2020年5月
May,2020
第42卷第3期
ModernLawScience
Vol.42No.3
市场经济法治
文章编号:1001-2397(2020)03-0138-13
开放银行模式下个人数据共享的法律规制
赵 吟
(西南政法大学,重庆 401120)
摘 要:开放银行作为新兴的业务模式,在数据共享方面表现出不同的特点,给个人数据保护带来多重挑战。
结合国内开放银行发展现状,法律规制当在厘清各方法律关系的基础上,分阶段有重点地推进。
事前阶段针对数据共享授权规则的不足进行相应优化,以确保个人的知情权和同意权。
事中阶段通过数据共享对象的筛选规则设计与信息披露义务的规则细化,来保证数据得以合理共享与使用。
事后阶段则依托多元纠纷解决机制实现数据共享各方责任的类型化,为个人提供有效的救济途径。
关键词:开放银行;数据共享;个人数据保护 中图分类号:DF438.2 文献标志码:
A DOI:10.3969/j.issn.1001-2397.2020.03.11 开放科学(资源服务)标识码(OSID): 近年来,互联网、大数据、人工智能等技术手段促进了传统金融的革新,科技与金融行业不断融合发展。
银行业同样融入数字化革命的浪潮,争先拥抱数字经济的蓝海,迈入银行4.0时代。
①2015年,英国竞争和市场委员会(CompetitionandMarketsAuthority,以下简称“CMA”)开始主导开放银行计划,并成立了开放银行工作组(OpenBankingWorkingGroup,以下简称“OBWG”),OBWG于2016年对外发布《开放银行框架标准》。
同年,欧盟通过了第二代支付服务法令(PaymentServiceDirective2,以下简称“PSD2”),敦促欧洲各银行应当将客户数据开放给第三方。
另外,欧盟的《一般数据保护条例》(GeneralDataProtectionRegulation,以下简称“GDPR”)于2018年生效,这也正是欧盟积极推行开放银行的底气所在。
与此同时,2017年,美国的联邦金融消费者保护局(ConsumerFinancialProtection 收稿日期:2020-01-18基金项目:国家法治与法学理论研究中青年课题“证券市场先行赔付制度构建研究”(18SFB3026);重庆市教育委员会人文社会科学研究一般项目“证券涉众纠纷多元化解创新机制研究”(19SKGH012)作者简介:赵吟(1985),女,浙江杭州人,西南政法大学副教授、人工智能法律研究院金融科技法律研究中心主任,法学博士。
①现有的理论将银行的发展分为四个阶段:银行1.0时代(网点服务阶段),银行2.0时代(自助银行阶段),银行3.0时代(基于互联网的银行服务阶段),银行4.0时代(银行即服务阶段)。
参见刘勇、李达:《开放银行:服务无界与未来银行》,中信出版社2019年版,前言部分。
138 赵 吟:开放银行模式下个人数据共享的法律规制 Bureau,以下简称“CFPB”)发布了金融数据共享的九条指导原则。
澳大利亚、新加坡①及我国香港特别行政区②也已经踏上开放银行的探索之路。
2018年可谓是我国的开放银行元年,浦发银行、工商银行、招商银行等传统大型银行与众邦银行、微众银行等新兴银行纷纷推出了自己的开放平台。
截止目前,约65%的商业银行已经涉足开放银行业务。
③但我国监管机构及行业自律组织出台的与开放银行相关的治理框架、业务规范屈指可数。
④2019年中国人民银行印发的《金融科技(FinTech)发展规划(2019-2021年)》中提及要“以促进金融开放为基调,加强数据资源融合应用”,同时也应“加大金融信息保护力度”。
党的十九届四中全会上亦明确指出,要“加强数据有序共享,依法保护个人信息”。
在我国个人数据保护的法律体系尚不完善的情况下,能否妥善应对开放银行背景下数据共享对个人数据安全带来的挑战,关系到开放银行能否在我国落地生根,这也是保护金融消费者权益,防范化解系统性金融风险的关键之处。
一、基于开放银行的个人数据共享界定 (一)开放银行的运作模式何谓开放银行,国内业界尚未形成统一定义。
开放银行并非新的银行类型,其实质是一种新的业 务模式与经营理念。
从数据共享角度而言,开放银行是指银行通过一定技术手段将收集储存的数据共享至第三方机构,将其传统的“客户-银行”的服务模式延长至“客户-银行-第三方-客户”的服务模式。
第三方机构凭借自己的技术优势,结合海量数据能够为消费者提供更为优质的产品与服务,银行也得以通过开放银行模式深度挖掘客户的数据价值。
现阶段,商业银行与其合作伙伴的对接方式为应用程序编程接口(ApplicationProgrammingInterface,API)、软件工具包端口(SoftwareDevelopmentKit,SDK)或H5(超文本标记语言5.0)方式,其中API接口应用最为广泛。
商业银行将大量API接口集成到一个特定平台,构建新的生态系统,将金融服务与实体经济的多领域实现无缝衔接。
⑤ 开放银行生态系统可以分为三个层次:上层为商业生态系统,即金融科技公司、电商平台等第三方机构(以下统称“第三方机构”)通过API接口从银行获取相应数据,为客户提供创新的金融服务;中层为开放银行平台,该平台的构建是开放银行实践的基础。
根据现有的实践来看,大体上可以将开放银行组织模式分为自建平台与第三方平台两种。
传统大型银行依托其资金、技术、专业人才优势自行搭建开放平台,身兼二职,与商业生态对接。
而新兴的中小银行通常寻求其他金融科技公司的支持,借助其技术优势搭建开放平台。
下层则为银行,提供账户管理、支付等业务,同时也是数据的提供者。
例如,现有的银行API接口类型涵盖了支付结算、账户管理、理财融资等多种场景,对个人客户来说,在第三方机构的APP上就可以同步查询个人银行账户余额与明细,无需再登陆银行APP。
(二)开放银行系统中的法律关系开放银行生态系统中的参与者主要有三方:个人客户即数据主体;银行即数据控制者;第三方机构即数据共享对象亦是共享数据的使用者,通过开发APP、网页等为客户提供服务,在与银行签约时亦被 ①2016年,新加坡金融管理局联合新加坡银行协会发布API指导手册(简称Playbook)。
②2018年,我国香港特别行政区金融管理局发布《香港银行业OpenAPI框架咨询文件》。
③参见中国互联网金融协会《2019开放银行发展研究报告》。
④2020年2月13日,中国人民银行发布了《商业银行应用程序接口安全管理规范》,但该文件仅属于金融行业标准,且只是技术规范,并未涉及太多个人数据保护的内容。
⑤参见2018年第二届中国互联网金融论坛中中国人民银行科技司副司长陈立吾的发言。
139 现 代 法 学 2020年第3期 称为“开发者”。
个人客户在银行开设有账户,并基于账户产生了大量数据留存在银行。
第三方机构与银行共享数据也可分为两种情况:一是个人客户在使用第三方机构服务的过程中需要调用自己留存在银行的数据,获得无缝衔接的银行服务,如直接进行个人实名认证;二是第三方机构和银行出于各种合作目的,在银行获得客户授权后,将数据共享至第三方机构。
第一种情况下,个人客户、银行、第三方之间各自形成了合同关系,即“三角模式”。
个人客户首先与银行签订了客户服务协议,基于该服务协议,银行收集相应服务所需的客户个人数据,并且作为数据控制者同时需要承担数据安全保障的义务(如采取加密、匿名处理等技术手段),在法律允许和客户授权范围内合理使用数据并履行信息披露义务。
个人客户则通过授权机制允许银行将其个人数据分享至第三方,并对数据共享的全过程享有知情权。
银行与第三方机构则通过开发者协议形成合同关系,两者之间的权利义务关系由双方协商确定。
一般而言,银行有权对第三方机构的资格进行审查,并提出相应的数据安全建议。
个人客户通过第三方机构开发的APP或网页使用其服务时,也与第三方机构形成了事实上的合同关系,第三方机构的数据安全保障义务与银行相类似。
第二种情况下,个人与银行、银行与第三方之间的合同关系与三角模式相同,唯一区别在于个人与第三方机构之间不存在合同关系,因此形成了“个人-银行-第三方”的线性模式。
(三)共享个人数据的范围及类型“个人数据”“个人信息”等概念在学界还存在争议,①实践中也存在混用的情形。
欧盟GDPR中采用“个人数据”的表述,美国则采用“个人可识别信息”的表述。
《民法典(草案)》(三次审议稿)(以下简称《民法典(草案)》)第1034条第2款②采用“个人信息”的表述,对个人信息进行界定时体现了“可识别性”这一特征。
《信息安全技术个人信息安全规范》③(以下简称《信息安全规范》)中对个人信息的定义则是在此基础上增添了“反映特定自然人活动情况的各种信息”,列举范围稍大于《民法典(草案)》。
在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)(以下简称17号文)及《中国人民银行关于印发〈中国人民银行金融消费者权益保护实施办法〉的通知》(银发〔2016〕314号)(以下简称《金融消费者保护办法》)中,针对银行业务范围内的个人数据表述为“个人金融信息”。
④但“个人金融信息”这一表述过于宽泛,其他金融业务领域内由金融机构获取、加工、储存的个人信息也属于“个人金融信息”的范畴,故本文将银行业的“个人金融信息”统一表述为“个人数据”,⑤将其定义为个人在参与银行业务的过程中产生的并由银行获取、加工、保存的各类可以单独或与其他数据结合识别特定自然人身份的各种数据。
17号文将“个人金融信息”分为七类,⑥新近发布的《个人金融信息保护技术规范》(以下简称《个 ①参见彭诚信、向秦:《“信息”与“数据”的私法界定》,载《河南社会科学》2019年第11期,第25-37页。
该文对“个人信息”和“个人数据”有详细的阐述,并认为个人信息和个人数据实质相同。
②《民法典(草案)》第1034条第2款规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。
③《信息安全规范》条款3.1:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
④17号文第1条将个人金融信息定义为:银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息。
⑤为了与数据共享这一关键词相匹配及行文方便,除相关法律法规的原有表述外,本文将不区分“个人信息”与“个人数据”。
⑥包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息等。
140 赵 吟:开放银行模式下个人数据共享的法律规制 人金融信息规范》)则将个人金融信息按敏感程度分为三类。
①鉴于《个人金融信息规范》仅是金融行业标准,并不具有强制力,②加之开放银行模式下,个人客户基于OAuth2.0标准③向银行授权时,第三方机构并不会接触到客户的账号密码、生物识别信息等鉴别信息。
因此在现有规定基础上,可以将涉及共享的个人数据归纳为三类:个人身份数据、个人财务数据及在前两类数据基础上通过分析等手段生成的增值数据。
个人身份数据是指与个人客户身份息息相关,由客户直接向银行提供的各类数据,包括姓名、出生日期、证件号码、个人地址、联系电话等,这类数据当然归属个人客户且具有一定的敏感性。
个人财务数据涵盖了个人财产状况、账户数据、信用数据、交易数据等多种数据,如存取款记录、转账记录、信用卡还款情况、账户余额等,这类数据虽然是在银行提供的服务中产生并由银行管理、保存,但本质上是基于个人客户的行为产生。
因此个人财务数据的所有权仍应归个人所有,银行仅是数据的控制者。
增值数据是指银行为了充分挖掘数据价值,在原有的个人身份数据与财务数据基础上充分整合个人客户的多个账户,并通过编排、分析而产生的非基础数据,应当归银行所有。
在开放银行的数据共享过程中,个人身份数据和个人财务数据的分享应当取得个人客户的授权同意。
而增值数据本身能否分享还存在争议,同样存在争议的还有“聚合数据集”这一类型,这两类数据均被认为是银行付出了成本所产生,若归入共享数据的范围,无异于把银行的商业秘密公之于众,不符合商业道德。
