|
法学院
|
|
□ 徐嘉鑫
为了保障金融消费者的合法权益,规范金融机构的行为,不断地释放数据要素的价值,需要对金融机构使用个人金融数据的行为进行有效监管。在对个人金融数据商业使用法律规制进行全面分析的基础上,应从立法监管、政府监管和行业自律监管三个方面对个人金融数据进行规制。
个人金融数据商业使用的立法监管体系
(一)提高个人金融数据立法层级
尽管我国已经对个人金融数据的商业使用进行了初步的法律规制,随着大数据技术在金融科技的应用越来越广泛,导致金融机构对个人金融数据的采集渠道多元化以及个人金融数据的使用所带来的扩散性风险较强,需要相关部门加大立法力度,制定相应的监管法律法规。中国人民银行于2020年发布《个人金融信息保护技术规范》,对个人金融信息进行了更细致的分类,扩大了金融机构的范围,明确了个人金融数据在采集、存储、使用等全生命周期各个环节的安全保护需求,完善其内容,提升其法律层级,赋予其更强的强制力。此外,还应注意《中国人民银行金融消费者权益保护实施办法》等已实际执行且具有较强关联性的规范性文件,根据其在实际金融活动中的效果,判断其是否有必要进行完善或者提升,并在此基础上建立有效的法律监管制度,促进个人金融数据的商业使用。
(二)明确个人金融数据的权属关系
不管是把个人财务资料的所有权归于资料的提供者或者是资料的使用者,“一元一权”的思考方式都具有内在的弊端。在一元化的框架下,不论是将权利给予资料的使用者还是提供者,都违背了对数据资源的价值挖掘和利用的时间需求,这一做法既妨碍数据的流动,又妨碍金融创新和科技的发展。据此,应构建“数据产权”与“数据使用权”的二元产权架构,以实现“数据产权”与“数据使用权”的协调。在这种“权利+使用权”的二元结构下,个人金融资料的权利属于数据的最初制造者,而作为数据的使用者,其对个人金融资料拥有使用权,而作为数据使用权的“母权”,需要经过用户的许可,也就是数据所有者的“知情同意”。在数据资源市场演化中,不仅存在信息使用者之间的权利矛盾,而且还存在信息使用者之间的不公平竞争以及信息垄断等问题。通过引进数据使用权机制,既可以有效地解决数据产权问题,又可以使数据使用者和使用者在数据权利上得到更好配置,还可以缓解数据使用者之间的利益矛盾,促进数字经济的发展。
(三)强化落实“告知—同意”管理规则
“告知—同意”规则作为数据主体保障自身权益的基础方式,在实际操作中,由于对个人金融数据的后续处理与利用存在诸多的不确定因素,使得在采集初始阶段,不能完全、精确地将其采集与利用的用途等信息告知对象,同时,由于金融机构通常采用较为模糊的文本进行“概括性”说明,从而造成了这一规定的实施成效并不理想。为此,应加强对“告知—同意”原则的贯彻执行。随着大数据技术的应用,即便是金融机构在进行商务利用时,也不会刻意超过采集数据时所说的用途,但是由于数据处理和分析过程的复杂程度,金融机构不能事先预测其后果。所以,在这一背景下,不仅要让金融机构在采集资料时尽到告知与说明的责任,还应该强化对其继续使用的信息的告知,让数据主体可以全程跟踪个人金融数据的多个环节使用,从而有效地解决这些新的风险。
个人金融数据商业使用的政府监管模式
随着金融科技的创新与应用,传统的金融监管观念、监管手段已无法应对个人金融数据在使用中的风险,必须不断创新金融数据监管理念、丰富金融数据监管手段。
(一)创新个人金融数据监管理念
