金融机构个人数据保护义务的履行困境与法律回应

2023-02-24 04:16周坤琳吴忠奇
关键词:权益义务金融机构

周坤琳 吴忠奇

(1.中南财经政法大学 法学院,湖北 武汉 430073;2.西南政法大学 经济法学院,重庆 401120)

一、个人金融数据权益保护面临制度沉疴

(一)个人金融数据权益与法律义务的界定

个人金融数据权益并非严格意义上的法律概念,学理上尚无统一的定义。《个人金融信息(数据)保护试行办法》《个人金融信息保护技术规范》将个人金融信息定义为金融机构在提供金融服务、产品或者通过其他途径收集、加工和保存的信息,此处对信息的理解异于《中华人民共和国民法典》(下文简称《民法典》)第一千零三十四条对个人信息的规定(1)个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。。笔者对个人金融数据的界定采取“识别说”,与《民法典》中对个人信息判断的标准相同,本文中的个人金融数据指的是个人金融信息经过加工处理后,可脱离信息载体独立存在的具有使用价值的内容,即金融机构在提供金融服务或产品的过程中处理的数据,该类数据能单独或与其他数据结合识别到特定自然人。本文对个人金融信息与个人金融数据的概念采用混用,不作进一步区分。

金融消费者与金融机构之间的法律关系剖析是数据权益保护义务研究的基础。综合规范层面和实践层面的现状,笔者梳理双方关系,大致如下。其一,关于双方签订协议的性质。金融消费者在购买金融产品或者接受金融服务时与金融机构签订的协议为客户服务协议,金融机构在此基础上开展对客户个人数据的收集、加工处理活动。其二,关于金融机构的义务。金融机构在数据处理活动中应承担一定的义务,包括数据安全保障、合理使用数据等。其三,关于数据主体的权利。金融消费者享有知情权、删除权等数据权益,但其权利的行使依赖于金融机构义务的履行。

基于服务协议和隐私政策对金融机构与金融消费者之间的法律关系进行分析,并不当然意味着金融机构所承担的义务是基于合同约定。实践中金融机构往往是处于信息优势、专业优势的一方,金融消费者对相关条款及其附着权益的理解往往信赖于金融机构,由此双方存在信托关系。本文从信托受托人视角类比分析金融机构与金融消费者之间的义务关系,受托人可概括为是对另一个人具有可靠信任度且负有特殊义务的人。[1]金融消费者自选择金融产品之时起,便与金融机构之间存在信任关系,且这种信任关系贯穿于信息收集、加工处理、对外共享等过程。基于信任关系,金融机构对金融消费者有注意义务和忠诚义务。而仅依靠私法保护,远难达到维护市场秩序和平衡主体权益的双重目标。当然,在金融机构义务构设中类比信托义务理论,并不能解决所有的金融数据权益保护问题,信托义务理论的重点是将对特定金融消费者保密和忠诚的职责转为可信赖和公平竞争的义务[2]。

(二)个人金融数据权益保护亟待加强

1.金融数据主体怠于行使权利,架空义务性规定

我国《民法典》在吸收《网络安全法》《消费者权益保护法》《个人信息安全规范》等相关法律法规和国家标准的基础上,规定了信息处理者在处理过程中应遵循的义务。《民法典》为个人信息和数据保护奠定了法律依据,赋予了数据主体查阅、复制、提出异议、要求删除等权利。金融消费者具有相关权利保护自己的金融数据,但鉴于信息了解程度、专业知识等原因,相较而言,仍处于弱势地位。加之便利动机、救济不畅等原因,个人金融数据主体往往怠于行使权利。个人信息或数据权利的实现,有赖于信息处理者义务的履行。

2.金融机构履行义务的实践困境

部分金融机构内部数据保护措施难以满足金融数据安全保障义务的正常履行。一方面,时下部分中小型金融机构特别是初创型小微金融机构,因防护技术、资金等限制,虽知晓法律或规范性文件中关于个人金融数据保护的义务性规定,仍未能将分级保护、最小授权、数据脱敏等数据保护原则贯彻至业务系统设计;另一方面,诸如《个人金融信息规范》《金融数据安全 数据生命周期安全规范》等部门规章的出台因缺乏强制性效力,加之金融机构在短期内难以将义务履行变现为实际竞争力,作为有限理性金融人往往基于成本考量而忽视标准中关于义务性的规定。

