刘志云,连浩琼 | 金融数据的二元治理困境及融合路径
点击蓝字关注我们
金融数据的二元治理困境及融合路径
推荐语
当前的金融数据治理处于法律管控与行业自治二元分治的状态,缺乏必要的协调配合。文章提出为达到数据利用与安全的价值平衡,需要自治与法治有机融合,以形成数据规制合力,因此必须推动行业自治与法律管控分而治之转向二元融合,促进行业自治规则与法律规范的分工合作以及国家、社会、行业等多元主体的沟通协作。通过规范融合与主体协同来重构金融数据的治理路径,对于解决金融数据的二元治理困境以及推进数据金融的发展具有建设性的意义。
作者简介
刘志云,厦门大学法学院教授、博士生导师,兼任厦门大学金融法研究中心主任、福建省金融法学会会长,主要从事金融法、经济法、国际关系与国际法交叉研究。先后主持省部级以上纵向项目十余项,其中包括国家社科基金重大项目1项、年度项目4项。先后创立并主编(或联合主编)“金融法学文库”、“经济法学文库”、“国际关系与国际法跨学科研究文库”、《国际关系与国际法学刊》。入选“教育部新世纪优秀人才支持计划”、中组部国家特殊人才支持计划——“万人计划”、福建省“双百特支人才计划”、“福建省高校领军人才支持计划”。
连浩琼,厦门大学法学院博士研究生。
摘要:为达到数据利用与安全的价值平衡,以分级分类保护制度为核心的金融数据治理模式应运而生。当前,金融数据处于法律管控与行业自治二元分治的状态,缺乏必要的协调配合,在实践中暴露出一系列问题,致使金融数据分级分类治理工作落地艰难。金融数据治理责任制度的补充以及数据利用与安全的价值平衡,要求自治与法治有机融合,以形成数据规制合力。从行业自治与法律管控分而治之到二元融合,需要推进行业自治规则与法律规范的分工合作以及国家、社会、行业等多元主体的沟通协作。规范融合与主体协同是重构金融数据治理路径的两大支柱,既要推进金融数据治理责任框架的建构,也要保障金融数据自治规则的灵活弹性。
关键词:金融数据;分级分类保护;行业自治;法律管控;二元融合
一、引言
党的十八大以来,数字经济上升为国家战略。2020年5月,数据作为新型生产要素,被正式写入党中央与国务院关于要素市场化配置的文件。2022年12月,党中央、国务院再次发文,要求释放数据要素价值,推动数据要素市场化配置。数据产业的发展,挖掘出巨大的数据价值,使得数据治理工作备受关注。《网络安全法》《数据安全法》《个人信息保护法》等的相继出台,都运用了分类分级思路,合理分配数据保护资源,规范挖掘数据利用价值。
金融业是数据治理的重要领域。习近平总书记指出:“金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,金融制度是经济社会发展中重要的基础性制度。”当前,大量的自由贸易协定针对金融数据跨境进行专门规定,也表现出国际社会对金融数据自由流动与安全治理的重视。如何在保障金融数据安全的同时,促进金融数据的共享与应用,以提高金融服务的可获得性,对接金融数据跨境流动规则,已然成为金融数字化转型的关键,也是学界尤为关注和重视的问题。相关研究从不同角度解读数据治理难题,并提出建设性意见。不过,对于当前我国的金融数据处于法律管控与行业自治二元分治,两者之间缺乏必要的协调配合,并由此在实践中暴露出一系列问题,学界并没有给予更多的关注。
鉴于此,本文旨在探寻行业自治与国家法治的融合路径,建构以数据分类分级为中心,政府、行业、企业等多元主体协同共治,自主性标准体系与制度化责任体系衔接融合的金融数据治理框架,以期为提升我国金融数据治理的现代化水平作出有意义的探索。
二、金融数据二元分治的现状及其局限
在我国的金融数据治理中,行业规则与国家法律并行,分别指导金融数据治理工作。但二者各行其是,致使不同金融业务之间的数据安全壁垒日益加深,金融数据共享程度低、流转不畅,不利于金融数据价值的挖掘。无疑,自治与法治二元分治的状态,无法形成规制合力。
(一)行业自治与法律管控之二元分治现状
对数字资产的安全保护起始于数字资产的分类分级,最早运用于网络信息安全治理。2016年,《网络安全法》首次以法律形式确立了关键信息基础设施和等级保护制度,通过类型和级别划分,确定相匹配的安全保护措施。这一协调安全与利用双重需求的治理方案被引入数据安全领域,2021年,《数据安全法》明确建立数据分类分级保护制度,加强对重要数据的保护。同年,《个人信息保护法》也确定了个人信息处理者对个人信息实行分类管理的义务。相关法律法规的出台,为数据分类分级制度的建立和推行提供了规范依据,即根据数据在经济社会发展中的重要程度,以及遭滥用可能造成的危害程度,对数据进行分类分级保护,以兼顾数据安全与利用两大价值。当前,具体数据治理工作,主要依赖各行业自治规章的指导与落实,金融业也如此。
