尹振涛 汪 勇 王美懿 | 中国金融数据治理进展、挑战与应对(上篇)
■ 尹振涛 中国社会科学院金融研究所金融科技研究室主任,研究员
■ 汪 勇 中国社会科学院金融研究所金融科技研究室,副研究员
■ 王美懿 中国社会科学院大学应用经济学院
摘 要
习近平总书记在党的二十大报告中指出:“要加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。”在数字经济成为全球经济增长新动能的时代背景下,数据作为关键生产要素,日益成为基础性的战略资源,贯穿着生产、流通、分配和消费的各个环节,不断推动经济社会生产模式的重塑和运作效率的提升。
因此,如何促进金融机构数字化转型进程稳步前进、数字技术更好服务实体经济并为经济社会高质量发展注入强劲动能,是金融数据治理的核心目标和题中应有之义,更是打造高效统一的数字政府、建设开放共享的数字社会刻不容缓的一项重要举措。
金融数据治理的概况
概念与特征
大数据时代,金融业态的不断催生和数据体量的爆炸式增长,使得金融数据治理呈现出五个特点。其一,手段科技化。人工智能、区块链、云计算等数字技术使金融数据治理更加智能化、自动化,不仅通过风控建模、用户画像等手段实现内部数据处理的科技化,还通过数据报送平台统一API接口和数据标准来实现外部数据监管的科技化。其二,目标多元化。以挖掘信息和数据处理为基础的金融业,逐渐从传统的创造金融数据价值转变为兼顾数据流动过程中的价值发挥和安全保障,注重平衡对金融机构日常运营中积累和沉淀的大量用户信息和交易数据的活化利用与隐私保护。其三,主体多样性。面对数字金融领域的诸多挑战,政府、行业组织、企业等各方需统一数据安全共识,承担数据治理的主体责任,协同创造数据生态的有利条件。其四,治理中台化。市场需求的快速变化使得金融机构原有的前后台职能划分难以及时对接客户要求,金融机构开始利用自建或第三方提供的数据中台整合分散、碎片化的数据并完成结构化转换,同时提取共性有效信息,以此灵活机动地支持前台的业务创新和后台的信息决策,并降低金融领域的技术应用门槛。其五,数据要素化。金融资产数据化和金融数据资产化大大提升了数据资料的价值密度,通过有效管理和利用数据资产,金融机构可以更好满足客户需求、提升竞争力、优化运营和降低风险,以适应数字化时代的发展需求。
治理模式
重点领域
从数据应用起点来看,因员工在商业动机驱使下实施的违法泄露或恶意篡改、黑客攻击网络系统、不同使用主体之间数据传递割裂等行为,会被迫地产生数据污染、隐私泄露和信息茧房等数据安全风险。从数据应用终端来看,数字技术的广泛使用使得一些强势金融科技企业利用技术优势对对手方进行价格监控和采取捆绑销售、限制交易等灰色交易来遏制市场上的有序竞争。而数字消费的日益频繁和各类金融交易的线上化、平台化趋势也会造成消费者交易信息、保留价格和行为模式的跟踪、摹画,在恶意利用时则会出现“大数据杀熟”、“算法偏见”的现象。
中国金融数据治理现状与挑战
中国金融数据治理现状
当前我国金融业正处于数字化转型的重要阶段,从2017年《中华人民共和国网络安全法》的推行实施,其作为我国第一部全面规范网络空间安全管理方面问题的基础性法律,对数据的安全、网络的运行安全、关键信息基础设施的运行安全等方面进行了全面的规定,到《信息技术服务—治理第5部分:数据治理规范》、《数据管理能力成熟度评估模型》、《金融业数据能力建设指引》等一系列更加精细化的数据治理文件的先后推出,不仅提出了数据治理的总则和框架,规定了数据治理的顶层设计、数据治理环境、数据治理域及数据治理过程的要求,还借鉴了国际上数据管理理论框架,明确对数据治理过程、数据治理模型设计、数据治理实施落地等进行了详细阐述。从政策文件、法律框架的健全和细化,到金融机构和证券行业的具体实践,我国金融数据治理的发展速度与成长规模可见一斑。未来较长一段时间,完善金融数据治理领域立法体系、加强金融数据治理实践指引、利用大数据技术为金融业高效发展提供靶向数据支持仍是促进数字金融深度融合、助力经济高质量发展的工作重点。
1.规制现状
