我國個人金融數據監管困境及其突破
2024-07-18 00:00:00張書葶
理論觀察 2024年4期
摘 要:隨著金融領域大數據技術的廣泛應用,金融行業產生與處理著大量的個人數據。因此,重視個人信息保護和信息安全、尊重和保護金融消費者的權益已成為金融監管的共識。我國的個人金融數據監管目前處于金融市場監管和個人信息保護的交叉領域。但我國傳統監管模式存在明顯的時滯性、數據孤島桎梏著監管能力的提升、監管機構與金融機構之間存在信息盲區、金融監管部門存在科技短板等問題。為突破我國個人金融數據監管困境,應創新監管模式、推動數據開放和共享、把規制型監管向服務型監管轉型、革新監管技術與監管方式。
關鍵詞:個人金融數據;金融監管;監管機構;監管模式
中圖分類號:D912.29;D922.28;F832.1 文獻標識碼:A 文章編號:1009 — 2234(2024)04 — 0115 — 06
一、引言
隨著個人金融數據價值的提升和信息技術的演進與發展,近幾年來,中國人民銀行開具的行政處罰罰單涉事案由中,與“個人金融信息”相關的違法違規行為已經超過了百例,處罰對象涵蓋了銀行、證券公司、消費金融公司和支付機構等。因此,個人金融數據安全形勢愈發嚴峻。銀保監會于2022年8月下發了《關于開展銀行保險機構侵害個人信息權益亂象專項整治工作的通知》,要求各地銀保監局深入整治侵害消費者信息權益的亂象,并在自查的基礎上對銀行保險機構進行監管抽查,進一步完善銀行和保險機構的相關工作機制。此外,《銀行保險機構消費者權益保護管理辦法》于2023年3月1日正式實施,明確了在對客戶數據進行處理過程中,必須遵循“合法、正當、必要和誠信”的原則,以達到保障客戶金融數據的安全性的最終目的。隨著金融機構積累的個人金融數據規模急劇擴張,傳統金融監管模式面臨困境。如何提升監管機構對個人金融數據監管的能力,已成為當下學術界和產業界都亟待解決的問題。
二、個人金融數據保護的迫切性:以河北省劉某非法獲取公民個人信息案為例
公安部于2023年3月15日公布了8起侵犯個人信息①犯罪的典型案例,其中侵犯金融消費者信息安全權的案件尤其值得關注。在河北公安機關破獲的一起非法獲取公民個人信息案②中,犯罪嫌疑人劉某(某金融公司負責人)為開展貸款業務,非法在銀行、保險公司等機構內部人員處購買大量有貸款需求人員的個人金融數據,事后組織員工將大量公民個人信息轉賣,非法獲利630余萬元。
固然,金融機構應高度重視金融消費者金融信息保護,嚴格執行《中華人民共和國消費者權益保護法》和《銀行保險機構消費者權益保護管理辦法》等有關規定,緊密結合前、中、后臺不同部門和不同條線的特點,進一步梳理、完善本行內部規章制度,教育、引導、督促員工切實落實相關法律法規及規章制度①,增強員工個人金融信息保護意識。
但是,金融監管者更應承擔起監管職責并有效發揮監管作用。習近平總書記指出,規范數字經濟發展,需要“實現事前事中事后全鏈條全領域監管”。[1]因此,完善我國個人金融數據監管路徑迫在眉睫。為此目的,我們有必要首先梳理我國個人金融數據監管現狀及其困境。
三、我國個人金融數據監管現狀及監管困境
(一)我國個人金融數據的監管現狀
根據國務院關于提請審議國務院機構改革方案的議案,將組建國家金融監督管理總局(以下簡稱“國家金融監管總局”),同時不再保留中國銀行保險監督管理委員會(即“銀保監會”)。此舉將“一委一行兩會一局”轉變為“一委一行一總局一會一局”,即,國務院金融穩定發展委員會、中國人民銀行、國家金融監管總局、證監會、外匯管理局,形成中央統籌、央地雙層協調的金融監管格局,呈現出具有中國特色的“雙峰監管”模式。改革后,金融監管體系強化宏觀審慎監管和系統性金融風險防范,集中微觀金融監管資源,實現金融業務監管全覆蓋,融合了基于實體、功能和行為等監管理念,有助于避免監管真空、監管不足和監管重疊,比改革前的“一行兩會”監管格局更能適應混業經營現實,其中中央金融穩定發展委員會的設立有助于從縱向和橫向上分別統籌促進央地之間以及不同監管機構之間的監管協調。[2]盡管如此,具體到個人金融數據監管,依然存在一些監管困境。
