摘要:开放银行模式下,数据共享过程中的信息披露存在对象和内容两方面的特殊性,个人客户的知情权保障面临信息不对称与信息过载的双重困境。我国有关开放银行的规范将视线聚焦于技术标准,涉及信息披露之核心操作环节的规则处于空白状态。在我国,实践中,各家银行并没有足够的动力履行信息披露义务,有必要对开放银行数据共享中的信息披露义务进行系统构建,这需要结合银行和第三方机构在数据共享不同阶段承担的不同角色,对信息披露义务的具体内容及形式予以明确,并从民事责任、行政责任、刑事责任的角度对各类违反信息披露义务的行为分别加以规制。
关键词:开放银行;数据共享;信息披露义务;法律责任
在新一轮技术革命背景下,开放银行是未来银行业务发展的必由之路,众多国家和地区相继走上了开放银行的探索之路,接连推出开放银行计划。截至2019年底,我国约有65%的商业银行参与了开放银行经营活动。与国外开放银行肇始于政府监管层的推动不同,我国开放银行模式的发展是各大银行主动为之,开放银行相关的规则体系与治理框架制定仍处于“进行时”。2019年中国人民银行在《金融科技(FinTech)发展规划(2019-2021)》中强调要加大金融信息保护力度,建立金融信息风险防控长效机制。党的十九届四中全会明确指出,要加强数据有序共享,依法保护个人信息。2020年4月9日,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称:《意见》)发布,首次将数据作为新型生产要素予以重点关注,并提出要着力破除数据隐私安全等方面的瓶颈制约,完善配套措施。《中华人民共和国数据安全法(草案)》(以下简称:《数据安全法(草案)》)及《中华人民共和国个人信息保护法(草案)》(以下简称:《个人信息保护法(草案)》分别于2020年7月与10月面向社会征求意见,这两部法律草案中有关个人数据使用及保护的原则性规定可以对解决开放银行模式下的个人数据共享问题起到统领指导作用。
个人数据共享中的安全问题是不容忽视的风险敞口,关系到数据共享的顺利展开,进而影响开放银行模式在我国的健康可持续发展。有效的个人数据保护涉及事前授权、事中跟踪、事后补救多个维度,信息披露则是贯穿始终的核心。致力于消除信息不对称和信息过载带来的弊端,在个人客户知情权保障方面发挥着不可替代的作用。完善的信息披露义务规则体系有赖于强制性规范与任意性规范的科学结合:一方面对主体积极履行信息披露义务形成强约束力,保障个人数据安全;另一方面为信息披露义务的履行留有灵活操作空间,避免对数据自由流动造成过多阻碍。从法律体系的角度来,我国并不缺乏关于个人数据保护的各层级立法,但是能有效规制开放银行模式下数据共享相关问题的规则却寥寥无几,涉及信息披露之核心环节的规则更是处于空白状态。已有的一些个人数据共享信息披露规则散见于各类立法文件及行业标准中,存在诸多规范不力的问题,主要表现为信息披露义务主体不完整、义务内容设置不合理、义务履行方式不科学、法律责任不明确等等。如何在现有规则基础上,优化银行与第三方机构信息披露义务的范围、履行方式及违反义务的法律责任,以及如何在基本法律搭建的个人数据保护框架下,细化开放银行数据共享中的信息披露义务内容等,皆需要多维度进一步的系统探讨。
一、开放银行数据共享中信息披露义务的特殊性与重要性
开放银行是指银行获得客户的授权或同意后,通过一定技术方式将客户数据共享至第三方机构的新兴业务模式。在这种模式下,银行和第三方机构可以充分挖掘客户数据的价值,双方亦能借此获得更多的客户资源。与传统银行模式及其他非银行金融机构业务模式相比,开放银行模式存在特殊性,业务参与者增至三方,各自之间的法律关系存在多种情形。相应地,开放银行数据共享中的信息披露与其他领域的信息披露相比,也存在披露对象与披露内容上的特殊性。加之实践中信息不对称与信息过载现象的存在,基于保护个人客户知情权与推动开放银行可持续发展的双重考量,对开放银行数据共享中银行与第三方机构的信息披露义务进行体系化构建具有重要意义。
(一)信息披露义务的特殊性
开放银行模式下的业务参与者有三方,即客户、银行和第三方机构。三方之间的法律关系并不能用传统的一对一合同关系来界定,而是大体上可分为两类。一类为“三角模式”,即三方参与者之间各自形成合同关系,个人客户与银行之间签订客户服务协议,银行与第三方机构之间签订开发者协议,个人客户在使用第三方机构开发的APP或网页时与第三方机构形成事实上的合同关系。另一类为“线性模式”,即个人客户与银行、银行与第三方机构之间形成合同关系,第三方机构和银行基于各类合作目的,由银行获得客户授权并将数据共享至第三方机构,个人客户与第三方机构之间不存在合同关系。
基于开放银行业务模式的特殊性,客户的个人数据利用也与传统个人数据利用有所区别。第三方机构以数据共享的形式参与到个人数据利用过程中,因而从数据安全与个人隐私保护角度出发,客户的个人数据需要进行不同敏感程度的划分并设置与之相应的保护手段。开放银行模式下可被共享的个人数据是指个人客户在参与银行业务过程中形成的各类数据,这些数据由银行获取、加工、保存,并且可以单独或与其他数据结合识别出特定自然人的身份。2020年2月,由中国人民银行发布的《个人金融信息保护技术规范》(以下简称:《个人金融信息规范》)按照敏感程度将个人数据划分为三个等级。参考该行业标准的分类方法,将开放银行中涉及的个人数据按敏感程度由高到低可分为三类,分别是个人身份数据、个人财务数据以及在前述数据基础上通过分析产生的增值数据。之所以这样分类,是因为不同类型的个人数据承载着不同程度的法益重要性和数据开发价值。其中由于个人身份数据与客户本身密切相关,其可识别性高于个人财务数据。个人财务数据只有在与其他数据相结合时才能识别出个人客户的身份,可以通过脱敏处理将数据敏感程度适当降低。在构建开放银行模式下的信息披露义务时,对不同敏感程度的个人数据进行区分规制,才能更好地维持数据保护与数据利用的价值平衡。
