数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
【作者】袁康(武汉大学法学院教授,武汉大学网络治理研究院副院长)
【来源】《法学杂志》2024年第3期“数字法治专题”
【基金项目】本文为教育部哲学社会科学重大攻关项目“科学构建数据治理体系”(项目编号:21JZD036)和武汉大学自主科研项目“金融数据治理的法律问题研究”的阶段性研究成果
内容提要:
金融数据治理是金融数字化转型和数字金融发展的题中之义。然而当前我国金融数据治理存在多元制度、多重目标和多头主体杂糅交错的格局,数据权利与数据价值的制度冲突、数据流通与数据安全的目标冲突、规则体系与治理实践的运行冲突制约着金融数据治理能力的提升。为解决金融数据治理体系中的混乱与冲突,有必要厘清其脉络层次,区分公法治理与私法治理、金融数据与金融信息、数据管理与数据利用,探索金融监管与数据治理、法律治理与技术治理、外部约束与内部控制的有机耦合,明确金融数据治理体系构建的内在理路与方法路径,提升金融行业数据能力,推动我国现代金融体系的高质量发展。
关键词:金融数据;数据治理;数据安全;个人信息保护;数据利用
目次
一、金融数字化转型下的金融数据治理
二、金融数据治理中的冲突难题
三、金融数据的分层治理
四、金融数据的耦合治理
五、结语
作为数字经济的核心要素,数据是赋能千行百业数字化转型的关键动力。我国金融行业数字化起步较早且程度较高,金融业务处理和金融风险防范的过程中既生成海量数据资源也面临庞大数据需求,呈现出显著的数据驱动特点。金融数据规模大、价值高、敏感性强,与金融效率、金融安全和金融消费者权益紧密相关,也是数据要素流动和数据安全保护的关注重点。提升金融数据治理能力,充分挖掘金融数据价值的同时有效防控金融数据风险,既是完善数据治理体系加快建设数字中国的重要环节,也是落实中央金融工作会议精神做好数字金融大文章的题中之义。然而当前囿于对金融数据治理的内在逻辑认识不充分,存在治理机制不协调、治理规则不统一、治理质效不理想等诸多问题。准确把握金融数据治理的客观需求和现实冲突,有效区分复杂多元的层次结构,统合协调分散重叠的治理体系,是强化金融数据治理、推动金融业高质量发展的必然要求。
一、金融数字化转型下的金融数据治理
(一)金融数据的概念厘清
目前的理论研究对金融数据的定义存在两种典型的误解,或仅根据其金融场景泛化地界定为金融活动所需或所产生的各类数据,笼统地将具有金融使用价值的数据即认定为金融数据,[1]或基于个人信息保护考虑将金融数据限缩为金融机构处理的个人数据。[2]前者的问题在于对金融数据概念的模糊化处理缺乏对金融数据的具体形态和特殊属性的差异化区分,进而难以构建有针对性的治理策略。而后者的问题在于混淆了个人信息保护与数据治理,过于片面地理解了金融数据的实际范畴,将经金融机构处理加工后的衍生数据和企业客户的数据排除在外。[3]中国人民银行在《金融数据安全 数据安全分级指南》中把金融数据概括为金融机构开展金融业务、提供金融服务以及日常经营管理所需或产生的各类数据,在将金融数据与个人金融信息进行区分的基础上,又开放性地列举了金融机构提供金融产品或服务过程中直接或间接采集的数据,金融机构信息系统内生成和存储的业务数据和经营管理数据等数据,金融机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据。[4]这种界定实质上是将金融数据限定为金融机构控制和处理的数据,同时将金融数据内容扩大至所有数据类型,甚至包括日常事务处理信息和电子邮件。即只要/只有是金融机构控制的数据都/才属于金融数据。
在不同维度下对数据概念的任意建构,形成了令人眼花缭乱的数据类型群,导致了金融数据概念与个人数据、公共数据、交易数据、信用数据、衍生数据等概念的重叠与混淆,进而造成了对金融数据的混乱理解。其实,金融数据既包括用于完成金融交易所需的数据如账户信息、交易指令等,也包括用于识别和管理风险的数据如客户信用记录、交易记录等,还包括了用于监管调控的数据,如市场统计数据、机构经营数据等;既包括含有个人敏感信息的个人数据,又包括非个人信息的企业数据和行业数据;[5]既包括金融机构采集或取得的原始数据,又包括经其处理后形成的衍生数据。概言之,金融数据本质上是行业维度下的数据概念细分,虽然与其他维度的数据概念存在交叉重叠,但并无非此即彼的排斥和冲突,在不同维度间切换摇摆会难以充分廓清金融数据的全貌。
因此,金融数据的界定与识别应紧密围绕金融行业这一关键锚点,以鲜明的金融性特征区别于其他行业数据类型。一是数据功能的金融性,即金融数据是金融交易和金融监管所需或所产生,能够直接或间接用于金融活动的数据。例如个人的抵押贷款记录、存款信息、账户信息,以及商业银行的贷款余额、资产规模等。二是控制主体的金融性,即金融数据是由金融机构或监管部门所控制的数据。即便像个人不动产登记数据虽然可以经金融机构处理而成为可用于评估信用水平的金融数据,但若其在不动产登记中心控制下时则不宜被视为金融数据。三是流通场域的金融性,即金融数据是在金融体系内处理和流通的数据。个人身份数据、健康数据、企业登记数据等在金融体系内处理时自然属于金融数据,但当其被行政机关收集处理时则属于政务数据。只有同时满足上述三项特征,才属于真正意义上的金融数据。
根据在数据处理周期中所处的环节和作用,以及数据持有和控制主体的差异,笔者尝试将金融数据分为以下四种类型:(1)客户数据,即金融机构提供产品或服务的自然人对象或单位对象的数据,包括个人客户数据和单位客户数据,主要是指记载客户自然信息、身份鉴别信息、资讯信息、关系信息、行为信息、标签信息等的数据。(2)业务数据,即金融市场主体之间进行金融交易行为所需要和产生的数据,如金融账户数据、金融产品数据、交易结算数据等。业务数据是金融业务活动过程和结果的记录,由金融机构控制,但会与相应客户和监管部门共享。(3)经营数据,即金融机构在运营过程中所形成的记载和描述自身经营情况的数据,包括客户服务数据、系统运维数据、单证管理数据、机构财务数据、综合行政数据、风险管控数据等。(4)监管数据,是指金融监管部门要求金融机构报送或自行收集的数据,如监管指标数据、监管明细数据、金融统计数据等,以及金融监管活动中产生的各类数据,如行政处罚数据、统计分析数据、审计评估数据等。
