楊松汪宓 | 我國銀行數據共享規則的安全與發展“再平衡”_風聞

探索与争鸣-《探索与争鸣》杂志官方账号-51分钟前

2025-03-06

楊松｜遼寧大學博士生導師，瀋陽師範大學校長、教授，教育部長江學者特聘教授

汪宓｜遼寧大學法學院金融安全與法治研究中心助理研究員

本文原載《探索與爭鳴》2025年第1期

具體內容以正刊為準

非經註明，文中圖片均來自網絡

楊松

黨的二十屆三中全會對進一步深化金融體制改革作出重大部署，強調積極發展數字金融、普惠金融等五大金融領域，這是金融服務實體經濟高質量發展的重要着力點，也是深化金融供給側結構性改革的重要內容。**加強數字經濟法治建設，建立健全數據要素交易、確權、共享等方面的制度規則，促進金融數據共享，是實現數字普惠金融的核心驅動力，有利於提升金融新質生產力，促進金融高質量發展。**數字普惠金融的本質是通過數字化形式實現普惠金融，使中小企業等長尾客户可便捷地享受金融服務、獲取金融資源。目前，以數據共享為核心的金融業發展迅速，全球87%的國家及地區正在推行銀行數據共享業務。銀行數據共享不僅可以幫助個人和中小企業獲得更好的金融服務，還可以減少大型銀行數據壟斷風險，提升金融市場競爭力，實現數字普惠金融目標。因此，許多國家和地區都在積極探索銀行數據共享規則。銀行數據共享的典型模式是開放銀行，即銀行通過API系統，允許金融消費者將銀行掌握的數據轉移、共享給金融科技公司等其他金融機構，以便更好地獲取金融服務。但是，銀行數據具有高度敏感性、傳導性與風險性，銀行數據的泄露或濫用對個人隱私、企業利益以及國家安全都可能造成巨大影響，需要重點關注銀行數據安全與數據權利保護，以平衡銀行數據共享規則中的安全與發展雙重理念。本文通過比較研究，分析主要國家和地區銀行數據共享規則和發展導向，並在此基礎上研究我國制度體系的不足，就如何完善銀行數據共享規則提出對策建議，促進數字普惠金融發展。

我國銀行數據共享規則中的安全與發展

我國立法機構和政府部門出台了與銀行數據共享的相關規則，旨在保障數據安全、金融安全以及消費者權益的前提下，充分實現銀行數據市場價值，促進數字普惠金融發展。

（一）銀行數據共享領域的規制現狀

中央層面立法，我國全國人民代表大會及其常務委員會出台了《民法典》《個人信息保護法》《數據安全法》《網絡安全法》《商業銀行法》《電子商務法》以及《消費者權益保護法》等法律，為銀行數據共享業務發展奠定了制度基礎。此外，國務院、中國人民銀行等部門還出台了行政法規、部門規章等可操作性較強的規範性文件，以細化銀行數據共享業務的具體流程、相關主體的權責等事項。地方立法層面，各地地方人大常委會在數據共享、開放互通方面的立法經驗豐富，出台了多部相關條例。大多地方性數據條例以打破“數據孤島”、實現數據共享為核心理念，旨在促進地方數字經濟發展。據此，地方立法可以從數據交流、數據流通、數據市場互操作性等方面，為發揮銀行數據價值提供經驗。

**一方面，從維護銀行數據共享安全規則層面，上述法律從數據安全、網絡安全、隱私安全和消費者安全方面規定了參與銀行數據共享業務主體的保護義務。**此外， 2020年《金融數據安全數據安全分級指南》明確了包括銀行數據在內的金融數據安全定級要素、規則以及定級過程，為第三方評估機構開展金融數據檢查提供了依據。該文件要求從國家安全、公眾權益、個人隱私以及企業合法權益四個維度開展安全評估，並根據影響程度界定風險等級，從安全保障角度限制了不可共享的銀行數據類別。2021年《金融數據安全數據生命週期安全規範》還規定了金融數據採集、傳輸、存儲、使用、刪除等各階段的處理要求，指導金融機構建立完善的金融數據生命週期防護機制。最後，我國出台了一系列保護銀行數據、金融消費者權益的部門規章，要求參與銀行數據共享業務的市場主體必須遵循這些安全性規定。

**另一方面，從實現銀行數據共享價值規則上看。**首先，我國《個人信息保護法》第45條設立了“數據可攜帶權”，旨在增強主體對數據的控制力，提升“個人數據獲取和轉移的便捷性”，為銀行數據共享業務的開展奠定了正當性基礎。其次，我國統一了銀行數據共享技術標準，提高了相關業務的互操作性。如果數據介入口徑不統一、數據錄入格式不一致，則會出現“數據孤島”現象，阻礙銀行數據共享市場的發展。2020年2月，中國人民銀行出台了《商業銀行應用程序接口安全管理規範》，規範了商業銀行應用程序接口（API）的類型、等級、設計、部署、集成等，統一了銀行數據共享的技術標準，這有利於促進銀行數據共享業務實現有序、高效發展。再次，我國中央和地方立法都規定了數據中介商監管規則，旨在提升公眾對數據共享業務的信任。我國《數據安全法》第33條規定了數據中介商的審核、記錄以及查明數據來源等義務。《電子商務法》第二章規定了電子商務經營者辦理登記、納税、提供信息、保護信息等方面的義務,《個人信息保護法》第五章規定了個人信息處理者的信息安全保障、通知、監督及協助等義務，這些義務性規定也適用於數據中介商。從地方立法來看,《上海市數據條例》《重慶市數據條例》等地方性條例也參考《個人信息保護法》《數據安全法》《電子商務法》，明確了數據中介商規則，旨在為數據共享搭建信任橋樑，實現數據要素價值的最大化。

