金融数据共享利益冲突平衡的法律进路

黎四奇,王 威

(湖南大学 法学院,湖南 长沙 410082 )

一、金融数据共享利益冲突问题掘进的起点

金融机构在为客户提供金融服务的过程中,需要对客户进行身份识别和背景调查,以便充分地了解客户的交易目的、账户控制及使用情况等,这个过程主要考验金融机构收集和处理信息的能力。换言之,金融机构通过理解客户的数据产生利润。金融机构收集与核实用户信息的渠道有限,但是物联网、云计算和人工智能等信息技术能对消费者弥散在任何地方的数字足迹和元数据进行充分地收集和高效地分析。许多科技企业如支付机构、通信公司、区块链企业等,通过为消费者提供广泛的生活服务,收集了海量且多元的消费者数据。这些数据能使金融机构扩大服务范围,对其现有的数据进行比对和提质。科技企业与金融机构的合作已经成为常态。金融机构与科技企业都是数据密集型产业,科技企业与金融机构合作,本质上就是实现数据“有效地整合与均衡地分配,从而更加充分地发挥数据生产要素的经济价值”[1]。数据共享是多方开展合作的关键。为了促进金融数据共享,国家发改委和银保监会联合制定了《关于加强信用信息共享应用 推进融资信用服务平台网络建设的通知》,要求银行业金融机构充分运用大数据等金融科技手段,与企业建立共享平台;银保监会在《关于银行业保险业支持高水平科技自立自强的指导意见》中明确提出建立科技企业信息共享机制,创新银商合作等服务模式。

数字经济时代,数据已经成为最重要的生产要素之一。金融数据共享可以降低金融活动的交易成本、促进服务创新、防止金融市场垄断发生、优化金融资源配置。围绕金融活动开展的各主体对金融数据具有不同的利益期待,导致金融数据共享时产生多种形态的利益冲突。不同主体间利益冲突的协调方案构成了数据权利人与其他主体关于数据“权利”的内容[2]。就现有的讨论而言,平衡金融数据共享中各主体的利益冲突首先要解决金融数据权利如何分配的问题。但是,数据本身具有非排他性、低成本且可无限复制、可拆分和任意重组等特征,很难保持数据的独特性,导致金融数据权利的性质和边界难以厘定[3];围绕金融活动所产生的数据庞杂,其中有一部分涉及用户基础信息的数据权利归属以及附属在该数据之上的其他权利问题尚不明确[4]。金融数据共享中的利益冲突问题是围绕着这两个数据权利的配置理论难题而展开的。

二、利益冲突:金融数据共享主体利益期待及冲突形态

(一)数据共享及基于共享的金融数据

阐析金融数据共享利益冲突问题,需要对数据共享概念及方式进行理解,划定用于共享的金融数据的范围。金融数据的外延广泛,所涉及的主体复杂多样,加之大量数据权利的归属本身就存在争议,如果对数据及其共享的范围不加限制,势必会造成数据滥用,侵害数据上所承载的各主体的权益。

1.数据共享的内涵及实现。数据的形成及数据价值的挖掘受到时间维度和空间维度的限制,任何对象的数据采集均是有限的。随着数据价值的凸显,已经控制数据的主体均有不同程度囤积数据的趋势,可供人们自由获取的数据越来越少。如何从数据控制者那里间接获取数据就成为大数据应用和数据驱动经济运行的必然路径。“以重新收集和利用为本质的数据共享,是实现数字经济和社会治理的关键所在。”[5]数据共享是指“在特定范围内的主体之间相互开放信息资源,调用数据,相互获取和使用对方的数据资源或共同的数据资源,属于限定主体范围内的数据开放”[6]。数据共享就是数据控制者让渡自有数据的使用权,交换其他数据控制者的数据使用权,实现数据的共享共用。

