赵吟

摘要：开放银行作为新兴的业务模式.在数据共享方面表现出不同的特点，给个人数据保护带来多重挑战。结合国内开放银行发展现状，法律规制当在厘清各方法律关系的基础上，分阶段有重点地推进。事前阶段针对数据共享授权规则的不足进行相应优化，以确保个人的知情权和同意权。事中阶段通过数据共享对象的筛选规则设计与信息披露义务的规则细化，来保证数据得以合理共享与使用。事后阶段则依托多元纠纷解决机制实现数据共享各方责任的类型化.为个人提供有效的救济途径。

关键词：开放银行;数据共享;个人数据保护

中图分类号：DF438.2 文献标志码：A

DOI：10.3969/j.issn.1001-2397.2020.03.11

近年来，互联网、大数据、人工智能等技术手段促进了传统金融的革新，科技与金融行业不断融合发展。银行业同样融人数字化革命的浪潮，争先拥抱数字经济的蓝海，迈入银行4.0时代。m2015年，英国竞争和市场委员会（Competition and Markets Authority，以下简称“CMA”）开始主导开放银行计划，并成立了开放银行工作组（Open Banking Working Group，以下简称“OBWG”），OBWG于2016年对外发布《开放银行框架标准》。同年，欧盟通过了第二代支付服务法令（Payment Service Directive 2，以下简称“PSD2”），敦促欧洲各银行应当将客户数据开放给第三方。另外，欧盟的《一般数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）于2018年生效，这也正是欧盟积极推行开放银行的底气所在。与此同时，2017年，美国的联邦金融消费者保护局（Consumer Financial ProtectionBureau，以下简称“CFPB”）发布了金融数据共享的九条指导原则。澳大利亚、新加坡及我国香港特别行政区也已经踏上开放银行的探索之路。

2018年可谓是我国的开放银行元年，浦发银行、工商银行、招商银行等传统大型银行與众邦银行、微众银行等新兴银行纷纷推出了自己的开放平台。截止目前，约65%的商业银行已经涉足开放银行业务。但我国监管机构及行业自律组织出台的与开放银行相关的治理框架、业务规范屈指可数。2019年中国人民银行印发的《金融科技（FinTech）发展规划（2019-2021年）》中提及要“以促进金融开放为基调，加强数据资源融合应用”，同时也应“加大金融信息保护力度”。党的十九届四中全会上亦明确指出，要“加强数据有序共享，依法保护个人信息”。在我国个人数据保护的法律体系尚不完善的情况下，能否妥善应对开放银行背景下数据共享对个人数据安全带来的挑战，关系到开放银行能否在我国落地生根，这也是保护金融消费者权益，防范化解系统性金融风险的关键之处。

一、基于开放银行的个人数据共享界定

（一）开放银行的运作模式

何谓开放银行，国内业界尚未形成统一定义。开放银行并非新的银行类型，其实质是一种新的业务模式与经营理念。从数据共享角度而言，开放银行是指银行通过一定技术手段将收集储存的数据共享至第三方机构，将其传统的“客户-银行”的服务模式延长至“客户-银行-第三方-客户”的服务模式。第三方机构凭借自己的技术优势，结合海量数据能够为消费者提供更为优质的产品与服务，银行也得以通过开放银行模式深度挖掘客户的数据价值。现阶段，商业银行与其合作伙伴的对接方式为应用程序编程接口（Application Programming Interface，API）、软件工具包端口（Software Development Kit，SDK）或H5（超文本标记语言5.0）方式，其中API接口应用最为广泛。商业银行将大量API接口集成到一个特定平台，构建新的生态系统，将金融服务与实体经济的多领域实现无缝衔接。

