查看原文
其他

从数据合规工作开展看 《银行业金融机构数据治理指引》

车宁 网安寻路人 2022-03-20

金融是数据聚集与生产的富矿,从其诞生之日起,虽然经历时代洗礼与岁月冲刷,但身处的市场环境——信息不对称,及存在的社会价值——提供主体间跨时空资源配置的信息信任机制并没有发生本质变化,这就决定了金融机构,特别是在时下金融机制中发挥枢纽作用的银行业金融机构在过去、现在和未来都是信息分发的重要节点。


回首信息经济阔步发展的五十年,如果说是信息“使用”激励机制的完善缔造了数据产业气势磅礴的帝国气象,那么与之对应,数据“治理”激励机制的失灵则有可能成为其停滞不前甚或轰然坍塌的“阿喀琉斯之踵”。


有鉴于此,中国银行业监督管理委员会(现中国银行保险监督管理委员会)适时发布《银行业金融机构数据治理指引(征求意见稿)》(下称《指引》),引导企业加强数据治理,保护信息安全,有针对性地进一步丰富了相关法律制度体系,不啻为解决行业长期发展痼疾的良药。


本文尝试结合金融数据信息的工作实践,分享学习《指引》的些许心得,以期对规范的完善、执行乃至数据治理、信息保护整体合规氛围的形成略尽绵薄。


起点:客体的复杂与价值的冲突


作为信息数据工作的一体多面,无论是客户层面的信息保护、企业层面的数据治理还是政府层面的监管引导,其出发点首先在于对事实的确认。而对客观事实的确认,不仅会夹杂自他主观判断的影响,也会受概念工具失真的困扰,这正是工作开展之“难”之“新”的起点:


其一,从数据形成的机制看,客户本身基于不同场景的动态和静态事实并不直接构成数据,必须有待于包括金融企业在内的专业机构的电子化、数据化处理。另外,客户当下的行为信息和未来的行为取向也受到这些机构有意无意的影响,其本身对信息权利的掌控程度和主体地位并不突出。事实虽然如此,但在法律语境下因为传统经验的惯性却倒置为客户享有从宪法、民法以至刑法的一系列权利保护,企业却仅有“妾身未明”的知识产权、商业秘密可以主张,并没有完整的“数据权”,也就没有法律明确承认和保护的“数据资产”。这样客观上造就了客户有“权”无“实”、企业无“权”有“实”的尴尬境况,一定程度上掣肘了数据治理工作“名正言顺”的开展。


其二,从制度规范的指向看,不同法律不同主体关注的客体概念芜杂不清,同一事实因关注角度不同而呈现不同的侧面。比如,数据资产并不直接等同于数据,根据《企业会计准则》的描述,只有为企业拥有或控制且预期带来经济利益的数据资源才可成为数据资产。又比如,同样是规范数据,以“通过数据治理有效实现数据价值”为主线的《指引》的关注点明显不同于以维护市场政策秩序为圭臬的《反垄断法》-《反不正当竞争法》,更不同于消费者权益保护的系列法规。《指引》将规范客体定位于“数据”,但一来概念在内涵和外延上缺乏有效限定,二来与信息等周边类似概念含混不清,这样很可能触发针对貌似同一事实而在概念上发生混同进而课以并不匹配的责任义务的情况,导致后续治理工作的进退失据。


其三,从法律权利的赋予看,从赋权到救济一系列工作并不是对事实的简单确认和机械追加,而是包含了内在的价值判断。虽然作为纷繁复杂利益诉求的投射,权利不必然也不可能价值取向一致,但过去起码在权利大类或者部门法里还是保持了基本的统一。进入数据信息时代,由于前述主客观因素的交织作用,权利表现有了质的不同:


首先是权利归属或掌握不清,这一方面表现为很难准确地把客户或企业作为数据信息的唯一主体——事实上,“客户信息”或者“企业数据”,将客户、企业置于信息、数据之前与其说是主体限定不如说是来源描述;另一方面还表现为权利占有和使用的排他性也不明显,甚至出现了越共享越增值的情形。


其次是权利的赋予和保护还具有明显的跨部门、层次性的特点,比如,个人层面的数据权利就可包括三个层次,一是宪法层面人权保护上,个人应被作为主体而非客体对待,个人不得被抽象为数据的载体,在数据获取时应得到必要的尊重;二是人格权层面,个人的安宁权应切实保护,数据的使用不得骚扰个人正常生活;三是所有权层面,不得非法获取个人智慧、劳动所凝结的数据财产权利。


