收藏

尹振涛 汪 勇 王美懿 | 中国金融数据治理进展、挑战与应对(上篇)

■ 尹振涛  中国社会科学院金融研究所金融科技研究室主任,研究员

■ 汪   勇  中国社会科学院金融研究所金融科技研究室,副研究员

■ 王美懿  中国社会科学院大学应用经济学院

 

摘  要

 

大数据时代下,数据资产已经成为创造经济社会价值的新引擎。数字技术的快速渗透与数据信息的爆发增长,在为数字金融带来发展机遇的同时也导致隐私泄露、数据滥用等数据安全风险日益凸显。目前,我国金融数据相关的法律法规、政策性文件等规制体系呈现出规则精细化、治理分部门、协同合作趋势加强的特征,银行业、证券业也纷纷开展了规范数据管理、明确职责分工、构建治理平台一系列数据治理实践。然而,我国面临的金融数据质量参差不齐、金融数据安全风险突出、金融数据孤岛难以消除、金融数据确权尚未明确等挑战仍是未来一段时间内桎梏数字金融发展的瓶颈。因此,我国需根植金融发展的长期实践,借鉴国外发达国家的治理经验,推动我国金融数据治理体系的建立健全和数字金融行业的健康发展。

 

习近平总书记在党的二十大报告中指出:“要加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。”在数字经济成为全球经济增长新动能的时代背景下,数据作为关键生产要素,日益成为基础性的战略资源,贯穿着生产、流通、分配和消费的各个环节,不断推动经济社会生产模式的重塑和运作效率的提升。

 

据互联网数据中心(IDC)最新预测,中国数据量规模将从2022的23.88ZB增长至2027年的76.6ZB,年均增长速度为全球第一。金融作为我国数据开放的重要实践领域,在快速提升业务能力、精准定位客户需求、持续监测市场风险等方面对数据有着更高的需求,数字金融的深度融合更造成了金融数据呈现爆炸式增长态势。然而,这种急剧增长的数据量与数据质量的不匹配,不仅会迫使金融机构投入大量人力、物力对来源多样化的数据进行清洗、验证和整合来确保其准确性和可靠性,还会因数据管理技术的更新速度滞后而引发数据不安全存储、客户敏感信息和隐私泄露以及数据滥用和违规交易等严重损害消费者权益和阻碍产业优化升级的一系列问题。此外,区块链、人工智能等新兴技术在数字金融领域创新出的各类新应用场景增大了金融数据风险的识别难度,同时,数据、算法自身具备的共享、分散、非排他等底层属性造成金融业务网络的纷繁复杂,金融数据安全治理则更关系着无数个金融数据流通节点上的利益实体。
 
近年来,我国高度重视数据安全标准领域法律法规的制定工作,切实保障数据的规范处理和有序流动。完备的数据安全保障指引和严格的资格审查、评估、认证等制度,不仅有助于提升金融机构基于数据分析模式的决策准确性,还能在统一的数据管理框架下优化数据的处理、存储流程并释放数据价值挖掘和创造的潜力,从而提升金融机构适应数字化时代的核心竞争力和可持续发展能力。
 

因此,如何促进金融机构数字化转型进程稳步前进、数字技术更好服务实体经济并为经济社会高质量发展注入强劲动能,是金融数据治理的核心目标和题中应有之义,更是打造高效统一的数字政府、建设开放共享的数字社会刻不容缓的一项重要举措。

 

金融数据治理的概况

 

概念与特征

 
自20世纪90年代网络大爆炸以来,数据治理的概念频频进入人们视野。DAMA国际数据管理协会将其定义为对数据资产管理活动行使权力、控制(规划、监控和执行)的活动集合。数据治理通过采集、传输、储存、共享等一系列标准化的策略和流程以及严格统一的全程、综合的数据监测,来提高企业数据的规范性、可用性和安全性,实现数据资源价值最大化的同时确保数据所有者和使用者能够方便访问和利用高质量数据来获取更深入的业务洞察和更准确的决策依据。因此,相对于侧重管理和实施层面的“数据管理”,“数据治理”定位于更为高阶的战略制定、组织规划的层面,面对的是责任主体厘定、市场规则制定和组织框架构建,既包含宏观社会层面的数据公共治理与监管协调,也包括中观行业层面的数据共治和微观企业层面的内部数据治理。
 
