亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

摘要：開(kāi)放銀行模式下，數(shù)據(jù)共享過(guò)程中的信息披露存在對(duì)象和內(nèi)容兩方面的特殊性，個(gè)人客戶的知情權(quán)保障面臨信息不對(duì)稱與信息過(guò)載的雙重困境。我國(guó)有關(guān)開(kāi)放銀行的規(guī)范將視線聚焦于技術(shù)標(biāo)準(zhǔn)，涉及信息披露之核心操作環(huán)節(jié)的規(guī)則處于空白狀態(tài)。在我國(guó)，實(shí)踐中，各家銀行并沒(méi)有足夠的動(dòng)力履行信息披露義務(wù)，有必要對(duì)開(kāi)放銀行數(shù)據(jù)共享中的信息披露義務(wù)進(jìn)行系統(tǒng)構(gòu)建，這需要結(jié)合銀行和第三方機(jī)構(gòu)在數(shù)據(jù)共享不同階段承擔(dān)的不同角色，對(duì)信息披露義務(wù)的具體內(nèi)容及形式予以明確，并從民事責(zé)任、行政責(zé)任、刑事責(zé)任的角度對(duì)各類違反信息披露義務(wù)的行為分別加以規(guī)制。

關(guān)鍵詞：開(kāi)放銀行；數(shù)據(jù)共享；信息披露義務(wù)；法律責(zé)任

　　在新一輪技術(shù)革命背景下，開(kāi)放銀行是未來(lái)銀行業(yè)務(wù)發(fā)展的必由之路，眾多國(guó)家和地區(qū)相繼走上了開(kāi)放銀行的探索之路，接連推出開(kāi)放銀行計(jì)劃。截至2019年底，我國(guó)約有65%的商業(yè)銀行參與了開(kāi)放銀行經(jīng)營(yíng)活動(dòng)。與國(guó)外開(kāi)放銀行肇始于政府監(jiān)管層的推動(dòng)不同，我國(guó)開(kāi)放銀行模式的發(fā)展是各大銀行主動(dòng)為之，開(kāi)放銀行相關(guān)的規(guī)則體系與治理框架制定仍處于“進(jìn)行時(shí)”。2019年中國(guó)人民銀行在《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021）》中強(qiáng)調(diào)要加大金融信息保護(hù)力度，建立金融信息風(fēng)險(xiǎn)防控長(zhǎng)效機(jī)制。黨的十九屆四中全會(huì)明確指出，要加強(qiáng)數(shù)據(jù)有序共享，依法保護(hù)個(gè)人信息。2020年4月9日，《中共中央、國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》（以下簡(jiǎn)稱：《意見(jiàn)》）發(fā)布，首次將數(shù)據(jù)作為新型生產(chǎn)要素予以重點(diǎn)關(guān)注，并提出要著力破除數(shù)據(jù)隱私安全等方面的瓶頸制約，完善配套措施�！吨腥A人民共和國(guó)數(shù)據(jù)安全法（草案）》（以下簡(jiǎn)稱：《數(shù)據(jù)安全法（草案）》）及《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱：《個(gè)人信息保護(hù)法（草案）》分別于2020年7月與10月面向社會(huì)征求意見(jiàn)，這兩部法律草案中有關(guān)個(gè)人數(shù)據(jù)使用及保護(hù)的原則性規(guī)定可以對(duì)解決開(kāi)放銀行模式下的個(gè)人數(shù)據(jù)共享問(wèn)題起到統(tǒng)領(lǐng)指導(dǎo)作用。

　　個(gè)人數(shù)據(jù)共享中的安全問(wèn)題是不容忽視的風(fēng)險(xiǎn)敞口，關(guān)系到數(shù)據(jù)共享的順利展開(kāi)，進(jìn)而影響開(kāi)放銀行模式在我國(guó)的健康可持續(xù)發(fā)展。有效的個(gè)人數(shù)據(jù)保護(hù)涉及事前授權(quán)、事中跟蹤、事后補(bǔ)救多個(gè)維度，信息披露則是貫穿始終的核心。致力于消除信息不對(duì)稱和信息過(guò)載帶來(lái)的弊端，在個(gè)人客戶知情權(quán)保障方面發(fā)揮著不可替代的作用。完善的信息披露義務(wù)規(guī)則體系有賴于強(qiáng)制性規(guī)范與任意性規(guī)范的科學(xué)結(jié)合：一方面對(duì)主體積極履行信息披露義務(wù)形成強(qiáng)約束力，保障個(gè)人數(shù)據(jù)安全；另一方面為信息披露義務(wù)的履行留有靈活操作空間，避免對(duì)數(shù)據(jù)自由流動(dòng)造成過(guò)多阻礙。從法律體系的角度來(lái)，我國(guó)并不缺乏關(guān)于個(gè)人數(shù)據(jù)保護(hù)的各層級(jí)立法，但是能有效規(guī)制開(kāi)放銀行模式下數(shù)據(jù)共享相關(guān)問(wèn)題的規(guī)則卻寥寥無(wú)幾，涉及信息披露之核心環(huán)節(jié)的規(guī)則更是處于空白狀態(tài)。已有的一些個(gè)人數(shù)據(jù)共享信息披露規(guī)則散見(jiàn)于各類立法文件及行業(yè)標(biāo)準(zhǔn)中，存在諸多規(guī)范不力的問(wèn)題，主要表現(xiàn)為信息披露義務(wù)主體不完整、義務(wù)內(nèi)容設(shè)置不合理、義務(wù)履行方式不科學(xué)、法律責(zé)任不明確等等。如何在現(xiàn)有規(guī)則基礎(chǔ)上，優(yōu)化銀行與第三方機(jī)構(gòu)信息披露義務(wù)的范圍、履行方式及違反義務(wù)的法律責(zé)任，以及如何在基本法律搭建的個(gè)人數(shù)據(jù)保護(hù)框架下，細(xì)化開(kāi)放銀行數(shù)據(jù)共享中的信息披露義務(wù)內(nèi)容等，皆需要多維度進(jìn)一步的系統(tǒng)探討。

　　一、開(kāi)放銀行數(shù)據(jù)共享中信息披露義務(wù)的特殊性與重要性

　　開(kāi)放銀行是指銀行獲得客戶的授權(quán)或同意后，通過(guò)一定技術(shù)方式將客戶數(shù)據(jù)共享至第三方機(jī)構(gòu)的新興業(yè)務(wù)模式。在這種模式下，銀行和第三方機(jī)構(gòu)可以充分挖掘客戶數(shù)據(jù)的價(jià)值，雙方亦能借此獲得更多的客戶資源。與傳統(tǒng)銀行模式及其他非銀行金融機(jī)構(gòu)業(yè)務(wù)模式相比，開(kāi)放銀行模式存在特殊性，業(yè)務(wù)參與者增至三方，各自之間的法律關(guān)系存在多種情形。相應(yīng)地，開(kāi)放銀行數(shù)據(jù)共享中的信息披露與其他領(lǐng)域的信息披露相比，也存在披露對(duì)象與披露內(nèi)容上的特殊性。加之實(shí)踐中信息不對(duì)稱與信息過(guò)載現(xiàn)象的存在，基于保護(hù)個(gè)人客戶知情權(quán)與推動(dòng)開(kāi)放銀行可持續(xù)發(fā)展的雙重考量，對(duì)開(kāi)放銀行數(shù)據(jù)共享中銀行與第三方機(jī)構(gòu)的信息披露義務(wù)進(jìn)行體系化構(gòu)建具有重要意義。

　　（一）信息披露義務(wù)的特殊性

　　開(kāi)放銀行模式下的業(yè)務(wù)參與者有三方，即客戶、銀行和第三方機(jī)構(gòu)。三方之間的法律關(guān)系并不能用傳統(tǒng)的一對(duì)一合同關(guān)系來(lái)界定，而是大體上可分為兩類。一類為“三角模式”，即三方參與者之間各自形成合同關(guān)系，個(gè)人客戶與銀行之間簽訂客戶服務(wù)協(xié)議，銀行與第三方機(jī)構(gòu)之間簽訂開(kāi)發(fā)者協(xié)議，個(gè)人客戶在使用第三方機(jī)構(gòu)開(kāi)發(fā)的APP或網(wǎng)頁(yè)時(shí)與第三方機(jī)構(gòu)形成事實(shí)上的合同關(guān)系。另一類為“線性模式”，即個(gè)人客戶與銀行、銀行與第三方機(jī)構(gòu)之間形成合同關(guān)系，第三方機(jī)構(gòu)和銀行基于各類合作目的，由銀行獲得客戶授權(quán)并將數(shù)據(jù)共享至第三方機(jī)構(gòu)，個(gè)人客戶與第三方機(jī)構(gòu)之間不存在合同關(guān)系。

　　基于開(kāi)放銀行業(yè)務(wù)模式的特殊性，客戶的個(gè)人數(shù)據(jù)利用也與傳統(tǒng)個(gè)人數(shù)據(jù)利用有所區(qū)別。第三方機(jī)構(gòu)以數(shù)據(jù)共享的形式參與到個(gè)人數(shù)據(jù)利用過(guò)程中，因而從數(shù)據(jù)安全與個(gè)人隱私保護(hù)角度出發(fā)，客戶的個(gè)人數(shù)據(jù)需要進(jìn)行不同敏感程度的劃分并設(shè)置與之相應(yīng)的保護(hù)手段。開(kāi)放銀行模式下可被共享的個(gè)人數(shù)據(jù)是指?jìng)�(gè)人客戶在參與銀行業(yè)務(wù)過(guò)程中形成的各類數(shù)據(jù)，這些數(shù)據(jù)由銀行獲取、加工、保存，并且可以單獨(dú)或與其他數(shù)據(jù)結(jié)合識(shí)別出特定自然人的身份。2020年2月，由中國(guó)人民銀行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（以下簡(jiǎn)稱：《個(gè)人金融信息規(guī)范》）按照敏感程度將個(gè)人數(shù)據(jù)劃分為三個(gè)等級(jí)。參考該行業(yè)標(biāo)準(zhǔn)的分類方法，將開(kāi)放銀行中涉及的個(gè)人數(shù)據(jù)按敏感程度由高到低可分為三類，分別是個(gè)人身份數(shù)據(jù)、個(gè)人財(cái)務(wù)數(shù)據(jù)以及在前述數(shù)據(jù)基礎(chǔ)上通過(guò)分析產(chǎn)生的增值數(shù)據(jù)。之所以這樣分類，是因?yàn)椴煌�類型的個(gè)人數(shù)據(jù)承載著不同程度的法益重要性和數(shù)據(jù)開(kāi)發(fā)價(jià)值。其中由于個(gè)人身份數(shù)據(jù)與客戶本身密切相關(guān)，其可識(shí)別性高于個(gè)人財(cái)務(wù)數(shù)據(jù)。個(gè)人財(cái)務(wù)數(shù)據(jù)只有在與其他數(shù)據(jù)相結(jié)合時(shí)才能識(shí)別出個(gè)人客戶的身份，可以通過(guò)脫敏處理將數(shù)據(jù)敏感程度適當(dāng)降低。在構(gòu)建開(kāi)放銀行模式下的信息披露義務(wù)時(shí)，對(duì)不同敏感程度的個(gè)人數(shù)據(jù)進(jìn)行區(qū)分規(guī)制，才能更好地維持?jǐn)?shù)據(jù)保護(hù)與數(shù)據(jù)利用的價(jià)值平衡。

