数据爬虫技术对金融信息安全的冲击及制度回应

林慰曾

(厦门大学 法学院， 福建 厦门 361005)

数据爬虫是指一种依照预先设置的算法规则和程序，自动抓取特定网络信息的技术。诚如尼古拉·尼葛洛庞帝在《数字化生存》一书中的描绘：“我们正处于一个从原子交换的传统社会到比特交换的数字社会中。”[1]金融数据承载了金融消费者的身份、财产和行为习惯等信息，商业价值巨大，因而往往容易成为被不法分子觊觎的对象。为了摆脱信息泄露和隐私危机，中华人民共和国公安部和中国人民银行等部门和机构多次对侵犯公民信息、涉及金融诈骗和危害网络安全等的金融数据公司进行整顿。

金融数据的广泛收集是其开发的前提条件之一，抓取工具的使用有助于实现金融数据收集的自动化和高效化。既有研究多是基于工具理性的视角而缺乏必要的人文关怀，对金融消费者的个人权利重视不足。在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式颁布和金融行业深化改革的背景下，对金融领域的数据爬虫现象进行探讨有助于补缺相应的制度疏漏，强化金融安全与数据法治建设。笔者从数据爬虫的应用困境这一视角出发，认为金融数据的开发应当在强化金融消费者保护的基础上实现数据的合理流动，试图从制度建构、权利配置和具体应用的逻辑层次提出构建金融信息安全的保护机制，以实现长效化、差异化和精准化的制度安排。

一、不当使用数据爬虫技术损害了金融信息安全

作为信息的电子化载体，数据集中承载了信息的内容并因其可迁移性备受关注。利用数据爬虫技术，非法抓取信息和不当利用数据的行为层出不穷，如违反金融合约超范围获取信息、营销短信轰炸、黑市倒卖征信报告、利用违规行为获得的金融数据进行信用卡盗刷以及互联网金融的“猎杀放贷”或诈骗等。上述不当抓取和利用金融消费者信息及数据的行为尚未得到有效的治理，仍呈现出失序的状态，存在进一步激化数据领域冲突的可能。

(一)恶化数据权利人和数据控制者的关系

数据开发者和数据所有者之间具有相互协调的法律关系，企业数据保护具有功能聚合性和牵涉主体利益的广泛性[2]。金融机构通过预先设置抓取目标和过滤程序，能够将金融消费者的个性化信息转化为机器可读的金融数据。金融机构通过从海量数据中对金融消费者的结构性数据与非结构性数据、身份数据与行为数据以及显性数据与隐性数据，进行深度收集、分析和应用，并过滤大量的无效信息，同时将非格式数据转化为格式数据并应用于金融市场的商业活动。例如，银行可以对金融消费者的消费轨迹和咨询活动数据进行抓取和深度分析，实时捕捉高度关联的指标，从而完善电子银行的信息流程并提高效率。在此环节中，金融信息被转化为更具经济价值的金融数据，同时数据开发者具有了数据控制者的身份。

消费者通过向数据公司等提供个人数据获得服务，部分消费者可能会通过变动数据范围、评估服务好坏和协商合约条款等来实现个人利益的最大化[3]。金融机构的数据开发活动客观上对金融消费者形成了正外部性激励，如果不通过外部化内部成本的方式，这一商业模式注定将不可持续。因此，金融机构和金融消费者达成了关于权利让渡的对价，形成了双方约定俗成的共识性规范：一方面金融机构在享有数据相应权益的同时，新增了履行保障信息安全、防止数据泄露和增加金融消费者福利的义务；另一方面，金融消费者在享受交易的方便和快捷的同时，应对个人权利保持适度谦抑，防止出现个人权利绝对化的单边倾向。

