■ 原文载《经济学家》2022年第12期,本文为推送版,相关注释和参考文献等请参阅原文。
郑丁灏
复旦大学法学院博士生
复旦大学智慧法治实验室、复旦大学数字经济研究中心研究人员
论中国金融数据的协同治理
「摘要」信息科技向金融业的突进式渗透使金融数据成为金融风险的栖息地,并将金融数据治理填入金融监管的议程表。归因于金融数据公私合一的属性特征、扁平化的网络架构与多层次的应用风险,以多元化主体和民主化规程为表征的协同治理高度契合金融数据治理的需求。尽管我国金融数据协同治理实践中依然存在政府协调网络空白、治理资源分配不均与社会治理能力孱弱等现实困境,但金融监管层可在优化协同组织网络的基础上,补足串联各治理主体的枢纽型规范,并为之匹配相互均衡的权责体系,促使公私治理主体合力打造共建共治共享的金融数据治理新格局,助推金融数据的高质量发展。
「关键词」金融数据;协同治理;公私合作
「基金项目」国家社会科学基金一般项目“数字人民币流通法律治理机制研究”(22BFX085)
一、引言
数字化转型时代,数据要素已成为数字经济深入发展的核心引擎。 作为数字经济的重要分支,数字金融依赖其“经营数据”的金融本质与信息技术的扶持,吸收海量数据相互集聚,形成“数据驱动式金融”(Data-driven Finance)的新业态。但纵观金融数据的应用场景,其既可充当资源流转与风险分析的助推器,也可突破法律规制,化身裹挟传统金融风险与新式技术风险的市场破坏者。为缓释金融数据风险,我国金融监管层自2018年起已围绕《银行业金融机构数据治理指引》以及金融数据行业标准,逐步充实金融数据的规范体系。然而,囿于金融监管的路径依赖与社会主体的权能缺失,当前科层制的治理框架难以适配金融数据的公私属性,并且在数据网络的扁平化结构中时常陷入“顾此失彼”的窘境,无力全面遏制金融数据乱象。因此, 构建金融数据的协同治理机制,以实现金融数据的多元共治,对防范金融风险具有极为重要的现实意义。
协同治理(Collaborative Governance)起源于20世纪90年代协同学理论以及新公共管理运动的融合与碰撞中,核心观点是公共政策或项目的制定与执行,应由多个政府机构连同非政府利益相关者共同参与,并经由审慎协调内部秩序以达成一致目标。与传统治理模式相比, 协同治理更加强调主体的多元性、规范的贯通性与权责的均衡性,更为契合数字化背景下复杂的社会网络系统。正是基于前述特质,协同治理近年来已开始进入我国数据治理的纲领性文件中。中央全面深化改革委员会于2022年6月审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》即指出,“构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管”系下一阶段完善数据基础制度建设的重点工作。
然而,若聚焦金融领域, 数据协同治理的宏观思路与微观机制却始终不曾现身于金融监管部门的政策规范内,即使在中国银行保险监督管理委员会(以下简称“银保监会”) 新近出台的《关于银行业保险业数字化转型的指导意见》“数据能力建设”章节也未曾提及,由此产生制度设计空白,必然导致当下金融数据治理零散、无序的状态。从现有研究来看,金融数据治理的学术成果依旧围绕“风险”与“规范”展开,或探讨金融数据的技术风险,或关注金融数据标准的效力,却未能从金融数据的本质特征以及社会主体的共治动力切入,为金融数据的协同治理提供有益的智识支撑。鉴此, 本文首先分析金融数据协同治理的生成逻辑,其次结合金融数据治理的现状,阐释金融数据协同治理的实践困境并剖析其内在缘由,最后从组织、规范与功能维度建构金融数据协同治理的法治路径。
二、金融数据协同治理的生成逻辑