　　具體到信息披露義務(wù)，銀行與第三方機(jī)構(gòu)應(yīng)當(dāng)按照一定規(guī)則以一定方式向個(gè)人客戶（即數(shù)據(jù)主體）披露一系列與數(shù)據(jù)共享相關(guān)的信息，使得個(gè)人客戶對(duì)其數(shù)據(jù)從授權(quán)開(kāi)始到共享利用結(jié)束的全流程享有充分的知情權(quán)。由于數(shù)據(jù)共享行為具有特殊性，開(kāi)放銀行模式下的信息披露義務(wù)不同于其他領(lǐng)域的信息披露義務(wù)，至少表現(xiàn)出兩個(gè)方面的特殊性：其一，信息披露的對(duì)象特定，就同一信息的披露而言，銀行和第三方機(jī)構(gòu)的披露對(duì)象只有一位客戶；其二，信息披露的內(nèi)容特殊，在開(kāi)放銀行運(yùn)作過(guò)程中，沒(méi)有兩個(gè)一模一樣的數(shù)據(jù)共享行為。獲取數(shù)據(jù)的第三方機(jī)構(gòu)、做出同意共享授權(quán)的客戶及客戶的個(gè)人數(shù)據(jù)都各不相同，因而針對(duì)這些各種各樣的情形，銀行和第三方機(jī)構(gòu)的信息披露內(nèi)容也可謂是“千人千面”，信息披露義務(wù)主體履行義務(wù)的方式為點(diǎn)對(duì)點(diǎn)的“私人訂制”。不過(guò)銀行就特定第三方機(jī)構(gòu)向客戶作出的風(fēng)險(xiǎn)警示是例外，由于針對(duì)的并非是特定個(gè)人，而是使用該機(jī)構(gòu)提供的APP或服務(wù)的所有客戶，這類具有共通性的信息可以采取公告的方式進(jìn)行披露。正是基于對(duì)象和內(nèi)容的特殊性，開(kāi)放銀行數(shù)據(jù)共享中的信息披露義務(wù)需要在現(xiàn)有相關(guān)規(guī)定的基礎(chǔ)上進(jìn)行體系化調(diào)整規(guī)范，才能與開(kāi)放銀行的可持續(xù)發(fā)展相適應(yīng)。

　�。ǘ�）信息披露義務(wù)的重要性

　　在開(kāi)放銀行模式下，個(gè)人數(shù)據(jù)傳遞的鏈條被拉長(zhǎng)，不再是點(diǎn)對(duì)點(diǎn)的“個(gè)人-銀行”方式，而是以不同的形式延伸至第三方機(jī)構(gòu)，持有數(shù)據(jù)的主體相對(duì)于傳統(tǒng)業(yè)務(wù)而言有所增加，更多的存儲(chǔ)點(diǎn)也使得數(shù)據(jù)被泄露的潛在階段增多。由于數(shù)據(jù)交互更為頻繁，數(shù)據(jù)的接觸面拓寬，個(gè)人數(shù)據(jù)安全風(fēng)險(xiǎn)也隨之增加�！霸陂_(kāi)放銀行的條件下，由于傳統(tǒng)金融的功能及機(jī)構(gòu)被顛覆，所以傳統(tǒng)的功能監(jiān)管、機(jī)構(gòu)監(jiān)管以及主動(dòng)監(jiān)管、被動(dòng)監(jiān)管等基本上也就不存在了�！痹谶@種情況下，個(gè)人數(shù)據(jù)的保護(hù)力度亟待加強(qiáng)。在個(gè)人數(shù)據(jù)的全方位保護(hù)閉環(huán)中，客戶的知情權(quán)保障是核心內(nèi)容，銀行與第三方機(jī)構(gòu)履行信息披露義務(wù)則是保障客戶知情權(quán)的關(guān)鍵手段。

　　實(shí)踐中，個(gè)人客戶知情權(quán)實(shí)現(xiàn)的障礙主要表現(xiàn)為兩種形式，一是信息不對(duì)稱，二是信息過(guò)載。

　　就信息不對(duì)稱而言，銀行與第三方機(jī)構(gòu)作為開(kāi)放銀行模式中的數(shù)據(jù)控制者與數(shù)據(jù)接收者，憑借著地位優(yōu)勢(shì)與較高的專業(yè)技術(shù)水平，對(duì)數(shù)據(jù)共享的過(guò)程了如指掌。當(dāng)個(gè)人數(shù)據(jù)被共享至第三方機(jī)構(gòu)，以后數(shù)據(jù)一定程度上脫離了個(gè)人客戶的控制，個(gè)人客戶對(duì)數(shù)據(jù)流向何處以及數(shù)據(jù)被如何利用并不知情，全部有賴于銀行和第三方機(jī)構(gòu)的披露。根據(jù)中國(guó)人民銀行于2020年2月13日發(fā)布的《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（以下簡(jiǎn)稱：《接口規(guī)范》）, API接口分享數(shù)據(jù)的同時(shí)能留存?zhèn)鬏斢涗洝�從技術(shù)的角度來(lái)看，數(shù)據(jù)如何被傳輸共享并加以二次利用的全過(guò)程都有跡可循，銀行和第三方機(jī)構(gòu)向個(gè)人進(jìn)行披露并不存在技術(shù)障礙。并且，傳輸記錄的存在使得披露成本不會(huì)很高，提取記錄并提供給客戶查驗(yàn)具備可行性，客戶能否知情取決于銀行和第三方機(jī)構(gòu)的意愿。然而，基于資本的逐利性，銀行和第三方機(jī)構(gòu)存在僥幸心理，很難有足夠的驅(qū)動(dòng)力向個(gè)人客戶進(jìn)行信息披露。擁有專業(yè)技術(shù)、追求商業(yè)利益的銀行及第三方機(jī)構(gòu)不可避免地與專業(yè)認(rèn)知水平存在局限、追求個(gè)人數(shù)據(jù)安全的數(shù)據(jù)主體產(chǎn)生沖突，在這場(chǎng)數(shù)據(jù)角力中，個(gè)人客戶幾乎必然處于弱勢(shì)地位。

　　就信息過(guò)載而言，信息量超過(guò)個(gè)人客戶理解范圍，導(dǎo)致個(gè)人客戶無(wú)法篩選出有效信息以作出理性判斷。一般情況下，銀行和第三方機(jī)構(gòu)通常以用戶協(xié)議、隱私政策等作為獲取客戶授權(quán)時(shí)的信息披露方式。面對(duì)冗長(zhǎng)復(fù)雜的條款，存在固有認(rèn)知局限的個(gè)人客戶需要付出高昂的信息提煉成本，故往往選擇粗略瀏覽，忽略潛在風(fēng)險(xiǎn)，“在未能充分了解數(shù)據(jù)收集所帶來(lái)的不利益的情況下，輕率地作出流于形式的同意”。

　　在信息不對(duì)稱與信息過(guò)載的雙重困境下，信息披露義務(wù)的重要性不言而喻。信息披露義務(wù)的設(shè)置旨在消弭信息不對(duì)稱現(xiàn)象下客戶的信息弱勢(shì)地位。針對(duì)銀行和第三方機(jī)構(gòu)信息披露義務(wù)的系統(tǒng)規(guī)定，能夠敦促兩者采取正確的安全保障措施，避免開(kāi)放銀行的發(fā)展以犧牲個(gè)人客戶數(shù)據(jù)的保密性為代價(jià)。相應(yīng)的法律責(zé)任條款則能倒逼銀行和第三方機(jī)構(gòu)積極作為，使得處于信息弱勢(shì)地位的個(gè)人客戶能夠掌握充足的有效信息，在信息對(duì)稱的基礎(chǔ)上作出符合內(nèi)心真意的理性決策。與此同時(shí)，信息披露能夠提高信息過(guò)載現(xiàn)象中個(gè)人客戶獲取信息的有效性。通過(guò)對(duì)銀行和第三方機(jī)構(gòu)履行信息披露義務(wù)的形式作出規(guī)定，披露的信息能以簡(jiǎn)潔和易理解的方式呈現(xiàn)給客戶。概言之，完善的信息披露義務(wù)規(guī)則通過(guò)矯正信息不對(duì)稱和信息過(guò)載帶來(lái)的弊端，以保障客戶知情權(quán)的方式應(yīng)對(duì)開(kāi)放銀行模式對(duì)個(gè)人數(shù)據(jù)安全帶來(lái)的風(fēng)險(xiǎn)，進(jìn)而能夠提高客戶對(duì)數(shù)據(jù)共享行為的信心，增強(qiáng)客戶授權(quán)數(shù)據(jù)共享的意愿，夯實(shí)數(shù)據(jù)充分流通的合法性基礎(chǔ)。

　　二、開(kāi)放銀行數(shù)據(jù)共享中信息披露義務(wù)的主體范圍

　　傳統(tǒng)銀行業(yè)務(wù)模式中，銀行向個(gè)人客戶披露其數(shù)據(jù)使用情況基本以客戶服務(wù)協(xié)議為載體，而開(kāi)放銀行模式下，銀行與第三方機(jī)構(gòu)都可以接觸到客戶的個(gè)人數(shù)據(jù)，因而只有對(duì)銀行和第三方機(jī)構(gòu)都課以相應(yīng)的信息披露義務(wù)，才能對(duì)個(gè)人客戶的知情權(quán)形成全方位的保護(hù)。在我國(guó)，目前第三方機(jī)構(gòu)由于未被納入信息披露義務(wù)主體范圍而免于承擔(dān)信息披露義務(wù)，致使個(gè)人客戶的知情權(quán)保障漸入困境。

　�。ㄒ唬┈F(xiàn)狀檢視：信息披露義務(wù)的主體不完整

　　在我國(guó)就信息披露義務(wù)的主體而言，金融領(lǐng)域的各類法律規(guī)范和政策文件的規(guī)定都側(cè)重于規(guī)制銀行的行為�！躲y保監(jiān)會(huì)關(guān)于銀行保險(xiǎn)機(jī)構(gòu)加強(qiáng)消費(fèi)者權(quán)益保護(hù)工作體制機(jī)制建設(shè)的指導(dǎo)意見(jiàn)》（銀保監(jiān)發(fā)[2019]38號(hào)，以下簡(jiǎn)稱：38號(hào)文）第二部分將“協(xié)助規(guī)范營(yíng)銷宣傳和信息披露內(nèi)容”作為銀行履行消費(fèi)者權(quán)益保護(hù)的職責(zé)之一�！吨袊�(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（中國(guó)人民銀行令[2020]第5號(hào)，以下簡(jiǎn)稱：《金融消費(fèi)者保護(hù)辦法》）第8條規(guī)定了銀行、支付機(jī)構(gòu)應(yīng)當(dāng)建立健全金融消費(fèi)者權(quán)益保護(hù)的各項(xiàng)內(nèi)控制度，其中包括金融產(chǎn)品和服務(wù)信息披露機(jī)制和查詢機(jī)制。