不法分子在利用数据爬虫技术过度抓取金融消费者数据并对该数据加以利用时，就已逾越交易双方默认的数据权利边界。其一，金融数据具有较高的价值密度，兼具精准性和敏感性[4]。其所承载的个体账户信息、交易记录和社交关系等能够降低数据集群分析的负载度，且具备变现的商业机会。其二，不论是垂直层面的深度抓取还是水平层面的广度抓取，数据爬虫技术在使用过程中需要达到抓取人预先的设置目标才会停止。以最常见的通用式数据爬虫技术为例，它以并行抓取数据为主要的特征，往往会造成流量劫持和信息超载，不仅形成了大量的重复页面和碎片化数据，而且挤占了有限的准入端口，使得金融消费者无法进行正常的访问、浏览和点击，损害了其正当权益。其三，以不当手段获取数据资源的主体往往无视既有的各类规范，甚至通过非法获取的数据进行疯狂营销，从而给金融消费者的日常生活造成严重困扰。金融消费者之所以愿意弱化对个人数据的绝对控制权，前提之一就是默认数据控制者能够合理使用让渡的金融数据。这些过度收集信息的行为明显违背《个人信息保护法》第6条所规定的合理、相关和损害最小的法定要求。此外，营销广告通过电话、短信和邮件等渠道无孔不入，这不仅违反了数据控制者的安全义务，而且侵害了金融消费者的生活安宁甚至给其造成财产损失。其四，频发的信息和隐私泄露事件进一步加剧了既有法律资源紧张的局面。未对金融数据有效利用将招致金融消费者的不信任，人们通常会选择更加便捷的手段而非法律以实现对于秩序的需要[5]，因此，监管者需要强化监管尺度。然而，若简单地以严格的数据流转正式规范来替代市场的自发性规范和致诱性制度，则又将在一定程度上弱化数据的交换和流动。

(二)无节制的数据流转弱化了风险约束机制

数据的电子化和网络化特征使得数据能够轻易地超越时空限制进行流转，但数据流转应受到法律和技术的双重约束：一方面，是以禁令或诉讼等传统手段实施有限监管的法律约束；另一方面，是网络传输数据总量暴增带来的对技术要求的提升[6]。由于数据具有可复制性、传输便捷性和低损耗性等特征，相同的数据可能通过数据流转活动被多次出售，进而衍化出不可控制的因素。

首先，从法律层面上来看，以利用数据爬虫技术为代表的数据抓取行为往往缺乏合法性授权，不当使用数据爬虫技术的行为则易构成刑事领域的非法获取计算机系统数据罪和侵犯公民信息罪等，或属于民事领域的不当竞争问题或著作权纠纷。其一，数据控制者需要强化对信息数据的保护，履行金融交易所附带的安全义务。数据的境内流动往往要履行安全评估、知情同意、信息记录和多重授权的义务，而跨境数据流动更是经常受到国家安全审查、出口管制、数据本地化要求和必要性考察等多重限制[7]。其二，缺乏合法性授权的数据抓取人往往有选择地履行自身的安全义务，无视数据流转中的合规要求。例如，部分小额贷款公司为了精准识别申请人的信用水平，利用数据爬虫技术非法获取消费者的征信报告，截至目前，已有不少金融数据公司和相关外包人员因此受到了惩处。其三，从存储安全和使用安全到交易安全，数据管理的难度逐步递增。因为数据流转的存在，数据法律关系不再局限于数据控制者和数据权利人之间的双向关系，而是要求数据控制者必须履行与第三方机构和监管机关等之间的自律性承诺、约定性义务和法定监管要求。数据控制者的安全保障义务需扩展至数据开发和利用的不同阶段，还需囊括数据产品安全、设施安全、体系安全和流转安全等内容，这大大增加了数据控制者履行安全义务的难度。其四，传统违约责任制度无法应对金融领域违约的系统性和传染性[8]，合同的相对性使得数据合约的双方关系无法扩展至数据交易的每一个环节。在缺乏有效惩戒的前提下，仅仅依靠合约各方的自我约束无法规制金融数据流转中的各种乱象，还存在导致隐私泄露的风险。

其次，从技术层面上来看，数据流转中的边际递减规律使得数据的可利用价值逐渐降低。后续使用者为了克服这一现象，不得不采取扩大覆盖面和重复利用的方法来提高数据的使用价值。其一，以《转让协议》《风险提示》和《经营安全承诺》等为代表的规范性文本在客观上构筑了市场主体间的法律约束机制，以实现数据开发和金融消费者保护之间的平衡。其二，上述法律约束机制反映到技术层面，表现为数据控制者采取的“匿名化”和“去标识化”方式。如果想要使经过抓取的金融数据进入数据平台和市场进行大规模的流通，数据控制者就必须消除其具有的足以识别金融消费者的个性化信息。其三，虽然数据流转中存在着去身份化的要求，但是后续使用者可以通过反向技术仍可以对关联信息进行连接和再识别，消费者的用户画像还是无处可藏。例如，部分数据抓取人会利用获得的金融数据进行拼接，精准识别营销对象以进行互联网贷款的“猎杀放贷”，诱使其贷款并骗取其钱财。其四，当数据的连续性、关联性和完整性都相对不足时，数据利用者必须深度挖掘才能有效回收成本。金融数据此时面临着被非法使用、重复使用和无序使用的风险。总之，不当抓取金融数据的行为从数据生产和传输等多方面削弱了数据流转的风险约束机制。

