面对数字技术的蓬勃发展,如何塑造能够适应数字时代的新的监管范式,乃是我国行政管理研究的重要理论议题。由命令服从式监管到回应式监管,既有监管范式的革新主要源于监管者与被监管者之间地位的逐渐平等,而随着新兴技术的快速发展,治理问题的不确定性日益凸显,使得敏捷治理等新的监管理念不断涌现。在梳理既有监管范式及理念的发展脉络基础上,本文提出规范敏捷式监管的新范式,以支撑监管应对数字技术快速变迁所产生的不确定性治理难题。
在建设数字中国、发展数字经济的大背景下,如何推动数据要素开放共享,成为当前数据监管部门面临的紧迫政策议题,这也为上述规范敏捷式监管范式的实践提供了应用场景。习近平总书记指出:“数字经济事关国家发展大局”“是把握新一轮科技革命和产业变革新机遇的战略选择”。2022年12月中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),提出构建数据产权、流通交易、收益分配、安全治理等制度,以激活数据要素潜能、赋能实体经济、推动高质量发展。2023年2月中共中央、国务院印发《数字中国建设整体布局规划》,将“畅通数据资源大循环”列为数字中国建设的“两大基础”之一,要求“构建国家数据管理体制机制”“释放商业数据价值潜能”。2023年3月,中共中央、国务院印发《党和国家机构改革方案》,明确提出组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,推进数字中国、数字经济、数字社会的建设。
当前,公共数据开放共享已引发学者普遍关注,而围绕数据监管部门如何推动商业数据价值潜能释放的研究尚付之阙如。在商业数据中,个人和企业的金融数据标准化程度高,实际持有者普遍具备较强的数据利用和风控能力,并且在完善社会征信、防范网络诈骗等应用场景具有巨大潜能,可更好地助力普惠金融并赋能实体经济。一直以来,开放银行(Open Banking)改革构成金融领域推动企业及个人数据开放的重要实践,乃指银行与第三方开发者共享和利用客户授权的数据以构建特定应用程序和服务的商业模式。各国政府在推动开放银行的改革中都扮演了重要的角色,截至2021年10月,全球已有包括英国、美国、新加坡在内的49个国家积极推进开放银行政策,另有31个国家已展开积极讨论。近年来,我国监管部门也已围绕金融数据开放展开研究,但囿于诸多不确定挑战,至今尚缺乏系统性政策出台。
本文将首先回顾既有监管范式变迁的理论脉络,提出规范敏捷式监管的理论框架;然后分析域外开放银行的改革实践,提炼以监管推动金融数据开放的一般性政策内容;最后结合我国监管推动金融数据开放的机制障碍,以规范敏捷范式为指引提出以监管推进我国金融数据开放的对策建议。
一、数字时代的监管范式:规范敏捷式监管
改革开放以来,我国政府逐渐由指令型政府转向监管型政府(Regulatory State),日益通过制定宏观政策、运用法律及经济等多种工具实现经济调节与社会管理。近年来,数字技术的快速发展带来了越来越多的不确定治理难题,这呼唤新的更具适应性和敏捷性的监管范式。
(一)监管范式变迁的理论脉络
命令服从式监管(Command and Control Regulation)是一种传统的政府监管范式,依循此种范式,政府以惩戒为后盾,无差别地对被监管者强制执行法律的规定。这一范式的有效运作预设了监管者与被监管者的不平等地位:被监管者被视为应当被动服从政府命令的客体。而随着市场经济的发展,被监管者的主体意识日益增强,上述预设显然越来越与现实不符:被监管者不仅可能对监管命令抱持消极态度,更可能采取策略性手段予以抵制,从而导致监管失灵。作为对命令服从式监管的超越,回应式监管(Responsive Regulation)于1992年被提出,其仍强调在法律的框架下实施监管,但主张给予监管者更为充分的裁量权,让其能够根据被监管者应对监管的动机灵活调整监管策略,最终寻求对被监管者的塑造,使其不仅主动服从监管,还能与之展开积极协同。可见,回应式监管的关键在于尊重被监管者的主体地位,并激发和引导被监管者的主体性,最终形成监管合力,提升监管实效。
