数字经济是继农业经济、工业经济之后的主要经济形态，已经成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。对流通中的数据进行收集、分析和处理，成为金融、网络、科技领域挖掘和实现海量数据潜在价值的重要方式。2022年12月19日，中共中央、国务院印发《关于构建数据基础制度 更好发挥数据要素作用的意见》（以下简称“数据二十条”），进一步强化数据流通法治保障的顶层设计。在各类数据中，金融数据规模庞大，拥有丰富的价值创造潜力，成为数字经济时代经济发展的关键要素。然而，随着金融科技水平与新金融业态的不断发展，实践中大量金融数据被传统金融机构等主体所控制，难以通过在不同市场主体之间的流转来发挥价值，同时，金融数据流通的法治体系空白也抑制了数据价值的实现。欧盟、美国等国家近年来已经通过一系列立法或法案，以“开放银行”（Open Banking）为探索渠道，重构了金融领域数据流通利用的方式，形成了“开放金融”（Open Finance）框架。开放银行的战略逻辑是什么？开放金融与开放银行之间的关系是什么？开放金融下欧洲金融数据流通体系如何运行？在开放银行已经在我国全面展开的背景下，又该如何确立我国金融数据要素[1]流通的治理策略？以上与金融数据要素流通相关的核心议题是本文试图回答的问题。

　　一、数字经济时代金融数据要素流通的意义与挑战

　　（一）数字经济时代金融数据要素流通的重要意义

　　数据流通（Data Sharing）[2]是指通过数据的交易、共享、合作和开放等方式使数据流动，进而实现数据社会化利用和数据资源的价值。从以“安全”为基本追求，跨越到将“发展”作为主要价值的治理模式，是对新兴事物进行法律规制的必经阶段。随着数据逐渐成为经济社会的核心生产要素，数据要素流通已成为我国金融事业高质量发展的必然要求。但将数据从单一受保护状态投入多主体参与的流通利用状态之中，必然会面临挑战。其中的关键在于如何选择流通的治理模式。“数据二十条”以“促进数据合规高效流通使用、赋能实体经济”为主线，以“合规流通使用中激活数据价值”为重要工作原则，是我国数据领域基础制度的最新顶层设计。总体来看，投入流通的海量数据潜在价值巨大，根据金融数据[3]要素流通的基本涵义和运作机理，其核心价值在于有利于营造和构建公平的市场竞争环境。这对宏观金融体系与微观个体行为均具有重大意义。

　　在宏观金融体系层面，金融数据要素流通有助于推动金融体系的创新性与普惠性。随着现代金融体系的发展，其数据要素为金融服务注入了新动能，金融科技逐渐从“货币数字化”（Digitization of Money）转向“数据货币化”（Monetization of Data）（Arner，2017）。以数据为原材料，以物联网、云计算、数据分析和机器学习等技术为媒介的金融科技，形成了“银行即服务”（Banking as A Service）的理念。一方面，利用多层维度、海量规模的金融数据可准确度量借款人的信用负担能力。在美国，费埃哲公司研发的“FICO Score XD 2”评分，将公用事业、电话和电视账单支付等征信替代数据纳入信用评分，帮助近3000万消费者建立在传统征信体系下无法实现的信用档案；在我国，大量“替代数据”被采集、分析和应用于判断企业和个人信用状况，帮助解决长尾群体的真实金融诉求（尚博文，2021）。另一方面，金融业数字化转型的不断推进，不但能使金融服务提供方通过收集、分析和处理个人数据预测用户行为、提供针对性和定制化的金融产品，还能够完善企业与社会的金融风险管理体系。随着金融科技赋能信用体系转型升级，科技与金融在数据流通中“同频共振”，可大大减少金融用户对传统大型金融机构的结构性依赖，有利于形成更具弹性和韧性的金融生态系统。

　　在微观个体行为层面，金融数据要素流通有助于落实用户个体的选择权。该选择权体现在数据权利与金融服务两个维度。从数据权利维度来看，金融数据要素流通能够跨越传统“知情同意”规则的的限制，保障金融用户与第三方对是否共享和如何共享数据的选择权，以“用脚投票”的数据分配方式解除大型金融机构的“锁定效应”（Lock-in Effect）。McKinsey（2021）的研究表明，开放数据的生态系统可以更便捷地将用户账户在机构之间切换，从而帮助个人和中小微用户实现更好的金融收益。而从金融服务维度来看，经济合作与发展组织（OECD，2022）认为，金融数据的畅通流转在金融服务的促进创新、增加竞争、降低成本和提高用户服务体验等方面都有积极影响。如英国Akoni公司开发的储蓄仪表盘服务，通过高效且可视化的平台将合作银行的产品上新、费率变化直观呈现给用户，利用算法技术进行个性化的储蓄产品组合推荐。这表明，从流通中获取数据的金融机构、金融科技公司可以通过收集、处理和分析其中高价值的用户信息，设计出更优良的金融产品和服务，从而推动金融的个性化与定制化，提升金融消费者的整体福利。