④ (四)个人数据保护面临的挑战虽然开放银行在我国掀起了浪潮,但相关规则和标准尚未落地。
相比于英国和欧盟国家的“制度先行”,我国仍是实践先于制度,在其经营过程中潜藏着法律风险。
目前的立法无法与开放银行适配,使得客观存在的个人数据保护问题更加突出。
2013年《消费者权益保护法》中增设第29条有关经营者对消费者个人信息保护的规则。
2015年国务院办公厅印发《关于加强金融消费者权益保护工作的指导意见》(以下简称《意见》)首次确立金融消费者的信息安全权。
但信息安全权的概念并未真正突破现有金融相关立法对个人数据的保护体系,其内涵也无法完全覆盖个人数据保护的所有内容。
⑤《网络安全法》《电子商务法》等相关法律虽然对个人数据保护有所涉及,但是立法目的并未落脚于数据保护,易形成立法真空。
⑥央行方面则发布了《金融消费者保护办法》及相关规范性文件,但对个人数据的规定仍较为笼统。
2017年发布的《信息安全规范》及2020年发布的《个人金融信息规范》虽然对数据共享的各个环节进行了详细规定,但由于仅属于国家标准与行业标准,其效力层级所决定的保护力度显然有所不足。
就事前阶段来讲,个人客户的“同意行为”本应成为数据共享合法性判断的首要标准,但在我国“知情-同意”相关规定较为笼统且缺乏可操作性的情况下,个人数据本身得到的保护力度被削弱。
银 ①敏感程度由高到低分别为:C3类用户鉴别信息(如账户密码、用于用户鉴别的个人生物识别信息)、C2类可识别特定个人金融信息主体身份与金融状况的个人金融信息(如证件信息、个人财产信息、交易信息、用户鉴别辅助信息等)、C1类机构内部信息(如账户开立时间、开户机构、基于账户信息产生的支付标记信息等)。
在开放银行模式下,C2类信息为个人数据共享的主要范围。
②《个人金融信息规范》是金融行业标准,根据《中华人民共和国标准化法》第2条,行业标准属于推荐性标准,仅鼓励采用,并非必须执行。
③OAuth2.0是一种授权标准,区别于以往的授权方式,用户授权银行向第三方共享个人数据时,第三方不会触及用户的账号信息如用户名与密码。
目前,OAuth是公认的认证和授权标准。
④“聚合数据集”是指将大量用户数据汇集在一起形成跨用户组的去标识的、汇总或平均化的数据。
参见许可:《开放银行的制度构造与监管回应》,载《财经法学》2019年第5期,第128-129页。
同时,澳大利亚《开放银行调查建议》中亦认为,增值客户数据涉及身份验证,会增加身份盗窃风险,不应纳入数据共享范围。
⑤参见何颖:《数据共享背景下的金融隐私保护》,载《东南大学学报(哲学社会科学版)》2017年第1期,第85页。
⑥参见杨帆:《金融监管中的数据共享机制研究》,载《金融监管研究》2019年第10期,第57页。
141 现 代 法 学 2020年第3期 行取得个人客户授权时并未对共享数据的种类、用途等给予充分披露,并且银行基于最大限度利用数据的需求,向个人索取无限度的个人数据利用期限和范围。
对现有的“知情-同意”授权规则进行优化,或许可以有效保障个人客户知情权。
在事中阶段,由于我国商业银行开展开放银行业务都处于自行摸索阶段,也尚未形成统一的第三方机构选择标准。
对第三方机构进行准入门槛的设置是避免个人数据滥用的关键所在。
并且,为了确保第三方在授权范围内利用数据,数据共享环节的信息披露要求则是监控数据合理使用的必要措施。
在事后阶段,探索多元化纠纷解决机制与责任认定规则,可为个人数据安全遭受侵害的个人客户提供有效救济途径。
阶段式的法律规制,不在于面面俱到的强制要求,而在于有选择的重点防控,需要结合开放银行特殊的运作模式设计相应规则,形成兼容软法治理与硬法规范的全方位保护闭环。
二、个人数据共享的事前规制:“知情-同意”授权 (一)“知情-同意”授权的实践困境银行服务通过API接口嵌入商业场景中时,第三方机构即通过API接口接触到客户的个人数据, 客户则在该场景中通过第三方设计运营的APP调用本人在银行储存的个人数据。
此过程中,API接口即是阀门,数据通过阀门源源不断地流向第三方,而客户的授权行为则如同拧开阀门的举动,因此授权机制可谓是保护个人数据的第一道门槛。
欧盟GDPR规定了“明示同意规则”。
①《民法典(草案)》第1038条第1款、②《网络安全法》第42条③均明确规定信息控制者未经信息被收集者同意,不得向第三方提供个人信息。
17号文第4条及《金融消费者保护办法》第30条④则要求银行在取得客户授权时,应当在条款中明确向第三方提供数据的范围和具体情形,并禁止银行用概括授权的方式过度索取个人客户的授权。
但有关授权规则明显较为笼统,尚未有细化的操作和判断标准,造成适用上存在较大障碍,同意的有效性也难以确定。
即使《个人金融信息规范》等标准为个人数据使用的各个流程提供了指引,也因强制力的缺乏难免形同虚设,而且同样存在笼统表述的问题。
⑤总而言之,现有的“知情-同意”规则未根据个人数据的类型作出区分,无论数据公开与否、敏感与否,均“一刀切”地规定银行应当提前披露的信息,亦未根据不同的数据分享对象作出不同的授权要求。
实践中,中国银行、浦发银行、中信银行、招商银行、众邦银行⑥等银行的放平台官网上没有直接与开放银行业务相关的个人客户服务协议与隐私保护政策条款,仅在各银行官网及官方APP上有相关的电子银行(或手机银行)个人客户服务协议及个人客户隐私政策。
经调查分析发现:首先,各个银行 ①GDPR第4条第11款规定“同意”必须是“通过明确的主动式行为而给出的个人意愿的指示,指示应当具体、明确、在知情情况下作出”。
②《民法典(草案)》第1038条第1款规定:未经被收集者同意,信息收集者、控制者不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。
③《网络安全法》第42条规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
但是,经过处理无法识别特定个人且不能复原的除外。
④《金融消费者保护办法》第30条规定:金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。
金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。
⑤《个人金融信息规范》条款7.1.3(a)项第1点要求应当披露共享的目的、数据接收方的类型。
⑥选取这五家银行的理由在于:中国银行为传统四大行之
一,浦发银行和中信银行在我国率先开展开放银行业务,招商银行为普通股份制银行之
一,众邦银行则是中小型民营银行之
一,皆具有代表性。
142 赵 吟:开放银行模式下个人数据共享的法律规制 在数据共享前获得授权的方式均为同意,但是借此披露的信息却各不相同。
除众邦银行外,其他四家银行均承诺共享客户个人数据时,会向客户告知共享数据的目的与接收方类型。
其中浦发银行会告知共享范围,另外三家银行则对敏感数据做出区分,中信银行将数据接收方的数据安全能力也纳入了信息披露范围。
遗憾的是,五家银行均未按照《金融消费者保护办法》和17号文的要求向客户披露数据共享的潜在后果。
其次,各银行同时列明了一些不需要征得客户授权同意即可共享个人数据的除外情形。
①而且,各个银行不约而同地要求个人客户及时关注相关公告、提示以便掌握隐私政策的更新,即将自己的主动通知义务转化为了个人客户的谨慎义务。
银行在数据共享的相关条款中一再强调其拥有与合作伙伴共享数据的权利,但甚少提及应当承担的义务与责任,导致个人客户的权利空间受到较为严重的压缩。
大多数情况是,银行给予个人客户的选择只有同意并继续和不同意就离开两种。
② 事实上,“知情-同意”授权机制在具体操作上本身就存在一定的缺陷。
其
一,现有的隐私保护政策冗长且重点不突出,其作为“知情-同意”授权规则的载体难以充分保障个人客户的知情权。
个人客户本应当通过阅读隐私政策中列明的信息来对其个人数据被收集、处理的行为进行风险评估,并基于评估做出自己的选择。
但由于隐私政策条款动辄近万字,在互联网碎片化阅读盛行的今天,客户已经没有耐心甚至丧失了阅读长篇文字的能力。
加之银行履行充分说明、提示义务的方式也颇为敷衍,个人客户难以准确了解究竟哪几个条款关系到自己的切身利益。
而且大数据、区块链技术的进步使得数据处理的方式更为专业复杂,即便客户仔细阅读了相关条款,也会因为专业知识的限制而无法对条款内容进行准确理解,进而影响其对风险的评估。
“知情-同意”授权规则对个人客户来说不再是其做出的真实意思表示,而是一种形式化行为,使得该机制在实践中更接近于虚置状态。
其
二,重复索取授权或非必要授权的情况普遍存在。
以浦发银行为例,其开放平台提供的API接口多达345个,③接入该平台的第三方机构也数量众多。
在不同的排列组合下,除非银行和客户之间的协议对某些授权做了事先约定,否则银行将面临大量的重复“告知客户-客户同意”的境况。
这无疑会降低数据分享的效率,提高银行的合规成本,与大数据的高效率相违背,亦会使得客户不得不通过一揽子同意来处理自己的个人数据,但“概括同意”模式又与《金融消费者保护办法》的规定相冲突。
现有的“知情-同意”授权规则的操作更适用于个人数据的首次收集和利用,而大数据的价值却正是来源于后续的多次利用。
其
三,相关的配套措施没有及时跟进,关键节点的性质判断仍然面临困境。
个人客户对银行共享个人数据的授权并非永久性的,个人客户有权根据自身意愿变更或撤销授权。
参考GDPR第7条第3款的规定,个人客户撤回同意应当和表达同意一样简单。
而就我国银行现有的操作流程来说,三角模式中的客户是在使用APP期间基于OAuth标准给予银行授权的,该授权操作仍是在APP内进行。
但当后期涉及授权的变更或撤销时,客户却需要通过电话、银行自身APP等途径来操作,④较为烦琐。
此外,线性模式中,银行将数据共享至第三方机构前如何获取客户的授权也存在问题。
若认为该授权行为发生于个人客户开户时在隐私保护政策上签下自己的名字或在网页上点击“我同意”的那一刻并不合理,在尚未得知数据可能分享对象的情况下客户根本无法做出有效判断,故先期的授权行为并非是 ①如与国家安全、国防安全直接相关的,出于维护用户或其他个人的生命、财产、声誉等重大合法权益但又很难得到本人同意的,客户自行向社会公众公开的个人信息等。
②参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第119-121页。
③参见浦发银行API开放平台,/develop/#/APIlist/0/0/3,2020年3月2日访问。
④如中信银行将“致电服务热线”作为唯一的授权变更或取消途径。
143 现 代 法 学 2020年第3期 后期数据分享的正当性基础。
据此,有学者认为“知情-同意”授权规则“简而无用,多而无功”,除了给个人客户造成一种自己对 个人数据拥有绝对控制权的错觉外,并无太大作用。
①与其让该规则变成“皇帝的新衣”,不如直接废除转而采用其他规则。
②如间接数据、③社会性个人数据④等适合采用责任规则。
风险防范措施从入口端的个人客户主动控制风险转向过程端的“谁采集—谁使用—谁负责”机制。
但是对个人数据采用责任规则意味着第三方获取个人数据无需征得同意,进行事后赔偿即可。
对经济实力雄厚的第三方机构来说,从数据中获得的价值远比事后赔偿所付出的代价大,公平的天平无疑是倾斜向了第三方机构,忽视了个人的数据处分权和选择权,而这恰恰是数据共享与个人数据保护的重要平衡点。
(二)“知情-同意”规则的优化建议首先,不同类型的个人数据应当匹配不同的授权机制。
针对个人身份数据,个人客户当然享有数据的所有权并授权银行使用。
基于个人身份数据的敏感性,银行在披露共享目的、数据接收方类型外,还应当告知即将分享的敏感数据类型、数据接收方身份及安全保障能力,遵循“先披露、再授权”的程序才能使个人客户准确评估风险并作出授权与否的选择。
针对个人财务数据,因基于个人客户的交易行为产生,银行对其仅仅负有保管义务并不享有数据的所有权,该类数据仍应当由个人客户授权后才能共享。
若银行对个人财务数据进行了脱敏处理,那么银行相应的信息披露要求可以略微降低,仅需告知客户数据共享目的及数据接收方类型。