需要注意的是,无论是命令服从式监管还是回应式监管,其所面对的治理难题及可供选择的治理手段,都具有较高的确定性,困难之处主要在于执行成本过高、被监管者缺乏守法动机等问题。而进入数字时代,数字技术的指数级创新及相关商业模式的加速迭代正导致新兴的、不确定的治理难题不断涌现,无论是监管者还是被监管者都难以提前预料,监管双方日益陷入共同无知的境地。此时,仅仅依靠二者之间展开协同合作已不足以应对,还需提升监管对于技术发展的适应性和敏捷性。
2018年,世界经济论坛提出敏捷治理(Agile Governance)的监管理念,其指“一套具有柔韧性、流动性、灵活性或适应性的行动或方法,是一种自适应、以人为本,以及具有包容性和可持续的决策过程”。敏捷治理的监管理念突出强调政策制定的时间敏感性(Time Sensitivity),并要求监管者与被监管者更为密切地展开合作,以“下手快、力度轻”的治理措施进行监管试探,并根据结果反馈及时调整。应当看到,敏捷治理是对实验主义治理(Experimentalist Governance)的发展。实验主义治理于2010年被提出,旨在应对在卫生保健、教育、残疾人护理、转基因政策、环境保护等方面治理的不确定性挑战,主张监管者与被监管者应当共同学习、边学边干,在实践中循环评估监管对策。以实验主义的治理理念为基础,敏捷治理进一步考虑到了数字技术迅速发展的特点,要求监管双方以更高的速率完成实验主义治理的循环迭代。
回顾上述监管范式的变迁历程,可以提炼驱动监管范式变迁的两个关键变量,即,监管者与被监管者之间的平等性,以及监管问题本身的不确定性。具体而言,在面对确定的监管问题时,随着被监管者主体地位的提升,有效监管的需求会驱使监管者日益重视被监管者的动机,并希望通过调动后者的能动性强化彼此协同。而随着监管问题的不确定性提升,仅依靠彼此的协同已不足以应对双方皆未知的挑战,因此就进一步要求监管者与被监管者践行边干边学的实验主义理念,通过不断试错去摸索恰当的解决方案。
然而,有必要反思的是,无论是命令服从式监管还是回应式监管,皆以在法律框架下实施监管为基本预设,而在敏捷治理与实验主义治理中,为了应对不确定的治理难题,法治的地位明显弱化。依据实验主义治理的理论框架,法律可以被政策所取代,“立法权向行政机构的转移既宣告了社会治理中实验主义的兴起,也宣告了‘政策型治理’的兴起”。由此,要实现有效的治理,所需的便是对政策进行敏捷实验,“政策属于实验传统的范畴,任何政策的出台实际上都是一场社会实验”。世界经济论坛提出敏捷治理的理念,所强调的也是“政策的敏捷制定(Agile Policy-making)”。可是,有必要认识到,仅强调以政策的敏捷制定来实施治理,而忽视法治的基础性地位,可能会因为动摇交往主体的稳定规范预期,而难以取得好的治理绩效。在社会学看来,“行动者的行动选择具有高度的不确定性,高度依赖于另外一方行动者的选择可能性与实际做出的选择。而另外一方的行动同样是高度不确定的,高度依赖于自己一方行动的可能性与实际做出的选择”,帕森斯将此种人与人互动所面临的双重的不确定性和双重的依赖性称为“双重偶联性”。要克服该双重偶联性,就需依靠法律系统为自我与他者对对方的规范性预期提供担保。具体而言,在监管者与被监管者的互动中,无论哪一方的行为违背了法律,法律系统都会将其判定为违法并给出规范上的否定性评价,以维持失望一方对未来的规范性期待,而不至于使其基于“期望的不断循环复归”而陷入“镜像推理”的猜疑与对抗。可以看到,克服双重偶联性的关键,在于互动各方共享一套稳定的一般性规则,以此来担保自我对他者未来行为的规范性期待。由此,本文主张,在数字时代实施监管,应将规范体系与敏捷治理相结合,秉持规范敏捷式监管的新范式。
(二)规范敏捷监管的理论内涵
