开放银行的法律规制
2024-08-01 浏览量:91
摘要: 开放银行作为一种商业模式创新成为金融市场不可逆的发展趋势,并逐步进阶为开放金融。我国开放银行的推进应从市场驱动模式转变为激励性规制驱动模式。开放银行规制应解决四个重点问题,即厘清商业银行共享消费者数据的义务边界、确定第三方服务提供商的类型及其权义、优化金融消费者行使权利的方式,以及通过合同机制配置数据控制者和数据使用者的义务及责任。为此,开放银行规制策略的选择组合应包括:一是规制目标应界定为金融消费者数据权利和金融权利的双重保护;二是规制取向应保持动态一致性,通过测试与学习机制推动开放银行向高阶发展;三是规制方式应精确调适,灵活运用行政规制和自我规制的工具箱;四是规制依据应分层确立,形成国家立法、部门规章和行业标准相结合的规则标准体系。
关键词: 开放银行;商业模式创新;数据携带权;开放金融
引言
在全球范围内,开放银行正成为国家间金融制度竞争的重要领域。2022年经合组织(以下简称OECD)调研报告发现,34个国家和地区中已有25个建立了开放银行数据共享框架。从发展模式来看,我国采取了由商业银行主导的市场驱动模式,不同于欧盟、英国、美国等采取的规制驱动模式。开放银行的基石是金融消费者的数据携带权。我国《个人信息保护法》第45条确定的个人数据携带权直接成为消费者数据共享的权利基础,但不能有效地适用于高度规制的金融领域。正因如此,我国开放银行还处于产品与服务拓展阶段,尚未全面触及数据共享这一金融生态底层资源配置层面,这就需要对开放银行进行激励性规制,使创新与规制在相互促进和制约中双向塑造,从而真正释放消费者金融数据的经济价值。然而,开放银行规制并不存在一个统一的模式,需因应开放银行走向开放金融而进行动态调整。开放银行作为一种平台化商业模式,是由商业银行、第三方服务提供商、金融消费者、行政规制主体共同参与的商业生态系统。多元主体之间的法律关系是多重性的,体现了数据法和金融法因素的交织。因此,开放银行的法律规制应体现数据法因素和金融法因素、私法因素和公法因素的多重结合。
一、开放银行的形成及规制转型
开放银行是指商业银行根据金融消费者的明示同意,将其控制的消费者数据共享给第三方服务提供商使用,从而使个人从第三方服务提供商获得相应的金融产品及服务。然而,全球主要国家对商业银行、第三方服务提供商、金融消费者的界定并不完全一致,但推行开放银行的目标是高度一致的,即通过消费者金融数据的共享,促进金融市场竞争和金融服务创新,从而体现消费者数据主权。
(一)开放银行的形成:领先银行主导的市场驱动模式
开放银行模式中存在多方参与的市场主体,即商业银行、第三方服务提供商、消费者,以及行政规制部门。在市场驱动模式下,开放银行是由领先银行主导、多方主体参与而塑造的,其形成受到三个方面的因素影响:
一是金融市场开放与竞争的压力。2008年国际金融危机之后,我国金融市场开放进入了一个新的阶段。中央政策支持和鼓励民间资本进入金融业,并持续扩大外资金融机构准入的广度和深度。尤其是互联网借贷对传统银行业务产生了重大冲击,其便利的获客渠道、可负担的资金成本等优势促使领先银行意识到,传统的银行—客户双向关系无法在互联网环境下得以维系。对此,领先银行采取了多种方式拓展开放平台,引入第三方服务提供商,利用平台将金融产品及服务嵌入到消费者的生活场景中。
二是商业银行与金融科技公司之间的竞合关系。商业银行与金融科技公司存在着竞争与合作的双重关系。一方面,金融科技公司通过直接或者间接方式提供金融产品及服务对传统商业银行带来了竞争压力。另一方面,商业银行数字化转型离不开与金融科技公司的合作。商业银行并不具备建立开放平台所需的专业技术,亦不具有获取海量非金融数据的业务能力。为此,商业银行与金融科技公司进行了深度合作,利用各自的优势在客户资源、科技开发及运用、风险防控、客户服务等领域进行合作,形成了竞合新模式。
