设为首页

加入收藏

怀念旧版

首页 私法动态 私法名家 私法研究 私法讲坛 私法茶座 私法书架 私法课堂

>   名家推荐   >   大数据时代金融机构的安全保障义务与金融数据的资源配置

大数据时代金融机构的安全保障义务与金融数据的资源配置


发布时间:2016年11月24日 辜明安;王 彦 点击次数:3557

[摘 要]:
大数据时代金融机构对客户的安全保障义务主要包括信息安全和资金安全两个方面,其实现有赖于金融数据在金融机构和金融客户之间的资源配置。在对个体客户金融信息坚持“告知与许可”使用原则的同时,对海量客户的金融数据实行“负面清单”制度,在充分保障客户信息权利的基础上承认金融机构的数据挖掘权,可以有效避免传统数据使用“授权制”下巨大的交易成本和监管费用,激发金融机构利用大数据进行金融创新,从而实现与金融安全的良性互动。
[关键词]:
金融数据;金融信息权;数据挖掘权;告知与许可原则;负面清单

    随着信息技术的发展,人类社会已然进入“大数据时代”,海量数据的生产、传播和使用给社会生活带来了颠覆性的变化。“在改变人类基本的生活与思考方式的同时,大数据早已在推动人类信息管理准则的重新定位。”[1]在金融服务领域,伴随着大数据和互联网金融的发展,营业模式不断更新、服务效率极大提高,出现了金融机构和金融客户前所未有的双赢格局。但是,由于数据获取和传播方式的便捷性、互联网技术的开放性和即时性,安全风险亦随之加大,因此,加强大数据时代金融机构的安全保障成为当前的急务。
 
一、大数据背景下金融机构安全保障义务的转型
 
    安全是人的基本需要,维护安全是法律的重要任务。在现代社会,“金融是经济发展的血液和重要支撑”【1】,因此,维护金融安全意义重大。金融机构是维护金融安全和保障客户利益的主导力量,必须承担安全保障义务。金融机构的安全保障义务包括两个层面,一是为实现自身健康发展和维护金融秩序所担负的安全保障义务,这既是法律对金融机构的基本要求,也是金融机构社会责任的体现;二是为保障客户利益所担负的安全保障义务,包括金融机构按照法律规定、行业规范或合同约定,采取措施保障金融客户的人身、财产、信息及交易活动的安全,防止损害发生或在损害发生后及时采取补救措施的义务等。[2]前者主要体现为依法经营,遵守宏观调控、金融监管的法律政策和市场竞争秩序;后者主要体现为对客户利益的尊重和维护。在传统金融服务条件下,金融机构的安全保障义务主要集中在保护客户在金融机构营业场所的人身和财产安全、防止客户资金丢失或被盗以及保护客户的金融信息等;在大数据背景下,上述义务开始发生变化,客户的信息安全和资金安全渐成重点,信息安全则是金融机构安全保障义务的核心内容。
 
(一)客户金融信息的安全保障
 
    客户的金融信息安全,是指金融机构对其在交易过程中获得的静态的客户基本信息和动态的交易数据,负有保密和不得非法使用的义务。【1】任何制度的形成都有其历时性。[3]对个人信息使用和保护原则的形成,最初源于1890年美国学者沃伦和布伦迪斯在《哈佛法律评论》发表的论文《论隐私权》中提出的隐私权(right to privacy)理论。[4]1960年美国法学家普罗瑟将隐私侵权分为包括擅自使用他人姓名、肖像或其他人格特征的隐私在内的四种侵权行为。[5]随着信息技术的发展,“隐私权的内涵由消极的‘不受打扰的权利’向积极的‘得以掌控自我信息的权利’扩充,信息隐私权、金融隐私权、网络隐私权等概念应运而生。”[6]有学者将隐私权分为自治性隐私权、物理性隐私权和信息性隐私权,即所谓的新隐私权的三分法理论。[7]而信息性隐私权,是指权利人对其能够被识别的个人信息的获取、披露和使用予以有效控制的权利。[8]国内学者多将个人金融信息作为信息性隐私权的保护对象。[9]美国也主要通过金融隐私权保护来规范个人金融信息的收集、处理和运用。欧盟则建立了隐私权标章认证机制,规定收集、处理、存储和交换一定数量以上的个人资料的相关产品和服务,都应该经过法定的检测流程与验证程序,以确保该产品和服务对个人信息的保护,防止侵害行为的发生。
 