（二）我國銀行數據共享的規制困境：安全與發展失衡

近年來，我國金融數據治理和監管取得顯著進步，但仍存在“數據共享程度較低、隱私保護不足”等問題。銀行數據共享可能帶來數據濫用、網絡攻擊、隱私侵犯以及金融穩定等方面的風險，因此我國十分關注相關領域的安全風險防範。但是，銀行數據價值實現與風範防範之間存在張力，我國制度體系過於強調安全保障而忽略了銀行數據的市場價值，阻礙了數字普惠金融發展。

**第一，銀行數據制度邏輯以安全為首、共享為輔，不利於提升金融服務的可獲得性和普惠性。**從價值理念上看，我國銀行數據相關規則多以安全為首、共享為輔，即以保護數據安全、消費者利益為核心目標，忽略了銀行數據市場價值的重要性。法律層面而言，與銀行數據共享、利用相關的條文僅存在於安全類制度中，沒有單獨的法律進行規定。例如，《數據安全法》第13條規定：“國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。”該條款為銀行數據利用、共享提供了重要的法律支持，但整體規則理念仍以安全保障為核心，無法通過銀行數據共享實現數字普惠金融的目標。規範性文件層面而言，我國出台的與銀行數據共享相關的行政法規、部門規章也都是以安全保障為目標，缺乏以發揮銀行數據市場價值為核心的規則導向。從銀行數據分類標準上看，相關規則都是從維護安全的角度進行分類，尚沒有規則從發揮銀行數據價值的角度進行分類。銀行數據共享必須遵守2020年《金融數據安全數據安全分級指南》、2020年《關於發佈金融行業標準做好金融數據安全分級工作的通知》、2024年《數據安全技術數據分類分級規則》等數據分類文件，但是這些數據分類都是從風險防範的角度出發，尚未明確界定可共享的銀行數據類別。綜上，我國尚未出台直接規制銀行數據共享的法律法規或規範性文件，相關規則的價值理念傾向於安全防範，而非充分發揮銀行數據市場價值。

**第二，金融消費者的數據可攜帶權落實不到位，無法充分發揮銀行數據價值。**金融領域內，數據可攜帶權授予消費者便攜式地控制、轉移銀行數據的權限，使更多金融機構能夠訪問、共享相關數據，因此落實數據可攜帶權是開展銀行數據共享業務、發揮銀行數據價值的核心驅動力。雖然我國《個人信息保護法》規定了數據可攜帶權，但是該規定較為原則化，無法有效落實。首先，我國的數據可攜帶權條款採用了“不完全法條”的設計，導致該權利的適用條件不明。《個人信息保護法》第45條規定，個人請求將信息轉移至其指定的個人信息處理者，符合國家網信部門規定條件的，個人信息處理者應當提供轉移的途徑。但是，我國網信部門並未出台數據可攜帶權的詳細適用規則，導致具體適用條件不清，可操作性不強。其次，我國數據可攜帶權規則的保障制度不到位，如果數據控制者不合作則難以落實。例如，銀行為保持競爭優勢地位，可能以未能完整保存個人數據為由拒絕提供數據，但目前《民法典》《個人信息保護法》及《數據安全法》等法律並未規定銀行完整、全面保存個人數據的具體義務，這阻礙了數據可攜帶權的實現。最後，數據可攜帶權的實施流程繁瑣，涉及多環節、多主體、多過程，而我國目前尚未出台在各環節行使該權利的具體細則，相關主體的權責不明。據此，金融消費者可能因專業能力匱乏而難以控制數據流向，使隱私權受侵犯等風險加劇，這導致消費者不願意參與銀行數據共享業務，不利於實現金融數據資源價值最大化。整體而言，我國相關制度過於宏觀，不利於實現銀行數據價值最大化，需要進一步細化、提升可操作性。

