论文部分内容阅读
数据治理已成为数字产业发展的重要基础,在消费者隐私权益保护、数据共享流通、数据价值挖掘、数据跨境流动等领域,各国出自其政治、经济及数字产业、信息规模的特征,采取了差异化的数据治理路径。我国积极探索建立金融业数据治理框架,可执行、可落地的相关办法仍有待完善、细化。本文建议我国通过立法、行业监管指引等多层次规制框架,在服务于我国经济发展的前提下加快探索和完善数据治理框架。
从长远发展看,数据是生产力的资源。2019年11月,党的十九届四中全会首次将“数据”列为生产要素参与社会分配。数据是国家重要的战略资源。针对数据的理解,应明确数据兼具保护与利用两种属性,需要对个人利益和公共利益加以调和:数据中属于隐私的部分应划归隐私保护范畴,其余部分可合理、合法加以利用。正如欧盟《一般通用数据保护条例》(GDPR)开篇即表明,本条例制定关于处理个人数据中对自然人进行保护的原则,以及个人数据自由流动的规则。金融业数据具备一定特征,其数据治理需要在保护与利用平衡的框架下,针对这些特征审慎开展。
金融业数据特征
信息化时代以来,金融业作为信息的密集接触者、处理者,在有意识或无意识状态下积累了海量数据,作为交易、管理凭证。随着大数据技术的发展,埋在数据下的信息价值逐渐凸显。合理、合法利用数据蕴含的信息价值,需要明确金融业数据特征及数据治理难度,有的放矢地加以应对。
金融业非结构化数据占比提升,协同治理机制亟待建立。金融数据来源众多,数据结构相对复杂,同一金融机构内部的数据甚至存在数据口径不一、矛盾等情况。早期金融機构在收集数据阶段对元数据的结构设定欠缺合理性,为数据治理及应用带来难度。近年来,随着金融机构与互联网平台合作更加密切,非结构化数据规模大幅提升,限制传统数据库技术、数据挖掘工具和数据清洗工具的使用效果。同时,金融基础设施的数据治理缺少规范指引,金融行业数据协同治理机制较弱,常常存在不同机构的数据无法对接、形成一致数据库的问题。
金融数据权属及使用规范尚待明确。我国在数据确权方面的规制尚未形成清晰、明确的法律及实操指引。针对数据获取、数据挖掘及使用、数据交易等的管理制度尚未出台。现行法律框架下,部分金融机构在获取客户个人数据时存在过度采集、滥用和侵权行为。由于数据天然的可复制性、可共享性等特点,不乏存在金融机构或金融科技企业出售基于用户数据的脱敏数据库或行为分析报告等现象,存在潜在隐私侵犯风险。2020年7月,《中华人民共和国数据安全法(草案)》要求确立数据分级分类管理及风险评估、监测预警和应急处置等数据安全管制基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任等。《个人信息保护法(草案)》强调保护个人信息权益、规范个人信息处理活动。两部法律主要强调了保护消费者隐私权,并无触及数据权属问题。
金融业数据涉及国家安全等重大问题。部分金融数据的核心价值涉及国家安全问题,吸引了各类型有组织犯罪,为国家安全带来威胁。2020年我国出台的《金融数据安全数据安全分级指南》(JR/T0197-2020)将金融数据分为五级,其中第五级数据即为金融行业大型或特大型机构、金融交易重要核心节点的关键业务数据。若此类数据安全性遭到破坏,对国家安全、公众权益将造成重大影响。因此,对于金融数据的跨境流动,各国监管提出了较高要求。美国以维护数字竞争优势和强化“长臂管辖”为主旨,通过《澄清境外数据的合法使用法案》(又被称为“云法案”)提出限制特定领域外国投资的数据跨境流动。《外国投资风险审查现代化法案》规定对于涉及“关键技术”“关键基础设施”“关键或敏感数据”的美国企业做出的特定非控股外国投资,都会被纳入安全审查范围。欧盟则遵循“外严内松”政策,对其数据跨境流动白名单国家允许数据跨境自由流动,其他国家则需要面临严格的跨境数据流动限制。日本积极参与跨太平洋伙伴关系协定等数据规则体系,也成为欧洲《一般通用数据保护条例》白名单国家。我国基于《网络安全法》《个人信息和重要数据出境安全评估办法》(征求意见稿)等,加强数据出境规制。
国际金融业数据治理现状与发展方向
近年来,在信息技术的蓬勃发展趋势下,针对数据获取、使用、流通、安全保护等议题重要性凸显。欧盟、美国、日本、新加坡等国家在金融业数据治理方面表现出了差异化的道路选择。
