摘要:開放銀行模式下,數據共享過程中的信息披露存在對象和內容兩方面的特殊性,個人客戶的知情權保障面臨信息不對稱與信息過載的雙重困境。我國有關開放銀行的規范將視線聚焦于技術標準,涉及信息披露之核心操作環節的規則處于空白狀態。在我國,實踐中,各家銀行并沒有足夠的動力履行信息披露義務,有必要對開放銀行數據共享中的信息披露義務進行系統構建,這需要結合銀行和第三方機構在數據共享不同階段承擔的不同角色,對信息披露義務的具體內容及形式予以明確,并從民事責任、行政責任、刑事責任的角度對各類違反信息披露義務的行為分別加以規制。
關鍵詞:開放銀行;數據共享;信息披露義務;法律責任
在新一輪技術革命背景下,開放銀行是未來銀行業務發展的必由之路,眾多國家和地區相繼走上了開放銀行的探索之路,接連推出開放銀行計劃。截至2019年底,我國約有65%的商業銀行參與了開放銀行經營活動。與國外開放銀行肇始于政府監管層的推動不同,我國開放銀行模式的發展是各大銀行主動為之,開放銀行相關的規則體系與治理框架制定仍處于“進行時”。2019年中國人民銀行在《金融科技(FinTech)發展規劃(2019-2021)》中強調要加大金融信息保護力度,建立金融信息風險防控長效機制。黨的十九屆四中全會明確指出,要加強數據有序共享,依法保護個人信息。2020年4月9日,《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》(以下簡稱:《意見》)發布,首次將數據作為新型生產要素予以重點關注,并提出要著力破除數據隱私安全等方面的瓶頸制約,完善配套措施。《中華人民共和國數據安全法(草案)》(以下簡稱:《數據安全法(草案)》)及《中華人民共和國個人信息保護法(草案)》(以下簡稱:《個人信息保護法(草案)》分別于2020年7月與10月面向社會征求意見,這兩部法律草案中有關個人數據使用及保護的原則性規定可以對解決開放銀行模式下的個人數據共享問題起到統領指導作用。
個人數據共享中的安全問題是不容忽視的風險敞口,關系到數據共享的順利展開,進而影響開放銀行模式在我國的健康可持續發展。有效的個人數據保護涉及事前授權、事中跟蹤、事后補救多個維度,信息披露則是貫穿始終的核心。致力于消除信息不對稱和信息過載帶來的弊端,在個人客戶知情權保障方面發揮著不可替代的作用。完善的信息披露義務規則體系有賴于強制性規范與任意性規范的科學結合:一方面對主體積極履行信息披露義務形成強約束力,保障個人數據安全;另一方面為信息披露義務的履行留有靈活操作空間,避免對數據自由流動造成過多阻礙。從法律體系的角度來,我國并不缺乏關于個人數據保護的各層級立法,但是能有效規制開放銀行模式下數據共享相關問題的規則卻寥寥無幾,涉及信息披露之核心環節的規則更是處于空白狀態。已有的一些個人數據共享信息披露規則散見于各類立法文件及行業標準中,存在諸多規范不力的問題,主要表現為信息披露義務主體不完整、義務內容設置不合理、義務履行方式不科學、法律責任不明確等等。如何在現有規則基礎上,優化銀行與第三方機構信息披露義務的范圍、履行方式及違反義務的法律責任,以及如何在基本法律搭建的個人數據保護框架下,細化開放銀行數據共享中的信息披露義務內容等,皆需要多維度進一步的系統探討。
一、開放銀行數據共享中信息披露義務的特殊性與重要性
開放銀行是指銀行獲得客戶的授權或同意后,通過一定技術方式將客戶數據共享至第三方機構的新興業務模式。在這種模式下,銀行和第三方機構可以充分挖掘客戶數據的價值,雙方亦能借此獲得更多的客戶資源。與傳統銀行模式及其他非銀行金融機構業務模式相比,開放銀行模式存在特殊性,業務參與者增至三方,各自之間的法律關系存在多種情形。相應地,開放銀行數據共享中的信息披露與其他領域的信息披露相比,也存在披露對象與披露內容上的特殊性。加之實踐中信息不對稱與信息過載現象的存在,基于保護個人客戶知情權與推動開放銀行可持續發展的雙重考量,對開放銀行數據共享中銀行與第三方機構的信息披露義務進行體系化構建具有重要意義。
(一)信息披露義務的特殊性
開放銀行模式下的業務參與者有三方,即客戶、銀行和第三方機構。三方之間的法律關系并不能用傳統的一對一合同關系來界定,而是大體上可分為兩類。一類為“三角模式”,即三方參與者之間各自形成合同關系,個人客戶與銀行之間簽訂客戶服務協議,銀行與第三方機構之間簽訂開發者協議,個人客戶在使用第三方機構開發的APP或網頁時與第三方機構形成事實上的合同關系。另一類為“線性模式”,即個人客戶與銀行、銀行與第三方機構之間形成合同關系,第三方機構和銀行基于各類合作目的,由銀行獲得客戶授權并將數據共享至第三方機構,個人客戶與第三方機構之間不存在合同關系。
基于開放銀行業務模式的特殊性,客戶的個人數據利用也與傳統個人數據利用有所區別。第三方機構以數據共享的形式參與到個人數據利用過程中,因而從數據安全與個人隱私保護角度出發,客戶的個人數據需要進行不同敏感程度的劃分并設置與之相應的保護手段。開放銀行模式下可被共享的個人數據是指個人客戶在參與銀行業務過程中形成的各類數據,這些數據由銀行獲取、加工、保存,并且可以單獨或與其他數據結合識別出特定自然人的身份。2020年2月,由中國人民銀行發布的《個人金融信息保護技術規范》(以下簡稱:《個人金融信息規范》)按照敏感程度將個人數據劃分為三個等級。參考該行業標準的分類方法,將開放銀行中涉及的個人數據按敏感程度由高到低可分為三類,分別是個人身份數據、個人財務數據以及在前述數據基礎上通過分析產生的增值數據。之所以這樣分類,是因為不同類型的個人數據承載著不同程度的法益重要性和數據開發價值。其中由于個人身份數據與客戶本身密切相關,其可識別性高于個人財務數據。個人財務數據只有在與其他數據相結合時才能識別出個人客戶的身份,可以通過脫敏處理將數據敏感程度適當降低。在構建開放銀行模式下的信息披露義務時,對不同敏感程度的個人數據進行區分規制,才能更好地維持數據保護與數據利用的價值平衡。
