郑联盛 臧怡宏 李俊成 | 欧盟金融数据治理:框架、重点与启示
■ 郑联盛 中国社会科学院金融研究所金融风险与金融监管研究室主任、研究员、博士生导师
■ 臧怡宏 中国建设银行股份有限公司
■ 李俊成 中国社会科学院金融研究所金融风险与金融监管研究室、副研究员
摘要:
加强金融数据治理,促进金融数据顺畅流动和高效使用,是经济高质量发展的内在要求。经过多年发展,欧盟积累了较为丰富的数据治理经验,并逐步建立起较为完善的数据治理体系。前期,欧盟强调个人数据保护;但在过去的3~4年,数字经济立法更加强调消除数据流动障碍,促进数据共享。目前,欧盟在数据权利界定、权利保护、跨境流动等方面已建立了较为完善的法律体系,并形成了从欧盟到成员国再到金融业最后到单一金融机构的统一性、垂直性和专业化的金融数据治理体系。我国可学习欧盟经验,加强对国家数字经济和数字金融发展的顶层设计,以法制建设为核心完善金融数据治理的长效机制,强化金融数据跨境安全流动机制,加强数据流动应用和价值挖掘,高质量发展数字市场和数字服务,提升数字金融的国际竞争力,推进金融强国建设。
一、引 言
在数字经济时代,数据是关键要素,发挥着与生产函数中人力、土地、资本、技术等同等重要的功能。加强金融数据治理,促进金融数据在公平、开放、安全的环境中顺畅流动和高效使用,是数字时代经济高质量发展的内在要求。欧盟在数据治理的政策制定及法律体系建设方面领跑全球,成为各国金融数据治理领域的重要参照。由于欧盟各成员国市场体量大小迥异,数字经济治理规范存在差异性,因此,欧盟提出“单一数字市场”(Single Digital Market )战略,旨在统一欧盟数字市场,释放欧盟数字经济内部统一的发展潜力。2018年,欧盟委员会出台《通用数据保护条例》(General Data Protection Regulation,GDPR),作为欧盟数据治理的基本框架,也成为国际社会数据治理研究和实践的重要参考。2020年,《欧洲数据战略》(A European Strategy for Data)发布后,欧盟又陆续出台了《数据治理法》(DataGovernance Act )、《数据法》(DataAct)、《数据市场法》(Digital MarketAct)和《数据服务法》(Digital Service Act)等一系列法律法规,致力于域内乃至域外的数据有序流动和价值创造。具体到金融行业,欧盟金融数据治理政策的一系列举措体现了其权衡实现金融发展和保障数据安全的战略意图。
金融数据治理与一般数据治理既具有共性,又具有特性,在国际社会中呈现出差异化发展模式。金融数据治理是数据治理的重要组成部分,遵循数据治理的发展规律和一般规则,如数据治理一般要基于用户同意原则(a consent-based architecture)(Tiwan等,2022),而其经常出现的市场失灵则需要政府纠偏(Carrière-Swallow和Haksar,2019;D'Silva等,2019)。另一方面,金融数据治理基于金融的特殊性又呈现出显著的特性,如金融数据的共享、交易和转移更具私密性(Feyen,2021),金融数据治理因特殊要求和政策指向不同而形成了差异化的治理模式。目前,以数据流动性高低和流动难易程度为主要指标,金融数据治理在国际上主要存在三种策略(钟红和杨欣雨,2022):自由化策略(以美国、日本为代表,鼓励数据流动与共享)、本土化策略(以中国、俄罗斯、印度为代表,对数据跨境流动采取限制性举措)和中间派策略(以欧盟、新加坡为代表)。当然,对这种以数据流动性为核心指标来划分金融数据治理模式也存在一定争议,金融数据治理应更多考虑金融特殊性或数据连接性。王拓、李俊和张威(2021)认为,欧盟为促进数据流动与使用、消除各成员国政策差异导致的数据流动壁垒,制定了适用域内统一的数据战略,围绕数据的有效保护、有序流动和高效使用采取了一系列措施,着重根据数据保护级别,打造垂直化的治理体制,构建欧盟内统一的数据治理框架,并着力打造单一数据空间等。这种统一性、垂直化和单一空间模式,更好地匹配了金融系统数据的内在秉性和治理要求。
相对于美国数据治理的原则性监管逻辑,欧盟数据治理更倾向于限制性治理的框架。这与欧盟大陆法系、司法实践和监管系统有直接的关联性(刘轶,2009),与实施严格限制性监管的我国数据治理体系也有更多的共同性。我国金融管理部门逐步加强金融数据治理及其规范:2018年,原银保监会发布了《银行业金融机构数据治理指引》,基本确定了银行业数据治理的目标、原则、框架、重点环节和相应规范;其后,我国金融数据治理框架逐步深化。2023年,国家金融监督管理总局加强了对数据质量的要求,人民银行也着力于数据安全规范。本文将通过梳理欧盟金融数据治理的政策框架及演进历程,对欧盟金融数据治理基本环节、重点内容及面临的难题与挑战进行分析,为我国提升金融数据治理水平提供重要的政策参考。后文的结构如下:第二部分,主要分析了欧盟金融数据治理的政策框架及其演进;第三部分,介绍欧盟金融数据治理的重点内涵;第四部分,对欧盟金融数据治理面临的问题和挑战进行了剖析;最后是结论和对我国的启示。
二、欧盟金融数据治理的政策框架及演进历程
(一)立法进程
欧盟数据治理政策的制定与法治建设是一个循序渐进的过程,逐步建立起了适应欧盟多成员但又相对统一的数据治理体系。作为经济共同体组织,欧盟在数据立法领域的重点与单一国家存在显著差异。欧盟强调消除成员国之间包括金融数据在内的数据流动障碍,着力于实现数据共享与自由流动。为实现这一目标,欧盟从数据权利、数据存储、数据安全保护、数据监管、数据跨境流动等方面逐步建立起了较为完善的法律体系和治理规范。虽然,欧盟在数据治理方面取得积极成效,但实际上。欧盟在2016年后才全面、深入、系统地推进包括金融数据在内的数据治理架构建设。其标志性事件就是《通用数据保护条例》(GDPR)的出台以及2018年5月开始强制实施。在GDPR实施之后,欧盟逐步改进包括金融数据在内的数据治理框架,直至近期提出以数据治理提升数字经济国际竞争力。大体上,欧盟数据治理体系的立法发展可以分为三个阶段:第一阶段从1995年至2011年,主要强调个人数据保护;第二阶段从2011年至2018年,主要是区别对待个人数据与非个人数据;第三阶段是2019年至今,着力于提升欧盟包括金融业在内的国际竞争力。值得注意的是,在第一阶段和第二阶段,欧盟数据治理都是一般性的政策要求,基本没有制定针对金融数据治理的专项政策法规。
1.第一阶段(1995年至2011年);加强个人数据保护
1981年欧洲委员会颁布了《个人数据自动化处理中的个人保护公约》(下称《108号公约》)"。这是全球第一部关于数据保护的国际公约。该公约虽没有强制力,但奠定了欧盟数据保护立法的法制基础。1995年,欧盟正式出台第95/46/EC号指令,为欧盟成员国制定和实施数据保护法律提供了基本支撑,促进了各成员国数据治理标准趋向统一。该指令强调,金融数据归生成者所有,金融机构需加强对个人信息的保护。2002年,欧盟成立公共部门信息专家组(Public Sector Information Group),研究公共部门和公共资助数据的可用性和创新性问题。2003年欧盟发布第2003/98/CE号指令,要求欧盟成员国对公共部门(其中包含金融业)产生的数据在开发和共享方面加强合作。
