首页 | 金融服务法总论|证券和金融商品交易法|银行法票据法|保险法|信托法|金融公法|金融税法|环境金融法|国际金融法|法金融学
中财法学论坛|国外动态|金融服务法评论|金融服务法研究咨询报告|金融法案例|金融法规速递|金融消费者教育|课程与课件|金融法考试
 今天是
“政府数据开放的理论与实践”学术研讨会暨中央财大—京东数科“数据治理与大数据法制沙龙”第2期      《私募投资基金管理暂行条例(征求意见稿)》专家咨询会在京召开      对《私募投资基金管理暂行条例(征求意见稿)》提出的若干意见      《私募投资基金管理暂行条例(征求意见稿)》专家研讨会暨中国法学会2017年第26期立法专家咨询会成功举行     
您现在的位置:首页>>>法金融学
论数据可携权在我国的引入——以开放银行为视角(下)
邢会强  中央财经大学法学院教授,博士生导师
上传时间:2020/4/10
浏览次数:117
字体大小:

3.美国的开放银行

PSD2规定的开放API银行的技术前身是屏幕抓取。那些乐于在线访问其银行、信用卡或经纪账户的消费者可能会发现,他们很难记住自己的用户名或密码。1999年,出现了一个新的行业来帮助解决这一问题。数据聚合器允许消费者将其用于访问在多家金融机构持有的账户的用户名和密码交给单个网站运营商,从而允许消费者从单个位置查看其所有账户。由于金融聚合器服务依赖于屏幕抓取从其他网站收集信息,而被抓取的网站的运营商可能会试图阻止信息的收集。

聚合器服务给消费者和受监管的金融中介机构带来了许多令人不安的问题。虽然消费者可以享受单一登录访问其所有金融账户的便利,互联网初创企业的安全性和可靠性通常无法与账户所在地受监管金融中介机构的安全性和可靠性相比。消费者可能无法确定聚合器服务提供者是否会采取适当措施保护个人信息的隐私或信用卡号码等敏感信息的安全,因为聚合器尚未受到监管。如果聚合器服务提供者未能提供其承诺提供的隐私或安全级别,在聚合器服务提供者资本不足的情况下,消费者可能无法获得赔偿。聚合器服务提供者可能事先与消费者开户的金融机构没有合同关系,并且可以在未经金融机构知道或同意的情况下,通过代替消费者登录该金融机构的网站来获取消费者的账户信息。

本世纪一十年代时,金融聚合服务的重点转移到为习惯于在平板电脑、手机以及个人电脑上访问数据的个人提供云端个人信息访问。此外,金融聚合服务通常采用免费的商业模式:免费赠送软件,但通过提供个人理财和投资咨询服务而收费。

最早的支付API或许是2004年首次发布的PayPal API2017年,人们对基于API的开放银行业务的兴趣通常是市场驱动和自愿的。金融聚合服务提供商中的许多都是通过屏幕抓取或类似的过程收集所需信息,而没有账户所在的金融机构的积极参与。但如果传统金融机构和新服务协作的话,效率就会更高。API是一个框架,规定了不同的软件程序组件如何相互作用。

2010年的《多德弗兰克法案》第1033条规定了消费者从银行机构获取金融数据的权利,但遗留了消费者关于能否授权第三方获取银行金融数据的问题。2016年,美国金融消费者保护署(以下简称CFPB)董事Richard Cordray宣布,CFPB正发起一个与数据聚合账户聚合相关的信息请求项目。鉴于一些银行公开地试图阻止数据聚合对其客户数据的访问,Cordray强调CFPB愿意保护消费者与数据聚合服务提供商共享数据的权利,必要时实施强制性法规。在2016年的另一次演讲中,Cordray还表示,CFPB愿意并且能够在需要的时候实施PSD2式监管。但到了2017年,CFPB放弃了发起正式的监管行动,而是发布了题为《消费者保护原则:消费者授权的金融数据共享和聚合》的非约束性指南。CFPB指出,它正在拒绝采取更为正式的监管行动,以避免给社区银行或小型信用社等小型市场参与者带来过多负担,破坏市场的自我演进。

