方慧婷
摘 要:金融科技企业数据治理中的技术规则以代码形式呈现,同时依靠算法形式和数字模型表达,属于网络行为规范体系。技术规则作为一种“自治”的内在规则,有助于促进金融科技企业在数据收集、数据分析、数据流通、数据安全等方面对数据资源的开发利用。法律规则是一种“他治”的外在强制性规范,在金融科技企业数据治理中主要发挥着数据安全保护的功能。金融科技企业数据治理需要技术规则与法律规则的相互配合,技术规则能够弥补法律规则在某些技术性问题上的盲区以及法律规则所固有的滞后性等缺陷,法律规则可以弥补技术规则的非中立性、非公开性等不足。
关键词:金融科技;数据治理;技术规则;法律规则
DOI:10.3969/j.issn.1003-9031.2022.07.005
中图分类号:F832;D922.28 文献标识码:A 文章编号:1003-9031(2022)07-0038-11
一、引言
当前,金融与科技的紧密结合引起了社会各界的高度关注,现有的金融服务形式和金融业态都较过去更为多样化。金融科技发展使数据的价值得到更为强劲的释放,数据治理成为各企业、行业协会、监管部门等利益相关者日益重视的问题。在金融科技浪潮下,出现了大量新兴的金融服务主体,即利用以“数字”为核心的新技术直接为消费者和企业提供金融服务的新兴金融科技企业,其在利用技术与数据优势助力金融行业深度变革与发展的同时,也可能滋生技术风险、数据滥用等问题。因此,金融科技企业数据治理成为亟待重视和解决的问题。过去,人们往往通过法律规则来规范企业行为,引导行业发展,防范金融风险,但随着金融科技的发展,只依靠法律规则来规范金融科技企业数据治理行为会存在诸多不足。基于此,本文在对金融科技企业及其数据治理的概念进行阐述的基础上,将技术规则与法律规则作为两大规则类型,分析二者的内涵、具体形式、功能作用、应用范围及它们之间的关系。
二、金融科技企业数据治理中的规则类型
(一)金融科技企业及其数据治理的界定
1.金融科技企业的概念
目前,有关金融科技企业的概念还没有得以明确,现有文献资料也多以金融科技作为探讨的主要对象。在此,本文主要选取一些文献中学者对金融科技企业的介绍来加深对金融科技企业的认识。
在互联网、云计算、区块链等新兴技术蓬勃发展的浪潮下,金融科技企业是指提供比传统金融机构更高效的金融服务的新型金融服务主体(杨松和张永亮,2017);往往通过获取资金和技术合作等方式逐渐形成,为细分领域提供新发展机遇,并拥有多种商业模式(陈静和段进东,2020);作为一类兼具技术和金融业务双重属性的新型市场主体,以金融科技的研发和应用为基础,通过提供技术支撑和应用方案直接或间接地参与金融市场活动(李敏,2019);从金融科技企业的发展进程来看,大多是从科技企业演化而来,当以阿里巴巴、腾讯、京东为代表的大型科技企业利用自身在网络业务和移动业务上的优势,成功将业务拓展到支付类、贷款类、投顾类等金融服务业时,它们便成功转化为金融科技企业(唐士亚,2021);在服务方式的创新上,金融科技企业往往比传统金融机构做得更好,大多通过降低运营成本,瞄准更多的利基市场,提供更个性化的服务,推动支付、财富管理、贷款、众筹、资本市场和保险领域的重大创新(Lee & Yong,2018)。总的来看,金融科技企业可以进一步划分为两类:一是为金融机构内部技术基础设施提供保障和维护的企业, 或以提高金融服务效率为运营宗旨的企业;二是由颠覆性创新者组成, 通过创新性的金融范式给现有的金融结构和方式带来冲击的企业(Packin,2018)。
