陳振云

(上海政法學院 國際法學院,上海 201701)

一、引言

隨著科技與金融的深入融合，金融業數字化的步伐明顯加快。在此過程中，數據從過去一度被視為金融業務運營的副產品一躍成為推動金融業務發展的核心要素，其本身所蘊含的經濟屬性和價值屬性愈發受到國家和全社會的關注與重視。2019年10月，黨的十九屆四中全會公報正式將數據視為一種生產要素。2020年4月至5月，中共中央、國務院相繼發布《關于構建更加完善的要素市場化配置體制機制的意見》《關于新時代加快完善社會主義市場經濟體制的意見》，進一步指明了加快培育數據要素市場的具體方向；同年10月29日，黨的十九屆五中全會通過了《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》，進一步明確了提高數據治理水平，為數字化全面轉型夯實基礎，同時要積極建立和參與相關配套制度和標準規范、以及相關領域的國際規則和標準制定，為數字化全面轉型營造良好的法治環境。

進入大數據時代，伴隨著人工智能、區塊鏈、云計算以及大數據等新興數字技術手段對傳統金融行業帶來前所未有的沖擊，不僅金融服務理念、經營模式、金融業態與產品迭代更新頻繁，數據量更是呈現指數式增長。在此背景下，數據在業務運營、戰略決策以及風險處置方面起到關鍵作用，因此如何有效利用數據成為金融機構亟需解決的重要議題。一方面，這對金融數據質量提出了更高的要求；另一方面，這也引起了日益凸顯的數據安全問題。實現金融數據治理的雙核目標，即“挖掘金融數據價值”和“保障數據安全及隱私保護”，做好兩者之間的平衡和兼顧，確保金融數據治理的有效運行和健康發展，必須解決以下幾個問題：如何確立金融數據權屬；如何兼顧金融數據共享開放和保護數據安全與隱私；如何構建金融機構內部數據管理的體制機制等。針對上述問題，本文將詳細闡釋金融數據治理的內涵和必要性，借鑒國外數據治理的立法與實踐，結合我國金融數據治理的法律法規和實際情況，力圖完善金融數據治理的規制架構。

二、立法維度

(一)金融數據治理立法面臨的基礎性法律問題

1.金融數據概念界定的困境與反思

首先，在理論研究層面，鑒于金融數據的經濟和社會雙重屬性，加之缺乏與其相關的系統性研究，金融數據的權屬定性變得困難重重。相反，數據權屬的研究則出現另一番景象，成果頗多且衍生諸多學說，譬如財產權說、人格權說以及新型權利說等。

最后，金融數據的內涵比個人金融信息的范疇要大得多。其原因在于：一是金融數據既包括金融機構收集的原始數據，又包括被加工后的信息；二是鑒于金融機構的客戶包含個人客戶和企業客戶，與之對應，其收集、處理的數據同時涉及個人金融信息和企業客戶信息。

2.數據權屬的學術爭論

在數字經濟時代，作為新型且關鍵生產要素，互聯網市場圍繞數據的競爭日益激烈。從2016年新浪微博訴陌陌案、大眾點評訴百度地圖案，到2017年菜鳥與順豐、騰訊微信與華為的數據之爭，再到2019年騰訊微信/QQ訴今日頭條抖音/多閃案，每個糾紛都引發了對數據權屬問題的關切。因此，厘清數據權屬邊界是建立數據秩序的必要條件。

首先，數據本身所蘊含的復雜屬性和承載的多重權利義務關系，幾乎不可能通過單一理論一勞永逸解決數據權屬問題，會引發廣泛爭議，像2016年6月公開征求意見的《民法總則(草案)》曾將數據信息作為知識產權客體。對此，在《民法總則》的正式文本中，第127條明確規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”，為未來繼續探討數據的權利屬性留下了空間。