欧盟以GDPR为主要数据治理框架。欧盟是数据保护制度最完善的区域之一,也是金融业高度发达的区域。欧盟金融业数据治理监管特征主要体现在以下方面:
第一,欧盟金融机构采集、利用客户数据规范化,金融机构合规成本增加。2018年5月25日起,GDPR在欧盟成员国正式生效。GDPR对金融业不同情境中的数据治理问题进行了规范,对于数据主体权利、数据处理者义务、数据监管范围等作出明确规范和要求,整体思路更强调对个人隐私的充分保护。GDPR定义了何为个人敏感数据,认为涉及种族民族、政治观点、宗教哲学信仰、工会成员身份、健康及性取向、基因数据、经处理可识别的特定个人生物识别数据(如人工智能技术下的人脸识别等)。基因数据和生物识别数据是金融企业、金融科技企业进行身份认证、了解你的客户(KYC)调查、风险控制等业务的基础信息来源。GDPR提出,金融企业在获取此类数据时应避免模糊且难以理解的语言、冗长的隐私政策等获得数据许可。GDPR要求金融企业在线上服务中获取用户行为记录(如搜索、点击、收藏、购买、支付等)必须经过用户的同意,否则按“未告知记录用户行为”做违法处理。此外,GDPR规定了用户具备“被遗忘权”,即可要求金融机构删除关于自己的数据记录。若金融机构违反GDPR规定,其面临的罚金最高可达2000万欧元或全球营业额的4%。金融数据的长期缺失也将限制金融机构在经营分析、精准营销等方面的智慧化能力,影响欧盟区银行业数字化转型步伐。
第二,欧盟金融机构数据垄断被立法规制,新型金融科技类企业无须面临数据歧视。2019年3月14日起,《支付服务法令II》执行,要求银行等大型金融机构必须为第三方机构创建和开放测试环境,以方便第三方机构通过应用程序接口收集信息。该法令旨在破除大型金融机构的数据垄断,允许新进入者共享金融数据。该法令的通过建立在GDPR关于数据可携权基础之上。可以看出,欧洲金融数据监管的思路总体遵循“严入、公平”思想,通过严格控制个人信息的采集端对个人用户的隐私权进行充分保护,通过鼓励合法采集数据的流通及应用防范数据垄断风险,实现“个人利益”与“公众利益”的较好平衡。 美国形成州层面、行业层面分散化数据治理框架。美国并未在联邦层面制定统一的数据隐私保护基本法,对金融领域存在美国《银行保密法》(U.S. Bank Secrecy Act,简称 BSA)。美国对金融行业数据治理的出发点主要为寻求金融安全与数据价值的平衡。BSA要求银行业对特定交易的数据保留超过5年、甚至更长时间,以备反洗钱或其他犯罪调查。从州层面来看,2018年6月加州通过的《加州消费者隐私保护法》(CCPA)堪称美国最严厉、最全面的个人隐私保护法案。该法案已于2020年1月1日生效。美国金融业数据治理监管特征主要体现在以下方面:
第一,美国金融机构整体受到的数据监管环境相对宽松化、碎片化。与欧盟不同,美国对于数据的监管与治理环境相对宽松。美国是全球最大的数据生产国之一,互联网信息科技的发达程度居世界前列。美国对于数据交易合法化进程保持较大推动力度,在立法中明确了数据交易的合法性。数据经济商(Data Broker)可合法收集并分析数据,并进行交易获取利润。为了鼓励互联网新兴技术及产业的发展,美国对个人数据保护力度有限。CCPA是近年来被称为最严格的个人隐私保护法案,相较GDPR,该法案仍更宽松,主要表现为两个方面。其一,适用CCPA要求的机构范围较GDPR覆盖机构范围更小。CCPA仅适用于满足年收入超过2500万美元或出售个人信息收入超过年收入50%以上的金融机构。其二,CCPA仅借鉴了GDPR在数据主体權利、数据泄露的预防和问责机制等方面的措施,赋予了消费者针对个人数据的访问权、删除权、知情权等权利;要求企业应披露收集到的数据,不得随意出售数据。但CCPA摒弃了GDPR中关于数据跨境流通的部分闲置,鼓励个人信息的商业流通。美国其他州数据保护法均在探索中或其力度较CCPA的要求更为宽松。
第二,美国数据反垄断问题成为未来重要关注点。从价值取向上来说,美国充分认可并鼓励金融机构充分利用数据,为其经营行为提供指引,助力美国金融机构增强国际影响力。随着大型科技企业的崛起,为了保护数字产业、金融产业的良性发展,美国已着手对数据垄断问题进行治理,市场执法机构对数据驱动型的并购交易将进行更严格的审查,并将充分考虑数据垄断对市场竞争和消费者隐私保护带来的不良影响。
