从40年前的ATM机到近年的开放银行(open banking),金融科技(FinTech)已悄然走过三代。上世纪80年代,作为最早应用信息技术的产业,金融业通过将IT技术导入到产品和服务中催生了第一代FinTech。20世纪末到21世纪初,基于互联网技术的第三方支付、电子银行引领了FinTech2.0时代。2010以后,被称为ABCDE(人工智能、区块链、云计算、大数据、物联网)的数字技术在在金融领域深度应用,推动FinTech进入到3.0阶段。
数字技术与金融的深度融合变革了金融产品的设计、生产和销售,降低了金融服务的门槛和成本,让普惠金融的商业可持续成为可能。新涌现的金融科技公司在整个行业中同时扮演了“鲶鱼”角色,推动了传统金融机构的“数字化”转型。近年来,中国多家大型银行纷纷拥抱“开放银行”,便是一个从被动应对挑战,到主动谋求革新的例证。在这波以开放银行为主要特征的FinTech3.0浪潮中,最重要的开放是传统银行与合作伙伴之间通过API接口开放实现数据的共享和数据价值的最大化。
数据价值发挥的难题:数据确权
数据的核心价值在于连接与共享。“无法连接的数据就不是大数据”,数据连接将不同来源的数据匹配和融合,其不强调对数据的拥有,而是强调数据触及和返回的广度与丰富程度。数据共享旨在构建一个权限分明,在保护数据安全的同时让信息流转的机制。不论是传统金融机构建设开放银行生态体系,还是金融科技公司对其他企业提供大数据风控或精准营销服务,都离不开各方的数据连接与共享。从理论上观察,这事实上是数据的“复杂性”和“整体涌现性”(whole Emergent)的反映。这意味着海量、实时、多样的数据可以动态变化、扩展、演化,一旦相互聚合,就能相互作用、相互补充,激发出1+1>2的结构效应,提供新的洞察和预见力。
正是洞察到数据共享的重要性,国务院在2015年《促进大数据发展行动纲要》中就明确提出:“鼓励产业链各环节的市场主体进行数据交换和交易,促进数据资源流通,建立健全数据资源交易机制和定价机制,规范交易行为等一系列健全市场发展机制的思路与举措”。在上述政策的引导下,北京大数据交易服务平台、贵阳大数据交易所、长江大数据交易所、上海数据交易中心等数据流通平台不断涌现,数据堂、美林数据、爱数据等数据资源企业渐具规模。但是,由于专门立法的欠缺和既有制度的模糊,出于对交易风险及个人数据合规风险的忧虑,我国数据流通在“质”和“量”上都不尽如人意,难以满足数字经济发展的需要。有鉴于此,2017年12月8日,中共中央政治局就实施国家大数据战略进行第二次集体学习再次强调:“要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。”这一表述体现了“清楚的产权界定是市场交易的前提”的科斯洞见,数据流通的症结进一步还原到数据确权上。
数据确权的国际经验
面对数据确权难题,世界各国由于经济发展阶段、法律体系等差异给出了不同的药方。
擅长体系构建的欧盟最早给出了体系性回答。通过《一般数据保护条例》(GDPR)和《非个人数据在欧盟境内自由流动框架条例》,欧盟确立了“个人数据”和“非个人数据”的二元架构。针对任何已识别或可识别的自然人相关的“个人数据”,其权利归属于该自然人,其享有包括知情同意权、修改权、删除权、拒绝和限制处理权、遗忘权、可携权等一系列广泛且绝对的权利。针对“个人数据”以外的“非个人数据”,企业享有“数据生产者权”(data producer right),不过,其权利并非是绝对的。
欧盟这一数据确权尝试并不成功。一方面,“个人数据”和“非个人数据”的分割与现有实践不符。个人数据的范围过于宽泛,在万物互联的当下,几乎没有什么数据不能够通过组合和处理,与特定自然人相联系。由此,同一个数据集往往同时包含个人数据和非个人数据,将相互混合的数据区分开来,即使不是不可能的,也非常困难。数量众多的保护对象和纷繁复杂的权利形态相结合,产生了过犹不及的效果,诸如伤及互联网成熟业态,阻碍人工智能、区块链和云计算等新兴产业的发展,最终戕害了创新。Strand Consult的报告就认为,GDPR会对即将到来的欧洲5G网络开发和服务的价值链产生负面影响,使欧盟在移动通信方面继续落后于美国和中国。
与欧盟相反,习惯于从事实出发的美国采取了数据确权的实用主义进路。在立法层面,美国针对数据并无综合的立法,而是将个人数据置于传统隐私权的架构下,利用“信息隐私权”(right to informational privacy)来化解互联网对私人信息的威胁。同时,即使仅限于“信息隐私权”,美国也并未制定统一的联邦法律,而是通过《公平信用报告法》、《财务隐私法》、《有线通信信息法》、《健康保险携带和责任法》等法律,在金融、医疗、通信等领域制定行业隐私法,辅以包括网络隐私认证、建议性行业指引等行业自律机制,形成了“部门立法+行业自律”的松散体制。