参考众多学者的看法,本文认为,金融科技企业的概念可以从广义和狭义上来把握。广义的金融科技企业既包括技术服务提供商,也包括凭借其已有的技术优势,逐步渗入金融行业并展开金融业务的金融服务提供者。前者如京东科技,专注于为企业、金融机构、政府等各类客户提供有针对性的技术性产品与解决方案。后者如蚂蚁集团、腾讯金融科技,以提供移动支付、财富管理、证券投资等金融服务为主要业务,致力于实现普惠金融。狭义上的金融科技企业应排除类似腾讯云、阿里云等专注于为开发者及企业提供云服务、云数据、云运营等整体一站式服务方案的金融科技技术服务商,而限定为与传统金融机构具有业务上的重合和竞争,兼具数字技术优势和深厚的金融潜能,主要为微型企业、个体工商户等融资机会较少的客户提供金融服务,以实现普惠金融的新兴金融服务主体。由于狭义上的金融科技企业具有传统金融机构及多数企业所无法兼得的技术与数据优势,给传统金融业态带来了深刻变革与冲击,在其通过互联网传递金融产品与服务的过程中,存在着技术与数据不当利用的行为,故本文对金融科技企业数据治理的探讨将从狭义上展开。
2.金融科技企业数据治理的概念
有关数据治理的概念,国际数据管理协会将其定义为有效管理数据资产、实现数据价值最大化,而对数据资产展开包括计划、监控和实施的活动(DAMA International,2019)。国际数据治理研究所则是将数据治理定义为一种对数据和信息进行有组织性管理的方法,它可以表现为一套涵盖数据全生命周期,从获取到使用再到处理的政策或程序(DGI,2011)。可以看到,两大权威机构对数据治理的定义都强调对数据的管控,以保证相关数据资产管理决策的科学性、及时性和前瞻性,规范数据管理活动,实现数据资产价值最大化。
当下,数据已经成为一种生产资料(生产要素),一种战略性资源,将成为下一次技术革命和社会变革的核心动力(吴军,2016)。对于兼具技术优势和数据优势的金融科技企业而言,如何开展数据治理,挖掘数据价值,提升数据治理水平既关系到其能否在纷繁复杂的市场中站稳脚跟,也关系到整个金融秩序的安全稳定。因此,有关金融科技企业数据治理概念的界定,既需要考虑到金融科技企业自身的特殊性,也要考虑到数据治理作为一项涉及多方利益的过程性工作,不能够只依赖于单一主体进行治理。
本文将金融科技企业数据治理的概念定义为,在金融科技创新驱动下已经积累海量数据资产的企业或是其他像政府组织、行业协会、消费者等利益相关方基于加强对现有数据的管控能力、确保数据真实可用、有效提升数据资产价值、防范金融市场风险等目的,而针对数据采集、数据传输与处理、数据存储等环节展开的一系列协同规范、改进或优化活动。
(二)金融科技企业数据治理中的规则类型
规则是指事物运行、运作规律所遵循的法则,一般由群众或群众代表共同协商制定,或是得到大多数人认可并公布,其对秩序和利益的维护具有重要作用。由于金融科技企业在利用技术和数据优势提供金融服务的过程中往往伴随着诸多潜在风险和挑战,因此规则的存在和应用就更为必要,通过规则的科学应用,能够促使金融科技企业数据治理更合法、高效、安全并有序进行。本文主要介绍技术规则和法律规则两个类型。
1.技术规则
技术规则是指为达成某个目的,对选择对象施以一定的运作,从而达到预定结果的一系列行动(潘天群,1995)。随着人工智能、密码设计、生物识别等新技术在金融科技企业数据治理中的广泛运用,建立健全并维护好一套科学系统的技术规则愈发重要。以区块链为例,区块链技术规则通常利用系统内的多方参与和协作,采用算法传递和加强“信任”系统的方式预防区块链系统可能产生的安全风险,同时重点强化系统节点的“信任”,达成系统内部“可控”的状态(金璐,2020)。与经过一套严格的立法程序生成并可用汉语言文字书写的法律规则不同,其主要通过在系统内部采用节点身份可知的准入型网络技术,实现角色权限可配、职责分明、风险可控和交易安全,同时确保信息最小披露,保护用户隐私信息安全,促进数据开发利用。由于其具有去中心化的特点,在无第三方参与、也无司法机关保障实施的情况下,其应用程序仍得以自动执行,并自主实现数据的储存和记录。同时,在非对称加密验证的辅助下,有关数据信息不会轻易被篡改。可见,金融科技企业数据治理中的技术规则更多地隶属于网络行为规范体系,在技术层面上对金融科技企业数据治理中有关网络主体的行为活动进行规范。因此,本文将其定义为在专业技术人员研发下,应用于金融科技企业数据治理活动过程中的一种网络行为规范,它是一种“内在”的由系统内部自治的规则。
