陈振云

(上海政法学院 国际法学院,上海 201701)

随着科技与金融的深入融合，金融业数字化的步伐明显加快。在此过程中，数据从过去一度被视为金融业务运营的副产品一跃成为推动金融业务发展的核心要素，其本身所蕴含的经济属性和价值属性愈发受到国家和全社会的关注与重视[1]。2019年10月，党的十九届四中全会公报正式将数据视为一种生产要素。2020年4月至5月，中共中央、国务院相继发布《关于构建更加完善的要素市场化配置体制机制的意见》《关于新时代加快完善社会主义市场经济体制的意见》，进一步指明了加快培育数据要素市场的具体方向；
同年10月29日，党的十九届五中全会通过了《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》，进一步明确了提高数据治理水平，为数字化全面转型夯实基础，同时要积极建立和参与相关配套制度和标准规范、以及相关领域的国际规则和标准制定，为数字化全面转型营造良好的法治环境。

进入大数据时代，伴随着人工智能、区块链、云计算以及大数据等新兴数字技术手段对传统金融行业带来前所未有的冲击，不仅金融服务理念、经营模式、金融业态与产品迭代更新频繁，数据量更是呈现指数式增长[2]。在此背景下，数据在业务运营、战略决策以及风险处置方面起到关键作用，因此如何有效利用数据成为金融机构亟需解决的重要议题。一方面，这对金融数据质量提出了更高的要求；
另一方面，这也引起了日益凸显的数据安全问题。实现金融数据治理的双核目标，即“挖掘金融数据价值”和“保障数据安全及隐私保护”，做好两者之间的平衡和兼顾，确保金融数据治理的有效运行和健康发展，必须解决以下几个问题：如何确立金融数据权属；
如何兼顾金融数据共享开放和保护数据安全与隐私；
如何构建金融机构内部数据管理的体制机制等。针对上述问题，本文将详细阐释金融数据治理的内涵和必要性，借鉴国外数据治理的立法与实践，结合我国金融数据治理的法律法规和实际情况，力图完善金融数据治理的规制架构。

(一)金融数据治理立法面临的基础性法律问题

1.金融数据概念界定的困境与反思

首先，在理论研究层面，鉴于金融数据的经济和社会双重属性，加之缺乏与其相关的系统性研究，金融数据的权属定性变得困难重重。相反，数据权属的研究则出现另一番景象，成果颇多且衍生诸多学说，譬如财产权说、人格权说以及新型权利说等[3]111。

其次，在法律法规层面，国内尚未对金融数据有较为清晰的概念。迄今为止，金融数据或金融信息的内涵或外延究竟如何，现行法律付诸阙如，部门规章亦未做出明确界定(1)数据和信息在目前法律文件和法律论述中并没有严格区分，两者混用的情形居多。。因此，实现金融数据规制法定化的必由之路是亟需立法部门进一步明确“信息”“数据”的定义[3]112。

再次，在语义层面，数据与信息之间既存在密切的内在联系，又有显著的区别，是形式与内容的关系[4]。简单而言，本文所探讨的数据是指在数字技术语境下的电子数据，它是信息的存在形式或记录本身[5]152-153。2021年6月颁布的《数据安全法》就是基于上述理解将“数据”定义为“任何以电子或者其他方式对信息的记录”(2)参见《中华人民共和国数据安全法》第三条。。相对应，信息是该等数据被读取和解读的内容。

最后，金融数据的内涵比个人金融信息的范畴要大得多。其原因在于：一是金融数据既包括金融机构收集的原始数据，又包括被加工后的信息；
二是鉴于金融机构的客户包含个人客户和企业客户，与之对应，其收集、处理的数据同时涉及个人金融信息和企业客户信息[6]83。

综上所述，本文结合既有研究和相关立法实践， 将金融数据界定为金融机构通过开展业务、服务或其他合法渠道获取、加工和保存的数据，该数据承载和反映个人与企业的相关信息(3)本文聚集个人数据。。

2.数据权属的学术争论

在数字经济时代，作为新型且关键生产要素，互联网市场围绕数据的竞争日益激烈。从2016年新浪微博诉陌陌案、大众点评诉百度地图案，到2017年菜鸟与顺丰、腾讯微信与华为的数据之争，再到2019年腾讯微信/QQ诉今日头条抖音/多闪案，每个纠纷都引发了对数据权属问题的关切。因此，厘清数据权属边界是建立数据秩序的必要条件。

首先，数据本身所蕴含的复杂属性和承载的多重权利义务关系，几乎不可能通过单一理论一劳永逸解决数据权属问题，会引发广泛争议，像2016年6月公开征求意见的《民法总则(草案)》曾将数据信息作为知识产权客体。对此，在《民法总则》的正式文本中，第127条明确规定：“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，为未来继续探讨数据的权利属性留下了空间。

其次，数据作为什么权利的客体，这也是数据权属问题的核心关切，需要结合不同的数据类型进行讨论。目前来看，数据大体上分为三类，即个人数据、政府数据和企业数据。从个人数据保护法律视角来看，个人数据尽管其范围和判断标准仍有分歧，但其本身是一个比较明确的法律概念，即与个人相关的，且能够识别个人身份的信息[7]2-3。在政府数据开放共享的大背景下，政府数据是公民对数据的知情权、访问权和使用权的客体，其定义是政府部门利用国家财政资金，在履职过程中所采集的数据。因此，政府数据具有公共产品属性[8]，同时蕴含极大的经济和社会价值。相对于个人数据和政府数据都有着比较清晰的法律规范体系，企业数据的法律属性则最模糊，也是引发争议的焦点所在。在近些年有关企业之间数据纠纷的司法实践中，法院一直通过竞争法路径来承认和保护企业数据权益，其背后的逻辑就是要秉持公序良俗原则以及尊重市场规律，更是反映了经济学规律[4]。与司法实践中适用竞争法相比，我国学界更热衷于数据财产赋权的探索，并涌现出数据权人身与财产双重属性说、数据财产权说、数据知识产权说、数据用益物权说以及数据有限排他权说等[9]。

