郭 靂

(北京大學法學院，北京 100871)

習近平總書記指出，數(shù)字經(jīng)濟正在成為重組全球要素資源、重塑全球經(jīng)濟結(jié)構(gòu)、改變?nèi)蚋偁幐窬值年P(guān)鍵力量。(1)習近平.不斷做強做優(yōu)做大我國數(shù)字經(jīng)濟[J].求是，2022(2)： 5-7.數(shù)據(jù)要素是數(shù)字經(jīng)濟深化發(fā)展的核心引擎，數(shù)據(jù)資源被認為是繼土地、勞動、資本后的經(jīng)濟社會又一重要生產(chǎn)要素，(2)參見發(fā)改委等十九部委《關(guān)于發(fā)展數(shù)字經(jīng)濟穩(wěn)定并擴大就業(yè)的指導(dǎo)意見》(發(fā)改就業(yè)〔2018〕1363號)。深刻改變著生產(chǎn)方式、生活方式和社會治理方式。近年來，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等相關(guān)法律的陸續(xù)出臺，我國數(shù)據(jù)治理體系與法律基礎(chǔ)不斷豐富完善。在各類數(shù)據(jù)中，個人金融數(shù)據(jù)(3)在本文語境下，“數(shù)據(jù)”和“信息”這兩個概念未做實質(zhì)區(qū)分，交替使用；若無特別注明，本文中所指的“金融數(shù)據(jù)”均為“個人金融數(shù)據(jù)”。總量規(guī)模龐大，擁有豐富的價值創(chuàng)造潛力，成為數(shù)字化時代經(jīng)濟社會發(fā)展的關(guān)鍵要素。然而，隨著金融科技水平與新金融業(yè)態(tài)的不斷發(fā)展，現(xiàn)實中出現(xiàn)了大量金融機構(gòu)與科技公司數(shù)據(jù)泄露和管理失范的情況，個人金融數(shù)據(jù)治理不當可能會引發(fā)直接經(jīng)濟損失與國家安全風險。

針對個人金融數(shù)據(jù)的良法善治已成為數(shù)字經(jīng)濟發(fā)展的時代命題?！敖鹑谑菄抑匾暮诵母偁幜?，金融安全是國家安全的重要組成部分”(4)習近平總書記主持中共中央政治局第十三次集體學習并講話[EB/OL]. (2019-02-23)[2022-07-12]. http：//www.gov.cn/xinwen/2019-02/23/content_5367953.htm.“統(tǒng)籌數(shù)據(jù)開發(fā)利用、隱私保護和公共安全”“實施金融安全戰(zhàn)略”已被寫入“十四五”規(guī)劃之中。個人金融數(shù)據(jù)治理問題不僅關(guān)系到個人人身與財產(chǎn)權(quán)益保護，還具有應(yīng)對新時代金融風險、推動我國數(shù)字經(jīng)濟健康發(fā)展的戰(zhàn)略意義。基于此，本文擬分析現(xiàn)有個人金融數(shù)據(jù)治理體系在治理框架、標準、路徑和對象方面的局限性，嘗試運用“精巧規(guī)制”(Smart Regulation)理論為個人金融數(shù)據(jù)治理提供一個基礎(chǔ)理論框架，并重點探索精巧規(guī)制理論與個人金融數(shù)據(jù)治理結(jié)合下政府、第三方協(xié)會等治理主體，以及金融機構(gòu)等治理客體的功能實現(xiàn)，以期實現(xiàn)數(shù)字化時代個人金融數(shù)據(jù)的良法善治，提高我國數(shù)字經(jīng)濟治理體系和治理能力現(xiàn)代化水平。

一、 數(shù)字化時代個人金融數(shù)據(jù)的治理與挑戰(zhàn)

(一) 個人金融數(shù)據(jù)與數(shù)據(jù)治理

現(xiàn)有法規(guī)中，個人金融數(shù)據(jù)的含義由“一個中心”與“三類內(nèi)容”構(gòu)成。“一個中心”指在機構(gòu)監(jiān)管理念的長期影響下，金融數(shù)據(jù)的范圍整體圍繞“金融機構(gòu)”或者“金融業(yè)機構(gòu)”而展開。這一做法自2011年《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(以下簡稱《通知》)開始，到2020年《個人金融信息保護技術(shù)規(guī)范》(以下簡稱《技術(shù)規(guī)范》)等文件中均有體現(xiàn)。以《技術(shù)規(guī)范》為例，第3.2條將個人金融數(shù)據(jù)界定為“金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息”。

《技術(shù)規(guī)范》雖在第3.2條的注釋中列舉了部分個人金融數(shù)據(jù)，但其非窮盡式列舉的范圍界定實語焉不詳。(5)參見《個人金融信息保護技術(shù)規(guī)范》第3.2條注1：“本標準中的個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息?！北疚恼J為，可將個人金融數(shù)據(jù)范圍劃定為“三類內(nèi)容”。類別一是先于且獨立于金融活動而存在的個人身份數(shù)據(jù)，包括如姓名、性別、身份證號等與自然人相關(guān)的個人基本數(shù)據(jù)，以及指紋、人臉等生物識別數(shù)據(jù)；類別二是自然人參與金融機構(gòu)業(yè)務(wù)過程中直接產(chǎn)生的金融活動數(shù)據(jù)，此類數(shù)據(jù)具備場景性較強的交易面向特征，如在金融機構(gòu)開立的賬戶、密碼、借貸、支付和擔保數(shù)據(jù)等；類別三是《技術(shù)規(guī)范》第4.1條所界定的金融衍生數(shù)據(jù)，既非個人自然攜帶，也不是在參與金融活動中直接產(chǎn)生的，而是源自對前兩類數(shù)據(jù)的加工、處理與分析，呈現(xiàn)出主體現(xiàn)有支付習慣、未來可能消費意愿等核心價值。

近年來，“數(shù)據(jù)治理”一詞成為理論界與實務(wù)界普遍使用的熱詞。從發(fā)展脈絡(luò)看，可以對其作兩階層理解。“治理”(Governance)一詞源于拉丁文和古希臘語，原意是控制、引導(dǎo)和操縱的統(tǒng)治(Government)，隨著政治學和經(jīng)濟學的發(fā)展，后來被賦予了社會經(jīng)濟領(lǐng)域的新含義。(6)治理理論的主要創(chuàng)始人之一羅西瑙認為，治理是“雖未被賦予正式的權(quán)力，卻能在特定領(lǐng)域中有效發(fā)揮作用”的規(guī)則體系。參見Rosenau J N， Czempiel E O. Governance without Government： Order and Change in World Politics[M]. Cambridge： Cambridge University Press， 1992： 5.“數(shù)據(jù)治理”的底部階層可以理解為公司治理中的“數(shù)據(jù)管理”，表現(xiàn)為企業(yè)內(nèi)部加強自上而下的數(shù)據(jù)資產(chǎn)管理能力，防范企業(yè)數(shù)據(jù)資產(chǎn)風險，是一種具備營利性的控制性管理。例如《金融業(yè)數(shù)據(jù)能力建設(shè)指引》第3.3條將“數(shù)據(jù)治理”視為“對數(shù)據(jù)進行處置、格式化和規(guī)范化的過程”；再如《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》第三條認為“數(shù)據(jù)治理”代表著“系統(tǒng)化的制度、流程與方法”，確保數(shù)據(jù)統(tǒng)一管理、高效運行與價值發(fā)揮。

隨著數(shù)字經(jīng)濟與數(shù)字處理技術(shù)的不斷發(fā)展，數(shù)據(jù)對提高生產(chǎn)效率的乘數(shù)作用不斷凸顯，逐漸超越了作為企業(yè)資產(chǎn)的內(nèi)部資源定位，成為新時代經(jīng)濟社會發(fā)展的關(guān)鍵生產(chǎn)要素和“基礎(chǔ)性戰(zhàn)略資源”。同時，控制著公民社會大量數(shù)據(jù)的金融機構(gòu)、科技公司泄露和濫用數(shù)據(jù)問題頻發(fā)，公司內(nèi)部的數(shù)據(jù)管理失范也產(chǎn)生了嚴重的負外部性問題。在數(shù)據(jù)價值與風險同步提升的趨勢下，“數(shù)據(jù)治理”逐漸具備超越“內(nèi)部管理”層面的新含義： 產(chǎn)生了包含政府、社會組織、公民社會等在內(nèi)的新行動主體，治理的權(quán)力運作向度朝著相互性和多元性擴散。(7)俞可平.治理和善治引論[J].馬克思主義與現(xiàn)實，1999(5)： 38.世界銀行發(fā)布的《2021年世界發(fā)展報告》認為，運作良好的數(shù)據(jù)治理的利益相關(guān)方包括“公民社會、公共部門和私營部門”，應(yīng)當“對數(shù)據(jù)治理采取一種全政府、多利益相關(guān)方的方法”。(8)World Development Report 2021： Data for Better Lives[EB/OL]. [2022-07-12]. https：//wdr2021.worldbank.org/stories/governing-data/.有鑒于此，現(xiàn)代意義上的金融數(shù)據(jù)治理應(yīng)當被理解為建立在良好的數(shù)據(jù)管理基礎(chǔ)階層之上，包含各類權(quán)利、原則和義務(wù)的規(guī)范和規(guī)則，體現(xiàn)公私主體協(xié)調(diào)過程中持續(xù)互動的一種廣義概念。