在司法层面,不论是在近年的HiQ vs. Linkedin案,还是之前的Sorrell vs. IMS Health Inc.和FTC vs. Toysmart.com案,尽管案件或多或少与数据权属有关,但法官和律师均回避了数据在企业之间的确权问题,而是直接以数据挖掘、处理、使用为重点。究其原因,或可归结于美国从合同法的思路予以回应的路径依赖。1999年,由《统一商法典》所衍生的《统一计算机信息交易法》(UCITA)出台,列出了以“计算机信息”(数据)为对象的“许可交易合同”、“访问合同”、“校正和支持合同”等多种合同类型。显然,在各方无法就数据权属达成一致的情形下,通过合同分配权益不失为可行之道。
美国对数据确权的灵活态度和其他支持互联网发展的立法一道塑造了数字经济的蓝图,造就了世界上最强大的互联网产业。2018年,全球市值前十的公司中,美国科技公司苹果、微软、谷歌、Facebook、亚马逊独占半壁江山。在数据市场这一细分领域中,以安客诚(Acxiom)、 Corelogic、Datalogix、eBureau、ID Analytics、 Intelius、 PeekYou、Rapleaf、Recorded Future为代表的数据经纪商(data broker),凭借数据交易和数据产品双足运行,推动着数据的流通。
金融行业中数据确权的构想
“不了解他国语言者,对本国语言亦一无所知”。欧盟和美国的制度探索是我国数据确权之镜鉴,值得再三思考。
数据确权必须充分考虑数字经济发展不同阶段和特定国情。欧盟将个人数据权利视为人之为人的基本权利,固然源自二战种族灭绝的惨痛教训,也与其重振数字经济、推动欧盟数字一体化市场的雄心密不可分,在某种意义上,它已经成为欧盟保护其自身产业的贸易和投资新壁垒。正因如此,美国商务部长罗斯特别指出:GDPR对美国和欧盟以外的所有国家制造不必要的障碍,导致其丧失数据的访问权,扰乱欧美之间在金融监管、应急管理协调以及重要商业方面的合作。GDPR正式生效一年来的实践恰恰证明了罗斯的预见。在GDPR生效的前九个月内,其总罚款总额达到了55,955,871欧元,可其中的90%却源自今年1月对谷歌5000万欧元的罚单。反观美国,对自由市场的长久信念,加之在互联网领域的先发优势,使其更多地依赖市场自治,而偏向于效率的普通法传统进一步推波助澜。另一方面,立基于各州对宪法的承诺,美国依然坚守着“信息隐私权”不被政府侵犯的底线。
回到中国,当前国际环境诡谲多变,国内经济长期处在新常态,包括FinTech在内的数字经济已经成为主要增长点和重要的就业渠道。尽管我国数字经济的成就为世人瞩目,但正如麦肯锡《数字中国:为经济带来全球竞争力》报告所指出,美国的数字化水平仍比我国高出4.9倍,我们还有很长的路要走。在此背景下,我们首先应以最大化数据——这一数字经济生产要素的价值为最高宗旨。
数据利用的关键是数据流通。为了防范权属不清的交易成本,对于那些可以清晰识别来源的数据分配给数据生产者,从而激励数据的生产。随着数字金融生态的逐渐开放,数据将会在不同经营主体之间流动、共享,不同数据的重新组合、碰撞会产生新的数据资源,对于那些因多方参与以至于难以划分的数据,不妨先交由市场,通过合同约定来分配各方权益,进而在规则竞争和演化的过程中,总结出最佳实践和行业标准,最终形成法律规则。但是,市场并不总是有效,它还可能产生有害于消费者的负外部性。为此,法律应及时出手,对那些“关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对基本人格权利重大影响的个人敏感数据”强化保护,同时对企业苛加数据安全的重任,增加消费者的安全感和信任感,这也是我国数据利用的红线。
正所谓“解铃还须系铃人”。迅猛发展的科技往往既是麻烦的始作俑者,也是问题的终结者。小平同志对稳定和发展的论述,同样适用于数据确权与数据安全:那些在急剧发展中出现的问题,在根本上需要通过进一步科技发展来解决。因而,在很多时候,法律不妨让子弹先飞一会,通过技术提升为法律提供不竭的动力,形成技术措施与法律治理相辅相成、二元共治的局面。
以金融数据为例,通过科技手段化解权属难题的实践应用已屡见不鲜。“多方安全计算”就是在不改变数据实际占有和控制权的情形下,促进数据流通共享的最佳例证。立足于多方安全计算平台,这一技术将计算移动到数据端,致力于建造安全和保护隐私的“数据高速公路”;借助同态加密、混淆电路、秘密分享、零知识证明等尖端的多方安全计算和密码学相关技术,确保高级别的企业数据安全和个人隐私保护的同时,促进了数据共享利用与业务创新。目前,多方安全计算已经在金融机构之间的联合风控、联合营销等领域取得了初步成效。理解技术和法律互动逻辑,鼓励和支持新技术在打破数据孤岛、推动金融业生态开放和创新发展中发挥作用,是包容审慎监管原则的当然之义。
