有《公平信用報告法》《公平和準確信貸交易法》《電子資金轉賬法》，以及《公平信貸機會法》等[18]。

(2)州級立法

隨著網絡攻擊和數據竊取越來越普遍，作為互聯網科技企業的重鎮，加利福利亞州于2002年頒布了《數據泄露通知法案》，這也是全美數據泄露制度的起源。隨后，各州也紛紛效仿分別制定出自己的《數據泄露通知法案》。數據泄露制度主要有兩種功能：一是為企業保護敏感信數據提供驅動力；二是通知數據泄露的個人，使其能夠做出反應以減少潛在的損害[7]104。然而，事實證明鑒于數據泄露事件頻發，該法發揮的實際作用其實并不盡如意。在2018年爆發大規模數據泄露事件的影響下，各州迅速做出回應進一步修訂《數據泄露通知法》，其中有一條規定是向受到數據泄露影響的個人提供免費信用監測服務[7]105。在州級諸多立法中，最引人注目、影響也最深的就是加州2018年6月公布的《2018年加州消費者隱私法案》(California Consumer Privacy Act of 2018,以下簡稱CCPA),此后CCPA又經歷了大量修訂于2020年1月1日正式生效。最近一次重大變化是2020年11月3日加州大選投票中出現的24號提案(投票倡議)，即《2020年加利福利亞州隱私權法案》(CPRA)，獲得了大多數選民的批準，將于2023年1月1日正式生效[19]。CPRA進一步增強了消費者權利，允許消費者可以阻止企業分享他們的個人數據、收集不完整的個人數據和限制企業使用敏感個人信息，諸如精準定位、種族、宗教信仰、基因數據、私人通訊、性取向和具體的健康信息等，同時設立專門的隱私保護機構，即加州隱私保護局，該機構的具體職責包括：執行該州的隱私法、調查和懲處違法者。

3.英國

2010年，面對銀行的僵化與保守，英國競爭與市場管理局(Competition and Markets Authority,簡稱CMA)率先提出開放銀行的正式概念，旨在提升銀行間競爭，改善客戶體驗[20]。2015年8月，英國財政部下令成立開放銀行工作組(Open Banking Working Group,簡稱OBWG)，并于次年3月推出《開放銀行標準》(Open Banking Standard)，該標準充分考慮了歐盟《第二代支付服務指令》(PSD2)和監管技術標準的要求，主要涵蓋以下幾個方面的內容：數據標準、應用程序編程接口(API)標準、安全標準以及運行治理模式[21]。此后，推廣開放銀行的主導權交由CMA，而CMA早在2014年11月10日發起過面向個人和中小企業的銀行服務市場調查，并于2016年8月9日發布了最終的調查報告[22]。報告指出了目前英國銀行業的弊病和面臨得各種問題，這種狀況既不利于銀行業的良性競爭與發展，同時又侵害了消費者的權益。鑒于此，CMA提出了一攬子改革措施，其中最核心的要義就是實施開放銀行[23]。為此，根據CMA的命令[24]， 由英國9家最大的零售銀行于2017年出資共建了一個獨立組織被稱之為開放銀行實施實體(Open Banking Implementation Entity,簡稱OBIE)(19)9家銀行包括HSBC(匯豐銀行)、Barclays(巴克萊銀行)、RBS(蘇格蘭皇家銀行)、Santander(桑坦德銀行)、Bank of Ireland(愛爾蘭銀行)、Allied Irish Bank(愛爾蘭聯合銀行)、Danske Bank(丹麥銀行)、Lloyds(勞埃德銀行)和Nationwide(英國全國銀行)。， 其宗旨是推動開放銀行的落地實施，鞏固英國在該領域的領先地位。

