生成式AI阶段金融科技数据合规的法律化因应

2023-12-22罗世杰贺国荣

金融发展研究 2023年11期

罗世杰贺国荣

摘要：随着生成式AI时代的到来，金融科技实现智能技术层面的飞跃即将成为现实，而风险治理制度层面的跟进尚未实现。生成式AI阶段金融科技数据风险的防范与规制应成为全新且热潮的法律课题，亟待以更先进、更全面的法律路径对其进行治理。立足生成式AI阶段金融科技的数据质量合规风险、隐私合规风险以及垄断合规风险，合规治理的法律化体系构建被赋予必要性与正当性。但由于其是一种新的法律提法，故而我國的生成式AI阶段金融数据合规体系的构建存在法律制度供给留白、行政引导与监管困境以及司法保护不敷三个层面的法律化障碍。应具有针对性地从立法指引、行政执法、司法运行三个层面实现其法律化体系构建的尝试与突破，但金融数据合规法律化不是生成式AI阶段金融科技数据风险治理的终点，而只是金融科技发展进程中风险治理的阶段性成果，其仍需更多法律化手段的出现。

关键词：生成式AI；金融科技；数据合规；合规治理；合规法律化

中图分类号：F830 文献标识码：B 文章编号：1674-2265（2023）11-0082-09

DOI：10.19647/j.cnki.37-1462/f.2023.11.010

持续走红的ChatGPT象征着生成式AI正在快速迭代升级，在重塑人们认知逻辑的同时，还革新了传统产业的运作方式（龙柯宇，2023）[1]。我国已逐渐开始在金融科技领域应用生成式AI技术（如文心一言），其应用场景主要包括智能投顾、智能投研、智能风控以及保险科技等。恰似Gartner官网预言，到2025年，超过30%的金融营销内容将由生成式AI创建并由人类增强。但随着生成式AI阶段金融科技的逐渐落地与迅速发展，一系列生成式AI技术与金融数据相交融的新型风险也可能悄然滋生。

一、生成式AI阶段金融科技数据合规法律化的现实需求

金融数据是金融行业在数字经济时代下的发展根基，亦是金融科技的运作基础。金融业作为最早进行数字化转型的行业，积累了大量数据。随着数据已成为基础的生产要素，更多挑战正向具有高价值、高度隐私性的金融数据迎面袭来（黄文超，2023）[2]。

（一）生成式AI阶段金融科技数据合规风险嬗变

1. 数据质量合规风险。一是模型训练库的金融数据来源不合规。一方面，金融科技机构在利用生成式AI获取金融数据时具有侵犯知识产权的风险。以ChatGPT为例，依据OpenAI介绍的ChatGPT的工作机制，模型需要预先对既有文本和数据学习训练，但OpenAI未公开其学习语料的来源（邓建鹏和朱怿成，2023）[3]。另一方面，金融科技机构可能利用生成式AI算法模型非法盗取金融数据。金融科技机构既可以利用其自主标注和随意获取数据的特征，也可以利用人工标注使其算法模型具有随意爬取第三方数据库的趋向与能力。而且，预训练模型在不断接触各种对话的过程中，时刻记录各方的相关敏感信息，很可能发生“顺带扒窃”数据的现象。二是不良、虚假金融数据的“毒性”训练。生成式AI阶段金融科技面临着数据训练过程中深度伪造、数据“投毒”（污染）、内容偏见等金融数据内容质量风险。以ChatGPT为例，相较于传统算法模型，ChatGPT的特殊之处在于其不仅依靠机器学习，还在机器学习的同时，通过大量的人工标注来修正和校对机器学习所得出的结论，以人工标注方式来推动技术的进化，同时校正机器学习中存在的错误，从而达到事半功倍的效果（刘艳红，2023）[4]。然而，算法标注是一个充满风险的过程，易遇到人工恶意标注和机器自主标注的问题，导致算法模型可能偏离既定的训练目标和轨道，从而给金融数据质量带来挑战。

对于金融数据获取和训练层面的合规风险，如果不加以防范和规制，将直接影响后一阶段金融数据的整合与生成，形成生成式AI阶段金融科技数据质量合规风险的连锁反应（宁宣凤等，2023）[5]。