**第三，銀行數據共享中的知情同意權難以實現，易造成隱私泄露風險。**我國金融消費者難以有效控制銀行數據的使用情況，其主要原因是知情同意權落實不到位。銀行數據共享涉及金融消費者的個人隱私和敏感信息，需要告知消費者並得到其同意後才可開展相關業務，但是由於我國知情同意權保護不到位，導致消費者無法自主決定、控制個人數據的使用，這將破壞公眾信任、阻礙銀行數據共享業務的發展。2024年3月，國家金融監管總局發佈《關於銀行保險機構侵害個人信息權益亂象專項整治發現主要問題的通報》，指出銀行保險機構侵害個人信息權益亂象叢生，影響消費者1.99億人次，主要問題之一在於個人信息收集方面存在強制同意、擴大授權和籠統授權等問題。我國《個人信息保護法》以“告知—同意”為個人信息的核心處理邏輯，其初衷是為理性人創造充分自由的選擇環境，化解信息不對稱問題，但該模式在實踐中存在侷限。從技術上看，大數據科技改變了傳統金融機構的經營模式，高速傳播和數量龐大的數據使得金融消費者難以掌控。從形式上看，金融機構在獲取客户授權時所提供的隱私保護條款的文本篇幅冗長繁瑣，大量專業術語使得普通客户面臨信息過載現象。實驗統計稱，如果每個在線用户花費10分鐘閲讀隱私條款，該行為的機會成本高達7810億美元。現實中，個人不願意花費大量時間試圖理解這些條款，通常會略過而直接選擇同意，導致實質性不知情的現象。這種模式不僅難以落實個人知情同意權，反而將責任從機構轉移至個人身上。

**第四，銀行數據中介商監管規則可操作性不強，妨礙銀行數據共享市場的快速發展。**如何在數據主體與數據使用者之間建立起信任關係，是確保數據流動與共享的基礎，數據中介商的出現為解決這一問題提供了新的載體，是發展銀行數據共享業務的核心。但銀行數據可攜帶權的實施流程較為複雜，可能因為數據主體缺乏專業能力而難以落地，而數據中介商提供專業服務，降低轉移數據的時間成本和經濟成本，提升銀行數據共享效率。但是，我國目前的數據中介商監管規則不成熟，中央、地方規則存在矛盾混亂、標準不統一的現象，可操作性不強。其一，雖然《個人信息保護法》《電子商務法》《數據安全法》以及地方立法都涉及數據中介監管規則，但並未統一數據中介商的含義、地位及其權利義務等。其二，中央、地方立法對數據中介服務提供者的命名不一致，內涵外延以及業務範圍也存在差異，容易造成監管混亂現象。其三，我國數據中介監管法律規則過於原則化，缺乏細節。《數據安全法》第33條規定了數據中介服務機構的義務，即“從事數據交易中介服務的機構提供服務，應當要求數據提供方説明數據來源，審核交易雙方的身份，並留存審核、交易記錄”。但是，該條描述簡單，沒有規定準入登記制度、缺乏具體的安全保障細則、尚未明確中介機構的獨立性義務，且對數據中介交易過程的公平性、透明度和非歧視要求重視不夠。此外，我國也沒有單獨的金融數據中介商規則，阻礙了銀行數據共享業務發展，難以實現數字普惠金融目標。

全球銀行數據共享規則的發展導向：安全與發展雙向推進

**銀行業依託數據共享帶來的業務價值已逐漸凸顯，數據要素已成為銀行業數字化轉型，提升數字金融普惠性的重要驅動力。**當前，歐美等國家都在積極探索銀行數據共享規則，通過落實數據可攜帶權、擴大數據共享的權利客體範疇及提升消費者信任等方式，充分發揮銀行數據價值，使更多主體獲得優質金融服務，促進數字普惠金融發展。同時，這些國家也愈發重視金融消費者的數據自主權和隱私權保護，希望在保障金融安全和維護數據權利的前提下，實現銀行數據價值的最大化。

（一）優化共享規則促進普惠金融發展

**第一，落實共享主體的銀行數據可攜帶權。**國際標準化組織（ISO）將數據可攜帶權定義為無需重新輸入數據即可輕鬆地將數據從一個系統傳輸到另一個系統的權利（能力）。歐盟、美國等都創設了較為完善的數據可攜帶權規則，為提高銀行數據共享的便捷性和正當性提供了法律基礎，幫助更多個人獲得金融服務，促進數字普惠金融發展。但是，歐盟和美國相關規則中的數據可攜帶權不同，規制模式也有所差異。歐盟以“賦權模式”構建了數據可攜帶權，其《通用數據保護條例》（GDPR）第20條規定：“數據主體有權以結構化、常用的機器可讀格式接收其提供給數據控制者的個人數據，並有權將這些數據轉移給第三方機構，數據控制者不得對其進行阻攔。”2023年，歐盟通過了《公平獲取和使用數據法》（EUDA），提升了數據互操作性和數據合約的可執行性，進一步提升了銀行數據共享的便捷性。例如，歐盟《數據法案》通過賦予用户數據使用權，“突破了傳統數據所有權的桎梏，強調數據資源的最大化利用，從而促進數據共享與創新”。與歐盟的“賦權模式”不同，美國以“義務模式”構建了數據可攜帶權，即通過規定機構義務以保障數據主體以便捷、無障礙的方式轉移數據。美國《多德－弗蘭克華爾街改革與消費者保護法》第1033（d）條規定了消費者有權獲得可讀的、標準化的個人金融數據，宏觀上要求金融機構為消費者提供訪問個人金融數據的渠道。2024年10月，美國消費者金融保護局（CFPB）頒佈了金融數據共享統一規則，要求金融服務提供商開放個人金融數據，並應消費者要求免費將其傳輸給其他提供商，落實數據可攜帶權。此外，美國各州也逐漸開始在隱私保護制度中規定數據可攜帶權義務。