法律毫无疑问是一个社会中最为重要的一般性规则。国内学者在论述敏捷治理的理念时,也有提到敏捷治理应遵循“法律精神指导”,但其同时强调敏捷治理并不需要考虑具体的法律规则,因为新兴技术的巨大不确定性使得法律往往难以作出明确的规定。然而这一判断显然与事实不符。以数字领域为例,自2000年立法者就颁行了《全国人民代表大会常务委员会关于维护互联网安全的决定》,此后《侵权责任法》(2010)的制定及《消费者权益保护法》(2013)的修订中也有对数字技术引发侵权行为的专门规定,2016年以来立法者进一步出台了专门立法如《网络安全法》(2017)《电子商务法》(2019)《数据安全法》(2021)《个人信息保护法》(2021),并根据数字平台特征修订《反垄断法》(2022)。我国司法机关也在不断通过个案裁判发展法律的规范内涵,如“人脸识别第一案”明确认定生物识别信息属于敏感个人信息,“大众点评诉百度案”也明确了数据爬取的法律边界。
当然,政策也可以在一定程度上担保交往双方的规范性期待,但必须明确区分政策中的抽象规则(Rule)与具体行为(Act),并保障前者相比于后者具有更高的稳定性。国内敏捷治理的既有文献片面强调政策的快速制定、灵活应变、渐进迭代,而没有意识到政策同样需要有稳定性。要知道,如果一般性的监管规则也总是随着结果的反馈极度敏捷地调整,那么被监管者就无法形成对监管者的稳定预期,相反会驱使被监管者基于对监管者敏捷行为的学习去形成特定的认知期待,并据此与监管者展开策略性互动。若如此,敏捷治理所希望达成的“相互依赖”之合作关系将难免堕化为彼此猜疑的猫鼠游戏。在我国的立法体系之下,监管者有权制定包括行政法规、规章及其他规范性文件在内的各种抽象规则,它们相比于具体的监管行为具有更高的稳定性。如近年来,国务院互联网办公室就制定了《互联网信息服务深度合成管理规定》《个人信息出境标准合同办法》等行政规章,这些监管规则既对紧迫的治理议题给出了政策回应,同时其制定和修改也皆受到《立法法》《规章制定程序条例》等法律法规的程序性约束,并在内容上与《个人信息保护法》《数据安全法》等法律保持一致,能够为被监管者担保一定程度的规范性期待。
总之,监管者对数字技术及新兴产业实施监管,从来都不是在规范真空中进行,而是在法律原则、法律规则、行政立法、司法裁判等共同构成的规范体系下完成。敏捷治理与实验主义治理不应对法律的规范性功能视而不见。规范敏捷式的监管范式可以通过下述三个命题来概括。
第一,监管者应当与被监管者紧密合作,协同敏捷地实施监管行为,但应以监管规则为指引并受其约束。遵循实验主义治理及敏捷治理的理念,为了更好地应对不确定性,监管者与被监管者应当彼此协作、共同学习,然而敏捷的监管行为仍应遵循既有的合法有效的监管规则。这显然会压缩监管行为的敏捷空间,但同时也为被监管者提供了关于监管者之行为的稳定的规范预期,为监管者与被监管者在未来的持续交往协同提供了前提。
第二,监管者应当与被监管者紧密合作,根据监管行为的效果反馈,敏捷地发展监管规则,但应以法律规范为指引并受其约束。在我国,监管规则除了包含前述的行政法规、行政规章、其他规范性文件等硬法规范,还包含指导性意见、标准合同、典型案例等软法规范。监管者应当与被监管者紧密合作,敏捷地基于监管实效对既有的监管规则进行发展,以提升监管规则对于新兴产业及数字技术最新发展的适应性。当然,监管规则仅构成行政立法,其仍应遵循法律的指引并受其约束,这无疑会压缩监管规则敏捷发展的空间,但却为维护市场的稳定规范预期提供了担保。
第三,监管者应当与被监管者紧密合作,根据监管规则的效果反馈,推动立法者敏捷地发展法律的相关规范。法律规范具有仅次于宪法的稳定性,然而其本身也在不断发展,监管者与被监管者对监管前沿信息、发展趋势有更完备的把握,为立法者敏捷地发展相关法律规范提供了支撑。当然,法律规范的修改与完善超出了监管者的权限,但其仍可以通过多种方式及渠道——如《立法法》第十四条——助推新兴立法的出台。