(三)造成数字鸿沟和新的不平等

大数据技术在科学、社会和技术等领域的应用和发展带来了诸多不稳定的变局[9]。以数据爬虫为代表的数据抓取技术为数据利用者提供了丰富的数据资源，金融消费者却囿于有限理性和能力不足等因素未能获得必要的信息。这种不平等表现在双方的地位、获取信息的数量和质量以及潜在机会等多个方面，加剧了双方之间的差距和对立。

一方面，金融机构借助抓取到的资源进行大数据分析，能够获得精准的用户画像，有效识别金融消费者的身份、资产状况、价值偏好和地理位置等信息。部分金融机构往往借助自身在数据信息上的优势地位，利用隐瞒性条款、复杂的产品结构和精心设计的金融合约进行过度牟利。本为打破时空限制和增进金融消费者福利而设置的数据应用，却由于部分金融机构不当获取并非法利用数据的行为削减了数字红利，加剧了社会不平等。在这种情况下，金融消费者并没有因为让渡数据权利而获得合理的对价，相反，掠夺性地开发数据资源泄露了消费者的金融信息，导致了数据行业市场生态的恶化，加剧了金融市场上的信息差距，进而影响了金融平等、金融民主和金融公正。

另一方面，金融数据领域的不平等现象还体现在数据控制者之间。金融机构内部、金融机构与金融数据公司之间以及金融数据公司内部，因为所掌握的数据资源存在差异而形成了不同的竞争态势。在缺乏有效制度监管的前提下，利用数据爬虫技术往往能够给金融机构带来更多的竞争优势。为了摆脱竞争中的不平等状态，有的金融数据公司或小额贷款机构甚至利用数据爬虫技术的程序脚本直接抓取竞争对手的后台信息，以实现简化分析、确定信贷额度和降低成本的目的，这在客观上构成了“搭便车”的不当竞争行为。数据的激烈竞争引致的纠纷也出现在物流公司和互联网公司之间，有时甚至需要监管部门的介入才得以调停。然而，不论是数据利用者的哪一方占据博弈优势，消费者的身份信息和金融信息等在数据控制者强大的数据收集和分析能力下都已暴露无遗，数据霸权进一步凸显了金融消费者的弱势地位。

二、数据爬虫技术下金融信息的保护性利用模式

金融数据领域的保护性利用模式建立在加强对金融消费者保护的基础之上，形成了以权利保护促进数据开发的格局。保护性利用模式强调了数据抓取的合法化，即数据抓取的对象、范围、手段和目的均应符合现行法律的规定[10]。一味地禁止以数据爬虫为代表的数据抓取行为忽视了数据的产权价值和流通价值，从长远来看并不可取[11]。保护性利用模式彰显了可持续发展理念和人本主义思想。金融数据领域的保护性开发能够深度挖掘数据的多维价值，有助于实现正向激励和长远发展等多重目标。

(一)保护性利用模式具有比较优势

如同自然环境被破坏一样，数据生态被破坏后的修复工作的成本相对较高，而且容易产生不可逆转的信任危机。粗放的开发行为无法充分地将数据的资源优势转化为经济优势，不仅过于盲目和短视，而且可能衍化为金融消费者与金融机构的对立，从而招致监管的高压态势。而严格的立法管制客观上不利于数据的自由流动和经济效益的发挥，容易形成制度羁绊。在这种情况下，若不法分子逆法而行却未受到相应的惩罚，则易造成严格制度的空转及数据法治的现实危机。

1. 矫正过度利用的负效应

“知情同意是企业采集用户信息应当遵守的原则与合法性基础”[12]，对数据的开发应当尊重数据的权利性质和归属，实现数据控制者利益、数据所有者利益、数据利用者利益和社会公共利益之间的平衡。然而，过高的经营成本与合规成本并不符合利益最大化的要求。从经济理性的角度出发，数据开发者多会逃避防止隐私泄露、维护交易安全和促进数据合理使用的义务，力图实现数据价值的最大化变现。例如，数据开发者违背金融消费者的意愿，利用数据爬取技术超范围抓取信息、扩大社会网络分析和高强度推送营销信息等。破坏性地开发数据资源是一种短视的利用行为，会使数据生态愈发脆弱，也使那些坚持稳健开发与合规经营的竞争者备受打击。为了保护自身的核心利益，反数据爬虫技术①被部分经营者应用以防止竞争对手不当攫取并利用自身数据，然而这不仅增加了经营者的技术成本，也因为过多的程序性负担降低了金融服务的效率，影响了金融消费者的满意度。