最后，法学界对企业数据权属的探讨仍有分歧，但达成了两个方面的共识：第一，企业数据权属的界定并不否认原始数据主体的权利，这就意味着企业数据中如果包含个人数据，其处理和使用要符合个人信息保护法律法规的要求；
第二，积极探索构建科学合理的数据权利体系，这有利于解决市场激励问题，帮助市场主体消除疑虑，对数据投资形成稳定预期。

(二)域外金融数据治理立法的国际经验

在数字经济时代，金融业无疑是数据密集型行业，其创新和发展严重依赖于数据的处理和分析，而金融数据又恰恰涉及个人敏感信息且可识别度高，相应地对风险管控能力、数据保护能力以及技术处理手段提出了更高的要求。欧盟、美国和英国作为金融数据治理的立法先行者和实践标杆，深入剖析三者立法思路与特征，可以为我国金融数据治理立法路径提供有益的借鉴思路。

1.欧盟

(1)欧盟数据治理立法的历史沿革

欧盟立法者较早制定了数据开放与安全的策略。欧盟委员会于1989年通过了第一份针对重复使用公共部门信息方面的文件，旨在成为“各国政府鼓励使用和利用公共部门数据和信息的积极举措”[10]。1995年，欧盟委员会采取了极其重要的一步，通过了《欧盟数据保护指令》。次年，欧盟委员会为了保护非个人数据，通过了《数据库指令》，其中包含关于非个人数据库版权和特殊权利的条款。1998年，在成员国之间技术和法律程序方面缺乏透明度和立法协调的背景下，欧盟委员会通过了《公共部门信息绿皮书》以便更好地为企业和公民利用非机密信息。2002年，欧盟颁布了第一个《电子隐私指令》，该指令规定了电信服务商应如何管理其用户的数据，并于2009年进行了修订。《公共部门信息指令》更侧重于为了经济目的而重新使用信息，分别在2013年和2017年修订，最终被2019年7月16日生效的《开放数据指令》所取代[11]。

2010年以来，欧洲立法者对数据的关注力度逐步加大并推出了一系列数据战略报告和重量级的数据立法，例如：2015年推出的《采用数字单一市场战略》、2016年5月25日起生效的《通用数据保护条例》(General Date Protection Regulation,以下简称GDPR)、2019年7月16日生效的《开放数据指令》、以及欧盟委员会2020年2月19日出版的《数据战略》。受到对当前大规模部署缺乏明显保障措施的人工智能技术的监管紧迫性和道德框架未能充分回应问责和公正要求的驱动，欧盟决策者在实施/吸收消化GDPR的基础上迅速采取行动，加大了对人工智能领域的监管，尤其在数据保护、算法责任和生物特征/面部识别保障等方面，同时也酝酿着有关算法和数据的新一轮立法。

在个人金融数据保护方面，欧盟采取统一立法方式，通过一系列法律文件(4)这些法律文件包括《另类投资基金经理指令》《反洗钱指令》《资本要求规则》《电子货币指令》《通用数据保护条例》《电子隐私指令》《网络和信息系统指令》《金融市场基础设施指令》《支付指令》《不公平商业行为指令》《金融服务远程营销指令》《保险分配指令》以及《抵押贷款指令》等。，成为公认的个人数据开放与保护水平最高的区域。欧盟个人金融数据保护制度框架首先立足于该地区对开放银行的核心监管法律文件《支付服务指令》和《支付服务指令II》，同时通过数据立法、金融监管立法与商业行为准则，围绕数据保护、网络安全以及金融消费者权益开展协同规制。

(2)欧盟GDPR评析

2018年5月25日起生效的GDPR不仅体现了欧盟长期致力于个人数据隐私保护的传统，更是欧盟立法者面对数字经济时代不断地涌现新技术发展的前瞻性思考和战略性探索，尽可能平衡兼顾数据主体权利和其他正当权益，为全球提供一套以欧盟规则为范本的数据治理规则体系，使欧盟成为全球数字经济秩序的引跑者[12]。GDPR统一了欧盟内个人数据保护立法，推动了欧盟内部数据流动的安全高效，相较于1995年《数据保护指令》，GDPR进一步加强了对欧盟数据主体的权利保护，主要体现在以下几个方面:

一是大幅扩展GDPR的适用范围。1995年《数据保护指令》的适用范围仍依据传统的管辖权范畴，即属地因素，这意味着只有设立在欧盟或使用欧盟境内的设备进行了个人数据处理活动(除传输通道外)才会落入规制范围(5)Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individual with regard to the processing of personal data and on the free movement of such data.。GDPR则扩大了法律的适用范围，在“属地”因素的基础之上还增加了“属人”因素[13]104。具体而言，针对设立在欧盟的机构，GDPR着重强调了无论数据处理的活动是否发生在欧盟境内，都必须遵守GDPR第3条第1款；
对于那些设立在欧盟境外的机构来说，只要其数据处理活动涉及欧盟境内数据主体的个人数据，包括对欧盟境内个人活动的监控行为，也要受到GDPR规制(6)参见GDPR第3条。。