无疑,金融数据是极其重要的数字资产。《数据要素白皮书(2022)》指出,金融机构已经成为主要的数据需求方,金融数据的挖掘和控制是其重要资产和核心竞争力。而巨大的金融数据价值也诱发了各类数据泄露事件,如“中信银行数据泄露”“美国汇丰银行数据泄露”“滴滴数据泄露事件”等,不仅损害个人隐私、危及企业商业秘密,还影响到市场秩序、公共利益甚至国家安全。这类金融数据失范事件给社会大众带来了不确定的安全问题,致使公众普遍存在数据失控的担忧。鉴于此,如何调和金融数据安全与利用这两大价值间的张力,满足数字金融发展的内在需要,已成为推动金融行业良性发展的迫切需求。2020年9月,中国人民银行发布了《金融数据安全数据安全分级指南》(以下简称《分级指南》),成为金融业数据分类分级的行业通用标准。目前,《分级指南》与《证券期货业数据分类分级指引》(以下简称《证券分类分级指引》)、《个人金融信息保护技术规范》(以下简称《个人信息技术规范》)、《金融业数据能力建设指引》等金融细分行业领域的数据分类分级规范,共同组成金融数据治理规范体系的核心部分,致力于平衡金融数据安全与利用价值。
为落实金融行业分类分级保护的自治规则,推进金融数据技术规范的落地,针对金融行业服务质量与安全保障开展标准符合性评估的北京国家金融科技认证中心有限公司(NFTC)得以成立,并陆续推出个人金融信息保护系列认证评估、金融业数据能力等级认证等业务。2022年,支付宝、银联商务、哈尔滨银行、北京钱袋宝、宝付支付等5家金融机构通过了“个人金融信息保护能力”认证,表明其遵循金融行业技术标准处理个人金融信息,符合金融消费者数据保护的要求。
至此,我们可以看到,一个以分类分级保护为核心、法律管控与行业自治为基本路径的金融数据治理模式已初步形成,并在实践中不断发展。
(二)行业自治与法律管控二元分治之局限
在金融数据治理实践中,行业自治与法律管控之间缺乏必要的沟通协作,存在规范重叠、冲突以及二元主体控制引发的扯皮推诿等问题。行业自治在金融数据治理责任制度化方面的缺失以及法律强制性、滞后性对金融数据创新的威胁,使得金融数据的二元分治遭受了业内的普遍质疑。
1.自治规则与法律规范的衔接协调不足
当前,以分类分级保护制度为核心的金融数据治理模式需要在行业内具体落实。但在金融数据二元分治下,行业自治规则与法律规范缺乏协调,治理规范碎片化,难以形成统一的金融数据治理体系指导金融机构有效开展数据使用与保护工作。
一方面,法律确立的数据分类分级保护制度与金融业自治规则确定的数据分类分级标准缺乏衔接,难以互认互用。例如,在法律层面,《个人信息保护法》区分了普通/敏感个人信息;而在金融业自治规则体系中,《分级指南》《证券分类分级指引》分别对金融数据进行1—5/1—4级数据分级,《个人信息技术规范》按功能将个人金融信息分为账户信息、鉴别信息、金融交易信息等类别。不难发现,行业自治规则并未对应法律层面的分类分级规范,也未对后者进一步细化。这一问题进而影响到金融数据分类分级保护制度与数据采集、开发、交易等各生命周期安全保护规则的衔接协调。以金融数据出境为例,金融数据分类分级自治规则未涉及各类别金融数据出境的安全措施,致使数据出境规则难以按金融数据的类别配置在出境义务、出境程序、限制条件等方面的保护措施。为此,《数据出境安全评估办法》要求重要数据出境统一申报安全评估。而事实上对于哪些属于“重要数据”,法律层面的界定较为原则,有待各行业拟定重要数据指导目录予以细化。但金融业的数据五分法并非依据法律层面的数据三分法(一般、重要、核心数据)进行细化,致使“一般数据可流动,重要数据经安全评估后流动以及核心数据限制流动”的基本原则难以落实,可出境的金融数据范围依然模糊。无疑,法律与行业规则的分化不利于引导金融数据分类分级体系与数据流通利用场景的衔接融合,影响金融数据价值的实现。
另一方面,行业规则与法律规范分别调整不同业务的金融数据,容易产生体系结构上的混乱。其一,《分级指南》这类通用性规范未发挥统领作用,而《证券分类分级指引》这类具体业务领域的细化规则不以通用性规范为基准,导致数据治理工作存在责任的不确定性。如《分级指南》将数据分为5级,影响对象为国家安全、公众权益、个人隐私以及企业合法权益,最高安全级别是可能对国家安全造成影响或对公众权益造成严重影响的金融数据。而《证券分类分级指引》将数据分为4级,影响对象为行业、机构、客户三类,即使最高级别的证券数据也未涉及国家安全和公共利益。对于认真履行数据分类分级义务的数据处理者而言,其在《证券分类分级指引》层面合规的数据保护措施,可能并不符合《分级指南》的要求,但仍需承担《分级指南》层面的数据安全责任。这一责任的不确定性源于金融数据分类分级规范内部的不统一、不协调,影响金融数据分类分级治理实效。其二,《个人信息技术规范》《银行业金融机构数据治理指引》《证券分类分级指引》等细化规则之间缺乏互通性。这类细化规则通常针对某一业务领域的金融数据,仅在单个组织与业务内部适用,规则之间不具备互操作性,容易深化金融数据安全壁垒,影响数据流转。如《证券分类分级指引》属于行业标准,而《银行业金融机构数据治理指引》属于部门规章,行业自治组织缺乏与监管机构开展平等协商的地位,致使规范之间出现性质、内容、效力等方面的差异,不利于具体规则的互认互用。事实上,《银行业金融机构数据治理指引》提出“划定数据安全等级、采集个人信息规范”等要求,遵循的是相应的数据法律规范,但相关数据法律规范与金融业自治规则之间缺乏必要的衔接,进而导致银行业与证券业的相关业务之间出现数据安全壁垒。