探究社会治理范式的嬗变应以解构其生成逻辑为基础。金融数据的协同治理作为回应社会实践需求的产物,逻辑推演自然应回归以金融数据为治理对象的起点上,置身于以网络社会为治理背景的架构中,并落定于以风险防范为治理目标的终点内,最终为生成路径与治理机制的系统性耦合奠定基础。
►(一)底层逻辑:金融数据要素的“公-私属性”
依循治理逻辑,金融数据的本质属性是决定其治理模式的底层要素。追本溯源,数据既可为个人所控制,成为社会主体所独占的私有物,又可为社会所共享,以公共物品的样态满足公众化配置的需求,由此呈现出私有性与公共性的双重面向。同时,金融业因其特殊的资源分配机制,社会主体在追求利润最大化的私益时也需保障金融安全、公平等公共利益,特别在我国“政策性金融”的环境下,金融的公共属性受到社会治理的重点关注。因此, 金融数据不仅承袭数据的公私合一特征,并且吸纳金融的资源禀赋取向,强调公私属性的对等地位,为协同治理预设公私兼顾的价值目标。
具体而言,金融数据的私有属性首要表现为内容的高度精准性,即无论是身份信息还是交易信息、账户信息,均可直接或间接指向具体的人,金融数据主体相较其他数据更为透明。此外,私有性还表现为社会公众对数据的使用遵循严格的“知情-同意”原则。例如,根据《网络数据安全管理条例(征求意见稿)》第21条,数据处理者处理金融账户应当取得个人单独同意,征信机构在采集个人信息时还需满足“明确告知+书面同意”的要件,足见金融数据的专有性。相反,金融数据的公共性也可从下述维度予以阐释:其一,金融机构收集数据通常用于履行法定义务,如执行“双反”规定或履行适当性义务,或用于公共事业与行政事业,如北京金融数据公共平台以及国家金融基础数据库,此类目标的实现均有赖于金融数据的公共性转换。其二,在特定金融数据的使用过程中,个人仅是数据的提供者,数据价值的发挥还需要数据处理者的劳动,从而具备公共物品属性。典型者为金融基础设施内流动或交易的金融数据,其主要效能正是经由交易报告库的处理与整合功能所实现的。
由于单一公共部门难以在治理实践中完成角色对立的转换,因此只有通过协同理论下多主体的共治共享,方可在平衡公私利益的基础上达成治理目标。从金融数据的要素周期考量,前述公私融合属性及其衍生的多样化主体贯穿其“生成-处理-应用”的全流程中,故为实现数据公私价值并满足公私主体需求,金融数据协同治理便成为必需品。这也决定金融数据协同治理机制既不可漠视金融数据的私有性,需赋予个人或行业组织充分的金融数据权利(力),亦不可忽视其公共性,应打造金融数据的跨层级共治型体系。
►(二)社会逻辑:金融数据网络的“扁平化架构”
除对数据要素的微观剖析外,把握宏观层面的网络社会架构同样不可或缺。近年来,信息技术的发展使数据要素的流通渠道不断拓宽、数据处理能力显著提升,各数据主体间可进行直接的数据交互。基于此,各数据主体的权力正日渐趋同,以数据组成的网络社会不再存在绝对性的权力高地,无需再由权威的资源中心来降低信息成本,由此形成扁平化的网络社会架构。细观金融领域,数字金融与传统金融最主要的区别之一,即在于其通过扁平化网络架构下无处不在的连接点,捕获被传统金融所过滤的服务对象,并经由金融数据的纽带作用相互联结。伴随金融节点的激增,从早期的加密资产到如今的去中心化金融,区块链技术的嵌入增加网络权力的分散性,每个网络节点均可充当金融数据的发布者或处理者,使金融数据依托共识机制在获得全体成员信任的基础上自由流通。故在金融数据网络的扁平化架构下,数据处理节点的“多中心”以及数据流动的“分散化”,呼唤金融监管部门通过协同治理覆盖更多的金融数据应用场景,避免产生金融数据的治理空白。
