第四章 开放银行数据保护溯源与数据所有权之争
您可以在百度里搜索“经济增长新动力(套装共12册) 艾草文学(www.321553.xyz)”查找最新章节!
第四章 开放银行数据保护溯源与数据所有权之争
虽然我们看到英国开放数据研究所(Open Data Institute,简称ODI)的结论——“对银行数据的更好运用有助于增进银行业竞争、提高中小企业生产率和消费者福利”——是英国政府实行开放银行政策的出发点,但是我们更需要明白,开放银行的背后是数字权利的变更与保护,一言以蔽之,数字权利的确权是开放银行诞生的基础。
我们生活的方方面面都围绕着数据,从社交媒体到银行、零售商和政府——几乎所有服务主体都在收集和分析我们的数据,诸如姓名、身份证号码、地址、信用卡号码、设备MAC地址等信息。同时,最重要的是,这些信息也通过不同(我们已知或未知、已同意或未同意)的方式和形式被某些机构存储起来。
经济体中非自然垄断行业出现垄断企业会造成社会效率损失,数据领域垄断也会带来无谓损失。打破银行对于金融数据的垄断自然可以促进银行业竞争,同时提高社会效用。开放银行的实施,确保了消费者拥有自由选择处理其数据的权利。在数据权利被打破,并成为不可逆事实的情况下,银行在新时期通过采用银行即平台等策略再次掌握主动权,则是最优应对之策。
消费者数据权利得到足够重视之后,各种基于大数据的科技公司,包括传统行业的企业在使用消费者数据和传播消费者数据方面都受到了制约,并且以银行业为突破口,开始被迫开放消费者个人金融数据。在各种相关法律法规之下,数据的开放按照计算机方面较为成熟的方式——API——进行,同时采用了OAuth标准定义接口。在政策层面已经确定了目前开放数据的内容,不排除以后进一步扩大数据开放的范围。
由于保护数据而导致开放银行的出现,是非常有意思的开始,而由此导致的银行变革或许是当局也无法预料的。从第三方支付撕开银行金融数据垄断的口子开始,其实无论是银行还是相关机构都没有预料到开放银行的出现。显然,这是非常重要的历史时刻,自此我们可以认为,第三方机构开始绕开银行提供“银行服务”已经彻底改变了银行竞争的格局。而数据保护的结果使银行必须开放数据,虽然对于银行短期不利,但也是银行正视竞争的开始,或许是未来银行的起点。
开放银行前传:数据保护溯源
欧盟数据保护的溯源与思路
2007年12月12日,欧盟轮值主席国葡萄牙总理苏格拉底(Socrates)、欧洲议会议长珀特林(Pottering)以及欧盟委员会主席何塞·曼纽尔·巴罗佐(Jose Manuel Barroso)在欧洲议会总部所在地法国的斯特拉斯堡共同颁布,旨在保障欧盟公民权利的《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)(以下简称《宪章》)。《宪章》第8条个人信息之保护中规定:“a.人人享有个人数据保护的权利。b.此等信息应仅得于特定明确目的,且于信息所有人同意或其他法律规定之正当依据下,公平地被处理。人人均有权了解其个人信息,并有权要求销毁其个人信息。c.应由独立的主管机关监督这些原则被确实遵守。”2007年12月13日,《里斯本条约》(Lisbon Convention)授予《宪章》以法律约束力,进一步巩固了欧盟对其成员国中个人数据的法律保护,同时明确了个人数据保护是欧盟成员国公民的基本权利。
2012年1月,欧盟委员会为了确保欧盟能够“适应数字时代”,制定了“数据保护改革”(Data Protection Reform)计划。大约4年之后,数据保护的内容界定和如何执行的协议最终达成。改革最重要的部分就是出台了《通用数据保护条例》,这个新的欧盟协议适用于所有成员国的组织,对欧洲及其他地区的企业和个人都有影响。2015年12月欧盟就改革达成一致时,欧洲委员会数字化单一市场项目副总裁安德鲁斯·安西普(Andrus Ansip)指出,“欧洲的数字化未来只能建立在信任的基础上。凭借坚实的数据保护通用标准,人们可以确信他们可以控制自己的个人信息。”该《保护条例》其实源于1995年的《个人数据保护指令》(Directive 95/46/EC),只是当时的《个人数据保护指令》由成员国“参照执行”。