**第二，擴大共享數據權利的客體範疇。**為了更好地促進數字銀行業發展，各國通過創設、修改規則，擴大了數據共享權利的客體範疇，拓寬了可共享的金融數據範圍，幫助更多個人和企業獲得金融服務，進而打擊銀行數據壟斷，推進數字普惠金融。歐盟是最早發展銀行數據共享市場的地區之一，其近期出台了銀行數據共享新規。首先，歐盟提出優化金融數據共享、促進普惠金融的戰略理念。2024年1月，歐盟《數據空間中的個人數據保護報告》稱要在金融等各行業內創造安全、穩定的數據共同空間，為個人和企業提供共享數據的工具和平台。其次，歐盟將出台規則豐富可共享的銀行數據種類。2023年6 月 28 日，歐盟委員會公佈了《金融數據訪問框架》（FIDA）提案，明確消費者和中小企業都可授予第三方機構訪問銀行數據的權利，拓寬了傳統《支付服務指令》第二版（PSDII）下的銀行數據共享範圍，使之從支付賬户數據擴大到各類金融客户數據。歐盟通過提升可共享的數據範圍和制度可操作性，逐漸實現了以權利安全為核心的保守型範式向以發揮數據價值為目的的開拓型範式的轉型。

**第三，提高公眾對銀行數據共享市場的信任。**目前，隱私保護已成為美國銀行數據共享業務開展的主要障礙。數據顯示，美國50%以上的消費者擔心隱私泄露風險，47%的消費者擔心失去對銀行數據的控制權，27%的消費者擔心金融機構濫用銀行數據。數據共享可能涉及複雜的信息傳輸鏈，這使得消費者難以確定各環節的責任機構。目前，許多數據的使用脱離個人掌控，在未被告知的情況下就被數據中介商蒐集、使用，使數據泄露、數據歧視等風險增加。對此，歐盟和美國正在積極構建先進的數據中介商監管規則。數據中介商是收集個人和非個人數據，並通過許可、出售、共享等方式處理數據，以實現數據供需關係匹配的中介機構。數據中介商獨立於數據持有人與數據使用人，專業性較高、獨立性較強，旨在加強公眾對銀行數據共享領域的信任，從而鼓勵更多個人、企業參與銀行數據共享業務。同時，數據中介商也可能成為侵犯金融消費者數據權和隱私權的機構之一，歐盟和美國也出台了多項法案對其進行監管。

（二）提升安全規則保障金融消費者權利

第一，重視保護金融消費者的數據自主權。《歐洲數據戰略》提到了數據主權理念，即數據所有者保留對其數據的控制權，可以確定誰可以使用數據，以及在什麼條件下使用數據。為了落實數據主權理念，歐盟修改了銀行數據共享規則，提升了金融消費者的數據自主權，加強了其對數據的控制能力。2023年6月28日，歐盟委員會發布了《支付服務指令》第三版（PSD III）草案，改善了開放銀行場景下的銀行數據共享運作措施，允許非銀行支付服務提供商訪問歐盟支付系統，提升金融消費者對支付數據的控制權。此外，歐盟完善了數據訪問權制度，加強了消費者對個人數據的控制。2023年11月，歐盟頒佈了EUDA，該法第7條、第25條、第26條、第30條、第33條、第35條及第37條等條款，細化了GDPR第15條規定的個人數據訪問權，明確了數據共享標準，為銀行數據共享提供了更加清晰的框架和標準。

**第二，夯實金融消費者的數據隱私權保護。**雖然美國採取了市場驅動型監管模式，賦予了市場主體充分的自由裁量權，但仍十分注重消費者隱私保護，並將進一步優化數據隱私權保護規則。一直以來，美國沒有出台聯邦層面的數據隱私法，相關治理主要依靠消費者保護法、行業特定法規以及美國聯邦貿易委員會指南等文件支撐，缺乏穩定性和可預見性。2024年4月7日，美國出台了《隱私權法案》（草案）（APRA），明確提出公民有權掌握個人數據，有能力行使數據隱私權。該法案的出台有效加強了參與銀行數據共享業務的金融機構的隱私保護力度，同時也首次為金融消費者積極維護銀行數據中的隱私安全提供了聯邦層面的立法基礎。此外，歐盟的銀行數據共享規則規定了全面的消費者數據隱私保護措施。例如，PSD II要求金融機構進行強身份驗證，以確保消費者知道並同意對其數據的使用、轉移、處理，有效保護數據隱私權。PSD II還制定了消費者投訴規則，明確了責任分配方式和投訴處理時限，以完善數據隱私泄露的事後處理機制。