　　（二）我国金融数据要素流通的现实挑战

　　金融数据要素流通，本质上是将数据要素视为与资本、劳动力同等重要的生产要素，通过法律规则引导传统金融机构将其持有的大规模、高价值的金融数据向金融用户个体、金融科技公司以及初创金融机构等市场主体开放，使原本处于集中和垄断状态的金融数据成为提升金融体系开放度和透明度的生产“原材料”。金融数据要素的流通强调的是对数据的流动与分享，必然会面临数据控制和垄断之下的“数据竖井”（Data Silos）与“锁定效应”的阻碍。

　　由于金融数据蕴含了极高价值与广泛用途，推动数据流通对市场公平竞争的保障更加明显。在金融市场中，商业银行等传统金融机构往往以数据的生产者、收集者而非使用者而存在，存储有超大规模的个人基本数据、金融交易数据和金融衍生数据，并长期将其置于自己的控制之下。这一特点在以间接融资为主要融资渠道的我国更为明显。而在利用高价值数据进行分析和个性化推荐的能力方面，传统金融机构在灵活性、转型速度与创新能力方面较初创企业、科技公司更为受限，不会主动通过开放金融数据而放弃所拥有的竞争优势（邢会强，2020）。其弊端在于，在进入市场阶段，传统金融机构通过封闭和控制金融数据形成的“数据竖井”（Fracassi和Magnuson，2021），会导致数据缺乏访问和使用途径，从而保护了传统金融机构的市场地位，也给更具创新性、数据分析能力更强的市场进入者（Market Entrants）设置了巨大障碍；而在市场竞争阶段，基于数据的控制使用户被“锁定”在传统商业银行的金融服务当中，削弱了用户识别和转换到新金融机构的动机（Awrey和Macey，2022）。在上述“数据竖井”与“锁定效应”的影响下，我国以间接融资为主的金融市场结构得到进一步强化，传统金融机构因缺少激励来增进数据分析能力和创新金融服务形式，难以满足金融消费者的个性化需求。

　　从法律体系来看，过去几年“个人信息保护”与“数据安全”是立法关注的首要议题。这就导致在数据领域的“安全-发展”命题之中，我国国家数据要素资源体系建设相对滞后，金融数据要素流通处于制度缺失、体系缺位的状态。数据要素难以在法治框架下进行流通交易，已成为制约数据要素市场发展的关键因素，也体现在影响深远的法律规则中。以《个人信息保护法》为例，第14、22、23、25等条款对个人信息使用规定了特定处理者、特定目的范围的直接使用限制，基本没有触及流通利用的内容（高富平，2022）。这也导致我国金融数据要素流通呈现出以下特点：首先，金融数据要素的流通利用缺乏明确的法律基础，数据流通被限制在“同意”的严格框架内。《个人信息保护法》对数据主体的赋权、对数据处理者行为的安全性要求超越了保护规则，从而事实上主导了数据要素流通实践（郭雳和尚博文，2023），且该法第45条所规定可携权的实践效果也并不理想。其次，实践中我国金融数据中的信用数据流通规模最为庞大，但往往在灰色地带进行收集和分析，并在此过程中衍生出一系列数据泄露、人脸“盗刷”、数据滥用等突出问题。最后，我国场内化、标准化的大型金融数据交易生态还未形成，“平台主导型”数据交易的受阻，使金融数据流通种类与渠道均受到限制。

　　二、开放银行：欧盟银行数据流通的探索及其困境

　　（一）各国开放银行的探索与背景

　　21世纪以来，随着数据处理高新技术的涌现与数据价值认知理念的变化，世界各国均面临着金融数据要素如何流通利用的关键问题。2018年以来，欧洲率先展开了一场名为 开放银行的金融变革热潮。巴塞尔银行监管委员会（BCBS，2019）认为，开放银行指银行与第三方开发人员或公司通过共享和利用用户许可的数据，来构建能提供实时付款，以及为账户持有人提供更大的财务透明度选项、营销和交叉销售机会的应用程序和服务。可以看出，开放银行旨在提升用户数据，尤其是银行数据的开放程度，以弥合信息不对称，降低用户在不同金融产品间的转换成本（Fracassi和Magnuson，2021）。

　　开放银行的浪潮迅速在美国、澳大利亚、新加坡和我国香港地区等世界各地传播，成为银行业数字化的变革代表。在欧洲，英国于2015年成立首个开放银行工作组，并于2018年1月13日正式开始实施开放银行计划。该计划的重点是建立了一个规划设计开放银行标准的实施机构，并要求英国九大银行遵循该机构确立的金融数据流通标准，支持个人和中小企业等用户将自身账户数据与在金融行为监管局注册的第三方机构共享，其他银行则可选择参照这一标准执行。在美国，拜登政府于2021年7月发布了一项促进美国经济竞争的行政命令（Promoting Competition in the American Economy），支持消费者金融保护局根据《多德-弗兰克法案》第1033条制定促进消费者金融交易数据的可携权。在我国香港地区，香港金融管理局确立了实施开放银行的四阶段计划，逐步扩大投入流通的金融数据种类与范围。在我国大陆地区，开放银行业务成为各大银行金融科技子公司的研发重点，如浦发银行推出“无界开放银行”，将银行金融服务嵌入各个合作伙伴的平台与业务流程中。