    一般认为,金融隐私权是指金融客户对与其信用或交易相关的信息所享有的控制支配权,它是一种兼具人格性和财产性且财产性日益突出的新型民事权利,包括客户自主支配上述信息的权利,自主决定是否允许第三人知悉并利用该信息的权利,以及当上述信息被不当泄露和被非法使用时,寻求司法救济的权利。[10]需要说明的是,客户的金融信息包括但不限于金融隐私。由于传统的隐私权只有自然人才享有,而金融客户不仅包括自然人,还包括各种企业和其他社会组织,企业等社会组织对其金融信息同样享有权利,所以,我们认为用“金融信息权”来概括客户对金融信息的支配权是适当的。有研究将金融信息的内容概括为客户的银行账号、存取款情况、贷款及还款情况、信用消费及支付情况、所持证券品种及证券交易记录、所投保险及保险缴费情况等。[11]就信息自身而言,个体孤立的金融信息价值不大,但是大数据和云计算把海量、孤立的数据联系在一起,就使数据具备了重大的商业价值。通过数据挖掘(data mining),不但可以准确把握客户的消费习惯从而“投其所好”地推荐商品和服务,优化定价体系,防止价值“渗漏”,实现差异化定价和精准营销;而且可以实现对贷款客户资信情况的准确判断并有效降低贷款风险;还能及时发现保险赔付中的“异常值”,提前采取措施,预防和减少赔付;并实现对经济发展水平的准确评估而为政府提供决策依据。数据分析在带来上述积极效应的同时,还可能产生窃取客户消费隐私、盗取客户资金等诸多非法目的的负面效应(许多消费者认为对自己消费习惯的分析本身就构成侵权)。所以,非法获取个人金融信息就成为不法之徒侵权甚至犯罪的手段。与非法获取相对应,有关部门不慎泄露相关信息也会带来极大的社会恐慌。最为典型的一是2013年5月美国彭博社授权记者接触到金融客户的机密数据;二是同年2月中国人寿80万名客户的个人保单信息被泄露。鉴于金融信息的重要价值和可能遭受的侵害,我们有理由要求作为经营者和掌握这些重要金融信息的金融机构负担安全保障职责。
 
(二)客户资金的安全保障
 
    客户的资金安全是指金融机构有义务保障客户资金不受金融机构及第三方的侵害。近年来,银行储户存款失踪或被盗取的案件屡屡发生。2015年2月15日《芝加哥论坛报》报道,俄罗斯网络安全公司卡巴斯基实验室(Kaspersky Lab)发布报告称,自2013年年底开始的一年多时间里,一黑客·77·团伙已从世界至少30个国家的100家银行窃取多达10亿美元资金。【3】国内媒体报道,2014年初,浙江杭州42位储户的9505万元存款“不翼而飞”,该案涉及多家商业银行;2014年10月,上市酒业公司泸州老窖在中国农业银行长沙迎新支行的1.5亿元存款失踪;2015年5月,多名市民存在中国工商银行石家庄建南支行的数百万元存款失踪。【4】从国内案件侦破结果看,多是不法分子以高息揽存诱使受害人将钱存入银行,在为受害人办理存款及网上银行业务的过程中与银行“内鬼”配合,窃取受害人存款信息,包括最为关键的印鉴、密码、U盾等信息,然后将受害人的存款转走。与上述案件每笔多涉及大额款项不同的是,还有不法分子乘消费者刷卡消费时拷贝银行卡信息后制造伪卡异地盗取卡内存款,个案金额从几百到几千不等,由于数额不大且多涉及外地,侦破难度相对较大。此类案件频频发生,不仅导致大量的财产损失和纠纷发生,还损害了公众与金融机构的信赖关系,延缓了现代交易技术的使用。另外,还有银行工作人员与保险代理人串通,以高息诱骗客户购买保险或理财产品,产生纠纷。诸如此类,一方面说明了金融客户对自己的金融信息或资金没有尽到妥善保管的注意义务;另一方面更说明现行金融系统及其内部管理对客户资金安全保障存有不可忽视的漏洞。
 
