規范敏捷式監管:金融數據開放的監管挑戰與完善路徑

□ 陳天昊 徐 瑋

面對數字技術的蓬勃發展,如何塑造能夠適應數字時代的新的監管范式,乃是我國行政管理研究的重要理論議題。由命令服從式監管到回應式監管,既有監管范式的革新主要源于監管者與被監管者之間地位的逐漸平等,而隨著新興技術的快速發展,治理問題的不確定性日益凸顯,使得敏捷治理等新的監管理念不斷涌現。在梳理既有監管范式及理念的發展脈絡基礎上,本文提出規范敏捷式監管的新范式,以支撐監管應對數字技術快速變遷所產生的不確定性治理難題。

在建設數字中國、發展數字經濟的大背景下,如何推動數據要素開放共享,成為當前數據監管部門面臨的緊迫政策議題,這也為上述規范敏捷式監管范式的實踐提供了應用場景。習近平總書記指出:“數字經濟事關國家發展大局”“是把握新一輪科技革命和產業變革新機遇的戰略選擇”。(1)《習近平在中共中央政治局第三十四次集體學習時強調 把握數字經濟發展趨勢和規律 推動我國數字經濟健康發展》,《人民日報》,2021年10月20日第1版。2022年12月中共中央、國務院印發《關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱《數據二十條》),提出構建數據產權、流通交易、收益分配、安全治理等制度,以激活數據要素潛能、賦能實體經濟、推動高質量發展。2023年2月中共中央、國務院印發《數字中國建設整體布局規劃》,將“暢通數據資源大循環”列為數字中國建設的“兩大基礎”之一,要求“構建國家數據管理體制機制”“釋放商業數據價值潛能”。2023年3月,中共中央、國務院印發《黨和國家機構改革方案》,明確提出組建國家數據局,負責協調推進數據基礎制度建設,統籌數據資源整合共享和開發利用,推進數字中國、數字經濟、數字社會的建設。

當前,公共數據開放共享已引發學者普遍關注,(2)如李重照和黃璜(2019)、李珒(2021)等研究了公共數據在政府系統內部的跨層級跨部門共享的障礙、影響因素及對策;而鄭磊(2015)、胡業飛和田時雨(2019)、胡業飛和孫華俊(2021)等則研究了政府向社會公眾開放公共數據的價值目標、影響因素及模式選擇。參見:李重照、黃璜:《中國地方政府數據共享的影響因素研究》,《中國行政管理》,2019年第8期;李珒:《協同視角下政府數據共享的障礙及其治理》,《中國行政管理》,2021年第2期;鄭磊:《開放政府數據研究:概念辨析、關鍵因素及其互動關系》,《中國行政管理》,2015年第11期;胡業飛、田時雨:《政府數據開放的有償模式辨析:合法性根基與執行路徑選擇》,《中國行政管理》,2019年第1期。而圍繞數據監管部門如何推動商業數據價值潛能釋放的研究尚付之闕如。在商業數據中,個人和企業的金融數據標準化程度高,實際持有者普遍具備較強的數據利用和風控能力,并且在完善社會征信、防范網絡詐騙等應用場景具有巨大潛能,可更好地助力普惠金融并賦能實體經濟。一直以來,開放銀行(Open Banking)改革構成金融領域推動企業及個人數據開放的重要實踐,乃指銀行與第三方開發者共享和利用客戶授權的數據以構建特定應用程序和服務的商業模式。(3)OECD, “Data Portability in Open Banking: Privacy and Other Cross-Cutting Issues”, OECD Digital Economy Papers, No.348 (2023), p.5.各國政府在推動開放銀行的改革中都扮演了重要的角色,截至2021年10月,全球已有包括英國、美國、新加坡在內的49個國家積極推進開放銀行政策,另有31個國家已展開積極討論。(4)Babina, Tania, Greg Buchak and Will Gornall, “Customer Data Access and Fintech Entry: Early Evidence from Open Banking”, SSRN Electronic Journal, (2022), p.1.近年來,我國監管部門也已圍繞金融數據開放展開研究,但囿于諸多不確定挑戰,至今尚缺乏系統性政策出臺。

本文將首先回顧既有監管范式變遷的理論脈絡,提出規范敏捷式監管的理論框架;然后分析域外開放銀行的改革實踐,提煉以監管推動金融數據開放的一般性政策內容;最后結合我國監管推動金融數據開放的機制障礙,以規范敏捷范式為指引提出以監管推進我國金融數據開放的對策建議。

一、數字時代的監管范式:規范敏捷式監管

改革開放以來,我國政府逐漸由指令型政府轉向監管型政府(Regulatory State),日益通過制定宏觀政策、運用法律及經濟等多種工具實現經濟調節與社會管理。(5)劉鵬:《中國監管型政府建設:一個分析框架》,《公共行政評論》,2011年第2期。近年來,數字技術的快速發展帶來了越來越多的不確定治理難題,這呼喚新的更具適應性和敏捷性的監管范式。