实践中,金融机构通过大量收集、整合加工个人金融数据并加以利用,已经使得数据利用成为金融机构进行业务运作、产品开发、服务升级的重要手段。金融机构作为具有先天优势的一方,实践中对消费者个人数据保障义务的履行程度参差不齐,缺乏系统的合规指引,现有规范性文件中规定义务遵守程度较低,违反义务后的责任承担方式不明,存在基本制度设计“沉疴”症状,个人金融数据权益保护亟待加强。[3]有鉴于此,厘清金融机构对金融消费者个人数据的保障义务,一方面,有利于弥补金融消费者的弱势地位,保障金融消费者的数据权益;另一方面,能够为金融机构履行义务提供合规指引和责任承担的判断依据,推动金融企业合规健康发展。本文尝试对金融机构保障消费者个人数据的义务进行类型化研究和体系构建,同时探索义务履行背后可能的保障机制。

二、个人金融数据权益保障的法律困境

效率价值是优先品,安全价值是必需品。毋庸置疑,效率价值是金融业发展的首要目标。2020年5月,中国人民银行与国家市场监督管理总局签署《数据共享合作备忘录》,旨在提高金融数字化惠民利企能力。在金融数据愈发成为数字经济重要生产要素的背景下,保障金融消费者个人数据安全,是夯实数据基础必不可少的一环。反观现状,金融行业发展对数据价值的需求增多,金融数据权益纠纷层出不穷,数据侵权屡禁不止,违法成本低且追查难度大,这不仅是利用与保护之间的冲突,其背后更是效率与安全的价值失衡。金融行业想要形成良性循环的发展闭环,应厘清安全与效率之间的关系。

(一)法律价值冲突:效率价值与安全价值的取舍

1.效率价值的追求

效率是指最有效地使用社会资源以满足人类的愿望和需要。[4]金融机构对数据的利用旨在减少成本,降低风险,进行产品和业务的创新,数据加工处理的各环节无不体现着对效率价值的追求。当然,法律语境中的效率与经济学上的效率概念相似,但不同于法律部门的效率价值取向,民商法中对效率价值的追求主要是对个体效益和效率的保障,符合经济人的趋利性,经济法领域的效率价值取向主要侧重于对整体效率的追求[5],在保障个体效率的同时,追求整体效率的提高。实践中为提高个体的效率,金融机构在挖掘与利用金融数据商业价值的过程中,往往存在过度收集、强制授权、无限期保存数据等行为,其违法利用的负外部性不仅不利于社会整体效率的实现,也让消费者个人金融数据处于危险状态,不利于法律安全价值的实现。

2.安全价值的维系

“安全”在汉语中意为没有危险,不受威胁。法律价值中的安全是指法律通过防止危险因素的发生,力求实现社会子系统基于其要素的合理结构而形成的安定状态,也包括社会主体对该状态的认知评价和主观体验[6]。当然,安全价值是公平价值的应有之义,在经济法语境下主要体现为维护市场运行秩序和保护弱者的法律价值。个人金融数据保障背后的安全价值,是金融消费者对个人数据不被非法收集、非法使用、非法储存的诉求,是消费者不因购买金融产品或接受金融服务而丧失对数据控制的权利。随着个人金融数据商业价值的彰显,金融机构的金融创新、营销服务和风控模型都离不开对数据的挖掘,创造价值的同时给个人金融数据带来了未知的危险。

“皮之不存,毛将焉附?”在金融市场中安全价值属于必需品,效率价值属于优先品,当安全与效率发生取舍冲突时,应遵循安全大于效率的准则。正如Ronald Dworkin所提出的,“除了安全,道德、宗教等都不能限制自由,为了保证人们的安全和私人财产,使人们能够选择和实行各自的人生计划,这些法律限制是必需的。”[7]

(二)现有义务困境:难以实现对数据权益保障的法治目标

根据对法律义务的定义式解释,法律义务是指主体应当采取的行为模式,是引起偏离模式行为者的法律责任的理由,具体可解构为“应当”“行为”“引起法律责任的可能性”三种要素[8],其构成要素也可分为基本构成要素和补充构成要素。《民法典》中对信息处理者的义务进行了规定,这对处理者义务体系的构建而言是一个良好的开端,而具体的义务规定及其执行效果有赖于该义务本身的内容。从已有的规范性条款出发,结合法律义务的模式与构成要素,实践中金融机构对个人金融数据的保障义务主要存在两个问题。其一,在应当层面上行为要求缺乏统一标准;其二,在行为层面上缺乏指引,加之金融机构缺乏履行义务的积极性,出于合规成本的考量,往往不履行义务,空置已有的义务规定,最终立法对金融机构数据利用的行为约束极其有限,难以实现“理念的法”向“行为的法”转变和立法者保障个人数据安全的初衷。结合法律义务的模式与构成要素,可将现有义务规定难以实现数据保护法治目标的原因归结如下。