2.行业自治的责任制度欠缺
行业自治规则大多是自发生成的结果,其之所以能够形成和发展,是由于它们为某一阶段的行业发展带来了繁荣。然而,这种“社会控制道德化”的推进方式,容易陷入责任缺失的陷阱。同样,在金融数据治理中,金融行业自治缺乏必要的法律保障,出现责任制度的缺位。具体而言,行业自治存在软法治理的固有局限,而法律规范未设置相应的披露问责要求,致使金融数据行业自治工作的开展缺乏必要的强制力保障。其一,《分级指南》《证券分类分级指引》《个人信息技术规范》等均属于推荐性行业标准,金融机构是否遵循有选择自由。根据中国人民银行的要求,金融机构结合实际参考《分级指南》,做好金融数据资产梳理和安全分级工作。即是否参考《分级指南》属于金融机构意思自治的范畴,而安全分级则是明确的管理要求。但中国人民银行并未就此进一步规定金融机构的信息披露义务,也未建立相应的问责机制,存在法律责任缺失之嫌。其二,中国人民银行作为行政主管部门,有权监督金融数据分类分级工作,但这只是官方监督。诸如行业组织、社会公众等尚未被确立为合法的监督问责主体,不利于形成多元主体协同共治的数据治理格局。其三,行业自治规则自身的层级不足,难以激发行业成员自觉遵守的内生动力。由于金融数据分类分级行业自治规则内部不协调,无法与相应的法律规范有效衔接,金融机构即使照章遵循,亦无法在数据流通、交易等领域换取程序或内容上的便利,致使行业内生动力不足。
3.法律管控抑制数据创新和利用
法律规范的强制性、滞后性可能对金融数据的技术创新与价值利用造成威胁。正如劳伦斯·莱斯格(Lawrence Lessig)曾言,在数字时代,技术这一要素决定规制场景,是数字时代尤其值得重视的规制要素。然而,法律常常介入行业自治领域,法律规范与自治规则的交叉竞合,容易影响数据创新环境的安全稳定,法律指令对数据资源的调配不一定能恰好满足数字金融的发展需求,反而可能拖延金融数据的技术创新进程。例如,《银行个人金融信息保护通知》和《个人信息技术规范》是当前主要的个人金融信息保护规范,分属部门规章和行业自治规则,法律规范可能架空行业规则,导致法律与技术的直接碰撞,激化法律体系稳定性与技术模式多变性的矛盾,影响金融数据的技术创新与价值利用。因为,数字技术的更新迭代要求技术标准及时升级,而法律容易固化技术标准。在实践中,其表现为金融机构倾向于围绕强制标准设计业务规范,而忽视持续性地流程优化和技术提升,落入技术固化的陷阱。例如,我国将“匿名化”技术整体引入《个人信息保护法》就饱受质疑。因为,立法者对于技术发展的把握存在很强的不确定性,技术未来的演进迭代也难以被立法者准确预测,所以,有学者提出将其交由行业自治领域,以行业标准的形式予以界定更为妥当。无独有偶,在信用卡数据安全领域,美国明尼苏达州法规将PCI标准编入法典,大量数据泄露问题被提交法院,技术标准审查、举证质证、因果论证等常常使案件陷入僵局,反而无法及时保障数据原始主体的合法权益。
综上,行业自治与法律管控的二元分治路径影响了金融数据分类分级规范体系的内部统一,行业自治规则缺乏必要的责任制度保障以及金融数据价值创新面临的障碍等,都是目前金融数据治理亟待解决的问题。
三、自治与法治二元融合的现实需求及基本思路
金融数据二元分治的现状,表明行业自治与国家法治之间缺乏合理的分工合作,致使金融数据治理在责任制度与创新利用方面缺位与错位并存。从功能分化角度看,行业自治遵循效率逻辑,国家法治遵循权利逻辑,同为金融数据治理不可或缺的两大要素。鉴于此,应积极拓展自治与法治的二元融合思路,充分发挥行业自治与国家法治的各自优势,共同推进以分类分级治理为核心的金融数据治理工作的开展。
(一)行业自治与法律管控二元融合的现实需求
法律管控可以强化数据治理责任,但容易对金融数据创新施加不必要的限制,造成数据的“反公地悲剧”;而行业自治虽然可以支持金融数据创新,但难以控制金融风险。因此,二元分治路径无法解决自治与法治的各自局限。随着金融数字化转型的不断加快,金融数据治理对建构强有力的责任框架与规范数据使用有着迫切需求。
1.建构数据治理责任框架的现实选择
