摘要： 新發(fā)展環(huán)境使金融機構的潛在客群數量激增，對金融數據進行挖掘已經成為金融機構朝普惠金融方向發(fā)展的必然舉措。伴隨金融數據價值的提高，保護金融客戶的金融隱私權日益成為金融機構安全保障義務的新內容。在數據挖掘沖擊金融隱私權的困境中，金融機構急于在數據挖掘與保護金融隱私之間尋求平衡，以實現對金融數據的有效利用。為實現金融機構的安全保障義務與數據挖掘權的平衡，可在將金融數據定性為財產性權益的基礎上，將通知金融客戶作為金融機構開展挖掘行為的前置條件，以脫敏規(guī)制作為數據挖掘的程度標準，并在金融客戶主張挖掘行為侵犯其金融隱私權時，采取舉證責任倒置和懲罰性賠償機制，綜合規(guī)制金融機構的數據挖掘行為。

關鍵詞：數據挖掘權;脫敏標準;通知追償制度;舉證責任倒置;懲罰性賠償

中圖分類號：D913? ? ?文獻標志碼：A? ? ? 文章編號：1672-0768（2022）02-0035-07

一、問題的提出

在大數據時代普惠金融理念下，金融機構正面臨著前所未有的機遇，一方面，金融技術快速發(fā)展，金融機構的服務水平迅速提高，尤其是在普惠金融理念下，金融機構的潛在客群數量激增，伴隨金融行業(yè)市場規(guī)模的擴張，為每一位金融客戶提供滿足其要求的金融產品，已經成為金融機構發(fā)展的終極目標;另一方面，金融機構數據挖掘的合理性被廣泛承認，以美國為代表的個別國家甚至鼓勵金融機構對其掌握的金融數據進行分析與利用，以促進金融機構終極目標的實現和金融行業(yè)的進一步發(fā)展。與此同時，金融機構也正面臨一個難題，伴隨其掌握的金融數據規(guī)模的擴大，金融數據的保護也日益引起社會各界的關注。各國在承認金融機構享有數據挖掘權的同時，也紛紛認可金融客戶對金融機構在提供金融服務過程中收集的金融數據享有金融隱私權，金融機構對其負有保護義務。在金融機構為求發(fā)展急需進行數據挖掘和為保護金融隱私權禁止數據挖掘的大背景下，金融機構的數據挖掘與金融隱私權保護的矛盾已經顯現，尤其在《民法典》頒布后，這一矛盾更為突出。按照《民法典》第1? 034條和1? 035條的規(guī)定，金融數據屬于金融客戶的個人信息，金融機構只有在合法、正當、必要的前提下才能進行數據挖掘，并且不可過度挖掘。現階段金融機構是否享有數據挖掘權，以及其何種挖掘行為才屬于合法、正當、必要且不過度？如何在兩種利益的權衡中探索金融機構的安全保障義務與數據挖掘權間的平衡？兩大問題已經成為《民法典》時代下我國金融行業(yè)發(fā)展中迫切需要回答的問題。

二、金融機構數據挖掘的合理性

金融機構的數據挖掘是依靠現代計算機技術而逐步發(fā)展起來的一項經營輔助措施。數據挖掘（Data? Mining），又譯為資料探勘、數據采礦，是一種透過數理模式來分析企業(yè)內儲存的大量資料，以找出不同的客戶或市場劃分，分析出消費者喜好和行為的方法。數據挖掘使金融機構更有針對性地向客戶提供適合的金融服務，利于金融機構分析金融市場交易規(guī)律和安全隱患，及時發(fā)現金融異常交易，尤其在挖掘金融客戶的歷史交易信息中，可以根據客戶交易的風險定價和動態(tài)違約概率生成客戶交易等級，降低金融交易的道德風險和逆向選擇。