1.缺乏行为要求和行为内容的系统规定

行为要求是法律义务的表征,行为内容是法律义务的源泉。行为要求是立法者意愿的体现,是“稳定行为的期待”[9];行为内容是根据行为要求作出的行为,位阶越高的法律对行为内容的规定就越简略。《民法典》属于法律位阶较高的法律(2)对《民法典》与计划出台的《个人信息保护法》等专门性法律之间的关系,对两者是否为一般法与特殊法,不同学者持不同观点,本文暂将《民法典》作为金融信息(数据)相关法律规范的一般法和上位法。,对金融机构义务的规定较为简略。实践中对金融机构数据安全保障义务规定较全的规范主要以行业标准的形式存在,规定较为全面的如《个人金融信息保护技术规范》《个人信息安全规范》《互联网个人信息安全保护指南》《信息安全技术 网络安全等级保护定级指南》《个人健康信息码》《中国人民银行金融消费者权益保护实施办法(征求意见稿)》《金融数据安全 数据生命周期安全规范》等,但各规范规定的义务在概念界定、术语表达、行为要求等方面各不相同,甚至部分规定之间相互冲突,很多金融机构在实践中需要进行复杂的判断才能适用,这为不履行或不当履行义务留下了可能的空间。

2.难以衡平合规义务与成本的利益考量

义务本身意味着付出,义务履行之果却不一定是利益。但从长远来看,义务的履行仅意味着利益的损失而无所得,则证明法律体系不公正[10]。行为主体对义务的履行能获得正面的社会评价,形成良好的社会秩序。当下,合规成本与违法成本的考量是金融机构违规利用数据的主要原因。从合规成本来看,我国存在大量中小型金融机构,其数据基础设施建设薄弱,技术能力和竞争力较差,要符合行业规范的义务规定要求,需要在前期进行大量的资金、人力投入,且义务履行带来的效益主要是通过取得客户信任,树立品牌效应,形成长期竞争优势,在短期内可能看不到直接成效。从违法成本来看,金融数据收集成本较低,过度收集、利用能带来直接可观的经济利润,加之侵权发生时监管机构难以固定证据,难以量化损失,金融消费者本身难以察觉,追责可能性低,诱导大量金融机构违法利用金融数据,甚至与民间“大数据风控公司”进行交易,以获取更多的数据利益。总之,金融机构作为理性经济人,在对合规成本与违法成本进行考量后,难免对个人金融数据进行违法利用,更不用说主动去履行数据安全保障义务。

3.传统义务范式下难以有效规制金融机构

与传统私法上的义务不同,金融机构义务具有经济法上的公法性质。传统范式下对法律义务的研究和规定依赖于对相应权利的研究,但对于金融机构这一特殊机构而言,金融数据安全保障义务更具经济法属性。一般而言,刑法上的义务包含有积极作为的义务和消极不作为的义务,私法上的义务一般是积极义务、对人义务,但依此体系并不能有效规制金融机构侵犯数据权益的行为。于金融机构而言,一方面,金融机构可通过交易时的合同约定有效避免私法上积极义务的承担;另一方面,鉴于刑法的义务往往具有谦抑性,除构成刑事犯罪的严重行为外,金融机构较轻的侵犯权益的行为往往得不到有效规制,出现监管真空。据此,金融机构对数据权益所负有的义务具有经济法的性质,即兼具积极义务和消极义务,既鼓励或要求金融机构积极实施某一行为以提高金融消费者的福利,亦禁止金融机构实施损害市场秩序或金融消费者合法权益的行为。