2.法律规则
法律规则是一种针对主体权利义务行为展开具体引导的一般性规定,立法者往往借助文字符号赋予那些具有共同规定性的社会或者自然事实以法律意义(谢晖,2005)。与技术规则相比,法律规则是一种“外在的”规则,更多体现为他治,由国家制定或认可,具有国家强制性及严密的逻辑结构。在金融科技企业数据治理中,法律规则的价值意义主要体现为能促使金融科技企业以一种更加安全、规范、有序的状态来开展数据治理活动,确保数据资产价值得以最大程度地释放。因此,金融科技企业数据治理中的法律规则,是指为了保障数据安全,规范数据治理活动,维护稳定的金融秩序而由享有国家立法权的主体依据法定程序制定或认可的一套行为规则。其在具备微观指导性、可操作性、确定性和可诉性等基本特征的基础上,围绕着金融数据的全生命周期将其适用范围限定于金融科技企业数据治理活动。
3.技术规则与法律规则的关系
作为推动数据治理的两大规范,它们在具体表现形式、主要功能、应用范围以及作用方式上都有所不同。技术规则是“内在固有的”,能更直接有效地对创新技术及其应用行为进行规制;而法律规则是“外部施加的”,由于其产生和实施过程都要遵循一套严格的程序,并且以国家强制力为后盾保证其得以遵守,所以能够更好地维护受侵害主体的利益。可以说,法律规则在形式上是主观的,内容上是客观的,而技术规则在形式和内容上都客观但能够被人们加以主观运用(罗莉,2006)。正因它们各有优劣之处,各有不同的功能侧重,才能够在具体应用中相互促进,具备一定的共通性。技术规则能够针对法律规则在某些技术性问题上的盲区以及法律规则所固有的滞后性等缺陷,进行及时、有针对性的指引和规范;而法律规则由于在制定程序上更具严谨、公开和公正的特点,由国家强制力保证实施,因此能够弥补技术规则大多由企业自制可能带来的非中立性、非公开性等不足。此外,技术规则和法律规则内部都具有结构共性。如区块链系统内部往往存在两种规则:一是运行的规则,包括构成共识网络拓扑结构、交易功能、安全性和隐私性规则等;二是与第一类规则进行协作的规则(Hacker等,2019)。而法律规则在维护权威和稳定秩序的同时也强调两级规则的必要性,第一性规则是义务和授权规则;第二性规则即认可、改进和裁判的规则,该类规则有助于维持第一性规则的效力(陈姿含,2020)。
可以得到的启示是,金融科技企业数据治理不能够只依赖于其中一种规则类型,而要充分利用并发挥好技术规则与法律规则的协同作用。尽管前文提到的区块链技术规则能够通过算法传递和系统安全加固的方式防范其系统内部可能出现的安全风险,达成系统内部“可控”的状态,但该技术并非完美无瑕。此外,在该网络空间中区块链交易主体的独立人格与主体形态如何识别都需要法律规则加以应对。
三、金融科技企业数据治理中的技术规则
(一)金融科技企业数据治理技术规则的具体形式
技术规则的具体形式是指技术规则呈现在金融科技企业数据治理中的一种具体表现。作为一种应用于网络空间、系统内部的网络行为规范,一般由程序员来编辑代码以实现对规则的表达,即以代码形式呈现,同时依靠算法形式和数字模型表达。与体现为人类语言的法律规则相比,技术规则更多体现为一种机器能够理解的语言。如密码技术对金融信息安全保护起了重要作用,能够对银行账号、交易金额等信息加以处理,这些经处理过的信息通常被称作加密信息。简单地说,加密过程所使用的一组操作规则称作加密算法,而解密时的一组运算规则称作解密算法。这些规则都是以机器、系统可识别的形式呈现,发生在一个不为外部可见的系统或程序内部(于斌和陈晓华,2017)。与法律规则的产生过程相比,程序员编辑代码这一过程是不公开的,并且往往受到程序员所属企业、机构领导相关意见的影响。因此,技术规则具有私有性和非中立性的特点,往往存在于各个金融科技企业内部,由软件制造商和设备制造商单方面强制执行。