数据共享可以通过网络爬虫技术和逆向工程技术等手段实现。网络爬虫技术能绕过信息主体同意的环节对金融机构的数据进行挖掘;逆向工程技术能控制金融机构应用程序的源代码,给应用程序的正常运行埋下安全隐患。鉴于此,银行等金融机构普遍采用应用程序编程接口(application programming interface,API)的方式开放数据。API“已经成为访问和使用应用程序的主要方式”[7],例如欧盟《支付服务指令Ⅱ》(PSD II)、英国《2017年零售银行市场调查令》、新加坡《金融即服务:应用程序编程接口(API)手册》、我国《商业银行应用程序接口安全管理规范》和《香港银行业开放API框架》等,均要求金融机构构建API数据共享平台。在开放的API模式下,金融机构“嫁接各种商业生态平台共享数据、算法、流程和其他业务功能,实现其与第三方机构(场景)间的资源共享、场景融合、优势互补和相互赋能,间接地为商业生态系统中的客户提供全方位金融服务”[8]。金融科技的不断发展推动着全球金融数据开放共享的潮流,英国和欧盟等区域率先启动开放银行计划,我国银行业也在2018年兴起了数据开放共享的浪潮,浦发银行、工商银行、建设银行等数十家中国银行机构陆续加入金融数据开放共享行列。

2.基于共享的金融数据的权属分析。金融数据积极参与到共享过程中实现数据市场流通的逻辑前提是要解决金融数据权益的内容、属性和配置问题[9]。金融数据确权就是要明确金融数据的权利人,即“谁拥有对数据的所有权、使用权、收益权”①。然而,金融数据的产生是多方协作生产的虚拟物质,传统民法中关于有体物的财产权规则对金融数据权益缺乏有效的解释力[10]。在金融数据转移过程中,不同数据权益主体对数据的利用均不具有排他性,往往是不同主体对数据交叉叠合利用,进一步导致了金融数据权益归属难以确定。“法律只是一组事实而不是一种规则体系,亦即是一种活的制度,而不是一套规范。”[11]对于数据权益归属问题,应该跳开现有的关于有体物的财产权益认定的规则,以数据的现实需求为立基点进行探讨。根据数据的价值特征,只有动态流转的数据才能成为生产要素。从实践来看,一方面,金融机构收集、整理、储存、处理海量数据需要投入大量的成本,对实现金融数据的价值更具有合理的利益期待;另一方面,金融机构利用海量数据作为生产要素产生价值后,才更有动力和能力对用户基础数据中承载的人格权利和商业秘密进行保护。因此,在合理处理个人信息的前提下由金融机构对金融数据享有财产权,是一种较为符合数字经济规律的认定。

在确定金融机构对金融数据享有财产权的前提下,还需要考察共享中的金融数据在不同主体间流转时的权益变化。可以根据金融数据的运行机理和功能目的展开,分析数据在不同主体间发生的权益让渡样态。对关涉用户个人基本信息和企业商业秘密的金融数据,用户始终享有相应的人格权利和财产权益。个人信息数据上的人格权利和财产权益是可分离的,但在金融数据共享过程中,“只涉及个人信息的许可使用,而非个人信息中财产权益的转让”[12],这类数据的共享应当在数据主体的许可下进行。金融机构收集并进行匿名化处理,且无法通过技术将其拆分后重新分析并得到用户画像的数据[13],以及金融机构自身运营所产生的数据,金融机构对其享有完整的权利。数据接受方通过共享获得金融数据后,应该严格遵守与数据出让方达成的协议,在限定的范围内对该数据享有部分使用权和受益权。尽管不同主体对数据的处理权限不一样,但是按照现行的数据许可使用规则,数据的初始权益如个人用户的人格权利和初始金融机构的财产权益,始终贯穿于共享的全过程,影响着甚至决定着金融数据后续的处理、交易和利用等过程。

(二)金融数据共享中各主体利益介述

利益“表现为社会发展规律作用于主体而产生的不同需要和满足这种需要的措施”[14],是人们行为的内在动力之一。在金融数据共享过程中,不同主体对金融数据具有不同的利益期待,在数字经济背景下探讨金融数据共享利益平衡问题时,厘清承载在金融数据之上的各种利益,是平衡利益冲突的关键。