(一)監管范式變遷的理論脈絡

命令服從式監管(Command and Control Regulation)是一種傳統的政府監管范式,依循此種范式,政府以懲戒為后盾,無差別地對被監管者強制執行法律的規定。這一范式的有效運作預設了監管者與被監管者的不平等地位:被監管者被視為應當被動服從政府命令的客體。而隨著市場經濟的發展,被監管者的主體意識日益增強,上述預設顯然越來越與現實不符:被監管者不僅可能對監管命令抱持消極態度,更可能采取策略性手段予以抵制,從而導致監管失靈。作為對命令服從式監管的超越,回應式監管(Responsive Regulation)于1992年被提出,(6)Parker, Christine, “Twenty Years of Responsive Regulation: An Appreciation and Appraisal”, Regulation &Governance, vol.7, no.1 (2013), pp.2-13.其仍強調在法律的框架下實施監管,但主張給予監管者更為充分的裁量權,讓其能夠根據被監管者應對監管的動機靈活調整監管策略,最終尋求對被監管者的塑造,使其不僅主動服從監管,還能與之展開積極協同。(7)楊炳霖:《回應性監管理論述評:精髓與問題》,《中國行政管理》,2017年第4期?？梢?回應式監管的關鍵在于尊重被監管者的主體地位,并激發和引導被監管者的主體性,最終形成監管合力,提升監管實效。

需要注意的是,無論是命令服從式監管還是回應式監管,其所面對的治理難題及可供選擇的治理手段,都具有較高的確定性,困難之處主要在于執行成本過高、被監管者缺乏守法動機等問題。(8)羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇:《牛津規制手冊》,宋華琳、李鸻、安永康、盧超譯,三聯書店2017年版,第140頁。而進入數字時代,數字技術的指數級創新及相關商業模式的加速迭代正導致新興的、不確定的治理難題不斷涌現,無論是監管者還是被監管者都難以提前預料,監管雙方日益陷入共同無知的境地。此時,僅僅依靠二者之間展開協同合作已不足以應對,還需提升監管對于技術發展的適應性和敏捷性。

回顧上述監管范式的變遷歷程,可以提煉驅動監管范式變遷的兩個關鍵變量,即,監管者與被監管者之間的平等性,以及監管問題本身的不確定性。具體而言,在面對確定的監管問題時,隨著被監管者主體地位的提升,有效監管的需求會驅使監管者日益重視被監管者的動機,并希望通過調動后者的能動性強化彼此協同。而隨著監管問題的不確定性提升,僅依靠彼此的協同已不足以應對雙方皆未知的挑戰,因此就進一步要求監管者與被監管者踐行邊干邊學的實驗主義理念,通過不斷試錯去摸索恰當的解決方案。

圖1 監管范式變遷

然而,有必要反思的是,無論是命令服從式監管還是回應式監管,皆以在法律框架下實施監管為基本預設,而在敏捷治理與實驗主義治理中,為了應對不確定的治理難題,法治的地位明顯弱化。依據實驗主義治理的理論框架,法律可以被政策所取代,“立法權向行政機構的轉移既宣告了社會治理中實驗主義的興起,也宣告了‘政策型治理’的興起”。(14)張乾友:《朝向實驗主義的治理——社會治理演進的公共行政意蘊》,《中國行政管理》,2016年第8期。由此,要實現有效的治理,所需的便是對政策進行敏捷實驗,“政策屬于實驗傳統的范疇,任何政策的出臺實際上都是一場社會實驗”。(15)張乾友:《朝向實驗主義的治理——社會治理演進的公共行政意蘊》,《中國行政管理》,2016年第8期。世界經濟論壇提出敏捷治理的理念,所強調的也是“政策的敏捷制定(Agile Policy-making)”。(16)World Economic Forum, “Agile Governance: Reimagining Policy-making in the Fourth Industrial Revolution”, White Paper, (2018), pp.8-10.可是,有必要認識到,僅強調以政策的敏捷制定來實施治理,而忽視法治的基礎性地位,可能會因為動搖交往主體的穩定規范預期,而難以取得好的治理績效。在社會學看來,“行動者的行動選擇具有高度的不確定性,高度依賴于另外一方行動者的選擇可能性與實際做出的選擇。而另外一方的行動同樣是高度不確定的,高度依賴于自己一方行動的可能性與實際做出的選擇”,帕森斯將此種人與人互動所面臨的雙重的不確定性和雙重的依賴性稱為“雙重偶聯性”。(17)泮偉江:《雙重偶聯性問題與法律系統的生成盧曼法社會學的問題結構及其啟示》,《中外法學》,2014年第2期。要克服該雙重偶聯性,就需依靠法律系統為自我與他者對對方的規范性預期提供擔保。具體而言,在監管者與被監管者的互動中,無論哪一方的行為違背了法律,法律系統都會將其判定為違法并給出規范上的否定性評價,以維持失望一方對未來的規范性期待,而不至于使其基于“期望的不斷循環復歸”而陷入“鏡像推理”的猜疑與對抗。(18)芭芭拉·福爾特納:《哈貝馬斯:關鍵概念》,趙超譯,重慶大學出版社2016年版,第 93-94頁?？梢钥吹?克服雙重偶聯性的關鍵,在于互動各方共享一套穩定的一般性規則,以此來擔保自我對他者未來行為的規范性期待。由此,本文主張,在數字時代實施監管,應將規范體系與敏捷治理相結合,秉持規范敏捷式監管的新范式。