在这一阶段,欧盟在金融数据治理方面主要关注个人数据的一般治理要求,数据治理规则主要针对政府等公共部门的数据需求。欧盟先后制定了一系列数据治理法案,强调金融数据治理的重要性,但缺乏针对性或特殊性的制度安排。不论是欧元区还是各成员国,金融数据相对分散甚至呈现碎片化特征。彼时金融数据治理整体是概念性的,甚至数据治理的内涵也未能予以明确。在该阶段,欧元区金融数据治理存在三个重要特征:一是金融数据整体不足且缺乏有效关联,特别是对正式运行不久的欧元区及其成员国更是如此。二是金融数据库缺乏足够维度来进行监管评估,评估结果与现实情况因此经常出现偏离。三是各成员国数据管理体系相对独立,尚未形成欧元区层面统一的数据体系和治理框架,如数据采集的标准规范就存在重大差异(Lautenschlager,2015)。
2.第二阶段(2011年至2018年):差别对待个人数据与非个人数据
国际金融危机后,金融一体化背景下个人数据保护、非个人数据跨境流动及其风险管理成为国际社会的重要关切。2011年,欧盟通过第2011/83/EU号决定,要成立一个简化数据加工与使用、推动信息共享深入发展的数据门户。2013年,欧盟发布“数据供应链倡议”,倡导建立“公私伙伴关系”治理逻辑,提出在公共部门基础上将更多的私人部门纳入到欧盟数据生态圈中。2016年,欧洲议会和欧盟理事会通过了《通用数据保护条例》(GDPR),并于2018年5月25日正式实施,成为强制性标准。GDPR是对1995年欧盟发布的第95/46/EC号指令的深化和优化。GDPR赋予个人更多的数据自主权与选择权,并针对用户数据的控制及处理主体制定了严格的限制性规则,特别是在个人数据的采集、交易和跨境流动等方面做出了明确界定和严格规范。当然,在个人金融数据方面,任何收集、传输、存储或处理涉及欧盟所有成员国内个人金融数据的机构也均受到GDPR的约束。这是欧盟在数据治理领域的里程碑事件。该条例与欧盟层面其他指引一样适用于各成员国,以此建立起统一的个人数据保护机制,并成为欧盟各国在数据治理方面的框架性共识。GDPR对个人利益的让渡和强调,将个人数据保护及监管水平提升到了新的高度。
在某种程度上,欧盟对个人数据的限制性约束,强化了数据保护而“牺牲”了数据自由流动的潜在收益。在这个过程中,欧盟关于数据治理的限制性监管逻辑与美国原则性监管逻辑开始逐步分化,欧盟逐步成为数据治理限制性监管的典型代表。但是,欧盟为充分利用数据流动对经济社会发展的促进作用,对于非个人数据仍然秉承自由流动的基本原则。2018年,欧洲议会和欧盟理事会共同颁布《非个人数据自由流动条例》(Regulation on the Free Flow of Non- personal Data),并于2019年5月28日正式实施。该条例旨在统一有关非个人数据的自由流动规则,与GDPR一起形成了数据治理统一框架。这个统一框架的基本特征就是对个人数据进行强力保护,同时积极倡导非个人数据的自由流动。
这个阶段欧盟针对的主要是个人数据和非个人数据深化数据治理规范制度建设。与第一个阶段相似,该阶段欧盟没有出台金融数据治理的专门规范,但欧洲金融监管部门对个人数据和非个人数据的治理提出了部分治理原则。欧洲银行管理局(EuropeanBanking Authority,EBA)要求,个人数据仅能用于符合欧盟法律或符合欧洲银行管理局执行法定权力的事项;同时,如果数据采集、分析、使用甚至分享是合同义务的内容,必须符合相关法律且要明确得到数据主体同意,数据处理才是合法的。而在这个时期,美国金融监管当局则深刻认识到传统和新型数据治理存在的实质性差异,将宏观经济数据、调查统计数据和金融机构数据界定为传统数据,将第三方数据、微观层面数据和非结构性数据等定义为新型数据,并提出要适用不同的治理规范(OCDO,2015)。
3.第三阶段(2019年至今):致力于提升欧盟国际竞争力
欧盟不断优化数据治理框架,通过制度建设来提升应对数字经济发展的挑战。2019年,欧盟出台非个人数据自由流动条例,在一定程度上缓解了GDPR的强力约束。2019年后,欧盟在坚持限制性监管基本逻辑的基础上,着眼于通过优化数据治理弹性来提升其国际竞争力。2020年2月,欧盟陆续发布《塑造欧洲的数字未来》(Shaping Europe's Digital Future)、《欧洲数据战略》(A European Strategy for Data)和《人工智能白皮书》(theWhite Paper on Artificial Intelligence)三份重要的数字战略文件,着力加强欧盟在数字经济、数据治理和重大先进数字技术的国际引领性。2020年11月,欧盟公布《数据治理法》(Data Governance Act)提案,旨在以符合欧盟的价值观和原则处理欧洲数据,促进整个欧盟以及各部门之间的数据共享,以增进欧盟社会对数据的控制和信任,并为主要技术平台数据处理实践提供政策指引。欧盟《数据治理法》主要针对的是非个人数据的治理,旨在进一步为涉及他方权利的公共数据的二次利用建立统一架构,以实现覆盖健康、交通、制造业、金融服务、能源、农业等多领域的“数据单一市场”(林梓瀚,2021)。该法于2022年6月正式出台,主要在战略领域建立和发展欧洲公共数据空间”,包括私营和公共参与者,涉及卫生、环境、能源、农业、金融、制造业、公共行政和技能等部门,为欧盟数据在区域内的融合与共享提供法律依据。该法的出台也使欧盟数据治理框架走向了“中间派”:域内跨境自由流动而域外跨境流动受限制。
在数据治理体系逐步统一和规范后,欧盟数据治理更加注重提升欧盟的国际竞争力。2022年,欧盟委员会正式公布《数据法》草案全文,构建了适用于所有部门而不仅是非个人数据的数据使用权基本规则,形成了对《数据治理法》的有效补充甚至是系统升级。同年,欧洲议会表决通过《数字服务法》,以信息中介服务提供者以及网络平台为合规义务主体,主要目的在于构建和谐安全、公平竞争、可信任的网络环境。2022年3月,欧洲议会和欧洲理事会就《数字市场法》的最终稿暂时达成一致意见,从事前监管的角度,有力保障了欧洲数字市场的公平性与竞争力。2023年11月9日,欧盟《数据法》通过最终版本,成为欧洲数据战略的里程碑制度。欧盟通过强化个人数据和产业数据的开放与共享,形成了包括非个人数据、个人数据和产业数据等基本全覆盖的数据治理体系,逐步构建起了欧盟体系下单一化和垂直化的金融数据治理框架。
为顺应或匹配欧盟《数据治理法》的治理逻辑,欧洲对金融业数据治理相应进行了调整和优化,以提高金融系统数据治理的弹性和效率。2019年GDPR正式实施后,欧洲银行业管理局对金融数据治理做出了一般性规定:一是金融数据知情权,即可了解个人数据处理情况并有权随时访问。二是更改权,即当个人金融数据信息不准确或不完整时,有权进行更改。三是删除权,即在特定情况下,数据拥有主体有权要求删除、限制处置和反对处置相关金融数据。四是转移权,即金融数据拥有者具有数据转移的权利”。当然,这四个权利实际上是GDPR在金融数据治理上的“行业性”反映,而不是针对性或专项化的制度规范。