此外,若无个人客户授权,银行也可基于重大公共利益等事由分享。
针对增值数据,由银行自行决定如何处理,仅需在分享前对增值数据进行脱敏处理。
其次,针对不同的数据共享对象,个人客户的授权行为标准也应有所不同。
如美国监管条例Y第28条14(ii)款规定,⑤金融控股公司可以下设从事数据处理、存储和传输的科技公司。
金融控股公司可将金融数据与该科技公司共享,而无需客户授权。
因此银行系金融科技子公司,属于和银行有关联关系的第三方,银行和其进行数据共享时不必强求得到个人客户的授权,而是给予客户退出的机会即可。
但如果是与银行没有关联关系的第三方金融科技公司则仍应按照签署规则获得授权。
再次,在外在形式上,个人客户的事前授权条款是隐私保护政策的一部分,应当独立于其与银行订立的客户协议。
否则这些条款将成为格式合同的一部分,个人客户仅有同意或不同意两种选择,本该具有的“协商”“合意”功能成为空谈。
银行的隐私保护政策应当逐渐从纯粹的阅读文本向功能文本转变。
⑥在这种理念的指导下,银行的隐私保护政策不再作为格式条款的形式而存在,可采用多项选择的方式,由客户根据自身需求分别勾选愿意接受的条款项目。
银行亦可提供完整版与摘要版两种条款,将关系到客户个人数据安全的重要信息浓缩至摘要版条款中,减轻客户的阅读压力,也便于客户的理解。
最后,银行可在现有的开放平台中嵌入“个人客户管理中心”模块来完善“知情-同意”授权规则的操作。
对于追求高效且数据风险承受能力强的个人客户来说,可以根据自己需求在管理中心上预设
一 ①参见腾讯研究院发布的由Dr.WinfriedVeil撰写的《GDPR:皇帝的新衣———论新旧数据保护法的结构性缺陷》,/s/pLH6C4_ElzN4L4cpmDKjag,2020年2月25日访问。
②参见刘海安、张雪娥:《论个人信息的保有权能:从该权能的存废展开》,载《河南社会科学》2019年第10期,第75页。
③参见郭明龙:《论个人信息之商品化》,载《法学论坛》2012年第6期,第111-112页。
④参见曹博:《论个人信息保护中的责任规则与财产规则的竞争及协调》,载《环球法律评论》2018年第5期,第86-102页。
⑤参见颜苏:《金融控股公司框架下数据共享的法律规制》,载《法学杂志》2019年第2期,第67页。
⑥参见李延舜:《我国移动应用软件隐私政策的合规审查及完善———基于49例隐私政策的文本考察》,载《法商研究》2019年第5期,第27页。
144 赵 吟:开放银行模式下个人数据共享的法律规制 些“白名单”,如第三方要求接入哪些类型API接口时无需经过自己授权,或是哪些类型的个人数据可以无授权共享,再如对某些特定第三方机构开放自己的数据。
这些预设的“白名单”一定程度上可以减少不必要的重复授权。
对于谨小慎微的个人客户来说,对“白名单”的设置更为谨慎一些,或者将该功能弃之不用,坚持传统的“一事一授权”模式即可。
同时,该管理中心亦可整合授权的变更与撤销功能,详细列明个人客户已经作出的授权信息,包括授权时间、授权期限及授权内容等信息,使得个人客户能够在个人终端随时查看个人数据被授权共享的情况,并基于自己的风险判断与现实需求对授权进行变更或撤销。
三、个人数据共享的事中规制:对象选择与信息披露 (一)共享对象准入设计开放银行对传统银行业务的革新并未改变银行的本质。
我国的金融科技创新应当坚持持牌经营, 只有持有相应牌照的机构才能参与创新的金融服务。
①在开放银行背景下,数据共享对象为各类第三方机构,由其作为开发者,基于各银行构建的平台进行应用开发。
参与开放银行数据共享的各类第三方机构数量无疑是庞大的,要求每家公司都获取牌照从成本与效率角度来讲都难以实现。
那么是否所有第三方机构都可以来分一杯羹呢?
答案是否定的。
具体来说,这些第三方机构中包括金融科技公司、电商平台等,其中金融科技公司又可以分为银行直接投资或组建的金融科技子公司及第三方金融科技公司。
银行系金融科技子公司脱胎于现有银行,其风险管理能力、数据安全保障能力都相对较高。
体量较大、运营时间较长的第三方机构经过市场检验,其实力与可靠程度也不亚于银行系金融科技子公司。
但那些初出茅庐的新创公司,无论是数据安全保障水平,还是公司的信誉都无法得到保证。
因此,有必要对数据共享对象的准入进行具体规制。
② 统观全球,不同国家和地区在第三方机构的选择上采用不同的模式。
英国《开放银行框架标准》中规定,由开放银行实施机构制定和执行开放银行目录,该目录提供了可以申请调用API的第三方“白名单”。
我国香港特别行政区金融管理局提出了三种模式③:
1.双边模式(Bilateral),即银行就其与第三方机构的双边约定,根据与第三方的合作性质,由银行依据既定政策和程序进行风险评估和尽职调查。
2.中央模式(CentralEntity),即各个银行共同资助和组建一个中央机构,并一同参与制定一套通用的治理标准和评估服务,由该机构来负责对第三方进行统一认证。
3.基于某种共同基准的双边模式(BilateralwithaCommonBaseline),先由各个银行制定并通过一系列的第三方机构治理的共同基准,但各个银行可以在该基础上根据需求适当增加自己的特殊要求。
对此,香港特别行政区金融管理局的建议是采用第三种具有灵活性的双边模式。
由于形成了一致的共同标准,第三方机构在向不同银行申请API接入资格时可以避免重复准备资格认证材料,而银行在评估第三方机构资格时亦可参考其他银行的评估结果,这使得认证过程兼具可靠性与效率性。
此外,值得借鉴的是,苏宁金融于2018年上线 ①2019年12月12日,“2019中国金融科技上海高峰论坛”上,中国人民银行科技司司长李伟表示:要做金融科技的创新服务必须要持牌。
②《商业银行应用程序接口安全管理规范》中就商业银行对第三方的审核作了笼统规定,条款9.1.1“应用方准入”中仅要求商业银行对第三方机构从服务客群、服务场景、市场份额、运营能力等方面进行考察,并评估第三方的技术能力、管理水平。
③参见我国香港特别行政区金融管理局《OpenAPIFrameworkfortheHongKongBankingSector》“TSPGovernance”部分。
145 现 代 法 学 2020年第3期 了“区块链黑名单共享”系统,该系统基于区块链技术,提供了黑名单的添加、查询、删除、投诉四类功能。
① 结合“白名单+黑名单”的双重筛选机制或许可以成为高效筛选第三方机构的工具。
鉴于我国尚未建立或指定开放银行的实施机构,由各个参与开放银行的商业银行自发组建并参与该共享名单系统显得更具有可行性。
该共享名单系统应当兼具添加、查询、删除、投诉四类功能。
各家银行都作为一个节点,将自己业务开展过程中积累的名单数据加密发布到区块链上。
针对已经向各个银行申请过API接入资格的开发者,参与该系统的银行将本行已经认证的开发者名单同步至该系统,同时明确,通过三家及三家以上银行审核的开发者将进入白名单,黑名单内的机构亦可同种方式写入,从而实现欺诈风险的联防联控。
而对于那些被排除在两类名单外的开发者,银行仍旧可以采用传统的“申请-审核”方式加以筛选。
随着时间的推移,该共享名单系统的内容将愈加丰富,由银行人工审核的开发者数量也将逐渐减少。
参与发布的银行亦可查询其他机构发布的信息,若发现名单数据造假,查询机构也能在系统中进行投诉。
并且该过程中的数据发布行为与数据查询行为均为匿名操作,从而保护银行的商业机密。
至于银行对数据共享对象的审核标准,除了传统的要素外,还可以针对用户数量、市场份额等进行动态调整。
因个人开发者难以被监管、且数据保护能力显著低于企业开发者,监管机构或许可以对开发者资质作出笼统规定,如禁止个人开发者参与银行数据共享。
(二)信息披露义务要求《民法典(草案)》第1035条第1款第3、4项规定处理个人信息应当明示处理信息的目的、方式和范围,并且要求不得违反法律及行政法规的规定和双方的约定。
17号文第4条及《金融消费者保护办法》第30条均规定银行在向第三方提供“个人金融信息”时还应当向客户明确提供信息的范围、具体情形、可能后果。
可见,现有立法仅对银行的信息披露义务作出要求,未对第三方机构获取数据后的信息披露进行规制,且对银行信息披露义务的规定也着眼于授权前阶段,缺乏对数据共享过程中后续阶段的监督。
传统模式下银行在获取授权时披露的信息有效期仅限于获取授权那一刻,这与大数据时代高频率的数据处理与共享需求是背道而驰的。
对于三角模式下的个人客户来说,本身就是基于使用第三方机构服务的需求向银行作出授权,必然已经得知个人数据的分享对象,再由银行告知其具体信息并无太大意义。
这一类客户更关注的是数据的后续使用情况,如是否在授权范围内使用等。
对于事先在“个人客户管理中心”中开启白名单的客户或线性模式下第三方机构直接向银行请求批量共享数据所涉及的客户来说,个人数据共享全过程的信息披露都显得至关重要。
第三方作为共享数据的最终使用方,也应当履行相应的信息披露义务。
这一点上,欧盟GDPR第30条②要求数据控制者及数据处理者均应承担数据处理的记录义务。
放在开放银行语境下,银行和第三方机构都应当承担数据处理的记录义务。
澳大利亚的《建议》中也要求银行与第三方机构谨慎保留数据传输记录,以便监管机构随时监督与调查。
客户应享有查看数据授权过程的权利,并且相关机构需对所有授权设置有效期。
为了避免信息披露流于形式,法律规制需着眼于细化银行与第三方的信息披露义务,以保障个人 ①该系统中所有上链数据涉及的客户隐私信息都经过脱敏处理后加密储存。
同时,该系统采用了匿名发布查询机制,查询数据的机构和被查询机构均为匿名操作。
②GDPR第30条规定数据控制者应当记录的信息有:数据控制者及其数据保护官的姓名、联系方式;数据处理的目的;数据主体、个人数据及数据接收者的类别;个人数据的保存期限等。
数据处理者应当记录的信息有:数据处理者、数据控制者及其数据保护官的姓名、联系方式;以数据控制者名义进行数据处理的类别等。
146 赵 吟:开放银行模式下个人数据共享的法律规制 客户对其个人数据的采集、储存、使用、共享全流程的知情权。
对此,我国的银行和第三方机构可以通过前文提及的“个人客户管理中心”履行相应的信息披露义务,促进数据共享流程透明化,降低信息不对称。
首先,银行的信息披露义务集中于授权前阶段,就信息披露的内容而言,银行获得授权前应当告知数据共享的目的、数据接收方信息、共享的数据类型、共享时长及潜在风险。
第三方机构的信息披露义务则集中于授权后阶段,第三方机构应当实时记录获取数据的时间、数据被用于何种用途、对数据采取的安全保护措施等,力求将数据从被授权共享开始的每个流程都在平台上留下记录,确保信息披露的真实性、准确性与完整性。
其次,银行和第三方应当及时披露风险信息,做好风险轨迹的保存。
《民法典(草案)》第1038条第2款①和《网络安全法》第42条第2款②规定信息控制者和网络运营者在发生或可能发生危及信息安全情况时的及时通知义务。
GDPR第33条③和第34条④分别规定了数据控制者和数据处理者在数据泄漏后的及时告知义务。
由数据共享导致的个人数据泄漏等风险事件发生后,银行及第三方机构应在合理期间内及时通知数据主体及监管部门,⑤协助数据主体维护权益,明确告知其可采取的救济措施及如何行使司法救济的权利等。
其中,针对数据主体的告知义务中,若存在告知成本过大无法与数据泄漏风险相匹配的情况,数据控制者可采用公告或相似措施来作为履行告知义务的方式。
在发生或可能发生危及数据安全的事件时,银行和第三方应当及时通知个人客户,通知的方式可以是电话、短信,也可通过实时平台进行预警。
再者,有效性也是银行与第三方机构信息披露义务的要求之
一。
银行和第三方机构上传的资料应当是完整详实的,但是在向个人客户显示的时候可以醒目方式标注实质信息,如:数据使用场景等可能对客户的授权产生实质影响的信息,决定哪些信息称为实质信息则可以采用大数据分析的方法。
⑥并且,平台应当支持“个性化定制”即由个人客户决定显示在其首页的是哪些类型的披露信息,基于其信息接收偏好来显示信息。