(二) 個人金融數(shù)據(jù)領(lǐng)域的現(xiàn)實挑戰(zhàn)

1. 數(shù)據(jù)泄露與管理失范問題頻發(fā)

數(shù)字化時代金融業(yè)務(wù)多元化的快速發(fā)展帶來了如“富山寶礦”般的金融數(shù)據(jù)，以商業(yè)銀行為代表的金融機構(gòu)逐步推動信息化建設(shè)和數(shù)據(jù)化轉(zhuǎn)向。但從金融機構(gòu)內(nèi)部的數(shù)據(jù)治理來看，傳統(tǒng)金融機構(gòu)特別是其中的中小金融機構(gòu)，自身在短期內(nèi)不具備與數(shù)據(jù)價值創(chuàng)造相匹配的重視數(shù)據(jù)、保護數(shù)據(jù)的意識與能力，引發(fā)了內(nèi)部數(shù)據(jù)管理系統(tǒng)不健全、數(shù)據(jù)泄露和濫用等一系列問題。(9)如銀行業(yè)金融機構(gòu)中，中小銀行普遍遇到數(shù)據(jù)質(zhì)量較差、數(shù)據(jù)治理缺乏頂層設(shè)計、數(shù)據(jù)隱私管理尺度難把握的問題，分別占受訪銀行的62.5%、51.79%、44.64%。參見中小銀行金融科技發(fā)展研究報告(2021)[EB/OL]. (2021-12-10)[2022-07-10]. https：//www.mpaypass.com.cn/download/202112/10115239.html.實證研究顯示，2021年度中國人民銀行及銀保監(jiān)會向銀行、保險公司、證券公司等各類金融機構(gòu)共開出與數(shù)據(jù)相關(guān)的罰單1 056張，處罰金額超過10.5億元，涉及554家機構(gòu)。相關(guān)罰單的違法行為內(nèi)容集中在個人信息保護與信息網(wǎng)絡(luò)安全上，包括“未按規(guī)定收集使用個人信息”“泄露客戶個人信息”等。(10)畢馬威.金融業(yè)監(jiān)管2021年度數(shù)據(jù)處罰分析及洞察建議[EB/OL]. (2022-03-15)[2022-07-16]. https：//home.kpmg/cn/zh/home/insights/2022/03/financial-industry-regulation-2021-annual-data-penalty-analysis-and-insight-suggestions.html.

數(shù)字化轉(zhuǎn)型進程中由于自身缺乏足夠的數(shù)據(jù)管理能力，許多金融機構(gòu)在實踐中將原本由自身負責處理的信息科技活動委托給服務(wù)提供商處理，這種外包行為所引發(fā)的風險早在2011年的《通知》中就得到了重視，(11)參見《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(銀發(fā)〔2011〕17號)第七條。但至今管控不力、業(yè)務(wù)中斷、數(shù)據(jù)泄露等問題仍然頻發(fā)。以2021年因多項違規(guī)被罰850萬元的重慶某銀行為例，基于挖掘數(shù)據(jù)價值的市場競爭需要，不具備較強數(shù)據(jù)自主分析能力的銀行金融機構(gòu)與科技公司達成深度合作，前者以較低的成本獲得個人金融數(shù)據(jù)挖掘與處理服務(wù)，后者得以控制豐富的客戶和消費者數(shù)據(jù)，借由算法分析提取金融數(shù)據(jù)價值。在這一合作模式中，重慶某銀行的違法違規(guī)事由包括對“第三方合作機構(gòu)缺乏管控”，并將部分信息科技管理和風險控制等核心環(huán)節(jié)外包給第三方合作機構(gòu)。(12)參見重慶銀保監(jiān)局行政處罰信息公開表(渝銀保監(jiān)罰決字〔2021〕30號)。在二者建立合作關(guān)系時，重慶某銀行這類傳統(tǒng)金融機構(gòu)的議價能力和鑒別對手方技術(shù)水平的能力均較弱，相對科技公司是承受風險的弱勢一方，在開展合作后也難以監(jiān)督數(shù)據(jù)挖掘與處理過程中的規(guī)范性，導(dǎo)致實踐中各類濫用、非法收集、處理數(shù)據(jù)的情況頻發(fā)。(13)工信部于2021年初公布了損害消費者合法權(quán)益的APP名單，要求157款A(yù)PP進行整改，整改原因集中涉及的主要問題包括違規(guī)收集個人信息，違規(guī)使用個人信息，強制、頻繁、過度索取權(quán)限，超范圍收集個人信息等。參見關(guān)于侵害用戶權(quán)益行為的APP通報(2021年第1批，總第10批)[EB/OL]. (2021-01-22)[2022-07-18]. http：//www.gov.cn/xinwen/2021-01/23/content_5582195.htm.而大量非銀機構(gòu)在合作中博弈能力更弱，偏向于選擇服務(wù)價格較低的科技公司進行合作，風控與監(jiān)督能力亦難以達標，此類外包行為致使大量數(shù)據(jù)管理失范與泄露問題出現(xiàn)。

2. 存在直接經(jīng)濟損失及國家安全風險的可能性

數(shù)據(jù)治理失范的影響不僅限于個人與金融機構(gòu)，個人數(shù)據(jù)保護與國家安全已在社交媒體公司干涉政治選舉、引發(fā)國家安全威脅等事件中產(chǎn)生深度交互。(14)例如劍橋分析公司違規(guī)獲取Facebook超過5 000萬條用戶數(shù)據(jù)，干預(yù)2016年美國大選；同年，脫歐派陣營通過雇用數(shù)據(jù)分析公司影響選民公投結(jié)果；2017年，荷蘭主流政黨和激進右翼政黨通過個性化的隱形信息推送(dark posts)影響選民投票行為。參見王中原.算法瞄準如何重塑西方選舉——算法時代的選舉異化及其治理[J].探索與爭鳴，2021(5)： 121.而個人金融數(shù)據(jù)更是在國家利益與安全中扮演著重要角色，數(shù)據(jù)治理失范可能引發(fā)直接經(jīng)濟損失或國家安全風險。第一類是自身具備較高價值的金融數(shù)據(jù)直接受到侵害，如美國第一資本銀行(Capital One)數(shù)據(jù)庫泄露案，約1.06億張銀行卡的用戶及申請人信息遭到泄露，(15)Schroeder P. Capital One Will Pay $80 Million Fine for Data Breach During Cloud Transfer[EB/OL]. (2020-08-07)[2022-07-10]. https：//www.insurancejournal.com/news/national/2020/08/07/578265.htm.導(dǎo)致國家金融資產(chǎn)與金融體系直接受損。

第二類情形是大規(guī)模個人金融數(shù)據(jù)跨境流動對國家安全造成的風險。規(guī)模化數(shù)據(jù)與國家金融資產(chǎn)的直接相關(guān)性通常不高，往往以赴境外上市，委托境外數(shù)據(jù)中心、服務(wù)機構(gòu)處理數(shù)據(jù)等合法授權(quán)的方式流向境外，某大型網(wǎng)約車平臺公司即為典型的一例。2021年7月2日，網(wǎng)信辦以“防范國家數(shù)據(jù)安全風險，維護國家安全，保障公共利益”為由，啟動網(wǎng)絡(luò)安全審查機制并終止新用戶注冊，從該平臺公司控制的數(shù)據(jù)內(nèi)容來看，自2018年初起該公司成立了金融服務(wù)事業(yè)部，并取得商業(yè)保理、融資租賃、保險代理、網(wǎng)絡(luò)小貸、第三方支付等多個牌照，不僅包含大量個人出行數(shù)據(jù)，還控制著大量用戶的個人基本數(shù)據(jù)、金融活動數(shù)據(jù)和衍生金融數(shù)據(jù)。這些個人金融數(shù)據(jù)中，有些直接就能定位到特定個人并復(fù)原成為信息圖譜；有些非結(jié)構(gòu)化個人金融數(shù)據(jù)直接流出的話，能夠通過大數(shù)據(jù)算法等技術(shù)，對數(shù)據(jù)進行分析、挖掘、解碼，分析得出特定年齡階段的金融服務(wù)用戶群體畫像、金融重點產(chǎn)業(yè)結(jié)構(gòu)畫像，甚至是國家宏觀經(jīng)濟狀況。境外勢力可以利用這些數(shù)據(jù)分析成果，發(fā)掘外資占比較高、杠桿率較高的金融市場薄弱環(huán)節(jié)，或借此打擊我國經(jīng)濟體系，實施金融制裁，對我國網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)與國家安全造成威脅。