二、大数据时代金融数据的资源配置
 
    毋庸置疑,客户对其金融信息享有显而易见的正当权利,但是绝不能因此就否定金融机构使用客户信息的权利。金融机构为金融交易和保护客户利益当然可以使用客户信息,但是金融机构为自身利益或社会公益而挖掘使用金融数据亦成为无法回避的现实问题。海量的客户信息掌握在金融机构手中,简单粗暴的禁止只能起到阻止金融机构公开使用挖掘结论的效果,无法从根本上杜绝其“地下”挖掘,而转入“地下”活动的危害可能更为巨大。同时,在大数据时代,禁止金融机构对金融数据进行挖掘利用无疑是巨大的资源浪费,所以,面对信息技术浪潮对金融服务的冲击,我们应该以积极的态度,与时俱进地进行制度设计,在金融数据的挖掘使用问题上合理配置资源,划清金融机构和客户双方信息权利的界限。
 
(一)金融机构数据挖掘权的现实依据
 
    从信息来源看,除客户基本身份信息外,金融数据是金融机构和客户在金融交易过程中产生的,是交易进行不可或缺的载体,所以,将金融数据单纯归结为客户一方的金融隐私或金融信息并进而将数据权利上升为客户的金融隐私权或金融信息权,则有失偏颇。因为,除客户的基本信息外,金融数据的生产是双方协作的结果,并非单方固有。对自身的金融信息,客户有权查询、复制、核对并更正错误信息,有权要求金融机构保密。与此同时,金融机构对每个客户的金融信息,也有权维护、查询、复制、审核、监督,以便及时发现数据异常情况,保障双方的金融利益和交易安全。在此过程中,金融机构对客户的数据自然享有一定的权利,是最基本的数据使用权,其法理依据是双方的金融合同,无论合同是否约定,金融机构当然应该拥有上述权利,否则金融交易将不可进行。由此可见,个体的金融信息是金融机构和客户在金融交易过程中产生,双方分别并共同对数据享有一定的权利、承担一定的义务。但是,对由海量客户的金融信息构成的金融数据,其维护的职责却在金融机构,单个客户难以承担。在现实生活和理论研究中,却存在过分强调客户的信息权利而忽视金融机构数据利益的倾向。因此,在保护客户金融信息的前提下,承认和尊重金融机构的数据权利同样重要。
 
    事实上,金融客户能够享受到大数据所带来的诸多便利,离不开金融机构的数据挖掘。大数据以海量数据为基础,以互联网为纽带,形成交易成本低廉、运算速度快捷、存储容量巨大、服务类型多样的现代交易平台。金融服务也借助大数据和互联网发生了翻天覆地的变化,交易费用大幅下降,信息不对称问题显著缓解,交易安全不断加强,金融客户在此过程中充分享受到大数据和信息技术所带来的便捷服务和经济效益。这些进步一方面得益于信息技术的发展,另一方面也离不开对客户金融信息的掌握和利用。只有建立在体量巨大的金融数据之上,上述成就才能实现。对金融数据的统计、汇总和分析,并非大数据时代才有,在传统金融服务时期,为经济发展的需要,政府和金融机构也会对金融数据进行使用,但是并未引发金融数据的权利归属问题,原因主要在于金融数据的使用受到诸多技术限制,数据的社会效益和经济效益有限。在大数据时代,技术进步使金融数据的挖掘和利用具有了重大的经济和社会价值,金融数据已经成为重要的生产要素和资源。通过数据的二次乃至多次挖掘,一方面,可以实现以充分的历史数据来生成供需双方的风险定价与动态违约概率,有效降低由于信息不对称所导致的道德风险和逆向选择;另一方面,及时发现交易规律和安全隐患,为金融机构的经营决策甚至为国民经济和社会发展提供参考依据。如果禁止金融机构进行数据挖掘,则无异于对历史潮流的反动,所以,赋予金融机构数据挖掘权就成为历史必然。
 