日本数据治理框架向优化数据利用方向倾斜。日本《个人信息保护法》与2005年施行,并分别于2015、2017年进行修改。修订法案在立法目的中增加了“在对个人权利利益加以保护的同时,还考虑到个人信息正确且有效地使用有助于增加经济产出、创造有活力的经济社会、丰富国民生活及其他有用之处”。整体而言,日本的数据监管与欧盟的要求及发展路径较为相似,均从个人数据隐私立场出发,平衡数据价值利用与消费者个人隐私保护。
日本金融业数据监管与欧盟接轨,享受跨境数据流动红利。日本从数据规模、互联网产业发展等角度来看,其数字经济发展步伐慢于美国等发达国家。因此,从需求情况而言,日本对于国内数据治理的监管需求更贴近于形成与世界领先国家较为统一的监管框架,促进其国内金融机构与国际金融业接轨,推动金融业开放。目前,日本已通过立法改革和双边承诺晋级欧盟GDPR白名单,其支持推广的其他数据标准包括经合组织的隐私准则、亚太经济合作组织(APEC)隐私框架原则等。基于政府背书的白名单机制将对区域中的金融机构带来政策红利,金融机构将可以获得稳定、便利、且合规负担及风险最小的跨境数据流动方式。
新加坡金融数据治理走在亚洲前列。新加坡是东南亚地区数字产业较发达的国家之一,新加坡政府注重数据治理,鼓励在严格保护个人隐私的前提下,探索充分利用数据价值。新加坡政府积极推动数据领域的合作机制,于2018年加入APEC主导的跨境隐私规则体系(CBPR),并充分借鉴东南亚国家联盟数字信息管理框架和经济合作与发展组织隐私原则等,使得新加坡的数据治理走在亚洲前列。
新加坡金融机构须承担九大数据保护责任。2012年10月,新加坡国会通过《个人数据保护法》(PDPA),并于2014年正式实施。2013年颁布PDPA的附属法例《个人数据保护条例》。条例规定,金融机构等收集、使用数据的主体部门要承担九大责任,包括获得个人同意、告知使用目的、依法限制数据使用目的、保证数据的准确性和完整性、保证数据的安全性、满足数据储存限制要求、依法跨境流动、允许个人获取和修改数据、接受问责等。新加坡对金融数据的监管政策可执行性较强,对金融机构的数据进行分类、上传、数据共享等均形成较为完备的操作细则。同时,新加坡还要求金融机构在征求消费者数据采集同意时设有“不许呼叫注册”规则,用于规范通过电话、手机短信等方式的营销行为。此外,为了应对金融领域复杂的数据治理问题,新加坡在个人数据保护委员会下设金融数据治理主管部门。
新加坡致力于探索更加包容、有效的数据监管模式。新加坡对于数据采取分类治理思路。对绝大多数可公开、对增强其数字经济发展有利的数据,新加坡政府十分支持此类数据资源的开发、采集和汇总,并对此大力推进。例如,新加坡通过构建“开源数据库”项目,由公共部门收集的数据将对所有人开放,所有社会角色也都能参与到城市的建设和发展中。对于金融等领域,涉及到个人隐私保护、国家安全的数据,新加坡积极探索在现有法律框架下的试点创新。2017年7月,新加坡宣布在隐私保护领域建立监管沙盒机制。此后,新加坡个人信息保护委员会与新加坡信息通信媒体开发局合作,以“探索数据共享机制”为目的正式启动了隐私保护监管沙盒。
我国数据治理监管框架加速制定。我国数字经济迅猛发展,对于数据治理的法律与监管框架逐步完善。2020年以来,数据治理立法开启提速键,《中华人民共和国数据安全法(草案)》《个人信息保护法(草案)》等相继发布,公开征求意见。除此之外,我国《刑法》《民法典》《民法总则》《消费者权益保护法》《网络安全法》《电子商务法》等多部法律、法规和规章涉及个人信息保护。 我国鼓励数据的开放共享,金融机构获取数据途径多元。2015年以来,我国多部政策文件推进公共数据资源的开放,提出推进政务数据、科学数据等的整合与开放。我国已形成多个国家级、省级政府数据开放平台,部分科技企业依托业务资源及平台优势搭建了公共数据开放平台。金融机构在开展授信业务时,通过税务、法务、个人征信等信息,降低了对于用户抵质押的要求,创新了授信模式,将普惠金融业务延伸至长尾客户。