具体到信息披露义务,银行与第三方机构应当按照一定规则以一定方式向个人客户(即数据主体)披露一系列与数据共享相关的信息,使得个人客户对其数据从授权开始到共享利用结束的全流程享有充分的知情权。由于数据共享行为具有特殊性,开放银行模式下的信息披露义务不同于其他领域的信息披露义务,至少表现出两个方面的特殊性:其一,信息披露的对象特定,就同一信息的披露而言,银行和第三方机构的披露对象只有一位客户;其二,信息披露的内容特殊,在开放银行运作过程中,没有两个一模一样的数据共享行为。获取数据的第三方机构、做出同意共享授权的客户及客户的个人数据都各不相同,因而针对这些各种各样的情形,银行和第三方机构的信息披露内容也可谓是“千人千面”,信息披露义务主体履行义务的方式为点对点的“私人订制”。不过银行就特定第三方机构向客户作出的风险警示是例外,由于针对的并非是特定个人,而是使用该机构提供的APP或服务的所有客户,这类具有共通性的信息可以采取公告的方式进行披露。正是基于对象和内容的特殊性,开放银行数据共享中的信息披露义务需要在现有相关规定的基础上进行体系化调整规范,才能与开放银行的可持续发展相适应。
(二)信息披露义务的重要性
在开放银行模式下,个人数据传递的链条被拉长,不再是点对点的“个人-银行”方式,而是以不同的形式延伸至第三方机构,持有数据的主体相对于传统业务而言有所增加,更多的存储点也使得数据被泄露的潜在阶段增多。由于数据交互更为频繁,数据的接触面拓宽,个人数据安全风险也随之增加。“在开放银行的条件下,由于传统金融的功能及机构被颠覆,所以传统的功能监管、机构监管以及主动监管、被动监管等基本上也就不存在了。”在这种情况下,个人数据的保护力度亟待加强。在个人数据的全方位保护闭环中,客户的知情权保障是核心内容,银行与第三方机构履行信息披露义务则是保障客户知情权的关键手段。
实践中,个人客户知情权实现的障碍主要表现为两种形式,一是信息不对称,二是信息过载。
就信息不对称而言,银行与第三方机构作为开放银行模式中的数据控制者与数据接收者,凭借着地位优势与较高的专业技术水平,对数据共享的过程了如指掌。当个人数据被共享至第三方机构,以后数据一定程度上脱离了个人客户的控制,个人客户对数据流向何处以及数据被如何利用并不知情,全部有赖于银行和第三方机构的披露。根据中国人民银行于2020年2月13日发布的《商业银行应用程序接口安全管理规范》(以下简称:《接口规范》), API接口分享数据的同时能留存传输记录。从技术的角度来看,数据如何被传输共享并加以二次利用的全过程都有迹可循,银行和第三方机构向个人进行披露并不存在技术障碍。并且,传输记录的存在使得披露成本不会很高,提取记录并提供给客户查验具备可行性,客户能否知情取决于银行和第三方机构的意愿。然而,基于资本的逐利性,银行和第三方机构存在侥幸心理,很难有足够的驱动力向个人客户进行信息披露。拥有专业技术、追求商业利益的银行及第三方机构不可避免地与专业认知水平存在局限、追求个人数据安全的数据主体产生冲突,在这场数据角力中,个人客户几乎必然处于弱势地位。
就信息过载而言,信息量超过个人客户理解范围,导致个人客户无法筛选出有效信息以作出理性判断。一般情况下,银行和第三方机构通常以用户协议、隐私政策等作为获取客户授权时的信息披露方式。面对冗长复杂的条款,存在固有认知局限的个人客户需要付出高昂的信息提炼成本,故往往选择粗略浏览,忽略潜在风险,“在未能充分了解数据收集所带来的不利益的情况下,轻率地作出流于形式的同意”。
在信息不对称与信息过载的双重困境下,信息披露义务的重要性不言而喻。信息披露义务的设置旨在消弭信息不对称现象下客户的信息弱势地位。针对银行和第三方机构信息披露义务的系统规定,能够敦促两者采取正确的安全保障措施,避免开放银行的发展以牺牲个人客户数据的保密性为代价。相应的法律责任条款则能倒逼银行和第三方机构积极作为,使得处于信息弱势地位的个人客户能够掌握充足的有效信息,在信息对称的基础上作出符合内心真意的理性决策。与此同时,信息披露能够提高信息过载现象中个人客户获取信息的有效性。通过对银行和第三方机构履行信息披露义务的形式作出规定,披露的信息能以简洁和易理解的方式呈现给客户。概言之,完善的信息披露义务规则通过矫正信息不对称和信息过载带来的弊端,以保障客户知情权的方式应对开放银行模式对个人数据安全带来的风险,进而能够提高客户对数据共享行为的信心,增强客户授权数据共享的意愿,夯实数据充分流通的合法性基础。
二、开放银行数据共享中信息披露义务的主体范围
传统银行业务模式中,银行向个人客户披露其数据使用情况基本以客户服务协议为载体,而开放银行模式下,银行与第三方机构都可以接触到客户的个人数据,因而只有对银行和第三方机构都课以相应的信息披露义务,才能对个人客户的知情权形成全方位的保护。在我国,目前第三方机构由于未被纳入信息披露义务主体范围而免于承担信息披露义务,致使个人客户的知情权保障渐入困境。
(一)现状检视:信息披露义务的主体不完整
在我国就信息披露义务的主体而言,金融领域的各类法律规范和政策文件的规定都侧重于规制银行的行为。《银保监会关于银行保险机构加强消费者权益保护工作体制机制建设的指导意见》(银保监发[2019]38号,以下简称:38号文)第二部分将“协助规范营销宣传和信息披露内容”作为银行履行消费者权益保护的职责之一。《中国人民银行金融消费者权益保护实施办法》(中国人民银行令[2020]第5号,以下简称:《金融消费者保护办法》)第8条规定了银行、支付机构应当建立健全金融消费者权益保护的各项内控制度,其中包括金融产品和服务信息披露机制和查询机制。