(二)我國個人金融數據監管困境分析
其一,傳統監管模式存在顯著的時滯性。[3]由于金融市場具有高度動態性、易變性和自我調整性的特點,故而預先設定的規則無法適應社會發展的速度。我國目前采取的仍然是“命令-控制”型的監管模式。[4]主要以統計報表和現場檢查等方式,以事后發現、事后懲戒為主。監管機構無法實時動態進行數據分析,只能依賴金融機構報送監管數據和合規報告,有關風險的識別嚴重滯后。不僅起不到規制作用,甚至會抑制金融創新,貽誤金融風險的治理時機②。另一方面,互聯網技術的集約性使其發展速度相對較快,但現行的監管模式也因其存在滯后性而無法適應目前的互聯網金融現狀。例如,在大數據、云計算等技術領域,尚未建立與之相配套的監管體系,個人金融數據泄漏的現象屢見不鮮。在2022年,包括銀保監會、人民銀行和國家外匯管理局在內的各銀行業監管機構,向銀行和從業人員發出了5555份罰單③。其中共計149張罰單與消費者信息保護有關,此類罰單在消保領域所占比例高達72%。尤其引發關注的是,在個人信息保護領域首次出現了兩張千萬級罰單,較2021年整體罰沒金額增長超過20%。由此可見,這種監管模式存在明顯的時滯性,監管機構不能及時有效地對違規行為進行處置,而對違規行為進行有效的前瞻預防、識別、預警等方面也存在諸多不足。這嚴重影響到對金融風險的全方位穿透與監督,也制約了對金融風險的有效識別與控制。
其二,數據孤島現象桎梏監管能力的提升。第一,目前我們國家所采用的“豎井式”監管數據結構,這種監管報送方式具有單向性和強制性的顯著特點。監管機構在與被監管對象以及其他有關主體之間的關系中處于強勢地位,而金融機構處于被動監管的處境。這會導致二者之間缺乏一種平等的常態化交流機制。隨著5G的落地,萬物互聯時代開啟,數據資源的價值將被進一步挖掘。金融科技的發展深刻依賴于數據資源,但當前全網海量數據的分布仍具高度分散性,政府和公共服務機構、金融機構、數字科技企業等分別掌握一部分數據,打破全網數據孤島和價值沉睡成為金融科技行業發展的必然要求。④第二,在通常情況下,金融機構都會嚴格控制對外用戶數據共享,致使各個平臺無法實現對用戶全面而又精準地畫像。例如,個股除了需要常規的價格等信息之外,還需要從外部來獲取信息,諸如法院、征信部門、工商部門和網絡負面輿情等。再通過知識圖譜分析法,分析數據之間的關聯情況。然而,由于“數據孤島”現象的存在,使得對個人金融數據監管更加困難,這也成為目前迫切需要解決的問題。
其三,監管機構與被監管機構之間存在信息盲區。在數字金融背景下我國個人金融數據隨著技術的發展呈現出了動態性的特點,監管機構與被監管機構之間出現信息不對稱的現象。例如,具有“去中心化”特征的比特幣利用密碼學進行安全設計,它不只交易是自治的,發行也是自治的。作為一個組織,其是完全的社群自治,不需要領導者居中協調,不受中央發行機構控制,這使得監管部門難以對其有效監管。再如,隨著互聯網金融業務的多元化發展和金融產品類型的增加,給以往的監管政策帶來很大挑戰。特別是在網絡借貸領域,監管機構與被監管機構存在信息差。即使互聯網金融協會已經成立但相應的法規、行業規范等制度尚不完善,進一步加大互聯網金融監管的難度。[5]在傳統金融機構以外的數據公司和金融科技公司,它們往往會利用非法數據爬蟲等手段收集和使用大量的個人金融數據,在不具備合法性的情況下幫助金融機構實現貸款風控或者債務催收等目的。由此,金融數據控制者從傳統金融持牌機構演變到脫胎于互聯網企業的新型持牌金融機構甚至非金融機構,造成負面社會后果①。
其四,金融監管部門存在科技短板。在金融交易日趨復雜化的背景下,金融科技平臺企業紛紛加大對用戶數據收集、挖掘與分析的力度或者利用各種零散的個人信息對完整的用戶信息進行拼湊以獲得更大的商業利益。盡管如此,目前我國金融監管部門的科技水平仍遠滯后于金融機構對金融科技的運用水平。