开放银行生态系统可以分为三个层次：上层为商业生态系统，即金融科技公司、电商平台等第三方机构（以下统称“第三方机构”）通过API接口从银行获取相应数据，为客户提供创新的金融服务;中层为开放银行平台，该平台的构建是开放银行实践的基础。根据现有的实践来看，大体上可以将开放银行组织模式分为自建平台与第三方平台两种。传统大型银行依托其资金、技术、专业人才优势自行搭建开放平台，身兼二职，与商业生态对接。而新兴的中小银行通常寻求其他金融科技公司的支持，借助其技术优势搭建开放平台。下层则为银行，提供账户管理、支付等业务，同时也是数据的提供者。例如，现有的银行API接口类型涵盖了支付结算、账户管理、理财融资等多种场景，对个人客户来说，在第三方机构的APP上就可以同步查询个人银行账户余额与明细，无需再登陆银行APP。

（二）开放银行系统中的法律关系

开放银行生态系统中的参与者主要有三方：个人客户即数据主体;银行即数据控制者;第三方机构即数据共享对象亦是共享数据的使用者，通过开发APP、网页等为客户提供服务，在与银行签约时亦被称为“开发者”。个人客户在银行开设有账户，并基于账户产生了大量数据留存在银行。第三方机构与银行共享数据也可分为两种情况：一是个人客户在使用第三方机构服务的过程中需要调用自己留存在银行的数据，获得无缝衔接的银行服务，如直接进行个人实名认证;二是第三方机构和银行出于各种合作目的，在银行获得客户授权后，将数据共享至第三方机构。

第一种情况下，个人客户、银行、第三方之间各自形成了合同关系，即“三角模式”。个人客户首先与银行签订了客户服务协议，基于该服务协议，银行收集相应服务所需的客户个人数据，并且作为数据控制者同时需要承担数据安全保障的义务（如采取加密、匿名处理等技术手段），在法律允许和客户授权范围内合理使用数据并履行信息披露义务。个人客户则通过授权机制允许银行将其个人数据分享至第三方，并对数据共享的全过程享有知情权。银行与第三方机构则通过开发者协议形成合同关系，两者之间的权利义务关系由双方协商确定。一般而言，银行有权对第三方机构的资格进行审查，并提出相应的数据安全建议。个人客户通过第三方机构开发的APP或网页使用其服务时，也与第三方机构形成了事实上的合同关系，第三方机构的数据安全保障义务与银行相类似。第二种情况下，个人与银行、银行与第三方之间的合同关系与三角模式相同，唯一区别在于个人与第三方机构之间不存在合同关系，因此形成了“个人一银行一第三方”的线性模式。

（三）共享个人数据的范围及类型

“个人数据”“个人信息”等概念在学界还存在争议，实践中也存在混用的情形。欧盟GDPR中采用“个人数据”的表述，美国则采用“个人可识别信息”的表述。《民法典（草案）》（三次审议稿）（以下简称《民法典（草案）》）第1034条第2款采用“个人信息”的表述，对个人信息进行界定时体现了“可识别性”这一特征。《信息安全技术个人信息安全规范》（以下简称《信息安全规范》）中对个人信息的定义则是在此基础上增添了“反映特定自然人活动情况的各种信息”，列举范围稍大于《民法典（草案）》。在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发[2011]17号）（以下简称17号文）及《中国人民银行关于印发（中国人民银行金融消费者权益保护实施办法）的通知》（银发[2016]314号）（以下简称《金融消费者保护办法》）中，针对银行业务范围内的个人数据表述为“个人金融信息”。但“个人金融信息”这一表述过于宽泛，其他金融业务领域内由金融机构获取、加工、储存的个人信息也属于“个人金融信息”的范畴，故本文将银行业的“个人金融信息”统一表述为“个人数据”，将其定义为个人在参与银行业务的过程中产生的并由银行获取、加工、保存的各类可以单独或与其他数据结合识别特定自然人身份的各种数据。

