面对数字技术的蓬勃发展,如何塑造能够适应数字时代的新的监管范式,乃是我国行政管理研究的重要理论议题。由命令服从式监管到回应式监管,既有监管范式的革新主要源于监管者与被监管者之间地位的逐渐平等,而随着新兴技术的快速发展,治理问题的不确定性日益凸显,使得敏捷治理等新的监管理念不断涌现。在梳理既有监管范式及理念的发展脉络基础上,本文提出规范敏捷式监管的新范式,以支撑监管应对数字技术快速变迁所产生的不确定性治理难题。
在建设数字中国、发展数字经济的大背景下,如何推动数据要素开放共享,成为当前数据监管部门面临的紧迫政策议题,这也为上述规范敏捷式监管范式的实践提供了应用场景。习近平总书记指出:“数字经济事关国家发展大局”“是把握新一轮科技革命和产业变革新机遇的战略选择”。2022年12月中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》),提出构建数据产权、流通交易、收益分配、安全治理等制度,以激活数据要素潜能、赋能实体经济、推动高质量发展。2023年2月中共中央、国务院印发《数字中国建设整体布局规划》,将“畅通数据资源大循环”列为数字中国建设的“两大基础”之一,要求“构建国家数据管理体制机制”“释放商业数据价值潜能”。2023年3月,中共中央、国务院印发《党和国家机构改革方案》,明确提出组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,推进数字中国、数字经济、数字社会的建设。
本文将首先回顾既有监管范式变迁的理论脉络,提出规范敏捷式监管的理论框架;然后分析域外开放银行的改革实践,提炼以监管推动金融数据开放的一般性政策内容;最后结合我国监管推动金融数据开放的机制障碍,以规范敏捷范式为指引提出以监管推进我国金融数据开放的对策建议。
一、数字时代的监管范式:规范敏捷式监管
改革开放以来,我国政府逐渐由指令型政府转向监管型政府(RegulatoryState),日益通过制定宏观政策、运用法律及经济等多种工具实现经济调节与社会管理。近年来,数字技术的快速发展带来了越来越多的不确定治理难题,这呼唤新的更具适应性和敏捷性的监管范式。
(一)监管范式变迁的理论脉络
命令服从式监管(CommandandControlRegulation)是一种传统的政府监管范式,依循此种范式,政府以惩戒为后盾,无差别地对被监管者强制执行法律的规定。这一范式的有效运作预设了监管者与被监管者的不平等地位:被监管者被视为应当被动服从政府命令的客体。而随着市场经济的发展,被监管者的主体意识日益增强,上述预设显然越来越与现实不符:被监管者不仅可能对监管命令抱持消极态度,更可能采取策略性手段予以抵制,从而导致监管失灵。作为对命令服从式监管的超越,回应式监管(ResponsiveRegulation)于1992年被提出,其仍强调在法律的框架下实施监管,但主张给予监管者更为充分的裁量权,让其能够根据被监管者应对监管的动机灵活调整监管策略,最终寻求对被监管者的塑造,使其不仅主动服从监管,还能与之展开积极协同。可见,回应式监管的关键在于尊重被监管者的主体地位,并激发和引导被监管者的主体性,最终形成监管合力,提升监管实效。
回顾上述监管范式的变迁历程,可以提炼驱动监管范式变迁的两个关键变量,即,监管者与被监管者之间的平等性,以及监管问题本身的不确定性。具体而言,在面对确定的监管问题时,随着被监管者主体地位的提升,有效监管的需求会驱使监管者日益重视被监管者的动机,并希望通过调动后者的能动性强化彼此协同。而随着监管问题的不确定性提升,仅依靠彼此的协同已不足以应对双方皆未知的挑战,因此就进一步要求监管者与被监管者践行边干边学的实验主义理念,通过不断试错去摸索恰当的解决方案。
(二)规范敏捷监管的理论内涵
法律毫无疑问是一个社会中最为重要的一般性规则。国内学者在论述敏捷治理的理念时,也有提到敏捷治理应遵循“法律精神指导”,但其同时强调敏捷治理并不需要考虑具体的法律规则,因为新兴技术的巨大不确定性使得法律往往难以作出明确的规定。然而这一判断显然与事实不符。以数字领域为例,自2000年立法者就颁行了《全国人民代表大会常务委员会关于维护互联网安全的决定》,此后《侵权责任法》(2010)的制定及《消费者权益保护法》(2013)的修订中也有对数字技术引发侵权行为的专门规定,2016年以来立法者进一步出台了专门立法如《网络安全法》(2017)《电子商务法》(2019)《数据安全法》(2021)《个人信息保护法》(2021),并根据数字平台特征修订《反垄断法》(2022)。我国司法机关也在不断通过个案裁判发展法律的规范内涵,如“人脸识别第一案”明确认定生物识别信息属于敏感个人信息,“大众点评诉百度案”也明确了数据爬取的法律边界。