　　银行成为数据流通的首要变革领域有其深层原因。以最先倡导开放银行的欧盟为例。一方面，开放银行源自欧洲金融行业的“支离破碎”特征（Moloney，2017）。欧盟每个成员国都有自己独立的金融监管规则与监管机构，这增加了金融机构跨地区、跨国运营的难度。包括开放银行在内的一系列变革，旨在为欧洲大陆创造单一市场，以统一的权利义务与法律标准消解欧洲各国市场机构的监管空白。另一方面，开放银行也是欧盟数字经济发展落后的重要补救措施。回首欧盟开启开放银行计划的2018年，欧洲IT业数字经济占GDP比例仅为1.7%，大大低于美国的3.3%和中国的2.1%，全球30大互联网公司欧洲仅占1家（Bughin，2019）。打开银行持有的海量数据“宝库”，是针对欧洲银行市场竞争不充分、金融行业创新滞后的问题，也是为助推金融科技发展而采取的重要举措。

　　（二）欧盟支付服务指令框架下的开放银行

　　1. 欧盟开放银行的数据法律基础

　　区别于中国支付宝、微信等自下而上式（Button-up）与银行达成的快捷支付合作，欧盟开放银行的进程是自上而下式（Top-down）的，基本围绕两代“支付服务指令”的法律设计展开。

　　欧盟议会于2007年审议通过第一版《支付服务指令》（Payment Services Directive，下称“PSD1”），将刺激欧洲的竞争、提高服务质量和保护消费者作为其立法目的，旨在规范所有欧盟和欧洲经济区成员国的支付服务和支付服务提供商。PSD1创造性地引入了支付服务提供商（Payment Service Provider，PSP）这一概念，放宽了新市场进入者和支付机构的准入条件，增加了银行和其他支付服务提供商服务和费用的透明度。

　　不过，随着金融基础设施与新型支付科技的不断发展，移动支付的市场份额迅速增长，大量涌现的新型支付中介机构与支付形式挑战了以PSD1为主体的监管框架。对此，欧盟委员会于2013年7月提议修订PSD1。修订后的第二版《支付服务指令》（Revised Payment Services Directive，下称“PSD2”）于2018年1月生效，成为欧洲开放银行的制度基础。欧洲银行、保险和证券等金融监管机构在一份联合报告（ESAs，2022）中指出，“PSD2的引入……促进了金融科技公司和大型科技公司在支付市场的发展”。

　　从主要内容来看，PSD2 规定了两个新的第三方服务提供商，一是账户信息服务提供商，提供收集和整合用户在不同银行账户信息服务；二是支付发起服务提供商，提供用户授权后获取支付账户的访问权、并帮助用户发起资金支付或资金转移。特别需要指出的是，PSD2第66条第5款、第67条第4款规定的服务提供商无需与银行存在合同关系，是以数据可携权（Right to Data Portability）[4]保障用户数据权利的重要实践。纵览PSD2的全面修订，一是将服务商全面纳入监管，弥补了对新兴金融科技、新支付业态的监管空白；二是通过重新梳理支付市场的竞争格局，将服务商作为推动银行等金融机构与具有高新技术能力的中小型金融科技企业、大型科技企业开展合作的监管抓手，以便通过后发优势来实现单一欧元支付区（Vezzoso，2022）。

　　2. 欧盟开放银行的数据流通渠道

　　PSD2的主要原则在于，只要账户持有人同意，金融机构必须授予第三方服务提供商访问权限，以便后者代表账户持有人执行数据分享、发起付款等指示。而这其中，对金融数据流通起到核心作用的就是服务提供商“访问权限”的载体，即数据流通的渠道。

　　随着商业实践及法律框架的变迁，开放银行中的数据流通形成了多种渠道。依照合作结构中的主导方不同，可主要分为屏幕抓取与应用编程接口（Application Programming Interface，API）两类。屏幕抓取技术中，用户首先需要向金融科技公司提供完整的银行账户名、密码等登录凭证信息，后者利用这些信息能够代替用户登陆银行账户，通过手动或自动化方式直接获取用户金融账户中的交易数据，或是直接发起新的支付请求（刘倩，2019）。屏幕抓取技术是金融科技公司主导之下的数据流通渠道，使金融科技公司无需与银行等金融机构建立直接的法律关系，便可自由地为用户提供账户信息服务与支付发起服务。