2020年以来,欧盟着力于提升包括金融业的国际竞争力之后,欧洲金融数据治理的政策逻辑发生了实质性转变,要求金融数据治理标准“接口”具有一致性、强化金融数据监管的一致性,以及强化金融数据的开放与共享。2021年2月,欧洲银行业管理局发布监管行动意见,呼吁各国主管部门尽快采取行动,确保银行消除妨碍第三方服务提供商访问其支付账户的各类障碍。EBA此举是为了推动欧盟范围内的数据交互和公平竞争,促进《支付服务指令(PSD2)》和EBA监管技术标准能得到一致性应用,使相关金融业务和金融数据得到一致性监督。2021年12月,欧盟委员会通过了欧盟金融服务监督数据治理策略。这是欧盟在金融数据治理的专项制度规范。该策略的目标是使欧盟及其成员国金融监管进一步现代化和数字化,建立一个为欧盟金融监督机构和成员国金融监督机构所共享的准确、一致和及时的数据系统,并尽量减少所有相关方的总体报告负担。更重要的是,该策略设定了数据联合治理的制度安排,着力促进不同监管机构和其他相关利益者的沟通、协调与合作,携手促进金融数据治理质效的提升。2022年3月份,欧洲银行业研究所报告(Arner等,2022)阐述了金融数据化的发展趋势,提出了金融数据管理、数据主权控制和金融数字化的治理规范。欧盟基于金融服务监督的数据治理,以个人权利治理模式为基础支撑,正在逐步建立相对健全的金融数据集中治理框架。这些举措也促进了欧洲数据战略和数字金融战略的实施,夯实了欧盟金融数据治理的统一化和集约化基础。可见,相对于一般数据治理,欧盟致力于构建相对独立的金融数据治理框架。一是强调个人数据具有一定程度的公共属性;二是支持金融数据内部更广泛的开放和共享,以提升欧盟金融业的竞争力;三是更加强调成员国金融数据治理标准的一致性或相似性,以形成金融数据跨境链接融合与开放共享。欧盟的数据治理背景是经济同盟下的主权国家间的数据治理,与我国单一制下的数据治理存在实质性的差异。欧盟是双层多主体的治理体系,而我国强调中央金融事权,是中心化金融数据治理模式。
(二)治理策略
欧洲金融数据治理策略与金融监管实践紧密关联,形成了以一致性和标准化数据、数据共享和重复使用、数据报告流程优化和多元主体联合治理为基调的金融数据治理策略。欧盟、欧洲央行和欧洲银行管理局等认为,金融数据治理是欧盟和成员国金融监管机构实施有效监管的基础,其最直接的目标是建设一个准确、及时和统一的数据系统和现代化报告制度。这个体系主要由一致性和标准化数据、数据共享与重复使用、数据报告流程优化和联合治理等四个要件(EC,2021)组成。在数据方面,要求使用唯一标识的通用标准、格式和规范,以促进数字技术全面广泛应用,简化数据传输、验证、分析等流程,规避数字歧义。在数据共享和重复使用方面,主要通过专门的监管框架,安全稳定的通讯环境,优化的数据采集、验证、交换机制,以及通过改革并消除法律和技术障碍,来促进数据在成员国和欧盟监管机构之间的共享和重复使用,实质性降低金融机构数据报告的负担。在联合治理方面,则着力设计、建设和维护现代化的数据和监管体系,通过监管机构和其他利益相关方的合作、共享和共治框架,同时利用监管科技等技术,来促进金融数据治理和金融监督管理的有效性。
欧盟金融数据治理策略的政策逻辑体现为对内注重开放和对外注重安全。当前,金融数据治理具有三种治理模式:一是以美国为代表基于市场的治理模式,二是以欧洲为代表基于个人权利的治理模式,三是以中国为代表基于公共利益的治理模式(Arner等,2022)。美国模式认为,数据是可自由转让的资产,以市场规则和资源效率为衡量标准,不刻意追求数据安全目标。这实际上与美国具有数据安全主导权直接相关。欧洲模式强调数据是个人权利但不是可自由转让的资产,数据治理的核心是对数据采集、分析、使用和转移等进行有效监管,并要防止数据垄断,促进内部开放共享并形成数据市场;与此同时,要注重数据对外的安全问题。我国强调数据的公共属性,采用政府统筹和中心化治理模式,着力通过政府行为来提升数据治理质效。一方面强调数据统一使用的价值挖掘,另一方面强调数据的安全保障。有意思的是,基于公共利益的治理模式被认为是“中间路线”,而数据安全目标则是典型“角点解”政策逻辑。假定数据治理构成了内部价值、开放共享和数据安全的“新三难选择”,那基于公共利益的治理模式则会选择内部价值与数据安全这两个目标(Amer等,2022)。即使不是“角点解”,由于公共利益的重要性,数据安全目标的重要性仍可能要显著强于数据开放共享。
(三)管理体系
经过多年的发展和调整,欧盟形成了“欧盟委员会-各成员国-行业领域-单一企业”的统一化、系统性、垂直性的数据治理管理系统(段红梅、朱刚和王桂虎,2022)。欧盟主要负责总体数据治理战略、计划和相关立法;各成员国作为执行主体,要发挥成员国单一信息点、欧盟法律执行和本国数据治理技术支持等功能(王京生,2022)。从这个意义上说,欧盟的数据治理是一个以欧盟为决策主体、各成员国作为单一信息点和执行主体、着力于建设统一数据系统的双层治理架构。
具体到金融行业领域,在遵守欧盟数据治理普遍要求的同时,欧盟银行监管局、欧洲保险和职业年金管理局、欧洲证券和市场管理局,分别负责对成员国内的银行、保险和年金以及证券市场进行数据治理监管,并建立各自领域的数据保护认证机制和行业数据行为准则。上述欧盟超主权监管机构负责起草统一技术标准,以方便成员国在欧盟内部使用,促进不同成员国内部金融数据治理标准的一致性。
欧洲监管当局重点强化金融数据标准建设、系统搭建、统一归集和有效治理。欧盟金融数据治理着重强调四个一致性,以提升欧盟金融机构数据治理的统一性、准确性和潜在价值。一是银行业监管要求与保险业监管要求的一致性,特别是巴塞尔资本协议ⅢI和保险业偿付标准II的统一。二是欧盟监管标准与全球监管标准的一致性,欧盟积极寻求或获得全球监管标准的制定权和主导权。三是金融行业标准与国际财务报告准则的一致性。四是单一国家数据和欧盟整合数据之间的一致性。近期,对于新型支付和数字货币的兴起,欧洲银行监管局着重强调了电子支付或数字货币的数据统一管理。为了强化数据治理、提高透明度并确保欧洲单一市场消费者保护,欧洲银行管理局建立了一个归集欧盟和欧洲经济区国家(EEA)内授权或注册的支付和电子货币机构及相关业务数据的中央系统,且对公众开放。
(四)执行系统
当前,有关金融数据治理制度立法、政策标准制定均集中在欧盟层面,但是,数据治理的实际执行仍以主权国家为支撑。大多数欧盟国家成立了专门机构,用以进行数据治理工作,如法国、西班牙、奥地利等国均成立了数据保护局。2021年,西班牙数据保护局(AEPD)发布《默认数据保护指南》,基于GDPR第25条规定与EDPB的指南,重点阐释了默认数据保护原则的策略、实施措施、记录和审计要求等,对企业在实践中默认数据保护原则进行具体指导。2022年4月,法国数据保护局发布《面向AI的GDPR合规指南》,其要点包括定义使用目的、明确法律基础、构建数据库及确保收集和使用的个人数据的最小化等。实际上,对于金融数据治理,各成员国均需要遵循欧盟一般数据治理规范和金融行业特别数据治理要求。据此,欧盟金融数据治理形成了以欧盟为决策层或制度层、各成员国为执行层,同时贯彻欧盟一般数据治理要求和金融管理部门特别数据治理要求的双层、双支柱的“井”式数据治理体系。
在具体实施方面,欧盟数据点模型(DataPoint Model,DPM)系统是欧洲金融数据治理的特色,是欧盟数据治理体系高效执行的基础设施保障。数据点模型是基于金融数据标准化搭建的元数据与统计数据相关联的系统(幸泽林,2015),以标准化、开放性和可拓展为基本特征,实质提升了数据批量采集、转换、处理及转移的有效性。数据点模型采集和管理的数据包括金融机构或受监管机构的财务数据、金融要素统计数据(比如利率)以及相关非金融公司的经营、资产及负债等数据。DPM数据库被设计为元模型,以确保欧洲银行监管局技术标准和指南扩展中所需的灵活性。DPM修订版和扩展版是通过向数据库中添加新的元数据内容来实现的,而不需要对其结构进行任何更改。