規(guī)模化金融數(shù)據(jù)跨境風險一旦成為現(xiàn)實，會對國家安全產(chǎn)生不可估量的損害，因此一直被各國所重視。以2018年某金融科技公司并購速匯金事件為例，美國近年來以維護數(shù)字競爭優(yōu)勢和強化“長臂管轄”為由，通過《澄清境外數(shù)據(jù)的合法使用法案》擴張了美國外資投資委員會(CFIUS)的審查權(quán)，限制特定領(lǐng)域外國投資的數(shù)據(jù)跨境流動。并購者雖然在其提交資料中承諾，速匯金的個人數(shù)據(jù)均會被加密并保留在境內(nèi)，但最終CFIUS仍以美國士兵及其家人的財務(wù)數(shù)據(jù)可能被不法使用為由未予批準，雙方只得終止該項并購。(16)Form 8-K for MoneyGram International， Inc[EB/OL]. (2018-01-02)[2022-07-18]. https：//www.sec.gov/Archives/edgar/data/1273931/000119312518000668/d517771d8k.htm.

二、 個人金融數(shù)據(jù)的現(xiàn)有治理體系及局限性

數(shù)字技術(shù)的發(fā)展往往先于數(shù)字治理規(guī)范與社會結(jié)構(gòu)的變革，(17)OECD. Regulatory Effectiveness in the Era of Digitalisation[EB/OL]. (2019-06-15)[2022-07-15]. https：//www.oecd.org/gov/regulatory-policy/Regulatory-effectiveness-in-the-era-of-digitalisation.pdf.因而難以直接建構(gòu)一套行之有效的范式來應(yīng)對個人金融數(shù)據(jù)的諸多問題。中國人民銀行、銀保監(jiān)會、證監(jiān)會等在各自監(jiān)管業(yè)務(wù)范圍內(nèi)出臺了相應(yīng)的規(guī)章與行業(yè)標準，形成具有分業(yè)回應(yīng)特征的治理體系。然而，個人金融數(shù)據(jù)治理現(xiàn)實中的突出挑戰(zhàn)，反映出現(xiàn)有治理體系在治理框架、路徑、對象和標準上存在的局限性。

(一) 治理框架欠缺體系性與協(xié)調(diào)性

首先，目前過于分散的規(guī)范文件難以形成較為完整的治理規(guī)則框架。受限于我國金融業(yè)分業(yè)經(jīng)營、分業(yè)監(jiān)管的格局，與金融數(shù)據(jù)治理相關(guān)聯(lián)的十余部文件與標準之間的關(guān)聯(lián)比較有限，沒有一部共通的“金融數(shù)據(jù)治理法”。各類文件出臺部門、立法目的與治理方式并不統(tǒng)一，很難實現(xiàn)全面治理和協(xié)同治理，因此導(dǎo)致了不同文件之間的規(guī)則沖突。例如，就金融機構(gòu)處理數(shù)據(jù)所應(yīng)當明示的內(nèi)容而言，《民法典》第一千零三十五條的披露規(guī)定是“目的、方式和范圍”，而《金融消費者權(quán)益保護實施辦法》(以下簡稱《消保辦法》)第三十一條中的格式條款披露要求中，額外增加了“內(nèi)容”和“可能后果”，這種法規(guī)之間對同一事項的不同規(guī)定，容易造成實踐中金融機構(gòu)適用規(guī)則的混亂。

其次，缺乏能開展統(tǒng)一性、協(xié)調(diào)性治理工作的統(tǒng)領(lǐng)或者牽頭監(jiān)管部門。由于我國的間接融資相較于直接融資發(fā)展更快，最早開展金融數(shù)據(jù)安全監(jiān)管工作的是中國人民銀行。然而，隨著金融混業(yè)經(jīng)營程度加深，以互聯(lián)網(wǎng)金融和金融科技為代表的新金融業(yè)態(tài)的出現(xiàn)，使得金融數(shù)據(jù)治理工作難度加大，央行也僅能在銀行業(yè)、征信業(yè)推進治理，現(xiàn)階段在全國層面既缺乏專門的金融監(jiān)管機構(gòu)負責數(shù)據(jù)治理工作，也缺少金融數(shù)據(jù)治理的統(tǒng)籌協(xié)調(diào)部門。

最后，與金融數(shù)據(jù)治理直接相關(guān)聯(lián)的法規(guī)較為零散，位階與效力均較低。在現(xiàn)有金融數(shù)據(jù)(信息)相關(guān)的法律法規(guī)及行業(yè)標準中，位階最高的是部門規(guī)章《消保辦法》，次高的是《技術(shù)規(guī)范》。前者第二條所規(guī)定的適用范圍有限，僅包括銀行業(yè)金融機構(gòu)與非銀行支付機構(gòu)。而且，《消保辦法》本身是消費者保護法的特別法，將“消費者金融信息保護”部分獨立成第三章，其“保護消費者新型權(quán)利”的基本邏輯與金融數(shù)據(jù)治理理念并不一致。(18)邢會強.大數(shù)據(jù)時代個人金融信息的保護與利用[J].東方法學，2021(1)： 56.位階次高的《技術(shù)規(guī)范》屬于部門規(guī)范性文件，但其所附通知的第一、第二條表述為金融業(yè)機構(gòu)和行業(yè)協(xié)會“可結(jié)合實際”，“可根據(jù)工作需要”按照《技術(shù)規(guī)范》執(zhí)行，呈現(xiàn)出推薦性、參考性而非強制性的軟法特征，難以保障其效力與強制力。

(二) 治理標準中分級分類并不周延

2021年出臺的《數(shù)據(jù)安全法》確立了數(shù)據(jù)分級分類保護制度，已成為各行業(yè)數(shù)據(jù)風險研判與治理應(yīng)對的邏輯起點。(19)對數(shù)據(jù)分級分類的做法最早出現(xiàn)在網(wǎng)絡(luò)與信息安全工作中，目的是為了明確數(shù)據(jù)保護對象、節(jié)省與分配數(shù)據(jù)保護資源與成本。《數(shù)據(jù)安全法》第二十一條將對數(shù)據(jù)分級分類的要求上升為法律，《證券期貨業(yè)數(shù)據(jù)分類分級指引》《技術(shù)規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》等也均建立了各自的分級分類體系?？傮w而言，個人金融數(shù)據(jù)的分級分類標準不夠周延。一方面，多個分級分類體系與數(shù)據(jù)跨境之間的聯(lián)系并不完善?！都夹g(shù)規(guī)范》第4.2條根據(jù)敏感程度將數(shù)據(jù)從高到低分為C3、C2、C1三個類別，《證券期貨業(yè)數(shù)據(jù)分類分級指引》(以下簡稱《證期數(shù)據(jù)指引》)第8.3條也規(guī)定了數(shù)據(jù)定級的“對象、范圍和程度”三要素。但即使是《技術(shù)規(guī)范》中敏感程度最高的C3類別數(shù)據(jù)，損害后果也局限于金融數(shù)據(jù)“主體的信息安全與財產(chǎn)安全”，未體現(xiàn)規(guī)模化的個人金融數(shù)據(jù)對公共利益、國家安全可能造成的影響；就《證期數(shù)據(jù)指引》而言，三要素中對社會公益與國家安全的考量亦付之闕如，而第8.3.1.3條的影響程度也是將事件對機構(gòu)自身的影響后果作為基本面向。這種分級分類方式與現(xiàn)有數(shù)據(jù)跨境傳輸未建立必要的聯(lián)系，規(guī)則適用者不能據(jù)此得出不同金融數(shù)據(jù)出境行為在合法性、限制條件、安全防護要求等方面的差別。(20)蔣昊禹.金融數(shù)據(jù)出境行為的合法性認定研究[J].征信，2022(2)： 31.此外，其他涉及金融數(shù)據(jù)跨境的規(guī)定也存在不一致之處。如2016年發(fā)布的原《消保辦法》第三十三條，以及仍然有效的《通知》第六條，均要求金融機構(gòu)不得向境外提供境內(nèi)個人金融數(shù)據(jù)?！断＾k法》在2020年的修訂中，相關(guān)數(shù)據(jù)跨境規(guī)定已成空白，但《通知》的內(nèi)容未進行相應(yīng)修改，法規(guī)間不一致使其難以有效指導(dǎo)金融機構(gòu)與其他企業(yè)的數(shù)據(jù)合規(guī)工作。