總體來說，英國屬于監管政策驅動的開放銀行發展模式，即監管部門頒布相關監管政策，強制要求銀行開放數據給英國金融市場行為管理局(Financial Conduct Authority,簡稱FCA)審核認證的第三方機構，并規定了API標準、數據標準和安全標準[25]。然而，英國自2021年1月1日起正式脫歐，導致支付監管政策發生變化以致于呈現出“停頓”狀態，而這種狀態要持續至2022年3月底。目前遭到停頓狀態的法規包括《支付服務條例2017》(Payment Services Regulations 2017)和《支付賬戶條例2015》(Payment Accounts Regulations 2015)。但是，英國開放銀行仍在遵循PSD2的相關規定。鑒于英國與歐盟之間關于金融服務業的談判依然不明朗，達成協議更是遙遙無期，無論數據開放的范圍還是機構的數量都會受到較大限制，這無疑給英國開放銀行的長期發展蒙上了一層陰影。

4.國際立法動向評析

盡管歐盟、美國和英國在金融數據治理立法的出發點和思路各有不同，但三者無疑都強調在滿足數據安全和隱私保護的前提下積極推動金融數據的開放、流通與共享。歐盟通過GDPR第20條數據可攜帶權和PSD2第66、67條的規定，賦予個人或用戶對其個人數據或賬戶信息的控制權和可攜帶權。英國同樣通過自上而下、監管政策驅動的模式，積極建立行業標準，設置獨立機構、設定監管權限與構建爭議解決機制等在內的完整治理體系，以及基于消費者數據保護的緣由對訪問銀行數據的第三方進行事先要獲得FCA授權的限制。與歐盟和英國不同，美國采用自下而上、市場驅動的模式，出臺零星的非強制性的指導意見以鼓勵開放。美國消費者金融保護局在2017年發布了有關消費者金融數據共享的九條指導意見，對獲取數據主體、消費者權利等問題進行了規定。同時監管部門沒有強制要求金融機構開放數據，而是給予市場更多自我發展的空間和自我調節的權利[26]。

(三)我國立法現狀與完善芻議

1.立法現狀

到目前為止，我國立法機關制定的《民法典》《數據安全法》《個人信息保護法》只涉及到相關數據權益的內容，而沒有明確數據法律性質，也就意味著數據權的法律定位仍不清晰[27]。總體來看，既有的國家法律賦予了政府更多的數據權力，包括獨立的最高管理權、規劃權、控制權、公共數據歸屬權等。相比之下，無論是全國首部地方綜合性數據立法2021年6月25日出臺的《深圳經濟特區數據條例》，還是緊隨其后2021年11月25日頒布得《上海市數據條例》，兩部地方立法無一例外地秉持促進與保護并重的基本思路，積極探索數據權益利用與保護的新機制，不僅給予了地方政府數據主導權，也賦予了企業和個人更多的數據權益，譬如企業的創新發展權和個人的數據處置權，這些舉措兼顧了數據各方主體的權益訴求，對于數字經濟時代數據資源高效配置、充分發揮數據要素在經濟社會發展中的核心作用提供了強有力的法律保障，為我國今后數據立法提供了很好的示范作用和寶貴的實踐經驗。

2.立法完善芻議

首先，《個人信息保護法》是我國在個人數據保護領域的基本法，具體到多元化的金融數據應用場景，如何正確適用相關的個人數據處理規則，同時滿足“挖掘金融數據價值”和“保障數據安全及隱私保護”的雙核目標，是目前亟需解決的問題[28]。與此同時，應當認識到金融行業和個人金融數據的特殊性，回歸金融數據治理的本源，通過金融領域的專門立法來實現個人金融數據保護與分享是未來的基本方向。

其次，與世界上其他國家設立了專門的數據保護機構不同，《個人信息保護法》的頒布并未改變我國個人數據保護執法“九龍治水”的現象。面對紛繁復雜的數據保護事宜以及來自技術、法律和社會等方面的新問題層出不窮，設立統一獨立數據保護機構是大勢所趨。這不僅有利于數據保護法律法規的實施，也有助于數據糾紛的解決。該機構的具體職責包括：行駛規章制定權、發布行政指導、行使調查檢查權、處罰權和受理調解數據爭議等。現階段而言，由國務院金融穩定發展委員會牽頭協調，人民銀行領銜，具體金融數據保護職責交由各金融監管機構負責。