个人客户向银行做出授权后,银行将数据共享至第三方机构,属于银行的服务之一,银行理应承担相应的信息披露义务。就第三方机构而言,其类型多样,不少第三方机构并不属于金融监管机构的管理对象。除了金融科技公司外,许多大型科技公司亦会以第三方机构的身份参与开放银行业务,依托自身拥有的庞大客户群与先进的科技水平,接入银行系统,以达到收集数据、完善服务、提高营收的目标。事实上,在数据被共享至第三方后,只有第三方机构对数据利用过程能有全面的了解,披露信息的准确性最高,披露成本也最低。第三方机构作为共享数据的使用方与收益方,也应当履行相应的信息披露义务。倘若缺少了第三方机构的信息披露,个人客户的知情权保障力度将被削弱。
如前所述,在开放银行数据共享的全流程中,涉及信息披露的并非只有事前授权阶段。并且,在数据共享的不同阶段,银行和第三方机构对数据的控制力度也有所不同。在数据授权阶段,银行对数据的掌控强于第三方机构,因而应当对个人客户承担更多的信息披露义务。当银行获得客户授权,将数据共享至第三方机构后,数据在一定程度上脱离了银行的控制,转而由第三方机构加以利用。因此,这个阶段中第三方机构需要履行的信息披露义务应当比银行更多。然而我国的现有法律规范和政策文件的相关规定均将视线聚焦于事前授权阶段,对授权后数据共享阶段的信息披露义务并未作出安排,这显然滞后于开放银行的实践需求。
(二)信息披露义务主体规则的完善建议
若干国家和地区的相关文件对银行和第三方机构的信息披露义务有明确规定。欧盟《一般数据保护条例》(General Data Protection Regulation, GDPR)第30条对数据控制者(Controller)及数据处理者(Processor)规定同等的记录要求。英国《开放银行标准框架》要求第三方提供商(Third Party Provider)在向个人客户申请共享数据时,应当提供隐私声明,该声明必须披露任何后续共享数据的细节。澳大利亚《开放银行调查建议》则建议数据接收方(Data Recipient)应为个人客户提供一个页面,在该页面上显示数据的用途、存放位置等。英国和澳大利亚有关开放银行的法律文件虽然对银行和第三方机构的披露义务都做了规定,但并未明确区分阶段。
借鉴率先开展开放银行业务的国家与地区之经验,我国也应有针对性地完善开放银行数据共享中的信息披露义务主体规则。我国《商业银行法》作为银行业的基础性法律,在新一轮修订中可以考虑纳入有关开放银行及客户权益保护的原则性规定。目前,银行的信息披露义务主体身份已被作出较为细致的规定,在此基础上,第三方机构的义务主体身份也应当通过立法予以明确。另外,在数据共享的不同阶段,银行和第三方机构充当了不同的角色,承担不同程度、不同内容的披露义务。对此,银行和第三方机构在信息披露义务承担中的主次地位需要根据不同阶段予以区分。
1.授权阶段的义务主体:银行为主,第三方机构为辅
在开放银行模式下,客户经由第三方机构提供的网页、APP向银行作出授权,储存在银行的个人数据通过API接口流向第三方机构。在授权阶段,基于个人客户和银行之间的服务协议,银行作出获取客户授权时应当披露相关信息的承诺。在这个阶段中,银行充当“猫眼”角色,门外按响请求数据共享门铃的陌生人究竟是什么身份,可靠与否都有赖于银行的披露,银行披露的信息直接影响到个人客户对数据共享行为的风险评估(三角模式下的个人客户虽然对第三方机构的身份有初步了解,但更详细的信息仍需由银行披露)。与此同时,在这个阶段,第三方机构也承担了一定的信息披露义务,如数据共享的目的等。此外,第三方机构还应当辅助银行履行信息披露义务。因为第三方机构在接入银行的开放平台时需要与银行签订开发者协议等,银行对第三方机构的资质已经进行过全面审查,所以第三方机构也应将相关信息的变更及时通知银行。
2.授权后数据共享阶段的义务主体:第三方机构为主,银行为辅
在授权后的数据共享阶段,数据被共享至第三方机构,一定程度上已脱离银行的控制,只有第三方机构掌握数据的具体利用情况。基于节约信息披露成本的考量,由披露成本较低的一方履行信息披露义务更符合情理,显然在这个阶段第三方机构应当是主要的信息披露义务人,银行则充当辅助传递与审核角色。当第三方机构披露数据后续使用情况时,银行应当承担该披露信息的“再传递义务”。也就是说,银行应当向第三方机构提供一个可供其进行信息披露并可供个人客户查看的渠道,同时银行也肩负监督、督促第三方机构积极履行信息披露义务的职责。
三、开放银行数据共享中信息披露义务的具体内容
对信息披露义务具体内容的规定关涉银行和第三方机构将以何种程度来平衡数据流动与权益保障。由于目前我国的相关各层级规范内容上的差异性和分层次规制的缺乏,实践中各家银行并未有效履行其信息披露义务,因此个人客户的知情权并未得到充分的保障。
(一)现状检视:信息披露义务的内容设置不合理
在信息披露义务的具体内容方面,各层级的规范所规定的内容并不一致。我国《民法典》第1035条第1款第3项、我国《消费者权益保护法》第29条、我国《网络安全法》第41条都将处理信息的目的、方式和范围作为处理个人数据时应当披露的内容。并且,我国《民法典》1038条第2款规定,信息处理者在发生或有可能发生个人数据泄露、丢失等侵害个人数据安全事件后,应当及时将该信息告知被收集者。针对安全事件的披露,尚在征求意见阶段的《数据安全法(草案)》也有类似规定,即《数据安全法(草案)》第27条规定的“开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告”。《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号,以下简称:17号文)第4条第2款要求银行在取得客户书面授权或同意时,应当向客户披露向他人提供个人数据的范围和具体情形,并以醒目和通俗易懂的方式提示该授权或同意的可能后果。《金融消费者保护办法》第31条则将银行应当披露的信息细化为征集的目的、方式、内容、使用范围及可能的后果。《信息安全技术个人信息安全规范》(以下简称:《信息安全规范》)和《个人金融信息规范》要求披露共享数据的目的、涉及的数据类型、数据接收方类型及可能产生的后果。