其次，數據作為什么權利的客體，這也是數據權屬問題的核心關切，需要結合不同的數據類型進行討論。目前來看，數據大體上分為三類，即個人數據、政府數據和企業數據。從個人數據保護法律視角來看，個人數據盡管其范圍和判斷標準仍有分歧，但其本身是一個比較明確的法律概念，即與個人相關的，且能夠識別個人身份的信息。在政府數據開放共享的大背景下，政府數據是公民對數據的知情權、訪問權和使用權的客體，其定義是政府部門利用國家財政資金，在履職過程中所采集的數據。因此，政府數據具有公共產品屬性，同時蘊含極大的經濟和社會價值。相對于個人數據和政府數據都有著比較清晰的法律規范體系，企業數據的法律屬性則最模糊，也是引發爭議的焦點所在。在近些年有關企業之間數據糾紛的司法實踐中，法院一直通過競爭法路徑來承認和保護企業數據權益，其背后的邏輯就是要秉持公序良俗原則以及尊重市場規律，更是反映了經濟學規律。與司法實踐中適用競爭法相比，我國學界更熱衷于數據財產賦權的探索，并涌現出數據權人身與財產雙重屬性說、數據財產權說、數據知識產權說、數據用益物權說以及數據有限排他權說等。

最后，法學界對企業數據權屬的探討仍有分歧，但達成了兩個方面的共識：第一，企業數據權屬的界定并不否認原始數據主體的權利，這就意味著企業數據中如果包含個人數據，其處理和使用要符合個人信息保護法律法規的要求；第二，積極探索構建科學合理的數據權利體系，這有利于解決市場激勵問題，幫助市場主體消除疑慮，對數據投資形成穩定預期。

(二)域外金融數據治理立法的國際經驗

在數字經濟時代，金融業無疑是數據密集型行業，其創新和發展嚴重依賴于數據的處理和分析，而金融數據又恰恰涉及個人敏感信息且可識別度高，相應地對風險管控能力、數據保護能力以及技術處理手段提出了更高的要求。歐盟、美國和英國作為金融數據治理的立法先行者和實踐標桿，深入剖析三者立法思路與特征，可以為我國金融數據治理立法路徑提供有益的借鑒思路。

1.歐盟

(1)歐盟數據治理立法的歷史沿革

歐盟立法者較早制定了數據開放與安全的策略。歐盟委員會于1989年通過了第一份針對重復使用公共部門信息方面的文件，旨在成為“各國政府鼓勵使用和利用公共部門數據和信息的積極舉措”。1995年，歐盟委員會采取了極其重要的一步，通過了《歐盟數據保護指令》。次年，歐盟委員會為了保護非個人數據，通過了《數據庫指令》，其中包含關于非個人數據庫版權和特殊權利的條款。1998年，在成員國之間技術和法律程序方面缺乏透明度和立法協調的背景下，歐盟委員會通過了《公共部門信息綠皮書》以便更好地為企業和公民利用非機密信息。2002年，歐盟頒布了第一個《電子隱私指令》，該指令規定了電信服務商應如何管理其用戶的數據，并于2009年進行了修訂。《公共部門信息指令》更側重于為了經濟目的而重新使用信息，分別在2013年和2017年修訂，最終被2019年7月16日生效的《開放數據指令》所取代。

2010年以來，歐洲立法者對數據的關注力度逐步加大并推出了一系列數據戰略報告和重量級的數據立法，例如：2015年推出的《采用數字單一市場戰略》、2016年5月25日起生效的《通用數據保護條例》(General Date Protection Regulation,以下簡稱GDPR)、2019年7月16日生效的《開放數據指令》、以及歐盟委員會2020年2月19日出版的《數據戰略》。受到對當前大規模部署缺乏明顯保障措施的人工智能技術的監管緊迫性和道德框架未能充分回應問責和公正要求的驅動，歐盟決策者在實施/吸收消化GDPR的基礎上迅速采取行動，加大了對人工智能領域的監管，尤其在數據保護、算法責任和生物特征/面部識別保障等方面，同時也醞釀著有關算法和數據的新一輪立法。

(2)歐盟GDPR評析

2018年5月25日起生效的GDPR不僅體現了歐盟長期致力于個人數據隱私保護的傳統，更是歐盟立法者面對數字經濟時代不斷地涌現新技術發展的前瞻性思考和戰略性探索，盡可能平衡兼顧數據主體權利和其他正當權益，為全球提供一套以歐盟規則為范本的數據治理規則體系，使歐盟成為全球數字經濟秩序的引跑者。GDPR統一了歐盟內個人數據保護立法，推動了歐盟內部數據流動的安全高效，相較于1995年《數據保護指令》，GDPR進一步加強了對歐盟數據主體的權利保護，主要體現在以下幾個方面:

2.美國

(1)聯邦立法

在金融隱私權保護方面，美國國會在1978年通過了《金融隱私權法》(Right to Financial Privacy Act),該法要求聯邦機構只有獲得金融機構消費者的授權、行政傳票、司法傳票或者搜查令的情形下，金融機構才能向前者提供消費者的金融記錄。1999年《金融服務現代化法》第五部分專門對金融消費者隱私權保護進行了規定，明確要求金融機構具有尊重客戶的隱私、保護客戶非公開個人信息的安全和保密性的確定和持續的義務。作為聯邦執法機構，聯邦貿易委員會對該法案的實施主要依靠兩份細則：一份是隱私規則，為了實現保護隱私的目的；另一份是安全保障規則，為了實現保護數據安全的目的。2010年7月，美國頒布了《多德-弗蘭克華爾街改革和消費者保護法案》，其中為金融隱私領域增設了一個消費者金融保護局。此外，聯邦層面涉及消費者金融隱私保護的法律還有《公平信用報告法》《公平和準確信貸交易法》《電子資金轉賬法》，以及《公平信貸機會法》等。

(2)州級立法

隨著網絡攻擊和數據竊取越來越普遍，作為互聯網科技企業的重鎮，加利福利亞州于2002年頒布了《數據泄露通知法案》，這也是全美數據泄露制度的起源。隨后，各州也紛紛效仿分別制定出自己的《數據泄露通知法案》。數據泄露制度主要有兩種功能：一是為企業保護敏感信數據提供驅動力；二是通知數據泄露的個人，使其能夠做出反應以減少潛在的損害。然而，事實證明鑒于數據泄露事件頻發，該法發揮的實際作用其實并不盡如意。在2018年爆發大規模數據泄露事件的影響下，各州迅速做出回應進一步修訂《數據泄露通知法》，其中有一條規定是向受到數據泄露影響的個人提供免費信用監測服務。在州級諸多立法中，最引人注目、影響也最深的就是加州2018年6月公布的《2018年加州消費者隱私法案》(California Consumer Privacy Act of 2018,以下簡稱CCPA),此后CCPA又經歷了大量修訂于2020年1月1日正式生效。最近一次重大變化是2020年11月3日加州大選投票中出現的24號提案(投票倡議)，即《2020年加利福利亞州隱私權法案》(CPRA)，獲得了大多數選民的批準，將于2023年1月1日正式生效。CPRA進一步增強了消費者權利，允許消費者可以阻止企業分享他們的個人數據、收集不完整的個人數據和限制企業使用敏感個人信息，諸如精準定位、種族、宗教信仰、基因數據、私人通訊、性取向和具體的健康信息等，同時設立專門的隱私保護機構，即加州隱私保護局，該機構的具體職責包括：執行該州的隱私法、調查和懲處違法者。

3.英國

總體來說，英國屬于監管政策驅動的開放銀行發展模式，即監管部門頒布相關監管政策，強制要求銀行開放數據給英國金融市場行為管理局(Financial Conduct Authority,簡稱FCA)審核認證的第三方機構，并規定了API標準、數據標準和安全標準。然而，英國自2021年1月1日起正式脫歐，導致支付監管政策發生變化以致于呈現出“停頓”狀態，而這種狀態要持續至2022年3月底。目前遭到停頓狀態的法規包括《支付服務條例2017》(Payment Services Regulations 2017)和《支付賬戶條例2015》(Payment Accounts Regulations 2015)。但是，英國開放銀行仍在遵循PSD2的相關規定。鑒于英國與歐盟之間關于金融服務業的談判依然不明朗，達成協議更是遙遙無期，無論數據開放的范圍還是機構的數量都會受到較大限制，這無疑給英國開放銀行的長期發展蒙上了一層陰影。