　　個(gè)人客戶向銀行做出授權(quán)后，銀行將數(shù)據(jù)共享至第三方機(jī)構(gòu)，屬于銀行的服務(wù)之一，銀行理應(yīng)承擔(dān)相應(yīng)的信息披露義務(wù)。就第三方機(jī)構(gòu)而言，其類型多樣，不少第三方機(jī)構(gòu)并不屬于金融監(jiān)管機(jī)構(gòu)的管理對(duì)象。除了金融科技公司外，許多大型科技公司亦會(huì)以第三方機(jī)構(gòu)的身份參與開(kāi)放銀行業(yè)務(wù)，依托自身?yè)碛械凝嫶罂蛻羧号c先進(jìn)的科技水平，接入銀行系統(tǒng)，以達(dá)到收集數(shù)據(jù)、完善服務(wù)、提高營(yíng)收的目標(biāo)。事實(shí)上，在數(shù)據(jù)被共享至第三方后，只有第三方機(jī)構(gòu)對(duì)數(shù)據(jù)利用過(guò)程能有全面的了解，披露信息的準(zhǔn)確性最高，披露成本也最低。第三方機(jī)構(gòu)作為共享數(shù)據(jù)的使用方與收益方，也應(yīng)當(dāng)履行相應(yīng)的信息披露義務(wù)。倘若缺少了第三方機(jī)構(gòu)的信息披露，個(gè)人客戶的知情權(quán)保障力度將被削弱。

　　如前所述，在開(kāi)放銀行數(shù)據(jù)共享的全流程中，涉及信息披露的并非只有事前授權(quán)階段。并且，在數(shù)據(jù)共享的不同階段，銀行和第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的控制力度也有所不同。在數(shù)據(jù)授權(quán)階段，銀行對(duì)數(shù)據(jù)的掌控強(qiáng)于第三方機(jī)構(gòu)，因而應(yīng)當(dāng)對(duì)個(gè)人客戶承擔(dān)更多的信息披露義務(wù)。當(dāng)銀行獲得客戶授權(quán)，將數(shù)據(jù)共享至第三方機(jī)構(gòu)后，數(shù)據(jù)在一定程度上脫離了銀行的控制，轉(zhuǎn)而由第三方機(jī)構(gòu)加以利用。因此，這個(gè)階段中第三方機(jī)構(gòu)需要履行的信息披露義務(wù)應(yīng)當(dāng)比銀行更多。然而我國(guó)的現(xiàn)有法律規(guī)范和政策文件的相關(guān)規(guī)定均將視線聚焦于事前授權(quán)階段，對(duì)授權(quán)后數(shù)據(jù)共享階段的信息披露義務(wù)并未作出安排，這顯然滯后于開(kāi)放銀行的實(shí)踐需求。

　�。ǘ�）信息披露義務(wù)主體規(guī)則的完善建議

　　若干國(guó)家和地區(qū)的相關(guān)文件對(duì)銀行和第三方機(jī)構(gòu)的信息披露義務(wù)有明確規(guī)定。歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation, GDPR）第30條對(duì)數(shù)據(jù)控制者（Controller）及數(shù)據(jù)處理者（Processor）規(guī)定同等的記錄要求。英國(guó)《開(kāi)放銀行標(biāo)準(zhǔn)框架》要求第三方提供商（Third Party Provider）在向個(gè)人客戶申請(qǐng)共享數(shù)據(jù)時(shí)，應(yīng)當(dāng)提供隱私聲明，該聲明必須披露任何后續(xù)共享數(shù)據(jù)的細(xì)節(jié)。澳大利亞《開(kāi)放銀行調(diào)查建議》則建議數(shù)據(jù)接收方（Data Recipient）應(yīng)為個(gè)人客戶提供一個(gè)頁(yè)面，在該頁(yè)面上顯示數(shù)據(jù)的用途、存放位置等。英國(guó)和澳大利亞有關(guān)開(kāi)放銀行的法律文件雖然對(duì)銀行和第三方機(jī)構(gòu)的披露義務(wù)都做了規(guī)定，但并未明確區(qū)分階段。

　　借鑒率先開(kāi)展開(kāi)放銀行業(yè)務(wù)的國(guó)家與地區(qū)之經(jīng)驗(yàn)，我國(guó)也應(yīng)有針對(duì)性地完善開(kāi)放銀行數(shù)據(jù)共享中的信息披露義務(wù)主體規(guī)則。我國(guó)《商業(yè)銀行法》作為銀行業(yè)的基礎(chǔ)性法律，在新一輪修訂中可以考慮納入有關(guān)開(kāi)放銀行及客戶權(quán)益保護(hù)的原則性規(guī)定。目前，銀行的信息披露義務(wù)主體身份已被作出較為細(xì)致的規(guī)定，在此基礎(chǔ)上，第三方機(jī)構(gòu)的義務(wù)主體身份也應(yīng)當(dāng)通過(guò)立法予以明確。另外，在數(shù)據(jù)共享的不同階段，銀行和第三方機(jī)構(gòu)充當(dāng)了不同的角色，承擔(dān)不同程度、不同內(nèi)容的披露義務(wù)。對(duì)此，銀行和第三方機(jī)構(gòu)在信息披露義務(wù)承擔(dān)中的主次地位需要根據(jù)不同階段予以區(qū)分。

　　1.授權(quán)階段的義務(wù)主體：銀行為主，第三方機(jī)構(gòu)為輔

　　在開(kāi)放銀行模式下，客戶經(jīng)由第三方機(jī)構(gòu)提供的網(wǎng)頁(yè)、APP向銀行作出授權(quán)，儲(chǔ)存在銀行的個(gè)人數(shù)據(jù)通過(guò)API接口流向第三方機(jī)構(gòu)。在授權(quán)階段，基于個(gè)人客戶和銀行之間的服務(wù)協(xié)議，銀行作出獲取客戶授權(quán)時(shí)應(yīng)當(dāng)披露相關(guān)信息的承諾。在這個(gè)階段中，銀行充當(dāng)“貓眼”角色，門外按響請(qǐng)求數(shù)據(jù)共享門鈴的陌生人究竟是什么身份，可靠與否都有賴于銀行的披露，銀行披露的信息直接影響到個(gè)人客戶對(duì)數(shù)據(jù)共享行為的風(fēng)險(xiǎn)評(píng)估（三角模式下的個(gè)人客戶雖然對(duì)第三方機(jī)構(gòu)的身份有初步了解，但更詳細(xì)的信息仍需由銀行披露）。與此同時(shí)，在這個(gè)階段，第三方機(jī)構(gòu)也承擔(dān)了一定的信息披露義務(wù)，如數(shù)據(jù)共享的目的等。此外，第三方機(jī)構(gòu)還應(yīng)當(dāng)輔助銀行履行信息披露義務(wù)。因?yàn)榈谌�方機(jī)構(gòu)在接入銀行的開(kāi)放平臺(tái)時(shí)需要與銀行簽訂開(kāi)發(fā)者協(xié)議等，銀行對(duì)第三方機(jī)構(gòu)的資質(zhì)已經(jīng)進(jìn)行過(guò)全面審查，所以第三方機(jī)構(gòu)也應(yīng)將相關(guān)信息的變更及時(shí)通知銀行。

　　2.授權(quán)后數(shù)據(jù)共享階段的義務(wù)主體：第三方機(jī)構(gòu)為主，銀行為輔

　　在授權(quán)后的數(shù)據(jù)共享階段，數(shù)據(jù)被共享至第三方機(jī)構(gòu)，一定程度上已脫離銀行的控制，只有第三方機(jī)構(gòu)掌握數(shù)據(jù)的具體利用情況。基于節(jié)約信息披露成本的考量，由披露成本較低的一方履行信息披露義務(wù)更符合情理，顯然在這個(gè)階段第三方機(jī)構(gòu)應(yīng)當(dāng)是主要的信息披露義務(wù)人，銀行則充當(dāng)輔助傳遞與審核角色。當(dāng)?shù)谌�方機(jī)構(gòu)披露數(shù)據(jù)后續(xù)使用情況時(shí)，銀行應(yīng)當(dāng)承擔(dān)該披露信息的“再傳遞義務(wù)”。也就是說(shuō)，銀行應(yīng)當(dāng)向第三方機(jī)構(gòu)提供一個(gè)可供其進(jìn)行信息披露并可供個(gè)人客戶查看的渠道，同時(shí)銀行也肩負(fù)監(jiān)督、督促第三方機(jī)構(gòu)積極履行信息披露義務(wù)的職責(zé)。

　　三、開(kāi)放銀行數(shù)據(jù)共享中信息披露義務(wù)的具體內(nèi)容

　　對(duì)信息披露義務(wù)具體內(nèi)容的規(guī)定關(guān)涉銀行和第三方機(jī)構(gòu)將以何種程度來(lái)平衡數(shù)據(jù)流動(dòng)與權(quán)益保障。由于目前我國(guó)的相關(guān)各層級(jí)規(guī)范內(nèi)容上的差異性和分層次規(guī)制的缺乏，實(shí)踐中各家銀行并未有效履行其信息披露義務(wù)，因此個(gè)人客戶的知情權(quán)并未得到充分的保障。

　　（一）現(xiàn)狀檢視：信息披露義務(wù)的內(nèi)容設(shè)置不合理

　　在信息披露義務(wù)的具體內(nèi)容方面，各層級(jí)的規(guī)范所規(guī)定的內(nèi)容并不一致。我國(guó)《民法典》第1035條第1款第3項(xiàng)、我國(guó)《消費(fèi)者權(quán)益保護(hù)法》第29條、我國(guó)《網(wǎng)絡(luò)安全法》第41條都將處理信息的目的、方式和范圍作為處理個(gè)人數(shù)據(jù)時(shí)應(yīng)當(dāng)披露的內(nèi)容。并且，我國(guó)《民法典》1038條第2款規(guī)定，信息處理者在發(fā)生或有可能發(fā)生個(gè)人數(shù)據(jù)泄露、丟失等侵害個(gè)人數(shù)據(jù)安全事件后，應(yīng)當(dāng)及時(shí)將該信息告知被收集者。針對(duì)安全事件的披露，尚在征求意見(jiàn)階段的《數(shù)據(jù)安全法（草案）》也有類似規(guī)定，即《數(shù)據(jù)安全法（草案）》第27條規(guī)定的“開(kāi)展數(shù)據(jù)活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”�！度嗣胥y行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)[2011]17號(hào)，以下簡(jiǎn)稱：17號(hào)文）第4條第2款要求銀行在取得客戶書(shū)面授權(quán)或同意時(shí)，應(yīng)當(dāng)向客戶披露向他人提供個(gè)人數(shù)據(jù)的范圍和具體情形，并以醒目和通俗易懂的方式提示該授權(quán)或同意的可能后果。《金融消費(fèi)者保護(hù)辦法》第31條則將銀行應(yīng)當(dāng)披露的信息細(xì)化為征集的目的、方式、內(nèi)容、使用范圍及可能的后果。《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱：《信息安全規(guī)范》）和《個(gè)人金融信息規(guī)范》要求披露共享數(shù)據(jù)的目的、涉及的數(shù)據(jù)類型、數(shù)據(jù)接收方類型及可能產(chǎn)生的后果。