四、个人数据共享的事后规制:解决路径与责任认定 (一)多元纠纷解决机制 ①《民法典(草案)》第1038条第2款:信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。
②《网络安全法》第42条规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
③GDPR第33条规定:数据控制者应当在知悉个人数据泄漏后的72小时内告知监管机构,亦规定了数据处理者及时告知控制者的义务。
数据控制者告知监管机构的内容包括:个人数据泄漏的性质(包括相关数据主体的类型和大致数量、涉及的个人数据的类型和大致数量)、数据保护官的姓名及联系方式、数据泄漏的可能后果、对数据泄漏已经采用或计划采用的措施。
④GDPR第34条规定:数据控制者应当及时向数据主体传达数据泄漏的情况,并同时告知数据保护官的姓名及联系方式、数据泄漏的可能后果、对数据泄漏已经采用或计划采用的措施。
⑤关于合理期间的界定,17号文第9条将银行上报至监管机构的时间限定在7个工作日。
《金融消费者保护实施办法(征求意见稿)》第32条则要求银行应当在72小时内采取补救措施并告知个人客户。
⑥参见田野:《大数据时代知情同意原则的困境与出路———以生物资料库的个人信息保护为例》,载《法制与社会发展》2018年第6期,第133页。
147 现 代 法 学 2020年第3期 就世界范围来看,GDPR第79条①赋予数据主体司法救济权。
《开放银行框架标准》中规定由一个独立的开放银行实施机构来负责落实开放银行标准并处理客户纠纷。
当客户遭遇数据共享纠纷时,有权联系第三方机构或数据提供者即银行进行协商,若纠纷逾期仍未得到处理,则该纠纷可以交由开放银行实施机构进行处理。
并且英国还设置了一个争议管理系统(DisputeManagementSystem,简称DMS)及附随的最佳实践准则,包括一套定型化的表格和清晰的沟通流程。
个人客户可以提交对银行或第三方机构的投诉或争议,并通过该系统进行投诉或争议的管理、查询。
② 基于开放银行的特殊架构,有关争议的解决遵循“以内部解决机制为主,外部解决机制为辅”的原则较为妥当。
内部解决机制不仅仅是向银行进行投诉,第三方机构也应当设置个人客户的投诉渠道。
不妨借鉴英国的DMS系统,以“个人客户管理中心”作为基础,嵌入争议管理功能,个人客户通过预设的反馈表单提交投诉或争议。
为了防止出现互相推诿的局面,银行方面应当作为受理投诉或争议的积极牵头人,先通过内部核查程序进行协调解决,由专人及时跟进受理过程并将进度实时同步,涉及第三方机构责任也应当由银行与第三方对接协商。
个人客户仅需通过平台中心查询进度,待银行和第三方机构达成一致意见形成解决方案后再决定是否接受该结果。
当内部解决机制无法达到个人客户心中预设结果时,个人客户可以诉诸外部程序解决。
首先是向上级监管部门投诉,在我国现有的银行监管体制内,还未出台统一的开放银行标准的情况下,由中国人民银行及其分支机构受理投诉是合适的,但更理想的路径是由专门的数据监管机构或行业自律组织来处理纠纷。
一方面,中国人民银行及银保监会对个人数据的监管保护也仅限于银行业务范围内,在数据被共享至第三方机构后,其对数据的保护可谓心有余而力不足。
另一方面,针对第三方机构,网信部门、市场监督管理部门等多部门都有行政监督职权,难免出现多头监管的困境,重叠导致低效或真空导致无效。
因此,建立专门的数据监管机构不仅能节省行政资源,减少第三方机构的合规成本,更能对个人数据实施全面、有力的保护。
考虑到传统诉讼作为争议解决的途径对于个人客户来说存在证据收集等方面的障碍,倘若银行在未获得个人客户授权的情况下向第三方机构批量共享数据,或是超越授权共享,又或是第三方机构超越授权范围处理数据,专门的数据监管机构可以据此提起公益诉讼,切实保护与同一银行或第三方机构产生纠纷的大量个人客户之合法权益,即将公益诉讼范围扩大至金融领域。
(二)民事责任分类认定在开放银行的运作中就个人数据共享问题可能出现如下纠纷③:
1.银行违背个人客户的意愿,向第三方共享个人数据,即无授权共享或超越授权范围共享;
2.银行取得了个人客户的授权,第三方机构获取数据后,超越被授权范围将数据用于其他用途;
3.银行取得了个人客户的授权,但是由于技术原因或人为原因导致数据泄漏,并造成财产损失;
4.无授权或超越授权共享的情况下,由于技术原因或人为原因导致数据泄漏,并造成财产损失。
由于个人数据共享后,理论上的数据使用者数量可以有很多个,如何避免银行与第三方机构之间互相推诿责任?
银行与第三方机构的责任应当如何分配?
若出现信息泄漏的情形,在银行、第三方机构以及可能存在的侵权主体之间责任如何划分?
银行是否取得客户授权对银行的责任承担有何影响?
这些问题都有诸多值得讨论的空间。
①GDPR第79条规定:若数据主体认为存在违反条例情形导致自身数据权利受到侵害的,可以向数据控制者或处理者提起诉讼主张损害赔偿。
②参见刘勇、李达:《开放银行:服务无界与未来银行》,中信出版社2019年版,第51页。
③第1、2种纠纷类型可归纳为“滥用数据纠纷”,第3、4中纠纷类型可归纳为“数据泄漏纠纷”。
148 赵 吟:开放银行模式下个人数据共享的法律规制 我国现行法律体系中有关数据安全责任承担的条款散见于不同的法律规定之中。
第三方机构通过APP或网页向个人客户提供服务,也可视为网络平台。
《网络安全法》《消费者权益保护法》对网络平台的信息安全保障义务作出规定,是为网络平台经营者承担责任的依据。
但是具体的责任类型和承担方式仍不完善,更多的强调行政责任和刑事责任。
由于个人数据纠纷中个人客户更多采用民事救济手段来保障权益,因此有必要根据不同的纠纷类型设置相应的民事责任认定规则及相应的责任承担方式。
① 第一种纠纷类型中,银行作为数据控制者,违反数据共享规则无授权共享或超越授权范围共享属于过错方,理应承担主要责任,个人客户基于协议有权要求银行承担违约责任。
第三方机构作为数据接收方(暂不论其是否有审查授权的谨慎义务)通过数据共享获取了利益,应当在获利范围内对个人客户承担赔偿责任,但该赔偿责任并非是违约责任。
三角模式下,个人客户虽然与第三方形成了事实上的合同关系,但这种合同关系是基于第三方向个人提供的服务展开,第三方基于合同需要承担的合理使用数据义务是以数据来源合法为前提的。
在银行未经授权或超越授权向第三方共享数据时,第三方获取数据的来源并不合法,这种对个人客户的数据权利侵害的行为性质与线性模式下第三方从银行获得未经授权的数据之行为性质并无区别。
因此,这种纠纷类型中,个人客户有权请求第三方承担侵权责任,第三方应当立即停止使用并及时删除相关数据。
第二种纠纷类型中,第三方机构才是真正的过错方。
三角模式下的第三方机构基于与个人客户的合同关系应当对其承担违约责任。
线性模式下的第三方机构由于和个人客户不存在基础法律关系,应当对个人客户承担侵权责任。
由于银行和个人客户之间存在客户协议,银行需要承担相应的数据安全保障义务,加之银行和第三方机构之间存在合作协议,银行还应当履行对第三方机构严格审查义务。
因此在这种情况下,银行最终是否要对个人客户承担违约责任取决于银行是否履行了审查义务。
第三种纠纷和第四种纠纷类型相似,都是由于技术原因或人为原因导致数据泄漏,银行是否取得授权将影响银行需要承担的责任比例。
银行可依据双方的合作协议,调查数据泄漏发生的缘由认定责任方,由最终的责任方对其行为承担相应的法律后果。
在技术原因②造成数据泄漏的情形下,对银行与三角模式下的第三方机构而言,除非有证据证明其尽到数据安全保障义务和审查义务,否则应当对个人客户承担违约责任;而线性模式下的第三方机构,原则上应当对个人客户承担侵权责任。
在人为原因造成数据泄漏的情形下,尽管银行与第三方机构可能并非最终的责任方,但是否尽到数据安全保障义务仍会影响其责任的承担。
不存在数据滥用行为的情况下,若数据泄漏是由银行或第三方机构内部人员造成的,还需要区分职务行为与非职务行为:内部人员因执行工作任务造成数据泄漏的,即推定其所属机构未尽到数据安全保障义务,应当承担责任。
内部人员因谋取私利造成数据泄漏的,由该责任人员承担侵权责任,并由该责任人员所属机构对此承担连带责任,除非所属机构能够证明自己没有过错。
若数据泄漏归因于其他第三人,由该真正侵权人承担侵权责任,若银行或第三方机构无法证明自己尽到应尽义务的,应当对此承担补充赔偿责任。
在银行或第三方机构存在无授权或超越授权共享数据的情形下,先根据前述规则追究数据泄漏方的责任,再参照第
一、二种纠纷类型追究数据滥用行为的责任。
①有学者认为不同的驱动因素决定不同的责任认定方式。
参见杨东、程向文:《以消费者为中心的开放银行数据共享机制研究》,载《金融监管研究》2019年第10期,第110页。
②技术原因导致数据泄漏的情形中不区分数据是否有授权或超越授权的原因在于:若由于数据滥用导致数据泄漏的,应当归为人为原因,若并非数据滥用导致泄漏的,数据滥用行为的民事责任应当独立判定。
149 现 代 法 学 2020年第3期 为了简化个人客户获得赔偿的步骤以确保更好的救济,无论何种类型纠纷中,只要个人客户向银行或第三方机构任一方提出赔偿请求,被请求方都应当首先进行全额赔偿,再向其他方追偿,除非责任主体能够证明自己与损害结果无因果关系。
若第三方机构为“银行系金融科技子公司”,即便银行本身无过错,其也应当对个人数据侵权行为承担连带责任。
这符合金融控股公司加重责任的思路,也符合个人数据保护的目的。
①
五、结语 开放银行模式的兴起为银行业转型发展提供了机遇,更关系到我国金融开放、金融创新的进程。
但同时我们要看到,开放银行改变了原有组织架构、业务运行模式,现有的规则体系已经不能满足个人数据保护的需求,分阶段的规制思路也不足以涵盖个人数据保护的全过程,还需要银行、个人、第三方机构等相互之间的合同条款加以配合,交由意思自治来达至合理共享下的利益最佳状态。
此外,由于开放银行涉及大量的专业技术问题,如何将法律规制与实际运作有效衔接,如何在个人数据保护与数据共享的效率之间寻求平衡点也值得进一步思考。
开放银行只是金融科技发展在银行业的缩影,开放银行模式下的个人数据保护路径或许也能为后续其他金融行业的发展提供范本。
正值《个人信息保护法》与《数据安全法》制定的契机,期待立法机关予以回应,让法律为开放银行的发展保驾护航。
ML LegalRegulationsonPersonalDataSharingofOpenBanking ZHAOYin(SouthwestUniversityofPoliticalScienceandLaw,Chongqing401120,China)Abstract:Abstract:elopmentsituationofOpenBanking,thelegalregulationshouldbepromotedinseveralphasesonthebasisofclarifyingthelegalrelationsofallparties.Inthepriorstage,thedatasharingauthorizationrulesshouldbeoptimizedaimingatthedeficiency,toensuretherightofindividualstoknowandconsent.Inthemiddlestage,thescreeningrulesofsharedobjectshouldbedesignedandtheinformationdisclosurerulesshouldberefinedtomakesurethatthedataaresharedandusedreasonably.Inthepost-eventstage,basedonmultipledisputeresolutionmechanism,theresponsibilitiesofallpartiesofdatasharingaretypedtoprovideeffectivereliefwayforindividuals.KeyWords:openbanking;datasharing;personaldataprotection 本文责任编辑:周玉芹 ① 150 参见许可、尹振涛:《金融数据开放流通共享》,载《中国金融》2019年第4期,第90页。