1.金融消费者的数据利益组成。金融消费者数据是金融数据的重要组成部分,也是金融机构开展金融服务的基础数据。金融消费者个人数据是个人信息的载体,同时具备人格权利和财产权益属性。一方面,利用技术手段对金融数据中消费者个人信息进行分析挖掘,不仅可以再现特定消费者的基础面貌,还可以对消费者的爱好偏差、性格偏好、健康状况乃至社会背景等进行相对准确的预测评估,导致个人金融消费者由内而外几乎完全暴露在数据控制者面前;另一方面,金融机构根据消费者“数据人格”制定个性化和精准化的商业策略,消费者在享受金融科技带来的便利的同时,也难免会陷入金融“信息茧房”“大数据杀熟”等困境[15],甚至“在相同条件下针对特定个体带有明显歧视”[16],对金融公平造成威胁。数据企业能够利用数据的流动产生经济效益,消费者可以将个人数据对价化,“作为支付手段换取对待给付,是数据财产权制度的重要组成部分”[17]。《中华人民共和国民法典》(简称《民法典》)将公民个人信息权与隐私权、姓名权、名誉权等一同列入人格权予以保护,《中华人民共和国个人信息保护法》(简称《个人信息保护法》)对个人信息的保护和利用进行了较为全面的规制。作为生产要素的个人数据,尽管暂时无法确保数据主体对其个人数据绝对的排他性权益[18],但是如果对关涉个人信息的金融数据不加以保护和限制利用,很容易导致此类数据出现非法转让、出售和使用的情形,给客户个人的隐私权、名誉权等人格权利以及财产权益带来威胁。

2.金融服务提供者的数据利益分析。金融机构及其科技化服务背后的科技企业通过为消费者提供金融服务成为金融数据的收集者和控制者。金融机构倾向于通过多种方式不断地优化金融数据的体量和质量,挖掘金融数据的价值,用以扩大金融服务的对象,增强金融服务机构的市场竞争力。金融数据的提质又能促进金融机构提高收集和挖掘数据的能力,降低金融机构的业务风险和运营成本,提升金融机构效率。对于科技企业而言,数据不仅是重要的资产,更是体现其技术能力和市场地位最重要的指标之一。科技企业通过共享掌握的金融数据是金融机构进行脱敏化处理后的数据,或者是限制了权限的数据;科技企业也可以依托植入了金融科技所研发的金融产品来收集和控制有关数据。尽管这部分数据被金融机构通过协议限制或通过技术转移,但是金融科技企业依然是这部分数据的实际控制者之一,难免不会对之暗生权益归属的情愫。此外,金融科技企业通过研发其他非金融产品直接收集的用户数据,以及通过网络爬虫程序进行网页抓取、屏幕抓取的数据与金融数据并没有本质的差别,在数据库中完全混同,降低了科技企业违反协议使用数据的风险。利用算法技术对不同来源的数据进行分析处理,可以提升自身数据储备和算法能力,进一步彰显科技企业的服务能力和市场价值。由此可以推知,第三方科技公司对金融数据的内化具有明显的动机和足够便利的条件。

3.金融监管者的数据利益解构。金融监管旨在通过纠正市场失灵、限制外部性和保护脆弱方等方式改善金融体系的运作,维持金融体系的稳健,让金融资源得到更好的配置和流通。对于金融监管者自身而言,提升监管效率、降低监管成本和企业合规成本也是其追求的目标[19]。在金融科技渗透金融服务的背景下,金融监管的理念、模式和手段均发生了顺应性调整。在金融监管理念方面,从“具体化规则监管”演变为“抽象性原则监管”[20];监管模式方面,金融监管者尝试融合金融科技下的“穿透式监管”[21]和“嵌入式监管”[22]等模式;监管手段上经历了“技术层监管应用→监管数据自动化→以数据为中心的算法监管”的阶段性变化[23]。算法监管视域下的金融监管依赖监管科技的计算能力,通过“发现与挖掘数据之间以及数据与国家经济安全、金融秩序的关联性,来实现金融监管目标”[24]。金融监管者承载着防控国家金融系统风险、维护金融市场稳健的使命,需要对金融活动全区域与全流程进行监管,由此面临的数据处理涵盖了全周期的金融数据。有别于金融机构的商业目标和盈利能力,金融监管属于一种政府的规制行为,其利益外观表现为国家利益和社会公共利益。金融数据的有效性是提升金融监管效率和质量的得力品质,金融数据的安全性是金融监管达到监管目标的有力保障。数据共享是实现社会公益的极其强大的工具,当金融监管者成为金融数据的控制者之后,反而被寄予了对金融数据安全予以特别慎重保护的期待。

