□ 文 楊 晨

0 引言

近年來，隨著大數(shù)據(jù)、云計算、人工智能、區(qū)塊鏈等技術(shù)的誕生，金融與科技加快了融合的步伐，金融科技應(yīng)運而生。金融科技是金融與科技的二元融合，以近乎顛覆的方式對傳統(tǒng)金融行業(yè)進行了體系化的重構(gòu)。金融科技的發(fā)展有賴于強大的技術(shù)支持，數(shù)據(jù)的收集、分析、處理及應(yīng)用是金融科技發(fā)展的必備要素，而由此產(chǎn)生的數(shù)據(jù)風險亦成為金融科技發(fā)展的遏制要素。金融數(shù)據(jù)風險可以從數(shù)據(jù)開放和保護予以考量，其主要問題在于數(shù)據(jù)隱私、數(shù)據(jù)監(jiān)管失靈等。在國際金融數(shù)據(jù)治理的角度上，歐盟《通用數(shù)據(jù)保護條例》、美國《加州消費者隱私法》均為我國提供了有益的數(shù)據(jù)治理經(jīng)驗。對我國而言，《數(shù)據(jù)安全法》《個人信息保護法》等法律也將推進中國金融科技健康、穩(wěn)定的發(fā)展。

1 金融科技數(shù)據(jù)風險的現(xiàn)狀與成因

金融穩(wěn)定委員會（FSB）于2016年將金融科技定義為“以數(shù)據(jù)為基礎(chǔ)，以金融技術(shù)驅(qū)動創(chuàng)新發(fā)展，并帶來全新的商業(yè)模式、產(chǎn)品及應(yīng)用服務(wù)，會對金融市場、金融機構(gòu)及金融服務(wù)產(chǎn)生顯著的影響。”在表面含義上，金融科技是由金融數(shù)據(jù)促進金融創(chuàng)新，通過改變傳統(tǒng)的金融交易方式、改革金融機構(gòu)、增加金融產(chǎn)品、推進金融監(jiān)管等方式，打破數(shù)據(jù)壁壘，利用新興技術(shù)與產(chǎn)業(yè)支持新金融業(yè)務(wù)的開展，諸如轉(zhuǎn)移支付活動、信息中介服務(wù)、業(yè)務(wù)外包活動等。在深層次含義上，金融科技是基于數(shù)據(jù)創(chuàng)新、科技創(chuàng)新，通過大數(shù)據(jù)即時應(yīng)用場景演化出區(qū)塊鏈、智能投顧、數(shù)字貨幣、眾籌等新興技術(shù)與產(chǎn)業(yè)，打破了傳統(tǒng)意義上金融活動的時空限制。但是，金融科技作為信息時代的新興產(chǎn)物，存在技術(shù)安全、數(shù)據(jù)隱私、傳統(tǒng)監(jiān)管規(guī)則失靈等問題，以及由金融與科技結(jié)合而成所產(chǎn)生的更為錯綜復(fù)雜的金融風險。

金融科技從產(chǎn)生之時，數(shù)據(jù)風險便相伴相隨，數(shù)據(jù)風險可以從開放和保護兩個角度予以考量。其一，從數(shù)據(jù)開放的角度思考，考慮到金融科技的市場主體一般為大型金融科技公司而非初創(chuàng)型公司。初創(chuàng)公司一般只提供傳統(tǒng)金融服務(wù)項目或者小型創(chuàng)新項目，而大型金融科技公司提供更為寬泛的數(shù)據(jù)業(yè)務(wù)、科技業(yè)務(wù)，用云計算、大數(shù)據(jù)分析等信息技術(shù)服務(wù)達到破除傳統(tǒng)金融服務(wù)收入占主導(dǎo)的局面。其二，從數(shù)據(jù)保護的角度而言，數(shù)據(jù)保護是指金融市場用戶作為數(shù)據(jù)主體，應(yīng)當對自己的數(shù)據(jù)信息擁有廣泛的法律權(quán)利。大型金融科技公司、保險、證券等金融服務(wù)機構(gòu)作為金融數(shù)據(jù)的處理、控制者，在征得用戶明確同意的前提下，才能獲取和使用金融用戶的各項數(shù)據(jù)。

2 國際金融數(shù)據(jù)治理的經(jīng)驗及規(guī)則評述

2.1 歐盟《通用數(shù)據(jù)保護條例》解讀

早在2 01 2年，歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）就已經(jīng)出現(xiàn)在歐盟內(nèi)部提案之中，并已于2018年5月25日施行。它主要規(guī)范了歐盟（EU）和歐洲經(jīng)濟區(qū)（EEA）的公民隱私和數(shù)據(jù)保護的問題，并旨在通過標準化的監(jiān)管框架協(xié)調(diào)歐盟成員國的數(shù)據(jù)保護原則。盡管這些改革法案與歐盟之前頒布的指令并不完全相同，但是GDPR的影響范圍絕不僅僅停留在歐盟區(qū)域，而是全球性的。受GDPR的廣泛影響，美國等國家均爭相出臺法律以期對隱私數(shù)據(jù)有更為系統(tǒng)和規(guī)范的保護。