根据《保护条例》的条款,机构不仅必须确保在合法和严格的条件下收集个人数据,而且收集和管理个人数据的人将有义务保护数据免受滥用和再次利用,并尊重数据所有者的权利,否则会面临处罚。2019年年初,谷歌被法国个人数据保护主管机构国家资讯自由委员会(Commission Nationale de L'informatique et des Libertés,简称CNIL)以违反《保护条例》为由处以5 000万欧元的罚款。理由是谷歌没有给消费者提供关于数据同意条款足够的信息,以及没有让他们完全掌控其数据被使用的情况。
但是需要指出的是,《保护条例》的主旨与目标是“不得以保护自然人个人数据处理为由,限制或禁止个人数据在欧盟的自由流动”。(第1条)而其处罚则又相当严厉,“违反个人信息收集和使用规则、侵犯数据主体权利,数据控制人或使用人将被课以最高全球年营收4%或2 000万欧元的罚款”。欧盟对于数据自由流动、保护和代价可谓明码标价,而PSD2则是在这样的背景下推出,开放银行则是PSD2英国版本而已。
欧盟对数据权利保护进行的升级
欧盟数据立法从“指令”到“条例”,立法等级发生了明显的变化,也说明了欧盟对于数据权利的重视程度越来越高。同时,其立法的覆盖面也越来越广,如《保护条例》打破了传统立法管辖权,形成了新的跨境领域的国际法规则。传统的立法管辖权通常按照国家/地域划分。而《保护条例》管辖权划分的维度是“居民/行为”,也就是说《保护条例》适用于任何向欧盟居民提供产品或者服务的行为、个人、企业和其他组织,甚至只是收集、整理数据的非欧盟企业和组织,而与这些企业和组织所在位置无关。这意味着,欧盟境外的实体,通过互联网等形式处理欧盟境内个人的个人数据,也适用《保护条例》。从欧盟立法应对数据自由流通与数据保护的对峙来看,有三个重要举措值得特别关注,因为它们具有引发大数据和云计算时代立法管辖权冲突的现实性和潜在可能性。
数据保护成为基本权利
欧盟将个人数据保护作为基本权利的做法导致两个重大转变:一是把某些形式上涉及计算机技术发展管制的法律概念,转换成形式上不涉及任何具体技术的权利;二是“欧盟基本权利”这一标签的确立伴随着欧盟个人数据保护的发展,立足于长期以来与国家基本权利和国际人权有密切联系的欧盟法。从而使数据保护法因与欧洲人权公约的联系而具有“人权”性质。在随后的发展中,这一特性的确立使欧盟个人数据保护最终获得基本权利的地位,并且对于逐渐去除作为解释欧盟数据保护法之关键权利——隐私权的神圣光环而言,具有重要的法律意义。
基本权利的定性是欧盟数据保护基准的立足点,也是欧盟数据立法向世界各国提出的一大挑战。大数据时代,数据有必要从传统的个人隐私观念中剥离开来,构成新型社会价值的原子要素。其中不仅有人权侧面,同时还有尚待开发的社会、经济和政治侧面。数据保护法律制度的发展,应是顺应以大数据和云计算对数据的广泛运用而强化个人权利保护的必要举措。欧盟委员会在其制定的数字化单一市场战略中强调数据信息自由流通原则的重要性,主张在此原则下,除为确保个人数据之外,所有限制数据流通的障碍都必须清除,而不涉及自然人的所有数据都必须确保自由流通。《保护条例》就是体现数据自由流通与个人数据保护之间最佳均衡的法律文件。然而,《保护条例》所展示的这种均衡,能否承受得了对这种均衡有着不同追求以及数据技术发展所带来的压力,尚有待实践检验。
告别随意收集数据
依据数据的目的限制原则[《保护条例》第5条1(b)],在欧盟收集和处理数据需要明确界定其目的,并且这种数据不能用于与原始目的不相容的另一个目的。从基本权利引申出的这一原则,对大数据应用在欧盟的发展将直接产生影响,因为大数据的根本就在于活用数据,为不同目的而进一步处理数据集,并以某种收集数据当时可能没有设想到的方式对数据进行分析利用。
