大成研究｜论金融机构数据利用困境与法律应对

近年来，数据逐步成为重要的生产要素，国家政策明确支持推动数据要素合规高效流通，并结合各产业和领域特点推出“数据要素×”重点行动计划，同时由财政部指导推进各行业的数据资产化运用，以提升数据的利用效率，推进市场新路径发展。

《数字中国发展报告（2022）》显示，2022年我国数字经济规模已超过50万亿元，数字经济占GDP比重达到41.5%，位居世界第二位。在数字经济时代，数据成为继劳动、土地、资本、技术、知识、管理之后的又一重要生产要素。2022年12月2日中共中央、国务院发布《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》，提出加快构建数据基础制度，需要以促进数据合规高效流通使用、赋能实体经济为主线。并且，为了推动数据要素合规高效流通、培育新产业、新模式，2023年12月31日，国家数据局会同其他部门联合印发《“数据要素×”三年行动计划（2024-2026年）》，推出了融合各行业和领域特点的重点行动计划，并将“数据要素×金融服务”应用作为十二个具体行业领域的重点行动之一。

2023年12月31日，财政部发布《关于加强数据资产管理的指导意见》，明确要有序推进数据资产化，加强数据资产全过程管理，更好发挥数据资产价值。近一年来，已经有不少银行机构在政策倡导下，于地方层面尝试和落实数据知识产权质押融资、数据资产融资授信等金融服务新模式，促进金融领域数据要素价值开发利用。与此同时，《企业数据资源相关会计处理暂行规定》在2024年1月正式生效，在《“数据要素×”三年行动计划（2024-2026年）》宏图与顶层设计下，金融数据资源产权、数据资产入表、数据交易流通、释放金融数据要素潜能将成为近年工作的重要部署之一。

一方面，金融机构持有大量数据，出于提升金融服务水平、提高金融抗风险能力、增加效益等目的，有着数据开发、利用、流通的需求。金融行业本身即是数据密集型产业，金融机构及行业监管机构在业务运营中自然收集和产生海量数据，囊括个人金融信息、业务信息、经营管理信息、监管信息等方面。金融机构可以积极考虑如何在合规的情形下对这些数据进行利用，使数据产生价值作用于金融服务。其一，数据价值挖掘可助力金融机构精准确认客户偏好、开发独特的金融产品，提升服务水平。例如通过对低收入群体的消费数据和还款记录分析，评估人群的借贷需求和信用状况，设计更适宜的普惠金融产品等。其二，数据要素开发利用可以为提升金融机构风控能力提供技术支撑。金融信用数据、公共信用数据和商业信用数据的开放共享、高效流通，能够提升内外数据的完整性和覆盖度，对金融风控模型、机构风控流程的更新迭代具有重要意义。

另一方面，金融机构作为授信者，有着评估数据价值、数据质量的需求。其一，目前各地在广泛试行的“数据资产质押融资授信”实践中，银行将数据资产纳入可接受的质押担保品范围，需要判断数据价值提供授信额度。例如在福建省首笔“数据资产融资授信”案例中，福茶网科技发展有限公司将其持有的茶产业生态数据在全国数据资产登记服务平台进行登记，完成了数据确权、审计核验、质量评价、数据治理、资产评估等工作，福建省海峡银行经审批予其1000万元授信额度。其二，在数据资产无质押增信贷款业务过程中，金融机构通过数据产品交易历史数据，测算企业未来现金流量和销售收入，核定企业可授信额度的过程中，需要对数据资产进行评估核算。

由此，在国家政策推动数据流通发展及数据资产化运用，金融机构存有广泛的数据利用需求的情形下，如何高效地利用数据成为法律、政府与金融机构难以回避的话题，然而，在实践中，金融机构数据利用却存在切实的难题，如何应对这一难题，也成为未来国家政策与金融领域探讨的重中之重。

在各地金融服务融合数据要素的创新实践过程中可以窥见，由于缺乏顶层制度设计、金融机构及企业合规治理成本大、确权交易难，导致金融行业数据要素市场化与金融机构进行数据利用面临困境与挑战。