从“指挥—控制”模式向“协作”模式转型,针对个人财务信息商业化利用的监管思维需要进行调整:首先,在传统的规制思想下,监管者是经营者或控制者的身份,而“协作”模式则是将监管者从控制者变为推动者或参与者,而非控制者。需要构建一个为金融机构的数据加工与利用服务的大数据平台,并为其开发相关的信息服务。其次,针对金融技术环境下,个人金融数据商业化利用中的多元化与不确定性,管理者与被管理者不再是简单的“规章制度”或“管理者与被管理者”的“协同合作”,而是由过去的自上而下的命令与决策转变为通过协作实现信息的分享,进而实现利益的共享与联合治理。“指挥—控制”型金融监督以强制需求与违规惩罚为中心,表现出监督的刚性;“协作”型则以信任为前提,管理者更多地采取灵活的方式,充分考虑各方的意愿与选择,构建多个主体的谈判机制,均衡各方的利益矛盾,将各个利益相关者的监督热情充分调动起来。
(二)丰富个人金融数据监管手段
个人金融数据商业使用环节多而复杂,金融监管机构需要更为具体而细致的监管措施,覆盖数据监管的事前、事中和事后阶段,需要更加明确和详细的监管手段。特别是将风险评价体系引进到事前监督中,管理者可以在特定的情景下对金融机构利用个人金融资料的情况进行分析,并用这种方式对金融消费者造成的风险进行评价,根据不同的风险水平,分别制定相应的对策。对高风险的数据使用行为,监管部门可以采用严厉的防范手段,对风险相对较小的数据使用行为则采用相对宽松的方法来进行,这样不仅能够防止意外发生,还能够提升监督效能。另外,在事前监督阶段,管理者可以适时地采用监控技术,运用大数据技术,使监控流程信息化。利用监控技术,能够提升监管部门与金融机构沟通的工作效能,改变监管模式,对其进行积极监测,保护其权利。在事后监督阶段,对特定的监督措施进行改进,在金融机构采集、处理和使用个人金融资料时,监管部门可以对金融机构的个人金融资料的商业使用情况进行抽查,以确保其满足安全控制的要求。
个人金融数据商业使用的自律监管机制
金融机构作为被监管者,对自身利用金融数据的环节流程相较于监管部门来说更为熟悉,合理构建金融机构的内控机制能够有效确保其利用行为合法合规。相对于政府管制,行业自律更具制度弹性,成本更低,更有利于职业经理人信用观念的培养。在行业内开展自我监督,可以对金融机构使用金融消费者的个人资料进行实时监控,也可以使行业团体制定出更有针对性的行为准则。通过行业的自我管理,可以在法律法规和金融创新之间形成一个缓冲地带,促进金融机构依法、合规地利用这些资源,实现对金融效率和风险的保护。
一是完善金融机构自我监督管理机制,构建对个体财务信息利用进行分层约束的制度,在各大银行之间建立监管和约束体系,有效避免个人金融信息的泄露和滥用。二是引导并重视金融行业自律发挥作用。其一,完善行业认证标识制度,在对其实际业务有深入了解的基础上,行业协会应制定一套在金融机构使用个人金融资料时遵循的规范,并向合格的金融机构颁发证书,虽然国内的认证工作已起步,但仍存在很多不足之处。首先,行业协会应对认证标志设定一个合理的有效期,该有效期太长会导致金融机构对其进行不当处理,而有效期太短,又会浪费认证资源,增加认证的负担。其次,应对这些被认定为有资质的银行进行评价,如果这些银行违背了统一的产业规范,应给予一定处罚,比如吊销身份证明,把它们列入不允许采集和利用的个人资料的黑名单。金融消费者可以通过相应的身份证明来判定某个金融机构对其个人信息的保障情况,从而作出是否与其开展金融交易的决策。其二,业界团体要加强对财务人员资料安全性的培养。行业自律不仅要约束金融机构的经营活动,更要重视对从业人员的培养和自我约束。对于缺乏数据安全意识的从业人员,行业团体应该进行经常性的培训和不定时的评估,对于在工作中不当披露、倒卖或者滥用消费者个人金融资料的从业人员,要给予一定的惩罚。
|
|
|
| 论对个人金融数据商业使用的法律监管
|
|
|
|
|