在保护金融消费者合法权益、规范数据信息处理活动、促进个人信息合理利用方面,2020年9月1日通过的《中国人民银行金融消费者权益保护实施办法》涵盖了总则、金融机构行为规范、消费者金融信息保护、金融知识宣传教育、金融消费者投诉处理、监督与管理以及法律责任等方面的内容。其中,第三章“消费者金融信息保护”从消费者金融信息安全权角度,进一步强化了信息知情权和信息自主选择权。2021年8月20日通过的《中华人民共和国个人信息保护法》确立了个人信息的概念、处理原则以及个人信息处理的基本规范,强调要遵循具有明确、合理的目的并与处理目的直接相关、采取对个人权益影响最小的方式、限于实现处理目的的最小范围、公开处理的规则。此外,该法还规定了个人信息权益的保障措施,包括知情同意、更正删除、查阅复制、投诉举报等方面的权利以及对敏感个人信息的特别保护。
在金融监管、金融数据管理的行政法规和部门规章方面,国家先后出台了《个人信用信息基础数据库管理暂行办法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《电信和互联网用户个人信息保护规定》、《网络借贷信息中介机构业务活动信息披露指引》、《银行业金融机构数据治理指引》、《商业银行理财业务监督管理办法》、《征信业务管理办法》和《金融信息服务管理规定》等文件。网信办负责协调网络安全治理并推动互联网法制建设,先后颁布了包括《网络安全审查办法》、《数据安全管理办法》和《个人信息出境管理办法》在内的多部规章的征求意见稿。另外,中国人民银行也积极开展规范银行业数据运用和个人金融信息技术性保护的治理工作,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《中国人民银行关于进一步加强征信信息安全管理的通知》、《金融消费者权益保护实施办法》、《个人金融信息保护技术规范》等文件对银行业个人数据的保护情形逐步细化,不仅对个人金融信息在境内的储存和处理过程进行严格规范的标准确立和流程安排,还为境内金融机构日常经营活动中的必要数据跨境流动治理提供了完备且具体的合规性要求。2020年9月23日,中国人民银行在其正式发布的《金融数据安全 数据安全分级指南》中,将数据安全性遭到破坏后可能造成的影响作为确定数据安全级别的重要判断依据,并强调在评估过程中,应根据实际情况识别各项安全性在影响评定中的优先级,综合考虑保密性、完整性及可用性的评估结果来形成最终安全影响评估。该标准的公布和实施是我国金融数据监管和治理的一大进步,有助于金融机构进一步明确数据安全治理工作的具体对象和防护重点,从而有的放矢地进行金融数据治理能力的加强和金融数据可用性、合规性质量的提升。
在国家标准及行业标准方面,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)、《信息安全技术 个人信息去标识化指南》(GB/T 37694-2019)、《信息安全技术 大数据安全管理指南》(GB/T37073-2019)、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)、《金融行业网络安全等级保护实施指引第2部分:基本要求》(JR/T 0071.2—2020)、《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)等规制方法和策略的统一、规范、细致的演进趋势加强,对金融数据质量的把控和对互联网运行全链条的监管逐渐取代了以往混乱繁杂的标准和制度。
2.应用现状
现阶段,不少金融机构着手自建金融数据服务平台和数据安全管理体系,并借助大数据技术来为用户提供更加优质、便捷、高效的创新型金融产品和服务。
我国银行业在金融数据治理方面取得了较大进展。作为金融业首家获得DCMM模型最高等级评估的金融机构,工商银行成立了由行领导挂帅的金融科技发展委员会,统一领导数据治理工作。建设银行对数据质量管理非常重视,不仅组建了涵盖总行多个业务部门的数据安全柔性团队来负责各项数据安全工作得协同和推进,还对数据生命周期进行了全面的管理。中国银行通过沉淀数据湖来集中式存储和处理大量的结构化和非结构化数据并整合内外部数据资源,并通过建立数据仓库来对数据进行分类、汇总和整理,探索数字化转型和智能化升级的新型技术路径。交通银行通过零信任理念解决了其研发终端数据的多样性应用需求,一体化实现数据的静态访问控制与动态流动安全。
