金融是數據聚集與生產的富礦，從其誕生之日起，雖然經歷時代洗禮與歲月沖刷，但身處的市場環境——信息不對稱，及存在的社會價值——提供主體間跨時空資源配置的信息信任機制并沒有發生本質變化，這就決定了金融機構，特別是在時下金融機制中發揮樞紐作用的銀行業金融機構在過去、現在和未來都是信息分發的重要節點。

　　回首信息經濟闊步發展的五十年，如果說是信息“使用”激勵機制的完善締造了數據產業氣勢磅礴的帝國氣象，那么與之對應，數據“治理”激勵機制的失靈則有可能成為其停滯不前甚或轟然坍塌的“阿喀琉斯之踵”。

　　有鑒于此，中國銀行業監督管理委員會（現中國銀行保險監督管理委員會）適時發布《銀行業金融機構數據治理指引（征求意見稿）》（下稱《指引》），引導企業加強數據治理，保護信息安全，有針對性地進一步豐富了相關法律制度體系，不啻為解決行業長期發展痼疾的良藥。

　　本文嘗試結合金融數據信息的工作實踐，分享學習《指引》的些許心得，以期對規范的完善、執行乃至數據治理、信息保護整體合規氛圍的形成略盡綿薄。

　　起點：客體的復雜與價值的沖突

　　作為信息數據工作的一體多面，無論是客戶層面的信息保護、企業層面的數據治理還是政府層面的監管引導，其出發點首先在于對事實的確認。而對客觀事實的確認，不僅會夾雜自他主觀判斷的影響，也會受概念工具失真的困擾，這正是工作開展之“難”之“新”的起點：

　　其一，從數據形成的機制看，客戶本身基于不同場景的動態和靜態事實并不直接構成數據，必須有待于包括金融企業在內的專業機構的電子化、數據化處理。另外，客戶當下的行為信息和未來的行為取向也受到這些機構有意無意的影響，其本身對信息權利的掌控程度和主體地位并不突出。事實雖然如此，但在法律語境下因為傳統經驗的慣性卻倒置為客戶享有從憲法、民法以至刑法的一系列權利保護，企業卻僅有“妾身未明”的知識產權、商業秘密可以主張，并沒有完整的“數據權”，也就沒有法律明確承認和保護的“數據資產”。這樣客觀上造就了客戶有“權”無“實”、企業無“權”有“實”的尷尬境況，一定程度上掣肘了數據治理工作“名正言順”的開展。

　　其二，從制度規范的指向看，不同法律不同主體關注的客體概念蕪雜不清，同一事實因關注角度不同而呈現不同的側面。比如，數據資產并不直接等同于數據，根據《企業會計準則》的描述，只有為企業擁有或控制且預期帶來經濟利益的數據資源才可成為數據資產。又比如，同樣是規范數據，以“通過數據治理有效實現數據價值”為主線的《指引》的關注點明顯不同于以維護市場政策秩序為圭臬的《反壟斷法》-《反不正當競爭法》，更不同于消費者權益保護的系列法規?！吨敢穼⒁幏犊腕w定位于“數據”，但一來概念在內涵和外延上缺乏有效限定，二來與信息等周邊類似概念含混不清，這樣很可能觸發針對貌似同一事實而在概念上發生混同進而課以并不匹配的責任義務的情況，導致后續治理工作的進退失據。

　　其三，從法律權利的賦予看，從賦權到救濟一系列工作并不是對事實的簡單確認和機械追加，而是包含了內在的價值判斷。雖然作為紛繁復雜利益訴求的投射，權利不必然也不可能價值取向一致，但過去起碼在權利大類或者部門法里還是保持了基本的統一。進入數據信息時代，由于前述主客觀因素的交織作用，權利表現有了質的不同：

　　首先是權利歸屬或掌握不清，這一方面表現為很難準確地把客戶或企業作為數據信息的唯一主體——事實上，“客戶信息”或者“企業數據”，將客戶、企業置于信息、數據之前與其說是主體限定不如說是來源描述；另一方面還表現為權利占有和使用的排他性也不明顯，甚至出現了越共享越增值的情形。

　　其次是權利的賦予和保護還具有明顯的跨部門、層次性的特點，比如，個人層面的數據權利就可包括三個層次，一是憲法層面人權保護上，個人應被作為主體而非客體對待，個人不得被抽象為數據的載體，在數據獲取時應得到必要的尊重；二是人格權層面，個人的安寧權應切實保護，數據的使用不得騷擾個人正常生活；三是所有權層面，不得非法獲取個人智慧、勞動所凝結的數據財產權利。

