摘要：欧盟、英国、澳大利亚、美国加州、印度、马来西亚等法域已经引入了数据可携权。我国是否应引入数据可携权,目前尚未达成共识。开放银行是数据可携权最先行也是最有价值的应用场景,开放银行的理论基础是数据可携权。从开放银行的视角看,我国应引入数据可携权。但无论是数据可携权的引入,还是开放银行的实施,都宜循序渐进地分步骤、分阶段进行,而不宜一步到位。具体而言,我国应首先通过开放银行来引入数据可携权,待实施一段时间,积累了相关经验之后,由相关行业管理部门决定是否以及如何在相关行业逐步引入数据可携权。

关键词：个人信息;数据可携权;开放银行;《一般数据保护条例》(GDPR)

自欧盟《一般数据保护条例》(以下简称GDPR)正式规定了数据可携权以来，已有不少国家和地区已经引入了该权利，还有的国家密切关注前述法域的数据可携权实践。我国目前正在起草的《个人信息保护法(草案)》也对该问题高度关注，但是否引入数据可携权，各界争议较大，共识尚未达成。开放银行是数据可携权最先行也是最有价值的应用场景。各国最近几年来在开放银行领域突飞猛进，一股引爆全球的开放银行运动已经爆发。开放银行的理论基础是数据可携权。如不引入数据可携权，就无法解释和开展开放银行。从开放银行的视角看，无论数据可携权的实施有多大困难，引入该权利都是非常必要的。不过，笔者主张，无论是数据可携权的引入，还是开放银行的实施，都宜循序渐进分步骤、分阶段地进行，而不宜一步到位，因为数据可携权是一种有限的、相对的权利，其权利边界和客体范围需审慎把控，且具有一定的技术难度。

一、从比较法的角度初识数据可携权

(一)GDPR上的数据可携权

GDPR将第20条第(1)款中的数据可携权定义如下:数据主体有权以结构化、通用化和机器可读的格式接收他或她提供给控制者的有关他她的个人数据，并有权将这些数据传输给另一个控制者，原数据控制者不得阻碍。数据可携权不会自动触发从数据控制者的系统删除数据，也不会影响该传输数据的原始保留期。因此，数据主体获取的其实是数据复本。GDPR序言第68条鼓励数据控制者开发可互操作性的格式，以实现数据的可携权，但不要求控制者有义务采用或维护技术上兼容的处理系统。但是，GDPR第20条第(1)款规定，数据主体有权将数据传输至另一个数据控制者，提供数据的数据控制者不得对此设置障碍。

根据GDPR第20(1)条之规定，适用数据可携权的用户数据需为数据主体提供的数据。如何理解“数据主体提供的数据”，第29条工作组的《数据可携权指南》认为考虑到数据可携权的政策目标，“数据主体提供的数据”这一术语必须从在广义上进行理解，其将“数据主体提供的数据”分为两类情形:(1)数据主体有意和主动提供的个人数据(如收件地址、用户名、年龄等)。(2)数据主体通过使用服务或者设备所提供的观测数据。与之相反，推测数据和派生数据是数据控制者以“数据主体提供的数据”为基础而创建的数据，不在数据可携权的范围之内。GDPR第20(4)条之规定，用户数据可携权不应对他人的权利和自由造成不利影响。

数据控制者可以收取合理费用。数据主体行使可携权是免费的，即在大多数情况下，数据控制者不能对数据可携权的请求收取费用。但是，如果可携权申请没有合理依据或者是过分要求，特别是数据可携权请求具有重复特征的，数据控制者可以收取“合理费用”作为遵守可携权申请的管理费用。如果数据将以物理形式发送，则费用应仅包括筛选数据和购买媒介(纸张、光盘)的实际开销。

在可携权申请中，数据主体可以指定新的数据控制者(服务提供商)，现有数据控制者将不得不向指定的新的数据控制者传输数据。数据主体(用户)可以要求现有数据控制者将其数据发送给用户，用户再将该数据上传到新的服务提供商。对于在其职责范围内进行的任何其他数据处理，数据控制者应适用GDPR第5条规定的原则，如合法性、公平性和透明性、目的限制、数据最小化、准确性、完整性和机密性、存储限制和责任。

(二)其他国家和地区的数据可携权

2017年，澳大利亚生产力委员会建议澳大利亚政府引入消费者数据权，以改善消费者对企业持有的与消费者使用其产品和服务有关的数据的控制。这就要求消费者能够更好地访问他们的数据，并能够将数据直接传输给数据接收者，与可信的第三方共享数据。2019年8月，澳大利亚国会通过《2019年财政法律修改案(消费者数据权利)法》。根据该法，消费者数据权是指消费者有权指示其供应商(如其银行)与他人共享供应商所持有的消费者信息。一旦根据消费者数据权制度指定了一个部门，产品数据和消费者数据必须应客户的要求予以披露。产品数据是与任何特定消费者无关的数据，这是供应商的通用产品信息，如条款和条件或产品的可用性。消费者数据是特定于消费者的数据，如姓名和联系人详细信息、账户详细信息和交易详细信息。但以下两类信息不适用该制度:(1)某些信贷信息:如信贷侵权、法院程序和个人破产信息等。(2)实质性增强信息:即“……信息全部或部分是通过对……原始资料的洞察或分析而获得的;并且该洞察或分析……是由持有信息或代表其持有信息的实体进行的;并且……使之……比原始信息有更大的价值。”澳大利亚政府承诺将消费者数据权制度应用于银行、能源和电信部门，并最终应用于整个经济。

