您目前的位置: 首页» 最新资讯» 刘倩:金融科技数据风险监管的国际经验及借鉴

刘倩:金融科技数据风险监管的国际经验及借鉴

作者:刘倩   发布日期:2020-07-07

作者简介:刘倩,法学博士,西南政法大学经济法学院专任教师。主要研究方向为金融法学。学术作品散见于《法学评论》《新金融》《经济法论坛》等核心期刊。

文章来源:《新金融》2019年10月刊,转载于《人大复印资料·金融与保险》2020年2月刊

内容摘要:

金融科技天然具有强大的数据“基因”,强大的数据获取、汇集、分析、处理及应用能力是金融科技发展的核心动力和竞争优势,但相伴而生的数据风险也成为金融科技发展的瓶颈和风险聚集区。金融科技的数据风险由数据开放与数据保护这两个既对立又统一的风险维度构成,由此也对数据风险监管带来显著挑战。一方面,支持数据开放的监管政策存在用户隐私泄露、数据不当使用以及危害金融安全等监管挑战。另一方面,支持数据保护的监管政策同样具有成本增加、竞争限制及效率损害等风险挑战。对此,欧盟的《通用数据保护规则》、英国的“开放银行”倡议以及美国证券交易委员会近期对脸书公司数据侵权的处罚从不同层面为金融科技数据风险监管提供了有益的借鉴经验。而对于中国来说,中国应当从加强市场主体自身数据风险管理框架、完善金融领域监管规则并积极推进国家数据保护基本立法等三个层面来加强金融科技的数据风险监管,以此推动中国金融科技乃至整个金融经济的有序、稳健发展。

关键词:金融科技;数据风险监管;国家经验

 

一、金融科技的数据“基因”及数据风险的概念界定

(一)数据“基因”的概念界定

金融稳定委员会为金融科技提供了一个定义,其认为金融科技是指“技术驱动的金融创新,可以导致产生新的商业模式、应用或产品并对金融市场、机构及金融服务的提供产生实质性的影响”。 根据这一定义,金融科技的核心包括三个要素:技术驱动、新的金融服务以及对传统金融的实质性影响。整体上,金融科技可以从两个角度进行分类:其一,从金融的角度来分类,即从金融科技具体归属的金融领域来划分;其二,从技术的角度来分类,即按照金融创新赖以实现的技术所归属的领域来划分。具体来说,从金融角度可以分为三类:信贷及资金筹集;支付、清算及结算;投资管理。信贷及资金筹集包括:众筹、借贷市场、移动银行以及信用评分。支付、清算及结算包括又可分为零售及批发业务,零售业务包括电子钱包、点对点转账以及电子货币,批发业务包括价值转移网络、外汇批发以及电子交易平台。投资管理服务包括:高频交易、追踪交易、电子交易以及机器人投资建议。从技术角度可将支持技术分为八种,分别是:端口及数据归集技术、生态系统技术(基础设施、开源)、数据应用技术(大数据分析、自动学习、模型预测)、分布式账本技术(区块链、智能协议)、安全技术(客户识别及验证)、云计算技术、移动网络互联技术、人工智能技术(自动化金融、算法)。

可见,无论从金融科技定义的角度,还是从分类的角度,金融科技天然具有强大的数据“基因”。也可以说,数据的获取、归集、分析、处理及应用构成了金融科技的骨架及灵魂。因此,数据风险自然成为金融科技发展的核心风险,有效识别和规制数据风险也就成为推动金融科技有序、稳健发展的关键和基础。