三、构建金融机构义务体系的必要性

(一)赋权保护模式:难以保障法律功能的实现

1.权利主体层面:消费者弱势地位决定其难以保障自身权益

信息不对称是消费者处于弱势地位的重要原因,而消费者权利意识薄弱,或者说对风险的认知理性不足,进一步加剧了其弱势地位。对弱势群体的立法保护路径,要么给与直接或间接的利益,要么赋予其特定的权利或赋予其交易对象或其他主体更重的义务[11]。而通过分析现有立法及未来立法规划可知,对数据或信息的保护构架大多基于赋予弱势主体权利,但在实践中权利主体往往怠于行使权利。[12]在金融惠民利企、普惠金融的政策鼓励下,金融机构设置不同消费场景以满足个人在不同场景活动中的消费需求,该过程的实现需要时刻收集客户或潜在客户的信息,在网络碎片化阅读盛行的背景下,相比动辄上千字的隐私政策和服务协议,消费者更愿意以隐私换取便利(如表1),至于个人信息被收集后形成的数据,对其生命周期、利用方式就更无暇顾及。在主体自身权利意识薄弱的背景下,在信息获取、技术能力、风险控制等方面都处于优势地位的金融机构进行系统的义务研究,是数据权益得以有效保障的必然路径。

表1 关于金融APP隐私保护问题问卷调查结果(3)笔者以微信小程序的形式对203名微信用户就“金融APP隐私保护问题”进行了线上问卷调查,调查对象均为有购买或接受过金融消费或服务经历的用户。

2.义务主体层面:过度赋权模式可能增加其金融交易成本

义务体系的欠缺引发对数据权益的担忧,进而有可能引发权利泛化,增加交易成本。与消费者本身权利意识薄弱相反,随着权利意识的觉醒和权利本位思想的流行,越来越多学者主张赋予数据主体相关的权利。尽管《民法典》中明确规定“个人信息”受保护而非“个人信息权”受保护,但实践中仍有行业标准对相关权利进行规定。无可厚非,一般新型权利的出现都是由单行法先明确其性质和运行的基本制度,再由民法与之衔接保障其实现,而非事先确定一个新型权利再由其他法律进行衔接[13]。若一项数据权益因义务未履行而长期得不到保障,且该项数据权益较为重要,则其有可能被界定为一项新型权利。毋庸置疑,新型权利的出现体现了主体的权益诉求,也弥补了立法滞后性的问题。但在强调主体享有各项权利的背景下,泛化的数据权利配置可能导致冲突争端的风险性增高,并过度限制金融机构的行为自由,增加金融机构与消费者进行交易的成本,导致立法目的与手段的背离,出现“权利的乌龙”[14]窘境。而与权利泛化可能带来的影响相反,在普惠金融背景下,金融业的发展越来越具有降低交易成本、减少信息不对称、去中介化和优化业务运营等特点,充分发挥其包容性、公平性优势以达到盈利的目的。故为避免因数据主体权益受损引发权利泛化增加交易成本,保障金融机构得以良性发展,金融机构应承担相应的义务,使个人金融数据相关权益得以维护。

(二)义务承担路径:义务体系构建的必然趋势

1.金融机构承担的义务具有特殊性

政策制定者或学者可能会错误地认为数据存储位置的特殊性决定了数据保障义务的特殊性,这是形式保护主义的表现。实际上,数据利用方式的特殊性决定了金融机构承担保障义务的特殊性,具体来说,主要体现为以下几点。其一,数据本身的特殊性。虽然《民法典》中仅就个人信息的概念进行界定,但通过总结各行业标准可知,个人金融信息(数据)与个人信息相比,更具敏感性和不可更改性,故对其保护的义务也不能与个人信息等同。其二,金融机构与金融客户之间有着复杂的共生关系。如在金融APP支付宝中,用户的头像、昵称和姓名等个人数据具有人身权属性,金融平台在这方面的权利基础相对来说更为薄弱,但在其他场景中,则数据权益的优先顺位可能会发生变化,这时,数据权益应当充分考虑谁为金融数据的形成投入了技术、资源,同时应考量金融数据掌握在谁手中能避免信息碎片化而产生尽可能多的社会经济效益。当然,金融机构为数据投入大量技术、资源并不当然表示其对数据享有独占的权利。其三,数据侵权的特殊性。金融数据侵权的发生往往与金融机构的“内鬼”有关,如浙江岱山农商银行、浙江民泰商业银行工作人员泄露客户信息以获取私利案[15]。总之,一部合理的法律应是能使交易成本最小化的法律[16],在义务构建时,也应将义务交由履行成本最小的主体承担。金融机构是最了解个人数据在运用中可能出现风险点的主体,应承担相应的义务。