我国对金融机构数据质量的要求形成明确指引。2018年以来,银保监会发布《银行业金融机构数据治理指引》(以下简称《指引》),出台《银行业金融机构监管数据标准化规范》等文件,指引银行业金融机构加强数据治理,特别强调对数据质量的把控。具体而言,《指引》明确了银行业金融机构要建立组织架构健全、职责边界清晰的数据治理架构;建立数据质量监控体系,覆盖数据全生命周期;对于数据治理不满足有关法律法规和监管规则要求的银行业金融机构,要求其制订整改方案,责令限期改正,或与公司治理评价、监管评级等挂钩。《指引》为金融机构数据治理提出更高要求,将重视数据价值的理念进行传达,但《指引》的具体施行条款、步骤及监管处罚力度细化不足。
我国对外资金融机构数据本地化存储要求较高,从国家安全视角出发。2006年,我国《电子银行业务管理办法》即确立金融数据存储地应兼顾外资企业的需求,要求中资银行业机构将数据服务器设置在境内,外资银行业机构可设立在境内或境外。2016年出台的《网络安全法》强调“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息及重要数据应当在境内存储”,突出强调数据本地化存储。2020年公布的《数据安全法(草案)》则明确我国支持数据的跨境流动,前提是保障数据跨境安全。我国的主权安全是数据跨境流动、使用的基本前提。
政策建议
数据治理已成为数字产业发展的重要基础,在消费者隐私权益保护、数据共享流通、数据价值挖掘、数据跨境流动等领域,各国出自其政治、经济及数字产业、信息规模的特征,采取了差异化的数据治理路径。我国积极探索建立金融业数据治理框架,可执行、可落地的相关办法仍有待完善、细化。建议我国通过立法、行业监管指引等多层次规制框架,在服务于我国经济发展的前提下加快探索。
第一,在国家核心利益基础上研究制定我国数据治理发展路径。数据是重要的生产要素之一,在数字化浪潮下的全球竞争格局中,其重要性将与日俱增。目前,各国均结合本国数字经济发展情况、本国经济对其他经济体的依存度、本国社会法制发展进程等,制定相应的数据治理法律框架与准则。如何维护我国数字经济发展的既有优势、通过政策创新激发数据资源中的商业价值、维护经济社会稳定及人民合法权益等,应当成为我国数据治理的发展目标。同时,我国金融科技企业在全球的发展属于前列,在数据应用规制出台、加码前应充分考虑对部分新业态的影响,避免对数字产业造成重要打击,影响我国数字产业全球竞争力。
第二,坚守数据安全底线,保护国家、金融机构、消费者合法利益不被损害。在数据跨境流动、海外金融机构在境内开展金融业务的数据传输及应用的规制中,充分考虑国家安全与国家利益。对金融机构的数据开放与共享机制,可探索在监管沙盒的框架下试行,切实维护金融机构数据安全,防止数据开放技术导致的新型金融风险。对于消费者的数据获取、加工、利用及流通,综合利用加密存储、数据脱敏等技术,保护消费者个人隐私权益不被侵害。
第三,建立完善金融业数据协同治理的规范。当前,我国形成了以银行业金融机构为主的金融业数据治理框架,但证券业、保险业、金融科技企业等的数据治理尚未纳入统一、完整框架。建议针对金融行业形成数据协同治理体系,推动建设金融基础设施,完善金融机构数据治理制度体系。在现有的金融业数据分类定级标准基础上,推进重要数据的识别与认定,形成行业重要数据目录,推动行业数据流动有章可循,数据活动风险实现有效评估。
第四,推动金融基础设施配套,为数据治理提供“硬环境”。在加快推进研究数据治理立法进程的同时,建议进一步加强金融基础设施的互联互通,发挥金融基础设施在信息流通、安全保护方面的优势,通过设立数据共享中心或依托现有系统开展金融数据共享的试点,为金融数据治理提供“硬环境”。在金融数据的共享试点基础上,探索形成数据要素市场流通的基础设施,逐步完善数据确权、开放、流通、交易相关制度。
第五,推动数据反垄断制度建立,完善金融科技监管框架。部分金融科技平台企业商业模式建立在对数据的分析、加工及价值挖掘上。建议加快制定金融科技经营业务许可或备案的相关制度,規范此类企业获取数据、利用数据及数据传输、共享须遵循的基本原则,将其纳入监管体系。目前,此类平台的数据垄断对社会及金融市场稳定造成潜在影响。一方面,“大数据杀熟”等现象缕缕发生,其对数据的利用是否向善仍需要监管对其进行引导;另一方面,基于其对消费者的多维数据的分析及授信模型是否可靠,仍未经过完整金融周期的验证。建议监管从实际出发,加快数据反垄断条例的研究,防范金融业数据风险,推动金融科技企业合规发展。