**第三，加強銀行數據共享中的政府監管。**美國是開展銀行數據共享業務的主要國家之一，並一直採取自願、去監管的發展模式，即銀行數據共享業務由市場主導，美國監管機構和立法者尚未就此採取立法行動或發佈具有法律約束力的規則。但是，該模式將有所改變，美國政府將出台相關規則，加強對銀行數據共享領域的監管。美國金融市場參與者已經認識到銀行數據共享統一標準的必要性，美國銀行數據交易所聯合相關金融機構構建了“FDX API”銀行數據共享標準，旨在提升市場兼容性。雖然“FDX API”標準已經取得了市場認可，但政府仍需要出台明確的銀行數據共享標準規則，以維護金融市場的穩定性和可預期性。2024年10月，CFPB頒佈了個人金融數據共享統一規則，禁止誘導和轉換數據收集行為，並構建了數據撤銷和刪除等權限，以加強政府監管力度。

當下，全球銀行數據共享治理主體呈現多元化現象，其中政府機構監管逐漸成為全球主流範式。政府機構監管範式的執行力強、治理速度快，容易獲取社會公眾信任，促進銀行數據共享業務快速發展。但是，政府監管機構治理範式存在專業性不強、信息不對稱等風險，可能阻礙治理效果。對此，行業機構治理模式有專業知識和信息充分等優勢，能有效彌補政府監管的不足。譬如，新西蘭開放銀行市場由新西蘭支付協會進行管理，其治理速度快、治理程序成熟，有利於促進銀行數據共享，但目前缺少金融科技行業的參與，專業性有待提升。專門機構能夠更加專業、集中地處理相關問題，但同時可能存在缺乏資金、人才以及耗費時間長等問題。據此，雖然全球銀行數據共享市場治理有多種方式，但政府機構監管範式的效果好，並逐漸佔據主流地位。

（三）全球銀行數據共享規則的經驗啓示

**第一，借鑑域外規則發展普惠金融的實踐效果和經驗。**域外國家和地區的銀行數據共享規則促進銀行數據共享價值最大化、提升市場競爭活力，有助於數字普惠金融發展。目前，歐洲已經成為全球第一大銀行數據共享市場，金融市場競爭力顯著提升。例如，2019年1月至2023年3月，歐洲參與銀行數據共享業務的第三方機構數量顯著增加，從不到100個增加到560個。截至2023年5月，歐洲參與銀行數據共享的用户達4260萬，有效提升了金融普惠性。域外國家和地區通過創設完善數據可攜帶權規則，提升了銀行數據共享的便捷性，擴大了可共享的銀行數據範疇，並通過優化數據中介制度提高了公眾對銀行數據共享業務的信任，有效提升了數字金融普惠性。

我國銀行數據共享市場發展較為緩慢，規則體系以安全為主、共享為輔，應該結合我國金融市場具體情況、適當借鑑域外製度經驗，通過數據共享推動數字普惠金融發展。在發展數字普惠金融的同時，域外還十分關注金融消費者數據權利保護，包括消極性數據隱私權和積極性數據自主權，在全面保障消費者基本人權的基礎上擴展銀行數據共享領域。金融消費者的權利保障是開展銀行數據共享業務的底線。我國銀行數據共享規則重點關注數據隱私權等消極性權利保護，對數據自主權等積極性權利落實不到位。對此，可以適當學習域外的金融消費者權利保護規則，加強對積極性數據權利的保護，包括知情同意權、數據可訪問權等數據自主權。整體而言，我國銀行數據共享規則理念應從“關注金融安全為主”轉向“平衡金融安全與數據價值”，同時在全面保障數據主體積極和消極權利的基礎上，促進數字普惠金融發展。

**第二，重視域外規則中的數字人權理念。**數字人權理念涵蓋“基礎人權、衍生人權、特定人權”三個層面：基礎人權包括信息權和隱私權，衍生人權包括網絡接入權和數據自主權，特定人權包括數據可攜帶權、數據訪問權、數據更正權、數據拒絕權、數據侵權行為起訴權等。域外銀行數據共享規則充分體現了數字人權的理念，反映了數字人權三個層面的要求。從“基礎人權”及“衍主人權”層面上看，域外銀行數據共享規則充分重視金融消費者的數據隱私權保護，且愈發重視銀行數據共享領域政府監管的作用，加強對相關金融機構的道德約束與法律規制，以落實金融消費者的數據自主權。從“特定人權”層面上看，歐盟GDPR、EUDA以及美國CCPA等銀行數據共享規則落實、完善了金融消費者的數據可攜帶權。域外的數據可攜帶權規則反映了數字人權理念中的積極性權利保護要求。據此，域外銀行數據共享規則體現了數字人權理念的三個層次，也從積極權利實現和消極權利保障兩方面滿足了該理念的相關要求。

我國銀行數據共享規則需要適當借鑑域外經驗，落實數字人權理念。國際層面上看，數字人權是全球數字治理與國際人權治理的重要聯結點，也是全球價值融通與利益博弈的關鍵場域，關涉國際政治經濟秩序的數字化轉型升級，是我國提升國際數字話語權和規則制定權的突破口。聯合國高度重視數字人權的發展，將保護隱私和個人數據安全作為一項基本人權予以保障。數字人權凝聚全球價值共識，是國際利益博弈的關鍵領域，我國銀行數據共享規則應納入數字人權理論，在數字金融領域積極塑造符合全球價值共識又具有中國特色的數字人權理念。國內層面，落實數字人權理念對於保護金融消費者權利、促進數字普惠金融發展至關重要。銀行數據共享涉及獲取、轉移個人數據，同時也存在侵犯個人隱私和挑戰數據安全等風險。據此，應該貫徹數字人權理念，幫助金融消費者實現數據可攜帶權、數據自主權等積極性權利，同時保障數據隱私權等消極性權利不受侵犯，提升公眾對銀行數據共享市場的信任，激勵更多主體參與相關業務，促進相關業務可持續發展。

