首页 | 金融服务法总论|证券和金融商品交易法|银行法票据法|保险法|信托法|金融公法|金融税法|环境金融法|国际金融法|法金融学
中财法学论坛|国外动态|金融服务法评论|金融服务法研究咨询报告|金融法案例|金融法规速递|金融消费者教育|课程与课件|金融法考试
 今天是
“政府数据开放的理论与实践”学术研讨会暨中央财大—京东数科“数据治理与大数据法制沙龙”第2期      《私募投资基金管理暂行条例(征求意见稿)》专家咨询会在京召开      对《私募投资基金管理暂行条例(征求意见稿)》提出的若干意见      《私募投资基金管理暂行条例(征求意见稿)》专家研讨会暨中国法学会2017年第26期立法专家咨询会成功举行     
您现在的位置:首页>>>法金融学
论数据可携权在我国的引入——以开放银行为视角(上)
邢会强  中央财经大学法学院教授,博士生导师
上传时间:2020/4/10
浏览次数:99
字体大小:
关键词: 个人信息; 数据可携权; 开放银行; 《一般数据保护条例》(GDPR);
内容提要: 欧盟、英国、澳大利亚、美国加州、印度、马来西亚等法域已经引入了数据可携权。我国是否应引入数据可携权,目前尚未达成共识。开放银行是数据可携权最先行也是最有价值的应用场景,开放银行的理论基础是数据可携权。从开放银行的视角看,我国应引入数据可携权。但无论是数据可携权的引入,还是开放银行的实施,都宜循序渐进地分步骤、分阶段进行,而不宜一步到位。具体而言,我国应首先通过开放银行来引入数据可携权,待实施一段时间,积累了相关经验之后,由相关行业管理部门决定是否以及如何在相关行业逐步引入数据可携权。

自欧盟《一般数据保护条例》(以下简称GDPR)正式规定了数据可携权以来,已有不少国家和地区已经引入了该权利,还有的国家密切关注前述法域的数据可携权实践。我国目前正在起草的《个人信息保护法(草案)》也对该问题高度关注,但是否引入数据可携权,各界争议较大,共识尚未达成。开放银行是数据可携权最先行也是最有价值的应用场景。各国最近几年来在开放银行领域突飞猛进,一股引爆全球的开放银行运动已经爆发。开放银行的理论基础是数据可携权。如不引入数据可携权,就无法解释和开展开放银行。从开放银行的视角看,无论数据可携权的实施有多大困难,引入该权利都是非常必要的。不过,笔者主张,无论是数据可携权的引入,还是开放银行的实施,都宜循序渐进分步骤、分阶段地进行,而不宜一步到位,因为数据可携权是一种有限的、相对的权利,其权利边界和客体范围需审慎把控,且具有一定的技术难度。

一、从比较法的角度初识数据可携权

(一)GDPR上的数据可携权

GDPR将第20条第(1)款中的数据可携权定义如下:数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他她的个人数据,并有权将这些数据传输给另一个控制者,原数据控制者不得阻碍。数据可携权不会自动触发从数据控制者的系统删除数据,也不会影响该传输数据的原始保留期。因此,数据主体获取的其实是数据复本。GDPR序言第68条鼓励数据控制者开发可互操作性的格式,以实现数据的可携权,但不要求控制者有义务采用或维护技术上兼容的处理系统。但是,GDPR20条第(1)款规定,数据主体有权将数据传输至另一个数据控制者,提供数据的数据控制者不得对此设置障碍。

根据GDPR20(1)条之规定,适用数据可携权的用户数据需为数据主体提供的数据。如何理解数据主体提供的数据,第29条工作组的《数据可携权指南》认为考虑到数据可携权的政策目标,数据主体提供的数据这一术语必须从在广义上进行理解,其将数据主体提供的数据分为两类情形:(1)数据主体有意和主动提供的个人数据(如收件地址、用户名、年龄等)(2)数据主体通过使用服务或者设备所提供的观测数据。与之相反,推测数据和派生数据是数据控制者以数据主体提供的数据为基础而创建的数据,不在数据可携权的范围之内。GDPR20(4)条之规定,用户数据可携权不应对他人的权利和自由造成不利影响。

数据控制者可以收取合理费用。数据主体行使可携权是免费的,即在大多数情况下,数据控制者不能对数据可携权的请求收取费用。但是,如果可携权申请没有合理依据或者是过分要求,特别是数据可携权请求具有重复特征的,数据控制者可以收取合理费用作为遵守可携权申请的管理费用。如果数据将以物理形式发送,则费用应仅包括筛选数据和购买媒介(纸张、光盘)的实际开销。

