【数据法学】李燕 蔡凯龙:开放银行中的数据共享问题初探
The following article is from 中国银行业杂志 Author 中国银行业杂志
B D A I L C
欢 迎 关 注
Vincent van Gogh
开放银行中的数据共享问题初探
文 / 中国政法大学互联网金融法治研究中心研究员 李燕
中国人民大学金融科技研究所高级研究员 蔡凯龙
分时租赁、共享单车等作为共享经济新业态的代表,已渗透入大众生活之中。近年来,西方国家发起了另一种形式的共享——金融业的数据共享,把全球金融科技的竞争带入共享新纪元。数据好比荆山之玉,金融业的数据更是价值连城。如何对金融数据进行合理利用,绽放此类数据的价值,国外的市场机构一直在推进相关开发研究。
在国际上,2004年PayPal推出PayPal API(应用程序编程接口),可视为开放银行发展的开端。2011年法国农业信贷银行开始提供SDK(软件开发工具包)和应用商店服务,基于SDK、API的数据开放进入业界视线。近些年,开放银行(open banking)模式在全球范围内逐步被采纳并迅速发展,其中英国对该理念的发展起到了引领作用。根据英国发布的零售银行市场业务调查报告,大中型银行在市场竞争中占据支配地位,限制了英国金融业的市场创新和客户体验。在此背景下,2016年英国竞争与市场管理局裁定要求英国九家最大的银行允许持牌公司直接访问交易账户,开始执行开放银行的计划。紧随英国的步伐,欧盟、澳大利亚、新加坡、韩国、日本等地区和国家纷纷推行这一模式,培育开放银行业务,筹备相应的监管政策。据麦肯锡统计,全球已有30多个国家和地区已经或正在采纳开放银行模式,其所覆盖的产品约占收入池的90%。同时期,中国的银行业机构也开启了开放银行的探索之旅,一些银行业机构展开了相应的战略行动,2018年被称为中国的开放银行元年。
一、数据共享是开放银行所需面对的核心问题
目前开放银行还未形成系统性的商业模式和行为规则,对其认识尚未有共识。欧洲银行管理局(EBA)认为,开放银行是“连接两个世界的一场运动”,使客户在其他服务场景下享受银行服务成为可能,通过彼此的基础设施将银行和非银机构的创新功能连接起来;而高德纳(Gartner)将其界定为在法律和监管保障数据安全性的前提下,银行通过开放客户账户信息系统和支付系统访问权限等方式,向已授权可信第三方服务商及其他合作伙伴等共享数据、算法、交易、流程和其他业务功能的模式。因此,我们可以把开放银行理解为基于银行与第三方数据共享所带来的业务融合和创新。
数据共享需要界定数据的权属和价值,形成相关交易市场,成为一种公共物品(准公共物品)。然而,相比一般的商品,数据有着极其独特的属性。比对来看,商品的所有权一般受一国物权法或财产法保护,一般商品的权属明确,有相关交易市场,价值可被计算或可在交易中体现,使用后会发生损耗。而数据的权属不仅不容易界定清晰,而且缺少统一的交易市场,价值难以被精准衡量。尽管某些数据符合非竞争性的要求,比如不存在单次使用后效用减少的问题,也并不存在妨碍他人对该数据的再次利用问题,有望成为公共物品,但数据除了财产上的利用价值,还呈现出人格权属性乃至国家主权属性,因而在隐私性和安全性等方面,对金融数据的控制者和处理者提出了极高的要求。当前中国的个人信息保护的立法正在推进之中,机构展业面临较大的政策不确定性,风险亦来自于数据安全与个人信息层面面临的问题。能否解决好数据共享所带来的问题和挑战,是开放银行成功与否的关键。在中国推广开放银行的难点也在于此,需要找好发挥社会价值与保护隐私之间的平衡点。
二、借鉴监管沙盒经验,构建开放银行的监管标准和规则
实践表明,由市场推动的美国式自下而上的金融数据共享存在弊端,因缺少统一的标准和明确的法律规范,金融科技公司分别和众多金融机构签订数据合作协议,连接不同的数据格式,导致过程复杂,成本巨大。因此,为提升遵从法规的效率,笔者建议通过自上而下的方式设定适当的监管标准和规则。
首先是明确金融数据的监管机构。监管机构在开放银行体系里至关重要,因此需要明确是由独立的政府部门还是协同的政府部门承担监管责任和权力。目前各国的监管体系不一,比如,英国由竞争与市场管理局主导,美国由消费者金融保护局主导,新加坡由金融管理局主导,日本则由央行和金融服务局共同监管。在我国,理论上应该由中国人民银行主导,协同中国银保监会和国家互联网信息办公室作为开放银行计划的推动者和最终监管者。