2018年6月颁布并于2020年实施生效的《加州消费者隐私法》(以下简称CCPA)在第1798.100部分规定了用户的“访问及可携权”，即通过身份验证后的消费者可以请求企业提供其收集的特定个人信息以及其他类别信息的副本，若企业以电子方式提供，则数据的副本必须“可携”，并且在技术上可行的情况下，应以“易于使用的格式”允许消费者将该信息传送给另一数据企业。

2019年12月4日，印度联邦内阁批准了印度《2019年个人数据保护法》。其第19条规定了数据可携权:如果数据处理是采用自动化手段进行的，数据主体有权以结构化、通用化且机器可读的格式接收以下数据:数据主体向数据受托者提供的个人数据;在数据受托者提供服务或使用产品的过程中产生的数据;或构成数据主体画像的一部分，后者数据受托者以其他方式获取的数据;以及将前述提到的数据以结构化、通用化且机器可读的格式转移给任何其他数据受托者。但是，如果数据处理是履行联邦的职能或遵守法律或法院的命令所必要的，或披露会涉及到数据受托者的商业秘密，或在技术上不可行时，不适用数据可携权的规定。

菲律宾《2012年数据隐私法》第18条规定，当个人信息以电子方式、结构化和常用格式处理时，数据主体有权从个人信息控制者处获得一份正在以电子或结构化格式处理的数据副本，该副本通常使用并允许数据主体进一步使用。国家隐私委员会可具体说明该电子格式以及转让的技术标准、方式和程序。

二、数据可携权是否引入之争

对于我国是否应引入数据可携权的问题，我国学者赞同者有之，反对者亦有之。赞同者主要基于域外的经验和理由，反对者既有基于域外的教训的，也有基于国内的现状的。

(一)支持引入数据可携权的理由

根据已经引入了数据可携权的欧盟和澳大利亚等法域的官方文件和学者们的解读，之所以引入数据可携权主要是基于以下几个理由:第一，数据可携权是通讯漫游和跨境服务访问权的延伸。数据可携带最早可以追溯到2002年欧盟颁布的《普遍服务指令》陈述部分第(40)到(42)段和第30条关于电话号码可携带的相关规定。可以说，电话号码的可携带性是数据携带的理论和实践前提。数据可携权对以前出现的可携性措施进行统一规定将发挥更大的效益。第二，便利数据主体。第29条工作组认为，数据可携权的主要目的是加强个人对其个人数据的控制，并确保他们在数据生态系统中发挥积极作用。数据可携权可以促进组织之间用户对个人数据受控的和有限的共享，从而丰富服务和客户体验。澳大利亚财政部认为，消费者数据权将通过允许数据安全地与认证的、可信任的接收者(如比较网站)共享数据来改进消费者的选择权和便利性。这将增加消费者的谈判能力，获得更高的性价比。从长远来看，这将改善消费者的控制、选择、便利和信心，将促进以消费者为中心的数据部门为消费者创造更大的价值。第三，促进自由竞争和打破锁定效应。欧盟委员会认为，“可携性能够促进竞争”，想要形成良好的竞争机制促进市场发展，就要“保证用户能在服务商之间轻松地转移数据”。数据服务日益激烈的竞争能够将利益带给数据生成者和数据用户，从而有效解决价值链中价值公平分配问题。第四，促进创新和经济增长。引入可携权的本质是推动数据开放。麦肯锡2013年的一份报告估计，开放数据市场的价值为每年3-5万亿美元。还有一项经济学研究估计，20国集团国家的开放数据政策可能对GDP增长贡献1.1%。澳大利亚财政部认为，消费者数据权将改善经济中的信息流动，鼓励开发新的产品和应用程序，让更多的消费者能够满足他们的需求;这将有助于创新和降低成本;消费者数据权应支持数据驱动的经济增长，并在澳大利亚创造新的高价值的就业机会。

(二)反对引入可携权的理由

反对我国引入数据可携权的声音也不小，他们的理由主要是:第一，背离反垄断法的初衷。反垄断法所反对的主要是具有市场支配地位的企业，而数据可携权的适用对象是一切数据企业，远远大于反垄断法所规定的范围。由于大型互联网企业具备初创企业和中小规模企业所不具备的优势，数据可携权有可能强化“大者愈大”的“马太效应”，从而对初创企业和中小规模企业不利。第二，权利冲突。欧盟数据携带权的相关规定与我国关于个人数据权属的实践存在一定冲突。根据GDPR规定，数据主体似乎对个人数据拥有绝对的权利，数据控制者对个人数据无相关权利，即使有也十分有限。在我国立法目前对个人数据权属尚不明确的情况下，确立数据携带权很可能否定了数据控制者对个人数据所拥有的相应权利。第三，带来数据安全问题。数据携带权的规定使得个人数据的传输和转移变得十分频繁，而这种频繁的转移为恶意攻击提供难得的机会，这在无形中增加了潜在攻击，为恶意攻击者利用数据或注入错误代码创造更多机会。第四，抑制创新。考虑到自身收集的个人数据很可能被转移到其他数据控制者手里，数据控制者可能不愿意投资于数据收集。在用户忠诚度不高的情况下，数据企业投身于创新的意愿和能力也会受到抑制。一定的转换成本可以鼓励对新技术业务的投资，在长期来看是具有效率的。