(二)金融数据的治理需求
金融数据在现代金融体系运行中发挥着重要作用。[6]首先,金融数据是金融交易的基础要素。随着金融行业数字化程度的不断深化,金融数据已经成为金融交易的重要支撑。从交易主体的身份识别和资信评估,到交易过程的指令传递和结果确认,都是以金融数据的收集、传递和处理的方式完成。金融数据不仅是金融交易达成和实现的载体,也是金融交易流程和内容的记录。可以说,金融交易的过程就是金融数据处理的过程。[7]而金融数据的充分利用,能够显著提升金融业务处理的质效,促进金融交易快速、准确地执行。其次,金融数据是风险管理的关键资源。金融数据中记载的各类信息能够不同程度地反映金融风险,为金融市场主体侦测、分析和管理风险提供基础数据支持。通过金融数据的规模聚合与价值挖掘,可以显著消解信息不对称,在提高金融业务处理效率的同时有效防范风险。依托先进的风险模型和数据挖掘技术,金融机构能够更准确地评估其风险敞口,进而采取相应的风险对冲和管理策略。[8]风险模型、压力测试和风险度量等工具的建立也都依赖对大量金融数据的深度挖掘和分析。再次,金融数据是监管调控的重要支撑。金融监管调控部门通过对机构报送和自行收集的金融数据进行监控和分析,可以及时掌握市场主体信息、金融交易情况、金融风险水平等的核心指标和具体细节,全面了解机构经营和市场运行的实际状况,发现违规行为和潜在风险,为采取相应监管措施提供必要的信息和证据,为制定和调整金融政策提供科学的决策依据。最后,金融数据是金融创新的核心动力。金融数据的获取和处理能力大幅提升,为金融创新提供了强大的支持。金融机构通过深度挖掘和分析金融数据,不仅能够更好地了解市场和客户需求,还能够创造性地设计和推出新型金融产品和服务。智能投顾、数字资产、大数据征信和网络借贷等都是在充分应用金融数据的基础上进行创新的产物。金融创新的推动力正是来自对金融数据的深入理解和灵活应用,这种创新不仅推动了金融业务的发展,也提高了金融体系的效率和适应性。
金融数据的功能凸显和规模增长,催生了日益紧迫的治理需求。金融数据治理,是指通过构建科学系统的制度、流程和方法,对金融数据资源及其处理进行有效管理的规范、机制和活动的总称。充分挖掘金融数据价值的同时有效防范金融数据利用风险,是金融数据治理的核心任务和内在要求。基于此,有效的金融数据治理应围绕以下内容展开:第一,提升金融数据质量。数据质量是数据价值的基础,[9]高质量的金融数据供给有助于更好发挥数据赋能金融数字化转型。因此,金融数据治理需要着眼于确保数据采集、聚合和报送的质量,在数据的采集、清洗、验证和存储等环节,引入高效的质量管理机制,通过数据清洗、去重、纠错等手段,提高数据的及时性、准确性、一致性和完整性。第二,促进金融数据流通与共享。金融数据的流通共享是发挥数据可复制性和无限复用性等特征优势,打破数据垄断和数据孤岛,最大限度挖掘数据利用价值和激发金融体系协同效应的重要保证。[10]良好的金融数据治理,需要畅通金融体系内的数据流通渠道,以高水平共享提升金融数据的规模可用性和可及性,避免重复低效的数据处理,发挥多维数据的聚合效用,从而降低整个金融行业的数据处理成本,同时更好地防范金融风险。第三,保护个人信息和数据安全。金融数据中通常包含大量的敏感个人信息,一旦泄露或被滥用将会严重侵害个人隐私和其他合法权益,因此金融机构在处理这类数据时必须严格遵守个人信息处理的法律规范和伦理要求。同时为了确保金融数据的机密性、完整性和可用性,金融数据处理者也需要落实数据安全的技术措施和管理制度,包括网络安全、身份验证、访问控制、加密等,以防范数据泄露、篡改和其他安全威胁。
(三)金融数据治理的全球实践
美国的金融数据治理经验在于通过立法强化金融消费者隐私保护和利用市场力量推动金融数据共享。由于缺乏联邦层面统一适用的个人数据保护法律制度,美国一方面依靠州法为金融消费者个人数据提供保护,例如《加州消费者隐私保护法》(CCPA)规定了数据处理者在处理个人敏感信息时需要采取的措施以及消费者的删除权、可携权等数据权利;另一方面依靠联邦层面的金融立法明确金融机构的安全保障义务,例如《金融服务现代化法》(Gramm-Leach-Bliley Act)关注金融机构对客户隐私的保护,要求这些机构提供隐私政策,明确个人信息的收集和使用方式,《华尔街改革和消费者保护法》(Dodd-Frank Act)关注金融机构的数据合规和透明度,根据该法设立的金融消费者保护局(CFPB)也就金融消费者数据保护制定了监管规则。[11]此外,美国联邦金融机构检查委员会(FFIEC)也发布了关于网络安全的指导和要求,要求金融机构采取措施确保其网络和信息系统的安全性,以保护数据安全。在数据利用方面,美国主要依靠市场主体的创新力量推动金融数据的流通共享。在政府的鼓励下,市场积极为开放金融产品和服务制定标准和设立平台,例如美国在2018年由银行、数据服务商和金融科技公司自发成立了金融数据交易所,创建了一个致力于实现公共的、可互操作的金融数据共享生态。
欧盟的金融数据治理具有很强的个人数据权利导向。欧洲《通用数据保护条例》(GDPR)规定了个人数据的合法收集和处理原则,要求金融机构明确告知客户数据的使用目的,确保透明性,以及尊重数据主体的权利,包括访问、修改和删除个人数据的权利。除欧洲数据保护委员会协调执行GDPR以确保成员国在数据隐私方面的统一标准外,欧洲银行管理局(EBA)与欧洲证券和市场监管局(ESMA)等机构制定了相关监管标准,关注数字化金融服务的数据治理,确保其在法规框架内运作。为促进金融创新,欧盟通过《支付服务指令2》(PSD2)鼓励开放银行,促进金融数据的流通与共享。PSD2要求金融机构提供开放的API,以便第三方服务提供商能够访问账户信息。[12]为促进金融服务业的规模和竞争力,2020年欧盟制定“数字金融战略”(Digital Finance Strategy, DFS),探索建立一个欧洲数字金融平台,通过必要的标准和基础设施在不脱离数据主体控制的前提下,实现金融数据在市场主体和监管部门间的交互和利用。