概言之,规范敏捷式监管范式(见图2),将监管活动还原于真实的规范体系之中,强调监管部门的敏捷监管应当以规范体系为“锚”,这是维护交往主体对未来稳定规范预期的前提;同时,监管部门也应当积极提升监管规则的适应性,并推动法律规范的适应性发展,以谋求“监管行为-监管规则-法律规范”这一全流程的敏捷化,从而在整体上优化监管应对不确定挑战的能力。金融数据开放牵涉多元复杂的利益关系,面临较大的不确定性挑战,这为践行规范敏捷式监管提供了合适的应用场景。在具体探讨我国监管如何推动金融数据开放之前,有必要梳理域外开放银行的改革实践,并提炼金融数据开放的一般性政策内容。
二、金融数据开放的政策体系:以域外开放银行改革为例
(一)金融数据开放的政策目标
推进金融数据开放的首要目标是打破金融数据垄断及竞争壁垒,促进金融市场竞争创新。如英国竞争和市场管理局在2016年发布《零售银行市场调查:最终报告》,指出低水平竞争和创新是导致英国零售银行产品价格昂贵和服务质量不佳的关键原因。2019年英国开放银行实施实体发布《开放银行,准备起飞:目的、进展和潜力》,明确“开放银行的目标是允许银行客户与第三方安全地共享他们的数据,以便更广泛的企业能够通过竞争去提供更好的金融服务、更多的选择和更低的价格”。
个人所享有的数据可携权是各国监管者推进个人金融数据共享的正当性基础。欧盟《数据可携权指南》指出:“数据可携权的首要目的是增强个人对其个人数据的控制,并确保他们在数据生态系统中发挥积极作用”,这“为‘重新平衡’数据主体和数据控制者之间的关系提供了机会”。美国《多德-弗兰克法案》第1033条也规定,消费者有权以可用的电子格式访问自己的银行账户和交易数据。基于数据可携权的开放银行改革,旨在通过赋权数据主体自主决定其个人数据的用途,激活数据要素流动,最终激励银行和第三方机构充分挖掘金融数据价值,以更好地满足消费者需求。
各国政府在开放银行改革中也普遍重视数据安全与隐私保护。在开放银行改革之前,屏幕抓取和逆向工程是被普遍使用的数据访问技术,但其在数据安全、用户隐私、数据可靠性等方面存在极高风险。开放银行改革的关键举措便是推动以更加安全可控的API技术作为数据传输方式,以更好地保障金融数据开放过程中的数据安全与用户隐私。欧盟《支付服务指令》(Payment Services Directive 2, 简称PSD2)指出,“本指令将涵盖这些服务,以便为消费者的支付和账户数据提供充分的保护,并为账户信息服务提供者的地位提供法律确定性”。
(二)金融数据开放的政策内容
为了实现上述政策目标,各国监管者普遍围绕数据资源开放、数据要素流动、数据权益配置三个维度搭建具体的政策内容框架。
1. 引导数据资源有序开放
监管部门通过明确数据资源开放范围引导数据资源有序开放。这主要通过下述三条路径实现:第一,基于服务场景确定数据资源开放范围。欧盟PSD2第66、67条分别规定了以银行为代表的支付机构应当向两类第三方机构——支付启动服务提供商和账户信息服务提供商开放数据,数据开放的范围应当以提供支付启动服务和账户信息服务所必要。此种模式明确划定数据开放范围,具有安全可控的优势,但在创新服务场景的可拓展性上存在不足。第二,基于数据特征确定数据资源开放范围。墨西哥《金融科技法》第76条明确了三类应当开放的金融数据——公开数据、聚合数据、交易数据,由于交易数据构成客户的个人数据,其开放共享必须经过客户的明示同意。此种模式仅对不同类型数据的开放权限做原则性规定,能够最大程度地容纳市场对金融数据开发利用的创新,但可能引发不可控的安全风险。第三,综合前两种方式,首先基于数据特征确立数据开放的范围,再针对重点服务场景给出具体指引。英国《开放银行标准》首先区分了公开数据、聚合数据、客户交易数据、客户参考数据和敏感商业数据,并根据各类金融数据所涉及的用户隐私程度不同,对第三方机构设置了不同的读写权限;其次针对活期账户比较服务、个人理财、获得贷款、负担能力审查、网上账户以及欺诈侦察六个重点场景提供了更为详细的数据开放建议。此种路径能够更好地平衡安全与发展之间的关系。
2.促进数据要素高效流动