(二)規范敏捷監管的理論內涵

法律毫無疑問是一個社會中最為重要的一般性規則。國內學者在論述敏捷治理的理念時,也有提到敏捷治理應遵循“法律精神指導”,但其同時強調敏捷治理并不需要考慮具體的法律規則,因為新興技術的巨大不確定性使得法律往往難以作出明確的規定。(19)薛瀾、趙靜:《走向敏捷治理:新興產業發展與監管模式探究》,《中國行政管理》,2019年第8期。然而這一判斷顯然與事實不符。以數字領域為例,自2000年立法者就頒行了《全國人民代表大會常務委員會關于維護互聯網安全的決定》,此后《侵權責任法》(2010)的制定及《消費者權益保護法》(2013)的修訂中也有對數字技術引發侵權行為的專門規定,2016年以來立法者進一步出臺了專門立法如《網絡安全法》(2017)《電子商務法》(2019)《數據安全法》(2021)《個人信息保護法》(2021),并根據數字平臺特征修訂《反壟斷法》(2022)。我國司法機關也在不斷通過個案裁判發展法律的規范內涵,如“人臉識別第一案”明確認定生物識別信息屬于敏感個人信息,(20)(2020)浙01民終10940號?！按蟊婞c評訴百度案”也明確了數據爬取的法律邊界。(21)(2016)滬73民終242號。

當然,政策也可以在一定程度上擔保交往雙方的規范性期待,但必須明確區分政策中的抽象規則(Rule)與具體行為(Act),并保障前者相比于后者具有更高的穩定性。國內敏捷治理的既有文獻片面強調政策的快速制定、靈活應變、漸進迭代,(22)趙靜、薛瀾、吳冠生:《敏捷思維引領城市治理轉型:對多城市治理實踐的分析》,《中國行政管理》,2021年第8期。而沒有意識到政策同樣需要有穩定性。要知道,如果一般性的監管規則也總是隨著結果的反饋極度敏捷地調整,那么被監管者就無法形成對監管者的穩定預期,相反會驅使被監管者基于對監管者敏捷行為的學習去形成特定的認知期待,并據此與監管者展開策略性互動。若如此,敏捷治理所希望達成的“相互依賴”之合作關系將難免墮化為彼此猜疑的貓鼠游戲。在我國的立法體系之下,監管者有權制定包括行政法規、規章及其他規范性文件在內的各種抽象規則,它們相比于具體的監管行為具有更高的穩定性。如近年來,國務院互聯網辦公室就制定了《互聯網信息服務深度合成管理規定》《個人信息出境標準合同辦法》等行政規章,這些監管規則既對緊迫的治理議題給出了政策回應,同時其制定和修改也皆受到《立法法》《規章制定程序條例》等法律法規的程序性約束,并在內容上與《個人信息保護法》《數據安全法》等法律保持一致,能夠為被監管者擔保一定程度的規范性期待。

總之,監管者對數字技術及新興產業實施監管,從來都不是在規范真空中進行,而是在法律原則、法律規則、行政立法、司法裁判等共同構成的規范體系下完成。敏捷治理與實驗主義治理不應對法律的規范性功能視而不見。規范敏捷式的監管范式可以通過下述三個命題來概括。

第一,監管者應當與被監管者緊密合作,協同敏捷地實施監管行為,但應以監管規則為指引并受其約束。遵循實驗主義治理及敏捷治理的理念,為了更好地應對不確定性,監管者與被監管者應當彼此協作、共同學習,然而敏捷的監管行為仍應遵循既有的合法有效的監管規則。這顯然會壓縮監管行為的敏捷空間,但同時也為被監管者提供了關于監管者之行為的穩定的規范預期,為監管者與被監管者在未來的持續交往協同提供了前提。

第二,監管者應當與被監管者緊密合作,根據監管行為的效果反饋,敏捷地發展監管規則,但應以法律規范為指引并受其約束。在我國,監管規則除了包含前述的行政法規、行政規章、其他規范性文件等硬法規范,還包含指導性意見、標準合同、典型案例等軟法規范。監管者應當與被監管者緊密合作,敏捷地基于監管實效對既有的監管規則進行發展,以提升監管規則對于新興產業及數字技術最新發展的適應性。當然,監管規則僅構成行政立法,其仍應遵循法律的指引并受其約束,這無疑會壓縮監管規則敏捷發展的空間,但卻為維護市場的穩定規范預期提供了擔保。

