大數(shù)據(jù)時代金融機(jī)構(gòu)的安全保障義務(wù)

辜明安+王彥

[摘要]大數(shù)據(jù)時代金融機(jī)構(gòu)對客戶的安全保障義務(wù)主要包括信息安全和資金安全兩個方面，其實現(xiàn)有賴于金融數(shù)據(jù)在金融機(jī)構(gòu)和金融客戶之間的資源配置。在對個體客戶金融信息堅持“告知與許可”使用原則的同時，對海量客戶的金融數(shù)據(jù)實行“負(fù)面清單”制度，在充分保障客戶信息權(quán)利的基礎(chǔ)上承認(rèn)金融機(jī)構(gòu)的數(shù)據(jù)挖掘權(quán)，可以有效避免傳統(tǒng)數(shù)據(jù)使用“授權(quán)制”下巨大的交易成本和監(jiān)管費用，激發(fā)金融機(jī)構(gòu)利用大數(shù)據(jù)進(jìn)行金融創(chuàng)新，從而實現(xiàn)與金融安全的良性互動。

[關(guān)鍵詞]金融數(shù)據(jù)；金融信息權(quán)；數(shù)據(jù)挖掘權(quán)；告知與許可原則；負(fù)面清單

隨著信息技術(shù)的發(fā)展，人類社會已然進(jìn)入“大數(shù)據(jù)時代”，海量數(shù)據(jù)的生產(chǎn)、傳播和使用給社會生活帶來了顛覆性的變化?！霸诟淖?nèi)祟惢镜纳钆c思考方式的同時，大數(shù)據(jù)早已在推動人類信息管理準(zhǔn)則的重新定位?！痹诮鹑诜?wù)領(lǐng)域，伴隨著大數(shù)據(jù)和互聯(lián)網(wǎng)金融的發(fā)展，營業(yè)模式不斷更新、服務(wù)效率極大提高，出現(xiàn)了金融機(jī)構(gòu)和金融客戶前所未有的雙贏格局。但是，由于數(shù)據(jù)獲取和傳播方式的便捷性、互聯(lián)網(wǎng)技術(shù)的開放性和即時性，安全風(fēng)險亦隨之加大，因此，加強(qiáng)大數(shù)據(jù)時代金融機(jī)構(gòu)的安全保障成為當(dāng)前的急務(wù)。

一、大數(shù)據(jù)背景下金融機(jī)構(gòu)安全保障義務(wù)的轉(zhuǎn)型

安全是人的基本需要，維護(hù)安全是法律的重要任務(wù)。在現(xiàn)代社會，“金融是經(jīng)濟(jì)發(fā)展的血液和重要支撐”，因此，維護(hù)金融安全意義重大。金融機(jī)構(gòu)是維護(hù)金融安全和保障客戶利益的主導(dǎo)力量，必須承擔(dān)安全保障義務(wù)。金融機(jī)構(gòu)的安全保障義務(wù)包括兩個層面，一是為實現(xiàn)自身健康發(fā)展和維護(hù)金融秩序所擔(dān)負(fù)的安全保障義務(wù)，這既是法律對金融機(jī)構(gòu)的基本要求，也是金融機(jī)構(gòu)社會責(zé)任的體現(xiàn)；二是為保障客戶利益所擔(dān)負(fù)的安全保障義務(wù)，包括金融機(jī)構(gòu)按照法律規(guī)定、行業(yè)規(guī)范或合同約定，采取措施保障金融客戶的人身、財產(chǎn)、信息及交易活動的安全，防止損害發(fā)生或在損害發(fā)生后及時采取補(bǔ)救措施的義務(wù)等。前者主要體現(xiàn)為依法經(jīng)營，遵守宏觀調(diào)控、金融監(jiān)管的法律政策和市場競爭秩序；后者主要體現(xiàn)為對客戶利益的尊重和維護(hù)。在傳統(tǒng)金融服務(wù)條件下，金融機(jī)構(gòu)的安全保障義務(wù)主要集中在保護(hù)客戶在金融機(jī)構(gòu)營業(yè)場所的人身和財產(chǎn)安全、防止客戶資金丟失或被盜以及保護(hù)客戶的金融信息等；在大數(shù)據(jù)背景下，上述義務(wù)開始發(fā)生變化，客戶的信息安全和資金安全漸成重點，信息安全則是金融機(jī)構(gòu)安全保障義務(wù)的核心內(nèi)容。