保护性利用模式能够矫正破坏性开发带来的负效应。其一，保护性利用模式具备正当性与合法性基础，能够保障信息和交易安全。以数据的跨境流动为例，国家互联网信息办公室颁布的《数据出境安全评估办法》明确了数据出境的法定条件，即网络运营者如欲向境外传输金融消费者个人信息或数据，应当履行向省级主管部门申报、定期安全评估、出境信息和记录存留以及保障信息主体知情权和选择权等多项具体规定②。在履行了法定条件后，金融机构能够将抓取获得的金融消费者的数据进行跨境传输，强化与跨国金融机构在模型建构、数据分析和反欺诈应用等方面的深度合作。其二，保护性利用模式能够防止金融数据领域的不当竞争和垄断，维护市场竞争秩序。稳健的数据抓取和数据利用行为有利于确认数据权属，通过合理划分所有权和使用权、明确各方权利义务和强化特殊保护形式的途径，构建完善的内部控制与外部监督机制。相较于无节制地抓取并利用数据的短视行为，保护性利用模式能够通过产权制度和法律确认的方式实现对参与各方的正向激励。其三，与传统赋权模式相比，保护性利用模式能够促进数据的合理流动和共享，维护数据领域的信托模式。“数据信托模式以‘凸显隐私保护、降低举证难度、提高救济几率的途径’践行了受托人的信义义务。”[13]保护性利用模式与数据信托模式的理论相契合，能够在平衡各方利益关系和尊重各方需要的前提下实现权利的让渡和利益的交换，使受托人忠于职守，实现数据开发、数据转让、数据共享和数据交易的合规运行。

2. 符合权利义务配置的效率原则

法律规范强调权利义务的效率和成本，朝着社会财富最大化的方向演进[14]。与破坏性开发相比，保护性利用模式符合权利义务配置的效率原则，这表现为数据控制者相较于数据所有者的数据利用效率、正式规范相较于非正式规范的效率以及社会效率相较于个人效率三个层次上的提升。

首先，保护性开发实现了个人与社会公共维度之间的有效沟通。作为金融消费者的个人并不具备充分开发数据福利的认知条件和技术条件，个人与其基本信息的联系不足以使其享有对该项数据的排他控制，如姓名等信息本身并非个人专有。完全将数据的各项权属配置给作为金融消费者的个人会产生较高的沟通成本和交易成本。而将数据开发和利用的各项权属配置给金融机构等数据控制者，则可以避免多次授权的负担，从而提高数据的利用效率。

其次，“原则允许、重要事项授权、例外禁止”逐渐被接受并上升为法律规范，形成了正式规范相对于非正式规范的比较优势。在行业发展初期，数据控制者往往采取“一揽子”授权的形式来规避法律风险。这虽然具有一定的合法性基础，但是由于缺乏法律层面的正式认可而使数据控制者始终存在违法风险。相比之下，在正式规范中，《中华人民共和国网络安全法》(以下简称《网络安全法》)第41条确定了信息收集的基本原则③，明确了信息获取的法定准则和基础性规范，有助于打破数据流通的壁垒，消减市场主体的疑虑。金融数据领域的其他正式规范也在不断完善之中，近年来颁布了《银行业金融机构数据治理指引》《金融信息服务管理规定》和 《金融数据安全 数据安全分级指南》等部门规章或规范性文件，以细化上位法的规定。正是在一般规范和特殊规范的结合中，金融数据领域中关于个人数据出境、金融控股公司和金融机构与第三方机构的关系等现实难题的解决得到了进一步细化，为数据的深度收集和利用奠定了基础。

最后，破坏性开发虽然能够带来短期的经济利益，但是并不符合多层次的效率要求。数据过度私有化和极端化是金融消费者福利开发和行业可持续发展的阻碍，降低了社会效率。金融数据的流通应当是多层次主体之间开放、平等和公开的数据交换，非协作或缺乏分享的开发行为往往易造成单向的极端后果。保护性利用模式将以作为契约集群的制度规范来促进社会总体福利和效率的增加，实现合约对社会的有力控制。