第三,監管者應當與被監管者緊密合作,根據監管規則的效果反饋,推動立法者敏捷地發展法律的相關規范。法律規范具有僅次于憲法的穩定性,然而其本身也在不斷發展,監管者與被監管者對監管前沿信息、發展趨勢有更完備的把握,為立法者敏捷地發展相關法律規范提供了支撐。當然,法律規范的修改與完善超出了監管者的權限,但其仍可以通過多種方式及渠道——如《立法法》第十四條——助推新興立法的出臺。

圖2 規范敏捷式監管

概言之,規范敏捷式監管范式(見圖2),將監管活動還原于真實的規范體系之中,強調監管部門的敏捷監管應當以規范體系為“錨”,這是維護交往主體對未來穩定規范預期的前提;同時,監管部門也應當積極提升監管規則的適應性,并推動法律規范的適應性發展,以謀求“監管行為-監管規則-法律規范”這一全流程的敏捷化,從而在整體上優化監管應對不確定挑戰的能力。金融數據開放牽涉多元復雜的利益關系,面臨較大的不確定性挑戰,這為踐行規范敏捷式監管提供了合適的應用場景。在具體探討我國監管如何推動金融數據開放之前,有必要梳理域外開放銀行的改革實踐,并提煉金融數據開放的一般性政策內容。

二、金融數據開放的政策體系:以域外開放銀行改革為例

(一)金融數據開放的政策目標

推進金融數據開放的首要目標是打破金融數據壟斷及競爭壁壘,促進金融市場競爭創新。如英國競爭和市場管理局在2016年發布《零售銀行市場調查:最終報告》,指出低水平競爭和創新是導致英國零售銀行產品價格昂貴和服務質量不佳的關鍵原因。2019年英國開放銀行實施實體發布《開放銀行,準備起飛:目的、進展和潛力》,明確“開放銀行的目標是允許銀行客戶與第三方安全地共享他們的數據,以便更廣泛的企業能夠通過競爭去提供更好的金融服務、更多的選擇和更低的價格”。(23)U.K. Open Banking Implementation Entity, Open Banking, Preparing for Lift Off: Purpose, Progress &Potential, 2019, p.4.

個人所享有的數據可攜權是各國監管者推進個人金融數據共享的正當性基礎。歐盟《數據可攜權指南》指出:“數據可攜權的首要目的是增強個人對其個人數據的控制,并確保他們在數據生態系統中發揮積極作用”,這“為‘重新平衡’數據主體和數據控制者之間的關系提供了機會”。(24)EU, Data Protection Working Party. Guidelines on the Right to Data Portability, 2016, Article 29.美國《多德-弗蘭克法案》第1033條也規定,消費者有權以可用的電子格式訪問自己的銀行賬戶和交易數據?；跀祿蓴y權的開放銀行改革,旨在通過賦權數據主體自主決定其個人數據的用途,激活數據要素流動,最終激勵銀行和第三方機構充分挖掘金融數據價值,以更好地滿足消費者需求。

各國政府在開放銀行改革中也普遍重視數據安全與隱私保護。在開放銀行改革之前,屏幕抓取和逆向工程是被普遍使用的數據訪問技術,但其在數據安全、用戶隱私、數據可靠性等方面存在極高風險。開放銀行改革的關鍵舉措便是推動以更加安全可控的API技術作為數據傳輸方式,以更好地保障金融數據開放過程中的數據安全與用戶隱私。歐盟《支付服務指令》(Payment Services Directive 2, 簡稱PSD2)指出,“本指令將涵蓋這些服務,以便為消費者的支付和賬戶數據提供充分的保護,并為賬戶信息服務提供者的地位提供法律確定性”。(25)European Parliament and of the Council, Directive (EU) 2015/2366 on Payment Services in the Internal Market, 2015.