另一方面，《個人信息保護法》第二十八條區(qū)分了敏感與非敏感個人信息，第二十九條要求處理敏感個人信息需遵循更為嚴格的“單獨同意”程序。然而，“單獨同意”雖然在人臉識別、健康醫(yī)療數(shù)據(jù)領(lǐng)域同樣得到應(yīng)用，但在線下、電子金融業(yè)務(wù)的具體要求和實現(xiàn)方式尚不清晰，有待探索出既不會導(dǎo)致金融機構(gòu)履行嚴苛“知情”義務(wù)，又能實現(xiàn)敏感數(shù)據(jù)高級別保護的標準。此外，“單獨同意”相較普通的知情同意規(guī)則，甚至是《技術(shù)規(guī)范》第3.22條“明示同意”標準的要求都要高，這進一步體現(xiàn)出合理劃定敏感數(shù)據(jù)范圍的重要性?！秱€人信息保護法》將生物識別數(shù)據(jù)、金融賬戶納入敏感數(shù)據(jù)范圍，但其寬窄相宜程度有待考量，并非所有金融賬戶數(shù)據(jù)都應(yīng)當被認定為敏感數(shù)據(jù)，仍需根據(jù)其個人信息是否有較高概率的致害風險來綜合判斷，(21)朱蕓陽.個人金融信息保護的邏輯與規(guī)則展開[J].環(huán)球法律評論，2021(6)： 67.并進一步類型化和細化其他金融敏感數(shù)據(jù)范圍。

(三) 治理路徑存在理論與現(xiàn)實滯礙

《個人信息保護法》兼具公法屬性與私法屬性已成為學界共識，(22)丁曉東.《個人信息保護法》的比較法重思： 中國道路與解釋原理[J].華東政法大學學報，2022(2)： 12.但公私法之間邊界與比例的問題仍有深入討論的空間。在規(guī)則設(shè)計與法律實施中，《個人信息保護法》的私法屬性相較公法屬性而言得到充分踐行，數(shù)據(jù)私法路徑在個人金融數(shù)據(jù)治理實踐中發(fā)揮著主要功能。展開來看，私法路徑注重在事前和事后兩個階段施以關(guān)注，基于“信息自決權(quán)”的“知情同意”規(guī)則成為私權(quán)創(chuàng)設(shè)基礎(chǔ)，違約之訴、侵權(quán)之訴等訴訟形式成為私權(quán)救濟保障。然而，私法治理路徑自身存在諸多滯礙，需要對事中階段的治理缺失、公法保護的實際缺位進行深刻反思。

其一，私法治理路徑的私權(quán)創(chuàng)設(shè)基礎(chǔ)在理論與實踐層面存在問題。在理論層面，數(shù)據(jù)對個人而言雖有利益聯(lián)系，但概念之間的關(guān)聯(lián)并非權(quán)益之上的完全歸屬。(23)胡凌.功能視角下個人信息的公共性及其實現(xiàn)[J].法制與社會發(fā)展，2021(5)： 177.將數(shù)據(jù)界定為一種個人的支配性權(quán)利，很有可能在追求周延保護的同時，落入數(shù)據(jù)利用的僵局，對個人金融數(shù)據(jù)的價值創(chuàng)造施加過度抑制，造成數(shù)據(jù)領(lǐng)域的“反公地悲劇”。(24)Heller M A. The Tragedy of the Anti-Commons： Property in the Transition from Marx to Markets[J]. Harvard Law Review， 1998， 111(3)： 660.個人金融數(shù)據(jù)治理路徑的選擇決斷，應(yīng)基于如何把握風險控制與價值創(chuàng)造的平衡支點，而非是私法路徑下從“自決”到“權(quán)利”的直覺推演。并且，理論上的數(shù)據(jù)人格權(quán)或新型民事權(quán)利體系缺乏足夠的周延性，(25)梅夏英.在分享和控制之間： 數(shù)據(jù)保護的私法局限和公共秩序構(gòu)建[J].中外法學，2019(4)： 848.高度的信息自決權(quán)究竟包括哪些個人數(shù)據(jù)并不明晰。(26)張凌寒.自動化決策與人的主體性[J].人大法律評論，2020(2)： 37.靜態(tài)的民事權(quán)利客體理念實質(zhì)上無法有效回應(yīng)數(shù)據(jù)可識別性與相關(guān)性的擴張趨勢，(27)王錫鋅.個人信息國家保護義務(wù)及展開[J].中國法學，2021(1)： 147.這一權(quán)利也難以為個人所支配。

而在實踐層面，“知情同意”規(guī)則本身在個人金融數(shù)據(jù)治理中欠缺實際知情的基礎(chǔ)。囿于個體與金融機構(gòu)或科技公司在信息、技術(shù)、理解能力等方面的不對等，數(shù)據(jù)處理規(guī)則和隱私政策相較非金融領(lǐng)域的文本內(nèi)容更加難以被理解。用戶在大多數(shù)情況下跳過閱讀，呈現(xiàn)出實際“不知情”的同意表象，可謂建構(gòu)在“不知情”基礎(chǔ)上的“強制披露失敗”。(28)歐姆瑞·本·沙哈爾，卡爾·E.施耐德.過猶不及： 強制披露的失敗[M].陳曉芳，譯.北京： 法律出版社，2015： 85.而服務(wù)提供者對所披露條款的設(shè)置初衷，往往是為了控制企業(yè)風險而減輕或免除己方可能承擔的責任。在這一動機驅(qū)使下，篇幅本就極長的格式條款中充斥著晦澀難懂的專業(yè)名詞，而存在的大量例外規(guī)定使得該機制更加形同虛設(shè)。

其二，以個人同意為基準的治理路徑必然依賴于私人主動進行監(jiān)督與維權(quán)。但在我國司法實踐中，一方面?zhèn)€人通過私法上的侵權(quán)之訴獲得救濟的難度很大。實證研究顯示，由數(shù)據(jù)主體舉證被告為數(shù)據(jù)泄露方存在極高的難度，公民舉證不能與舉證不足是導(dǎo)致敗訴的最主要事由。(29)馮果，薛亦颯.從“權(quán)利規(guī)范模式”走向“行為控制模式”的數(shù)據(jù)信托： 數(shù)據(jù)主體權(quán)利保護機制構(gòu)建的另一種思路[J].法學評論，2020(3)： 70.另一方面，數(shù)據(jù)侵權(quán)的損失常常難以被計算和框定，(30)田奧妮.第三方數(shù)據(jù)信托： 數(shù)據(jù)控制者義務(wù)的困境及其破解[J].圖書館論壇，2022(3)： 2.預(yù)期獲得的賠償數(shù)額也處在非常低的水平。勝訴難、賠償少、缺乏強制手段或選擇性激勵，這些因素使得個體極易陷入“集體不行動”(Collective Inaction)的困境。《個人信息保護法》第七十條雖然規(guī)定了公益訴訟，但其目前僅發(fā)揮示范性和補充性功能，難以對廣泛的金融數(shù)據(jù)侵權(quán)行為作出現(xiàn)實回應(yīng)。