随着数据资源有序开放,监管部门还需进一步促进数据要素的高效流动,以充分释放数据价值,这便要求监管部门统一数据开放标准,并建立跨部门协同监管机制。首先,由监管者制定统一的数据开放标准,能够降低数据要素流动的交易成本。在开放银行实践中,各国监管者提供了统一数据开放标准的两条监管路径:其一,通过行政命令的方式直接干预。如英国《零售银行市场调查指令》强制要求九家最大的银行建立并资助独立的“开放银行实施实体”,采用统一的API接口和数据标准。其二,采用助推的方式间接干预。如新加坡金融管理局通过搭建“新加坡金融数据交易平台”的公共数字基础设施,为不同市场主体间的数据交易提供API接口适配、用户身份认证、数据传输加密、数据安全保障等服务。市场主体可以自愿选择在统一标准的场内交易,或进行非统一标准的场外交易。以行政命令直接干预的弊端在于被监管者会将服从该命令的成本转嫁给消费者,而助推路径则通过对选择框架的设置引导市场主体自愿做出政策所欲的行为。其次,金融数据流动涉及金融监管、数据监管、市场监管等多项监管领域,建立有效的协同监管机制可以降低多头监管、监管缺位对数据要素流动带来的摩擦成本。英国的做法是设立 “数字监管协作论坛”,旨在为信息专员办公室、竞争和市场管理局、通信办公室和金融行为管理局之间的交流合作提供制度化的机制。然而,也有批评指出,由于缺乏处理不同机构间冲突的专门程序,当各监管机构无法达成共识时,监管协同就无法实现,各方只会单独履行各自的法定义务。
3.优化数据权益配置结构
数据要素的高效流动既释放了数据价值,也带来了数据安全及隐私风险,对数据权益的合理配置乃构成激励数据资源持续开放的关键。首先,监管者普遍强调对个人数据权利的保护。这主要通过两种监管路径来实现:其一,对个人等金融消费者直接赋权。如美国《消费者保护原则:消费者授权的金融数据共享和聚合》提出金融数据共享的九大消费者保护原则,包括数据访问、数据范围和使用、控制和同意、授权支付、安全、访问透明度、准确性、能够对非授权访问提出异议和解决争议、快速有效的问责机制。其二,对银行等数据持有人和第三方机构科以对个人数据的安全保障义务。欧盟PSD2第11条便要求提供支付启动服务的第三方机构必须持牌经营,成员国的主管当局在发牌时应当考虑其数据安全管理和风险控制能力。
其次,监管者也正日益重视对数据持有人权利的保障。要知道,对银行等数据持有人相关权益关注不足,会对数据持有人的数据采集、开发及开放工作产生逆向激励。如强制要求银行开放数据,虽然消除了事后的数据垄断,但同时会减少银行事前生产数据的激励,导致数据供给的萎缩。2022年5月,欧盟通过《数据治理法案》,其立法侧重从保护公民个人数据隐私转为促进数据流通利用,包括建立框架以促进数据中介机构的发展。2023年6月,欧盟议会和欧盟理事会就《数据法案》达成政治协议,其首要目标就是“确保数字环境中各参与方公平分配数据价值”。
归结而言,域外金融数据开放的实践表明,监管部门应首先明确数据资源开放的范围,以引导数据资源进入市场流通;随之,应降低数据要素流动的成本,使数据资源能够充分释放自身价值;最后,应优化数据权益的配置结构,以激励个人及数据持有者不断开放数据资源,让数据要素流动及价值释放可持续。可以看到,数据资源开放、数据要素流动、数据权益配置三者构成一个整体,共同推进数据资源的大循环,监管者与被监管者应当紧密合作,持续敏捷地协调这三者之间的关系(见图3)。
三、我国金融数据开放的机制障碍与监管对策
(一)制约我国金融数据大循环的机制障碍
1. 数据资源开放范围过窄
首先,在立法层面,我国法律规定了“国家核心数据”“重要数据”“敏感个人信息”等数据资源开发利用的“底线”和“红线”。《数据安全法》第21条对“国家核心数据”和“重要数据”作了特别规定,前者指“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”,要求“实行更加严格的管理制度”;后者则授权“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”,要求“加强对重要数据的保护”。上述法律规定突出了数据安全的重要性,但对于具体哪些数据不能开放,尚缺乏足够明确的规范指引。对于个人金融数据,《个人信息保护法》将“金融账户”明确列为“敏感个人信息”,规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理”。然而,哪些个人金融数据属于该条款规定的“金融账户”,“特定的目的”和“充分的必要性”的判定条件又是什么?这些问题在立法层面也缺乏进一步明确的规范指引。