结合国内开放银行发展现状,法律规制当在厘清各方法律关系的基础上,分阶段有重点地推进。
事前阶段针对数据共享授权规则的不足进行相应优化,以确保个人的知情权和同意权。
事中阶段通过数据共享对象的筛选规则设计与信息披露义务的规则细化,来保证数据得以合理共享与使用。
事后阶段则依托多元纠纷解决机制实现数据共享各方责任的类型化,为个人提供有效的救济途径。
关键词:开放银行;数据共享;个人数据保护 中图分类号:DF438.2 文献标志码:
A DOI:10.3969/j.issn.1001-2397.2020.03.11 开放科学(资源服务)标识码(OSID): 近年来,互联网、大数据、人工智能等技术手段促进了传统金融的革新,科技与金融行业不断融合发展。
银行业同样融入数字化革命的浪潮,争先拥抱数字经济的蓝海,迈入银行4.0时代。
①2015年,英国竞争和市场委员会(CompetitionandMarketsAuthority,以下简称“CMA”)开始主导开放银行计划,并成立了开放银行工作组(OpenBankingWorkingGroup,以下简称“OBWG”),OBWG于2016年对外发布《开放银行框架标准》。
同年,欧盟通过了第二代支付服务法令(PaymentServiceDirective2,以下简称“PSD2”),敦促欧洲各银行应当将客户数据开放给第三方。
另外,欧盟的《一般数据保护条例》(GeneralDataProtectionRegulation,以下简称“GDPR”)于2018年生效,这也正是欧盟积极推行开放银行的底气所在。
与此同时,2017年,美国的联邦金融消费者保护局(ConsumerFinancialProtection 收稿日期:2020-01-18基金项目:国家法治与法学理论研究中青年课题“证券市场先行赔付制度构建研究”(18SFB3026);重庆市教育委员会人文社会科学研究一般项目“证券涉众纠纷多元化解创新机制研究”(19SKGH012)作者简介:赵吟(1985),女,浙江杭州人,西南政法大学副教授、人工智能法律研究院金融科技法律研究中心主任,法学博士。
①现有的理论将银行的发展分为四个阶段:银行1.0时代(网点服务阶段),银行2.0时代(自助银行阶段),银行3.0时代(基于互联网的银行服务阶段),银行4.0时代(银行即服务阶段)。
参见刘勇、李达:《开放银行:服务无界与未来银行》,中信出版社2019年版,前言部分。
138 赵 吟:开放银行模式下个人数据共享的法律规制 Bureau,以下简称“CFPB”)发布了金融数据共享的九条指导原则。
澳大利亚、新加坡①及我国香港特别行政区②也已经踏上开放银行的探索之路。
2018年可谓是我国的开放银行元年,浦发银行、工商银行、招商银行等传统大型银行与众邦银行、微众银行等新兴银行纷纷推出了自己的开放平台。
截止目前,约65%的商业银行已经涉足开放银行业务。
③但我国监管机构及行业自律组织出台的与开放银行相关的治理框架、业务规范屈指可数。
④2019年中国人民银行印发的《金融科技(FinTech)发展规划(2019-2021年)》中提及要“以促进金融开放为基调,加强数据资源融合应用”,同时也应“加大金融信息保护力度”。
党的十九届四中全会上亦明确指出,要“加强数据有序共享,依法保护个人信息”。
在我国个人数据保护的法律体系尚不完善的情况下,能否妥善应对开放银行背景下数据共享对个人数据安全带来的挑战,关系到开放银行能否在我国落地生根,这也是保护金融消费者权益,防范化解系统性金融风险的关键之处。
一、基于开放银行的个人数据共享界定 (一)开放银行的运作模式何谓开放银行,国内业界尚未形成统一定义。
开放银行并非新的银行类型,其实质是一种新的业 务模式与经营理念。
从数据共享角度而言,开放银行是指银行通过一定技术手段将收集储存的数据共享至第三方机构,将其传统的“客户-银行”的服务模式延长至“客户-银行-第三方-客户”的服务模式。
第三方机构凭借自己的技术优势,结合海量数据能够为消费者提供更为优质的产品与服务,银行也得以通过开放银行模式深度挖掘客户的数据价值。
现阶段,商业银行与其合作伙伴的对接方式为应用程序编程接口(ApplicationProgrammingInterface,API)、软件工具包端口(SoftwareDevelopmentKit,SDK)或H5(超文本标记语言5.0)方式,其中API接口应用最为广泛。
商业银行将大量API接口集成到一个特定平台,构建新的生态系统,将金融服务与实体经济的多领域实现无缝衔接。
⑤ 开放银行生态系统可以分为三个层次:上层为商业生态系统,即金融科技公司、电商平台等第三方机构(以下统称“第三方机构”)通过API接口从银行获取相应数据,为客户提供创新的金融服务;中层为开放银行平台,该平台的构建是开放银行实践的基础。
根据现有的实践来看,大体上可以将开放银行组织模式分为自建平台与第三方平台两种。
传统大型银行依托其资金、技术、专业人才优势自行搭建开放平台,身兼二职,与商业生态对接。
而新兴的中小银行通常寻求其他金融科技公司的支持,借助其技术优势搭建开放平台。
下层则为银行,提供账户管理、支付等业务,同时也是数据的提供者。
例如,现有的银行API接口类型涵盖了支付结算、账户管理、理财融资等多种场景,对个人客户来说,在第三方机构的APP上就可以同步查询个人银行账户余额与明细,无需再登陆银行APP。
(二)开放银行系统中的法律关系开放银行生态系统中的参与者主要有三方:个人客户即数据主体;银行即数据控制者;第三方机构即数据共享对象亦是共享数据的使用者,通过开发APP、网页等为客户提供服务,在与银行签约时亦被 ①2016年,新加坡金融管理局联合新加坡银行协会发布API指导手册(简称Playbook)。
②2018年,我国香港特别行政区金融管理局发布《香港银行业OpenAPI框架咨询文件》。
③参见中国互联网金融协会《2019开放银行发展研究报告》。
④2020年2月13日,中国人民银行发布了《商业银行应用程序接口安全管理规范》,但该文件仅属于金融行业标准,且只是技术规范,并未涉及太多个人数据保护的内容。
⑤参见2018年第二届中国互联网金融论坛中中国人民银行科技司副司长陈立吾的发言。
139 现 代 法 学 2020年第3期 称为“开发者”。
个人客户在银行开设有账户,并基于账户产生了大量数据留存在银行。
第三方机构与银行共享数据也可分为两种情况:一是个人客户在使用第三方机构服务的过程中需要调用自己留存在银行的数据,获得无缝衔接的银行服务,如直接进行个人实名认证;二是第三方机构和银行出于各种合作目的,在银行获得客户授权后,将数据共享至第三方机构。
第一种情况下,个人客户、银行、第三方之间各自形成了合同关系,即“三角模式”。
个人客户首先与银行签订了客户服务协议,基于该服务协议,银行收集相应服务所需的客户个人数据,并且作为数据控制者同时需要承担数据安全保障的义务(如采取加密、匿名处理等技术手段),在法律允许和客户授权范围内合理使用数据并履行信息披露义务。
个人客户则通过授权机制允许银行将其个人数据分享至第三方,并对数据共享的全过程享有知情权。
银行与第三方机构则通过开发者协议形成合同关系,两者之间的权利义务关系由双方协商确定。
一般而言,银行有权对第三方机构的资格进行审查,并提出相应的数据安全建议。
个人客户通过第三方机构开发的APP或网页使用其服务时,也与第三方机构形成了事实上的合同关系,第三方机构的数据安全保障义务与银行相类似。
第二种情况下,个人与银行、银行与第三方之间的合同关系与三角模式相同,唯一区别在于个人与第三方机构之间不存在合同关系,因此形成了“个人-银行-第三方”的线性模式。
(三)共享个人数据的范围及类型“个人数据”“个人信息”等概念在学界还存在争议,①实践中也存在混用的情形。
欧盟GDPR中采用“个人数据”的表述,美国则采用“个人可识别信息”的表述。
《民法典(草案)》(三次审议稿)(以下简称《民法典(草案)》)第1034条第2款②采用“个人信息”的表述,对个人信息进行界定时体现了“可识别性”这一特征。
《信息安全技术个人信息安全规范》③(以下简称《信息安全规范》)中对个人信息的定义则是在此基础上增添了“反映特定自然人活动情况的各种信息”,列举范围稍大于《民法典(草案)》。
在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)(以下简称17号文)及《中国人民银行关于印发〈中国人民银行金融消费者权益保护实施办法〉的通知》(银发〔2016〕314号)(以下简称《金融消费者保护办法》)中,针对银行业务范围内的个人数据表述为“个人金融信息”。
④但“个人金融信息”这一表述过于宽泛,其他金融业务领域内由金融机构获取、加工、储存的个人信息也属于“个人金融信息”的范畴,故本文将银行业的“个人金融信息”统一表述为“个人数据”,⑤将其定义为个人在参与银行业务的过程中产生的并由银行获取、加工、保存的各类可以单独或与其他数据结合识别特定自然人身份的各种数据。
17号文将“个人金融信息”分为七类,⑥新近发布的《个人金融信息保护技术规范》(以下简称《个 ①参见彭诚信、向秦:《“信息”与“数据”的私法界定》,载《河南社会科学》2019年第11期,第25-37页。
该文对“个人信息”和“个人数据”有详细的阐述,并认为个人信息和个人数据实质相同。
②《民法典(草案)》第1034条第2款规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。
③《信息安全规范》条款3.1:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
④17号文第1条将个人金融信息定义为:银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息。
⑤为了与数据共享这一关键词相匹配及行文方便,除相关法律法规的原有表述外,本文将不区分“个人信息”与“个人数据”。
⑥包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息等。
140 赵 吟:开放银行模式下个人数据共享的法律规制 人金融信息规范》)则将个人金融信息按敏感程度分为三类。
①鉴于《个人金融信息规范》仅是金融行业标准,并不具有强制力,②加之开放银行模式下,个人客户基于OAuth2.0标准③向银行授权时,第三方机构并不会接触到客户的账号密码、生物识别信息等鉴别信息。
因此在现有规定基础上,可以将涉及共享的个人数据归纳为三类:个人身份数据、个人财务数据及在前两类数据基础上通过分析等手段生成的增值数据。
个人身份数据是指与个人客户身份息息相关,由客户直接向银行提供的各类数据,包括姓名、出生日期、证件号码、个人地址、联系电话等,这类数据当然归属个人客户且具有一定的敏感性。
个人财务数据涵盖了个人财产状况、账户数据、信用数据、交易数据等多种数据,如存取款记录、转账记录、信用卡还款情况、账户余额等,这类数据虽然是在银行提供的服务中产生并由银行管理、保存,但本质上是基于个人客户的行为产生。
因此个人财务数据的所有权仍应归个人所有,银行仅是数据的控制者。
增值数据是指银行为了充分挖掘数据价值,在原有的个人身份数据与财务数据基础上充分整合个人客户的多个账户,并通过编排、分析而产生的非基础数据,应当归银行所有。
在开放银行的数据共享过程中,个人身份数据和个人财务数据的分享应当取得个人客户的授权同意。
而增值数据本身能否分享还存在争议,同样存在争议的还有“聚合数据集”这一类型,这两类数据均被认为是银行付出了成本所产生,若归入共享数据的范围,无异于把银行的商业秘密公之于众,不符合商业道德。
④ (四)个人数据保护面临的挑战虽然开放银行在我国掀起了浪潮,但相关规则和标准尚未落地。
相比于英国和欧盟国家的“制度先行”,我国仍是实践先于制度,在其经营过程中潜藏着法律风险。
目前的立法无法与开放银行适配,使得客观存在的个人数据保护问题更加突出。