在金融数据治理实践中,行业自治规则和法律规范并未进行合理分工,二者的性质和效力差异影响数据治理责任框架的建构。金融业长期以来形成了分业经营、分业监管的路径依赖,不同业务领域适用不同性质的数据规范,且彼此无法互认互用,致使金融业无法形成相对统一的数据定级标准。当缺乏必要参照时,监管机构无法判断各类别金融数据在采集、开发、交易、使用等各个节点的安全保护措施是否到位,后续的数据安全责任无所依托。例如,金融数据出境未依据数据分类分级规则,而是统一适用安全评估,即使发生数据泄露事件,监管机构也不能就此追究金融机构的数据分类分级责任。简言之,金融数据安全保护措施不依照数据类别设定,相应的法律责任自然无法启用。从内在逻辑看,金融数据分类分级是数据治理工作的起点,其衔接具体的数据流通利用场景,从而明确相应的安全保障措施及其法律责任。而当前的金融数据分类分级规则尚未实现内部统一,相应的数据安全保护措施以及法律责任无法明确,统一的金融数据法律责任框架更难以凭空建构。鉴于此,为建构金融数据治理责任框架,需依赖金融数据分类分级规则的互通协调,要求各行业组织开展沟通协作,推动不同业务数据规则的互认互用。近年来,金融机构的数据责任不断强化,行业组织制定执行金融数据分类分级规则,在一定程度上承担了保护金融数据安全的公共管理职能。《网络安全法》也明确规定,国家支持不同电子身份认证之间的互认。因此,法律规范和行业规则必须走向协作。具体而言,法律明确金融数据分类分级自治规则的法律地位,支持金融行业组织开展标准之间的互认;金融数据自治规则通过内部统一,对接外部的数据采集、开发、交易、使用等数据安全规则,以共同引导金融数据治理责任框架的建构。
由于行业自治路径难以克服“外部性”的固有弊端,数据分类分级保护外溢效应需要借助国家法律的强制力予以内化。众所周知,金融数据自治规则旨在提升组织内的数据治理能力,建立一套可接受的行业规范以践行金融业在数据安全与流通领域公开承诺遵循的基本原则,属于“自下而上”的治理路径,但存在责任制度化不足的固有局限。而金融数据责任框架是遵循“自上而下”的法律管控路径,通过强化公开承诺的效力,实现社会控制规范化和责任制度化。“自下而上”的行业自治与“自上而下”的法律管控的有机融合,能够发挥自治与法治在各自领域的优势,以法律强制力保障灵活弹性的行业自治规则得以有效实施,是形成金融数据规制合力的重要途径。为此,一方面,法律规范应遵循强化金融自治规则效力的思路,在规范统一、责任明晰的前提下,强化信息披露和多元主体问责,建构金融数据安全责任框架。另一方面,需要建立利益激励机制,为践行数据分类分级承诺的金融机构提供正当的宣传认证。当前,社会信用和市场评分机制正在逐渐演变为一种新型的社会纪律和市场规制权力,可以帮助市场主体评估金融机构的信誉,引导金融机构自觉遵守行业规则,配合行业规则的执行,激发行业自治的内生动力。
2.调和数据安全与利用价值的必然要求
以分类分级治理为核心的金融数据治理的目标在于合理分配数据保护资源,规范挖掘数据利用价值。实际上,调和安全与利用这两大价值张力,是金融数据治理的关键。如果只注重金融数据的安全价值,那么根本无需行业自治规则,法律直接禁用即可;如果只注重金融数据的利用价值,也不必采取任何法律保护措施。而要想兼顾金融数据的安全与利用价值,有效回应金融数据治理的现实需求,必然要求推进自治与法治的有机融合。
数据的安全与利用是金融数字化转型背景下不容易调和的张力。如果采取过于严格的法律管控措施,必将影响数字技术和数据价值的创新,阻碍数字金融产业的发展;如果仅依靠建立在自愿原则基础上的行业自治,则容易出现安全与失序问题,损害数据原始主体的合法权益。从法律管控角度看,对个人金融数据安全的过分强调,将在一定程度上助力金融机构形成更封闭的数据独占环境,抑制数据流转,引发金融数据垄断问题。鉴于此,学界对个人信息知情同意原则进行了深入研究,提出了“基于比例的平衡”、“基于风险的平衡”、“基于场景的平衡”和“基于市场的平衡”等多种理论模式,衍生出“单独同意”“明示同意”“默示同意”等新形式,以缓和过于严苛的数据安全法律责任对数据流通利用的掣肘,为维护数据安全与利用的动态平衡提供了理论支撑。从行业自治角度看,过度强调金融业的数据流通利用价值,也可能影响数据安全状态。因为,金融机构对数据利用价值最大化的追求,可能不惜以牺牲安全价值为代价,这一个体理性不可避免地渗入行业集体理性,可能发生集体理性的“合成谬误”,影响金融数据治理规则制定的科学性。因此,为有效挖掘数据利用价值,需要法律对行业成员个体理性形成集体理性的环节、层次和路径进行必要规范,通过自治与法治有机融合的路径达到数据安全与利用相辅相成、互为表里的理想状态。