其次是通过沙盒测试支持价值创造。开放银行的目的是降低信息孤岛隔阂所带来的社会成本,提升金融效率,增进消费福祉。由于个人信息保护相关法律还待出台,现阶段建议可借鉴英国监管沙盒的监管方式采取临时性监管管控风险,有助于鼓励机构开展更多的金融科技测试,设定开放银行创新业务的准入原则和标准,以平衡金融消费者、银行、第三方科技公司、生态场景服务企业等多方利益,实现良好的数据交互和监管交流机制,推动开放银行的健康、可持续发展。监管机构可提前接受金融科技公司和银行作为联合发起方申请监管沙盒测试,在测试过程中需完成信息披露,测试完成即意味着监管沙盒阶段的临时性监管结束,可在产品投入市场后接受监管机构的持续性监管。沙盒的评估标准可设定为能够改善安全和客户体验、节省成本、提高运行效率或者扩展到新的细分市场,并且将消费者隐私保护嵌入到产品生命周期之中(Privacy by design)。
三是推动形成数据共享的技术应用标准。共享的技术标准可能包括共享数据的格式标准、传输接口标准、安全标准等方面,政府部门可推动形成行业和国家标准,形成数据标准的格式,强化合作者之间的信任机制,降低共享的成本,提高共享的效率。在制定标准的过程中,建议引入公众参与机制,成立标准制定工作组,吸收利益相关者意见,比如大银行、中小银行、第三方金融科技公司、生态场景服务企业和用户代表,同时引入独立的外部专家,以达到公平公正的目的。
三、明确共享数据的范围,解决数据共享的关键问题
开放银行还需处理共享金融数据的几个关键问题。
第一,划定共享数据的范围。笔者梳理了金融数据的类别,可大致分为四类。第一类是用户的基本资料、身份信息、生物识别信息、存款信息等个人信息,包括姓名、身份证、住址、通信通讯联系方式、存款信息、指纹、声纹、虹膜和面部特征等数据,这些数据的所有权属于用户并授权银行使用。第二类,用户在银行的交易原始数据,包括交易记录、信贷记录、征信信息、流水记录等,这些个人信息的权属如何界定?有观点认为此类数据所有权是个人,因为是基于个人行为产生;有观点认为数据所有权属于银行,因为是在银行提供的物理和网络场所中产生且银行斥巨资进行管理和保护的。笔者倾向于前者,个人交易原始数据属于个人,银行是此类数据的控制者和处理者,通过获取用户的授权或是基于国家安全以及重大公共利益等特定事经由银行可对特定第三方开放共享权限。第三类是用户原始交易数据的二次加工且脱敏信息,这类数据是银行通过数据分析能力积累的增值信息,属于银行的商业秘密,银行可自行决定是否对第三方开放使用权,无需经由用户同意。第四类是银行金融产品的数据,比如利率、费用、服务条件,分支行信息和ATM地点等信息。明确各类金融数据权属是共享的基础,第三类和第四类数据银行可自行决定共享方式而无需用户授权;第一类和第二类数据,一般需获取用户授权同意,仅出于合法、正当、必要、特定、明确的目的进行共享,且尽量对共享内容中的个人信息进行去标识化处理。
第二,明确收益共享和风险分担机制。数据是一种资产,也是一种责任。一方面应该允许参与方能通过开放数据收取收益共享、API调用费用、洞察数据费用等各类形式的合理费用,具体可由参与者之间自行协商定价,并可考虑借鉴美国加州隐私保护的立法模式允许向提供数据的消费者提供资金激励。另一方面,在数据事故的责任分担方面,需要监管部门给予市场机构指导和规范,此外还可以引导参与者购买保险产品进行风险预防。
第三,平衡数据保护与共享的关系。开放银行的发起者和授权者是用户,保护隐私和信息安全是保护用户信赖利益的核心。这就需要给予用户隐私政策告知(privacy notice),让用户对共享数据的范围、对象、时间和用途等一目了然,享有撤回共享授权、 改变共享时间跨度、改变授权时效等个性化选择,保障用户知晓其个人信息如何被采集、储存、使用和共享,以及赋予消费者对个人信息的自我控制权。同时,可考虑将开放银行共享的信息与业务流程通过行业协会进行公示,接受社会公众的监督。近年来国家高度重视数据领域的立法工作,《网络安全法》及其配套制度文件的推出,《个人信息保护法》《数据安全法》的制定对市场机构的数据合规工作提出更高要求。当然监管在制定隐私和安全保护的规定时也不能过犹不及,我国可考虑借鉴国外的数据平衡测试等方式,通过平衡测试的数据控制者可豁免获取数据主体的同意进行数据处理,以此平衡各方法益并避免陷入用户自决权的僵局。
第四,引入数据共享的争议解决机制和准入标准。为用户提供清晰的问题解决途径和有效的投诉渠道,能够激励更多的用户参与数据共享。由于用户授权银行开放其数据,因此共享数据管理上的争议,银行是品牌运营方也是直接的应诉方和投诉处理者,但银行并不一定是真正的责任方,银行有责任去调查投诉事件发生的缘由认定责任方(或是银行系统管理不善或是第三方金融科技公司不当操作所造成),最终的责任方应该承担其相应的义务和法律后果。不论如何,银行有义务把事件和调查结果上报反馈给监管机构以及行业协会,这对监管部门和行业自律组织评估、完善开放银行体系,进一步制定第三方金融科技公司的准入标准有较好的参考价值。
文章原载于《中国银行业》杂志2019年第7期
仅作学习交流之用
Camille Pissarro
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”