“数字经济法治沙龙”第二期

洪延青 | 全球视野中的金融数据安全

2019年11月19日晚，“数字经济法治沙龙”第二期活动在北京大学法学院凯原楼303会议室举行。本次活动由北京大学法治与发展研究院主办，北京大学—耶鲁大学法律与政策改革联合研究中心承办，微信公众号“数字经济与社会”协办。活动由北京大学法学院助理教授左亦鲁主持，App治理工作组副组长洪延青担任主讲嘉宾，吉林大学经济学院教授王达担任对谈嘉宾，中国银行业协会首席法律顾问卜祥瑞、中国互联网金融协会业务一部主任沈一飞担任与谈嘉宾。来自监管部门、有关企业、研究机构的人士及我校学生逾70人参加了活动。

▲活动海报

活动伊始，左亦鲁老师简要介绍了“数字经济法治沙龙”的初衷。活动希望通过邀请重量级嘉宾，以轻松活泼的形式探讨重要且有意思的话题，形成业界、学界、实务界生动且良性的对话。之后，左老师介绍了活动的主讲人、对谈人、与谈嘉宾，以及主办、承办和协办机构，并代表有关机构对各位嘉宾和观众的到来表示欢迎。

▲左亦鲁老师在主持中

主题报告

活动首先由洪延青老师做主题报告，报告的题目为“全球视野中的金融数据安全”。洪延青老师是App治理工作组副组长，法学博士，主要研究个人信息保护、数据跨境流动及关键信息基础设施保护等网络安全法律政策问题。

洪老师主要从普通安全视角出发研究金融数据。他分别介绍了欧盟、美国数据安全的特点，并与我国情况进行了比较。洪老师首先明确指出他在报告中所提及的金融数据为中国法语境下的金融数据，其仅限于金融机构收集、使用的数据。至于何谓金融机构，需要参照《金融控股公司监管管理试行办法（征求意见稿）》中的相关定义。

随后，洪老师简要介绍了金融数据安全的目标。所谓金融数据安全，既包括金融数据本身的安全，又包括维护金融安全下的数据安全保障。前者涵盖四个方面，分别是技术层面的数据安全、个人金融消费者的权益保护、金融机构内部的数据（质量）治理、数据出境的管控；后者则包含金融机构内部的数据（质量）治理、监管目的下的数据报送及数据出境的管控三个方面。这七大方面内部存在一定的矛盾，洪老师仅就其中个人金融方面的相关内容进行阐述。

洪老师通过介绍欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称为GDPR）和《欧盟支付服务修订法案第二版》（Payment Service Directive 2，以下简称为PSD2）的主要内容阐述欧盟金融数据保护特点。GDPR一方面将自然人的个人数据保护权视作基本权利，另一方面在条文设计上采取了以风险为路径的思维。PSD2强制银行开放数据，但其依赖于较好的用户认证机制，需要在用户与第三方之间建立非常强的技术监管标准及安全的通讯。由此，欧盟个人金融信息的保护路径具有四大特点：第一，缺乏对金融数据的专门定义；第二，金融数据不是特殊类型的个人数据；第三，从风险路径来看，持牌与否以及第三方是否同属于一个集团，不构成决定性因素；第四，开放银行指令遵循GDPR的风险路径。

之后，洪老师又对美国《金融服务现代化法案》（Gramm-Leach-Bliley Act，以下简称为GLBA）进行了简要介绍。在数据安全方面，GLBA要求必须专人负责金融方面的活动、评估客户信息安全所面临的风险并采取相应的安全措施、对服务提供商进行监管、根据外部环境变化进行调整、以合理措施选择有能力的服务提供商。在数据共享方面，美国通过Regulation P管理金融机构及其附属公司、非附属公司间的信息共享安排，运用Regulation Y处理机构发起的共享及个人发起的共享。总体而言，美国金融数据安全也具有四方面特点：第一，金融数据根据所监管的机构的活动来确定；第二，数据的技术安全性要求越来越细致、严格；第三，机构发起的数据共享的安全要求——结合风险路径和消费者正当期待；第四，个人发起的数据共享的安全要求——强调透明性、个人控制权利、责任兜底。

相较而言，在金融数据的流动方面，中国具有较强的金融机构与非金融机构间的边界意识，美国关注金融活动，同样注重边界问题，欧盟则采取了风险式的路径。总而言之，三者的边界意识逐步递减。这也启示我们不同的监管路径导致各国在数据共享合规时采取不同的关注点，进而促使企业采取不同的合规措施。

▲洪延青老师在讲座中

分享·对谈·回应

主题报告后，首先由中国银行业协会首席法律顾问卜祥瑞主任进行分享。卜主任主要讨论了数据在银行的特殊作用、银行运用数据面临的新挑战、在运用数据时应当处理的关系三大问题。

