党的二十大报告强调,加快构建新发展格局,着力推动高质量发展。其中包括深化要素市场化改革,依法将各类金融活动全部纳入监管,加快发展数字经济,促进数字经济和实体经济深度融合。金融数据共享是金融行业推动业务发展创新的重要条件,也是数据要素市场化配置改革的迫切需要。随着金融科技对金融行业赋能效应的进一步显现,金融数据开放共享应当在法治的轨道上有序推进,通过科学合理且体系化的规范保障,促进我国金融服务平台化、数字化创新与健康发展,落实服务实体经济的基本要求。
明确金融数据法律属性,厘清权利保护路径。《数据安全法》第三条将数据界定为“任何以电子或者其他方式对信息的记录”,可见数据是形式与实质的统一,具有相对独立性。金融数据的流通与共享相较于传统客体而言更为便捷,必要的部分内容在理想状态下可以无损复制与传输,并且可以被多个主体分别占有。金融数据自产生之后是否与外部的网络空间进行交互完全可以由主体所控制,结合其具有经济价值或效用的特点,不难得出金融数据具有财产属性的结论。同时,金融数据与人格要素的融合使数据的形态和权属表现出更为细致的区分。从理念上,应当重视保障数据主体的合法权益,兼顾个人金融数据经济价值的实现。从区分措施上,可以根据数据处理的具体情境与规范目的判别人身关联程度,理性看待部门法之间在认定标准上因规范目的的不同而客观存在的合理差别。同时金融数据权利保护路径的设计应注意在私法体系中明确金融数据与金融信息一体两面的关系,推动创设以个人数据权利为名的具体人格权;科学认识个人金融数据具备人格性与财产性的双重属性,在人格权框架下重视经济利益的实现;综合考虑数据规范与国家政策、社会治理、行政管理等的密切联系,多维度进行法律构造,充分发挥协同机制效应。
优化金融数据分类分级,保障数据共享安全。金融数据有序共享的实现有赖于在数据合理分类分级的基础上,划清数据共享边界,寻求数据共享效率和安全之间的平衡点。这一方面要求充分发挥金融数据核心竞争力,另一方面要求严格防范金融数据泄露等风险,通过对金融数据进行分类分级、采取强弱有别的保护措施,达成数据安全治理的目标。首先,需要重视原则的指导作用,综合分析《个人信息保护法》《数据安全法》等上位立法和《个人金融信息保护技术规范》《网络数据分类分级指引》等针对不同行业、不同数据制定的规范,对比异同进行取舍。共有原则方面,至少应当包括合法正当必要、合理可行、灵活调整。各有原则方面,金融数据分类应当满足系统多维的要求,金融数据分级应当满足突出重点、定量定性相结合的要求。其次,需要明确金融数据分类分级的主体,厘清监管与被监管以及监管内部的横向和纵向关系。基于监管视角,所涉主体除了法律规定负有统筹协调监管职责的部门外,还应当明确中国人民银行、中国银保监会、中国证监会等机构在各自监管职责范围内的分工。基于被监管的视角,银行、证券公司、金融科技公司等作为数据处理者当然受到约束,同时还需明确数据处理者内部负责数据分类分级保护的具体岗位或人员及其工作内容。再者,对数据分类标准和数据分级标准需要解决的问题应区别对待。在分类标准方面,根据不同的业务、经营管理的不同职能等角度进行分类偏重技术性,按照是否涉及隐私区分一般数据和敏感数据或者按照可识别性的强弱进行分类,更有利于划定数据共享范围,同时考虑数据的不同应用场景设计不同的共享规则。
配置相关主体义务责任,鼓励数据高效利用。银行、证券公司、金融科技公司等数据处理者相较于数据主体而言处于优势地位,需要受到较为严格的义务或责任约束,避免金融数据使用中的不公平,以鼓励数据主体积极共享。数据处理者所应负担的义务可以分三类。第一类原则性义务,即数据处理者为了遵守基本原则的要求所应当履行的抽象义务,例如合法性义务、合规性义务等。第二类保障权利实现的义务,即权利与义务之间相生相伴关系的结果,要求为数据主体行使权利提供便利条件,核心在于数据处理者为保障数据主体知情权的实现而应履行的信息披露义务。第三类数据安全保护义务,除了实行分类分级管理的义务外,数据处理者在金融数据共享过程中应当对数据采取加密、去标识化等保护措施,记录数据处理活动。为营造责任分明的金融数据共享环境,还应当以《民法典》《个人信息保护法》《数据安全法》《刑法》以及相关行政法规为依据,构建对金融行业数据违法犯罪行为的民事、行政、刑事全方位、立体式追责体系。通过民事赔偿、行政处罚与刑事惩戒有机衔接的规则设计,既可以震慑违法犯罪,亦能够鼓励数据资源的高效配置与有效利用,从而使数据价值得以充分彰显。
(作者系西南政法大学民商法学院教授,本文为国家社科基金项目:21BFX118成果)