具體到信息披露義務,銀行與第三方機構應當按照一定規則以一定方式向個人客戶(即數據主體)披露一系列與數據共享相關的信息,使得個人客戶對其數據從授權開始到共享利用結束的全流程享有充分的知情權。由于數據共享行為具有特殊性,開放銀行模式下的信息披露義務不同于其他領域的信息披露義務,至少表現出兩個方面的特殊性:其一,信息披露的對象特定,就同一信息的披露而言,銀行和第三方機構的披露對象只有一位客戶;其二,信息披露的內容特殊,在開放銀行運作過程中,沒有兩個一模一樣的數據共享行為。獲取數據的第三方機構、做出同意共享授權的客戶及客戶的個人數據都各不相同,因而針對這些各種各樣的情形,銀行和第三方機構的信息披露內容也可謂是“千人千面”,信息披露義務主體履行義務的方式為點對點的“私人訂制”。不過銀行就特定第三方機構向客戶作出的風險警示是例外,由于針對的并非是特定個人,而是使用該機構提供的APP或服務的所有客戶,這類具有共通性的信息可以采取公告的方式進行披露。正是基于對象和內容的特殊性,開放銀行數據共享中的信息披露義務需要在現有相關規定的基礎上進行體系化調整規范,才能與開放銀行的可持續發展相適應。
(二)信息披露義務的重要性
在開放銀行模式下,個人數據傳遞的鏈條被拉長,不再是點對點的“個人-銀行”方式,而是以不同的形式延伸至第三方機構,持有數據的主體相對于傳統業務而言有所增加,更多的存儲點也使得數據被泄露的潛在階段增多。由于數據交互更為頻繁,數據的接觸面拓寬,個人數據安全風險也隨之增加。“在開放銀行的條件下,由于傳統金融的功能及機構被顛覆,所以傳統的功能監管、機構監管以及主動監管、被動監管等基本上也就不存在了。”在這種情況下,個人數據的保護力度亟待加強。在個人數據的全方位保護閉環中,客戶的知情權保障是核心內容,銀行與第三方機構履行信息披露義務則是保障客戶知情權的關鍵手段。
實踐中,個人客戶知情權實現的障礙主要表現為兩種形式,一是信息不對稱,二是信息過載。
就信息不對稱而言,銀行與第三方機構作為開放銀行模式中的數據控制者與數據接收者,憑借著地位優勢與較高的專業技術水平,對數據共享的過程了如指掌。當個人數據被共享至第三方機構,以后數據一定程度上脫離了個人客戶的控制,個人客戶對數據流向何處以及數據被如何利用并不知情,全部有賴于銀行和第三方機構的披露。根據中國人民銀行于2020年2月13日發布的《商業銀行應用程序接口安全管理規范》(以下簡稱:《接口規范》), API接口分享數據的同時能留存傳輸記錄。從技術的角度來看,數據如何被傳輸共享并加以二次利用的全過程都有跡可循,銀行和第三方機構向個人進行披露并不存在技術障礙。并且,傳輸記錄的存在使得披露成本不會很高,提取記錄并提供給客戶查驗具備可行性,客戶能否知情取決于銀行和第三方機構的意愿。然而,基于資本的逐利性,銀行和第三方機構存在僥幸心理,很難有足夠的驅動力向個人客戶進行信息披露。擁有專業技術、追求商業利益的銀行及第三方機構不可避免地與專業認知水平存在局限、追求個人數據安全的數據主體產生沖突,在這場數據角力中,個人客戶幾乎必然處于弱勢地位。
就信息過載而言,信息量超過個人客戶理解范圍,導致個人客戶無法篩選出有效信息以作出理性判斷。一般情況下,銀行和第三方機構通常以用戶協議、隱私政策等作為獲取客戶授權時的信息披露方式。面對冗長復雜的條款,存在固有認知局限的個人客戶需要付出高昂的信息提煉成本,故往往選擇粗略瀏覽,忽略潛在風險,“在未能充分了解數據收集所帶來的不利益的情況下,輕率地作出流于形式的同意”。
在信息不對稱與信息過載的雙重困境下,信息披露義務的重要性不言而喻。信息披露義務的設置旨在消弭信息不對稱現象下客戶的信息弱勢地位。針對銀行和第三方機構信息披露義務的系統規定,能夠敦促兩者采取正確的安全保障措施,避免開放銀行的發展以犧牲個人客戶數據的保密性為代價。相應的法律責任條款則能倒逼銀行和第三方機構積極作為,使得處于信息弱勢地位的個人客戶能夠掌握充足的有效信息,在信息對稱的基礎上作出符合內心真意的理性決策。與此同時,信息披露能夠提高信息過載現象中個人客戶獲取信息的有效性。通過對銀行和第三方機構履行信息披露義務的形式作出規定,披露的信息能以簡潔和易理解的方式呈現給客戶。概言之,完善的信息披露義務規則通過矯正信息不對稱和信息過載帶來的弊端,以保障客戶知情權的方式應對開放銀行模式對個人數據安全帶來的風險,進而能夠提高客戶對數據共享行為的信心,增強客戶授權數據共享的意愿,夯實數據充分流通的合法性基礎。
二、開放銀行數據共享中信息披露義務的主體范圍
傳統銀行業務模式中,銀行向個人客戶披露其數據使用情況基本以客戶服務協議為載體,而開放銀行模式下,銀行與第三方機構都可以接觸到客戶的個人數據,因而只有對銀行和第三方機構都課以相應的信息披露義務,才能對個人客戶的知情權形成全方位的保護。在我國,目前第三方機構由于未被納入信息披露義務主體范圍而免于承擔信息披露義務,致使個人客戶的知情權保障漸入困境。
(一)現狀檢視:信息披露義務的主體不完整
在我國就信息披露義務的主體而言,金融領域的各類法律規范和政策文件的規定都側重于規制銀行的行為。《銀保監會關于銀行保險機構加強消費者權益保護工作體制機制建設的指導意見》(銀保監發[2019]38號,以下簡稱:38號文)第二部分將“協助規范營銷宣傳和信息披露內容”作為銀行履行消費者權益保護的職責之一。《中國人民銀行金融消費者權益保護實施辦法》(中國人民銀行令[2020]第5號,以下簡稱:《金融消費者保護辦法》)第8條規定了銀行、支付機構應當建立健全金融消費者權益保護的各項內控制度,其中包括金融產品和服務信息披露機制和查詢機制。