其次,在监管层面,我国监管者早期出台的政策多以金融数据不开放为原则。2020年2月,中国人民银行发布《个人金融信息保护技术规范》,其第7.1.3条明确“金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,应充分重视信息安全风险”。2020年9月,中国人民银行发布《金融数据安全 数据安全分级指南》,根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级,仅第1级数据,如单位基本概况、企业工商信息为“一般可被公开或可被公众获知、使用的数据”,而第2级数据,如客户行为信息、客户风险标签信息则为“一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据”,至于第3至5级数据,如账户金额信息、个人征信信息皆为“一般针对特定人员公开,且仅为必须知悉的对象访问或使用”。
2.数据要素流动成本过高
首先,缺乏统一且完整的金融数据开放标准体系,造成金融数据要素流动的合同缔结成本过高。目前仅中国人民银行于2020年2月发布了《商业银行应用程序接口安全管理规范》,该标准只涉及API接口的安全问题。然而,金融数据的高效流动还需要统一的API接口格式标准,以兼容不同技术路径,以及统一的金融数据质量标准,以降低交易双方的信息不对称。在实践中,由于金融数据开放标准体系的不健全,数据使用方往往需要与每家银行就数据格式、数据传输方式、数据保护措施等问题分别沟通协调,甚至在涉及个人金融数据时还须与每个用户就前述问题单独达成协议,此皆显著增加了各方围绕数据资源达成交易的合同缔结成本,并压制了第三方数据使用者的入场意愿。
其次,缺乏权威且高效的金融数据协同监管机制,造成金融数据要素流动的契约不完备成本过高。金融数据的开放流动涉及数据利用、数据安全、金融监管、反垄断等多方面政策目标,就各个单一政策目标而言,我国已明确相应的统筹协同机构,如《数据安全法》规定中央国家安全领导机构负责国家数据安全工作的统筹协调,并建立国家数据安全工作协调机制;《反垄断法》规定“国务院设立反垄断委员会,负责组织、协调、指导反垄断工作”;新一轮机构改革组建国家数据局和国家金融监督管理总局,分别负责统筹数据资源整合共享和开发利用,以及除证券业之外的金融业监管。然而,金融数据的开放共享涉及上述各个监管领域,需要进一步统筹各种相关协调机制,避免不同监管部门的重复监管、过度监管,降低市场主体所面临的金融数据监管不确定性,减少各方围绕数据资源交易的契约不完备成本。
3.数据权益配置结构失衡
我国对金融数据的监管重点集中于对数据安全及隐私保护。2020年9月,中国人民银行颁布《金融消费者权益保护实施办法》,第三章以专章形式规定金融机构保护个人金融信息安全的义务。中国人民银行会同中国银保监会起草形成《商业银行法(修改建议稿)》,新设第六章“客户权益保护”,对商业银行个人信息保护与数据安全规范作出具体规定。
相较而言,我国至今缺乏对于数据持有者的数据产权保障。2020年3月《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“研究根据数据性质完善产权性质”,直到2022年10月全国人大财经委在审议代表议案时依然指出“当前数据产权制度亟待破解,但又难以在短期内达成共识”。数据权属不明限制了银行等金融数据持有者积极实现自身数据价值的动力,“产权是交易的前提”,银行在没有产权依据的情况下无法通过市场机制与任意主体自由订立数据交易合同,这便限制了数据流动的范围。考虑到数据价值实现的关键在于激发其规模效应,仅有有限的数据流动便难以给银行带来可观的收益,也就降低了银行扩大数据开放供给的意愿。