4.香港地区的开放银行

香港金融管理局于20187月发布了一个开放的API框架,为银行实施开放式API提供了一个四阶段的方法,从产品和服务的信息共享开始,到交易信息共享和发起付款服务结束。四个阶段的开放API包括:第一阶段———产品资料;第二阶段———产品申请;第三阶段———账户资讯;第四阶段———财务交易。然而,与欧盟的做法相反,尽管银行将被要求开发API,但它们将能够限制对它们选择合作的第三方服务提供商的访问。

第一阶段于20191月如期实施,20家参与零售银行已提供超过500个开放API,方便各界查阅广泛的银行产品及服务资讯。越来越多网站及流动应用程序正逐渐利用上述开放API提供各类服务,如汇率资讯、存款利率及贷款产品比较。201910月,20家参与零售银行开始落实第二阶段开放API以处理银行产品及服务申请。然而,跟第一阶段的情况相似,根据个别银行API设计的复杂程度,利用此阶段开放API的新应用程序或需要一段时间才会陆续在市场出现。至于第三及第四阶段开放API,因涉及读取客户资讯及处理财务交易,具体实施工作会较为复杂,也需要较严格的监管措施。

5.澳大利亚的开放银行

澳大利亚在开放银行领域以其创新的方式和雄心壮志而著称。澳大利亚政府决定立法赋予消费者数据权,让国民对自己的数据拥有更大的控制权,使消费者能够选择仅为其授权的目的与受信任的接收者共享数据。这项权利将首先在银行业、能源和电信部门实施,然后在整个经济领域逐部门展开。

澳大利亚的开放银行业务将从2019年起分为若干阶段实施。从20197月起,澳大利亚四大银行将被要求公开分享有关信用卡和借记卡、存款账户和交易账户的产品数据。从20202月起,提供抵押贷款账户的产品和消费者数据将开始开放。银行将被要求公开分享有关信用卡和借记卡、存款账户和交易账户的消费者数据。从20207月起,澳大利亚四大银行将开放获取的个人贷款和其他账户的产品数据;获取的个人贷款和其他账户的消费者、账户和交易数据。所有其他中小银行:将开放访问信用卡和借记卡、存款账户和交易账户的产品、账户和交易数据。从20212月起,所有其他中小银行将开放获取的抵押产品的产品、账户和交易数据。20217月起,所有其他中小银行将开放获取的个人贷款和其他账户的产品、账户和交易数据。针对以上阶段安排,澳大利亚竞争和消费者委员会将与各大银行和小型银行就后期阶段的时间安排进行磋商,包括按规模和共享软件供应商进行分批实施的选择。

6.其他地区的开放银行

在新加坡,金融管理局和银行协会出版了一本API手册,以支持银行和金融科技公司之间的数据交换和沟通。在日本,20175月,修订后的《银行法》决定引入第三方服务供应商注册制度,并宣布了银行与第三方服务供应商合作的政策,日本政府预计未来几年将有100多家银行开放API。日本金融监管厅已经建立了对第三方服务供应商的认证程序,并鼓励银行在2020年前与至少一个第三方服务供应商签订合同。大多数日本银行正非常认真地对待这一监管鼓励措施。墨西哥《金融科技法》于20183月生效,该法要求金融机构和金融科技机构之间建立API,以允许连接和访问由其他金融机构和金融科技机构开发或管理的数据,当然这事先需征得用户同意。其目的是共享用户的公开金融、聚合和交易数据,这不会构成违反金融保密义务的行为。有兴趣获取此类信息的金融机构和金融科技机构需要获得监管机构的事先授权,该监管机构还将对金融机构和金融科技机构转移信息的收费标准进行许可,以防止此类费用构成开放银行的障碍。

(二)开放银行的利弊与实施成效

1.开放银行的利弊

各法域之所以在开展开放银行运动方面不遗余力,主要是因为此项开放银行运动增加了金融服务业的竞争活力,带动了金融科技创新的发展,有利于提高金融服务的品质,有利于增强本法域金融服务业在国际金融竞争中的竞争力,巩固国际金融中心地位,并最终使金融消费者能够从中受惠。