17号文将“个人金融信息”分为七类，新近发布的《个人金融信息保护技术规范》（以下简称《个人金融信息规范》）则将个人金融信息按敏感程度分为三类。鉴于《个人金融信息规范》仅是金融行业标准，并不具有强制力，加之开放银行模式下，个人客户基于OAuth 2.0标准向银行授权时，第三方机构并不会接触到客户的账号密码、生物识别信息等鉴别信息。因此在现有规定基础上，可以将涉及共享的个人数据归纳为三类：个人身份数据、个人财务数据及在前两类数据基础上通过分析等手段生成的增值数据。个人身份数据是指与个人客户身份息息相关，由客户直接向银行提供的各类数据，包括姓名、出生日期、证件号码、个人地址、联系电话等，这类数据当然归属个人客户且具有一定的敏感性。个人财务数据涵盖了个人财产状况、账户数据、信用数据、交易数据等多種数据，如存取款记录、转账记录、信用卡还款情况、账户余额等，这类数据虽然是在银行提供的服务中产生并由银行管理、保存，但本质上是基于个人客户的行为产生。因此个人财务数据的所有权仍应归个人所有，银行仅是数据的控制者。增值数据是指银行为了充分挖掘数据价值，在原有的个人身份数据与财务数据基础上充分整合个人客户的多个账户，并通过编排、分析而产生的非基础数据，应当归银行所有。在开放银行的数据共享过程中，个人身份数据和个人财务数据的分享应当取得个人客户的授权同意。而增值数据本身能否分享还存在争议，同样存在争议的还有“聚合数据集”这一类型，这两类数据均被认为是银行付出了成本所产生，若归人共享数据的范围，无异于把银行的商业秘密公之于众，不符合商业道德。

（四）个人数据保护面临的挑战

虽然开放银行在我国掀起了浪潮，但相关规则和标准尚未落地。相比于英国和欧盟国家的“制度先行”，我国仍是实践先于制度，在其经营过程中潜藏着法律风险。目前的立法无法与开放银行适配，使得客观存在的个人数据保护问题更加突出。2013年《消费者权益保护法》中增设第29条有关经营者对消费者个人信息保护的规则。2015年国务院办公厅印发《关于加强金融消费者权益保护工作的指导意见》（以下简称《意见》）首次确立金融消费者的信息安全权。但信息安全权的概念并未真正突破现有金融相关立法对个人数据的保护体系，其内涵也无法完全覆盖个人数据保护的所有内容。《网络安全法》《电子商务法》等相关法律虽然对个人数据保护有所涉及，但是立法目的并未落脚于数据保护，易形成立法真空。央行方面则发布了《金融消费者保护办法》及相关规范性文件，但对个人数据的规定仍较为笼统。2017年发布的《信息安全规范》及2020年发布的《个人金融信息规范》虽然对数据共享的各个环节进行了详细规定，但由于仅属于国家标准与行业标准，其效力层级所决定的保护力度显然有所不足。

就事前阶段来讲，个人客户的“同意行为”本应成为数据共享合法性判断的首要标准，但在我国“知情一同意”相关规定较为笼统且缺乏可操作性的情况下，个人数据本身得到的保护力度被削弱。银行取得个人客户授权时并未对共享数据的种类、用途等给予充分披露，并且银行基于最大限度利用数据的需求，向个人索取无限度的个人数据利用期限和范围。对现有的“知情一同意”授权规则进行优化，或许可以有效保障个人客户知情权。在事中阶段，由于我国商业银行开展开放银行业务都处于自行摸索阶段，也尚未形成统一的第三方机构选择标准。对第三方机构进行准入门槛的设置是避免个人数据滥用的关键所在。并且，为了确保第三方在授权范围内利用数据，数据共享环节的信息披露要求则是监控数据合理使用的必要措施。在事后阶段，探索多元化纠纷解决机制与责任认定规则，可为个人数据安全遭受侵害的个人客户提供有效救济途径。阶段式的法律规制，不在于面面俱到的强制要求，而在于有选择的重点防控，需要结合开放银行特殊的运作模式设计相应规则，形成兼容软法治理与硬法规范的全方位保护闭环。