作为数据治理的一个典型应用场景,金融数据治理集中考察金融机构内部数据资产获取、分析和应用的全过程,通过明确董事会、监事会、管理层和内设部门等职责范围、制定数据管理和业务优化的规范性方法体系、监控数据质量和信息保护的合规性等,来确保金融产品和服务价值的充分发挥。
 
金融数据治理涵盖六个方面内容。第一,制定数据标准。在数据格式、数据字典和数据管理流程等方面制定和实施严格、统一、规范的数据标准,确保数据的完整性和一致性。第二,管理数据质量。通过数据清洗、校验、纠正和评估等环节提升数据质量,保证数据在满足基础标准之上精准符合业务需求。第三,保障数据安全。依据数据安全等级建立必要的数据安全访问控制和加密程序,防止客户敏感信息和隐私的泄露;同时对日常数据的使用进行安全审计,排除数据违规操作和非法交易等问题。第四,促进数据集成。整合和分析不同来源和种类的数据,解决数据冗余和冲突等不兼容问题,确保数据在共享、开放、交换等过程中的全面性和多样性。第五,提供数据服务。通过数据服务平台统一进行数据集约化和生命周期管理,提供数据查询、加工和分析等服务,形成可视化的综合性业务报表,减少辅助决策中数据开发、调用和集成的成本。第六,监控数据风险。对数据治理的实践进行全面、持续的监控和评估,保障金融数据的机密性和可用性,防范技术风险、操作风险等叠加性安全威胁。
 

大数据时代,金融业态的不断催生和数据体量的爆炸式增长,使得金融数据治理呈现出五个特点。其一,手段科技化。人工智能、区块链、云计算等数字技术使金融数据治理更加智能化、自动化,不仅通过风控建模、用户画像等手段实现内部数据处理的科技化,还通过数据报送平台统一API接口和数据标准来实现外部数据监管的科技化。其二,目标多元化。以挖掘信息和数据处理为基础的金融业,逐渐从传统的创造金融数据价值转变为兼顾数据流动过程中的价值发挥和安全保障,注重平衡对金融机构日常运营中积累和沉淀的大量用户信息和交易数据的活化利用与隐私保护。其三,主体多样性。面对数字金融领域的诸多挑战,政府、行业组织、企业等各方需统一数据安全共识,承担数据治理的主体责任,协同创造数据生态的有利条件。其四,治理中台化。市场需求的快速变化使得金融机构原有的前后台职能划分难以及时对接客户要求,金融机构开始利用自建或第三方提供的数据中台整合分散、碎片化的数据并完成结构化转换,同时提取共性有效信息,以此灵活机动地支持前台的业务创新和后台的信息决策,并降低金融领域的技术应用门槛。其五,数据要素化。金融资产数据化和金融数据资产化大大提升了数据资料的价值密度,通过有效管理和利用数据资产,金融机构可以更好满足客户需求、提升竞争力、优化运营和降低风险,以适应数字化时代的发展需求。

 

治理模式

 
金融数据治理模式是指通过建立组织架构,明确不同责任主体的职责范畴,根据数据应用现状采用不同的数据治理策略和决策模型来确保数据统一规范、高效有序,并在经营管理中充分发挥价值的动态过程。在金融数据治理模式中,数据生态系统中存在的不同数据控制主体往往有着不同的数据治理目标,在制定和实施具体的数据治理策略时则侧重于不同的数据应用领域。因此,基于控制主体维度,本文将金融数据治理划分为三种类别的模式体系。
 
1.以市场为导向的治理模式
 
在这种治理模式下,金融数据从生产资料上升为可自由转让和交换的资产,市场上数据交易双方自由协商数据的访问权限、传输流程、交换价格等事项,金融机构负责有关数据交易合同的付款和责任履行。该模式允许数据的自由流通并配以有限且适当的监管,在保障金融系统正常运行的同时,能够提振市场信心并带动金融市场上其他生产要素的活跃涌流,支持了多元数字金融生态体系的发展和衍化。美国采用了此种金融数据治理模式。
 