雖然數據挖掘對于金融機構、金融市場甚至金融客戶均具有重要意義，但是由于金融數據畢竟與金融客戶高度相關，金融機構對金融數據的挖掘和使用，總是陷入對金融隱私權侵權的爭論之中。一般認為，金融隱私權是指金融客戶對與其信用或交易相關的信息所享有的控制支配權，它是一種兼具人格性和財產性，且財產性日益突出的新型民事權利，其包括客戶自主支配上述信息的權利，自主決定是否允許第三人知悉并利用該信息的權利，以及當上述信息被不當泄露和被非法使用時，尋求司法救濟的權利[ 1 ]。從這一角度而言，似乎金融機構本不應該享有數據挖掘權，因為數據挖掘本身即為侵權行為。其實金融客戶對金融數據享有金融隱私權并不具有否定金融機構數據挖掘權的效力，之所以叫做金融隱私權而非直接稱為隱私權的原因之一就在于，金融客戶的金融數據不同于自然人的一般個人信息，金融數據并非獨屬于金融客戶，除客戶基本身份信息外，金融數據也包含金融機構和客戶在金融交易過程中生成的數據，其是雙方協(xié)作的結果，并非單方固有，金融數據是交易進行不可或缺的載體[ 2 ]。由此便可以推出，金融機構可以對其掌握的金融數據進行合理的挖掘和利用，當然這種挖掘也有利于金融客戶接受更優(yōu)質的金融服務，因此數據挖掘也具有必要性。就如同公眾人物的隱私權受到限制，金融客戶對于金融機構的數據挖掘也應承擔容忍義務。

三、金融機構安全保障義務的發(fā)展

（一）金融機構消費者保護理念的新內涵

金融機構的消費者保護理念發(fā)展較早，負責任金融理念可以視為較早且完備的消費者保護理念。美國負責任金融理念根源于其對次貸危機的反思，危機發(fā)生前，美國的金融行業(yè)高度發(fā)達，保險和證券產品種類十分齊全，更加誘人的是美國信貸普及率極高，金融機構對金融客戶的審核十分寬松，這就導致了大量資質低、抗風險能力弱的消費者進入金融市場。危機爆發(fā)后美國宏觀經濟幾近崩潰，這一部分消費者受損最為嚴重。美國為預防這一問題，以立法的方式確立負責任的金融理念，金融機構應對消費者的抗風險能力進行全面的調查，避免消費者盲目從事金融交易。在數字普惠金融理念下保護消費者的理念更進一步得到提升，尤其表現為負責任保護消費者原則的確立。2016年，根據G20財長和央行行長會的要求，世界銀行等9個國際組織的專家組成了數字普惠金融技術小組，GPFI中方主席兼任組長，牽頭起草了《G20數字普惠金融高級原則》。該文件明確提出采取負責任的數字金融措施保護消費者[ 3 ]。在科技高速推動金融行業(yè)發(fā)展的過程中，金融行業(yè)也面臨著前所未有的風險，與金融機構相比，金融客戶的抗風險與預測風險的能力均較低，在普惠理念下應加強對金融客戶尤其是小客戶的保護。但是，金融機構的消費者保護主要集中在提高消費者的抗風險能力，甚至過度將實現金融行業(yè)的穩(wěn)定當作保護消費者的因素之一，較少甚至根本沒有涉及對消費者金融隱私權的保護，使得保護消費者原則在大數據普惠金融理念下對消費者的保護不夠全面。本文并不否認金融行業(yè)的風險相較于其他行業(yè)更大，也認同對金融客戶抗風險能力的保護對金融客戶、金融機構和金額行業(yè)都具有重大意義。但是，在大數據時代下，金融數據已經成為了一種資本，對金融數據的挖掘也已經成為金融機構發(fā)展不得不采取的戰(zhàn)略，加之在普惠金融理念下，金融客戶的范圍擴大，更使得金融數據庫的數據存儲量激增，挖掘日益頻繁，保護金融客戶對金融數據的金融隱私權越來越具有緊迫性。保護金融客戶的金融隱私權應成為保護消費者原則的新內涵，這不僅可以驅策金融機構在理念上樹立對金融數據的保護意識，更可完善大數據普惠時代消費者保護理念的不足之處。