(二)金融數據開放的政策內容

為了實現上述政策目標,各國監管者普遍圍繞數據資源開放、數據要素流動、數據權益配置三個維度搭建具體的政策內容框架。

1.引導數據資源有序開放

監管部門通過明確數據資源開放范圍引導數據資源有序開放。這主要通過下述三條路徑實現:第一,基于服務場景確定數據資源開放范圍。歐盟PSD2第66、67條分別規定了以銀行為代表的支付機構應當向兩類第三方機構——支付啟動服務提供商和賬戶信息服務提供商開放數據,數據開放的范圍應當以提供支付啟動服務和賬戶信息服務所必要。此種模式明確劃定數據開放范圍,具有安全可控的優勢,但在創新服務場景的可拓展性上存在不足。第二,基于數據特征確定數據資源開放范圍。墨西哥《金融科技法》第76條明確了三類應當開放的金融數據——公開數據、聚合數據、交易數據,由于交易數據構成客戶的個人數據,其開放共享必須經過客戶的明示同意。此種模式僅對不同類型數據的開放權限做原則性規定,能夠最大程度地容納市場對金融數據開發利用的創新,但可能引發不可控的安全風險。第三,綜合前兩種方式,首先基于數據特征確立數據開放的范圍,再針對重點服務場景給出具體指引。英國《開放銀行標準》首先區分了公開數據、聚合數據、客戶交易數據、客戶參考數據和敏感商業數據,并根據各類金融數據所涉及的用戶隱私程度不同,對第三方機構設置了不同的讀寫權限;其次針對活期賬戶比較服務、個人理財、獲得貸款、負擔能力審查、網上賬戶以及欺詐偵察六個重點場景提供了更為詳細的數據開放建議。此種路徑能夠更好地平衡安全與發展之間的關系。

2.促進數據要素高效流動

隨著數據資源有序開放,監管部門還需進一步促進數據要素的高效流動,以充分釋放數據價值,這便要求監管部門統一數據開放標準,并建立跨部門協同監管機制。首先,由監管者制定統一的數據開放標準,能夠降低數據要素流動的交易成本。在開放銀行實踐中,各國監管者提供了統一數據開放標準的兩條監管路徑:其一,通過行政命令的方式直接干預。如英國《零售銀行市場調查指令》強制要求九家最大的銀行建立并資助獨立的“開放銀行實施實體”,采用統一的API接口和數據標準。其二,采用助推的方式間接干預。如新加坡金融管理局通過搭建“新加坡金融數據交易平臺”的公共數字基礎設施,為不同市場主體間的數據交易提供API接口適配、用戶身份認證、數據傳輸加密、數據安全保障等服務。市場主體可以自愿選擇在統一標準的場內交易,或進行非統一標準的場外交易。以行政命令直接干預的弊端在于被監管者會將服從該命令的成本轉嫁給消費者,而助推路徑則通過對選擇框架的設置引導市場主體自愿做出政策所欲的行為。(26)張力:《邁向新規制:助推的興起與行政法面臨的雙重挑戰》,《行政法學研究》,2018年第3期。其次,金融數據流動涉及金融監管、數據監管、市場監管等多項監管領域,建立有效的協同監管機制可以降低多頭監管、監管缺位對數據要素流動帶來的摩擦成本。英國的做法是設立 “數字監管協作論壇”,旨在為信息專員辦公室、競爭和市場管理局、通信辦公室和金融行為管理局之間的交流合作提供制度化的機制。然而,也有批評指出,由于缺乏處理不同機構間沖突的專門程序,當各監管機構無法達成共識時,監管協同就無法實現,各方只會單獨履行各自的法定義務。(27)OECD, “Data Portability in Open Banking: Privacy and Other Cross-Cutting Issues”, OECD Digital Economy Papers, No.348 (2023), pp.20-21.

3.優化數據權益配置結構

數據要素的高效流動既釋放了數據價值,也帶來了數據安全及隱私風險,對數據權益的合理配置乃構成激勵數據資源持續開放的關鍵。首先,監管者普遍強調對個人數據權利的保護。這主要通過兩種監管路徑來實現:其一,對個人等金融消費者直接賦權。如美國《消費者保護原則:消費者授權的金融數據共享和聚合》提出金融數據共享的九大消費者保護原則,包括數據訪問、數據范圍和使用、控制和同意、授權支付、安全、訪問透明度、準確性、能夠對非授權訪問提出異議和解決爭議、快速有效的問責機制。其二,對銀行等數據持有人和第三方機構科以對個人數據的安全保障義務。歐盟PSD2第11條便要求提供支付啟動服務的第三方機構必須持牌經營,成員國的主管當局在發牌時應當考慮其數據安全管理和風險控制能力。

其次,監管者也正日益重視對數據持有人權利的保障。要知道,對銀行等數據持有人相關權益關注不足,會對數據持有人的數據采集、開發及開放工作產生逆向激勵。如強制要求銀行開放數據,雖然消除了事后的數據壟斷,但同時會減少銀行事前生產數據的激勵,導致數據供給的萎縮。(28)Babina, Tania, Greg Buchak and Will Gornall, “Customer Data Access and Fintech Entry: Early Evidence from Open Banking”, SSRN Electronic Journal, (2022), p.32.2022年5月,歐盟通過《數據治理法案》,其立法側重從保護公民個人數據隱私轉為促進數據流通利用,包括建立框架以促進數據中介機構的發展。2023年6月,歐盟議會和歐盟理事會就《數據法案》達成政治協議,其首要目標就是“確保數字環境中各參與方公平分配數據價值”。(29)Council of EU, Data act: Council and Parliament Strike a Deal on Fair Access to and Use of Data, 27 June 2023, https://www.consilium.europa.eu/en/press/press-releases/2023/06/27/data-act-council-and-parliament-strike-a-deal-on-fair-access-to-and-use-of-data/.

