金融机构数据监管的内生需求及展开路径

　金融是数据聚集与生产的富矿，从其诞生之日起，虽然经历时代洗礼与岁月冲刷，但身处的市场环境——信息不对称，及存在的社会价值——提供主体间跨时空资源配置的信息信任机制并没有发生本质变化，这就决定了金融机构在过去、现在和未来都是信息分发的重要节点。特别是继信息互联网之后，价值互联网的技术建构和业务推进将进一步发现和提升了金融信息的价值。逻辑推演和社会期待如此，现实表现却差强人意，客观说来，不管是传统金融机构亦或新金融、类金融企业，或多或少地都存在数据要素不全、质量不高、时效不强的问题，甚至由于内外部原因引发还出现了或大或小的“数据孤岛”现象，单凭企业自觉自发通过市场手段很难圆满解决。

　　首先从数据内部治理和使用的情况来看。基于数据的商业形态是一个新兴且尚在发育的现象，这就使得一方面金融机构虽然保有大量的存量数据，但这些数据都只是业务开展的衍生品，本身并没有按照大数据方法论的使用要求生成、加工，另一方面数据治理工作并没有形成业内公认的方法和标准，在缺少外部权威监管和指导介入的情况下，行业间、企业间甚至企业不同部门间都基于不同的目的和方法开展工作，反而推高了统一数据市场形成的成本壁垒。

　　其次从数据外部交互和移转的实践来看。虽然有企业特别是一些缺少数据流通“价码”的中小企业从自身个案出发，悲观地认为不存在真正意义上的数据交流，数据只能或多或少地作为算法、模型交流的附着物，但是从更广阔的层面看，至少在交流意向和方式探讨方面，金融机构间以及金融机构与互联网等行业企业间的沟通持续进行。事实上对于作为数据聚集中心的企业来说，运行一个越来越“重”的数据资产而不商业化，不去寻求金钱、数据或其它形式的对价，这本身就是不可能的。

　　不过，企业间数据流通的内在动力同样需要外部监管的助燃，核心是对权力、义务、责任边界的清晰界定。虽然业界有基于区块链的方案设计，但作为一种技术实现手段，其改变的更多是信息-安全的执行层面，还需要有法律法规、监管规定及基于此的合同约定的顶层设计。另外，作为简便易行、成本较低的入门级手段，匿名化得到越来越多的青睐，但不管是简单的关键信息删除/隐藏还是软/硬删除，同样发展迅速的再识别技术依然带来数据还原的风险，企业匿名化的责任限度还是有赖于外部监管的明确。

　　企业与个人客户（消费者）的信息交互——可能更多是单向的，同样面临自身无法解决的困难与挑战。除了业界耳熟能详的新增客户信息收集、清洗、使用和移转等环节，存量客户历史数据也存在质量不高、验证困难、缺乏明确合同约束以及保护时效等问题。虽然在本领域对个人客户（消费者）的权利保护已略见雏形，然而作为交易对手的金融机构等企业的权利并没有划定，个人的权利边界也相对地不够明晰。

　　最后，外部监管介入本身也是由问题性质决定的路径选择。金融是外部性极强的行业，同样，数据也是无法人为条块分割的对象：不但从横向的要素分布上看，主体的金融数据、社交数据、电商数据等等都散见于不同行业不同企业，而且就数据纵向的生命周期来说，也很少囿于一家企业之内。因此，虽然表现形式不一，但金融和数据的本质都要求公共治理的介入。从反面来看，数据法制建设的相对迟缓客观抑制了合法市场的形成，给黑市黑产以充分的发展空间来进行技术和商业进化，其成本最终不得不由全社会承担。

　　行文至此我们不难看出，与其它许多业态不同，金融数据不但不回避，反而欢迎和期待监管的规范和介入，那么，这一工作应如何开展呢？

　　第一当然是加强顶层设计。除前文所述的企业确权外，监管机构间、监管机构内部部门间及与外部其他立法、司法、行政机关间就不同专业领域的数据监管要求也需要磨合（如消费者权益保护对数据收集的“最少必要”原则与反洗钱反恐怖融资对客户背景充分全面调查要求的客观矛盾）。另外，随着数据、网络技术及商业模式向金融业之外各行业的渗透，金融数据的源头和出口很可能落于行业之外，需要不同行业、不同主体管理的法律法规、监管要求的协调。

　　就工作具体展开而言，一方面要厘清数据、大数据、隐私、信息等互相缠绕的规制对象与概念，结合实际区分语境予以规范，另一方面也要区分主体上个人、企业、行业、社会、国家等不同维度层次，分门别类地讨论保护内容、方式、路径、限度等。再者，还要明确与主体、对象相匹配的安全、效率等规范价值定位与序列。

　　第二要考虑区分场景、分步推进。不管是所谓“大”数据还是“厚”数据，究其本质都是与场景关联的具体数据，与之相适应，规则也应该是细化到使用领域，超验的、抽象的、总体的规定没有规范价值。就建设步骤而言，应从数据标准化做起，继而规范数据应用、数据平台，其中以数据标准化最为基础和关键。还需要指出的是，金融数据监管还需明确数据工作本身在机构内部的战略地位、合规意义，避免其因技术属性和部门文化等简化、异化为单纯的科技工作。

　　第三要构筑覆盖事前、事中、事后的管理闭环。事前除法律法规以及监管规定外，还可考虑以指导意见、标准化协议等安排相关主体权利义务，并贯之消费者教育等宣贯-润滑手段；事中要主要考虑监管科技的介入，首先是监管报送的电子化和业务风险的技术治理，继而向深层次发展应该是转变基于历史数据的、事后跟随式的体制机制，以技术-制度的公共基础设施为抓手构建实时管理模式；事后则是要在自身监管力量外，充分运用调动相关部门的纠纷解决资源，并考虑类似“互联网法庭”等线上、轻量、快速的处理机制的探索。

　　第四要联动各方协同发力。主体方面，在国家机关之外，考虑实践开展和知识分布的实际情况，应充分鼓励企业自律、行业自治，引入技术、法律、业务的第三方专业团队；工具方面，综合使用法律、行政、技术等各种手段，特别可以在关键的事前管控阶段建构多层次制度体系，并明确自律公约、行业标准的法律地位和适用效力。

　　收摄全文笔者以为，虽然数据应用已在金融行业遍地开花，但以之为方法论基础的金融工具、风控手段并没有经历一个完整经济周期的检验，与业务发展的正向关联并不明显，也没有获得企业内部的一致认可。因此从本质上讲，金融企业特别是传统金融企业还不是真正意义上的数据驱动型企业。要打造合法的、充分竞争的统一数据市场，促进金融业在大数据背景下的进一步创新、开放，外部监管力量有必要积极进场，助力形成监管友好、各方受益、安全健康可持续的金融数据商业生态。

来源：央行观察  作者：车宁