中国的金融数据治理则具有明显的监管推动色彩。自2006年以来,中国人民银行等监管部门陆续发布的《关于做好金融统计数据集中工作的通知》《银行业金融机构监管数据标准化规范》《银行业金融机构监管数据标准化规范》《关于建立金融基础数据统计制度的通知》《监管数据安全管理办法》不外乎要求金融机构高质量报送业务数据。2015年,中国人民银行出台《金融消费者权益保护实施办法》,正式将消费者金融信息作为重要保护内容。随着《数据安全法》和《个人信息保护法》的陆续出台,以及国家对数据要素和数字经济日益重视,中国开始更加关注金融数据的安全保护和价值实现。[13]2018年,原银保监会印发《银行业金融机构数据治理指引》,从数据治理架构、数据管理、数据质量控制、数据价值实现等方面指导银行业金融机构加强数据治理。2020年,中国人民银行发布《金融数据安全 数据安全分级指南》的行业标准,探索建立金融数据安全分级保护工作机制和配套制度,以促进金融数据在机构和行业间的安全共享。2021年,中国人民银行发布《金融业数据能力建设指引》,规定了数据战略、数据治理、数据保护、数据质量、数据应用等能力项,按照用户授权、安全合规、分类施策、最小够用、可用不可见的原则开展金融业数据能力建设。自此,中国的金融数据治理进入了内涵更加丰富全面的新阶段。2024年3月,国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》,直接明确了国家金融监督管理总局及其排除机构对银行保险业数据安全的监管职责,并就银保机构数据安全治理架构、管理体系、技术保护、风险监测与处置以及数据分级分类和个人信息保护等方面进行制度探索,进一步深化了我国金融数据治理体系与制度框架。
二、金融数据治理中的冲突难题
(一)数据权利与数据价值的制度冲突
数据权利以私权的静态保护为旨向,强调权利在数据主体、数据控制者和数据处理者之间的明晰配置。数据价值则以效用的动态实现为旨向,强调要素在不同主体之间和不同需求场景下的流通利用。在很大程度上,产权的明晰是数据有效流通利用的前提和基础。然而,金融数据的类型复杂和现行法律不完备,导致了金融数据权利停留于一种模糊状态,难以为金融数据的流通共享和开发利用提供坚实的制度基础。并且,以个人信息保护规则和民事财产权规则为主要依据的金融数据权利制度和以金融监管规则作为主要依据的金融数据流通制度之间存在着割裂,两者之间并未形成有效接驳。
第一,模糊且复杂的数据权利结构和归属造成了金融数据流通利用的制度障碍。明确金融数据权利内容及其归属是促进金融数据流通利用的底层逻辑。[14]作为理性经济人,金融数据控制者只有在其自身利益能得到保护且不至于陷入权利纠纷的前提下,才会敢于和愿意流通数据。然而当前关于数据权利的理论争议远未平息,法律制度尚不明确,数据权利内容构成和权利归属依然是一个悬而未决的难题。“数据二十条”的“三权分置”方案仅是政策表达而非制度构建,[15]且未充分回应数据上附载的人格权益问题。而金融数据的生产过程有客户、金融机构、监管部门的共同参与,涉及个人数据、企业数据和公共数据多种类型,这就导致界分金融数据上存在哪些主体的何种权益显得尤为复杂,进而导致相关主体在数据流通中存在因担心损害他人在先权益而“不敢”流通,或担心自身权益难以得到保障而“不愿”流通的窘境。当前我国的金融数据流通主要表现为通过监管数据报送实现的从金融机构向监管部门的单向数据流动,金融机构间的数据共享不足,其所依据的金融监管规则在客观上存在对数据权利的忽视,同时由于其效力层级较低,也并不能为金融数据的全面流通提供有效制度供给。
第二,合法利益豁免并不足以为金融数据处理提供充分的制度支撑。客户数据尤其是个人金融数据是金融数据治理中最为复杂的部分,在处理这类数据时需符合《个人信息保护法》的规定。但《个人信息保护法》第13条规定了多项知情同意规则的例外情形,其中订立履行合同、履行法定职责和义务所必需等情况下,处理个人信息无须个人同意。这就为金融机构提供了一种“合法利益豁免”的通道,[16]使其能基于提供金融服务和满足监管要求而处理个人金融数据,其中自然包括除采集、使用之外的传输、提供等流通方式。然而,这种合法利益豁免虽能在一定程度上消解金融机构在处理金融数据时客户个人主张权利的风险,但并不能适用于金融机构间共享流通数据的场景,毕竟这一层面的数据流通乃是为了商业利益,明显超出了开展金融业务和满足监管要求的合理利益范围。[17]因此,金融数据在金融机构间流通共享面临着需要取得客户同意的现实障碍。
第三,金融数据的个体权益与群体价值之间缺乏制度协调。数据价值来源于数据生产和利用两个过程的结合。数据生产环节凝聚着数据生产者的巨大投入和长期积累,如果没有充足的激励约束机制,难以指望其为了他人利益、行业群体利益或公共利益主动分享高质量数据资产?相较于监管要求强行约束下的金融机构向监管部门报送数据,金融机构之间共享数据则缺乏足够的保障和激励。这一方面是因为数据确权、定价、交易等环节尚未形成统一的制度方案,通过数据共享实现财产收益依然存在诸多障碍;[18]另一方面是激烈的同业竞争下数据共享不利于掌握数据资源的金融机构维持竞争优势。事实上,金融机构基于控制金融数据能够取得个体意义上的权利和利益,金融行业基于金融数据的流通共享能够实现群体意义上的价值,但由于缺乏必要的制度协调,两者之间目前并未实现有效相容。
(二)数据流通与数据安全的目标冲突
作为数据治理的重要原则,统筹安全与发展在金融数据治理中同样适用。发展要求最大限度促进金融数据在整个金融体系中的流通利用,安全则要求最大限度确保金融数据自身处于有效保护和合法利用状态。但是金融数据流通必然会造成数据处理主体数量和处理频次的显著增加,进而形成更多的风险敞口,不利于保护金融数据安全。而强调数据安全带来的合规成本增加,也会不可避免地对数据流通形成限制。
第一,金融数据流通可能会导致个人信息泄露和数据滥用。数据流通本质上是数据的传输和再利用。[19]金融数据的流通意味着金融数据将在金融体系内的不同控制者间流转并处理,尤其是在金融机构之间共享。由于金融数据中包含大量的敏感个人信息,如金融消费者的身份信息、财产信息、交易记录等,即便对这些数据进行匿名化和脱敏处理,也不能确保不会经反向处理被还原。伴随着金融数据的流通过程,金融消费者的个人信息会在不同处理者之间传输和使用,任何一个环节出现数据的不当访问或窃取,都会造成个人信息泄露的风险。[20]更为重要的是,不论是向金融监管部门报送还是同其他金融机构共享,金融数据的副本都将脱离原始数据处理者的控制,如果缺乏有效的治理,极有可能产生数据滥用,即违反相关法律、伦理和合同约定,对金融数据进行未经授权或超越约定目的的不当利用。