在可携权申请中,数据主体可以指定新的数据控制者(服务提供商),现有数据控制者将不得不向指定的新的数据控制者传输数据。数据主体(用户)可以要求现有数据控制者将其数据发送给用户,用户再将该数据上传到新的服务提供商。对于在其职责范围内进行的任何其他数据处理,数据控制者应适用GDPR5条规定的原则,如合法性、公平性和透明性、目的限制、数据最小化、准确性、完整性和机密性、存储限制和责任。

(二)其他国家和地区的数据可携权

2017年,澳大利亚生产力委员会建议澳大利亚政府引入消费者数据权,以改善消费者对企业持有的与消费者使用其产品和服务有关的数据的控制。这就要求消费者能够更好地访问他们的数据,并能够将数据直接传输给数据接收者,与可信的第三方共享数据。20198月,澳大利亚国会通过《2019年财政法律修改案(消费者数据权利)法》。根据该法,消费者数据权是指消费者有权指示其供应商(如其银行)与他人共享供应商所持有的消费者信息。一旦根据消费者数据权制度指定了一个部门,产品数据和消费者数据必须应客户的要求予以披露。产品数据是与任何特定消费者无关的数据,这是供应商的通用产品信息,如条款和条件或产品的可用性。消费者数据是特定于消费者的数据,如姓名和联系人详细信息、账户详细信息和交易详细信息。但以下两类信息不适用该制度:(1)某些信贷信息:如信贷侵权、法院程序和个人破产信息等。(2)实质性增强信息:“……信息全部或部分是通过对……原始资料的洞察或分析而获得的;并且该洞察或分析……是由持有信息或代表其持有信息的实体进行的;并且……使之……比原始信息有更大的价值。澳大利亚政府承诺将消费者数据权制度应用于银行、能源和电信部门,并最终应用于整个经济。

20186月颁布并于2020年实施生效的《加州消费者隐私法》(以下简称CCPA)在第1798.100部分规定了用户的访问及可携权,即通过身份验证后的消费者可以请求企业提供其收集的特定个人信息以及其他类别信息的副本,若企业以电子方式提供,则数据的副本必须可携,并且在技术上可行的情况下,应以易于使用的格式允许消费者将该信息传送给另一数据企业。

2019124日,印度联邦内阁批准了印度《2019年个人数据保护法》。其第19条规定了数据可携权:如果数据处理是采用自动化手段进行的,数据主体有权以结构化、通用化且机器可读的格式接收以下数据:数据主体向数据受托者提供的个人数据;在数据受托者提供服务或使用产品的过程中产生的数据;或构成数据主体画像的一部分,后者数据受托者以其他方式获取的数据;以及将前述提到的数据以结构化、通用化且机器可读的格式转移给任何其他数据受托者。但是,如果数据处理是履行联邦的职能或遵守法律或法院的命令所必要的,或披露会涉及到数据受托者的商业秘密,或在技术上不可行时,不适用数据可携权的规定。

菲律宾《2012年数据隐私法》第18条规定,当个人信息以电子方式、结构化和常用格式处理时,数据主体有权从个人信息控制者处获得一份正在以电子或结构化格式处理的数据副本,该副本通常使用并允许数据主体进一步使用。国家隐私委员会可具体说明该电子格式以及转让的技术标准、方式和程序。