二是进一步夯实数据主体的权利。对比1995年《数据保护指令》，GDPR增设了新型的权利类型，其中最引人注目的是删除权(被遗忘权)和数据可携带权(7)参见GDPR第17条和第20条。， 同时延展了知情权和访问权(8)参见GDPR第12条、第13条和第15条。。总之，GDPR对数据主体的权利规定得如此详实细致，不仅极大地提升了数据主体对于个人数据的实际控制能力，为个人权利保障提供了坚实的法律基础，也对企业如何保障实现数据主体的权利提出了更高的具体要求，而且对企业的数据治理体系构建产生了深远影响。

三是严格问责数据控制者和处理者。虽然1995年《数据保护指令》中提出了数据控制者、数据处理者两个主体概念，但是绝大多数法律要求都是针对数据控制者提出的，鲜有涉及处理者责任。GDPR则直接将数据处理者纳入到规范的范畴，明显加重了数据控制者和处理者的责任，对两者的约束规范十分严格，主要体现在：GDPR规定了控制者和处理者对于数据处理活动的记录义务(9)参见GDPR第30条。；

GDPR规定了对于高风险的数据处理活动，要事先进行数据保护影响评估(10)参见GDPR第35条。；

GDPR规定如果数据保护影响评估的结果是高风险，数据控制者则应当就相关数据处理活动向监管机构进行事先协商，监管机构应当在收到协商申请的特定期限内提出处理意见(11)参见GDPR第36条。；

GDPR规定了一旦发生数据泄露事故，数据控制者应当在72小时内向监管机构报告，若未能在72小时内通知监管机构的，需要解释延迟原因，而数据处理者应当在知晓数据泄露发生后及时告知数据控制者(12)参见GDPR第33、34条。；

GDPR对于数据安全保障措施，提出了数据控制者与处理者同等的且更加具体的要求(13)参见GDPR第32条。；

GDPR还特别细致规定了数据控制者与数据处理者之间的合同内容，同时将数据监管机构的监管权力从控制者延伸至处理者(14)参见GDPR第28条和82条。。

四是监管一致性机制、严苛的处罚机制与司法救济机制。首先，GDPR在规定了监管机构独立性之外，还明确规定了欧盟监管机构一致性机制，即面对欧盟成员国多个监管机构的情形，为了减少监管成本和企业合规成本，主导监管机构应当与其他监管机构通过一致性机制相互合作、相互协助，彼此分享相关信息，并在恰当的时机开展联合行动，同时与欧盟委员会加强配合(15)参见 GDPR第63条。。其次，GDPR加重了处罚力度。根据GDPR的规定，如果数据控制者或处理者没有实施充分的IT安全保障措施，或者没有提供全面的、透明的隐私政策，没有签订书面的数据处理协议的话，处以1 000万欧元或者企业上一财政年度全球营收的2%，两者取其高；
如果数据控制者或处理者违反数据处理的一般性原则(包括同意的条件)，侵害数据主体的合法权利，或拒绝监管机构的执法命令的话，处以2 000万欧元或企业上一财政年度全球营收的4%，两者取其高(16)参见GDPR第83条。。最后，GDPR规定了若不服监管机构做出的决定或监管机构不作为，当事主体可以寻求司法救济。如果数据控制者或处理者因违反GDPR而导致数据主体遭受物质上或非物质上的伤害，数据主体有权向数据控制者或处理者提出损害赔偿。GDPR同时也规定了消费者机构可以代表数据主体行驶上述司法救济的权利(17)参见GDPR第26条、第80条以及第82条。。

2.美国

与欧盟不同，尽管美国频繁遭受网络攻击和经历了无数次数据泄露事件，尤其是脸书数据泄露事件引发了美国社会各界的高度关注，目前联邦层面的统一隐私立法在国会依然没有任何实质性进展。相反，作为最早提出隐私权的国家(18)1890年，山姆莉·D·沃伦(Samuel D.Warren)和路易斯·D·布兰戴斯(Louis D.Brandeis)共同完成了一篇经典论文《论隐私权》(Right to Privacy)，发表在《哈佛法学评论》第4卷第5期上，重点论述了隐私权的基本概念和作为一种新型权利类型的法律保护原则。，美国数据隐私保护立法呈现出非常分散、复杂和技术化的特征，根据各行业的特点有针对性地制定了至少12部不同的联邦法律[13]102。

(1)联邦立法

在金融隐私权保护方面，美国国会在1978年通过了《金融隐私权法》(Right to Financial Privacy Act),该法要求联邦机构只有获得金融机构消费者的授权、行政传票、司法传票或者搜查令的情形下，金融机构才能向前者提供消费者的金融记录[14]。1999年《金融服务现代化法》第五部分专门对金融消费者隐私权保护进行了规定，明确要求金融机构具有尊重客户的隐私、保护客户非公开个人信息的安全和保密性的确定和持续的义务[15]。作为联邦执法机构，联邦贸易委员会对该法案的实施主要依靠两份细则：一份是隐私规则，为了实现保护隐私的目的；
另一份是安全保障规则，为了实现保护数据安全的目的[16]。2010年7月，美国颁布了《多德-弗兰克华尔街改革和消费者保护法案》，其中为金融隐私领域增设了一个消费者金融保护局[17]。此外，联邦层面涉及消费者金融隐私保护的法律还有《公平信用报告法》《公平和准确信贷交易法》《电子资金转账法》，以及《公平信贷机会法》等[18]。