個人客戶向銀行做出授權后,銀行將數據共享至第三方機構,屬于銀行的服務之一,銀行理應承擔相應的信息披露義務。就第三方機構而言,其類型多樣,不少第三方機構并不屬于金融監管機構的管理對象。除了金融科技公司外,許多大型科技公司亦會以第三方機構的身份參與開放銀行業務,依托自身擁有的龐大客戶群與先進的科技水平,接入銀行系統,以達到收集數據、完善服務、提高營收的目標。事實上,在數據被共享至第三方后,只有第三方機構對數據利用過程能有全面的了解,披露信息的準確性最高,披露成本也最低。第三方機構作為共享數據的使用方與收益方,也應當履行相應的信息披露義務。倘若缺少了第三方機構的信息披露,個人客戶的知情權保障力度將被削弱。
如前所述,在開放銀行數據共享的全流程中,涉及信息披露的并非只有事前授權階段。并且,在數據共享的不同階段,銀行和第三方機構對數據的控制力度也有所不同。在數據授權階段,銀行對數據的掌控強于第三方機構,因而應當對個人客戶承擔更多的信息披露義務。當銀行獲得客戶授權,將數據共享至第三方機構后,數據在一定程度上脫離了銀行的控制,轉而由第三方機構加以利用。因此,這個階段中第三方機構需要履行的信息披露義務應當比銀行更多。然而我國的現有法律規范和政策文件的相關規定均將視線聚焦于事前授權階段,對授權后數據共享階段的信息披露義務并未作出安排,這顯然滯后于開放銀行的實踐需求。
(二)信息披露義務主體規則的完善建議
若干國家和地區的相關文件對銀行和第三方機構的信息披露義務有明確規定。歐盟《一般數據保護條例》(General Data Protection Regulation, GDPR)第30條對數據控制者(Controller)及數據處理者(Processor)規定同等的記錄要求。英國《開放銀行標準框架》要求第三方提供商(Third Party Provider)在向個人客戶申請共享數據時,應當提供隱私聲明,該聲明必須披露任何后續共享數據的細節。澳大利亞《開放銀行調查建議》則建議數據接收方(Data Recipient)應為個人客戶提供一個頁面,在該頁面上顯示數據的用途、存放位置等。英國和澳大利亞有關開放銀行的法律文件雖然對銀行和第三方機構的披露義務都做了規定,但并未明確區分階段。
借鑒率先開展開放銀行業務的國家與地區之經驗,我國也應有針對性地完善開放銀行數據共享中的信息披露義務主體規則。我國《商業銀行法》作為銀行業的基礎性法律,在新一輪修訂中可以考慮納入有關開放銀行及客戶權益保護的原則性規定。目前,銀行的信息披露義務主體身份已被作出較為細致的規定,在此基礎上,第三方機構的義務主體身份也應當通過立法予以明確。另外,在數據共享的不同階段,銀行和第三方機構充當了不同的角色,承擔不同程度、不同內容的披露義務。對此,銀行和第三方機構在信息披露義務承擔中的主次地位需要根據不同階段予以區分。
1.授權階段的義務主體:銀行為主,第三方機構為輔
在開放銀行模式下,客戶經由第三方機構提供的網頁、APP向銀行作出授權,儲存在銀行的個人數據通過API接口流向第三方機構。在授權階段,基于個人客戶和銀行之間的服務協議,銀行作出獲取客戶授權時應當披露相關信息的承諾。在這個階段中,銀行充當“貓眼”角色,門外按響請求數據共享門鈴的陌生人究竟是什么身份,可靠與否都有賴于銀行的披露,銀行披露的信息直接影響到個人客戶對數據共享行為的風險評估(三角模式下的個人客戶雖然對第三方機構的身份有初步了解,但更詳細的信息仍需由銀行披露)。與此同時,在這個階段,第三方機構也承擔了一定的信息披露義務,如數據共享的目的等。此外,第三方機構還應當輔助銀行履行信息披露義務。因為第三方機構在接入銀行的開放平臺時需要與銀行簽訂開發者協議等,銀行對第三方機構的資質已經進行過全面審查,所以第三方機構也應將相關信息的變更及時通知銀行。
2.授權后數據共享階段的義務主體:第三方機構為主,銀行為輔
在授權后的數據共享階段,數據被共享至第三方機構,一定程度上已脫離銀行的控制,只有第三方機構掌握數據的具體利用情況。基于節約信息披露成本的考量,由披露成本較低的一方履行信息披露義務更符合情理,顯然在這個階段第三方機構應當是主要的信息披露義務人,銀行則充當輔助傳遞與審核角色。當第三方機構披露數據后續使用情況時,銀行應當承擔該披露信息的“再傳遞義務”。也就是說,銀行應當向第三方機構提供一個可供其進行信息披露并可供個人客戶查看的渠道,同時銀行也肩負監督、督促第三方機構積極履行信息披露義務的職責。
三、開放銀行數據共享中信息披露義務的具體內容
對信息披露義務具體內容的規定關涉銀行和第三方機構將以何種程度來平衡數據流動與權益保障。由于目前我國的相關各層級規范內容上的差異性和分層次規制的缺乏,實踐中各家銀行并未有效履行其信息披露義務,因此個人客戶的知情權并未得到充分的保障。
(一)現狀檢視:信息披露義務的內容設置不合理
在信息披露義務的具體內容方面,各層級的規范所規定的內容并不一致。我國《民法典》第1035條第1款第3項、我國《消費者權益保護法》第29條、我國《網絡安全法》第41條都將處理信息的目的、方式和范圍作為處理個人數據時應當披露的內容。并且,我國《民法典》1038條第2款規定,信息處理者在發生或有可能發生個人數據泄露、丟失等侵害個人數據安全事件后,應當及時將該信息告知被收集者。針對安全事件的披露,尚在征求意見階段的《數據安全法(草案)》也有類似規定,即《數據安全法(草案)》第27條規定的“開展數據活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當按照規定及時告知用戶并向有關主管部門報告”。《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》(銀發[2011]17號,以下簡稱:17號文)第4條第2款要求銀行在取得客戶書面授權或同意時,應當向客戶披露向他人提供個人數據的范圍和具體情形,并以醒目和通俗易懂的方式提示該授權或同意的可能后果。《金融消費者保護辦法》第31條則將銀行應當披露的信息細化為征集的目的、方式、內容、使用范圍及可能的后果。《信息安全技術個人信息安全規范》(以下簡稱:《信息安全規范》)和《個人金融信息規范》要求披露共享數據的目的、涉及的數據類型、數據接收方類型及可能產生的后果。