（二）金融機構安全保障義務的新內容

包括金融機構在內的經營者承擔安全保障義務的先例，最早可以追溯到德國的亞麻毯案（商場售貨員在為顧客拿取亞麻毯時，意外將另外兩個毛毯碰下，導致顧客受傷。德國最高法院認為商店因其雇員的過失沒有對顧客盡到照顧義務，應對其承擔賠償責任）。伴隨金融行業(yè)的發(fā)展，尤其是大數據普惠金融時代的到來，金融機構的安全保障義務出現了新的內容。傳統(tǒng)金融機構安全保障義務的內容主要是，采取措施保障金融客戶的人身、 財產、信息及交易活動的安全，防止損害發(fā)生或在損害發(fā)生后及時采取補救措施等[ 4 ]。但是就現代的數據技術發(fā)展來講，原有的客戶信息保障義務已經不能滿足保護金融客戶金融隱私權的需要。這一點表現為現行法律制度缺乏對金融機構數據挖掘行為合法性和合理程度的規(guī)定。相對于金融機構主要為防止第三人或者金融機構過失侵犯金融客戶金融信息的傳統(tǒng)安全保障義務，本文討論的金融機構的數據挖掘行為本身便具有侵權屬性，所以，金融機構在數據挖掘的過程中對客戶金融隱私權的保護也應成為其安全保障義務的新內容。

這一內容可以從以下方面去思考：第一，在報償理論中收益與風險一致是最基本的原則。如前所論，金融機構在大數據時代普惠金融理念下加強數據挖掘是其發(fā)展的重要舉措，是金融機構獲得收益的重要前提。這一收益與之相對的便是金融機構在數據挖掘過程中有義務避免其挖掘行為對金融隱私權造成損害。從危險源中獲取經濟利益者也經常會被視為具有制止危險義務的人[ 5 ]。金融機構在獲得收益的同時應承擔對金融客戶金融隱私權的保護義務;第二，在危險控制模式下來理解金融機構安全保障義務的新內容就顯得更為簡單。金融機構掌握的金融數據之所以會面臨危險，一方面是由于第三方的惡意侵權，這一問題尚處于傳統(tǒng)安全保障義務的討論空間;另一方面就是金融機構不合理的數據挖掘，這一危險源處于金融機構的完全控制之下，金融機構自然應擔負安全保障責任;第三，金融機構負擔這一安全保障義務也符合節(jié)約社會成本的理念。金融客戶并不像金融機構一般掌握大量的金融數據，更無法像金融機構一樣依靠大數據、云計算等方式進行數據的推算與分析，在數據挖掘與金融隱私的平衡中，金融機構承擔保護義務更加具有操作性，其花費的成本也相應較低;第四，從金融機構與金融客戶權利平衡的角度來看，金融機構也應承擔這一安全保障義務。在金融市場，尤其是在大數據普惠時代的金融市場，金融機構相較于金融客戶處于絕對優(yōu)勢地位，這一優(yōu)勢在資金、技術、人員、市場把握和數據儲備等方面均有體現。我們也不難發(fā)現，金融客戶隱私權的危機也正是金融機構優(yōu)勢地位（正是這一優(yōu)勢的地位才使金融機構的數據挖掘更加深入）導致的。在一切法律關系中，應各就其具體的情形，依正義、平衡的理論，加以調整雙方的權利和義務，而追求其具體的社會妥當[ 6 ]。賦予金融機構新的安全保障義務，順應了大數據時代普惠金融理念下金融機構數據挖掘程度不斷加深的發(fā)展趨勢。

四、金融機構安全保障義務與數據挖掘權的失衡

金融客戶的容忍義務建立在金融機構合理挖掘的前提之上。在金融行業(yè)發(fā)展早期，金融機構，甚至政府也會對金融數據進行分析，以規(guī)范金融行業(yè)的發(fā)展，但限于當時的技術水平，數據挖掘水平較低，其與金融隱私保護尚處于較為平衡的狀態(tài)。但伴隨信息技術的發(fā)展，尤其是大數據時代的到來，數據挖掘的范圍日益擴大、程度日益加深，尤其是在普惠金融理念的影響下，金融機構的數據挖掘也日益頻繁，金融機構的數據挖掘行為與其所負擔的保護金融隱私權的安保義務開始逐漸失衡。