第二,金融数据流通中安全防护能力差异会造成数据安全风险隐患。金融行业的数据安全问题是监管部门和金融机构自始至终的关注重点。早在2006年,中国人民银行即发布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,此后《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》《金融数据安全 数据生命周期安全规范》等一系列技术标准也陆续发布,相较于一般行业,金融行业的数据安全建设一直走在前列,金融级数据安全也被认为是极高的安全标准。然而金融体系内部的不同机构之间,客观存在着数据规模、技术能力、合规水平等方面的差异,继而各自的数据安全防护能力也参差不齐。随着金融数据进入流通,金融体系中数据安全防护能力较弱的机构可能会成为数据流通周期链条中的安全短板,进而造成数据安全风险的隐患。
第三,安全与流通的双重目标要求会给金融机构带来巨大的技术成本和合规成本。金融数据治理着眼于在安全可信的前提下完成金融数据的高质量高水平流通利用。为了实现金融数据的流通,金融机构需要搭建互联互通的数据流通平台和统一技术标准,并且要融合隐私计算、区块链等新兴技术为数据流通创造安全可信环境,API接口设计、信息系统架构调整等技术方案的研发、部署和应用都需要大量的成本投入。[21]而金融数据一旦进入流通领域,金融机构将面临更为复杂的合规挑战,不仅要开展数据采集和利用环节的合规管理,还要应对数据传输和开放共享环节的合规要求,以确保数据不被篡改和滥用,这无疑将极大地增加合规成本。[22]高企的技术成本和合规成本也许对大型金融机构影响不大,但对中小型金融机构而言则是不小的负担,这也会抑制其参与金融数据流通的积极性。
(三)规则体系与治理实践的运行冲突
推进金融数据治理已是行业共识,但实践进展却略显缓慢。[23]金融分业经营分业监管的固有格局造成了不同细分行业的金融数据各行其是,金融数据的行业属性又导致其在遵守普遍的数据治理规则的同时需要满足金融监管的特殊要求。统一且明确的规则付之阙如,叠加数据共享的条块分割和多头监管,导致了金融数据治理缺乏有机协同,呈现出一种重复低效的运行状态。
第一,监管驱动与市场驱动的路径失衡。为提升监管效能,金融监管部门要求金融机构及时报送高质量监管数据,以完成对金融市场活动的有效统计和监督。例如国家金融监督管理总局通过检查分析系统(EAST)采集银行全量的表内外业务明细数据、管理数据、账务数据、机构数据和员工数据,在监管侧开展监管合规风险点数据建模分析。2020年中国人民银行印发《关于建立金融基础数据统计制度的通知》,通过建设国家金融基础数据库进行标准化逐笔全量统计,范围涵盖存款、贷款、同业、债券、股权等各类金融工具和金融机构。监管部门持续发布政策文件以明确数据治理要求并提升监管数据质量,同时加大处罚力度以规范金融机构的数据治理。[24]反观金融市场自身,数据治理成本收益失衡和风险错配导致了市场机制失灵,金融机构自发加强数据治理的动力不足,掌握大量高质量的金融数据的金融机构因担心隐私泄露、网络安全和法律责任风险,而怠于与其他金融机构以及金融科技公司等市场主体共享,从而妨碍了金融数据发挥其应有价值,也阻碍了金融创新的竞争与发展。[25]
第二,多头处理与多头治理的复杂结构。金融机构采集、存储和使用数据,并根据用户授权和协议实现金融数据在机构间的共享,形成了金融数据治理的横向结构。监管部门要求金融机构报送数据并落实数据合规要求,形成了金融数据治理的纵向结构。由于现代金融业务的开展都以数据处理为支撑,金融机构在展业过程中会自行采集和处理各类金融数据,在有效的流通共享机制建立之前,都不会也不可能完全依赖其他机构的数据。分业经营分业监管增加了数据统合的难度,导致金融数据的分散和重合。[26]例如每家金融机构都会单独采集客户数据。这种分散的多头处理会形成“数据孤岛”(data silos),不利于数据的交互流通和高效利用。而囿于当前我国金融监管权力分配,中国人民银行、国家金融监督管理总局和证监会在各自职责范围内对金融机构分别提出了数据治理的要求,这种多头治理难以避免出现重叠。以数据报送为例,商业银行既要按照金融基础数据统计制度向央行报送数据,又要按照EAST的要求向国家金融监管总局报送数据,一家金融机构通常要面临EAST5.0、1104、CRSS等近40个监管应用,这些报送数据的内容其实存在大量重复,极大地增加了金融机构的合规成本负担。
第三,法律管控和行业自治的二元困境。当前我国金融数据治理存在着行业规则与国家法律并行、行业自治与法律管控二元分治的格局。[27]《网络安全法》《数据安全法》和《个人信息保护法》作为数据法治的基础性法律自然适用于金融数据治理,网信部门和国家数据局也自然能对其进行监管。但由于上述立法对于行业主管部门的授权,使得金融行业主管部门有权就包括数据分类分级保护、个人信息保护等在内的法律实施负有监管责任,由此金融监管部门也出台了一系列部门规章、行业规则和标准,如《金融数据安全 数据安全分级指南》《证券期货业数据分类分级指引》《证券期货业数据标准规划》等。此外,一些行业自律组织也在监管部门的支持和指导下参与到金融数据治理之中。例如中国互联网金融协会(NIFA)对金融App开展实名备案自律管理,依据行业标准《移动金融客户端应用软件安全管理规范》落实个人信息保护和数据安全要求。北京国家金融科技认证中心(NFTC)根据相关技术标准开展个人金融信息保护认证评估和金融业数据能力等级认证。然而,金融数据的行业自治难免会受到金融监管体制和思维的影响,从而偏离数据法治下的一般治理逻辑。诚然,行业自治必须在法律制度的框架内进行,但是行业规则往往会充分反映金融行业的自身特点和发展需求,往往与具备普遍适用性的法律制度存在体系和标准上的冲突,而金融行业的细分差异也会导致自治规范的碎片化,不利于金融数据治理的整体性和协调性。
三、金融数据的分层治理
金融数据本身即概念范畴宽泛且权利结构复杂,金融数据治理也内涵丰富且目标多元。过于笼统概括的治理体系将难以避免地陷入顾此失彼的混乱与矛盾,这也是当前金融数据治理困境的主要成因之一。只有充分厘清金融数据及其治理的层次脉络,区分治理范式、治理对象和治理目标的不同层次,有针对性地制定治理策略,才能克服利益交错头绪繁多的现实障碍,真正实现金融数据的有效治理。