2. 数据隐私合规风险。（1）金融科技消费者个人信息泄漏风险。此类风险将导致金融消费者福利损害。一方面，个人金融数据被生成式AI技术滥用和泄露。随着生成式AI技术逐渐进入金融科技领域，大数据“杀熟”、过度营销等现象将不断出现。另一方面，个人金融数据被金融科技平台泄露。以亚马逊公司为例，其发现ChatGPT生成的内容与其保密数据高度相似，这显然是有员工将保密数据输入ChatGPT所致（Cismag，2023）[6]。在金融科技领域此现象也可能出现。（2）金融科技机构商业秘密泄漏风险。此类风险将导致金融科技机构利益受损，且有一部分风险将转嫁到金融科技消费者身上。一方面，金融科技机构的员工为完成工作任务，或因商业竞争原因将金融科技机构涉及商业秘密的金融数据上传至生成式AI终端，从而导致相关数据的泄露。另一方面，生成式AI的爆火使得其成为黑客的攻击目标，黑客通过新型工具与手段入侵生成式AI算法训练链以获取金融数据（夏诗园和尹振涛，2022）[7]。这也是金融科技机构商业秘密泄露的源头之一。

3. 数据反垄断合规风险。在数字经济时代，金融数据作为金融市场重要的生产要素，影响着价值分配。近年来我国金融科技行业发展迅速，大型金融科技公司凭借绝对技术优势、较强的议价能力和显著的网络溢出效应，不断扩大消费群体和业务范围，积累了大量个人信息和金融交易数据，形成数据寡头滥用市场地位（袁康和程扬，2023）[8]。

然而，在生成式AI与金融科技相融合的场域下，其数据生成也涉及大量的金融数据，极易导致新的数据垄断合规风险。其一，是技术市场层面上的垄断。以GPT-4大语言模型为例，在金融服务领域，GPT-4已经显露出了其绝对优势，或者说“AI霸权”。其二，是生成式AI金融的智能模型在算法训练过程中实现的金融科技数据和算法垄断。在生成式AI金融服务的场景中，其算法训练需要对大量的金融数据进行处理，如果这些数据来自一个特定的金融数据集，那么可能会存在垄断风险。

（二）生成式AI阶段金融科技数据合规风险亟需合规法律化应对

鉴于此，有学者提出为保障生成式AI阶段金融科技的健康发展，首先要解决其对金融数据安全带来的挑战和风险。由于金融行业的特殊性，对数据管理的要求更严格、敏感度更高，应当特别关注以下问题：怎么避免技术创新产生的新型金融数据安全问题？怎么评价和估算新型数据“投毒”和数据“越狱”等风险对核心业务的潜在威胁？怎么构建法律制度来强化数据金融的持续性安全？等（汪寿阳等，2023）[9]。由于这是一个較新的议题，仅有一小部分学者提出了适用于我国国情的生成式AI阶段数据风险治理的对策建议，如应当加强监管机制（张凌寒，2023）[10]，建立风险分级评估体系（Torsten等，2023）[11]，推动制定国际信息保护协定、制定统一标准的数据开放规则（Jing和Yuan，2023）[12]，出台相关指南和司法解释以应对生成式AI引发的反垄断性问题（陈永伟，2023）[13]等。但是，以上对策并不完全贴合金融科技场景，应当构建更适合生成式AI阶段金融科技数据风险治理的法律机制。

笔者以为，应以硬法与软法相协调的范式对生成式AI阶段金融科技的数据风险进行治理：“硬法—软法”范式要求拓展法律的规制因素，将包括公共利益在内的广泛因素纳入规制领域，完善互动协调的二元法体系以及成熟的法解释学等制度与技术支持，进而在此基础上构建生成式AI阶段金融科技数据风险治理的二元法构造模式（董正爱，2023）[14]。此前鲜有学者直接从合规视角来探究人工智能金融科技的数据风险治理，故本文主要探讨作为软法的合规工具的硬法化，即合规法律化，这应是实现生成式AI阶段金融科技数据风险治理的重要法律路径①。

二、生成式AI阶段金融科技数据合规法律化的学理依据

生成式AI阶段的金融科技数据具有高敏感性和高价值性，这也决定其合规治理的严格性。然任何法律客体都非凭空出现，只有通过充分的证成，使得生成式AI阶段金融科技数据合规的法律化具有合理性与可行性，才能进一步探讨其法律化体系如何构建。

（一）合规法律化的合理性

1. 与数字化金融数据合规治理目标的一致性。自国家“十四五”规划对“加快数字化发展，建设数字中国”提出明确目标要求后，不但数据安全成为国家的重要战略资源，数据合规也成为各行各业数字化转型的必经之路。而金融数据合规也是建立在数据合规框架之下的，是数据合规的延伸与深化。对于宏观角度的金融数据治理来说，合规治理的目标在于：在金融行业数据合规业务的主要法律体系框架下，把握金融数据周期的合规要点，对内实现金融企业的合规管理和自查，对外周全对金融数据合规的行政监管和司法适用。对于微观角度的金融企业来说，一方面，其要认识到金融数据合规的必要性，掌握相关目标与准则，避免遭遇行政监管甚至刑事风险的被动局面；另一方面，也可以通过增强合规性提高自身市场竞争力，保护客户的数据信息安全。