首先，当前的数据利用体系下，并无法律明确数据上具有的权利，与之相关的权利凭证也存在效力认定难题。针对数据，法律制度下的保护并不完全，隐私权、个人信息权益、知识产权的保护已经无法面对当前数据流通下的保护需求，《民法典》第127条也为数据另行规定保护留下引致条款。为此，国务院发布《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》，提出通过“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”探索数据产权结构性三权分置制度；《国家知识产权局办公室关于深化数据知识产权地方试点工作的通知》（国知办函规字〔2023〕999号）明确17个省市参加数据知识产权试点。国家政策不断探索新的数据权利制度，但迄今尚无上位法依据，难有定论。

其次，目前全国无统一的数据资产确权方式，并无如不动产权属登记一样的全国统一的登记系统。金融机构无法在统一的权属查询、公示平台进行查询，确认担保品是否存在权利瑕疵；并且，各数据资产登记服务机构，包括各省、市知识产权局、数据交易所等之间并无接口联通已登记的数据资产的登记信息，无法确知担保品有无设立其他担保权利，无形增加了权利人确权合规成本及交易风险。并且，确权、登记平台的多样化导致其公示效力能否贯通并不明确，潜在影响着办理登记的数据资产的价值预期；再者，各样登记服务机构或平台出具的证书或权利凭证有效期限不一，金融机构还需充分考虑后续重新的登记确权、价值评估等问题，无形增加了数据资产质押交易的阻力。

此外，数据资产评估体系也有待完善。财政部出台的《企业数据资源相关会计处理暂行规定》对能够判定为企业的数据资产的确认条件、计量和报告等方面进行了规范，对于企业数据资源的资产确认、会计处理、价值评估都提供了指引。但是，由于数据权利制度缺乏上位法依据，价值评估基础不牢。再者，数据资产的价值具有不确定性和时效性，受数据本身的质量、可用性以及市场需求、应用场景等因素的影响。如何保证资产价值评估结果的可靠性、准确性、完整性，避免数据资产金融化后的增值贬值、泡沫化，仍需资产评估体系、规则的发展完善予以规制。

现有体系下，金融机构难以处理数据合规成本与收益的平衡。数据处理者在数据利用过程中，满足数据安全合规技术要求和制度要求，需要投入开发建设成本，包括建立金融机构数据安全管理、数据分级分类管控、员工访问控制等机制，采取强数据加密、访问控制、数据脱敏、数据备份和安全审计等技术措施。但在监管立法不清晰和多头监管的背景下，金融机构常对多样化的合规要求感到困惑，甚至疲于应对多个主管部门进行的整改要求，投入的合规成本增加。并且，如何在增进数字治理水平的同时提升机构效益，精进金融服务水平，也存在疑问。

此外，金融机构亦难以处理数据利用中的确权和维权难题。一是数据资产权利边界不明晰、价格评估体系及数据产权制度设立规则并未统一，确认数据资产的权属和价值缺少依据。二是可能面临的数据侵权和不正当竞争纠纷加大了数据开发利用的难度，发生涉及数据产权的争议后，受立法缺失、举证困难等因素的影响，能够得到的救济及其效果亦有限。

由于顶层制度设计不完善、包括金融机构在内的数据处理者难以平衡合规成本与收益，以及数据确权与维权受阻等因素，潜在抑制了数据要素市场化发展。在法经济学的视野下，数据作为一种新兴的生产要素，数据的非竞争性和非排他性特征使得传统的产权理论难以直接应用于数据领域，而现有的制度缺位，因此无法及时定分止争，使得数据像产品一样大量流通。此外，数据交易面临较高的交易成本，包括搜索成本、谈判成本和保障交易安全的法律成本等，这些成本也阻碍了数据市场的活跃度。

也由此，当前各数据市场主体怠于挖掘自身持有的数据资产价值、怠于将经营过程中产生的数据予以确权流转收益，或充分运用数据资产开发新的数据产品，赋能产业服务创新。其中也不无法规和政策支持不足以及对数据安全和隐私保护担忧的原因。

提升金融机构金融数据治理水平是激发金融机构数据要素开发利用需求，促进金融行业数据要素市场化的必由之路。综合目前金融机构顶层制度设计的情况，完善数据产权登记制度设计或数据知识产权制度设计，具有降低合规治理与确权交易成本的功能，是提升金融机构金融数据治理水平的可行方案。

2022年12月2日，国务院发布《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(即《数据二十条》)，提出了“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”数据产权三权分置制度。其中，综合各地市政策与学者的研究，数据资源持有权是指权利主体合法持有数据资源，享有对其进行管理、使用、收益或处分等行为的权利；数据加工使用权是指权利主体具有以各种方式、技术手段对数据进行采集、使用、分析或加工等行为的权利；数据产品经营权是指权利主体享有对数据产品在合法范围内进行营销、销售和获取收益的权利。