（一）客戶金融信息的安全保障

客戶的金融信息安全，是指金融機(jī)構(gòu)對其在交易過程中獲得的靜態(tài)的客戶基本信息和動態(tài)的交易數(shù)據(jù)，負(fù)有保密和不得非法使用的義務(wù)。①任何制度的形成都有其歷時性。對個人信息使用和保護(hù)原則的形成，最初源于1890年美國學(xué)者沃倫和布倫迪斯在《哈佛法律評論》發(fā)表的論文《論隱私權(quán)》中提出的隱私權(quán)（right to pri-vaey）理論。1960年美國法學(xué)家普羅瑟將隱私侵權(quán)分為包括擅自使用他人姓名、肖像或其他人格特征的隱私在內(nèi)的四種侵權(quán)行為。隨著信息技術(shù)的發(fā)展，“隱私權(quán)的內(nèi)涵由消極的‘不受打擾的權(quán)利向積極的‘得以掌控自我信息的權(quán)利擴(kuò)充，信息隱私權(quán)、金融隱私權(quán)、網(wǎng)絡(luò)隱私權(quán)等概念應(yīng)運而生。”有學(xué)者將隱私權(quán)分為自治性隱私權(quán)、物理性隱私權(quán)和信息性隱私權(quán)，即所謂的新隱私權(quán)的三分法理論。而信息性隱私權(quán)，是指權(quán)利人對其能夠被識別的個人信息的獲取、披露和使用予以有效控制的權(quán)利。國內(nèi)學(xué)者多將個人金融信息作為信息性隱私權(quán)的保護(hù)對象。美國也主要通過金融隱私權(quán)保護(hù)來規(guī)范個人金融信息的收集、處理和運用。歐盟則建立了隱私權(quán)標(biāo)章認(rèn)證機(jī)制，規(guī)定收集、處理、存儲和交換一定數(shù)量以上的個人資料的相關(guān)產(chǎn)品和服務(wù)，都應(yīng)該經(jīng)過法定的檢測流程與驗證程序，以確保該產(chǎn)品和服務(wù)對個人信息的保護(hù)，防止侵害行為的發(fā)生。

一般認(rèn)為，金融隱私權(quán)是指金融客戶對與其信用或交易相關(guān)的信息所享有的控制支配權(quán)，它是一種兼具人格性和財產(chǎn)性且財產(chǎn)性日益突出的新型民事權(quán)利，包括客戶自主支配上述信息的權(quán)利，自主決定是否允許第三人知悉并利用該信息的權(quán)利，以及當(dāng)上述信息被不當(dāng)泄露和被非法使用時，尋求司法救濟(jì)的權(quán)利。需要說明的是，客戶的金融信息包括但不限于金融隱私。由于傳統(tǒng)的隱私權(quán)只有自然人才享有，而金融客戶不僅包括自然人，還包括各種企業(yè)和其他社會組織，企業(yè)等社會組織對其金融信息同樣享有權(quán)利，所以，我們認(rèn)為用“金融信息權(quán)”來概括客戶對金融信息的支配權(quán)是適當(dāng)?shù)摹Ｓ醒芯繉⒔鹑谛畔⒌膬?nèi)容概括為客戶的銀行賬號、存取款情況、貸款及還款情況、信用消費及支付情況、所持證券品種及證券交易記錄、所投保險及保險繳費情況等。就信息自身而言，個體孤立的金融信息價值不大，但是大數(shù)據(jù)和云計算把海量、孤立的數(shù)據(jù)聯(lián)系在一起，就使數(shù)據(jù)具備了重大的商業(yè)價值。通過數(shù)據(jù)挖掘（data mining），不但可以準(zhǔn)確把握客戶的消費習(xí)慣從而“投其所好”地推薦商品和服務(wù)，優(yōu)化定價體系，防止價值“滲漏”，實現(xiàn)差異化定價和精準(zhǔn)營銷；而且可以實現(xiàn)對貸款客戶資信情況的準(zhǔn)確判斷并有效降低貸款風(fēng)險；還能及時發(fā)現(xiàn)保險賠付中的“異常值”，提前采取措施，預(yù)防和減少賠付；并實現(xiàn)對經(jīng)濟(jì)發(fā)展水平的準(zhǔn)確評估而為政府提供決策依據(jù)。數(shù)據(jù)分析在帶來上述積極效應(yīng)的同時，還可能產(chǎn)生竊取客戶消費隱私、盜取客戶資金等諸多非法目的的負(fù)面效應(yīng)（許多消費者認(rèn)為對自己消費習(xí)慣的分析本身就構(gòu)成侵權(quán)）。所以，非法獲取個人金融信息就成為不法之徒侵權(quán)甚至犯罪的手段。與非法獲取相對應(yīng)，有關(guān)部門不慎泄露相關(guān)信息也會帶來極大的社會恐慌。最為典型的一是2013年5月美國彭博社授權(quán)記者接觸到金融客戶的機(jī)密數(shù)據(jù)；二是同年2月中國人壽80萬名客戶的個人保單信息被泄露。鑒于金融信息的重要價值和可能遭受的侵害，我們有理由要求作為經(jīng)營者和掌握這些重要金融信息的金融機(jī)構(gòu)負(fù)擔(dān)安全保障職責(zé)。