在扁平化网络结构中,金融数据权力中心的消逝固然在实体层面推动数据民主化(Data Democracy)进程,但也正是因为各方主体的权力均衡,加之利益需求存在差异,在金融数据网络中极易产生集体行动的困难。例如,中小型金融机构在技术支持下数据获取能力提升,使其无需依赖传统大型机构提供的数据资源,但同时也增强中小型机构对数据的独占意识,加剧金融数据共享难题。我国金融数据以往为四大国有银行所“垄断性”占有,但是目前中小银行,尤其是微众银行、网商银行等互联网银行的兴起,使部分金融数据向其聚拢,形成我国金融数据的离散化状态。为破解集体行动困境,合理的利益分配机制与程序性规则是金融数据治理的关键要素,而协同治理则为制定此类规范提供“开放式”的场所。“开放式”不仅表现为规则制定者已不再局限于管制型模式下的政府部门,而是扩充至私人主体、行业组织或基层社区等利益相关者,使金融数据的治理规则可充分反应不同面向的利益需求,并且由于协同治理强调规则制定者的参与程度,主张只有参与规则制定的群体才可能践行规则,故其规则内容是在尊重集体的理性选择基础上制定的,可有效减少金融数据主体对利益分配以及决策过程的异议。
►(三)风险逻辑:金融数据应用的“多层次风险”
金融数据治理的最终目标是防范金融数据风险,因此,剖析金融数据风险的突出特征,以探求与之相匹配的协同治理路径,是构造金融数据协同治理机制的现实基础。概括而言,金融数据风险目前呈现“多层次”的特点,并在应用场景中体现为如下三个方面:
其一、金融数据风险的技术性。大数据时代,技术缺陷以及技术安全问题正持续侵扰金融机构。在实践中,技术缺陷导致金融机构在投资理财业务中运用的自动化决策程序产生歧视结果,并增加网络黑客的攻击点,诱发个人金融信息被盗取或泄露的安全风险。技术风险需要具备信息技术知识的专业人员予以解决,然而即便是金融机构的技术团队,甚或金融监管部门,都可能存在智识的不完备性。其二,金融数据风险的复杂性。该特征首先表现为风险形式的多样性,除技术与安全风险外,金融数据还可能造成主权风险与垄断风险。例如,涉及国家安全的金融数据被外国政府非法搜集并利用,损害国家金融主权与市场稳定;大型金融科技平台借助网络效应集聚用户数据,实施数据驱动型兼并行为,恶化金融市场公平竞争环境。其次,复杂性还表现为损害结果的隐秘性,即区别于传统金融风险的经济损失,金融数据风险的损失结果对个人而言较为隐蔽,甚至连受害者都不知个人信息已被侵害。例如,我国近期频发的商业银行侵犯个人金融信息事件,受害者往往是通过银保监会在官网上公示的罚单方可知晓其个人金融信息已被非法收集和利用。其三,金融数据风险的系统性。如前所述,因为金融数据网络存在“多节点”与“扁平化”的特征,拓宽金融风险在数据网络以及各金融行业之间的传播路径,同时信息技术的应用提高金融数据风险的传播效率,单一的金融数据风险可经由网络迅速扩散至整个金融系统,加剧金融数据的系统性风险。
金融数据的技术风险超越传统金融监管团队的知识范畴,而协同治理的机制构造则内含多样化的专业团队与资源分享渠道,可降低金融监管与信息技术人员的沟通成本。故通过协同治理融入不同知识背景的主体,共同为技术风险筹措方案并相互反馈意见,有助于提升防范金融数据技术风险的治理能力。此外,针对金融数据风险的复杂性与系统性,协同治理将政府引导与社会联合行动相结合,既可把握金融风险防控的整体方向,又可发挥数据主体的自我管理作用,以系统性思维共同搭建金融数据风险的联防联控机制。
三、金融数据协同治理的现实困境
虽然在应然层面,协同理论契合金融数据治理的内生逻辑,但是在现阶段的实践中,我国金融数据治理却在政府部门与社会主体的公私两端以及纵向治理资源分配上存在“协同惰性”,从而产生“失位”、“失衡”与“失灵”的执行困境,制约金融数据协同治理的功效。
►(一)失位:金融数据政府协调网络空白