我国证券业面临着数字化应用场景下的新型安全挑战,也纷纷开展新一轮的金融数据治理工作。例如,华泰证券基于IPDR框架,部署各类数据安全技术手段,实现网络、平台、应用、终端的全流程覆盖,形成事前、事中、事后的数据安全技术体系,并采用“基线化”、“工程化”、“技术化”的三合一理念,将数据安全评估过程嵌入业务原有生产流程并在早期介入风险管理,及时识别数字业务的潜在风险,快速溯源处置安全事件。兴业证券从解析具体的数据应用场景出发,在数据分类分级和数据安全建设框架的基础上,以风险问题为导向,对不同网络环境、不同系统、不同人员的数据自动化管控流程进行风险评估和针对性的治理方案设计。
中国金融数据治理面临的挑战
1.金融数据质量参差不齐
随着近年来数字金融的蓬勃发展,金融业的非结构化数据占比攀升。现阶段,金融数据来源多元、体量庞杂,金融创新和业务拓展与统计制度的更新速度之间矛盾较为显著。此外,元数据的早期结构设定欠缺合理性,传统的数据挖掘、数据清洗与数据库建设等工具难以发挥应有的作用,滞后的金融数据标准使得部分金融机构在采集、存储以及处理数据的诸多环节存在不规范、不科学甚至修饰或伪造等问题,其中产生的错误、异常、失真和过期数据会显著削弱金融数据的准确性,严重阻碍了后续的数据建模、数据分析过程,大大增加了风险预警与数据治理的难度。与此同时,不仅金融机构内部在数据定义与归类标准等方面有所不同,不同的金融机构从事的业务复杂多样、对数据的处理方式和存储的精确度等要求都不尽相同,往往会出现相同名称却含义不同、不同名称却含义相同的数据,且数字技术在不同金融机构中的应用存在壁垒,金融行业在基础设施体系和数据协同治理机制方面较为薄弱,使得不同机构的数据无法有效对接,为金融数据跨部门融合和金融数据系统整合带来了较大困难。
2.金融数据孤岛不易消除
长期以来,老旧系统与新兴技术的不兼容、系统之间的数据集成不良以及金融机构内部不同部门因业务、流程不同而相互隔离造成的“数据孤岛”、“信息烟囱”问题在金融业普遍存在,严重阻碍了海量金融数据资产的有效盘活和数据跨部门、跨机构以及跨市场的有序流动。一方面,在数字经济时代,数据日益成为关键的战略性资源,大型金融机构、互联网金融企业等利益相关方借助自身平台规模和技术应用优势,实现了市场竞争力的提升和客户资源的扩张,共享数据资源就是对客户、利润的切割和转让,势必会受到金融数据垄断方的强烈抵制。另一方面,中国金融数据的发展和治理都尚处于初级阶段,考虑到金融数据可能包含的涉及国家安全与商业机密、消费者隐私保护等敏感信息,囿于技术水平有限且有关数据共享权责划分的法律法规尚不健全,金融机构在共享数据的过程中面临着潜在的主权风险、信息泄露风险和法律风险,因而出于经营的谨慎性原则,不少金融机构选择将数据资源局限在一定范围内使用和传递。再者,金融机构内部若干金融数据库是由多家IT供应商利用非开源技术打造的独立系统进行服务,而结构各异、接口不一、融合标准未达成共识的金融数据也难以实现互联互通,最终造成金融数据彼此分割、金融机构共享激励不足的局面。
3.金融数据确权尚未明确
我国在金融数据的权属划分及使用规范上尚未形成清晰、具体的法律规范及实践指引,尽管数据已同劳动、资本、技术一样被视为重要的生产要素,但因其自身可复制性、可修改性和可共享性等天然属性以及有关数据挖掘、数据传输和数据交易的管理制度缺位,不乏金融机构或科技公司过度采集、滥用或违规交易客户的个人数据及隐私信息来攫取非法超额收益的现象,造成严重的用户数据泄露、权益侵犯和市场无序竞争的风险。然而考虑到金融数据的所有权、使用权、转让权和收益权边界不明且在采集、存储、使用、传输等生命周期各个阶段都存在不同的主体行为和错综交叉的利益关系,数据的所有权更加难以根据单一规则或过程发生来简单判定。而金融数据确权困局则严重制约了金融数据的融合利用和价值创造,且现行有关消费者权益保护的法律法规对数据权属厘清的问题并无置论,基于金融消费者的行为追踪和信息脱敏会不断冲击公众对金融体系的信任度继而打压市场情绪,不利于科技赋能金融的长远发展。
4.金融数据治理资源分配不均