(二)推进我国金融数据大循环的监管对策
依循前述的规范敏捷式监管范式,围绕数据资源开放、数据要素流动、数据权益配置三个方面,本文提出下述以监管推进我国金融数据大循环的对策建议。
1. 依法依规扩大金融数据开放范围
首先,监管部门应当在《数据二十条》《数据安全法》《个人信息保护法》等中央政策及法律规范的指引下以监管文件明确金融数据开放的“安全底线”和“监管红线”。《数据二十条》要求“建立健全数据流通监管制度,制定数据流通和交易负面清单,明确不能交易或严格限制交易的数据项”,《数据安全法》和《个人信息保护法》也分别对“国家核心数据”“重要数据”“金融账户”作了原则性和授权性规定。依循上述法律规范的指引,金融数据监管部门应推动国务院制定《金融数据开放条例》,以行政法规进一步细化上述“安全底线”和“监管红线”,并正面规定可予开放的金融数据范围,授权金融数据监管部门制定更为具体的金融数据流通交易负面清单,发布国家核心数据、重要数据、敏感个人信息的金融数据目录。上述清单及目录的确定应当听取银行业、银行用户、数据开发的第三方企业的意见,并向社会公布、定期评估、持续更新。
其次,监管部门应当修订此前制定的《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等监管规则。以数字中国建设和《数据二十条》为背景,此前制定的金融数据开放文件已经构成实现数据资源大循环的障碍,监管部门应当改变过去以金融数据不开放为原则的政策导向,加快修订上述监管规则。值得关注的是,2023年7月,中国人民银行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》,该意见稿区分了一般、重要和核心三级数据,并引入敏感性和可用性两个细分维度,授权中国人民银行“负责组织制定数据分类分级相关行业标准”,“统筹确定重要数据具体目录并实施动态管理”。这一努力提升了数据分级分类的可操作性,未来还应以此规章为基础,逐步完善针对全部金融数据的分级分类方案,由《金融数据开放条例》明确规定,以为扩大金融数据开放提供操作指引。
其三,监管部门应当在上述监管规则的指引下,制作并发布金融数据应用重点领域的开放指南和最佳实践。《金融数据开放条例》应鼓励监管部门与被监管者建立多样化、可持续的交流沟通机制,促进信息共享,推进金融数据开放指南、最佳实践等公共物品的合作生产和有效供给。譬如,可由监管部门牵头成立包括银行业、技术业、消费者和商业从业者组成的“金融数据开放工作组”,根据金融数据市场的发展,定期汇聚、整理并更新金融数据开放的最佳实践,并提供监管指引。
2.完善制度降低数据要素流动成本
首先,监管部门应当构建完整统一的金融数据开放标准体系。具体而言,中国人民银行应当加快构建涵盖数据质量、数据安全、传输技术等多方面的完备标准体系,以实现金融数据要素市场的“车同轨、书同文”。2020年10月《中国人民银行法(修订草案征求意见稿)》第五条明确由中国人民银行“负责金融标准化和金融科技工作”。2022年1月,中国人民银行会同市场监管总局、银保监会、证监会联合印发《金融标准化“十四五”发展规划》,明确“系统完善金融数据要素标准”,“加快完善金融数据资源产权、交易流通、跨境传输和安全保护等标准规范”。依循上述规范,中国人民银行应当加快编制金融行业的数据标准体系,在标准制定和完善过程中应广泛吸纳银行业、第三方数据者等利益相关主体,兼顾大型国有银行和中小型银行、银行业与金融科技企业之间的利益诉求,警惕采纳偏向某一利益群体的标准而产生制度性交易成本。