三是消费金融需求结构的变化。消费金融数字化转型加速,产生了海量的支付类和商业类数据。而这些行为数据具有弱金融属性,借助于大数据分析技术能够刻画行为人的信用水平、消费意愿以及支付能力。另外,消费者偏好一站式的产品及服务,包括金融与非金融类的组合。对于金融市场需求结构的变化,商业银行只有与金融科技公司进行合作,才能通过专业分工的市场优势解决这一问题。
(二)开放银行的转型:从市场驱动走向规制驱动模式
开放银行大致划分为三个不同的发展阶段。第一阶段是商业银行与第三方服务提供商利用商业场景进行交叉营销,将彼此双方的产品及服务进行组合销售。在这一阶段,商业银行尚未对第三方服务提供商开放消费者数据。第二阶段是银行对第三方服务提供商共享消费者数据,体现了消费者金融数据共享的实质。第三阶段则是金融机构之间客户数据的共享,进阶为开放金融。我国开放银行尚未在金融账户层面实施,更多的发生在服务渠道和交叉营销领域。但从金融市场发展要求来看,现行市场驱动模式必然向规制驱动型模式转变。
其一,个人数据携带权在立法上的确立使消费者行使金融数据携带权成为可能,但其实现需要规制主体的助推。《个人信息保护法》确立了个人数据携带权,为消费者行使金融数据携带权提供了法律基础,并扩充了消费者金融权益保护的内容。2020年《中国人民银行金融消费者权益保护实施办法》第3章规定了消费者金融信息安全保护规则,但未涉及数据携带权。实际上,2019年《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第36条规定:“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者指定的其他金融机构。”但因存在较大的争议,该条内容并未写入最终的文本中。一个重要考虑因素是,在一个高度规制的金融市场中,个人数据携带权尚未在国家金融立法中得到确立。
其二,数字金融产品及服务创新是通过消费者金融数据共享而实现,但会引发成本和风险,规制主体需要进行平衡。商业银行和第三方服务提供商之间的关系多是互补关系而非竞争关系,缺乏主动向第三方服务提供商开放消费者数据的经济动力。而从消费者数据共享的经济后果来看,消费者会获得个性化、便利化的金融产品及服务,而第三方服务提供商也会提供具有替代或互补属性的金融产品及服务,这种竞合效应反而会提高商业银行服务消费者的能力。但是,商业银行共享消费者数据则会引发开放成本和风险分担以及争议解决问题。在这些问题无法通过现行法律制度来解决时,规制主体则应发挥促进者、监督者的角色,促使商业银行、第三方服务提供商、消费者之间形成商业生态系统,实现多方市场主体的价值共创与共赢。
二、开放银行的规制场域及挑战
开放银行规制涉及数据法、金融法等多个领域的规则和标准,是一个渐进的认知深化过程。美国消费者金融保护局于2023年10月发布《个人金融数据权利规则》提案,改采规制驱动模式,放弃了秉持10余年的市场驱动模式。开放银行的法律规制应以消费者权益保护为基石,平衡商业银行和第三方服务提供商之间的成本和风险分担。
(一)商业银行共享消费者数据的义务及其限度
商业银行基于采集分析消费者数据而提供金融产品及服务,并基于金融交易而形成消费者个人的交易数据。此时,商业银行和消费者均具有双重主体身份。商业银行不仅是金融服务的出售方,而且是消费者金融数据的数据控制者。而消费者既是金融产品及服务的购买方,又是个人金融数据的数据主体。金融产品及服务在经济性质上是一种信息产品,拥有的客户数据成为商业银行产品及服务模式创新的源泉。然而,商业银行在向第三方服务提供商共享消费者数据后,面临着竞争和成本风险问题。一方面,商业银行共享消费者数据将改变传统银行对数据的垄断地位。另一方面,商业银行共享消费者数据增加了数据安全隐患的发生概率。在数据安全链条延伸至第三方服务提供商时,商业银行承担着与第三方服务提供商界分义务和承担责任的成本。然而,从开放银行所体现的社会效应来看,金融市场竞争及其引发的金融创新是提升社会福利水平的,这就需要对商业银行共享消费者数据的义务进行合理界定。我国现行法律政策对此进行了原则性规制,但仍需具体规则给予精细化。