大數據技術是金融機構數據挖掘程度加深的關鍵原因。數據挖掘的方法主要有分類、回歸分析、聚類、關聯(lián)規(guī)則、特征、變化和偏差分析、Web頁挖掘等。這些方法均建立在高度技術化的基礎之上，相較于早期金融機構受限于技術水平，現在的金融機構已經可以大規(guī)模分析處理金融數據，對金融數據的利用程度也日益加深。與此同時，普惠金融理念也為金融機構進一步加大挖掘提供了動力。2005年聯(lián)合國提出普惠金融這一理念，有趣的是，盡管全球對于普惠金融的概念未有較大爭議，但是關于這一理念卻少有分析。2015年我國國務院發(fā)布《推進普惠金融發(fā)展規(guī)劃（2016—2020年）》，文中提出：普惠金融是指立足機會平等要求和商業(yè)可持續(xù)原則，以可負擔的成本，為有金融服務需求的社會各階層和群體提供適當、有效的金融服務。二十國集團（G20）于2016年也正式提出，普惠金融泛指一切通過使用數字金融服務以促進普惠金融的行動。并且強調，婦女、窮人、年輕人、老年人、中小企業(yè)和其他群體均應成為普惠金融的服務對象。在這一理念下，金融機構為向更廣泛的金融客戶提供更為適合其發(fā)展的金融服務，加大對現有數據的分析，以探索更精細化的客戶金融服務需求是必行之舉。更要注意的是，各國政府對于金融機構使用大數據技術深度挖掘金融數據大多持支持態(tài)度，美國財政部認為大數據、人工智能、機器學習等數字技術有助于加強對學生和工薪階層的信貸支持[ 7 ];印度國家層面的PMJDY計劃雖未著重提及數字技術，但在2018年發(fā)布的普惠金融指數（FII）中體現了一定的數字技術導向[ 8 ];我國政府也明確提出，應引導金融機構使用金融科技和數字技術拓展普惠金融服務的廣度和深度。在這一趨勢下，金融機構的數據挖掘程度會進一步加深，其與保護金融客戶金融隱私權的矛盾也將進一步凸顯。

普惠金融理念下金融客戶范圍的擴大和數量的增加，使得信息不對稱問題更為嚴重，并且不對稱的不利影響有向金融機構延伸的趨勢，這將進一步推動金融機構開展數據挖掘。金融市場的信息不對稱問題一直存在，在大數據普惠金融時代之前，在銀行信貸市場，借款人與銀行之間存在廣泛的信息不對稱，借款人普遍存在的逆向選擇和道德風險會導致信貸配給的數量約束及價格約束[ 9 ]。在資本市場，籌資者與投資者之間也存在廣泛的信息不對稱，投資者為避免信息不對稱的不良影響，往往采取保守的投資戰(zhàn)略，籌資者不得不對股票進行折價發(fā)行[ 10 ]，甚至會減少股票發(fā)行數量[ 11 ]。在大數據普惠時代，雖然金融市場的運作日益專業(yè)化，但是信息不對稱問題不但沒有解決，反而更為嚴重，相較于金融客戶，金融機構掌握大量的金融數據，對金融市場的分析與掌控能力遠超前者。但是，大數據普惠金融時代信息不對稱出現了一個奇怪的現象：不利影響開始向金融機構轉移，突出表現為：金融機構在向海量的普通用戶提供金融服務和產品時，精準定價與風險防控變得更為艱難。因為在現代管理理論中，在 “事實（Fact）—數據（Data）—信息（Information）—知識 （Knowledge）—智能（Intelligence）”的鏈條中[ 12 ]，金融機構在金融客戶的經濟社會活動呈現全面離散化、碎片化和數據化之后，越來越難以在真假難辨的信息中梳理出可靠的事實，并演化數據、推理信息，做出是否進行金融交易的決定。在這一趨勢下，金融機構唯有加大對現有數據的挖掘，以普遍化的數據信息比對具體金融客戶的信息準確性，這無疑又加劇了數據挖掘與金融隱私保護的失衡。