歸結而言,域外金融數據開放的實踐表明,監管部門應首先明確數據資源開放的范圍,以引導數據資源進入市場流通;隨之,應降低數據要素流動的成本,使數據資源能夠充分釋放自身價值;最后,應優化數據權益的配置結構,以激勵個人及數據持有者不斷開放數據資源,讓數據要素流動及價值釋放可持續?？梢钥吹?數據資源開放、數據要素流動、數據權益配置三者構成一個整體,共同推進數據資源的大循環,監管者與被監管者應當緊密合作,持續敏捷地協調這三者之間的關系(見圖3)。

圖3 金融數據開放的政策內容框架

三、我國金融數據開放的機制障礙與監管對策

(一)制約我國金融數據大循環的機制障礙

1.數據資源開放范圍過窄

首先,在立法層面,我國法律規定了“國家核心數據”“重要數據”“敏感個人信息”等數據資源開發利用的“底線”和“紅線”?！稊祿踩ā返?1條對“國家核心數據”和“重要數據”作了特別規定,前者指“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據”,要求“實行更加嚴格的管理制度”;后者則授權“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄”,要求“加強對重要數據的保護”。上述法律規定突出了數據安全的重要性,但對于具體哪些數據不能開放,尚缺乏足夠明確的規范指引。對于個人金融數據,《個人信息保護法》將“金融賬戶”明確列為“敏感個人信息”,規定“只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理”。然而,哪些個人金融數據屬于該條款規定的“金融賬戶”,“特定的目的”和“充分的必要性”的判定條件又是什么?這些問題在立法層面也缺乏進一步明確的規范指引。

其次,在監管層面,我國監管者早期出臺的政策多以金融數據不開放為原則。2020年2月,中國人民銀行發布《個人金融信息保護技術規范》,其第7.1.3條明確“金融業機構原則上不應共享、轉讓其收集的個人金融信息,確需共享、轉讓的,應充分重視信息安全風險”。2020年9月,中國人民銀行發布《金融數據安全 數據安全分級指南》,根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度,將數據安全級別從高到低劃分為5級,僅第1級數據,如單位基本概況、企業工商信息為“一般可被公開或可被公眾獲知、使用的數據”,而第2級數據,如客戶行為信息、客戶風險標簽信息則為“一般針對受限對象公開,通常為內部管理且不宜廣泛公開的數據”,至于第3至5級數據,如賬戶金額信息、個人征信信息皆為“一般針對特定人員公開,且僅為必須知悉的對象訪問或使用”。

2.數據要素流動成本過高

首先,缺乏統一且完整的金融數據開放標準體系,造成金融數據要素流動的合同締結成本過高。目前僅中國人民銀行于2020年2月發布了《商業銀行應用程序接口安全管理規范》,該標準只涉及API接口的安全問題。然而,金融數據的高效流動還需要統一的API接口格式標準,以兼容不同技術路徑,以及統一的金融數據質量標準,以降低交易雙方的信息不對稱。在實踐中,由于金融數據開放標準體系的不健全,數據使用方往往需要與每家銀行就數據格式、數據傳輸方式、數據保護措施等問題分別溝通協調,甚至在涉及個人金融數據時還須與每個用戶就前述問題單獨達成協議,此皆顯著增加了各方圍繞數據資源達成交易的合同締結成本,并壓制了第三方數據使用者的入場意愿。

其次,缺乏權威且高效的金融數據協同監管機制,造成金融數據要素流動的契約不完備成本過高。金融數據的開放流動涉及數據利用、數據安全、金融監管、反壟斷等多方面政策目標,就各個單一政策目標而言,我國已明確相應的統籌協同機構,如《數據安全法》規定中央國家安全領導機構負責國家數據安全工作的統籌協調,并建立國家數據安全工作協調機制;《反壟斷法》規定“國務院設立反壟斷委員會,負責組織、協調、指導反壟斷工作”;新一輪機構改革組建國家數據局和國家金融監督管理總局,分別負責統籌數據資源整合共享和開發利用,以及除證券業之外的金融業監管。然而,金融數據的開放共享涉及上述各個監管領域,需要進一步統籌各種相關協調機制,避免不同監管部門的重復監管、過度監管,降低市場主體所面臨的金融數據監管不確定性,減少各方圍繞數據資源交易的契約不完備成本。

3.數據權益配置結構失衡

我國對金融數據的監管重點集中于對數據安全及隱私保護。2020年9月,中國人民銀行頒布《金融消費者權益保護實施辦法》,第三章以專章形式規定金融機構保護個人金融信息安全的義務。中國人民銀行會同中國銀保監會起草形成《商業銀行法(修改建議稿)》,新設第六章“客戶權益保護”,對商業銀行個人信息保護與數據安全規范作出具體規定。