英国开放数据研究所和Fingleton Associates的《银行数据共享和数据开放报告》研究了开放银行数据在3个场景下能带来的好处:(1)对于放贷,有利于完善风险模型,降低进入壁垒,确定市场中服务不足的部分。(2)有利于转换金融服务,使消费者更全面地了解金融服务。开放数据是让消费者尽可能完整地了解银行提供的服务的一种方式。他们对银行及其服务的了解更深入了。数据公开揭示了哪些类型的消费者正在转换服务,以及他们选择了何种账户,并同时基于相同处境的人的选择向特定客户提出相关建议。(3)对于金融咨询行业,有利于建立预测性债务咨询工具。数据分析可能有助于确定个人即将出现债务问题的预警指标。可以对那些使用债务咨询的个人进行大样本调查,并查询他们陷入困境之前的1224个月的银行账户和信贷数据,然后将他们与一个没有负债的对比人群进行比较。这种分析将需要足够精细的数据,包含个人识别信息。分析结果可以作为公开数据公布,以便慈善机构和金融服务提供者可以自由使用,以便利预测性金融咨询。

英国九家大型银行的开放银行试点表明:对于大型银行来说,开放银行业务是这些银行数字化战略中的一个关键因素。这些银行意识到他们拥有强大的品牌,并被信任负责客户的资金、身份和数据。他们具有庞大的客户基础,并将开放银行业务视为丰富其功能和体验的一种方式。通过更好地使用分析和个性化,银行能够将已经持有的数据与从其他机构和来源收集的数据结合起来。通过这种方式,银行希望为现有客户提供更多相关的产品和服务,并通过吸引新客户来增加市场份额。而那些认识到自己缺乏相比于初创企业的灵活性、速度或创新能力的银行,则可以通过与金融科技公司的合作来补充自己的产品,金融科技公司作为受控的和可信的生态系统的一部分,可以为银行客户增加价值。

当然,大多数试点的大型银行也认识到,开放银行业务可能会削弱他们与客户的关系。客户将越来越多地直接与设计良好的第三方应用程序打交道,并将其用作多个提供商的一系列银行产品和服务的接口。在极端的情况下,银行最终可能成为回报率较低的无差别的公用事业。这些银行的反应是提高其产品和平台的客户中心性,并保持与客户的相关性。他们相信,如果他们能够跟上新竞争对手的产品创新和可用性的步伐,大多数客户还是会继续使用银行来满足其大部分金融服务需求的。

这些试点银行还担心,客户可能会面临一系列与安全和数据丢失相关的风险。他们认为即使事故不是由银行引起的,银行的名誉也有可能受到牵连损害,而且可能会被期望帮助解决这一问题,这将产生成本。因此,许多试点银行认为,他们必须帮助客户了解数据共享的风险;确保使用API来提高安全性,而不是降低安全性。他们还计划严格验证第三方公司是否获得了访问其API的适当授权。

英国的中型银行通常都在等待试点的九家大型银行如何反应?出现了哪些新的竞争对手?客户对开放银行服务是如何反应的?尽管他们与大型银行对业务中断和脱媒的风险有着相似的担忧,但他们在将此作为优先战略事项方面往往会受到限制。他们没有同样的监管压力来重构他们的业务体系,也没有预算来投资于冒险的开放银行业务。

英国的金融科技公司一直在热切等待开放银行业务。尽管大多数成功的金融科技公司都因其开发和交付有用应用程序的能力而获得认可,但由于客户群有限,许多金融科技公司仍在苦苦挣扎。由于金融科技公司本质上专注于提供金融解决方案,因此获取金融数据对于他们创建新的解决方案和向潜在用户证明其价值至关重要。开放银行为金融科技公司提供了一个迅速扩大客户群的机会。此外,开放银行业务还提供标准化数据,金融科技公司可以通过机器学习算法运行这些数据,以开发更丰富的洞察力。至关重要的是,这些数据可以以安全的方式共享,这样可以减轻金融科技公司对安全使用数据能力的担忧。