复次,权利分类不再绝对,不能再简单二选一地将比如数据权利归属于人身权或财产权,所有权或使用权,甚至不能将其局限于民法部门。在数据权利领域我们很可能已经进入需要新的权利“发明”以适应新的实际需要的时期。


最后,基于事实不同侧面或事实不同组合形成的概念再与不同价值取向相结合形成近似乃至同一标的的不同权利体系,进而形成不同的调整法律。法权结构和法律体系的“飘忽”构成了数据治理工作在基础层面的第三大难点。


内容:基础权益合法关注的缺失


作为对金融业发展和改革“十二五”、“十三五”规划及去年全国金融工作会议精神的落实,作为《银行监管统计数据质量管理良好标准(试行)》继承者的《指引》更多着力于应用层面的治理、统计和共享等,在作为基础层面的信息保护上只是稍有旁及。但是,与正面的数据客体规范同等重要的,恰恰是反面的数据侵权治理,须知,如果权利或资产从创设之初就带有“原罪”,那无论后期如何在技术、规范上加以洗白,都是无源之水、无本之木。而从被侵权主体损害事实的结果回看,数据侵权较之传统侵权案件的不同点突出有三:


一是损害的风险寓于权益的享受之中,具有相当的结构性、共生性特征,不再是非黑即白的简单划定,对损害的制止很可能意味着对权益的否定。


二是损害往往在关系上呈现相关性而非传统侵权法或刑法所要求的因果性,甚至可以说任何单一事实对损害发生均不具有直接性,另外,损害在时间上还具有非及时性,其模糊性在事实认定、排除损害及诉讼时效等等方面都对信息保护工作造成很大困扰。


三是损害更多是可能性的“风险”而非确定性的“事实”,一方面,与较少的最终发生的损害事实相比,人们对侵害可能导致风险的广度、烈度的担忧具有明显的不对称性,另一方面,这种担忧本身也构成了实体性的损害,对客户精神安宁和企业正常发展确实造成了消极影响,形成了一种非经典意义上的“侵权”。这种类似“莫须有”(或许有)的虚拟损害给权利的实际保护平添诸多困难。


或然性或者不可预见性在给客户带来前述难题外,也让银行等金融机构头疼欲裂:一方面,诚如《指引》出台背景所言,与电商、社交甚至内容等外部数据相比,银行掌握的客户数据、交易数据虽然更加敏感,但因缺少场景基础数据支撑而在可用性上与互联网公司等相比存在比较劣势,加上信息横向上在不同部门、不同机构乃至政府间分割,纵向上历史数据质量不高治理困难,数据的内在结构缺陷和外部竞争压力反向助长了银行对客户信息有时甚至是“过度”的渴求;另一方面,围绕大数据的相关技术和产业的迅速发展及其对金融业务的高度渗透和改造,使得银行等金融机构客观上不能完整预见未来数据使用的场景及颗粒度,这就造成一种风险悖论:要么在现在存在过度收集数据的法律风险,要么在未来面对没有完整取得客户授权的尴尬状态。质言之,现阶段没有确定性的营商环境的恶劣使得银行即使主观存在善意,事实上也很难做到数据理想意义上的毫无瑕疵。


监管:落后于现实的踽踽前行


与客户、企业的焦灼相对应,监管也在黑暗和泥泞中摸索:


在制度体系层面,既表现为法律呈现形式上的碎片化,又表现为具体规范内容上的原则化,在实践中还出现了“下位法”抢跑“上位法”的情景。这就导致了不同效力位阶不同法律部门基于不同价值判断对不同客体的规范,却很可能套用了同一的处置手段,这客观上难免义务和后果畸轻或畸重案件的出现,不利于形成守法的稳定预期,助长脱法乃至违法情形的滋生。不宁唯是,在对数据权利正面规范的内容尚未丰富的情形下,对侵权乃至犯罪后果却进行了详尽的规定,事实上形成了重刑罚轻治理的价值导向,再叠加我国又有作为后发国家对信息产业实现赶超的内在动力,就导致或者选择性执法,或者干脆束之高阁,最终甚至可能出现重立法轻执行的窘境。