（二）客戶資金的安全保障

客戶的資金安全是指金融機(jī)構(gòu)有義務(wù)保障客戶資金不受金融機(jī)構(gòu)及第三方的侵害。近年來，銀行儲戶存款失蹤或被盜取的案件屢屢發(fā)生。2015年2月15日《芝加哥論壇報》報道，俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基實驗室（Kaspersky Lab）發(fā)布報告稱，自2013年年底開始的一年多時間里，一黑客團(tuán)伙已從世界至少30個國家的100家銀行竊取多達(dá)10億美元資金。①國內(nèi)媒體報道，2014年初，浙江杭州42位儲戶的9505萬元存款“不翼而飛”，該案涉及多家商業(yè)銀行；2014年10月，上市酒業(yè)公司瀘州老窖在中國農(nóng)業(yè)銀行長沙迎新支行的1.5億元存款失蹤；2015年5月，多名市民存在中國工商銀行石家莊建南支行的數(shù)百萬元存款失蹤。從國內(nèi)案件偵破結(jié)果看，多是不法分子以高息攬存誘使受害人將錢存入銀行，在為受害人辦理存款及網(wǎng)上銀行業(yè)務(wù)的過程中與銀行“內(nèi)鬼”配合，竊取受害人存款信息，包括最為關(guān)鍵的印鑒、密碼、u盾等信息，然后將受害人的存款轉(zhuǎn)走。與上述案件每筆多涉及大額款項不同的是，還有不法分子乘消費者刷卡消費時拷貝銀行卡信息后制造偽卡異地盜取卡內(nèi)存款，個案金額從幾百到幾千不等，由于數(shù)額不大且多涉及外地，偵破難度相對較大。此類案件頻頻發(fā)生，不僅導(dǎo)致大量的財產(chǎn)損失和糾紛發(fā)生，還損害了公眾與金融機(jī)構(gòu)的信賴關(guān)系，延緩了現(xiàn)代交易技術(shù)的使用。另外，還有銀行工作人員與保險代理人串通，以高息誘騙客戶購買保險或理財產(chǎn)品，產(chǎn)生糾紛。諸如此類，一方面說明了金融客戶對自己的金融信息或資金沒有盡到妥善保管的注意義務(wù)；另一方面更說明現(xiàn)行金融系統(tǒng)及其內(nèi)部管理對客戶資金安全保障存有不可忽視的漏洞。

二、大數(shù)據(jù)時代金融數(shù)據(jù)的資源配置

毋庸置疑，客戶對其金融信息享有顯而易見的正當(dāng)權(quán)利，但是絕不能因此就否定金融機(jī)構(gòu)使用客戶信息的權(quán)利。金融機(jī)構(gòu)為金融交易和保護(hù)客戶利益當(dāng)然可以使用客戶信息，但是金融機(jī)構(gòu)為自身利益或社會公益而挖掘使用金融數(shù)據(jù)亦成為無法回避的現(xiàn)實問題。海量的客戶信息掌握在金融機(jī)構(gòu)手中，簡單粗暴的禁止只能起到阻止金融機(jī)構(gòu)公開使用挖掘結(jié)論的效果，無法從根本上杜絕其“地下挖掘，而轉(zhuǎn)入“地下”活動的危害可能更為巨大。同時，在大數(shù)據(jù)時代，禁止金融機(jī)構(gòu)對金融數(shù)據(jù)進(jìn)行挖掘利用無疑是巨大的資源浪費，所以，面對信息技術(shù)浪潮對金融服務(wù)的沖擊，我們應(yīng)該以積極的態(tài)度，與時俱進(jìn)地進(jìn)行制度設(shè)計，在金融數(shù)據(jù)的挖掘使用問題上合理配置資源，劃清金融機(jī)構(gòu)和客戶雙方信息權(quán)利的界限。

（一）金融機(jī)構(gòu)數(shù)據(jù)挖掘權(quán)的現(xiàn)實依據(jù)

從信息來源看，除客戶基本身份信息外，金融數(shù)據(jù)是金融機(jī)構(gòu)和客戶在金融交易過程中產(chǎn)生的，是交易進(jìn)行不可或缺的載體，所以，將金融數(shù)據(jù)單純歸結(jié)為客戶一方的金融隱私或金融信息并進(jìn)而將數(shù)據(jù)權(quán)利上升為客戶的金融隱私權(quán)或金融信息權(quán)，則有失偏頗。因為，除客戶的基本信息外，金融數(shù)據(jù)的生產(chǎn)是雙方協(xié)作的結(jié)果，并非單方固有。對自身的金融信息，客戶有權(quán)查詢、復(fù)制、核對并更正錯誤信息，有權(quán)要求金融機(jī)構(gòu)保密。與此同時，金融機(jī)構(gòu)對每個客戶的金融信息，也有權(quán)維護(hù)、查詢、復(fù)制、審核、監(jiān)督，以便及時發(fā)現(xiàn)數(shù)據(jù)異常情況，保障雙方的金融利益和交易安全。在此過程中，金融機(jī)構(gòu)對客戶的數(shù)據(jù)自然享有一定的權(quán)利，是最基本的數(shù)據(jù)使用權(quán)，其法理依據(jù)是雙方的金融合同，無論合同是否約定，金融機(jī)構(gòu)當(dāng)然應(yīng)該擁有上述權(quán)利，否則金融交易將不可進(jìn)行。由此可見，個體的金融信息是金融機(jī)構(gòu)和客戶在金融交易過程中產(chǎn)生，雙方分別并共同對數(shù)據(jù)享有一定的權(quán)利、承擔(dān)一定的義務(wù)。但是，對由海量客戶的金融信息構(gòu)成的金融數(shù)據(jù)，其維護(hù)的職責(zé)卻在金融機(jī)構(gòu)，單個客戶難以承擔(dān)。在現(xiàn)實生活和理論研究中，卻存在過分強(qiáng)調(diào)客戶的信息權(quán)利而忽視金融機(jī)構(gòu)數(shù)據(jù)利益的傾向。因此，在保護(hù)客戶金融信息的前提下，承認(rèn)和尊重金融機(jī)構(gòu)的數(shù)據(jù)權(quán)利同樣重要。