三、 欧盟金融数据治理的重点内容
(一)数据治理基本环节
1.数据治理对象
金融业自动化、信息化、智能化水平在各行业中居于前列并仍在迅速提升,金融业依托数据要素与金融行业专业知识的深度融合,显著提高了金融资源的配置效率,以及服务实体经济的质效。鉴此,金融数据的界定及其权属关系的明确是数据治理的基础性任务。
总体来看,欧盟对包括金融数据在内的数据定义较为宽泛,其包含所有已被确认或可以被确认的与自然人相关的信息,并按照数据生成的主体分为个人数据和非个人数据两大类。其中,个人数据是指任何指向一个已识别或可识别的自然人(“数据主体”)的信息。2011年以前,欧盟在金融数据治理方面关注的主要对象为个人数据,数据治理规则主要针对政府等公共部门,即要求政府部门在处理金融数据时要确保不会对个人数据产生侵害。特别是根据欧盟第95/46/EC号指令,金融数据归生成者所有,金融机构需要对个人信息加强保护。也就是说,金融机构同样不得对个人金融数据产生侵害。2013年6月“棱镜门”事件曝光后,欧盟对数据安全性问题更加关注,发布了一系列评估报告,对数据安全问题的关注从个人数据拓展到非个人数据,使得公共部门数据治理的对象进一步扩大。根据GDPR的规则,即使不属于欧盟成员国的金融机构,只要满足下列两个条件之一就需要受到其监管:一是收集和处理数据信息并向欧盟境内可识别自然人提供商品与服务;二是监控欧盟境内可识别自然人活动,并收集和处理相关数据信息。
可见,欧盟数据治理对象主要涉及个人数据与非个人数据,且对个人数据的治理规范十分严格。这种治理规范的优势在于能较好地保护数据主体的合法权益,特别是数据隐私,同时也有利于欧盟建立基于个人权利的数据治理模式。但是,欧盟对个人金融数据权利的严苛保护可能会影响数据的采集、分析、使用和共享,从而弱化欧盟数据资产盘活、数据共享和金融创新竞争力的基础。不论是哪种治理模式,数据治理对象基本相似。基于市场的模式会注重强调数据对象的市场主体地位,基于个人权利的治理模式会更加注重个人数据权利的边界,而基于公共利益的治理模式则将数据主体及其数据系统作为统一的有机体。
2.数据权利界定
一般而言,产权包括物权、债权、股权和知识产权等各类财产权。规范的产权制度应包括产权的明确归属、产权的法定涵义和产权的严格保护等内容。数据权利是制定数据资源确权、开放、流通、交易等规范,强化数据产权保护制度的起点(李爱君,2018)。欧盟是数据权利制度建设的先行者,但是,欧盟对数据权利的界定并非规范的产权制度。欧盟GDPR以及《数据法》均规定,数据权利主要是数据主体在个人数据保护方面的权利,而非传统意义上的产权。据此,GDPR第1条第4款“主题与目标”中就首先明确“保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”,而其后关于个人数据的知情权、访问权、纠正权、擦除权、可携带权、限制(控制者)数据处理权、反对权、拒绝权和自主决定权等,都是与个人数据保护相关的权利。这表明,欧盟关于金融数据权利的界定基本是依托GDPR的框架,是以个人金融数据权利保护为核心。
关于数据权属问题,经过多年的探索,欧盟通过《一般数据保护条例》和《非个人数据在欧盟内自由流动框架条例》,并建立起个人数据和非个人数据的二元架构。面对不同利益主体之间金融数据流动问题,欧盟正通过规则标准、组织优化、工具创新等方式,解决数据流动和使用中的各种问题,特别是个人数据权利保护问题。毕竟,产权意义上的数据权属确认只是数据治理的手段之一,核心是如何更有效地解决数据流动和价值创造。《数据治理法》着力于促进公共数据为社会和企业所用,其拟通过推进匿名、假名、加密等技术标准和手段解决数据流通中遇到的障碍。对此,GDPR专注于个人数据保护相关权利而非数据产权,并明确规定“不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动”。其后,《数据法》更是致力于保护企业与企业间的数据流通,包括保护规模较小的金融机构、倡导物联网数据开放等,本质上是善意地“忽视”了包括金融数据在内的数据财产权问题。欧盟在实践中似乎也在论证一个有意思的结论:在数字经济体系中,数据权属问题并非是数据交易、流转和应用的必要条件。
由于金融数据的资产价值更为凸显,如金融数据可作为传统“抵押品”的替代(黄益平和邱晗,2021),金融数据在财产权范畴内的权利界定更为重要。在金融系统中,数据权属对于数据交易、流转和应用的必要性要求更高,甚至是硬性约束。但遗憾的是,产权意义上的金融数据确权是全球难题和时代难题,目前理论界与实业界均未达成共识。作为先锋者,欧盟明确规定,金融数据归属数据生成者,但金融数据链条包括多个参与者,每位参与者都可能在其所在的环节产生新的数据并赋予数据新内容,因此,数据价值会随着主体、业务和场景的变化而改变,同时还可能衍生出新的权利或新的价值,甚至新数据可能消除老数据的价值。由此,金融数据可能有多个关联在一起的生成者,数字资产及其价值存在嬗变性。在这种情况下,在各个生产者之间清晰划分和界定金融数据产权意义上的责权利,就变得非常重要但又极其困难。倘若数据权属不确定,相关主体的权责利不清,数据流通、交易、使用就难以规范化进行,数据市场价值开发将处于灰色地带,同时数据监管也将十分困难且可能无效。鉴此,金融数据资产的确权成为数据要素市场培育和发展的重点和难点,数据权属问题是金融数据开放、流通和交易的核心问题。
欧盟金融监管当局关于金融消费者个人数据的权利界定基本是基于GDPR的政策框架,并强调金融数据的治理规则要避免和一般数据治理规则发生冲突。有意思的是,2020年以来,欧盟着力统筹个人金融数据权利的保护和非个人数据或公共金融数据的使用。欧盟甚至指出,非敏感个人金融数据一定程度上具有公共性,比如账户数据和交易数据。由于金融数据治理的相对独立性和个人金融数据的部分公共性,欧盟在尊重个人数据权利(特别是控制权)基础上,逐步着力于建设数据单一市场,强化金融服务的可拓展性,强调开放金融和开放数据(Open Data)的战略逻辑。这可能是欧盟近期不过分强调金融数据“产权”归属而强调金融数据有效使用的原因。欧盟在数据治理上的转变,有利于缓解欧盟个人数据权利严格规范对金融系统拓展性的束缚,推进欧盟开放银行、开放金融和开放数据等战略。但是,欧盟仍保留个人对金融数据的控制权,欧盟金融数据治理也将面临个人数据控制权和未来金融系统开放性的理念、政策和技术上的权衡与统筹难题。我国基于公共利益的数据治理模式,对数据开放和共享具有更强的一致性,也可能更好地提升金融系统的拓展性和链接力;但同时,可能会相应弱化对数据主体的权利界定和保护,特别是个人金融数据权利的界定和保护。
3.数据权利保护
欧盟数据权利保护是以个人数据权利作为基础的。欧盟数据权利保护与欧盟对个人信息保护的传统一脉相承(OECD,2013)。早在1974年,欧盟就开始了设立个人信息保护的立法工作,并在其后数十年时间内逐步强化了个人数据及其权益的保障工作。2018年出台的《通用数据保护条例》是欧盟数据权利保护的标志性规范。当前,欧盟对个人数据的权利主要聚焦于数据保护范畴的权利,包括数据访问权、纠正权、擦除权、限制(控制者)数据处理权、反对权、拒绝权和自主决定权,等等(李梦宇,2021)。