(二)“告知与许可”原则对数据挖掘的适用限制
与“负面清单”原则的确立
 
    承认金融机构的数据挖掘权并不意味着金融机构就当然享有该项权利。权利的来源不外乎两种形式,一是权利人的授权,二是法律的规定。传统法上,对个人信息的使用权源于权利人的授权,即采取“授权制”,实行“告知与许可”原则[12],欧盟和美国均坚持这一制度。但是,随着大数据技术的发展,欧盟和美国却采取了近乎相反的法律对策。从立法上,欧盟(不包括英国)坚持大陆法系传统采取授权制原则,将个人数据视为基本人权【5】,个人金融信息是个人数据的组成部分,未经权利人许可,他人无权收集并使用个人数据。为加强人权保障,欧盟还专设独立机构进行个人数据保护。1995年欧盟通过了《个人数据保护指令》,规定个人数据的处理者收集和处理个人数据要遵循合法原则(Legitimacy)、适当原则(Proportionality)、透明原则(Transparency)、终极原则(Finality)、保密和安全原则(Confidentiality and Security)及监控原则(Control)等六个原则,强调数据处理者收集和处理个人数据需预先设定目的且仅为此目的,并应当告知数据主体有关数据的处理情况,不得过度收集、处理个人数据。2006年3月,在马德里和伦敦公交系统遭遇恐怖袭击后,欧盟颁布了《数据保留指令》,要求电信公司将欧盟公民的通信数据保留6个月到两年,但是2014年4月欧洲法院裁定《数据保留指令》无效,理由是该项指令允许电信公司对使用者日常生活习惯进行跟踪,侵犯了公民人权。[13]欧洲法院判决的理论依据依然是告知与许可原则。此前的2010年德国宪法法院就否决了一项要求电信公司将所有数据保留6个月的法案。2015年10月6日,欧洲法院判决认定欧美2000年签署的关于自动交换数据的《安全港协议》无效。根据该判决,今后美国脸书、谷歌、亚马逊等网络科技公司将收集到的欧洲公民数据送往美国将受到法律限制。由此可见,欧盟对包括金融数据在内的个人信息,继续采取更加严格的授权制度,未经许可,任何机构无权进行收集、存储、传输、挖掘等使用。研究显示,虽然欧盟在个人信息保护方面的立法堪称典范,但实施效果并不理想,并对数据挖掘限制过多。欧盟严格的信息保护及其相关的知识产权制度,使得欧洲国家在数据挖掘研究方面落后于其他国家和地区。[14]
 
    美国历来重视隐私权的保护,在传统法上也坚持告知与许可原则,将包括隐私在内的个人数据视为一项财产权。[15]1970年公布的《联邦公平信用报告法》被认为是美国个人数据保护的开端,旨在保护消费者免受不准确或武断的信用报告的不利影响;1994年的《金融隐私权利法》规定了披露金融信息时的具体程序;同年的《电子转账法》要求转账机构与客户通过合同约定信息透露的情形;而1999年的《金融服务现代化法》则是确立了信息透露时的同意原则。随着大数据技术的发展,传统告知与许可原则受到挑战。为充分利用大数据促进社会经济发展的优势,保持美国在相关领域的国际领先地位,美国政府更倾向于以改良的法律规则和政策框架保护隐私权的同时,鼓励和推广大数据技术的运用,尽力使二者协调一致。正如2014年5月美国总统执行办公室发布的全球“大数据”白皮书《大数据:把握机遇,守护价值》(Big Data:Seize Opportunities,Preserving Values)所说,“大数据正改变世界,但它并没有改变美国人对于保护个人隐私、确保公平或是防止歧视的坚定信仰。”美国没有制定统一的个人数据保护法,而是针对个人数据滥用危险比较大、个人利益特别需要保护的特殊部门进行特别立法,如前述《金融隐私权利法》《金融服务现代化法》等。美国虽无独立的数据保护机构,但行业自律机构发挥了数据保护的重要作用。[16]总之,美国是在事前加强个人隐私保护的前提下赋予金融机构等数据拥有者数据挖掘权,同时采取事后对侵权行为进行责任追究的政策选择来处理大数据下的金融数据使用问题。
 