2.以自然人为导向的治理模式
 
在这种治理模式下,数据被视为自然人权利之一而非任何可自由转让的财产。在严格划分个人数据和非个人数据后,生成数据的自然人对其享有一定程度的控制权并在法定监管允许的范围内进行数据的使用和传输,而非个人数据则等同于可自由交易的财产。采用此种模式的典型代表为欧盟,其治理模式以保障自然人权利和隐私信息为核心,严防数据垄断现象,并发展技术手段以提高数据治理的能力和管辖范畴。
 
3.以公共实体为导向的治理模式
 
在这种治理模式下,数据是一种由某一公共实体集中规范、管理和控制的共享资源。相较于前两种模式,该模式下市场中的金融数据动态交易仍存在并得到鼓励,但数据源、数据流以及相关基础设施受公共机构的直接控制和干预,自然人对数据的权利在一定限度内。以中国为例,这种高度重视公共权利的金融数据治理模式有助于稳定金融市场秩序和内部数据规模的增长。
 
综上,金融数据治理并非一蹴而就,要根据企业或金融机构不同的成长阶段和数据治理水平,选取最适合当下数据应用现状和未来总体发展目标的治理模式。
 

重点领域

 
随着数字金融的深入发展,不少金融科技公司的规模急剧扩张,大量客户信息的垄断化和技术更新的频繁化,在金融领域造成的垄断风险、社会风险、信息安全风险等更加错综复杂。因此,把握金融数据治理的重点领域,分区治理、统筹施策,才能将金融数据系统治理之路走得长远。
 
1.数据治理的直接对象是数据
 
就基本层面而言,数据包括结构化、半结构化和非结构化数据,要严格遵循MECE法则,无重复、无遗漏地建立数据分类分级安全规范。就行业性质而言,金融数据按照来源不同可划分为“域内”数据和“域外”数据。“域内”数据包括金融机构、信息服务商、政府机构和个人在进行业务交易及相关行为时产生的业务数据、客户数据、经营数据和监管数据等的总和。“域外”数据就是来自供应链、第三方和自主获取等金融机构以外的一切数据。就价值创造而言,由于不同业务系统存储数据的结构不同,对于不同业务数据资产的盘点方式和操作技术也是数据治理的重点。
 
2.数据治理的重点方面在于业务
 
大数据的应用改变了原有的金融产品更新速度和应用场景的演化方式,客户的行为数据可用于实现金融机构内部数据与社会外部数据的综合性对接,进而拼凑成完整的客户画像,根据新客户获取、防客户流失和老客户赢回的客户生命周期管理过程,可建立实时营销模型、交易数据分析模型和客户流失预警模型来对不同年龄阶段、资产规模和风险偏好的客户群进行针对性金融产品和服务的提供。客户的交易数据可用于信贷行为追踪,电子商务平台普遍化、扩张化发展现状会对客户历史行为模式、资产基本信息等方面进行放大,进而衍生出利用智能规则引擎进行实时欺诈交易识别与反洗钱数据分析的新型应用。产业链上下游数据囊括了企业用户的内部经营情况、规划发展方向和外部环境现状,确保数据清洗、校验和标准化等过程,保护数据免受未经授权的访问、使用、泄露、损坏或修改,定期进行数据流程的优化和改进,建立良好的数据治理组织结构和文化氛围,是当前以及未来一段时间内的数据治理工作重点。
 
3.数据治理的关键环节在于风险
 

从数据应用起点来看,因员工在商业动机驱使下实施的违法泄露或恶意篡改、黑客攻击网络系统、不同使用主体之间数据传递割裂等行为,会被迫地产生数据污染、隐私泄露和信息茧房等数据安全风险。从数据应用终端来看,数字技术的广泛使用使得一些强势金融科技企业利用技术优势对对手方进行价格监控和采取捆绑销售、限制交易等灰色交易来遏制市场上的有序竞争。而数字消费的日益频繁和各类金融交易的线上化、平台化趋势也会造成消费者交易信息、保留价格和行为模式的跟踪、摹画,在恶意利用时则会出现“大数据杀熟”、“算法偏见”的现象。

 

中国金融数据治理现状与挑战

 

中国金融数据治理现状

 