2013年《消费者权益保护法》中增设第29条有关经营者对消费者个人信息保护的规则。
2015年国务院办公厅印发《关于加强金融消费者权益保护工作的指导意见》(以下简称《意见》)首次确立金融消费者的信息安全权。
但信息安全权的概念并未真正突破现有金融相关立法对个人数据的保护体系,其内涵也无法完全覆盖个人数据保护的所有内容。
⑤《网络安全法》《电子商务法》等相关法律虽然对个人数据保护有所涉及,但是立法目的并未落脚于数据保护,易形成立法真空。
⑥央行方面则发布了《金融消费者保护办法》及相关规范性文件,但对个人数据的规定仍较为笼统。
2017年发布的《信息安全规范》及2020年发布的《个人金融信息规范》虽然对数据共享的各个环节进行了详细规定,但由于仅属于国家标准与行业标准,其效力层级所决定的保护力度显然有所不足。
就事前阶段来讲,个人客户的“同意行为”本应成为数据共享合法性判断的首要标准,但在我国“知情-同意”相关规定较为笼统且缺乏可操作性的情况下,个人数据本身得到的保护力度被削弱。
银 ①敏感程度由高到低分别为:C3类用户鉴别信息(如账户密码、用于用户鉴别的个人生物识别信息)、C2类可识别特定个人金融信息主体身份与金融状况的个人金融信息(如证件信息、个人财产信息、交易信息、用户鉴别辅助信息等)、C1类机构内部信息(如账户开立时间、开户机构、基于账户信息产生的支付标记信息等)。
在开放银行模式下,C2类信息为个人数据共享的主要范围。
②《个人金融信息规范》是金融行业标准,根据《中华人民共和国标准化法》第2条,行业标准属于推荐性标准,仅鼓励采用,并非必须执行。
③OAuth2.0是一种授权标准,区别于以往的授权方式,用户授权银行向第三方共享个人数据时,第三方不会触及用户的账号信息如用户名与密码。
目前,OAuth是公认的认证和授权标准。
④“聚合数据集”是指将大量用户数据汇集在一起形成跨用户组的去标识的、汇总或平均化的数据。
参见许可:《开放银行的制度构造与监管回应》,载《财经法学》2019年第5期,第128-129页。
同时,澳大利亚《开放银行调查建议》中亦认为,增值客户数据涉及身份验证,会增加身份盗窃风险,不应纳入数据共享范围。
⑤参见何颖:《数据共享背景下的金融隐私保护》,载《东南大学学报(哲学社会科学版)》2017年第1期,第85页。
⑥参见杨帆:《金融监管中的数据共享机制研究》,载《金融监管研究》2019年第10期,第57页。
141 现 代 法 学 2020年第3期 行取得个人客户授权时并未对共享数据的种类、用途等给予充分披露,并且银行基于最大限度利用数据的需求,向个人索取无限度的个人数据利用期限和范围。
对现有的“知情-同意”授权规则进行优化,或许可以有效保障个人客户知情权。
在事中阶段,由于我国商业银行开展开放银行业务都处于自行摸索阶段,也尚未形成统一的第三方机构选择标准。
对第三方机构进行准入门槛的设置是避免个人数据滥用的关键所在。
并且,为了确保第三方在授权范围内利用数据,数据共享环节的信息披露要求则是监控数据合理使用的必要措施。
在事后阶段,探索多元化纠纷解决机制与责任认定规则,可为个人数据安全遭受侵害的个人客户提供有效救济途径。
阶段式的法律规制,不在于面面俱到的强制要求,而在于有选择的重点防控,需要结合开放银行特殊的运作模式设计相应规则,形成兼容软法治理与硬法规范的全方位保护闭环。
二、个人数据共享的事前规制:“知情-同意”授权 (一)“知情-同意”授权的实践困境银行服务通过API接口嵌入商业场景中时,第三方机构即通过API接口接触到客户的个人数据, 客户则在该场景中通过第三方设计运营的APP调用本人在银行储存的个人数据。
此过程中,API接口即是阀门,数据通过阀门源源不断地流向第三方,而客户的授权行为则如同拧开阀门的举动,因此授权机制可谓是保护个人数据的第一道门槛。
欧盟GDPR规定了“明示同意规则”。
①《民法典(草案)》第1038条第1款、②《网络安全法》第42条③均明确规定信息控制者未经信息被收集者同意,不得向第三方提供个人信息。
17号文第4条及《金融消费者保护办法》第30条④则要求银行在取得客户授权时,应当在条款中明确向第三方提供数据的范围和具体情形,并禁止银行用概括授权的方式过度索取个人客户的授权。
但有关授权规则明显较为笼统,尚未有细化的操作和判断标准,造成适用上存在较大障碍,同意的有效性也难以确定。
即使《个人金融信息规范》等标准为个人数据使用的各个流程提供了指引,也因强制力的缺乏难免形同虚设,而且同样存在笼统表述的问题。
⑤总而言之,现有的“知情-同意”规则未根据个人数据的类型作出区分,无论数据公开与否、敏感与否,均“一刀切”地规定银行应当提前披露的信息,亦未根据不同的数据分享对象作出不同的授权要求。
实践中,中国银行、浦发银行、中信银行、招商银行、众邦银行⑥等银行的放平台官网上没有直接与开放银行业务相关的个人客户服务协议与隐私保护政策条款,仅在各银行官网及官方APP上有相关的电子银行(或手机银行)个人客户服务协议及个人客户隐私政策。
经调查分析发现:首先,各个银行 ①GDPR第4条第11款规定“同意”必须是“通过明确的主动式行为而给出的个人意愿的指示,指示应当具体、明确、在知情情况下作出”。
②《民法典(草案)》第1038条第1款规定:未经被收集者同意,信息收集者、控制者不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。
③《网络安全法》第42条规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
但是,经过处理无法识别特定个人且不能复原的除外。
④《金融消费者保护办法》第30条规定:金融机构通过格式条款取得个人金融信息书面使用授权或者同意的,应当在条款中明确该授权或者同意所适用的向他人提供个人金融信息的范围和具体情形,应当在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果。
金融机构不得以概括授权的方式,索取与金融产品和服务无关的个人金融信息使用授权或者同意。
⑤《个人金融信息规范》条款7.1.3(a)项第1点要求应当披露共享的目的、数据接收方的类型。
⑥选取这五家银行的理由在于:中国银行为传统四大行之
一,浦发银行和中信银行在我国率先开展开放银行业务,招商银行为普通股份制银行之
一,众邦银行则是中小型民营银行之
一,皆具有代表性。
142 赵 吟:开放银行模式下个人数据共享的法律规制 在数据共享前获得授权的方式均为同意,但是借此披露的信息却各不相同。
除众邦银行外,其他四家银行均承诺共享客户个人数据时,会向客户告知共享数据的目的与接收方类型。
其中浦发银行会告知共享范围,另外三家银行则对敏感数据做出区分,中信银行将数据接收方的数据安全能力也纳入了信息披露范围。
遗憾的是,五家银行均未按照《金融消费者保护办法》和17号文的要求向客户披露数据共享的潜在后果。
其次,各银行同时列明了一些不需要征得客户授权同意即可共享个人数据的除外情形。
①而且,各个银行不约而同地要求个人客户及时关注相关公告、提示以便掌握隐私政策的更新,即将自己的主动通知义务转化为了个人客户的谨慎义务。
银行在数据共享的相关条款中一再强调其拥有与合作伙伴共享数据的权利,但甚少提及应当承担的义务与责任,导致个人客户的权利空间受到较为严重的压缩。
大多数情况是,银行给予个人客户的选择只有同意并继续和不同意就离开两种。
② 事实上,“知情-同意”授权机制在具体操作上本身就存在一定的缺陷。
其
一,现有的隐私保护政策冗长且重点不突出,其作为“知情-同意”授权规则的载体难以充分保障个人客户的知情权。
个人客户本应当通过阅读隐私政策中列明的信息来对其个人数据被收集、处理的行为进行风险评估,并基于评估做出自己的选择。
但由于隐私政策条款动辄近万字,在互联网碎片化阅读盛行的今天,客户已经没有耐心甚至丧失了阅读长篇文字的能力。
加之银行履行充分说明、提示义务的方式也颇为敷衍,个人客户难以准确了解究竟哪几个条款关系到自己的切身利益。
而且大数据、区块链技术的进步使得数据处理的方式更为专业复杂,即便客户仔细阅读了相关条款,也会因为专业知识的限制而无法对条款内容进行准确理解,进而影响其对风险的评估。
“知情-同意”授权规则对个人客户来说不再是其做出的真实意思表示,而是一种形式化行为,使得该机制在实践中更接近于虚置状态。
其
二,重复索取授权或非必要授权的情况普遍存在。
以浦发银行为例,其开放平台提供的API接口多达345个,③接入该平台的第三方机构也数量众多。
在不同的排列组合下,除非银行和客户之间的协议对某些授权做了事先约定,否则银行将面临大量的重复“告知客户-客户同意”的境况。
这无疑会降低数据分享的效率,提高银行的合规成本,与大数据的高效率相违背,亦会使得客户不得不通过一揽子同意来处理自己的个人数据,但“概括同意”模式又与《金融消费者保护办法》的规定相冲突。
现有的“知情-同意”授权规则的操作更适用于个人数据的首次收集和利用,而大数据的价值却正是来源于后续的多次利用。
其
三,相关的配套措施没有及时跟进,关键节点的性质判断仍然面临困境。
个人客户对银行共享个人数据的授权并非永久性的,个人客户有权根据自身意愿变更或撤销授权。
参考GDPR第7条第3款的规定,个人客户撤回同意应当和表达同意一样简单。
而就我国银行现有的操作流程来说,三角模式中的客户是在使用APP期间基于OAuth标准给予银行授权的,该授权操作仍是在APP内进行。
但当后期涉及授权的变更或撤销时,客户却需要通过电话、银行自身APP等途径来操作,④较为烦琐。
此外,线性模式中,银行将数据共享至第三方机构前如何获取客户的授权也存在问题。
若认为该授权行为发生于个人客户开户时在隐私保护政策上签下自己的名字或在网页上点击“我同意”的那一刻并不合理,在尚未得知数据可能分享对象的情况下客户根本无法做出有效判断,故先期的授权行为并非是 ①如与国家安全、国防安全直接相关的,出于维护用户或其他个人的生命、财产、声誉等重大合法权益但又很难得到本人同意的,客户自行向社会公众公开的个人信息等。
②参见程啸:《论大数据时代的个人数据权利》,载《中国社会科学》2018年第3期,第119-121页。
③参见浦发银行API开放平台,/develop/#/APIlist/0/0/3,2020年3月2日访问。
④如中信银行将“致电服务热线”作为唯一的授权变更或取消途径。
143 现 代 法 学 2020年第3期 后期数据分享的正当性基础。
据此,有学者认为“知情-同意”授权规则“简而无用,多而无功”,除了给个人客户造成一种自己对 个人数据拥有绝对控制权的错觉外,并无太大作用。
①与其让该规则变成“皇帝的新衣”,不如直接废除转而采用其他规则。
②如间接数据、③社会性个人数据④等适合采用责任规则。
风险防范措施从入口端的个人客户主动控制风险转向过程端的“谁采集—谁使用—谁负责”机制。
但是对个人数据采用责任规则意味着第三方获取个人数据无需征得同意,进行事后赔偿即可。
对经济实力雄厚的第三方机构来说,从数据中获得的价值远比事后赔偿所付出的代价大,公平的天平无疑是倾斜向了第三方机构,忽视了个人的数据处分权和选择权,而这恰恰是数据共享与个人数据保护的重要平衡点。
(二)“知情-同意”规则的优化建议首先,不同类型的个人数据应当匹配不同的授权机制。
针对个人身份数据,个人客户当然享有数据的所有权并授权银行使用。
基于个人身份数据的敏感性,银行在披露共享目的、数据接收方类型外,还应当告知即将分享的敏感数据类型、数据接收方身份及安全保障能力,遵循“先披露、再授权”的程序才能使个人客户准确评估风险并作出授权与否的选择。
针对个人财务数据,因基于个人客户的交易行为产生,银行对其仅仅负有保管义务并不享有数据的所有权,该类数据仍应当由个人客户授权后才能共享。
若银行对个人财务数据进行了脱敏处理,那么银行相应的信息披露要求可以略微降低,仅需告知客户数据共享目的及数据接收方类型。
此外,若无个人客户授权,银行也可基于重大公共利益等事由分享。
针对增值数据,由银行自行决定如何处理,仅需在分享前对增值数据进行脱敏处理。