3. 契合制度衍化和竞争的需要

相较于市场主体自发形成的软性规范和柔性治理，以成文法规和公权监管为要义的保护性开发模式能够改变私人主体利益偏私、执行力有限和权威不足等弊端。在从非正式的规范上升为正式法律的过程中，数据法治实现了从无序到有序进而到优化的历史转变。“中国既往在信息权保障领域的公法研究主要聚焦于信息公开而鲜少涉及信息保护。”[15]侵犯公民个人信息的犯罪主要由刑法进行惩戒，而单纯依靠刑事治理手段无法应对金融数据领域多变的现状，金融数据治理因此将刑事惩罚和行政监管并重，并日益强调对金融消费者的保护。

合理的数据抓取行为将在尊重各方权属的基础上，充分发挥数据分析的商业价值，这对数字经济、平台经济和行业的智能化转型都至关重要。从制度竞争的维度来看，保护性利用模式有利于深化数据治理的层次，提升中国的国际竞争力。数据法治的发展水平将决定一国数据行业的发展水平、发展速度和发展质量等，且日益成为衡量制度竞争的重要标准。美国作为信息技术水平领先的国家之一，上至各级政府，下至各类企业，多会制定自己的大数据战略，以实现数据价值的最大化[16]。除了美国联邦政府颁布的《金融服务法现代化法案》和《金融消费者保护法》等外，美国各州也纷纷颁布了数据保护法案，如加利福尼亚州率先颁布并完善了《加利福尼亚州消费者隐私法案》，对数据领域的集中矛盾进行了回应。在中国，全国人民代表大会和中国人民银行也积极将信息治理的相关法律列入工作计划。消费者的信息保护制度将是金融数据安全的重要支撑，谁能在数据制度的建设中先行一步，并妥善处理数据不当抓取等焦点问题，平衡数据开发与消费者保护之间的矛盾，就更能发挥数据对于新经济模式的推动作用，从而形成产业优势。

(二)稳健的数据抓取和流通是保护性利用模式的核心

稳健的数据流通是保护性利用的基础。数据发展的要义就是在法律允许的范围内通过共享和开放最大化地实现数据的商业价值。在获得合法性授权的前提下，以公有或授权的数据库为抓取对象，金融机构能够利用抓取技术实现对金融数据的稳健利用。保护性利用模式并非强调对数据价值的不充分开发，而是力图平衡商业数据开发的程度与个人信息保护的力度，实现金融信息化和市场化的长久发展。然而，通过数据爬虫技术违法抓取并对获取的信息加以不当利用的行为，虽然实现了数据的流动，但是往往与数据所有者、数据控制者和监管机构的意愿相悖，从而容易造成相互对抗以及零和博弈的短视局面。

1. 拓宽并保障金融消费者的权利

一方面，数据抓取活动对于数据开发至关重要。数据领域普遍存在各种陌生的待开拓的商业模式。摩尔定律揭示了数据爆炸性增长的规律，然而，相较于金融行业智能化转型的数据缺口，现有的数据资源仍然呈现出有效信息供给不足的困境。合理抓取的数据将形成数据资源库，构成开源代码并被应用于行业的建模和分析之中，这有助于强化不同主体之间的数据交流，并推动应用领域商业模式的形成。另一方面，相较于无节制地开发金融消费者数据的行为，保护性利用模式下的数据利用通常以开放数据为抓取对象，具备事前阶段的合法性授权与正当性基础，不构成违法或犯罪行为。

建立在数据抓取的深度应用之上的金融创新革新了金融服务模式，使现代金融消费者获得了前所未有的体验。其一，借助收集到的金融数据并进行合理分析、功能聚合和优化经营，金融机构能够通过智能端口的“金融超市”，提供形式多样、内容丰富和场景各异的金融产品，从而使金融消费者可以足不出户地选择心仪的金融产品，这有助于保障金融消费者的选择权。其二，由金融数据、金融基础设施和金融接口构筑的数字化金融，能够使金融消费者轻松地获取所需的金融资源，满足其在日常支付、现金存储、资金融通和个人理财等方面的需要，扩展其权利范围。其三，相较于传统金融机构标准化和模式化的服务，现代金融机构能够借助大数据、云计算、人工智能和互联网等技术为金融消费者提供差异化和个性化服务，从而满足不同金融消费者的异质性需要。其四，金融数据的开发和利用来源不应仅局限于金融消费者，银行等金融机构也需要定期对自身信息和发展的相关数据进行抓取、分析、评估和推送，从而使金融消费者可以通过新闻媒体、银行自我公开和政府公开等渠道来获得所需的信息。这不仅有利于缩短金融机构与金融消费者双方之间的信息差距，而且有利于在满足金融消费者知情权的情况下优化其消费决策。