(一)治理范式的“公私二分”
数据活动本身既涉及平等主体之间基于数据处理而形成的横向数据关系,又涉及不平等主体之间基于数据规制而形成的纵向数据关系。[28]作为指导、引领或管理某一组织事务的行动或进程,治理本身也具有横向和纵向两个维度,[29]即基于私权利的对话协商和基于公权力的指导控制。治理的双重维度与数据的双重关系适配,形成数据治理中的公法治理与私法治理的二元格局。公法治理意在通过公法设定公共权力及其运作方式,理顺数据活动中国家与社会、政府与市场的关系,实现数据市场的秩序、公平与效率,[30]而私法治理则是依靠民事权利、合同以及组织等私法规则的运行实现数据活动中利益的分配与平衡。随着共享共治的治理理念的发展,公法治理与私法治理之间的界限变得模糊,数据治理也呈现出“公私融合”的色彩。
按照公法治理与私法治理的二分格局,金融数据治理应沿着两个层次推进:一方面金融市场主体在开展业务活动时收集和处理各类数据,内部建立和完善数据处理的制度、流程和方法,根据私法规则和手段协调与客户、同业等各数据主体之间的横向关系;另一方面监管部门在实施金融监管和网络执法过程中监督和约束金融市场主体遵守法律制度和监管规则,确保数据安全合规并推动数据价值挖掘,根据公法规则和手段协调与市场主体之间的纵向关系。然而,当前我国的金融数据治理并未理顺这两大范式之间的协同关系,贯穿于金融数据全生命周期的监管要求过度扩张,抑制了市场主体自治的空间和动力,以致出现公法治理侵蚀私法治理的结构性失衡状态。这种结构性失衡本质上源于对金融数据公私属性的混淆。有学者认为金融数据兼具公私属性,私有属性在于金融数据内容高度精准且能指向具体的数据主体,公共属性则是因金融机构收集数据通常用于履行法定义务且会在金融基础设施内流动。[31]但是私有数据和公共数据在权属构造、利益关系和治理思路上均存在较大差异。如果不加区分地采取整齐划一的治理方案,无疑会造成金融数据治理体系的内在冲突。
金融数据包括金融机构采集和处理客户数据、金融交易过程中生成业务数据和经营数据,之后向监管部门报送形成监管数据。金融数据的公私属性宜根据数据来源、处理者身份以及数据形成和使用的场景予以区分:客户数据来源于接受金融服务的个人或单位,毫无疑问是具有私人属性的个人数据或企业数据;业务数据和经营数据在金融机构的业务活动中产生,由金融机构处理和控制,是属于金融机构的企业数据;监管数据来源于监管部门对金融机构的报送要求和自行采集,由监管部门控制和处理并用于监管与调控,具有典型的公共数据属性。客户数据、业务数据和经营数据经过报送进入监管部门的数据平台后也会具有公共属性,但这种公共属性源于数据类型的转化,即使作为监管数据而取得公共属性,并不影响还在金融机构控制中的客户数据、业务数据和经营数据的私人属性。
因此,金融数据治理要基于对金融数据公私属性的区分,合理地设定公法治理与私法治理的边界。对于客户数据、业务数据和经营数据等私人数据,应以私法治理为主导,允许和尊重金融市场主体通过协商和合同等方式自主开展数据治理,保障市场机制基础性作用的发挥,侧重于相关数据主体权利的保障和数据流通利用的激励。对于监管数据,应以公法治理为主导,明确监管部门数据处理的权力、义务和责任,在要求金融机构依法依规报送高质量监管数据的同时确保监管部门处理金融数据的正当性和合比例性,侧重于金融监管有效性和监管部门的数据合规。通过治理范式的“公私二分”,改变过去以监管数据质量为目标的监管驱动型治理范式,矫正公法治理过度侵蚀私法治理的结构性失衡。
(二)治理对象的“数信二分”
数据与信息的概念在很多场合下被混淆,导致了数据治理长期以来被困于数据与信息复杂关系的迷宫之中,进而在数据处理规则和个人信息保护规范之间无所适从。金融数据以客户数据和交易为基础,其中既包括个人客户的个人信息,也包括单位客户的信息,而高颗粒度的监管数据中也包含大量上述客户信息。无法排除信息主体得主张信息权益。金融数据上存在明显的“权利堆叠”效应,[32]由于当前的金融数据治理未能区分数据权利和信息权利,以至于针对数据的治理和针对信息的治理之间相互混同和掣肘,从而削弱了治理质效。其实,数据与信息是记录与被记录、形式与内容的关系,两者是紧密联系的一体两面,在对数据进行利用时要考虑其上附载的个人信息,应坚持予以区分又不能割裂的规范立场。[33]因此,有必要探索金融数据治理的“数信二分”,将金融数据与附载其上的金融信息作为彼此联系但又存在区别的两类对象予以分类规制,从而准确锚定金融数据治理的清晰路径。
针对金融信息的治理应聚焦信息的真实准确和个人信息权益保护。真实准确的金融信息既是客户权益保障和交易安全之必需,也是金融数据质量之基础,更是金融监管有效性的重要支撑。金融机构以及向其提供信息的客户、其他金融机构以及第三方,都应负有及时更正和更新相关信息的义务。美国的《公平信用报告法》即禁止任何人在知晓信息不准确的情况下向征信机构提供该信息,且在消费者有异议的情况下及时调查、修正错误信息并删除争议信息。[34]而金融数据中包含大量的个人客户信息和单位客户信息,继而存在在先人格权益。金融机构和监管部门在处理客户信息时需要依法尊重和保护个人信息权益以及企业的经营信息和商业秘密。对于个人身份信息、个人财务信息和预测个人信息等个人金融信息,应落实《个人信息保护法》的规则要求,保障客户的个人信息权益,引入个人信息风险评估并将隐私保护嵌入金融信息处理的全生命周期。[35]而对于单位客户,亦应充分保护其商业秘密和经营信息不受侵害。
针对金融数据的治理则应聚焦数据的安全与流通利用。金融数据涉及客户利益、公共利益甚至国家安全,确保金融数据处于有效保护和合法利用的安全状态,既是落实金融消费者保护的内在要求,也是维护金融安全的客观需要。因此,金融机构需要提升数据安全管理能力,建立完善的金融数据安全保护的技术规范,落实符合金融行业特点和需求的数据分级分类保护制度,加强系统网络安全防护,避免操作风险导致的数据风险。另外,金融数据的流通、共享和利用,是金融行业数字化转型的核心驱动力,也是赋能金融行业实现业务处理智能化和风险控制精准化的关键要素。因此,金融数据治理要打通金融机构间的数据壁垒,通过开放接口、数据交易、数据聚合等方式,推动标准化、高质量的金融数据在金融行业的有效流通利用。
(三)治理目标的“管用二分”