目的限制原则源于欧盟理事会(Council of the European Union,简称COEU)(73)22和(74)29决议,并为后来的法律文件进一步阐述确认。1981年欧盟理事会《关于个人数据自动化处理中的个人保护公约》(108公约)第5条引入了一套包括目的限制原则在内的更详细的数据保护原则,同时也规定目的限制原则允许在特定条件下的减损。第9条第2款规定,“当对本公约第5、第6和第8条规定的减损由缔约方的法律规定,并在民主社会中构成以下利益所必要的措施时,这种减损应与允许:a.保护国家安全、公共安全、国家货币利益或防止刑事犯罪;b.保护数据主体或他人的权利和自由”。1995年的欧盟《数据保护指令》(Data Protect Demand,简称DPD)第6条规定了欧洲基本数据保护法原则,即公平与合法性原则、目的限制原则、数据最小化原则、数据质量原则和数据安全原则,而目的规范是该指令所确立的数据规则框架的核心内容。
限制数据向域外移送
《保护条例》第5章对数据向第三国或国际组织的移送进行了明确的限制性规定,并具体规定了允许移送的条件和管理制度。同时,遵守数据向第三国移送的法律规制,也是判断域内控制者和提供商处理数据行为合法性的一个重要指标。比如,告知数据主体数据移送[第13条(f)]以及移送相关的充分保护措施(第15条第2款);数据处理者依法移送数据的义务[第28条第3款(a)];保存移送数据记录的义务(第30条)。
根据《保护条例》,欧盟成立了欧洲数据保护监管局(European Data Protecion Supervisor,简称EDPS),负责辖内个人数据保护和信息自由流动的监管工作,并要求各欧盟成员国须成立专门的数据保护监管部门,负责执行《保护条例》和相应的国内法,如德国的联邦数据保护与信息自由专员办公室(BFDI)、法国的国家资讯自由委员会等。如果对监管部门的决定不满意,还可以向欧盟法院(CJEU)或欧洲人权法院(ECtHR)直接提起诉讼,将数据保护赋予行政和司法权力。除了从宏观调控方面将数据保护提到了前所未有的局面,在微观经济方面也切实落实到了各个实体上,《保护条例》规定欧盟机构、数据控制者和数据处理者设立“数据保护官”(DPO)。DPO的职责包括:督促数据控制者和数据处理者履行数据保护义务、配合监管机构工作、代表所在机构处理数据保护实务、负责接收咨询等。DPO的联系方式向监管部门和社会公众公开。DPO可以是机构内部员工,也可以外聘,各机构应当向DPO提供履职相关的数据访问权限和资源。数据控制器或处理者不得因执行任务而解雇或处罚DPO。
英国对数据保护同样当仁不让
英国是政府数据开放的先驱和领导者,同时也是全球政府数据开放程度最高的国家。据万维网基金会发布的《开放数据晴雨表》(Open Data Barometer)结果显示,英国的政府数据开放得分从2016年到2018年已连续三年位列全球第一,且总体得分遥遥领先于其他国家。
英国数据开放的逻辑
英国数据开放政策的逻辑基于两个视角:一是公民权利,二是数据开放价值。
从公民权利的角度来看,公共部门数据是一种公共资产,纳税人有权利免费获取这些数据。如《第一要务:智慧政府》(Putting the Frontline First: Smarter Government)中提到,公共部门在运行和提供服务过程中会产生许多非个人的公共数据,在数据收集过程中,纳税人已经支付了费用,因此有权利免费获取这些信息。例如公共部门,理应将其所持有的数据向公众免费开放。