　　通過(guò)對(duì)中國(guó)銀行、浦發(fā)銀行、中信銀行、招商銀行、平安銀行等五家已經(jīng)開(kāi)展開(kāi)放銀行業(yè)務(wù)的銀行的調(diào)查可以發(fā)現(xiàn)，銀行的開(kāi)放平臺(tái)官網(wǎng)仍只是專門針對(duì)第三方機(jī)構(gòu)設(shè)計(jì)，個(gè)人客戶暫時(shí)無(wú)法找到與開(kāi)放銀行業(yè)務(wù)相關(guān)的服務(wù)協(xié)議與隱私保護(hù)政策條款�，F(xiàn)有的電子銀行（或手機(jī)銀行）個(gè)人客戶服務(wù)協(xié)議及隱私政策成了僅有的開(kāi)放銀行模式下銀行信息披露義務(wù)履行情況的研究范本。在信息披露內(nèi)容及詳實(shí)程度上，這五家銀行并不統(tǒng)一。平安銀行在其隱私政策中并未承諾獲取共享授權(quán)時(shí)披露的信息，僅簡(jiǎn)單告知了三類可能共享數(shù)據(jù)的情形及將向第三方提供何種數(shù)據(jù)。除了平安銀行之外，其他四家銀行在隱私政策中向客戶承諾共享數(shù)據(jù)前將先獲取客戶的授權(quán)或同意，并告知共享數(shù)據(jù)的目的與接收方類型。其中，浦發(fā)銀行承諾告知共享范圍，另外三家銀行則對(duì)敏感數(shù)據(jù)作出區(qū)分，中國(guó)銀行與中信銀行將數(shù)據(jù)接收方的數(shù)據(jù)安全能力也納入信息披露范圍。值得注意的是，這五家銀行均未按照《金融消費(fèi)者保護(hù)辦法》、17號(hào)文及《信息安全規(guī)范》的要求向客戶披露數(shù)據(jù)共享的潛在后果。

　　可見(jiàn)，雖然這些不同層級(jí)的規(guī)范對(duì)相關(guān)應(yīng)當(dāng)披露的信息進(jìn)行了列舉，對(duì)信息披露義務(wù)的內(nèi)容構(gòu)建提供了指引，但實(shí)際效果并不理想，其原因仍在這些規(guī)范的有效性方面。首先，這些不同層級(jí)規(guī)范之間尚未對(duì)信息披露義務(wù)的具體內(nèi)容達(dá)成共識(shí)，銀行和第三方機(jī)構(gòu)應(yīng)當(dāng)依照哪些規(guī)則來(lái)履行信息披露義務(wù)尚無(wú)定論。其中效力層級(jí)較高的規(guī)范聚焦于數(shù)據(jù)處理目的、方式、范圍，這樣的規(guī)定雖普遍適用于各類數(shù)據(jù)共享情形但仍稍顯寬泛，效力層級(jí)較低的規(guī)范還將數(shù)據(jù)使用的后果納入披露范圍。《信息安全規(guī)范》和《個(gè)人金融信息規(guī)范》的規(guī)定雖更為細(xì)致全面，對(duì)數(shù)據(jù)共享行為來(lái)說(shuō)也更有針對(duì)性，將披露內(nèi)容擴(kuò)充至數(shù)據(jù)接收方的相關(guān)信息，但因其強(qiáng)制力的缺乏難以得到有效落實(shí)，各家銀行并未按照這類規(guī)定進(jìn)行披露。其次，現(xiàn)有規(guī)范沒(méi)能體現(xiàn)分層分類規(guī)制的思路，并未針對(duì)不同階段規(guī)定不同的信息披露內(nèi)容。從我國(guó)《民法典》到各類技術(shù)標(biāo)準(zhǔn)都側(cè)重于客戶授權(quán)共享其數(shù)據(jù)時(shí)銀行應(yīng)當(dāng)披露的信息，對(duì)數(shù)據(jù)后續(xù)利用情況的信息披露規(guī)定不足，缺乏對(duì)數(shù)據(jù)共享過(guò)程之后續(xù)階段的監(jiān)督。在三角模式中，個(gè)人客戶通過(guò)第三方機(jī)構(gòu)開(kāi)發(fā)的網(wǎng)頁(yè)或APP向銀行作出數(shù)據(jù)共享的授權(quán)，此過(guò)程中已經(jīng)對(duì)第三方機(jī)構(gòu)的身份有大致了解，即已經(jīng)得知數(shù)據(jù)分享對(duì)象，銀行披露與否對(duì)個(gè)人客戶的授權(quán)并無(wú)太大影響；個(gè)人客戶更關(guān)注的是數(shù)據(jù)的后續(xù)使用情況，如數(shù)據(jù)使用頻次、數(shù)據(jù)使用范圍是否符合授權(quán)時(shí)的約定等。對(duì)于線性模式下第三方機(jī)構(gòu)直接向銀行請(qǐng)求批量共享數(shù)據(jù)所涉及的客戶來(lái)說(shuō)，授權(quán)階段與后續(xù)使用階段的持續(xù)信息披露都至關(guān)重要。信息披露內(nèi)容設(shè)置方面的不足，使信息不對(duì)稱現(xiàn)象得不到妥善解決，個(gè)人客戶獲知的信息不夠完整，難以充分評(píng)估數(shù)據(jù)共享的風(fēng)險(xiǎn)并作出理性的授權(quán)決定。

　�。ǘ�）信息披露義務(wù)內(nèi)容的完善

　　針對(duì)銀行和第三方機(jī)構(gòu)應(yīng)當(dāng)披露哪些信息，域外各類開(kāi)放銀行相關(guān)規(guī)范一般有詳細(xì)列舉。就授權(quán)階段而言，歐盟《一般數(shù)據(jù)保護(hù)條例》第13條規(guī)定了處理數(shù)據(jù)的目的及法律基礎(chǔ)、數(shù)據(jù)接收方信息等。英國(guó)《開(kāi)放銀行標(biāo)準(zhǔn)框架》要求第三方機(jī)構(gòu)提供的隱私聲明必須披露任何后續(xù)共享數(shù)據(jù)的細(xì)節(jié)，包括數(shù)據(jù)接收方身份或類型、數(shù)據(jù)共享的用途、客戶撤回授權(quán)的方式及撤回后果等。澳大利亞《開(kāi)放銀行調(diào)查建議》明確提出了個(gè)人客戶對(duì)其個(gè)人數(shù)據(jù)的控制權(quán)，要求客戶授權(quán)同意機(jī)制在設(shè)計(jì)時(shí)就留有客戶自行選擇的權(quán)利，具體可選擇的內(nèi)容包括用于共享數(shù)據(jù)的賬戶、數(shù)據(jù)共享時(shí)長(zhǎng)、數(shù)據(jù)共享目的等。此外，該建議還需求在個(gè)人客戶收到共享其個(gè)人數(shù)據(jù)的申請(qǐng)時(shí)，銀行應(yīng)當(dāng)明確說(shuō)明共享數(shù)據(jù)的含義，并提示個(gè)人客戶數(shù)據(jù)共享行為帶來(lái)的風(fēng)險(xiǎn)由客戶自行承擔(dān)。美國(guó)消費(fèi)者金融保護(hù)局推出的九項(xiàng)原則中規(guī)定，在獲取個(gè)人客戶授權(quán)時(shí)的信息披露應(yīng)當(dāng)具體且易于理解，披露的信息包括用于共享的數(shù)據(jù)范圍、共享時(shí)長(zhǎng)。就授權(quán)后的數(shù)據(jù)共享階段而言，歐盟《一般數(shù)據(jù)保護(hù)條例》第33條和第34條分別規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者在數(shù)據(jù)泄漏后的及時(shí)告知義務(wù)。英國(guó)《開(kāi)放銀行標(biāo)準(zhǔn)框架》也要求銀行API接口應(yīng)當(dāng)支持“帶外管理”（out-of-band）認(rèn)證，確保發(fā)生變更情況時(shí)客戶可以及時(shí)收到提醒，也就是將披露信息變更情況納入了信息披露的范圍。

　　此類規(guī)定雖然在內(nèi)容細(xì)致程度上有差別，但都將數(shù)據(jù)共享目的、數(shù)據(jù)接收方信息、數(shù)據(jù)共享時(shí)長(zhǎng)納入了授權(quán)階段的信息披露范圍，這與我國(guó)現(xiàn)有的規(guī)則相類似。這些信息之所以被共同認(rèn)可，是因?yàn)槠渥钅苤庇^展示個(gè)人數(shù)據(jù)被共享利用全過(guò)程的基礎(chǔ)信息，但要充分保障個(gè)人客戶的知情權(quán)，還需要其他信息予以輔助。

　　1.信息披露內(nèi)容的范圍

　　綜合我國(guó)相關(guān)各層級(jí)規(guī)范對(duì)應(yīng)當(dāng)披露的信息之規(guī)定，可以考慮將銀行與第三方機(jī)構(gòu)應(yīng)當(dāng)披露的信息范圍整合如下。其一，數(shù)據(jù)共享目的無(wú)疑屬于信息披露的內(nèi)容，這是使個(gè)人客戶了解其個(gè)人數(shù)據(jù)為何被共享最為直觀的內(nèi)容。共享目的是個(gè)人客戶進(jìn)行價(jià)值判斷并作出決策的最主要依據(jù)，因而是客戶最為關(guān)注的焦點(diǎn)，位居信息披露內(nèi)容的核心。其二，共享的數(shù)據(jù)類型、共享方式、使用范圍及共享時(shí)長(zhǎng)是客戶知曉其數(shù)據(jù)共享后如何被加以利用的關(guān)鍵信息，同時(shí)，基于17號(hào)文和《金融消費(fèi)者保護(hù)辦法》的規(guī)定，共享數(shù)據(jù)可能產(chǎn)生的后果也宜納入披露范圍。其三，數(shù)據(jù)接收方（即第三方機(jī)構(gòu)）信息。該信息主要包括數(shù)據(jù)接收方的類型、身份及數(shù)據(jù)安全保障能力等，是保障個(gè)人客戶了解其數(shù)據(jù)被共享至何處的關(guān)鍵信息，影響到客戶對(duì)數(shù)據(jù)共享行為安全與否的評(píng)估，也為后續(xù)一旦發(fā)生數(shù)據(jù)安全糾紛，客戶能夠及時(shí)找到責(zé)任人并獲得救濟(jì)提供了可能性。對(duì)第三方機(jī)構(gòu)自身信息的披露作出嚴(yán)格要求，是因?yàn)榭蛻敉�意授�?quán)一定程度上也是基于對(duì)第三方機(jī)構(gòu)商譽(yù)及數(shù)據(jù)安全保障能力的信賴。其四，安全事件通知。這是銀行與第三方機(jī)構(gòu)應(yīng)當(dāng)快速及時(shí)向個(gè)人客戶披露的信息之一。這類信息與其他披露信息相比增加了時(shí)效性要求。我國(guó)《民法典》和我國(guó)《網(wǎng)絡(luò)安全法》均對(duì)數(shù)據(jù)處理者在發(fā)生或可能發(fā)生危及信息安全情況時(shí)的及時(shí)通知義務(wù)作了要求。由數(shù)據(jù)共享導(dǎo)致的個(gè)人數(shù)據(jù)泄漏等事件發(fā)生后，銀行及第三方機(jī)構(gòu)應(yīng)在合理期間內(nèi)及時(shí)通知數(shù)據(jù)主體。安全事件通知的具體內(nèi)容除了告知個(gè)人客戶事件的發(fā)生外，還應(yīng)當(dāng)告知可以采取的救濟(jì)措施。