2. 完善金融基础设施并助力金融监管

大数据时代监管者既是金融数据的生产者、收集者和存储者，也是金融数据的使用者和经济受益者[17]，数据的抓取只是利用数据爬虫技术的步骤之一，对数据进行解析和分类处理才是数据爬虫的主要目的。为了满足监管需要，监管者有时会直接进行数据抓取，或者对金融机构等市场主体抓取的数据进行进一步利用。美国监管机关正是通过大数据的收集和分析，对体量巨大、类型庞杂和关联巧妙的金融数据进行主体识别、产品识别和可视化分析[18]。割裂的统计标准和信息不利于构建统一的金融尺度，也会影响不同监管机构之间的交流。在稳健开发的模式下，数据行业的合理发展对于矫正不当行为、填补数据缺口、开拓原始数据和丰富数据存储具有积极影响。例如，在反洗钱领域，监管机构通过对控制节点数据进行抓取和清洗，通过预先设置的监测指标在控制节点对增量异常的数据进行识别，实现数据格式统一、自动化报告、智能监管和非现场的联动，预警与洗钱相关的违法活动的发生。金融数据的合理抓取与应用有助于充分提高监管的科技水平，实现降低合规成本和提高金融监管效率等多重目标。

3. 践行金融机构的社会责任

由于数据抓取和分析的存在，银行等金融机构的社会责任被赋予了新的内容，相关金融企业的社会责任理念必须与时俱进[19]。为了防止信息和隐私泄露，以合理谨慎为内核的信息安全保护义务是金融机构和数据平台等履职尽责的应有之义[20]。在保护性利用的数据开发模式下，商业银行等金融机构应当履行保障金融消费者选择权、防止电子信息披露、提供金融消费者在线教育服务、保护网络银行和服务软件安全以及维护信息安全和隐私保护等多项义务。

其一，合理稳健的数据开发模式取代了短视的数据利用行为，银行等金融机构通过金融数据的抓取和开发，通过场景服务形成网络化和高效化的在线银行和智能处理系统，以实现金融机构之间的良性竞争。其二，稳健抓取和利用数据的行为既有助于金融机构优化经营业绩和回报股东，又能够在无形中形成对金融消费者的保护，还可降低监管者的监管难度和压力。其三，保护性利用模式将充分考虑金融消费者的弱势地位和非理性行为，通过法律对数据关系者各方的利益进行预先分配和规制，改善金融消费者在数字时代所面临的资源贫困和被边缘化的现状。金融的数字化不仅是金融机构履行职能的过程，而且在客观上打破了金融数据的时空限制，进一步推动了金融资源的合理分配，从而有利于金融机构自觉践行社会责任。

三、数据爬虫技术下金融信息安全的法律保障

大数据时代，侵犯金融消费者信息权利和个人隐私的方式日益多样，数据爬虫技术就是其中之一。以数据爬虫技术的应用为代表的不当利用行为呈现出形式隐蔽、因果关系复杂且危害明显的特征。例如，金融消费者的点击、收藏、分享和购买等行为都被数据控制者记录并利用，而金融消费者却浑然不知。更令人担忧的是，由数据爬虫衍生的精准推送等商业行为实现了有选择的信息供给，起到了价值渗透和思维引导的作用，金融消费者甚至可能需要重构道德规范以适应大数据时代权利和责任的背离[21]。鉴于金融消费者的生活轨迹和个人信息等已赤裸裸地展现在具有绝对优势的数据控制者面前的现状，强化对金融消费者的信息保护势在必行。

(一)明确个人信息权保护与个人隐私权保护的差异化配置

现代社会，个人隐私已成为横跨“公私两域”的复合性权利，传统的私法保护模式已不能适应时代的发展[22]。个人信息权和个人隐私权是两种不同的概念，但在实践中常被混为一谈，因此监管者和学者有必要达成一个有助于认识并区分二者之间异同的共识[23]。个人信息权与个人隐私权在语义范畴、权利内容和保护方式方面具有差异[24]。此种学理上的探讨已为立法机关所认可，《中华人民共和国民法典》第1032条和第1034条对个人隐私和个人信息进行了概念陈述和专条保护④，二元制的分类方式并未将个人信息权置于个人隐私权的内涵之下，而是明确了个人信息权的独立地位。