事實上，金融客戶能夠享受到大數(shù)據(jù)所帶來的諸多便利，離不開金融機(jī)構(gòu)的數(shù)據(jù)挖掘。大數(shù)據(jù)以海量數(shù)據(jù)為基礎(chǔ)，以互聯(lián)網(wǎng)為紐帶，形成交易成本低廉、運算速度快捷、存儲容量巨大、服務(wù)類型多樣的現(xiàn)代交易平臺。金融服務(wù)也借助大數(shù)據(jù)和互聯(lián)網(wǎng)發(fā)生了翻天覆地的變化，交易費用大幅下降，信息不對稱問題顯著緩解，交易安全不斷加強(qiáng)，金融客戶在此過程中充分享受到大數(shù)據(jù)和信息技術(shù)所帶來的便捷服務(wù)和經(jīng)濟(jì)效益。這些進(jìn)步一方面得益于信息技術(shù)的發(fā)展，另一方面也離不開對客戶金融信息的掌握和利用。只有建立在體量巨大的金融數(shù)據(jù)之上，上述成就才能實現(xiàn)。對金融數(shù)據(jù)的統(tǒng)計、匯總和分析，并非大數(shù)據(jù)時代才有，在傳統(tǒng)金融服務(wù)時期，為經(jīng)濟(jì)發(fā)展的需要，政府和金融機(jī)構(gòu)也會對金融數(shù)據(jù)進(jìn)行使用，但是并未引發(fā)金融數(shù)據(jù)的權(quán)利歸屬問題，原因主要在于金融數(shù)據(jù)的使用受到諸多技術(shù)限制，數(shù)據(jù)的社會效益和經(jīng)濟(jì)效益有限。在大數(shù)據(jù)時代，技術(shù)進(jìn)步使金融數(shù)據(jù)的挖掘和利用具有了重大的經(jīng)濟(jì)和社會價值，金融數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素和資源。通過數(shù)據(jù)的二次乃至多次挖掘，一方面，可以實現(xiàn)以充分的歷史數(shù)據(jù)來生成供需雙方的風(fēng)險定價與動態(tài)違約概率，有效降低由于信息不對稱所導(dǎo)致的道德風(fēng)險和逆向選擇；另一方面，及時發(fā)現(xiàn)交易規(guī)律和安全隱患，為金融機(jī)構(gòu)的經(jīng)營決策甚至為國民經(jīng)濟(jì)和社會發(fā)展提供參考依據(jù)。如果禁止金融機(jī)構(gòu)進(jìn)行數(shù)據(jù)挖掘，則無異于對歷史潮流的反動，所以，賦予金融機(jī)構(gòu)數(shù)據(jù)挖掘權(quán)就成為歷史必然。

（二）“告知與許可”原則對數(shù)據(jù)挖掘的適用限制與“負(fù)面清單”原則的確立

承認(rèn)金融機(jī)構(gòu)的數(shù)據(jù)挖掘權(quán)并不意味著金融機(jī)構(gòu)就當(dāng)然享有該項權(quán)利。權(quán)利的來源不外乎兩種形式，一是權(quán)利人的授權(quán)，二是法律的規(guī)定。傳統(tǒng)法上，對個人信息的使用權(quán)源于權(quán)利人的授權(quán)，即采取“授權(quán)制”，實行“告知與許可”原則，歐盟和美國均堅持這一制度。但是，隨著大數(shù)據(jù)技術(shù)的發(fā)展，歐盟和美國卻采取了近乎相反的法律對策。

從立法上，歐盟（不包括英國）堅持大陸法系傳統(tǒng)采取授權(quán)制原則，將個人數(shù)據(jù)視為基本人權(quán)，個人金融信息是個人數(shù)據(jù)的組成部分，未經(jīng)權(quán)利人許可，他人無權(quán)收集并使用個人數(shù)據(jù)。為加強(qiáng)人權(quán)保障，歐盟還專設(shè)獨立機(jī)構(gòu)進(jìn)行個人數(shù)據(jù)保護(hù)。1995年歐盟通過了《個人數(shù)據(jù)保護(hù)指令》，規(guī)定個人數(shù)據(jù)的處理者收集和處理個人數(shù)據(jù)要遵循合法原則（Legitimacy）、適當(dāng)原則（Proportionality）、透明原則（Transparency）、終極原則（Finality）、保密和安全原則（Confidenfi-ality and Security）及監(jiān)控原則（Control）等六個原則，強(qiáng)調(diào)數(shù)據(jù)處理者收集和處理個人數(shù)據(jù)需預(yù)先設(shè)定目的且僅為此目的，并應(yīng)當(dāng)告知數(shù)據(jù)主體有關(guān)數(shù)據(jù)的處理情況，不得過度收集、處理個人數(shù)據(jù)。2006年3月，在馬德里和倫敦公交系統(tǒng)遭遇恐怖襲擊后，歐盟頒布了《數(shù)據(jù)保留指令》，要求電信公司將歐盟公民的通信數(shù)據(jù)保留6個月到兩年，但是2014年4月歐洲法院裁定《數(shù)據(jù)保留指令》無效，理由是該項指令允許電信公司對使用者日常生活習(xí)慣進(jìn)行跟蹤，侵犯了公民人權(quán)。歐洲法院判決的理論依據(jù)依然是告知與許可原則。此前的2010年德國憲法法院就否決了一項要求電信公司將所有數(shù)據(jù)保留6個月的法案。2015年10月6日，歐洲法院判決認(rèn)定歐美2000年簽署的關(guān)于自動交換數(shù)據(jù)的《安全港協(xié)議》無效。根據(jù)該判決，今后美國臉書、谷歌、亞馬遜等網(wǎng)絡(luò)科技公司將收集到的歐洲公民數(shù)據(jù)送往美國將受到法律限制。由此可見，歐盟對包括金融數(shù)據(jù)在內(nèi)的個人信息，繼續(xù)采取更加嚴(yán)格的授權(quán)制度，未經(jīng)許可，任何機(jī)構(gòu)無權(quán)進(jìn)行收集、存儲、傳輸、挖掘等使用。研究顯示，雖然歐盟在個人信息保護(hù)方面的立法堪稱典范，但實施效果并不理想，并對數(shù)據(jù)挖掘限制過多。歐盟嚴(yán)格的信息保護(hù)及其相關(guān)的知識產(chǎn)權(quán)制度，使得歐洲國家在數(shù)據(jù)挖掘研究方面落后于其他國家和地區(qū)。