(三)数据可携权行使的难题

反对引入数据可携权的理由，除了前述四个理由外，还有如下所谓的“理由”，它们其实不是“理由”，而是数据可携权行使的“难题”。第一，技术难度。在传输格式的问题上，GDPR及各国都要求数据控制者被要求以“结构化、通用、机器可读的格式”实现数据可携权的请求。但是“结构化、通用、机器可读的格式”并没有形成统一的标准。欧盟提出将在2016-2020年间指导建设欧洲的互通式框架，并认为技术问题可为欧洲互用式框架所解决，但尚待观察。第二，数据范围问题。在可能会涉及到其他数据主体的权利时，可能会产生数据可携权与第三方权利和自由之间的冲突。第三，权利粘连。在现实的万物互联的时代，每个人的个人信息，似乎都与物的信息、机构的信息以及与他人的个人信息粘连在一起。在转移过程中，如何不涉及对他人权利的负面影响，是“可携权”面临的最大考验。

三、从开放银行的角度看数据可携权

伴随着金融科技在最近几年来的迅速崛起，金融机构与金融科技公司合力掀起了开放银行(数据)的浪潮。开放银行运动的权利基础在于数据可携权。开放银行是数据可携权最有价值的应用场景。通过开放银行，可以发现数据可携权的真正价值。

(一)开放银行的由来、发展与基本架构

1．欧盟的开放银行

欧盟开放银行赋予了用户发起数据共享的权利，这源于GDPR第20条数据可携权。依据此规定，个人有权以一种结构化、通用和机器可读的形式获取其已提供给数据控制者的个人数据，且无障碍地将该数据转移至另一个数据控制者。正是觉察到数据可携权对市场竞争的正面效应，2015年发布并于2018年实施的欧盟《第二代支付服务法令》(以下简称PSD2)第66、67条赋予用户对其账户信息的控制权和可携权，银行应在用户要求时向第三方开放用户数据的访问权限，即便该第三方与银行并不存在任何合同关系。欧盟PSD2被认为是一项特别重要的立法，因为“它不仅仅是在现有框架中增加新的内容，而是试图通过技术改造银行部门。” “在PSD2中，欧盟采取了通过要求银行开放应用程序编程接口(以下简称API)，让竞争对手更容易访问其客户的账户数据，用户对数据的控制达到了更高的水平。” PSD2建立了两类新的服务提供商，这就是“账户信息服务提供商”和“支付信息服务提供商”。

2018年3月，30家金融机构和行业服务提供商已加入进了欧洲开放银行业务。时至2019年7月，全欧洲使用欧洲开放银行业务目录来满足PSD2账户访问要求的银行数量已增至300多家。

2．英国的开放银行

英国是开放银行的较早实践者。曾为欧盟成员国的英国，既引领了欧盟的PSD2和开放银行运动，同时又曾受PSD2的约束。在英国脱欧之后，英国在开放银行领域继续前行。

早在2014年，开放数据研究所和Fingleton Associates受英国政府委托，发布了《银行数据共享和数据开放报告》。报告认为:建立API标准与开放数据对用户、银行和第三方机构均有利。2016年3月，英国财政部“开放银行工作组”发布了《开放银行标准》。该标准对数据类型的具体界定为:(1)开放数据:即任何人都可以访问、使用或共享的开放数据。如产品信息和ATM位置。(2)客户交易数据:在客户的财务报表中呈现给客户的数据(包括基础交易历史)和与客户账户相关的数据，通过这些数据可以发起付款。如余额信息、交易历史记录和付款信息(也就是便利支付的信息)。(3)客户参考数据:与账户使用无直接关系的个人或企业的数据，例如为完成合规要求而从客户处收集的数据或为客户生成的数据。如通过“了解你的客户”流程或履行反洗钱义务而收集的相关的数据或信用评分数据。(4)聚合数据:跨交易、报表、其他客户数据或开放数据源的平均数据集或聚合数据集。例如，每个月在某邮政编码区域平均支取现金的次数等。(5)商业敏感数据。它类似于银行的商业秘密。敏感信息包括文件、策略、定价、政策、算法和根据许可提供的数据。对数据主体而言，这可能包括有关盈利能力的数据，这些数据揭示了对银行业绩的专有或有竞争力的洞察，例如客户群体的平均信用评分或平均利润率。商业敏感数据不在开放银行的数据范围内。

银行在授予第三方在指定功能范围内访问数据时，有两种权限:(1)只读访问———授予第三方使其能够读取但不能修改文件、文件集或数据集。(2)可写访问———授予第三方修改或执行文件、文件集和数据集的权限。开放数据和开放的聚合数据均属于只读访问数据。而客户交易数据可以是只读访问数据，也可以是可写访问数据。按照《开放银行标准》，拟通过开放银行机制获取银行用户资料的第三方机构须向英国金融行为监管局进行注册申请，并经英国金融行为监管局审核通过后才有资质与银行开展合作，必须根据授权和协议调用相关数据。

英国的非政府组织———竞争与市场管理局负责具体推广《开放银行标准》的实施。竞争与市场管理局率先推动英国前九大银行建立和采用统一的开放银行API共同标准。并要求这9家银行自2018年1月起，在用户许可的前提下，允许经认证的第三方机构获得数据。从2019年开始，竞争与市场管理局将分阶段、分步骤推动开放银行计划，以便更平稳、更低风险地统一数据和API的接口标准，第一阶段暂时只涉及支付或交易数据的开放。