如前所述,政府部门共同制定与执行公共决策是协同治理的重要环节,而完备的议事协调网络则是提高公共决策效率的关键要素。然而,在我国的金融数据治理实践中,无论是横向的各金融监管部门以及跨行业部门之间,或是纵向的央地政府之间,金融数据治理的协调网络均处于真空状态,难以满足防范多层次金融数据风险的现实需求。
具而言之,首先,金融监管部门之间虽已成立协调部际联席会议制度,并将金融信息共享列为具体职责,但该制度多停留于形式上的联合立法,而缺乏监管职能等实质层面的协同。同时,金融监管层也至今未对“金融机构数据”的协同治理机制作出具体规定。举例而言,中国人民银行出台的《金融控股公司监管管理试行办法》第四条即强调各金融监管部门的信息数据共享职责,但是针对金融控股公司内部数据处理的监管合作机制,如组织架构、职能分配与议事程序等细则,在该办法中均付之阙如,故金融监管层应如何通过联合执法实现对该办法第二十二、二十三条之金融控股公司数据安全义务的监督,后续依旧有待明晰。
其次,信息科技的嵌入使金融数据的技术风险显著增加,国家网络信息部门的专业智识在金融数据治理中的作用也愈加凸显。但现实是,我国金融监管机构与国家互联网信息办公室(以下简称“网信办”)在金融数据治理领域的合作可谓乏善可陈,难以实现协同治理中的专业跨域合作。例如,在2018年网信办制定的《金融信息服务管理办法》中,即未曾明确其与金融监管机构金融信息共享机制的具体内容;同样,在近期中国人民银行发布的《金融数据安全 数据安全分级指南》、《个人金融信息保护技术规范》等多项金融数据安全行业标准中,也不曾于联合起草单位中寻觅网信办的身影。
最后,由于我国央地金融协同治理机制长期匮乏,故中央金融监管层无法有效整合各地区的数据治理资源并调和中央与地方在金融数据治理上的不同诉求。在制度规范层面,经查阅各省市已出台的地方金融监管条例,除上海、广东、陕西外,其余各省均未针对本地区金融数据资源整合及其与国家金融基础数据库的共享作出规定,这不仅使地方金融数据保持无序的状态,更无助于解决中央与地方之间金融数据“条块割裂”的遗留问题。在监管对象层面,因为融资租赁机构、商业保理公司等地方金融组织依然由省级地方金融监管部门管理,故在央地协同机制缺位的背景下,跨地域性强的地方金融组织不可避免地使金融数据治理产生标准参差不齐、执法各省为战的实践难题,阻碍对其金融风险的宏观研判与防范。
►(二)失衡:金融数据治理资源分配不均
在金融数据网络扁平化的结构下,有限的政府治理资源应如何统筹调配,使协同治理的社会参与主体配置足够的资源与动力,最终共同达至资源效用的最大化并实现治理目标,是金融数据协同治理亟待回应的现实议题。目前,我国金融数据治理资源的配置仍旧处于不均衡的状态,治理实践中主要在以下两个维度呈现“顾此失彼”的局面:
一方面,金融基础设施作为金融业的核心机构,具备数据整合、分析以及交换管理等多种功能,为金融监管部门履责提供数据协同支持。伴随金融科技不断渗透,金融基础设施的技术风险敞口以及资源整合压力正同步扩张,被集聚于其中的海量金融数据所面临的数据安全问题亦日趋严重。然而,从近期银行与证券业层出不穷的数据监管规章与整治行动不难看出,我国金融监管部门对数据治理资源的主要配置方向依然固守传统金融行业,尚未对金融基础设施予以充分关注。这导致金融数据基础设施原先存在的制度短板难以补足,既包括监管规范未针对行业内金融基础设施的数据高密度特征,投入与金融经营机构相差异化的治理规范资源,如《证券期货业信息安全保障管理办法》;也包含未针对金融基础设施的跨行业特性,如上海清算所即兼具集中清算和中央证券的存管双重职能,为其匹配完善的治理组织资源。前述规范缺陷的存在不仅降低金融基础设施的风险防范能力,更将削弱其金融数据支持能力,无法为金融数据的协同治理提供可靠、有效的数据资源。