2.金融机构安全保障义务转型的必然要求

金融安全是维护社会发展和主体利益的需要,金融机构承担着保障金融安全的首要责任。就社会层面而言,金融安全主要通过金融机构遵循宏观调控、竞争政策、监管要求得以实现,是其自身得以合规发展,金融秩序得以稳定的重要保障;就个人层面而言,金融安全需要客户利益得到保障,金融机构需要通过义务的履行实现对客户利益的尊重和维护。个人层面的金融安全是社会层面金融安全的基础和最小单元。任何义务的形成与发展都具有历时性,传统金融受限于服务条件,对客户的安全保障义务主要体现为保障客户资金安全、人身安全、个人账户信息安全等。但由于社会的发展,原来没有的弱势产生了,原来不严重的弱势变得严重了[16],传统的义务类型已然不能保障金融消费者的利益。在互联网金融和大数据技术蓬勃发展的背景下,金融业务的发展更具便捷性、及时性,数据的流动也更具开放性。有鉴于此,金融机构的义务设定提出了新要求,对金融机构收集到的静态个人信息与利用过程中的动态个人金融数据,只要该信息(数据)具有可识别性,金融机构就对其承担着安全保障义务。

3.金融机构承担社会责任的新要求

个人金融数据安全保障义务是金融机构承担社会责任的新要求。企业社会责任即企业的社会性责任,一开始是以道德的形式出现,逐渐发展为一种软法责任、法律责任。在结合社会责任的基础上,金融机构社会责任也得以发展(4)2002年,国际金融公司和荷兰银行提出“赤道原则”,通过对金融机构提供具体金融目标和要求,以督促金融机构履行相关义务,该原则的提出是金融机构社会责任的来源。在我国,金融机构作为提供“准公共产品”的特殊主体,其社会责任的理论外延更为广泛。。当下我国金融机构承担社会责任且呈现不断加重趋势,一些法院在判决中也引入社会责任的概念。金融机构承担个人金融数据安全保障义务是社会责任发展的应有之义。当然,企业社会责任是企业的义务,但其与企业的利润目标并不矛盾[17]。“法律不是压制自由的手段……法律是自由的定在,哪里的法律成为真正的法律,哪里的法律就真正实现了人的自由”[18],义务的承担并非压制金融机构发展的手段,其根本目的是保障金融机构持续健康发展。金融机构承担对消费者个人数据安全保障的责任,是修正金融机构唯利润为目标的数据利用理念,是获取消费者信赖和社会公信力并最终实现可持续发展的真正动力[19]。

四、体系构建:基于对个人金融数据权益保障的回应

(一)义务体系构建层面

1.保密义务的细化与完善

保密义务是金融消费者数据得以安全保障的前提。金融机构的保密义务最早源于美国1961年彼特森诉爱达荷第一国民银行案(5)1961年美国的彼特森诉爱达荷第一国民银行案(Peterson v.Idaho First National Bank)中,法院最终判定银行负有金融隐私保密的责任和义务。,该判例确立了银行任何时候不得非法将与客户有关的信息向外界透露的义务。现行各行业标准或规范性文件也对该义务进行了细化,如《中华人民共和国商业银行法》第二十九条、《金融信息系统加密服务的技术能力评价模型》。金融机构履行保密义务是其建立内控制度的重要保障,是规范数据查询程序、强化员工管理的重要手段,是减少金融消费者个人数据侵害的第一步。

在具体操作中,金融机构遵循最小必要原则,指定特定的人有权限访问个人金融数据,对接触个人金融数据的人员,可签订保密协议或承诺书,约定保密义务。对于第三方需要对个人金融数据进行访问的,应严格控制,确有需要,应得到有权限人员的批准,第三方的访问活动应受严格监控。对于外包业务,金融机构负有对相关工作机构和人员进行严格审查的义务,包括背景调查、风险评估等。金融机构其他管理人员应根据操作规程,在取得授权人员创建相应的用户后才能访问个人金融数据。

2.告知义务的坚守与修正

告知义务的履行是知情同意原则得以实现的前提。告知才能知情,知情才能同意。立法中明确规定了告知义务、知情同意原则,然知情同意原则不断遭受质疑,特别是在民法学界广受批判,批判者提出知情同意原则形式大于实质、经济成本高等观点。无可厚非,知情同意原则在实施过程中,因数据处理活动后期的不确定性,导致在数据收集初期无法全部且准确地告知主体数据处理的目的和其他情况,又因数据处理者往往采取较为模糊的文本进行告知,导致该原则的执行效果大打折扣。但正如前文所述,将数据权益的保障寄托于赋权于主体或孱弱的事后救济,虽然有效,但却不是社会成本最小、执行效果最好的方式。