生成式AI阶段金融科技的数据风险也应囊括于数据合规的治理对象框架中，其与金融数据合规的目标在本质上并无太大不同。区别在于，在合规治理的内容上，生成式AI阶段金融科技数据合规更多地关注生成式AI技术失范带给金融科技数据风险治理的新难题。在合规治理的对象上，生成式AI阶段金融科技数据合规治理既需要关注金融科技数据合规视域下的金融企业，还需要关注生成式AI技术本身。

2. 与人工智能风险善治原则和路径的契合性。已有诸多学者对“人工智能风险善治”展开了广泛且有深度的讨论与研究，比如：有学者提出了其三大目标，具体包括控制风险和保证安全、促进生产力和提升竞争力以及优化生产关系和服务群众（唐钧，2019）[15]；也有学者认为应当将人工智能风险作为法学视域下的负外部性进行调控与约束，并且应当与人工智能研发与应用的正外部性激励协调并行（胡元聪和廖娟，2020）[16]。不管人工智能风险善治的分类和路径如何，其最终的目标都是实现对人工智能风险的规制与约束，为技术健康发展蓄能，从而使得技术与社会、经济发展共进。

故而生成式AI技术引发的数据风险是囊括于人工智能风险善治目标里的。生成式AI阶段金融科技的数据风险系生成式AI研发与应用风险在金融应用领域的具体衍生和发展，故而不应当直接摒弃人工智能风险治理的规范路径与法律制度，其中自然包括合规路径。且合规视域下的主体自治、政府监管、法律激励等内涵外延与实践路径将给生成式AI阶段金融科技数据风险治理赋予更多可能性。

（二）合规法律化的可行性

作为AI技术迭代升级与创新过程中衍生的全新法律客体类型，实现生成式AI阶段金融科技数据合规的法律化，需要以相对成熟的法律制度作为基础保障。

1. 已有相关的合规法律化经验作为制度支撑。（1）我国针对生成式AI数据风险的合规治理已有相关法律化基础。生成式AI发展的基础是对海量数据进行处理，目前我国对其数据处理行为进行规范的法律是《数据安全法》和《个人信息保护法》，此外还包括《网络安全法》和一些专项合规监管规定。此后，《互联网信息服务深度合成管理规定》以及《生成式人工智能服务管理暂行办法》（以下简称《服务办法》）先后出台，亦为生成式AI数据合规治理提供了思路。这些法律文件包含的AI合规法律化精神和规则都将为生成式AI技术风险的合规治理指明方向。（2）金融数据风险的合规治理本身也已有制度可供参考。当前我国金融行业数据合规的法律体系已经有了基本的框架和规模，包括《民法典》《刑法》《网络安全法》《征信业管理条例》《个人存款账户实名制规定》等十余项法律法规以及《金融信息服务管理规定》等规范性文件。基于以上金融数据合规法律框架，可以在“解释论”兼并“立法论”的基础上寻求生成式AI阶段金融科技数据合规的法律化路径。

2. 内部自治与外部监管的协同治理功能扩张。（1）生成式AI阶段金融科技数据合规的企业内部自治。合规法律化治理的目的是确保体现“共同利益”的生成式AI阶段金融科技在“善”的轨道上运行（张旭，2022）[17]。内部自治要求生成式AI阶段金融科技技术层面（包括算法与数据）的可靠性，即要求金融科技机构在研发、训练与投入应用生成式AI模型技术时秉持合规义务，在确保自身发展的同时履行技术研发与应用主体和金融主体双重身份的社会责任。（2）生成式AI阶段金融科技数据合规的企业外部监管。虽然监管部门应当充分尊重主动实现金融数据合规“内部自治”的企业，优先适用激励型和宽容型的执法方式，审慎适用强制性程度高的制裁措施（王瑞雪，2020）[18]。但是作为公权力机关的政府应当身负起金融科技机构数据合规义务履行的监管角色，当其出现合规风险甚至违规动作时，需要主动介入，扮演好“看门人”角色（张旭和田园，2022）[19]，对其进行监管，促使其回归合规轨道。

三、生成式AI阶段金融科技数据合规法律化的现实困境

（一）法律制度供给留白

1. 相关法律词义模糊。生成式AI阶段金融科技数据合规的法律化作为一项全新且重要的法律课题，需要对其涉及的关键词涵义进行界定，然囿于我国金融科技数据合规的法律制度较不成熟，相关法律词义未得到较好的法律化表达。