另一方面,基于信息科技发展而成的大型金融科技公司虽然目前正频繁受到平台反垄断的审查,但是因其所占有的海量数据资源以及齐备的数据处理技术,始终在实践中被政府部门视为重要的协同治理伙伴。例如,深圳市地方金融监督管理局与腾讯集团共建的灵鲲金融安全大数据平台,即通过数据融合技术挖掘多维度金融数据,全面监测互联网上的类金融平台。该平台迄今已服务于北京市、河北省等金融监管部门,并协助国务院处置非法集资部际联席会议办公室分析风险企业数据。此外,大型金融科技公司还与政府部门共同参与金融数据治理标准的起草工作,如《个人金融信息保护技术规范》中的财付通支付科技有限公司、《金融数据安全 数据安全分级指南》中的蚂蚁科技集团股份有限公司等。相较之下,中小型金融科技公司却往往因数据资源稀少且技术力量薄弱而被公共部门所忽视,加之缺乏有组织的行业协会为其需求发声,此类公司已近乎被排除在金融数据治理的社会力量之外。因此,在金融数据治理资源被大型金融科技公司所裹挟的背景下,不仅在治理过程中可能滋生“运动员即裁判员”的道德风险,有碍治理的程序正义,并且降低弱势主体参与协同治理的动力,难以形成对等、互利的金融数据协同治理机制。
►(三)失灵:金融数据社会治理能力孱弱
除由政府所配置的外部治理资源之外,参与协同治理的社会主体还需具备相当的内部治理权能,以增强社会治理的自主性并减少对领导者的依赖,避免协同治理机制的异化。同时,金融数据的私有属性也要求社会主体应享有金融数据权利,从而对公私兼顾的协同治理行动产生实质性影响。但是,囿于传统金融监管的路径依赖以及机构设置的历史渊源,我国金融行业协会、金融机构以及社会公众在金融数据治理上的权能近乎“贫瘠”,难以补缺自身数据治理的漏洞,更遑论于协同治理中发挥其效能。
其一,从设立背景与法律地位考量,我国金融行业协会始终存在浓厚的行政色彩,其自治权紧密依附于金融监管的行政权,产生金融自律公权化现象。由于金融行业协会的内部规制缺乏独立性,其自律规章通常是行政规范的重述或补充,会员机构的参与程度较低且并非出于保障会员机构利益的目的。同时,基于依赖行政执法的惯性思维,金融行业协会对会员机构的惩戒手段也十分匮乏,难以执行有震慑效应的治理措施。举例而言,中国证券业协会于2015年密集制定多项数据治理的自律规章正是为了完成中国证券监督管理委员会(以下简称“证监会”)发布的《证券期货业信息安全保障管理办法》第九条规定的任务,此后便对规章内容再无修订或补充。而纵览证券业协会至今所制定的信息技术类规章,除《证券公司投资银行类业务工作底稿电子化管理系统建设指引》外,其余规章均未规定任何有关自律管理或惩戒监督的内容。因此,我国金融行业组织被管制型政府部门所挤压,仅能行使有限的自治权,无力突破行政权力的束缚,自然难以实质参与协同治理的机制构建。
其二,我国部分金融机构的数据治理也存在自治能力的缺陷。除大型金融机构坐拥雄厚的技术储备与强大的内控能力外,诸多中小型金融机构,尤其是地方金融机构,受困于财务、人力与组织架构等原因,仍不具备整合条线资源以完善数据治理的能力。以人力资源为例,根据《中小银行金融科技发展研究报告(2021)》的统计,中小银行有数据治理安全专业资格的人员仅占15%,绝大部分的数据治理岗位人员系由科技安全岗位转岗或兼岗。而为应付监管部门日趋严格的数据治理要求,中小型机构往往选择以粉饰或虚报数据的手段制造数据治理良善的外部假象,试图逃避监管处罚。这使金融数据质量进一步恶化,导致中小机构走向监管部门的对立面,阻塞其参与金融数据协同治理的通道。
其三,社会公众作为金融数据的提供者,本可基于对数据所享有的权利,在协同治理机制中通过意见反馈承担社会监督职能。但是,我国公民个人的金融信息权利内容与权属分配至今依然处于模糊状态,例如个人金融信息的个人提供至金融机构的金融数据应如何在二者之间分配财产性权益、跨金融机构的金融数据财产权益应如何与个人进行分配等。此类停留在金融数据治理源头处的基础性问题,导致公众无法完全知晓所能行使的金融数据权利范围,尚不能在金融数据侵权事件频发的背景下以私力救济保障自身数据权益,更何谈参与协同治理机制并行使监督权。