　　復次，權利分類不再絕對，不能再簡單二選一地將比如數據權利歸屬于人身權或財產權，所有權或使用權，甚至不能將其局限于民法部門。在數據權利領域我們很可能已經進入需要新的權利“發明”以適應新的實際需要的時期。

　　最后，基于事實不同側面或事實不同組合形成的概念再與不同價值取向相結合形成近似乃至同一標的的不同權利體系，進而形成不同的調整法律。法權結構和法律體系的“飄忽”構成了數據治理工作在基礎層面的第三大難點。

　　內容：基礎權益合法關注的缺失

　　作為對金融業發展和改革“十二五”、“十三五”規劃及去年全國金融工作會議精神的落實，作為《銀行監管統計數據質量管理良好標準（試行）》繼承者的《指引》更多著力于應用層面的治理、統計和共享等，在作為基礎層面的信息保護上只是稍有旁及。但是，與正面的數據客體規范同等重要的，恰恰是反面的數據侵權治理，須知，如果權利或資產從創設之初就帶有“原罪”，那無論后期如何在技術、規范上加以洗白，都是無源之水、無本之木。而從被侵權主體損害事實的結果回看，數據侵權較之傳統侵權案件的不同點突出有三：

　　一是損害的風險寓于權益的享受之中，具有相當的結構性、共生性特征，不再是非黑即白的簡單劃定，對損害的制止很可能意味著對權益的否定。

　　二是損害往往在關系上呈現相關性而非傳統侵權法或刑法所要求的因果性，甚至可以說任何單一事實對損害發生均不具有直接性，另外，損害在時間上還具有非及時性，其模糊性在事實認定、排除損害及訴訟時效等等方面都對信息保護工作造成很大困擾。

　　三是損害更多是可能性的“風險”而非確定性的“事實”，一方面，與較少的最終發生的損害事實相比，人們對侵害可能導致風險的廣度、烈度的擔憂具有明顯的不對稱性，另一方面，這種擔憂本身也構成了實體性的損害，對客戶精神安寧和企業正常發展確實造成了消極影響，形成了一種非經典意義上的“侵權”。這種類似“莫須有”（或許有）的虛擬損害給權利的實際保護平添諸多困難。

　　或然性或者不可預見性在給客戶帶來前述難題外，也讓銀行等金融機構頭疼欲裂：一方面，誠如《指引》出臺背景所言，與電商、社交甚至內容等外部數據相比，銀行掌握的客戶數據、交易數據雖然更加敏感，但因缺少場景基礎數據支撐而在可用性上與互聯網公司等相比存在比較劣勢，加上信息橫向上在不同部門、不同機構乃至政府間分割，縱向上歷史數據質量不高治理困難，數據的內在結構缺陷和外部競爭壓力反向助長了銀行對客戶信息有時甚至是“過度”的渴求；另一方面，圍繞大數據的相關技術和產業的迅速發展及其對金融業務的高度滲透和改造，使得銀行等金融機構客觀上不能完整預見未來數據使用的場景及顆粒度，這就造成一種風險悖論：要么在現在存在過度收集數據的法律風險，要么在未來面對沒有完整取得客戶授權的尷尬狀態。質言之，現階段沒有確定性的營商環境的惡劣使得銀行即使主觀存在善意，事實上也很難做到數據理想意義上的毫無瑕疵。

　　監管：落后于現實的踽踽前行

　　與客戶、企業的焦灼相對應，監管也在黑暗和泥濘中摸索：

　　在制度體系層面，既表現為法律呈現形式上的碎片化，又表現為具體規范內容上的原則化，在實踐中還出現了“下位法”搶跑“上位法”的情景。這就導致了不同效力位階不同法律部門基于不同價值判斷對不同客體的規范，卻很可能套用了同一的處置手段，這客觀上難免義務和后果畸輕或畸重案件的出現，不利于形成守法的穩定預期，助長脫法乃至違法情形的滋生。不寧唯是，在對數據權利正面規范的內容尚未豐富的情形下，對侵權乃至犯罪后果卻進行了詳盡的規定，事實上形成了重刑罰輕治理的價值導向，再疊加我國又有作為后發國家對信息產業實現趕超的內在動力，就導致或者選擇性執法，或者干脆束之高閣，最終甚至可能出現重立法輕執行的窘境。