(二)技术规则在金融科技企业数据治理中的功能界定
数据所蕴含的价值潜力使得其在各行各业中的地位越来越重要,成为企业最具有价值的资产之一。金融科技企业也在致力于服务大众、实现普惠金融的过程中,逐渐意识到数据治理的重要性。如何管理好数据,用好数据,关系到企业自身利益、用户的数据信息安全甚至整个行业的秩序稳定。在这种情况下,技术规则发挥着它特有的功能,助推金融科技企业更好地实现数据治理。
从技术规则所具有的功能来看,第一,技术规则作为一种通过代码表现出来的机器语言规则,能够在系统内部直接执行,且事先对可能出现的不当的数据处理行为加以限制和预防,而不需要依赖法院或警察;第二,技术规则能够更快速地指引和规范数据治理中有关专业人员的技术操作、技术应用行为。同时,与借助文字语言符号表达的法律规则相比,通过机器语言表达的技术规则规范程度更高,能够在一定程度上降低模糊性,提高灵活性,消除了对公正裁决的需求;第三,技术规则主要是一种机器可读语言,其形成、执行和修改都比法律规则更为方便快捷,可以在一定程度上弥补由于法律规则自身局限性所带来的法律漏洞、法律空白等不足,将法律规则未能及时作用到的新兴领域也纳入科学规范的范围;第四,企业数据治理离不开监管部门、行业协会和企业之间、企业内部的监管,基于数据的全生命周期理论,对数据治理过程的监督和管控需要动态化的、适应性的监管模式。此时,如果技术规则能够被各数据治理主体加以利用,将更有可能实现数据治理及监管的精确化、合法化和科学化,有助于对治理过程中的风险问题进行实时调整。
综上,本文认为与法律规则相比,技术规则的作用更为直接、快速、精确,从而能够保证数据的开发利用得以高效进行。在最新出台的《数据安全法》中,数据开发利用也被明确为数据经济的核心,它的重要地位和作用得到强调和重视。因此,本文将技术规则在金融科技企业数据治理中的功能界定为以促进数据开发利用为中心。
(三)技术规则在金融科技企业数据治理中的应用范围
金融数据的生命周期涵盖数据采集、传输、处理、交换、存储、销毁、再次激活、退出这些环节,考虑到数据的收集、分析、流通几乎是数据开发利用的必经阶段,且数据安全贯穿数据治理的整个过程,本文将金融科技企业数据治理中的应用范围限定于数据收集、数据分析、数据流通、数据安全四个方面。
1.数据收集
数据收集是对数据进行收集、清理及验证的过程。具体包括三个步骤:一是收集数据。采用不同方法收集不同类型的数据,所有原始数据由数据所有者存储;二是清理数据。收集数据后,数据所有者需对原始数据进行处理、分析及加工,剔除那些不真实或者是无用的数据,并将不同类型的数据进行合理分组;三是验证数据。为确保原始数据可用且合理,有必要进行数据验证。同时,还将随机选择样本数据并检查其可用性(杨冰之和林渠,2021)。其中,依据数据类型的不同构建类型化的数据获取规则,可以使得企业间的数据收集活动更加规范化,减少未经同意擅自收集或者“过度”收集数据的不当行为,同时也能够提升数据收集的效率及数据质量。在数据清理中,我们可以通过分析不同具体的业务,据以定义相应的业务规则,并利用这些业务规则来完成有关的数据清理工作(陈伟等,2005)。在数据验证方面,可以参考Java定义的一套基于注解的数据校验规范——Bean Validation,此种规范在提高数据的开发效率,减少代码冗余和语义不一致等问题上具有重要作用(江岩,2021)。
2.数据分析