(李梦宇为中国银行研究院研究员。本文编辑/王晔君)
从长远发展看,数据是生产力的资源。2019年11月,党的十九届四中全会首次将“数据”列为生产要素参与社会分配。数据是国家重要的战略资源。针对数据的理解,应明确数据兼具保护与利用两种属性,需要对个人利益和公共利益加以调和:数据中属于隐私的部分应划归隐私保护范畴,其余部分可合理、合法加以利用。正如欧盟《一般通用数据保护条例》(GDPR)开篇即表明,本条例制定关于处理个人数据中对自然人进行保护的原则,以及个人数据自由流动的规则。金融业数据具备一定特征,其数据治理需要在保护与利用平衡的框架下,针对这些特征审慎开展。
金融业数据特征
信息化时代以来,金融业作为信息的密集接触者、处理者,在有意识或无意识状态下积累了海量数据,作为交易、管理凭证。随着大数据技术的发展,埋在数据下的信息价值逐渐凸显。合理、合法利用数据蕴含的信息价值,需要明确金融业数据特征及数据治理难度,有的放矢地加以应对。
金融业非结构化数据占比提升,协同治理机制亟待建立。金融数据来源众多,数据结构相对复杂,同一金融机构内部的数据甚至存在数据口径不一、矛盾等情况。早期金融機构在收集数据阶段对元数据的结构设定欠缺合理性,为数据治理及应用带来难度。近年来,随着金融机构与互联网平台合作更加密切,非结构化数据规模大幅提升,限制传统数据库技术、数据挖掘工具和数据清洗工具的使用效果。同时,金融基础设施的数据治理缺少规范指引,金融行业数据协同治理机制较弱,常常存在不同机构的数据无法对接、形成一致数据库的问题。
金融数据权属及使用规范尚待明确。我国在数据确权方面的规制尚未形成清晰、明确的法律及实操指引。针对数据获取、数据挖掘及使用、数据交易等的管理制度尚未出台。现行法律框架下,部分金融机构在获取客户个人数据时存在过度采集、滥用和侵权行为。由于数据天然的可复制性、可共享性等特点,不乏存在金融机构或金融科技企业出售基于用户数据的脱敏数据库或行为分析报告等现象,存在潜在隐私侵犯风险。2020年7月,《中华人民共和国数据安全法(草案)》要求确立数据分级分类管理及风险评估、监测预警和应急处置等数据安全管制基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任等。《个人信息保护法(草案)》强调保护个人信息权益、规范个人信息处理活动。两部法律主要强调了保护消费者隐私权,并无触及数据权属问题。
金融业数据涉及国家安全等重大问题。部分金融数据的核心价值涉及国家安全问题,吸引了各类型有组织犯罪,为国家安全带来威胁。2020年我国出台的《金融数据安全数据安全分级指南》(JR/T0197-2020)将金融数据分为五级,其中第五级数据即为金融行业大型或特大型机构、金融交易重要核心节点的关键业务数据。若此类数据安全性遭到破坏,对国家安全、公众权益将造成重大影响。因此,对于金融数据的跨境流动,各国监管提出了较高要求。美国以维护数字竞争优势和强化“长臂管辖”为主旨,通过《澄清境外数据的合法使用法案》(又被称为“云法案”)提出限制特定领域外国投资的数据跨境流动。《外国投资风险审查现代化法案》规定对于涉及“关键技术”“关键基础设施”“关键或敏感数据”的美国企业做出的特定非控股外国投资,都会被纳入安全审查范围。欧盟则遵循“外严内松”政策,对其数据跨境流动白名单国家允许数据跨境自由流动,其他国家则需要面临严格的跨境数据流动限制。日本积极参与跨太平洋伙伴关系协定等数据规则体系,也成为欧洲《一般通用数据保护条例》白名单国家。我国基于《网络安全法》《个人信息和重要数据出境安全评估办法》(征求意见稿)等,加强数据出境规制。
国际金融业数据治理现状与发展方向
近年来,在信息技术的蓬勃发展趋势下,针对数据获取、使用、流通、安全保护等议题重要性凸显。欧盟、美国、日本、新加坡等国家在金融业数据治理方面表现出了差异化的道路选择。
欧盟以GDPR为主要数据治理框架。欧盟是数据保护制度最完善的区域之一,也是金融业高度发达的区域。欧盟金融业数据治理监管特征主要体现在以下方面:
第一,欧盟金融机构采集、利用客户数据规范化,金融机构合规成本增加。2018年5月25日起,GDPR在欧盟成员国正式生效。GDPR对金融业不同情境中的数据治理问题进行了规范,对于数据主体权利、数据处理者义务、数据监管范围等作出明确规范和要求,整体思路更强调对个人隐私的充分保护。GDPR定义了何为个人敏感数据,认为涉及种族民族、政治观点、宗教哲学信仰、工会成员身份、健康及性取向、基因数据、经处理可识别的特定个人生物识别数据(如人工智能技术下的人脸识别等)。基因数据和生物识别数据是金融企业、金融科技企业进行身份认证、了解你的客户(KYC)调查、风险控制等业务的基础信息来源。GDPR提出,金融企业在获取此类数据时应避免模糊且难以理解的语言、冗长的隐私政策等获得数据许可。GDPR要求金融企业在线上服务中获取用户行为记录(如搜索、点击、收藏、购买、支付等)必须经过用户的同意,否则按“未告知记录用户行为”做违法处理。此外,GDPR规定了用户具备“被遗忘权”,即可要求金融机构删除关于自己的数据记录。若金融机构违反GDPR规定,其面临的罚金最高可达2000万欧元或全球营业额的4%。金融数据的长期缺失也将限制金融机构在经营分析、精准营销等方面的智慧化能力,影响欧盟区银行业数字化转型步伐。
第二,欧盟金融机构数据垄断被立法规制,新型金融科技类企业无须面临数据歧视。2019年3月14日起,《支付服务法令II》执行,要求银行等大型金融机构必须为第三方机构创建和开放测试环境,以方便第三方机构通过应用程序接口收集信息。该法令旨在破除大型金融机构的数据垄断,允许新进入者共享金融数据。该法令的通过建立在GDPR关于数据可携权基础之上。可以看出,欧洲金融数据监管的思路总体遵循“严入、公平”思想,通过严格控制个人信息的采集端对个人用户的隐私权进行充分保护,通过鼓励合法采集数据的流通及应用防范数据垄断风险,实现“个人利益”与“公众利益”的较好平衡。 美国形成州层面、行业层面分散化数据治理框架。美国并未在联邦层面制定统一的数据隐私保护基本法,对金融领域存在美国《银行保密法》(U.S. Bank Secrecy Act,简称 BSA)。美国对金融行业数据治理的出发点主要为寻求金融安全与数据价值的平衡。BSA要求银行业对特定交易的数据保留超过5年、甚至更长时间,以备反洗钱或其他犯罪调查。从州层面来看,2018年6月加州通过的《加州消费者隐私保护法》(CCPA)堪称美国最严厉、最全面的个人隐私保护法案。该法案已于2020年1月1日生效。美国金融业数据治理监管特征主要体现在以下方面:
第一,美国金融机构整体受到的数据监管环境相对宽松化、碎片化。与欧盟不同,美国对于数据的监管与治理环境相对宽松。美国是全球最大的数据生产国之一,互联网信息科技的发达程度居世界前列。美国对于数据交易合法化进程保持较大推动力度,在立法中明确了数据交易的合法性。数据经济商(Data Broker)可合法收集并分析数据,并进行交易获取利润。为了鼓励互联网新兴技术及产业的发展,美国对个人数据保护力度有限。CCPA是近年来被称为最严格的个人隐私保护法案,相较GDPR,该法案仍更宽松,主要表现为两个方面。其一,适用CCPA要求的机构范围较GDPR覆盖机构范围更小。CCPA仅适用于满足年收入超过2500万美元或出售个人信息收入超过年收入50%以上的金融机构。其二,CCPA仅借鉴了GDPR在数据主体權利、数据泄露的预防和问责机制等方面的措施,赋予了消费者针对个人数据的访问权、删除权、知情权等权利;要求企业应披露收集到的数据,不得随意出售数据。但CCPA摒弃了GDPR中关于数据跨境流通的部分闲置,鼓励个人信息的商业流通。美国其他州数据保护法均在探索中或其力度较CCPA的要求更为宽松。
第二,美国数据反垄断问题成为未来重要关注点。从价值取向上来说,美国充分认可并鼓励金融机构充分利用数据,为其经营行为提供指引,助力美国金融机构增强国际影响力。随着大型科技企业的崛起,为了保护数字产业、金融产业的良性发展,美国已着手对数据垄断问题进行治理,市场执法机构对数据驱动型的并购交易将进行更严格的审查,并将充分考虑数据垄断对市场竞争和消费者隐私保护带来的不良影响。