    关于个人电子信息,我国也实行告知与许可原则。根据2012年全国人大常委会发布的《关于加强网络信息保护的决定》,网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人电子信息,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。2013年工信部颁布的《电信和互联网用户个人信息保护规定》也重申了上述原则。应该说,这一原则是建立在对个人隐私保护的法理基础之上,禁止未经权利人许可收集和使用个人电子信息,因而具有与生俱来的正当性。在信息传播飞速提高的互联网时代,个人信息和隐私被泄露、传播的风险更大,所以这一原则并不过时,且更应得到加强。但是,需要注意的是上述原则保护的并非所有的个人电子信息,《关于加强网络信息保护的决定》第1条规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,可见,法律保护的是具有身份识别和涉及隐私的电子信息,如果电子信息不包含此两项内容,则不在此列。就单个个体的金融信息而言,因为具有身份信息和涉及个人隐私,所以未经权利人同意金融机构不得超出双方金融合同的范围进行使用。但是,对于由海量客户的金融信息构成的金融数据,在进行了脱敏处理、使之不具备身份识别和隐私泄露的风险之后,就与原始的个人金融信息有了本质的区别,不应再受告知与许可原则的使用限制,应该允许金融机构进行数据挖掘。正是数据挖掘技术的出现,才使得作为金融交易副产品的客户数据具有了难以估量的价值,正如在铁矿渣中发现贵重金属一样。事实证明,大数据技术的运用是大势所趋,代表了人类认识世界的视角从因果关系向相关关系的转变。如果在数据挖掘前都要“告知与许可”,无疑是不现实的。理由有三,其一,金融机构在数据挖掘时不可能完全预知将来出于何种用途对数据进行挖掘,法律作此预设必将会妨碍社会对于新技术的有效运用,甚或阻碍社会可能的发展;其二,海量数据掌握在金融机构手中,实际上法律不可能完全禁止其进行挖掘使用;第三,数据挖掘必然涉及到海量客户,要征得所有客户的许可难以实现,且交易成本难以估量。所以,在此情况下,“告知与许可”原则不应适用,法律应该明确金融机构有权对金融数据进行挖掘使用的同时设定“负面清单”就成为一种理性选择。
 
    对金融机构数据挖掘设定“负面清单”是对客户利益的一种事前保护措施,是法律预先规定金融机构在数据收集和挖掘中禁止实施的行为类型,如不得为数据挖掘而收集与交易无关的信息、不得泄露客户的金融隐私,不得在其挖掘结论中保留能够倒推出特定客户的内容等。如此权利配置和合理使用就可以归结为:金融机构对在交易过程中获取的海量客户的金融数据有权进行挖掘使用,但是以不损害客户的金融信息(主要是身份和隐私)和资金安全为前提;金融客户对自己的金融信息享有正当使用的权利,对损害自己金融信息和资金安全等基本权利的行为有权制止并追究责任。这种配置是在不损害客户权益的基础上赋予金融机构更多的权利,而金融机构对大数据的使用不仅关涉自身利益,而且会推动金融秩序的完善和社会福利的提高,因此是一种帕累托改进。上述“负面清单”也意味着对金融数据的法律监管由“授权制”向“负责制”转变,监管的核心任务在于监控企业在数据收集、使用过程中是否尽到保护客户数据安全的职责。
 