　　与金融科技公司处于绝对主动地位的屏幕抓取技术不同，API是由银行等金融机构主导的数据流通渠道。API是连接两个或多个系统的代码，并通过允许所连接系统之间进行通信和信息交换，来操作应用程序和各类软件。20世纪90年代，投资管理公司是API最早期的使用者。其通过与第三方建立API接口将金融产品的费率、基金表现、交易清算实时引入至程序中进行管理。随着互联网基础设施及其技术的不断完善，API技术已经广泛应用在eBay、Facebook、Apple、Google等几乎所有的科技企业中。不同于屏幕抓取技术，API渠道需要金融科技公司与金融机构之间达成使用协议，由金融机构将银行交易数据和账户数据集成在应用程序中，并直接控制金融科技公司使用这些数据的数量、频率与目的。

　　（三）开放银行实践中的金融数据流通困境

　　开放银行旨在提升金融服务市场的创新性与竞争性，但各国的现有实践并未达到预期水平。截至2020年12月，英国有294个受监管机构处于开放银行生态系统中，但其中仅有102个通过开放银行应用商店提供产品。尽管API调用量从2018年的6680万增加到2020年的近60亿（袁蓉君，2021），但开放银行的业务生态并未建立起来，相关创新企业的数量仍较少。

　　作为金融数据在银行领域流通的首要探索，开放银行面临着创新商业模式与数据保护失衡、数据流通渠道的安全性不足，以及传统金融机构开放阻力等多种困境。首先，开放银行的目的是为了分享数据并服务于金融创新，但新的金融服务商业模式与数据保护之间存在着紧张关系。实践中，有的服务提供商会要求提供用户约30天的消费额历史记录，甚至包括诸如生活方式、个人习惯等各类数据，远远超出提供服务所必需的数据范围（ESAs，2022）。此外，PSD2名为“支付服务指令”，已经将数据流通限制在支付这一金融服务场景之内，因此只有非常具体且有限的账户才符合PSD2的数据访问目的，而储蓄账户、退休账户以及部分信用卡账户均不在适用范围之中，导致数据流通范围和效果并不理想。

　　其次，数据流通渠道的安全性与效果受限。美国财政部（U.S. Department of the Treasury，2018）认为，屏幕抓取技术在带来流通便捷性的同时，也具有潜在的重大风险与责任负担。从知情权的角度来看，有大量用户没有意识到服务提供商的应用程序会存储他们的银行账户用户名和密码；而从安全性角度来看，第三方是知晓用户大量个人敏感信息的处理者，但其应用程序的数据安全与网络防护能力却往往较弱。实践中，出现过大量第三方应用程序遭受网络攻击、数据被窃取、数据泄露等情形。此时，由于银行无法主动控制第三方的屏幕抓取行为、且银行也无法通过生物识别技术等来增强身份验证，存在银行用户大量信息泄露、账户资产遭受损失的风险，甚至可能产生行业性、系统性金融风险。

　　最后，开放银行对金融科技公司等市场进入者开放，虽是培育创新、鼓励竞争的有力举措，但无疑会受到来自掌握大量市场份额的传统金融机构的阻力。回到开放银行的法律基础，PSD2本身未能为数据流通提供统一的标准与形式，导致传统金融机构可随意推迟开放数据或实质性封闭数据。实践中，许多欧洲银行对落实PSD2数据开放举措长期拖延，或拒绝科技公司直接访问其数据，不愿建立真正开放的API；即使建立了API，也可能单方面加以限制、控制，甚至中断、终止数据访问。而对此类行为，监管机构并未予以行政处罚（Caley，2019）。

　　三、“开放金融”下金融数据流通的革新

　　（一）开放金融的内在意涵与法律基础

　　开放银行在银行数据领域的探索实践为“开放金融”战略的实施奠定了重要基础。2020年2月19日，欧盟委员会提出了欧洲数据战略（European Data Strategy），创设出包括工业、健康、农业、金融在内的9个数据空间，将分门别类、前后有序地予以推进建设。从金融数据空间来看，欧盟于2021年6月成立欧洲金融数据空间专家组，旨在“通过更好的数据流通来刺激创新，提高市场透明度，推动可持续金融，丰富企业融资渠道，构建一体化市场”。

　　从二者的关系来看，开放银行意在通过法律制度介入打破银行业的数据垄断格局，推进欧盟支付市场的统一；而开放金融则更像是基于这一探索与实践的扩展升级，旨在实现“欧洲金融数据空间”，将数据再利用的理念推及整个金融市场。就此而言，二者的政策导向整体是一致的。2022年10月，欧洲金融数据空间专家组发布了《开放金融报告》（Report on Open Finance），系统阐述了欧盟开放金融的背景、概念与进展，认为开放金融是指为提供广泛的金融服务而共享、访问和再利用数据，从而提供能给消费者和企业带来直接利益的创新金融产品和服务。与欧盟的观点一致，英国金融行为监管局（FCA，2019）将开放金融描述为 “消费者和小企业可以允许第三方服务商访问其支付账户数据以获得新服务”。简而言之，开放金融即是通过建立数据畅通流转的法律制度，来达成金融业内企业与企业间、企业与消费者间的数据流通和再利用，实现金融业数据价值的最大化。