(2)州级立法

随着网络攻击和数据窃取越来越普遍，作为互联网科技企业的重镇，加利福利亚州于2002年颁布了《数据泄露通知法案》，这也是全美数据泄露制度的起源。随后，各州也纷纷效仿分别制定出自己的《数据泄露通知法案》。数据泄露制度主要有两种功能：一是为企业保护敏感信数据提供驱动力；
二是通知数据泄露的个人，使其能够做出反应以减少潜在的损害[7]104。然而，事实证明鉴于数据泄露事件频发，该法发挥的实际作用其实并不尽如意。在2018年爆发大规模数据泄露事件的影响下，各州迅速做出回应进一步修订《数据泄露通知法》，其中有一条规定是向受到数据泄露影响的个人提供免费信用监测服务[7]105。在州级诸多立法中，最引人注目、影响也最深的就是加州2018年6月公布的《2018年加州消费者隐私法案》(California Consumer Privacy Act of 2018,以下简称CCPA),此后CCPA又经历了大量修订于2020年1月1日正式生效。最近一次重大变化是2020年11月3日加州大选投票中出现的24号提案(投票倡议)，即《2020年加利福利亚州隐私权法案》(CPRA)，获得了大多数选民的批准，将于2023年1月1日正式生效[19]。CPRA进一步增强了消费者权利，允许消费者可以阻止企业分享他们的个人数据、收集不完整的个人数据和限制企业使用敏感个人信息，诸如精准定位、种族、宗教信仰、基因数据、私人通讯、性取向和具体的健康信息等，同时设立专门的隐私保护机构，即加州隐私保护局，该机构的具体职责包括：执行该州的隐私法、调查和惩处违法者。

3.英国

2010年，面对银行的僵化与保守，英国竞争与市场管理局(Competition and Markets Authority,简称CMA)率先提出开放银行的正式概念，旨在提升银行间竞争，改善客户体验[20]。2015年8月，英国财政部下令成立开放银行工作组(Open Banking Working Group,简称OBWG)，并于次年3月推出《开放银行标准》(Open Banking Standard)，该标准充分考虑了欧盟《第二代支付服务指令》(PSD2)和监管技术标准的要求，主要涵盖以下几个方面的内容：数据标准、应用程序编程接口(API)标准、安全标准以及运行治理模式[21]。此后，推广开放银行的主导权交由CMA，而CMA早在2014年11月10日发起过面向个人和中小企业的银行服务市场调查，并于2016年8月9日发布了最终的调查报告[22]。报告指出了目前英国银行业的弊病和面临得各种问题，这种状况既不利于银行业的良性竞争与发展，同时又侵害了消费者的权益。鉴于此，CMA提出了一揽子改革措施，其中最核心的要义就是实施开放银行[23]。为此，根据CMA的命令[24]， 由英国9家最大的零售银行于2017年出资共建了一个独立组织被称之为开放银行实施实体(Open Banking Implementation Entity,简称OBIE)(19)9家银行包括HSBC(汇丰银行)、Barclays(巴克莱银行)、RBS(苏格兰皇家银行)、Santander(桑坦德银行)、Bank of Ireland(爱尔兰银行)、Allied Irish Bank(爱尔兰联合银行)、Danske Bank(丹麦银行)、Lloyds(劳埃德银行)和Nationwide(英国全国银行)。， 其宗旨是推动开放银行的落地实施，巩固英国在该领域的领先地位。

总体来说，英国属于监管政策驱动的开放银行发展模式，即监管部门颁布相关监管政策，强制要求银行开放数据给英国金融市场行为管理局(Financial Conduct Authority,简称FCA)审核认证的第三方机构，并规定了API标准、数据标准和安全标准[25]。然而，英国自2021年1月1日起正式脱欧，导致支付监管政策发生变化以致于呈现出“停顿”状态，而这种状态要持续至2022年3月底。目前遭到停顿状态的法规包括《支付服务条例2017》(Payment Services Regulations 2017)和《支付账户条例2015》(Payment Accounts Regulations 2015)。但是，英国开放银行仍在遵循PSD2的相关规定。鉴于英国与欧盟之间关于金融服务业的谈判依然不明朗，达成协议更是遥遥无期，无论数据开放的范围还是机构的数量都会受到较大限制，这无疑给英国开放银行的长期发展蒙上了一层阴影。

4.国际立法动向评析

尽管欧盟、美国和英国在金融数据治理立法的出发点和思路各有不同，但三者无疑都强调在满足数据安全和隐私保护的前提下积极推动金融数据的开放、流通与共享。欧盟通过GDPR第20条数据可携带权和PSD2第66、67条的规定，赋予个人或用户对其个人数据或账户信息的控制权和可携带权。英国同样通过自上而下、监管政策驱动的模式，积极建立行业标准，设置独立机构、设定监管权限与构建争议解决机制等在内的完整治理体系，以及基于消费者数据保护的缘由对访问银行数据的第三方进行事先要获得FCA授权的限制。与欧盟和英国不同，美国采用自下而上、市场驱动的模式，出台零星的非强制性的指导意见以鼓励开放。美国消费者金融保护局在2017年发布了有关消费者金融数据共享的九条指导意见，对获取数据主体、消费者权利等问题进行了规定。同时监管部门没有强制要求金融机构开放数据，而是给予市场更多自我发展的空间和自我调节的权利[26]。