五、金融機構數據挖掘的規(guī)制措施

在大數據時代普惠金融理念下，數據挖掘是金融機構提供優(yōu)質服務和把握金融市場發(fā)展趨勢的關鍵技術，賦予金融機構數據挖掘權是現代金融行業(yè)發(fā)展的必然趨勢。但是，金融隱私權作為金融客戶的權利之一，對其進行保護的意義也是不言而喻。因此可以得出這樣一個論點：在大數據普惠金融理念下，金融機構為謀求發(fā)展不得不進一步加深、加寬對其掌握的金融數據的挖掘，更深層次地分析金融數據背后蘊含的金融客戶的潛在投資動向，肯定金融機構享有的數據挖掘權已成為必然。本文雖明確表示，因金融數據不同于一般的個人信息，金融客戶對于金融機構的數據挖掘負有容忍義務，但是，本文也并非認為金融機構的數據挖掘可以不受任何限制。在享有數據挖掘權的同時，金融機構也負有為保障金融客戶金融隱私權而對其數據挖掘行為進行合理限制的安全保障義務，即金融機構行使數據挖掘權應受其保護金融客戶金融隱私權義務的限制。又因為試圖讓金融機構自覺限制其挖掘行為不具有現實性，故如何為金融機構的數據挖掘設立合理的規(guī)制措施，是回答如何實現金融機構安全保障義務與數據挖掘平衡的關鍵。本文將通過探索數據挖掘的前置條件、合理程度及如何救濟金融客戶金融隱私權三個問題，論述金融機構的安全保障義務與數據挖掘權的平衡之道。

（一）金融機構數據挖掘的前置條件

目前，探索金融機構數據挖掘的前置條件有歐盟理念與美國理念可以借鑒。但從實際來看，歐盟的人權理念不具有可借鑒性。雖然早在2006年歐盟頒布的《數據保留指令》便規(guī)定：電信公司對歐盟公民的通信數據將保留6個月至兩年，但2014年歐洲法院裁定 《數據保留指令》無效，并主張該項指令允許電信公司對使用者日常生活習慣進行跟蹤，侵犯了公民人權——這里的人權實際上是指人格權，并非廣泛意義上的人權[ 13 ]。在這一案例中，歐盟實際上確立了經營者在經營過程中不能為正常經營而利用客戶的個人信息，歐盟將通訊數據采取人權的保障方式自然而然的導致了在人權與經營權對比中經營權的讓位。在歐盟的理念中，金融機構的數據挖掘將寸步難行，在視為人權的金融數據面前金融機構的經營戰(zhàn)略之一的數據挖掘根本不具有生存空間。

持歐盟理念的國家在處理金融機構的數據挖掘與安全保障義務時，普遍采取告知許可制度。這一制度的模式是：金融機構書面告知客戶其將對金融數據進行分析和推理，并在此基礎上加以使用。金融客戶也將書面告知金融機構其是否同意金融機構的挖掘。金融機構僅在金融客戶書面同意下才能進行數據挖掘。在大數據之前告知許可制度確實發(fā)揮了重要作用，但是，本文認為大數據時代，尤其在普惠金融理念下，以告知許可作為金融機構數據挖掘的前置程序不具有可行性。第一，告知許可制度不具有實質保護的價值，功能將流于表面。以我國為例，《關于加強網絡信息保護的決定》規(guī)定：網絡服務提供者和其他企事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息，應當明示收集、使用信息的目的、 方式和范圍，并經被收集者同意。但在實踐中往往表現為經營機構以長篇幅格式合同的方式對客戶進行告知，客戶一般并不仔細審查告知事項，即使審查，由于經營者與客戶的實力差距也使得客戶難以拒絕。這一現象在金融行業(yè)將更為明顯，例如，申請貸款時，銀行與債務人處于明顯不平等的地位，對于銀行的告知事項債務人不具有拒絕的可能性，與此同時，融資難的困境更加重了這一問題。第二，實際操作效率低、成本高。大數據普惠金融時代，金融機構面對的金融數據規(guī)模大，主體多，對每一位金融客戶進行告知并等待其回復的效率過低。現代金融行業(yè)數據挖掘頻繁，使用方式、挖掘范圍等方面各有不一，每次均進行告知許可成本過高，并且金融行業(yè)注重效率，風險與利益變化速度快，每次逐一告知許可也不利于金融機構長遠發(fā)展。第三，告知許可制度具有否認數據挖掘權的傾向。金融機構對其掌握的金融數據進行挖掘具有必要性與合理性，肯定金融機構對金融數據的挖掘權將成為金融行業(yè)發(fā)展的必然。告知許可制度將使金融機構的挖掘權建立在金融客戶的意思之上，在這一制度下金融機構能否進行數據挖掘的決定性條件為金融客戶是否對金融機構的告知進行許可，而非是金融機構是否有必要進行挖掘以及挖掘的程序和程度是否合理合法。這一制度模式與承認金融機構合理正當的數據挖掘權相違背，不利于探索由數據挖掘權和安全保障義務共同影響的數據挖掘規(guī)制問題。