从数据开放价值的角度看,数据开放能够带来巨大的政治、经济和社会效益,这是数据开放最为重要的内在因素,在英国政府数据开放的有关政策中几乎都有论述。如《开放数据白皮书:释放潜能》(Open Data: unleashing the potential)第三章提到,要建立信任,指出政府数据开放不仅可以促进政府透明,增强公民权利,打击腐败,同时还可以利用新技术手段来增强施政。2011年8月,英国内阁办公室发布的《开放数据咨询》(Open Data Consultant)详细阐述了开放数据与公民和纳税人息息相关的问责制、支持明智的选择、公共服务效率、公共服务质量、社会发展、经济增长六个方面的价值。
机构责任的明晰作为执行的保障
数据开放与共享是一项长期的、复杂性的实践活动,需要国家设置专门的机构和人员进行规划、领导、协调和实施等相关具体事宜。英国政府数据开放政策中有关责任机构的内容主要体现在以下两个方面:
第一,明确银行数据开放的责任机构。
从全局来看,英国政府数据开放的领导机构是内阁办公室,负责各部门的协调、监管以及相关政策的制定;社区和地方发展部负责地方政府数据开放政策的相关事宜;国家档案馆负责公共部门信息再利用方面的中央政策的制定,以及开放政策许可协议的制定和推广。就某一具体的数据开放项目而言,英国也会通过政策的形式施行。
第二,明确所有的责任机构。
以《2016年至2018年英国开放政府国家行动计划》(UK Open Government National Action Plan 2016 to 2018)为例,该政策中做出了“确定和发布核心数据集”的承诺,并详细列出了具体的责任机构,如“领导实施机构”是内阁办公室(政府数字服务),“其他相关的政府责任机构”是所有的政府部门,“政府之外的其他参与机构(民间组织、私人部门、工作小组、多边机构等)”是mySociety和开放数据研究所。各个机构分工明确,各司其职,有助于政府数据开放项目的顺利实施。为实施政府数据开放,英国建立了许多专门机构来负责处理不同的事务,如《2011年秋季声明》(Autumn Statement 2011)和《关于2011年秋季声明开放数据措施的更多细节》(Further Detail on Open Data Measures in the Autumn Statement 2011)分别针对开放数据的推广、研究、利用,为政府提供有关数据开放政策研究,以及数据采集、管理、分发和数据政策的制定,提出建立开放数据研究所、数据战略委员会(Data Strategy Board,简称SDB)以及公共数据小组(Public Data Group,简称PDG)等机构。
简而言之,英国政府数据开放政策有如下特点:一是类型多样。从政策类型看,英国已发布的政策包括标准政策、许可政策、规划政策等多种类型;从政策制定、发布的机构看,既有内阁办公室这样的中央政府发布的政策,也有国家档案馆、财政部以及商业、创新与技能等各部门及其他机构发布的政策。二是政策具有连贯性。英国几乎每年都会出台政府数据开放的政策,且很多政策都是基于之前的政策实施效果进行发布,前后政策具有继承和发展的关系。三是政策涉及面广,且具有很强的指导性和可操作性。已发布的数据开放政策涉及数据开放的依据、责任机构、目的、原则、开放数据范围、标准、许可协议、战略规划、隐私保护和人才培养等方面,这些政策规定细致、具体,很容易操作和实施。四是形成了一定的政策体系。英国的政府数据开放政策不是孤立存在的,全国性的政策与部门及地方性的政策遥相呼应,之前发布的政策与之后发布的政策紧密相连,从整体上涵盖了政府数据开放的方方面面,这些政策共同形成了英国政府数据开放的政策体系。
金融数据开放的潜在困难
防止金融数据垄断者重新出现
一些金融科技巨头凭借其在互联网领域的固有优势,掌握了大量数据,客观上可能会产生数据寡头的现象,从而形成数据垄断,例如某些机构掌握核心信用数据资源,某些机构掌握电商交易数据和金融数据,某些机构掌握传统金融机构和互联网金融平台的金融数据,某些机构则依托大股东掌握大量线下交易数据,还通过合作的方式掌握了合作企业的数据。包括信息技术在内的科学的进步,在政治上变得更加富有深意和基础性作用,银行数据再利用会带来经济繁荣的逻辑,但在银行数据开放的过程中,复杂的利益关系容易导致以“数据垄断”为特征的市场独裁。