|
| ( 2025-04-02 ) 稿件来源: 法治日报法学院 |
|
|
□ 徐嘉鑫
为了保障金融消费者的合法权益,规范金融机构的行为,不断地释放数据要素的价值,需要对金融机构使用个人金融数据的行为进行有效监管。在对个人金融数据商业使用法律规制进行全面分析的基础上,应从立法监管、政府监管和行业自律监管三个方面对个人金融数据进行规制。
个人金融数据商业使用的立法监管体系
(一)提高个人金融数据立法层级
尽管我国已经对个人金融数据的商业使用进行了初步的法律规制,随着大数据技术在金融科技的应用越来越广泛,导致金融机构对个人金融数据的采集渠道多元化以及个人金融数据的使用所带来的扩散性风险较强,需要相关部门加大立法力度,制定相应的监管法律法规。中国人民银行于2020年发布《个人金融信息保护技术规范》,对个人金融信息进行了更细致的分类,扩大了金融机构的范围,明确了个人金融数据在采集、存储、使用等全生命周期各个环节的安全保护需求,完善其内容,提升其法律层级,赋予其更强的强制力。此外,还应注意《中国人民银行金融消费者权益保护实施办法》等已实际执行且具有较强关联性的规范性文件,根据其在实际金融活动中的效果,判断其是否有必要进行完善或者提升,并在此基础上建立有效的法律监管制度,促进个人金融数据的商业使用。
(二)明确个人金融数据的权属关系
不管是把个人财务资料的所有权归于资料的提供者或者是资料的使用者,“一元一权”的思考方式都具有内在的弊端。在一元化的框架下,不论是将权利给予资料的使用者还是提供者,都违背了对数据资源的价值挖掘和利用的时间需求,这一做法既妨碍数据的流动,又妨碍金融创新和科技的发展。据此,应构建“数据产权”与“数据使用权”的二元产权架构,以实现“数据产权”与“数据使用权”的协调。在这种“权利+使用权”的二元结构下,个人金融资料的权利属于数据的最初制造者,而作为数据的使用者,其对个人金融资料拥有使用权,而作为数据使用权的“母权”,需要经过用户的许可,也就是数据所有者的“知情同意”。在数据资源市场演化中,不仅存在信息使用者之间的权利矛盾,而且还存在信息使用者之间的不公平竞争以及信息垄断等问题。通过引进数据使用权机制,既可以有效地解决数据产权问题,又可以使数据使用者和使用者在数据权利上得到更好配置,还可以缓解数据使用者之间的利益矛盾,促进数字经济的发展。
(三)强化落实“告知—同意”管理规则
“告知—同意”规则作为数据主体保障自身权益的基础方式,在实际操作中,由于对个人金融数据的后续处理与利用存在诸多的不确定因素,使得在采集初始阶段,不能完全、精确地将其采集与利用的用途等信息告知对象,同时,由于金融机构通常采用较为模糊的文本进行“概括性”说明,从而造成了这一规定的实施成效并不理想。为此,应加强对“告知—同意”原则的贯彻执行。随着大数据技术的应用,即便是金融机构在进行商务利用时,也不会刻意超过采集数据时所说的用途,但是由于数据处理和分析过程的复杂程度,金融机构不能事先预测其后果。所以,在这一背景下,不仅要让金融机构在采集资料时尽到告知与说明的责任,还应该强化对其继续使用的信息的告知,让数据主体可以全程跟踪个人金融数据的多个环节使用,从而有效地解决这些新的风险。
个人金融数据商业使用的政府监管模式
随着金融科技的创新与应用,传统的金融监管观念、监管手段已无法应对个人金融数据在使用中的风险,必须不断创新金融数据监管理念、丰富金融数据监管手段。
(一)创新个人金融数据监管理念