总而言之,过度依赖法律管控保护金融数据,可能阻碍数字金融的发展,出现保护过度、利用不足的问题;而仅依靠行业自治规则也难以遏制行业成员对个体利益的过分追求而企图操控集体理性的心理,产生保护不足、利用过度的问题。这两大困境并存于我国金融数据分类分级治理工作中,亟待国家法治与行业自治的有机融合,以调和金融数据安全与利用两大价值,共同建构金融数据治理责任框架。
(二)行业自治与法律管控之二元融合的基本思路
无疑,金融数据治理不应继续区分和固化自治与法治的公私界限,而应从现实需求出发,探索自治与法治的融合如何贯通连接金融数据市场,促进金融数据流动,维护数据安全与利用价值的动态平衡。鉴于此,二元融合的基本思路必须从规范融合和主体融合两个方面下手,既要推动行业规则与法律规范的分工合作,以建构金融数据治理责任框架,也要发挥多元主体协调共治的独特优势,以兼顾金融数据的安全与利用价值。
1.推进行业自治规则与法律规范的分工合作
由于法的滞后性,法律规范难以与技术发展、规范需求时刻保持同步,需要借助行业自治规则的灵活性予以协调。就金融数据分类分级治理而言,金融机构的规模、关联性以及影响力不同,对数据安全的注意标准和保护责任也可能存在差异。例如,系统重要性金融机构因分布式拒绝服务攻击(DDoS)、网络钓鱼导致的数据安全性破坏,可能影响金融安全,甚至国家安全,而小微企业数据安全的影响范围更多集中于个人隐私与企业合法权益。如果由法律承担金融数据安全定级责任,立法机关、行政主管部门需要根据企业类型及其发展变化确定并实时调整数据安全的类型级别。这一过程过于琐碎,且必须付出较高的立法成本。即使这一法律规范体系得以建构且与数据安全治理需求完美匹配,也只能停留于须臾之间,因为法律一经制定,便可能已落后于时代,过时的法律规范还可能阻碍技术标准的进步和分级方案的创新。由此可见,严格的法律管控可能大幅度提升技术创新成本,而以行业主导的金融数据定级,在信息收集、规则修订等方面具有显著优势,有助于节约成本。基于此,考虑技术发展、价值创新的变动性及其对金融数据治理规则灵活性的需要,由行业主导金融数据分类分级规则体系的建构更为适宜。
而行业自治在强制性上的固有局限,则有待法律规范予以补充和加强。事实上,法律管控最大的优势在于其异常强大且立竿见影的实施效果,金融数据治理亟需这种稳定、强制的外在约束力,以保障金融数据分类分级治理工作的落实。以金融数据安全问责机制为例,问责主体的多元协同、问责机制操作性以及问责程序的科学规范等,都有赖法治路径予以推进,如加强顶层设计、制定基本法律、建立体系化的规范标准等。这主要是数字金融的发展将负外部性效益转嫁给数据原始主体,可能引发社会不公,由此需要国家公权力的介入。个人信息泄露问题愈演愈烈而催生的《个人信息保护法》,正是数字金融负外部性通过法律予以内化的具体表现。虽然,法律不宜直接介入具体的方案设计,但监管机构可以将社会必需的安全水平转化为金融数据安全责任建构的参照标准,以此评判现行的金融数据安全保障措施。法律可以作为推动技术研发和标准升级的外在强制力,监管部门借此督促金融机构不断改进完善数据安全保障体系,细化数据治理规则,但不进行深入干预影响具体的规范设计和整改方案。
2.推进国家、社会、行业等多元主体的沟通协作
金融数据行业自治与法治的二元融合,不仅限于规范融合,还需要主体协同。例如,行业自治可根据主体不同,分为个体层面的自我管理秩序和群体层面的网络规范秩序,分别对应金融机构内部管理和金融行业内部管理。金融数据分类分级制度既要落实在金融行业规范管理中,也要深入金融机构内部管理工作中。为此,行业成员与行业组织的沟通协调必不可少。特别是在金融数据自治规则的制定执行中,行业成员应结合自身实践,参与规则的制定、修正和更新,而行业组织则应在凝练行业成员共同意志的基础上,执行自治规则,建立和维系金融数据安全秩序。
如果说行业成员与行业组织以及行业组织之间的沟通协调是实现数据规范协调统一的现实选择,那么社会大众、行业组织与监管机构的互动交流则是平衡金融数据安全与利用价值的内在要求。从实践来看,社会大众的资产、消费、健康、保险等数据权益过于分散,而现实生活中又存在大量的信息处理困难,致使大多数社会成员难以独立保护自身的数据安全。金融机构为实现利益最大化,过度挖掘金融数据,容易破坏金融数据的安全状态,进而丧失社会公众的信任。这种竭泽而渔的数据开发利用模式,对金融数据产业的长远发展产生威胁。为此,社会大众、行业组织以及监管机构须就金融数据安全与利用问题进行协商。一方面,应反映社会大众的共同意愿,为数据安全提供规范保障,避免金融企业的过度无序开发;另一方面,应尽可能避免过于严苛的安全责任对技术创新、数据流通的阻碍,尤其要避免冗长的法律更新和救济程序拖延数据安全保障工作。我们不难发现,这一沟通协商的背后是安全与利用的价值博弈。金融数据安全价值的法律表达需落实在具体的金融数据治理工作中,以传达法律的规制信号,强化各方主体的数据风险防控意识。特别是在金融数据的开发利用中,明确的法律规范有助于促使金融机构、行业组织配合监管机构协商解决金融数据治理实践中的具体问题,支持金融数据产业的良性发展。