一是关于“金融科技”，虽然金融稳定委员会已经对“金融科技”下了定义②，但是在生成式AI发展之下的“金融大模型”等金融科技并没有形成统一概念。“金融科技数据合规”虽然已被学界讨论，但是其定义并未被真正法律性地表达。此外，生成式AI阶段金融科技数据合规涉及生成式AI技术引用问题，需要对其技术服务提供者和使用者进行准确界定，才能更好地对其法律地位进行确定。

二是“数据化证据”的用语亟待澄清。在生成式AI时代，“数据化证据”这一革新性语词具有逻辑上的可接受性。然而，纵览我国现今的司法诉讼实践，却尚未发现“数据化证据”一词的现实使用。笔者在“威科先行”法律数据库进行裁判文书检索，以“数据化证据”为搜索主题，尚未发现直接使用“数据化证据”的判例，这导致生成式AI阶段金融科技数据合规的法律纠纷在司法证据方面缺少专业用词上的支撑。

2. 制度供给体系杂乱。目前我国生成式AI阶段金融科技数据合规的法律制度供给体系主要由通用性、金融科技专门化以及生成式AI三类数据合规法律制度构成，具言之：

对于通用性，随着数据保护相关法律法规的出台，各行各业都根据《数据安全法》《网络安全法》《个人信息保护法》《网络安全审查办法》等法律法规和标准加强自身数据安全和隐私保护能力建设，生成式AI阶段的金融行业也不例外，其数据合规仍要遵循通用性数据法律制度。对于金融科技专门化。我国当前金融科技数据合规的法律体系尚未形成基本的框架和规模，仅有《金融科技创新自律工作指引（试行）》③直接对金融科技数据合规作出了强制性规定，但尚不具体，且只体现为技术创新方面，涵盖范围较不全面。此外，还零星可见于各项法律法规和规范性文件中，前文已详述，此处不再赘述。对于生成式AI，有一些相关的算法与数据合规法律法规，如《服务办法》《互联网信息服务算法推荐管理规定》以及《互联网信息服务深度合成管理规定》等。但以上法律体系并不能给生成式AI应用下的金融数据风险合规治理提供统一的框架和指引：一方面，各项法律制度之间存在着对生成式AI应用下金融数据合规监管的差异化规定；另一方面，对于生成式AI阶段的金融科技平台的数据合规指引不明确。

（二）执法效能困局

1. 柔性执法效果不佳。生成式AI阶段金融科技数据合规的柔性执法手段以行政引导为主，多偏向于程序性、流程性的引导。如《金融领域科技伦理指引》虽然对金融科技机构的数据合规提出了获取、使用与共享、保存和清除等流程的合规指引④，但是缺乏对合规效果标准的指引，从而无法统一对金融科技机构数据合规的设计与履行进行指导和评价。究其根本，生成式AI阶段金融科技数据合规的行政引导是技术引导还是制度引导，抑或是双重引导，尚无明晰的体现。如果是技术引导，则是着重于向生成式AI阶段的金融科技服务提供者数据获取、使用与生成行为的引航和导向；而制度引导则既注重对服务提供者内部数据合规管理提供方向，也注意对金融科技平台出台数据合规“软法”提出要求。

2. 刚性执法存在阻碍。刚性执法手段主要表现为行政监管。生成式AI阶段金融科技带来的颠覆性、创新性、多样性的金融产品和金融服务大大增加了分业监管体制对混业经营行为的监管难度，造成行政监管困局（徐冬根和杨潇，2023）[20]。

一是执法主体“多头执法”局面。目前，金融科技机构的金融监管部门体系主要由中国人民银行、国家外汇管理局、国家金融监督管理总局和中国证监会等部门组成；针对通用性数据合规，还有公安部门、网信部门、电信部门和工商部门等。当前以上机构界限不明，形成了多头监管的局面，金融科技机构数据合规需要应对不同的监管机构，既不利于其构建科学高效的数据合规体系，也会给其利用金融数据创新业务模式造成障碍（胡玲和马忠法，2023）[21]。

二是现有监管工具适用性不足。截至2021年末，我国已公布149个创新监管应用，基本实现2019—2021年发展规划的目标。2021年12月，中国人民银行印发《金融科技发展规划（2022—2025年）》，提出第二阶段金融科技发展规划和构想，相关创新应用持续公布（陈培林和项建强，2022）[22]。但是，大语言模型的加入与深度应用给生成式AI阶段的金融科技合规监管工具适用带来了新一轮挑战，主要体现为“监管沙盒”制度的执行存在问题。“监管沙盒”具有主体平等性、风险可控性、设计个性化、消费者权益保护差異化等监管应用优势，但是在生成式AI阶段金融科技数据合规方面应用“监管沙盒”，存在准入、运行和退出方面的技术和制度双重困境，遂需构建生成式AI应用下的金融科技“监管沙盒”工具机制。