银行开放大数据以“透明银行”和“程序正当化”为目的,强调的是银行数据的非歧视性(Non-discriminatory)、非私有性(Non-proprietary)及免于授权性(License-free),即除非涉及国家秘密、商业秘密、个人隐私等特别限制之外,银行应当无一例外地向任何人平等开放银行数据。但与此相反,互联网公司却以“数据利益最大”为终极目标,它们鼓吹“数据私有化”,而“数据垄断”是帮助企业实现目标的最好工具。
一旦银行与企业合作建设银行数据的开放平台,那么作为“网络基础设施”的银行大数据就有可能被集中到少数企业手中,数据垄断开始于企业帮助银行收集相关数据的阶段,在协助银行存储和分析阶段得到强化,最终在银行数据的开放和再利用阶段实现垄断。最终,这种基于银行的数据垄断,企业将利用数据市场的绝对支配地位,对数据市场的竞争以及对用户的隐私等合法权利保护起到消极影响。
打破数据孤岛困难重重
银行和企业都面临数据孤岛难题。大数据时代,数据已经成为核心资源,企业出于保护商业机密或者节约数据整理成本的考虑而不愿意共享自身数据,一些银行、行政部门也缺乏数据公开的动力。数据孤岛现象的存在,将导致大数据信用评估模型采用的数据维度和算法的不同,大数据征信模型的公信力和可比性容易遭到质疑。
数据安全和个人隐私保护难度升级
目前,金融数据的获取大致有四种方法:自有平台积累、通过交易或合作获取、通过技术手段获取、用户自己提交的数据。但是由于相关的法律法规体系尚不健全,数据交易存在许多不规范的地方,甚至出现数据非法交易和盗取信息的现象。大数据来源复杂多样加大了用户隐私泄露的风险,其一,金融大数据行业的发展乃至金融科技行业的发展,在很大程度上得益于互联网应用场景的发展,而大数据从互联网应用场景向金融领域的转移往往发生在一些金融科技企业的集团内部,这个过程缺乏监管和规范,可能会侵犯到用户的知情权、选择权和隐私权;其二,应用数据存在多重交易和多方接入的可能性,隐私数据保护的边界不清晰;其三,技术手段的加入,加大了信息获取的隐蔽性,一旦出现隐私泄露纠纷,用户将面临取证难、诉讼难的问题;其四,大数据采集数据的标准不一,用户的知情权、隐私权可能受到侵犯。可见,在大数据环境下,个人数据应用的隐私保护是一个复杂的消费者权益保护问题,涉及道德、法律、技术等诸多领域。
数据所有权之争:谁是下一个“开放银行”
数据保护的逻辑之辩
很明显,产生一项数据,参与方主要有记录方与被记录方。通常,数据只有忠实于被记录主体才具有价值,否则就是虚假数据或错误数据。当前对于数据所有权的归属主要有两种不同意见:一是归被记录方所有,因为数据所记载的信息是被记录方属性的客观真实的记录,离开被记录主体,数据就失去价值;二是归记录方所有,因为记录方花费大量投资于数据的收集和整理,从保护投资促进行业发展的角度,数据所有权应归记录方所有。
《保护条例》规定,欧盟公民个人数据处理、存储、传输都需遵守此条例。个人数据处理主要指银行对欧盟客户个人数据进行的任何操作,包括但不限于数据的收集、记录、组织、调整、更改、检索、咨询、使用、排列、组合、限制、清除或销毁等。个人数据存储主要指银行对欧盟客户个人数据(包括客户信息、账户信息、交易信息等)通过备份介质进行存放或备份。个人数据传输主要指银行在对欧盟个人数据进行批量加工,提供联机服务的过程中,所执行的个人数据传输,或将个人数据转移到第三国。
此外,《保护条例》还规定数据主体有权随时反对出于营销目的的个人数据处理,包括用户画像。一旦反对,数据控制者须立即停止针对这部分个人数据的处理行为。个人数据处理应遵守“目的限制”“数据最小化”原则。银行在保证业务正常开展、IT正常运维的前提下,应对个人数据访问加强管理,实现最少有权人访问最少数据。个人数据处理应遵守“限期存储”原则,个人数据存储时间不应超过实现其处理目的所必需的时间。数据主体具有被遗忘权,即数据主体有权要求数据控制者删除其个人数据。而企业能够存储数据的数量也有上限规定。《保护条例》要求管辖范围内企业只能留存上限为500万条的数据,许多企业不得不删除长期积累的大量数据。