二、个人数据共享的事前规制：“知情一同意”授权

（一）“知情一同意”授权的实践困境

银行服务通过API接口嵌入商业场景中时，第三方机构即通过API接口接触到客户的个人数据，客户则在该场景中通过第三方设计运营的APP调用本人在银行储存的个人数据。此过程中，API接口即是阀门，数据通过阀门源源不断地流向第三方，而客户的授权行为则如同拧开阀门的举动，因此授权机制可谓是保护个人数据的第一道门槛。欧盟GDPR规定了“明示同意规则”。《民法典（草案）》第1038条第1款、《网络安全法》第42条均明确规定信息控制者未经信息被收集者同意，不得向第三方提供个人信息。17号文第4条及《金融消费者保护办法》第30条则要求银行在取得客户授权时，应当在条款中明确向第三方提供数据的范围和具体情形，并禁止银行用概括授权的方式过度索取个人客户的授权。但有关授权规则明显较为笼统，尚未有细化的操作和判断标准，造成适用上存在较大障碍，同意的有效性也难以确定。即使《个人金融信息规范》等标准为个人数据使用的各个流程提供了指引，也因强制力的缺乏难免形同虚设，而且同样存在笼统表述的问题。总而言之，现有的“知情一同意”规则未根据个人数据的类型作出区分，无论数据公开与否、敏感与否，均“一刀切”地规定银行应当提前披露的信息，亦未根据不同的数据分享对象作出不同的授权要求。

再次，在外在形式上，个人客户的事前授权条款是隐私保护政策的一部分，应当独立于其与银行订立的客户协议。否则这些条款将成为格式合同的一部分，个人客户仅有同意或不同意两种选择，本该具有的“协商”“合意”功能成为空谈。银行的隐私保护政策应当逐渐从纯粹的阅读文本向功能文本转变。在这种理念的指导下，银行的隐私保护政策不再作为格式条款的形式而存在，可采用多项选择的方式，由客户根据自身需求分别勾选愿意接受的条款项目。银行亦可提供完整版与摘要版两种条款，将关系到客户个人数据安全的重要信息浓缩至摘要版条款中，减轻客户的阅读压力，也便于客户的理解。

最后，银行可在现有的开放平台中嵌入“个人客户管理中心”模块来完善“知情一同意”授权规则的操作。对于追求高效且数据风险承受能力强的個人客户来说，可以根据自己需求在管理中心上预设一些“白名单”，如第三方要求接入哪些类型API接口时无需经过自己授权，或是哪些类型的个人数据可以无授权共享，再如对某些特定第三方机构开放自己的数据。这些预设的“白名单”一定程度上可以减少不必要的重复授权。对于谨小慎微的个人客户来说，对“白名单”的设置更为谨慎一些，或者将该功能弃之不用，坚持传统的“一事一授权”模式即可。同时，该管理中心亦可整合授权的变更与撤销功能，详细列明个人客户已经作出的授权信息，包括授权时间、授权期限及授权内容等信息，使得个人客户能够在个人终端随时查看个人数据被授权共享的情况，并基于自己的风险判断与现实需求对授权进行变更或撤销。

三、个人数据共享的事中规制：对象选择与信息披露

（一）共享对象准入设计

开放银行对传统银行业务的革新并未改变银行的本质。我国的金融科技创新应当坚持持牌经营，只有持有相应牌照的机构才能参与创新的金融服务。在开放银行背景下，数据共享对象为各类第三方机构，由其作为开发者，基于各银行构建的平台进行应用开发。参与开放银行数据共享的各类第三方机构数量无疑是庞大的，要求每家公司都获取牌照从成本与效率角度来讲都难以实现。那么是否所有第三方机构都可以来分一杯羹呢？答案是否定的。具体来说，这些第三方机构中包括金融科技公司、电商平台等，其中金融科技公司又可以分为银行直接投资或组建的金融科技子公司及第三方金融科技公司。银行系金融科技子公司脱胎于现有银行，其风险管理能力、数据安全保障能力都相对较高。体量较大、运营时间较长的第三方机构经过市场检验，其实力与可靠程度也不亚于银行系金融科技子公司。但那些初出茅庐的新创公司，无论是数据安全保障水平，还是公司的信誉都无法得到保证。因此，有必要对数据共享对象的准入进行具体规制。