鑒于告知許可制度存在的問題，本文建議吸收美國的財產理念，在認定金融數據為一類財產利益的基礎上，將通知金融客戶作為金融機構開展數據挖掘的前置條件。雖然美國歷來重視隱私權的保護，但美國傳統(tǒng)法對這一問題卻在堅持告知與許可制度的基礎上，將包括隱私在內的個人數據視為一項財產權[ 14 ]。這一理論將數據挖掘權與金融隱私權局限在同一層次上進行權衡，數據挖掘權作為金融機構的經營手段之一本質上為財產權，只有將金融數據也視為金融客戶的財產才能在金融機構的權利（數據挖掘權）與金融機構的義務（對金融客戶的金融數據進行保護的安全保障義務）的對立中探索數據挖掘的程度問題。通知不同于告知許可，在通知模式下，金融機構在向金融客戶通知其對金融數據的推理演算方法、使用范圍、使用目的、使用方法以及其他內容后，即可對金融數據進行挖掘，無需等待金融客戶的許可。這不僅可以提高金融機構數據挖掘的效率，更好地適應現代金融市場對反應力的要求，規(guī)避由信息交流不暢或者金融客戶無理由拒絕導致的無法挖掘的困境。

（二）金融機構數據挖掘的程度標準

對這一問題的論證應立足于金融機構安全保障義務的限度。在根源上金融機構對其在服務中獲取的金融數據應承擔保障責任，這一責任的核心便是阻礙他人侵犯，本文談論的數據挖掘其本質就體現為金融機構對其掌握的金融數據的侵權，這也正是金融機構安全保障義務存在的原因，正因為如此，才使得安全保障義務禁止限度外的數據挖掘具有合理性，數據挖掘止于安全保障義務限度之內。

根據學術界關于判定安全保障義務的標準，一般應當根據安全保障義務人所從事的行業(yè)性質、是否盈利、危險性大小并應合乎人的基本生活經驗來判斷[ 15 ]。但是這一標準明顯是針對包括金融機構在內的安全保障義務主體為避免第三人和經營者過失侵權而設立的，在金額機構有意進行的數據挖掘的侵權領域不具有適用性，其不能成為限制金融機構數據挖掘程度的標準。本文認為應立足于金融機構數據挖掘的特點為金融機構的安全保障義務設立限制標準。數據挖掘的過程是金融機構在其掌握的海量金融數據中歸納、推理、轉化出同化知識的過程，同化知識對數據敏感性的要求，使脫敏標準具有成為限制金融機構數據挖掘程度的可能。本文的脫敏不同于類似火車票身份信息馬賽克等對個人信息的直接隱私化處理，而是強調金融機構在進行數據挖掘時，應保障其得出的結論對于金融客戶而言不具有敏感性。例如，金融機構在分析注冊資本在30萬人民幣以內的小型企業(yè)的貸款需求時，在海量的小型企業(yè)交易資料中得出注冊資本在30萬人民幣以內的小型企業(yè)貸款需求為每年40萬，這一結論便不具有敏感性;如果金融機構在資料中推論出A企業(yè)今年的貸款需求約為40萬則具有敏感性，屬于數據挖掘過度。