日本数据治理框架向优化数据利用方向倾斜。日本《个人信息保护法》与2005年施行,并分别于2015、2017年进行修改。修订法案在立法目的中增加了“在对个人权利利益加以保护的同时,还考虑到个人信息正确且有效地使用有助于增加经济产出、创造有活力的经济社会、丰富国民生活及其他有用之处”。整体而言,日本的数据监管与欧盟的要求及发展路径较为相似,均从个人数据隐私立场出发,平衡数据价值利用与消费者个人隐私保护。
日本金融业数据监管与欧盟接轨,享受跨境数据流动红利。日本从数据规模、互联网产业发展等角度来看,其数字经济发展步伐慢于美国等发达国家。因此,从需求情况而言,日本对于国内数据治理的监管需求更贴近于形成与世界领先国家较为统一的监管框架,促进其国内金融机构与国际金融业接轨,推动金融业开放。目前,日本已通过立法改革和双边承诺晋级欧盟GDPR白名单,其支持推广的其他数据标准包括经合组织的隐私准则、亚太经济合作组织(APEC)隐私框架原则等。基于政府背书的白名单机制将对区域中的金融机构带来政策红利,金融机构将可以获得稳定、便利、且合规负担及风险最小的跨境数据流动方式。
新加坡金融数据治理走在亚洲前列。新加坡是东南亚地区数字产业较发达的国家之一,新加坡政府注重数据治理,鼓励在严格保护个人隐私的前提下,探索充分利用数据价值。新加坡政府积极推动数据领域的合作机制,于2018年加入APEC主导的跨境隐私规则体系(CBPR),并充分借鉴东南亚国家联盟数字信息管理框架和经济合作与发展组织隐私原则等,使得新加坡的数据治理走在亚洲前列。
新加坡金融机构须承担九大数据保护责任。2012年10月,新加坡国会通过《个人数据保护法》(PDPA),并于2014年正式实施。2013年颁布PDPA的附属法例《个人数据保护条例》。条例规定,金融机构等收集、使用数据的主体部门要承担九大责任,包括获得个人同意、告知使用目的、依法限制数据使用目的、保证数据的准确性和完整性、保证数据的安全性、满足数据储存限制要求、依法跨境流动、允许个人获取和修改数据、接受问责等。新加坡对金融数据的监管政策可执行性较强,对金融机构的数据进行分类、上传、数据共享等均形成较为完备的操作细则。同时,新加坡还要求金融机构在征求消费者数据采集同意时设有“不许呼叫注册”规则,用于规范通过电话、手机短信等方式的营销行为。此外,为了应对金融领域复杂的数据治理问题,新加坡在个人数据保护委员会下设金融数据治理主管部门。
新加坡致力于探索更加包容、有效的数据监管模式。新加坡对于数据采取分类治理思路。对绝大多数可公开、对增强其数字经济发展有利的数据,新加坡政府十分支持此类数据资源的开发、采集和汇总,并对此大力推进。例如,新加坡通过构建“开源数据库”项目,由公共部门收集的数据将对所有人开放,所有社会角色也都能参与到城市的建设和发展中。对于金融等领域,涉及到个人隐私保护、国家安全的数据,新加坡积极探索在现有法律框架下的试点创新。2017年7月,新加坡宣布在隐私保护领域建立监管沙盒机制。此后,新加坡个人信息保护委员会与新加坡信息通信媒体开发局合作,以“探索数据共享机制”为目的正式启动了隐私保护监管沙盒。
我国数据治理监管框架加速制定。我国数字经济迅猛发展,对于数据治理的法律与监管框架逐步完善。2020年以来,数据治理立法开启提速键,《中华人民共和国数据安全法(草案)》《个人信息保护法(草案)》等相继发布,公开征求意见。除此之外,我国《刑法》《民法典》《民法总则》《消费者权益保护法》《网络安全法》《电子商务法》等多部法律、法规和规章涉及个人信息保护。 我国鼓励数据的开放共享,金融机构获取数据途径多元。2015年以来,我国多部政策文件推进公共数据资源的开放,提出推进政务数据、科学数据等的整合与开放。我国已形成多个国家级、省级政府数据开放平台,部分科技企业依托业务资源及平台优势搭建了公共数据开放平台。金融机构在开展授信业务时,通过税务、法务、个人征信等信息,降低了对于用户抵质押的要求,创新了授信模式,将普惠金融业务延伸至长尾客户。