从“指挥—控制”模式向“协作”模式转型,针对个人财务信息商业化利用的监管思维需要进行调整:首先,在传统的规制思想下,监管者是经营者或控制者的身份,而“协作”模式则是将监管者从控制者变为推动者或参与者,而非控制者。需要构建一个为金融机构的数据加工与利用服务的大数据平台,并为其开发相关的信息服务。其次,针对金融技术环境下,个人金融数据商业化利用中的多元化与不确定性,管理者与被管理者不再是简单的“规章制度”或“管理者与被管理者”的“协同合作”,而是由过去的自上而下的命令与决策转变为通过协作实现信息的分享,进而实现利益的共享与联合治理。“指挥—控制”型金融监督以强制需求与违规惩罚为中心,表现出监督的刚性;“协作”型则以信任为前提,管理者更多地采取灵活的方式,充分考虑各方的意愿与选择,构建多个主体的谈判机制,均衡各方的利益矛盾,将各个利益相关者的监督热情充分调动起来。
(二)丰富个人金融数据监管手段
个人金融数据商业使用环节多而复杂,金融监管机构需要更为具体而细致的监管措施,覆盖数据监管的事前、事中和事后阶段,需要更加明确和详细的监管手段。特别是将风险评价体系引进到事前监督中,管理者可以在特定的情景下对金融机构利用个人金融资料的情况进行分析,并用这种方式对金融消费者造成的风险进行评价,根据不同的风险水平,分别制定相应的对策。对高风险的数据使用行为,监管部门可以采用严厉的防范手段,对风险相对较小的数据使用行为则采用相对宽松的方法来进行,这样不仅能够防止意外发生,还能够提升监督效能。另外,在事前监督阶段,管理者可以适时地采用监控技术,运用大数据技术,使监控流程信息化。利用监控技术,能够提升监管部门与金融机构沟通的工作效能,改变监管模式,对其进行积极监测,保护其权利。在事后监督阶段,对特定的监督措施进行改进,在金融机构采集、处理和使用个人金融资料时,监管部门可以对金融机构的个人金融资料的商业使用情况进行抽查,以确保其满足安全控制的要求。
个人金融数据商业使用的自律监管机制
金融机构作为被监管者,对自身利用金融数据的环节流程相较于监管部门来说更为熟悉,合理构建金融机构的内控机制能够有效确保其利用行为合法合规。相对于政府管制,行业自律更具制度弹性,成本更低,更有利于职业经理人信用观念的培养。在行业内开展自我监督,可以对金融机构使用金融消费者的个人资料进行实时监控,也可以使行业团体制定出更有针对性的行为准则。通过行业的自我管理,可以在法律法规和金融创新之间形成一个缓冲地带,促进金融机构依法、合规地利用这些资源,实现对金融效率和风险的保护。
一是完善金融机构自我监督管理机制,构建对个体财务信息利用进行分层约束的制度,在各大银行之间建立监管和约束体系,有效避免个人金融信息的泄露和滥用。二是引导并重视金融行业自律发挥作用。其一,完善行业认证标识制度,在对其实际业务有深入了解的基础上,行业协会应制定一套在金融机构使用个人金融资料时遵循的规范,并向合格的金融机构颁发证书,虽然国内的认证工作已起步,但仍存在很多不足之处。首先,行业协会应对认证标志设定一个合理的有效期,该有效期太长会导致金融机构对其进行不当处理,而有效期太短,又会浪费认证资源,增加认证的负担。其次,应对这些被认定为有资质的银行进行评价,如果这些银行违背了统一的产业规范,应给予一定处罚,比如吊销身份证明,把它们列入不允许采集和利用的个人资料的黑名单。金融消费者可以通过相应的身份证明来判定某个金融机构对其个人信息的保障情况,从而作出是否与其开展金融交易的决策。其二,业界团体要加强对财务人员资料安全性的培养。行业自律不仅要约束金融机构的经营活动,更要重视对从业人员的培养和自我约束。对于缺乏数据安全意识的从业人员,行业团体应该进行经常性的培训和不定时的评估,对于在工作中不当披露、倒卖或者滥用消费者个人金融资料的从业人员,要给予一定的惩罚。
|
|
|