    归根到底,上述金融数据的权利配置和合理使用,实质是一种经济学上资源的产权配置问题。萨缪尔森指出:“信息隐私是从丰盛可用的个人资料当中所产生的稀有资源”,“实际上是财产应如何界定与交换,以及应采取怎样形式的问题。”[17]根据经济学理论,特定资源的产权应该配置给能够****限度发挥资源效益的组织或个人,并将其可能给他人和社会造成的负外部性内部化。作为金融交易副产品的海量金融数据,单个客户没有掌控的条件和依据,也没有挖掘使用的动力;而金融机构却有掌控的便利和挖掘数据获取更大利益的激励,所以将其产权配置给后者无疑是正确的,只是需要给其设定红线,即保障客户的金融安全。科斯“含蓄地表明:各种法律对行为产生影响的主要因素是交易成本,而法律的目的正应是推进市场交换,促进交易成本最低化”。[18]“任何资源配置机制,要为社会所接受,都必须解决好两类任务:一是不管资源如何使用,必须充分揭示资源收益的信息;二是必须能够促使人们认真思考这些信息。”[19]所以,从经济学的角度看,要更好地保护金融客户的信息权,法律就应该科学设置金融客户信息的最优资源配置模式,降低消费成本,实现效用的****化。在此需要说明的是,经济学上金融数据的产权对应法学概念,应该是对金融数据的掌握控制及合理使用的权利,而不能以“所有权”、“使用权”或“知识产权”简单替代。
 
三、大数据时代金融安全与资源配置的良性互动
 
(一)信息技术的发展是确保金融安全的原始动力
 
    随着大数据时代信息技术的发展,安全保障的措施不断提高,安全系数整体呈上升趋势。对于因金融机构的原因导致客户信息泄露或资金损失的,金融机构自然难以免责,所以金融机构自身也有加强防范的激励。对由于客户自身疏忽大意导致信息泄露或资金损失的,则应由客户自己承担损失,但是客户向金融机构报案之后金融机构应该采取措施防止损失的扩大,否则就应该对扩大的损失承担责任。对此问题理论上似无争议,但是实践中发生争议最多的就是此类案件中的举证问题,即到底是因哪方原因导致信息泄露,双方往往各执一词。对此类案件,不论法院如何裁决,都是一种事后的救济手段,裁判的作用在于通过事后的责任分配给当事人以激励,督促有能力防止风险发生且防险成本较低的一方积极采取措施予以防范。从根本上有效防范风险发生还有赖于技术的进步:一是侦查技术的发展,二是防范技术的进步,在金融领域,二者密切相关,都离不开信息技术对非法行为及行为人的准确锁定。近年来,由于技术进步降低安全风险的事例不胜枚举,例如,相对于传统的磁条卡,芯片卡的安全性更高,能够有效防止被复制,所以中国人民银行积极推行芯片卡,并规定到2015年底之后不再发放磁条卡。所以,金融信息的安全保障离不开信息技术的发展。
 
(二)规范的法治是实现双向激励的制度保障
 
    文明社会的建立,并不能仅靠提高人们的道德水平来实现,更重要的是建立和运行一套规范的社会制度,通过利益格局的设置,对有益社会的行为进行有效激励,使行为人能够通过实施善行获得利益,并对违法行为形成足够威慑,将其控制在最低限度之内。而社会制度的形成,就是社会资源配置的过程。科学划分金融机构和客户对金融信息所享有的权利和利用的界限,就是重要的资源配置,配置得当,能够充分调动双方的积极性,****限度实现双方的利益和促进社会发展,否则就会适得其反。
 