对于欧盟的开放银行,欧洲中央银行执行委员会委员Benoit Coeuré认为:PSD2“赋予银行客户与第三方共享其账户信息的权利,并使用第三方发起支付,同时保持高标准的个人数据和消费者保护。它开辟了一个公平的竞争环境,金融科技公司可以在这里成长、扩大规模,并利用其他平行的技术进步,其中一些是由欧洲央行推动和发展的。

香港地区开放银行的目标是建立一个健康的开放API生态系统,保持银行业的竞争力,鼓励多方共同提供创新及综合服务,提升客户体验,并紧跟全球银行服务的发展趋势。]金管局总裁陈德霖表示:“银行推出开放API的一小步,是金融创新的一大步。我们期望开放API框架能够提供具体的指引,促进银行和第三方服务提供者之间合作,最终为客户带来创新、便利和稳妥的服务和新体验。金管局副总裁李达志认为,推出开放API有助于推动香港发展为智慧城市,进一步巩固香港作为国际金融中心及区内金融科技枢纽的地位。在此之前,金管局还进行了一次政策咨询,在咨询期间共收到了41份意见书,它们分别来自银行、科技/金融科技公司、业界组织、顾问公司、支付卡计划营运机构,以及个人和其他团体。所有回应者均对金管局建立开放API框架的政策方向持正面态度。

2.实施成效

英国开放银行工作组的报告显示,截至20191月,英国已有100家第三方机构通过了英国金融行为监管局的审核,参与开放银行服务,开放银行的应用进程在不断加快。此外,银行数据开放促进了新金融服务的产生。例如,以前多数中小企业融资时往往只考虑平时经常合作的银行,而在英国,现在已经出现了一些为小企业提供融资服务的平台,通过日常的交易数据为小企业客户预测并规划下一步需要融资的时间和金额,并提供及时融资服务。正是因为看到了开放银行业务对于金融科技公司潜在具有的巨大机遇,英国的金融科技公司在2013年时吸引的风险投资总额仅为1.45亿英镑,但到了2017年,这个数字是13.4亿英镑。

在德国,开放银行已经催生和壮大了一些新型金融科技公司。例如,Solaris Bank,其本身是一家纯技术公司,后申请了银行牌照,但无传统银行业务,主要为电商、零售商、金融科技公司等企业提供纯粹的开放API服务,包括支付、电子货币清结算等。又如德国公司Fidor,除自营纯线上数字银行业务外,还通过开放API的方式,向企业和其他中小金融机构输出支付、线上社区运营等业务能力。

四、我国引入数据可携权的必要性及其考量

从开放银行的角度看,我国有必要引入数据可携权。从银行服务提供方式的角度来看,银行发展至今经历了四个阶段:银行1.0,网点服务阶段;银行2.0,自助银行阶段;银行3.0,基于互联网的银行服务阶段;银行4.0,银行即服务阶段。即在银行4.0阶段,银行成为服务平台,通过技术,随客户所需,即时提供内嵌的、无所不在的银行服务。人们可以通过自己的授权让第三方自由使用自己的金融数据,创造了让自己享受更全面更优质金融服务的可能性。在银行4.0阶段,银行服务是完整的,背后由哪家银行提供服务不再是重点,而是由银行或第三方来提供无所不在的银行服务,即跨越时间和媒介的银行服务。法律打破了银行对数据的垄断,虽然对于银行短期不利,但也是银行正视竞争的开始,或许是未来银行的起点。在我国,也有的银行已经觉察到开放银行带来的新契机,开始尝试数据开放,但掣肘于技术、组织和法律的滞后而实施缓慢。

从个人的需求来讲,我国目前还没有类似的可携权需求之民意调查。另外,一个值得关注的现象是,个人的信息保护意识尚未崛起,就连基本的知情同意原则就很难落实,更遑论数据可携权?我国立法机关应发起一次可携权需求的民意调查,具体了解民众的可携权需求。从数据企业的角度看,大型互联网巨头普遍反对这项权利。我国不像欧洲、印度、澳大利亚,我国的互联网巨头比较多,它们已经积累了一些客户数据,具有先发优势,并不愿意后来者与其分享数据。因此,它们反对引入数据可携权。但是,这些互联网巨头又是金融后发者,它们又想与银行分享数据,它们支持开放银行。从开放银行的角度看,这些互联网巨头又支持数据可携权。但是,从小企业或者互联网后发企业的角度讲,它们又想分享互联网巨头们已经积累起来的数据,这从头腾大战中即可看出。