GDPR是全球首个明确赋予个人对自身数据可携带权、删除权的数据隐私法律。在具体内容上,GDPR严格限制对个人数据获取,即便是公共部门。一是重新确定个人对数据处理者的授权,明确授权可以随时撤回;二是赋予个人清晰的被遗忘权和数据可携带权,允许用户要求数据控制者删除自身相关数据或是协助转移自身数据;三是对个人可能有重大影响的数据做出了特别规定,要求数据控制者对这些数据采取保护措施并进行影响评估;四是规定了个人有申请司法救济和要求侵权补偿的权利。
欧盟在数据权利界定上遵循欧盟数据治理一般规则。与之对应,在数据权利保护方面, GDPR同样明确了使用数据的金融机构在数据采集、处理、控制等方面对相关主体的安全保护责任。该条例明确了数据主体所拥有的数据权利,对金融机构在收集、分析、使用个人数据方面要求采取“无害原则”,即金融机构在数据处置行为中不能损害数据主体的权益。更为重要的是,欧盟要求金融机构在个人数据使用中必须坚持“授权原则”,即需要数据主体同意才能使用并进一步处置数据(蔡丽楠,2022)。2020年以来,欧盟及其金融监管机构结合各金融领域的业务和数据特征对此进行了有效改进,不断加强金融数据治理框架的相对独立性。欧洲银行业管理局指出,个人金融数据转移权利需要在技术可行的条件下进行,而不能固执要求银行等数据控制者转移数据;即使在跨境监管合作中,也希望通过分布式架构、零知识协议等进行数据使用而无需跨境转移数据。这减缓了个人跨境金融交易中带来的诸多因监管而产生的相关数据开放和转移问题。欧盟针对个人金融数据治理在权利界定和权利保护上的政策调整,较好地契合了金融系统的现实情况,也缓解了个人数据保护严苛性对金融服务拓展性的限制。但是,欧盟在数据治理,特别是个人数据治理的严格规范和相关权利的清晰界定,仍导致其数据基础较为薄弱,数据统一大市场的规模偏小且功能偏弱。对于我国,由于数据,特别是个人数据在产权界定、权利界定和保护边界上不够清晰,部分领域甚至可能出现个人数据公共化态势,即使未来我国强调数据主体权益保护并出台相关政策规范,也仍可能会面临个人数据权利保护较难落实到具体数据主体的难题。
4.金融数据共享
虽然,欧盟实施非常严格的个人数据保护,但其政策的最终目标是为了构建包括数据要素在内自由流动的统一大市场。在完善个人数据保护同时,促进数据自由流动和数据共享是欧盟数据治理政策的战略目标,金融行业则成为数据流动与共享的代表性行业。欧盟数据共享政策既包括政府部门直接控制的公共数据,也涵盖企业控制的特定行业数据,其中包括并且强调金融业。欧盟在个人数据具可携带权的理念下,逐步推动行业数据共享标准建设,促进不由政府掌握的行业数据的共享。金融行业是数据价值极高的特殊行业。当前,由于金融非个人数据价值极其凸显,甚至远高于金融个人数据价值,金融领域已成为欧盟行业性数据开放实践最为深入的领域。
2015年,欧盟颁布的《新支付服务指令》(Payment Services DirectiveⅡI,PSD2)就非常注重数据端口的开放性和数据共享机制的建设。该文件规定了银行需要向第三方机构开放支付接口,在客户同意的情况下,允许第三方机构获取其在银行的账户信息。PSD2通过后,欧盟开始出现介于账户提供商与面向消费者之间的中间层及其服务机构,如Truelayer公司。中间层的机构主要聚焦在技术层面,为账户层的银行或其他金融机构提供应用程序编程接口(API)综合整合解决方案,从而为生态层的支付服务机构提供良好的数据系统和业务生态。根据后续评估,目前欧盟大多数银行已经主动拓展数据共享范围,允许第三方机构访问企业账户数据;一些银行在特定条件下甚至可以提供信用卡交易、抵押贷款、投资账户等相关信息,进一步打造开放、共享、关联的数据系统和金融生态。如西班牙对外银行目前已开放部分存量数据,并成为西班牙居民托管相关数据和政府开放公共数据的服务平台。可以认为,西班牙对外银行已从一家传统的银行转变为一家银行+数据综合服务商。《数据治理法》构建了非个人数据共享的制度框架,提出在保证与原有法律不冲突的前提下,通过强化中介机构信任度,构建数据利他主义,推进欧盟数据共享机制建设,提升整个欧盟数据的共享性和可用性。
2023年11月,标志性的欧盟《数据法》通过最终版本。这将提升数据系统公平性,加剧数据市场的竞争,为数据驱动创新发展提供新机遇。这项被称为“游戏改变者”的制度,主要有四个变化,基本都涉及数据开放、共享和转移”。一是欧盟扩展数据访问和使用的范围,从非个人数据进一步扩展至个人数据和产业数据。二是强化数据转移和数据共享,允许第三方连接访问并与第三方共享连接后产生的数据。三是在保障个人访问和控制权的条件下,赋予公共部门访问和使用数据的权利。四是同意数据与云互操作,以便于数据主体的数据选择权和转移权;但对非欧盟政府及相关机构设有访问保护措施。当然,由于《数据法》刚刚出台,欧盟金融监管当局尚未对个人金融数据或产业相关金融数据的治理提出针对性的治理规范。
(二)数据安全规范
1.反垄断
防范数据垄断是欧盟数据治理的重要内容。针对金融数据垄断问题,欧盟表现出对新兴金融科技机构的友好性。欧盟通过严格的法律、制度和规范约束传统金融机构的数据行为,尤其着重强调对其潜在的数据垄断的防范。由此,新型金融科技类企业作为新进入者,在参与数据治理方面获得了极其难得的平等待遇,不会再面临实质性的技术接口与数据歧视难题(李梦宇,2021;蔡丽楠,2022)。欧盟在金融数据连接方面,要求现有金融机构要允许和包容新主体进入并共享数据,特别是2020年11月出台的欧盟《数据治理法》规定,欧洲数据治理的基本目标是公共部门的数据在不损害他人数据权利的情况下可重复使用;企业之间可以实现无需报酬的数据共享。
在支持新兴金融科技公司和鼓励非个人隐私数据共享交互的同时,欧盟对新兴金融科技公司的数据规范提出了严格要求,特别是对平台型金融机构可能出现的数据滥用、数据垄断或市场地位滥用等问题,提出了更加严苛的监管要求(蔡丽楠,2022)。2017年6月以来,欧盟对谷歌、脸书和亚马逊等机构的调查或处罚就充分反映了欧盟反对市场地位滥用、用户数据滥用和数据垄断的鲜明态度,也体现了其塑造公平竞争的市场环境的决心。
在数字经济的收购、兼并和重组等资本扩张活动中,欧盟较为关注资本扩张是否会引发数据垄断或市场垄断等潜在问题。自2010年以来,欧盟委员会审查了一系列大规模并购,包括2010年Microsoft支付450亿美元收购Yahoo搜索;2011年,Microsoft支付85亿美元收购 Skype;2014年,Facebook支付190亿美元收购WhatsApp;2017年,Microsoft支付260亿美元收购LinkedIn。所有这些并购的共同点是涉及大量用户数据。与传统公司治理不同,在数字经济领域,大型企业有时虽然只取得其他企业少数股权,但由于大型企业拥有的数据、流量和算法等可能对其他企业产生极大的影响力,依然可能取得其他企业的实际控制权。为应对数据驱动型恶意并购及资本扩张的潜在风险,欧盟在法律体系方面强化了审慎标准,相关成员国也加大了数字经济领域收购行为的监管力度。2022年,欧盟《数字市场法》对大型互联网公司(Gatekeeper,守门人企业)交互操作、数据使用、广告独立验证、市场歧视、恶意收购等提出了更为严格的监管规范。此外,数字经济中的跨境收购行为,也需要适用欧盟及其成员国有关投资安全的规范,以评估是否存在安全隐患。
2.跨境流动