使用脫敏標準來限制金融機構的數據挖掘權要解決的最大問題是如何判斷挖掘得出的數據是否具有敏感性。一般情況下判斷數據是否脫敏的標準是，相關數據是否仍與特定主體間存在關聯(lián)，以及這一關聯(lián)能否被第三人合理發(fā)覺。本文對這一標準持贊同態(tài)度，但是也發(fā)現這一標準也存在對金融隱私權保護不力的問題。在事后判斷某一通過挖掘得出的數據是否不具有敏感性存在風險，一旦數據未到達脫敏的標準，則很可能會造成數據泄露;在本文語境下這一問題將更為突出，因為數據挖掘本身便具有侵犯金融隱私的違法性，只要認為數據挖掘出的信息不符合脫敏標準，侵權行為便已經發(fā)生。鑒于此，本文認為在規(guī)制金融機構的數據挖掘行為時，不僅應關注數據挖掘的前置條件和程度，也應對如何救濟金融客戶的金融隱私權作出回應。

（三）金融客戶金融隱私權的救濟方案

筆者認為，金融客戶的金融隱私權可通過追償制度予以保護。雖然通知模式下金融客戶無權拒絕金融機構的數據挖掘，但其在收到金融機構的通知后有權對金融機構通知的使用范圍、使用目的和使用方法等事項進行監(jiān)督，尤其是對金融機構通過挖掘得出的金融數據進行脫敏考察。如果金融客戶認為其挖掘不符合前置條件或者突破脫敏規(guī)則，有權向金融機構主張侵權。當然，筆者也注意到這一制度設計也面臨著相較于金融機構，金融客戶處于明顯不利地位的問題。因兩主體在經濟實力和技術力量等領域明顯不對等，所以在這一制度中，金融客戶往往因自身的能力局限而使其難以發(fā)現侵權行為，即便發(fā)現，金融客戶也難以在訴訟程序中舉證金融機構的數據挖掘超過合理限度。并且這一制度構造也使得是否對金融隱私權構成侵權的注意義務轉移到金融客戶一方，導致金融機構在數據挖掘時輕視對金融隱私的保護，甚至有可能導致數據挖掘與安全保障義務更加失衡。

為解決這一問題，本文建議在金融客戶追償時采取舉證責任倒置和懲罰性賠償兩大構造。一方面，在實踐中認定數據挖掘是否突破脫敏規(guī)則是一個技術問題，金融客戶相對于金融機構而言，其技術水平明顯偏低，由金融機構承擔其數據挖掘符合脫敏規(guī)則的舉證責任，不但符合公正的要求，也有利于發(fā)揮金融機構的技術優(yōu)勢，節(jié)約司法成本。倘若金融機構不能證明其數據挖掘得出的結論符合脫敏規(guī)則，就應對金融客戶承擔侵權責任，避免了金融客戶因舉證不能而無法主張權益的司法困境;另一方面，對金融機構設立數據挖掘懲罰性賠償可以倒逼金融機構在進行數據挖掘時充分評估其挖掘行為。事后追償構造的最大危險性就在于是否將侵權的注意義務轉移至金融客戶，從而導致金融機構在數據挖掘時缺乏對侵權的注意。在懲罰性賠償模式下，金融機構的挖掘行為一旦被認定為侵權，便有可能承擔巨額賠償。并且金融機構因數據挖掘而對金融客戶承擔的責任，并非一般安全保障義務人因第三人侵權而承擔的補充責任，而是由個人承擔的完全責任。因為金融機構的數據挖掘行為本身便具有不法屬性，只不過出于數據形成原因和金融行業(yè)發(fā)展的考慮賦予其在合理限度內的挖掘權，所以當金融機構的數據挖掘不符合前置條件或者程度過限時，其作為安全保障義務人理應承擔與其過錯和原因力相當的終局責任，而非補充責任這樣的非終局責任形式[ 16 ]。這將使得金融機構在數據挖掘時會主動對挖掘行為進行評查。