统观全球，不同国家和地区在第三方机构的选择上采用不同的模式。英国《开放银行框架标准》中规定，由开放银行实施机构制定和执行开放银行目录，该目录提供了可以申请调用API的第三方“白名单”。我国香港特别行政区金融管理局提出了三种模式：1.双边模式（Bilateral），即银行就其与第三方机构的双边约定，根据与第三方的合作性质，由银行依据既定政策和程序进行风险评估和尽职调查。2.中央模式（Central Entity），即各个银行共同资助和组建一个中央机构，并一同参与制定一套通用的治理标准和评估服务，由该机构来负责对第三方进行统一认证。3。基于某种共同基准的双边模式（Bilateral with a Common Baseline），先由各个银行制定并通过一系列的第三方机构治理的共同基准，但各个银行可以在该基础上根据需求适当增加自己的特殊要求。对此，香港特别行政区金融管理局的建议是采用第三种具有灵活性的双边模式。由于形成了一致的共同标准，第三方机构在向不同银行申请API接入资格时可以避免重复准备资格认证材料，而银行在评估第三方机构资格时亦可参考其他银行的评估结果，这使得认证过程兼具可靠性与效率性。此外，值得借鉴的是，苏宁金融于2018年上线了“区块链黑名单共享”系统，该系统基于区块链技术，提供了黑名单的添加、查询、删除、投诉四类功能。

结合“白名单+黑名单”的双重筛选机制或许可以成为高效筛选第三方机构的工具。鉴于我国尚未建立或指定开放银行的实施机构，由各个参与开放银行的商业银行自发组建并参与该共享名单系统显得更具有可行性。该共享名单系统应当兼具添加、查询、删除、投诉四类功能。各家银行都作为一个节点，将自己业务开展过程中积累的名单数据加密发布到区块链上。针对已经向各个银行申请过API接入资格的开发者，参与该系统的银行将本行已经认证的开发者名单同步至该系统，同时明确，通过三家及三家以上银行审核的开发者将进入白名单，黑名单内的机构亦可同种方式写入，从而实现欺诈风险的联防联控。而对于那些被排除在两类名单外的开发者，银行仍旧可以采用传统的“申请一审核”方式加以筛选。随着时间的推移，该共享名单系统的内容将愈加丰富，由银行人工审核的开发者数量也将逐渐减少。参与发布的银行亦可查询其他机构发布的信息，若发现名单数据造假，查询机构也能在系统中进行投诉。并且该过程中的数据发布行为与数据查询行为均为匿名操作，从而保护银行的商业机密。至于银行对数据共享对象的审核标准，除了传统的要素外，还可以针对用户数量、市场份额等进行动态调整。因个人开发者难以被监管、且数据保护能力显著低于企业开发者，监管机构或许可以对开发者资质作出笼统规定，如禁止个人开发者参与银行数据共享。

（二）信息披露义务要求

《民法典（草案）》第1035条第1款第3、4项规定处理个人信息应当明示处理信息的目的、方式和范围，并且要求不得违反法律及行政法规的规定和双方的约定。17号文第4条及《金融消费者保护办法》第30条均规定银行在向第三方提供“个人金融信息”时还应当向客户明确提供信息的范围、具体情形、可能后果。可见，现有立法仅对银行的信息披露义务作出要求，未对第三方机构获取数据后的信息披露进行规制，且对银行信息披露义务的规定也着眼于授权前阶段，缺乏对数据共享过程中后续阶段的监督。