当前我国金融业正处于数字化转型的重要阶段,从2017年《中华人民共和国网络安全法》的推行实施,其作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,对数据的安全、网络的运行安全、关键信息基础设施的运行安全等方面进行了全面的规定,到《信息技术服务—治理第5部分:数据治理规范》、《数据管理能力成熟度评估模型》、《金融业数据能力建设指引》等一系列更加精细化的数据治理文件的先后推出,不仅提出了数据治理的总则和框架,规定了数据治理的顶层设计、数据治理环境、数据治理域及数据治理过程的要求,还借鉴了国际上数据管理理论框架,明确对数据治理过程、数据治理模型设计、数据治理实施落地等进行了详细阐述。从政策文件、法律框架的健全和细化,到金融机构和证券行业的具体实践,我国金融数据治理的发展速度与成长规模可见一斑。未来较长一段时间,完善金融数据治理领域立法体系、加强金融数据治理实践指引、利用大数据技术为金融业高效发展提供靶向数据支持仍是促进数字金融深度融合、助力经济高质量发展的工作重点。

 

1.规制现状

 

在保护金融消费者合法权益、规范数据信息处理活动、促进个人信息合理利用方面,2020年9月1日通过的《中国人民银行金融消费者权益保护实施办法》涵盖了总则、金融机构行为规范、消费者金融信息保护、金融知识宣传教育、金融消费者投诉处理、监督与管理以及法律责任等方面的内容。其中,第三章“消费者金融信息保护”从消费者金融信息安全权角度,进一步强化了信息知情权和信息自主选择权。2021年8月20日通过的《中华人民共和国个人信息保护法》确立了个人信息的概念、处理原则以及个人信息处理的基本规范,强调要遵循具有明确、合理的目的并与处理目的直接相关、采取对个人权益影响最小的方式、限于实现处理目的的最小范围、公开处理的规则。此外,该法还规定了个人信息权益的保障措施,包括知情同意、更正删除、查阅复制、投诉举报等方面的权利以及对敏感个人信息的特别保护。

 

在金融监管、金融数据管理的行政法规和部门规章方面,国家先后出台了《个人信用信息基础数据库管理暂行办法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《电信和互联网用户个人信息保护规定》、《网络借贷信息中介机构业务活动信息披露指引》、《银行业金融机构数据治理指引》、《商业银行理财业务监督管理办法》、《征信业务管理办法》和《金融信息服务管理规定》等文件。网信办负责协调网络安全治理并推动互联网法制建设,先后颁布了包括《网络安全审查办法》、《数据安全管理办法》和《个人信息出境管理办法》在内的多部规章的征求意见稿。另外,中国人民银行也积极开展规范银行业数据运用和个人金融信息技术性保护的治理工作,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《中国人民银行关于进一步加强征信信息安全管理的通知》、《金融消费者权益保护实施办法》、《个人金融信息保护技术规范》等文件对银行业个人数据的保护情形逐步细化,不仅对个人金融信息在境内的储存和处理过程进行严格规范的标准确立和流程安排,还为境内金融机构日常经营活动中的必要数据跨境流动治理提供了完备且具体的合规性要求。2020年9月23日,中国人民银行在其正式发布的《金融数据安全 数据安全分级指南》中,将数据安全性遭到破坏后可能造成的影响作为确定数据安全级别的重要判断依据,并强调在评估过程中,应根据实际情况识别各项安全性在影响评定中的优先级,综合考虑保密性、完整性及可用性的评估结果来形成最终安全影响评估。该标准的公布和实施是我国金融数据监管和治理的一大进步,有助于金融机构进一步明确数据安全治理工作的具体对象和防护重点,从而有的放矢地进行金融数据治理能力的加强和金融数据可用性、合规性质量的提升。

 

在国家标准及行业标准方面,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)、《信息安全技术 个人信息去标识化指南》(GB/T 37694-2019)、《信息安全技术 大数据安全管理指南》(GB/T37073-2019)、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《金融行业网络安全等级保护实施指引第2部分:基本要求》(JR/T 0071.2—2020)、《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)等规制方法和策略的统一、规范、细致的演进趋势加强,对金融数据质量的把控和对互联网运行全链条的监管逐渐取代了以往混乱繁杂的标准和制度。

 

2.应用现状

 