四、金融数据协同治理的法治路径
良法是善治之前提,全面的法治保障方可因应协同治理的共善内核。前文已论,由于治理实践中未对政府协调机制与社会主体能力予以充分关注,且面临治理资源的分配失衡问题,本应契合于金融数据特征及其风险的协同治理机制已渐趋停滞。对此,亟需探寻金融数据协同治理的法治化轨道,从组织架构、规范内容与主体权责维度为其建构针对性的制度规范框架,避免金融数据陷入“治乱循环”的桎梏。
►(一)组织协同:优化共治型架构
协同治理的最终目标是通过政府公共部门与社会市场部门之间的协调组织,最终形成网络化的公共服务供给结构。同时,各治理主体共同参与的组织架构又是协同治理的前提,只有在稳定的协同架构内方可合理分配各方利益,维护议事机制的连贯性与统一性。因此,共治型架构的设置对于协同治理机制的重要性不言而喻。
因为政府部门依然居于协同治理网络的统筹主导地位,诸多关涉社会主体权利义务的治理政策需通过官方渠道予以正式发布,故应率先搭建政府部门内部的横向组织架构。如前所述,在我国既有机构监管模式下,“一行两会”的金融数据分而治之,且各机构之间处于平行关系,在金融监管竞争格局下均无意让渡监管权,因此需要协调各金融监管机构利益的国务院金融稳定发展委员会(以下简称“金融委员会”)发挥统筹议事作用。金融委员会办公室内设于中国人民银行内部,而根据《中华人民共和国金融稳定法(征求意见稿)》的规定,国家金融基础数据库也拟由中国人民银行推动执行,所以由金融委员会统筹推动金融数据治理的协调机制,在数据资源基础上具备可行性。在组织上,金融委员会可下设金融数据治理专业委员会,由各金融监管机构分管金融数据的副职领导组成;在职能上,专业委员会应指导各监管机构共同为混业型金融机构与金融基础设施制定内部数据治理规章或指引,并需统筹跨金融业别的数据治理专项行动,定期检视前述机构的金融数据质量水平。
除金融监管的内部协同外,打破金融监管机构与网信办之间的“部门墙”,实现跨域合作同样至关重要。双方可由金融数据治理专业委员会与网信办联合牵头组建平台,并设置平台信息共享与执行签批程序。具体的金融数据安全事件处置则由金融机构内部的金融数据治理部门与相关的网络安全部门进行对接。例如,各金融机构的信息技术团队即可同国家计算机网络应急技术处理协调中心(CNCERT/CC)开展合作,通过CNCERT/CC提供的网络漏洞信息快速定位金融数据泄露的源头,并依托其专业的技术力量协助执行临时修复措施。
共治型架构虽然以政府内部的横向协同为前提,但是市场机构与社会公众在组织架构中的治理作用亦不可忽视。为充分发挥市场与社会力量,金融数据的协同治理机制应从以下维度探寻多元共治的组织法路径:一是完善金融数据政府治理的信息披露机制。前述专业委员会应定期公布年度金融数据执法处罚统计、年度金融数据立法规划以及金融数据安全年度报告等,使社会公众把握金融数据治理的基本情况,并据此参与其中。二是在立法层面明晰金融行业协会的治理主体地位,肯认其作为金融机构的自律性组织所具有的代表功能,令其得以代表金融机构在与政府部门的数据协同治理机制中充分表达意见。三是将公众听证程序嵌入金融数据治理的规范制定与决策流程之中,并为社会公众参与金融数据治理提供多样化的渠道。例如,由金融监管部门举办金融数据“白帽子”竞赛,为金融数据的技术治理提供智识成果;同时,还可单独设立金融数据举报投诉信箱,以公众监督应对金融数据的复杂性风险。金融监管部门应谨慎对待社会公众意见,建立金融数据舆情收集、筛选、研判及回应机制,严肃查处舆情所涉的个人金融数据侵权案件。