引入数据可携权是否会带来马太效应?任何市场竞争都具有马太效应。引入数据可携权会加剧市场竞争,因而自然会带来马太效应。市场竞争是经济增长和技术进步的动力,只要不是无序竞争、不正当竞争,都应该是被鼓励的。因此,这构不成反对引入数据可携权的理由。引入数据可携权是否会抑制创新热情?反对数据可携权引入的一个理由是,数据可携权会使客户忠诚度降低,企业由于担心客户的不忠诚,会减少投入,进而不利于创新。但我们认为,数据可携权的引入会加剧竞争,但只要是合法的、有规则的市场竞争,都是应该鼓励的。因此,这也构不成反对数据可携权引进的理由。

真正构成数据可携权引入的顾虑是,一旦引入数据可携权会不会加重数据企业的负担。换言之,我国是否需要引入数据可携权取决于成本和收益的衡量。对此,新加坡个人数据保护委员会的报告的最后总结是很有道理的:数据可携权有可能通过经济中不断增加的数据流为消费者和企业带来巨大的利益。跨组织和跨行业的数据移动可以以新的方式使用和组合,刺激数字经济中新商业模式和创新服务的增长。然而,监管者应该谨慎,不要给消费者和企业带来不成比例的成本,特别是在系统不可互操作的情况下。这个平衡的关键是数据可携权的实现方式和应采用的标准。数据可携权与任何其他消费者权利一样,必须在为消费者提供控制和访问其数据之间取得平衡,并将企业成本降至最低。虽然它有可能改善竞争条件,进而改善向消费者提供的服务,但它也可能产生合规成本,从而转嫁给消费者。

如果引入数据可携权,肯定会增加数据企业的成本。一方面,数据企业为了合规,必须增加合规支出。不过,个人信息保护法律制度的不断完善过程,就是数据企业合规成本不断增加的过程。增加一个数据可携权,其增加的边际成本也是有限的。另一方面,数据企业为满足个人的可携权要求,肯定会增加技术支出。不过,随着该项技术的成熟,成本会降低和摊平。但该项支出是多少呢?英国对开放银行有一个成本估计,结果是每家银行需要每年增加40万英镑的成本。这个成本对于银行来讲无足挂齿,但如果加在中小企业身上就是一个巨大的负担了。但在我国,增加一个数据可携权,会增加多少成本,尚需进一步的调研和评估。总之,我国是否需要全面引入数据可携权,固然需进一步的研究、调查和论证,但在开放银行领域,为了促进金融服务的普惠化和提高我国的金融服务水平,数据可携权又是非常必要的。毕竟增加的这些成本不会构成银行的过重负担,同时,其带来的收益又是非常巨大的。从社会成本收益的角度看,这是非常值得的。鉴于此,笔者主张先在开放银行领域进行试点,然后根据需要逐步拓展到其他领域。无论是一步引进还是分步引进数据可携权,都应该认识到,数据可携权是一项有限的权利。与数据访问权、更正权和删除权不同,GDPR并没有用请求权来表述数据可携权要求。数据可携权仅在某些情况下适用。数据可携权的行使的范围和领域以及免费次数都是有限的。

五、我国引入数据可携权的策略选择与难题解决

(一)我国引入数据可携权的步骤

我国引入数据可携权,不应当一步到位,而应当采取分行业分阶段的方法来渐次实施。欧盟、印度、马来西亚和美国加州是一步到位,但面临很多实施难题,需要有权解释者予以逐步落实。相比较而言,澳大利亚的分行业分步骤实施的做法就颇值得我国借鉴了。在开放银行领域,英国和我国香港地区也是分阶段予以实施的。这种摸着石头过河的做法体现了立法者的审慎态度,更有利于法的实现,同时,又不至于过度增加企业负担。具体而言,我国应首先通过开放银行来引入数据可携权,待实施一段时间,积累了相关经验之后,再由相关行业管理部门决定在相关行业逐步引入数据可携权。我国的开放银行制度之实施,也应分步骤进行,大型银行应首先实施开放银行,然后再逐步推广至中型银行,最后过渡到小型银行。无论是何种规模的银行实施开放银行,都应该先选择若干最有价值的业务领域(如个人金融业务和信用卡业务)先行试点积累经验。