其一,商业银行共享数据义务应与消费者数据携带权相契合。《个人信息保护法》确定的个人数据携带权不仅增强个人的数据控制权,而且减弱大型互联网企业利用市场优势地位对用户的锁定效应。但在适用开放银行时,本款出现了和缓化处理,即只有“符合国家网信部门条件的”,数据控制者才应当提供“转移的途径”,而非按照消费者请求直接将个人数据共享至第三方服务提供商。数据携带权在适用于开放银行场景时仍需具体规则和标准的设计才能得以有效实现。与此同时,商业银行承担着个人金融数据安全保护的法定义务。如果仅依据消费者行使数据携带权,商业银行未必能够提供第三方服务提供商创新金融产品及服务所需的数据,这就需要设定商业银行共享数据的义务,但《个人信息保护法》作为一般数据法是不宜解决这一问题的。《个人信息保护法》第5章规定的个人数据处理者的义务并未与个人数据携带权相对接。在一般意义上,个人在向数据控制者行使数据携带权时即可得到实现。但在开放银行场景中,消费者数据携带权的实现在很大程度上取决于商业银行承担的共享义务。只有在特殊情形并经消费者同意后,商业银行才能拒绝数据共享的要求。从OECD调研的34个国家和地区来看,绝大多数国家和地区建立了强制性数据共享安排,仅有7个国家和地区采取了自愿性数据共享安排。设定商业银行共享数据义务不仅促进消费者数据携带权的实现,而且有利于消费者从第三方服务提供商获得金融产品及服务。
其二,商业银行共享消费者数据的法定范围应明确。消费者数据携带权指向的数据范围和商业银行控制的消费者数据并不一致,这就需要监管规则对其进行界定。《个人信息保护法》第6条规定了目的限制和最小化数据处理原则。而消费者金融数据共享的目的是,第三方服务提供商利用共享的金融数据为特定消费者提供个性化、便利化的金融产品及服务。据此,商业银行共享消费者金融数据的范围应以第三方服务提供商提供竞争性金融产品及服务为限。从欧盟立法来看,《支付服务指令修正案》(PSD2)确立的是支付账户数据的共享。美国消费者金融保护局也是在《个人金融数据权利规则》提案中确立了六类共享数据。在我国实践中,2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》划定了七类个人金融信息。这种类型划分与《个人金融信息保护技术规范》是一致的,并被2020年《中国人民银行金融消费者权益保护实施办法》所确立。个人金融信息根据敏感性分为C3、C2、C1三个类别,但影响金融供给决策的信息集中在C2类别。《个人金融信息保护技术规范》确定的C2类别与《中国人民银行金融消费者权益保护实施办法》第28条规定的消费者金融信息的范围是一致的,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息和其他相关信息。基于金融监管部门规章和金融行业标准的一致性要求,消费者金融数据应以C2类别为宜,C3和C1类别信息均不属于个人数据携带权指向的数据类型。然而,这两部文件属于部门规章和推荐性行业标准,仅为开放银行提供了实践指向,而共享金融数据的界定仍需在专门的部门规章中给予具体规定。
其三,商业银行向第三方服务提供商提出的成本补偿要求应得到满足。商业银行在共享消费者数据时会产生成本,不仅对金融数据进行标准化处理、建构API界面,而且要监测共享数据的安全性。这里的成本仅是指向第三方服务提供商共享数据而产生的边际成本。即使商业银行不共享数据,仍会发生数据标准化处理和数据安全保护的成本。对于共享消费者数据成本是否由商业银行和第三方服务提供商进行分担,实践中存在不同的作法。在OECD调查的34个国家和地区中,明确要求第三方服务提供商给予补偿的有9个,采行双方合同约定补偿的有13个,另有12个国家和地区明确禁止补偿。规制主体采用不同作法是基于对商业银行共享数据动力和行政规制能力的考量。与此同时,如何确定补偿标准对规制主体而言是一个难题。我国金融监管部门应采取灵活的规制手段,要求商业银行和第三方服务提供方在双方合同中约定,运用私法规则解决规制难题。从欧盟立法来看,《支付服务指令修正案》(PSD2)并未要求第三方服务提供商对共享支付账户数据进行补偿,但2023年《金融数据共享框架条例》提案不仅确立了数据控制者向数据使用者的补偿请求权,而且授权金融数据共享计划根据明定的六项原则制定最大补偿的决策模型,以供市场主体参考。这种公私协力机制有效地平衡了多方市场主体之间的利益诉求。