二、数据可携权是否引入之争

对于我国是否应引入数据可携权的问题,我国学者赞同者有之,反对者亦有之。赞同者主要基于域外的经验和理由,反对者既有基于域外的教训的,也有基于国内的现状的。

(一)支持引入数据可携权的理由

根据已经引入了数据可携权的欧盟和澳大利亚等法域的官方文件和学者们的解读,之所以引入数据可携权主要是基于以下几个理由:第一,数据可携权是通讯漫游和跨境服务访问权的延伸。数据可携带最早可以追溯到2002年欧盟颁布的《普遍服务指令》陈述部分第(40)(42)段和第30条关于电话号码可携带的相关规定。可以说,电话号码的可携带性是数据携带的理论和实践前提。数据可携权对以前出现的可携性措施进行统一规定将发挥更大的效益。第二,便利数据主体。第29条工作组认为,数据可携权的主要目的是加强个人对其个人数据的控制,并确保他们在数据生态系统中发挥积极作用。数据可携权可以促进组织之间用户对个人数据受控的和有限的共享,从而丰富服务和客户体验。澳大利亚财政部认为,消费者数据权将通过允许数据安全地与认证的、可信任的接收者(如比较网站)共享数据来改进消费者的选择权和便利性。这将增加消费者的谈判能力,获得更高的性价比。从长远来看,这将改善消费者的控制、选择、便利和信心,将促进以消费者为中心的数据部门为消费者创造更大的价值。第三,促进自由竞争和打破锁定效应。欧盟委员会认为,可携性能够促进竞争,想要形成良好的竞争机制促进市场发展,就要保证用户能在服务商之间轻松地转移数据。数据服务日益激烈的竞争能够将利益带给数据生成者和数据用户,从而有效解决价值链中价值公平分配问题。第四,促进创新和经济增长。引入可携权的本质是推动数据开放。麦肯锡2013年的一份报告估计,开放数据市场的价值为每年3-5万亿美元。还有一项经济学研究估计,20国集团国家的开放数据政策可能对GDP增长贡献1.1%。澳大利亚财政部认为,消费者数据权将改善经济中的信息流动,鼓励开发新的产品和应用程序,让更多的消费者能够满足他们的需求;这将有助于创新和降低成本;消费者数据权应支持数据驱动的经济增长,并在澳大利亚创造新的高价值的就业机会。

(二)反对引入可携权的理由

反对我国引入数据可携权的声音也不小,他们的理由主要是:第一,背离反垄断法的初衷。反垄断法所反对的主要是具有市场支配地位的企业,而数据可携权的适用对象是一切数据企业,远远大于反垄断法所规定的范围。由于大型互联网企业具备初创企业和中小规模企业所不具备的优势,数据可携权有可能强化大者愈大马太效应,从而对初创企业和中小规模企业不利。第二,权利冲突。欧盟数据携带权的相关规定与我国关于个人数据权属的实践存在一定冲突。根据GDPR规定,数据主体似乎对个人数据拥有绝对的权利,数据控制者对个人数据无相关权利,即使有也十分有限。在我国立法目前对个人数据权属尚不明确的情况下,确立数据携带权很可能否定了数据控制者对个人数据所拥有的相应权利。]第三,带来数据安全问题。数据携带权的规定使得个人数据的传输和转移变得十分频繁,而这种频繁的转移为恶意攻击提供难得的机会,这在无形中增加了潜在攻击,为恶意攻击者利用数据或注入错误代码创造更多机会。第四,抑制创新。考虑到自身收集的个人数据很可能被转移到其他数据控制者手里,数据控制者可能不愿意投资于数据收集。在用户忠诚度不高的情况下,数据企业投身于创新的意愿和能力也会受到抑制。[一定的转换成本可以鼓励对新技术业务的投资,在长期来看是具有效率的。

(三)数据可携权行使的难题

反对引入数据可携权的理由,除了前述四个理由外,还有如下所谓的理由,它们其实不是理由,而是数据可携权行使的难题。第一,技术难度。在传输格式的问题上,GDPR及各国都要求数据控制者被要求以结构化、通用、机器可读的格式实现数据可携权的请求。但是结构化、通用、机器可读的格式并没有形成统一的标准。欧盟提出将在2016-2020年间指导建设欧洲的互通式框架,并认为技术问题可为欧洲互用式框架所解决,但尚待观察。第二,数据范围问题。在可能会涉及到其他数据主体的权利时,可能会产生数据可携权与第三方权利和自由之间的冲突。第三,权利粘连。在现实的万物互联的时代,每个人的个人信息,似乎都与物的信息、机构的信息以及与他人的个人信息粘连在一起。在转移过程中,如何不涉及对他人权利的负面影响,是可携权面临的最大考验。

三、从开放银行的角度看数据可携权

伴随着金融科技在最近几年来的迅速崛起,金融机构与金融科技公司合力掀起了开放银行(数据)的浪潮。开放银行运动的权利基础在于数据可携权。开放银行是数据可携权最有价值的应用场景。通过开放银行,可以发现数据可携权的真正价值。