　　在監管執法層面，困難首先在于對象的復雜性上，信息數據產業所帶來的并不僅僅是知識在質和量上或廣或深的累加，更多還表現為認知范式上的變革，簡單使用傳統監管框架和方法論難免削足適履之嫌。其次，從國內乃至世界范圍內近幾十年公共治理的大趨勢看，均存在著在作為規范主體的政府和作為規范對象的個人、企業之間的社會治理的蓬勃興起，政府與企業、個人間的監管關系也具有更多的引導、激勵色彩，政府部門的獨占、主導情景日漸稀少。最后，在過去，由于歷史因素影響，客觀上存在著人才結構上從監管機構到大型金融機構再到中小金融機構的雁行結構，監管人員具有相當的知識優勢，而今隨著業務的快速發展和細密分工，監管無法再形成單方的專業優勢，信息不對稱也剝奪了其“上帝視角”，報告—檢查—審計這一歷史上行之有效的“三板斧”可能會越來越多地存在死角和盲區，客觀上使得數據治理更應向協商式執法演進。

　　趨向：專業化社會治理模式的興起

　　綜上所述，為了有效應對大數據時代信息保護難題，形成安全與發展雙重價值，國家、企業和個人三種利益和諧調和的可持續發展狀態，除了要在碎片化的立法現實中旗幟鮮明地主張制定更高位階的、劃定企業-個人數據權利邊界的專門法律（而非簡單依托傳統民法、刑法等），加強對客戶的宣傳教育及建立在信息共享前提下監管科技（RegTech）的使用外，在監管和企業層面還要做到以下工作：

　　對監管層面來說，未來的變化既表現為方法層面上數據治理作為“雙峰監管”中行為監管的重要工具及監管科技普遍使用的核心基礎其作用日益重要，還表現為目標層面上過去發展與監管左右互搏的價值沖突至少在可預見的未來簡化為防范風險，與之相適應：

　　一是要突出數據治理工作的獨立價值，數據治理既涉及個人、企業、政府等多層次主體，又接受民法、刑法、行政法的部分調整，與國家安全-網絡安全、消費者權益保護-客戶信息保護、反壟斷-反不正當競爭等領域也多有重疊，這固然彰顯了工作的重要性，但在一定程度上也消解了其獨立價值，未來必須依靠在實踐和理論層面依托獨立方法論來開拓工作獨立邊界。

　　二是要打造多層次、多主體的治理機制，不僅要發揮監管本身的作用，還要調動企業的積極性，對于行業協會、專業公司等第三方利益無涉機構可以更專業承擔的工作也可在合法合規基礎上以“政府購買公共服務”等形式予以委托。

　　三是要推動形成重規范輕訴訟的工作模式，畢竟一方面司法機關常年超負荷運轉，很難有更多資源向稍不注意即爆炸式發展的數據侵權案件傾斜，另一方面數據權利如前所述還具有很多不同于傳統權利的特征，權利邊界也不清晰，需要不同主體通過協商、磨合以治理時間換取合規空間，不適于“非黑即白”司法主導模式的簡單適用。

　　對銀行等企業層面來說，雖然數據治理“涉及面廣、投入較高、時間較長且見效緩慢”，但站在全社會角度，由于數據最終形成資產是在企業，實際持有、控制也在企業，與美國司法救濟和歐洲行政主導模式相比，在公眾監督和監管指引下壓實企業責任的履行無疑成本更低，效果更好：

　　銀行等金融機構首先要算總賬算大賬，充分認識數據治理工作所花費成本與治理完成后管理效率的提升、業務流程的優化乃至風險的有效防范相比的效益，真正形成數據治理的內生激勵機制，在這一過程中監管機構也應予以必要的指導和方便。

　　在真正認同數據治理工作的重要、獨特價值后，銀行才能不折不扣地按照《指引》要求將數據治理納入公司治理的整個盤子并發揮實效，要害在于從高管層以下再設立（而非僅僅掛牌）獨立于合規部門、業務部門、科技部門的專業的信息保護/數據治理部門，高屋建瓴地帶動工作開展。

　　最后，數據治理工作橫亙于不同規模、不同狀況的銀行之間，同一銀行內也有存貸匯、對公零售、表內表外甚至跨界業務的存在，同一業務又會分別受到客戶部門、產品部門、渠道部門等等的管理，即使均受《指引》調整，不同場景必然需要掌握不同尺度。這一方面要求銀行自身要克服部門銀行影響，調動各相關部門配合數據治理部門工作，另一方面監管機構也要在《指引》之下細化指導，對于具有行業重要性的機構、業務的數據治理甚至可要求其報備乃至報批具體的工作方案。

　　注：本文作者來自農行網絡金融部

責任編輯：Rachel