►(二)制度协同:补足枢纽型规范
以完备的组织架构为基础,协同治理的过程可被视为各行为体均认可的治理规则的执行过程。由于金融数据的公私合一属性与扁平化网络结构,拓宽参与协同治理的主体范围,这更加需要串联各治理主体的“枢纽型”规范,使其共同融入治理规则的决策与实施机制内。目前,我国“枢纽型”规范的制度供给应着重关注下述三个方面,以期摆脱前述治理困境:
一是联结中央与地方金融监管部门,从规范维度确立央地金融数据治理的协调机制,并统筹兼顾跨省级区域的协同治理。对此,中国人民银行虽然已于2022年初发布的《地方金融监督管理条例(草案征求意见稿)》第十八条、第十九条首次创设监管地方金融组织的央地金融数据协同治理规范,但是前述条款的适用范围较为狭隘,无法全面囊括传统金融机构以及形如金融科技公司的“类金融机构”,因此建议于该条例总则部分第五条增添相似的规范内容,从而通过立法形式明确设立在金融委员会指导下涵盖各类金融机构及其业务的宏观央地金融数据协调机制。同时,针对地方金融组织数据的跨省级协同,该条例也并未予以规范,这无疑将导致各行政区划间的利益失衡,故在后续出台的正式条例中还应对此内容的程序性规则进行补缺,如对接部门、报送平台与内部审批流程等,以实现跨区域金融数据的高效协同治理。
二是联结金融监管部门与金融机构,为提供“桥梁”服务的金融基础设施制定统合性、差异化的数据治理规范。统合性体现为金融基础设施的数据治理规范应在《统筹监管金融基础设施工作方案》的指导下,整合中国人民银行与证监会的现存零散规则,实现其数据风险监控的统一立法,为金融基础设施的数据协同治理提供体系性框架。差异化体现为金融基础设施的数据治理规范应区别于普通的金融经营机构,在数据备份、数据质量管理、数据安全事件通报以及数据风险处置等内容上需设置更加严苛的标准,由此方可在维护自身数据安全的前提下保障各金融机构的数据安全整合与有序流转,防范金融基础设施的外部性风险。此外,为因应金融科技发展,金融监管部门还可将前述金融数据共治规范嵌入由其主导、金融基础设施与各金融机构共同参与的联盟链协议之中,各主体应根据协议内容履行数据治理职能。金融基础设施即可通过该区块链协议执行监管部门的数据治理指令,并为金融机构的数据流动提供可追溯且不易篡改的信息系统,实现数据的链法融合治理。
三是联结金融机构与金融行业组织,提高金融行业组织承担金融数据治理职能的独立性,并通过规范授权赋予金融行业组织适当的自律性监管权力。具言之,金融监管规范首先需明确金融监管部门对金融行业组织应属“业务指导关系”而非“监督关系”,将最终的自律规则设定权放归金融行业组织,使其充分利用专业知识创设自律规范并逐渐脱离对金融监管行政权的依附。其次,拓宽金融机构参与制定本行业自律规范的渠道,通过组织金融数据治理研讨会、编写金融数据白皮书与开展会员单位实地调研等途径,汇聚各金融机构的数据治理最佳实践,进而为形成各金融机构共同认可的金融数据自律规范提供素材。最后,金融数据自律规范应着眼于构建内部评估机制并重点补足行业惩戒措施,例如基于管理能力的强制培训、基于机构声誉的通报批评或基于组织身份的除名规制等,由此促进软法性质的内部行业规范得以发挥“自律”实效,促进集体行动的约束性与集中化。
►(三)功能协同:匹配均衡型权责
除枢纽型制度规范的组织作用外,协同治理的运行机制还需储备由赋权性规范和激励性规范所组成的正向驱动力,辅之以内部问责机制为代表的负向约束力,以平衡治理主体的权责,进而增强协同功能的稳定性。在我国金融数据治理中,赋权与激励性规范应重点关注社会公众与中小型金融机构,而责任制度则应束缚政府部门与金融行业组织,以合理分配公私主体利益。