四、金融数据行业自治与法律管控的具体融合路径
无疑,以分类分级治理为中心的金融数据治理之路径重构,不是彻底抛弃原有路径,而是在原有路径的基础上进行调整。在推进行业自治与法律管控从二元分治走向有机融合的过程中,需要行业自治规则与法律规范的合理分工,以建构金融数据分类分级治理框架。只有强化国家、社会、行业等各方主体的沟通协作,才能化解制度推行中的各项阻力。
(一)规范融合:以分类分级治理为核心的金融数据治理的框架建构
架构科学有效的以分类分级治理为核心的金融数据治理框架,国家需从统筹协调的角度维护社会成员合法的数据权益,落实金融数据治理法律责任;行业组织需关注行业发展动向,及时跟进和革新金融数据分类分级方案和技术标准,引导行业自治规则的制定和执行。无疑,以法律规范为纲、行业自治规则为主体的金融数据治理框架是规范融合的核心目标。
1.明确互通协调原则
数据安全法律规范是保障金融数字化转型的重要基础设施,明确金融数据规范的互通协调原则,其目的是落实“法律的表达功能”(Expressive Function of Law),以法律原则的方式传达法律规制的信号,体现法律对建构金融数据治理框架的支持。事实上,在数据类型化方面,《数据安全法》已针对政务数据确定了安全与开发原则。我们认为,有必要在此基础上进一步扩充数据的种类和内容,增设金融数据,并确立不同金融业务数据分类分级规则的互通协调原则。由此,可以《分级指南》为衔接点,通过《证券分类分级指引》《银行个人金融信息保护通知》《个人信息技术规范》等细化规则与《分级指南》的对应衔接,同时实现《证券分类分级指引》《银行个人金融信息保护通知》《个人信息技术规范》等细化规则彼此间的互认互用。以通用性规范作为关联匹配标识,表明各细化规则需以《分级指南》为金融数据定级基准进行修订,借此可逐一打通各业务领域金融数据的安全壁垒,从而将碎片化的分类分级规则串联成为体系化的金融数据分类分级规范群。
此外,随着我国金融数字化转型的推进,金融数据的流通、交易、出境等都不可避免地涉及国家安全。而“滴滴海外上市”等事件已表明,金融数据安全必须由法律划定底线红线。如金融数据出境规则需与分类分级制度互通协调,以明确金融数据可否出境,并确保合理分配数据出境的安全保护资源。中国人民银行、金融监管总局、证监会、公安部、外汇管理局等相关部门可共同组建金融数据协同治理中心,负责落实金融数据分类分级规范的内部统一与外部衔接工作。为形塑这一以法律原则为指导、法律责任为框架、行业自治规则为主体的金融数据治理框架,协同治理中心须推进行业成员、行业组织之间持续互动以协商确定金融数据分类定级标准的修订;促进金融数据分类分级规范体系与数据、流通、交易、出境等规则的衔接协调;定期检查具体工作的落实情况,在强化法律问责的同时,协调解决实际工作中的具体困难,保证金融自治规则与法律规范的协调统一。
2.规范金融行业自治规则的制定和落实
当前,金融数据分类分级自治规则碎片化、分块化的状态,严重影响了金融数据治理体系的建构和具体规则的落实,亟待法律法规的引导、支持与约束。银行业、保险业、证券业、金融科技服务业等均属于金融行业细分领域,适用各自的数据分类分级规则且无法互认互用。而数字金融的发展则要求金融数据这一生产要素保持良好的流动性。金融数据规则之间的互联互通,不仅是规范体系化的需要,更是满足多种数据处理要求、促进金融数据价值联通的现实需求。为此,法律规范在确立互通协调原则的基础上,还需进一步保障金融行业细分领域以及数据全生命周期的安全保护规则在统一的规范话语体系下进行。在金融混业经营的发展趋势下,金融机构普遍涉及多项金融业务和金融数据采集、开发、交易、使用等各个生命节点,因此,有必要在金融机构内部管理中设置相应的安全保障措施。以金融机构为连接点,勾连不同业务类型和各生命节点的金融数据安全保障措施,对于金融数据规范互通协调原则的落实而言,更为科学合理、高效便捷。具体而言,可以从如下方面入手。
一方面,必须着力引导金融机构参与金融数据分类分级规则的制定和落实。金融机构在遵循数据安全法律规范的基础上,可以《分级指南》为依据,制定相应的金融数据治理内部指引、披露指南等,整合协调各金融行业细分领域以及金融数据各生命节点的数据治理规则。如此,金融机构得以借助互联互通的金融数据治理规则,提高其开发、利用、保护金融数据的效率和效益,通过“自下而上”的方式推进金融数据分类分级规范的衔接协调,形成对金融数据规范体系的自觉认同和普遍遵循。