我国对金融机构数据质量的要求形成明确指引。2018年以来,银保监会发布《银行业金融机构数据治理指引》(以下简称《指引》),出台《银行业金融机构监管数据标准化规范》等文件,指引银行业金融机构加强数据治理,特别强调对数据质量的把控。具体而言,《指引》明确了银行业金融机构要建立组织架构健全、职责边界清晰的数据治理架构;建立数据质量监控体系,覆盖数据全生命周期;对于数据治理不满足有关法律法规和监管规则要求的银行业金融机构,要求其制订整改方案,责令限期改正,或与公司治理评价、监管评级等挂钩。《指引》为金融机构数据治理提出更高要求,将重视数据价值的理念进行传达,但《指引》的具体施行条款、步骤及监管处罚力度细化不足。
我国对外资金融机构数据本地化存储要求较高,从国家安全视角出发。2006年,我国《电子银行业务管理办法》即确立金融数据存储地应兼顾外资企业的需求,要求中资银行业机构将数据服务器设置在境内,外资银行业机构可设立在境内或境外。2016年出台的《网络安全法》强调“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息及重要数据应当在境内存储”,突出强调数据本地化存储。2020年公布的《数据安全法(草案)》则明确我国支持数据的跨境流动,前提是保障数据跨境安全。我国的主权安全是数据跨境流动、使用的基本前提。
政策建议
数据治理已成为数字产业发展的重要基础,在消费者隐私权益保护、数据共享流通、数据价值挖掘、数据跨境流动等领域,各国出自其政治、经济及数字产业、信息规模的特征,采取了差异化的数据治理路径。我国积极探索建立金融业数据治理框架,可执行、可落地的相关办法仍有待完善、细化。建议我国通过立法、行业监管指引等多层次规制框架,在服务于我国经济发展的前提下加快探索。
第一,在国家核心利益基础上研究制定我国数据治理发展路径。数据是重要的生产要素之一,在数字化浪潮下的全球竞争格局中,其重要性将与日俱增。目前,各国均结合本国数字经济发展情况、本国经济对其他经济体的依存度、本国社会法制发展进程等,制定相应的数据治理法律框架与准则。如何维护我国数字经济发展的既有优势、通过政策创新激发数据资源中的商业价值、维护经济社会稳定及人民合法权益等,应当成为我国数据治理的发展目标。同时,我国金融科技企业在全球的发展属于前列,在数据应用规制出台、加码前应充分考虑对部分新业态的影响,避免对数字产业造成重要打击,影响我国数字产业全球竞争力。
第二,坚守数据安全底线,保护国家、金融机构、消费者合法利益不被损害。在数据跨境流动、海外金融机构在境内开展金融业务的数据传输及应用的规制中,充分考虑国家安全与国家利益。对金融机构的数据开放与共享机制,可探索在监管沙盒的框架下试行,切实维护金融机构数据安全,防止数据开放技术导致的新型金融风险。对于消费者的数据获取、加工、利用及流通,综合利用加密存储、数据脱敏等技术,保护消费者个人隐私权益不被侵害。
第三,建立完善金融业数据协同治理的规范。当前,我国形成了以银行业金融机构为主的金融业数据治理框架,但证券业、保险业、金融科技企业等的数据治理尚未纳入统一、完整框架。建议针对金融行业形成数据协同治理体系,推动建设金融基础设施,完善金融机构数据治理制度体系。在现有的金融业数据分类定级标准基础上,推进重要数据的识别与认定,形成行业重要数据目录,推动行业数据流动有章可循,数据活动风险实现有效评估。
第四,推动金融基础设施配套,为数据治理提供“硬环境”。在加快推进研究数据治理立法进程的同时,建议进一步加强金融基础设施的互联互通,发挥金融基础设施在信息流通、安全保护方面的优势,通过设立数据共享中心或依托现有系统开展金融数据共享的试点,为金融数据治理提供“硬环境”。在金融数据的共享试点基础上,探索形成数据要素市场流通的基础设施,逐步完善数据确权、开放、流通、交易相关制度。
第五,推动数据反垄断制度建立,完善金融科技监管框架。部分金融科技平台企业商业模式建立在对数据的分析、加工及价值挖掘上。建议加快制定金融科技经营业务许可或备案的相关制度,規范此类企业获取数据、利用数据及数据传输、共享须遵循的基本原则,将其纳入监管体系。目前,此类平台的数据垄断对社会及金融市场稳定造成潜在影响。一方面,“大数据杀熟”等现象缕缕发生,其对数据的利用是否向善仍需要监管对其进行引导;另一方面,基于其对消费者的多维数据的分析及授信模型是否可靠,仍未经过完整金融周期的验证。建议监管从实际出发,加快数据反垄断条例的研究,防范金融业数据风险,推动金融科技企业合规发展。
(李梦宇为中国银行研究院研究员。本文编辑/王晔君)