作为对金融数据进行控制进而实现其价值的系统性活动,金融数据治理有着双重目标,一是保障数据安全和隐私,二是挖掘金融数据价值。[36]前者主要体现为对金融数据获取、使用和处理全过程的统一管控,规范和约束金融市场主体的数据行为。而后者则侧重于激励和促进金融数据控制者加强数据的创新利用,同时通过数据共享提升金融行业的整体效率。申言之,金融数据治理应着眼于“数据管理”和“数据利用”两个层面。数据管理有赖于以明确的行为模式和法律后果实现金融数据处理者的行为约束,“命令—控制”式的严格管制对于此项治理目标的实现具有直接效果。数据利用则无法沿用管制思维,而是要以市场机制为基础调节金融数据主体的成本收益结构,从而实现数据资源流通共享和创新利用的激励相容。
金融数据管理目标主要依托数据合规框架实现。金融数据处理行为及其结果的正当、合法和安全是金融数据管理的核心,这就需要覆盖金融数据的采集、存储、分析、利用和报送等全生命周期的合规性要求。由于行业的特殊性,金融数据合规不仅需要做到数据安全和个人信息保护的合规,也要符合金融监管的合规要求。金融机构应加强数据安全防护能力建设,落实关键信息基础设施保护和金融数据分级分类保护制度,充分识别金融数据处理流程中的风险节点并采取相应的风险管理措施,重点做好数据存储、传输和跨境过程中的风险管理。金融机构在处理金融数据时,需要遵守个人信息保护的一般规范,落实知情同意规则、最小必要原则等个人信息处理的基本要求,以及金融消费者个人金融信息保护的特殊要求。除此之外,为实施反洗钱、反恐怖主义融资以及配合公安部门打击电信诈骗等活动,金融监管部门也对金融数据采集和报送提出了更多的监管要求,也成为金融数据处理的合规依据。
金融数据利用目标主要借助数据要素流通机制实现。金融机构展业过程中会产生海量数据资源,除供自身利用之外主要是按监管要求向金融监管部门报送,同业间的数据共享流通进展缓慢,[37]故而现有金融数据并未充分发挥其应有效用价值。数据资源是金融机构的竞争力来源,掌握大规模数据资源的金融机构往往会为维持其竞争优势而不愿共享。依循管制思维强制命令金融机构与同业共享数据既不符合产权保护的精神,亦有违市场规律。因此,有必要转换治理思维,借助市场机制的力量促进金融数据在行业内的流通利用。一方面要推动建立统一格式的数据元标准,提升各金融机构数据资源的互操作性,为金融数据跨机构高效流通利用提供基础;[38]另一方面可以探索金融行业数据交易平台,在确保金融安全和数据合规的前提下开展数据分析报告、数据应用、数据API等数据产品的交易,实现金融数据在行业内的充分利用。此外,还可以针对具有公共属性的监管数据开展授权运营的探索,激活监管数据的价值。
四、金融数据的耦合治理
金融数据治理的外延极其丰富,涉及金融、技术、数据以及制度等多个方面,存在着不同治理立场、治理手段和治理路径的复杂交错。这也使得金融数据治理的模式选择面临内在的冲突和阻碍。客观上讲,金融数据治理绝非一般意义上的数据治理,更不是碎片化治理的简单叠加,而是要充分结合金融数据的行业属性、技术特征以及主体结构进行系统性构建,通过治理路径的有机耦合提升金融数据治理效能。
(一)金融监管与数据治理的耦合
数字技术给传统金融体系带来了巨大变革,金融监管与数据治理之间界限开始模糊。首先,数字金融的发展使得数据成为金融市场关键要素。随着金融数字化转型,数据对金融机构运行和金融交易开展的重要性日益加深,原本以资金为核心要素的金融市场对于数据的需求和依赖程度也不断提升。交易执行、资产登记、风险评估以及投资决策的过程都离不开金融数据处理。在某种意义上讲,金融数据处理已成为金融活动的有机构成,与金融效率、金融安全以及金融消费者保护息息相关,当然地会成为金融监管的关注重点。其次,监管科技的应用使得数据成为金融监管的重要支撑。[39]金融数据能够为监管部门运用大数据、人工智能等技术监测市场运行状况和发现违规欺诈行为提供基础性资源。金融监管部门积极应用监管科技提升监管能力,须臾离不开海量的数据作为支撑。因此,监管部门的日常监管活动在很大程度上建立在处理金融数据的基础之上。最后,金融监管部门承担着金融数据治理的行业主管职责。根据《数据安全法》第6条和《个人信息保护法》第60条,金融监管部门负责本行业内的数据安全监管和个人信息保护监管。这就意味着金融监管部门在金融稳定和消费者保护两大监管目标之外,还需要履行数据治理的监管职责。基于此,金融数据治理既要坚持一般意义上数据治理的立场,又不可避免地落入金融监管的框架之中。
然而,金融监管与数据治理的体系框架并不协调。首先,囿于当前我国金融监管体制,金融监管权力由中国人民银行、国家金融监督管理总局和证监会行使,三大监管部门均在推动金融数据治理上发力,缺乏统筹协调下的政出多门难免会导致规则冲突和标准不明,也在事实上造成了银行业、证券业和保险业金融数据的条块分割,以及监管数据的重复报送和利用受限。其次,金融数据治理的主要制度依据源于监管部门的规章和文件,存在效力层级较低的弊端,与数据基础法律制度的衔接不足,加之金融法律的特殊规定以及金融行业与公共利益的高度关联,从而导致金融数据治理的规则体系与普通数据治理规则有一定差异,进而加剧金融数据治理的神秘主义。最后,游离于监管灰色地带的类金融机构以及金融科技公司也会处理大量金融数据,但因为金融监管的不足可能会导致其处于金融数据治理的真空。[40]此外,金融监管的路径依赖也造成了金融数据治理的监管化导向,即监管部门主要以服务监管目标而开展金融数据治理,对金融数据的管控有余而流通利用不足。
因此,金融数据治理有必要实现金融监管和数据治理的耦合,实现金融监管与数据治理的有机协调。具体而言,一是要将金融数据治理纳入金融监管的核心指标,以常态化的监管措施牵引金融市场主体落实金融数据治理要求,强化事前事中事后监管,规范金融机构数据行为并推动数据价值挖掘。二是要设立统一的金融数据治理协调机制,由中国人民银行牵头统筹整个金融行业的数据治理工作,打破监管权力分割带来的金融数据治理的行业障碍。
(二)法律治理与技术治理的耦合
数据是由法律和技术规则构成的社会关系,[41]数据治理既离不开法律对数据关系的有效调整,也离不开技术规则对数据处理流程的规范约束。数据的法律治理和技术治理存在不同的底层逻辑,前者在于通过明确数据行为的行为模式和法律后果实现治理目标,后者则是通过技术架构实现对数据行为的约束。[42]然而,法律治理不能脱离数据的客观技术原理任意建构,同时技术架构的设置也会受到法律规范的约束和影响,两者之间存在紧密的关联性。因此,法律治理与技术治理的耦合既是数据治理技术性的现实需要,也是数据治理协同性的内在要求。