传统模式下银行在获取授权时披露的信息有效期仅限于获取授权那一刻，这与大数据时代高频率的数据处理与共享需求是背道而驰的。对于三角模式下的个人客户来说，本身就是基于使用第三方机构服务的需求向银行作出授权，必然已经得知个人数据的分享对象，再由银行告知其具体信息并无太大意义。这一类客户更关注的是数据的后续使用情况，如是否在授权范围内使用等。对于事先在“个人客户管理中心”中开启白名单的客户或线性模式下第三方机构直接向银行请求批量共享数据所涉及的客户来说，个人数据共享全过程的信息披露都显得至关重要。第三方作为共享数据的最终使用方，也应当履行相应的信息披露义务。这一点上，欧盟GDPR第30条要求数据控制者及数据处理者均应承担数据处理的记录义务。放在开放银行语境下，银行和第三方机构都应当承担数据处理的记录义务。澳大利亚的《建议》中也要求银行与第三方机构谨慎保留数据传输记录，以便监管机构随时监督与调查。客户应享有查看数据授权过程的权利，并且相关机构需对所有授权设置有效期。

为了避免信息披露流于形式，法律规制需着眼于细化银行与第三方的信息披露义务，以保障个人客户对其个人数据的采集、储存、使用、共享全流程的知情权。对此，我国的银行和第三方机构可以通过前文提及的“个人客户管理中心”履行相应的信息披露义务，促进数据共享流程透明化，降低信息不对称。

首先，银行的信息披露义务集中于授权前阶段，就信息披露的内容而言，银行获得授权前应当告知数据共享的目的、数据接收方信息、共享的数据类型、共享时长及潜在风险。第三方机构的信息披露义务则集中于授权后阶段，第三方机构应当实时记录获取数据的时间、数据被用于何种用途、对数据采取的安全保护措施等，力求将数据从被授权共享开始的每个流程都在平台上留下记录，确保信息披露的真实性、准确性与完整性。

其次，银行和第三方应当及时披露风险信息，做好风险轨迹的保存。《民法典（草案）》第1038条第2款和《网络安全法》第42条第2款规定信息控制者和网络运营者在发生或可能发生危及信息安全情况时的及时通知义务。GDPR第33条和第34条分别规定了数据控制者和数据处理者在数据泄漏后的及时告知义务。由数据共享导致的个人数据泄漏等风险事件发生后，银行及第三方机构应在合理期间内及时通知数据主体及监管部门，协助数据主体维护权益，明确告知其可采取的救济措施及如何行使司法救济的权利等。其中，针对数据主体的告知义务中，若存在告知成本过大无法与数据泄漏风险相匹配的情况，数据控制者可采用公告或相似措施来作为履行告知义务的方式。在发生或可能发生危及数据安全的事件时，银行和第三方应当及时通知个人客户，通知的方式可以是电话、短信，也可通过实时平台进行预警。

再者，有效性也是银行与第三方机构信息披露义务的要求之一。银行和第三方机构上传的资料应当是完整详实的，但是在向个人客户显示的时候可以醒目方式标注实质信息，如：数据使用场景等可能对客户的授权产生实质影响的信息，决定哪些信息称为实质信息则可以采用大数据分析的方法。并且，平台应当支持“个性化定制”即由个人客户决定显示在其首页的是哪些类型的披露信息，基于其信息接收偏好来显示信息。

四、个人数据共享的事后规制：解决路径与责任认定

（一）多元纠纷解决机制

就世界范围来看，GDPR第79条赋予数据主体司法救济权。《开放银行框架标准》中规定由一个独立的开放银行实施机构来负责落实开放银行标准并处理客户纠纷。当客户遭遇数据共享纠纷时，有权联系第三方机构或数据提供者即银行进行协商，若纠纷逾期仍未得到处理，则该纠纷可以交由开放银行实施机构进行处理。并且英国还设置了一个争议管理系统（Dispute Management svstem，简称DMS）及附随的最佳实践准则，包括一套定型化的表格和清晰的沟通流程。个人客户可以提交对银行或第三方机构的投诉或争议，并通过该系统进行投诉或争议的管理、查询。