美國歷來重視隱私權(quán)的保護(hù)，在傳統(tǒng)法上也堅持告知與許可原則，將包括隱私在內(nèi)的個人數(shù)據(jù)視為一項財產(chǎn)權(quán)。1970年公布的《聯(lián)邦公平信用報告法》被認(rèn)為是美國個人數(shù)據(jù)保護(hù)的開端，旨在保護(hù)消費者免受不準(zhǔn)確或武斷的信用報告的不利影響；1994年的《金融隱私權(quán)利法》規(guī)定了披露金融信息時的具體程序；同年的《電子轉(zhuǎn)賬法》要求轉(zhuǎn)賬機(jī)構(gòu)與客戶通過合同約定信息透露的情形；而1999年的《金融服務(wù)現(xiàn)代化法》則是確立了信息透露時的同意原則。隨著大數(shù)據(jù)技術(shù)的發(fā)展，傳統(tǒng)告知與許可原則受到挑戰(zhàn)。為充分利用大數(shù)據(jù)促進(jìn)社會經(jīng)濟(jì)發(fā)展的優(yōu)勢，保持美國在相關(guān)領(lǐng)域的國際領(lǐng)先地位，美國政府更傾向于以改良的法律規(guī)則和政策框架保護(hù)隱私權(quán)的同時，鼓勵和推廣大數(shù)據(jù)技術(shù)的運用，盡力使二者協(xié)調(diào)一致。正如2014年5月美國總統(tǒng)執(zhí)行辦公室發(fā)布的全球“大數(shù)據(jù)”白皮書《大數(shù)據(jù)：把握機(jī)遇，守護(hù)價值》（Big Data：Seize opportunities.Preserving Values）所說，“大數(shù)據(jù)正改變世界，但它并沒有改變美國人對于保護(hù)個人隱私、確保公平或是防止歧視的堅定信仰?！泵绹鴽]有制定統(tǒng)一的個人數(shù)據(jù)保護(hù)法，而是針對個人數(shù)據(jù)濫用危險比較大、個人利益特別需要保護(hù)的特殊部門進(jìn)行特別立法，如前述《金融隱私權(quán)利法》《金融服務(wù)現(xiàn)代化法》等。美國雖無獨立的數(shù)據(jù)保護(hù)機(jī)構(gòu)，但行業(yè)自律機(jī)構(gòu)發(fā)揮了數(shù)據(jù)保護(hù)的重要作用?？傊?，美國是在事前加強(qiáng)個人隱私保護(hù)的前提下賦予金融機(jī)構(gòu)等數(shù)據(jù)擁有者數(shù)據(jù)挖掘權(quán)，同時采取事后對侵權(quán)行為進(jìn)行責(zé)任追究的政策選擇來處理大數(shù)據(jù)下的金融數(shù)據(jù)使用問題。