通过对中国银行、浦发银行、中信银行、招商银行、平安银行等五家已经开展开放银行业务的银行的调查可以发现,银行的开放平台官网仍只是专门针对第三方机构设计,个人客户暂时无法找到与开放银行业务相关的服务协议与隐私保护政策条款。现有的电子银行(或手机银行)个人客户服务协议及隐私政策成了仅有的开放银行模式下银行信息披露义务履行情况的研究范本。在信息披露内容及详实程度上,这五家银行并不统一。平安银行在其隐私政策中并未承诺获取共享授权时披露的信息,仅简单告知了三类可能共享数据的情形及将向第三方提供何种数据。除了平安银行之外,其他四家银行在隐私政策中向客户承诺共享数据前将先获取客户的授权或同意,并告知共享数据的目的与接收方类型。其中,浦发银行承诺告知共享范围,另外三家银行则对敏感数据作出区分,中国银行与中信银行将数据接收方的数据安全能力也纳入信息披露范围。值得注意的是,这五家银行均未按照《金融消费者保护办法》、17号文及《信息安全规范》的要求向客户披露数据共享的潜在后果。
可见,虽然这些不同层级的规范对相关应当披露的信息进行了列举,对信息披露义务的内容构建提供了指引,但实际效果并不理想,其原因仍在这些规范的有效性方面。首先,这些不同层级规范之间尚未对信息披露义务的具体内容达成共识,银行和第三方机构应当依照哪些规则来履行信息披露义务尚无定论。其中效力层级较高的规范聚焦于数据处理目的、方式、范围,这样的规定虽普遍适用于各类数据共享情形但仍稍显宽泛,效力层级较低的规范还将数据使用的后果纳入披露范围。《信息安全规范》和《个人金融信息规范》的规定虽更为细致全面,对数据共享行为来说也更有针对性,将披露内容扩充至数据接收方的相关信息,但因其强制力的缺乏难以得到有效落实,各家银行并未按照这类规定进行披露。其次,现有规范没能体现分层分类规制的思路,并未针对不同阶段规定不同的信息披露内容。从我国《民法典》到各类技术标准都侧重于客户授权共享其数据时银行应当披露的信息,对数据后续利用情况的信息披露规定不足,缺乏对数据共享过程之后续阶段的监督。在三角模式中,个人客户通过第三方机构开发的网页或APP向银行作出数据共享的授权,此过程中已经对第三方机构的身份有大致了解,即已经得知数据分享对象,银行披露与否对个人客户的授权并无太大影响;个人客户更关注的是数据的后续使用情况,如数据使用频次、数据使用范围是否符合授权时的约定等。对于线性模式下第三方机构直接向银行请求批量共享数据所涉及的客户来说,授权阶段与后续使用阶段的持续信息披露都至关重要。信息披露内容设置方面的不足,使信息不对称现象得不到妥善解决,个人客户获知的信息不够完整,难以充分评估数据共享的风险并作出理性的授权决定。
(二)信息披露义务内容的完善
针对银行和第三方机构应当披露哪些信息,域外各类开放银行相关规范一般有详细列举。就授权阶段而言,欧盟《一般数据保护条例》第13条规定了处理数据的目的及法律基础、数据接收方信息等。英国《开放银行标准框架》要求第三方机构提供的隐私声明必须披露任何后续共享数据的细节,包括数据接收方身份或类型、数据共享的用途、客户撤回授权的方式及撤回后果等。澳大利亚《开放银行调查建议》明确提出了个人客户对其个人数据的控制权,要求客户授权同意机制在设计时就留有客户自行选择的权利,具体可选择的内容包括用于共享数据的账户、数据共享时长、数据共享目的等。此外,该建议还需求在个人客户收到共享其个人数据的申请时,银行应当明确说明共享数据的含义,并提示个人客户数据共享行为带来的风险由客户自行承担。美国消费者金融保护局推出的九项原则中规定,在获取个人客户授权时的信息披露应当具体且易于理解,披露的信息包括用于共享的数据范围、共享时长。就授权后的数据共享阶段而言,欧盟《一般数据保护条例》第33条和第34条分别规定了数据控制者和数据处理者在数据泄漏后的及时告知义务。英国《开放银行标准框架》也要求银行API接口应当支持“带外管理”(out-of-band)认证,确保发生变更情况时客户可以及时收到提醒,也就是将披露信息变更情况纳入了信息披露的范围。
此类规定虽然在内容细致程度上有差别,但都将数据共享目的、数据接收方信息、数据共享时长纳入了授权阶段的信息披露范围,这与我国现有的规则相类似。这些信息之所以被共同认可,是因为其最能直观展示个人数据被共享利用全过程的基础信息,但要充分保障个人客户的知情权,还需要其他信息予以辅助。
1.信息披露内容的范围
综合我国相关各层级规范对应当披露的信息之规定,可以考虑将银行与第三方机构应当披露的信息范围整合如下。其一,数据共享目的无疑属于信息披露的内容,这是使个人客户了解其个人数据为何被共享最为直观的内容。共享目的是个人客户进行价值判断并作出决策的最主要依据,因而是客户最为关注的焦点,位居信息披露内容的核心。其二,共享的数据类型、共享方式、使用范围及共享时长是客户知晓其数据共享后如何被加以利用的关键信息,同时,基于17号文和《金融消费者保护办法》的规定,共享数据可能产生的后果也宜纳入披露范围。其三,数据接收方(即第三方机构)信息。该信息主要包括数据接收方的类型、身份及数据安全保障能力等,是保障个人客户了解其数据被共享至何处的关键信息,影响到客户对数据共享行为安全与否的评估,也为后续一旦发生数据安全纠纷,客户能够及时找到责任人并获得救济提供了可能性。对第三方机构自身信息的披露作出严格要求,是因为客户同意授权一定程度上也是基于对第三方机构商誉及数据安全保障能力的信赖。其四,安全事件通知。这是银行与第三方机构应当快速及时向个人客户披露的信息之一。这类信息与其他披露信息相比增加了时效性要求。我国《民法典》和我国《网络安全法》均对数据处理者在发生或可能发生危及信息安全情况时的及时通知义务作了要求。由数据共享导致的个人数据泄漏等事件发生后,银行及第三方机构应在合理期间内及时通知数据主体。安全事件通知的具体内容除了告知个人客户事件的发生外,还应当告知可以采取的救济措施。