在全球化的背景下,金融数据的跨境流动日益频繁。然而,不同国家和地区根据自身经济发展需求和数据治理理念主导的数据跨境流动规制框架、法律法规和监管标准存在明显差异。这意味着金融机构需要加大技术投入和研发力度来提高自身的数据处理水平和风险应对能力,在跨境业务中相应地满足不同国家和地区的监管要求,从而会大大增加合规成本和操作难度。同时,目前国际层面的金融数据治理呈现供给乏力、原则化和碎片化的特征,极易出现数据治理规则衔接困难、国际规则执行力弱、立法理念不兼容、数据主权激烈博弈等问题,严重影响国内金融数据流动规制体系的实施效果和金融机构跨境业务的交流与合作。
国际金融数据治理的进展与成功经验
国际金融数据治理进展
1.美国
美国早在1978年颁布的《金融消费者隐私权法》中就对金融机构收集、披露客户个人信息和交易记录的方式、程序都予以规定和限制。随后通过的《金融服务现代化法案》在进一步强化保护金融消费者个人信息的基础上,明确了通知、选择、市场披露、安全和执行的金融隐私保护五项基本原则。然而,即使在后面陆续出台的《消费者金融信息隐私法》、《多德-弗兰克华尔街改革和消费者保护法案》以及多项行业和补充性细则,甚至在堪称是美国最严厉、最全面的个人隐私保护法案的《加州消费者隐私法案》中,美国在数据跨境流动治理方面一直保持缄默态度,这源于其在信息通讯行业的领先地位和互联网产业自身的跨时空性质,美国避免过多的规制束缚企业发展和技术创新的活力,并通过签订一系列双边或多边协议来破除他国的监管壁垒和数据流动限制,来促进数据资产向本国的充分涌流和资源倾斜。
美国于2012年与韩国签订《自由贸易协定》(FTA),约定对于电子数据的跨境流动以及金融机构的日常数据处理业务,“缔约方允许对方金融机构以电子或其他方式传入或传出数据”,“避免施加或保持不必要的阻碍”。同年,亚太经济合作组织(APEC)发布《跨境隐私规则体系》(CBPR),提出了APEC隐私框架的九大原则。而由美国主导的CBPR约定,成员国在强制性接受不超过APEC数据保护水平的个人信息基础上,不得再以保护个人信息为由限制电子数据的跨境流动。这一规定更方便了全球数据资源向美国的靠拢和集中。2015年,美国在《跨太平洋战略经济伙伴关系协定》(TPP)中第一次将限制数据本地化的要求明确写入贸易协定,这一限制仍未脱离美联储董事会执行委员会早前提出的数据治理战略和《2012—2015年战略框架》,满足了美联储和美国联邦证券交易委员会在金融数据监管层面“利用风险最小化、数据技术价值最大化”的指导原则。此外,美国在2016年和2018年分别签订了美欧《隐私盾协议》和《美国-墨西哥-加拿大协定》,这都是美国逐步利用国际协议实现金融数据向本国的自由流动、牟取巨额商业利益的策略。
2.英国
在英国的“双峰式”金融数据治理框架下,英格兰银行承担数据基础设施建设、长期数据战略规划安排以及宏观数据治理政策决策制定的核心职能,审慎监管局(PRA)和金融行为监管局(FCA)协同负责金融数据治理的微观执行工作。其中,PRA作为英格兰银行的附属机构,主要负责对银行、证券经纪商、保险公司及其他投资公司的微观审慎监管,促进金融系统的稳定与审慎运行。FCA则完全独立于英格兰银行,对财政部和议会负责,主要负责对包括银行、证券、保险在内所有金融机构的行为监管,即对金融机构经营过程中出现的有损消费者保护、市场诚信和竞争的行为进行快速、果断、及时的干预与制止。
英国国家审计署秉持澄清、执行和救济的原则,重点关注审计数据中数据服务、审计分析和可视化三个方面,通过应用计算机自动化技术挖掘技术应用模式和异常,在降低审计成本、加速数据分析的同时,获得更新的数据处理见解和更好的审计实践方式。具体的监管职能由英国竞争与市场管理局(CMA)、信息专员办公室(ICO)和数据监管办公室(OSR)来分领域执行。
3.欧盟
基于高水平数据保护规则,欧盟并未对金融数据进行单独立法,而是构建以个人数据权利为核心的保护制度,包括1981年签订的《关于自动化处理的个人信息保护公约》、1995年发布的《关于个人信息处理保护及个人信息自由传输的指令》和2018年出台的《通用数据保护条例》(GDPR)。其中,GDPR的生效,代表着欧盟对于隐私信息和人权的保护及监管达到了前所未有的高度。GDPR详细规定了通用数据的地域适用范围、主体权利、问责机制,围绕数据生命周期对数据的收集、存储和处理等环节进行了明确的说明,并强调数据控制者和数据处理者的责任与义务。具体包括,所有欧盟境内的金融机构或企业必须采取合理的安全措施来保护其持有的数据,确保数据的安全性、准确性和完整性。金融机构或企业在收集用户的个人信息之前,必须使用简洁、透明且易懂的形式以及清晰和平白的语言而非冗长、难以理解的隐私政策,来向用户说明个人信息采集的具体方面、存储方式、应用流程和企业联系方式,以此来征求数据许可。此外,GDPR还规定了用户的“被遗忘权”,也就是说,用户有权随时要求金融机构删除其个人数据记录。如果金融机构违反GDPR的相关规定,将面临最高可达两千万欧元或全球营业额4%的巨额罚款。