首先，卜主任指出银行业的数据具有价值高、数量大、分布广、多样化的特点。在当今智慧经济时代，数据对银行而言至少具有两大作用——就直接作用而言，数据能够通过细分银行的客户市场、提升银行产品和服务质量、提升银行风险管理水平以降低成本；在间接作用方面，数据是银行业的核心竞争点，银行对于数据量的掌握与其客户的黏度呈正相关。

其次，卜主任分析了银行业在数据应用领域面临的三大新挑战。第一，基础性风险的增加，包括信息安全风险、数据操作风险及法律风险的增加；第二，国际法律关系的变化，目前中国在境外有1400余家银行机构，这要求我们既要遵守东道国的法律，也要遵循母国法律，因此国际法律关系的变化对我国银行业发展影响巨大；第三，国内法律环境的变化，一方面我国法治体系逐步完备，另一方面我国法治实施过程中仍旧存在个人信息被侵犯、数据浪费等问题。

最后，卜主任强调在银行业数据保护处理过程中，应当关注以下五种关系：第一，保护和运用的关系，金融数据涉及到国家秘密、商业秘密、个人隐私，在未来强化个人数据的法律保护是必然趋势，同时也应当保障金融机构依约使用数据，并要求政府依法开放其采集的数据；第二，共享和隐私的关系，在研究客户时，要注意把握信息使用与隐私保护的边界；第三，风险和收益的关系，银行需要处理好价值链、价格链、责任链的关系；第四，监管和责任的关系，这要求我们充分考虑金融监管机构的作用，在现今相关规定尚不明确的背景下，或许将行业规范逐步上升为监管规范，进而发展为法治规范不失为一条好的路径；第五，ADR（alternative dispute resolution，替代性纠纷解决方式）和ODR（online dispute resolution，在线争议解决方式）的关系，就金融业务的争议解决而言，在线争议解决是最佳路径，但目前其还存在着立案难、举证难等问题。

卜主任总结道，数据改变了我们的思维，改变了平等、自由、民主和正义的理念。未来已至，我们应当拥抱未来，实现数据和数字的正义。

▲卜祥瑞主任在分享中

在对话环节，首先由王达老师发言。王达老师是吉林大学经济学院教授，经济学博士，主要研究货币金融政策、金融监管、金融科技。王达老师从经济学角度出发，指出现阶段关注欧盟GDPR及英国提出的开放银行理念的原因。王老师认为这与当前全球金融创新的“三足鼎立，一马当先”的基本格局密切相关，其中“三足”是指美、欧、英，“一马”是指中国。欧盟缺乏统一的数据市场，其在技术层面的储备也相对薄弱，为了在已经席卷全球的数字经济浪潮中占据一席之地，其选择从法律角度出发，将数据权推升到人权高度，以为全球树立法律标杆。英国之所以提出开放银行概念，也是因为其希望通过在金融业务端的创新方面居于世界前列，确保其在未来金融格局中的重要地位。

王老师认为，传统的商业银行正面临着金融科技企业创新的严重侵蚀，因此开放是其迫不得已的选择。对于开放银行这一新兴问题而言，开放的对象并非银行数据，而是银行数据的接口。开放银行可能是未来重要的发展方向，但不同国家、不同银行对其采取了截然不同的态度，这涉及到复杂的成本收益分析考量。

最后，王老师还强调我们有必要关注金融数据的标准化问题。一方面，大数据出现导致各国出于数据交换的考虑必须实现标准的统一；另一方面，在数字经济到来之际，如果全球微观层面的金融数据按照统一标准进行流动，将大大提高国际金融监管合作、微观业务创新的效率。

▲王达老师在与谈中

之后，由中国互联网金融协会业务一部主任沈一飞发言。沈主任认为目前出于数据安全的考虑，各个机构之间的数据共享和流动仍然存在较大障碍。此外，当前我国注重监管网络犯罪的现状影响了金融机构原有准备大胆拥抱新兴事物的局面。毕竟金融机构系统宕机及数据丢失都将给国家、人民群众财产造成巨大损失。

在开放银行方面，沈主任指出英国之所以提出这一概念，是因为英国银行存在过于封闭的问题。在英国，公民在银行开户、迁移账户的成本极高，这一问题推动了市场与竞争局对开放银行的关注。至于GDPR，沈主任表示其本质是全球数字经济竞争中处于弱势地位的欧盟的防控手段或盾牌，并非为保护老百姓利益而出台。

沈主任还特别强调了“数字经济+平台”的重要性。在当今时代，数据是生产资料，平台相当于房地产，即便阻断商业银行间的数据往来，它们同样需要平台以获取客流。对于中小银行来说，其要谋求发展就必须与大平台合作。此外，沈主任指出目前我国还缺乏相关领域的技术研究，我们应当借鉴欧盟关注“去标记化”的经验，既要用技术突破数据安全问题，也要推动法律层面对于此类技术的认可。