(三)我国立法现状与完善刍议

1.立法现状

到目前为止，我国立法机关制定的《民法典》《数据安全法》《个人信息保护法》只涉及到相关数据权益的内容，而没有明确数据法律性质，也就意味着数据权的法律定位仍不清晰[27]。总体来看，既有的国家法律赋予了政府更多的数据权力，包括独立的最高管理权、规划权、控制权、公共数据归属权等。相比之下，无论是全国首部地方综合性数据立法2021年6月25日出台的《深圳经济特区数据条例》，还是紧随其后2021年11月25日颁布得《上海市数据条例》，两部地方立法无一例外地秉持促进与保护并重的基本思路，积极探索数据权益利用与保护的新机制，不仅给予了地方政府数据主导权，也赋予了企业和个人更多的数据权益，譬如企业的创新发展权和个人的数据处置权，这些举措兼顾了数据各方主体的权益诉求，对于数字经济时代数据资源高效配置、充分发挥数据要素在经济社会发展中的核心作用提供了强有力的法律保障，为我国今后数据立法提供了很好的示范作用和宝贵的实践经验。

2.立法完善刍议

首先，《个人信息保护法》是我国在个人数据保护领域的基本法，具体到多元化的金融数据应用场景，如何正确适用相关的个人数据处理规则，同时满足“挖掘金融数据价值”和“保障数据安全及隐私保护”的双核目标，是目前亟需解决的问题[28]。与此同时，应当认识到金融行业和个人金融数据的特殊性，回归金融数据治理的本源，通过金融领域的专门立法来实现个人金融数据保护与分享是未来的基本方向。

其次，与世界上其他国家设立了专门的数据保护机构不同，《个人信息保护法》的颁布并未改变我国个人数据保护执法“九龙治水”的现象。面对纷繁复杂的数据保护事宜以及来自技术、法律和社会等方面的新问题层出不穷，设立统一独立数据保护机构是大势所趋。这不仅有利于数据保护法律法规的实施，也有助于数据纠纷的解决。该机构的具体职责包括：行驶规章制定权、发布行政指导、行使调查检查权、处罚权和受理调解数据争议等。现阶段而言，由国务院金融稳定发展委员会牵头协调，人民银行领衔，具体金融数据保护职责交由各金融监管机构负责。

再次，建立金融消费者数据权保护的特别规范，主要从以下几个方面入手[29]：
一是赋予金融消费者完备的数据权权能，这就意味着金融消费者作为数据主体享有占有、使用、收益和处分权。具体而言，金融消费者享有数据的最终控制权，可以同意或拒绝金融机构利用其数据。此外，基于数据利用的效率考量，金融机构理应有权分享数据增值带来的收益，从而提升数据的开发和使用价值，以实现双赢目标。二是加强金融机构的数据保护义务及责任，要在法律上明确金融机构对数据利用结果作出评估的强制义务，并基于该评估对金融消费者进行自发性保护。三是开展金融消费者教育，发挥金融监管机构在此过程中的主导性作用以及行业协会等自律组织的积极作用，通过举行各种线上或线下定期培训，让金融机构知悉在数据保护领域要承担的责任和义务，同时又可以让金融消费者能够触手可及地了解数据保护的基本知识。

(一)监管视域下数据治理的内涵与外延

数据治理是数字经济时代数据资产变现和数据价值实现的主要途径，备受业界和相关领域学者的关注。到目前为止，学界和业界对数据治理的具体定义并没有一个统一的标准。不过，多家研究机构、组织和多名学者从不同的视角给予数据治理更多的理解和诠释，具有代表性的观点如下：有国内学者从体系框架角度将数据治理定义为“对组织的大数据管理和利用进行评估、指导和监督的体系框架。它通过制定战略方针、建立组织架构、明确职责分工等，实现大数据的风险可控、安全合规、绩效提升和价值创造，并提供不断创新的大数据服务”[30]；

有国外组织和研究机构认为，数据治理意指“建立在数据存储、访问、验证、保护和使用之上的一系列程序、标准、角色和指标，以期通过持续的评估、指导和监督，确保富有成效且高效的数据利用，实现企业价值”[31]；

也有研究报告认为，数据治理是治理团队在数据产生价值的过程中对其做出的评价、指导以及控制(20)2015年5月，中国代表在巴西圣保罗召开的SC40/WG1第三次工作组会议上正式提交了《数据治理白皮书》国际标准研究报告。；

有国外学者对2001年至2019年之间发表得145篇学术文献和研究报告进行了分析梳理，结合既有研究有关数据治理的特征，将数据治理定义为一个管理数据资产，划分企业内数据决策的权责，规划数据策略、标准和流程，并监控合规的跨职能框架[32]。

如前所述，数据治理的核心在于“治理”而非“管理”，目的是保障数据的高效利用和释放数据价值，实现企业的有序运营，对此，本文将数据治理界定为：以数据为治理对象，在确保数据安全与隐私保护的前提下，建立健全数据管理体制机制以及规则体系，厘清政府、市场、个人等多元参与主体在数据流通的各个环节的权责关系，形成共享、开放以及有序的数据流通模式，从而最大化地释放数据价值，提升政府公共管理能力和国家治理能力。确切地说，数据治理是各方参与者良性互动，复杂的动态变化的过程。从宏观视角而言，数据治理是政府、企业以及个人通过采用政策、法律、标准、技术、教育等方法和手段，来实现数据安全与有序流通从而最大限度地挖掘和释放数据价值的过程；
从微观视角而言，数据治理是不同机构针对各种原始数据进行处理和分析的过程[33]13。

在数字时代，正因为数据具有体量大、种类多、处理快、价值高等特征，造就了数据治理的多样性特征，其中包括数据治理过程的动态互动、数据治理的整体性、数据治理的时效性以及数据治理的匹配性，具体内容如下[34]：

首先，数据治理的过程是多方参与主体之间的相互作用和相互影响的关系，这就要求数据治理主体能够准确掌握数据标准、数据质量、数据安全以及数据主体的权责在治理过程中不同环节的关联性；
其次，数据治理的过程强调整体数据的相关性分析和运用；
再次，数据治理的过程要求数据治理主体能够快速应对市场变化，同时对于数据的分析和运用也要精准和快速；
最后，数据治理的过程必须符合数据治理主体的实际状况，展开数据治理之前需要对自身的治理能力做一个全面评估，包括管理与运营模式、业务规模以及风险控制能力等。