3．美国的开放银行

PSD2规定的“开放API银行”的技术前身是“屏幕抓取”。那些乐于在线访问其银行、信用卡或经纪账户的消费者可能会发现，他们很难记住自己的用户名或密码。1999年，出现了一个新的行业来帮助解决这一问题。数据聚合器允许消费者将其用于访问在多家金融机构持有的账户的用户名和密码交给单个网站运营商，从而允许消费者从单个位置查看其所有账户。由于金融聚合器服务依赖于“屏幕抓取”从其他网站收集信息，而被“抓取”的网站的运营商可能会试图阻止信息的收集。

聚合器服务给消费者和受监管的金融中介机构带来了许多令人不安的问题。虽然消费者可以享受单一登录访问其所有金融账户的便利，互联网初创企业的安全性和可靠性通常无法与账户所在地受监管金融中介机构的安全性和可靠性相比。消费者可能无法确定聚合器服务提供者是否会采取适当措施保护个人信息的隐私或信用卡号码等敏感信息的安全，因为聚合器尚未受到监管。如果聚合器服务提供者未能提供其承诺提供的隐私或安全级别，在聚合器服务提供者资本不足的情况下，消费者可能无法获得赔偿。聚合器服务提供者可能事先与消费者开户的金融机构没有合同关系，并且可以在未经金融机构知道或同意的情况下，通过代替消费者登录该金融机构的网站来获取消费者的账户信息。

本世纪一十年代时，金融聚合服务的重点转移到为习惯于在平板电脑、手机以及个人电脑上访问数据的个人提供“云端”个人信息访问。此外，金融聚合服务通常采用“免费”的商业模式:免费赠送软件，但通过提供个人理财和投资咨询服务而收费。

最早的支付API或许是2004年首次发布的PayPal API。2017年，人们对基于API的开放银行业务的兴趣通常是市场驱动和自愿的。金融聚合服务提供商中的许多都是通过屏幕抓取或类似的过程收集所需信息，而没有账户所在的金融机构的积极参与。但如果传统金融机构和新服务协作的话，效率就会更高。API是一个框架，规定了不同的软件程序组件如何相互作用。

2010年的《多德—弗兰克法案》第1033条规定了消费者从银行机构获取金融数据的权利，但遗留了消费者关于能否授权第三方获取银行金融数据的问题。2016年，美国金融消费者保护署(以下简称CFPB)董事Richard Cordray宣布，CFPB正发起一个与“数据聚合”或“账户聚合”相关的“信息请求”项目。鉴于一些银行公开地试图阻止数据聚合对其客户数据的访问，Cordray强调CFPB愿意保护消费者与数据聚合服务提供商共享数据的权利，必要时实施强制性法规。在2016年的另一次演讲中，Cordray还表示，CFPB愿意并且能够在需要的时候实施PSD2式监管。但到了2017年，CFPB放弃了发起正式的监管行动，而是发布了题为《消费者保护原则:消费者授权的金融数据共享和聚合》的非约束性指南。CFPB指出，它正在拒绝采取更为正式的监管行动，以避免给社区银行或小型信用社等小型市场参与者带来过多负担，破坏市场的自我演进。

4．香港地区的开放银行

香港金融管理局于2018年7月发布了一个开放的API框架，为银行实施开放式API提供了一个四阶段的方法，从产品和服务的信息共享开始，到交易信息共享和发起付款服务结束。四个阶段的开放API包括:第一阶段———产品资料;第二阶段———产品申请;第三阶段———账户资讯;第四阶段———财务交易。然而，与欧盟的做法相反，尽管银行将被要求开发API，但它们将能够限制对它们选择合作的第三方服务提供商的访问。

第一阶段于2019年1月如期实施，20家参与零售银行已提供超过500个开放API，方便各界查阅广泛的银行产品及服务资讯。越来越多网站及流动应用程序正逐渐利用上述开放API提供各类服务，如汇率资讯、存款利率及贷款产品比较。2019年10月，20家参与零售银行开始落实第二阶段开放API以处理银行产品及服务申请。然而，跟第一阶段的情况相似，根据个别银行API设计的复杂程度，利用此阶段开放API的新应用程序或需要一段时间才会陆续在市场出现。至于第三及第四阶段开放API，因涉及读取客户资讯及处理财务交易，具体实施工作会较为复杂，也需要较严格的监管措施。

5．澳大利亚的开放银行

澳大利亚在开放银行领域以其创新的方式和雄心壮志而著称。澳大利亚政府决定立法赋予消费者数据权，让国民对自己的数据拥有更大的控制权，使消费者能够选择仅为其授权的目的与受信任的接收者共享数据。这项权利将首先在银行业、能源和电信部门实施，然后在整个经济领域逐部门展开。

澳大利亚的开放银行业务将从2019年起分为若干阶段实施。从2019年7月起，澳大利亚四大银行将被要求公开分享有关信用卡和借记卡、存款账户和交易账户的产品数据。从2020年2月起，提供抵押贷款账户的产品和消费者数据将开始开放。银行将被要求公开分享有关信用卡和借记卡、存款账户和交易账户的消费者数据。从2020年7月起，澳大利亚四大银行将开放获取的个人贷款和其他账户的产品数据;获取的个人贷款和其他账户的消费者、账户和交易数据。所有其他中小银行:将开放访问信用卡和借记卡、存款账户和交易账户的产品、账户和交易数据。从2021年2月起，所有其他中小银行将开放获取的抵押产品的产品、账户和交易数据。2021年7月起，所有其他中小银行将开放获取的个人贷款和其他账户的产品、账户和交易数据。针对以上阶段安排，澳大利亚竞争和消费者委员会将与各大银行和小型银行就后期阶段的时间安排进行磋商，包括按规模和共享软件供应商进行分批实施的选择。