其次,监管部门应当建立全国统一的金融数据交易平台。国家发展改革委、中国人民银行等国务院有关部门可以通过发布联合规章的形式确立金融数据交易平台的运行章程及监管规则,以引导场内交易者采用更高标准的数据安全、技术、运营等规范。与此同时,金融监管机构可以在上述规章中设置例外条款,明确可以变通及突破的监管要求,既为监管者在平台内实施“沙盒监管”提供规范依据,也为市场主体入场进行创新数据交易提供激励。具体而言,具有金融业相关资质的市场主体可以向金融监管机构提交沙盒测试的申请,获准后便可在协商约定的范围内试验新业态应用场景,监管机构对其提供定制化的监管环境,并根据最终评估结果做出敏捷的监管回应,同时,沙盒测试所积累的监管经验应及时反馈,推动平台章程等监管规则的完善。
其三,监管部门应当推动完善权威高效的金融数据协同监管体制。英国监管协同实践的经验教训在于仅依靠非正式的跨部门协作机制并不足以促成有效的合作监管行动,规范敏捷监管亦启示行动者之间合作的形成需要正式规则担保各方的规范性预期。目前,《数据二十条》已明确“加强党对构建数据基础制度工作的全面领导,在党中央集中统一领导下,充分发挥数字经济发展部际联席会议作用,加强整体工作统筹,促进跨地区跨部门跨层级协同联动,强化督促指导”,此轮机构改革亦规定组建中央金融委员会“作为党中央决策议事协调机构,加强党中央对金融工作的集中统一领导。监管者应当推动在《金融数据开放条例》中明确金融数据协同监管的具体组织及机制安排,既对接中央金融委员会,又辐射与金融数据开放相关的部委机构,并以多部门联合规章或其他规范性文件为载体,制定多部门协同监管规则,及监管信息跨部门共享机制。
3.分类确权优化数据权益配置结构
监管部门应当明确金融数据产权规则,合理配置数据权益。《数据二十条》《个人信息保护法》《数据安全法》已经对数据权益配置提供了基础性的规范指引。《个人信息保护法》第45条第三款明确“个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径”。《数据安全法》明确国家基于数据安全、网络安全、国家安全对数据流通实施限制的权利,第34条规定“法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可”。《数据二十条》以“数据处理者”和“企业数据”为中心,提出数据资源持有权、数据加工使用权、数据产品经营权的数据三权分置的权利配置构想。
以上述基础性规范为指引,监管者应当与被监管者紧密合作,在《金融数据开放条例》中明确金融数据确权的基本规则,并针对细分领域、重点场景颁布部委规章、指导性意见、标准合同等监管规则。具体而言,在《金融数据开放条例》中,监管者可依据三权分置的数据产权指引,明确下述四对关系中的数据权益配置:第一,数据控制者与其他任何人。面对其他任何人,数据控制者应当享有“数据资源持有权”,即对其所持有之数据享有排除他人侵害之权利,这构成对世的消极防御权。第二, 数据控制者与合同相对人。数据控制者得行使“数据加工使用权”和“数据产品经营权”,前者指权利人就其数据向他人授权使用之权利,后者指权利人就其数据予以转让、变更、设置负担或抛弃之权利。通过明确银行享有这两项权利,银行便拥有了与任意第三方通过合同自由交易数据产权的合法性,第三方亦享有了在合同约定的范围内对金融数据进行深度加工和使用的权利,这为通过市场机制将数据资源配置给有能力实现其最大化价值的数据使用者提供了可能。第三, 数据控制者与法定相对人。法定相对人主要指数据来源者,即银行用户,依据《个人信息保护法》的规定,对于用户提交给银行的基本个人信息,其仅需支付必要的数据复制转移成本,便可要求将数据转移至第三方;而对于银行采集、加工生成的客户参考数据,个人还需支付一定的对价,以避免对银行生产此类数据造成负向激励。第四, 数据控制者与国家。一方面,依据《数据安全法》第34条,有关部门可就客户交易数据等具有高风险的金融数据建立专门性的准入制度,授予数据特许经营权。另一方面,为维护国家安全和公共利益,《金融数据开放条例》可以对金融数据的“数据加工使用权”和“数据产品经营权”做出一般性的限制规定,若当事人违背此限制性规定则签订的数据产权交易合同将归于无效。
作者陈天昊,法学博士,清华大学公共管理学院副教授、博士生导师;徐玮(通信作者),清华大学公共管理学院博士研究生。