现阶段,不少金融机构着手自建金融数据服务平台和数据安全管理体系,并借助大数据技术来为用户提供更加优质、便捷、高效的创新型金融产品和服务。

 

我国银行业在金融数据治理方面取得了较大进展。作为金融业首家获得DCMM模型最高等级评估的金融机构,工商银行成立了由行领导挂帅的金融科技发展委员会,统一领导数据治理工作。建设银行对数据质量管理非常重视,不仅组建了涵盖总行多个业务部门的数据安全柔性团队来负责各项数据安全工作得协同和推进,还对数据生命周期进行了全面的管理。中国银行通过沉淀数据湖来集中式存储和处理大量的结构化和非结构化数据并整合内外部数据资源,并通过建立数据仓库来对数据进行分类、汇总和整理,探索数字化转型和智能化升级的新型技术路径。交通银行通过零信任理念解决了其研发终端数据的多样性应用需求,一体化实现数据的静态访问控制与动态流动安全。

 

我国证券业面临着数字化应用场景下的新型安全挑战,也纷纷开展新一轮的金融数据治理工作。例如,华泰证券基于IPDR框架,部署各类数据安全技术手段,实现网络、平台、应用、终端的全流程覆盖,形成事前、事中、事后的数据安全技术体系,并采用“基线化”、“工程化”、“技术化”的三合一理念,将数据安全评估过程嵌入业务原有生产流程并在早期介入风险管理,及时识别数字业务的潜在风险,快速溯源处置安全事件。兴业证券从解析具体的数据应用场景出发,在数据分类分级和数据安全建设框架的基础上,以风险问题为导向,对不同网络环境、不同系统、不同人员的数据自动化管控流程进行风险评估和针对性的治理方案设计。

 

中国金融数据治理面临的挑战

 

1.金融数据质量参差不齐

 

随着近年来数字金融的蓬勃发展,金融业的非结构化数据占比攀升。现阶段,金融数据来源多元、体量庞杂,金融创新和业务拓展与统计制度的更新速度之间矛盾较为显著。此外,元数据的早期结构设定欠缺合理性,传统的数据挖掘、数据清洗与数据库建设等工具难以发挥应有的作用,滞后的金融数据标准使得部分金融机构在采集、存储以及处理数据的诸多环节存在不规范、不科学甚至修饰或伪造等问题,其中产生的错误、异常、失真和过期数据会显著削弱金融数据的准确性,严重阻碍了后续的数据建模、数据分析过程,大大增加了风险预警与数据治理的难度。与此同时,不仅金融机构内部在数据定义与归类标准等方面有所不同,不同的金融机构从事的业务复杂多样、对数据的处理方式和存储的精确度等要求都不尽相同,往往会出现相同名称却含义不同、不同名称却含义相同的数据,且数字技术在不同金融机构中的应用存在壁垒,金融行业在基础设施体系和数据协同治理机制方面较为薄弱,使得不同机构的数据无法有效对接,为金融数据跨部门融合和金融数据系统整合带来了较大困难。

 

2.金融数据孤岛不易消除

 

长期以来,老旧系统与新兴技术的不兼容、系统之间的数据集成不良以及金融机构内部不同部门因业务、流程不同而相互隔离造成的“数据孤岛”、“信息烟囱”问题在金融业普遍存在,严重阻碍了海量金融数据资产的有效盘活和数据跨部门、跨机构以及跨市场的有序流动。一方面,在数字经济时代,数据日益成为关键的战略性资源,大型金融机构、互联网金融企业等利益相关方借助自身平台规模和技术应用优势,实现了市场竞争力的提升和客户资源的扩张,共享数据资源就是对客户、利润的切割和转让,势必会受到金融数据垄断方的强烈抵制。另一方面,中国金融数据的发展和治理都尚处于初级阶段,考虑到金融数据可能包含的涉及国家安全与商业机密、消费者隐私保护等敏感信息,囿于技术水平有限且有关数据共享权责划分的法律法规尚不健全,金融机构在共享数据的过程中面临着潜在的主权风险、信息泄露风险和法律风险,因而出于经营的谨慎性原则,不少金融机构选择将数据资源局限在一定范围内使用和传递。再者,金融机构内部若干金融数据库是由多家IT供应商利用非开源技术打造的独立系统进行服务,而结构各异、接口不一、融合标准未达成共识的金融数据也难以实现互联互通,最终造成金融数据彼此分割、金融机构共享激励不足的局面。