（三）司法保护不敷

1. 数据化证据适用壁垒。（1）我国目前尚未有“数据化证据”一词的法律化正式表达，进而使得数据化证据的适用缺乏体系化依据。纵使在实际诉讼中数据化证据的确已被现实使用，如有观点主张，“刑事大数据证据”有被使用的痕迹（张全涛，2023）[23]，然而，这些例证多是在持续增长的数据量化背景下，谨慎援引之前的电子数据分析、侦查信息化路径。数据化技术应用也大多仅体现为工具价值，而非基于混乱数据集群获取核心数据的实际应用价值（黄健，2023）[24]。囿于数据化证据在我国证据法上的缺失、证据审查判断规则的缺位，司法阶段的数据化证据在审理、判断时表现形式混乱，在举（质）证时效率低下。（2）由于生成式AI阶段的金融科技融入了大语言模型的数据生成和算法训练方面的技术，故对其所涉及司法案件的数据化证据的获取、保存的安全性与合法性产生阻碍。但生成式AI大语言模型的数据存储具有其特殊性：其数据呈现“多源异构”的复杂情况，通常以“多对多”的发散式形式和数据协议进行获取和使用，遂安全存储成为生成式AI阶段数据保护的瓶颈（曹建峰，2023）[25]。故而在司法程序中，对其数据进行获取与存储同样也存在相当难题。此外，生成式AI阶段金融科技仍存在“数据孤岛”问题，即金融数据由于主体能动性、客体技术性以及制度环境形成的不对称、冗余等封闭、半封闭式现象。这会导致以下问题：在对数据化证据进行调查时与大数据相隔离，所获取与保存的数据证据只是“数据孤岛”影响下的片面或部分证据；由于信息闭塞而无法对获取的数据化证据异常性进行查证，等等。

2. 司法裁判难题。立法供给不足和司法裁判机制的缺失，导致司法机关“难以司法”，甚至“无法司法”。具言之：一是在面对此类案件时，由于立法尚未对生成式AI阶段金融科技的数据违规、违法标准作出准确认定，司法机关对金融科技企业是否侵权或者是否违约等存在认识分歧；二是金融科技数据合规纠纷案件法律适用在民法和金融法等部门法之间徘徊，比如生成式AI阶段的金融科技企业“数据兜售”问题，适用民商法规则的裁判多主张合同有效，适用金融法规则及规范性文件的裁判更倾向认定合同无效，法院有较大的选择裁量空间，导致立法限制与司法自由失衡。

四、生成式AI阶段金融科技数据合规法律化的体系构建

（一）补足立法供给

1. 厘清相关法律词义。（1）厘清法律含义角度下“生成式AI阶段金融科技”的相关含义。《服务办法》规定，生成式AI技术是指“具有文本、图片、音频、视频等内容生成能力的模型及相关技术”⑤，该法也明确界定生成式AI技术服务者是指“利用生成式人工智能技术提供生成式人工智能服务的组织、个人”⑥。何为“生成式AI阶段的金融科技”？从法律用词角度而言，其应为：在“生成式AI技术”与“金融行业”均被监管的法治环境之下，其应履行双重合规法律义务。（2）厘清什么是“金融科技数据合规”。生成式AI阶段的金融科技发展是金融业数字化转型的重要节点，而金融业数字化转型的起点是做好数据治理，需要真正完善数据治理体系，增强数据管理能力，加强数据质量控制，提高数据应用能力。故本文所述“金融科技数据合规”应是在金融科技“数据法治化治理”框架下运用合规工具对生成式AI阶段金融科技数据风险进行防范和规制。（3）确定生成式AI应用视域下“数据化证据”的定义与范畴。结合生成式AI阶段大语言模型材料的定义和范围，生成式AI应用视域下“数据化证据”应以广义的大语言模型材料为基础进行确定，即包括人机交流材料、大语言模型本体相关材料和大语言模型运行环境信息三个部分（徐继敏和严若冰，2023）[26]。申言之，在生成式AI阶段金融科技数据立法场景下，其“数据化证据”应被定义为——与生成式阶段金融科技使用行为相关的、在司法证明活动中可能作为证据使用的所有数据化材料。具体包括金融科技用户与大模型的交互数据、金融科技平台或企业所应用的生成式AI语言模型本体相关数据以及运作环境的相关数据。