当然,政策也可以在一定程度上担保交往双方的规范性期待,但必须明确区分政策中的抽象规则(Rule)与具体行为(Act),并保障前者相比于后者具有更高的稳定性。国内敏捷治理的既有文献片面强调政策的快速制定、灵活应变、渐进迭代,而没有意识到政策同样需要有稳定性。要知道,如果一般性的监管规则也总是随着结果的反馈极度敏捷地调整,那么被监管者就无法形成对监管者的稳定预期,相反会驱使被监管者基于对监管者敏捷行为的学习去形成特定的认知期待,并据此与监管者展开策略性互动。若如此,敏捷治理所希望达成的“相互依赖”之合作关系将难免堕化为彼此猜疑的猫鼠游戏。在我国的立法体系之下,监管者有权制定包括行政法规、规章及其他规范性文件在内的各种抽象规则,它们相比于具体的监管行为具有更高的稳定性。如近年来,国务院互联网办公室就制定了《互联网信息服务深度合成管理规定》《个人信息出境标准合同办法》等行政规章,这些监管规则既对紧迫的治理议题给出了政策回应,同时其制定和修改也皆受到《立法法》《规章制定程序条例》等法律法规的程序性约束,并在内容上与《个人信息保护法》《数据安全法》等法律保持一致,能够为被监管者担保一定程度的规范性期待。
总之,监管者对数字技术及新兴产业实施监管,从来都不是在规范真空中进行,而是在法律原则、法律规则、行政立法、司法裁判等共同构成的规范体系下完成。敏捷治理与实验主义治理不应对法律的规范性功能视而不见。规范敏捷式的监管范式可以通过下述三个命题来概括。
第一,监管者应当与被监管者紧密合作,协同敏捷地实施监管行为,但应以监管规则为指引并受其约束。遵循实验主义治理及敏捷治理的理念,为了更好地应对不确定性,监管者与被监管者应当彼此协作、共同学习,然而敏捷的监管行为仍应遵循既有的合法有效的监管规则。这显然会压缩监管行为的敏捷空间,但同时也为被监管者提供了关于监管者之行为的稳定的规范预期,为监管者与被监管者在未来的持续交往协同提供了前提。
第二,监管者应当与被监管者紧密合作,根据监管行为的效果反馈,敏捷地发展监管规则,但应以法律规范为指引并受其约束。在我国,监管规则除了包含前述的行政法规、行政规章、其他规范性文件等硬法规范,还包含指导性意见、标准合同、典型案例等软法规范。监管者应当与被监管者紧密合作,敏捷地基于监管实效对既有的监管规则进行发展,以提升监管规则对于新兴产业及数字技术最新发展的适应性。当然,监管规则仅构成行政立法,其仍应遵循法律的指引并受其约束,这无疑会压缩监管规则敏捷发展的空间,但却为维护市场的稳定规范预期提供了担保。
概言之,规范敏捷式监管范式(见图2),将监管活动还原于真实的规范体系之中,强调监管部门的敏捷监管应当以规范体系为“锚”,这是维护交往主体对未来稳定规范预期的前提;同时,监管部门也应当积极提升监管规则的适应性,并推动法律规范的适应性发展,以谋求“监管行为-监管规则-法律规范”这一全流程的敏捷化,从而在整体上优化监管应对不确定挑战的能力。金融数据开放牵涉多元复杂的利益关系,面临较大的不确定性挑战,这为践行规范敏捷式监管提供了合适的应用场景。在具体探讨我国监管如何推动金融数据开放之前,有必要梳理域外开放银行的改革实践,并提炼金融数据开放的一般性政策内容。
二、金融数据开放的政策体系:以域外开放银行改革为例
(一)金融数据开放的政策目标
推进金融数据开放的首要目标是打破金融数据垄断及竞争壁垒,促进金融市场竞争创新。如英国竞争和市场管理局在2016年发布《零售银行市场调查:最终报告》,指出低水平竞争和创新是导致英国零售银行产品价格昂贵和服务质量不佳的关键原因。2019年英国开放银行实施实体发布《开放银行,准备起飞:目的、进展和潜力》,明确“开放银行的目标是允许银行客户与第三方安全地共享他们的数据,以便更广泛的企业能够通过竞争去提供更好的金融服务、更多的选择和更低的价格”。
个人所享有的数据可携权是各国监管者推进个人金融数据共享的正当性基础。欧盟《数据可携权指南》指出:“数据可携权的首要目的是增强个人对其个人数据的控制,并确保他们在数据生态系统中发挥积极作用”,这“为‘重新平衡’数据主体和数据控制者之间的关系提供了机会”。美国《多德-弗兰克法案》第1033条也规定,消费者有权以可用的电子格式访问自己的银行账户和交易数据。基于数据可携权的开放银行改革,旨在通过赋权数据主体自主决定其个人数据的用途,激活数据要素流动,最终激励银行和第三方机构充分挖掘金融数据价值,以更好地满足消费者需求。
各国政府在开放银行改革中也普遍重视数据安全与隐私保护。在开放银行改革之前,屏幕抓取和逆向工程是被普遍使用的数据访问技术,但其在数据安全、用户隐私、数据可靠性等方面存在极高风险。开放银行改革的关键举措便是推动以更加安全可控的API技术作为数据传输方式,以更好地保障金融数据开放过程中的数据安全与用户隐私。欧盟《支付服务指令》(PaymentServicesDirective2,简称PSD2)指出,“本指令将涵盖这些服务,以便为消费者的支付和账户数据提供充分的保护,并为账户信息服务提供者的地位提供法律确定性”。