目前,法学研究中常用的研究逻辑是“大数据就是大量的数据,数据的内容是信息,信息多是个人信息汇总而来,个人信息属于个人,所以大数据与个人信息密切相关,有可能侵犯个人信息权”(周林彬和马恩斯,2018),由此他们推断欧盟数据保护的逻辑也源于此。周林彬和马恩斯(2018)同意“大数据模型,即所谓‘用户画像’,才是大数据产业价值最集中之处”。而欧盟支持的恰恰是“数据主体有权随时反对出于营销目的的个人数据处理,包括用户画像”。
对于大数据的定义,有人认为是指无法在一定时间范围内用常规软件等工具进行捕捉、管理和处理的数据集合,需要新的处理模式才能具有更强的决策力、洞察发现力和流程优化能力,来适应海量、高增长率和多样化的信息资产。IBM(国际商业机器公司)提出大数据具有5V特征:Volume(大量)、Velocity(高速)、Variety(多样)、Value(价值)、Veracity(真实性)。周林彬和马恩斯(2018)认为“大数据不只是大量的数据的总和,还包括大数据算法、大数据模型和大数据应用”。并且他们认为,个人信息、信息、数据、大数据之间的关系是“个人信息是人身权问题,信息既是人身权问题也是公共产品问题,信息的数据化是人身权的财产化问题,兼具人身权和财产权两方面特点”。
周林彬和马恩斯(2018)的观点事实上也代表了国内很多学者的观点。他们往往认为原始数据是终端用户所存储使用的各种数据,它构成了物理存在的数据。网上购物生成的数据、患者病史信息、社保个人账户数据、海关记录的各公司进出口信息、知识产权局记录的申请信息等,由于此类数据与被记录主体息息相关,初始所有权一般归被记录者(即终端用户)比较合适。
大数据技术的战略价值不在于掌握数据信息有多庞大,而在于对这些含有意义的数据进行专业化处理。如果把大数据比作一种产业,那么这种产业实现盈利的关键,在于提高对数据的“加工能力”,通过“加工”实现数据的“增值”。这种加工不是简单的数据汇编及排序,而是通过有效地汇聚、利用和分析数据,提供完整的数据集成、清洗、比对、标准化、资产化、管理、开发、分析、挖掘、应用、共享、交换、开放、运营、安全、质量等端到端的解决方案,提升数据资产价值密度,进行数据资产化及数据的价值化,产生更大的新价值。
大数据不同于原始数据,是原始数据经过资产化和价值化,经过从数据到信息再到知识的价值提炼后,具有了新的价值。大数据所有权应该归产生新价值的一方所有。这样才符合国家发展大数据的战略意图和实现大数据真正的战略价值,才能鼓励对大数据产业的投资和发展。
当然,大数据也是基于原始数据而产生的,这涉及原始数据的初始所有权如何保护的问题。大数据所有权拥有者在收集、使用原始数据之前,应该要有初始所有权人(被记录方)的授权,并对隐私安全、使用范围和用途等做出承诺。这与基于产生新价值的大数据所新产生的所有权并不矛盾。
大数据所有权人只能对有了新价值的大数据进行商业交易,对原始数据,无论是经过怎样形式上的汇编、排序等编辑,只要汇聚的数据不产生新的价值,都不允许其交易。允许原始数据(本质上)的交易,不仅与发展大数据产业的初衷背道而驰,从某种意义上讲,是将倒卖个人隐私、个人信息合法化,对大数据产业发展有百害而无一利。
对数据权利本身所有权的争论,事实上意味着后续开放银行在我国的发展之路与别国自然不同,而继开放银行之后出现什么样的变革,或许与此又密切相关。
数据保护与数据流通自由
既然《保护条例》对于消费者个人数据保护如此重视,为何又通过PSD2强制银行开放数据呢?这种恰似自相矛盾的处理,使开放银行可以在欧盟,特别是在英国首先诞生,并且也可以作为打破银行金融数据垄断的尝试。“公开权与隐私权相对,其要义并非在于惩罚人身权的侵权行为,而是赋予请求权主体对不当占有其人身权财产利益的求偿权。欧盟的立法中引入公开权制度,将数据财产界定为个人所有”(周林彬和马恩斯,2018)。同时他们认为,“我国的立法模式中部分引入公开权制度,在有条件的情况下将数据财产界定为企业所有”。