6．其他地区的开放银行

在新加坡，金融管理局和银行协会出版了一本API手册，以支持银行和金融科技公司之间的数据交换和沟通。在日本，2017年5月，修订后的《银行法》决定引入第三方服务供应商注册制度，并宣布了银行与第三方服务供应商合作的政策，日本政府预计未来几年将有100多家银行开放API。日本金融监管厅已经建立了对第三方服务供应商的认证程序，并鼓励银行在2020年前与至少一个第三方服务供应商签订合同。大多数日本银行正非常认真地对待这一监管鼓励措施。墨西哥《金融科技法》于2018年3月生效，该法要求金融机构和金融科技机构之间建立API，以允许连接和访问由其他金融机构和金融科技机构开发或管理的数据，当然这事先需征得用户同意。其目的是共享用户的公开金融、聚合和交易数据，这不会构成违反金融保密义务的行为。有兴趣获取此类信息的金融机构和金融科技机构需要获得监管机构的事先授权，该监管机构还将对金融机构和金融科技机构转移信息的收费标准进行许可，以防止此类费用构成开放银行的障碍。

(二)开放银行的利弊与实施成效

1．开放银行的利弊

各法域之所以在开展开放银行运动方面不遗余力，主要是因为此项开放银行运动增加了金融服务业的竞争活力，带动了金融科技创新的发展，有利于提高金融服务的品质，有利于增强本法域金融服务业在国际金融竞争中的竞争力，巩固国际金融中心地位，并最终使金融消费者能够从中受惠。

英国开放数据研究所和Fingleton Associates的《银行数据共享和数据开放报告》研究了开放银行数据在3个场景下能带来的好处:(1)对于放贷，有利于完善风险模型，降低进入壁垒，确定市场中服务不足的部分。(2)有利于转换金融服务，使消费者更全面地了解金融服务。开放数据是让消费者尽可能完整地了解银行提供的服务的一种方式。他们对银行及其服务的了解更深入了。数据公开揭示了哪些类型的消费者正在转换服务，以及他们选择了何种账户，并同时基于相同处境的人的选择向特定客户提出相关建议。(3)对于金融咨询行业，有利于建立预测性债务咨询工具。数据分析可能有助于确定个人即将出现债务问题的预警指标。可以对那些使用债务咨询的个人进行大样本调查，并查询他们陷入困境之前的12或24个月的银行账户和信贷数据，然后将他们与一个没有负债的对比人群进行比较。这种分析将需要足够精细的数据，包含个人识别信息。分析结果可以作为公开数据公布，以便慈善机构和金融服务提供者可以自由使用，以便利预测性金融咨询。

英国九家大型银行的开放银行试点表明:对于大型银行来说，开放银行业务是这些银行数字化战略中的一个关键因素。这些银行意识到他们拥有强大的品牌，并被信任负责客户的资金、身份和数据。他们具有庞大的客户基础，并将开放银行业务视为丰富其功能和体验的一种方式。通过更好地使用分析和个性化，银行能够将已经持有的数据与从其他机构和来源收集的数据结合起来。通过这种方式，银行希望为现有客户提供更多相关的产品和服务，并通过吸引新客户来增加市场份额。而那些认识到自己缺乏相比于初创企业的灵活性、速度或创新能力的银行，则可以通过与金融科技公司的合作来补充自己的产品，金融科技公司作为受控的和可信的生态系统的一部分，可以为银行客户增加价值。

当然，大多数试点的大型银行也认识到，开放银行业务可能会削弱他们与客户的关系。客户将越来越多地直接与设计良好的第三方应用程序打交道，并将其用作多个提供商的一系列银行产品和服务的接口。在极端的情况下，银行最终可能成为回报率较低的无差别的公用事业。这些银行的反应是提高其产品和平台的客户中心性，并保持与客户的相关性。他们相信，如果他们能够跟上新竞争对手的产品创新和可用性的步伐，大多数客户还是会继续使用银行来满足其大部分金融服务需求的。

这些试点银行还担心，客户可能会面临一系列与安全和数据丢失相关的风险。他们认为即使事故不是由银行引起的，银行的名誉也有可能受到牵连损害，而且可能会被期望帮助解决这一问题，这将产生成本。因此，许多试点银行认为，他们必须帮助客户了解数据共享的风险;确保使用API来提高安全性，而不是降低安全性。他们还计划严格验证第三方公司是否获得了访问其API的适当授权。

英国的中型银行通常都在等待试点的九家大型银行如何反应?出现了哪些新的竞争对手?客户对开放银行服务是如何反应的?尽管他们与大型银行对业务中断和脱媒的风险有着相似的担忧，但他们在将此作为优先战略事项方面往往会受到限制。他们没有同样的监管压力来重构他们的业务体系，也没有预算来投资于冒险的开放银行业务。