相較而言,我國至今缺乏對于數據持有者的數據產權保障。2020年3月《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》提出“研究根據數據性質完善產權性質”,直到2022年10月全國人大財經委在審議代表議案時依然指出“當前數據產權制度亟待破解,但又難以在短期內達成共識”。(30)全國人大財政經濟委員會:《關于第十三屆全國人民代表大會第五次會議主席團交付審議的代表提出的議案審議結果的報告》2022年10月27日,http://www.npc.gov.cn/npc/c2/c30834/202210/t20221029_320052.html。數據權屬不明限制了銀行等金融數據持有者積極實現自身數據價值的動力,“產權是交易的前提”,(31)張維迎:《所有制、治理結構及委托—代理關系——兼評崔之元和周其仁的一些觀點》,《經濟研究》,1996年第9期。銀行在沒有產權依據的情況下無法通過市場機制與任意主體自由訂立數據交易合同,這便限制了數據流動的范圍?？紤]到數據價值實現的關鍵在于激發其規模效應,僅有有限的數據流動便難以給銀行帶來可觀的收益,也就降低了銀行擴大數據開放供給的意愿。

(二)推進我國金融數據大循環的監管對策

依循前述的規范敏捷式監管范式,圍繞數據資源開放、數據要素流動、數據權益配置三個方面,本文提出下述以監管推進我國金融數據大循環的對策建議。

1.依法依規擴大金融數據開放范圍

首先,監管部門應當在《數據二十條》《數據安全法》《個人信息保護法》等中央政策及法律規范的指引下以監管文件明確金融數據開放的“安全底線”和“監管紅線”。(32)《數據二十條》規定“充分發揮政府有序引導和規范發展的作用,守住安全底線,明確監管紅線,打造安全可信、包容創新、公平開放、監管有效的數據要素市場環境”?！稊祿畻l》要求“建立健全數據流通監管制度,制定數據流通和交易負面清單,明確不能交易或嚴格限制交易的數據項”,《數據安全法》和《個人信息保護法》也分別對“國家核心數據”“重要數據”“金融賬戶”作了原則性和授權性規定。依循上述法律規范的指引,金融數據監管部門應推動國務院制定《金融數據開放條例》,以行政法規進一步細化上述“安全底線”和“監管紅線”,并正面規定可予開放的金融數據范圍,授權金融數據監管部門制定更為具體的金融數據流通交易負面清單,發布國家核心數據、重要數據、敏感個人信息的金融數據目錄。上述清單及目錄的確定應當聽取銀行業、銀行用戶、數據開發的第三方企業的意見,并向社會公布、定期評估、持續更新。

其次,監管部門應當修訂此前制定的《個人金融信息保護技術規范》《金融數據安全 數據安全分級指南》等監管規則。以數字中國建設和《數據二十條》為背景,此前制定的金融數據開放文件已經構成實現數據資源大循環的障礙,監管部門應當改變過去以金融數據不開放為原則的政策導向,加快修訂上述監管規則。值得關注的是,2023年7月,中國人民銀行發布《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》,該意見稿區分了一般、重要和核心三級數據,并引入敏感性和可用性兩個細分維度,授權中國人民銀行“負責組織制定數據分類分級相關行業標準”,“統籌確定重要數據具體目錄并實施動態管理”。這一努力提升了數據分級分類的可操作性,未來還應以此規章為基礎,逐步完善針對全部金融數據的分級分類方案,由《金融數據開放條例》明確規定,以為擴大金融數據開放提供操作指引。

其三,監管部門應當在上述監管規則的指引下,制作并發布金融數據應用重點領域的開放指南和最佳實踐?！督鹑跀祿_放條例》應鼓勵監管部門與被監管者建立多樣化、可持續的交流溝通機制,促進信息共享,推進金融數據開放指南、最佳實踐等公共物品的合作生產和有效供給。譬如,可由監管部門牽頭成立包括銀行業、技術業、消費者和商業從業者組成的“金融數據開放工作組”,根據金融數據市場的發展,定期匯聚、整理并更新金融數據開放的最佳實踐,并提供監管指引。

2.完善制度降低數據要素流動成本

首先,監管部門應當構建完整統一的金融數據開放標準體系。具體而言,中國人民銀行應當加快構建涵蓋數據質量、數據安全、傳輸技術等多方面的完備標準體系,以實現金融數據要素市場的“車同軌、書同文”。2020年10月《中國人民銀行法(修訂草案征求意見稿)》第五條明確由中國人民銀行“負責金融標準化和金融科技工作”。2022年1月,中國人民銀行會同市場監管總局、銀保監會、證監會聯合印發《金融標準化“十四五”發展規劃》,明確“系統完善金融數據要素標準”,“加快完善金融數據資源產權、交易流通、跨境傳輸和安全保護等標準規范”。依循上述規范,中國人民銀行應當加快編制金融行業的數據標準體系,在標準制定和完善過程中應廣泛吸納銀行業、第三方數據者等利益相關主體,兼顧大型國有銀行和中小型銀行、銀行業與金融科技企業之間的利益訴求,警惕采納偏向某一利益群體的標準而產生制度性交易成本。