(二)监管视域下金融数据治理面临的现实问题

从微观层面来看，金融数据治理当前面临的现实问题有：金融数据治理制度体系构建迟缓、金融数据质量偏低、金融机构之间的数据治理能力差异偏大、金融数据治理的专业化程度不高、金融机构数据治理文化理念缺失以及金融数据孤岛与割裂等[35]10。

1.金融数据治理制度体系构建速度缓慢

2018年5月，银保监会发布了《银行业金融机构数据治理指引》(简称指引)，依据《指引》规定，金融数据治理需要建立完善数据治理架构，实现对数据的全生命周期全覆盖[36]。详言之，金融机构的首要任务是在公司战略层面高度重视数据治理，将其纳入公司治理范畴，同时结合实际情况设立首席数据官。此外，金融机构应当确立数据治理牵头部门，明确各部门之间的职责，构建数据质量控制机制。这产生了一个令人囧境的局面：一方面，《指引》促使金融机构内部架构进行改造升级，这一过程却是相当耗时费力的；
另一方面，这一漫长的过程与大数据时代日新月异的变化格格不入，极大拖延了金融机构发展的步伐。

2.金融数据质量偏低

托尼·费舍尔(Tony Fisher)曾提到：“如果基本数据不可靠，大多数企业的大数据计划要么会失败，要么效果会低于预期。造成上述结果的关键原因在于，数据生命周期之中流入了不一致、不准确、不可靠的数据。”[34]19长期以来，金融数据来源广泛、内容庞杂，一直缺乏权威统一的标准和界定，尚且不同的金融机构和组织对同类数据口径的认知也存在较大的偏差，造成了许多同名不同义的数据，结果是数据“清洗”成本高、碎片化严重，使得数据整合利用的难度大幅提升[37]。对此，央行于2021年2月发布了《金融业数据能力建设指引》，旨在为金融机构开展数据治理工作指明方向[38]。金融数据质量治理可以通过“疏”与“堵”的方式持续提升数据质量。具体而言，“疏”意味着加强顶层设计，制定统一的数据架构、数据标准，构建数据质量的管理机制；
“堵”意味着通过技术手段，即数据质量工具，来筛查数据处理中的问题[33]20。

3.金融机构之间的数据治理能力差异偏大

大型金融机构，凭借资本、规模、科技、人才以及市场等优势，在数据治理能力方面占据先天优势。相较于大型金融机构，不难发现，中小型金融机构受制于有限的资金、薄弱的基础设施，导致数据处理能力和技术水平较差，迫使他们大多选择外包和采购来获取数据治理赋能服务。中小金融机构往往出于经济成本考量，选择那些出价较低的数据公司或科技公司，但这类公司的技术水平参差不齐，甚至出现非法获取数据等非法行为，造成金融数据安全的隐患。

4.金融数据治理的专业化程度不高

金融机构在数字化转型的过程中对数据治理的价值理解不够充分，导致其对数据治理的重视程度普遍不足，时至今日，数据治理仍处于发展阶段。由于金融机构数据治理起步较晚， 缺乏自上而下的专门治理体系和专业的数据治理人才及实践经验，导致金融机构内部数据治理工作各自为政，数据标准不一，专业化程度不高[35]13。为此，《指引》对金融数据治理的专业化作出了详细的规定(21)参见《金融业数据能力建设指引》第十一条、第十二条、第十四条以及第十五条。。金融数据治理的文化理念缺失引发数据孤岛与割裂问题突出数据治理文化理念的构建需要数据治理嵌入公司治理和数据化的运营理念，这就要求金融机构能够深刻领悟到数据在整个行业数字化转型中的重要角色和行业竞争中的核心价值。数据治理是一项长期、复杂繁琐的全局性工程。由于缺少系统性、前瞻性的规划，且缺乏业务部门和科技部门的协同规划，造成系统建设较为分散，从而导致机构内数据分散、杂乱，孤岛问题突出，关联性差[35]13。金融行业内数据不能共享，也没有跟政府数据互通有无，这就会形成数据孤岛和数据割裂问题，一方面阻碍了金融创新和发展，另一方面会引发风险管控的隐忧。为此，建立健全开放的征信系统对于打破金融数据孤岛与割裂，实现金融创新和健康发展尤为关键。

(三)我国金融数据治理监管框架的路径选择

随着英国、欧盟等国家和地区纷纷推行开放银行模式和相关监管政策逐步落地，开放银行正成为世界金融业发展的新趋势，备受关注。在国内银行，四大行、股份制银行和城商行都在积极探索符合自身发展的开放银行模式。与英国和欧盟由监管政策驱动的发展模式不同，中国属于市场驱动型的开放银行发展模式。针对以数据分享理念为核心内涵的开放银行，国内监管层需要运用现代监管手段，同时采取新的监管模式与政策来防范新风险。