(二)第三方服务提供商的类型及其权利义务
1. 第三方服务提供商的类型界定
第三方服务提供商的类型在不同国家和地区之间是存在差异的。从消费者数据共享的制度目的来看,能够提供金融产品及服务的机构均可归属于第三方服务提供商。但在推行开放银行的初期,第三方服务提供商应与商业银行归属于同一金融监管部门,以降低监管协调成本及试错成本。在开放银行模式逐步成熟后,第三方服务提供商的范围再得以扩充。美国正是采取这种界定方式,《个人金融数据权利规则》提案界定的授权的第三方是《多德—弗兰克法》规定的消费金融产品及服务的提供主体,并由消费者金融保护局对其实施监管。
从中国实践来看,国家金融监管总局的监管对象包括银行业机构、支付机构、保险机构。这些金融机构均按照部门规章的要求建立了金融消费者保护的组织机制和管理制度,更易于消费者数据共享的实施,在现有的运行机制和制度下即可解决数据共享可能引发的争议。因此,第三方服务提供商并不是一般意义上的金融机构。
然而,消费者金融数据共享催生了一种新型的机构,即数据聚合商(data aggregator)。数据聚合商在开放银行场景中被称为金融信息服务机构。数据聚合商是将市场参与主体关联在一起的科技平台,负责开发与管理合作伙伴或者开放类API。实践中,第三方服务提供商可授权数据聚合商对其获得的消费者数据进行分析,从而提升服务消费者的能力。数据聚合商提供的服务属于金融信息服务,即《全面与进步太平洋伙伴关系协定》(CPTPP)第11.1条所界定的提供和转移其他金融服务提供者提供的金融信息、金融数据处理和相关软件。金融信息服务机构的客户是第三方服务提供商,但其对消费者数据的分析直接决定了第三方服务提供商为消费者提供金融产品及服务的数量、价格、质量。正因如此,金融信息服务机构应纳入开放银行规制的范围。
2. 第三方服务提供商的权义边界
第三方服务提供商获得消费者数据后兼具双重身份,既是数据使用者,也是金融产品和服务的经营者,有权对共享数据进行整理和分析,并无需支付共享数据价值的对价,但应承担合理利用共享数据的义务。
其一,第三方服务提供商作为数据使用者应承担共享数据安全保护的义务。这种数据安全保护义务的设定源自《个人信息保护法》中个人信息处理者的义务规定。在开放银行场景下,个人信息处理者不仅包括商业银行,而且包括第三方服务提供商。但《中国人民银行金融消费者权益保护实施办法》和《银行保险机构消费者权益保护管理办法》确立的消费者金融信息保护规则并不是针对第三方服务提供商。因此,第三方服务提供商承担的共享数据安全保护义务应得到明确规定。
其二,第三方服务提供商对共享数据的使用目的是特定的。与商业银行不同的是,第三方服务提供商获得的共享数据是基于消费者行使数据携带权而实现的,其对消费者数据生成的贡献度是微小的。因此,第三方服务提供商应基于为消费者提供金融产品及服务这一特定目的而使用共享数据,不得用于其他用途,亦不得再次转移给其他主体使用。
其三,第三方服务提供商使用共享数据应是有期限的。商业银行将消费者数据共享之后,如果没有使用期限限制的话,则会产生囚徒困境问题,即商业银行不愿提供可使用的共享数据,而其他金融机构愿意成为第三方服务提供商,因为控制的共享数据会形成具有商业价值的数据资产。这个结果对消费者及社会福利而言是低效的。在共享数据具有使用期限的情形下,第三方服务提供商的机会主义行为得到了遏制,商业银行提供可使用共享数据的激励强度亦然得到了提高。
(三)消费者数据权利和金融服务权利的集成式行使