在全球经济金融一体化的现实背景下,金融数据跨境流动非常必要,是全球投资、贸易和资本流动等活动交互的必要支撑。但是,金融数据与传统数据存在实质性的差异,金融数据跨境流动潜藏着两个重大风险。
一是金融数据跨境流动可能构成对金融业务和金融机构的重大风险隐患。在经济全球化背景下,金融活动日益全球化、复杂化和关联化,衍生出巨量重要的数据。根据国际数据公司预测,全球数据总量在2018年至2025年期间将增长逾5倍。其中,金融服务是全球数据增长的关键推动力。与传统行业的数据及其治理不同的是,金融部门是数据密集型行业,金融业务本质是因信息或数据而生的。金融部门数据的产生、交互和使用可能是一个信息不对称缓释的过程,有利于提升金融配置资源的效率;但是,这个过程也可能会产生新的风险。在开放条件下,金融数据交互跨越国境和司法管辖区,还可能因此产生新的、更为复杂的金融数据,使对金融数据跨境流动中的数据治理会面临何种挑战,难以做出预测,进而难以对金融稳定和数据安全的影响做出充分评估和有效应对(左振颖、郑联盛和李俊成,2023)。
二是跨境金融数据存在个人隐私、商业秘密和金融安全等方面的安全隐患。由于金融数据涉及多个领域,其跨境流动面临本国控制权和管辖权丧失的问题,导致本国金融数据在境外无法受到充分保护。更重要的是,公民个人隐私、企业商业秘密、金融基础设施信息及金融稳定信息等都有可能存在安全隐患。一旦发生数据处理不当、数据泄露、数据丢失及恶意利用等情况,将会给资金、机构甚至整个金融体系带来巨大的安全威胁(钟红、杨欣雨,2022)。
鉴此,欧盟对金融数据跨境流动构建了对内提倡流动性和对外强调安全性的政策框架,即针对金融数据跨境流动采取“内松外严”的策略(李伟,2021)。对于欧盟内部,欧盟倡导成员国之间金融数据自由流动,主张消除成员国之间的数据流动壁垒,意在通过协作效应实现更大的数据红利;而对于涉及欧盟之外的数据流动,则进行严格监管。欧盟以“充分性认定”来识别欧盟之外的数据流动。这种管制下的数据有限流动机制,在保护欧盟内部数据流动的基础上也一定程度地吸引了更多符合条件的国家和地区和欧盟内部实现数据跨境自由流动。当然,这种跨境数据流动整体仍然是较为有限的。
在数据流动中,欧盟金融数据治理的政策是否存在独特性呢?从欧洲金融管理部门不断放宽或给金融部门数据流动提供弹性的政策演进看,金融数据流动治理的确比一般数据流动具有独特性。首先,金融数据共享和转移具有高频性。国际金融市场是一个高度关联的复杂系统,对数据开放、共享和转移提出了更高的要求。比如,外汇市场是一个24小时依托数据持续运行的市场,对参与其中的各个经济体提出了高频数据开放和共享诉求。其次,金融数据共享和转移是常态化行为。跨境金融监管对数据开放与共享要求更加多元且复杂。基于多重因素,不同监管机构可能会有限共享个人、企业、金融机构或金融市场数据;但如果数据过于分割,跨境监管合作可能就难以进行。欧盟年度数据统计会议一般都邀请美国,特别是美国金融管理部门参与,并进行金融数据交互方面的研讨与合作。再次,金融数据共享和开放具有定向性。除了公开市场数据“自动共享”之外,欧盟对于特定金融数据的开放和共享采用了类似白名单的机制,对非白名单国家的金融数据转移仍严格限制。最后,金融数据跨境流动会弱化数据控制力。金融数据跨境转移后域外管辖的作用将会显著强于域内管辖。相对于传统数据,特别是个人数据和产业数据,金融数据转移后具有更显著的数据本地化趋势,域内管辖对数据跨境流动后新数据的控制力会严重丧失,除非转移后的域外管辖悉数开放和分享新数据。这也充分体现了金融数据转移与金融系统稳定和安全的密切关联性。有研究因此指出,金融数据本地化的要求,由金融稳定、国家安全和国家竞争力的诉求所驱动(Arner等,2022)。
四、欧盟金融数据治理的难题
欧盟在数据治理立法及规则制定方面具有一定的领先性,但与美国相比,在数据实际应用及价值增进方面则不具有明显优势。同时,欧盟层面与其成员国层面的双层治理体系一定程度上影响了监管的统一性和有效性。总体看,欧盟在金融数据治理方面存在以下机制性和技术性的难题。
(一)立法规制较为领先,但数据价值提升偏弱,新兴技术应用较难
欧盟数据治理整体侧重立法、规则和制度建设。数据的实际应用则相对落后。根据欧盟数据战略(EC,2020),欧盟致力于成为数据驱动型社会的榜样和领导者,并以此提升商业部门和公共部门的经济绩效。由于欧盟组织的特殊性,其始终将对价值、理念、规则、立法的重视置于数据应用之前,对数据治理的实际投入也低于北美与亚洲。这导致了欧盟本土数据公司无法做大做强,欧洲数据服务市场被美国科技公司所垄断,欧洲地区成为美国科技巨头营收的重要来源,占比约20%~30%(Mattias,2020)。特别是在金融科技领域,由于对个人金融数据的高度规制,欧洲金融科技企业难以形成有效的规模经济和范围经济,金融科技国际竞争力并无优势。
对隐私权的高度重视和严格保护让金融数据难以集聚,同时人工智能等新兴数据技术难以在欧洲大规模应用也限制了金融数据的价值提升。2020年7月,欧洲最高法院裁定,欧盟-美国“隐私盾”(Privacy Shield)协议无效,欧盟重申其高度重视对从欧盟迁移到第三国的自然人的数据保护。“隐私盾”协议是欧美经过长达5年的艰苦谈判,最终于2016年6月达成的协议,旨在联合打击犯罪和恐怖主义。欧洲最高法院裁定“隐私盾”协议无效后,目前依靠该协议进行数据传输和使用的金融机构正被迫重新调整其隐私政策,特别是当涉及到金融机构为何以及如何收集欧盟用户数据时。此外,欧盟对于人工智能尤其是以人脸识别为代表的生物识别技术的限制越来越明显。市场一度传言,欧盟正计划对人脸识别技术的应用进行实时监管,限制企业和政府在公共场所使用摄像头、手机的生物识别数据识别身份的权利,甚至正考虑在未来3~5年内在公共场所禁用人脸识别技术,用以规避其侵犯公众隐私的风险。
(二)金融数据治理存在难以实现一致性、准确性和共享性的难题
由于欧盟与其成员国双层并行的治理体系,加上成员国之间金融行业、数据和监管等发展存在差异性,欧盟跨行业、跨国家、不同监管框架下的数据要实现一致性、准确性和共享性存在诸多挑战,金融数据标准、数据质量、非标数据和多元数据归集统一成为欧盟金融数据治理的一个大难题。欧洲银行监管局实施了统一的技术标准(Implementing Technical Standards, ITS)和数据点模型(DPM)等来强化银行业数据规范。这对银行业数据标准化及其治理较为全面且有效;但如果考虑在跨境交互、金融科技和大量非标准化数据等情况下数据复杂程度会大幅增加,则数据治理,特别是跨境数据治理将会面临较多的技术性难题,如数据采集是实行注册地原则还是业务地原则就会陷入两难选择。特别是由于欧盟与各成员国之间存在固有的权力制衡问题,欧盟虽然有心在数据治理领域有所作为,但欧盟和各成员国的分层治理结构对非标准类金融数据治理则形成了掣肘,成员国和欧洲各监管机构之间在非标准化金融数据治理方面缺乏足够的合力。即使在金融机构层面,金融数据同样面临一致性和准确性的难题。金融数据治理是一项复杂的系统性工程,涉及技术、业务、管理等多个部门,要求金融机构各部门高度协调一致,加强数据标准化、规范化建设,强化对数据全生命周期的质量管控(李伟,2021)。最后,欧盟整体、各成员国、金融行业和金融机构等在数据治理实施中仍存在各成体系的状况,数据孤岛在欧盟区域内仍普遍存在。