(四) 治理對象與控制結(jié)構(gòu)之間的緊張顯著

相較其他類型的數(shù)據(jù)而言，對金融數(shù)據(jù)的控制已成為機構(gòu)自身的重要資產(chǎn)和核心競爭力，實踐中的個人金融數(shù)據(jù)存在著多主體控制的結(jié)構(gòu)性特征。(31)文中所用“控制”的概念，指的是一種實際支配數(shù)據(jù)，將數(shù)據(jù)作為一種核心資產(chǎn)和價值創(chuàng)造工具的狀態(tài)。《個人信息保護法》第七十三條第一款中，處理者是“自主決定處理目的、處理方式的組織、個人”。我國現(xiàn)行法律并未對“數(shù)據(jù)處理者”和“數(shù)據(jù)控制者”的概念加以明確區(qū)分，我國“數(shù)據(jù)處理者”概念基本對應(yīng)GDPR中的“數(shù)據(jù)控制者”概念。在金融業(yè)務(wù)的實際開展中，數(shù)據(jù)控制方呈現(xiàn)出極為分散的三方結(jié)構(gòu)： 第一類是持牌金融機構(gòu)，如銀行、證券、保險等傳統(tǒng)金融機構(gòu)；第二類是持牌的非金融機構(gòu)，如支付寶、易寶等依照《非金融機構(gòu)支付服務(wù)管理辦法》第三條取得《支付業(yè)務(wù)許可證》并從事支付業(yè)務(wù)的支付類非金融機構(gòu)，又如取得征信牌照的非金融機構(gòu)；第三類是從事金融業(yè)務(wù)的非持牌機構(gòu)，例如或是獲批金融牌照，或是通過為持牌金融機構(gòu)提供信息科技服務(wù)而控制金融數(shù)據(jù)的大型科技公司和互聯(lián)網(wǎng)企業(yè)。(32)馬蘭.金融數(shù)據(jù)跨境流動規(guī)制的核心問題和中國因應(yīng)[J].國際法研究，2020(3)： 90.此外，小額貸款公司、擔保公司等非正式金融組織替代傳統(tǒng)銀行業(yè)完成其信用中介功能，(33)郭靂.中國式影子銀行的風險溯源與監(jiān)管創(chuàng)新[J].中國法學，2018(3)： 208.在我國監(jiān)管語境下也屬于未持牌但從事金融業(yè)務(wù)的數(shù)據(jù)控制者。

金融在我國屬于特許行業(yè)，必須持牌經(jīng)營。(34)易綱.再論中國金融資產(chǎn)結(jié)構(gòu)及政策含義[J].經(jīng)濟研究，2020(3)： 16.但是，以持牌為中心的范圍標準與數(shù)據(jù)控制主體實際分散之間的緊張關(guān)系引發(fā)了一系列問題。一方面，現(xiàn)有持牌金融機構(gòu)數(shù)據(jù)治理的重心在銀行業(yè)機構(gòu)，而現(xiàn)實中同樣暴露較多問題的證券、期貨、保險業(yè)數(shù)據(jù)治理力度偏弱。以證券期貨為例，與數(shù)據(jù)治理直接相關(guān)的規(guī)范僅有《證期數(shù)據(jù)指引》一部規(guī)范性文件。根據(jù)其第8.3條，其影響程度為“嚴重”的頂格情形內(nèi)容與特征均是以金融機構(gòu)業(yè)務(wù)為基點，聚焦于業(yè)務(wù)開展、經(jīng)濟損失、嚴重監(jiān)管處罰等后果，尚處在公司內(nèi)部資產(chǎn)管理的初級治理階層，治理邏輯與《數(shù)據(jù)安全法》第二十七條、第三十條、第三十一條脫離組織內(nèi)部業(yè)務(wù)視角，保護數(shù)據(jù)背后重要價值的“自上而下”邏輯(35)洪延青.國家安全視野中的數(shù)據(jù)分類分級保護[J].中國法律評論，2021(5)： 76.相悖。此外，依照《關(guān)于做好個人征信業(yè)務(wù)準備工作的通知》，非金融機構(gòu)需持牌才能從事個人征信業(yè)務(wù)。但我國直到2018年才發(fā)放了首張個人征信牌照，截至目前也僅有3家機構(gòu)獲批，難以實質(zhì)保障個人征信數(shù)據(jù)的安全與價值利用。

另一方面，從事金融業(yè)務(wù)的非持牌機構(gòu)持續(xù)處于數(shù)據(jù)治理真空當中?！都夹g(shù)規(guī)范》第3.1條將“涉及個人金融信息處理的相關(guān)機構(gòu)”也納入金融業(yè)機構(gòu)的定義中，意指前述第二類持牌的非金融機構(gòu)，但從事金融業(yè)務(wù)的非持牌機構(gòu)與金融機構(gòu)的合作形式為提供身份驗證、風控等基礎(chǔ)支持服務(wù)，無法直接涵攝于現(xiàn)有的個人金融信息保護規(guī)則(36)邢會強.大數(shù)據(jù)時代個人金融信息的保護與利用[J].東方法學，2021(1)： 51.，諸如小額貸款、擔保等類別的公司也處在治理盲區(qū)中。

三、 “精巧規(guī)制”理論及與個人金融數(shù)據(jù)治理的適配

(一) 精巧規(guī)制理論

現(xiàn)有個人金融數(shù)據(jù)治理體系存在較大的局限性，亟需引入新的理論框架對其進行完善。長久以來，規(guī)制理論界一直是遵從(Compliance)或威懾(Deterrence)進路的擁躉，將“命令—控制”(Command and Control)作為主要的規(guī)制形式。20世紀80年代初期，“命令—控制”型規(guī)制因難以應(yīng)對西方環(huán)境領(lǐng)域的各類新問題而受到質(zhì)疑，被批評過于繁瑣、昂貴、僵化且成效緩慢，并被認為已經(jīng)接近其技術(shù)能力的極限。(37)Wood S， Johannson L. Six Principles for Integrating Non-Governmental Environmental Standards into Smart Regulation[J]. Osgoode Hall Law Journal， 2008， 46(2)： 362.同時，吸收新自由主義思想而興起的放松型規(guī)制(Deregulation)在應(yīng)對環(huán)境保護問題方面亦收效甚微。精巧規(guī)制理論誕生于這一背景下，由尼爾·古寧漢(Neil Gunningham)于1998年提出，(38)Gunningham N， Sinclair D, Quinn A C. Smart Regulation： Designing Environmental Policy[M]. Oxford: Oxford University Press， 1998.主張發(fā)揮政府、企業(yè)、第三方等多元規(guī)制主體的功能，同時使用多重政策工具組合，實現(xiàn)成本更低、效益更高的治理效果。(39)Drahos P. “Smart Regulation”， Regulatory Theories： Foundations and Applications[M]. Canberra： Australian National University Press， 2017： 133.精巧規(guī)制被視作超越“命令—控制”型規(guī)制與放松型規(guī)制的“第三條道路”，已在世界各國的環(huán)境保護、航運治理、金融科技(40)加拿大聯(lián)邦政府于2003年成立了精巧規(guī)制外部咨詢委員會(External Advisory Committee on Smart Regulation)，并于2005年發(fā)起了精巧規(guī)制倡議(Smart Regulation Initiative)，以建立更好而不是更少的規(guī)制為目標；“里斯本戰(zhàn)略”下歐盟持續(xù)探索新的治理模式，主張推動更好規(guī)制(Better Regulation)向精巧規(guī)制轉(zhuǎn)型；精巧規(guī)制也被運用在金融科技監(jiān)管領(lǐng)域，主張根據(jù)特定金融科技產(chǎn)品或活動的特征制定監(jiān)管要求，更好地促進金融創(chuàng)新。參見Wood S， Johannson L. Six Principles for Integrating Non-Governmental Environmental Standards into Smart Regulation[J]. Osgoode Hall Law Journal， 2008， 46(2)： 361.(41)EU Commission. Smart Regulation in the European Union， 2010 COM(2010) 543 Final[EB/OL]. [2022-07-20]. https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX： 52010DC0543&from=EN.(42)Omarova S T. Dealing with Disruption： Emerging Approaches to Fintech Regulation[J]. Washington University Journal of Law & Policy， 2020， 61(25)： 35.等領(lǐng)域有豐富的應(yīng)用實踐。