再次，建立金融消費者數據權保護的特別規范，主要從以下幾個方面入手[29]： 一是賦予金融消費者完備的數據權權能，這就意味著金融消費者作為數據主體享有占有、使用、收益和處分權。具體而言，金融消費者享有數據的最終控制權，可以同意或拒絕金融機構利用其數據。此外，基于數據利用的效率考量，金融機構理應有權分享數據增值帶來的收益，從而提升數據的開發和使用價值，以實現雙贏目標。二是加強金融機構的數據保護義務及責任，要在法律上明確金融機構對數據利用結果作出評估的強制義務，并基于該評估對金融消費者進行自發性保護。三是開展金融消費者教育，發揮金融監管機構在此過程中的主導性作用以及行業協會等自律組織的積極作用，通過舉行各種線上或線下定期培訓，讓金融機構知悉在數據保護領域要承擔的責任和義務，同時又可以讓金融消費者能夠觸手可及地了解數據保護的基本知識。

三、監管維度

(一)監管視域下數據治理的內涵與外延

數據治理是數字經濟時代數據資產變現和數據價值實現的主要途徑，備受業界和相關領域學者的關注。到目前為止，學界和業界對數據治理的具體定義并沒有一個統一的標準。不過，多家研究機構、組織和多名學者從不同的視角給予數據治理更多的理解和詮釋，具有代表性的觀點如下：有國內學者從體系框架角度將數據治理定義為“對組織的大數據管理和利用進行評估、指導和監督的體系框架。它通過制定戰略方針、建立組織架構、明確職責分工等，實現大數據的風險可控、安全合規、績效提升和價值創造，并提供不斷創新的大數據服務”[30]； 有國外組織和研究機構認為，數據治理意指“建立在數據存儲、訪問、驗證、保護和使用之上的一系列程序、標準、角色和指標，以期通過持續的評估、指導和監督，確保富有成效且高效的數據利用，實現企業價值”[31]； 也有研究報告認為，數據治理是治理團隊在數據產生價值的過程中對其做出的評價、指導以及控制(20)2015年5月，中國代表在巴西圣保羅召開的SC40/WG1第三次工作組會議上正式提交了《數據治理白皮書》國際標準研究報告。； 有國外學者對2001年至2019年之間發表得145篇學術文獻和研究報告進行了分析梳理，結合既有研究有關數據治理的特征，將數據治理定義為一個管理數據資產，劃分企業內數據決策的權責，規劃數據策略、標準和流程，并監控合規的跨職能框架[32]。

如前所述，數據治理的核心在于“治理”而非“管理”，目的是保障數據的高效利用和釋放數據價值，實現企業的有序運營，對此，本文將數據治理界定為：以數據為治理對象，在確保數據安全與隱私保護的前提下，建立健全數據管理體制機制以及規則體系，厘清政府、市場、個人等多元參與主體在數據流通的各個環節的權責關系，形成共享、開放以及有序的數據流通模式，從而最大化地釋放數據價值，提升政府公共管理能力和國家治理能力。確切地說，數據治理是各方參與者良性互動，復雜的動態變化的過程。從宏觀視角而言，數據治理是政府、企業以及個人通過采用政策、法律、標準、技術、教育等方法和手段，來實現數據安全與有序流通從而最大限度地挖掘和釋放數據價值的過程；從微觀視角而言，數據治理是不同機構針對各種原始數據進行處理和分析的過程[33]13。

在數字時代，正因為數據具有體量大、種類多、處理快、價值高等特征，造就了數據治理的多樣性特征，其中包括數據治理過程的動態互動、數據治理的整體性、數據治理的時效性以及數據治理的匹配性，具體內容如下[34]：

首先，數據治理的過程是多方參與主體之間的相互作用和相互影響的關系，這就要求數據治理主體能夠準確掌握數據標準、數據質量、數據安全以及數據主體的權責在治理過程中不同環節的關聯性；其次，數據治理的過程強調整體數據的相關性分析和運用；再次，數據治理的過程要求數據治理主體能夠快速應對市場變化，同時對于數據的分析和運用也要精準和快速；最后，數據治理的過程必須符合數據治理主體的實際狀況，展開數據治理之前需要對自身的治理能力做一個全面評估，包括管理與運營模式、業務規模以及風險控制能力等。