基于开放银行的特殊架构，有关争议的解决遵循“以内部解决机制为主，外部解决机制为辅”的原则较为妥当。内部解决机制不仅仅是向银行进行投诉，第三方机构也应当设置个人客户的投诉渠道。不妨借鉴英国的DMS系统，以“个人客户管理中心”作为基础，嵌入争议管理功能，个人客户通过预设的反馈表单提交投诉或争议。为了防止出现互相推诿的局面，银行方面应当作为受理投诉或争议的积极牵头人，先通过内部核查程序进行协调解决，由专人及时跟进受理过程并将进度实时同步，涉及第三方机构责任也应当由银行与第三方对接协商。个人客户仅需通过平台中心查询进度，待銀行和第三方机构达成一致意见形成解决方案后再决定是否接受该结果。

当内部解决机制无法达到个人客户心中预设结果时，个人客户可以诉诸外部程序解决。首先是向上级监管部门投诉，在我国现有的银行监管体制内，还未出台统一的开放银行标准的情况下，由中国人民银行及其分支机构受理投诉是合适的，但更理想的路径是由专门的数据监管机构或行业自律组织来处理纠纷。一方面，中国人民银行及银保监会对个人数据的监管保护也仅限于银行业务范围内，在数据被共享至第三方机构后，其对数据的保护可谓心有余而力不足。另一方面，针对第三方机构，网信部门、市场监督管理部门等多部门都有行政监督职权，难免出现多头监管的困境，重叠导致低效或真空导致无效。因此，建立专门的数据监管机构不仅能节省行政资源，减少第三方机构的合规成本，更能对个人数据实施全面、有力的保护。考虑到传统诉讼作为争议解决的途径对于d'-.k客户来说存在证据收集等方面的障碍，倘若银行在未获得个人客户授权的情况下向第三方机构批量共享数据，或是超越授权共享，又或是第三方机构超越授权范围处理数据，专门的数据监管机构可以据此提起公益诉讼，切实保护与同一银行或第三方机构产生纠纷的大量个人客户之合法权益，即将公益诉讼范围扩大至金融领域。

（二）民事责任分类认定

在开放银行的运作中就个人数据共享问题可能出现如下纠纷：1.银行违背个人客户的意愿，向第三方共享个人数据，即无授权共享或超越授权范围共享;2.银行取得了个人客户的授权，第三方机构获取数据后，超越被授权范围将数据用于其他用途;3.银行取得了个人客户的授权，但是由于技术原因或人为原因导致数据泄漏，并造成财产损失;4.无授权或超越授权共享的情况下，由于技术原因或人为原因导致数据泄漏，并造成财产损失。由于个人数据共享后，理论上的数据使用者数量可以有很多个，如何避免银行与第三方机构之间互相推诿责任？银行与第三方机构的责任应当如何分配？若出现信息泄漏的情形，在银行、第三方机构以及可能存在的侵权主体之间责任如何划分？银行是否取得客户授权对银行的责任承担有何影响？这些问题都有诸多值得讨论的空间。

我国现行法律体系中有关数据安全责任承担的条款散见于不同的法律规定之中。第三方机构通过APP或网页向个人客户提供服务，也可视为网络平台。《网络安全法》《消费者权益保护法》对网络平台的信息安全保障义务作出规定，是为网络平台经营者承担责任的依据。但是具体的责任类型和承担方式仍不完善，更多的强调行政责任和刑事责任。由于个人数据纠纷中个人客户更多采用民事救济手段来保障权益，因此有必要根据不同的纠纷类型设置相应的民事责任认定规则及相应的责任承担方式。

第一种纠纷类型中，银行作为数据控制者，违反数据共享规则无授权共享或超越授权范围共享属于过错方，理应承担主要责任，个人客户基于协议有权要求银行承担违约责任。第三方机构作为数据接收方（暂不论其是否有审查授权的谨慎义务）通过数据共享获取了利益，应当在获利范围内对个人客户承担赔偿责任，但该赔偿责任并非是违约责任。三角模式下，个人客户虽然与第三方形成了事实上的合同关系，但这种合同关系是基于第三方向个人提供的服务展开，第三方基于合同需要承担的合理使用数据义务是以数据来源合法为前提的。在银行未经授权或超越授权向第三方共享数据时，第三方获取数据的来源并不合法，这种对个人客户的数据权利侵害的行为性质与线性模式下第三方从银行获得未经授权的数据之行为性质并无区别。因此，这种纠纷类型中，个人客户有权请求第三方承担侵权责任，第三方应当立即停止使用并及时删除相关数据。