金融消费者会面对行为选择偏差、隐私悖论、算法歧视等难题,而保障其自主选择权的集成式行使可缓解这些难题。在开放银行场景中,消费者的行为发生了结构性变化。从理性行为选择的角度来看,消费者只有在判断预期效用会增加时才会行使数据携带权。但作为现实中的经济主体,消费者的行为往往会出现非理性偏好和行为偏差。
消费者在数据共享过程中可能会产生隐私悖论问题,增加了责任界分的成本。消费者事前对隐私安全的担忧与事后行为的不一致,显然产生了道德风险,即提高了事后隐私泄露发生损害的可能性,并增加了救济成本。一旦发生了共享数据的泄露,市场主体之间就会产生责任界定问题。甚至是在没有发生共享数据泄露的情形下,消费者也可能会同意第三方服务提供商过度请求共享数据的要求。
消费者面对的另一问题是算法歧视。从金融算法运用来看,数据颗粒度越细,数据标签越丰富,算法的结果越会产生对某些群体的客观歧视,即运用算法揭示消费者的最高支付意愿,从而对不同的消费者索取不同的价格。然而,第三方服务提供商在向消费者提供金融产品及服务时,消费者仍具有自主选择权。如果消费者同时向多个第三方服务提供商共享数据,并对金融产品及服务进行比较选择,这将降低算法歧视发生的概率。
金融消费者在行使权利时可通过技术与制度的结合而得以集成化,从而缓解消费者的非理性偏好和行为偏差。商业银行应设计一个金融数据共享界面,通过与消费者和第三方服务提供商之间的界面交互行为,搭建一个集成式的消费者权利行使的平台。在这一交互界面中,消费者共享数据的记录、购买金融产品及服务的情况、行使数据携带权及撤回同意权的通道等集于一体。消费者发现和选择最佳的产品及服务对金融市场竞争是至关重要的。这种集成式界面不仅便利消费者行使数据权利,而且有利于购买适当的金融产品及服务。与此同时,商业银行和第三方服务提供商也通过这一界面履行相关的义务。欧盟《金融数据共享框架条例》提案第8条确立了这一交互界面,称其为金融数据访问权限仪表盘(Financial Data Access permission dashboard)。权限仪表盘是由数据控制者提供的,保障界面上数据的清晰、准确、易于理解。另外,数据控制者对于其提供权限仪表盘而产生的成本有权要求第三方数据使用者给予补偿。
(四)共享金融数据质量的合同义务约定
商业银行将消费者数据共享给第三方服务提供商后,可能会发生共享数据不准确、过时、不适当等问题,从而引发商业银行和第三方服务提供商之间发生争议,进而影响金融产品及服务的价格、数量及质量。如何解决共享数据质量及衍生问题成为一个影响开放银行数据共享框架成功实施的重要因素。从OECD成员国及其他国家和地区的实践来看,共享数据质量问题的成因是较为复杂的。欧盟《金融数据共享框架条例》提案借助于市场自治团体来解决共享数据的责任界定问题,由金融数据共享计划来决定成员之间的合同责任,包括数据不准确、数据质量不高、数据安全、数据不当使用等问题。
我国已经推行了类似的制度模式,《银行保险机构消费者权益保护管理办法》第45条要求银行保险机构与合作方签订的合作协议中应约定数据保护责任、保密义务、违约责任、合同终止和突发情况下的处置条款,旨在通过私法规则保护消费者数据安全。与开放银行不同的是,这里的合作方是由银行保险机构自主确定的,但通过合作协议界分义务、划定责任的作法是可适用于开放银行场景的。然而,数据控制者和数据使用者之间的数据质量义务责任划分没有在《个人信息保护法》中得以界定。《个人信息保护法》第8条和第46条确定了个人信息处理者承担的保障信息准确、完整的义务,并依据第69条可能承担侵权责任。但问题在于,在消费者数据共享至第三方服务提供商之后,商业银行和第三方服务提供商均为个人信息处理者。在此情形下,如果商业银行和第三方服务提供商通过协议约定各自的义务责任边界,对于消费者而言是一种具有效率的制度设计。因此,在消费者行使数据携带权时,商业银行和第三方服务提供商应在合作协议中约定各自在共享数据质量以及争议解决的义务和责任。这一协议也可作为消费者作出明示同意的重要参考。当然,现行法律对数据质量作出明确规定的,相关市场主体应当按照法律规定界分义务责任。