(二)監管視域下金融數據治理面臨的現實問題

從微觀層面來看，金融數據治理當前面臨的現實問題有：金融數據治理制度體系構建遲緩、金融數據質量偏低、金融機構之間的數據治理能力差異偏大、金融數據治理的專業化程度不高、金融機構數據治理文化理念缺失以及金融數據孤島與割裂等[35]10。

1.金融數據治理制度體系構建速度緩慢

2018年5月，銀保監會發布了《銀行業金融機構數據治理指引》(簡稱指引)，依據《指引》規定，金融數據治理需要建立完善數據治理架構，實現對數據的全生命周期全覆蓋[36]。詳言之，金融機構的首要任務是在公司戰略層面高度重視數據治理，將其納入公司治理范疇，同時結合實際情況設立首席數據官。此外，金融機構應當確立數據治理牽頭部門，明確各部門之間的職責，構建數據質量控制機制。這產生了一個令人囧境的局面：一方面，《指引》促使金融機構內部架構進行改造升級，這一過程卻是相當耗時費力的；另一方面，這一漫長的過程與大數據時代日新月異的變化格格不入，極大拖延了金融機構發展的步伐。

2.金融數據質量偏低

托尼·費舍爾(Tony Fisher)曾提到：“如果基本數據不可靠，大多數企業的大數據計劃要么會失敗，要么效果會低于預期。造成上述結果的關鍵原因在于，數據生命周期之中流入了不一致、不準確、不可靠的數據。”[34]19長期以來，金融數據來源廣泛、內容龐雜，一直缺乏權威統一的標準和界定，尚且不同的金融機構和組織對同類數據口徑的認知也存在較大的偏差，造成了許多同名不同義的數據，結果是數據“清洗”成本高、碎片化嚴重，使得數據整合利用的難度大幅提升[37]。對此，央行于2021年2月發布了《金融業數據能力建設指引》，旨在為金融機構開展數據治理工作指明方向[38]。金融數據質量治理可以通過“疏”與“堵”的方式持續提升數據質量。具體而言，“疏”意味著加強頂層設計，制定統一的數據架構、數據標準，構建數據質量的管理機制；“堵”意味著通過技術手段，即數據質量工具，來篩查數據處理中的問題[33]20。

3.金融機構之間的數據治理能力差異偏大

大型金融機構，憑借資本、規模、科技、人才以及市場等優勢，在數據治理能力方面占據先天優勢。相較于大型金融機構，不難發現，中小型金融機構受制于有限的資金、薄弱的基礎設施，導致數據處理能力和技術水平較差，迫使他們大多選擇外包和采購來獲取數據治理賦能服務。中小金融機構往往出于經濟成本考量，選擇那些出價較低的數據公司或科技公司，但這類公司的技術水平參差不齊，甚至出現非法獲取數據等非法行為，造成金融數據安全的隱患。

4.金融數據治理的專業化程度不高

金融機構在數字化轉型的過程中對數據治理的價值理解不夠充分，導致其對數據治理的重視程度普遍不足，時至今日，數據治理仍處于發展階段。由于金融機構數據治理起步較晚， 缺乏自上而下的專門治理體系和專業的數據治理人才及實踐經驗，導致金融機構內部數據治理工作各自為政，數據標準不一，專業化程度不高[35]13。為此，《指引》對金融數據治理的專業化作出了詳細的規定(21)參見《金融業數據能力建設指引》第十一條、第十二條、第十四條以及第十五條。。金融數據治理的文化理念缺失引發數據孤島與割裂問題突出數據治理文化理念的構建需要數據治理嵌入公司治理和數據化的運營理念，這就要求金融機構能夠深刻領悟到數據在整個行業數字化轉型中的重要角色和行業競爭中的核心價值。數據治理是一項長期、復雜繁瑣的全局性工程。由于缺少系統性、前瞻性的規劃，且缺乏業務部門和科技部門的協同規劃，造成系統建設較為分散，從而導致機構內數據分散、雜亂，孤島問題突出，關聯性差[35]13。金融行業內數據不能共享，也沒有跟政府數據互通有無，這就會形成數據孤島和數據割裂問題，一方面阻礙了金融創新和發展，另一方面會引發風險管控的隱憂。為此，建立健全開放的征信系統對于打破金融數據孤島與割裂，實現金融創新和健康發展尤為關鍵。