(二)数据可携权关键制度的具体设计

有权行使数据可携权的数据范围如何选择呢?世界经济论坛根据信息的来源将个人信息的类型分为个人提供的个人信息、被观测到的个人信息与推测的个人信息。欧盟沿用了该分类,GDPR规定可行使可携权的信息仅为个人提供的信息,但第29条工作组的解释又进行了扩张,将被观测到的个人信息也解释为个人提供的信息。印度则更进一步,将数据画像这一推测个人信息也纳入到了可行使数据可携权的范围。可行使数据可携权的数据范围问题,本质上是数据权属及其分配问题。欧盟基于数据权利是一项基本权利之观念认为个人提供的个人信息是个人的因此,个人自然有权拿走属于自己的个人信息,且不用支付费用(行使复制复本的介质成本除外)。但问题是,第29条工作组又将数据控制者观测、记录和保存的数据解释为个人提供的数据,如果个人也可以无偿拿走的话,这就忽视了数据控制者的贡献了,毕竟观测、记录和保存数据也是需要付出成本或劳动的。印度的做法就走得更远了,利用数据对个人进行画像后的结论需要数据控制者付出更大的成本或更多的劳动,个人再无偿拿走,就更无视数据控制者的贡献了。笔者认为,个人信息的类型应分为基本个人信息被记录的伴生个人信息预测个人信息三类。基本个人信息”(或称个人基本信息”)是指个人提交的关于本人的特定信息,个人基本信息的财产利益或财产权完全属于个人。被记录的伴生个人信息是个人在生活、交易或工作中形成并被数据企业记录下来的关于个人的信息,它是个人活动的副产品。伴生个人信息的财产利益或财产权为个人与数据企业共有,个人的财产权份额多于数据企业的财产权份额。预测个人信息是通过大数据对个人进行画像后得出的结论。预测个人信息的财产利益或财产权也为个人与数据企业所共有,但数据企业的财产权份额多于个人的财产权份额。基于此,个人可以无偿拿走个人基本信息的复本,但要想拿走个人伴生信息的复本则需要支付一定的对价,拿走个人预测信息的复本需要付出的对价更大一些(以上均不含复制复本的介质成本)

数据控制者(银行)是否收费以及如何收费呢?除了个人需要支付复制复本的介质成本之外,个人可以无偿拿走个人基本信息的复本;但要想拿走个人伴生信息的复本则需要支付一定的对价,拿走个人预测信息的复本需要付出的对价更大。但该等对价应该为多少呢?这就涉及到数据的定价问题。在数据可以交易的情况下,可以参考数据交易定价。但在没有数据交易时,如果任由数据控制者提出价格,个人无条件服从时,由于个人数据的垄断性(为该数据控制者一家拥有),这并不是一个有效的价格形成机制。为此,墨西哥2018年《金融科技法》要求监管机构对金融机构和金融科技机构转移信息的收费标准进行许可,以防止此类费用构成开放银行的障碍。如果定价合理,个人就可以在支付相关费用的基础上不限次地行使其可携权。但是,在我国,用户已经形成了免费使用相关服务的习惯,如果银行向客户收费,可能不是一个可行的商业模式。不过,我国互联网收费的模式往往是羊毛出在牛身上,让猪埋单Capgemini与欧洲金融管理协会联合发布的《2017年全球零售银行报告》显示:54.3%的第三方机构选择以交易费用形式向银行支付,但47.8%的银行更倾向选择收益共享方式。受此启发,我国一旦开放了银行数据,可以预见的银行与第三方服务提供商的合作模式有二:一是第三方服务提供商向银行支付相关数据费用,第三方服务提供商再从客户那里通过多收取的费用来予以冲抵;二是银行与第三方服务提供商共享收益分成,其实该收益最终还是来源于客户。这将是一个最终由市场形成价格的机制,并避免了政府定价或限价的干预。

