金融数据安全风险及监管研究

钟红 马天娇

金融安全是国家安全的重要组成部分，是经济金融平稳健康发展的重要基础。随着我国数字金融的迅猛发展，数据资源成为核心生产要素，然而目前金融数据安全治理仍面临诸多挑战。本文分析金融数据安全风险的表现形式及治理困境，总结国际金融数据安全治理经验，为构建我国精准有效的金融数据监管体系提供政策建议。

金融数据安全面临新形势新挑战

数字金融迅猛发展，金融业态和产品创新步伐加快，大大增加金融数据风险的复杂性、隐蔽性和易扩散性。中国互联网络信息中心数据显示，截至2020年12月，我国网络支付用户规模达8.54亿，占整体网民数量的86.4%，较2016年12月增长了80.05%。北京大学发布的数字普惠金融指数中位数2011—2020年间年增长率达29.11%。数字金融业务量快速上涨产生了大量金融数据，对金融机构数据收集、整理、存储、分析和传输等方面提出新的要求，数据使用规范不明确和硬件设施滞后都会给数据安全带来巨大风险。

数字信息技术日新月异，引发新型金融数据安全风险。新兴技术的应用极大促进数字金融的发展，降低消费者进入金融市场的门槛，但同时也给金融数据安全带来不确定性。譬如加密货币和网络匿名技术的快速发展使数据窃取、篡改、勒索日益严重，催生庞大的数据非法贩卖产业链，引发数据泄露、数据污染、数据投毒攻击等一系列风险。又如，数字身份包含大量用户个人信息和交易数据，其广泛应用大大增加了网络金融犯罪的概率。

监管政策不完善加剧数据和资金向互联网寡头企业集聚，数据垄断风险愈发凸显。目前，针对以银行为主体的传统金融行业监管体系较为完善，面向金融科技企业的监管力度相对薄弱。在此环境下，大型科技公司凭借显著的网络外溢效应形成规模经济，使用前沿科技手段拓展消费者群体，将业务范围从构建互联网商务平台逐渐拓展到支付服务、投资理财、保险销售等领域，积累了大量个人信息和金融交易数据，逐渐形成数据垄断，引发数据安全风险。具体而言，数据垄断滋生灰色交易，非法数据贩卖实现商业变现，侵害用户个人隐私，增加数据泄露风险;数据寡头企业滥用市场支配地位，通过限制数据访问和共享、限制用户转移、大数据杀熟、数据服务搭售等算法合谋的方式谋取利益，损害消费者合法权益;利用数据垄断优势维持行业地位，阻碍竞争对手收集和购买数据、通过经营者集中手段增加竞争对手进入市场的门槛、数据驱动型并购等，破坏数字经济市场公平竞争秩序。

金融数据跨境流动日益频繁，带来潜在安全隐患。随着全球贸易往来、金融投资和技术交流日益频繁，跨境流动数据的种类和数量不断增加，涉及个人隐私、企业商业机密、社会治理、国防安全等方方面面，海量数据跨境流动给国家安全带来隐患。一方面，我国重要战略信息更易被分析挖掘。商业机密信息、经济运行状况、金融科技发展水平、金融创新产品等高度敏感数据若被外国政府获取并恶意利用，将严重破坏我国金融市场稳定，威胁国家和人民财产安全。例如，根据跨国电商订单等数据推测消费者购买力和相关行业的宏观经济运行情况，关键信息暴露将可能使我国在国际经济谈判中处于不利地位。另一方面，数据驱动的金融科技产业竞争优势被削弱。我国消费市场规模巨大，海量基础数据为金融科技的迅猛发展提供有力支撑，催生出一系列创新性金融产品，关键数据外流势必削弱我国金融业核心竞争力，影响金融相关产业的竞争优势。

金融数据监管面临新问题新要求

现行法律法规难以约束数据行为。金融数据的爆炸式增长超出传统数据监管范畴，部分企业利用法律的滞后性谋取商业利益，造成金融市场数据使用的混乱。例如，我国《个人信息保护法》中“利用个人信息进行自动化决策，应当保证决策的透明度和结果公平合理”可以解决“大数据杀熟”的部分问题，但这一规定适用门槛高、适用范围窄，难以有效规制杀熟行为。又如，我国目前尚无针对人工智能的专项立法，部分企业利用人脸识别、深度伪造等技术滥用私人信息牟取暴利。可见，互联网科技企业快速更新的数据处理模式对我国现有金融监管政策法规的革新速度提出更高要求。

金融科技飞速发展对监管科技水平提出更高要求，与数字金融业务属性及特点相吻合的监管科技亟待更新。一方面，监管技术滞后造成监管空白，金融数字化使得金融机构可以更便利地使用高科技进行黑箱操作，监管部门难以准确核实金融机构报送数据的真实性和完整性，数据失真和缺失成为不可避免的问题，导致监管机构无法及时高效地做出风险识别与预警。另一方面，监管套利行为难以避免，比如，有的金融科技公司推出“一地注册，全国可用”业务模式，使劣质金融产品向监管更宽松的地方转移，全面追踪监管仍然存在技术困难。