4.國際立法動向評析

盡管歐盟、美國和英國在金融數據治理立法的出發點和思路各有不同，但三者無疑都強調在滿足數據安全和隱私保護的前提下積極推動金融數據的開放、流通與共享。歐盟通過GDPR第20條數據可攜帶權和PSD2第66、67條的規定，賦予個人或用戶對其個人數據或賬戶信息的控制權和可攜帶權。英國同樣通過自上而下、監管政策驅動的模式，積極建立行業標準，設置獨立機構、設定監管權限與構建爭議解決機制等在內的完整治理體系，以及基于消費者數據保護的緣由對訪問銀行數據的第三方進行事先要獲得FCA授權的限制。與歐盟和英國不同，美國采用自下而上、市場驅動的模式，出臺零星的非強制性的指導意見以鼓勵開放。美國消費者金融保護局在2017年發布了有關消費者金融數據共享的九條指導意見，對獲取數據主體、消費者權利等問題進行了規定。同時監管部門沒有強制要求金融機構開放數據，而是給予市場更多自我發展的空間和自我調節的權利。

(三)我國立法現狀與完善芻議

1.立法現狀

到目前為止，我國立法機關制定的《民法典》《數據安全法》《個人信息保護法》只涉及到相關數據權益的內容，而沒有明確數據法律性質，也就意味著數據權的法律定位仍不清晰。總體來看，既有的國家法律賦予了政府更多的數據權力，包括獨立的最高管理權、規劃權、控制權、公共數據歸屬權等。相比之下，無論是全國首部地方綜合性數據立法2021年6月25日出臺的《深圳經濟特區數據條例》，還是緊隨其后2021年11月25日頒布得《上海市數據條例》，兩部地方立法無一例外地秉持促進與保護并重的基本思路，積極探索數據權益利用與保護的新機制，不僅給予了地方政府數據主導權，也賦予了企業和個人更多的數據權益，譬如企業的創新發展權和個人的數據處置權，這些舉措兼顧了數據各方主體的權益訴求，對于數字經濟時代數據資源高效配置、充分發揮數據要素在經濟社會發展中的核心作用提供了強有力的法律保障，為我國今后數據立法提供了很好的示范作用和寶貴的實踐經驗。

2.立法完善芻議

首先，《個人信息保護法》是我國在個人數據保護領域的基本法，具體到多元化的金融數據應用場景，如何正確適用相關的個人數據處理規則，同時滿足“挖掘金融數據價值”和“保障數據安全及隱私保護”的雙核目標，是目前亟需解決的問題。與此同時，應當認識到金融行業和個人金融數據的特殊性，回歸金融數據治理的本源，通過金融領域的專門立法來實現個人金融數據保護與分享是未來的基本方向。

其次，與世界上其他國家設立了專門的數據保護機構不同，《個人信息保護法》的頒布并未改變我國個人數據保護執法“九龍治水”的現象。面對紛繁復雜的數據保護事宜以及來自技術、法律和社會等方面的新問題層出不窮，設立統一獨立數據保護機構是大勢所趨。這不僅有利于數據保護法律法規的實施，也有助于數據糾紛的解決。該機構的具體職責包括：行駛規章制定權、發布行政指導、行使調查檢查權、處罰權和受理調解數據爭議等?，F階段而言，由國務院金融穩定發展委員會牽頭協調，人民銀行領銜，具體金融數據保護職責交由各金融監管機構負責。

再次，建立金融消費者數據權保護的特別規范，主要從以下幾個方面入手： 一是賦予金融消費者完備的數據權權能，這就意味著金融消費者作為數據主體享有占有、使用、收益和處分權。具體而言，金融消費者享有數據的最終控制權，可以同意或拒絕金融機構利用其數據。此外，基于數據利用的效率考量，金融機構理應有權分享數據增值帶來的收益，從而提升數據的開發和使用價值，以實現雙贏目標。二是加強金融機構的數據保護義務及責任，要在法律上明確金融機構對數據利用結果作出評估的強制義務，并基于該評估對金融消費者進行自發性保護。三是開展金融消費者教育，發揮金融監管機構在此過程中的主導性作用以及行業協會等自律組織的積極作用，通過舉行各種線上或線下定期培訓，讓金融機構知悉在數據保護領域要承擔的責任和義務，同時又可以讓金融消費者能夠觸手可及地了解數據保護的基本知識。