(二)数据风险的概念界定

对于金融科技来说,数据风险可以从两个维度予以界定:一是数据开放维度,二是数据保护维度。数据开放维度是指金融科技主体,无论是金融科技公司,还是传统的金融机构,如银行、保险公司及证券公司等,其均应当以高效的方式并以合理的成本广泛地获取金融市场主体(用户)有关金融账户及交易的信息,从而为其向用户提供金融产品及服务提供数据支撑。数据保护维度是指用户作为数据主体,对自身数据拥有广泛的合法权利,数据控制者(controller)及处理者(processor)均应当按照法定程序及方式,并在已经取得用户明确同意的前提之下,方可获取并将所获取的用户数据用于用户所许可的使用目的。客观来说,数据保护与数据开放是数据问题的两个方面,从形式上虽然相互矛盾,但从内在逻辑上却相辅相成、对立统一。一般来说,数据开放必须以数据保护为必要前提,否则,数据开放将导致数据的非法获取、滥用,不仅会损害用户隐私权等基本权利,也会对金融机构的稳健以及整个国家金融安全造成潜在危险。另一方面,数据保护也必须以实现规范的数据开放为目的,背离了数据开放的最终目的,数据保护只会导致数据垄断,产生信息孤岛,遏制金融市场的充分竞争,并导致金融资源配置的不效率,在此情况下,金融科技的潜在价值也无从实现。因此,对于金融科技背景下的数据风险来说,必须同时从数据开放及数据保护两个维度进行分析,并在平衡二者关系的基础上进行法律规制。

 

二、金融科技数据风险的监管挑战及破解

数据开放与数据保护构成金融科技数据风险的两个基本维度,因此,对于金融科技数据风险监管来说,必须准确识别数据开放及数据保护各自面临的主要挑战,进而以合理的政策选择来实现数据风险的有效监管。

(一)数据开放维度下的监管挑战

数据是金融科技发展的核心驱动力量,但数据开放也存在显著的监管挑战。主要体现在三个方面:

一是带来显著的隐私泄露风险。隐私权是用户的基本权利,也是社会正常运转不可或缺的基本保障。客观来说,个体之间在消费习惯、经济能力以及种族、地位、学历、性别、年龄等方面存在客观差异,其中的一些信息或数据,特别是敏感数据,一旦被泄露,将对数据主体带来严重侵害。例如,金融机构以及医疗机构所掌握或获取的用户医疗记录,一旦被不当泄露,可能会对数据主体的正常生活带来严重干扰。又比如,大科技公司甚至一些企业所掌握的用户出行记录、消费记录,不当获取及适用也可能产生严重后果。因此,尽管数据开放对金融经济发展具有积极影响,但隐私泄露风险始终不容回避,而这一风险,不仅存在于技术局限方面,也存在于相关监管规则不足方面。

二是存在突出的数据不当使用风险。数据不当使用风险主要集中在两个方面:一方面,用户数据被非法转售。无论获取用户信息的相关机构出于牟利目的直接将用户数据转售他人,还是由于相关机构未对所获取的用户数据予以严格管理,导致用户数据被他人非法侵入窃取或者由自身员工非法窃取后转售他人,均对用户数据的不当使用构成重大风险。另一方面,数据在未经用户许可甚至不知情的情况下被用于商业目的,这也是数据不当使用风险的核心和关键。现实中,大量用户数据被相关机构直接用于自身的商业目的。例如,金融科技公司利用所获取的用户数据为自身的互联网信贷业务或者其他金融机构的信贷业务提供用户信用风险评估,并从中收取费用或者直接获益。又比如,金融科技公司利用获取的用户各类数据,例如出行安排、消费习惯、金融资产状况、住址、家庭成员等,将此类信息整合后提供用户画像并服务各类具体的商业目的,或者直接用于自营产品及服务的推介,或者将用户画像服务销售给其他公司以获取收益。从表面上看,此类行为似乎没有直接侵害用户利益,甚至某种程度上可以为用户带来一定的便利。但本质上,却侵犯了用户作为自身金融数据权利主体所应有的正当权益,并使用户隐私甚至安全暴露在大量不可控的风险之中。

三是存在不容忽视的金融安全风险。目前,金融科技公司普遍使用两种方式来获取用户的金融数据,分别是屏幕抓取技术(screen scraping)以及应用编程接口(application programming interface)。对于屏幕抓取方式来说,消费者首先向金融科技公司提供其有关金融账户的登录授权,包括用户名以及密码。而为了获取用户的金融账户登录授权,金融科技公司普遍以此为前提作为用户得以使用其金融科技服务的前提条件,这也是目前金融科技公司获取用户金融数据的基本方式。但对于用户给予金融科技公司其个人账户的登录授权这一事实,用户可能知情,也可能不知情或者不充分知情。更关键的是,在此方式下,事实上并非由用户直接登录,而是由获取用户登录授权的金融科技公司直接进入用户在相关金融机构的账户。而在进入用户账户后,金融科技公司可以通过手工方式也可以通过专门的应用程序来获取用户金融账户及交易的数据,甚至自行发出新的金融数据请求并执行金融交易。而对于用户账户被登录的相关金融机构来说,其自身可能也不清楚登录者是用户本人,还是使用屏幕抓取技术的金融科技公司。因此,尽管屏幕抓取技术虽然是一个有效的获取数据的方式,但其自身却存在显著缺陷,特别是在数据安全、隐私保护以及防止用户数据滥用等方面,风险更为显著,存在明显的金融安全隐患。