　　對(duì)個(gè)人客戶獲知數(shù)據(jù)共享行為全貌而言，以上信息缺一不可。因此，《個(gè)人信息保護(hù)法（草案）》在第18條與第24條作出類似規(guī)定，要求各類數(shù)據(jù)共享行為參與者必須向個(gè)人客戶披露以上信息。對(duì)此，監(jiān)管機(jī)構(gòu)可以通過(guò)出臺(tái)相關(guān)細(xì)則，結(jié)合開(kāi)放銀行模式的特殊性對(duì)信息披露內(nèi)容的范圍進(jìn)行細(xì)化。

　　值得注意的是，這些信息并不需要在每次都全部披露。各類披露信息需要根據(jù)共享數(shù)據(jù)的敏感性程度進(jìn)行適度微調(diào)。如果對(duì)個(gè)人數(shù)據(jù)不加以區(qū)分而給予同等程度的保護(hù)，雖然在理論上保障了個(gè)人客戶對(duì)自己數(shù)據(jù)的決定權(quán)，但無(wú)法滿足法律適用的現(xiàn)實(shí)需求�！爸挥袑�(duì)受保護(hù)個(gè)人信息進(jìn)行類型化處理，才能避免個(gè)人信息概念的模糊性缺陷，防止規(guī)范適用的空洞化”，因此有必要設(shè)置寬嚴(yán)有別的梯度式披露規(guī)則。就個(gè)人財(cái)務(wù)數(shù)據(jù)而言，由于其敏感程度不如個(gè)人身份數(shù)據(jù)，若銀行對(duì)個(gè)人財(cái)務(wù)數(shù)據(jù)進(jìn)行了脫敏處理，那么授權(quán)階段銀行僅需告知客戶數(shù)據(jù)共享目的及數(shù)據(jù)接收方類型即可。就個(gè)人身份數(shù)據(jù)而言，銀行在披露共享目的、數(shù)據(jù)接收方類型外，還應(yīng)當(dāng)告知即將分享的敏感數(shù)據(jù)類型、數(shù)據(jù)接收方身份及安全保障能力、共享可能產(chǎn)生的結(jié)果，使得個(gè)人客戶能夠準(zhǔn)確評(píng)估風(fēng)險(xiǎn)。

　　2.信息披露內(nèi)容的層次

　　由于授權(quán)階段和授權(quán)后數(shù)據(jù)共享階段中銀行和第三方機(jī)構(gòu)充當(dāng)了不同的角色，相應(yīng)地兩者在不同階段披露的信息類型也應(yīng)有所區(qū)別。

　　在授權(quán)階段，第三方機(jī)構(gòu)向個(gè)人客戶請(qǐng)求獲得數(shù)據(jù)共享授權(quán)時(shí)，應(yīng)當(dāng)主動(dòng)告知其數(shù)據(jù)共享的目的、共享的數(shù)據(jù)類型、共享方式、使用范圍及共享時(shí)長(zhǎng)，同時(shí)還應(yīng)主動(dòng)向銀行提供有關(guān)該機(jī)構(gòu)自身的各類信息如數(shù)據(jù)安全保障能力等。銀行應(yīng)當(dāng)對(duì)第三方機(jī)構(gòu)提供的信息進(jìn)行審核，向個(gè)人客戶披露該第三方機(jī)構(gòu)的具體信息并告知該數(shù)據(jù)共享行為可能導(dǎo)致的后果。其中針對(duì)第三方機(jī)構(gòu)的數(shù)據(jù)安全保障能力，監(jiān)管機(jī)構(gòu)可以考慮以規(guī)范性文件或技術(shù)標(biāo)準(zhǔn)的形式進(jìn)行一定程度的量化規(guī)定。若第三方機(jī)構(gòu)是脫胎于銀行的金融科技子公司，由于有銀行為其數(shù)據(jù)安全保障能力及可信賴程度作為依靠，銀行對(duì)其的監(jiān)督措施也更為多樣且有效，信息披露義務(wù)的履行程度或可稍低于其他第三方機(jī)構(gòu)，如略微降低數(shù)據(jù)安全保障能力的考核要求。

　　在授權(quán)后的數(shù)據(jù)共享階段，第三方作為主要的信息披露義務(wù)人應(yīng)當(dāng)實(shí)時(shí)更新其數(shù)據(jù)利用情況，根據(jù)《信息安全規(guī)范》“9.2個(gè)人信息共享、轉(zhuǎn)讓”部分之規(guī)定，數(shù)據(jù)利用情況包括共享的日期、共享規(guī)模、共享目的、對(duì)數(shù)據(jù)采取了哪些保護(hù)措施等，力求將從數(shù)據(jù)被共享至本機(jī)構(gòu)開(kāi)始的每個(gè)流程都記錄下來(lái)，確保信息披露的真實(shí)性、準(zhǔn)確性與完整性。當(dāng)發(fā)生個(gè)人數(shù)據(jù)泄漏等安全事件時(shí)，銀行和第三方機(jī)構(gòu)都有義務(wù)將事件及時(shí)披露給個(gè)人客戶，在采取補(bǔ)救措施的同時(shí)一并告知客戶可以采取的救濟(jì)措施。除此以外，銀行還應(yīng)對(duì)第三方機(jī)構(gòu)披露的信息進(jìn)行審核，對(duì)遺漏的應(yīng)披露信息進(jìn)行補(bǔ)充，對(duì)第三方機(jī)構(gòu)本身的信息進(jìn)行更新。

　　隨著區(qū)塊鏈技術(shù)逐步應(yīng)用于開(kāi)放銀行模式中，關(guān)于信息披露的真實(shí)性驗(yàn)證問(wèn)題也將迎刃而解。區(qū)塊鏈技術(shù)中的時(shí)間戳證明、共識(shí)機(jī)制等能夠?qū)��?shù)據(jù)的傳輸、使用進(jìn)行全流程的監(jiān)控，實(shí)現(xiàn)數(shù)據(jù)追蹤，操作歷史由全節(jié)點(diǎn)共同見(jiàn)證，無(wú)論是銀行還是第三方機(jī)構(gòu)都無(wú)法對(duì)應(yīng)當(dāng)披露的信息進(jìn)行造假。

　　四、開(kāi)放銀行數(shù)據(jù)共享中信息披露義務(wù)的履行方式

　　信息披露義務(wù)的履行方式關(guān)系到個(gè)人客戶能否從海量信息中提煉出與自身數(shù)據(jù)安全切實(shí)相關(guān)的有效信息，也關(guān)系到個(gè)人客戶能否以高效簡(jiǎn)便的方式對(duì)數(shù)據(jù)共享行為的全過(guò)程進(jìn)行監(jiān)督。換言之，個(gè)人客戶知情權(quán)能否得以保障，取決于法律能否通過(guò)提升信息披露義務(wù)履行方式可操作性的路徑來(lái)妥善應(yīng)對(duì)信息過(guò)載帶來(lái)的挑戰(zhàn)。

　�。ㄒ唬┈F(xiàn)狀檢視：信息披露義務(wù)的履行方式不科學(xué)

　　《金融消費(fèi)者保護(hù)辦法》第17條規(guī)定銀行應(yīng)當(dāng)采取有利于金融消費(fèi)者接收、理解的方式，并且應(yīng)當(dāng)對(duì)與金融消費(fèi)者切身利益相關(guān)的重要信息和關(guān)鍵專業(yè)術(shù)語(yǔ)進(jìn)行解釋，還需以適當(dāng)方式供金融消費(fèi)者確認(rèn)其已接受完整信息。該辦法第21條第1款還要求銀行應(yīng)當(dāng)通過(guò)字體、字號(hào)、顏色、符號(hào)、標(biāo)識(shí)等足以引起金融消費(fèi)者注意的顯著方式呈現(xiàn)與金融消費(fèi)者自身有重大利害關(guān)系的內(nèi)容。

　　現(xiàn)有規(guī)則大多將“易于被客戶接受與理解”作為銀行履行信息披露義務(wù)的要求，對(duì)于銀行和第三方機(jī)構(gòu)披露信息時(shí)采用的語(yǔ)言表述、頁(yè)面設(shè)計(jì)、篇幅長(zhǎng)短等并未作出細(xì)致規(guī)定，這樣籠統(tǒng)的表述顯然缺乏可操作性。實(shí)踐中，銀行針對(duì)獲取共享數(shù)據(jù)授權(quán)時(shí)應(yīng)當(dāng)以何種方式告知披露信息也并未進(jìn)行說(shuō)明。授權(quán)階段的信息披露由于是一次性的，因而容易達(dá)到“易于被接受與理解”的水平，銀行通過(guò)加粗或加黑字體等方式足以引起個(gè)人客戶的注意。然而，在后續(xù)數(shù)據(jù)使用階段，考慮到同一客戶個(gè)人數(shù)據(jù)的潛在數(shù)據(jù)共享對(duì)象眾多，由各個(gè)第三方機(jī)構(gòu)對(duì)數(shù)據(jù)使用情況進(jìn)行披露并在各自網(wǎng)頁(yè)和APP上披露并不具有可行性，因此如何進(jìn)行信息披露就成為一個(gè)難題。

　　（二）信息披露義務(wù)履行方式的完善建議

　　域外有關(guān)開(kāi)放銀行規(guī)范均要求信息披露應(yīng)當(dāng)符合簡(jiǎn)潔易于理解的標(biāo)準(zhǔn)。英國(guó)《開(kāi)放銀行標(biāo)準(zhǔn)框架》指出，大部分客戶會(huì)跳過(guò)閱讀條款的步驟，因此有必要對(duì)披露方式進(jìn)行設(shè)計(jì)，使個(gè)人客戶能夠完整獲知關(guān)于數(shù)據(jù)共享行為的內(nèi)容。如盡可能地簡(jiǎn)化信息披露的頁(yè)面，使得所有信息以單頁(yè)形式呈現(xiàn)，并減少使用專業(yè)術(shù)語(yǔ)轉(zhuǎn)而采用更易于被客戶理解的日常表達(dá)來(lái)進(jìn)行解釋。澳大利亞《開(kāi)放銀行調(diào)查建議》指出，對(duì)個(gè)人作出的說(shuō)明與提示不應(yīng)當(dāng)妨礙個(gè)人客戶共享數(shù)據(jù)的意愿，因此建議銀行和第三方機(jī)構(gòu)應(yīng)當(dāng)以單頁(yè)的形式向客戶呈現(xiàn)數(shù)據(jù)的用途、數(shù)據(jù)被存放的位置，并以列表形式列明數(shù)據(jù)的可能用途以便客戶自行選擇。之所以將披露信息濃縮至單頁(yè)呈現(xiàn)，是為了在鼓勵(lì)客戶積極決定授權(quán)與否的同時(shí)，也能對(duì)其授權(quán)所帶來(lái)的后果有清晰的認(rèn)識(shí)，避免潛在的風(fēng)險(xiǎn)被密集的條款所掩蓋。事實(shí)上，以單頁(yè)形式呈現(xiàn)披露信息的方式更適合授權(quán)階段的初次披露，對(duì)后續(xù)數(shù)據(jù)共享階段的持續(xù)性信息披露還需采用其他方法�！耙子诒豢蛻艚邮芘c理解”作為信息披露義務(wù)履行的原則性標(biāo)準(zhǔn)并無(wú)不妥，這一標(biāo)準(zhǔn)仍可沿用至其指導(dǎo)下的開(kāi)放銀行規(guī)范制定之中�；�于這一標(biāo)準(zhǔn)，銀行與第三方機(jī)構(gòu)的具體履行方式需要從載體、頻率、呈現(xiàn)形式三方面予以細(xì)化。