数据权责难以界定。数据确权是数据共享和流转的基础，但由于数据所有权、使用权和收益权难以界定，数据非法贩卖和无序竞争等乱象频频发生。究其原因，数据要素的可复制性和易共享性使其有别于传统生产要素，复杂的数据类型、性质、边界导致数据确权困难。此外，数据生命周期的每个阶段涉及多個主体，数据权利不完全归属于同一个人，进而很难保护数据相关主体的利益和追究责任。

数据跨境流动监管难度大。由于数据跨境流动可能带来公共安全风险和金融稳定性风险，各国高度重视跨境流动监管这一国际难题。一方面，数据跨境流动监管缺乏统一框架和国际规则，各国从自身国家安全和经济发展角度出发，制定不同的跨境流动监管政策，导致国家间的数据流动规则出现冲突。另一方面，数据跨境流动监管缺乏国际合作机制，要求企业提供境外数据、实施“长臂管辖”强制获取数据的现象时有发生，导致金融数据跨境流动安全问题升级，甚至可能引发国际冲突。

金融数据治理的国际经验

加强金融数据安全治理顶层设计，健全相关政策法律体系。2020年6月，欧洲数据保护专员公署发布《欧洲数据保护监管局战略计划（2020—2024）》，旨在从前瞻性、行动性、协调性三个方面塑造更安全、更公平和更可持续的数字市场。2019年12月，美国管理和预算办公室发布《联邦数据战略与2020年行动计划》，确立了将数据作为战略资源开发的核心目标。各国不断强化个人信息保护相关立法，持续优化政策环境。2018年5月，欧盟出台的《通用数据保护条例》（General Data Protection Regulation，简称GDPR），进一步明确用户数据收集、存储、使用的规则和责任，强化数据主体对数据的控制和保护，限制垄断企业滥用客户数据获取超额利润，成为其他国家制定数据保护法律的参考标准。2018年6月美国加州通过的《加州消费者隐私保护法》堪称美国最全面、最严格的隐私法案，扩展个人信息定义，强化消费者隐私保护权利，并对未成年人信息给予特殊保护。

加快数据安全监督执法机构建设。各国政府通过设置数据安全监管机构提高执法效率。欧盟设立了数据保护专员公署，负责监督个人数据及隐私保护、为个人信息相关事宜提供政策建议、开展欧盟内部信息共享与合作等。新加坡设立个人数据保护委员会，负责提供数据保护的咨询建议、技术管理等专业服务，处理数据保护国际事务，开展数据保护的技术合作与交流等。巴西政府成立国家个人数据保护局，负责制定数据处理框架和规则、监督惩处违法违规行为、促进国际数据共享等。以上机构出台的数据监督执法规则基本上都适用于该国金融机构数据安全监管。此外，各国纷纷建立金融情报机构或可疑交易监测分析中心，职责包括接收和分析金融情报、监测资金总体流向和趋势、建立国家数据库妥善保存金融机构提交的大额和可疑交易信息等，旨在打击洗钱和恐怖融资等犯罪行为。

将金融数据纳入反垄断监管。2019年7月，欧盟委员会启动对亚马逊反垄断调查，评估其在使用平台独立零售商敏感信息时是否存在违反欧盟競争法的行为。2019年2月，德国联邦卡特尔办公室裁定脸书在收集和使用用户数据时存在剥削性滥用，要求其暂停相关行为并整改，该判例提供了将隐私数据纳入反垄断监管的案例。2017年6月，谷歌滥用搜索引擎市场获取的数据优势推广自身旗下的比价购物服务，损害竞争对手利益，被欧盟开出24.2亿欧元的巨额罚单。在法律体系方面，德国《反限制竞争法》第九修正案将交易额标准纳入经营者集中审查的补充性门槛，奥地利于2017年通过反垄断法和竞争法修正案调整了并购申报门槛，有效应对数据驱动型并购行为。可见，数据已经成为评估科技平台企业是否具有滥用市场支配地位行为的重要因素。

强化数据跨境流动监管，保障关键领域数据安全。2001年欧洲委员会通过了《有关监管机构和跨境数据流通的附加协定》，确保个人数据在处理过程中得到保护，消除数据跨境自由流动障碍，助力数字经济全球化。美国主张个人数据跨境自由流动，但限制重点行业和领域的技术数据出口，利用“长臂管辖”规则强化对境外数据的执法能力，各国政府在致力于保障数据跨境流动安全的同时，也注意充分释放数字经济活力。新加坡以建设亚太数据中心为导向，积极加入亚太经合组织主导的跨境隐私规则体系，秉承数据跨境流动开放的态度，制定和完善数据跨境流动管理规则，吸引跨国公司投资数字基础设施建设，推动数字贸易发展。