在打造数据空间战略和跨境数据流动管理方面,欧盟委员会在2020年发布的《欧洲数据战略》中提出制定数据使用的跨部门治理框架、加强数字基础设施投资、加强数字技能建设和构建共同数据空间四项措施。围绕这一战略,欧盟委员会先后发布了《数据治理法案》、《非个人数据在欧盟境内自由流动的框架条例》、《高质量数据集实施法案》、《数字服务法案》,对其在2017年发布的《在全球化世界中交换和保护金融数据》报告中所阐述的国际金融数据传输策略和方针进行再度明确,还通过出台《信息和通信技术标准化滚动计划》、《欧洲互用性框架》推动标准化和共享的数据兼容格式和协议的制定进程。欧盟根据个人数据保护制定允许数据转移的国家白名单,对于非白名单国家采用标准合同条款(SCC)来对数据传输双方进行约束和监督,对于欧盟境内的跨国企业采用有约束力的公司规则(BCRs)规范企业内部的个人数据跨境流动,并综合社会公益、非重复性且关乎少量权利等特定情况予以克减。同时,欧盟计划打造服务工业、交通运输、医疗卫生、金融、能源、农业等战略部门和公共利益的单一、共同数据空间,以此扶持数据资源规模较小、数据分析能力薄弱的金融初创企业发展。
国际金融数据治理的成功经验
通过对美国、英国、欧盟等经济体金融数据治理实践的梳理,本文发现这三大经济体有五个方面的实践做法值得我国加以借鉴。
1.宏观框架和治理工具的与时俱进
各经济体在金融数据宏观治理框架的搭建层面,都有着由原则性统一规制到精细化分部门管理的过渡。在技术与金融行业融合加深的背景下,在数据管理能力的评估模型、数据监管法律法规的建立健全、数据安全风险的预警机制等方面,都衍生出更为具体的治理标准和更为全面的覆盖领域。
2.执行岗位和具体职能的专门设置
美国、英国、欧盟都设有专门的金融数据治理机构,尽管其所承担的职能因国家或地区的不同而有所差异,但总体来说,它们都致力于制定和实施金融数据治理的政策、标准和最佳实践,以促进金融行业的健康发展。例如,美联储的金融普惠办公室负责推动金融普惠和消费者保护,其中包括对个人金融数据的管理和保护。美国证券交易委员会(SEC)也负责监管证券交易和投资银行等金融机构的数据披露和报告要求。英国金融行为监管局配合英格兰银行,负责监管银行、保险公司和证券公司等金融机构的数据治理和信息安全以及政策要求的具体落实。此外,欧盟的欧洲银行管理局(EBA)作为主要的数据治理监管和执行主体,在促进区域的数字金融创新和金融数据市场的活力有序、安全高效方面发挥着重要作用。
3.个人信息和隐私保护的重点强调
三大经济体在保护金融消费者数据权利、打击数据滥用、数据非法交易等侵权行为方面不断加强立法完善和技术升级。美国在《加州消费者隐私法》、《纽约州消费者隐私法》以及《儿童在线隐私保护法》专门针对特定人群或特定行业进行数据规制。欧盟在其发布的人工智能战略等文件中对公共场所使用摄像头收集个人人脸、声音、指纹等生物特征数据的行为实施专项保护。
4.市场自治和主体权利的充分准许
尽管三大经济体在数据的采集、使用、存储和跨境流动方面都致力于实现标准的统一、程序的规范和国际治理工作的协同,但监管部门都未强制要求金融机构开放数据,而是将数据既作为生产要素又作为一项资产,对金融数据市场的正常流通和数据本身使用权与所有权紧耦合的特殊属性都予以充分的考虑和尊重,这在一定程度上给予了数据市场自我发展、自我调节功能发挥的更大空间。
5.数据反垄断和跨境流动的强化监管
为了促进金融市场的公平竞争,防止大型科技公司滥用市场支配地位,三大经济体政府纷纷将金融数据治理工作纳入反垄断监管框架下,例如美国《反垄断法》、欧盟GDPR的相关规定。同时,三大经济体出于国家安全的考虑,对金融数据的跨境流动实施了严格限制和强制管理,例如美国《国际紧急经济权力法》对某些敏感信息作出了特别规定。
图表(略)