相較其他治理方式理論，精巧規(guī)制理論具有以下核心特征。首先，相比“命令—控制”型規(guī)制中政府和企業(yè)的二元組成，精巧規(guī)制在治理主客體關(guān)系層面更加多元化，強調(diào)將治理主體的外延廣泛擴展至第三方機構(gòu)、非政府組織乃至公民社會，認為非正式社會控制機制比正式社會控制機制更為重要。(43)Gunningham N， Sinclair D. Regulatory Pluralism： Designing Policy Mixes for Environmental Protection[J]. Law and Policy， 1999， 21(1)： 50.精巧規(guī)制理論的這一特點，與新公共管理運動中政府“治理外包”行為所引發(fā)的多元合作治理變革(44)張康之，張乾友.民主的沒落與公共性的擴散： 走向合作治理的社會治理變革邏輯[J].社會科學研究，2011(2)： 59.相一致。其次，在治理手段方面強調(diào)多元政策工具的選用與組合。精巧規(guī)制理論在很大程度上立足于回應(yīng)型(Responsive)規(guī)制所構(gòu)建的執(zhí)法工具金字塔，(45)回應(yīng)型規(guī)制理論的執(zhí)法金字塔以企業(yè)具有良好品德和守法意識為假定，模型底、中、頂部自下而上分別為建議說服性措施、緩和的行政制裁措施和強制懲罰性制裁措施。參見羅伯特·鮑德溫，馬丁·凱夫，馬丁·洛奇.牛津規(guī)制手冊[M].宋華琳，李鸻，安永康，等,譯.上海： 上海三聯(lián)書店，2017： 140.其邏輯是盡可能依靠底層措施，并根據(jù)治理效果的回應(yīng)沿金字塔層級逐步升級措施。如圖1所示，精巧規(guī)制理論對這一金字塔模型進行了重建和擴展，更加強調(diào)教育、說服、建議和獎勵等軟性規(guī)制，突出第三方規(guī)制、自我規(guī)制在治理體系中的作用。(46)在古寧漢構(gòu)建的精巧規(guī)制擴展模型中，除了政府規(guī)制之外，規(guī)制的升級還可能出現(xiàn)在金字塔的第二面(自我規(guī)制)和第三面(第三方規(guī)制)之中。參見Gunningham N， Sinclair D, Quinn A C. Smart Regulation： Designing Environmental Policy[M]. Oxford: Oxford University Press， 1998： 5.最后，精巧規(guī)制理論在利益權(quán)衡方面吸收“命令—控制”型規(guī)制的前車之鑒，注重以有限的社會成本盡可能達到雙贏結(jié)局，(47)Gunningham N， Sinclair D, Quinn A C. Smart Regulation： Designing Environmental Policy[M]. Oxford: Oxford University Press， 1998： 11.實現(xiàn)社會風險有效控制與價值創(chuàng)造之間的平衡，這也是其強調(diào)激發(fā)被治理對象進行自我規(guī)制的原因。

圖1 精巧規(guī)制理論對回應(yīng)型規(guī)制執(zhí)法工具金字塔的升級

(二) 與個人金融數(shù)據(jù)治理的適配性

第一，精巧規(guī)制理論與個人金融數(shù)據(jù)治理中各主體發(fā)揮功能的邏輯起點一致。精巧規(guī)制理論建構(gòu)者劃定了兩條適用場景的“紅線”： 一是必須在持續(xù)互動的各治理主客體之間使用才有可能有效，二是逐級遞增的政策工具不能適用于存在不可彌補的損失，或災(zāi)難性破壞的嚴重風險之情境。(48)羅伯特·鮑德溫，馬丁·凱夫，馬丁·洛奇.牛津規(guī)制手冊[M].宋華琳，李鸻，安永康，等,譯.上海： 上海三聯(lián)書店，2017： 150.這其實明確了數(shù)據(jù)治理“精巧”進路下各主體的功能發(fā)揮方向。通過精巧規(guī)制理論棱鏡來審視個人金融數(shù)據(jù)治理中的政府角色，個人金融數(shù)據(jù)跨境存在引發(fā)大量經(jīng)濟損失、危害國家整體安全的特定破壞性風險，對于此類風險，政府應(yīng)劃定底線和確立標準，施以事前嚴格審查措施、事中流程監(jiān)管措施與事后嚴厲懲罰措施。而在這種特定破壞性風險之外，金融數(shù)據(jù)治理的主客體間天然處在業(yè)務(wù)來往、數(shù)據(jù)互通等持續(xù)互動中。此種情形下，政府不再扮演傳統(tǒng)政府和企業(yè)二元規(guī)制中直接干預(yù)者的角色，其主要功能是進行規(guī)則重塑： 為第二級、第三級等其他治理者合理分配治理權(quán)力，便于后者在執(zhí)法工具金字塔體系中拾級而上，激勵并保障多重數(shù)據(jù)治理主體功能的實現(xiàn)。

第二，精巧規(guī)制理論與個人金融數(shù)據(jù)治理路徑相契合?，F(xiàn)有偏重私法的治理路徑主要關(guān)注事前和事后階段的數(shù)據(jù)治理，其自身在理論和實踐上有著較大局限性。相較而言，國家改變原本消極的“守夜人”角色，在事中階段通過更有力的規(guī)制手段保護處于弱勢地位的個人，并將數(shù)據(jù)治理上升為國家保護義務(wù)的公法路徑觀點已有豐富的研究。(49)王錫鋅.個人信息國家保護義務(wù)及展開[J].中國法學，2021(1)： 145-166.(50)梅夏英.在分享和控制之間： 數(shù)據(jù)保護的私法局限和公共秩序構(gòu)建[J].中外法學，2019，31(4)： 845-870.(51)高富平.個人信息保護： 從個人控制到社會控制[J].法學研究，2018(3)： 84-101.數(shù)據(jù)公法治理和監(jiān)管協(xié)調(diào)既可為金融機構(gòu)內(nèi)部數(shù)據(jù)治理提供規(guī)范引導(dǎo)和標準依據(jù)，也能夠提供法律、制度和政策保障。(52)黃國平.我國金融數(shù)據(jù)治理體系的創(chuàng)新與發(fā)展[EB/OL]. (2022-05-16)[2022-07-18]. https：//www.financialnews.com.cn/ll/sx/202205/t20220516_246423.html.作為一種社會控制形式，精巧規(guī)制主張量體裁衣式選擇使用范圍廣泛的政策工具混合體，更加注重在事中治理過程中政策工具的運用，并根據(jù)金融數(shù)據(jù)控制方的行為回應(yīng)所選用的相關(guān)執(zhí)法工具，實現(xiàn)規(guī)制手段的漸次增強，彌合私法路徑在事中治理階段的缺陷。

第三，精巧規(guī)制理論能夠平衡治理成本與收益，適配數(shù)字化時代個人金融數(shù)據(jù)的治理對效率和公平的價值追求。如前所述，金融數(shù)據(jù)治理的對象包括各類從事金融業(yè)務(wù)或是與金融業(yè)務(wù)相關(guān)的機構(gòu)，天然形成數(shù)據(jù)實際控制者分散的結(jié)構(gòu)。治理主體以“命令—控制”的方式“奪取”現(xiàn)有主體控制權(quán)，并自上而下再次賦權(quán)給其他主體的做法既難以實現(xiàn)，又與市場化配置數(shù)據(jù)資源相違背，更難以助力數(shù)字經(jīng)濟的健康發(fā)展。相較之下，更理性的方式是遵循現(xiàn)有市場結(jié)構(gòu)與商業(yè)交易，推動和刺激第三方的協(xié)同治理，以及治理對象在一定空間內(nèi)的自我治理，以較低的經(jīng)濟和社會成本來實現(xiàn)治理目標。當然，這并不意味著拋棄對公平價值的追求，“精巧”進路要求在強制和非強制治理工具間取得微妙平衡，而當治理措施難達目的時，仍具備嚴厲懲罰性制裁手段的威懾與兜底，保障數(shù)據(jù)治理過程中的實質(zhì)公平。

四、 數(shù)字化時代個人金融數(shù)據(jù)治理的“精巧”進路

(一) 完善個人金融數(shù)據(jù)治理的框架與底線

精巧規(guī)制理論強調(diào)政府是多元治理主體中最關(guān)鍵一環(huán)，政府法令仍處于相對優(yōu)越的地位，(53)羅伯特·鮑德溫，馬丁·凱夫，馬丁·洛奇.牛津規(guī)制手冊[M].宋華琳，李鸻，安永康，等,譯.上海： 上海三聯(lián)書店，2017： 146.現(xiàn)有政府治理角色應(yīng)從直接治理者向規(guī)則、底線和標準制定者的角色轉(zhuǎn)移。首先，政府應(yīng)整合位階較低、存在沖突的現(xiàn)有規(guī)范體系，形成協(xié)調(diào)統(tǒng)一的個人金融數(shù)據(jù)法律法規(guī)體系?！都夹g(shù)規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(以下簡稱《指南》)等文件相繼推動金融數(shù)據(jù)治理實踐，《個人信息保護法》更是明晰了數(shù)據(jù)治理的邏輯起點與一般法依據(jù)。而從現(xiàn)有進度來看，《個人金融信息(數(shù)據(jù))保護試行辦法》在2019—2021年間均被列入央行的年度規(guī)章制定工作計劃中，并已于2019年底向部分銀行征求意見。(54)中國人民銀行2021年規(guī)章制定工作計劃[EB/OL]. (2021-05-24)[2022-07-18]. http：//www.pbc.gov.cn/tiaofasi/144941/144943/144945/4253315/index.html.央行有必要盡快推動制定《個人金融信息(數(shù)據(jù))保護試行辦法》，彌合金融數(shù)據(jù)專門性規(guī)范在部門規(guī)章位階之上的缺失，整合、吸收和引領(lǐng)現(xiàn)有的各項金融行業(yè)標準，消除不同金融業(yè)務(wù)之間的規(guī)則割裂，最終形成完整統(tǒng)一的金融數(shù)據(jù)治理法律體系。