其次,監管部門應當建立全國統一的金融數據交易平臺。國家發展改革委、中國人民銀行等國務院有關部門可以通過發布聯合規章的形式確立金融數據交易平臺的運行章程及監管規則,以引導場內交易者采用更高標準的數據安全、技術、運營等規范。與此同時,金融監管機構可以在上述規章中設置例外條款,明確可以變通及突破的監管要求,既為監管者在平臺內實施“沙盒監管”提供規范依據,也為市場主體入場進行創新數據交易提供激勵。具體而言,具有金融業相關資質的市場主體可以向金融監管機構提交沙盒測試的申請,獲準后便可在協商約定的范圍內試驗新業態應用場景,監管機構對其提供定制化的監管環境,并根據最終評估結果做出敏捷的監管回應,同時,沙盒測試所積累的監管經驗應及時反饋,推動平臺章程等監管規則的完善。

其三,監管部門應當推動完善權威高效的金融數據協同監管體制。英國監管協同實踐的經驗教訓在于僅依靠非正式的跨部門協作機制并不足以促成有效的合作監管行動,規范敏捷監管亦啟示行動者之間合作的形成需要正式規則擔保各方的規范性預期。目前,《數據二十條》已明確“加強黨對構建數據基礎制度工作的全面領導,在黨中央集中統一領導下,充分發揮數字經濟發展部際聯席會議作用,加強整體工作統籌,促進跨地區跨部門跨層級協同聯動,強化督促指導”,此輪機構改革亦規定組建中央金融委員會“作為黨中央決策議事協調機構,加強黨中央對金融工作的集中統一領導。監管者應當推動在《金融數據開放條例》中明確金融數據協同監管的具體組織及機制安排,既對接中央金融委員會,又輻射與金融數據開放相關的部委機構,并以多部門聯合規章或其他規范性文件為載體,制定多部門協同監管規則,及監管信息跨部門共享機制。

3.分類確權優化數據權益配置結構

監管部門應當明確金融數據產權規則,合理配置數據權益?！稊祿畻l》《個人信息保護法》《數據安全法》已經對數據權益配置提供了基礎性的規范指引?！秱€人信息保護法》第45條第三款明確“個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑”?！稊祿踩ā访鞔_國家基于數據安全、網絡安全、國家安全對數據流通實施限制的權利,第34條規定“法律、行政法規規定提供數據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可”?！稊祿畻l》以“數據處理者”和“企業數據”為中心,提出數據資源持有權、數據加工使用權、數據產品經營權的數據三權分置的權利配置構想。(33)許可:《從權利束邁向權利塊:數據三權分置的反思與重構》,《中國法律評論》,2023年第2期。

以上述基礎性規范為指引,監管者應當與被監管者緊密合作,在《金融數據開放條例》中明確金融數據確權的基本規則,并針對細分領域、重點場景頒布部委規章、指導性意見、標準合同等監管規則。具體而言,在《金融數據開放條例》中,監管者可依據三權分置的數據產權指引,明確下述四對關系中的數據權益配置:第一,數據控制者與其他任何人。面對其他任何人,數據控制者應當享有“數據資源持有權”,即對其所持有之數據享有排除他人侵害之權利,這構成對世的消極防御權。第二, 數據控制者與合同相對人。數據控制者得行使“數據加工使用權”和“數據產品經營權”,前者指權利人就其數據向他人授權使用之權利,后者指權利人就其數據予以轉讓、變更、設置負擔或拋棄之權利。通過明確銀行享有這兩項權利,銀行便擁有了與任意第三方通過合同自由交易數據產權的合法性,第三方亦享有了在合同約定的范圍內對金融數據進行深度加工和使用的權利,這為通過市場機制將數據資源配置給有能力實現其最大化價值的數據使用者提供了可能。第三, 數據控制者與法定相對人。法定相對人主要指數據來源者,即銀行用戶,依據《個人信息保護法》的規定,對于用戶提交給銀行的基本個人信息,其僅需支付必要的數據復制轉移成本,便可要求將數據轉移至第三方;而對于銀行采集、加工生成的客戶參考數據,個人還需支付一定的對價,以避免對銀行生產此類數據造成負向激勵。第四, 數據控制者與國家。一方面,依據《數據安全法》第34條,有關部門可就客戶交易數據等具有高風險的金融數據建立專門性的準入制度,授予數據特許經營權。另一方面,為維護國家安全和公共利益,《金融數據開放條例》可以對金融數據的“數據加工使用權”和“數據產品經營權”做出一般性的限制規定,若當事人違背此限制性規定則簽訂的數據產權交易合同將歸于無效?！?/p>