 

3.金融数据确权尚未明确

 

我国在金融数据的权属划分及使用规范上尚未形成清晰、具体的法律规范及实践指引,尽管数据已同劳动、资本、技术一样被视为重要的生产要素,但因其自身可复制性、可修改性和可共享性等天然属性以及有关数据挖掘、数据传输和数据交易的管理制度缺位,不乏金融机构或科技公司过度采集、滥用或违规交易客户的个人数据及隐私信息来攫取非法超额收益的现象,造成严重的用户数据泄露、权益侵犯和市场无序竞争的风险。然而考虑到金融数据的所有权、使用权、转让权和收益权边界不明且在采集、存储、使用、传输等生命周期各个阶段都存在不同的主体行为和错综交叉的利益关系,数据的所有权更加难以根据单一规则或过程发生来简单判定。而金融数据确权困局则严重制约了金融数据的融合利用和价值创造,且现行有关消费者权益保护的法律法规对数据权属厘清的问题并无置论,基于金融消费者的行为追踪和信息脱敏会不断冲击公众对金融体系的信任度继而打压市场情绪,不利于科技赋能金融的长远发展。

 

4.金融数据治理资源分配不均

 

在数字金融网络扁平化的结构框架下,我国有限的金融数据治理的资源配置仍处于不均衡的状态。一方面,金融基础设施体系的数据整合、数据支持和综合管理的功能与其目前面临的技术风险敞口不断扩张的现状形成鲜明对比,我国金融监管部门固守传统金融行业,尚未对金融基础设施逐渐增加的资源整合压力予以充分关注。而金融基础设施承载的高密度数据与跨行业职能都未匹配相应的规范性、组织性的治理资源,原有的制度短板越发凸显。另一方面,海量的数据资源和齐备的数字应用技术大多集中在大型金融科技公司,中小型金融科技公司困于数据资源的稀少和技术力量的薄弱,导致金融数据治理资源被大型金融科技公司所裹挟而发生严重偏移。这不仅会打击弱势主体参与金融数据协同治理的动力,还会不可避免地滋生“又是裁判员又是运动员”的道德风险,难以形成公平、对等、有效、互利的金融数据协同治理局面。
 
5.金融数据跨境流动规则冲突
 

在全球化的背景下,金融数据的跨境流动日益频繁。然而,不同国家和地区根据自身经济发展需求和数据治理理念主导的数据跨境流动规制框架、法律法规和监管标准存在明显差异。这意味着金融机构需要加大技术投入和研发力度来提高自身的数据处理水平和风险应对能力,在跨境业务中相应地满足不同国家和地区的监管要求,从而会大大增加合规成本和操作难度。同时,目前国际层面的金融数据治理呈现供给乏力、原则化和碎片化的特征,极易出现数据治理规则衔接困难、国际规则执行力弱、立法理念不兼容、数据主权激烈博弈等问题,严重影响国内金融数据流动规制体系的实施效果和金融机构跨境业务的交流与合作。

 

国际金融数据治理的进展与成功经验

 

国际金融数据治理进展

 

1.美国

 

美国早在1978年颁布的《金融消费者隐私权法》中就对金融机构收集、披露客户个人信息和交易记录的方式、程序都予以规定和限制。随后通过的《金融服务现代化法案》在进一步强化保护金融消费者个人信息的基础上,明确了通知、选择、市场披露、安全和执行的金融隐私保护五项基本原则。然而,即使在后面陆续出台的《消费者金融信息隐私法》、《多德-弗兰克华尔街改革和消费者保护法案》以及多项行业和补充性细则,甚至在堪称是美国最严厉、最全面的个人隐私保护法案的《加州消费者隐私法案》中,美国在数据跨境流动治理方面一直保持缄默态度,这源于其在信息通讯行业的领先地位和互联网产业自身的跨时空性质,美国避免过多的规制束缚企业发展和技术创新的活力,并通过签订一系列双边或多边协议来破除他国的监管壁垒和数据流动限制,来促进数据资产向本国的充分涌流和资源倾斜。