英国的金融科技公司一直在热切等待开放银行业务。尽管大多数成功的金融科技公司都因其开发和交付有用应用程序的能力而获得认可，但由于客户群有限，许多金融科技公司仍在苦苦挣扎。由于金融科技公司本质上专注于提供金融解决方案，因此获取金融数据对于他们创建新的解决方案和向潜在用户证明其价值至关重要。开放银行为金融科技公司提供了一个迅速扩大客户群的机会。此外，开放银行业务还提供标准化数据，金融科技公司可以通过机器学习算法运行这些数据，以开发更丰富的洞察力。至关重要的是，这些数据可以以安全的方式共享，这样可以减轻金融科技公司对安全使用数据能力的担忧。

对于欧盟的开放银行，欧洲中央银行执行委员会委员Benoit Coeuré认为:PSD2“赋予银行客户与第三方共享其账户信息的权利，并使用第三方发起支付，同时保持高标准的个人数据和消费者保护。它开辟了一个公平的竞争环境，金融科技公司可以在这里成长、扩大规模，并利用其他平行的技术进步，其中一些是由欧洲央行推动和发展的。”

香港地区开放银行的目标是建立一个健康的开放API生态系统，保持银行业的竞争力，鼓励多方共同提供创新及综合服务，提升客户体验，并紧跟全球银行服务的发展趋势。]金管局总裁陈德霖表示:“银行推出开放API的一小步，是金融创新的一大步。我们期望开放API框架能够提供具体的指引，促进银行和第三方服务提供者之间合作，最终为客户带来创新、便利和稳妥的服务和新体验。”金管局副总裁李达志认为，推出开放API有助于推动香港发展为智慧城市，进一步巩固香港作为国际金融中心及区内金融科技枢纽的地位。在此之前，金管局还进行了一次政策咨询，在咨询期间共收到了41份意见书，它们分别来自银行、科技/金融科技公司、业界组织、顾问公司、支付卡计划营运机构，以及个人和其他团体。所有回应者均对金管局建立开放API框架的政策方向持正面态度。

2．实施成效

英国“开放银行工作组”的报告显示，截至2019年1月，英国已有100家第三方机构通过了英国金融行为监管局的审核，参与开放银行服务，开放银行的应用进程在不断加快。此外，银行数据开放促进了新金融服务的产生。例如，以前多数中小企业融资时往往只考虑平时经常合作的银行，而在英国，现在已经出现了一些为小企业提供融资服务的平台，通过日常的交易数据为小企业客户预测并规划下一步需要融资的时间和金额，并提供及时融资服务。正是因为看到了开放银行业务对于金融科技公司潜在具有的巨大机遇，英国的金融科技公司在2013年时吸引的风险投资总额仅为1.45亿英镑，但到了2017年，这个数字是13.4亿英镑。

在德国，开放银行已经催生和壮大了一些新型金融科技公司。例如，Solaris Bank，其本身是一家纯技术公司，后申请了银行牌照，但无传统银行业务，主要为电商、零售商、金融科技公司等企业提供纯粹的开放API服务，包括支付、电子货币清结算等。又如德国公司Fidor，除自营纯线上数字银行业务外，还通过开放API的方式，向企业和其他中小金融机构输出支付、线上社区运营等业务能力。

四、我国引入数据可携权的必要性及其考量

从开放银行的角度看，我国有必要引入数据可携权。从银行服务提供方式的角度来看，银行发展至今经历了四个阶段:银行1.0，网点服务阶段;银行2.0，自助银行阶段;银行3.0，基于互联网的银行服务阶段;银行4.0，银行即服务阶段。即在银行4.0阶段，银行成为服务平台，通过技术，随客户所需，即时提供内嵌的、无所不在的银行服务。人们可以通过自己的授权让第三方自由使用自己的金融数据，创造了让自己享受更全面更优质金融服务的可能性。在银行4.0阶段，银行服务是完整的，背后由哪家银行提供服务不再是重点，而是由银行或第三方来提供无所不在的银行服务，即跨越时间和媒介的银行服务。法律打破了银行对数据的垄断，虽然对于银行短期不利，但也是银行正视竞争的开始，或许是未来银行的起点。在我国，也有的银行已经觉察到开放银行带来的新契机，开始尝试数据开放，但掣肘于技术、组织和法律的滞后而实施缓慢。

从个人的需求来讲，我国目前还没有类似的可携权需求之民意调查。另外，一个值得关注的现象是，个人的信息保护意识尚未崛起，就连基本的知情同意原则就很难落实，更遑论数据可携权?我国立法机关应发起一次可携权需求的民意调查，具体了解民众的可携权需求。从数据企业的角度看，大型互联网巨头普遍反对这项权利。我国不像欧洲、印度、澳大利亚，我国的互联网巨头比较多，它们已经积累了一些客户数据，具有先发优势，并不愿意后来者与其分享数据。因此，它们反对引入数据可携权。但是，这些互联网巨头又是金融后发者，它们又想与银行分享数据，它们支持开放银行。从开放银行的角度看，这些互联网巨头又支持数据可携权。但是，从小企业或者互联网后发企业的角度讲，它们又想分享互联网巨头们已经积累起来的数据，这从“头腾大战”中即可看出。

引入数据可携权是否会带来马太效应?任何市场竞争都具有马太效应。引入数据可携权会加剧市场竞争，因而自然会带来马太效应。市场竞争是经济增长和技术进步的动力，只要不是无序竞争、不正当竞争，都应该是被鼓励的。因此，这构不成反对引入数据可携权的理由。引入数据可携权是否会抑制创新热情?反对数据可携权引入的一个理由是，数据可携权会使客户忠诚度降低，企业由于担心客户的不忠诚，会减少投入，进而不利于创新。但我们认为，数据可携权的引入会加剧竞争，但只要是合法的、有规则的市场竞争，都是应该鼓励的。因此，这也构不成反对数据可携权引进的理由。