数据作为一种无形资产，不同于一般有体物，不能适用传统的所有权制度。与有体物不同，数据天然地具有较强的正外部性与非竞争性，它可以被无限次复制，且不会因此而损坏或消失，这意味着数据的排他性难以实现。因此，《数据二十条》创造性地提出数据产权三权分置制度，淡化了所有权、强调使用权，从权利束的视角，将数据权利主体分为数据资源持有者、数据加工使用者、数据产品经营者，并对其合法合规的行为进行赋权。¹这一制度架构设计有助于在数据生产和流通过程中，为各方实质参与人降低权属识别成本、磋商成本及风险规避等经济成本。²

然而，当前数据产权制度缺乏上位法依据，且仍面临许多问题需要进一步细化。首先，区分数据资源、数据、数据产品没有意义。³数据资源、数据、数据产品都是数据的不同表现形态，区分数据资源、数据、数据产品虽在一定程度上反映了数据在生产链条上的状态，但这几个概念边界模糊，在立法上对此作区分容易造成概念混同、对法律适用造成困难。其次，数据产权三权分置的权利边界并不清晰，易引发权利重叠，难以区分在先权利而招致侵权风险。在实践中，真正应当注意的是数据来源者的原始数据与数据处理者生产的数据产品，原始数据中往往较多在先权利，企业需对其中包含的重要数据、隐私及个人信息进行合规处理，针对公共数据还应满足“原始数据不出域、数据可用不可见”的要求；而数据产品，则是数据处理者投入了创造性的劳动，对原始数据经过加工处理后形成的，具有更高的经济价值且可能受著作权法与反不正当竞争法的保护。

此外，数据产权公示机制还处于较为混乱的状态，各地开展数据产权登记并未统一，数据产权登记的效力、期限、公示范围仍未明确。数据的无体性使得其仅有通过统计公示的方式才能证明权利人享有的权利，建立公示制度有助于记录数据变动状态、稳定市场预期、保护交易安全。⁴然而，数据产权登记制度区别于不动产和动产权利登记、知识产权登记及其他权利登记的新型财产权登记，本身不具有确认数据权利的功能，需要实体法对于数据上的权利的权能、效力先行规定。

除数据产权外，数据知识产权是当前实践中经常采用的制度模式。目前已有17个省市开展数据知识产权地方试点，多个省市逐步开展数据知识产权登记工作。但现有的数据知识产权制度仍存在上位法缺位、权利客体不明确、权利效力有疑问等问题，亟需进一步完善，以发挥真正的制度作用，达到促进数据市场发展的目的。

从权利来源而言，数据知识产权难以完全纳入现有的知识产权体系当中，欠缺上位法依据，亟需完善上位法基础。根据《民法典》第123条，知识产权的客体包括作品、发明、实用新型、外观设计、商标、地理标志、商业秘密、集成电路布图设计、植物新品种，以及法律规定的其他客体。之于数据而言，部分数据可能构成作品受到著作权法保护，诸如构成汇编作品的数据库，著作权人对原始数据进行了独创性地选择与编排，无论原始数据是否构成作品，该数据库都构成《著作权法》第15条的汇编作品，受到著作权法保护；部分数据可能受商业秘密保护，诸如不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等数据可以作为商业秘密受到保护。除此之外，与知识产权法相关，数据还可能受到反不正当竞争法的保护，经营者在生产经营活动中，就数据进行了扰乱市场竞争秩序、损害其他经营者或者消费者的合法权益的行为，将受到反不正当竞争法的规制。

尽管如此，前述的几种知识产权框架下对数据的保护方式，都不能涵盖所有类型的数据或称需要促进流通的数据，也与实践中各地政策对数据知识产权客体的定义不同。进一步而言，受著作权保护的数据需要达到较为严格的独创性标准；反不正当竞争法提供的兜底保护，通常需要经过繁琐的诉讼程序与严密的举证；而商业秘密本身需要保密，与数据流通创造价值的数据政策宗旨相悖。因此，若仅依据现有的知识产权体系保护数据，不仅数据难以得到确权保护、促进流通，反而会使得数据流通运行的成本增高、风险增大、权利状态不稳定。同时，《民法典》第127条规定，法律对数据、网络虚拟财产的保护有规定的，依照其规定。基于对《民法典》的体系解释，《民法典》未将数据列入知识产权客体，又对数据进行单独规定，可见数据难以纳入现有的知识产权保护体系。至此，数据知识产权的设置于法无据，数据知识产权的制度设计仍需上位法进行明确，以稳定权利基础。