2. 整合制度供给体系。一是通过调整优化立法，实现现有通用性数据合规法律制度的协调。应优化我国生成式AI阶段金融科技数据合规的通用性立法指引体系，主要由《服务办法》《数据安全法》《个人信息保护法》组成。应将《服务办法》作为指导性、总领性的立法指引，在其统摄下实现对《数据安全法》和《个人信息保护法》的周延与补足。

其一，主体方面协调。《数据安全法》所规定的合规主体系“在中华人民共和国境内开展数据处理活动及其安全监管”的主体⑦；《个人信息保护法》规定为“在中华人民共和国境内处理自然人个人信息”以及特殊地“在境外处理自然人个人信息”的主体⑧；而《服务办法》规定为“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务”的主体⑨。通过对三项法律制度对数据合规主体规定的共性与差异分析，本文认为应将生成式AI阶段金融科技数据合规主体确定为利用生成式人工智能技术在我国境内研发与应用金融科技技术与服务的企业及相关个人。

其二，法律义务内容协调。一方面，是数据安全内容。应以《数据安全法》为总指导，辅以数据安全相关的金融数据合规法律规定加以约束与规制，如《金融数据安全数据生命周期安全规范》《金融数据安全数据安全分级指南》等。需要特别注意的是，还应把握《刑法》关于保护数据的规定⑩，其同样适用于生成式AI阶段的金融科技数据合规。另一方面，是个人信息保护内容。应适用《民法典》从人格利益角度对于“个人信息定义与保护”的软法规定?。此外，在尊重和保护个人信息人格尊严方面，应在《民法典》总的规定基础上，以《个人信息保护法》为基础性规定，以其他金融数据合规相关的法律法规和规范性文件作为个人信息保护方面的数据合规管理行为操作和数据合规风险预防与处置的具体指引，如《个人金融信息保护技术规范》《App违法违规收集使用个人信息行为认定办法》以及《互联网个人信息安全保护指南》。

二是尝试针对生成式AI阶段的金融科技数据风险出台专门的金融科技数据合规实施条例。金融科技的数据泄露和个人隐私侵权案件不断增多，执法和司法都面临不小的挑战。随着生成式AI阶段金融科技数据风险的翻新与更迭，直接出台单行法律存在较大难度，但是出台国家层面数据合规实施条例有其必要性。需要注重以下几点：首先，注重对生成式AI给金融科技数据合规带来的新挑战进行识别与规制。针对本文第一部分对生成式AI阶段数据合规风险的阐述与总结，立法部门在订立与出台金融科技数据合规实施条例时应充分将该类风险的凸显与嬗变作为考虑因素，使得该实施条例符合生成式AI阶段数据合规风险治理的具体需求。其次，把握生成式AI阶段金融科技涉及的数据跨境合规问题。金融数据跨境合规也是当前金融科技立法领域非常重要的议题，结合生成式AI技术带来的数据跨境安全问题，应当在实施条例的订立中加以考虑。最后，给生成式AI阶段金融科技机构数据合规专项管理体系与制度的构建提供充分指引。该实施条例应当能够为金融科技机构提供生成式AI阶段金融数据合规的基础、专门合规要素，以及为合规管理流程与组织建设等提供法律意义上的指导。

（二）提高执法效能

1. 重视柔性执法。參考英国金融机构数据行政合规经验，其司法部发布了相关实施指南，两份实施指南同时规定了充分程序六项原则，即该国金融机构合规的六项指导原则。其可以帮助金融机构了解其可以制定哪些程序来做好金融数据合规（薛志华和方舒倩，2023）[27]。为完善我国生成式AI阶段金融科技数据合规的行政引导，政府应当发布相关的金融科技数据合规行政引导手册，对金融科技机构的数据合规范围、流程、标准均进行详细的规定。例如，为克服生成式AI技术给金融科技立法滞后性带来的挑战，应在《金融领域科技伦理指引》中补充说明对金融数据合规效果标准的指引，在实质内容与流程程序两个方面实现对生成式AI阶段金融科技企业数据合规的行政引导。