通過對中國銀行、浦發銀行、中信銀行、招商銀行、平安銀行等五家已經開展開放銀行業務的銀行的調查可以發現,銀行的開放平臺官網仍只是專門針對第三方機構設計,個人客戶暫時無法找到與開放銀行業務相關的服務協議與隱私保護政策條款。現有的電子銀行(或手機銀行)個人客戶服務協議及隱私政策成了僅有的開放銀行模式下銀行信息披露義務履行情況的研究范本。在信息披露內容及詳實程度上,這五家銀行并不統一。平安銀行在其隱私政策中并未承諾獲取共享授權時披露的信息,僅簡單告知了三類可能共享數據的情形及將向第三方提供何種數據。除了平安銀行之外,其他四家銀行在隱私政策中向客戶承諾共享數據前將先獲取客戶的授權或同意,并告知共享數據的目的與接收方類型。其中,浦發銀行承諾告知共享范圍,另外三家銀行則對敏感數據作出區分,中國銀行與中信銀行將數據接收方的數據安全能力也納入信息披露范圍。值得注意的是,這五家銀行均未按照《金融消費者保護辦法》、17號文及《信息安全規范》的要求向客戶披露數據共享的潛在后果。
可見,雖然這些不同層級的規范對相關應當披露的信息進行了列舉,對信息披露義務的內容構建提供了指引,但實際效果并不理想,其原因仍在這些規范的有效性方面。首先,這些不同層級規范之間尚未對信息披露義務的具體內容達成共識,銀行和第三方機構應當依照哪些規則來履行信息披露義務尚無定論。其中效力層級較高的規范聚焦于數據處理目的、方式、范圍,這樣的規定雖普遍適用于各類數據共享情形但仍稍顯寬泛,效力層級較低的規范還將數據使用的后果納入披露范圍。《信息安全規范》和《個人金融信息規范》的規定雖更為細致全面,對數據共享行為來說也更有針對性,將披露內容擴充至數據接收方的相關信息,但因其強制力的缺乏難以得到有效落實,各家銀行并未按照這類規定進行披露。其次,現有規范沒能體現分層分類規制的思路,并未針對不同階段規定不同的信息披露內容。從我國《民法典》到各類技術標準都側重于客戶授權共享其數據時銀行應當披露的信息,對數據后續利用情況的信息披露規定不足,缺乏對數據共享過程之后續階段的監督。在三角模式中,個人客戶通過第三方機構開發的網頁或APP向銀行作出數據共享的授權,此過程中已經對第三方機構的身份有大致了解,即已經得知數據分享對象,銀行披露與否對個人客戶的授權并無太大影響;個人客戶更關注的是數據的后續使用情況,如數據使用頻次、數據使用范圍是否符合授權時的約定等。對于線性模式下第三方機構直接向銀行請求批量共享數據所涉及的客戶來說,授權階段與后續使用階段的持續信息披露都至關重要。信息披露內容設置方面的不足,使信息不對稱現象得不到妥善解決,個人客戶獲知的信息不夠完整,難以充分評估數據共享的風險并作出理性的授權決定。
(二)信息披露義務內容的完善
針對銀行和第三方機構應當披露哪些信息,域外各類開放銀行相關規范一般有詳細列舉。就授權階段而言,歐盟《一般數據保護條例》第13條規定了處理數據的目的及法律基礎、數據接收方信息等。英國《開放銀行標準框架》要求第三方機構提供的隱私聲明必須披露任何后續共享數據的細節,包括數據接收方身份或類型、數據共享的用途、客戶撤回授權的方式及撤回后果等。澳大利亞《開放銀行調查建議》明確提出了個人客戶對其個人數據的控制權,要求客戶授權同意機制在設計時就留有客戶自行選擇的權利,具體可選擇的內容包括用于共享數據的賬戶、數據共享時長、數據共享目的等。此外,該建議還需求在個人客戶收到共享其個人數據的申請時,銀行應當明確說明共享數據的含義,并提示個人客戶數據共享行為帶來的風險由客戶自行承擔。美國消費者金融保護局推出的九項原則中規定,在獲取個人客戶授權時的信息披露應當具體且易于理解,披露的信息包括用于共享的數據范圍、共享時長。就授權后的數據共享階段而言,歐盟《一般數據保護條例》第33條和第34條分別規定了數據控制者和數據處理者在數據泄漏后的及時告知義務。英國《開放銀行標準框架》也要求銀行API接口應當支持“帶外管理”(out-of-band)認證,確保發生變更情況時客戶可以及時收到提醒,也就是將披露信息變更情況納入了信息披露的范圍。
此類規定雖然在內容細致程度上有差別,但都將數據共享目的、數據接收方信息、數據共享時長納入了授權階段的信息披露范圍,這與我國現有的規則相類似。這些信息之所以被共同認可,是因為其最能直觀展示個人數據被共享利用全過程的基礎信息,但要充分保障個人客戶的知情權,還需要其他信息予以輔助。
1.信息披露內容的范圍
綜合我國相關各層級規范對應當披露的信息之規定,可以考慮將銀行與第三方機構應當披露的信息范圍整合如下。其一,數據共享目的無疑屬于信息披露的內容,這是使個人客戶了解其個人數據為何被共享最為直觀的內容。共享目的是個人客戶進行價值判斷并作出決策的最主要依據,因而是客戶最為關注的焦點,位居信息披露內容的核心。其二,共享的數據類型、共享方式、使用范圍及共享時長是客戶知曉其數據共享后如何被加以利用的關鍵信息,同時,基于17號文和《金融消費者保護辦法》的規定,共享數據可能產生的后果也宜納入披露范圍。其三,數據接收方(即第三方機構)信息。該信息主要包括數據接收方的類型、身份及數據安全保障能力等,是保障個人客戶了解其數據被共享至何處的關鍵信息,影響到客戶對數據共享行為安全與否的評估,也為后續一旦發生數據安全糾紛,客戶能夠及時找到責任人并獲得救濟提供了可能性。對第三方機構自身信息的披露作出嚴格要求,是因為客戶同意授權一定程度上也是基于對第三方機構商譽及數據安全保障能力的信賴。其四,安全事件通知。這是銀行與第三方機構應當快速及時向個人客戶披露的信息之一。這類信息與其他披露信息相比增加了時效性要求。我國《民法典》和我國《網絡安全法》均對數據處理者在發生或可能發生危及信息安全情況時的及時通知義務作了要求。由數據共享導致的個人數據泄漏等事件發生后,銀行及第三方機構應在合理期間內及時通知數據主體。安全事件通知的具體內容除了告知個人客戶事件的發生外,還應當告知可以采取的救濟措施。