四、國外個人金融數據監管借鑒
(一)歐盟:全方位多層次的監管體系
歐盟提供一套以歐盟規則為范本的全方位、多層次的數據監管規則體系。2018年5月25日,GDPR(《通用數據保護條例》)正式生效,在歐盟成員國創設了相同水準的數據保護標準,被稱為史上最嚴格、保護水平更高的數據保護規則。這不僅是歐盟長此以往堅持個人數據隱私保護的優良傳統,更是歐盟立法者在數字經濟背景下應對新技術不斷涌現而進行的一次前瞻性思考與戰略探索。GDPR對數據監管機構的機構設置、職責范圍、法律適用范圍、權利類型和嚴格問責數據控制者和處理者等方面都提出明確要求。[6]在機構設置方面,明確規定主導監管機構應該與其他監管機構利用一致性機制進行相互合作、相互協助、共享信息,并在適當的時機開展聯合行動;在監管機構的職責范圍方面,規定監管機構享有調查權、矯正權、授權和建議權;在法律的適用范圍方面,GDPR保留了“屬地”因素的基礎之上還增加了“屬人”因素;在權利內容和類型方面,增加被遺忘權和數據可攜帶權,并延伸了知情權和訪問權的范圍;在責任和義務方面,GDPR在法律上對其進行了嚴格的限制,直接將數據處理者納入規范的范疇之中。GDPR確立了個人數據保護權,強化了個人對其數據的控制權,加重了數據控制者及處理者義務和責任,完善跨境數據傳輸機制,進一步強化了監管機構的獨立地位及權力,創立了歐盟數據保護理事會,構建了三個不同層次的數據保護機構體系,為數據主體提供了更廣泛的行政及司法救濟權,并賦予監管機構明確的處罰權限。②GDPR盡量平衡并兼顧了數據主體的權利與其他合法權益,為全球范圍內提供了一套以歐盟規則為樣板的數據治理規則體系,讓歐盟在全球范圍內成為數字經濟秩序的領跑者。[7]
(二)英國:邊發展邊規范的創新金融監管體系
“邊發展邊規范”是英國金融數據監管的顯著特點。歐洲國家之所以高度重視個人信息安全保護,主要是遭受了慘痛的歷史教訓。[8]英國在創新監管方面所采取的舉措有兩方面。
其一,實施監管機構改革。由“一元綜合監管”轉變為“二元雙峰監管”:將英國金融服務監管局(FSA)拆分為實行“二元雙峰監管”的審慎監管局(PRA)與金融行為監管局(FCA)。FSA側重于實施宏觀審慎監管職能,其法定目標是制定規則,廣泛調查和權力執法。FCA則側重對具體金融活動進行監管,其目標在于通過采用類似的新技術,幫助新興的金融科技行業突破傳統金融監管的桎梏和網絡安全的威脅,這也標志著監管科技時代的到來。
其二,實施監管沙箱政策。“監管沙箱”是實驗性監管模式的典型例證,該沙箱能夠為金融科技公司提供一個有效的模擬環境。在確保消費者利益得到保障的前提之下,監管者對入圍沙箱測試的企業實施“松綁”,這表明“先發展后規范”的發展思路被“邊發展邊規范”所取代。為鼓勵金融創新、防范和控制金融風險,“監管沙箱”將風險控制與發展高度結合起來以形成長效的監管機制。其主要目的是暢通監管機構與被監管機構之間的溝通交流渠道,提早介入金融科技信息的全流程并予以政策輔導。監管機構亦逐漸意識到,在科技日新月異的時代應秉持多元化與開放的監管態度。“監管沙箱”政策的實施,為監管主體對金融創新放松監管提供了法定依據,有利于監管機構合理權衡各利益相關者之間的利益關系。總體而言,有助于金融創新的集群發展。
(三)美國:金融隱私權的功能性監管模式
其一,設立功能性的金融數據監管崗位。2013年,美聯儲為實現對金融數據監管、第三方的信息利用以及金融業務的合規監管,設置了專門的首席數據官及數據官辦公室。[9]這類專門崗位的設立,促使美聯儲數據治理更加清晰且合規。不僅實現了金融數據的治理目標,而且能夠在專人指導下有效落實相關流程,較好地控制金融機構正當使用用戶信息。此后,花旗集團、摩根士丹利等美國金融機構效仿美聯儲陸續設立類似機構,以強化本行數據管理與治理實效。