金融数据治理中法律治理与技术治理的耦合,核心在于法治思维和技术思维的有机协同和一体推进。[43]一方面,要通过建立和完善相关法律制度和监管规则,将金融数据治理纳入法治轨道,明确客户、金融机构和相关主体在金融数据处理全流程的权利、义务和责任,优化金融数据治理的体制机制,厘清监管部门和市场主体的职责和边界,发挥法律制度的激励约束功能。另一方面,要通过开发和运用科学方法与技术工具,[44]为金融数据的处理和流通构建安全、可信和便捷的系统环境,运用区块链、隐私计算等数字化技术促进金融数据的安全与共享,加强监管科技和合规科技的研发与应用,挖掘技术在金融数据治理中的场景和潜能。更为重要的是,法律治理要回应和保障技术治理的顺利实现,通过赋权和规范,实现技术治理的手段和方法的法治化,而技术治理也要在法律治理的框架下有序开展,避免技术风险和技术滥用。
具体而言,一是要落实金融数据技术风险管理的监管要求,提升金融体系数据风险防控的技术能力,同时避免数据技术应用过程中的风险暴露。例如国家金融监督管理总局等五部委联合发布《关于规范货币经纪公司数据服务有关事项的通知》,要求货币经纪公司提升信息科技外包风险管控能力,严格控制生产系统访问权限,确保网络和数据安全,即是通过监管规则落实对技术应用的约束。二是要推进金融数据的标准化和互操作性。分业经营多头处理下的金融数据存在格式不统一和兼容性不足的问题,导致了金融数据质量参差不齐且共享条件差等问题。在监管数据报送统一格式的基础上,建立行业内统一的金融数据采集、标注、存储、传输、应用、安全的标准体系,可以极大地降低金融数据横向共享成本,增强同业金融数据的互操作性,改善金融数据治理的生态。三是完善金融数据流通基础设施。监管部门或行业协会可以推动设立金融数据流通交易平台,通过隐私计算和数据监控确保数据安全以及数据流通的可控可追溯,为金融数据接入、存储、分析和共享提供安全高效的可信数据空间。[45]
(三)外部约束与内部控制的耦合
金融数据治理是整个金融行业拥抱数字化转型挑战的共同任务,金融机构、客户以及整个金融市场都将从良好的金融数据治理中受益,同时都能够而且应该在金融数据治理中发挥应有作用。因此,金融数据治理体系应当建立在行业共治共享的理念和制度之上。[46]然而,由于开展金融数据治理必然会带来合规成本、技术成本和管理成本的增加,如何激发金融市场主体的动力是金融数据治理需要解决的关键问题。然而正如前文所述,我国监管驱动型的金融数据治理存在对外部约束的过度依赖,金融机构虽有推进数据治理的内生动力,但由于大型机构为维护竞争优势而中小型机构缺乏充足资源,[47]机构内部的数据治理具有明显的封闭性。
事实上,来自监管部门的外部约束以及来自金融机构自身的内部控制,都是加强金融数据治理的重要路径。监管部门通过制定金融数据治理的总体规划和原则框架,完善金融业数据能力建设的统一要求和金融数据处理的规则体系,能够建立具有普遍适用性的金融数据治理底线标准,并在相应监管措施和行政处罚的威慑下形成对金融机构的有效约束。而金融机构自身则是通过将数据治理纳入公司治理,设置专司金融数据治理的岗位和部门,制定数据战略和数据管理制度,在业务执行中提升数据质量并挖掘数据价值。例如《银行保险机构数据安全管理办法》要求银保机构建立全覆盖的数据安全管理组织架构,明确董(理)事会、归口管理部门、业务部门、风险合规与审计部门、信息科技部门的责任分工,共同构筑起数据安全的内部控制机制。[48]外部约束与内部控制的两种路径虽起点不同但殊途同归,最终都能够显著提升金融数据治理质效并促进治理目标实现。问题的关键在于要加强监管部门与市场主体之间的协作与联动,促进外部约束与内部控制之间从割裂走向耦合,实现多元主体协同共治的合力。[49]
一方面,要加强监管部门与金融机构的对话合作。监管部门应充分听取市场主体的诉求和意见,合理设置金融数据治理的政策和规则,避免“一刀切”式的治理要求给中小金融机构造成难以承受的合规负担。金融数据治理不宜过度依赖监管驱动,更不能以服务监管为导向,而是要更加重视发挥金融机构作为市场主体的积极性和主动性,通过合理的机制设计鼓励其发挥主体性功能。另一方面,要充分发挥行业协会在金融数据治理中的结构性功能。行业协会作为自律组织既体现着金融机构的共同意志,又在很大程度上反映着监管部门的官方意志,是外部约束与内部控制的理想结合点。可以发挥行业协会一线地位和专业优势,推动其在金融数据治理的标准制定、规则论证和实践引导等方面发挥更大作用。
五、结语
金融数据治理是金融体系数字化转型和数字金融发展的关键环节。对于金融活动过程中产生的海量数据,既要确保数据安全并防止个人信息泄露和滥用,又要实现数据有效利用以充分挖掘其价值。然而,分业经营的行业格局以及多头参与的治理体系造成了金融数据治理的割裂,监管驱动的路径依赖以及金融机构数据治理能力的参差不齐也制约着内生动力的发挥,更为重要的是金融数据治理涉及多元制度、多重目标以及多样主体且未得到有效区分,导致金融数据治理体系呈现出一种复杂的混同状态。清晰地梳理金融数据治理的内在结构与逻辑理路,是准确把握金融数据治理的本体范畴和方法路径的前提。只有廓清金融数据治理在治理范式、治理对象和治理目标等方面的层次差异,同时推动不同治理立场、治理手段和治理路径的有机耦合,才能避免治理过程中的无所适从与顾此失彼,真正实现有效的金融数据治理,从而促进我国现代金融体系的高质量发展。
[1]参见张凯:《金融数据治理的突出困境与创新策略》,载《西南金融》2021年第9期。
[2]参见黄茂钦、周坤琳:《金融数据治理的激励与规制路径探析》,载《中国应用法学》2020年第6期。
[3]陈振云:《我国金融数据治理法律构建的三个维度》,载《贵州大学学报(社会科学版)》2022年第5期。
[4]《金融数据安全 数据安全分级指南》,JR/T 0197—2020。
[5]Douglas W. Arner, Giuliano G. Castellano & Eriks K. Selga, Financial Data Governance, 74 Hastings Law Journal, 235(2023).