(三)金融数据共享中利益冲突形态

金融数据能为企业创造经济价值是其作为生产要素的重要体现,在利益的驱动之下,共享有意识地成了数据最终利用变现的手段[25]。不同共享目的造就了金融数据共享时利益冲突的多元形态,对金融消费者、金融服务提供者及金融监管者三方之间可能存在的利益冲突进行分析,可以作为金融数据共享这一数据流动实践的“剖面”加以观察和理解。

1.以金融数据共享优化金融服务。金融机构提供科技化服务与科技企业承接部分金融服务业务成为金融活动科技化起点的两翼。金融服务数字化,一方面,能对宏观金融市场进行预测,作出宏观商业安排,这种安排下金融消费者个人的数据权益并没有得到体现,主要是金融机构对数据财产权益的期待;另一方面,金融机构能够通过算法工具对金融消费者进行精准营销,对不同类型的金融消费者采用不同的营销方案,根据金融消费者的具体情况进行个性化产品设置,这些数据上承载了消费者个人数据权利和金融机构数据财产权益的双重期待。第三方科技企业通过外包金融科技业务为金融机构提供数字化金融产品研发和日常技术性维护,掌握相应数字产品的初始金融数据及产品运行过程中收集和产生的数据。涉及金融消费者个人信息的数据被第三方科技公司掌握之后,就变成了无差别的科技企业收集的数据。在这种金融数据共享模式下,存在一定的泄露消费者个人信息的风险,金融消费者就在数据上具有了个人信息保护的期待。综上,在优化金融服务的金融数据共享实践中,存在着不同主体对金融数据财产权益的期待以及金融消费者对金融数据中人格权利保护的主张。

2.以金融数据共享创新商业模式。商业银行与非银行金融机构如保险公司、证券公司、投资基金等建立了密切的业务关联,这种业务往来通常直接表现为金融数据关联。非银行金融机构为金融消费者提供服务,需要通过分析商业银行所控制的用户财务数据和金融产品交易数据确定消费者的金融消费能力和抗风险能力,这部分数据是商业银行保持其市场竞争力的核心资产之一;商业银行作为营利性机构也面临扩大经营范围和聚集金融数据的需求。此外,科技企业承接部分金融服务并研发大量的新型金融服务模式,如第三方支付、智能投顾、网络互助保险等平台金融。平台金融是大数据金融的科技化外观表征之一[26],这种新型商业模式利用平台数据吸引用户,获得流量,并通过流量变现实现数据的财产性权益,提升金融机构的盈利能力。当金融服务提供者通过共享获得金融数据,并利用金融数据产生效益时,金融服务提供者就已经对共享的金融数据具有了财产权益的期待。金融数据要实现具体的商业化运作,不可避免地指向了特定的金融消费者,用户的个人信息就因为商业化的共享暴露在不同的金融服务提供者面前。尽管金融消费者没有直接从商业化的金融数据共享中获得利益,但是金融服务提供者通过共享所创新的商业模式,丰富了金融消费者可供选择的金融产品类型,提高了金融消费者开展金融活动的便利性。多元化和便捷化的金融服务,有效地降低了金融消费者接受服务的成本,提高了消费者获取投资收益的效率。可见,金融消费者对于商业化的金融数据共享同时有人格权利和财产权益的期待。