从欧盟金融数据跨境流动治理看,对内致力于消除成员国之间政策差异造成的数据开放、共享和使用的壁垒,有利于促进金融数据交互并提升金融竞争力,也有利于促进数据统一市场的形成;对外则仍保持金融数据开放和转移的严格限制,可能主要确保金融稳定和数据安全。对比欧盟,我国实施的是中心化治理体系,金融事权明确为中央事权,金融业务系统和监管系统整体都是垂直统一的,在每个子系统内数据整体是充分交互的,因此,在省级层面或地方政府层面的金融数据分割远比欧洲要小。当然,从促进全国金融信息统一系统建设来说,机构间、行业间和省份间的数据开放和共享仍具有较大的提升空间。由于不同系统之间自成体系,我国金融机构、金融部门和金融市场中仍存在形式各异的数据分割甚至数据孤岛,比如银行间市场和证券市场的部分债券仍不是统一管理,也缺乏标准统一的数据治理,不同大型银行之间的数据仍无法全面交互和共享。
(三)数据权属的判定在金融系统更为困难
在数字时代,数据的价值更加凸显。金融数据是一种所有权与使用权紧耦合的特殊生产要素,其没有具体的身份标签和权责属性,外部性、异质性等特点较强,在收集、存储、使用、传输等不同阶段都有其对应的主体和法律关系。这导致了金融数据确权难度大,理论界与实践层面对此均远未达成共识。数据权属的判定困难已经成为制约金融数据综合应用和价值创造的重要因素,也成为大数据背景下数据完备性的硬约束之一(陈松蹊、毛晓军和王聪,2022)。更值得注意的是,金融系统是数据频繁交互的动态体系,数据权属的判定面临三个难题:一是权益分割。数据可能不断地被不同机构重复存储、复制、加工和使用,在现实操作中存在确权难题,即数据属于初始所有者还是后续生成者以及权益分割难题。二是权利转移。数据所有权、控制权和收益权原则上归属数据所有者和生成者;但是,在频繁交互和共享中,数据的权属可能发生转变。三是数据滥用。由于金融数据具有可复制性、可改造性和权益难以分割的特点,可能引发数据滥用问题。
(四)创新技术应用加大了金融数据治理难度
现代信息技术的应用及其与金融体系的融合给金融数据治理带来新的挑战。对于新兴金融科技领域,欧盟对金融数据治理进行了具有领先性的探索,但是,整体仍然处在一个初步实践过程。目前,金融科技数据治理是欧洲数据治理面临的一个新挑战,欧洲也充分认识到大数据、云计算、机器学习、人工智能等新兴技术将深度融入到金融系统之中。鉴此,欧洲监管机构首先确立了技术中性原则来对待大数据等技术的创新应用和相应的监管挑战。欧洲银行监管局明确了金融科技治理的四个支柱性任务:一是数据管理,二是基础性基础设施,三是组织和治理系统,四是技术分析方法论”。但是,金融科技数据治理领域中的道德准则、可解释性、公平性、可追溯性、数据保护、数据质量、数据安全、消费者保护等方面,仍存需进一步明确和发展。特别是面对金融科技的深入发展,将如何有效应对现代技术与金融融合发展中欧盟系统内金融行业边界、欧盟与成员国双层治理边界、个人数据与非个人数据边界等的模糊化。最后,创新性技术存在显著的分布式趋势,而传统金融监管和金融数据治理则是集中式的,这可能存在机制性矛盾。
五、政策启示
作为经济共同体组织,欧盟在数据立法领域的重点与一般实体国家存在显著差异,其更强调消除成员国之间数据流动障碍,实现数据共享与自由流动。为实现这一目标,欧盟从数据权利、数据存储、数据安全保护、数据监管、反垄断、数据跨境流动等方面逐步建立起了较为完善的法律体系及制度规范,并形成了从欧盟委员会、成员国、金融行业到单一金融机构的系统性、垂直化数据治理管理体系。结合我国金融数据治理政策演进,欧盟的实践可以为我国提升金融数据治理水平提供一定的政策参考。
(一)我国金融数据治理的进展与问题
我国金融体系发展时间较短,不管是传统的金融监管体系建设,还是新兴的金融数据治理规范,整体还处在发展完善的进程中。由于我国金融行业发展迅猛,数字金融发展更是风起云涌,金融数据治理已成为金融机构稳健经营、金融体系平稳发展和金融创新服务实体经济的内在要求。
数据作为金融系统的核心要素,一直为金融监管部门所重视。在大数据、云计算、区块链等新兴技术与金融系统紧密关联和迅速融合之中,更具针对性的金融数据治理政策也逐步发展起来。早在2015年,随着我国互联网金融及金融科技的发展,数据治理一度成为重要的理论和政策议题。“十三五”规划和第五次全国金融工作会议均提出改进金融业综合统计和监管信息共享,建立统一的国家金融基础数据库等要求;其后,人民银行主导这项工作并取得一定进展。2018年5月,原中国银保监会发布的《银行业金融机构数据治理指引》(下称《指引》)是我国金融数据治理开创性的政策规范。《指引》共七章五十五条,提出了银行数据治理全覆盖、匹配性、持续性和有效性四个基本原则,要求银行建立组织架构健全、职责边界清晰的数据治理架构,旨在引导银行业金融机构加强数据治理,提升数据质量,充分发挥数据价值,提升经营管理水平,强化高质量发展。其后,人民银行和原中国银保监会又出台多项政策,致力于优化我国金融数据治理。
目前,我国已初步建立了金融数据治理的政策框架。首先,党中央逐步强化了金融数据治理的要求,以统一的国家金融基础数据库为核心依托,着力于金融业综合统计数据和监管信息的归集、优化与治理。其次,人民银行着力于通过调查统计、网络与数据安全等领域的制度建设或软性基础设施建设,提升金融数据治理水平。再次,原中国银保监会等部门基于系统发展、行业规范和监管统计等内生需要,强化了金融机构数字治理、数字化转型以及监管统计等相关的数据规范。最后,数据资产及其价值得到金融管理部门的高度重视,强化金融数据治理,特别是对数据权利界定保护、数据采集分析以及数据开放共享等的治理在加快完善,数据安全的政策要求显著提升。上述措施为我国金融系统的数字化转型、数字金融“大文章”的高效发展以及内外金融互动提供了良好的支撑。
从发展阶段看,我国数据治理仍然处于初步发展期,以下几个方面亟待提升。一是我国缺乏欧盟式或美国式的数据市场、数字服务或数字经济的国家战略,不管是数字经济还是数字金融,均缺乏顶层设计和长效发展机制。二是我国金融数据治理缺乏统一的政策框架,虽然人民银行和国家金融监督管理总局(包括原中国银保监会)出台了不少金融数据治理的政策和规范,但缺乏一个统筹不同金融管理部门、站在整个国家层面的金融数据治理框架、机制和安排。三是我国金融数据治理整体仍侧重于立制度、强管理、降风险和保安全,这与我国金融风险应对和处置的急迫性紧密相关。但相对而言,对金融数据的价值挖掘、开放共享和多元融合等则缺乏包容、开放和科学的治理安排。四是我国金融数据治理整体以内为主,尚未充分考虑到我国金融经济体系的高度开放性,对未来高水平金融开放及其数据治理要求的考虑更不深入,更未从“换道超车”高度来考虑金融数据治理问题。这可能会影响我国数字金融和整个金融体系的国际竞争力。最后,我国金融数据治理与国际金融数据治理的融合尚不深入。此前,人民银行等管理部门、中国农业银行等机构以及个别新兴互联网平台较为深入地参与到国际金融数据治理的进程之中,取得了积极进展;但是,我国参与全球金融数据治理原则、标准、制度和规范等的广度和深度整体亟待加强,特别在数据权利界定与保护、数据开放与共享、数据跨境流动与司法管辖、数据垄断、数据安全等方面,缺乏战略性统筹、系统性谋划和制度性储备。
(二)欧盟数据治理对我国的政策启示
1.完善金融数据治理的长效机制