對個人客戶獲知數據共享行為全貌而言,以上信息缺一不可。因此,《個人信息保護法(草案)》在第18條與第24條作出類似規定,要求各類數據共享行為參與者必須向個人客戶披露以上信息。對此,監管機構可以通過出臺相關細則,結合開放銀行模式的特殊性對信息披露內容的范圍進行細化。
值得注意的是,這些信息并不需要在每次都全部披露。各類披露信息需要根據共享數據的敏感性程度進行適度微調。如果對個人數據不加以區分而給予同等程度的保護,雖然在理論上保障了個人客戶對自己數據的決定權,但無法滿足法律適用的現實需求。“只有對受保護個人信息進行類型化處理,才能避免個人信息概念的模糊性缺陷,防止規范適用的空洞化”,因此有必要設置寬嚴有別的梯度式披露規則。就個人財務數據而言,由于其敏感程度不如個人身份數據,若銀行對個人財務數據進行了脫敏處理,那么授權階段銀行僅需告知客戶數據共享目的及數據接收方類型即可。就個人身份數據而言,銀行在披露共享目的、數據接收方類型外,還應當告知即將分享的敏感數據類型、數據接收方身份及安全保障能力、共享可能產生的結果,使得個人客戶能夠準確評估風險。
2.信息披露內容的層次
由于授權階段和授權后數據共享階段中銀行和第三方機構充當了不同的角色,相應地兩者在不同階段披露的信息類型也應有所區別。
在授權階段,第三方機構向個人客戶請求獲得數據共享授權時,應當主動告知其數據共享的目的、共享的數據類型、共享方式、使用范圍及共享時長,同時還應主動向銀行提供有關該機構自身的各類信息如數據安全保障能力等。銀行應當對第三方機構提供的信息進行審核,向個人客戶披露該第三方機構的具體信息并告知該數據共享行為可能導致的后果。其中針對第三方機構的數據安全保障能力,監管機構可以考慮以規范性文件或技術標準的形式進行一定程度的量化規定。若第三方機構是脫胎于銀行的金融科技子公司,由于有銀行為其數據安全保障能力及可信賴程度作為依靠,銀行對其的監督措施也更為多樣且有效,信息披露義務的履行程度或可稍低于其他第三方機構,如略微降低數據安全保障能力的考核要求。
在授權后的數據共享階段,第三方作為主要的信息披露義務人應當實時更新其數據利用情況,根據《信息安全規范》“9.2個人信息共享、轉讓”部分之規定,數據利用情況包括共享的日期、共享規模、共享目的、對數據采取了哪些保護措施等,力求將從數據被共享至本機構開始的每個流程都記錄下來,確保信息披露的真實性、準確性與完整性。當發生個人數據泄漏等安全事件時,銀行和第三方機構都有義務將事件及時披露給個人客戶,在采取補救措施的同時一并告知客戶可以采取的救濟措施。除此以外,銀行還應對第三方機構披露的信息進行審核,對遺漏的應披露信息進行補充,對第三方機構本身的信息進行更新。
隨著區塊鏈技術逐步應用于開放銀行模式中,關于信息披露的真實性驗證問題也將迎刃而解。區塊鏈技術中的時間戳證明、共識機制等能夠對數據的傳輸、使用進行全流程的監控,實現數據追蹤,操作歷史由全節點共同見證,無論是銀行還是第三方機構都無法對應當披露的信息進行造假。
四、開放銀行數據共享中信息披露義務的履行方式
信息披露義務的履行方式關系到個人客戶能否從海量信息中提煉出與自身數據安全切實相關的有效信息,也關系到個人客戶能否以高效簡便的方式對數據共享行為的全過程進行監督。換言之,個人客戶知情權能否得以保障,取決于法律能否通過提升信息披露義務履行方式可操作性的路徑來妥善應對信息過載帶來的挑戰。
(一)現狀檢視:信息披露義務的履行方式不科學
《金融消費者保護辦法》第17條規定銀行應當采取有利于金融消費者接收、理解的方式,并且應當對與金融消費者切身利益相關的重要信息和關鍵專業術語進行解釋,還需以適當方式供金融消費者確認其已接受完整信息。該辦法第21條第1款還要求銀行應當通過字體、字號、顏色、符號、標識等足以引起金融消費者注意的顯著方式呈現與金融消費者自身有重大利害關系的內容。
現有規則大多將“易于被客戶接受與理解”作為銀行履行信息披露義務的要求,對于銀行和第三方機構披露信息時采用的語言表述、頁面設計、篇幅長短等并未作出細致規定,這樣籠統的表述顯然缺乏可操作性。實踐中,銀行針對獲取共享數據授權時應當以何種方式告知披露信息也并未進行說明。授權階段的信息披露由于是一次性的,因而容易達到“易于被接受與理解”的水平,銀行通過加粗或加黑字體等方式足以引起個人客戶的注意。然而,在后續數據使用階段,考慮到同一客戶個人數據的潛在數據共享對象眾多,由各個第三方機構對數據使用情況進行披露并在各自網頁和APP上披露并不具有可行性,因此如何進行信息披露就成為一個難題。
(二)信息披露義務履行方式的完善建議
域外有關開放銀行規范均要求信息披露應當符合簡潔易于理解的標準。英國《開放銀行標準框架》指出,大部分客戶會跳過閱讀條款的步驟,因此有必要對披露方式進行設計,使個人客戶能夠完整獲知關于數據共享行為的內容。如盡可能地簡化信息披露的頁面,使得所有信息以單頁形式呈現,并減少使用專業術語轉而采用更易于被客戶理解的日常表達來進行解釋。澳大利亞《開放銀行調查建議》指出,對個人作出的說明與提示不應當妨礙個人客戶共享數據的意愿,因此建議銀行和第三方機構應當以單頁的形式向客戶呈現數據的用途、數據被存放的位置,并以列表形式列明數據的可能用途以便客戶自行選擇。之所以將披露信息濃縮至單頁呈現,是為了在鼓勵客戶積極決定授權與否的同時,也能對其授權所帶來的后果有清晰的認識,避免潛在的風險被密集的條款所掩蓋。事實上,以單頁形式呈現披露信息的方式更適合授權階段的初次披露,對后續數據共享階段的持續性信息披露還需采用其他方法。“易于被客戶接受與理解”作為信息披露義務履行的原則性標準并無不妥,這一標準仍可沿用至其指導下的開放銀行規范制定之中。基于這一標準,銀行與第三方機構的具體履行方式需要從載體、頻率、呈現形式三方面予以細化。