　　从《通用数据保护条例》（General Data Protection Regulation，GDPR）这一欧盟个人信息保护的基石，到《欧盟非个人数据自由流动条例》《数据治理法》《数据市场法》，再到《数据法案》（Data Act）[5]，“一揽子”的数字立法体现了欧盟对追求数据利用价值、探索数据流通模式的尝试。其中，开放金融是金融数据这一特定空间内的流通框架，其以《数据法案》所确立的横向（Horizontal）数据流通制度作为法律基础。横向数据流通制度是一种“一致的、基于公平的、跨部门的数据流通方案”（Bertuzzi，2022），其不再以“个人-非个人数据”作为数据流通类型化的标准，而是将物联网数据访问权（LoT Data Access Right）作为基础模式，通过允许中小企业、初创企业的用户可以向银行等传统数据持有者提出数据访问请求，实现企业与企业之间的数据流通共享。

　　以《数据法案》为代表的横向数据流通制度，已经成为各国开放金融进程中的共识。欧洲金融数据空间专家组（2022）认为，新的数据流通制度必须建立在“《数据法案》规定的数据流通横向规则”之上，并认为横向数据流通制度符合欧洲数字战略，能够通过综合运用金融机构内外部数据来促进创新服务的发展。欧洲金融服务圆桌会议（European Financial Services Round Table，2021）认为，必须将所有开放金融的倡议嵌入横向和跨部门的流通框架中，在欧盟数字经济的激烈竞争下保留所有市场参与者的创新激励。在欧洲之外，澳大利亚已明确将开放金融框架扩展到能源、电信等非银行部门之中；巴西则将保险、开放养老基金、投资和外汇等领域纳入开放金融范围之内，并要求其他行业监管机构与金融监管机构加强协调合作。

　　（二）开放金融下欧洲金融数据流通的运行逻辑

　　数据可携权与流通技术标准，共同构成了欧洲金融数据流通的运行逻辑。其中，数据可携权是法律制度层面的权利确认，强调数据在用户要求之下从金融机构信息系统下载和转移的受保护性；而由互操作性[6]和数据机器可读性[7]共同组成的流通标准，则从技术层面保障金融数据的畅通流转。

　　GDPR第20条创设了数据可携权，赋权数据主体从数据控制者处获取结构化、通用化和机器可读的个人数据，并将这些数据转移给其他的数据控制者。从开放银行到开放金融，数据可携权经历着由一阶到二阶的转变。一阶数据可携权强调“获取可携性”，即用户能够向银行主张将其个人数据转移，由用户手动下载和上传个人数据，用户的选择及其行为构成金融机构与金融科技企业之间数据转移的纽带。二阶即开放金融战略的数据可携权，则有更高的要求——“自动可携性”，即无需用户个人操作，不同企业即可通过自动化的电子接口直接传输数据（Awrey和Macey，2022）。数据以连续和实时的方式由不同金融机构、金融科技公司访问，使金融机构之间大规模、连续地传输用户实时数据成为现实，极大提升了金融数据流通利用的效率与效果。相较其他法域的公司，欧洲金融科技公司通过数据可携权的保护，获得了显著的竞争优势（Stites，2018）。

　　GDPR第20条第2款，将数据可携权的行使限定在技术可行的条件之内；GDPR的重述（Recital）第68条提出，数据可携权不应使控制者有义务采用或维护技术上兼容的处理系统。这一规定虽是对商业实际成本与数据转移权利保护之间的权衡，但对金融机构赋予数据可携权无疑是提供了较大的抗辩空间。在此类规定下，API标准、API功能级别以及软件门户各异，对数据流通效率均产生了负面影响。面对这一问题，欧盟选择了通过流通技术标准介入治理。

　　《数据法案》的重述第31条授权并要求确保“第三方访问其范围内所有类型数据的技术可行性，无论是个人数据还是非个人数据”，即为确保数据的互操作性，须建立两个及以上系统或应用程序交换信息并相互使用已交换信息的能力。尽管对建成这种互操作性系统的义务尚未进一步明确，但《数据法案》表明，其将技术基础设施建设视为开放金融成功的关键，并通过金融机构建设互操作性平台、访问数据流程与标准的一致性，来降低金融科技公司的市场接入成本。《数据法案》对互操作性的全新约束形式，有望使金融数据流通处于一个开放、包容的生态之中，使得新的市场进入者能够“即插即用”到现有的金融数据流通网络中，在数据处理具合法性的前提下自由访问、分析和利用用户数据。

　　与流通技术标准中的互操作性一样，数据的机器可读性亦是保障数据可携权效果的重要约束方式。可携权意在使用户获取个人数据，但结构化、通用化下数据仍可以以图片、文字等纸质版形式提供，从而会极大增加互联网时代数据流通的载体障碍。GDPR中，机器可读性是嵌入数据可携权定义之中的。在开放金融的生态之下，机器可读性在如上市公司信息披露、信用评级意见等所有的金融数据流通场景中，均作为硬性要求。