(三)我國金融數據治理監管框架的路徑選擇

隨著英國、歐盟等國家和地區紛紛推行開放銀行模式和相關監管政策逐步落地，開放銀行正成為世界金融業發展的新趨勢，備受關注。在國內銀行，四大行、股份制銀行和城商行都在積極探索符合自身發展的開放銀行模式。與英國和歐盟由監管政策驅動的發展模式不同，中國屬于市場驅動型的開放銀行發展模式。針對以數據分享理念為核心內涵的開放銀行，國內監管層需要運用現代監管手段，同時采取新的監管模式與政策來防范新風險。

首先，明確監管主體，建立監管框架。目前，我國尚未明確對開放銀行監管的專門監管機構，與開放銀行業務相關的指導性規范較少，也未出臺與其有關的監管框架，導致金融機構在開放銀行業務上“千人千面”。因此，現階段有必要采用功能監管與雙峰監管并舉的監管模式,具體做法如下：一是由國務院金融穩定發展委員會、中國人民銀行出面對金融數據進行宏觀審慎監管，協調各監管部門之間的金融數據監管信息，落實各司的數據監管責任，理順各司的職責關系，強化跨部門、跨行業聯合監管能力；二是由銀保監會、證監會分別對各自監管的領域內的金融數據進行監管，加大宣傳教育的力度，提高消費者對數據安全的認識，強化維權意識。此外，鼓勵金融行業自律性組織通過出臺自律性條例進行行業監管，并建立數據和技術共享的監督管理機制。總而言之，該監管規則體系以包容審慎為監管原則，以消費者權益保護為出發點，通過行業監管和機構監管并舉、行業監管先于機構監管的監管模式，防范金融數據開放與共享所帶來的風險，同時積極探索柔性監管，并逐步加大數據監管的靈活度[39]。

其次，制定統一的規范標準和接口接入標準。在現階段，監管部門尚未對開放銀行的發展提出規范標準，而金融數據共享亟需數據標準、應用程序接口(API)標準以及安全標準。另外，第三方機構的資質參差不齊，缺乏市場準入機制，這就容易引發用戶隱私和數據泄露風險、操作風險甚至系統性風險[40]。因此，監管機構需要在API標準、數據共享邊界、數據安全以及共享機構準入等四個方面進一步完善規范制定。一是鑒于開放銀行參與主體多樣，為了避免浪費效能和節約成本，讓不同主體之間的數據互通有無，監管機構勢必要統一API標準規范，這里可以借鑒英國的做法，明確API設計、開發和維護的準則，以實現不同機構、數據庫、端口間數據互聯互通的可操作性和便利性(22)2020年2月，中國人民銀行發布了《商業銀行應用接口安全管理規范》，規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署等安全技術與安全保障要求。。對于數據標準，要明確數據描述、記錄、發布規則和數據格式、質量等。二是在銀行與第三方機構合作時，經常會碰上“哪些數據可以開放、哪些數據不可以開放”等諸多數據開放共享邊界不清晰的問題，監管機構要進一步明晰規范，劃定數據共享的邊界和范圍，這方面可以參考英國《開放銀行標準框架》根據數據的敏感或涉密程度依次分為公開數據、客戶交易數據、客戶參考數據、聚合數據以及商業敏感數據五類，針對不同類別的數據，設定差異化的數據共享權限和形式。此外，在開放銀行模式的背景下，由于風險來源更為多元，責任主體更為分散，權利義務更為模糊[41]， 監管機構要建立高效、便捷的收益分享和風險分擔機制，以及數據共享的糾紛解決機制[42]93， 促進金融數據共享的良性循環。對于金融消費者，監管機構要確保其能夠充分知曉共享數據的范圍、對象、用途等，同時能夠掌握實際共享進程[42]93。三是關于數據安全方面，鑒于金融數據開放共享天然涉及用戶隱私，中國人民銀行于2020年2月發布了《商業銀行應用接口安全管理規范》，規定了商業銀行應用程序接口的類型與安全級別、安全設計、安全部署等安全技術保障要求，為開放銀行的發展提供了制度保障。再者，監管機構未來可以頒布更加詳細的數據安全標準，主要圍繞用戶同意、用戶授權、身份認證以及欺詐監控等四個方面，同時進一步加大對非法盜取、泄露數據等行為的威懾力。四是在商業銀行開放數據、第三方機構提供服務和消費者進行數據授權建立相互融合的開放生態中，為了更好地保護商業銀行和消費者的權益，監管機構應完善和加強第三方機構的準入資質審核，具體包括內控水平以及技術能力等方面，同時增強對消費者的數據授權安全保護。監管機構可以參照歐盟PSD2相關規定在準入管理和授權方面做出進一步指導和制定規范，比如嚴格的客戶數據授權認證(賬戶登錄和支付時開啟身份認證)和對第三方機構進行準入資質管理(設定賬戶訪問權限和規定因消費者賬戶缺陷或欺詐而造成的有關損失由銀行以及第三方機構部分或全部承擔)，以更好地平衡金融數據開放安全、金融服務創新和數據隱私保護之間的關系，并防范系統性金融風險。