2.1.1 GDPR的主要目標

GDPR是要保持199 5年和2002年的統(tǒng)一法令，同時更新隱私數(shù)據(jù)法以適應(yīng)現(xiàn)代新的信息技術(shù)發(fā)展變化。僅在過去的十幾年時間里，信息技術(shù)在人們?nèi)粘Ｉ钪械淖饔冒l(fā)生了巨大的變化。但是，法律具有滯后性，數(shù)據(jù)隱私法并沒有很快適應(yīng)由技術(shù)發(fā)展帶來深刻的變化，這結(jié)果導(dǎo)致出現(xiàn)了許多關(guān)于如何執(zhí)行先前指令的技術(shù)規(guī)范，同時允許它在當今社會繼續(xù)運行的問題。GDPR的另一個目標是保護消費者在數(shù)據(jù)保護方面的基本權(quán)利，并且確保個人數(shù)據(jù)在成員國之間可以自由流動。但是，由誰承擔未經(jīng)授權(quán)的數(shù)據(jù)被分享和非法利用的后果均不得而知，但以防止?jié)撛谌毕莸陌l(fā)生，GDPR致力于通過規(guī)制大型科技公司來為歐盟公民提供保護。

GDPR是要保持1995年和2002年的統(tǒng)一法令，同時更新隱私數(shù)據(jù)法以適應(yīng)現(xiàn)代新的信息技術(shù)發(fā)展變化。

2.1.2 GDPR消費者的告知與同意

GDPR規(guī)定要求數(shù)據(jù)收集者和控制者必須遵循關(guān)于收集消費者個人數(shù)據(jù)時，需要發(fā)出進行處理的通知并取得其知情同意，這使得消費者擁有信息處理的知情權(quán)以及對數(shù)據(jù)相關(guān)的權(quán)利保護。GDPR要求數(shù)據(jù)控制者在收集個人數(shù)據(jù)時必須充分告知消費者，他們的數(shù)據(jù)何時以及出于何種目的將被進行處理。這需要消費者明確表示同意，且同意聲明必須使用清晰明了的語言，不應(yīng)包含不公平的條款。根據(jù)第一次GDPR的執(zhí)法行動，法國隱私監(jiān)管機構(gòu)發(fā)布了對GDPR定義的術(shù)語的嚴格解釋，即“充分通知”和“有效同意”，并澄清所提供的通知必須清晰且易于消費者找到其所在之處。在公布的執(zhí)法決定中，法國國家信息與自由委員會譴責Google使用消費者個人信息，特別指出Google違反了透明度義務(wù)，其提供給消費者的信息不足缺乏有效的同意要件，并最終處以5000萬歐元的罰款。

2.1.3 GDPR數(shù)據(jù)主體的擴展權(quán)利

GDPR以嚴格的標準維護歐盟區(qū)域內(nèi)數(shù)據(jù)主體的權(quán)利，其數(shù)據(jù)主體的權(quán)利范圍也較為廣泛，它保護所有的自然人而不問其國籍或居住地。GDPR擴展的數(shù)據(jù)主體權(quán)利主要體現(xiàn)在以下四個方面：第一，侵權(quán)通知的發(fā)出。當公司意識到因違規(guī)操作產(chǎn)生個人數(shù)據(jù)泄露時，其有義務(wù)在可行的情況下，并在七十二小時內(nèi)向其數(shù)據(jù)主體報告數(shù)據(jù)泄露的相關(guān)情況。第二，數(shù)據(jù)主體獲取數(shù)據(jù)的權(quán)利。數(shù)據(jù)主體具有要求數(shù)據(jù)控制者、處理者告知自己的數(shù)據(jù)是否正在被使用的權(quán)利。第三，被遺忘權(quán)。被遺忘權(quán)是一項由公平信息實踐保護的數(shù)據(jù)隱私權(quán)，旨在確?！皵?shù)據(jù)處理的準確性、透明度和工具合理性”。但如果出現(xiàn)以下任一情況，數(shù)據(jù)主體可以刪除其信息而不進行進一步處理：（1）數(shù)據(jù)主體撤回同意或反對數(shù)據(jù)處理；（2）個人數(shù)據(jù)不再需要用于收集目的；（3）數(shù)據(jù)被非法處理。第四，其他權(quán)利。GDPR下的其他權(quán)利包括數(shù)據(jù)主體接收透明信息、訪問其個人數(shù)據(jù)以及反對處理其個人數(shù)據(jù)的權(quán)利，而所有這些廣泛的權(quán)利比以往任何時候都更能限制數(shù)據(jù)控制者和處理者。