    首先,需要合理设置金融机构与金融客户的金融安全义务。保障金融安全不仅是金融机构的职责,客户也负有不可推卸的责任。客户的责任主要表现在如下方面,一是对自己的金融信息尤其是身份信息、银行账号、信用卡号、交易密码、保密手段等敏感信息负有保密义务;二是客户发现信息异常或资金丢失时应该及时向金融机构报告和向公安机关报案,并尽可能在力所能及的范围内收集证据;三是积极配合金融机构和公安机关查清案件。对于金融机构而言,其安全保障义务是主要的,主要表现为:一是在现有技术条件下为客户提供****限度的安全保障,因为相较于客户,金融机构是专业机构,理应在技术措施、举证责任等方面承担更加严格的义务。二是负有不断改进安保技术的职责。信息技术日新月异,侵害金融信息的手段也会花样翻新,正所谓“道高一尺,魔高一丈”,金融机构必须不断提高和更新安保措施,尽力做到“魔高一尺,道高一丈”。三是建立和运行规范的日常巡查和应急处理机制,及时发现安保漏洞和处理突发事件。
 
    其次,正确认识信息保护与金融创新的辩证关系。一方面,金融信息作为包含个人隐私和商业秘密的重要数据,金融机构和客户都负有共同维护、保守秘密的义务。另一方面,金融数据作为大数据时代的重要资源,其挖掘利用对社会发展意义重大。如果一味地强调保护信息安全而禁止挖掘使用,则无异于固步自封。大数据技术的发展是不可逆的,它代表了人类认识世界的视角演化和掌控能力的进步。博登海默曾言,在个人生活和社会生活中,一味强调安全,只会导致停滞,最终还会导致衰败。[20]对传统金融机构,由“数据”向“资源”再到“价值”的转化,无疑是金融创新的重要方式,是商业模式与运营模式深刻变革的重要驱动,也是由静态的数据转化为动态的生产力的必由之路。这就需要在允许金融机构金融创新的同时加强客户的信息、资金安全保护,即前文所述的事前“负面清单”和事后侵权责任追究相结合的处理原则;同时,非出于双方金融交易的需要,不得对单个客户进行数据收集以及跟踪定位、行为分析等数据挖掘。金融机构在授权第三方进行数据挖掘时,也务必事先进行相关脱敏处理,如果第三方原因导致客户信息泄露或资金损失,则金融机构应该承担责任。当然,这不应影响权利人向第三方追究侵权责任。
 
    第三,建立健全数据安全保障与资源配置的法律制度。立法本身就是资源配置的重要方式,中共十八届三中全会决议提出,让市场在资源配置中起决定作用。完善相关立法,需要密切关注以下方面:其一,立法机关在立法过程中应该以务实的态度,以资源有效利用和市场机制为基础,站在中立的立场,既要保护金融客户的基本信息权利,又要考虑金融数据的重要价值,赋予数据的持有者数据挖掘权,使海量数据真正为经营者带来效益的同时也为客户带来更为高效的服务和安全,实现技术创新、思维创新。其二,对个体金融信息坚持“告知与许可”原则的同时,以法律形式对数据挖掘确立“负面清单”原则,明确规定禁止金融机构收集和使用客户金融信息的范围及原则,采取“负责制”允许金融机构在不损害客户利益的前提下有权进行大数据的挖掘利用。其三,建立客户金融信息保护的应急保障机制,当客户信息泄露和资金损失发生时,金融机构应该在最短时间内采取措施,并负有保存相关证据的义务。其四,建立和完善金融机构安全保障风险评估机制,通过对金融机构的风险评估,奖优罚劣,督促金融机构提高风险保障能力,也给客户用脚投票提供依据。
 
结语
 
    作为新时期的基础生活资料和市场要素,大数据将成为企业提高生产力和竞争力的重要方式,其重要程度甚至超过物质财产和人力资源,金融数据也不例外。在大数据时代,只有充分认识金融数据的资源价值,赋予金融机构数据挖掘权,明确金融机构和客户的权利界限,以市场配置资源,才能充分调动金融机构运用信息技术将大数据转化为现实生产力的积极性,创新金融服务的领域和方式,并在此过程中不断提高金融安全的保障能力,促进经济和社会发展。
 