最后，建構科技監管與人力監管相輔相成的雙輪驅動型監管。在邁入數字金融時代，科技與金融的融合在帶來各種利好的同時，也暗藏著更多風險。傳統金融監管受制于金融監管固有的信息不對稱、監管技術手段落后以及金融立法的滯后，這就造成在開放銀行面前顯得捉襟見肘[43]76。要突破此困局，監管機構應當建立以數據監管為核心的科技監管模式，其真正的潛力是通過高質量的數據集和強大的計算能力，圍繞數據聚合、大數據處理和解釋、建模分析與預測，從而推動由過去“了解客戶”到現在“了解數據”的轉變[43]83。為此，監管機構可通過人工智能、大數據、云計算和區塊鏈等技術手段的應用實現有效的數據收集、報告、管理和分析流程。在此過程中，監管方通過科技手段從被動監管轉為主動監管，使得監管方與被監管方處于平等獲取數據的地位，同時也形成了一種新型的關系，即分布式平等監管，其深層次含義是監管扁平化替代層級制監管，監管方單一治理轉變為利益攸關方共同治理。此外，不可否認，智能化的動態監管是高效的、客觀的，但是人工智能的負面效應也給監管帶來漏洞，為此傳統的人為監管或許可以成為另一道安全閥，給新形態的監管機制提供了更加可信可控的強有力保障。

四、市場維度

銀保監會2018年頒布得《指引》明確指出，銀行業金融機構應當構建職責邊界清晰的數據治理組織架構，明確各部門之間的職責分工，形成多層次、相互銜接的科學工作運行機制。因此，從市場層面來看，在金融數據治理方面，金融機構要完善數據治理組織架構和相關制度，加大對于金融數據保護的力度。

首先，在組織架構上，金融機構可以依據內部實際管理情況劃分，從決策層、管理層到執行層分級、分層設置數據管理部門和專職崗位，將責任落實到人，構建和完善數據治理組織架構和崗位職責。

其次，在金融數據保護上，金融機構要建立數據安全管理制度，主要涵蓋：一是數據認證授權管理，作為第一道安全屏障，通過嚴格的用戶分級授權和認證授權，對數據進行訪問和使用權限控制，防范非授權訪問，同時堅持數據“最小夠用”原則進行數據授權使用；二是敏感數據使用管理，借助脫敏工具實現對敏感數據進行自動識別、智能脫敏；三是數據安全共享管理，要建立有效的數據共享等級機制，同時要能夠做到對共享數據中敏感信息的脫敏保護；四是設立數據保護官，按照“誰管理誰負責”的原則，專門負責數據保護工作；五是數據安全事故處理，要定期進行數據安全評估與審計，還要建立數據應急預案，模擬發生數據泄露或其他數據安全事故，組織開展應急演練，完善處置流程，保證妥善保障數據安全，降低對金融業務正常運營的影響[35]34-35。