1.載體:銀行開放平臺的“個人客戶管理中心”
現有的各家銀行開放平臺官網僅供第三方機構進行開發者資質注冊以獲得接入銀行的機會,并未向個人客戶提供入口。為了充分保障個人客戶對數據共享全流程的知情權,第三方機構對共享數據的利用過程應當完整披露給個人客戶。若由第三方機構自主披露,個人客戶將奔波于各個APP之間,以致于其對自身個人數據共享利用情況的了解意愿大大降低。在銀行開放平臺中嵌入“個人客戶管理中心”或許是一種較好的選擇,將個人客戶所有被共享的數據情況集成至“個人客戶管理中心”,使得客戶一站式接收所有披露信息。此外,安全事件通知的方式并不限于平臺通知,為了達到及時性要求,銀行和第三方機構對客戶通知的方式還可以是電話、短信等。
2.頻率:事前一次性披露,事中一事一披露
在授權階段,銀行和第三方機構可以一次性將所有信息披露給個人客戶。在后續數據共享階段,共享數據的利用情況和第三方機構的情況都需要一事一更新,進行持續性披露。信息披露安全事件通知這類信息還有額外的及時性要求。根據《接口規范》第七部分“安全設計”之安全監控要求,銀行對接口使用情況進行監控,完整記錄接口訪問日志。該規范第十部分“安全運維”對商業銀行就應用程序接口運行作出了相關運維監測的要求。與此同時,《接口規范》還要求商業銀行根據系統日志對應用方的運營情況進行定期評估。也就是說,開放銀行模式下數據共享通過API接口進行,數據傳輸活動都有跡可循,加之區塊鏈技術的逐漸融入,實時披露將具有可行性,并且這種電子化披露方式亦不會產生過高成本。因此,由我國《商業銀行法》對信息披露的形式作出原則性和宏觀方面的要求,再由相關細則對信息披露的呈現形式提供具體操作示范更為恰當。
3.呈現形式:單頁顯示結合個性化定制
就信息披露的載體與呈現形式而言,在達到“簡潔易于理解”的前提下,銀行和第三方機構可以被賦予與個人客戶協商的權利。其原因在于不同客戶的閱讀習慣與信息接收偏好并不一致,法律規范難以用同一標準來適配不同需求。因此,由我國《商業銀行法》對信息披露的形式作出原則性和宏觀方面的要求,再由《金融消費者保護辦法》對披露信息的呈現形式提供具體操作示范,可能更為恰當。
在授權階段,銀行和第三方的信息披露可以參照英國與澳大利亞的做法,以單頁形式呈現。在后續數據共享階段,銀行和第三方機構理應盡可能完整詳實地向客戶披露數據共享的具體情況。《接口規范》雖然對銀行保留接口的系統日志作出了要求,但銀行不可能將系統日志直接呈現給個人客戶作為信息披露的履行形式。一來系統日志對非專業人士來說晦澀難懂,二來系統日志中包含了一定的商業秘密。并且,第三方機構實施披露其數據利用情況也通常需要通過一定的程序進行抓取、統計,無法用未經加工的形式呈現出來,因此有必要對披露信息的呈現形式作出一定革新。商業銀行與第三方機構應當在原有基礎上進行一定形式的篩選、加工,以簡潔易懂的方式將數據被共享、使用的全過程披露給個人客戶,避免出現信息過載現象而使得信息披露失去原有作用。銀行開放平臺的“個人客戶管理中心”可以支持“個性化定制”,給予個人客戶決定信息披露界面以什么樣的順序呈現、呈現哪些類型的披露信息的權利,并提供標注、篩選等功能,使得客戶能夠基于其信息接收偏好來顯示信息。與此同時,銀行和第三方機構在向個人客戶顯示披露信息的時候應當以醒目方式標注實質信息,如數據使用的具體情形等可能對個人客戶的授權產生實質影響的信息。至于哪些信息能夠被認定為實質信息,不妨采用大數據分析的方法,結合“個性化定制”情況,對個人客戶的信息接收偏好進行統計測評,篩選出個人客戶最重視的信息類型。
五、開放銀行數據共享中違反信息披露義務的法律責任
銀行和第三方機構積極履行信息披露義務的動力一方面來源于法律規范的正向引導,另一方面來源于法律責任規范的威懾。合理完善的法律責任體系能夠為義務主體衡量信息披露成本與違法成本孰輕孰重提供科學標準,進而在信息自決的前提下實現行為自決。
(一)現狀檢視:違反信息披露義務的法律責任不明確
針對義務主體違反信息披露義務的法律責任,《金融消費者保護辦法》第60條賦予了監管機構可以援引我國《消費者權益保護法》之規定對銀行進行處罰的權利。此外,《個人信息保護法(草案)》針對違反規定處理個人信息行為、《數據安全法(草案)》針對未及時通知安全事件行為規定了行政責任。銀行與第三方機構違反信息披露義務可被認為是侵害個人客戶知情權的一種表現形式,因而受到前述我國《民法典》、我國《消費者權益保護》、我國《網絡安全法》有關信息披露義務規定的約束。在刑事責任方面,我國《刑法》僅有關于證券市場違反信息披露義務行為所設置的罪名,如欺詐發行股票、債券罪,違規披露、不披露重要信息罪等,對造成嚴重后果或情節嚴重的行為予以刑法上的評價。針對作為新興的開放銀行模式,現有的我國刑法體系內并無相應罪名。
總體來說,我國目前并未形成適用于開放銀行模式的信息披露法律責任體系,僅通過義務性規范的形式確定了銀行應當履行信息披露義務,但對其后續違反信息披露義務所應當承擔的責任并未進行系統性規定。在法律責任類型上,現有的規定大多僅涉及行政責任,對刑事責任只字未提。違反信息披露義務的情形是否需要由刑法加以規制呢?如果需要,那么何種程度的違法情形達到了入刑標準?在現有的法律責任的具體內容中,并未區分違反信息披露義務的不同情形,更遑論根據這些情形的危害性規定不同程度的行政責任與民事責任。此外,由于第三方機構作為信息披露義務主體規定的缺失,現有的相關法律規范中更是難尋有關第三方機構違反信息披露義務后應當承擔何種法律責任的規定,因此在發生違反信息披露義務的情形時,如何分配銀行與第三方機構之間的責任,也亟待解決。