六、結語

規(guī)制金融機構的數據挖掘行為是實現金融機構安全保障義務與數據挖掘權間平衡的有力抓手。通過權衡金融機構數據挖掘權的必要性與安全保障義務的新內容，以事前通知和事后追償的制度模式代替?zhèn)鹘y(tǒng)的告知許可，并將脫敏規(guī)制作為衡量數據挖掘的程度標準，不僅可以使金融機構的數據挖掘更加機動靈活，也可以使其對金融隱私權的保護更加規(guī)范具體。在賦予金融機構數據挖掘權的同時，也讓其負有規(guī)范其挖掘行為的義務，并在金融客戶救濟權益時承擔舉證責任和懲罰性賠償責任，可促使金融機構在數據挖掘時嚴格遵守挖掘前置條件，謹慎分析挖掘程度，規(guī)避“一刀切”式平衡安保義務與數據挖掘的立法難度和制度僵化問題，有望成為規(guī)范金融機構安保義務與數據挖掘行為的新方向。

參考文獻：

[1]談李榮.金融隱私權與信息披露的沖突與制衡[M].北京：中國金融出版社，2004： 64.

[2]辜明安，王彥.大數據時代金融機構的安全保障義務與金融數據的資源配置[J].社會科學研究，2016（3）：76-82.

[3]陶君道，尹優(yōu)平.第五講數字普惠金融的國際倡導與中國實踐[J].甘肅金融，2019（11）：65-69.

[4]劉力. 金融消費者權益保護理論重述與裁判研究[D].上海：華東政法大學，2012.

[5]馮·巴爾.歐洲比較侵權行為法：下冊[M].焦美華，譯.北京：法律出版社，2001：271.

[6]史尚寬.民法總論[M].北京：中國政法大學出版社， 2000：40.

[7]林勝，邊鵬，閆晗.數字普惠金融政策框架國內外比較研究[J].征信，2020，38（1）：78-82.

[8]零壹財經.印度再次發(fā)布多項普惠金融新政[EB/OL].（2019-09-12）[2021-10-25].https：//www.01caijing.com/art I cle/28489htm.

[9]Bester Helmut. The Level of Investment in Credit Markets with Imperfect Information[J]. Zeitschrift für die gesamte Staatswissenschaft / Journal of Institutional and Theoretical Economics，1985，141（4）：305-505.

[10]Beatty Randolph P.，Ritter Jay R.. Investment banking， reputation， and the underpricing of initial public offerings[J]. Journal of Financial Economics，1986，15（1-2）：213-232.

[11]Mark Grinblatt，Chuanyang Huang. Signalling and the Pricing of New Issues[J]. The Journal of Finance，1989，44（2）：393-420.

[12]王作功，李慧洋，孫璐璐.數字金融的發(fā)展與治理：從信息不對稱到數據不對稱[J].金融理論與實踐，2019（12）：25-30.

[13]文娟.網絡安全立法各國面面觀 [N].人民郵電報，2015-07-13.

[14]馬特.人格權與財產權關系考——以隱私權為線索[M].北京： 中國法制出版社，2007： 180.

[15]王俊英.論安全保障義務及其限度[J].河北法學，2008（10）：198-200.

[16]李中原.論違反安全保障義務的補充責任制度[J].中外法學，2014，26（3）：676-693.

——From the Perspective of the Balance Between the Security Guarantee

Obligations? and the Right to Data Mining of Financial Institutions

XIAO Zhenyu

（Xixian Court， Jintang County Peoples Court，Chengdu? 610400，China）

Abstract： With the number of potential customers of financial institutions increasingly growing ，? mining financial data has become an inevitable measure for financial institutions to develop towards inclusive finance. With the increase in the value of financial data， protecting the financial privacy of the customers has increasingly become a new content of financial institutions security obligations. In the dilemma of data mining impacting financial privacy， financial institutions are eager to find a balance between data mining and financial privacy protection in order to achieve effective use of financial data. In order to achieve a balance between the security obligation of financial institutions and the right to data mining， on the basis of characterizing financial data as property rights and interests， financial customers can be notified as a precondition for financial institutions to conduct mining activities， and desensitization regulations can be used as data. The degree of mining standards， and when financial customers claim that mining violates their financial privacy， adopt the inversion of the burden of proof and punitive compensation mechanisms to comprehensively regulate the data mining behavior of financial institutions.

Key words： data mining right;desensitization standard;notification recovery system; inversion of burden of proof;punitive damages

收稿日期：2021-12-21

作者簡介：肖振宇（1996-），男，吉林遼源人，四川省成都市金堂縣人民法院法官助理，主要從事民商法研究。