不可否认,银行的绝对优势地位、大数据技术对信息自控的威胁,以及被忽视的消费者经济利益,都集中体现于银行交易过程。从消费者权益保护的历史来看,消费者保护的渊源在于纠正市场失灵的困境,按照实质正义的要求对契约的形式进行相应调整。若民法强调自愿的交易,那么消费者权益保护的核心目标在于确保公平的交易。由此,应对大数据时代的消费者权益挑战的方法在于,重构以消费者权益为中心的数据保护机制。
本质上,消费者权益保护对银行交易的保障在于确保交易的程序正义和实质正义,也就是说,平等的议价能力、公正的合同条件和有效的救济手段。具体而言,程序性的公正性意味着合同的谈判或议价不存在压制和无知的情形,实体性的合理性则体现为合同条件是正当的,双方并未滥用权利。
在消费者权益保护层面上,消费者和服务提供者应充分磋商缔结银行服务协议。一般而言,在确定银行交易是否公正时,法院将评估交易过程中载有双方权利义务的银行协议是否被明确地展示给消费者,消费者是否有机会阅读该协议,以及消费者是否清晰地、明确地表明对条款的接受。总之,消费者权益保护中的缔约公正性包括消费者的知情要求和同意要件。银行业长期存在银行服务不透明的问题。若将消费者的知情要求适用于数据主体,那么,数据主体的权利内容可细分为以下方面:
第一,数据主体应有事实上的或推定上的认知。美国律师协会电子缔约工作组曾指出,在电子化语境下,如果通过滚动条能够展示协议的部分内容,或者通过以普通水平的用户能够注意的方式展示条款,那么可以认为银行已履行向用户充分告知的义务。然而,在银行交易中,若企业将协议放置在不明显的超级链接上,或理性的人将不会注意此类超级链接,或理性的人无法知晓其通过点击意将缔结合同,那么法院不会执行上述协议。因此,在互联网语境下,在使用服务前,作为消费者,用户对服务协议的条款和条件应具有事实上的或推定上的认知。如果银行服务提供者未能履行向用户充分告知的义务或损害数据主体的知情权,那么该合同可能不生效。
第二,数据主体的权利和义务应不模糊地展示。服务协议中的用户权利和义务必须合理地展示,否则企业将面临法院不执行合同条款的风险。一般而言,银行协议中的权利与义务包括用户的提交事项、禁止性内容、银行群体规范、发布信息的责任、网站的所有权、拒绝或移除发布的情形、账户的终止、内容所有权的准据法、法院选择、隐私政策、担保声明、责任限制、知识产权侵权、通知和关闭条款、使用数据的许可、第三方网站和服务、对协定的终止和修改的条款等,上述内容应清晰地列出和明示。在海因斯诉OSTK(Hines v.Overstock.com,Inc.)案中,美国一家服务提供商在其网页上写明:“进入本网站即构成用户对本条款和条件的接受。”其条款包括任何与访问网站方式相关的争议,都必须在OSTK总部所在地进行秘密仲裁。然而,美国联邦法院认为,作为消费者,数据主体并没有获得关于“条款和条件”的通知,进一步说,法院指出网站并没有提供用户合理阅读合同条款的机会,并且该链接以不显著的方式展示,因此,该银行的浏览同意协定是无法执行的。
第三,数据主体应具有合理的阅读机会。在施佩希特诉网景通信公司(Specht v.Netscape Communications Corp.)案中,美国第二巡回法院拒绝认可互联网服务协议条款的有效性。其理由在于:在消费者做出同意前,尚不确定服务提供商是否提供消费者阅读合同条款的机会。具体而言,在该案中,互联网公司主张应依据互联网服务协议进行强制性仲裁,并要求终止诉讼程序。然而,审理该案的法院指出,在消费者按下“立即下载”按钮免费下载软件时,服务协议条款放置在屏幕下方的事实不足以表明该公司已经询问过消费者,且不足以推定消费者已获得通知。本质上,在缔结合同前,用户阅读、审阅和理解格式条款是消费者的一项基本权利。德国法兰克福地方法院曾指出,虽然三星企业提供超过50多页的数据政策,但并没有提供超级链接,或者是可以跳转至特定页面的选项,因此消费者无法合理获知数据政策的内容,上述做法构成不公正的商业实践。