關(guān)于個人電子信息，我國也實行告知與許可原則。根據(jù)2012年全國人大常委會發(fā)布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。2013年工信部頒布的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》也重申了上述原則。應(yīng)該說，這一原則是建立在對個人隱私保護(hù)的法理基礎(chǔ)之上，禁止未經(jīng)權(quán)利人許可收集和使用個人電子信息，因而具有與生俱來的正當(dāng)性。在信息傳播飛速提高的互聯(lián)網(wǎng)時代，個人信息和隱私被泄露、傳播的風(fēng)險更大，所以這一原則并不過時，且更應(yīng)得到加強(qiáng)。但是，需要注意的是上述原則保護(hù)的并非所有的個人電子信息，《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條規(guī)定“國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息”，可見，法律保護(hù)的是具有身份識別和涉及隱私的電子信息，如果電子信息不包含此兩項內(nèi)容，則不在此列。就單個個體的金融信息而言，因為具有身份信息和涉及個人隱私，所以未經(jīng)權(quán)利人同意金融機(jī)構(gòu)不得超出雙方金融合同的范圍進(jìn)行使用。但是，對于由海量客戶的金融信息構(gòu)成的金融數(shù)據(jù)，在進(jìn)行了脫敏處理、使之不具備身份識別和隱私泄露的風(fēng)險之后，就與原始的個人金融信息有了本質(zhì)的區(qū)別，不應(yīng)再受告知與許可原則的使用限制，應(yīng)該允許金融機(jī)構(gòu)進(jìn)行數(shù)據(jù)挖掘。正是數(shù)據(jù)挖掘技術(shù)的出現(xiàn)，才使得作為金融交易副產(chǎn)品的客戶數(shù)據(jù)具有了難以估量的價值，正如在鐵礦渣中發(fā)現(xiàn)貴重金屬一樣。事實證明，大數(shù)據(jù)技術(shù)的運用是大勢所趨，代表了人類認(rèn)識世界的視角從因果關(guān)系向相關(guān)關(guān)系的轉(zhuǎn)變。如果在數(shù)據(jù)挖掘前都要“告知與許可”，無疑是不現(xiàn)實的。理由有三，其一，金融機(jī)構(gòu)在數(shù)據(jù)挖掘時不可能完全預(yù)知將來出于何種用途對數(shù)據(jù)進(jìn)行挖掘，法律作此預(yù)設(shè)必將會妨礙社會對于新技術(shù)的有效運用，甚或阻礙社會可能的發(fā)展；其二，海量數(shù)據(jù)掌握在金融機(jī)構(gòu)手中，實際上法律不可能完全禁止其進(jìn)行挖掘使用；第三，數(shù)據(jù)挖掘必然涉及到海量客戶，要征得所有客戶的許可難以實現(xiàn)，且交易成本難以估量。所以，在此情況下，“告知與許可”原則不應(yīng)適用，法律應(yīng)該明確金融機(jī)構(gòu)有權(quán)對金融數(shù)據(jù)進(jìn)行挖掘使用的同時設(shè)定“負(fù)面清單”就成為一種理性選擇。

對金融機(jī)構(gòu)數(shù)據(jù)挖掘設(shè)定“負(fù)面清單”是對客戶利益的一種事前保護(hù)措施，是法律預(yù)先規(guī)定金融機(jī)構(gòu)在數(shù)據(jù)收集和挖掘中禁止實施的行為類型，如不得為數(shù)據(jù)挖掘而收集與交易無關(guān)的信息、不得泄露客戶的金融隱私，不得在其挖掘結(jié)論中保留能夠倒推出特定客戶的內(nèi)容等。如此權(quán)利配置和合理使用就可以歸結(jié)為：金融機(jī)構(gòu)對在交易過程中獲取的海量客戶的金融數(shù)據(jù)有權(quán)進(jìn)行挖掘使用，但是以不損害客戶的金融信息（主要是身份和隱私）和資金安全為前提；金融客戶對自己的金融信息享有正當(dāng)使用的權(quán)利，對損害自己金融信息和資金安全等基本權(quán)利的行為有權(quán)制止并追究責(zé)任。這種配置是在不損害客戶權(quán)益的基礎(chǔ)上賦予金融機(jī)構(gòu)更多的權(quán)利，而金融機(jī)構(gòu)對大數(shù)據(jù)的使用不僅關(guān)涉自身利益，而且會推動金融秩序的完善和社會福利的提高，因此是一種帕累托改進(jìn)。上述“負(fù)面清單”也意味著對金融數(shù)據(jù)的法律監(jiān)管由“授權(quán)制”向“負(fù)責(zé)制”轉(zhuǎn)變，監(jiān)管的核心任務(wù)在于監(jiān)控企業(yè)在數(shù)據(jù)收集、使用過程中是否盡到保護(hù)客戶數(shù)據(jù)安全的職責(zé)。

歸根到底，上述金融數(shù)據(jù)的權(quán)利配置和合理使用，實質(zhì)是一種經(jīng)濟(jì)學(xué)上資源的產(chǎn)權(quán)配置問題。薩繆爾森指出：“信息隱私是從豐盛可用的個人資料當(dāng)中所產(chǎn)生的稀有資源”，“實際上是財產(chǎn)應(yīng)如何界定與交換，以及應(yīng)采取怎樣形式的問題?！备鶕?jù)經(jīng)濟(jì)學(xué)理論，特定資源的產(chǎn)權(quán)應(yīng)該配置給能夠最大限度發(fā)揮資源效益的組織或個人，并將其可能給他人和社會造成的負(fù)外部性內(nèi)部化。作為金融交易副產(chǎn)品的海量金融數(shù)據(jù)，單個客戶沒有掌控的條件和依據(jù)，也沒有挖掘使用的動力；而金融機(jī)構(gòu)卻有掌控的便利和挖掘數(shù)據(jù)獲取更大利益的激勵，所以將其產(chǎn)權(quán)配置給后者無疑是正確的，只是需要給其設(shè)定紅線，即保障客戶的金融安全。科斯“含蓄地表明：各種法律對行為產(chǎn)生影響的主要因素是交易成本，而法律的目的正應(yīng)是推進(jìn)市場交換，促進(jìn)交易成本最低化”?！叭魏钨Y源配置機(jī)制，要為社會所接受，都必須解決好兩類任務(wù)：一是不管資源如何使用，必須充分揭示資源收益的信息；二是必須能夠促使人們認(rèn)真思考這些信息?！彼?，從經(jīng)濟(jì)學(xué)的角度看，要更好地保護(hù)金融客戶的信息權(quán)，法律就應(yīng)該科學(xué)設(shè)置金融客戶信息的最優(yōu)資源配置模式，降低消費成本，實現(xiàn)效用的最大化。在此需要說明的是，經(jīng)濟(jì)學(xué)上金融數(shù)據(jù)的產(chǎn)權(quán)對應(yīng)法學(xué)概念，應(yīng)該是對金融數(shù)據(jù)的掌握控制及合理使用的權(quán)利，而不能以“所有權(quán)”、“使用權(quán)”或“知識產(chǎn)權(quán)”簡單替代。