三、監管維度

(一)監管視域下數據治理的內涵與外延

如前所述，數據治理的核心在于“治理”而非“管理”，目的是保障數據的高效利用和釋放數據價值，實現企業的有序運營，對此，本文將數據治理界定為：以數據為治理對象，在確保數據安全與隱私保護的前提下，建立健全數據管理體制機制以及規則體系，厘清政府、市場、個人等多元參與主體在數據流通的各個環節的權責關系，形成共享、開放以及有序的數據流通模式，從而最大化地釋放數據價值，提升政府公共管理能力和國家治理能力。確切地說，數據治理是各方參與者良性互動，復雜的動態變化的過程。從宏觀視角而言，數據治理是政府、企業以及個人通過采用政策、法律、標準、技術、教育等方法和手段，來實現數據安全與有序流通從而最大限度地挖掘和釋放數據價值的過程；從微觀視角而言，數據治理是不同機構針對各種原始數據進行處理和分析的過程。

在數字時代，正因為數據具有體量大、種類多、處理快、價值高等特征，造就了數據治理的多樣性特征，其中包括數據治理過程的動態互動、數據治理的整體性、數據治理的時效性以及數據治理的匹配性，具體內容如下：

首先，數據治理的過程是多方參與主體之間的相互作用和相互影響的關系，這就要求數據治理主體能夠準確掌握數據標準、數據質量、數據安全以及數據主體的權責在治理過程中不同環節的關聯性；其次，數據治理的過程強調整體數據的相關性分析和運用；再次，數據治理的過程要求數據治理主體能夠快速應對市場變化，同時對于數據的分析和運用也要精準和快速；最后，數據治理的過程必須符合數據治理主體的實際狀況，展開數據治理之前需要對自身的治理能力做一個全面評估，包括管理與運營模式、業務規模以及風險控制能力等。

(二)監管視域下金融數據治理面臨的現實問題

從微觀層面來看，金融數據治理當前面臨的現實問題有：金融數據治理制度體系構建遲緩、金融數據質量偏低、金融機構之間的數據治理能力差異偏大、金融數據治理的專業化程度不高、金融機構數據治理文化理念缺失以及金融數據孤島與割裂等。

1.金融數據治理制度體系構建速度緩慢

2018年5月，銀保監會發布了《銀行業金融機構數據治理指引》(簡稱指引)，依據《指引》規定，金融數據治理需要建立完善數據治理架構，實現對數據的全生命周期全覆蓋。詳言之，金融機構的首要任務是在公司戰略層面高度重視數據治理，將其納入公司治理范疇，同時結合實際情況設立首席數據官。此外，金融機構應當確立數據治理牽頭部門，明確各部門之間的職責，構建數據質量控制機制。這產生了一個令人囧境的局面：一方面，《指引》促使金融機構內部架構進行改造升級，這一過程卻是相當耗時費力的；另一方面，這一漫長的過程與大數據時代日新月異的變化格格不入，極大拖延了金融機構發展的步伐。

2.金融數據質量偏低

托尼·費舍爾(Tony Fisher)曾提到：“如果基本數據不可靠，大多數企業的大數據計劃要么會失敗，要么效果會低于預期。造成上述結果的關鍵原因在于，數據生命周期之中流入了不一致、不準確、不可靠的數據。”長期以來，金融數據來源廣泛、內容龐雜，一直缺乏權威統一的標準和界定，尚且不同的金融機構和組織對同類數據口徑的認知也存在較大的偏差，造成了許多同名不同義的數據，結果是數據“清洗”成本高、碎片化嚴重，使得數據整合利用的難度大幅提升。對此，央行于2021年2月發布了《金融業數據能力建設指引》，旨在為金融機構開展數據治理工作指明方向。金融數據質量治理可以通過“疏”與“堵”的方式持續提升數據質量。具體而言，“疏”意味著加強頂層設計，制定統一的數據架構、數據標準，構建數據質量的管理機制；“堵”意味著通過技術手段，即數據質量工具，來篩查數據處理中的問題。

3.金融機構之間的數據治理能力差異偏大

大型金融機構，憑借資本、規模、科技、人才以及市場等優勢，在數據治理能力方面占據先天優勢。相較于大型金融機構，不難發現，中小型金融機構受制于有限的資金、薄弱的基礎設施，導致數據處理能力和技術水平較差，迫使他們大多選擇外包和采購來獲取數據治理賦能服務。中小金融機構往往出于經濟成本考量，選擇那些出價較低的數據公司或科技公司，但這類公司的技術水平參差不齊，甚至出現非法獲取數據等非法行為，造成金融數據安全的隱患。