　　1.載體：銀行開(kāi)放平臺(tái)的“個(gè)人客戶管理中心”

　　現(xiàn)有的各家銀行開(kāi)放平臺(tái)官網(wǎng)僅供第三方機(jī)構(gòu)進(jìn)行開(kāi)發(fā)者資質(zhì)注冊(cè)以獲得接入銀行的機(jī)會(huì)，并未向個(gè)人客戶提供入口。為了充分保障個(gè)人客戶對(duì)數(shù)據(jù)共享全流程的知情權(quán)，第三方機(jī)構(gòu)對(duì)共享數(shù)據(jù)的利用過(guò)程應(yīng)當(dāng)完整披露給個(gè)人客戶。若由第三方機(jī)構(gòu)自主披露，個(gè)人客戶將奔波于各個(gè)APP之間，以致于其對(duì)自身個(gè)人數(shù)據(jù)共享利用情況的了解意愿大大降低。在銀行開(kāi)放平臺(tái)中嵌入“個(gè)人客戶管理中心”或許是一種較好的選擇，將個(gè)人客戶所有被共享的數(shù)據(jù)情況集成至“個(gè)人客戶管理中心”，使得客戶一站式接收所有披露信息。此外，安全事件通知的方式并不限于平臺(tái)通知，為了達(dá)到及時(shí)性要求，銀行和第三方機(jī)構(gòu)對(duì)客戶通知的方式還可以是電話、短信等。

　　2.頻率：事前一次性披露，事中一事一披露

　　在授權(quán)階段，銀行和第三方機(jī)構(gòu)可以一次性將所有信息披露給個(gè)人客戶。在后續(xù)數(shù)據(jù)共享階段，共享數(shù)據(jù)的利用情況和第三方機(jī)構(gòu)的情況都需要一事一更新，進(jìn)行持續(xù)性披露。信息披露安全事件通知這類信息還有額外的及時(shí)性要求。根據(jù)《接口規(guī)范》第七部分“安全設(shè)計(jì)”之安全監(jiān)控要求，銀行對(duì)接口使用情況進(jìn)行監(jiān)控，完整記錄接口訪問(wèn)日志。該規(guī)范第十部分“安全運(yùn)維”對(duì)商業(yè)銀行就應(yīng)用程序接口運(yùn)行作出了相關(guān)運(yùn)維監(jiān)測(cè)的要求。與此同時(shí)，《接口規(guī)范》還要求商業(yè)銀行根據(jù)系統(tǒng)日志對(duì)應(yīng)用方的運(yùn)營(yíng)情況進(jìn)行定期評(píng)估。也就是說(shuō)，開(kāi)放銀行模式下數(shù)據(jù)共享通過(guò)API接口進(jìn)行，數(shù)據(jù)傳輸活動(dòng)都有跡可循，加之區(qū)塊鏈技術(shù)的逐漸融入，實(shí)時(shí)披露將具有可行性，并且這種電子化披露方式亦不會(huì)產(chǎn)生過(guò)高成本。因此，由我國(guó)《商業(yè)銀行法》對(duì)信息披露的形式作出原則性和宏觀方面的要求，再由相關(guān)細(xì)則對(duì)信息披露的呈現(xiàn)形式提供具體操作示范更為恰當(dāng)。

　　3.呈現(xiàn)形式：?jiǎn)雾?yè)顯示結(jié)合個(gè)性化定制

　　就信息披露的載體與呈現(xiàn)形式而言，在達(dá)到“簡(jiǎn)潔易于理解”的前提下，銀行和第三方機(jī)構(gòu)可以被賦予與個(gè)人客戶協(xié)商的權(quán)利。其原因在于不同客戶的閱讀習(xí)慣與信息接收偏好并不一致，法律規(guī)范難以用同一標(biāo)準(zhǔn)來(lái)適配不同需求。因此，由我國(guó)《商業(yè)銀行法》對(duì)信息披露的形式作出原則性和宏觀方面的要求，再由《金融消費(fèi)者保護(hù)辦法》對(duì)披露信息的呈現(xiàn)形式提供具體操作示范，可能更為恰當(dāng)。

　　在授權(quán)階段，銀行和第三方的信息披露可以參照英國(guó)與澳大利亞的做法，以單頁(yè)形式呈現(xiàn)。在后續(xù)數(shù)據(jù)共享階段，銀行和第三方機(jī)構(gòu)理應(yīng)盡可能完整詳實(shí)地向客戶披露數(shù)據(jù)共享的具體情況。《接口規(guī)范》雖然對(duì)銀行保留接口的系統(tǒng)日志作出了要求，但銀行不可能將系統(tǒng)日志直接呈現(xiàn)給個(gè)人客戶作為信息披露的履行形式。一來(lái)系統(tǒng)日志對(duì)非專業(yè)人士來(lái)說(shuō)晦澀難懂，二來(lái)系統(tǒng)日志中包含了一定的商業(yè)秘密。并且，第三方機(jī)構(gòu)實(shí)施披露其數(shù)據(jù)利用情況也通常需要通過(guò)一定的程序進(jìn)行抓取、統(tǒng)計(jì)，無(wú)法用未經(jīng)加工的形式呈現(xiàn)出來(lái)，因此有必要對(duì)披露信息的呈現(xiàn)形式作出一定革新。商業(yè)銀行與第三方機(jī)構(gòu)應(yīng)當(dāng)在原有基礎(chǔ)上進(jìn)行一定形式的篩選、加工，以簡(jiǎn)潔易懂的方式將數(shù)據(jù)被共享、使用的全過(guò)程披露給個(gè)人客戶，避免出現(xiàn)信息過(guò)載現(xiàn)象而使得信息披露失去原有作用。銀行開(kāi)放平臺(tái)的“個(gè)人客戶管理中心”可以支持“個(gè)性化定制”，給予個(gè)人客戶決定信息披露界面以什么樣的順序呈現(xiàn)、呈現(xiàn)哪些類型的披露信息的權(quán)利，并提供標(biāo)注、篩選等功能，使得客戶能夠基于其信息接收偏好來(lái)顯示信息。與此同時(shí)，銀行和第三方機(jī)構(gòu)在向個(gè)人客戶顯示披露信息的時(shí)候應(yīng)當(dāng)以醒目方式標(biāo)注實(shí)質(zhì)信息，如數(shù)據(jù)使用的具體情形等可能對(duì)個(gè)人客戶的授權(quán)產(chǎn)生實(shí)質(zhì)影響的信息。至于哪些信息能夠被認(rèn)定為實(shí)質(zhì)信息，不妨采用大數(shù)據(jù)分析的方法，結(jié)合“個(gè)性化定制”情況，對(duì)個(gè)人客戶的信息接收偏好進(jìn)行統(tǒng)計(jì)測(cè)評(píng)，篩選出個(gè)人客戶最重視的信息類型。

　　五、開(kāi)放銀行數(shù)據(jù)共享中違反信息披露義務(wù)的法律責(zé)任

　　銀行和第三方機(jī)構(gòu)積極履行信息披露義務(wù)的動(dòng)力一方面來(lái)源于法律規(guī)范的正向引導(dǎo)，另一方面來(lái)源于法律責(zé)任規(guī)范的威懾。合理完善的法律責(zé)任體系能夠?yàn)榱x務(wù)主體衡量信息披露成本與違法成本孰輕孰重提供科學(xué)標(biāo)準(zhǔn)，進(jìn)而在信息自決的前提下實(shí)現(xiàn)行為自決。

　�。ㄒ唬┈F(xiàn)狀檢視：違反信息披露義務(wù)的法律責(zé)任不明確

　　針對(duì)義務(wù)主體違反信息披露義務(wù)的法律責(zé)任，《金融消費(fèi)者保護(hù)辦法》第60條賦予了監(jiān)管機(jī)構(gòu)可以援引我國(guó)《消費(fèi)者權(quán)益保護(hù)法》之規(guī)定對(duì)銀行進(jìn)行處罰的權(quán)利。此外，《個(gè)人信息保護(hù)法（草案）》針對(duì)違反規(guī)定處理個(gè)人信息行為、《數(shù)據(jù)安全法（草案）》針對(duì)未及時(shí)通知安全事件行為規(guī)定了行政責(zé)任。銀行與第三方機(jī)構(gòu)違反信息披露義務(wù)可被認(rèn)為是侵害個(gè)人客戶知情權(quán)的一種表現(xiàn)形式，因而受到前述我國(guó)《民法典》、我國(guó)《消費(fèi)者權(quán)益保護(hù)》、我國(guó)《網(wǎng)絡(luò)安全法》有關(guān)信息披露義務(wù)規(guī)定的約束。在刑事責(zé)任方面，我國(guó)《刑法》僅有關(guān)于證券市場(chǎng)違反信息披露義務(wù)行為所設(shè)置的罪名，如欺詐發(fā)行股票、債券罪，違規(guī)披露、不披露重要信息罪等，對(duì)造成嚴(yán)重后果或情節(jié)嚴(yán)重的行為予以刑法上的評(píng)價(jià)。針對(duì)作為新興的開(kāi)放銀行模式，現(xiàn)有的我國(guó)刑法體系內(nèi)并無(wú)相應(yīng)罪名。

　　總體來(lái)說(shuō)，我國(guó)目前并未形成適用于開(kāi)放銀行模式的信息披露法律責(zé)任體系，僅通過(guò)義務(wù)性規(guī)范的形式確定了銀行應(yīng)當(dāng)履行信息披露義務(wù)，但對(duì)其后續(xù)違反信息披露義務(wù)所應(yīng)當(dāng)承擔(dān)的責(zé)任并未進(jìn)行系統(tǒng)性規(guī)定。在法律責(zé)任類型上，現(xiàn)有的規(guī)定大多僅涉及行政責(zé)任，對(duì)刑事責(zé)任只字未提。違反信息披露義務(wù)的情形是否需要由刑法加以規(guī)制呢？如果需要，那么何種程度的違法情形達(dá)到了入刑標(biāo)準(zhǔn)？在現(xiàn)有的法律責(zé)任的具體內(nèi)容中，并未區(qū)分違反信息披露義務(wù)的不同情形，更遑論根據(jù)這些情形的危害性規(guī)定不同程度的行政責(zé)任與民事責(zé)任。此外，由于第三方機(jī)構(gòu)作為信息披露義務(wù)主體規(guī)定的缺失，現(xiàn)有的相關(guān)法律規(guī)范中更是難尋有關(guān)第三方機(jī)構(gòu)違反信息披露義務(wù)后應(yīng)當(dāng)承擔(dān)何種法律責(zé)任的規(guī)定，因此在發(fā)生違反信息披露義務(wù)的情形時(shí)，如何分配銀行與第三方機(jī)構(gòu)之間的責(zé)任，也亟待解決。