根据告知义务履行的阶段,可将告知义务分为三种。其一是收集信息时的告知义务,该义务发生于金融消费者与金融机构签订服务协议时,金融机构有义务告知收集该数据的初始目的和有可能进行的业务活动,协议中需简明且突出重点,或以弹窗方式逐条同意重点条款。其二是数据利用过程中的告知义务,当发生数据共享或转让至第三方时,若超出初始收集目的,则需要告知数据主体。其三是数据泄露后的告知义务,告知对象包括告知自然人和主管部门,立法中未将告知的内容具体细化,但告知内容应包括与数据泄露相关的类型与数量,尽可能准确描述可能造成的后果和已经采取的补救措施,以便监管机构及时处理。

3.更正删除义务的确立与完善

更正义务是指对数据主体提出的异议进行审查,对确有错误、不准确的信息进行更正。删除义务,也叫清除义务,即当数据的存在已经失去必要目的时应及时予以删除。更正和删除的义务是数据主体行使异议权、删除权(清除权)的保障,是数据主体个人参与原则和数据主体意愿在义务体系中的体现,是“互联网遗忘运动”的主要指向。

基于对现有法律规范的理解,更正和删除的义务履行的内容可总结如下。首先,义务承担者明确是信息收集者和使用者,义务承担方式不需要避免搜索引擎或被第三方使用,删除义务的发生事由是数据主体提出异议[20]。其次,对于删除义务的履行方式,删除义务可通过直接销毁,也可通过匿名化技术进行,以保证个人信息主体不能通过该数据被识别,且该数据不能被复原。再次,义务履行过程中应明确告知主体数据删除后的结果和风险,其相关信息将不能被检索、访问,对金融机构不再继续提供的服务和产品也应作出说明。此外,对于未成年人相关数据的删除更正应取得其监护人的授权同意。最后,更正删除义务履行完毕应告知数据主体,若更正或删除的成本过高,可与数据主体协商处理。

4.损害赔偿义务的强化与适用

损害赔偿义务是金融机构未履行其他义务或履行不当应承担责任的结果。我国对信息侵权案件的处理是刑事追责,民事领域则多以隐私权受侵害为案由,企业层面涉及数据纠纷的,多以不正当竞争为案由进入司法程序。个人数据权益纠纷则受因果关系认定随意、举证责任分配不合理、赔偿缺乏明确标准等原因的影响,大量纠纷未能进入司法程序。对存在金融机构违法收集或处理个人数据的,实践中大多以行政处罚形式进行处理。在数据侵权愈发复杂的情况下,应强化金融机构的损害赔偿,同时司法机关可在实践中探究数据权益案件的惩罚性赔偿、集团诉讼等制度的适用,为损害赔偿义务的履行提供指引。

(二)义务体系保障层面

1.责任承担方面

责任的承担以义务未履行为基础,某种程度上责任的承担也是义务履行的动力。在学理层面上,对信息或数据权益侵权的责任研究源殊派异:有学说主张三元归责体系,在对主体、场域和技术进行区分的基础上进行归责[21];有学说主张传统“因果关系”理论足以解决数据侵权类问题,在因果关系判断时采用“条件说”[22]。本文从责任的基本要素和法律构造出发,尝试为责任的分析提供可行的认知方式。

其一,责任的价值性要素,即责任的客观归责依据。归责依据是对责任本身的价值思考,“道义责任论”和“社会责任论”为责任提供了双元价值基础[23]。具体到实践中,归责依据需结合数据侵权出现的原因和数据主体的权益损害,若金融机构不履行或未适当履行义务是侵权发生的原因,给数据主体造成损害的,则应承担责任。需特别说明的是,鉴于数据整合的复杂性,很多数据主体对遭受侵权时所造成的精神损害往往会“无感”[24],但这并不意味着没有给主体造成伤害,只是侵权带来的伤害具有滞后性,这种精神损害往往更严重,依旧构成金融机构承担责任的依据。