其一，从权利目标的差异化配置来看，个人信息权侧重从维护公共秩序的视角来维护个人信息权利；而个人隐私权则侧重从维护个人利益的视角来防止个人权利被侵害。大数据时代的个人信息权保护意味着金融消费者将以谦抑的姿态面对个人信息被他人合法使用的情况；而传统的个人隐私权保护则无法回应信息从个体性到社会性的转变。网络时代的信息治理意味着国家将长远地而非短期地，以群体利益而非个体利益，以共性规范而非个性规范对信息乱象进行治理。其二，从权利内容的差异化设定来看，对信息开发和利用的相关内容通过个人信息权加以规范，而对个人自由或人格尊严等相关内容则通过个人隐私权加以保护。2021年颁布的《个人信息保护法》明确规定了有关信息收集、存储、使用、加工、传输和公开的各项要求，针对信息泄露和滥用自动化工具等行为作出了针对性的回应。对于不当抓取金融数据的行为，《个人信息保护法》提供了明确的行为指引和裁判依据。“设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构，有助于实现数据财产权益分配的均衡”[25]，并可提高对金融消费者的保护水平。其三，从权利保护的差异化方式来看，一方面，个人信息权的落实通过完善信息自决、知情同意、可撤回权和跨境传输等方面的细节性规定来实现，这充分保障了金融消费者的知情权、公平交易权和自主选择权等具体权利，从而有效规制了金融机构等肆意抓取金融数据的行为。换言之，对个人信息权的保护将在个人合理让渡部分权益的情况下，通过法律的主动干预来形成个人信息价值的最大化，从而实现个人利益与商业利益的共赢，促成对个人信息权保护的积极形式。另一方面，个人隐私权保护则从消极自由的层面出发，保护金融消费者免受侵扰。对于涉及传统生活中的身份信息和财产信息等金融消费者不愿意公之于众的内容，滥用数据爬虫技术的行为如果造成了金融消费者这部分内容的泄露而给其人格利益造成损害，那么金融消费者则可以寻求个人隐私权的庇护以维护自身人格尊严与自由。个人信息权与个人隐私权的划分将对金融消费者保护进行体系指引，强调个人信息与个人隐私的差异化配置将避免价值目标的混乱和保护形式的错用，进而实现价值统筹和体系统筹的目标。

(二)强化个人信息数据的公法保护

当前人们正处于个人数据保护方式较为冲突的时期[26]。相较于直接赋予金融消费者各项权利，完善制度设计和强化外部监督的公法途径成为了优化制度的惯性选择。欧盟在信息数据领域的立法就以高标准的数据保护和密切注意数据共享时的个人隐私而闻名[27]。《中华人民共和国数据安全法》(以下简称《数据安全法》)第6条也明确了数据领域多头分业监管的要求⑤，强调金融主管部门应当对本行业和本领域的数据安全问题负责。这有助于明确一行两会的监管责任，加强对不当利用数据爬虫技术非法抓取金融数据的行为进行监管。格式化的条款和严格的保护程度并不代表金融不自由，相反，由于金融消费者的有限理性和弱势地位，倾斜性的立法配置将有助于实现信息控制者和信息所有者的实质公平，体现了立法者的人文关怀。

金融行业和金融体系的发展需要与之相适应的政府权力对其加以规制[28]，而国家的主动干预是法律影响金融的重要形式[29]。其一，基于刑事处罚和行政处罚的存在，公法保护将形成必要的外部威慑，敦促金融机构进行必要的内控合规，迫使试图利用数据爬虫技术盗用支付记录、财产信息、验证码和金融账号的潜在行为人恪守法律红线，减少侵犯公民信息和侵入计算机系统等犯罪行为的发生。《网络安全法》第21条和第25条从等级保护制度、责任人制度、数据加密和应急处置等方面明确了网络运营者在经营过程中的行为规范；第27条针对窃取数据和危害网络安全的行为进行了否定评价，滥用数据爬虫和侵害金融消费者信息的行为或将面临一百万元以下的罚款。金融信息的公法保护有助于从整体层面上改善金融消费者信息保护不到位的窘境。其二，数据的抓取、收集和利用应当以合法正当的形式开展。不论是依法应当获取的行政许可，还是《数据安全法》第33条所规定的数据来源说明和信息留存要求，监管者都可以通过事前阶段的资格准入和事中阶段的行为规范等途径来有效规制滥用数据爬虫技术抓取信息的行为，避免协会章程和行业公约等非正式规范的内容泛化和利益偏私。其三，公权介入信息和数据治理应当避免极端化的倾向。“个人信息处理行为的规制原则应当是防止滥用而非严格保护”[30]，公法对信息的保护应建立在稳健的数据流动的基础之上。其四，强调金融消费者信息和数据的公法保护并非对私法保护路径的轻视。私法规范将从版权法与合同法等领域强化数据权利人对自身财产的排他性控制，以实现对个人财产的保护。在金融消费者的信息治理中，公权介入和私法保护的路径虽不同，但二者将共同促进数据流动和数据产业发展。