(二)違反信息披露義務法律責任規則的完善建議
根據信息披露的“真實、準確、完整、及時”要求,銀行和第三方機構違反信息披露義務的行為類型可以分為五種。第一,不披露或未完整披露,即銀行或第三方機構的披露具有片面性,未將應當披露的所有信息完整披露,隱瞞或遺漏了個人客戶作出合理決策所需的關鍵信息。第二,虛假披露,即銀行或第三方機構在披露信息時將并不存在的信息予以披露的行為。第三,誤導性披露,即銀行或第三方機構向個人客戶披露了違背事實真相并可能導致客戶就授權與否作出錯誤判斷的信息的行為。第四,遲延披露,即銀行或第三方機構違反信息披露及時性要求,未及時將應當披露的信息披露給個人客戶的行為,這類行為通常發生在安全事件的通知方面。第五,未以法定形式披露,即銀行或第三方機構違反了信息披露的規范性要求,導致個人客戶無法以便捷方式了解其數據利用過程。其中,前四種行為在定性上屬于違反信息披露的強制性規范。法律僅需就信息披露的形式作原則性規定,就具體如何呈現披露信息可留出由當事方約定的操作空間,因此未以法定形式進行信息披露通常屬于違反任意性規范,且因對個人客戶知情權的損害較為輕微,其法律責任也應當較前四種行為更輕。
在開放銀行模式下,違反信息披露義務的法律責任總體規制邏輯應當是:民事責任與行政責任并重,刑事責任為后盾。之所以采取這樣的規制邏輯,其原因在于不同訴求的客戶尋求的救濟方式會有所不同。在一部分客戶看來,銀行與第三方機構所提供的服務可替代性較高,在其發生違反信息披露義務的情形后,可以選擇接受其他機構的服務,并傾向于獲得實實在在的物質補償或賠償。對于這些客戶來說,尋求民事方面的救濟更符合自身利益需求。在另一部分客戶看來,自己選擇某家銀行作為開戶銀行,選擇使用某些第三方機構搭建的平臺并授權同意數據共享時,必然是這樣的選擇能為生活帶來便利性與幸福感的提升。這些客戶的訴求未必是獲得補償,而可能是獲得完整的披露信息。對于這些愿意繼續接受該銀行與第三方機構服務的客戶來說,獲得監管部門的幫助更為有用,有必要借助監管部門的強制力來強令銀行與第三方機構對其進行信息披露。就此,追究信息披露義務主體的行政責任與民事責任并不會互相沖突,兩種不同性質的責任能起到互相補充的作用。通過追究銀行與第三方機構的違約責任或侵權責任可以有效彌補個人客戶遭受的經濟損失,這是行政責任無法替代的。與此同時,行政責任的強制力與威懾力可以貫穿個人數據保護的全過程。與民事救濟手段相比,行政監管的手段更多樣,成本也低廉,反應速度也更快,能為個人數據提供更全面的保護,又能在個人數據保護、網絡安全維護和經濟社會發展之間找到平衡點。
1.違反信息披露義務的民事責任
民事責任認定并不需要根據行為類型區別對待,因為對個人客戶而言,不同的違反信息披露義務的行為類型對其產生的影響差別不大,其最終導致的結果都是客戶未能在合理時間范圍內以合理方式獲知真實、完整的信息,以至于無法根據這些信息作出本應有的準確判斷。這使得個人客戶的知情權得不到保障。至于具體承擔何種民事責任,可綜合考慮信息披露義務主體與客戶之間的法律關系、兩個階段中不同義務主體承擔的角色,并結合違反信息披露義務之行為造成的后果來分析確定。
在授權階段,銀行承擔主要的信息披露義務,基于開戶時銀行與客戶簽訂服務協議形成的合同關系,當銀行違反信息披露義務時,構成對客戶的違約。個人客戶可以據此請求銀行承擔違約責任,即由銀行對沒有完整、真實地披露信息而造成的損失承擔賠償責任。在這個階段,即便第三方機構未向銀行提供完整信息或提供了虛假信息,導致銀行向客戶作出的信息披露有瑕疵,銀行也不能因此免責。因為授權階段的個人客戶只能通過銀行了解第三方機構的完整情況,銀行當然對此負有第一性的義務與責任。
在授權后的數據共享階段,第三方機構承擔了主要的信息披露義務,銀行承擔對此信息的輔助傳遞與審核的義務。當第三方機構違反信息披露義務時,需要區分個人客戶與第三方機構之間是否存在合同關系,即屬于“線性模式”還是“三角模式”。若因信息披露瑕疵給個人客戶造成損失,線性模式下的第三方機構可能構成侵權責任,三角模式下的第三方機構則可能構成違約責任與侵權責任競合的情況,個人客戶可以選擇最能填補損失的方式進行主張。銀行只有證明其盡到監督審核義務的,才能據此免責,否則應當與第三方機構承擔連帶責任。
2.違反信息披露義務的行政責任
針對違反信息披露義務的行政責任承擔方式,我國現有的相關規范的規定已較為詳盡,無需進行過多改動,值得探討的問題集中于如何確定監管機構與責任具體認定兩方面。
就監管機構的確定而言,不同國家呈現出不同的做法。英國的開放銀行模式發展始于監管部門的推動,監管部門針對開放銀行制定了完善的規則體系與監管架構。英國《開放銀行標準框架》針對開放銀行的治理模式,提出設立獨立機構來監督開放銀行的落實,處理糾紛,保障數據安全,同時開放銀行也應當在英國競爭與市場管理局(Competition and Markets Authority)的監管下發展。與英國“自上而下”驅動型不同,美國開放銀行的發展則是“自下而上”驅動型的,在大量銀行與金融科技公司參與開放銀行發展進程后,美國消費者金融保護局才出臺了《消費者保護原則:經消費者授權的金融數據與整合》。美國并未設立專門的開放銀行監管機構,而是在現有監管體系下,選擇由消費者金融保護局擔任對開放銀行的監管角色。