2. 调适生成式AI阶段金融科技数据合规的刚性执法。一是选取混合式监管模式以应对监管部门之间的分工不明和职责不清带来的监管挑战，混合式监管是指监管部门可以根据所在司法管辖区监管机构的性质，以及司法管辖区是大型科技公司的总部所在地还是活动所在地，来对实体监管?与活动监管?两种监管模式进行个性化整合。一方面，针对金融科技应用的技术多样性和金融科技本身发展迅速的特点，采取活动监管模式，数据合规监管部门可以对金融科技机构的数据合规与不合规活动均进行监管，不给监管部门的监管权限加设“金融行业”枷锁。例如，针对研发与应用生成式AI金融服务工具的金融科技机构的个人金融信息泄露行为，既可以由金融科技行业监管部门对其进行执法监管，也可以由信息安全监管部门进行，还可以由生成式AI技术监管部门进行。另一方面，对于固定的金融科技机构实体数据合规管理制度与程序，则采取实体监管模式，对提供受监管的金融科技服务的持牌实体或集团实施监管。二是引入与应用适应性更强的监管工具与系统。善用生成式AI阶段金融科技数据合规“监管沙盒”机制，围绕准入、运作与退出三个阶段展开。其一，明确准入阶段的申请资格和准入标准。在申请资格方面，主体资质和主体构成应该以追求金融科技数据合规但是又不抑制技术发展的原则进行设计；在准入标准方面，应起到“监管沙盒”申请者自我审视金融数据获取、使用与合成的安全与合规的作用。其二，在运行阶段实现金融科技数据风险防控与合规处置的技术化。“监管沙盒”测试的申请者利用大数据、人工智能及其他金融基础设施，搭建数据风险识别与处置合规化的平台，真正实现以技术来监管技术的目标。其三，在退出阶段设置分类分别机制。金融科技数据合规的“监管沙盒”退出应分为被动退出和主动退出。被动退出，即当金融科技机构的测试产品或者技术升级被检验出具有数据合规风险时，将会被监管主管部门停止测试并要求其退出；而主动退出则是由“监管沙盒”申请者自己申请，但是仍受限于特定事由，该事由应由监管部门与申请者提前确定。

（三）增强司法保护

针对前文司法方面存在的问题，本文认为应从完善数据化证据适用机制和加强金融科技数据合规类案研究两方面来补足生成式AI阶段金融科技数据合规的司法保护机制。

1. 搭建数据化证据适用机制。数据化证据成为生成式AI阶段金融科技数据合规案件调查与裁判的重要因素，其适用机制亟须得到完善。（1）应确定数据化证据的适用程序和技术。一方面，在确立“数据化证据”法律化用词后，将其具体化进各项法律制度中并在程序法中增加其适用程序和标准；在司法实践中，考虑将“数据化证据”的价值加以量化，进行分等级获取与保存，使得其得到最大化保护与利用（杨继文，2022）[28]。另一方面，升级数据化证据获取与保全技术。采用一套完整的金融科技数据化证据管理系统，以获取各种来源的证据，以及支持多种格式的整合存储、保护和分析功能。（2）调适数据化证据的司法审查方法。在司法活动中，对生成式AI阶段金融科技数据化证据的审查应分为两个方面：单一审查和综合审查。单一审查可以沿用证据“三性”分析思路；综合审查则强调从整体主义的进路审慎地对待数据化证据，重视自然事实背景的分析和经验法则的理性运用（张迪，2023）[29]。

2. 加强类案研究。（1）明确类案裁判的可视化标准。关键在于能否将金融科技涉案纠纷中的数据合规要素进行提取和分类，然后将前后案件的基本事实在法律评价环节进行研判，实现金融科技数据合规案件事实与金融科技数据合规法律规范的勾连。同时，应将生成式AI数据风险案件进行透析，将其与数据合规案件进行统一类比，寻求最大可能性的案件共性突破，以方便司法机关借由对该类案件的经验来对生成式AI阶段金融科技数据合规案件进行判断和审理。此外，金融科技数据合规主体、合规管理内容与失范行为以及金融数据合规风险的程度大小这些要素也可以作为生成式AI阶段金融科技数据合规类案判断的比较要点。（2）划定合规类案裁判的价值边界。在生成式AI阶段，并不是所有的金融科技数据合规类案都有标准的、成体系的判断要素可供考察，故而需要司法机关进行独立的价值判断，此时则需要对其可以评断的价值边界进行划定。其主要包括：第一，对个案正义的考虑。公平正义是社会主义法治的核心价值追求，必须将其贯彻融入金融科技数据合规案件审理中。第二，对法官自由裁量空间的放权与控制。第三，对技术稳健发展的考量。对生成式AI阶段金融科技数据合规案件进行司法审理的本质是为了保障金融科技在生成式人工智能时代的健康发展，而不是抵制技术进步，即强调生成式AI阶段金融科技数据合规的“司法保护”。同样地，生成式AI阶段金融科技数据合规体系的法律化构建也是出于鼓励技术的研发与应用，为使生成式AI技术在金融科技领域更符合数据风险防控和安全保护的目标和标准。