(一)开放银行的由来、发展与基本架构

1.欧盟的开放银行

欧盟开放银行赋予了用户发起数据共享的权利,这源于GDPR20条数据可携权。依据此规定,个人有权以一种结构化、通用和机器可读的形式获取其已提供给数据控制者的个人数据,且无障碍地将该数据转移至另一个数据控制者。正是觉察到数据可携权对市场竞争的正面效应,2015年发布并于2018年实施的欧盟《第二代支付服务法令》(以下简称PSD2)6667条赋予用户对其账户信息的控制权和可携权,银行应在用户要求时向第三方开放用户数据的访问权限,即便该第三方与银行并不存在任何合同关系。欧盟PSD2被认为是一项特别重要的立法,因为它不仅仅是在现有框架中增加新的内容,而是试图通过技术改造银行部门。 PSD2中,欧盟采取了通过要求银行开放应用程序编程接口(以下简称API),让竞争对手更容易访问其客户的账户数据,用户对数据的控制达到了更高的水平。 PSD2建立了两类新的服务提供商,这就是账户信息服务提供商支付信息服务提供商

20183月,30家金融机构和行业服务提供商已加入进了欧洲开放银行业务。时至20197月,全欧洲使用欧洲开放银行业务目录来满足PSD2账户访问要求的银行数量已增至300多家。

2.英国的开放银行

英国是开放银行的较早实践者。曾为欧盟成员国的英国,既引领了欧盟的PSD2和开放银行运动,同时又曾受PSD2的约束。在英国脱欧之后,英国在开放银行领域继续前行。

早在2014年,开放数据研究所和Fingleton Associates受英国政府委托,发布了《银行数据共享和数据开放报告》。报告认为:建立API标准与开放数据对用户、银行和第三方机构均有利。20163月,英国财政部开放银行工作组发布了《开放银行标准》。该标准对数据类型的具体界定为:(1)开放数据:即任何人都可以访问、使用或共享的开放数据。如产品信息和ATM位置。(2)客户交易数据:在客户的财务报表中呈现给客户的数据(包括基础交易历史)和与客户账户相关的数据,通过这些数据可以发起付款。如余额信息、交易历史记录和付款信息(也就是便利支付的信息)(3)客户参考数据:与账户使用无直接关系的个人或企业的数据,例如为完成合规要求而从客户处收集的数据或为客户生成的数据。如通过了解你的客户流程或履行反洗钱义务而收集的相关的数据或信用评分数据。(4)聚合数据:跨交易、报表、其他客户数据或开放数据源的平均数据集或聚合数据集。例如,每个月在某邮政编码区域平均支取现金的次数等。(5)商业敏感数据。它类似于银行的商业秘密。敏感信息包括文件、策略、定价、政策、算法和根据许可提供的数据。对数据主体而言,这可能包括有关盈利能力的数据,这些数据揭示了对银行业绩的专有或有竞争力的洞察,例如客户群体的平均信用评分或平均利润率。商业敏感数据不在开放银行的数据范围内。

银行在授予第三方在指定功能范围内访问数据时,有两种权限:(1)只读访问———授予第三方使其能够读取但不能修改文件、文件集或数据集。(2)可写访问———授予第三方修改或执行文件、文件集和数据集的权限。开放数据和开放的聚合数据均属于只读访问数据。而客户交易数据可以是只读访问数据,也可以是可写访问数据。按照《开放银行标准》,拟通过开放银行机制获取银行用户资料的第三方机构须向英国金融行为监管局进行注册申请,并经英国金融行为监管局审核通过后才有资质与银行开展合作,必须根据授权和协议调用相关数据。

英国的非政府组织———竞争与市场管理局负责具体推广《开放银行标准》的实施。竞争与市场管理局率先推动英国前九大银行建立和采用统一的开放银行API共同标准。并要求这9家银行自20181月起,在用户许可的前提下,允许经认证的第三方机构获得数据。从2019年开始,竞争与市场管理局将分阶段、分步骤推动开放银行计划,以便更平稳、更低风险地统一数据和API的接口标准,第一阶段暂时只涉及支付或交易数据的开放。

出处:《政法论丛》2020年第2期
 
 
分享到: 豆瓣 更多
【打印此文】 【收藏此文】 【关闭窗口】

网站简介 | 联系我们 | 网站地图 | 网站管理

公众微信二维码
建议使用IE6.0以上1024*768浏览器访问本站 京ICP备14028265号
如果您有与网站相关的任何问题,请及时与我们联系(financialservicelaw@126.com),我们将做妥善处理!
版权所有©转载本网站内容,请注明转自"中国金融服务法治网"
欢迎您!第 位访问者!