真正构成数据可携权引入的顾虑是，一旦引入数据可携权会不会加重数据企业的负担。换言之，我国是否需要引入数据可携权取决于成本和收益的衡量。对此，新加坡个人数据保护委员会的报告的最后总结是很有道理的:数据可携权有可能通过经济中不断增加的数据流为消费者和企业带来巨大的利益。跨组织和跨行业的数据移动可以以新的方式使用和组合，刺激数字经济中新商业模式和创新服务的增长。然而，监管者应该谨慎，不要给消费者和企业带来不成比例的成本，特别是在系统不可互操作的情况下。这个平衡的关键是数据可携权的实现方式和应采用的标准。数据可携权与任何其他消费者权利一样，必须在为消费者提供控制和访问其数据之间取得平衡，并将企业成本降至最低。虽然它有可能改善竞争条件，进而改善向消费者提供的服务，但它也可能产生合规成本，从而转嫁给消费者。

如果引入数据可携权，肯定会增加数据企业的成本。一方面，数据企业为了合规，必须增加合规支出。不过，个人信息保护法律制度的不断完善过程，就是数据企业合规成本不断增加的过程。增加一个数据可携权，其增加的边际成本也是有限的。另一方面，数据企业为满足个人的可携权要求，肯定会增加技术支出。不过，随着该项技术的成熟，成本会降低和摊平。但该项支出是多少呢?英国对开放银行有一个成本估计，结果是每家银行需要每年增加40万英镑的成本。这个成本对于银行来讲无足挂齿，但如果加在中小企业身上就是一个巨大的负担了。但在我国，增加一个数据可携权，会增加多少成本，尚需进一步的调研和评估。总之，我国是否需要全面引入数据可携权，固然需进一步的研究、调查和论证，但在开放银行领域，为了促进金融服务的普惠化和提高我国的金融服务水平，数据可携权又是非常必要的。毕竟增加的这些成本不会构成银行的过重负担，同时，其带来的收益又是非常巨大的。从社会成本收益的角度看，这是非常值得的。鉴于此，笔者主张先在开放银行领域进行试点，然后根据需要逐步拓展到其他领域。无论是一步引进还是分步引进数据可携权，都应该认识到，数据可携权是一项有限的权利。与数据访问权、更正权和删除权不同，GDPR并没有用“请求权”来表述数据可携权要求。数据可携权仅在某些情况下适用。数据可携权的行使的范围和领域以及免费次数都是有限的。

五、我国引入数据可携权的策略选择与难题解决

(一)我国引入数据可携权的步骤

我国引入数据可携权，不应当一步到位，而应当采取分行业分阶段的方法来渐次实施。欧盟、印度、马来西亚和美国加州是一步到位，但面临很多实施难题，需要有权解释者予以逐步落实。相比较而言，澳大利亚的分行业分步骤实施的做法就颇值得我国借鉴了。在开放银行领域，英国和我国香港地区也是分阶段予以实施的。这种“摸着石头过河”的做法体现了立法者的审慎态度，更有利于法的实现，同时，又不至于过度增加企业负担。具体而言，我国应首先通过开放银行来引入数据可携权，待实施一段时间，积累了相关经验之后，再由相关行业管理部门决定在相关行业逐步引入数据可携权。我国的开放银行制度之实施，也应分步骤进行，大型银行应首先实施开放银行，然后再逐步推广至中型银行，最后过渡到小型银行。无论是何种规模的银行实施开放银行，都应该先选择若干最有价值的业务领域(如个人金融业务和信用卡业务)先行试点积累经验。

(二)数据可携权关键制度的具体设计

有权行使数据可携权的数据范围如何选择呢?世界经济论坛根据信息的来源将个人信息的类型分为个人提供的个人信息、被观测到的个人信息与推测的个人信息。欧盟沿用了该分类，GDPR规定可行使可携权的信息仅为个人提供的信息，但第29条工作组的解释又进行了扩张，将被观测到的个人信息也解释为个人提供的信息。印度则更进一步，将数据画像这一推测个人信息也纳入到了可行使数据可携权的范围。可行使数据可携权的数据范围问题，本质上是数据权属及其分配问题。欧盟基于“数据权利是一项基本权利”之观念认为个人提供的个人信息是个人的。因此，个人自然有权拿走属于自己的个人信息，且不用支付费用(行使复制复本的介质成本除外)。但问题是，第29条工作组又将数据控制者观测、记录和保存的数据解释为个人提供的数据，如果个人也可以无偿拿走的话，这就忽视了数据控制者的贡献了，毕竟观测、记录和保存数据也是需要付出成本或劳动的。印度的做法就走得更远了，利用数据对个人进行画像后的结论需要数据控制者付出更大的成本或更多的劳动，个人再无偿拿走，就更无视数据控制者的贡献了。笔者认为，个人信息的类型应分为“基本个人信息”、“被记录的伴生个人信息”与“预测个人信息”三类。“基本个人信息”(或称“个人基本信息”)是指个人提交的关于本人的特定信息，个人基本信息的财产利益或财产权完全属于个人。“被记录的伴生个人信息”是个人在生活、交易或工作中形成并被数据企业记录下来的关于个人的信息，它是个人活动的副产品。伴生个人信息的财产利益或财产权为个人与数据企业共有，个人的财产权份额多于数据企业的财产权份额。“预测个人信息”是通过大数据对个人进行画像后得出的结论。预测个人信息的财产利益或财产权也为个人与数据企业所共有，但数据企业的财产权份额多于个人的财产权份额。基于此，个人可以无偿拿走个人基本信息的复本，但要想拿走个人伴生信息的复本则需要支付一定的对价，拿走个人预测信息的复本需要付出的对价更大一些(以上均不含复制复本的介质成本)。