在合同缔结中,当事方同意对于合同成立是必不可少的。虽然互联网改变了法院适用法律的事实背景,但不管是书面的、口头的,或通过行为表达的,双方合意表示仍是合同的基石。作为基本原则,对合同的接受必须是积极的且明确的。作为消费者,在知悉互联网服务协议的条款后,数据主体应对互联网服务协议表示同意。在互联网语境下,消费者表示同意的方法主要有四种,即点击同意、开封同意、浏览同意和注册同意。点击同意的协议是通过用户点击“我同意”按钮确定协议条款;开封同意的协议是通过获得产品而表明同意;浏览同意一般是在网站中表明若用户通过使用服务,或者安装程序,则该协议将具有拘束力;注册同意需要用户进行注册,才表明用户对协议表示同意。
尽管存在不同的形式,消费者同意要件的核心在于建构消费者对格式合同的事实上或推定上的认同。对于不同形式的同意而言,对其认同的标准有所差异。针对浏览同意而言,由于数据主体可能在未阅读协议前,甚至在不知晓协议网页存在的前提下,持续性地使用网站及其服务,与点击同意、开封同意和注册同意相比,数据主体的同意需要更大程度的清晰度。
谁是下一个“开放银行”?
数字经济下法律价值序列的实质,是重新平衡言论自由、个人隐私、经营自由、流动自由和公共利益等基本价值和利益。这种平衡既是立法者对商业创新和个人保护的权衡取舍,也必然是在既有数字产业的现状下对市场竞争优势、经济长期发展和社会目标实现的不同选择和不同追求。(金晶,2018)
既然对于商业创新和个人保护的权衡不同,那么下一个“开放银行”在不同国家自然不太可能相同。我们这里给出几个可能具有共性的猜想。
首先,最可能的是在打破银行数据垄断之后,进一步打破包括信托、保险、证券在内的行业机构的垄断,以及现有的数据所有者的数据垄断。很明显,就金融行业来说,银行的体量在很多国家并不比其余金融机构大,因此其他非银行金融机构的数据同样需要采用API技术进行共享。而现有的科技类公司,包括金融科技公司同样需要采用API技术进行数据分享。
其次,对于开放银行本身而言,虽然API技术已经排除了第三方直接拥有数据的可能性,而只能调用相关的信息,但是依然存在一定的风险,分布式账本技术的普及,有可能在API的基础上再次为信息共享保驾护航,因此会被银行主动采纳或者政府强制某些数据的收集和共享必须采用分布式账本技术。基于分布式账本技术的智能合约和银行的清算/结算或许对银行的冲击短期内超过开放银行。
最后,我们必须再次从“银行服务”的“本我”角度来看待所有的变革。银行服务并不必然需要银行提供,那么是不是所有提供银行服务的机构都应该按照开放银行的要求开放数据呢?例如第三方支付机构、消费金融类公司、小贷公司等。
我们可以发现,“开放银行”的出现其实有两条线索,一是法律保护变革的线索,二是银行服务本身进化的线索。前者对于银行的影响是较难预测的,例如欧盟对于个人数据的保护不是一朝一夕的事情,从《保护条例》到PSD2,再到英国的开放银行,其实在10年之前都很难预测。但是从银行服务提供的方式来看,包括布莱特·金等人,都看到了银行会发生很大的变革,而从我们的视角来看,银行服务提供方式的变革才是对银行最大的冲击。法律的演变并不排除会有和技术变革相冲突的地方,而往往能够取得胜利的自然是技术本身。从“银行服务本身必然存在,而提供银行服务的载体(或机构)并不必然是银行”来看,开放银行或许在短期内能够促进银行业的竞争,给新进入者机会,但是由于银行服务本身的抽象化和无差异化,银行业可能会经历较大的洗牌,存留下来的银行提供最基础和底层的无差异银行服务,类似中国铁塔股份有限公司,更多的内容提供商将在银行服务的基础上以及银行即平台的基础上开展有差异的金融服务。 经济增长新动力(套装共12册)