2月23日,科技部、国家金融监管总局、工信部、国家知识产权局联合印发的《关于加快推动科技保险高质量发展 有力支撑高水平科技自立自强的若干意见》提出,鼓励有条件的地区构建多方参与的科技保险数据集成和公共服务平台。3月20日,司法部、中国人民银行等五部门公开发布的《中华人民共和国金融法(草案)》提出“建设国家金融基础数据库”“建立健全金融网络安全保护和金融数据分类分级保护制度,对影响或者可能影响国家安全的金融数据处理活动进行国家安全审查”。从数据整合的制度化安排,到数据标准的规范化,再到风险防控的数据化支撑,我国金融机构信息数据管理制度日益完善。
在数字经济快速发展背景下,金融机构如何强化数据治理,尤其是跨国金融机构如何在多法域数据主权冲突、集团内部数据流动、第三方风险管理交织的复杂环境中,构建有效的数据治理体系?本文以世界银行、亚洲基础设施投资银行(以下简称亚投行)、金砖国家新开发银行(以下简称新开发银行)等多边金融机构的数据治理实践为研究对象,试梳理其经验教训,探索数字时代跨国金融机构数据治理的制度框架。
从“属地合规”到“协同治理”:跨国金融数据治理的范式转换
传统金融数据治理以属地监管为核心逻辑,但跨国金融机构需要在不同法域分别遵循当地数据保护法律。然而,随着数字经济的快速发展,这一传统金融数据管理范式正面临根本性挑战。数字时代,金融风险和技术风险叠加交织,金融科技相互关联性等因素共同加剧了金融稳定风险传导速度。随着人工智能、区块链等新技术在金融机构的快速应用,使得复杂的金融市场在提高投资效率的同时,也大大削弱了监管者和投资者预测和避免金融产品失败的能力。对于跨国金融机构而言,其日常运作必然涉及成员国之间的数据常态化流动,多监管模式使其合规成本显著增加,而母国监管机构与东道国监管机构监管访问要求的冲突,可能使跨国金融机构陷入两难境地。
面对这一挑战,许多跨国金融机构开始探索从“属地合规”向“协同治理”范式转换。比如,世界银行在数据治理领域的实践颇具启示意义。作为全球最大的多边开发机构,世界银行倡导开放数据,旨在从经济层面推动商业创新及促进经济增长,从政治层面助力政府提高公共服务高效,从社会层面推动开放合作和凝聚发展共识。亚投行的实践则展现了从制度设计层面构建数据治理框架的另一种路径。即,亚投行在成立之初确立了以“披露推定”为核心原则的信息公开政策,采用基于原则的方法,以主动披露义务和披露推定原则为基石,通过一系列例外条款保护合法利益。这一政策框架的最大亮点在于其原则导向而非规则导向:不是僵化地列举“可披露”与“不可披露”的清单,而是建立利益衡量的决策机制,由行长每季度向董事会报告政策执行情况,并设立信息披露请求被拒时的申诉机制。
从“程序对接”到“规则共建”:数据治理的制度深化
如果说从“属地合规”到“协同治理”是跨国金融机构数据治理的范式转换,那么从“程序对接”到“规则共建”则是这一转换的制度深化。前者主要解决治理主体的协同问题,后者主要解决治理规则的统一问题。
世界银行在开放数据治理领域的探索,为理解“规则共建”的内涵提供了丰富素材。世界银行长期倡导数据透明,其开放数据平台、全球指标体系等值得研究。近年来,世界银行发布了首个开源软件工具——元数据编辑器,在MIT许可协议下向公众开放,并辅以其特定条款。这一举措标志着世界银行建立了清晰的制度框架,使银行开发的软件可以开放、可复用、法律上可共享方式发布,从而推动发展数据变得可信、可发现、可互操作、可用且具备AI就绪性。更重要的是,这一制度框架为多边合作奠定了基础。
新开发银行在数据治理领域的探索则展现了另一种路径。作为金砖国家共同发起设立的多边开发银行,新开发银行自成立之初即面临成员国数据主权立法差异显著的挑战。对此,新开发银行建立了分层的治理架构:在集团层面制定统一的数据标准体系;在区域中心层面负责标准细化与执行协调;在国家分支机构层面落实属地合规要求。
第三方风险管理的制度构造:从“形式合规”到“实质控制”
跨国金融机构的数据治理,不仅涉及机构自身的数据处理活动,更延伸至对第三方服务商的治理。现代金融运作高度依赖第三方服务商,而跨国金融机构作为新设机构,对第三方服务的依赖程度可能更高。考察各国立法与多边机构实践,可以发现第三方风险管理的制度构造呈现从“形式合规”向“实质控制”演进的趋势。
从制度设计层面,第三方风险管理至少包含五个核心要素:最终责任原则、合同控制要求、监管访问保障、退出机制安排及对技术供应链的持续监督。世界银行在网络安全和数据治理领域的技术援助实践表明,对第三方的治理不能停留在合同审查层面,而应建立持续的监督机制。
亚投行的经验同样具有参考价值。该行在数字基础设施投资领域的工作,不仅关注“硬件”基础设施,更注重“软件”层面的制度能力建设。亚投行积极推动数字基础设施领域的监管合作,主持召开数字基础设施监管风险论坛,汇集多边开发银行和国际组织的经验,共同应对数据保护、网络安全和人工智能监管等复杂议题。
统一标准、分层负责、属地合规:跨国金融机构数据治理的制度框架
综合以上分析,可以提炼出数字经济快速发展背景下,跨国金融机构数据治理的制度框架应包含三个核心维度:
治理基础:统一标准。在集团层面,跨国金融机构应建立统一的数据治理标准体系,涵盖数据定义标准、数据质量标准、数据安全标准和数据流动标准,为其跨国运作提供“共同语言”,为风险决策提供可靠依据。
治理结构:分层负责。明确总部、区域中心、国家分支机构的责任划分:总部负责制定标准、建设平台、统筹资源;区域中心负责区域内标准细化与执行协调;国家分支机构负责落实属地合规要求。跨国金融机构分层负责的核心在于避免责任虚化或过度集中,确保每一层级明确的责任边界。
治理底线:属地合规。跨国金融机构的国家分支机构须承担满足所在国法律要求的最终责任,集团统一标准不得作为违反属地法律的免责事由。分支机构必须持续关注属地数据立法变化并及时汇报总部,确保集团数据治理策略能够动态适应各法域法律环境的变化。
从国内治理到国际治理,从行业治理到机构治理,跨国金融机构数据治理的制度演化要有清晰的脉络。对于深度参与全球金融治理的我国金融机构而言,理解并把握这一演化规律,积极借鉴多边金融机构的经验,构建适应自身发展需求的数据治理体系,既是应对复杂国际监管环境的现实需要,也是提升其国际竞争力的必然选择。
(作者单位:烟台大学)