其二,责任的规范性要素,即规范形式上的救济权关系。无救济则无权利。一方面,责任的承担具有规范性,即具有法律强制性保障,此处区别于金融机构自行承担的道义义务或其他社会责任;另一方面,责任的承担是对个人数据相关权益的救济,此处的数据权益可以单纯指主体对数据本身享有的权益,也可指数据主体按照贡献度享有的其他数据权益,如基于对数据的归集形成的数据集或数据库,在未完全匿名化的情况下个人仍享有权益。

2.激励机制方面

激励机制是数据安全原则焕发动力的手段。以知情同意原则为例,基于物质成本和时间成本的考量,很多金融机构在变更或超出约定范围进行数据利用时,不愿对客户履行告知义务,使得知情同意原则僵化,客户数据保护流于形式。激励相容机制为知情同意原则的灵活适用提供了变通路径,如在数据利用过程中引入经济激励机制,允许金融机构以交易方式变通知情同意原则,为知情同意原则注入新的生命力。

政府可通过经济激励减少其合规成本。个人金融数据安全保障体系的建成是一项长期的工程,一方面,政府可通过政府采购、信息化补偿机制、信息化费(税)等激励手段,甚至可引导建立数据交易市场,倒逼金融机构进行数据治理,引导其对机构人员、制度构建、系统保障、数据标准、应用和存储等方面进行合规治理;另一方面,在引导金融机构进行合规建设的基础上,政府可借由激励机制,协调各要素得以完善,引导各主体规划数据治理体系和长效改进机制的建成,最终推动个人金融数据安全保障体系整体发展。此外,对金融机构义务与责任的减免也属于激励手段的一种,如果为了激励法律关系中的一方,也可通过减免其义务与责任的方式进行[25]。

3.技术引导方面

技术支持是降低金融机构履行义务成本的底层支持。人类社会发展过程中总与风险相伴,而技术是解决风险的有效之道,对金融数据的利用更是如此。义务的履行诚然能降低风险的发生,但金融机构履行数据安全保障义务的成本较高,会给金融数据的自由流通和金融创新带来阻碍,会导致公共福利减少,社会利益和企业利益受损。个人金融数据安全保障本就是跨信息技术、法律和社会的交叉学科领域,数字经济语境下的技术保障是兼顾金融数据多元法益的重要手段。

个人金融数据的安全保障不仅仅依赖于立法和事后救济,也需要技术和制度的设计,可考量将匿名化技术和假名化技术放在合适的位置,发挥各自特有的价值。经匿名化的数据不再属于个人数据,满足了《民法典》中不可识别的标准。但假名化后的数据仍然属于个人金融数据,受个人数据保护的相关法律规制。与匿名化后的数据相比较,假名数据的安全风险较高,但与数据主体提供的真实数据相比,假名化降低了数据安全事件发生的风险。

实践中,监管部门应对金融机构进行引导,鼓励其将匿名化、假名化技术与隐私协议和产品设计结合起来。同时,监管机关可引入专业技术人员,设立评估机构,根据金融机构的数据安全保障能力和风险防范能力进行评估,并设立专门认证机制。建立常规评估机制,并将评估结果告知数据主体以供参考。当然,技术能力宜采取“程度性”量化,用数据质量评价函数来度量脱敏后的数据[26]。

五、结语

权利意识的觉醒与权利本位思潮的流行,导致义务设定依附于相应的权利,对个人金融数据相关权益保护亦是如此。但应辩证地看到,单纯赋予数据主体各种权利,一方面会加重金融机构的交易成本,另一方面,自然人主体可能因能力弱势、认知缺乏等原因放弃行使权利。而单纯强调金融机构的义务会阻碍金融创新,甚至还会让金融机构的数据利用直接从“地上”转为“地下”。据此可见,不可能有两全的完美方案,只有保持动态安全和均衡发展一途。然实践中作何取舍?“执其两端,用其中于民”,在我国经济新常态背景下,数据是推动数字金融和数字经济的重要驱动力,在坚持金融业是实体经济血液的基础上,促进金融业良性发展以满足人们对美好生活的向往,同时保障“民”之尊严与安全,对金融机构设定更为具体的义务体系,使多元利益得以均衡,也是较为可行的路径之一。

猜你喜欢
权益义务金融机构
意外伤害与权益保护
幸福的人,有一项独特的义务
漫话权益
金融机构共商共建“一带一路”
我国金融机构股价和主要财务指标的相关性分析
三十载义务普法情
跟踪导练(一)(4)
资金结算中心:集团公司的金融机构
广场舞“健身权益”与“休息权益”保障研究
你的权益被什么保证?