对个人客户获知数据共享行为全貌而言,以上信息缺一不可。因此,《个人信息保护法(草案)》在第18条与第24条作出类似规定,要求各类数据共享行为参与者必须向个人客户披露以上信息。对此,监管机构可以通过出台相关细则,结合开放银行模式的特殊性对信息披露内容的范围进行细化。
值得注意的是,这些信息并不需要在每次都全部披露。各类披露信息需要根据共享数据的敏感性程度进行适度微调。如果对个人数据不加以区分而给予同等程度的保护,虽然在理论上保障了个人客户对自己数据的决定权,但无法满足法律适用的现实需求。“只有对受保护个人信息进行类型化处理,才能避免个人信息概念的模糊性缺陷,防止规范适用的空洞化”,因此有必要设置宽严有别的梯度式披露规则。就个人财务数据而言,由于其敏感程度不如个人身份数据,若银行对个人财务数据进行了脱敏处理,那么授权阶段银行仅需告知客户数据共享目的及数据接收方类型即可。就个人身份数据而言,银行在披露共享目的、数据接收方类型外,还应当告知即将分享的敏感数据类型、数据接收方身份及安全保障能力、共享可能产生的结果,使得个人客户能够准确评估风险。
2.信息披露内容的层次
由于授权阶段和授权后数据共享阶段中银行和第三方机构充当了不同的角色,相应地两者在不同阶段披露的信息类型也应有所区别。
在授权阶段,第三方机构向个人客户请求获得数据共享授权时,应当主动告知其数据共享的目的、共享的数据类型、共享方式、使用范围及共享时长,同时还应主动向银行提供有关该机构自身的各类信息如数据安全保障能力等。银行应当对第三方机构提供的信息进行审核,向个人客户披露该第三方机构的具体信息并告知该数据共享行为可能导致的后果。其中针对第三方机构的数据安全保障能力,监管机构可以考虑以规范性文件或技术标准的形式进行一定程度的量化规定。若第三方机构是脱胎于银行的金融科技子公司,由于有银行为其数据安全保障能力及可信赖程度作为依靠,银行对其的监督措施也更为多样且有效,信息披露义务的履行程度或可稍低于其他第三方机构,如略微降低数据安全保障能力的考核要求。
在授权后的数据共享阶段,第三方作为主要的信息披露义务人应当实时更新其数据利用情况,根据《信息安全规范》“9.2个人信息共享、转让”部分之规定,数据利用情况包括共享的日期、共享规模、共享目的、对数据采取了哪些保护措施等,力求将从数据被共享至本机构开始的每个流程都记录下来,确保信息披露的真实性、准确性与完整性。当发生个人数据泄漏等安全事件时,银行和第三方机构都有义务将事件及时披露给个人客户,在采取补救措施的同时一并告知客户可以采取的救济措施。除此以外,银行还应对第三方机构披露的信息进行审核,对遗漏的应披露信息进行补充,对第三方机构本身的信息进行更新。
随着区块链技术逐步应用于开放银行模式中,关于信息披露的真实性验证问题也将迎刃而解。区块链技术中的时间戳证明、共识机制等能够对数据的传输、使用进行全流程的监控,实现数据追踪,操作历史由全节点共同见证,无论是银行还是第三方机构都无法对应当披露的信息进行造假。
四、开放银行数据共享中信息披露义务的履行方式
信息披露义务的履行方式关系到个人客户能否从海量信息中提炼出与自身数据安全切实相关的有效信息,也关系到个人客户能否以高效简便的方式对数据共享行为的全过程进行监督。换言之,个人客户知情权能否得以保障,取决于法律能否通过提升信息披露义务履行方式可操作性的路径来妥善应对信息过载带来的挑战。
(一)现状检视:信息披露义务的履行方式不科学
《金融消费者保护办法》第17条规定银行应当采取有利于金融消费者接收、理解的方式,并且应当对与金融消费者切身利益相关的重要信息和关键专业术语进行解释,还需以适当方式供金融消费者确认其已接受完整信息。该办法第21条第1款还要求银行应当通过字体、字号、颜色、符号、标识等足以引起金融消费者注意的显著方式呈现与金融消费者自身有重大利害关系的内容。
现有规则大多将“易于被客户接受与理解”作为银行履行信息披露义务的要求,对于银行和第三方机构披露信息时采用的语言表述、页面设计、篇幅长短等并未作出细致规定,这样笼统的表述显然缺乏可操作性。实践中,银行针对获取共享数据授权时应当以何种方式告知披露信息也并未进行说明。授权阶段的信息披露由于是一次性的,因而容易达到“易于被接受与理解”的水平,银行通过加粗或加黑字体等方式足以引起个人客户的注意。然而,在后续数据使用阶段,考虑到同一客户个人数据的潜在数据共享对象众多,由各个第三方机构对数据使用情况进行披露并在各自网页和APP上披露并不具有可行性,因此如何进行信息披露就成为一个难题。
(二)信息披露义务履行方式的完善建议
域外有关开放银行规范均要求信息披露应当符合简洁易于理解的标准。英国《开放银行标准框架》指出,大部分客户会跳过阅读条款的步骤,因此有必要对披露方式进行设计,使个人客户能够完整获知关于数据共享行为的内容。如尽可能地简化信息披露的页面,使得所有信息以单页形式呈现,并减少使用专业术语转而采用更易于被客户理解的日常表达来进行解释。澳大利亚《开放银行调查建议》指出,对个人作出的说明与提示不应当妨碍个人客户共享数据的意愿,因此建议银行和第三方机构应当以单页的形式向客户呈现数据的用途、数据被存放的位置,并以列表形式列明数据的可能用途以便客户自行选择。之所以将披露信息浓缩至单页呈现,是为了在鼓励客户积极决定授权与否的同时,也能对其授权所带来的后果有清晰的认识,避免潜在的风险被密集的条款所掩盖。事实上,以单页形式呈现披露信息的方式更适合授权阶段的初次披露,对后续数据共享阶段的持续性信息披露还需采用其他方法。“易于被客户接受与理解”作为信息披露义务履行的原则性标准并无不妥,这一标准仍可沿用至其指导下的开放银行规范制定之中。基于这一标准,银行与第三方机构的具体履行方式需要从载体、频率、呈现形式三方面予以细化。