其次，確立清晰包容的個人金融數(shù)據(jù)范圍，緩解有限治理對象與分散控制結(jié)構(gòu)之間的張力?！都夹g(shù)規(guī)范》第3.1條將“涉及個人金融信息處理的相關(guān)機構(gòu)”也納入了金融業(yè)機構(gòu)的范圍，拓展了以持牌機構(gòu)為判斷標準的數(shù)據(jù)范圍，是一種較為可取的方式。在此之上，還應(yīng)繼續(xù)堅持“金融活動全部納入金融監(jiān)管，金融業(yè)務(wù)必須持牌經(jīng)營”的理念，(55)中國人民銀行行長易綱在中德“金融科技與全球支付領(lǐng)域全景—探索新疆域”視頻會議的開幕致辭[EB/OL]. (2021-09-18)[2022-07-18]. http：//www.pbc.gov.cn/goujisi/144449/144464/4345544/index.html.發(fā)揮功能監(jiān)管與行為監(jiān)管的基石作用，運用穿透式監(jiān)管等原則對“涉及個人金融信息處理”的范圍進行解釋，將仍處在監(jiān)管真空的從事金融業(yè)務(wù)的非持牌機構(gòu)納入治理范圍。此外，應(yīng)盡快規(guī)范金融數(shù)據(jù)體量較大的證券期貨行業(yè)，沿著《數(shù)據(jù)安全法》《技術(shù)規(guī)范》等法律法規(guī)的邏輯修訂《證期數(shù)據(jù)指引》第8.3條規(guī)定的影響情形及判斷要素，推動證券期貨業(yè)金融數(shù)據(jù)治理階層的提升。

黨的十九大報告明確提出了“堅持總體國家安全觀”。(56)習近平.決勝全面建成小康社會 奪取新時代中國特色社會主義偉大勝利——在中國共產(chǎn)黨第十九次全國代表大會上的報告[M].北京： 人民出版社，2017.個人金融數(shù)據(jù)治理的“精巧”進路也有必要為數(shù)據(jù)跨境可能引發(fā)的國家總體安全風險劃定底線與紅線，并將金融數(shù)據(jù)治理規(guī)范中的各分級分類體系對應(yīng)統(tǒng)一。一方面，良好的數(shù)據(jù)分級分類制度應(yīng)做到“內(nèi)外兼修”： 對內(nèi)與金融機構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理規(guī)范相協(xié)調(diào)，對外注重與《數(shù)據(jù)安全法》第二十一條的重要數(shù)據(jù)、核心數(shù)據(jù)，以及數(shù)據(jù)出境相關(guān)規(guī)則相銜接。另一方面，《指南》作為最新出臺的金融行業(yè)標準，兼顧了《數(shù)據(jù)安全法》的國家安全立法視角與金融行業(yè)機構(gòu)實踐，應(yīng)將《指南》作為金融數(shù)據(jù)分級分類體系構(gòu)建的藍本，重點修訂第5.3條的《數(shù)據(jù)安全定級規(guī)則參考表》，要求“安全級別參考”為5級的數(shù)據(jù)除法律法規(guī)和監(jiān)管機構(gòu)另有規(guī)定外，原則上嚴格落實本地化；4級到2級的數(shù)據(jù)可以根據(jù)具體業(yè)務(wù)類型再繼續(xù)向下分類，并結(jié)合特定場景下出境的必要性與合理性等綜合判斷出境標準；1級數(shù)據(jù)在取得主體同意并符合企業(yè)內(nèi)部數(shù)據(jù)資產(chǎn)管理程序后允許出境。

(二) 強化事中階段個人金融數(shù)據(jù)治理

習近平總書記指出，規(guī)范數(shù)字經(jīng)濟發(fā)展，需要“實現(xiàn)事前事中事后全鏈條全領(lǐng)域監(jiān)管”。(57)習近平.不斷做強做優(yōu)做大我國數(shù)字經(jīng)濟[J].求是，2022(2)： 5-7.循沿個人金融數(shù)據(jù)治理的“精巧”進路，應(yīng)更注重克服傳統(tǒng)私法治理路徑的不足。一方面是對個人金融數(shù)據(jù)事中階段治理的強化和落實，應(yīng)在《數(shù)據(jù)安全法》第二十七條及《技術(shù)規(guī)范》第七章相關(guān)規(guī)定的基礎(chǔ)上，重點強化金融數(shù)據(jù)控制者事中階段的信息披露義務(wù)，彌合監(jiān)管機構(gòu)與個體的信息不對稱劣勢。具體而言，應(yīng)要求其持續(xù)披露相較“知情同意”環(huán)節(jié)變動的數(shù)據(jù)使用方式、潛在風險及與其他機構(gòu)共享情形，還應(yīng)要求控制者建立事中披露的管理系統(tǒng)，并在該系統(tǒng)中向個體開放自主選擇披露通知頻次與方式的功能。同時，還應(yīng)當豐富事中階段的規(guī)制“工具箱”，強調(diào)教育、說服和獎勵在規(guī)制措施中的占比，為金融機構(gòu)的事中自我規(guī)制創(chuàng)造空間，并根據(jù)金融機構(gòu)對治理措施的響應(yīng)來選擇是否運用更加嚴格、強制力更高的規(guī)制工具。

另一方面，應(yīng)當對現(xiàn)有偏重私法的治理路徑進行調(diào)整。一是對敏感信息在個人金融數(shù)據(jù)領(lǐng)域的映射范圍加以修正。對于金融敏感數(shù)據(jù)范圍，“鑒別數(shù)據(jù)”尚未完全處在《個人信息保護法》第二十八條列舉的金融數(shù)據(jù)范圍中，而《技術(shù)規(guī)范》第4.2條將“用戶鑒別信息”劃定為最高敏感程度C3，《指南》亦將其最低安全級別參考認定為4級，原因是其一旦遭到未經(jīng)授權(quán)的查看或變更，將會對主體財產(chǎn)安全甚至人身安全造成嚴重危害。應(yīng)當將鑒別數(shù)據(jù)納入金融敏感數(shù)據(jù)的范圍中，并隨著國際局勢與新興數(shù)據(jù)處理技術(shù)的發(fā)展，根據(jù)數(shù)據(jù)安全需要及時更新金融敏感數(shù)據(jù)的認定類別。二是細化事前階段“單獨同意”的實現(xiàn)標準。對于金融敏感數(shù)據(jù)適用“單獨同意”的實現(xiàn)標準，可以借鑒《個人信息安全規(guī)范》第5.4條對人臉識別“單獨同意”的實踐處理經(jīng)驗，以“充分知情、自愿、明確、單獨”的要件標準進行判定。(58)洪延青.保護人臉信息 規(guī)范行業(yè)健康發(fā)展的有效司法路徑[EB/OL]. (2021-07-29)[2022-07-20]. https：//www.thepaper.cn/newsDetail_forward_13795541.以銀行手機服務(wù)軟件為例，需要通過彈窗或跳轉(zhuǎn)頁面的充分知情形式，單獨告知專門針對敏感數(shù)據(jù)的處理內(nèi)容與規(guī)則，取得用戶對本事項主動做出的同意，并在未取得同意時保障用戶能夠以其他形式接受金融服務(wù)，以滿足“自愿”標準的要求。三是完善《個人信息保護法》第五十七條的事后補救與通知規(guī)則，將通知時間與補救措施相同步為“立即”，將可能的相關(guān)救濟方式補充至通知內(nèi)容的要求中，并限定可不通知客戶的例外條款的適用情形。