相对于欧盟出台《通用数据保护条例》《非个人数据自由流动条例》《欧洲数据治理法》《数字市场法》《数字服务法》和《数字法》等制度规范和较为健全的组织架构,以及金融管理部门对应出台金融数据治理的规范和安排看,我国数字治理以及金融数据治理等缺乏长效机制,在建制立法、领导机制、管理体系和实施流程等重点领域都亟待优化。在金融数据治理体系上,我国亟待强化制度建设,明确治理主体、界定治理客体并建立相对清晰的治理标准体系。
在金融数据治理制度建设上,应全面贯彻《个人信息保护法》,借鉴欧盟经验适当强化对个人金融信息的保护和权益保障。国家数据管理部门和金融管理部门应充分考虑金融数据的普遍性和特殊性,在金融数据治理制度建设上借鉴欧盟经验,在强化个人金融信息保护和权益保障的同时,坚持数据一致性和标准化原则,探索并完善金融数据确权制度,强化数据流动与应用,着重提高数据统筹水平,充分形成规模经济和范围经济。在金融数据治理主体上,着重统筹国家数据管理机构和金融监管部门的数据治理职责,有效平衡金融数据的普遍性和特殊性,完善金融数据治理框架、权力、规范和标准等重点事项。在金融数据治理客体方面,相关部门要将所有涉及实质性金融的机构、业务和行为悉数纳入监管和治理的范畴之中,在强调机构、产品和市场数据治理的同时,要更加突出对功能数据和行为数据的治理,并形成覆盖企业(机构)数据治理、行业数据共治、政府(公共)层面数据监管与协调的综合、多元、共治的框架(黄国平,2023)。在治理标准体系上,要借鉴欧盟一体化标准体系和数据点模型系统,适应数字化时代发展趋势,有效统筹标准化数据和非标准化数据,健全国家级统一金融数据标准体系,建设国家金融数据综合统计系统,加快建成国家统一金融基础数据库,明确界定数据权利,规范数据接口、数据处理、数据转移和数据应用等。
2.平衡金融数据治理中的利益博弈
从欧盟金融数据治理实践看,欧盟一直在权衡四对关系;一是个人数据与非个人数据,二是数据个人权利和数据公共价值,三是数据权利保护和数据开放共享,四是金融数据治理与金融系统竞争力。四对关系的处理本质是不同利益主体的权利博弈、成本分担和利益共享问题,同时还涉及到国家治理差异化安排。对于我国金融数据治理而言,我国实施的是基于公共利益最大化的金融数据治理模式,强调包括个人数据、非个人数据和外部数据等的统一性,但这也带来数据主体市场地位、权益保障、成本分担和利益分享能否有效落实落细的问题。在这个过程中,由于公共部门采用中心化治理模式,虽然可享受中心化的数据权利和数据价值,但同时也需承担较高的数据治理成本,并可能影响数据开放和共享的宏观进程和微观基础。对此,我国需要有效兼顾市场主体的成本与收益,通过法治化和市场化来促进金融数据治理和金融系统创新。
对比美国过度强调市场机制,欧盟过度强调个人权利,我国则需要在金融数据治理上优化三对利益关系。一是重点平衡数据所有者与数据处理者(或控制者)两个核心主体的利益。不仅要对数据所有者权益进行有效保护,特别是对个人信息的保护,而且要承认数据处理者在数据收集、存储、分析和应用等方面的贡献,充分尊重数据处理者的权益。二是有效控制金融数据治理的微观成本负担。为确保数据治理的有效性,政策制定时应平衡好各方利益,不能为加强数据保护而给作为数据处理者的金融机构造成过重的负担,也不能因为偏重金融机构而降低数据保护水平。要特别关注数据治理的成本问题,欧盟在实施GDPR的过程中就暴露出加重中小企业负担的问题。三是着重平衡金融数据治理与金融数据功能。数据治理的初衷是在保护数据所有者权益基础上更好地促进数据流动、交互和配置,充分发挥数据作为新生产要素的功能,促进金融系统效率提升并更好地服务实体经济。
3.建设金融数据跨境安全流动机制
在加快构建新发展格局的过程中,金融高水平开放和金融数据治理是紧密关联的。我国金融系统开放程度将进一步提高,金融数据治理开放程度提高的空间可能更大。在内外多重因素的影响之下,我国金融系统的开放性、国际化和外部关联性等亟待进一步提升,这就要求要建立健全金融数据跨境交互机制,同时保障数据跨境转移的安全性。没有金融数据适度开放,就没有金融体系双向开放,就没有高质量发展与高水平安全的有效统筹。当然,在高水平开放中有效消除安全威胁,是统筹开放和安全的基本要求。
数据自由流动是数字经济发展的重要基础。为满足数字经济下金融数据共享的需求,我国在提升境内数据治理水平的同时,应当尽快建立数据跨境安全流动机制,与相关国家就跨境数据治理展开磋商与合作。当前,我国在数据跨境转移方面仅有重要数据出境安全评估制度,针对具体数据出境活动实行“一事一议”,无法适应当前金融数据高频跨境流动的现状。借鉴欧盟成员国之间以及与外部国家及地区之间的数据转移机制发展经验,我国应探索建立金融行业重要数据跨境转移制度,提升金融数据跨境安全流动水平;同时,对金融数据采集、处理、控制、存储、流动等环节进行规范,加强与国际规则及标准接轨,为我国参与数据跨境流动使用和内外两大循环相互促进打好基础。在内部价值、开放共享和数据安全的“新三难选择”中,寻求走中间路线,更好地统筹数据开放和数据安全,稳慎适度地保障金融数据对外开放与有效共享。
4.建设国际领先的数字市场
从2018年至2023年欧盟数据治理的政策实践看,欧盟走的是先建立一般性政策框架,再优化专业性体系的路径,金融数据治理体系建设相对落后于一般性数据的治理体系。但是,欧盟金融数据治理的目标是不变的,那就是要提升欧盟金融系统的国际竞争力。欧盟金融监管当局也充分认识到这个战略目标的长期引领性,在不断优化金融数据治理体系,特别是强化了非个人金融数据的开放与共享,并着力促进具有公共秉性的个人部分金融数据的共享与使用,将金融数据治理和金融竞争力的提升作为欧洲数据统一大市场的核心支撑之一。我国金融数据治理尚未明确战略目标,尚未形成统一治理体系以及市场化法治化的数字金融创新系统,离金融高质量发展和金融强国战略目标仍有较大的距离。
在加快建设金融强国的战略目标下,完善金融数据治理是金融高质量发展的内在要求和应有之义,因此要着力通过市场化、法治化以及国际化来提升金融数据治理质效。这方面,应借鉴欧盟经验和教训,优化数据管理,促进数据流动和价值创新,强化对数字市场和数字服务的战略引领,充分发挥超大规模市场优势对金融数据治理的积极作用。具体而言,一是要充分整合公共部门数据。强化公共部门数据的共享性,依托大数据局等机构功能,有效整合工商、税务、水电、社保、司法、金融等数据,明确多元数据在收集、处理、归集、分析、转移和使用中等的标准规范,支持和鼓励特定公共数据合法、合规和合理使用。二是强化市场专业主体建设。可借鉴欧盟思路,通过设立受信任的市场中介机构,由它们集中、处理、分析和共享数据,以此形成可信的中间层,在做好数据安全保护的前提下,让生态层的市场主体充分竞争,更好地服务其客户,着力数据流动与价值创造,高质量发展数字市场和数字服务。三是大力培育具有国际竞争力的数字金融市场主体。从欧盟经验和教训看,数字经济的国际竞争力离不开本土拥有足够规模和技术优势的市场主体。我国需要拥有具有国际竞争力的数字运营主体和(或)数字金融主体。为此,应大力支持金融机构数字化转型,充分挖掘金融机构用户多、规模大、信息系统较为完备的优势,充分发挥其数字化的潜力;要坚持更加开放的政策思维,包容鼓励新兴金融科技机构的创新活动,深入践行“换道超车”策略,在规范业务和数据治理的基础上,不断拓展业务边界,通过金融数据的内部开放共享,充分挖掘数据价值;同时,有效统筹开放与安全,加强内外金融数据互动,提升我国金融系统,特别是数字金融体系的国际竞争力,加快建设金融强国。
参考文献(略)