另一方面,由金融数据协同治理中心负责协调落实各金融业务数据分类分级规则与通用规范的衔接以及通用规范与数据交易、出入境等规则的衔接。行业成员在勾连不同金融业务和金融数据各生命节点的安全保障措施之时,低成本挖掘金融数据价值的个体理性将不可避免地渗入行业自治规则的制定与执行。而法律规范对数据治理原则的确立需要通过切实的法律责任予以落实,从而在保证规范挖掘金融数据价值的同时,弥补行业自治规则的责任制度欠缺。例如,协同治理中心可定期检查行业主管机构开展金融数据治理工作的情况以及金融机构数据安全负责人的具体落实工作,对违反数据安全法律规范的,根据违法程度确定民事、行政、刑事责任,规范金融数据自治规则的制定和落实。
3.分类分级技术与数据规范的融合
金融数据价值的产生离不开技术的发展和运用,但任何一项技术都无法一蹴而就地解决金融数据治理中的所有问题,而是需要具体问题具体分析。例如,智能投顾企业注重金融数据的挖掘和分析,以发现数据与趋势、规律之间的关系;银行、保险类机构偏重个人金融数据的获取,以丰富获客途径。对此,将个人金融数据的知悉范围限于工作需要的要求,推动区块链和隐私计算技术的融合,为金融数据的流通和应用提供了“可用不可见”的数据安全解决方案。同时,出于对隐私和个人信息权益的保护,个人信息“匿名化”技术开始出现在数据治理规范中,即通过数据抽样(Sampling)、数据聚合(Aggregation)、数据合成(Synthetic Data)等技术,在保障数据原始主体合法权益的同时,实现数据的流转利用。这类数据治理实践揭示了技术与规范结合的新型数据规制方式广阔的应用前景,不仅缓和了法律管控与技术创新之间的张力,还体现出技术赋能对法律规范的优化,展现了金融数据治理体系迭代升级的发展趋势。
对于技术与规范结合的新型数据治理方案,我们可从鼓励创新与合规监管两方面进行考察:一方面,鼓励产学研合作,试验多元技术融合效果以及新方案是否能够实现金融数据安全与利用的价值平衡;另一方面,支持行业自治规则与法律规范的监管协同,在保证技术安全的基础上提升数据治理规范的有效性。以金融数据收集和存储为例,大量数据集中于少数金融机构,致使金融数据要素分布不均、结构失衡、流通受阻。然而,数字金融的发展需要金融数据保持良好的流动性,以便借助数据流动聚合的规模效应释放潜在的数据价值。为此,金融数据产业实践应关注金融数据集合之间的融合互动,从分类分级技术和数据规范两方面入手:在分类分级技术创新方面,可以由行业主导,鼓励行业成员研发创新技术以支持高质量的金融数据供给,培育和发展金融数据采集、标注、清洗等配套服务业;在数据规范方面,可以由法律搭建数据、技术和场景深度融合的金融数据要素市场,支持金融数据配套服务业的发展。近年来,建设数据交易所的问题虽呼者切切,但应者寥寥,根本原因还在于高质量的数据供给不足以及市场基础设施不完善。而技术与规范的结合可以有效化解这一现实问题,利用技术创新提高数据供给质量,借助数据规范体系的互联互通支持金融数据市场的建构和完善,合力实现金融数据的市场化配置。
(二)主体协同:多元主体的协同共治
党的十九届四中全会指出,必须加强和创新社会治理,完善党委领导、政府负责、民主协商、社会协同、公众参与、法治保障、科技支撑的社会治理体系,建设人人有责、人人尽责、人人享有的社会治理共同体。金融数据治理体系的构建涉及国家、社会、行业、公众等多元主体,要求主体协同,发挥政府、行业组织及成员、社会公众等各自优势,这也是提升金融数据治理科学性的应有之义。
1.行业成员与社会大众的协同
隐私保护是数据原始主体数据保护的逻辑起点,而金融数据价值的产生来源于平台数据的规模化汇聚。社会大众对隐私保护的需求与行业成员对数据价值的追求,经过反复博弈,催生了“数据可用不可见”“数据可控可计量”等技术,以调和个体数据权益与企业数据利益的矛盾。这也是金融数据治理的一个缩影,即在行业发展利益与责任分配过程中,必然经历集体讨论和反复博弈,从而形成行业成员与社会大众之间的协同。其不是各金融机构内部规则的简单汇总,而是个体发展需求、行业治理目标以及社会公共利益的整合协调,需要行业成员、行业组织以及社会大众的沟通协作。其中,行业成员的持续互动在于形成行业共识,以确定行业成员普遍可接受、可实施且符合社会大众安全要求的金融数据分类分级方案。而行业成员与社会大众的协调在于从源头保护金融数据,规范挖掘金融数据价值。当前,金融机构掌握新兴的数据技术,而社会公众代表普遍的数据安全需求,二者的沟通协作有助于支持金融业的自我规制,提升金融机构的市场信誉,从而以“自下而上”的方式维护金融数据秩序。
2.三方评估的治理合作