3.以金融数据共享提升监管效率。金融监管部门与金融机构共享金融数据是金融监管的常态,大数据语境下金融系统性风险的防范必须借助监管科技,利用算法技术对金融活动开展全域智能化和动态化监管。金融监管的方式和广度发生了质的拓展,监管对象涵盖了金融活动全域参与者,接受金融监管的对象需要向金融监管部门全面开放金融数据接口,才能充分满足金融科技监管的需要。金融监管数据的本源是共享的金融消费者数据和金融服务机构数据。现有的监管手段尽量在技术上保持共享金融数据的独立性,例如对个人金融数据“去标识化读取”[27]、脱网存储金融监管数据等。然而,金融监管的要求之一是监管透明,金融监管数据透明是金融科技监管透明的前提[28]。在透明化的科技金融监管活动中,增加了金融消费者数据泄露和金融机构商业秘密公开的风险。金融监管部门对金融数据进行监管,是立基于维护金融市场稳定、国家金融安全之上的,金融监管部门扩大金融数据共享保障了金融监管的效能,但并没有利用共享的金融数据获得商业性利益。在某些场合,为了实现金融监管的需要,金融消费者和金融服务机构因共享数据导致个人权益的侵犯和商业秘密的价值减损也无法获得对应的补偿。因此,金融消费者不会对金融监管共享的数据形成人格权利和财产权益期待,金融服务机构也无法对此类共享的金融数据产生财产权益的主张。

综上,通过考察金融数据共享的三种功能可知,在金融消费者、金融服务提供者和金融监管者之间因共享目的不同而对金融数据的利益期待不同。金融数据共享中各主体利益期待组合因共享的目的不同而异,对金融数据上人格权利和财产权益期待的组合有四种不同的形式:两种期待同时存在;两种期待均不存在;有人格权利期待而无财产权益期待;无人格权利期待而有财产权益期待。这四种利益期待组合在金融数据共享过程中可各自存在,且彼此并行不悖。从利益冲突的不同维度分析,作为数据集合的金融数据在共享中的利益冲突,可以统摄到个人人格利益、企业财产利益和公共利益三种不同类型利益之间的冲突[29]。除了上述数据共享目的之外,金融数据共享还可以存在多重利用的情形。金融数据通过共享被不同的主体掌握之后,通过分析加工而形成的新数据已经脱胎于原初共享的数据,这部分数据凝聚的权益期待可能已经发生了变化,但是并不影响原初数据所承载的各主体间的利益冲突关系。

三、利益冲突平衡进路:金融数据赋权、限制和权利救济

“每一个法律命令都决定着一种利益冲突, 都建立在各种对立利益之间的相互作用之上, 制定法是在一个充满着利益的世界进行。这个世界中的所有利益都有人主张, 因此一种利益的实现总以其他的利益为代价。”[30]庞德认为,法律的作用是“发现这些利益迫切要求获得保障,把它们加以分类并或多或少地加以承认。它确定在什么样的限度内要竭力保障这样被选定的一些利益,同时也考虑到其他已被承认的得利和通过司法或行政过程来有效地保障他们的可能性”[31]。利益冲突平衡是对各种利益不断比较、权衡与取舍的过程。这一过程可能是同一性质或同一种类利益之间的衡量,也可能是不同性质或不同种类利益之间的衡量[32]。金融数据共享中的利益冲突较为复杂,而且这些利益冲突并不都属于同一性质利益之间的冲突。调整不同的利益冲突关系可能涉及不同的部门法,因此现有的数据治理规则难以一揽子妥善安置各方利益冲突的主体。事实上,金融数据共享过程中各方利益期待并没有必要全部纳入统一的利益衡量标准内进行考量,可以根据金融数据共享目的确定金融数据的主体权利,并在此基础上为权利人与其他相关主体之间的利益冲突配置特别规则,灵活平衡具体共享方式中各主体的利益冲突。这种灵活权利配置方案的具体展开如下:

(一)底层逻辑:明晰金融数据的权属

在我国现有的法律框架下,对数据权利的内容、归属、主体义务和权利救济等问题规定得较为模糊②,司法实践中也回避了数据权属问题。“只有提供稳定而清晰的行为模式与法律后果指引,规则才能为人们的行为提供模式、标准、样式和方向,人们才会对自身的行为性质作出准确判断,进而适用、实施或遵守规则。”[33]面对金融消费者、金融服务提供者和金融监管者对金融数据的利益期待,无论将金融数据绝对排他的权利赋予何方,都将因为要考虑到其他两方的正当利益期待而对该权利进行限制。金融数据共享中利益冲突是常态,回避金融数据权利归属反而会导致共享中利益冲突复杂化。利益冲突平衡本身就是一种价值选择,金融数据共享环节中,金融数据的初始收集者和控制者是共享的起点,也是金融数据共享中利益期待最盛的一方。反观金融消费者和金融监管者,他们对共享中金融数据的利益期待明显淡薄。多方期待的利益类型不尽相同,主要集中在对金融数据上凝聚的人格权利期待和财产权益期待。不同性质的利益衡量需要建立在社会共识的基础之上,从这个逻辑上分析,促进金融数据的流动更多地需要满足金融数据控制者对共享中数据财产利益的期待。因此,将金融数据的财产权益赋予金融数据的初始控制者是保障金融数据共享的底层逻辑。

金融数据中有大量不涉及具体个人用户的数据,如金融产品数据、金融机构运营数据,以及通过算法匿名处理后的金融数据等。此类数据没有具体用户的人格权利期待,初始控制者对此类数据具有完整排他性财产权益,能对该部分金融数据充分地支配和使用,毫无障碍地通过协议或者技术手段将此类数据进行有偿或者无偿的共享。数据接受者接受此类数据后,在限定权限范围内采取合理的方式利用,也在一定程度上满足了后续金融数据控制者对金融数据的财产权益的期待。金融数据中具体的个人数据,特定的用户对此同时拥有人格权利期待和财产权益期待,似乎将该类数据的权属赋予特定的个人更能保障数据权益的完整性[34]。然而,这样的赋权模式必然严重增加金融数据控制者之间的交流成本和共享阻力,反而不利于数据主体财产权益的实现。因此,有必要适当地扩大金融数据初始控制者对该部分用户数据的权限,在数据控制者经过特定主体的授权且对个人信息尽到安全保障义务的前提下,可以充分满足金融数据初始控制者对该部分数据完整的财产性权益的实现[35]。

(二)共享限制:优先保障个人信息权益

将个人信息民事权利化并予以保护关系到个人人格尊严与自由发展,如果个人不能决定自己信息的收集、储存与利用,则人格尊严与自由发展将成为无稽之谈。通过算法技术对数据主体的个人信息进行整合、对比和分析“塑造出的‘数据人格’能够准确体现数据主体的性格、能力等方面的特征,是数据主体在虚拟环境中的人格展现……甚至比本人更了解本人”[36]。一般认为个人信息应当由数据主体拥有完全的所有权,并提出了个人数据自主控制方式平衡数据保护和安全的需求[37]。也有观点认为企业通过投入成本收集和控制的个人数据,应当与数据主体共同享有此类数据的权属[38]。还有观点认为确定企业对数据排他性与绝对性权利不影响数据主体对个人数据的控制[39]。理论和实践中对数据权属的争议并不影响各方达成的共识:将个人信息保护作为数据生产要素化过程中的基本前提,在数据的人格权利与财产权益发生冲突时,优先保障数据人格权利的实现[40]。在个人信息保护与开发的博弈之间,首先要确保个人信息主体的人格得到充分的保护,才能够开展对个人信息的合理利用。因为个人用户对金融数据中的个人信息享有被动的防御性保护和主动的权能利用的期待,所以金融数据共享过程就受到了保障个人信息权益的合理限制。