对于社会公众而言,通过立法的顶层设计廓清金融数据的权属规则、合理分配金融数据权益,有助于在保障个人金融数据私有属性的基础上发挥社会公众的协同监督功能。在信息分类标准上,有的学者指出,将个人金融信息划分为个人专有信息与个人预测信息,个人金融专有信息的财产权益全部归个人所有,个人金融预测信息归个人与金融机构共同所有,且金融机构占比较多。此种标准具备一定的合理性,但在具体适用时,还应审查金融机构的获取途径与使用目的,如是否遵循“知情-同意”规则,收集个人金融信息是否用于非法目的等,以综合分析个人金融预测信息的权属分配。同时,个人金融信息保护法规还应针对金融数据跨机构使用的场景制定数据权属分配规则,可规定根据个人所签订的数据授权使用协议予以划分或根据不同机构对个人数据的处理程度进行配置,以此作为个人金融信息被侵害时的救济依据,畅通协同治理的公众监督路径。
而对于中小型金融机构,则应以激励性的治理手段提高其内部自治能力并拓宽其参与协同治理的渠道。目前,金融监管部门可尝试与本地中小型金融机构签订“合规协议”,即由金融监管机构在协议中设定此类金融机构的数据治理目标,包括金融数据报送质量、内部数据管控体系、个人金融信息保护满意度等,在协议期满后评估金融机构的履行完成度,并据此给予行政技术合作资源的优先顺位、本行业内的公示嘉奖或其他经济性奖励,以此调动中小金融机构参与数据协同治理的积极性。除此之外,金融监管部门也可鼓励本地区或跨区域的中小金融机构成立金融数据自律行业组织,指导其订立符合业务实际的自律标准,并表彰自律组织中数据治理表现突出的金融机构,实现自我规制与激励功能的统一。
相较于社会公众与中小型金融机构,在协同治理机制中享受主导权力的政府部门则应受到责任制度的束缚,以避免其权力的无序扩张削弱其公共服务功能。在制度设计上,需通过立法形式明晰各金融监管部门在数据治理中的职能边界,确定金融数据协同治理机制中不同监管部门的主次责任顺位,尤其应明确在紧急响应事态中各金融监管部门所应承担的程序性职责。对于责任的实现,法律法规不仅应在政府协同层面设置有效的内部问责机制,追究相关侵权人的行政责任,并且应为社会公众或行政相对人配置可行的救济渠道,如申诉或行政复议等,由此将金融数据的生产者与处理者共同纳入协同治理的框架内。同时,法律法规应考量金融监管部门授予金融行业组织的监管权限范围以及授权后的责任分配问题,防范金融行业组织超越授权职能行使处罚权,打击金融机构参与行业自治的积极性。而在金融行业组织中还可建立“吹哨人”制度,通过设置举报基金鼓励金融机构检具揭发所知悉的金融数据违规处理行为,并落实对举报机构的保密责任与行业内的惩戒措施。
五、结语
伴随数字金融的发展,数据要素已成为金融业高质量发展的内生动力。为充分发挥数据要素提升资源配置效率的关键作用,以金融数据规范化流转为目标的金融数据治理正逐渐进入金融监管部门的年度工作议程之中。由于“金融数据治理模式的选择必然与金融数据的内容、特征以及生态环境息息相关”,故基于金融数据公私合一的属性特质、扁平化的网络架构以及多层次的应用风险,协同治理以其多元化的治理主体与开放式的规则设置程序凸显其内嵌于金融数据基础制度的合理性。然而,理论逻辑的自洽并不等同于治理现实的无瑕,在我国实践中依然存在着政府协调网络空白、治理资源分配不均与社会治理能力孱弱等协同困境,削弱协同机制的资源整合功效。对此,我国金融数据的协同治理机制应从优化组织架构入手,铺设政府部门内部及其与外部社会主体之间的协同治理路径,进而利用制度规范将各条路径予以“高速”串联,并为各治理节点匹配相互均衡的权责体系,最终构建起金融数据共建共治共享的现代化社会治理格局。
编辑 | 孙丽颖
转载请注明来源,并保持内容完整
--原创文章--
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.