　　（三）开放金融相较开放银行的反思与重构

　　1. 金融数据流通场域的扩张

　　相较开放银行对金融数据流通的探索与尝试，开放金融在金融数据流通场域、流通渠道等方面进行了革新再造。场域问题关系到在金融数据空间之内有何种金融服务、何种类别的数据投入到流通之中。开放银行聚焦于支付领域，其数据范围仅限于支付账户数据的流通利用，而对于诸如抵押贷款、投资养老金、保险等的数据机构均无提供访问权限的义务，显然范围较小，可利用的数据规模与价值极为有限。对此，在向欧洲银行管理局征求关于PSD2意见时，欧盟委员会（2015）提出了“从访问支付账户数据扩展到访问其他类型的金融数据”这一问题。

　　始于银行数据，开放金融的数据流通场域将进一步扩张，将银行数据以外的金融数据、甚至部分非金融数据均纳入流通体系之内。一是将储蓄、抵押贷款、消费信贷、投资、养老金和保险等金融数据纳入数据流通场域。如欧洲中央银行（2020）支持将零售投资产品、养老金产品、保险产品以及新金融产品的数据开放。可以预见，欧盟金融数据空间将给银行、证券、保险等金融服务全领域带来深远变革，进一步推动各行业金融服务的数字化转型。二是将非金融数据同样纳入开放金融的数据流通场域。社交媒体、电子商业和流媒体等在线平台数据，税收和社会保障等公共机构数据，水、电、气、电信等能源公共机构数据，甚至网络事件数据、环境数据和物联网数据，均可以纳入开放金融的范围。非金融数据与上述金融数据在分析和处理数据、创新金融服务方面可形成互补态势。以公共数据与征信服务的交融为例。缺少历史信用档案、借贷记录的个人以及经营流水并不丰富的小微企业共同构成了我国金融市场中的“白户”，仅凭金融数据难以对近 8000万小微企业提供信贷服务、进行信用评价（尚博文，2021）。在此情形下，使用算法分析企业的工商注册、税务、水电缴费等非金融数据，则能够向银行提供此类信用长尾群体的信用状况，以及在反欺诈、风险预警等方面的信息，用非金融数据打通普惠金融的“最后一公里”。

　　2. 金融数据流通渠道的完善

　　在对开放银行的探索中，屏幕抓取与API这两类技术均为保障金融数据流通的渠道，其风貌平坦崎岖各异。在欧盟《数据治理法案》《数据法案》等一系列制度的影响下，API技术成为平衡数据规模化流通与安全保障的更优选择，但同样需要在法治化框架内予以约束。

　　就不同金融数据流通渠道的优劣比较而言，屏幕抓取技术注重金融科技公司收集分析用户数据的市场化模式，却呈现出不可控的个人数据侵权与网络安全风险；API技术侧重传统金融机构对数据传输的控制许可、以及数据的规模化流通架构，但易引发数据集中与垄断。对此，FCA（2019）认为，API是更适合开放金融的数据流通渠道，能够减少市场壁垒、增强数据传输的安全性，因此，以API为主、屏幕抓取技术为辅的模式更为可取。

　　就API本身规制主体的角度而言，政府过多介入，使API成为国家的法定强制性标准似乎并不符合技术和商业模式的中立原则；而在头部金融机构推动下的API研发与应用，虽有助于推动市场创新，但也会产生“数据群岛”效应，难以使特定API应用群体之间互联互通，尤其会提升金融初创企业及其数据访问的成本，阻碍市场竞争与创新。实践中，随着API逐渐成为开放金融框架中的金融基础设施，越来越多的行业机构开始联合开发API程序与协议。例如，由金融服务信息共享与分析中心这一非营利组织开发的持久性数据API（Durable Data APIs），结合PSD2和OAuth 2.0的原理对凭证进行标记。API标准的强制性和统一性至关重要，由行业主导开发的标准化API，将有助于形成从业者更便于遵循的法律框架（OECD，2022）。

　　四、我国金融数据要素流通的治理应对

　　（一）数据要素层：重塑金融数据要素的类型化理念

　　对数据所处体系进行的类型划分是展开规制的基础。基于社会对个人信息控制论的朴素认识与观念变迁，以GDPR为代表的个人信息保护法，将数据划分为个人数据与非个人数据两类，在我国数据领域发挥主要规制作用的《个人信息保护法》亦被冠以“个人”之名。在二分法的框架下，特定行业或领域内围绕具体产品与服务形成了分级分类体系。就金融数据而言，《个人金融信息保护技术规范》《金融数据安全分级指南》等规范性文件构建了金融业机构提供金融产品和服务中涉及电子数据的一般性分级体系，《证券期货业数据分类分级指引》等文件，则聚焦证券期货业机构及相关服务机构进行分级。