　�。ǘ�）違反信息披露義務(wù)法律責(zé)任規(guī)則的完善建議

　　根據(jù)信息披露的“真實(shí)、準(zhǔn)確、完整、及時(shí)”要求，銀行和第三方機(jī)構(gòu)違反信息披露義務(wù)的行為類型可以分為五種。第一，不披露或未完整披露，即銀行或第三方機(jī)構(gòu)的披露具有片面性，未將應(yīng)當(dāng)披露的所有信息完整披露，隱瞞或遺漏了個(gè)人客戶作出合理決策所需的關(guān)鍵信息。第二，虛假披露，即銀行或第三方機(jī)構(gòu)在披露信息時(shí)將并不存在的信息予以披露的行為。第三，誤導(dǎo)性披露，即銀行或第三方機(jī)構(gòu)向個(gè)人客戶披露了違背事實(shí)真相并可能導(dǎo)致客戶就授權(quán)與否作出錯(cuò)誤判斷的信息的行為。第四，遲延披露，即銀行或第三方機(jī)構(gòu)違反信息披露及時(shí)性要求，未及時(shí)將應(yīng)當(dāng)披露的信息披露給個(gè)人客戶的行為，這類行為通常發(fā)生在安全事件的通知方面。第五，未以法定形式披露，即銀行或第三方機(jī)構(gòu)違反了信息披露的規(guī)范性要求，導(dǎo)致個(gè)人客戶無(wú)法以便捷方式了解其數(shù)據(jù)利用過(guò)程。其中，前四種行為在定性上屬于違反信息披露的強(qiáng)制性規(guī)范。法律僅需就信息披露的形式作原則性規(guī)定，就具體如何呈現(xiàn)披露信息可留出由當(dāng)事方約定的操作空間，因此未以法定形式進(jìn)行信息披露通常屬于違反任意性規(guī)范，且因?qū)�個(gè)人客戶知情權(quán)的損害較為輕微，其法律責(zé)任也應(yīng)當(dāng)較前四種行為更輕。

　　在開(kāi)放銀行模式下，違反信息披露義務(wù)的法律責(zé)任總體規(guī)制邏輯應(yīng)當(dāng)是：民事責(zé)任與行政責(zé)任并重，刑事責(zé)任為后盾。之所以采取這樣的規(guī)制邏輯，其原因在于不同訴求的客戶尋求的救濟(jì)方式會(huì)有所不同。在一部分客戶看來(lái)，銀行與第三方機(jī)構(gòu)所提供的服務(wù)可替代性較高，在其發(fā)生違反信息披露義務(wù)的情形后，可以選擇接受其他機(jī)構(gòu)的服務(wù)，并傾向于獲得實(shí)實(shí)在在的物質(zhì)補(bǔ)償或賠償。對(duì)于這些客戶來(lái)說(shuō)，尋求民事方面的救濟(jì)更符合自身利益需求。在另一部分客戶看來(lái)，自己選擇某家銀行作為開(kāi)戶銀行，選擇使用某些第三方機(jī)構(gòu)搭建的平臺(tái)并授權(quán)同意數(shù)據(jù)共享時(shí)，必然是這樣的選擇能為生活帶來(lái)便利性與幸福感的提升。這些客戶的訴求未必是獲得補(bǔ)償，而可能是獲得完整的披露信息。對(duì)于這些愿意繼續(xù)接受該銀行與第三方機(jī)構(gòu)服務(wù)的客戶來(lái)說(shuō)，獲得監(jiān)管部門的幫助更為有用，有必要借助監(jiān)管部門的強(qiáng)制力來(lái)強(qiáng)令銀行與第三方機(jī)構(gòu)對(duì)其進(jìn)行信息披露。就此，追究信息披露義務(wù)主體的行政責(zé)任與民事責(zé)任并不會(huì)互相沖突，兩種不同性質(zhì)的責(zé)任能起到互相補(bǔ)充的作用。通過(guò)追究銀行與第三方機(jī)構(gòu)的違約責(zé)任或侵權(quán)責(zé)任可以有效彌補(bǔ)個(gè)人客戶遭受的經(jīng)濟(jì)損失，這是行政責(zé)任無(wú)法替代的。與此同時(shí)，行政責(zé)任的強(qiáng)制力與威懾力可以貫穿個(gè)人數(shù)據(jù)保護(hù)的全過(guò)程。與民事救濟(jì)手段相比，行政監(jiān)管的手段更多樣，成本也低廉，反應(yīng)速度也更快，能為個(gè)人數(shù)據(jù)提供更全面的保護(hù)，又能在個(gè)人數(shù)據(jù)保護(hù)、網(wǎng)絡(luò)安全維護(hù)和經(jīng)濟(jì)社會(huì)發(fā)展之間找到平衡點(diǎn)。

　　1.違反信息披露義務(wù)的民事責(zé)任

　　民事責(zé)任認(rèn)定并不需要根據(jù)行為類型區(qū)別對(duì)待，因?yàn)閷?duì)個(gè)人客戶而言，不同的違反信息披露義務(wù)的行為類型對(duì)其產(chǎn)生的影響差別不大，其最終導(dǎo)致的結(jié)果都是客戶未能在合理時(shí)間范圍內(nèi)以合理方式獲知真實(shí)、完整的信息，以至于無(wú)法根據(jù)這些信息作出本應(yīng)有的準(zhǔn)確判斷。這使得個(gè)人客戶的知情權(quán)得不到保障。至于具體承擔(dān)何種民事責(zé)任，可綜合考慮信息披露義務(wù)主體與客戶之間的法律關(guān)系、兩個(gè)階段中不同義務(wù)主體承擔(dān)的角色，并結(jié)合違反信息披露義務(wù)之行為造成的后果來(lái)分析確定。

　　在授權(quán)階段，銀行承擔(dān)主要的信息披露義務(wù)，基于開(kāi)戶時(shí)銀行與客戶簽訂服務(wù)協(xié)議形成的合同關(guān)系，當(dāng)銀行違反信息披露義務(wù)時(shí)，構(gòu)成對(duì)客戶的違約。個(gè)人客戶可以據(jù)此請(qǐng)求銀行承擔(dān)違約責(zé)任，即由銀行對(duì)沒(méi)有完整、真實(shí)地披露信息而造成的損失承擔(dān)賠償責(zé)任。在這個(gè)階段，即便第三方機(jī)構(gòu)未向銀行提供完整信息或提供了虛假信息，導(dǎo)致銀行向客戶作出的信息披露有瑕疵，銀行也不能因此免責(zé)。因?yàn)槭跈?quán)階段的個(gè)人客戶只能通過(guò)銀行了解第三方機(jī)構(gòu)的完整情況，銀行當(dāng)然對(duì)此負(fù)有第一性的義務(wù)與責(zé)任。

　　在授權(quán)后的數(shù)據(jù)共享階段，第三方機(jī)構(gòu)承擔(dān)了主要的信息披露義務(wù)，銀行承擔(dān)對(duì)此信息的輔助傳遞與審核的義務(wù)。當(dāng)?shù)谌�方機(jī)構(gòu)違反信息披露義務(wù)時(shí)，需要區(qū)分個(gè)人客戶與第三方機(jī)構(gòu)之間是否存在合同關(guān)系，即屬于“線性模式”還是“三角模式”。若因信息披露瑕疵給個(gè)人客戶造成損失，線性模式下的第三方機(jī)構(gòu)可能構(gòu)成侵權(quán)責(zé)任，三角模式下的第三方機(jī)構(gòu)則可能構(gòu)成違約責(zé)任與侵權(quán)責(zé)任競(jìng)合的情況，個(gè)人客戶可以選擇最能填補(bǔ)損失的方式進(jìn)行主張。銀行只有證明其盡到監(jiān)督審核義務(wù)的，才能據(jù)此免責(zé)，否則應(yīng)當(dāng)與第三方機(jī)構(gòu)承擔(dān)連帶責(zé)任。

　　2.違反信息披露義務(wù)的行政責(zé)任

　　針對(duì)違反信息披露義務(wù)的行政責(zé)任承擔(dān)方式，我國(guó)現(xiàn)有的相關(guān)規(guī)范的規(guī)定已較為詳盡，無(wú)需進(jìn)行過(guò)多改動(dòng)，值得探討的問(wèn)題集中于如何確定監(jiān)管機(jī)構(gòu)與責(zé)任具體認(rèn)定兩方面。

　　就監(jiān)管機(jī)構(gòu)的確定而言，不同國(guó)家呈現(xiàn)出不同的做法。英國(guó)的開(kāi)放銀行模式發(fā)展始于監(jiān)管部門的推動(dòng)，監(jiān)管部門針對(duì)開(kāi)放銀行制定了完善的規(guī)則體系與監(jiān)管架構(gòu)。英國(guó)《開(kāi)放銀行標(biāo)準(zhǔn)框架》針對(duì)開(kāi)放銀行的治理模式，提出設(shè)立獨(dú)立機(jī)構(gòu)來(lái)監(jiān)督開(kāi)放銀行的落實(shí)，處理糾紛，保障數(shù)據(jù)安全，同時(shí)開(kāi)放銀行也應(yīng)當(dāng)在英國(guó)競(jìng)爭(zhēng)與市場(chǎng)管理局（Competition and Markets Authority）的監(jiān)管下發(fā)展。與英國(guó)“自上而下”驅(qū)動(dòng)型不同，美國(guó)開(kāi)放銀行的發(fā)展則是“自下而上”驅(qū)動(dòng)型的，在大量銀行與金融科技公司參與開(kāi)放銀行發(fā)展進(jìn)程后，美國(guó)消費(fèi)者金融保護(hù)局才出臺(tái)了《消費(fèi)者保護(hù)原則：經(jīng)消費(fèi)者授權(quán)的金融數(shù)據(jù)與整合》。美國(guó)并未設(shè)立專門的開(kāi)放銀行監(jiān)管機(jī)構(gòu)，而是在現(xiàn)有監(jiān)管體系下，選擇由消費(fèi)者金融保護(hù)局擔(dān)任對(duì)開(kāi)放銀行的監(jiān)管角色。