(二)数据保护维度下的监管挑战

如上所述,数据开放产生的监管挑战不容忽视,但数据保护带来的数据监管挑战同样不容回避。而且,从金融科技发展的角度看,数据保护的监管挑战更加具有不确定性。数据保护的监管挑战也主要表现在三个方面:

一是数据保护带来的成本增加。任何监管措施都必然会带来监管成本,数据保护同样如此。理论上说,监管当局对数据保护的范围和程度应当以监管收益与成本的盈亏临界点为限。当一项监管措施的成本超过其收益之时,即是不经济的,在此情况下,该项监管措施也就不存在设立及实施的经济合理性。对于金融科技数据保护来说,这一问题则显得更为复杂,一方面,金融科技尚处在不断演进变化之中,且其自身对数据开放严重依赖,使得监管当局必须对数据保护问题更加慎重。在金融竞争已经进入全球竞争的背景之下,一国对数据保护范围和程度,不仅会对本国金融科技发展产生重大影响,甚至可能会导致本国金融科技甚至金融系统发展滞后于其他国家。另一方面,金融科技作为新兴趋势,并没有足够的历史经验可资借鉴,如何监管以及具体监管选择的影响如何等问题,无论对市场主体,还是对监管当局,均缺乏足够的经验,进一步加剧了数据过度保护可能产生的成本风险。

二是数据保护产生的效率损失。强监管与去监管始终是一个矛盾的统一体,其关键在于如何实现二者之间的动态平衡。去监管有利于充分发挥市场作用,但也可能会因缺乏监管产生无序竞争并导致资源配置的不效率。强监管有助于加强市场秩序,但也可能由于过度监管而使资源配置处于次优状态。例如,对于金融科技公司利用屏幕抓取技术获取用户数据以及利用所获取的数据进行的一系列商业应用,尽管其中存在诸多风险,但监管当局并不应当以此来否定屏幕抓取技术的有效性和合理性,而应当针对造成用户实际损害的具体案例进行重点处理,并此基础上稳妥推进相关监管规则的完善。换句话说,对于快速发展的金融科技,要避免对数据过度保护所产生的效率风险。

三是数据保护导致的竞争不足。金融市场的充分竞争是促进金融资源优化配置的重要条件。相较于传统金融机构,金融科技公司的核心竞争优势即在于其拥有的获取、分析、处理及应用用户数据的技术能力,但这一能力严重依赖数据开放。如果监管当局对数据实施严格的数据保护,对于金融科技公司来说,其在面对在资本实力、用户基础以及金融服务管理经验等方面存在显著优势的传统金融机构时,将更缺乏竞争力甚至生存的基本条件,不利于金融市场的充分竞争。同时,无论是对于大科技公司,还是已经拥有显著历史数据积累优势的传统金融机构,在严格数据保护的背景下,不仅中小型金融科技公司难以生存,事实上也将因此而形成一个个相互割裂的“数据孤岛”,无法充分实现数据共享所带来的价值创造,不仅会进一步强化传统大型金融机构以及少数大科技公司的市场支配地位,也不利于整个金融系统的效率提升。