金融数据中有大量承载个人信息的数据,根据《金融数据保安全 数据安全分级指南》的划分标准,将金融数据中的个人信息划分为个人自然信息、个人身份鉴别信息、个人行为信息等六种个人信息。如果不加区分地对所有涉及个人信息的数据同等化赋权对待,则会限制数据作为生产要素功能的发挥。过度的个人信息保护通常会阻止未经授权的个人金融数据进行共享,数据控制者只能存储数据,而被限制访问或使用,进而形成数据简仓,抑制消费者的选择。尽管这样能保护市场主体现有的地位,但是降低了市场效率[41]。“个人信息保护之目的并非保护个人对其个人信息的控制性权益,而是为了规制个人信息处理风险,防范与救济个人数据处理与利用活动可能产生的侵害后果。”[42]

对金融数据中涉及个人信息的数据的处理,可以参照欧盟《一般数据保护条例》,将个人信息数据分为一般个人数据和特殊个人数据区别对待,原则上禁止对特殊个人数据进行处理[43]。金融数据共享中个人金融消费者对其个人数据的处理必然包括知情权、反对权、更正权、删除权和可携带权等数据权利,数据共享时应当充分告知并取得个人金融消费者同意后方能进行[44]。为了平衡个人信息保护、数据共享效率与成本之间的冲突,针对不同的个人数据,可以采取二元化的同意标准:对于一般个人数据,在进行数据共享时采取消极的告知标准,数据主体不予拒绝则视为同意;对于特殊个人数据,取得数据主体明确的同意,才能在确定的权限范围内对该数据进行共享,尤其在有偿共享的场域中,需要取得数据主体的承诺与同意两种表示行为方可。

(三)侵权救济:完善侵害个人信息权益赔偿制度

《民法典》规定了侵犯个人信息权需承担赔偿责任,《个人信息保护法》在“法律责任”部分规定了履行义务机关违反保护个人信息义务的行政责任、侵权赔偿责任、“过错推定”的举证责任和公益诉讼制度[45]。尽管金融消费者对个人数据同时具有人格权利和财产权益的期待,但是孤立的个人数据经济价值有限,因金融数据共享所导致的个人信息侵害通常表现出规模大而损害小的特征,使得任何单一主体都因“理性”而选择容忍。这种容忍可能会助长侵害个人信息权益的气焰,让个人信息权益受到侵害的个体通过投诉或提起诉讼的方式维护自己的权益显得不切实际且强人所难[46]。如此一来,个人信息保护法律规定的有效性便大打折扣。“如果一个法律适度的规范结构都是或大多数是无法被遵守的规范,那么那些规范就是虚假的法律,整个制度都是对法治的东施效颦,而非法治的真正体现。”[47]《个人信息保护法》是以“国家保护”为中心,为“个人-信息处理者”关系中的个人提供倾斜性保护的制度[48],对个人信息主体私益救济的规定较为粗疏。真正落实侵犯个人信息赔偿机制,可以在现有的法律体系之下,从维权的内在动力和外部程序的便捷性两方面进行改良。

一般的侵权赔偿责任是一种补偿性责任,旨在填补因侵权造成的损害。《个人信息保护法》第六十九条规定了个人信息侵权赔偿金额以侵权行为造成的损失或者因侵权行为获利为限承担赔偿责任。现实中因金融数据共享所造成的侵权损害或者因侵权行为所获利益往往难以通过具体的金额衡量,尤其是在无偿共享的情形下,金融数据控制者因共享金融数据的实际获利也无法确定。从另一个角度分析,单条个人数据的侵权获利十分有限,不足以支撑个人因信息权益被侵害后通过维权渠道获得赔偿,而且一旦发生个人信息侵权事故,往往是海量的个人信息遭受侵害,所获得的实质性赔偿分配到每个人也十分有限。加之我国司法实践中允许消费者基于同一侵权行为的公益诉讼获得私益诉讼的利益③,由此导致单个数据主体优先通过诉讼对侵害个人信息权益的行为获得赔偿的动力不足。海量个人信息侵权不仅直接导致具体个人信息权益遭到侵害,同时也形成了对公共利益、社会经济和秩序的威胁。换言之,海量个人信息的个体性权益被弱化,公共性权益得到增强[49]。从提高侵权人的违法成本以及激励受害人积极维权的角度出发,可以参照食品药品和生态环境等领域的惩罚性赔偿制度,构建个人信息侵权惩罚性赔偿制度。