将技术规则应用于数据分析是从数据集中提取商业价值的最重要阶段。数据分析主要包括三个流程:一是数据甄别筛选。在数据收集的基础上,对数据进一步甄别筛选,可以确保数据的真实性;二是数据加工。在前流程基础上对数据做的进一步处理,能够提升数据的可用性和效用值;三是定价。由于数据具有明显的商业价值,在数据分析的最后一个阶段选择数据定价模型和方法,能够更好地促进数据的流通交易,实现数据要素市场化,提高企业数据治理的积极性,为企业数据资产价值的评估提供参考。在这一过程中,技术规则在数据分析中的应用可以体现为关联规则的应用。关联规则作为一种常见的数据分析法之一,主要在事物数据库中发挥作用,这种事物数据库往往都极为庞大,当中的每个事物都来自一个记录集合,当前的关联规则发现技巧正努力根据基于一定考虑的记录支持度来削减搜索空间(李贵兵和罗洪,2013)。
3.数据流通
数据流通是指数据从数据控制者(数据提供者)到数据使用者(数据需求者)之间的流动(高富平,2019)。值得注意的是,关于个人将其数据提供给数据控制者这一情形,并不属于数据流通,而被称为采集或直接获取数据。技术规则在数据流通中的应用主要体现为数据流通规则的建立,以及加密技术在保护隐私,确保信息安全和完整方面的应用等。2020年11月24日,中国人民银行正式发布并实施的《多方安全计算金融应用技术规范》这一金融行业标准,有助于在不泄露原始数据、保障信息安全的前提下实现数据高效流通、共享和融合应用。
4.数据安全
根据《数据安全法》第3条规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。现有法律规则已经对数据开展了分类分级保护,形成较为完善的数据安全保护机制。但仅靠法律规则来治理是远远不够的,如计算机病毒、黑客攻击等技术风险问题都会影响到计算机软件、硬件的正常运行,破坏数据的完整性和可用性,甚至导致系统崩溃等后果。技术规则作为一种由软件编码、决定算法运作的极具严谨性和精确性的规则,在数据安全方面的应用必然有其独特的价值意义。如对于金融科技企业所拥有的数据资产,监管部门、行业协会可研究并建立统一格式, 以推动数据共享的实现。此外,数据脱敏的相关标准和规范的形成和完善,能够更有效地保证人工智能技术开发者在采集、加工、利用数据过程中的数据安全(麻斯亮和魏福义,2018)。
四、金融科技企业数据治理中的法律规则
(一)金融科技企业数据治理法律规则的具体形式
法律规则是一种外在的约束机制,主要是由立法主体依照严格的法定程序所制定或认可的规则、规定或条款,其规定着法律上的权利、义务和责任,起着指引、规范、强制等作用。在表现形式上,其主要以一种可以书写的语言文字形式呈现。本文主要介绍法律和地方性法规两种形式。
1.法律
即由全国人大或全国人大常委会制定的具有仅次于宪法效力的规则。现有的关于金融科技企业数据治理的法律规则主要有2021年公布的《网络安全法》《数据安全法》和《个人信息保护法》。其中,《网络安全法》是我国第一部针对网络空间安全管理展开全面规范的基础性法律,该法强化了对网络运行安全、关键信息基础设施的重点保护,规定了网络运营者在收集、使用用户信息过程中的义务和责任,同时进一步明确了政府各部门的职责权限,完善了网络安全监管体制。《数据安全法》则首次在立法上将数据分类分级保护规定为一项基本制度,但对数据分级分类制度的规定较为宏观。对此,金融科技企业还需要参考行业内的有关标准体系来落实数据识别和分类分级的相关工作。而《个人信息保护法》则促使金融科技企业加大对个人信息保护的重视,从而加快建立覆盖全生命周期的数据治理、数据安全管理体系。
2.地方性法规
早在《数据安全法》和《个人信息保护法》出台以前,各地就已经在数据立法上有了不同建树,但多局限于政府数据的开放共享、政务数据的管理应用方面。如《山东省政务数据管理与应用办法》《贵州省政府数据共享开放》《海南省大数据开发应用条例》等。随着《数据安全法》的问世,各地又接连出台相关条例,以细化各主体在数据治理方面的权利、义务与责任。如《上海市数据条例》对于数据的流转、开放、共享以及相关主体所涉及到的权利义务都作了细化,《深圳经济特区数据条例》则囊括了个人数据、公共数据、数据要素市场、数据安全等方面。总的来看,各地方制定的这些条例都在一定程度上促进了数据生产要素的高效利用和运转,还有助于数据治理活动的规范展开,从而带动当地数字化建设和经济发展。