(三)数据风险监管挑战的破解

对于金融科技数据风险来说,其天然存在数据开放与数据保护两个维度的内涵。相应地,对数据风险监管来说,无论采用支持数据开放的监管政策,还是选择支持数据保护的监管政策,各自同样存在不容忽视的监管挑战。数据风险监管上的两难状态本质上是由数据风险内在的两个维度内涵所决定,而这一两难状态及困境在金融科技快速发展的背景下显得更为突出和棘手。因此,对于金融科技数据风险监管来说,必然不能简单地在数据开放与数据保护之间作出绝对的选择,而应当针对不同金融机构类型、不同金融业务及产品类型、不同金融消费者的主体类型以及不同数据类型而采取具体且差异化的监管政策,从而既充分发挥数据开放所内在的促进金融普惠、降低金融交易成本、促进金融市场竞争等积极价值,也真正实现数据保护所内在的促进权利保护、维持有序竞争等积极作用。但客观上说,金融科技数据风险监管差别化和合理化的实现是一个复杂的过程,也是一个持续发展并动态调整的过程。

 

三、金融科技数据风险监管的国际经验

金融科技在全球方兴未艾,发达国家近年来在金融科技治理方面,特别是在数据开放与数据保护这一对立统一的监管难题治理方面积累了一些经验,对中国完善数据风险监管有积极的借鉴意义。

(一)欧盟《通用数据保护规则》的主要内容及评价

《通用数据保护规则》的目的在于保护所有欧盟居民(resident)的数据权利以及治理一系列数据侵权行为。尽管相关数据保护基本原则在欧盟之前的监管规则中已经有所体现,但《通用数据保护规则》进一步强化了数据保护的范围和强度,主要体现在四个方面:

一是扩大域外适用范围。《通用数据保护规则》显著扩大了其适用范围,将其适用于所有处理欧盟范围内居民个人数据的公司,无论该公司是否处于欧盟范围。具体来说,该规则适用于处理欧盟居民个人数据的位于欧盟范围内的数据控制者和数据处理者,无论数据处理过程是否发生在欧盟范围之内。同时,该规则适用于处理欧盟居民个人数据但非处于欧盟范围内的公司,如果这些公司的活动涉及到向欧盟公民提供商品和服务(无论是否需要相关支付)以及从事对欧盟范围内的行为进行监测的活动。处理欧盟居民个人数据的公司还需要指定一名在欧盟范围内的代表。

二是加大处罚范围及力度。违反《欧盟通用数据保护规则》的机构将被处以其当年全球营收4%或者2000万欧元的罚款(以二者孰高为准)。该最高限额的罚款将被适用于最严重的数据侵权行为,例如,在未获得用户同意的情况下处理用户个人数据或者违背了隐私权设计(privacy by design)的核心要求。对于其它较为轻微的违法行为将采取略为轻缓的处罚,例如,未能妥善保存信息处理记录的行为、未能及时履行通知监管当局以及数据主体(data subject)有关侵权行为发生义务的行为或者没有实施必要的影响评估的行为等,在以上情形下,侵权者将被处以2%的罚款。应当注意的是,这些处罚同样适用于数据控制者以及数据处理者,也就是说,提供“云服务”的机构也受该处罚规则的规制。

三是严格的用户同意要求。《通用数据保护规则则》要求企业在请求取得数据主体同意其使用其数据时,不得使用冗长、不清晰的条款以及过于专业的法律术语,公司的数据使用请求必须以简洁易懂且以容易处理的方式提供,并使用简洁、平实的语言进行表达。另外,必须确保用户取消其已作出的数据使用同意授权与用户给予该数据使用同意授权一样简单、便捷。