首先，明确监管主体，建立监管框架。目前，我国尚未明确对开放银行监管的专门监管机构，与开放银行业务相关的指导性规范较少，也未出台与其有关的监管框架，导致金融机构在开放银行业务上“千人千面”。因此，现阶段有必要采用功能监管与双峰监管并举的监管模式,具体做法如下：一是由国务院金融稳定发展委员会、中国人民银行出面对金融数据进行宏观审慎监管，协调各监管部门之间的金融数据监管信息，落实各司的数据监管责任，理顺各司的职责关系，强化跨部门、跨行业联合监管能力；
二是由银保监会、证监会分别对各自监管的领域内的金融数据进行监管，加大宣传教育的力度，提高消费者对数据安全的认识，强化维权意识。此外，鼓励金融行业自律性组织通过出台自律性条例进行行业监管，并建立数据和技术共享的监督管理机制。总而言之，该监管规则体系以包容审慎为监管原则，以消费者权益保护为出发点，通过行业监管和机构监管并举、行业监管先于机构监管的监管模式，防范金融数据开放与共享所带来的风险，同时积极探索柔性监管，并逐步加大数据监管的灵活度[39]。

其次，制定统一的规范标准和接口接入标准。在现阶段，监管部门尚未对开放银行的发展提出规范标准，而金融数据共享亟需数据标准、应用程序接口(API)标准以及安全标准。另外，第三方机构的资质参差不齐，缺乏市场准入机制，这就容易引发用户隐私和数据泄露风险、操作风险甚至系统性风险[40]。因此，监管机构需要在API标准、数据共享边界、数据安全以及共享机构准入等四个方面进一步完善规范制定。一是鉴于开放银行参与主体多样，为了避免浪费效能和节约成本，让不同主体之间的数据互通有无，监管机构势必要统一API标准规范，这里可以借鉴英国的做法，明确API设计、开发和维护的准则，以实现不同机构、数据库、端口间数据互联互通的可操作性和便利性(22)2020年2月，中国人民银行发布了《商业银行应用接口安全管理规范》，规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署等安全技术与安全保障要求。。对于数据标准，要明确数据描述、记录、发布规则和数据格式、质量等。二是在银行与第三方机构合作时，经常会碰上“哪些数据可以开放、哪些数据不可以开放”等诸多数据开放共享边界不清晰的问题，监管机构要进一步明晰规范，划定数据共享的边界和范围，这方面可以参考英国《开放银行标准框架》根据数据的敏感或涉密程度依次分为公开数据、客户交易数据、客户参考数据、聚合数据以及商业敏感数据五类，针对不同类别的数据，设定差异化的数据共享权限和形式。此外，在开放银行模式的背景下，由于风险来源更为多元，责任主体更为分散，权利义务更为模糊[41]， 监管机构要建立高效、便捷的收益分享和风险分担机制，以及数据共享的纠纷解决机制[42]93， 促进金融数据共享的良性循环。对于金融消费者，监管机构要确保其能够充分知晓共享数据的范围、对象、用途等，同时能够掌握实际共享进程[42]93。三是关于数据安全方面，鉴于金融数据开放共享天然涉及用户隐私，中国人民银行于2020年2月发布了《商业银行应用接口安全管理规范》，规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署等安全技术保障要求，为开放银行的发展提供了制度保障。再者，监管机构未来可以颁布更加详细的数据安全标准，主要围绕用户同意、用户授权、身份认证以及欺诈监控等四个方面，同时进一步加大对非法盗取、泄露数据等行为的威慑力。四是在商业银行开放数据、第三方机构提供服务和消费者进行数据授权建立相互融合的开放生态中，为了更好地保护商业银行和消费者的权益，监管机构应完善和加强第三方机构的准入资质审核，具体包括内控水平以及技术能力等方面，同时增强对消费者的数据授权安全保护。监管机构可以参照欧盟PSD2相关规定在准入管理和授权方面做出进一步指导和制定规范，比如严格的客户数据授权认证(账户登录和支付时开启身份认证)和对第三方机构进行准入资质管理(设定账户访问权限和规定因消费者账户缺陷或欺诈而造成的有关损失由银行以及第三方机构部分或全部承担)，以更好地平衡金融数据开放安全、金融服务创新和数据隐私保护之间的关系，并防范系统性金融风险。

最后，建构科技监管与人力监管相辅相成的双轮驱动型监管。在迈入数字金融时代，科技与金融的融合在带来各种利好的同时，也暗藏着更多风险。传统金融监管受制于金融监管固有的信息不对称、监管技术手段落后以及金融立法的滞后，这就造成在开放银行面前显得捉襟见肘[43]76。要突破此困局，监管机构应当建立以数据监管为核心的科技监管模式，其真正的潜力是通过高质量的数据集和强大的计算能力，围绕数据聚合、大数据处理和解释、建模分析与预测，从而推动由过去“了解客户”到现在“了解数据”的转变[43]83。为此，监管机构可通过人工智能、大数据、云计算和区块链等技术手段的应用实现有效的数据收集、报告、管理和分析流程。在此过程中，监管方通过科技手段从被动监管转为主动监管，使得监管方与被监管方处于平等获取数据的地位，同时也形成了一种新型的关系，即分布式平等监管，其深层次含义是监管扁平化替代层级制监管，监管方单一治理转变为利益攸关方共同治理。此外，不可否认，智能化的动态监管是高效的、客观的，但是人工智能的负面效应也给监管带来漏洞，为此传统的人为监管或许可以成为另一道安全阀，给新形态的监管机制提供了更加可信可控的强有力保障。

银保监会2018年颁布得《指引》明确指出，银行业金融机构应当构建职责边界清晰的数据治理组织架构，明确各部门之间的职责分工，形成多层次、相互衔接的科学工作运行机制。因此，从市场层面来看，在金融数据治理方面，金融机构要完善数据治理组织架构和相关制度，加大对于金融数据保护的力度。

首先，在组织架构上，金融机构可以依据内部实际管理情况划分，从决策层、管理层到执行层分级、分层设置数据管理部门和专职岗位，将责任落实到人，构建和完善数据治理组织架构和岗位职责。