我國銀行數據共享規則的完善路徑

**我國應該在普惠金融和共享經濟理念下重塑銀行數據共享規則，平衡安全與發展兩大理念。**在發揮銀行數據價值方面，應夯實法律基礎，堅持法治化道路；在加強風險規制方面，需要堅守持牌經營等底線規則，進行全流程安全防護。同時，需要重視金融消費者的基本權利保障，落實數字人權理論的核心要求。我國銀行數據共享的主要障礙是個人數據共享權利不明、數據共享類別不清，公眾擔心數據安全和金融隱私泄露，導致行業信任基礎薄弱，阻礙銀行開展相關業務。對此，需要從發揮銀行數據價值和保障數據主體權利兩方面進行規則優化，構建服務實體經濟、面向數字普惠金融的制度體系。

（一）發揮銀行數據價值

數據已經成為重要的戰略資源，數字普惠金融的發展高度依賴金融數據的收集、利用和共享。但是，我國銀行數據共享規則忽略了銀行數據市場價值，應適當借鑑域外立法經驗，充分實現銀行數據共享價值，促進數字普惠金融發展。

**第一，細化銀行數據可攜帶權規則。**落實數據可攜帶權有利於發揮銀行數據價值、提高數據共享效率，是實現積極性數字人權和推動數字普惠金融發展的重要驅動力。但我國《個人信息保護法》中的數據可攜帶權條款以宣示性為主、可操作性不強，建議細化、完善銀行數據可攜帶權制度。2024年《銀行保險機構數據安全管理辦法》（以下簡稱《辦法》）第29條提到銀行數據共享問題，但該條內容可操作性不強。《辦法》是第一個明確提及銀行數據共享的規範性文件，建議在該文件中落實銀行數據可攜帶權的具體細則。首先，《辦法》中應界定數據可攜帶權的含義，明確銀行數據可攜帶權的權利範圍。其次，《辦法》可以借鑑歐盟GDPR第20條、美國《多德－弗蘭克華爾街改革與消費者保護法》第1033（d）條等條文，規定機構提升銀行數據共享便捷性的義務，即要求銀行等金融機構以結構化、常用的機器可讀格式為消費者提供數據，保障個人以簡易、無障礙的方式共享、轉移個人數據。最後，《辦法》還應明確銀行數據共享的收費問題。銀行數據共享會給金融機構帶來時間、人力、數據格式轉化、標準對接等成本，如果沒有適當的收益激勵，將降低機構參與數據共享業務的積極性。

**為了平衡各方利益、防止不合理的搭便車行為，需要從成本收益理論出發，在注重效率的同時兼顧公平，明確銀行數據可攜帶權的收費情形。**對此，可以將銀行數據分為四類：客户提供的數據、客户與銀行交易記錄數據、增值類客户數據和涉及其他個人的聚合類數據，並明確消費者對各類數據享有不同的權利。如澳大利亞規定，個人只對其提供的數據和交易記錄數據享有免費行使的數據可攜帶權，而其他兩類數據因涉及其他個人信息或銀行額外投入的勞動力等資源，個人無權免費獲得。據此，我國也可以授權銀行對“增值類客户數據”的共享收取適當費用，即銀行對基於客户交易數據、信用情況等信息進行洞察、分析或轉換而創建的數據享有專屬權，消費者無權對此類數據行使數據可攜帶權。

**第二，制定銀行數據分類共享規則。**我國需要出台專門的銀行數據分類共享規則，提升數據共享效率和金融普惠性，充分發揮銀行數據共享價值。一方面，由於銀行數據涉及個人隱私與金融安全，我國需要從維護個人權益與國家利益兩方面出發，謹慎界定可共享的銀行數據範圍。首先，個人權利保護方面，可以借鑑“數據可分離性”理念，界定可共享的銀行數據類別，落實數字人權保護理念。數據可分離性是一種哲學概念，用以確定數據與個人身份等隱私信息是否可以分離，即通過判斷數據與個人之間的關係密切程度，從而決定該數據是否可以被視為個人隱私、觸發隱私法保護。在銀行數據共享分類規則制定上，數據可分離性理念為立法機構提供了一個有彈性的規範基礎，有助於判斷不同類型的銀行數據共享是否會威脅個人隱私等，旨在保障數字人權利益的前提下實現銀行數據分類共享。具體而言，如果某類銀行數據過於敏感、與個人金融利益密切相關，那麼這類銀行數據則不具備數據可分離性，不應被納入共享範圍。其次，銀行數據與金融安全密切相關，因此界定可共享的銀行數據類別時，還需考慮共享行為可能給國家利益與社會公共利益帶來的風險。《辦法》第71條指出，國家金融監督管理總局將按照制定銀行業保險業重要數據目錄、提出核心數據目錄建議，以監督指導銀行保險機構開展數據分類分級管理和數據保護。對此，國家金融監督管理總局應該儘快落實該要求，根據數據可分離性以及數據風險係數，出台可共享的銀行數據目錄，明確各類銀行數據的安全防護要求。