4.金融數據治理的專業化程度不高

(三)我國金融數據治理監管框架的路徑選擇

隨著英國、歐盟等國家和地區紛紛推行開放銀行模式和相關監管政策逐步落地，開放銀行正成為世界金融業發展的新趨勢，備受關注。在國內銀行，四大行、股份制銀行和城商行都在積極探索符合自身發展的開放銀行模式。與英國和歐盟由監管政策驅動的發展模式不同，中國屬于市場驅動型的開放銀行發展模式。針對以數據分享理念為核心內涵的開放銀行，國內監管層需要運用現代監管手段，同時采取新的監管模式與政策來防范新風險。

首先，明確監管主體，建立監管框架。目前，我國尚未明確對開放銀行監管的專門監管機構，與開放銀行業務相關的指導性規范較少，也未出臺與其有關的監管框架，導致金融機構在開放銀行業務上“千人千面”。因此，現階段有必要采用功能監管與雙峰監管并舉的監管模式,具體做法如下：一是由國務院金融穩定發展委員會、中國人民銀行出面對金融數據進行宏觀審慎監管，協調各監管部門之間的金融數據監管信息，落實各司的數據監管責任，理順各司的職責關系，強化跨部門、跨行業聯合監管能力；二是由銀保監會、證監會分別對各自監管的領域內的金融數據進行監管，加大宣傳教育的力度，提高消費者對數據安全的認識，強化維權意識。此外，鼓勵金融行業自律性組織通過出臺自律性條例進行行業監管，并建立數據和技術共享的監督管理機制?？偠灾摫O管規則體系以包容審慎為監管原則，以消費者權益保護為出發點，通過行業監管和機構監管并舉、行業監管先于機構監管的監管模式，防范金融數據開放與共享所帶來的風險，同時積極探索柔性監管，并逐步加大數據監管的靈活度。

最后，建構科技監管與人力監管相輔相成的雙輪驅動型監管。在邁入數字金融時代，科技與金融的融合在帶來各種利好的同時，也暗藏著更多風險。傳統金融監管受制于金融監管固有的信息不對稱、監管技術手段落后以及金融立法的滯后，這就造成在開放銀行面前顯得捉襟見肘。要突破此困局，監管機構應當建立以數據監管為核心的科技監管模式，其真正的潛力是通過高質量的數據集和強大的計算能力，圍繞數據聚合、大數據處理和解釋、建模分析與預測，從而推動由過去“了解客戶”到現在“了解數據”的轉變。為此，監管機構可通過人工智能、大數據、云計算和區塊鏈等技術手段的應用實現有效的數據收集、報告、管理和分析流程。在此過程中，監管方通過科技手段從被動監管轉為主動監管，使得監管方與被監管方處于平等獲取數據的地位，同時也形成了一種新型的關系，即分布式平等監管，其深層次含義是監管扁平化替代層級制監管，監管方單一治理轉變為利益攸關方共同治理。此外，不可否認，智能化的動態監管是高效的、客觀的，但是人工智能的負面效應也給監管帶來漏洞，為此傳統的人為監管或許可以成為另一道安全閥，給新形態的監管機制提供了更加可信可控的強有力保障。

四、市場維度

銀保監會2018年頒布得《指引》明確指出，銀行業金融機構應當構建職責邊界清晰的數據治理組織架構，明確各部門之間的職責分工，形成多層次、相互銜接的科學工作運行機制。因此，從市場層面來看，在金融數據治理方面，金融機構要完善數據治理組織架構和相關制度，加大對于金融數據保護的力度。

首先，在組織架構上，金融機構可以依據內部實際管理情況劃分，從決策層、管理層到執行層分級、分層設置數據管理部門和專職崗位，將責任落實到人，構建和完善數據治理組織架構和崗位職責。

其次，在金融數據保護上，金融機構要建立數據安全管理制度，主要涵蓋：一是數據認證授權管理，作為第一道安全屏障，通過嚴格的用戶分級授權和認證授權，對數據進行訪問和使用權限控制，防范非授權訪問，同時堅持數據“最小夠用”原則進行數據授權使用；二是敏感數據使用管理，借助脫敏工具實現對敏感數據進行自動識別、智能脫敏；三是數據安全共享管理，要建立有效的數據共享等級機制，同時要能夠做到對共享數據中敏感信息的脫敏保護；四是設立數據保護官，按照“誰管理誰負責”的原則，專門負責數據保護工作；五是數據安全事故處理，要定期進行數據安全評估與審計，還要建立數據應急預案，模擬發生數據泄露或其他數據安全事故，組織開展應急演練，完善處置流程，保證妥善保障數據安全，降低對金融業務正常運營的影響。