　　个人数据与非个人数据的划分逻辑，在于前者被认为承载着公民基本权利（丁晓东，2022）。如GDPR第1条第2款规定，“本条例保护自然人的基本权利和自由，特别是其个人数据被保护的权利”；与之类似，我国《个人信息保护法》第1条也有“根据宪法，制定本法”的表述，暗含了个人数据的基本权利属性。鉴此，个人数据在制度提供的保护力及其优先级方面均要远高于非个人数据。不过，随着社会认知逐渐从数据“保护”转向“利用”，这种类型划分与法益权衡也导致了数据流通的冲突与阻碍。冲突的根源体现在对个人数据处理的合法性解释上（郭雳和尚博文，2023）。在GDPR第6条合法性基础的论述中，“数据控制者或第三人的合法利益”虽然也被视作是六项合法性基础之一，但同时要求，在发生利益冲突时需要优先保护数据主体的权利。而这一冲突情形在商业实践中普遍存在。冲突时优先保护个人的立法选择，实际上无法为数据流通提供合理的空间（尚博文和郭雳，2023）。考虑到在Meta与爱尔兰数据保护局案等一系列案件中欧盟监管机构的裁定，以“履行或订立合同所必要”作为保障商业广告等行为的突破口效果并不佳，实践中个人同意依然是使用最多、最保险的做法。此外，个人数据及其合法性基础的限定不仅阻碍了数据流通，还在于其范围与非个人数据难以拆解。综上，二分法难以勾勒出清晰的规制框架。

　　对“个人-非个人数据”二分法的反思与重构，已经在欧盟《数据法案》中初具雏形。《数据法案》第1条强调，法案旨在“构建统一的规则”，同时在第2条中将“用户”界定为“使用产品或者享受相关服务提供的自然人或法人”，将个人、企业予以统一对待。不仅如此，《数据法案》的第七章还以专章形式规定了非个人数据跨境流动规则。就此而言，个人与非个人数据均被纳入《数据法案》的调整范围，是将两类数据作为整体来探寻横向、普适性的数据流通规则。

　　从我国的实践来看，金融数据在个人与非个人、公共性与非公共性方面的交融特性，值得作为重构数据要素类型化的探索领域。从个人作为来源者的数据来看，个人在购买银行理财、使用金融投资服务过程中生成的并非完全是“个人数据”，同时具备与金融机构共同产生的企业数据属性；同时，金融机构也会汇总聚合此类数据上报至金融监管机构，成为金融政策制定与调整所依托的公共数据。而从企业作为来源者的数据来看，企业信贷数据之外工商注册、税务、水电缴费等征信替代数据，同样也是源于公共事业部门、用于评价企业信用的公共数据。

　　综合以上分析，数据处理的合法性基础所遵循的是“个体安全”逻辑，在注重个人绝对化保护的同时也对促进数据的流通利用产生了不利影响。对此，现阶段应当打破个人数据、非个人数据二分的“个体安全”逻辑，以不同金融服务领域内部的数字市场为中心，树立整体性的数据要素类型划分方式。在整体层面，这一理念并非意在倡导以新的划分方式替代原有的二分法，而是期望立法与监管部门能以整体、发展的视角对待数据要素流通，并将其适用于与数据流通相关的促进性法、促进性规则与政策中，充分发挥数据流通法律制度重鼓励促进、轻限制惩戒的核心功能。而在具体法律执行层面，尤其要把握公法介入的方式与尺度。随着数据成为数字经济发展与社会整体福利提升的社会性资源，数据流通相关制度遵循的逻辑应当由“个体安全”转向“社会发展”。这需要公法的深度介入，并能与私法形成协同配合之态势，通过划定底线红线、间接干预的形式，为数据价值创造预留出充足的发展空间，推动公法保护在数据治理中的规则与实践中的扩张适用。

　　（二）设施标准层：统一金融数据流通的设施与标准

　　法治保障对金融数据流通的促进作用被普遍承认，而制度之上的基础设施与软性标准同样重要。现代意义上的数据治理不仅包含各类权利、原则和义务的规范和规则，还体现公私主体协调过程中的持续互动（郭雳，2022）。从这个视角来看，金融基础设施、金融领域标准在其中具有举足轻重的作用。

　　一国金融基础设施水平决定了金融数据流通的下限。互联网接入、智能手机普及和电力基础设施等，是数据流通生态系统经济价值的先决条件。在此之上建立的金融账户、数字支付渠道，以及具有广泛人口覆盖率的数字身份识别系统，能够提供用户身份验证支持，帮助用户安全使用数据，是开放金融数据价值所需的关键结构特征。从欧盟开放金融实践来看，数据流通标准以及API的标准化是的重要要素（EU，2022）。前述互操作性和数据机器可读性共同组成的流通标准，明确了数据表示、格式化、定义和结构化所依据的规则，使从业者能采用一致的方式来描述、记录和处理数据。