另一方面，建議修改阻礙銀行數據共享的數據分類規則，為充分實現銀行數據市場價值留下空間，促進數字普惠金融發展。2020年9月，全國金融標準化技術委員會出台了《金融數據安全數據安全分級指南》（以下簡稱《指南》），明確了“數據安全定級”，即根據金融業機構數據安全性遭受破壞後的影響對象和影響程度，將數據安全級別分為5級。但是，該標準僅僅從安全角度劃分，忽略了金融數據的市場價值。對此，可以向歐盟學習，明確可共享的銀行數據範圍。具體而言，建議後續修改在該《指南》第4條的“目標、原則和範圍”中納入“實現金融數據價值”的理念，在內容部分中增加“發揮金融數據價值”專門章節，並明確界定可共享的銀行數據、保險數據等金融數據的類別和範圍。

**第三，優化銀行數據中介商規則。**歐盟出台了以促進數據共享為目的的DGA，其中專門規定了數據中介商規則。數據中介商能有效解決數據共享中的信任匱乏問題，並提升數據市場互操作性，有利於實現數據價值最大化。但是，我國數據中介商規則過於原則化，且缺乏專門的銀行數據中介商規則。對此，我國可以出台專門的《數據中介商條例》，並在其中單獨設立銀行數據中介商章節，落實銀行數據中介商的安全保障義務。首先，《數據中介商條例》需要解決法律法規中數據中介機構名稱混亂的問題，應該將相關機構統一命名為“數據中介商”，並界定數據中介商的基本內涵。其次，在市場準入階段，《數據中介商條例》應堅持持牌經營理念、設置嚴格的許可審查規則，要求銀行數據中介商全面、準確、真實地披露其機構信息，確保機構自身獨立性。再次，在業務運營階段，《數據中介商條例》應該重視銀行數據中介商的中立性和專業性的保障。對此，可以規定數據中介商具有獨立忠誠、告知同意、安全保障、專業服務、杜絕歧視、格式轉換等義務，以提升數據共享的安全性、互操作性、連續性等，實現數據價值最大化。此外，由於銀行數據具有敏感性、價值性和傳導性等特徵，《數據中介商條例》對參與銀行數據共享的中介商應該設立更加嚴格的安全保障義務。《數據中介商條例》應該要求處理銀行數據的中介商提供更加全面的數據安全保障措施，併購買保險，以覆蓋因其不當行為給金融消費者帶來的潛在損失，落實數字人權價值理念。最後，在機構退出或合併階段，《數據中介商條例》應要求銀行數據中介商做好數據銷燬等保密工作，嚴格防範銀行數據泄露導致的金融穩定風險。

為了實現金融支持實體經濟的目標，可以在未來的《民營經濟促進法》中納入銀行數據共享條款。《中華人民共和國民營經濟促進法（草案徵求意見稿）》第26條要求建立健全信用信息歸集共享機制，這為民營經濟組織向金融機構獲得融資提供了便利。為了幫助更多民營企業獲得金融服務，該條款應該將銀行數據納入共享範圍，充分實現數據價值，幫助更多民營企業獲得金融服務，促進數字普惠金融發展。同時，在後續統一的金融法典制定中，也應當規定銀行數據共享條款，最大限度保障民營企業的權利。

（二）保障數據主體權利

金融數據固然能創造巨大的經濟和社會價值，但存在着風險錯配、隱私泄露、數據壟斷、非法交易等治理與安全問題。為了落實數字人權理念，銀行數據共享規則須保護金融消費者的知情同意權和數據隱私權，加強政府全流程監管，保障銀行數據共享的安全性。

**第一，出台共享指南保障知情同意權。**數字人權理念強調個體的自主意志與正當權利，即具有自主性的個人無須從屬於他人意志，落實知情同意權是遵循數字人權理念的核心要求之一。我國《個人信息保護法》和《辦法》都以“告知—同意”授權機制為數據共享的核心規則，但是該權利進路流於形式，導致金融消費者的實質知情權被架空。美國CFPB制定了統一的金融數據共享標準，英國ICO也出台了《數據共享行為準則》，規定數據接收方和數據提供方之間簽訂的數據共享協議具體細節。據此，我國可以借鑑相關經驗，出台《銀行數據共享協議適用指南》，構建銀行數據共享協議標準模板，並構建配套的登記、定期檢查和投訴體系，旨在制定公平合理的銀行數據共享協議，落實消費者知情同意權的救濟措施。《銀行數據共享協議適用指南》需要明確具體細節，包括銀行數據共享目的、各方權利和義務、共享數據的法律依據、數據的準確性要求、可共享數據範圍、數據處理責任，數據交換過程和方法、數據丟失時的報告和處理措施、爭議解決程序、數據保護措施等事項。同時，《銀行數據共享協議適用指南》還應界定“默認數據”範圍，即無需消費者同意即可收集的數據數量和類型。如果超出“默認數據”範圍，相關機構必須發出額外通知，引起個人關注。此外，國家數據局應聯合地方數據交易所構建配套的銀行數據共享協議登記和投訴系統，使得消費者能夠清楚地瞭解銀行數據的流向，有能力拒絕相關數據的使用和共享，保障個人知情同意權的實現。