三、开放银行规制策略的选择
从全球范围来看,开放银行逐步从市场驱动模式向规制驱动模式演进,并进阶为开放金融。在已经建立开放银行数据共享框架的25个国家和地区中,已有8个同时建立了开放金融数据共享框架。我国已在个人数据权益保护和金融消费者权益保护的两个并行领域积累了相关的规制经验,但与开放银行场景下搭积木式集成规制的要求并不匹配,这就需要在规制目标、规制取向、规制方式、规制依据等方面给予优化。
(一)规制目标的理性界定:金融消费者双重权益的保护
欧盟成员国和美国推行开放银行的机构主要是金融监管部门。在英国,竞争与市场管理局是推行开放银行的主导力量,通过发布行政命令成立开放银行实施机构,但对于金融商业行为及金融消费者监管保护的职责仍由金融行为监管局来承担。开放银行的演进和发展离不开金融监管部门的助推。在一般意义上,数据监管和金融监管如何交互结合是数字金融市场的基础性问题。换言之,开放银行规制目标的界定不能仅考虑数据法因素,还应当包括金融法因素。消费者行使数据权利是为了从第三方服务提供商获得个性化、便利化的金融产品及服务。共享数据是消费者获得金融产品及服务的工具,而数据共享的安全和效率决定了金融产品及服务的适当性,二者是相互交织在一起不可分割的,共同成为开放银行的规制目标,即金融消费者享有的数据权益和金融服务权益。
(二)规制取向的动态一致:测试与学习
开放银行是一个动态的商业模式创新过程。数据控制者、数据使用者、数据主体之间法律关系的性质在渐进性创新过程中并没有改变,但这三类主体的范围可以得到扩充。数据控制者可从商业银行扩展到银行保险机构,甚至是所有类型的金融机构。数据使用者亦可扩展至所有类型的金融机构。在欧盟开放金融立法中,数据控制者和数据使用者的范围是一致的,任一金融机构既可是数据控制者,也可能是数据使用者。而数据主体也从个人消费者扩展至非个人企业客户。
在金融产品及服务创新上,理论界和实务界普遍认为存在破坏性创新和渐进性创新两种类型。前者强调做的不同,在创新维度上发生根本性改变。后者强调做得更好,创新主体运用“精益化”思考提供了持续性创新的巨大空间。破坏性创新过程产生了新的法律关系,而这种法律关系无法通过既有法律规则进行调整。在渐进性创新过程中,规制主体可以通过调整法律规则来应对持续变化,并适时制定新的规则。理论界通常把金融科技作为一种破坏性创新来对待。但开放银行作为平台化商业模式不属于破坏性创新,而是渐进性创新。
应对渐进性金融创新,行政规制主体应采取测试与学习机制。在规制取向上,行政规制分为两类:观望与等待、测试与学习。前者是指行政规制主体在面对新型金融产品及服务创新时,并不立即采取规制行动,而是在金融风险积聚或者风险事件发生后才制定法律政策。而后者则注重规制主体与规制对象,以及与金融消费者之间的互动,能够促进行政规制主体对金融消费行为和金融创新的理解,从而提升应对金融创新的规制能力。测试与学习并不是一个新概念。英国金融行为监管局倡导的监管沙盒、美国消费者金融保护局推出的“项目催化剂”等均是具体的实践模式。测试与学习的特质在于,其一,行政规制主体与规制对象进行结构性交流,借助这种交流,规制主体传递规制要求,并在某些情况下给予灵活性处理。其二,在可控环境下对创新测试进行监测。我国开放银行规制在早期处于观望与等待,后期逐步进入弱化版的测试与学习模式。我国已经推行了监管沙盒制度,但从列入沙盒测试的项目来看,作为商业模式创新的开放银行并未纳入沙盒测试的范围。
从发展趋势来看,行政规制主体应通过测试与学习机制解决关键性问题,具体包括:其一,制定开放银行的发展规划,确定推进开放银行的阶段性目标和任务,从而为金融机构和消费者提供稳定的市场预期,引导不同类别的金融机构主动采用金融数据标准和API标准,提高金融数据治理能力。《金融科技(FinTech)发展规划(2022—2025年)》多次对数据共享,包括金融数据与民生领域数据共享提出要求,但未明确规定开放银行议题。其二,试点推行商业银行共享消费者数据纳入监管沙盒测试机制,对第三方服务提供商共享数据的安全性和合理利用程度进行测试,从而确定第三方服务提供商的市场准入资质条件。