　　近年来，我国支付清算系统布局逐步完善优化，金融信用信息基础数据库建设和服务持续深化，形成了日趋完备的“硬件”金融基础设施体系。与之相对应的，金融行业标准与数据标准等“软件”仍存在较大提升空间。开放金融战略表明，监管机构的作用不是直接限定数据标准与API标准，而是推动数据互操作性标准、数据可读标准以及高质量API标准的创新，促进形成新市场开发标准化的框架。在此框架之内，特定核心数据领域需要更高的标准化水平。可以由行业参与者合作制定指南或通用分类法，以促进标准的统一。从标准化的限度来看，标准化原则上应停留在“业务规则”层面，不应在技术实现层限制企业行为（EU，2022）。在欧洲，目前存在柏林集团制定API通用框架的完全市场化模式，欧洲各国监管机构也出台了自上而下式的API国家标准（许可，2019）。

　　数据与API的标准化问题，是政府与市场在数据治理中关系协调的集中体现。综合以上分析，多主体协同的模式更加适合金融数据流通的标准化建设。其中，可由承担数据流通利用职能的国家数据局制定激励框架，推动金融机构、金融科技公司等市场主体继续研发探索。国家数据局可联合大型企业、学术界共同参与，以国际标准化组织公布的《金融服务金融业通用报文方案》和欧盟开放金融中各国的标准为借鉴，围绕数据流通标准格式、API功能与架构、数据开放金融、数据流通网络安全等内容，最终形成国家推荐标准。

　　（三）国际竞争层：推动形成金融数据流通的中国范本

　　从欧洲的开放金融框架及其背后的数字战略来看，一系列数据流通的法律制度将在欧盟内部数字经济市场发展、外部大国博弈竞争两个层面产生深远影响。

　　在内部数字经济市场发展层面，欧盟的社会文化、产业发展与邦联制的国家结构形式导致了欧盟数字市场的碎片化。开放金融旨在对欧盟区域内的数据要素，尤其是其中海量规模、极高价值的金融数据要素进行开发、整合，促其流通。通过培育生产要素市场来加快数字经济市场发展，成为解决欧盟数据基础设施落后、数据可用性不足等问题的突破口。

　　在外部大国博弈竞争层面，欧盟意在以开放金融等一系列举措来巩固数据主权、重塑全球数字治理秩序。欧盟凭借市场力量单方面监管全球市场的“布鲁塞尔效应”（Brussels Effect），在食品安全、化学品法规、反托拉斯等领域已卓有成效。单边监管的全球化使欧盟能够充分吸引数字企业进入市场并主导企业的全球合规策略，不断通过规则示范效应增强欧盟国际关系中的综合实力。对以开放银行为代表的数据流通规则的探索，已经成为其他各国银行业发展与数据传输的黄金标杆。这种全球数字治理能力将与欧盟数字主权能力交融互通、相互促进，使欧盟通过数据流通规则吸收全球的数据、资本、劳动力等生产要素，主动“出口”数据利用的观念与标准，增强其在全球数字经济市场、数字技术市场、包括国家政治的话语权和影响力。

　　就我国的情况而言，2022年的中央经济工作会议指出，要“推进高水平对外开放，依托我国超大规模市场优势，以国内大循环吸引全球资源要素”；“数据二十条”提出，要构建符合数字经济发展规律、彰显创新引领的数据基础制度；2023年，我国组建了旨在进一步协调推进数据基础制度建设的国家数据局，对数据资源进行整合共享和开发利用，已成为我国协调推进数据基础制度建设的重要机制。鉴此，有必要厘清金融数据流通的“开放”边界。金融数据流通旨在提升金融市场创新性与运行效率，需要坚持“将各类金融活动全部纳入监管”的要求，将新金融活动与数据流通过程中的国家金融安全作为底线与红线。在此之上，还要通过内部数字经济市场建设、外部大国博弈竞争，实现我国金融高质量发展和提升金融行业国际竞争力的总体目标。

　　在内部数字经济市场发展方面，一是要坚持从“统筹协调机构+行业主管部门”的个人信息保护“九龙治水”模式，到国家数据局、个人信息保护机构与行业主管部门分立并行的模式，有利于充分发挥国家数据局所代表的数据流通利用职能；二是要注重国家数据局作为促进性、赋能性而非监管执法性的机构职能定位，引领包含数据确权、流转交易、收益分配等基础性制度的建设；三是注重国家数据局与作为个人信息保护机构的网信办、以及金融、邮政、市场等各领域主管部门之间的相互协调配合，将信息保护各重点领域作为数据流通利用的“切口”。而在外部大国博弈竞争方面，要发展具备中国特色的金融数据分享、交易、合作、开放体制机制。如上海、深圳、浙江等地持续推动金融数据交易的市场实践，形成金融数据市场交易、流通经纪、跨界合作的创新模式，最终探索形成金融数据畅通流转与分享利用的中国范本，不断增强我国数字经济市场吸引外资外企、吸收全球数据要素资源的能力。