(三) 推動實現(xiàn)多元治理主體協(xié)同共治

1. 政府、社會組織與公眾多方共治

黨的十九屆四中全會明確提出，要“建設(shè)人人有責、人人盡責、人人享有的社會治理共同體”。(59)建設(shè)人人有責、人人盡責、人人享有的社會治理共同體[N].光明日報，2019-12-06(6).《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》也指出，健全完善數(shù)字經(jīng)濟治理體系需要形成“政府、平臺、企業(yè)、行業(yè)組織和社會公眾多元參與、有效協(xié)同的數(shù)字經(jīng)濟治理新格局”。(60)“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃[EB/OL]. (2022-03-25)[2022-08-31]. https：//www.ndrc.gov.cn/fggz/fzzlgh/gjjzxgh/202203/t20220325_1320207.html?code=&state=123.推動實現(xiàn)個人金融數(shù)據(jù)的多元主體協(xié)同共治，不僅是“精巧規(guī)制”進路的理論內(nèi)涵，更是國家治理體系和治理能力現(xiàn)代化的應(yīng)有之義。個人金融數(shù)據(jù)的多元共治既包括多個監(jiān)管部門之間的協(xié)作，也包括政府作為整體與第三方行業(yè)組織、公民社會的協(xié)同共治。

第一，設(shè)立統(tǒng)一的個人金融數(shù)據(jù)治理牽頭部門，這既是遵循全國金融工作會議“加強功能監(jiān)管與更加重視行為監(jiān)管”的理念，也有助于減少金融機構(gòu)數(shù)據(jù)合規(guī)的套利空間。央行在規(guī)制標準制定以及查處銀行業(yè)機構(gòu)金融數(shù)據(jù)治理行政違法等方面已有豐富實踐，建議將央行作為全國層面統(tǒng)一負責金融數(shù)據(jù)治理的專門機構(gòu)，并以央行為牽頭單位，聯(lián)合銀保監(jiān)會、證監(jiān)會、公安部等監(jiān)管部門，建立金融數(shù)據(jù)治理協(xié)調(diào)與聯(lián)合執(zhí)法等機制?？紤]到與金融機構(gòu)建立外包合作的科技公司也是泄露和濫用金融數(shù)據(jù)的主要機構(gòu)，應(yīng)將網(wǎng)信辦、工信部等部門納入整體協(xié)同治理體系之中，明確作為個人信息保護“統(tǒng)籌協(xié)調(diào)”部門的網(wǎng)信辦與央行之間的職責劃分與合作形式，推動金融數(shù)據(jù)治理標準與執(zhí)法力度的相對統(tǒng)一。

第二，充分發(fā)揮行業(yè)協(xié)會、第三方認證組織、云服務(wù)提供商等機構(gòu)在個人金融數(shù)據(jù)治理中的結(jié)構(gòu)性功能。習近平總書記指出，完善數(shù)字經(jīng)濟治理體系，需要“開展社會監(jiān)督、媒體監(jiān)督、公眾監(jiān)督，形成監(jiān)督合力”。(61)習近平.不斷做強做優(yōu)做大我國數(shù)字經(jīng)濟[J].求是，2022(2)： 5-7.首先，加強金融行業(yè)組織在數(shù)據(jù)治理中的行業(yè)自律作用，鼓勵和引導(dǎo)行業(yè)組織在標準制定、文件論證、文化建設(shè)等方面與政府合作，并吸收如《指南》等較為完善的成果上升成為法律規(guī)范。其次，發(fā)揮第三方認證機構(gòu)等民間組織的專業(yè)優(yōu)勢和資源優(yōu)勢，替代政府在市場規(guī)模較大、專業(yè)性較強的領(lǐng)域開展合規(guī)評價工作。(62)孔祥穩(wěn).論個人信息保護的行政規(guī)制路徑[J].行政法學研究，2022(1)： 144.再次，國際貨幣基金組織發(fā)布的2021年《邁向數(shù)字時代的全球數(shù)據(jù)進路》報告稱，第三方云服務(wù)提供商正在成為金融中介機構(gòu)持有數(shù)據(jù)的關(guān)鍵存儲庫。(63)Haksar V， Carriere-Swallow Y， Islam E， et al. Toward a Global Approach to Data in the Digital Age[M]. Washington DC： International Monetary Fund， 2021.應(yīng)加強此類市場服務(wù)提供商與監(jiān)管部門的協(xié)調(diào)與合作，發(fā)掘其在控制數(shù)據(jù)跨境流動方面的功能。

第三，積極推動和鼓勵社會公眾參與到個人金融數(shù)據(jù)治理之中。公民社會能夠發(fā)揮替代治理的功能，以更高的社會認可度和更低的國家成本實現(xiàn)公共政策目標。首先，培養(yǎng)與增強金融數(shù)據(jù)主體的數(shù)據(jù)保護權(quán)利與意識，鼓勵其參與到金融數(shù)據(jù)治理全流程中。其次，建立健全知情同意規(guī)則的效果同樣能體現(xiàn)在社會公眾共治之中： 通過“單獨同意”等方式，個體更加明確個人金融數(shù)據(jù)被使用的內(nèi)容與方式，較以往更易于發(fā)現(xiàn)數(shù)據(jù)濫用的具體情形，具備參與數(shù)據(jù)治理更加堅實的識別能力。第三，現(xiàn)有《個人信息保護法》第六十一、第六十五條明確規(guī)定了履行個人信息保護職責部門接受投訴、舉報的義務(wù)，《消保辦法》第四十條更是規(guī)定了央行在金融機構(gòu)不接受投訴處理時的兜底義務(wù)。應(yīng)持續(xù)完善和暢通數(shù)據(jù)濫用的投訴舉報途徑，由央行統(tǒng)一負責接受、處理投訴舉報及兜底工作，簡化個人投訴金融數(shù)據(jù)濫用的電子化流程，消解私法救濟中的集體行動困難。第四，鑒于個人金融數(shù)據(jù)收集與處理的專業(yè)化程度較高，也可以考慮通過設(shè)置“吹哨人”等內(nèi)部監(jiān)督舉報制度，以提高數(shù)據(jù)濫用成本的方式加強數(shù)據(jù)安全保障。

2. 治理對象的自我規(guī)制

法律存在天然的不完備性，對數(shù)據(jù)濫用行為的有效捕獲率同樣存在上限。精巧規(guī)制理論倡導(dǎo)發(fā)展數(shù)據(jù)控制者的自我規(guī)制，達成低成本下加強規(guī)制主客體之間的緊密聯(lián)系、提升規(guī)制完整性和系統(tǒng)性的效果。一方面，應(yīng)繼續(xù)激活金融機構(gòu)、科技公司開展自我規(guī)制(Group Self-regulation)?！吨改稀贰都夹g(shù)規(guī)范》中參與起草單位涵蓋了大部分類別的規(guī)制對象，既包括銀行、證券、保險公司，又有支付、金融科技類公司。應(yīng)著力引導(dǎo)廣泛的規(guī)制對象參與到個人金融數(shù)據(jù)治理法規(guī)與行業(yè)標準制定中，推動其“自下而上”地完善和維護金融行業(yè)秩序，使數(shù)據(jù)治理規(guī)則在數(shù)字經(jīng)濟發(fā)展中得到普遍認同。

另一方面，應(yīng)當積極為自我規(guī)制主體創(chuàng)造完善的引導(dǎo)措施與約束規(guī)范。金融機構(gòu)建立內(nèi)控制度的要求雖在《通知》第三條、《消保辦法》第八條有所體現(xiàn)，但僅為宣示性或原則性規(guī)定。從現(xiàn)實來看，制度型公共產(chǎn)品的提供能降低個體自我規(guī)制成本，政府及行業(yè)協(xié)會應(yīng)當為相關(guān)企業(yè)提供內(nèi)控制度架構(gòu)搭建詳細指引、事前事中階段的信息披露等規(guī)則模板，引導(dǎo)企業(yè)重點從數(shù)據(jù)生命周期、數(shù)據(jù)處理人員和處理技術(shù)管理等三方面加強制度建設(shè)。此外，在金融機構(gòu)數(shù)字化轉(zhuǎn)型進程中，應(yīng)格外重視機構(gòu)與科技公司之間信息科技合作外包的風險。2022年1月出臺的《銀行保險機構(gòu)信息科技外包風險監(jiān)管辦法》針對這一問題作出有益嘗試，監(jiān)管機構(gòu)還應(yīng)當進一步梳理出不同金融業(yè)務(wù)中科技外包的合作流程及風險點，推動金融機構(gòu)提升信息科技外包的風險管控能力，防范外包服務(wù)商集中情形下的行業(yè)集中度風險。