1.载体:银行开放平台的“个人客户管理中心”
现有的各家银行开放平台官网仅供第三方机构进行开发者资质注册以获得接入银行的机会,并未向个人客户提供入口。为了充分保障个人客户对数据共享全流程的知情权,第三方机构对共享数据的利用过程应当完整披露给个人客户。若由第三方机构自主披露,个人客户将奔波于各个APP之间,以致于其对自身个人数据共享利用情况的了解意愿大大降低。在银行开放平台中嵌入“个人客户管理中心”或许是一种较好的选择,将个人客户所有被共享的数据情况集成至“个人客户管理中心”,使得客户一站式接收所有披露信息。此外,安全事件通知的方式并不限于平台通知,为了达到及时性要求,银行和第三方机构对客户通知的方式还可以是电话、短信等。
2.频率:事前一次性披露,事中一事一披露
在授权阶段,银行和第三方机构可以一次性将所有信息披露给个人客户。在后续数据共享阶段,共享数据的利用情况和第三方机构的情况都需要一事一更新,进行持续性披露。信息披露安全事件通知这类信息还有额外的及时性要求。根据《接口规范》第七部分“安全设计”之安全监控要求,银行对接口使用情况进行监控,完整记录接口访问日志。该规范第十部分“安全运维”对商业银行就应用程序接口运行作出了相关运维监测的要求。与此同时,《接口规范》还要求商业银行根据系统日志对应用方的运营情况进行定期评估。也就是说,开放银行模式下数据共享通过API接口进行,数据传输活动都有迹可循,加之区块链技术的逐渐融入,实时披露将具有可行性,并且这种电子化披露方式亦不会产生过高成本。因此,由我国《商业银行法》对信息披露的形式作出原则性和宏观方面的要求,再由相关细则对信息披露的呈现形式提供具体操作示范更为恰当。
3.呈现形式:单页显示结合个性化定制
就信息披露的载体与呈现形式而言,在达到“简洁易于理解”的前提下,银行和第三方机构可以被赋予与个人客户协商的权利。其原因在于不同客户的阅读习惯与信息接收偏好并不一致,法律规范难以用同一标准来适配不同需求。因此,由我国《商业银行法》对信息披露的形式作出原则性和宏观方面的要求,再由《金融消费者保护办法》对披露信息的呈现形式提供具体操作示范,可能更为恰当。
在授权阶段,银行和第三方的信息披露可以参照英国与澳大利亚的做法,以单页形式呈现。在后续数据共享阶段,银行和第三方机构理应尽可能完整详实地向客户披露数据共享的具体情况。《接口规范》虽然对银行保留接口的系统日志作出了要求,但银行不可能将系统日志直接呈现给个人客户作为信息披露的履行形式。一来系统日志对非专业人士来说晦涩难懂,二来系统日志中包含了一定的商业秘密。并且,第三方机构实施披露其数据利用情况也通常需要通过一定的程序进行抓取、统计,无法用未经加工的形式呈现出来,因此有必要对披露信息的呈现形式作出一定革新。商业银行与第三方机构应当在原有基础上进行一定形式的筛选、加工,以简洁易懂的方式将数据被共享、使用的全过程披露给个人客户,避免出现信息过载现象而使得信息披露失去原有作用。银行开放平台的“个人客户管理中心”可以支持“个性化定制”,给予个人客户决定信息披露界面以什么样的顺序呈现、呈现哪些类型的披露信息的权利,并提供标注、筛选等功能,使得客户能够基于其信息接收偏好来显示信息。与此同时,银行和第三方机构在向个人客户显示披露信息的时候应当以醒目方式标注实质信息,如数据使用的具体情形等可能对个人客户的授权产生实质影响的信息。至于哪些信息能够被认定为实质信息,不妨采用大数据分析的方法,结合“个性化定制”情况,对个人客户的信息接收偏好进行统计测评,筛选出个人客户最重视的信息类型。
五、开放银行数据共享中违反信息披露义务的法律责任
银行和第三方机构积极履行信息披露义务的动力一方面来源于法律规范的正向引导,另一方面来源于法律责任规范的威慑。合理完善的法律责任体系能够为义务主体衡量信息披露成本与违法成本孰轻孰重提供科学标准,进而在信息自决的前提下实现行为自决。
(一)现状检视:违反信息披露义务的法律责任不明确
针对义务主体违反信息披露义务的法律责任,《金融消费者保护办法》第60条赋予了监管机构可以援引我国《消费者权益保护法》之规定对银行进行处罚的权利。此外,《个人信息保护法(草案)》针对违反规定处理个人信息行为、《数据安全法(草案)》针对未及时通知安全事件行为规定了行政责任。银行与第三方机构违反信息披露义务可被认为是侵害个人客户知情权的一种表现形式,因而受到前述我国《民法典》、我国《消费者权益保护》、我国《网络安全法》有关信息披露义务规定的约束。在刑事责任方面,我国《刑法》仅有关于证券市场违反信息披露义务行为所设置的罪名,如欺诈发行股票、债券罪,违规披露、不披露重要信息罪等,对造成严重后果或情节严重的行为予以刑法上的评价。针对作为新兴的开放银行模式,现有的我国刑法体系内并无相应罪名。
总体来说,我国目前并未形成适用于开放银行模式的信息披露法律责任体系,仅通过义务性规范的形式确定了银行应当履行信息披露义务,但对其后续违反信息披露义务所应当承担的责任并未进行系统性规定。在法律责任类型上,现有的规定大多仅涉及行政责任,对刑事责任只字未提。违反信息披露义务的情形是否需要由刑法加以规制呢?如果需要,那么何种程度的违法情形达到了入刑标准?在现有的法律责任的具体内容中,并未区分违反信息披露义务的不同情形,更遑论根据这些情形的危害性规定不同程度的行政责任与民事责任。此外,由于第三方机构作为信息披露义务主体规定的缺失,现有的相关法律规范中更是难寻有关第三方机构违反信息披露义务后应当承担何种法律责任的规定,因此在发生违反信息披露义务的情形时,如何分配银行与第三方机构之间的责任,也亟待解决。