“如果程序上没有对应的相配的规则,那么实体权利也只是一种中看而不中用的东西。”[50]诉讼程序是实现异质利益衡量正义的保障,其实质是利益冲突的双方当事人利益的选择机制。我国现有的公益诉讼和惩罚性赔偿金分配的实践均不能达到激励普通个体积极主张个人信息侵权赔偿。启动个人信息侵权公益诉讼,在诉讼主体和侵权损害程度等方面有着较为严格的要求[51],不利于公民个人损害求偿权益的实现。对公益诉讼主体的限制是基于司法制度效率方面的考量,但是个人信息侵权直接导致具体个人的信息权益遭受损害,排除公民个人提起公益诉讼的权利,不符合法律公平正义的要旨。因此,可以在现有的公益诉讼主体基础上增加公民个人积极主张行使个人信息侵权赔偿的渠道,如可以由一定数量的公民主动委托适格主体提起个人信息侵权求偿的公益诉讼,再结合引入的惩罚性赔偿机制,调整惩罚性赔偿金额的分配方式,将惩罚性赔偿金额中的一部分优先补偿给提起求偿诉讼的公民。通过改进公益诉讼的启动条件以及调整惩罚性赔偿金的分配,不仅可以疏通个体主张个人信息侵权赔偿的救济渠道,也在一定程度上弥补了惩罚性赔偿金额在个人信息保护公益诉讼中法理上的不足[52]。

四、结 语

金融数据共享是金融数据开放、流动和利用的重要环节,通过数据共享,能提升金融数据的体量和质量,提质金融服务,创新金融商业模式,进一步活跃金融市场,也是大数据时代金融监管的必要手段。通过共享挖掘金融数据的价值产生经济效益是金融数据生产要素化的重要表现。金融数据来源庞杂,体量巨大,种类繁多,其中有大量的承载个人信息的数据以及承载企业商业秘密的数据,尤其是初始金融数据中有大量与个人敏感信息有关的数据,金融消费者对此类数据同时具备人格权利期待和财产权益期待。与此同时,金融活动所形成的数据关系到国家金融体系的安全。在不同场域中的金融数据共享难免会出现个人利益、企业利益和国家利益交织冲突的情形,通过对金融数据共享的功能及目的考量,平衡共享中各方权益冲突可以统摄到“效率-公平”两造价值衡量之中。促进金融数据共享,挖掘金融数据的价值是促进算法效率的体现;保护个人权益和国家安全是对社会公平价值的追求。在保障金融体系稳健和个人信息安全的基础上,将金融数据赋权给数据控制者,最大限度地发挥金融数据在金融活动中的生产要素作用,实际上也是追求效率和公平的统一,促进全社会所有人福利最大化的举措。

注释：

① 详见中国(贵阳)大数据交易高峰论坛上发布的《贵阳大数据交易观山湖公约》,其中对数据交易中的数据确权作了释明,即“数据确权,主要是确定数据的权利人,即谁拥有对数据的所有权、占有权、使用权和受益权”。

② 《民法典》对数据权利只作了引领式规定;《消费者权益保护法》和《个人信息保护法》侧重规定了对个人信息的周延性保护;《网络安全法》笼统地对网络运营者收集、处理和利用个人信息的安全保障义务作了规定;《数据安全法》也没有对数据的权利内容、归属等具体问题作出明确规定。

③ 同一侵权行为的公益诉讼生效裁判认定的事实,再次提起诉讼,双方当事人无需就该事实再另行举证。详见《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》第十六条。