[6]参见张凤娜、刘任重:《银行数字化转型背景下金融数据治理研究》,载《黑龙江金融》2023年第8期。
[7]参见苏海雨:《金融科技背景下金融数据监管模式构建》,载《科技与法律》2020年第1期。
[8]参见李浩光:《数据挖掘在防范金融风险中的研究及应用》,载《计算机安全》2014年第2期。
[9]高富平:《数据流通理论——数据资源权利配置的基础》,载《中外法学》2019年第6期。
[10]许可、尹振涛:《金融数据开放流通共享》,载《中国金融》2019年第4期。
[11]See Amanda Lindner, Exploring Financial Data Protection and Civil Liberties in an Evolved Digital Age, 28 Fordham Journal of Corporate and Financial Law, 271(2023).
[12]尚博文:《从“开放银行”到“开放金融”:金融数据要素流通的治理应对》,载《金融监管研究》2023年第11期。
[13]许可:《数据要素市场的法律建构:模式比较与中国路径》,载《法学杂志》2023年第6期。
[14]黎四奇、王威:《金融数据共享利益冲突平衡的法律进路》,载《财经理论与实践》2023年第5期。
[15]程啸:《论数据权益》,载《国家检察官学院学报》2023年第5期。
[16]谢琳:《大数据时代个人信息使用的合法利益豁免》,载《政法论坛》2019年第1期。
[17]朱芸阳:《个人金融数据保护的逻辑和规则展开》,载《环球法律评论》2021年第6期。
[18]参见闫夏秋、郭玲玲:《个人金融数据的法律治理及进路——基于个人金融数据双重属性视角的分析》,载《价格理论与实践》2023年第5期。
[19]王利明:《数据共享与个人信息保护》,载《现代法学》2019年第1期。
[20]参见张敏:《数据交易中的伦理问题及其法律规制》,载《上海政法学院学报(法治论丛)》2023年第6期。
[21]吕仲涛:《完善数据要素流通环境赋能数字金融发展》,载《现代商业银行》2023年第13期。
[22]参见杨帆:《金融监管中的数据共享机制研究》,载《金融监管研究》2019年第10期。
[23]参见董小君、宋玉茹:《加快推进我国金融数据治理现代化研究》,载《行政与法》2022年第8期。
[24]仅2023年第3季度,中国人民银行及国家金融监督管理总局即向银行保险业金融机构开出数据罚单425张,罚款金额76.9亿元,涉及266家法人。参加毕马威:《“监”听则明:金融业监管数据处罚分析及洞察建议(2023年三季度)》,https://kpmg.com/cn/zh/home/insights/2023/11/financial-industry-regulation-2023-q3-data-penalty-analysis-and-insight-suggestions.html,访问日期:2023年12月16日。
[25]BIS, Report on Open Banking and Application Programming Interface, 13-15(2019). See https://www.bis.org/bcbs/publ/d486.htm,访问日期:2023年12月23日。
[26]张阳:《金融交易数据的监管应用——以交易报告库为中心》,载《财经法学》2022年第3期。
[27]刘志云、连浩琼:《金融数据的二元治理困境及融合路径》,载《厦门大学学报(哲学社会科学版)》2023年第6期。
[28]何渊:《论中国式数据治理的法律逻辑》,载《数字法治》2023年第3期。
[29]石佳友:《治理体系的完善与民法典的时代精神》,载《法学研究》2016年第1期。
[30]参见罗豪才、宋功德:《公域之治的转型——对公共治理与公法互动关系的一种透视》,载《中国法学》2005年第5期。
[31]郑丁灏:《论中国金融数据的协同治理》,载《经济学家》2022年第12期。
[32]参见许可:《论个人数据权利堆叠规范》,载《法学评论》2023年第5期。
[33]参见申卫星:《数据权利体系再造:迈向隐私、信息和数据的差序格局》,载《政法论坛》2022年第3期。
[34]参见明瑶华:《个人信用信息提供的法律规制研究——基于中美征信法治之比较》,载《经济法论丛》2018年第1期。
[35]邢会强:《大数据时代个人金融信息的保护与利用》,载《东方法学》2021年第1期。
[36]陈振云:《我国金融数据治理法律构建的三个维度》,载《贵州大学学报(社会科学版)》2022年第5期。
[37]袁康、程扬:《金融科技的数据风险及其防控策略》,载《北京航空航天大学学报(社会科学版)》2023年第2期。
[38]参见陈媛媛、赵晴:《全球治理观下的数据流通与共享机制:数据中介服务》,载《情报资料工作》2023年第3期。
[39]参见杨东:《监管科技:金融科技的监管挑战与维度建构》,载《中国社会科学》2018年第5期。
[40]参见郭雳:《数字化时代个人金融数据治理的“精巧”进路》,载《上海交通大学学报(哲学社会科学版)》2022年第5期。
[41][美]索洛姆·维尔琼:《数据治理的关系理论》,林少伟译,载《上海政法学院学报(法治论丛)》2023年第2期。
[42]参见[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2018年版,第134—137页。
[43]参见袁康:《金融科技的技术风险及其法律治理》,载《法学评论》2021年第1期。
[44]参见兰立山:《技术治理的伦理风险及其应对之策》,载《道德与文明》2023年第5期。
[45]参见包晓丽:《可信数据空间:技术与制度二元共治》,载《浙江学刊》2024年第1期。
[46]黄国平:《创新和重塑数据治理体系——以金融数据治理为例》,载《经济管理》2023年第1期。
[47]Cesare Fracassi, William Magnuson, Data Autonomy, 74 Vanderbilt Law Review, 327(2021).
[48]参见《银行保险机构数据安全管理办法(征求意见稿)》,https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155853&itemId=951,访问日期:2024年4月20日。
[49]参见郭雳:《数字化时代个人金融数据治理的“精巧”进路》,载《上海交通大学学报(哲学社会科学版)》2022年第5期。
声明:本文来自《法学杂志》2024年第3期“数字法治专题”,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
数字化转型网数据专题包含: 数字化转型网(www.szhzxw.cn)
1、数据相关外脑支持:100+数据相关专家、100+数据实践者、1000+相关资料
2、数据研习社:与全球数据相关专家、实践者共同探讨相关问题,推动产业发展!
3、国际认证培训:目前已引进DAMA国际认证CDMP,其他国内外认证也在逐步引进中
4、典型案例参考:与数字化转型网数据要素X研习社社员一起学习典型案例,共探企业数据落地应用
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于《法学杂志》2024年第3期“数字法治专题”,作者:袁康(武汉大学法学院教授,武汉大学网络治理研究院副院长);编辑/翻译:数字化转型网默然。