　　我國(guó)的開(kāi)放銀行發(fā)展與美國(guó)類似，始于商業(yè)銀行的自我行為，監(jiān)管層面并未事先制定相關(guān)規(guī)范，因此從現(xiàn)有的監(jiān)管體系中選擇某一部門承擔(dān)監(jiān)管開(kāi)放銀行的職責(zé)或許更符合效率要求。目前，按照我國(guó)《網(wǎng)絡(luò)安全法》和我國(guó)《消費(fèi)者權(quán)益保護(hù)法》的相關(guān)規(guī)定，我國(guó)針對(duì)開(kāi)放銀行模式中的第三方機(jī)構(gòu)行政執(zhí)法部門既有網(wǎng)信部門，也有市場(chǎng)監(jiān)督管理部門，還有潛在的相關(guān)部門。在開(kāi)放銀行模式下有關(guān)個(gè)人客戶的合法權(quán)益保障存在著管理部門重疊的問(wèn)題。從《數(shù)據(jù)安全法（草案）》第7條第1款“各地區(qū)、各部門對(duì)本地區(qū)、本部門工作中產(chǎn)生、匯總、加工的數(shù)據(jù)及數(shù)據(jù)安全負(fù)主體責(zé)任”的規(guī)定來(lái)看，我國(guó)暫時(shí)沒(méi)有設(shè)立專門數(shù)據(jù)保護(hù)機(jī)構(gòu)的打算，而是由各行業(yè)主管部門各自監(jiān)管本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全。另外，依照我國(guó)現(xiàn)有的市場(chǎng)監(jiān)管體制，監(jiān)管商業(yè)銀行開(kāi)放銀行業(yè)務(wù)的職責(zé)仍應(yīng)由中國(guó)人民銀行和銀保監(jiān)會(huì)共同承擔(dān)。中國(guó)人民銀行內(nèi)設(shè)的金融消費(fèi)權(quán)益保護(hù)局負(fù)責(zé)開(kāi)展金融消費(fèi)者權(quán)益保護(hù)工作，其中就包括對(duì)金融機(jī)構(gòu)信息披露工作的監(jiān)督。相對(duì)于其他監(jiān)管部門而言，金融消費(fèi)權(quán)益保護(hù)局在此項(xiàng)信息披露的監(jiān)督工作上已具備了一定基礎(chǔ)，專業(yè)性與針對(duì)性也更強(qiáng)。因此，在我國(guó)開(kāi)放銀行相關(guān)規(guī)則尚未完備的情況下，可以先由中國(guó)人民銀行金融消費(fèi)權(quán)益保護(hù)局承擔(dān)此項(xiàng)監(jiān)管工作。隨著我國(guó)《商業(yè)銀行法》的完善，中國(guó)人民銀行金融消費(fèi)權(quán)益保護(hù)局承擔(dān)開(kāi)放銀行業(yè)務(wù)監(jiān)管職責(zé)也將進(jìn)一步名正言順。

　　就行政責(zé)任的具體認(rèn)定而言，因?yàn)榍笆鑫宸N違反信息披露義務(wù)行為的規(guī)范屬性有所不同，且具有不同程度的主觀惡性，所以應(yīng)當(dāng)視其行為類型不同而規(guī)定不同的行政責(zé)任，可類推考量我國(guó)《證券法》2019年修訂前后的變化。此次修訂前的我國(guó)《證券法》對(duì)幾類違反信息披露義務(wù)的行為規(guī)定了同樣的行政責(zé)任，2019年修訂后則區(qū)分不同樣態(tài)的信息披露違法行為，針對(duì)不同危害程度的行為規(guī)定相應(yīng)的行政責(zé)任層次，并對(duì)虛假披露、誤導(dǎo)性披露和未完整披露進(jìn)行重點(diǎn)規(guī)制，根據(jù)2019年修訂后的我國(guó)《證券法》第197條，其罰款金額是遲延披露、未按法定形式披露行為的兩倍。借鑒該種思路，當(dāng)開(kāi)放銀行模式中的信息披露義務(wù)主體違反強(qiáng)制性規(guī)范，即發(fā)生不披露或未完整披露、虛假披露、遲延披露和誤導(dǎo)性披露行為時(shí)，大多是故意為之，其主觀惡性較大，對(duì)個(gè)人客戶授權(quán)與否的選擇影響更大，對(duì)個(gè)人客戶知情權(quán)的侵害也更為嚴(yán)重，因此可以在處罰金額等方面對(duì)此類義務(wù)主體施以更為嚴(yán)厲的處罰。除了對(duì)違反信息披露義務(wù)的主體進(jìn)行處罰外，監(jiān)管機(jī)構(gòu)的另一職責(zé)應(yīng)當(dāng)是協(xié)助個(gè)人客戶督促信息披露義務(wù)主體及時(shí)整改并披露完整真實(shí)的信息。

　　3.違反信息披露義務(wù)的刑事責(zé)任

　　目前我國(guó)《刑法》中并沒(méi)有罪名與開(kāi)放銀行模式下的違規(guī)信息披露行為相對(duì)應(yīng)。開(kāi)放銀行數(shù)據(jù)共享中違反信息披露義務(wù)的行為顯然與證券市場(chǎng)中違反信息披露義務(wù)行為不同。由于前者信息披露的一對(duì)一特點(diǎn)，其違反信息披露義務(wù)的社會(huì)危害性遠(yuǎn)小于后者的社會(huì)危害性，僅侵犯?jìng)�(gè)別對(duì)方當(dāng)事人的知情權(quán)。并且，與個(gè)人數(shù)據(jù)泄漏、買賣個(gè)人數(shù)據(jù)等行為相比，違反信息披露義務(wù)的行為并不必然導(dǎo)致個(gè)人的經(jīng)濟(jì)損失。刑法作為最嚴(yán)厲的社會(huì)控制手段，在開(kāi)放銀行這種與傳統(tǒng)銀行業(yè)務(wù)相比更為復(fù)雜的模式下，不宜隨便創(chuàng)設(shè)罪名，應(yīng)當(dāng)堅(jiān)守刑法的謙抑性原則，防止過(guò)剩犯罪化現(xiàn)象出現(xiàn)。在個(gè)人數(shù)據(jù)保護(hù)立法領(lǐng)域內(nèi)，是否創(chuàng)設(shè)新罪名應(yīng)當(dāng)慎之又慎，充分考量該罪名是僅為了形式上安撫社會(huì)公眾心理，還是真的出于應(yīng)對(duì)社會(huì)風(fēng)險(xiǎn)的目的。

　　當(dāng)銀行或第三方機(jī)構(gòu)違反信息披露義務(wù)的次數(shù)過(guò)多，或由此造成了嚴(yán)重后果時(shí)，就需要考慮是否通過(guò)刑事責(zé)任來(lái)約束此類行為。因?yàn)閺囊粋�(gè)普通人的合理認(rèn)知及謹(jǐn)慎判斷來(lái)看，銀行或第三方機(jī)構(gòu)違反信息披露義務(wù)的行為并不是偶發(fā)性的，通常表現(xiàn)為某個(gè)時(shí)間段內(nèi)存在大量違規(guī)披露的事件。這與金融行業(yè)及互聯(lián)網(wǎng)行業(yè)天然的趨利性有關(guān)，其對(duì)待個(gè)人數(shù)據(jù)往往是利用大于保護(hù)。若沒(méi)有強(qiáng)有力的刑事責(zé)任震懾，銀行和第三方都將缺乏足夠的內(nèi)在驅(qū)動(dòng)力對(duì)個(gè)人數(shù)據(jù)安全進(jìn)行有力的保護(hù)。

　　開(kāi)放銀行模式下違反信息披露義務(wù)的行為在我國(guó)應(yīng)當(dāng)如何入刑？擴(kuò)大現(xiàn)有“違規(guī)披露、不披露重要信息罪”的適用范圍或許是較為妥當(dāng)?shù)倪x擇�！斑`規(guī)披露、不披露重要信息罪”本就是由“提供虛假財(cái)會(huì)報(bào)告罪”發(fā)展而來(lái)的，是對(duì)實(shí)踐中的嚴(yán)重?fù)p害公眾投資者利益，擾亂證券市場(chǎng)秩序的行為予以刑法上的回應(yīng)。從該罪名的歷史發(fā)展脈絡(luò)來(lái)看，其適用范圍根據(jù)市場(chǎng)經(jīng)濟(jì)發(fā)展的實(shí)際情況進(jìn)行了擴(kuò)大。另外，在大數(shù)據(jù)時(shí)代，不只是銀行業(yè)，而是將有更多的行業(yè)與更多的機(jī)構(gòu)乃至政府部門參與數(shù)據(jù)共享，擴(kuò)大該罪適用范圍能夠未雨綢繆地保護(hù)數(shù)據(jù)主體的數(shù)據(jù)權(quán)利，加強(qiáng)刑法對(duì)個(gè)人數(shù)據(jù)的保護(hù)力度。至于入罪標(biāo)準(zhǔn)，可參照當(dāng)前該罪名的規(guī)定，只有情節(jié)嚴(yán)重的行為才需要受到刑法規(guī)制。鑒于開(kāi)放銀行模式下違反信息披露義務(wù)的行為對(duì)個(gè)人客戶造成的侵害往往難以用實(shí)際經(jīng)濟(jì)損失來(lái)衡量，情節(jié)嚴(yán)重的衡量標(biāo)準(zhǔn)可以結(jié)合涉及的個(gè)人客戶數(shù)量、行為頻率、行為人獲利程度等因素綜合考量確定。

　　六、結(jié)論

　　實(shí)踐中，開(kāi)放銀行模式在提供非接觸式金融服務(wù)、聯(lián)通客戶與各類商業(yè)生態(tài)方面發(fā)揮著無(wú)與倫比的作用，這也是銀行業(yè)數(shù)字化轉(zhuǎn)型的必然趨勢(shì)。隨著數(shù)據(jù)這一新型生產(chǎn)要素逐步得到政策與市場(chǎng)的重視，打破數(shù)據(jù)藩籬，推動(dòng)數(shù)據(jù)自由流通，加強(qiáng)數(shù)據(jù)共享也勢(shì)在必行。在此背景下，個(gè)人數(shù)據(jù)保護(hù)問(wèn)題日益突出，對(duì)個(gè)人知情權(quán)的保障也迫在眉睫。銀行與第三方機(jī)構(gòu)的信息披露義務(wù)作為個(gè)人知情權(quán)保障的關(guān)鍵部分，關(guān)系到開(kāi)放銀行技術(shù)標(biāo)準(zhǔn)框架的建設(shè)，也關(guān)系到個(gè)人數(shù)據(jù)保護(hù)制度的完善，需要基于開(kāi)放銀行數(shù)據(jù)傳導(dǎo)的特殊性，秉持階段式的考量，從主體、內(nèi)容、方式、責(zé)任多個(gè)層面分角度進(jìn)行科學(xué)設(shè)計(jì)，亦需要打破部門法之間的界限進(jìn)行研究，甚至需要跨學(xué)科進(jìn)行綜合研究。與此同時(shí)，信息披露義務(wù)的系統(tǒng)構(gòu)建還有賴于不同位階法律規(guī)范的通力合作，尚待出臺(tái)的我國(guó)《個(gè)人信息保護(hù)法》和我國(guó)《數(shù)據(jù)安全法》等法律能夠在宏觀層面為個(gè)人數(shù)據(jù)保護(hù)提供框架支撐，期待我國(guó)《商業(yè)銀行法》作為銀行業(yè)基礎(chǔ)性法律在新一輪修訂中就開(kāi)放銀行數(shù)據(jù)共享中的信息披露義務(wù)主體、形式等內(nèi)容增加原則性規(guī)定，亦期待監(jiān)管部門出臺(tái)開(kāi)放銀行相關(guān)實(shí)施細(xì)則并對(duì)銀行與第三方機(jī)構(gòu)的信息披露義務(wù)之具體內(nèi)容作出細(xì)化規(guī)定，從而形成層次分明、內(nèi)容完備的開(kāi)放銀行模式下的信息披露義務(wù)規(guī)則體系。