加强我国金融数据监管的政策建议

完善金融数据安全管理法律法规。目前，我国已经形成层次较为丰富、覆盖多个领域的金融数据保护法律法规体系。2021年，全国人大出台的《数据安全法》和《个人信息保护法》构建了我国数据安全领域法律框架。2020年以来，金融数据安全规范性文件的制定工作不断推进。中国人民银行发布《个人金融信息保护技术规范》《金融数据安全数据安全分级指南》《征信业务管理办法（征求意见稿）》等，银保监会印发《中国银保监会监管数据安全管理办法（试行）》等，但目前仍面临细分领域规则不明确、行业标准体系不完善等问题。具体而言，针对金融科技企业，须进一步明确网络平台使用个人信息的标准、流程和规范，加大对数据违规使用的披露和惩处力度，并将企业经营过程中产生的交易数据和商业数据纳入监管范围。在银行数据开放共享领域，出台具有实操性和指导性的数据公开标准规范，对公开范围、数据更新和质量标准提出明确要求，推进数据开放程序的标准化。

加快基础设施和人才队伍建设。目前，政府和金融监管部门尝试使用前沿技术处理和监管金融数据，但科技水平仍有待提高。一方面，提升技术监管水平。引入高端技术升级监管设备，建立统一的监管数据信息处理平台，使用应用程序编程接口传输数据，借助人工智能和机器学习分析数据，提升金融数据监管的专业性和穿透性。另一方面，加大数据人才培养力度。可考虑成立数据安全人才培养中心，与高校、企业联合开展人员技术培训，开展专业认证培训及考试，提高金融监管人员的科技专业素养。

探索数据分级分类管理方案，构建权责一致的金融数据监管格局。2020年9月，中国人民银行发布的《金融数据安全数据安全分级指南》建立了统一的数据分级管理制度，指导金融机构合理开展金融数据安全定级工作，有利于建立与之对应的安全配套法规。2021年6月通过的《中华人民共和国数据安全法》提出国家对数据进行分级分类的方法不仅包括制定重要数据目录，更需要结合典型的数据应用场景制定配套的网络数据安全法规。在金融数据监管体系中，同样应注意对不同类别金融数据分别采取严格保护、内容监管、鼓励流动、强制公开等不同管理方法，并对不同级别的金融数据分别采取不同授权和责任模式的数据处理规则。此外，在分级分类监管机制基础上，应进一步完善监管组织架构，明确监管机构职责。

加强数据反垄断监管，促进数字市场公平竞争。我国数据反垄断规则不断完善，反垄断法配套规则正式落地。市场监管总局发布的《禁止滥用市场支配地位行为暂行规定》在认定市场支配地位因素中增加了掌握相关数据情况这一因素。上述法律规范细化了数据垄断的判定标准，但在实践中仍具有局限性。例如，现有经营者集中审查申报标准判断依据为营业额，无法将不利于市场竞争的数据驱动型并购纳入审查范围。因此，我国应当借鉴德国等国的先进经验，不仅以并购双方的营业额作为是否可以并购的判定标准，还应引入并购双方交易额作为补充性标准。

夯实数据流转的制度基础和技术基础。可采取“三步走”方式建立数据交易市场化机制：第一，确定数据产权。在制度层面，加快金融数据权属相关立法，厘清数据所有权、使用权和收益权，为数据采集、使用、流通和权益分配提供法律依据。2021年1月发布的《深圳经济特区数据条例》在数据产权制度、数据产权保护和利用新机制、数据隐私保护制度、政府数据开放共享以及数据交易等方面进行探索，但目前仍然缺少国家层面的法律规定。在技术层面，基于权属证明和专家评审的传统确权方式缺乏技术可信度，未来须探索基于区块链技术和数字水印技术的大数据确权方式。第二，发挥“看不见的手”作用形成匹配数据权益的价格。须建立健全数据要素市场定价标准，制定数据市场交易规则和交易标准，细化数据交易格式和管理方法等标准体系，建立数据资产评估机制和数据资产会计入账制度，确保数据交易符合市场经济发展规律。可引入沙盒监管机制探索未预测到的风险和不可控因素，允许数据交易在特定市场中、特定市场主体间进行，围绕数据定价、交易手段、权益界定、风险防控和技术支持等问题展开积极探索。第三，建立严格的交易数据监管体系，规避用户利益、市场秩序和应用安全方面的潜在风险。革新数据交易监管平台技术体系，健全数据流动态势感知、安全预警、应急处置管理机制，对交易平台、交易行为、交易主体、交易环节等进行实时记录。引入区块链技术对数据的产生、收集、传输、使用与收益进行全周期的记录与监控，实现数据记录和问题检测全自动化流程管理，便于监管部门开展数据要素市场的治理和监管工作。

推动建立跨境监管国际合作机制，提高国际话语权。在金融数据安全监管领域，需要各国从国际秩序大局出发，建立国际合作机制，共同应对金融数据跨境流动新挑战。一是积极参与并推动跨境数据流动监管规则体系的制定与完善，开展政府间、行业间、技术群体间多线条国际谈判与合作，推动制定符合国家利益和经济发展需求的政策体系。二是加强跨境监管执法国际合作，夯实域外管辖和跨境适用法律基础，提高跨境监管能力和执法水平，推动构建良好的国际金融数据要素市场秩序。

（钟红为中国银行研究院副院长，马天娇为南开大学经济学院博士研究生。本文编辑/王晔君）