值得注意的是,现阶段我国金融科技企业数据治理中的有关法律还只是从宏观上进行初步、基础性的规定,地方性法规在进一步细化的过程中,也存在规定不明、立法滞后、缺乏针对性等问题,需要进一步改进和完善,同时也需与技术规则协同发挥作用。
(二)法律规则在金融科技企业数据治理中的功能界定
由于法律规则具有确定性、可操作性、可诉性和合逻辑性等特征,其能够在约束和规范行为、保障受侵害利益、维护秩序等方面发挥着重要作用。具体到金融科技企业数据治理中,法律规则的功能会因应用领域的细化而呈现一定的特殊性,即主要以数据安全保护为中心。理由如下:一是技术规则存在非中立性。由于其主要表现为第三种独立语言,因此在将法律语言转化为技术语言的过程中,容易导致某种程度上的偏差,甚至会形成歧视(张永亮,2020)。二是技术规则相对机械。技术规则虽然执行起来会更为简单高效,但往往无法综合考虑多种情形,权衡多方利益,最后导致明明在法律规则下应该得到保护的一方利益受损。三是数据安全关系到公共利益。我国的法律规则主要是全国人大或全国人大常委会制定,他们代表和维护的是广大人民的利益。具体到金融领域,立法机关所关注的也应是整个金融行业的安全稳定和蓬勃发展。因此,为维护更高位阶的社会公共利益和金融秩序,需要法律规则为数据安全保驾护航,确保数据安全保护被放在更为核心的位置。
综上,本文将金融科技企业数据治理的功能界定为以数据安全保护为中心。与技术规则相比,法律规则更多的是维护金融消费者和其他微小型企业等主体的金融利益,规范的是金融科技企业或金融机构等其他数据治理主体的行为,最终营造一个良性、繁荣、稳定的金融秩序。
(三)法律规则在金融科技企业数据治理中的应用范围
为使法律规则能够更有针对性地发挥其功能,还应进一步明确其应用范围,即法律规则应该在哪些方面发挥其数据安全保护的作用。对此,本文将法律规则在金融科技企业数据治理中的应用范围界定为以下两方面。
1.规范和约束金融科技企业数据治理中的行为
随着数据要素价值的不断释放和增强,数据治理愈加受到各利益相关者的重视。其中,金融科技企业在数据治理中也不乏会出现许多亟需得到规范的行为。如金融科技巨头往往会利用掌握的大量数据,对市场形成垄断,破坏正常的市场秩序,从而形成不公平的竞争,阻碍金融行业安全健康发展(张娜,2021)。在区块链金融系统中,也还存在着未经授权的信息披露问题(唐士亚,2017)。此外,由于金融科技企业在技术和数据上享有优于传统金融机构的优势,其在利用新兴技术提高数据治理效率,提升服务质量,促进数据开发利用的同时,还可能带来数据泄露、篡改等问题,引发系统性金融风险,影响金融消费者利益甚至破坏金融秩序稳定。考虑到技术在企业数据治理中的重要性及其可能带来的消极影响,我们容易将技术作为法律规则所要约束的对象。可实际上,技术本身并不是风险生成、传导乃至爆发的根本渊源,技术背后还暗含开发者或利用者的意志因素。因此,与其对技术施以各种可能阻碍其进步、创新的限制,还不如将关注点放在金融科技企业自身的技术开发和应用行为上,通过法律规则明确其运用技术进行数据治理的行为边界。2018年11月,为帮助企业围绕数据管理和使用等活动展开内部治理,新加坡金融管理局发布了一系列关于人工智能与数据分析(AIDA)的应用原则,具体包括了公平(Fairness)、道德(Ethics)、问责(Accountability)和透明(Transparency)(MSA,2018)。诸如此类的原则能够督促金融科技企业以更为严谨、负责任的态度来开展数据治理,防范其不当的技术应用行为可能引发的数据安全隐患问题。此外,当前有关金融科技企业的主体地位和权利义务也尚未在法律上得以明确,导致对其参与金融活动这一过程进行法律评价存在较大困难(袁康,2021)。因此,在明确其行为边界的过程中,还需注重完善其地位和权利义务方面的法律规定。