金融数据的治理可以鼓励和支持行业组织参与、引导第三方评估工作,从而形成企业自评估、行业评估、法律审查三位一体的评估体系,系统性地提升金融数据安全的治理能力。而这一评估体系建构的关键在于行业成员、行业组织以及行业主管部门等主体间的交流合作。其中,行业组织作为多元数据治理主体中的重要一环,不仅是金融数据治理规则的执行者,还是发挥市场机制的关键力量。在三方评估体系的治理合作中,应充分发挥行业组织沟通行业成员和主管部门、连接市场和政府的桥梁和纽带作用,在强化金融数据治理规则互联互通的基础上,同步提升各主体在金融数据治理工作中的协调性。为此,国家工信部直属的中国信息通信研究院发布的《数据安全治理实践指南(2.0)》明确指出,由行业组织引入第三方数据安全评估认证,并依托互联网协会团体标准《数据安全治理能力评估方法》,推出首个市场化评估服务,在具体应用场景中落实数据分级规范。此外,国家金融监管总局与互联网信息办推出的数据安全管理认证、个人信息保护认证等配套工作也在稳步推进。企业内部评估与第三方评估的结合也已成为数据安全评估优化的重要抓手,为金融机构建设、度量、改进自身的数据安全治理体系提供了方法论和操作指南。这类金融数据的治理实践,充分展现了国家层面对数据安全市场化评估工作的有力支持以及行业成员的广泛认可和积极推行。
此外,为更好地发挥市场机制的作用,提升金融数据治理规则的科学性和实操性,还必须强化各方主体的合作,建构和完善三方评估体系。即通过企业自评估、行业评估、法律审查这三方主体的评估合作,推进一一对应、有效衔接的金融数据分类分级规范体系的形塑。其中,行业成员、行业组织及主管机构的协调合作,是推进三方评估体系成熟完善的必要条件,为金融数据自治规则的科学制定、有效执行及存废提供多种约束手段。例如,综合三方评估结果筛选出不适宜市场发展、不具可操作性的行业规则,既可以进行直接披露,也可以通过建立专门的瑕疵规则数据库供金融机构及特定市场主体查询等方式进行间接披露。如此,借助优胜劣汰的市场竞争机制,发挥市场声誉的隐性强制力,方能弥补行业自治在责任制度方面的不足,提升金融数据规范体系的科学性。
3.政府的组织协调
作为社会公共利益的维护者,政府应积极协调解决金融数据治理工作中的具体困难,在鼓励和协助各方主体交流合作的同时,尽可能避免法律管控对创新的抑制。在这一工作的推进过程中,政府因其在协调解决集体行动困境中的独特优势,成为数据治理工作最理想的统筹者,代表社会大众及时发现并指出金融机构数据安全措施不充分、不到位之处,与行业组织配合,要求并监督行业成员积极改进。而当新的技术应用或分级标准被实践证明具有更好的安全保障作用时,对于可能存在的制度阻碍或集体行动困难,政府也需积极发挥协调作用。例如,知情同意原则致使金融机构在数据收集、流通、共享等领域受到严格限制,对此,政府可以通过组织协调相关部门通过综合研判,作出必要且合理的解释,以缓和金融机构过于沉重的数据安全压力。当金融消费者、投资者不理解、不满甚至抵制数据安全措施,导致数据安全保障水平更高的企业流失更多的数据原始主体,出现劣币驱逐良币的现象时,政府除了联合行业组织扩大宣传,提升社会成员数据安全意识外,还可以采取部分更新或整体改进数据安全要求的方式,配合相应的利益激励以及安全责任的重新分配,帮助金融机构及时走出市场局限,防止整个金融业陷入数据安全保障不足的窘境。换言之,金融数据技术的创新升级可能导致客户从创新企业转移到非创新企业,迫使企业放弃新的技术应用,出现创新冻结的趋势。这一技术创新威胁需要借助政府力量予以调和,如安全标准的升级与责任的重新分配,通过提供一个权利、义务、责任的协调机制克服行业成员的集体行动困境。其核心在于金融机构可能不会因合规成本拒绝金融数据治理要求,但可能因其他成员没有承担相应的责任,获得不公平的竞争优势,而拒绝对此作出必要保证。对此,政府的统筹协调在于通过确认新兴技术的合法性以及协调新旧生产组织的利益冲突,对系统性的金融数据技术变革作出积极且有效的回应。
五、结论
金融数据治理工作的推进落实,有赖于行业自治与法律管控各自优势的发挥,从而建构起金融数据治理责任框架,并兼顾金融数据安全与利用价值。从二元分治的现状反思到融合思路的思考,我们旨在探索金融数据治理工作的可行路径,为金融数据治理提供一个可落地的规范框架。金融数据的有效治理,要求在规范融合和主体协同两个方面促进自治与法治的有效衔接,凝聚金融数据分类分级治理的规制合力,实现数字金融高质量发展的现代化蜕变。在规范协调上,必须以法律规范为纲,以行业自治规则为主体,平衡金融数据的安全与利用价值,推进金融数据治理责任制度化功能的实现。在主体协同上,需要强化国家、社会、行业等各方主体的沟通协作,化解制度推行中的各项阻力,为金融数据的良性治理创造出最大的合力。
原文刊发于《厦门大学学报(哲学社会科学版)》2023年第6期《法学研究》专栏,第135—147页。因篇幅问题,注释删略。
相关文章:
欢迎关注“厦门大学学报哲社版”微信公众号
投稿平台
https://xdxbs.xmu.edu.cn/
https://xmds.cbpt.cnki.net/