(三)规制方式的精确调适:行政规制和自我规制的结合
消费者行使数据携带权,以及第三方服务提供商为消费者提供金融产品及服务在法律性质上均属于私法行为,而规制主体的介入是通过强制性规范和倡导性规范加速市场主体权益的安全有效实现。因此,开放银行规制应采取轻触式(light touch)方法,灵活运用行政规制和自我规制的工具箱。在开放银行商业生态系统下,自我规制是控制金融市场的一种核心工具,也是一种必要工具,能够促进平台化商业模式的价值创造与实现。从适用条件来看,自我规制与开放银行也是逻辑自洽的。规制对象通常是大型、复杂的经济组织时才具备实施自我规制的资源或能力。只有在规制对象能够利用自身运营掌握更多的知识和信息找到最符合成本有效性的解决方案时,规制主体才可能将规制的裁量权转移给规制对象。具体而言,行政规制和自我规制的结合体现在以下几个方面:
其一,对消费者获得的经济属性相同的金融产品及服务适用同一监管规则。在开放银行场景中,消费者已经从商业银行获得金融产品及服务,而第三方服务提供商亦为消费者提供金融产品及服务。在这一情形下,金融监管部门应对第三方服务提供商适用统一的监管规则,即使第三方服务提供商不是银行机构类型,从而消除第三方服务提供商利用共享数据实施的监管套利。
其二,对第三方服务提供商和金融信息服务机构实行市场准入规制。对第三方服务提供商的准入规制是避免个人数据滥用的关键所在。欧盟立法和美国监管规则对第三方服务提供商均是采用市场准入许可制。我国规制的重心是第三方服务提供商使用共享数据、进行金融创新的能力。我国商业银行在其业务创新中会与金融科技公司开展合作类业务,但金融科技公司的范围和样态是较为宽泛的,在金融业务和技术输出布局的互联网企业也被纳入金融科技公司的类型。如果商业银行将消费者数据共享至互联网企业的话,则可能导致金融业务和非金融业务的边界更为模糊,反而加剧了金融风险敞口的扩散。
其三,商业银行和第三方服务提供商应在数据治理中实行自我规制,强化数据治理架构、数据管理、数据质量控制。《银行业金融机构数据治理指引》的规范对象仅限于吸收存款的金融机构、政策性银行和国家开发银行,但其规制要求亦适合用于开发银行场景下的第三方服务提供商。消费者数据共享引致银行内部治理与外部合作伙伴关系等要素的互动。商业银行在面对消费者数据共享时需要主动调整内部治理结构和数据治理机制,在这种条件下,金融监管部门鼓励银行健全自己的内部控制与风险管理体系,激励其对自身规制绩效进行自我批判式反思。因此,金融监管部门应主动与商业银行、第三方服务提供商进行协商,将规制要求内化为规制对象的内部控制与风险管理中,从而更好地实现规制目标。
其四,商业银行和第三方服务提供商应在共享协议中约定共享数据安全、数据质量保障等义务,在法定义务基础上通过合同机制解决规制问题。金融监管部门据此对第三方服务提供商实施监督管理。换言之,金融监管部门执法检查的依据之一是数据共享合作协议,通过私法属性的合作协议将规制要求延伸至第三方服务提供商。
其五,建立人民银行统筹协调,国家金融监管总局、国家网信办、市场监管总局等参与的协调工作机制。开放银行的行政规制主体是多元的,包括金融监管、数据安全、市场竞争等领域的规制主体。而现阶段个人数据保护的主管机构较为分散。理论界提出应建立统一和独立的规制主体,这也是未来的发展趋势。然而,建立独立的个人数据保护主管部门仅是在一般数据法意义的改进,仍无法替代金融产品及服务的行政规制。因而,统筹协调金融监管、数据安全、市场竞争等领域的规制主体成为可行的现实选择。
(四)规制依据的分层确立:国家立法、部门规章和行业标准的组合