(二)金融数据开放的政策内容
为了实现上述政策目标,各国监管者普遍围绕数据资源开放、数据要素流动、数据权益配置三个维度搭建具体的政策内容框架。
1.引导数据资源有序开放
2.促进数据要素高效流动
3.优化数据权益配置结构
归结而言,域外金融数据开放的实践表明,监管部门应首先明确数据资源开放的范围,以引导数据资源进入市场流通;随之,应降低数据要素流动的成本,使数据资源能够充分释放自身价值;最后,应优化数据权益的配置结构,以激励个人及数据持有者不断开放数据资源,让数据要素流动及价值释放可持续。可以看到,数据资源开放、数据要素流动、数据权益配置三者构成一个整体,共同推进数据资源的大循环,监管者与被监管者应当紧密合作,持续敏捷地协调这三者之间的关系(见图3)。
三、我国金融数据开放的机制障碍与监管对策
(一)制约我国金融数据大循环的机制障碍
1.数据资源开放范围过窄
其次,在监管层面,我国监管者早期出台的政策多以金融数据不开放为原则。2020年2月,中国人民银行发布《个人金融信息保护技术规范》,其第7.1.3条明确“金融业机构原则上不应共享、转让其收集的个人金融信息,确需共享、转让的,应充分重视信息安全风险”。2020年9月,中国人民银行发布《金融数据安全数据安全分级指南》,根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级,仅第1级数据,如单位基本概况、企业工商信息为“一般可被公开或可被公众获知、使用的数据”,而第2级数据,如客户行为信息、客户风险标签信息则为“一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据”,至于第3至5级数据,如账户金额信息、个人征信信息皆为“一般针对特定人员公开,且仅为必须知悉的对象访问或使用”。
2.数据要素流动成本过高
首先,缺乏统一且完整的金融数据开放标准体系,造成金融数据要素流动的合同缔结成本过高。目前仅中国人民银行于2020年2月发布了《商业银行应用程序接口安全管理规范》,该标准只涉及API接口的安全问题。然而,金融数据的高效流动还需要统一的API接口格式标准,以兼容不同技术路径,以及统一的金融数据质量标准,以降低交易双方的信息不对称。在实践中,由于金融数据开放标准体系的不健全,数据使用方往往需要与每家银行就数据格式、数据传输方式、数据保护措施等问题分别沟通协调,甚至在涉及个人金融数据时还须与每个用户就前述问题单独达成协议,此皆显著增加了各方围绕数据资源达成交易的合同缔结成本,并压制了第三方数据使用者的入场意愿。
3.数据权益配置结构失衡
我国对金融数据的监管重点集中于对数据安全及隐私保护。2020年9月,中国人民银行颁布《金融消费者权益保护实施办法》,第三章以专章形式规定金融机构保护个人金融信息安全的义务。中国人民银行会同中国银保监会起草形成《商业银行法(修改建议稿)》,新设第六章“客户权益保护”,对商业银行个人信息保护与数据安全规范作出具体规定。
相较而言,我国至今缺乏对于数据持有者的数据产权保障。2020年3月《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“研究根据数据性质完善产权性质”,直到2022年10月全国人大财经委在审议代表议案时依然指出“当前数据产权制度亟待破解,但又难以在短期内达成共识”。数据权属不明限制了银行等金融数据持有者积极实现自身数据价值的动力,“产权是交易的前提”,银行在没有产权依据的情况下无法通过市场机制与任意主体自由订立数据交易合同,这便限制了数据流动的范围。考虑到数据价值实现的关键在于激发其规模效应,仅有有限的数据流动便难以给银行带来可观的收益,也就降低了银行扩大数据开放供给的意愿。
(二)推进我国金融数据大循环的监管对策
依循前述的规范敏捷式监管范式,围绕数据资源开放、数据要素流动、数据权益配置三个方面,本文提出下述以监管推进我国金融数据大循环的对策建议。
1.依法依规扩大金融数据开放范围
其三,监管部门应当在上述监管规则的指引下,制作并发布金融数据应用重点领域的开放指南和最佳实践。《金融数据开放条例》应鼓励监管部门与被监管者建立多样化、可持续的交流沟通机制,促进信息共享,推进金融数据开放指南、最佳实践等公共物品的合作生产和有效供给。譬如,可由监管部门牵头成立包括银行业、技术业、消费者和商业从业者组成的“金融数据开放工作组”,根据金融数据市场的发展,定期汇聚、整理并更新金融数据开放的最佳实践,并提供监管指引。
2.完善制度降低数据要素流动成本
3.分类确权优化数据权益配置结构
作者陈天昊,法学博士,清华大学公共管理学院副教授、博士生导师;徐玮(通信作者),清华大学公共管理学院博士研究生。