三、大數(shù)據(jù)時代金融安全與資源配置的良性互動

（一）信息技術(shù)的發(fā)展是確保金融安全的原始動力

隨著大數(shù)據(jù)時代信息技術(shù)的發(fā)展，安全保障的措施不斷提高，安全系數(shù)整體呈上升趨勢。對于因金融機(jī)構(gòu)的原因?qū)е驴蛻粜畔⑿孤痘蛸Y金損失的，金融機(jī)構(gòu)自然難以免責(zé)，所以金融機(jī)構(gòu)自身也有加強(qiáng)防范的激勵。對由于客戶自身疏忽大意導(dǎo)致信息泄露或資金損失的，則應(yīng)由客戶自己承擔(dān)損失，但是客戶向金融機(jī)構(gòu)報案之后金融機(jī)構(gòu)應(yīng)該采取措施防止損失的擴(kuò)大，否則就應(yīng)該對擴(kuò)大的損失承擔(dān)責(zé)任。對此問題理論上似無爭議，但是實踐中發(fā)生爭議最多的就是此類案件中的舉證問題，即到底是因哪方原因?qū)е滦畔⑿孤?，雙方往往各執(zhí)一詞。對此類案件，不論法院如何裁決，都是一種事后的救濟(jì)手段，裁判的作用在于通過事后的責(zé)任分配給當(dāng)事人以激勵，督促有能力防止風(fēng)險發(fā)生且防險成本較低的一方積極采取措施予以防范。從根本上有效防范風(fēng)險發(fā)生還有賴于技術(shù)的進(jìn)步：一是偵查技術(shù)的發(fā)展，二是防范技術(shù)的進(jìn)步，在金融領(lǐng)域，二者密切相關(guān)，都離不開信息技術(shù)對非法行為及行為人的準(zhǔn)確鎖定。近年來，由于技術(shù)進(jìn)步降低安全風(fēng)險的事例不勝枚舉，例如，相對于傳統(tǒng)的磁條卡，芯片卡的安全性更高，能夠有效防止被復(fù)制，所以中國人民銀行積極推行芯片卡，并規(guī)定到2015年底之后不再發(fā)放磁條卡。所以，金融信息的安全保障離不開信息技術(shù)的發(fā)展。

（二）規(guī)范的法治是實現(xiàn)雙向激勵的制度保障

文明社會的建立，并不能僅靠提高人們的道德水平來實現(xiàn)，更重要的是建立和運行一套規(guī)范的社會制度，通過利益格局的設(shè)置，對有益社會的行為進(jìn)行有效激勵，使行為人能夠通過實施善行獲得利益，并對違法行為形成足夠威懾，將其控制在最低限度之內(nèi)。而社會制度的形成，就是社會資源配置的過程?？茖W(xué)劃分金融機(jī)構(gòu)和客戶對金融信息所享有的權(quán)利和利用的界限，就是重要的資源配置，配置得當(dāng)，能夠充分調(diào)動雙方的積極性，最大限度實現(xiàn)雙方的利益和促進(jìn)社會發(fā)展，否則就會適得其反。

首先，需要合理設(shè)置金融機(jī)構(gòu)與金融客戶的金融安全義務(wù)。保障金融安全不僅是金融機(jī)構(gòu)的職責(zé)，客戶也負(fù)有不可推卸的責(zé)任?？蛻舻呢?zé)任主要表現(xiàn)在如下方面，一是對自己的金融信息尤其是身份信息、銀行賬號、信用卡號、交易密碼、保密手段等敏感信息負(fù)有保密義務(wù)；二是客戶發(fā)現(xiàn)信息異常或資金丟失時應(yīng)該及時向金融機(jī)構(gòu)報告和向公安機(jī)關(guān)報案，并盡可能在力所能及的范圍內(nèi)收集證據(jù)；三是積極配合金融機(jī)構(gòu)和公安機(jī)關(guān)查清案件。對于金融機(jī)構(gòu)而言，其安全保障義務(wù)是主要的，主要表現(xiàn)為：一是在現(xiàn)有技術(shù)條件下為客戶提供最大限度的安全保障，因為相較于客戶，金融機(jī)構(gòu)是專業(yè)機(jī)構(gòu)，理應(yīng)在技術(shù)措施、舉證責(zé)任等方面承擔(dān)更加嚴(yán)格的義務(wù)。二是負(fù)有不斷改進(jìn)安保技術(shù)的職責(zé)。信息技術(shù)日新月異，侵害金融信息的手段也會花樣翻新，正所謂“道高一尺，魔高一丈”，金融機(jī)構(gòu)必須不斷提高和更新安保措施，盡力做到“魔高一尺，道高一丈”。三是建立和運行規(guī)范的日常巡查和應(yīng)急處理機(jī)制，及時發(fā)現(xiàn)安保漏洞和處理突發(fā)事件。