最后，在監管信息報送上，金融機構要建立適應監管數據報送工作需要的信息系統，實現流程控制的程序化，提高監管數據加工的自動化程度。此外，金融機構端要實現與監管端以數字化的方式互相連通：一方面，機構端可以從監管端獲取數字化的監管要求并準確轉化為內部約束，確保機構和業務實時合規；另一方面，機構端可以實時向監管端傳輸數據，動態地形成各種合規報告，減少人工干預，提高準確度，減少合規成本[44]。

五、結語

邁入數字金融時代，數據是金融領域最重要的資源。金融行業中的數據積累、數據傳輸、數據儲存已經為人工智能、大數據、云計算、區塊鏈等數字科技的應用提供了必備的土壤。數字科技不是替代人，而是更好地服務和賦能于人，替代其去做重復單調的操作和程序，從而提升人的生產效率。因此，數字科技是釋放數據生產力的主要途徑和催化劑。數據是數字科技和金融行業的共同基因，兩者天然適配，給金融服務帶來了巨大變革，包括降低運行成本、場景無界融合、擴大數據積累、提升客戶體驗以及提供個性化服務和擴展金融服務的覆蓋范圍等。金融數據治理能力成為金融機構數字化轉型的關鍵所在。一方面，在這一創新升級的過程中，數據的流通與分享為實現個性化服務和風控模型、降低金融服務成本、促進供需精準匹配、提高金融效率以及迸發新業態與新模式提供了不可缺少的前提條件。另一方面，金融數據日益顯現出其商業價值的同時，一旦發生重大數據泄露或重大數據資產丟失，其引發的風險和次生風險對于金融機構而言或許是致命的。因此，金融數據治理的必要性和現實意義在于以下四個層面：一是從維護國家安全的角度出發，限制金融數據的跨境流動的根本目的在于維護“數據主權”，以免數據傳輸方的所在國失去其金融數據的控制權與管轄權；二是從維護金融穩定和安全的角度出發，行之有效的金融數據治理對于防范金融風險的蔓延至關重要；三是從維護金融消費者合法權益的角度出發，鑒于金融機構與消費者之間的信息不對稱容易引發金融機構濫用客戶的金融信息而侵害了個人隱私權和財產權，完善金融數據治理有利于保護金融消費者所擁有的合法數據權益；四是維持金融數據價值與數據安全及隱私保護之間的動態平衡，這也是金融數據治理孜孜不倦地追求目標。

在科技與金融加速融合的過程中，金融數據治理為建設數字化金融發揮了重要作用，具體表現在以下三個方面：一是提供開放統一的高質量、標準化數據；二是提供高效高質的數據應用保障；三是提供強有力的風險管控和決策支持。縱觀而言，金融數據治理是系統性工程，需要從三個維度去構建，即立法層面、監管層面和市場層面。近幾年，國家、地方和金融行業對數據治理的重視程度越來越高，進一步推動了金融數據治理和數據安全防護水平，《網絡安全法》《數據安全法》《個人信息保護法》《深圳經濟特區數據條例》《上海市數據條例》《銀行業金融機構數據治理指引》《個人金融信息保護技術規范》《金融數據安全 數據安全分級指南》等各級各類法律法規政策指引相繼出臺，為數據開放、共享以及監管奠定了法制基礎。未來，隨著金融數據法律性質的明晰和金融數據分類等級保護制度的進一步完善，這有利于構建金融數據生命周期全流程的監管機制，同時將促進金融數據業務的健康有序發展。此外，監管部門采用監管科技與人工監管的協調運行的方式，可以有效保障數據儲存和傳輸的安全性，顯著提高數據流通和使用的合規性，以及促進數據開放與共享。再次，金融機構要完善金融數據治理組織框架，加大對于金融數據的保護力度，同時構建金融機構告知說明義務從而保護金融消費者的合法權益。為此，上述做法將有助于增強我國在國際金融數據治理體系建設中的話語權和影響力。