行政规制主体可依市场主体之间的法律关系而采取不同的规制方法,从而形成公法主体和私法主体的合力,软法规则和硬法规则的搭配。新加坡、我国香港地区采取了促进发展方式(facilitative approach),通过发布指引与推荐标准,引导银行逐步实现消费者数据的共享。针对开放银行规制场域的问题,国家立法、部门规章和行业标准应对规则和标准的制定完善作出明确的规定。
其一,《商业银行法》应对商业银行共享消费者数据义务给予明确的规定。开放银行在立法上的确认并不要求制定一部专门的立法,而是在立法上充实个人金融数据携带权的内容。《金融消费者权益保护法》的拟定将进一步强化个人金融数据保护,但在《消费者权益保护法》《消费者权益保护法实施条例》已颁布实施的情形下,制定《金融消费者权益保护法》的条件尚不具备。而《商业银行法》的修订提供了可行的路径。人民银行于2020年10月发布的《商业银行法(修改建议稿)》第76条对个人信息保护与数据安全作出了明确的规定,但未涉及数据共享。在此基础上,这一有关个人信息与数据安全的法条应写明商业银行共享消费者数据的义务。日本《银行法》和美国《多德—弗兰克法》均是采取这种立法方式。
其二,应制定一部专门的金融消费者权益保护部门规章,对个人金融数据共享作出专章规定。基于统筹负责金融消费者权益保护的职责要求,国家金融监管总局将会对《中国人民银行金融消费者权益保护实施办法》《银行保险机构消费者权益保护管理办法》等进行调整。在这种情形下,新的金融消费者权益保护部门规章应对开放银行的监管规则作出完整的规定,具体包括:一是对商业银行共享数据的安全义务、告知义务、数据质量义务,以及共享数据成本补偿请求权作出明确的规定,尤其是明确商业银行建立数据共享的集成式交互界面的义务。二是对第三方服务提供商使用数据的安全义务、特定使用目的和使用期限限制的义务、不得再次转让的义务等作出明确的规定。三是明确共享数据的范围,将具有可识别特定主体身份及其金融状况、与金融产品及服务设计有关的关键信息作为共享数据的范围。四是对金融信息服务机构的准入条件、数据聚合的合规义务、信息披露义务等作出规定。
其三,扩大金融数据标准和API标准的适用主体范围。人民银行发布的《商业银行应用程序接口安全管理规范》《个人金融信息保护技术规范》已经得到市场主体的广泛认可,但其适用的主体范围是有限的。前者仅适用于商业银行,而后者适用于持牌金融机构,以及涉及个人金融信息处理的相关机构。如果仅从商业银行向第三方服务提供商共享数据来看,这两部推荐性标准是适当的。但从开放银行的发展进程来看,数据控制者的范围必然会从商业银行扩展至其他类型的金融机构。因此,《商业银行应用程序接口安全管理规范》有关API技术标准的适用主体范围应扩展至其他金融机构。而《个人金融信息保护技术规范》亦应将数据主体的范围从个人消费者拓展至非个人企业客户。在开放金融阶段,金融机构的个人和非个人客户均可作为数据主体。因此,在优化开放银行技术和数据标准时,应将未来开放金融的发展因素考虑在内,从而降低未来可能发生的制度性成本。
结论
面对变动不居的金融创新,理论界倾向于宏大叙事而提出金融法典化或者金融监管法典化的应对之策。然而,就开放银行这一金融科技和商业模式融合创新而言,其规制体现了数据法、金融法领域规则和标准的组合。如果再考虑开放银行模式创新对市场结构的影响,数据法、金融法、竞争法的交织应是以金融消费者权益保护为中心,从而形成响应平台化商业模式创新的规则和标准体系。但与普通市场环境不同的是,开放银行场景中的金融消费者权益是在保障数据安全与隐私保护的前提下,侧重对消费者个人金融数据价值创造与实现的保护。从法律制度的经济效应来看,金融消费者的被动性权利是一种价值保护,而主动性权利则是一种价值创造。而在这一过程中,行政规制部门作为开放银行生态系统的监管者与推动者,须与其他市场参与主体形成良性互动关系,形成公私协力的基本框架,逐步推动开放银行发展,并稳步升阶为开放金融。
作者简介: 孟飞,上海政法学院上海司法研究所教授。
版权声明: 《当代法学》2024年第4期