▲沈一飞主任在与谈中

自由讨论

在自由讨论环节，首先由赵英先生发言。赵英先生是网联清算有限公司法务部负责人，法学博士，研究方向为民商法及支付清算法律监管制度。赵先生指出其所在的公司之所以高度重视金融数据，是因为其作为全球最大的清算组织，每天需要处理数以十亿计的数据，这些交易数据无论由金融机构还是非金融机构进行处理、采集，都无疑属于金融数据，是个人金融信息。

针对开放银行问题，赵先生认为中国在开放银行、数据共享方面都走在世界前列，因为没有此二者，就不会有我国今天的第三方支付业务。当然，数据共享是一把双刃剑，虽然一些金融科技的行业巨头得益于此，但其中也存在大量问题，也正因此，目前中央银行、有关监管部门对数据共享的监管问题给予了高度重视。

赵先生指出当前官方、半官方的组织都在考虑如何从个人信息保护的角度出发，防止数据的过度采集、利用和共享。对此，尽管我们可以借鉴欧盟GDPR及其他国家的立法经验，但这些规定移植到我国是否合适以及是否需要附加一定的限制性条件，都还有待商榷。 

▲赵英先生在讨论中

之后，由朱芸阳老师发言。朱芸阳老师是中央民族大学法学院副教授，法学博士，主要研究方向为民商法。朱老师认为虽然数据共享在金融领域或者银行业已经取得了一定的共识，但在目前不断提倡个人信息保护的大势环境下，其在政策层面受到了诸多限制，数据流转渠道的每一个过程都被加上了“阀”。

就监管问题而言，在若干垂直监管领域中，金融行业由于具有极为浓厚的个人信息保护、金融安全意识，在个人信息保护领域走得比较早。在当前环境下，存在对于个人信息保护的垂直监管+横向监管（如网信办、公安部）的强监管模式，其在金融行业中编织了一张非常紧密的大网，无疑限制了该行业的业务模式。由此，加强行业的自律或许是中国在现今模式下必须要选择的一条道路。

▲朱芸阳老师在讨论中

来自美团的陈伟老师认为从IT（Information Technology）时代走向DT（Data Technology）时代，我们将逐渐从对信息载体、信息安全、应用安全方面的静态保护走向动态的数据流动的保护。于企业而言，数据在流动过程中的风险至关重要，其主要包含三个部分：第一，在数据使用过程中的风险，所谓“使用”包括企业内部研发、数据分析人员及运维人员的使用、数据的共享；第二，数据治理体系中的风险，主要涉及数据的权限流动问题；第三，合规上的风险，包括GDPR和《个人信息保护法》对数据的诸多要求。

▲陈伟老师在讨论中

之后，由许可老师发言。许可老师是对外经济贸易大学法学院助理教授，数字经济与法律创新研究中心执行主任，法学博土，主要研究网络法、公司法、法律经济学、私法基础理论。许老师也是“数字经济法治沙龙”第一期活动的主讲人。许老师认为今天金融数据的使用、流通虽然面临着非常大的争议，但是无论是学界还是监管层，都应该进行一些清醒、冷静的思考，认识到金融数据的重要性。

许老师指出，在金融数据领域，中国既要走自己的道路，也要关注全球范围内各国先进制度的发展进程。历史上关于金融数据的最早讨论来自于银行隐私及银行金融信息披露之间的对立。随着大数据时代的到来，虽然越来越多的个人信息可能会受到侵犯，但个人信息流动的价值也在升高。伴随计算机的普及与银行业混业经营的深化，各国纷纷建立起一系列制度以在保护用户隐私或个人信息的前提下更好地挖掘数据价值。于中国而言，如何创造出符合本国金融发展需要的个人信息保护制度，将传统的Bank1.0发展为Bank4.0才是最为关键的。

▲许可老师在讨论中

现场互动

在互动环节，观众提出了两个问题：一是中国银行在海外发展的过程中，设立分行、办事处、分理处等是否受到离岸原则的影响；二是数据安全对于信贷放贷具有一定的帮助作用，贷前审查如何确保信息保密。对此，卜主任进行了解答。

卜主任表示走出去包括服务“一带一路”倡议是中国未来一段特定时期的重要发展方向，因此中国银行在海外设立机构或有更多机构去海外发展是必然趋势。这要求我们既要遵守东道国的法律，也要遵守母国的法律。但是，设立分行、子行受到各个金融机构、各个国家特定的金融经济乃至政治生态的影响，因此走出去或全球融合虽然是金融经济、技术及数据安全的发展趋势，但是有快与慢的分别。

关于信贷审核问题，卜主任指出去年银行业在发展旨在打破金融机构之间信息孤岛的联合授信制度，以减少信息风险的出现。此外，目前企业与发生业务的银行之间的信息也是共享的。这些信息共享的制度安排都有利于我们了解企业的偿债能力，但也的确带来了隐私保护的问题。虽然目前我们无法明确划定信息共享与隐私保护的边界，但伴随法治的进步，我们必将进一步思考技术进步与法治、金融如何更好结合的问题。

撰稿：于楚涵  北京大学法学院