 

美国于2012年与韩国签订《自由贸易协定》(FTA),约定对于电子数据的跨境流动以及金融机构的日常数据处理业务,“缔约方允许对方金融机构以电子或其他方式传入或传出数据”,“避免施加或保持不必要的阻碍”。同年,亚太经济合作组织(APEC)发布《跨境隐私规则体系》(CBPR),提出了APEC隐私框架的九大原则。而由美国主导的CBPR约定,成员国在强制性接受不超过APEC数据保护水平的个人信息基础上,不得再以保护个人信息为由限制电子数据的跨境流动。这一规定更方便了全球数据资源向美国的靠拢和集中。2015年,美国在《跨太平洋战略经济伙伴关系协定》(TPP)中第一次将限制数据本地化的要求明确写入贸易协定,这一限制仍未脱离美联储董事会执行委员会早前提出的数据治理战略和《2012—2015年战略框架》,满足了美联储和美国联邦证券交易委员会在金融数据监管层面“利用风险最小化、数据技术价值最大化”的指导原则。此外,美国在2016年和2018年分别签订了美欧《隐私盾协议》和《美国-墨西哥-加拿大协定》,这都是美国逐步利用国际协议实现金融数据向本国的自由流动、牟取巨额商业利益的策略。

 

2.英国

 

在英国的“双峰式”金融数据治理框架下,英格兰银行承担数据基础设施建设、长期数据战略规划安排以及宏观数据治理政策决策制定的核心职能,审慎监管局(PRA)和金融行为监管局(FCA)协同负责金融数据治理的微观执行工作。其中,PRA作为英格兰银行的附属机构,主要负责对银行、证券经纪商、保险公司及其他投资公司的微观审慎监管,促进金融系统的稳定与审慎运行。FCA则完全独立于英格兰银行,对财政部和议会负责,主要负责对包括银行、证券、保险在内所有金融机构的行为监管,即对金融机构经营过程中出现的有损消费者保护、市场诚信和竞争的行为进行快速、果断、及时的干预与制止。

 

英国国家审计署秉持澄清、执行和救济的原则,重点关注审计数据中数据服务、审计分析和可视化三个方面,通过应用计算机自动化技术挖掘技术应用模式和异常,在降低审计成本、加速数据分析的同时,获得更新的数据处理见解和更好的审计实践方式。具体的监管职能由英国竞争与市场管理局(CMA)、信息专员办公室(ICO)和数据监管办公室(OSR)来分领域执行。

 

3.欧盟

 

基于高水平数据保护规则,欧盟并未对金融数据进行单独立法,而是构建以个人数据权利为核心的保护制度,包括1981年签订的《关于自动化处理的个人信息保护公约》、1995年发布的《关于个人信息处理保护及个人信息自由传输的指令》和2018年出台的《通用数据保护条例》(GDPR)。其中,GDPR的生效,代表着欧盟对于隐私信息和人权的保护及监管达到了前所未有的高度。GDPR详细规定了通用数据的地域适用范围、主体权利、问责机制,围绕数据生命周期对数据的收集、存储和处理等环节进行了明确的说明,并强调数据控制者和数据处理者的责任与义务。具体包括,所有欧盟境内的金融机构或企业必须采取合理的安全措施来保护其持有的数据,确保数据的安全性、准确性和完整性。金融机构或企业在收集用户的个人信息之前,必须使用简洁、透明且易懂的形式以及清晰和平白的语言而非冗长、难以理解的隐私政策,来向用户说明个人信息采集的具体方面、存储方式、应用流程和企业联系方式,以此来征求数据许可。此外,GDPR还规定了用户的“被遗忘权”,也就是说,用户有权随时要求金融机构删除其个人数据记录。如果金融机构违反GDPR的相关规定,将面临最高可达两千万欧元或全球营业额4%的巨额罚款。

 