其次,针对不同的数据共享对象,个人客户的授权行为标准也应有所不同。
如美国监管条例Y第28条14(ii)款规定,⑤金融控股公司可以下设从事数据处理、存储和传输的科技公司。
金融控股公司可将金融数据与该科技公司共享,而无需客户授权。
因此银行系金融科技子公司,属于和银行有关联关系的第三方,银行和其进行数据共享时不必强求得到个人客户的授权,而是给予客户退出的机会即可。
但如果是与银行没有关联关系的第三方金融科技公司则仍应按照签署规则获得授权。
再次,在外在形式上,个人客户的事前授权条款是隐私保护政策的一部分,应当独立于其与银行订立的客户协议。
否则这些条款将成为格式合同的一部分,个人客户仅有同意或不同意两种选择,本该具有的“协商”“合意”功能成为空谈。
银行的隐私保护政策应当逐渐从纯粹的阅读文本向功能文本转变。
⑥在这种理念的指导下,银行的隐私保护政策不再作为格式条款的形式而存在,可采用多项选择的方式,由客户根据自身需求分别勾选愿意接受的条款项目。
银行亦可提供完整版与摘要版两种条款,将关系到客户个人数据安全的重要信息浓缩至摘要版条款中,减轻客户的阅读压力,也便于客户的理解。
最后,银行可在现有的开放平台中嵌入“个人客户管理中心”模块来完善“知情-同意”授权规则的操作。
对于追求高效且数据风险承受能力强的个人客户来说,可以根据自己需求在管理中心上预设
一 ①参见腾讯研究院发布的由Dr.WinfriedVeil撰写的《GDPR:皇帝的新衣———论新旧数据保护法的结构性缺陷》,/s/pLH6C4_ElzN4L4cpmDKjag,2020年2月25日访问。
②参见刘海安、张雪娥:《论个人信息的保有权能:从该权能的存废展开》,载《河南社会科学》2019年第10期,第75页。
③参见郭明龙:《论个人信息之商品化》,载《法学论坛》2012年第6期,第111-112页。
④参见曹博:《论个人信息保护中的责任规则与财产规则的竞争及协调》,载《环球法律评论》2018年第5期,第86-102页。
⑤参见颜苏:《金融控股公司框架下数据共享的法律规制》,载《法学杂志》2019年第2期,第67页。
⑥参见李延舜:《我国移动应用软件隐私政策的合规审查及完善———基于49例隐私政策的文本考察》,载《法商研究》2019年第5期,第27页。
144 赵 吟:开放银行模式下个人数据共享的法律规制 些“白名单”,如第三方要求接入哪些类型API接口时无需经过自己授权,或是哪些类型的个人数据可以无授权共享,再如对某些特定第三方机构开放自己的数据。
这些预设的“白名单”一定程度上可以减少不必要的重复授权。
对于谨小慎微的个人客户来说,对“白名单”的设置更为谨慎一些,或者将该功能弃之不用,坚持传统的“一事一授权”模式即可。
同时,该管理中心亦可整合授权的变更与撤销功能,详细列明个人客户已经作出的授权信息,包括授权时间、授权期限及授权内容等信息,使得个人客户能够在个人终端随时查看个人数据被授权共享的情况,并基于自己的风险判断与现实需求对授权进行变更或撤销。
三、个人数据共享的事中规制:对象选择与信息披露 (一)共享对象准入设计开放银行对传统银行业务的革新并未改变银行的本质。
我国的金融科技创新应当坚持持牌经营, 只有持有相应牌照的机构才能参与创新的金融服务。
①在开放银行背景下,数据共享对象为各类第三方机构,由其作为开发者,基于各银行构建的平台进行应用开发。
参与开放银行数据共享的各类第三方机构数量无疑是庞大的,要求每家公司都获取牌照从成本与效率角度来讲都难以实现。
那么是否所有第三方机构都可以来分一杯羹呢?
答案是否定的。
具体来说,这些第三方机构中包括金融科技公司、电商平台等,其中金融科技公司又可以分为银行直接投资或组建的金融科技子公司及第三方金融科技公司。
银行系金融科技子公司脱胎于现有银行,其风险管理能力、数据安全保障能力都相对较高。
体量较大、运营时间较长的第三方机构经过市场检验,其实力与可靠程度也不亚于银行系金融科技子公司。
但那些初出茅庐的新创公司,无论是数据安全保障水平,还是公司的信誉都无法得到保证。
因此,有必要对数据共享对象的准入进行具体规制。
② 统观全球,不同国家和地区在第三方机构的选择上采用不同的模式。
英国《开放银行框架标准》中规定,由开放银行实施机构制定和执行开放银行目录,该目录提供了可以申请调用API的第三方“白名单”。
我国香港特别行政区金融管理局提出了三种模式③:
1.双边模式(Bilateral),即银行就其与第三方机构的双边约定,根据与第三方的合作性质,由银行依据既定政策和程序进行风险评估和尽职调查。
2.中央模式(CentralEntity),即各个银行共同资助和组建一个中央机构,并一同参与制定一套通用的治理标准和评估服务,由该机构来负责对第三方进行统一认证。
3.基于某种共同基准的双边模式(BilateralwithaCommonBaseline),先由各个银行制定并通过一系列的第三方机构治理的共同基准,但各个银行可以在该基础上根据需求适当增加自己的特殊要求。
对此,香港特别行政区金融管理局的建议是采用第三种具有灵活性的双边模式。
由于形成了一致的共同标准,第三方机构在向不同银行申请API接入资格时可以避免重复准备资格认证材料,而银行在评估第三方机构资格时亦可参考其他银行的评估结果,这使得认证过程兼具可靠性与效率性。
此外,值得借鉴的是,苏宁金融于2018年上线 ①2019年12月12日,“2019中国金融科技上海高峰论坛”上,中国人民银行科技司司长李伟表示:要做金融科技的创新服务必须要持牌。
②《商业银行应用程序接口安全管理规范》中就商业银行对第三方的审核作了笼统规定,条款9.1.1“应用方准入”中仅要求商业银行对第三方机构从服务客群、服务场景、市场份额、运营能力等方面进行考察,并评估第三方的技术能力、管理水平。
③参见我国香港特别行政区金融管理局《OpenAPIFrameworkfortheHongKongBankingSector》“TSPGovernance”部分。
145 现 代 法 学 2020年第3期 了“区块链黑名单共享”系统,该系统基于区块链技术,提供了黑名单的添加、查询、删除、投诉四类功能。
① 结合“白名单+黑名单”的双重筛选机制或许可以成为高效筛选第三方机构的工具。
鉴于我国尚未建立或指定开放银行的实施机构,由各个参与开放银行的商业银行自发组建并参与该共享名单系统显得更具有可行性。
该共享名单系统应当兼具添加、查询、删除、投诉四类功能。
各家银行都作为一个节点,将自己业务开展过程中积累的名单数据加密发布到区块链上。
针对已经向各个银行申请过API接入资格的开发者,参与该系统的银行将本行已经认证的开发者名单同步至该系统,同时明确,通过三家及三家以上银行审核的开发者将进入白名单,黑名单内的机构亦可同种方式写入,从而实现欺诈风险的联防联控。
而对于那些被排除在两类名单外的开发者,银行仍旧可以采用传统的“申请-审核”方式加以筛选。
随着时间的推移,该共享名单系统的内容将愈加丰富,由银行人工审核的开发者数量也将逐渐减少。
参与发布的银行亦可查询其他机构发布的信息,若发现名单数据造假,查询机构也能在系统中进行投诉。
并且该过程中的数据发布行为与数据查询行为均为匿名操作,从而保护银行的商业机密。
至于银行对数据共享对象的审核标准,除了传统的要素外,还可以针对用户数量、市场份额等进行动态调整。
因个人开发者难以被监管、且数据保护能力显著低于企业开发者,监管机构或许可以对开发者资质作出笼统规定,如禁止个人开发者参与银行数据共享。
(二)信息披露义务要求《民法典(草案)》第1035条第1款第3、4项规定处理个人信息应当明示处理信息的目的、方式和范围,并且要求不得违反法律及行政法规的规定和双方的约定。
17号文第4条及《金融消费者保护办法》第30条均规定银行在向第三方提供“个人金融信息”时还应当向客户明确提供信息的范围、具体情形、可能后果。
可见,现有立法仅对银行的信息披露义务作出要求,未对第三方机构获取数据后的信息披露进行规制,且对银行信息披露义务的规定也着眼于授权前阶段,缺乏对数据共享过程中后续阶段的监督。
传统模式下银行在获取授权时披露的信息有效期仅限于获取授权那一刻,这与大数据时代高频率的数据处理与共享需求是背道而驰的。
对于三角模式下的个人客户来说,本身就是基于使用第三方机构服务的需求向银行作出授权,必然已经得知个人数据的分享对象,再由银行告知其具体信息并无太大意义。
这一类客户更关注的是数据的后续使用情况,如是否在授权范围内使用等。
对于事先在“个人客户管理中心”中开启白名单的客户或线性模式下第三方机构直接向银行请求批量共享数据所涉及的客户来说,个人数据共享全过程的信息披露都显得至关重要。
第三方作为共享数据的最终使用方,也应当履行相应的信息披露义务。
这一点上,欧盟GDPR第30条②要求数据控制者及数据处理者均应承担数据处理的记录义务。
放在开放银行语境下,银行和第三方机构都应当承担数据处理的记录义务。
澳大利亚的《建议》中也要求银行与第三方机构谨慎保留数据传输记录,以便监管机构随时监督与调查。
客户应享有查看数据授权过程的权利,并且相关机构需对所有授权设置有效期。
为了避免信息披露流于形式,法律规制需着眼于细化银行与第三方的信息披露义务,以保障个人 ①该系统中所有上链数据涉及的客户隐私信息都经过脱敏处理后加密储存。
同时,该系统采用了匿名发布查询机制,查询数据的机构和被查询机构均为匿名操作。
②GDPR第30条规定数据控制者应当记录的信息有:数据控制者及其数据保护官的姓名、联系方式;数据处理的目的;数据主体、个人数据及数据接收者的类别;个人数据的保存期限等。
数据处理者应当记录的信息有:数据处理者、数据控制者及其数据保护官的姓名、联系方式;以数据控制者名义进行数据处理的类别等。
146 赵 吟:开放银行模式下个人数据共享的法律规制 客户对其个人数据的采集、储存、使用、共享全流程的知情权。
对此,我国的银行和第三方机构可以通过前文提及的“个人客户管理中心”履行相应的信息披露义务,促进数据共享流程透明化,降低信息不对称。
首先,银行的信息披露义务集中于授权前阶段,就信息披露的内容而言,银行获得授权前应当告知数据共享的目的、数据接收方信息、共享的数据类型、共享时长及潜在风险。
第三方机构的信息披露义务则集中于授权后阶段,第三方机构应当实时记录获取数据的时间、数据被用于何种用途、对数据采取的安全保护措施等,力求将数据从被授权共享开始的每个流程都在平台上留下记录,确保信息披露的真实性、准确性与完整性。
其次,银行和第三方应当及时披露风险信息,做好风险轨迹的保存。
《民法典(草案)》第1038条第2款①和《网络安全法》第42条第2款②规定信息控制者和网络运营者在发生或可能发生危及信息安全情况时的及时通知义务。
GDPR第33条③和第34条④分别规定了数据控制者和数据处理者在数据泄漏后的及时告知义务。
由数据共享导致的个人数据泄漏等风险事件发生后,银行及第三方机构应在合理期间内及时通知数据主体及监管部门,⑤协助数据主体维护权益,明确告知其可采取的救济措施及如何行使司法救济的权利等。
其中,针对数据主体的告知义务中,若存在告知成本过大无法与数据泄漏风险相匹配的情况,数据控制者可采用公告或相似措施来作为履行告知义务的方式。
在发生或可能发生危及数据安全的事件时,银行和第三方应当及时通知个人客户,通知的方式可以是电话、短信,也可通过实时平台进行预警。
再者,有效性也是银行与第三方机构信息披露义务的要求之
一。
银行和第三方机构上传的资料应当是完整详实的,但是在向个人客户显示的时候可以醒目方式标注实质信息,如:数据使用场景等可能对客户的授权产生实质影响的信息,决定哪些信息称为实质信息则可以采用大数据分析的方法。
⑥并且,平台应当支持“个性化定制”即由个人客户决定显示在其首页的是哪些类型的披露信息,基于其信息接收偏好来显示信息。
四、个人数据共享的事后规制:解决路径与责任认定 (一)多元纠纷解决机制 ①《民法典(草案)》第1038条第2款:信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。
②《网络安全法》第42条规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