(三)完善金融场景确权与保护机制

由于信息的可流动性及范围不固定性，对个人的金融信息进行保护难度较大。“个人信息的定义是动态且高度依赖于具体场景，无法做静态的类型化界定。”[31]个人信息的保护应当置身于具体的场景中来完善场景确权与保护机制，以应对灵活多变和时刻流动的难题。数据平台的类型决定着数据生态的结构和形态，在平台的场景端对金融消费者进行权利确认和保护就显得尤为重要。概括性授权往往过于笼统，无法真正实现风险提示的目标，因此，金融信息和数据的治理应当建立并完善场景确权与保护机制。

其一，应当明确企业或平台信息提示的法定义务，在场景端对金融消费者进行必要的风险提示。金融机构如欲抓取并利用金融消费者的金融数据，应当首先在线上或线下的场景中进行必要的风险提示，说明抓取的范围和风险防范措施等，以获得金融消费者在事前阶段的合法性授权。金融信息的场景端提示能够为金融消费者决策提供必要的信息，防止冲动决策。例如，欧盟《一般数据保护条例》中的数据保护官制度就是通过在企业的场景端设立必要的内设监督机构来实现对个人数据的最小化成本和最大化保护。其二，应当对既有的信息进行必要的分类，实现特殊授权与一般授权的差异化安排。虚拟智能和默认的选择是互联网时代数据隐私的发展潮流，但也需要偶发的主动选择[32]。金融账户信息系《个人信息保护法》第28条明确规定的敏感个人信息，对此类数据的抓取和利用应当充分考虑对象的特殊性，因而需要给予金融消费者必要的额外提示。在中国人民银行发布的行业标准性文件中，根据金融数据对国家安全、公共利益、企业合法权益和个人隐私的影响程度，对金融数据进行了五级标准的划分⑥。金融数据的分级将实现对不同对象的精准保护，未来应考虑进一步细化分级的保护方式并落实相关的责任机制。其三，应当保障消费者的可选择权，完善退出机制的权利保障。仅靠默示同意和事后救济无法充分保障金融消费者的信息权，金融消费者应当享有选择的自由。金融机构不应以拒绝服务的方式迫使金融消费者接受其数据抓取的要求，而是应当保障基础的金融服务。如果金融消费者拒绝金融机构及其合作商新增的数据抓取和利用的要求，除去金融消费者明确退出之外，金融消费者享有的权益不应低于服务条款更新前的状态。唯有如此，才有利于实现信息权利的全流程救济，充分保障金融消费者的权益。

四、结论

数字时代，人被抽象为数据的集合体，利用数据爬虫技术进行的过度数据抓取和利用的行为引发了人们对于金融数据过度开发的担忧。由于数据控制者往往有意忽略金融消费者的信息安全，从而导致了数据权益分配失衡现象的产生。为了实现数据红利的最大化，金融数据的开发应当立足于行业长远发展的目标，以强化金融消费者信息保护的形式实现数据的稳步流动。监管者要积极面对大数据时代的监管难题，建立起从原则到规则的监管制度。在这一进程中，逐步纠正失衡的数据法律关系，明确金融消费者所享有的具体权益。

注释：

① 反数据爬虫技术，是指通过IP地址、身份和验证码等核实手段，针对异常访问所采取的入口、流量和速度等限制，以防止他人抓取数据的行为。

② 参见：《数据出境安全评估办法》第3条、第4条和第8条等。

③ 参见：《网络安全法》第41条：“网络运营者收集、使用个人信息，应当遵循合法、正当和必要的原则，公开收集和使用规则，明示收集和使用信息的目的、方式和范围，并经被收集者同意。”

④ 参见：《民法典》第1032条：“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露和公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息。”《民法典》第1034条：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息和行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

⑤ 参见：《数据安全法》第6条：“各地区和各部门对本地区和本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育和科技等主管部门承担本行业和本领域数据安全监管职责。公安机关和国家安全机关等依照本法以及有关法律和行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照本法以及有关法律和行政法规的规定，负责统筹协调网络数据安全和相关监管工作。”

⑥ 参见：《金融数据安全数据安全分级指南》5.3.2。