我國的開放銀行發展與美國類似,始于商業銀行的自我行為,監管層面并未事先制定相關規范,因此從現有的監管體系中選擇某一部門承擔監管開放銀行的職責或許更符合效率要求。目前,按照我國《網絡安全法》和我國《消費者權益保護法》的相關規定,我國針對開放銀行模式中的第三方機構行政執法部門既有網信部門,也有市場監督管理部門,還有潛在的相關部門。在開放銀行模式下有關個人客戶的合法權益保障存在著管理部門重疊的問題。從《數據安全法(草案)》第7條第1款“各地區、各部門對本地區、本部門工作中產生、匯總、加工的數據及數據安全負主體責任”的規定來看,我國暫時沒有設立專門數據保護機構的打算,而是由各行業主管部門各自監管本行業、本領域的數據安全。另外,依照我國現有的市場監管體制,監管商業銀行開放銀行業務的職責仍應由中國人民銀行和銀保監會共同承擔。中國人民銀行內設的金融消費權益保護局負責開展金融消費者權益保護工作,其中就包括對金融機構信息披露工作的監督。相對于其他監管部門而言,金融消費權益保護局在此項信息披露的監督工作上已具備了一定基礎,專業性與針對性也更強。因此,在我國開放銀行相關規則尚未完備的情況下,可以先由中國人民銀行金融消費權益保護局承擔此項監管工作。隨著我國《商業銀行法》的完善,中國人民銀行金融消費權益保護局承擔開放銀行業務監管職責也將進一步名正言順。
就行政責任的具體認定而言,因為前述五種違反信息披露義務行為的規范屬性有所不同,且具有不同程度的主觀惡性,所以應當視其行為類型不同而規定不同的行政責任,可類推考量我國《證券法》2019年修訂前后的變化。此次修訂前的我國《證券法》對幾類違反信息披露義務的行為規定了同樣的行政責任,2019年修訂后則區分不同樣態的信息披露違法行為,針對不同危害程度的行為規定相應的行政責任層次,并對虛假披露、誤導性披露和未完整披露進行重點規制,根據2019年修訂后的我國《證券法》第197條,其罰款金額是遲延披露、未按法定形式披露行為的兩倍。借鑒該種思路,當開放銀行模式中的信息披露義務主體違反強制性規范,即發生不披露或未完整披露、虛假披露、遲延披露和誤導性披露行為時,大多是故意為之,其主觀惡性較大,對個人客戶授權與否的選擇影響更大,對個人客戶知情權的侵害也更為嚴重,因此可以在處罰金額等方面對此類義務主體施以更為嚴厲的處罰。除了對違反信息披露義務的主體進行處罰外,監管機構的另一職責應當是協助個人客戶督促信息披露義務主體及時整改并披露完整真實的信息。
3.違反信息披露義務的刑事責任
目前我國《刑法》中并沒有罪名與開放銀行模式下的違規信息披露行為相對應。開放銀行數據共享中違反信息披露義務的行為顯然與證券市場中違反信息披露義務行為不同。由于前者信息披露的一對一特點,其違反信息披露義務的社會危害性遠小于后者的社會危害性,僅侵犯個別對方當事人的知情權。并且,與個人數據泄漏、買賣個人數據等行為相比,違反信息披露義務的行為并不必然導致個人的經濟損失。刑法作為最嚴厲的社會控制手段,在開放銀行這種與傳統銀行業務相比更為復雜的模式下,不宜隨便創設罪名,應當堅守刑法的謙抑性原則,防止過剩犯罪化現象出現。在個人數據保護立法領域內,是否創設新罪名應當慎之又慎,充分考量該罪名是僅為了形式上安撫社會公眾心理,還是真的出于應對社會風險的目的。
當銀行或第三方機構違反信息披露義務的次數過多,或由此造成了嚴重后果時,就需要考慮是否通過刑事責任來約束此類行為。因為從一個普通人的合理認知及謹慎判斷來看,銀行或第三方機構違反信息披露義務的行為并不是偶發性的,通常表現為某個時間段內存在大量違規披露的事件。這與金融行業及互聯網行業天然的趨利性有關,其對待個人數據往往是利用大于保護。若沒有強有力的刑事責任震懾,銀行和第三方都將缺乏足夠的內在驅動力對個人數據安全進行有力的保護。
開放銀行模式下違反信息披露義務的行為在我國應當如何入刑?擴大現有“違規披露、不披露重要信息罪”的適用范圍或許是較為妥當的選擇。“違規披露、不披露重要信息罪”本就是由“提供虛假財會報告罪”發展而來的,是對實踐中的嚴重損害公眾投資者利益,擾亂證券市場秩序的行為予以刑法上的回應。從該罪名的歷史發展脈絡來看,其適用范圍根據市場經濟發展的實際情況進行了擴大。另外,在大數據時代,不只是銀行業,而是將有更多的行業與更多的機構乃至政府部門參與數據共享,擴大該罪適用范圍能夠未雨綢繆地保護數據主體的數據權利,加強刑法對個人數據的保護力度。至于入罪標準,可參照當前該罪名的規定,只有情節嚴重的行為才需要受到刑法規制。鑒于開放銀行模式下違反信息披露義務的行為對個人客戶造成的侵害往往難以用實際經濟損失來衡量,情節嚴重的衡量標準可以結合涉及的個人客戶數量、行為頻率、行為人獲利程度等因素綜合考量確定。
六、結論
實踐中,開放銀行模式在提供非接觸式金融服務、聯通客戶與各類商業生態方面發揮著無與倫比的作用,這也是銀行業數字化轉型的必然趨勢。隨著數據這一新型生產要素逐步得到政策與市場的重視,打破數據藩籬,推動數據自由流通,加強數據共享也勢在必行。在此背景下,個人數據保護問題日益突出,對個人知情權的保障也迫在眉睫。銀行與第三方機構的信息披露義務作為個人知情權保障的關鍵部分,關系到開放銀行技術標準框架的建設,也關系到個人數據保護制度的完善,需要基于開放銀行數據傳導的特殊性,秉持階段式的考量,從主體、內容、方式、責任多個層面分角度進行科學設計,亦需要打破部門法之間的界限進行研究,甚至需要跨學科進行綜合研究。與此同時,信息披露義務的系統構建還有賴于不同位階法律規范的通力合作,尚待出臺的我國《個人信息保護法》和我國《數據安全法》等法律能夠在宏觀層面為個人數據保護提供框架支撐,期待我國《商業銀行法》作為銀行業基礎性法律在新一輪修訂中就開放銀行數據共享中的信息披露義務主體、形式等內容增加原則性規定,亦期待監管部門出臺開放銀行相關實施細則并對銀行與第三方機構的信息披露義務之具體內容作出細化規定,從而形成層次分明、內容完備的開放銀行模式下的信息披露義務規則體系。