从权利客体而言，各地数据知识产权的客体表述不一，需进一步统一明确。如前所述，目前各地试点政策中设定的数据知识产权客体并非我国现有知识产权法律制度框架下的明确的客体，因此，各地对该权利客体的表述也不尽相同。例如，《浙江省数据知识产权登记办法（试行）》中，认为数据知识产权的客体为依法收集、经过一定算法加工、具有实用价值和智力成果属性的数据；《天津市数据知识产权登记办法（试行）》则认为数据知识产权的客体为数据持有者或者数据处理者依据法律法规规定或者合同约定收集，经过一定规则或算法处理的、具有商业价值及智力成果属性的处于未公开状态的数据集合。从理论上探讨，尽管学者争论不一，达成一致的是：其一，知识产权的客体区别于有体物，属于非物质财富；其二，知识、信息与人们的智力活动有关，对文化科技发展有助益。⁵由此推断，综合理论与实践，数据知识产权的客体需要符合几个要求，即首先，数据需为依法获取的；其次，该数据是经过一定规则处理形成的，且基于智力成果的要求，这种处理需要达到一定的创造性投入要求；此外，该数据需要具有一定的价值。

从权利效力而言，上位法缺位、各地实践不一等问题都导致数据知识产权的权利效力存疑，难以发挥真正的权利作用。就目前的实践中，之于金融机构，如何认定数据知识产权的价值、数据知识产权登记证书又具有何种法律效力是数据资源利用、与数据融资服务中的难题。就目前而言，因缺乏上位法的依据，数据知识产权证书仅具有初步的证明作用，各地的试点政策中多数也认为数据知识产权登记证书是登记主体依法持有数据并对数据行使权益的初步凭证，有相反证据可以予以推翻。

最后，数据产权与数据知识产权的制度设计仍有许多问题需要法律从源头上解决。立法者需要充分思考，是否要设置数据产权与数据知识产权并列的两套权利体系？两套权利体系是否可能发生重合与冲突，如何解决？数据产权与知识产权如何实现权利的特定化，并以此赋能数据交易流通？

数据的利用在现代社会中扮演着越来越重要的角色，其应用场景广泛且深入各个行业和领域，但迄今发掘有限，何为真正的数据利用场景仍有待开拓。为此，国家数据局等部门印发《“数据要素×”三年行动计划（2024-2026）》提出了12个数据应用场景，针对金融服务，亦作出了明确的指示。因此，要想更好地促进数据高效流通，激发数据要素价值，金融机构应结合商业活动，积极探索数据利用真实应用场景。

金融机构作为数据权利主体，需要积极探索融通数据要素，提高金融抗风险能力，推进数字金融发展。在依法安全合规的前提下，推动金融信用数据、公共信用数据及商业信用数据共享共用和高效流通，金融机构间可以共享风控类数据，融合分析金融市场、信贷资产、风险核查等多维数据，发挥金融科技和数据要素的驱动作用，支撑提升金融机构反欺诈、反洗钱能力，提高风险预警和防范水平。

金融机构作为数据利用主体，可以借助数据资源，提升金融服务水平。金融机构可以探索融合利用科技、环保、工商、税务、气象、消费、医疗、社保、农业农村、水电气等数据，加强主体识别，依法合规优化信贷业务管理和保险产品设计及承保理赔服务，提升实体经济金融服务水平。

金融机构作为数据权利主体的金融服务提供者，可以积极探索数据资产证券化、抵押融资、数据信托、数据征信、数据银行等资本化运作模式。目前，获得较多进展的是数据资产融资授信业务，在北京、上海、江苏、福建等多地都在积极推进。通过这些服务，金融机构不仅能够创新自身的产品和服务，还能够为客户提供更加个性化和高效的金融服务解决方案，同时也促进数据资产的市场化和金融化发展。