【注释】
【1】李克强总理在内蒙古自治区赤峰市调研时的讲话。参见2014年5月24日《经济日报》。
【2】为准确表述,本文将针对具体客户的身份信息和交易数据统称为“金融信息”,而将金融机构掌握的海量客户的金融信息统称为“金融数据”。
【3】来源:http://www.chicagotribune.com/business/chi-hackers-bank-heist-20150215-story.html.访问时间:2015年12月20日。
【4】来源:新华网,杜放、方列、罗政《42名储户9500万元存款是怎样丢失的?——多地银行存款屡现“失踪”调查》;中国新闻网,崔涛、王天译、肖光明《河北石家庄一储户300万存款“失踪”银行称无责任》,访问时间:2015年12月20日。
【5】2000年《欧盟基本权利宪章》第8条规定:人人均有权享有个人数据的保护。个人数据只能为特定目的,基于当事人同意或其他法律依据而被公正地处理。个人有权了解和修正其被收集的个人数据。2004年《欧盟宪法条约》也对该数据保护权利进行了确认。
 
[参考文献]
[1][英]维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代[M].盛杨燕,周涛译.杭州:浙江人民出版社,2015:200.
[2]刘力.金融消费者权益保护理论重述与裁判研究[D].华东政法大学博士论文,2012:143.
[3]苏力.制度是如何形成的[M].北京:北京大学出版社,2007:53-55.
[4]Samuel D.Warren,Louis D.Brandeis.The Right to Privacy[J].Harvard Law Review,1890(4):193-220.
[5]William L.Prosser.Privacy[J].California Law Review,1960(3):389.
[6]杜珍媛.金融消费者信息安全制度研究[J].商业时代,2011(15).
[7]张民安.信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议[M].广州:中山大学出版社,2014:1.
[8]Jerry Kang.Information Privacy in Cyberspace Transactions[J].Stanford Law Review,1998(4):1205.
[9]谈李荣.金融隐私权与信用开放的博弈[M].北京:法律出版社,2008:1;周仲飞.银行法研究[M].上海:上海财经大学出版社,2010:440.
[10]谈李荣.金融隐私权与信息披露的冲突与制衡[M].北京:中国金融出版社,2004:64.
[11]李朝辉.个人金融信息共享与隐私权的保护[J].特区实践与理论,2008(5).
[12]侯富强.大数据时代个人信息保护问题与法律对策[J].西南民族大学学报:人文社科版,2015(6);刘斌.大数据时代金融信息保护的法律制度建构[J].中州学刊,2015(3).
[13]文娟.网络安全立法各国面面观[N].人民邮电报,2015-07-13.
[14]王悠然.欧洲知识产权法限制数据挖掘[N].中国社会科学报,2015-09-15.
[15]马特.人格权与财产权关系考——以隐私权为线索[M]//王利明主编.民法典·人格权法重大疑难问题研究.北京:中国法制出版社,2007:180.
[16]郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:47-53.
[17]Pemela Samuelson.Privacy as Intellectual Property[J].Stanford Law Review,2000(5):1125.
[18][美]理查德·波斯纳.法律的经济分析[M].蒋兆康,译.北京:中国大百科全书出版社,1997:6.
[19][美]哈罗德·德姆塞茨.所有权、控制与企业[M].段毅才,译.北京:经济科学出版社,2000:43.
[20][美]博登海默.法理学——法哲学及其方法[M].邓正来,姬敬武,译.北京:华夏出版社,1987:293.

来源:《社会科学研究》2016年第3期

版权声明:本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题,请直接与我们联系。

责任编辑:陈珂然

上一条: 历史视野下夹缠于非婚和婚姻之间的事实婚

下一条: 民法总则中的法源及其类型

版权所有:中国私法网
本网站所有内容,未经中国私法网书面授权,不得转载、摘编,违者必究。
联系电话:027-88386157