四是扩大数据主体权利(data subject rights)。主要体现在六个方面:其一,侵权通知。在《通用数据保护规则》下,侵权通知成为一项强制性的法定责任,当数据侵权行为有可能导致数据主体的权利和自由面临威胁时,侵权通知必须在发现这一风险的72个小时之内做出。其二,获取数据的权利。《通用数据保护规则》赋予数据主体要求数据控制者向其确认与其相关的数据是否正在被使用、由谁使用以及具体使用目的的权利。同时,数据控制者应当以免费方式向数据主体提供关于其个人数据的电子版本,这一规定显著强化了数据的透明度并赋予了数据主体新的权利。其三,被遗忘权。该权利赋予数据主体要求数据控制机构删除其个人数据、停止进一步散播其个人数据以及要求第三方停止继续使用其数据的权利。数据主体要求删除其个人数据的条件包括:用户数据与最初授权使用该数据的目的不再相关或者数据主体撤销其数据使用授权。但应当注意,在面对数据主体该项权利主张时,数据控制人应当将该项数据可获得性所产生的公共利益与数据主体的被遗忘权相比较。也就是说,在用户数据的可获得性与公共利益存在关系的时候,数据控制人可以拒绝数据主体关于被遗忘权的权利主张。其四,数据的可携带性。《通用数据保护规则》引入了数据可携带性这一权利概念,即数据主体有权取得与其自身相关的个人数据。其五,隐私权设计(privacy by design)。该概念被《通用数据保护规则》正式引入而成为法定要求,其核心在于要求数据系统设计应当将数据保护作为系统设计的起点,而非一个需要考虑的增量因素。具体来说,即数据控制人必须采取适当的技术及组织措施,以有效满足《通用数据保护规则》以及保护数据主体权利的要求。其六,数据保护官(data protection officer)。在《通用数据保护规则》之下,并不需要企业向数据保护监管当局注册或备案其数据处理活动,也不需要企业基于模范合同条款(modal contract clauses)而作出的数据转移必须以获取监管当局批准或向其发出通知为前提。相反,《通用数据保护规则》确定了企业内部的记录保存要求,同时,对由数据处理活动构成其核心业务的企业来说,设立数据保护官已经成为法定要求。这类企业包括:其核心业务需要常规、系统、大范围地监测数据主体或者特定数据种类或者其处理的数据与犯罪记录及侵权记录相关。

欧盟《通用数据保护规则》自2018年5月25日开始正式实施,目前,是全球公认的在数据保护领域最为领先的基本立法。一方面,其显著扩大了欧盟数据立法的域外适用范围,也就是说,即使对于非欧盟主体来说,只要其业务活动涉及到欧盟范围内居民个人数据处理,就将受到该规则的规制。在当前金融科技迅猛发展的背景下,人员、信息流、资金流以及物流的跨境流动已成常态,由此,对于中国以及其它非欧盟国家的公司特别是跨国公司而言,其业务模式以及风险管理都将因该法而受到重大影响。另一方面,《通用数据保护规则》确立了数据保护范围和数据主体的权利,其关于数据主体具体权力的规定,进一步廓清了数据主体与数据控制者、数据处理者之间的地位和关系,为准确区分和厘清彼此间法律责任提供了基础性法律依据。同时,这些权利及具体制度设计,也符合金融科技发展以及数据保护的一般规律和趋势,值得借鉴。

(二)英国“开放银行”倡议的内容及评价

面对传统大型金融机构在数据方面的优势地位,为进一步促进金融市场的竞争,特别是由于“数据孤岛”所导致的竞争不充分问题,英国实施了“开放银行”(open banking)倡议。具体来说,2016年,英国竞争及市场监管当局(Competition and Markets Authority)公布一项报告,认为英国在零售银行业务领域竞争并不充分,而主要由大型银行支配。为此,英国竞争及市场监管当局提出了 “开放银行”改革方案,要求英国最大的9家银行构建起银行业开放、统一的应用编程接口,要求凡是符合该应用编程借口技术标准的机构均可以获取该9家最大银行的相关数据,其它银行可以自愿选择加入这一改革方案。“开放银行”改革方案的目的在于增加竞争,包括降低消费者在不同金融机构之间变换其服务银行的成本及难度。从2018年1月开始,“开放银行”改革全面实施,为此,英国竞争及市场监管当局设立的一个专门的非营利机构来执行这一倡议,该机构被称为开放银行倡议执行实体,由该实体与银行以及其它金融科技公司相互合作,以确保改革方案的落实。而注册参与“开放银行”改革方案的金融科技公司必须要接受英国银行金融行为监管当局的监管。在开放银行改革中,相关银行必须使用由开放银行倡议执行实体制定的特定标准来进行数据的读写,以此确保数据的安全获取及充分共享。同时,相关银行必须按照规定的技术标准开发应用编程接口来确保金融科技公司能够直接通过这一接口来开发自身的应用程序。另外,通过使用应用编程接口,使消费者得以全面控制其账户信息,确保任何金融科技公司在使用用户金融数据之前必须得到消费者的同意。更关键的是,在操作的过程中,应用程序界面会被直接转接到相关银行的登录账户,并且只能由消费者本人直接登录方可获取相关银行数据。而在屏幕抓取方式下,用户却可能在自身不知情的情况之下将自己的金融账户登录授权提供给金融科技公司。最后,在应用编程接口模式之下,消费者可以自行选择其允许金融科技公司获取自身金融数据的范围、允许其获取信息的期间以及相关数据的使用目的,并且可以在任何时间取消这一许可。消费者的金融数据也将以加密的方式提供给使用机构,其使用过程是可被追溯的,并只能由被监管的主体获取相关信息。