注：

①“硬法—软法”范式并不是以调整方式和调整范围为标准对实在法体系进行的部门划分，而是以“是否依赖国家强制力保证实施”为尺度对现有法律规范进行的类型化建构。

②即金融服务中以科学技术为基础的创新，产生新的业务模式、应用程序、流程或产品。且我国已进入金融科技3.5时代，正在向4.0时代跨进。

③《金融科技创新自律工作指引（试行）》第五条第一款，第十四條第一款。

④针对数据安全，标准从6个方面划定了相关规范，包括充分获取用户授权、最小必要采集数据、专事专用使用数据、严格采取防护措施、依法合规共享数据、主动清理留存数据。

⑤《生成式人工智能服务管理暂行办法》第二条第一款。

⑥《生成式人工智能服务管理暂行办法》第二十二条第二款。

⑦《数据安全法》第二条。

⑧《个人信息保护法》第三条第二款。

⑨《生成式人工智能服务管理暂行办法》第二条。

⑩《刑法》第二百八十六条第一款、第二百八十七条第二款。

?《民法典》第一百一十条、第一千零三十四条。

?指对提供受监管服务（如接收存款、支付便利化、贷款和证券承销）的持牌实体或集团实施监管。

?指对从事某些受监管活动（例如促进投资买卖或提供贷款服务）的个人或公司开展监管。

参考文献：

[1]龙柯宇.生成式人工智能应用失范的法律规制研究——以ChatGPT和社交机器人为视角 [J].东方法学，2023，（04）.

[2]黄文超.个人金融数据保护与治理：以金融机构数据产权为视角 [J].科技与法律（中英文），2023，（03）.

[3]邓建鹏，朱怿成.ChatGPT模型的法律风险及应对之策件[J].新疆师范大学学报（哲学社会科学版），2023，44（05）.

[4]刘艳红.生成式人工智能的三大安全风险及法律规制——以ChatGPT为例 [J].东方法学，2023，（04）.

[5]宁宣凤，吴涵，张浣然 .AI监管观察｜对《生成式人工智能服务管理办法》的分析和思考 [OL].https：//baijiahao.baidu.com/s？id=1763558366334483600&wfr=spider&for=pc.

[6]Cismag.简述ChatGPT等生成式人工智能的信息安全风险 [OL].https：//www.elecfans.com/d/2093781.html.

[7]夏诗园，尹振涛.数字经济下金融数据风险及治理研究 [J].电子政务，2022，（07）.

[8]袁康，程扬.金融科技的数据风险及其防控策略[J].北京航空航天大学学报（社会科学版），2023，36（2）.

[9]汪寿阳，李明琛，杨昆，林文灿，姜尚荣，魏云捷.ChatGPT+金融：八个值得关注的研究方向与问题 [J].管理评论，2023，35（04）.

[10]张凌寒.深度合成治理的逻辑更新与体系迭代——ChatGPT等生成型人工智能治理的中国路径 [J].法律科学（西北政法大学学报），2023，41（03）.

[11]Maier Torsten，Menold Jessica，McComb Christopher. 2023. The Relationship Between Performance and Trust in AI in E-Finance [J].Frontiers in Artificial Intelligence.

[12]Lin Jing，Ngiam Kee Yuan. 2023. How Data Science and AI-based Technologies Impact Genomics [J].Singapore Medical Journal.

[13]陳永伟.超越ChatGPT：生成式AI的机遇、风险与挑战 [J].山东大学学报（哲学社会科学版），2023，（03）.

[14]董正爱.环境风险的规制进路与范式重构——基于硬法与软法的二元构造 [J].现代法学，2023，45（02）.

[15]唐钧.人工智能的风险善治研究 [J].中国行政管理，2019，（04）.

[16]胡元聪，廖娟.人工智能的负外部性及其经济法规制 [J].大连理工大学学报（社会科学版），2020，41（03）.

[17]张旭.基于人权标准的算法治理新思路：企业算法合规义务 [J].人权研究，2022，（02）.

[18]王瑞雪.公共治理视野下的软法工具 [J].财经法学，2020，（04）.

[19]张旭，田园.算法治理视阈下的企业合规：困境、逻辑与进路 [J].兰州大学学报（社会科学版），2022，50（02）.

[20]徐冬根，杨潇.三重变奏：法律语境下监管科技与金融监管数字治理变革创新 [J].南通大学学报（社会科学版），2023，39（03）.

[21]胡玲，马忠法.论我国企业数据合规体系的构建及其法律障碍 [J].科技与法律（中英文），2023，（02）.

[22]陈培林，项建强.我国金融科技监管工具及工作过程探究 [J].金融科技时代，2022，30（11）.

[23]张全涛.从实践应用到证据法定：大数据证据的理论证成与规则建构 [J].四川轻化工大学学报（社会科学版），2023，38（03）.