显然，在数据金融时代政社协同的要求下，仅依靠金融机构的探索成本过高，金融机构可能动力不足、缺乏激励，仍然需要政策赋予支持。

首先，政策应当推进数据交易标准形成，降低交易磋商成本。搭建场内数据交易架构是实现数据交易规模化和专业化的关键，场内交易架构通常包括数据交易平台、数据交易市场监管机构、数据交易服务机构等。数据交易平台作为交易的中心，提供数据发布、交易撮合、支付结算、数据交付等服务；市场监管机构负责制定市场规则、监督交易行为、维护市场秩序；数据交易服务机构提供数据评估、数据清洗、数据安全等增值服务。

通过这样的架构，可以促进数据交易的专业化和市场化，提高数据交易的质量和效率。通过制定统一的数据交易标准和规范，可以提高数据交易的透明度和效率，降低交易成本，增强数据交易的安全性和可信度。同时，鼓励场外主体参照场内标准进行交易，有助于扩大数据交易市场的规模，推动数据资源的优化配置和高效利用。

除此之外，政策还可以设置适当的免责或减责事项，若各主体在推动金融数据要素流动利用的过程中，非因故意、重大过失造成损失，且未违反法律、法规规定，积极主动挽回损失、消除不良影响或者有效阻止危害结果发生的，可以考虑免除或减轻相关主体的责任，以降低新兴行业发展中的责任主体负担。

在金融机构扩大数据利用与政策促进数据流通的课题之下，如何保障数据流通中金融数据安全亦为重中之重。据统计，2023年度，金融行业主管部门对所辖机构就数据合规与安全保护问题共开出515张单位罚单，同时有近400位相关责任人涉及承担警告、罚款甚至限期禁业在内的法律责任。为避免强监管与侵权的风险，目前的立法体例下，包括银行、信托等传统持牌金融机构及金融科技公司等新型金融业机构，均需遵循个人信息保护、数据及网络安全领域的基础性法律义务，同时还应参照中国人民银行或全国金融标准化技术委员会发布的行业标准开展数据合规工作。而无论是实体法还是主管部门行业标准均强调，数据分级分类管理与保护是完善金融数据生命保护周期框架、有的放矢地实施数据安全管理的前提条件。金融数据分级分类管理需完成以下重点步骤与内容：

（1）梳理机构数据资产，开展数据安全定级工作：梳理数据资产形成清单，按照各类数据的数据安全性，具体为保密性、完整性、可用性；遭到破坏后可能造成影响的权利对象，包括国家安全、公众权益、隐私权、个人信息权益、商业秘密权、企业合法权益；以及可能造成的影响程度，对各类数据进行安全级别的评定。

（2）搭建金融数据生命周期保护的框架：在金融数据进行采集、传输、存储、使用、删除、销毁的六大数据生命周期环节中细化金融数据的安全保护要求。一方面，严格规范机构人员组成，搭建数据安全保护管理体系；另一方面，积极采用数据安全管理技术手段，结合生命周期环节、按照数据定级级别对各级数据采取各类技术保护措施。

（3）进行定期的审计和评估：记录数据操作行为日志，并针对日志进行审计分析。

（4）建立应急响应机制及员工数据保护意识培训：制定数据安全事件的应急响应计划，确保在数据泄露或其他安全事件发生时能够迅速有效地应对。定期对员工进行数据安全意识培训，提高数据安全风控意识，规范日常业务行为。

通过上述步骤，金融机构可以有效地对金融数据进行分级分类管理保护，从而降低数据安全风险，保障金融市场的稳定运行。

数字经济快速发展，数字基础设施规模能级大幅跃升，数字技术和产业体系日臻成熟，为更好发挥数据要素作用奠定了坚实基础。与此同时，也存在数据供给质量不高、流通机制不畅、应用潜力释放不够等问题。

金融机构作为数据权利主体，其在数据的收集、加工和使用中扮演着关键角色，需要更加注重数据的合规性与安全性；作为数据利用主体，可以积极加入市场探索数据新用途，以提供更加高效便捷的金融服务；作为数据权利主体的金融服务提供者，需要完成数据质量认定、数据价值判断，并基于此提供融资等金融服务。在此过程中，律师可以为金融机构开展数据合规工作，并介入交易当中帮助识别并解决交易与融资风险。

金融机构需要与立法机关、监管部门以及行业组织密切合作，在法律制度的构建上，选择最为合适的权利体系；在数据流通的实践中，共同促进金融数据发挥价值。期待未来，金融机构能在完善的数据权属制度下积极创新实践，助力数据要素发挥价值。

感谢实习生董新雨对本文作出的贡献！