数据控制者(银行)是否收费以及如何收费呢?除了个人需要支付复制复本的介质成本之外，个人可以无偿拿走个人基本信息的复本;但要想拿走个人伴生信息的复本则需要支付一定的对价，拿走个人预测信息的复本需要付出的对价更大。但该等对价应该为多少呢?这就涉及到数据的定价问题。在数据可以交易的情况下，可以参考数据交易定价。但在没有数据交易时，如果任由数据控制者提出价格，个人无条件服从时，由于个人数据的垄断性(为该数据控制者一家拥有)，这并不是一个有效的价格形成机制。为此，墨西哥2018年《金融科技法》要求监管机构对金融机构和金融科技机构转移信息的收费标准进行许可，以防止此类费用构成开放银行的障碍。如果定价合理，个人就可以在支付相关费用的基础上不限次地行使其可携权。但是，在我国，用户已经形成了“免费”使用相关服务的习惯，如果银行向客户收费，可能不是一个可行的商业模式。不过，我国互联网收费的模式往往是“羊毛出在牛身上，让猪埋单”。Capgemini与欧洲金融管理协会联合发布的《2017年全球零售银行报告》显示:54.3%的第三方机构选择以交易费用形式向银行支付，但47.8%的银行更倾向选择收益共享方式。受此启发，我国一旦开放了银行数据，可以预见的银行与第三方服务提供商的合作模式有二:一是第三方服务提供商向银行支付相关数据费用，第三方服务提供商再从客户那里通过多收取的费用来予以冲抵;二是银行与第三方服务提供商共享收益分成，其实该收益最终还是来源于客户。这将是一个最终由市场形成价格的机制，并避免了政府定价或限价的干预。

(三)数据可携权实现难题的解决

第一，关于数据安全问题。欧盟《数据可携权指南》指出:数据控制者应当对涉及数据可携权的特定风险进行评估并采取适当的风险防范措施。此类风险防范措施包括:如果数据主体已经采取身份验证措施，可以利用额外身份验证信息，例如共享密匙，或其他身份验证因素，例如一次性密码;如果怀疑相关账户被盗用，可暂缓或冻结数据传输;如果一个数据控制者向另一个数据控制者直接传输数据，可采取强制身份验证措施，例如基于标记(tokens)的身份验证措施。这些安全措施不得具有阻碍性，不能妨碍用户行使其权利。数据控制者在将数据下载到计算机上后，不应忘记教育用户数据安全的重要性，尽管这是数据主体的责任，但他们可能没有足够的知识来实现这一点。美国消费者金融保护署的《消费者保护原则:消费者授权的金融数据共享和聚合》指出:“用户数据被安全地访问、存储、使用和分发。消费者数据的保存方式和格式能够阻止和保护安全漏洞，防止对消费者造成伤害。访问凭据也同样受到保护。所有访问、存储、传输或销毁数据的各方都使用强大的保护和有效的流程来降低、监测、及时响应、解决和补救数据泄露、传输错误、未经授权的访问和欺诈的风险，并仅将数据传输给具有此类保护和流程的第三方。安全有效地适应新的威胁。”英国《开放银行标准》则通过金融服务行为监管局对拟获取银行用户资料的第三方机构进行资质审核的方式来确保数据安全。安全是数据可携权的底线，数据企业有义务保障个人的数据安全权益，为此，监管部门对拟获取资料的第三方进行资质审核也是必要的。但老的数据控制者不对新的数据控制者的安全承担责任。

第二，关于权利粘连问题。在社交的场景下，一个人的信息难免会涉及到其他人的信息。在金融交易的场景下，也往往涉及到其他人的信息，如交易对手的信息。在这种情况下，一个人数据可携权的行使，以不损害第三人的权利为限。如果不损害第三人的权利，则该数据可携权可以行使。例如，如果将数据主体与某个第三人的交易信息从一个数据控制者转移至另一个数据控制者的话，一方面，新的数据控制者不能利用该信息、不能对该信息进行处理，这是新的数据控制者的义务———除非得到该第三人的同意;另一方面，新的数据控制者应有义务保障此类信息的安全。在这样的情况下，应该认为，第三人的利益未受损害，该数据可携权可以行使。如果第三人的利益受到了侵害，则侵害者应负相关责任。那么，行使数据可携权的人是否要负责任呢?笔者认为，他可以不负责任，除非能够证明他是出于故意或重大过失才造成了第三人利益的侵害。

第三，关于技术可行性问题。数据可携权的技术是否可行，GDPR将其交给了数据控制者进行自由裁量，并不要求数据控制者有义务采用或维护技术上兼容的处理系统。这是在一步到位实施数据可携权的情形下的缓冲措施，其实是不利于数据主体的。因此，我们建议在我国分行业、分阶段实施数据可携权的情况下，由行业主管部门或行业协会来判断其在技术上是否可行，而不完全交给数据企业自由裁量。这样的方案，既具有一定的灵活性，又具有一定的强制性，是强制性与灵活性的有机结合。