(三)数据可携权实现难题的解决

第一,关于数据安全问题。欧盟《数据可携权指南》指出:数据控制者应当对涉及数据可携权的特定风险进行评估并采取适当的风险防范措施。此类风险防范措施包括:如果数据主体已经采取身份验证措施,可以利用额外身份验证信息,例如共享密匙,或其他身份验证因素,例如一次性密码;如果怀疑相关账户被盗用,可暂缓或冻结数据传输;如果一个数据控制者向另一个数据控制者直接传输数据,可采取强制身份验证措施,例如基于标记(tokens)的身份验证措施。这些安全措施不得具有阻碍性,不能妨碍用户行使其权利。[1]数据控制者在将数据下载到计算机上后,不应忘记教育用户数据安全的重要性,尽管这是数据主体的责任,但他们可能没有足够的知识来实现这一点。美国消费者金融保护署的《消费者保护原则:消费者授权的金融数据共享和聚合》指出:“用户数据被安全地访问、存储、使用和分发。消费者数据的保存方式和格式能够阻止和保护安全漏洞,防止对消费者造成伤害。访问凭据也同样受到保护。所有访问、存储、传输或销毁数据的各方都使用强大的保护和有效的流程来降低、监测、及时响应、解决和补救数据泄露、传输错误、未经授权的访问和欺诈的风险,并仅将数据传输给具有此类保护和流程的第三方。安全有效地适应新的威胁。英国《开放银行标准》则通过金融服务行为监管局对拟获取银行用户资料的第三方机构进行资质审核的方式来确保数据安全。安全是数据可携权的底线,数据企业有义务保障个人的数据安全权益,为此,监管部门对拟获取资料的第三方进行资质审核也是必要的。但老的数据控制者不对新的数据控制者的安全承担责任。

第二,关于权利粘连问题。在社交的场景下,一个人的信息难免会涉及到其他人的信息。在金融交易的场景下,也往往涉及到其他人的信息,如交易对手的信息。在这种情况下,一个人数据可携权的行使,以不损害第三人的权利为限。如果不损害第三人的权利,则该数据可携权可以行使。例如,如果将数据主体与某个第三人的交易信息从一个数据控制者转移至另一个数据控制者的话,一方面,新的数据控制者不能利用该信息、不能对该信息进行处理,这是新的数据控制者的义务———除非得到该第三人的同意;另一方面,新的数据控制者应有义务保障此类信息的安全。在这样的情况下,应该认为,第三人的利益未受损害,该数据可携权可以行使。如果第三人的利益受到了侵害,则侵害者应负相关责任。那么,行使数据可携权的人是否要负责任呢?笔者认为,他可以不负责任,除非能够证明他是出于故意或重大过失才造成了第三人利益的侵害。

第三,关于技术可行性问题。数据可携权的技术是否可行,GDPR将其交给了数据控制者进行自由裁量,并不要求数据控制者有义务采用或维护技术上兼容的处理系统。这是在一步到位实施数据可携权的情形下的缓冲措施,其实是不利于数据主体的。因此,我们建议在我国分行业、分阶段实施数据可携权的情况下,由行业主管部门或行业协会来判断其在技术上是否可行,而不完全交给数据企业自由裁量。这样的方案,既具有一定的灵活性,又具有一定的强制性,是强制性与灵活性的有机结合。

出处:《政法论丛》2020年第2期
 
 
分享到: 豆瓣 更多
【打印此文】 【收藏此文】 【关闭窗口】

网站简介 | 联系我们 | 网站地图 | 网站管理

公众微信二维码
建议使用IE6.0以上1024*768浏览器访问本站 京ICP备14028265号
如果您有与网站相关的任何问题,请及时与我们联系(financialservicelaw@126.com),我们将做妥善处理!
版权所有©转载本网站内容,请注明转自"中国金融服务法治网"
欢迎您!第 位访问者!