在监管执法层面,困难首先在于对象的复杂性上,信息数据产业所带来的并不仅仅是知识在质和量上或广或深的累加,更多还表现为认知范式上的变革,简单使用传统监管框架和方法论难免削足适履之嫌。其次,从国内乃至世界范围内近几十年公共治理的大趋势看,均存在着在作为规范主体的政府和作为规范对象的个人、企业之间的社会治理的蓬勃兴起,政府与企业、个人间的监管关系也具有更多的引导、激励色彩,政府部门的独占、主导情景日渐稀少。最后,在过去,由于历史因素影响,客观上存在着人才结构上从监管机构到大型金融机构再到中小金融机构的雁行结构,监管人员具有相当的知识优势,而今随着业务的快速发展和细密分工,监管无法再形成单方的专业优势,信息不对称也剥夺了其“上帝视角”,报告—检查—审计这一历史上行之有效的“三板斧”可能会越来越多地存在死角和盲区,客观上使得数据治理更应向协商式执法演进。


趋向:专业化社会治理模式的兴起


综上所述,为了有效应对大数据时代信息保护难题,形成安全与发展双重价值,国家、企业和个人三种利益和谐调和的可持续发展状态,除了要在碎片化的立法现实中旗帜鲜明地主张制定更高位阶的、划定企业-个人数据权利边界的专门法律(而非简单依托传统民法、刑法等),加强对客户的宣传教育及建立在信息共享前提下监管科技(RegTech)的使用外,在监管和企业层面还要做到以下工作:


对监管层面来说,未来的变化既表现为方法层面上数据治理作为“双峰监管”中行为监管的重要工具及监管科技普遍使用的核心基础其作用日益重要,还表现为目标层面上过去发展与监管左右互搏的价值冲突至少在可预见的未来简化为防范风险,与之相适应:


一是要突出数据治理工作的独立价值,数据治理既涉及个人、企业、政府等多层次主体,又接受民法、刑法、行政法的部分调整,与国家安全-网络安全、消费者权益保护-客户信息保护、反垄断-反不正当竞争等领域也多有重叠,这固然彰显了工作的重要性,但在一定程度上也消解了其独立价值,未来必须依靠在实践和理论层面依托独立方法论来开拓工作独立边界。


二是要打造多层次、多主体的治理机制,不仅要发挥监管本身的作用,还要调动企业的积极性,对于行业协会、专业公司等第三方利益无涉机构可以更专业承担的工作也可在合法合规基础上以“政府购买公共服务”等形式予以委托。


三是要推动形成重规范轻诉讼的工作模式,毕竟一方面司法机关常年超负荷运转,很难有更多资源向稍不注意即爆炸式发展的数据侵权案件倾斜,另一方面数据权利如前所述还具有很多不同于传统权利的特征,权利边界也不清晰,需要不同主体通过协商、磨合以治理时间换取合规空间,不适于“非黑即白”司法主导模式的简单适用。


对银行等企业层面来说,虽然数据治理“涉及面广、投入较高、时间较长且见效缓慢”,但站在全社会角度,由于数据最终形成资产是在企业,实际持有、控制也在企业,与美国司法救济和欧洲行政主导模式相比,在公众监督和监管指引下压实企业责任的履行无疑成本更低,效果更好:


银行等金融机构首先要算总账算大账,充分认识数据治理工作所花费成本与治理完成后管理效率的提升、业务流程的优化乃至风险的有效防范相比的效益,真正形成数据治理的内生激励机制,在这一过程中监管机构也应予以必要的指导和方便。


在真正认同数据治理工作的重要、独特价值后,银行才能不折不扣地按照《指引》要求将数据治理纳入公司治理的整个盘子并发挥实效,要害在于从高管层以下再设立(而非仅仅挂牌)独立于合规部门、业务部门、科技部门的专业的信息保护/数据治理部门,高屋建瓴地带动工作开展。


最后,数据治理工作横亘于不同规模、不同状况的银行之间,同一银行内也有存贷汇、对公零售、表内表外甚至跨界业务的存在,同一业务又会分别受到客户部门、产品部门、渠道部门等等的管理,即使均受《指引》调整,不同场景必然需要掌握不同尺度。这一方面要求银行自身要克服部门银行影响,调动各相关部门配合数据治理部门工作,另一方面监管机构也要在《指引》之下细化指导,对于具有行业重要性的机构、业务的数据治理甚至可要求其报备乃至报批具体的工作方案。



注:本文作者是来自农行网络金融部


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存