③GDPR第33条规定:数据控制者应当在知悉个人数据泄漏后的72小时内告知监管机构,亦规定了数据处理者及时告知控制者的义务。
数据控制者告知监管机构的内容包括:个人数据泄漏的性质(包括相关数据主体的类型和大致数量、涉及的个人数据的类型和大致数量)、数据保护官的姓名及联系方式、数据泄漏的可能后果、对数据泄漏已经采用或计划采用的措施。
④GDPR第34条规定:数据控制者应当及时向数据主体传达数据泄漏的情况,并同时告知数据保护官的姓名及联系方式、数据泄漏的可能后果、对数据泄漏已经采用或计划采用的措施。
⑤关于合理期间的界定,17号文第9条将银行上报至监管机构的时间限定在7个工作日。
《金融消费者保护实施办法(征求意见稿)》第32条则要求银行应当在72小时内采取补救措施并告知个人客户。
⑥参见田野:《大数据时代知情同意原则的困境与出路———以生物资料库的个人信息保护为例》,载《法制与社会发展》2018年第6期,第133页。
147 现 代 法 学 2020年第3期 就世界范围来看,GDPR第79条①赋予数据主体司法救济权。
《开放银行框架标准》中规定由一个独立的开放银行实施机构来负责落实开放银行标准并处理客户纠纷。
当客户遭遇数据共享纠纷时,有权联系第三方机构或数据提供者即银行进行协商,若纠纷逾期仍未得到处理,则该纠纷可以交由开放银行实施机构进行处理。
并且英国还设置了一个争议管理系统(DisputeManagementSystem,简称DMS)及附随的最佳实践准则,包括一套定型化的表格和清晰的沟通流程。
个人客户可以提交对银行或第三方机构的投诉或争议,并通过该系统进行投诉或争议的管理、查询。
② 基于开放银行的特殊架构,有关争议的解决遵循“以内部解决机制为主,外部解决机制为辅”的原则较为妥当。
内部解决机制不仅仅是向银行进行投诉,第三方机构也应当设置个人客户的投诉渠道。
不妨借鉴英国的DMS系统,以“个人客户管理中心”作为基础,嵌入争议管理功能,个人客户通过预设的反馈表单提交投诉或争议。
为了防止出现互相推诿的局面,银行方面应当作为受理投诉或争议的积极牵头人,先通过内部核查程序进行协调解决,由专人及时跟进受理过程并将进度实时同步,涉及第三方机构责任也应当由银行与第三方对接协商。
个人客户仅需通过平台中心查询进度,待银行和第三方机构达成一致意见形成解决方案后再决定是否接受该结果。
当内部解决机制无法达到个人客户心中预设结果时,个人客户可以诉诸外部程序解决。
首先是向上级监管部门投诉,在我国现有的银行监管体制内,还未出台统一的开放银行标准的情况下,由中国人民银行及其分支机构受理投诉是合适的,但更理想的路径是由专门的数据监管机构或行业自律组织来处理纠纷。
一方面,中国人民银行及银保监会对个人数据的监管保护也仅限于银行业务范围内,在数据被共享至第三方机构后,其对数据的保护可谓心有余而力不足。
另一方面,针对第三方机构,网信部门、市场监督管理部门等多部门都有行政监督职权,难免出现多头监管的困境,重叠导致低效或真空导致无效。
因此,建立专门的数据监管机构不仅能节省行政资源,减少第三方机构的合规成本,更能对个人数据实施全面、有力的保护。
考虑到传统诉讼作为争议解决的途径对于个人客户来说存在证据收集等方面的障碍,倘若银行在未获得个人客户授权的情况下向第三方机构批量共享数据,或是超越授权共享,又或是第三方机构超越授权范围处理数据,专门的数据监管机构可以据此提起公益诉讼,切实保护与同一银行或第三方机构产生纠纷的大量个人客户之合法权益,即将公益诉讼范围扩大至金融领域。
(二)民事责任分类认定在开放银行的运作中就个人数据共享问题可能出现如下纠纷③:
1.银行违背个人客户的意愿,向第三方共享个人数据,即无授权共享或超越授权范围共享;
2.银行取得了个人客户的授权,第三方机构获取数据后,超越被授权范围将数据用于其他用途;
3.银行取得了个人客户的授权,但是由于技术原因或人为原因导致数据泄漏,并造成财产损失;
4.无授权或超越授权共享的情况下,由于技术原因或人为原因导致数据泄漏,并造成财产损失。
由于个人数据共享后,理论上的数据使用者数量可以有很多个,如何避免银行与第三方机构之间互相推诿责任?
银行与第三方机构的责任应当如何分配?
若出现信息泄漏的情形,在银行、第三方机构以及可能存在的侵权主体之间责任如何划分?
银行是否取得客户授权对银行的责任承担有何影响?
这些问题都有诸多值得讨论的空间。
①GDPR第79条规定:若数据主体认为存在违反条例情形导致自身数据权利受到侵害的,可以向数据控制者或处理者提起诉讼主张损害赔偿。
②参见刘勇、李达:《开放银行:服务无界与未来银行》,中信出版社2019年版,第51页。
③第1、2种纠纷类型可归纳为“滥用数据纠纷”,第3、4中纠纷类型可归纳为“数据泄漏纠纷”。
148 赵 吟:开放银行模式下个人数据共享的法律规制 我国现行法律体系中有关数据安全责任承担的条款散见于不同的法律规定之中。
第三方机构通过APP或网页向个人客户提供服务,也可视为网络平台。
《网络安全法》《消费者权益保护法》对网络平台的信息安全保障义务作出规定,是为网络平台经营者承担责任的依据。
但是具体的责任类型和承担方式仍不完善,更多的强调行政责任和刑事责任。
由于个人数据纠纷中个人客户更多采用民事救济手段来保障权益,因此有必要根据不同的纠纷类型设置相应的民事责任认定规则及相应的责任承担方式。
① 第一种纠纷类型中,银行作为数据控制者,违反数据共享规则无授权共享或超越授权范围共享属于过错方,理应承担主要责任,个人客户基于协议有权要求银行承担违约责任。
第三方机构作为数据接收方(暂不论其是否有审查授权的谨慎义务)通过数据共享获取了利益,应当在获利范围内对个人客户承担赔偿责任,但该赔偿责任并非是违约责任。
三角模式下,个人客户虽然与第三方形成了事实上的合同关系,但这种合同关系是基于第三方向个人提供的服务展开,第三方基于合同需要承担的合理使用数据义务是以数据来源合法为前提的。
在银行未经授权或超越授权向第三方共享数据时,第三方获取数据的来源并不合法,这种对个人客户的数据权利侵害的行为性质与线性模式下第三方从银行获得未经授权的数据之行为性质并无区别。
因此,这种纠纷类型中,个人客户有权请求第三方承担侵权责任,第三方应当立即停止使用并及时删除相关数据。
第二种纠纷类型中,第三方机构才是真正的过错方。
三角模式下的第三方机构基于与个人客户的合同关系应当对其承担违约责任。
线性模式下的第三方机构由于和个人客户不存在基础法律关系,应当对个人客户承担侵权责任。
由于银行和个人客户之间存在客户协议,银行需要承担相应的数据安全保障义务,加之银行和第三方机构之间存在合作协议,银行还应当履行对第三方机构严格审查义务。
因此在这种情况下,银行最终是否要对个人客户承担违约责任取决于银行是否履行了审查义务。
第三种纠纷和第四种纠纷类型相似,都是由于技术原因或人为原因导致数据泄漏,银行是否取得授权将影响银行需要承担的责任比例。
银行可依据双方的合作协议,调查数据泄漏发生的缘由认定责任方,由最终的责任方对其行为承担相应的法律后果。
在技术原因②造成数据泄漏的情形下,对银行与三角模式下的第三方机构而言,除非有证据证明其尽到数据安全保障义务和审查义务,否则应当对个人客户承担违约责任;而线性模式下的第三方机构,原则上应当对个人客户承担侵权责任。
在人为原因造成数据泄漏的情形下,尽管银行与第三方机构可能并非最终的责任方,但是否尽到数据安全保障义务仍会影响其责任的承担。
不存在数据滥用行为的情况下,若数据泄漏是由银行或第三方机构内部人员造成的,还需要区分职务行为与非职务行为:内部人员因执行工作任务造成数据泄漏的,即推定其所属机构未尽到数据安全保障义务,应当承担责任。
内部人员因谋取私利造成数据泄漏的,由该责任人员承担侵权责任,并由该责任人员所属机构对此承担连带责任,除非所属机构能够证明自己没有过错。
若数据泄漏归因于其他第三人,由该真正侵权人承担侵权责任,若银行或第三方机构无法证明自己尽到应尽义务的,应当对此承担补充赔偿责任。
在银行或第三方机构存在无授权或超越授权共享数据的情形下,先根据前述规则追究数据泄漏方的责任,再参照第
一、二种纠纷类型追究数据滥用行为的责任。
①有学者认为不同的驱动因素决定不同的责任认定方式。
参见杨东、程向文:《以消费者为中心的开放银行数据共享机制研究》,载《金融监管研究》2019年第10期,第110页。
②技术原因导致数据泄漏的情形中不区分数据是否有授权或超越授权的原因在于:若由于数据滥用导致数据泄漏的,应当归为人为原因,若并非数据滥用导致泄漏的,数据滥用行为的民事责任应当独立判定。
149 现 代 法 学 2020年第3期 为了简化个人客户获得赔偿的步骤以确保更好的救济,无论何种类型纠纷中,只要个人客户向银行或第三方机构任一方提出赔偿请求,被请求方都应当首先进行全额赔偿,再向其他方追偿,除非责任主体能够证明自己与损害结果无因果关系。
若第三方机构为“银行系金融科技子公司”,即便银行本身无过错,其也应当对个人数据侵权行为承担连带责任。
这符合金融控股公司加重责任的思路,也符合个人数据保护的目的。
①
五、结语 开放银行模式的兴起为银行业转型发展提供了机遇,更关系到我国金融开放、金融创新的进程。
但同时我们要看到,开放银行改变了原有组织架构、业务运行模式,现有的规则体系已经不能满足个人数据保护的需求,分阶段的规制思路也不足以涵盖个人数据保护的全过程,还需要银行、个人、第三方机构等相互之间的合同条款加以配合,交由意思自治来达至合理共享下的利益最佳状态。
此外,由于开放银行涉及大量的专业技术问题,如何将法律规制与实际运作有效衔接,如何在个人数据保护与数据共享的效率之间寻求平衡点也值得进一步思考。
开放银行只是金融科技发展在银行业的缩影,开放银行模式下的个人数据保护路径或许也能为后续其他金融行业的发展提供范本。
正值《个人信息保护法》与《数据安全法》制定的契机,期待立法机关予以回应,让法律为开放银行的发展保驾护航。
ML LegalRegulationsonPersonalDataSharingofOpenBanking ZHAOYin(SouthwestUniversityofPoliticalScienceandLaw,Chongqing401120,China)Abstract:Abstract:elopmentsituationofOpenBanking,thelegalregulationshouldbepromotedinseveralphasesonthebasisofclarifyingthelegalrelationsofallparties.Inthepriorstage,thedatasharingauthorizationrulesshouldbeoptimizedaimingatthedeficiency,toensuretherightofindividualstoknowandconsent.Inthemiddlestage,thescreeningrulesofsharedobjectshouldbedesignedandtheinformationdisclosurerulesshouldberefinedtomakesurethatthedataaresharedandusedreasonably.Inthepost-eventstage,basedonmultipledisputeresolutionmechanism,theresponsibilitiesofallpartiesofdatasharingaretypedtoprovideeffectivereliefwayforindividuals.KeyWords:openbanking;datasharing;personaldataprotection 本文责任编辑:周玉芹 ① 150 参见许可、尹振涛:《金融数据开放流通共享》,载《中国金融》2019年第4期,第90页。
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