**第二，全流程保護數據隱私權。**為了平衡銀行數據共享的效率與個人隱私安全，不僅需要完善事前規則，還需加強事中監管、落實事後責任，構建全流程保護模式。首先，事前准入方面，應堅持持牌經營理念，構建資格認證機制。《辦法》應明確資格認定的具體細則，對擬參與銀行數據共享業務的銀行、金融科技公司、數據中介商、數據聚合商等機構的資質進行審查，只有相關機構提供了充分的銀行數據、個人隱私安全保障措施後，才能授予其參加銀行數據共享業務的資質，這有利於優化銀行數據共享的生態體系。其次，事中管理方面，建議修改《金融數據安全數據生命週期安全規範》，納入金融數據共享規則，指導銀行建立完善的銀行數據共享業務全週期防護機制。同時，政府部門可以使用區塊鏈的分佈式賬本技術進行追蹤式監管，審查銀行數據共享過程中的數據處理、轉移、使用、儲存等行為是否取得金融消費者同意，是否符合法律法規的相關要求，以保障個人的數據自主權與隱私權，落實數字人權理念。最後，事後追責方面，建議對金融消費者進行適當的傾斜性保護，採取舉證責任倒置模式。快速有效的責任機制有利於公平、安全、高效地促進數據驅動型經濟發展。由於銀行數據共享涉及多環節、多主體、多流程，過程十分繁瑣，而金融消費者專業能力有限，難以精準定位具體責任主體。對此，監管部門應該為金融消費者提供舉報泄露銀行數據、侵犯個人隱私等不當行為的投訴渠道，但不強制要求消費者提供能精準定位具體的侵害行為者的證據，而是採取舉證責任倒置模式，即要求相關機構證明自己的行為合理合法，從而減輕消費者的舉證責任與負擔。

**第三，明確治理機構以落實監管責任。**如前所述，就治理機構的選擇而言，全球各國銀行數據共享治理模式包括政府監管、行業機構管理和專門性組織管理三類，各有利弊。政府監管範式的執行力強、治理速度快，容易獲取社會公眾信任，但也存在專業性不夠強、信息不對稱等風險，而行業機構能有效彌補政府監管的不足。目前，我國金融市場的完善程度不高，金融消費者面臨風險較大，政府監管在保障消費者權益、維護金融穩定方面起着至關重要的作用。我國應該選擇主要由政府機構監管銀行數據共享，同時結合行業協會等力量，克服信息不對稱、專業能力不足等問題。此外，國家金融監管總局、中國人民銀行、網信辦、國家數據局等政府機構都出台了與銀行數據相關的文件，但並未明確銀行數據共享的具體監管機構。對此，需要統一監管責任，防止多頭監管的現象。鑑於銀行數據共享涉及銀行、金融科技公司、金融消費者、數據中介機構、數據聚合商等多方主體，應由國家金融監管總局協同中國人民銀行、國家數據局及網信辦共同治理，並由互聯網金融協會等機構提供專業性技術支持，同時還需落實地方數據交易所的具體監管責任。建議從金融行業治理結構要素調適、多層規範空間的交互塑造、內外二元進路的互動運行等三個面向出發，實現金融行業治理現代化、法治化。整體而言，應全面貫徹“機構監管、行為監管、功能監管、穿透式監管、持續監管”五大理念，維護銀行數據共享安全，保護消費者數字人權。

結語

2024年4月，全國數據工作會議強調：“要提升數據資源開發利用水平。發揮公共數據資源開發利用的示範效應，持續探索企業數據、個人數據開發利用新路徑，全力推動“數據要素×”行動，着力繁榮數據開發利用生態。”銀行數據是重要的金融資源，應該通過共享的方式發揮其市場價值、降低成本，幫助更多個人、中小企業獲得優質金融服務，促進數字普惠金融發展,實現金融支持實體經濟的目標。目前，全球許多國家都在積極地開展銀行數據共享業務，提升數字金融普惠性，並十分重視金融消費者權利保護，旨在雙向推動銀行數據共享的價值實現與安全保障。但是，我國銀行數據規則體系過於注重安全風險防範，相對忽略了銀行數據市場價值。同時，我國對金融消費者的數據可攜帶權和知情同意權落實不到位、銀行數據中介商規則不明，導致公眾對銀行數據共享領域的信任程度不夠，難以高效地開展相關業務，妨礙數字普惠金融發展。對此，需要借鑑域外立法經驗，以數字人權理念為指引，從發揮數據價值和保障共享安全兩方面，完善我國銀行數據共享規則體系。