其二,規定金融機構的披露義務。美國在保護金融消費者的個人金融數據權益方面,針對金融機構的披露義務、金融機構對第三方的隱私披露、金融機構向第三方披露非公開個人信息的限制以及對于某些信息的重新披露和重復使用的限制和消費者選擇退出的方式①等做出了明確的規定。[10]除非滿足以下四種情形,否則嚴禁金融機構向第三方關聯機構披露金融消費者的非公開個人信息。這四種情形包括:提供初始通知、提供選擇退出通知、向第三方披露信息前給消費者合理選擇和消費者自行選擇不退出。此外,金融機構使用金融消費者信息受到披露范圍、披露對象等層面的限制,只能對自己的附屬機構或是在規定范圍內的關聯公司披露信息。
其三,實施功能性、多層次監管布局。在功能定位和部門設置的角度解讀美聯儲的職責,其主要負責監管銀行、證券公司、保險公司和金融控股公司等各類機構以及金融基礎設施。其內部新設的消費者金融保護局(CFPB),相對獨立地行使消費者權益保護職責。而美聯儲與聯邦存款保險公司負責共同處置發生的系統性風險,并將對沖基金、私募基金和場外衍生品納入監管范圍。美國為實現功能性、多層次的監管布局,不僅設立了證監會、消費者金融保護局、聯邦保險辦公室和貨幣監理署等政府監管機構,還有區塊鏈技術國際聯盟R3CEV等自律組織。[11]
其四,具有完備且靈活的法律監管體系。1934年美國聯邦《證券交易法》規定,任何上市企業或須向證券監管機構提出申報的公司,都必須建立和維護一個內部會計監控系統,以保證一切交易、接觸和取用資產都必須得到管理層的一般或特別授權。1978年《金融隱私權法》規定,在聯邦機構獲得金融機構消費者的授權、行政和司法傳票或者搜查令的前提之下,金融機構才能向聯邦機構提供消費者的金融數據。1999年《金融服務現代化法》規定,在未得到有關各方同意的情況下,諸如銀行等金融機構不得將其客戶未公開的私人識別信息共享給無隸屬關系的第三方。在數據合規層面影響力比較大的有《2018年加州消費者隱私法案》(以下簡稱CCPA)和《2020年加利福利亞州隱私權法案》(CPRA)。CCPA要求告知數據主體何時以及如何使用其個人數據,且消費者有權在其個人信息修改時應與企業溝通更正或刪除。②
五、我國個人金融數據監管困境的突破
(一)創新監管模式
其一,采取實驗性監管模式。實驗性監管模式,即監管機構制定一項新的監管政策之前,首先要在一個受控的環境里激勵金融創新,通過觀察、試錯和交流的實驗方式實現監管機構與金融機構之間平等高效的信息交流渠道。隨后監管機構通過主動與受監管者進行接觸和溝通,改變以往監管的被動性和應對性。使其能夠更加全面地理解和掌握創新的本質、收益及風險。提前采取預警措施降低金融創新風險,主動地實施監管對策防范監管套利,最終制定出符合事物發展規律、科學有效的監管政策。[12]
其二,完善功能監管。近年來,我國在保持現有的分業監管制度的基礎上,引入了“功能監管”的理念,這一理念釋放出“金融大監管布局”的訊號。一方面強調了金融監管權力的有效整合和內部的數據互通,另一方面也給監管數據安全保障義務的劃分和責任人的識別,以及后續的問責機制的落實帶來了新的挑戰。針對非金融機構所從事的創新金融活動,原有監管模式缺乏監管能力且存在著較大的缺陷,而功能性監管則能很大程度上彌補此弊端。[13]同時值得注意的是,銀行業的標準和監管預期除了適應新的創新,同時應當保持適當的審慎標準。[14]
其三,兼用行業自律的管理模式。作為一種有效的市場治理手段,行業自律在約束市場主體不良行為、維護市場正常運營秩序上有著自身獨有的調控空間,被視為一種補充政府監管的治理路徑。隨著互聯網金融、大數據金融的迅猛發展,強調政府適度監管下的自律管理成為新形勢下金融信息保護的必然選擇。
(二)推動金融數據開放和共享