在打造数据空间战略和跨境数据流动管理方面,欧盟委员会在2020年发布的《欧洲数据战略》中提出制定数据使用的跨部门治理框架、加强数字基础设施投资、加强数字技能建设和构建共同数据空间四项措施。围绕这一战略,欧盟委员会先后发布了《数据治理法案》、《非个人数据在欧盟境内自由流动的框架条例》、《高质量数据集实施法案》、《数字服务法案》,对其在2017年发布的《在全球化世界中交换和保护金融数据》报告中所阐述的国际金融数据传输策略和方针进行再度明确,还通过出台《信息和通信技术标准化滚动计划》、《欧洲互用性框架》推动标准化和共享的数据兼容格式和协议的制定进程。欧盟根据个人数据保护制定允许数据转移的国家白名单,对于非白名单国家采用标准合同条款(SCC)来对数据传输双方进行约束和监督,对于欧盟境内的跨国企业采用有约束力的公司规则(BCRs)规范企业内部的个人数据跨境流动,并综合社会公益、非重复性且关乎少量权利等特定情况予以克减。同时,欧盟计划打造服务工业、交通运输、医疗卫生、金融、能源、农业等战略部门和公共利益的单一、共同数据空间,以此扶持数据资源规模较小、数据分析能力薄弱的金融初创企业发展。

 

国际金融数据治理的成功经验

 

通过对美国、英国、欧盟等经济体金融数据治理实践的梳理,本文发现这三大经济体有五个方面的实践做法值得我国加以借鉴。

 

1.宏观框架和治理工具的与时俱进

 

各经济体在金融数据宏观治理框架的搭建层面,都有着由原则性统一规制到精细化分部门管理的过渡。在技术与金融行业融合加深的背景下,在数据管理能力的评估模型、数据监管法律法规的建立健全、数据安全风险的预警机制等方面,都衍生出更为具体的治理标准和更为全面的覆盖领域。

 

2.执行岗位和具体职能的专门设置

 

美国、英国、欧盟都设有专门的金融数据治理机构,尽管其所承担的职能因国家或地区的不同而有所差异,但总体来说,它们都致力于制定和实施金融数据治理的政策、标准和最佳实践,以促进金融行业的健康发展。例如,美联储的金融普惠办公室负责推动金融普惠和消费者保护,其中包括对个人金融数据的管理和保护。美国证券交易委员会(SEC)也负责监管证券交易和投资银行等金融机构的数据披露和报告要求。英国金融行为监管局配合英格兰银行,负责监管银行、保险公司和证券公司等金融机构的数据治理和信息安全以及政策要求的具体落实。此外,欧盟的欧洲银行管理局(EBA)作为主要的数据治理监管和执行主体,在促进区域的数字金融创新和金融数据市场的活力有序、安全高效方面发挥着重要作用。

 

3.个人信息和隐私保护的重点强调

 

三大经济体在保护金融消费者数据权利、打击数据滥用、数据非法交易等侵权行为方面不断加强立法完善和技术升级。美国在《加州消费者隐私法》、《纽约州消费者隐私法》以及《儿童在线隐私保护法》专门针对特定人群或特定行业进行数据规制。欧盟在其发布的人工智能战略等文件中对公共场所使用摄像头收集个人人脸、声音、指纹等生物特征数据的行为实施专项保护。

 

4.市场自治和主体权利的充分准许

 

尽管三大经济体在数据的采集、使用、存储和跨境流动方面都致力于实现标准的统一、程序的规范和国际治理工作的协同,但监管部门都未强制要求金融机构开放数据,而是将数据既作为生产要素又作为一项资产,对金融数据市场的正常流通和数据本身使用权与所有权紧耦合的特殊属性都予以充分的考虑和尊重,这在一定程度上给予了数据市场自我发展、自我调节功能发挥的更大空间。

 

5.数据反垄断和跨境流动的强化监管

 

为了促进金融市场的公平竞争,防止大型科技公司滥用市场支配地位,三大经济体政府纷纷将金融数据治理工作纳入反垄断监管框架下,例如美国《反垄断法》、欧盟GDPR的相关规定。同时,三大经济体出于国家安全的考虑,对金融数据的跨境流动实施了严格限制和强制管理,例如美国《国际紧急经济权力法》对某些敏感信息作出了特别规定。

 

图表(略)

 


本文节选自《中国金融监管报告(2024)》,中国社科文献出版社,2024年6月版。主编:胡滨,副主编:郑联盛、尹振涛。
2024年8月17日 11:56