(二)违反信息披露义务法律责任规则的完善建议
根据信息披露的“真实、准确、完整、及时”要求,银行和第三方机构违反信息披露义务的行为类型可以分为五种。第一,不披露或未完整披露,即银行或第三方机构的披露具有片面性,未将应当披露的所有信息完整披露,隐瞒或遗漏了个人客户作出合理决策所需的关键信息。第二,虚假披露,即银行或第三方机构在披露信息时将并不存在的信息予以披露的行为。第三,误导性披露,即银行或第三方机构向个人客户披露了违背事实真相并可能导致客户就授权与否作出错误判断的信息的行为。第四,迟延披露,即银行或第三方机构违反信息披露及时性要求,未及时将应当披露的信息披露给个人客户的行为,这类行为通常发生在安全事件的通知方面。第五,未以法定形式披露,即银行或第三方机构违反了信息披露的规范性要求,导致个人客户无法以便捷方式了解其数据利用过程。其中,前四种行为在定性上属于违反信息披露的强制性规范。法律仅需就信息披露的形式作原则性规定,就具体如何呈现披露信息可留出由当事方约定的操作空间,因此未以法定形式进行信息披露通常属于违反任意性规范,且因对个人客户知情权的损害较为轻微,其法律责任也应当较前四种行为更轻。
在开放银行模式下,违反信息披露义务的法律责任总体规制逻辑应当是:民事责任与行政责任并重,刑事责任为后盾。之所以采取这样的规制逻辑,其原因在于不同诉求的客户寻求的救济方式会有所不同。在一部分客户看来,银行与第三方机构所提供的服务可替代性较高,在其发生违反信息披露义务的情形后,可以选择接受其他机构的服务,并倾向于获得实实在在的物质补偿或赔偿。对于这些客户来说,寻求民事方面的救济更符合自身利益需求。在另一部分客户看来,自己选择某家银行作为开户银行,选择使用某些第三方机构搭建的平台并授权同意数据共享时,必然是这样的选择能为生活带来便利性与幸福感的提升。这些客户的诉求未必是获得补偿,而可能是获得完整的披露信息。对于这些愿意继续接受该银行与第三方机构服务的客户来说,获得监管部门的帮助更为有用,有必要借助监管部门的强制力来强令银行与第三方机构对其进行信息披露。就此,追究信息披露义务主体的行政责任与民事责任并不会互相冲突,两种不同性质的责任能起到互相补充的作用。通过追究银行与第三方机构的违约责任或侵权责任可以有效弥补个人客户遭受的经济损失,这是行政责任无法替代的。与此同时,行政责任的强制力与威慑力可以贯穿个人数据保护的全过程。与民事救济手段相比,行政监管的手段更多样,成本也低廉,反应速度也更快,能为个人数据提供更全面的保护,又能在个人数据保护、网络安全维护和经济社会发展之间找到平衡点。
1.违反信息披露义务的民事责任
民事责任认定并不需要根据行为类型区别对待,因为对个人客户而言,不同的违反信息披露义务的行为类型对其产生的影响差别不大,其最终导致的结果都是客户未能在合理时间范围内以合理方式获知真实、完整的信息,以至于无法根据这些信息作出本应有的准确判断。这使得个人客户的知情权得不到保障。至于具体承担何种民事责任,可综合考虑信息披露义务主体与客户之间的法律关系、两个阶段中不同义务主体承担的角色,并结合违反信息披露义务之行为造成的后果来分析确定。
在授权阶段,银行承担主要的信息披露义务,基于开户时银行与客户签订服务协议形成的合同关系,当银行违反信息披露义务时,构成对客户的违约。个人客户可以据此请求银行承担违约责任,即由银行对没有完整、真实地披露信息而造成的损失承担赔偿责任。在这个阶段,即便第三方机构未向银行提供完整信息或提供了虚假信息,导致银行向客户作出的信息披露有瑕疵,银行也不能因此免责。因为授权阶段的个人客户只能通过银行了解第三方机构的完整情况,银行当然对此负有第一性的义务与责任。
在授权后的数据共享阶段,第三方机构承担了主要的信息披露义务,银行承担对此信息的辅助传递与审核的义务。当第三方机构违反信息披露义务时,需要区分个人客户与第三方机构之间是否存在合同关系,即属于“线性模式”还是“三角模式”。若因信息披露瑕疵给个人客户造成损失,线性模式下的第三方机构可能构成侵权责任,三角模式下的第三方机构则可能构成违约责任与侵权责任竞合的情况,个人客户可以选择最能填补损失的方式进行主张。银行只有证明其尽到监督审核义务的,才能据此免责,否则应当与第三方机构承担连带责任。
2.违反信息披露义务的行政责任
针对违反信息披露义务的行政责任承担方式,我国现有的相关规范的规定已较为详尽,无需进行过多改动,值得探讨的问题集中于如何确定监管机构与责任具体认定两方面。
就监管机构的确定而言,不同国家呈现出不同的做法。英国的开放银行模式发展始于监管部门的推动,监管部门针对开放银行制定了完善的规则体系与监管架构。英国《开放银行标准框架》针对开放银行的治理模式,提出设立独立机构来监督开放银行的落实,处理纠纷,保障数据安全,同时开放银行也应当在英国竞争与市场管理局(Competition and Markets Authority)的监管下发展。与英国“自上而下”驱动型不同,美国开放银行的发展则是“自下而上”驱动型的,在大量银行与金融科技公司参与开放银行发展进程后,美国消费者金融保护局才出台了《消费者保护原则:经消费者授权的金融数据与整合》。美国并未设立专门的开放银行监管机构,而是在现有监管体系下,选择由消费者金融保护局担任对开放银行的监管角色。