其次，正確認(rèn)識信息保護(hù)與金融創(chuàng)新的辯證關(guān)系。一方面，金融信息作為包含個人隱私和商業(yè)秘密的重要數(shù)據(jù)，金融機(jī)構(gòu)和客戶都負(fù)有共同維護(hù)、保守秘密的義務(wù)。另一方面，金融數(shù)據(jù)作為大數(shù)據(jù)時代的重要資源，其挖掘利用對社會發(fā)展意義重大。如果一味地強(qiáng)調(diào)保護(hù)信息安全而禁止挖掘使用，則無異于固步自封。大數(shù)據(jù)技術(shù)的發(fā)展是不可逆的，它代表了人類認(rèn)識世界的視角演化和掌控能力的進(jìn)步。博登海默曾言，在個人生活和社會生活中，一味強(qiáng)調(diào)安全，只會導(dǎo)致停滯，最終還會導(dǎo)致衰敗。對傳統(tǒng)金融機(jī)構(gòu)，由“數(shù)據(jù)”向“資源”再到“價值”的轉(zhuǎn)化，無疑是金融創(chuàng)新的重要方式，是商業(yè)模式與運營模式深刻變革的重要驅(qū)動，也是由靜態(tài)的數(shù)據(jù)轉(zhuǎn)化為動態(tài)的生產(chǎn)力的必由之路。這就需要在允許金融機(jī)構(gòu)金融創(chuàng)新的同時加強(qiáng)客戶的信息、資金安全保護(hù)，即前文所述的事前“負(fù)面清單”和事后侵權(quán)責(zé)任追究相結(jié)合的處理原則；同時，非出于雙方金融交易的需要，不得對單個客戶進(jìn)行數(shù)據(jù)收集以及跟蹤定位、行為分析等數(shù)據(jù)挖掘。金融機(jī)構(gòu)在授權(quán)第三方進(jìn)行數(shù)據(jù)挖掘時，也務(wù)必事先進(jìn)行相關(guān)脫敏處理，如果第三方原因?qū)е驴蛻粜畔⑿孤痘蛸Y金損失，則金融機(jī)構(gòu)應(yīng)該承擔(dān)責(zé)任。當(dāng)然，這不應(yīng)影響權(quán)利人向第三方追究侵權(quán)責(zé)任。

第三，建立健全數(shù)據(jù)安全保障與資源配置的法律制度。立法本身就是資源配置的重要方式，中共十八屆三中全會決議提出，讓市場在資源配置中起決定作用。完善相關(guān)立法，需要密切關(guān)注以下方面：其一，立法機(jī)關(guān)在立法過程中應(yīng)該以務(wù)實的態(tài)度，以資源有效利用和市場機(jī)制為基礎(chǔ)，站在中立的立場，既要保護(hù)金融客戶的基本信息權(quán)利，又要考慮金融數(shù)據(jù)的重要價值，賦予數(shù)據(jù)的持有者數(shù)據(jù)挖掘權(quán)，使海量數(shù)據(jù)真正為經(jīng)營者帶來效益的同時也為客戶帶來更為高效的服務(wù)和安全，實現(xiàn)技術(shù)創(chuàng)新、思維創(chuàng)新。其二，對個體金融信息堅持“告知與許可”原則的同時，以法律形式對數(shù)據(jù)挖掘確立“負(fù)面清單”原則，明確規(guī)定禁止金融機(jī)構(gòu)收集和使用客戶金融信息的范圍及原則，采取“負(fù)責(zé)制”允許金融機(jī)構(gòu)在不損害客戶利益的前提下有權(quán)進(jìn)行大數(shù)據(jù)的挖掘利用。其三，建立客戶金融信息保護(hù)的應(yīng)急保障機(jī)制，當(dāng)客戶信息泄露和資金損失發(fā)生時，金融機(jī)構(gòu)應(yīng)該在最短時間內(nèi)采取措施，并負(fù)有保存相關(guān)證據(jù)的義務(wù)。其四，建立和完善金融機(jī)構(gòu)安全保障風(fēng)險評估機(jī)制，通過對金融機(jī)構(gòu)的風(fēng)險評估，獎優(yōu)罰劣，督促金融機(jī)構(gòu)提高風(fēng)險保障能力，也給客戶用腳投票提供依據(jù)。

結(jié)語

作為新時期的基礎(chǔ)生活資料和市場要素，大數(shù)據(jù)將成為企業(yè)提高生產(chǎn)力和競爭力的重要方式，其重要程度甚至超過物質(zhì)財產(chǎn)和人力資源，金融數(shù)據(jù)也不例外。在大數(shù)據(jù)時代，只有充分認(rèn)識金融數(shù)據(jù)的資源價值，賦予金融機(jī)構(gòu)數(shù)據(jù)挖掘權(quán)，明確金融機(jī)構(gòu)和客戶的權(quán)利界限，以市場配置資源，才能充分調(diào)動金融機(jī)構(gòu)運用信息技術(shù)將大數(shù)據(jù)轉(zhuǎn)化為現(xiàn)實生產(chǎn)力的積極性，創(chuàng)新金融服務(wù)的領(lǐng)域和方式，并在此過程中不斷提高金融安全的保障能力，促進(jìn)經(jīng)濟(jì)和社會發(fā)展。