在英国脱欧背景下,欧盟《通用数据保护规则》对于英国已经基本注定属于第三国法律,但英国依然在数据保护领域取得了有价值的监管改革经验。相较于欧盟《通用数据保护规则》的立法目的,英国 “开放银行”倡议的重点不完全在于用户数据保护,而在于促进数据开放来加强英国银行业竞争,并促进金融科技以及整个金融系统发展。同时,英国开放银行倡议更具体,也更具有技术特征。从监管改革有序、渐进实施的角度看,英国“开放银行”倡议对于金融体系尚不健全以及数据基本立法条件尚不成熟的国家来说,更富有启示意义。

(三)美国证券交易委员会对脸书公司数据侵权的处罚案例及评价

2019年7月30日,美国证券交易委员会对脸书公司作出1亿美元的处罚决定,以处罚其误导性地披露其有关滥用用户数据的违规行为。具体来说,在2014和2015年,一家投资分析公司向一名学者付费,通过向该学者控制的一家公司支付的方式进行,而该学者所控制的公司则通过收集脸书用户数据对超过3000万美国人进行性格评分(personality score)。但在提供性格评分之外,该学者违反脸书公司的政策,同时向该投资分析公司提供了用于性格评分的用户基础数据,包括:姓名、性别、住址、出生日期以及网页浏览偏好,而获取这些基础数据的数据分析公司则使用这些数据进行政治营销活动。尽管脸书公司在2015年已经确切知悉了这一事实,但却在此后的两年间,在其信息披露之中,仅将这一侵犯用户数据的违规事件描述为假设性(hypothetical)风险。美国证券交易委员会认为,作为上市公司,脸书公司必须识别和审慎处理其业务的实质性风险,并设立适当的程序以确保信息披露在任何实质性方面的准确,包括不应当将已经确定的风险继续披露为可能存在的风险,由此脸书公司被美国证券交易委员会处以1亿美元罚款。

尽管美国证券交易委员会对脸书公司1亿美元的处罚,并非直接针对脸书公司滥用用户数据的违规行为,而是针对其未能严格依法披露用户数据已被非法滥用的事实,但也可以看出,对于金融科技公司特别是上市的金融科技公司来说,用户数据滥用可能产生危害的严重程度。同时,也可以说明监管当局对相关数据侵权行为持有严格的监管态度。因此,对于任何一家公司来说,建立起自身严格的用户数据收集、存储、使用以及保护制度,至关重要。

 

四、中国金融科技数据风险监管完善的对策建议

在金融科技快速发展的背景之下,面对数据风险的两维内涵,无论对于监管当局、立法机构,还是对于金融科技公司以及用户,都将面对显著的不确定性。尽管如此,依然存在一个数据风险治理的基本逻辑:一方面,数据风险治理应当始终以数据主体权利保护为最终目的,也就是以人为本,只有在这一目标之下,金融资源配置效率、市场充分竞争才具有最终的意义。另一方面,数据风险治理需要各方共同参与,对市场主体来说,要积极适应并预见可能出现的变革,减少监管规避的侥幸心理。对监管当局来说,应当从全局特别是从宏观审慎角度包括从金融国际竞争的角度来理解数据在金融科技发展中的地位和作用。