其次，在金融数据保护上，金融机构要建立数据安全管理制度，主要涵盖：一是数据认证授权管理，作为第一道安全屏障，通过严格的用户分级授权和认证授权，对数据进行访问和使用权限控制，防范非授权访问，同时坚持数据“最小够用”原则进行数据授权使用；
二是敏感数据使用管理，借助脱敏工具实现对敏感数据进行自动识别、智能脱敏；
三是数据安全共享管理，要建立有效的数据共享等级机制，同时要能够做到对共享数据中敏感信息的脱敏保护；
四是设立数据保护官，按照“谁管理谁负责”的原则，专门负责数据保护工作；
五是数据安全事故处理，要定期进行数据安全评估与审计，还要建立数据应急预案，模拟发生数据泄露或其他数据安全事故，组织开展应急演练，完善处置流程，保证妥善保障数据安全，降低对金融业务正常运营的影响[35]34-35。

最后，在监管信息报送上，金融机构要建立适应监管数据报送工作需要的信息系统，实现流程控制的程序化，提高监管数据加工的自动化程度。此外，金融机构端要实现与监管端以数字化的方式互相连通：一方面，机构端可以从监管端获取数字化的监管要求并准确转化为内部约束，确保机构和业务实时合规；
另一方面，机构端可以实时向监管端传输数据，动态地形成各种合规报告，减少人工干预，提高准确度，减少合规成本[44]。

迈入数字金融时代，数据是金融领域最重要的资源。金融行业中的数据积累、数据传输、数据储存已经为人工智能、大数据、云计算、区块链等数字科技的应用提供了必备的土壤。数字科技不是替代人，而是更好地服务和赋能于人，替代其去做重复单调的操作和程序，从而提升人的生产效率。因此，数字科技是释放数据生产力的主要途径和催化剂。数据是数字科技和金融行业的共同基因，两者天然适配，给金融服务带来了巨大变革，包括降低运行成本、场景无界融合、扩大数据积累、提升客户体验以及提供个性化服务和扩展金融服务的覆盖范围等。金融数据治理能力成为金融机构数字化转型的关键所在。一方面，在这一创新升级的过程中，数据的流通与分享为实现个性化服务和风控模型、降低金融服务成本、促进供需精准匹配、提高金融效率以及迸发新业态与新模式提供了不可缺少的前提条件。另一方面，金融数据日益显现出其商业价值的同时，一旦发生重大数据泄露或重大数据资产丢失，其引发的风险和次生风险对于金融机构而言或许是致命的。因此，金融数据治理的必要性和现实意义在于以下四个层面：一是从维护国家安全的角度出发，限制金融数据的跨境流动的根本目的在于维护“数据主权”，以免数据传输方的所在国失去其金融数据的控制权与管辖权；
二是从维护金融稳定和安全的角度出发，行之有效的金融数据治理对于防范金融风险的蔓延至关重要；
三是从维护金融消费者合法权益的角度出发，鉴于金融机构与消费者之间的信息不对称容易引发金融机构滥用客户的金融信息而侵害了个人隐私权和财产权，完善金融数据治理有利于保护金融消费者所拥有的合法数据权益；
四是维持金融数据价值与数据安全及隐私保护之间的动态平衡，这也是金融数据治理孜孜不倦地追求目标。

在科技与金融加速融合的过程中，金融数据治理为建设数字化金融发挥了重要作用，具体表现在以下三个方面：一是提供开放统一的高质量、标准化数据；
二是提供高效高质的数据应用保障；
三是提供强有力的风险管控和决策支持。纵观而言，金融数据治理是系统性工程，需要从三个维度去构建，即立法层面、监管层面和市场层面。近几年，国家、地方和金融行业对数据治理的重视程度越来越高，进一步推动了金融数据治理和数据安全防护水平，《网络安全法》《数据安全法》《个人信息保护法》《深圳经济特区数据条例》《上海市数据条例》《银行业金融机构数据治理指引》《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等各级各类法律法规政策指引相继出台，为数据开放、共享以及监管奠定了法制基础。未来，随着金融数据法律性质的明晰和金融数据分类等级保护制度的进一步完善，这有利于构建金融数据生命周期全流程的监管机制，同时将促进金融数据业务的健康有序发展。此外，监管部门采用监管科技与人工监管的协调运行的方式，可以有效保障数据储存和传输的安全性，显著提高数据流通和使用的合规性，以及促进数据开放与共享。再次，金融机构要完善金融数据治理组织框架，加大对于金融数据的保护力度，同时构建金融机构告知说明义务从而保护金融消费者的合法权益。为此，上述做法将有助于增强我国在国际金融数据治理体系建设中的话语权和影响力。

猜你喜欢 数据保护监管金融 数字监管 既能“看病”也能“开方”今日农业(2021年16期)2021-11-26——戴尔易安信数据保护解决方案">数据保护护航IT转型
——戴尔易安信数据保护解决方案网络安全和信息化(2019年5期)2019-12-23欧洲数据保护委员会通过《一般数据保护条例》相关准则互联网天地(2019年11期)2019-11-29综合监管=兜底的网?劳动保护(2019年7期)2019-08-27何方平：我与金融相伴25年金桥(2018年12期)2019-01-29欧盟“最严”数据保护条例生效WTO经济导刊(2018年6期)2018-09-20央企金融权力榜新财富(2017年7期)2017-09-02民营金融权力榜新财富(2017年7期)2017-09-02多元金融Ⅱ个股表现股市动态分析(2015年50期)2015-01-05实施“十个结合”有效监管网吧中国火炬(2012年5期)2012-07-25