其一,監管機構應牽頭建立金融數據共享平臺。比如在金融業綜合統計的框架下,國家金融監管總局構建長效的數據共享機制,高效共享銀行及證券與保險公司的運行數據,提高了對交叉性金融活動、系統重要性金融機構和金融控股公司等關鍵領域的統計監測能力;同時,金融監管部門積極構建與公安、海關、工商、社保、稅務等主管部門的數據共享通道,形成金融機構與各領域實現數據共享高速路,有效提升了風控、反欺詐等各領域的技術保障能力。為實現監管協作和有選擇的數據共享,應當鼓勵多個監管主體之間構建協同監管機制包括金融監管部門之間的協同,以及與其他領域的協同;引導金融科技企業逐漸開放數據源,利用信用信息服務平臺和數據交易流通來打破數據壟斷和數據壁壘;作為企業數據資產、數據服務的重要提供者,數據中臺的概念得到了業內的廣泛關注。數據中臺可以簡單地理解為數據服務工廠,在數據獲取階段,數據中臺可以打破數據孤島,全面、實時、高質量地采集不同來源和類型的海量數據。①
其二,數智化助力央地監管協同。國家“互聯網+監管”系統是國家政務服務平臺在推行“互聯網+政務服務”后的另一項重大工程。該項工程基于阿里云構建基礎設施,構建大數據平臺、實現跨部門數據共享和綜合利用,具有風險預警、監管效能評估、信用評估等能力,對金融業構建全方位監管體系具有借鑒意義。以廣東省為例,該省是全國最早一批設立省級地方金融工作部門的省,積極落實防范系統性風險的要求,著力構建央地協同的多層次監管框架體系,包括制度體系和組織職責的協同,以及專項工作和專班的協同,其中智能化的防控體系發揮了基礎支撐作用。比如建設金融風險防控平臺,實現主動發現—精準預警—深度分析—協同處置—持續監測的全鏈條防控機制和閉環管理,“做到有風險早發現,發現風險及時提示和處置。”②
其三,利用監管沙盒在市場中嵌入政府監管,使監管者和創新者之間實現“結構化”和“透明化”。起源于英國的“監管沙盒”制度,為我國在金融科技迅猛發展的大背景下改變金融監管的執法模式,提供全新的思路和方向。[15]“監管沙盒”是國家為被選中的互聯網市場主體提供的一個模擬真實市場的“縮小版”試驗地。在“沙盒中”,政府通過適當放松的監管方式,促進被選中的金融科技企業大膽創新。實時掌握并跟蹤記錄了大量的互聯網金融市場數據和金融消費者的真實消費體驗。入選的互聯網金融市場主體將會以這些數據為基礎,不斷完善和改進自身金融創新的方式,并保障最終投入市場的效果。
(三)由規制型監管轉向服務型監管
由于互聯網金融的發展受到信息不對稱的制約,以及傳統信息監管手段仍存在的“瓶頸”。因此,監管機構應當將其功能由“監護”向“服務”轉換,并充分尊重市場機制在其中的作用。由于金融機構規模大、經營范圍廣,必然交叉不同種類的金融數據。[16]故將互聯網金融監管者的角色由風險管制者轉變為信息服務者,它不僅要求從監管的角度來保證互聯網金融市場主體的信息充分流動;更要以信息服務者的身份為各市場主體提供量多質優的市場信息,組織、協調和監督多邊主體,并協同解決市場信息不對稱問題。同時,應積極推進金融監管機構與傳統金融消費者權益保障機構之間的聯動:金融監管機構負責監管金融領域的數據安全;傳統金融消費者權益保障機構則負責識別和懲戒侵犯消費者數據權益的行為。為了建立良好的金融市場秩序、保障金融穩定與可持續發展,這不僅要求監管機構在充分了解大數據、人工智能等金融創新業態的基礎上,對金融市場參與主體進行有效監管,更需要各類被監管主體能夠積極主動配合監管,以提高監管有效性。[17]
(四)革新監管思維與監管方式
其一,在監管領域運用監管科技和大數據技術。監管機構首先應自覺樹立技術驅動型的監管思維,將管理和技術手段結合,保護用戶個人金融數據。針對云計算、大數據等新技術新業務帶來的個人信息保護挑戰,必須與時俱進。進一步加強大數據環境下網絡安全防護技術建設,做好大數據平臺的可靠性及安全性評測、應用安全評測、監測預警和風險評估。其次應當以行業內現有成熟的大數據技術和云計算技術為基礎,將人工智能、區塊鏈技術和云計算運用到個人金融數據監管和合規管理等領域,以構建具有實時性、動態性和技術化特點的監管系統。這不僅能大幅提升個人金融數據風險識別的實時性和精確性,而且可以實現對個人金融數據在整個生命周期中的全流程監管。