(一)市场主体层面:加强数据保护内部管理及实施框架

对于中国当前来说,尚缺乏有关数据治理的基本立法,金融科技领域关于数据问题的监管规则也不完善。在此情况下,对于市场主体来说,其必然面临两种选择:其一,利用监管规则的空白及不完善尽可能谋取自身商业利益,而无视其商业模式背后可能存在的法律风险以及道德风险。在这一模式下,尽管市场主体可以在短期内取得较好商业利益,但从长期来看,由于背离了数据保护以及权利保护的基本原则,这一商业模式必然难以持续。同时,在全球化的背景下,即使其行为不违反所在国的法律,但对于其它国家特别是发达国家而言,在其国内法的域外适用已成常态并日趋扩张的背景之下,其遭受域外法律风险的可能性有增无减。其二,与第一种模式相反,在第二种模式下,企业即使面对监管规则的空白及不完善,但却能够从严格的数据权利保护及良好商业准则出发构建自身的业务模式。也就是说,在数据保护方面,此类公司的数据保护标准已经超越该国现行法律要求的标准。尽管这一模式会带来较高的管理成本,但从长期发展角度来看,特别是对于高度依赖商誉的大科技公司以及传统金融机构而言,由此形成的用户信赖、商誉以及风险管理经验将使其取得长期的竞争优势。因此,从市场主体角度来看,在数据风险治理领域,企业应当加强数据保护的内部管理及实施框架,特别是在所在国相关法律存在明显缺陷和不足的情况下,更应当制定并实施高于法律要求的数据风险管理标准。

(二)监管当局层面:完善金融数据开放及保护监管规则

监管当局是监管规则的核心供给主体,对于快速发展的金融科技来说,监管当局及时、科学的规则供给显得更为重要。相较于国家立法机构,监管当局的规则供给不仅在效率方面毫不逊色,而且更具灵活性。一方面,监管规则在立法技术方面可以更为精细、准确,通过对具体问题采取有针对性的监管措施,既解决了突出问题,也避免了一般性立法所可能产生的一刀切、大而全等问题。另一方面,监管当局的规则供给在形式上也更加多样,既可以采取监管规则形式,即行政立法的方式,也可以通过指引、意见等不具有法律约束力的软法形式来引导市场实践、传递监管当局的监管态度,更好地发挥市场主体在良好秩序形成中的重要作用。此外,监管当局还可以在既有的法律框架之内,通过具体的监管执法来引导市场主体对数据风险处理形成合理预期,并通过加强企业内部风险治理来预防和应对数据风险。对于中国当前来说,无论是在数据开放方面,还是在数据保护方面,具体的金融监管规则都有待进一步完善。对此,中国可以借鉴“英国开放”银行倡议的方式,循序渐进地在重要领域、重要机构之间推进数据风险监管规则的完善。具体来说,一方面,要积极推进传统金融机构特别是大型金融机构实施必要的数据开放,从而使金融科技公司特别是具体金融科技应用程序的开发者以合法方式并以合理成本获取数据来源,以此促进金融市场竞争,同时,推进数据开放也可以减少市场主体使用屏幕抓取方式甚至数据非法买卖的方式获取用户数据,从而促进金融安全。另一方面,要加强用户数据保护,即使目前难以按照欧盟《通用数据保护规则》来全面确定数据主体的数据权利,但对于一些基本的数据权力,例如用户获取数据的权利以及数据的被遗忘权等,则可以通过监管规则完善来及时予以认可并予以严格保护。

(三)国家立法层面:推进系统全面专业的数据立法

国家层面的基本立法是一国法律渊源的核心和基础,各类监管规则以及其它下位法都必须以国家基本立法作为依据,而在缺乏国家基本立法的情况之下,很容易在各个监管当局立法以及市场实践方面出现规则冲突以及执法、司法冲突,不利于一国法律的统一及实施。基于数据在金融科技发展以及整个经济社会发展中的重要地位,及时制定国家层面的基本数据立法,对于促进国家适应时代变革、加快自身发展至为重要。而对于金融发展来说,数据已经成为金融发展的核心驱动力量,在缺乏数据基本立法的情况下,金融的发展特别是金融科技的发展必将面临诸多困境。因此,对于中国来说,应当积极推进国家层面的数据基本立法,以适应时代发展需要。在这一问题上,中国有必要借鉴《欧盟通用数据保护规则》的立法经验,从全面规定数据立法的适用范围、数据主体的数据权利及具体权能、数据权利实现方式及法律责任等方面系统解决中国的数据立法问题,以基本数据立法的制度供给来增强中国金融科技乃至整个金融经济的国际竞争力。

Copyright ©中国金融法治中心
地址:重庆市渝北区宝圣大道301号 邮编:401120
微信公众号:jrfzyj-