我国的开放银行发展与美国类似,始于商业银行的自我行为,监管层面并未事先制定相关规范,因此从现有的监管体系中选择某一部门承担监管开放银行的职责或许更符合效率要求。目前,按照我国《网络安全法》和我国《消费者权益保护法》的相关规定,我国针对开放银行模式中的第三方机构行政执法部门既有网信部门,也有市场监督管理部门,还有潜在的相关部门。在开放银行模式下有关个人客户的合法权益保障存在着管理部门重叠的问题。从《数据安全法(草案)》第7条第1款“各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任”的规定来看,我国暂时没有设立专门数据保护机构的打算,而是由各行业主管部门各自监管本行业、本领域的数据安全。另外,依照我国现有的市场监管体制,监管商业银行开放银行业务的职责仍应由中国人民银行和银保监会共同承担。中国人民银行内设的金融消费权益保护局负责开展金融消费者权益保护工作,其中就包括对金融机构信息披露工作的监督。相对于其他监管部门而言,金融消费权益保护局在此项信息披露的监督工作上已具备了一定基础,专业性与针对性也更强。因此,在我国开放银行相关规则尚未完备的情况下,可以先由中国人民银行金融消费权益保护局承担此项监管工作。随着我国《商业银行法》的完善,中国人民银行金融消费权益保护局承担开放银行业务监管职责也将进一步名正言顺。
就行政责任的具体认定而言,因为前述五种违反信息披露义务行为的规范属性有所不同,且具有不同程度的主观恶性,所以应当视其行为类型不同而规定不同的行政责任,可类推考量我国《证券法》2019年修订前后的变化。此次修订前的我国《证券法》对几类违反信息披露义务的行为规定了同样的行政责任,2019年修订后则区分不同样态的信息披露违法行为,针对不同危害程度的行为规定相应的行政责任层次,并对虚假披露、误导性披露和未完整披露进行重点规制,根据2019年修订后的我国《证券法》第197条,其罚款金额是迟延披露、未按法定形式披露行为的两倍。借鉴该种思路,当开放银行模式中的信息披露义务主体违反强制性规范,即发生不披露或未完整披露、虚假披露、迟延披露和误导性披露行为时,大多是故意为之,其主观恶性较大,对个人客户授权与否的选择影响更大,对个人客户知情权的侵害也更为严重,因此可以在处罚金额等方面对此类义务主体施以更为严厉的处罚。除了对违反信息披露义务的主体进行处罚外,监管机构的另一职责应当是协助个人客户督促信息披露义务主体及时整改并披露完整真实的信息。
3.违反信息披露义务的刑事责任
目前我国《刑法》中并没有罪名与开放银行模式下的违规信息披露行为相对应。开放银行数据共享中违反信息披露义务的行为显然与证券市场中违反信息披露义务行为不同。由于前者信息披露的一对一特点,其违反信息披露义务的社会危害性远小于后者的社会危害性,仅侵犯个别对方当事人的知情权。并且,与个人数据泄漏、买卖个人数据等行为相比,违反信息披露义务的行为并不必然导致个人的经济损失。刑法作为最严厉的社会控制手段,在开放银行这种与传统银行业务相比更为复杂的模式下,不宜随便创设罪名,应当坚守刑法的谦抑性原则,防止过剩犯罪化现象出现。在个人数据保护立法领域内,是否创设新罪名应当慎之又慎,充分考量该罪名是仅为了形式上安抚社会公众心理,还是真的出于应对社会风险的目的。
当银行或第三方机构违反信息披露义务的次数过多,或由此造成了严重后果时,就需要考虑是否通过刑事责任来约束此类行为。因为从一个普通人的合理认知及谨慎判断来看,银行或第三方机构违反信息披露义务的行为并不是偶发性的,通常表现为某个时间段内存在大量违规披露的事件。这与金融行业及互联网行业天然的趋利性有关,其对待个人数据往往是利用大于保护。若没有强有力的刑事责任震慑,银行和第三方都将缺乏足够的内在驱动力对个人数据安全进行有力的保护。
开放银行模式下违反信息披露义务的行为在我国应当如何入刑?扩大现有“违规披露、不披露重要信息罪”的适用范围或许是较为妥当的选择。“违规披露、不披露重要信息罪”本就是由“提供虚假财会报告罪”发展而来的,是对实践中的严重损害公众投资者利益,扰乱证券市场秩序的行为予以刑法上的回应。从该罪名的历史发展脉络来看,其适用范围根据市场经济发展的实际情况进行了扩大。另外,在大数据时代,不只是银行业,而是将有更多的行业与更多的机构乃至政府部门参与数据共享,扩大该罪适用范围能够未雨绸缪地保护数据主体的数据权利,加强刑法对个人数据的保护力度。至于入罪标准,可参照当前该罪名的规定,只有情节严重的行为才需要受到刑法规制。鉴于开放银行模式下违反信息披露义务的行为对个人客户造成的侵害往往难以用实际经济损失来衡量,情节严重的衡量标准可以结合涉及的个人客户数量、行为频率、行为人获利程度等因素综合考量确定。
六、结论
实践中,开放银行模式在提供非接触式金融服务、联通客户与各类商业生态方面发挥着无与伦比的作用,这也是银行业数字化转型的必然趋势。随着数据这一新型生产要素逐步得到政策与市场的重视,打破数据藩篱,推动数据自由流通,加强数据共享也势在必行。在此背景下,个人数据保护问题日益突出,对个人知情权的保障也迫在眉睫。银行与第三方机构的信息披露义务作为个人知情权保障的关键部分,关系到开放银行技术标准框架的建设,也关系到个人数据保护制度的完善,需要基于开放银行数据传导的特殊性,秉持阶段式的考量,从主体、内容、方式、责任多个层面分角度进行科学设计,亦需要打破部门法之间的界限进行研究,甚至需要跨学科进行综合研究。与此同时,信息披露义务的系统构建还有赖于不同位阶法律规范的通力合作,尚待出台的我国《个人信息保护法》和我国《数据安全法》等法律能够在宏观层面为个人数据保护提供框架支撑,期待我国《商业银行法》作为银行业基础性法律在新一轮修订中就开放银行数据共享中的信息披露义务主体、形式等内容增加原则性规定,亦期待监管部门出台开放银行相关实施细则并对银行与第三方机构的信息披露义务之具体内容作出细化规定,从而形成层次分明、内容完备的开放银行模式下的信息披露义务规则体系。