最后，在監管信息報送上，金融機構要建立適應監管數據報送工作需要的信息系統，實現流程控制的程序化，提高監管數據加工的自動化程度。此外，金融機構端要實現與監管端以數字化的方式互相連通：一方面，機構端可以從監管端獲取數字化的監管要求并準確轉化為內部約束，確保機構和業務實時合規；另一方面，機構端可以實時向監管端傳輸數據，動態地形成各種合規報告，減少人工干預，提高準確度，減少合規成本。

五、結語

邁入數字金融時代，數據是金融領域最重要的資源。金融行業中的數據積累、數據傳輸、數據儲存已經為人工智能、大數據、云計算、區塊鏈等數字科技的應用提供了必備的土壤。數字科技不是替代人，而是更好地服務和賦能于人，替代其去做重復單調的操作和程序，從而提升人的生產效率。因此，數字科技是釋放數據生產力的主要途徑和催化劑。數據是數字科技和金融行業的共同基因，兩者天然適配，給金融服務帶來了巨大變革，包括降低運行成本、場景無界融合、擴大數據積累、提升客戶體驗以及提供個性化服務和擴展金融服務的覆蓋范圍等。金融數據治理能力成為金融機構數字化轉型的關鍵所在。一方面，在這一創新升級的過程中，數據的流通與分享為實現個性化服務和風控模型、降低金融服務成本、促進供需精準匹配、提高金融效率以及迸發新業態與新模式提供了不可缺少的前提條件。另一方面，金融數據日益顯現出其商業價值的同時，一旦發生重大數據泄露或重大數據資產丟失，其引發的風險和次生風險對于金融機構而言或許是致命的。因此，金融數據治理的必要性和現實意義在于以下四個層面：一是從維護國家安全的角度出發，限制金融數據的跨境流動的根本目的在于維護“數據主權”，以免數據傳輸方的所在國失去其金融數據的控制權與管轄權；二是從維護金融穩定和安全的角度出發，行之有效的金融數據治理對于防范金融風險的蔓延至關重要；三是從維護金融消費者合法權益的角度出發，鑒于金融機構與消費者之間的信息不對稱容易引發金融機構濫用客戶的金融信息而侵害了個人隱私權和財產權，完善金融數據治理有利于保護金融消費者所擁有的合法數據權益；四是維持金融數據價值與數據安全及隱私保護之間的動態平衡，這也是金融數據治理孜孜不倦地追求目標。

在科技與金融加速融合的過程中，金融數據治理為建設數字化金融發揮了重要作用，具體表現在以下三個方面：一是提供開放統一的高質量、標準化數據；二是提供高效高質的數據應用保障；三是提供強有力的風險管控和決策支持?？v觀而言，金融數據治理是系統性工程，需要從三個維度去構建，即立法層面、監管層面和市場層面。近幾年，國家、地方和金融行業對數據治理的重視程度越來越高，進一步推動了金融數據治理和數據安全防護水平，《網絡安全法》《數據安全法》《個人信息保護法》《深圳經濟特區數據條例》《上海市數據條例》《銀行業金融機構數據治理指引》《個人金融信息保護技術規范》《金融數據安全 數據安全分級指南》等各級各類法律法規政策指引相繼出臺，為數據開放、共享以及監管奠定了法制基礎。未來，隨著金融數據法律性質的明晰和金融數據分類等級保護制度的進一步完善，這有利于構建金融數據生命周期全流程的監管機制，同時將促進金融數據業務的健康有序發展。此外，監管部門采用監管科技與人工監管的協調運行的方式，可以有效保障數據儲存和傳輸的安全性，顯著提高數據流通和使用的合規性，以及促進數據開放與共享。再次，金融機構要完善金融數據治理組織框架，加大對于金融數據的保護力度，同時構建金融機構告知說明義務從而保護金融消費者的合法權益。為此，上述做法將有助于增強我國在國際金融數據治理體系建設中的話語權和影響力。