第二种纠纷类型中，第三方机构才是真正的过错方。三角模式下的第三方机构基于与个人客户的合同关系应当对其承担违约责任。线性模式下的第三方机构由于和个人客户不存在基础法律关系，应当对个人客户承担侵权责任。由于银行和个人客户之间存在客户协议，银行需要承担相应的数据安全保障义务，加之银行和第三方机构之间存在合作协议，银行还应当履行对第三方机构严格审查义务。因此在这种情况下，银行最终是否要对个人客户承担违约责任取决于银行是否履行了审查义务。

第三种纠纷和第四种纠纷类型相似，都是由于技术原因或人为原因导致数据泄漏，银行是否取得授权将影响银行需要承担的责任比例。银行可依据双方的合作协议，调查数据泄漏发生的缘由认定责任方，由最终的责任方对其行为承担相应的法律后果。在技术原因造成数据泄漏的情形下，对银行与三角模式下的第三方机构而言，除非有证据证明其尽到数据安全保障义务和审查义务，否则应当对个人客户承担违约责任;而线性模式下的第三方机构，原则上应当对个人客户承担侵权责任。在人为原因造成数据泄漏的情形下，尽管银行与第三方机构可能并非最终的责任方，但是否尽到数据安全保障义务仍会影响其责任的承担。不存在数据滥用行为的情况下，若数据泄漏是由银行或第三方机构内部人员造成的，还需要区分职务行为与非职务行为：内部人员因执行工作任务造成数据泄漏的，即推定其所属机构未尽到数据安全保障义务，应当承担责任。内部人员因谋取私利造成数据泄漏的，由该责任人员承担侵权责任，并由该责任人员所属机构对此承担连带责任，除非所属机构能够证明自己没有过错。若数据泄漏归因于其他第三人，由该真正侵权人承担侵权责任，若银行或第三方机构无法证明自己尽到应尽义务的，应当对此承担补充赔偿责任。在银行或第三方机构存在无授权或超越授权共享数据的情形下，先根据前述规则追究数据泄漏方的责任，再参照第一、二种纠纷类型追究数据滥用行为的责任。

为了简化个人客户获得赔偿的步骤以确保更好的救济，无论何种类型纠纷中，只要个人客户向銀行或第三方机构任一方提出赔偿请求，被请求方都应当首先进行全额赔偿，再向其他方追偿，除非责任主体能够证明自己与损害结果无因果关系。若第三方机构为“银行系金融科技子公司”，即便银行本身无过错，其也应当对个人数据侵权行为承担连带责任。这符合金融控股公司加重责任的思路，也符合个人数据保护的目的。

五、结语

开放银行模式的兴起为银行业转型发展提供了机遇，更关系到我国金融开放、金融创新的进程。但同时我们要看到，开放银行改变了原有组织架构、业务运行模式，现有的规则体系已经不能满足个人数据保护的需求，分阶段的规制思路也不足以涵盖个人数据保护的全过程，还需要银行、个人、第三方机构等相互之间的合同条款加以配合，交由意思自治来达至合理共享下的利益最佳状态。此外，由于开放银行涉及大量的专业技术问题，如何将法律规制与实际运作有效衔接，如何在个人数据保护与数据共享的效率之间寻求平衡点也值得进一步思考。开放银行只是金融科技发展在银行业的缩影，开放银行模式下的个人数据保护路径或许也能为后续其他金融行业的发展提供范本。正值《个人信息保护法》与《数据安全法》制定的契机，期待立法机关予以回应，让法律为开放银行的发展保驾护航。