其二,提升數字化監管與合規能力,實現智能高效監管。[18]一方面逐步完善數字化監管協議,運用智能監管系統,構建監管大數據平臺,提升監管數據報送的數智化水平。在具體的監管方案與工具上,可尋求與金融科技領域內監管科技公司的監管合作,根據監管當局迫切要解決的問題采購其監管技術或監管指標測度方案,使行業內數字化工具為監管所用。
其三,采取科學監管與人力監管協同運作的方式。在金融實踐的風險處置階段中,從業人員的經驗判斷無法取代,人為的介入更是必不可少。加強監管人員的信息科技知識培訓,合理提高金融科技人員占比,對金融科技人員進入監管領域建立準入標準,培養科技與金融的復合型專業人才。[19]
〔參 考 文 獻〕
[1]習近平.不斷做強做優做大我國數字經濟[J].求是,2022(02):57.
[2]黃靖雯,陶士貴.數智化階段的金融科技:風險與監管[J].蘭州學刊,2023(04):1-21.
[3]張永亮.金融監管科技之法制化路徑[J].法商研究,2019(03):127-139.
[4]孫遠釗.美國與歐盟對數據保護的梳理與參考[J].政法論叢,2021(04):98-113.
[5]Chunxi Zhou,Wenyu Zhu.Researchon Financial Supervision Issues Relatedtothe Ant Financial Event[J].Academic Journalof Business & Management,2022,4(15).
[6]京東法律研究院.歐盟數據憲章:《一般數據保護條例》GDPR評述及實務指引[M].北京:法律出版社,2018:2.
[7]陳振云.我國金融數據治理法律構建的三個維度[J].貴州大學學報(社會科學版),2022(05):80-92.
[8]尼古拉·杰因茨.金融隱私一征信制度國際比較[M].萬存知,譯,北京:中國金融出版社,2009.
[9]張凱.金融數據治理的突出困境與創新策略[J].西南金融,2021(09):15-27.
[10]劉友華,任祖梁.消費者權益保護視域下金融APP數據處理的規制研究[J].消費經濟,2022,38(01):19-30.
[11]張凱.金融科技:風險衍生、監管挑戰與治理路徑[J].西南金融,2021(03):39-51.
[12]胡玲,馬忠法.論我國企業數據合規體系的構建及其法律障礙[J].科技與法律,2023(02):42-51.
[13]廖凡.論金融科技的包容審慎監管[J].中外法學,2019(03):20.
[14]Sound Practices: Implicationsof Fintech Dev-elopmentsfor Banksand Bank Supervisors[R].Basel Committeeon Banking Supervision,2017.
[15]劉輝.論互聯網金融政府規制的兩難困境及其破解進路[J].法商研究,2018,35(05):58-69.
[16]Wei Zhang.Researchonthe Supervisionof Sys-
temically Important Financial Institutionsin China[J].Management,2023,6(02).
[17]何亮亮,王鑫田.數字化時代金融科技監管困境與完善路徑[J].南京郵電大學學報(社會科學版),2021(06):33-44.
[18]黃靖雯,陶士貴.數智化階段的金融科技:風險與監管[J].蘭州學刊,2023(04):1-21.
[19]吳江羽.金融科技背景下金融數據監管法律框架構建[J].西南金融,2020(11):76-85.
〔責任編輯:包 闊〕