GDPR規(guī)則為全球數(shù)據(jù)治理的立法奠定了基礎(chǔ)，具有劃時代的意義。無論GDPR的適用性如何，與消費者個人信息交互的公司在實施數(shù)據(jù)隱私保護計劃時都具有前瞻性。GDPR規(guī)則一方面建立起數(shù)據(jù)保護制度，另一方面擴大了數(shù)據(jù)保護的適用范圍和數(shù)據(jù)主體的權(quán)利，并進一步區(qū)分了數(shù)據(jù)控制者和處理者，同時設(shè)計了相應(yīng)的具體制度予以規(guī)制。

GDPR規(guī)則為全球數(shù)據(jù)治理的立法奠定了基礎(chǔ)，具有劃時代的意義。

2.2 美國《加州消費者隱私保護法》評析

2.2.1 CCPA的主要內(nèi)容

2020年1月1日，美國《加州消費者隱私保護法》（California Consumer Privacy Act，以下簡稱“CCPA”）正式開始實施，其成為美國歷史上第一個全面的隱私保護法律。CCPA代表了GDPR數(shù)據(jù)隱私監(jiān)管時代的延續(xù)，由以下兩個方面得以體現(xiàn)：其一，與GDPR類似，CCPA的執(zhí)法范圍非常廣泛。任何收集加州居民個人信息的企業(yè)都屬于CCPA的監(jiān)管范圍。CCPA監(jiān)管的營利性企業(yè)需滿足以下三個要求之一：（1）總收入超過2500萬美元；（2）擁有購買、接收、出售或共享超過5萬名消費者、家庭的個人信息或設(shè)備；（3）企業(yè)年收入的50%以上來自于銷售消費者的個人信息。CCPA的管轄范圍遠小于GDPR，從根本上影響了加利福尼亞州內(nèi)從事洲際貿(mào)易的所有企業(yè)。居住在該州的加利福尼亞州居民和消費者，包括家庭用品和服務(wù)的客戶、員工和企業(yè)對企業(yè)的交易，CCPA將提供與GPDR同等廣泛的數(shù)據(jù)信息保護。其二，全面定義個人信息。CCPA以更為全面的方式重新定義了個人信息，CCPA所涵蓋的個人信息可以被概括為直接或間接識別、相關(guān)、描述消費者或家庭，并能夠與該消費者或家庭相關(guān)聯(lián)的任何內(nèi)容。CCPA的豁免政策與GDPR并不相同，它包括針對個人信息的個人或家庭成員設(shè)有特別規(guī)定。根據(jù)該法律，公司有權(quán)酌情決定使用去標識化的個人信息。此外，給數(shù)據(jù)主體提供的主要權(quán)利之一是收集通知和違規(guī)通知。CCPA要求企業(yè)告知客戶正在收集哪些類別的個人信息以及收集信息的原因。最后，經(jīng)濟激勵措施。GDPR規(guī)定，企業(yè)不能因數(shù)據(jù)主體行使權(quán)利而歧視數(shù)據(jù)主體，并且沒有像CCPA那樣有選擇同意使用個人信息的經(jīng)濟激勵措施。

2.2.2 對比CCPA與GDPR的異同之處

G D P R和C C PA雖 然 具 有相同的規(guī)范模式，卻規(guī)定了不同的職責和義務(wù)。因此，現(xiàn)在符合GDPR數(shù)據(jù)隱私框架的公司將不一定符合CCPA數(shù)據(jù)隱私框架體系，企業(yè)需進行合規(guī)審查。GDPR創(chuàng)造了比CCPA更多的數(shù)據(jù)隱私權(quán)，并對商界產(chǎn)生了更廣泛的影響。具體表現(xiàn)在以下四個方面：首先，在GDPR和CCPA下，被遺忘權(quán)中的刪除程序應(yīng)用是不同的。根據(jù)GDPR，除非適用豁免程序，數(shù)據(jù)主體必須滿足數(shù)據(jù)被刪除的條件，隨后控制者必須刪除相應(yīng)數(shù)據(jù)。而在CCPA下，消費者不必滿足任何條件，卻存在可以拒絕請求的有限具體的豁免清單。其次，消費者選擇加入和選擇退出的權(quán)利并不相同。GDPR要求消費者選擇允許處理數(shù)據(jù)，而CCPA要求消費者可以選擇不允許公司出售他們的數(shù)據(jù)信息。再者，CCPA不需要像GDPR需要企業(yè)設(shè)立數(shù)據(jù)保護官，但它確實要求企業(yè)培訓員工參與合規(guī)性審查工作和回應(yīng)客戶數(shù)據(jù)處理關(guān)于是否符合CCPA。最后，這兩項法律都為集體訴訟設(shè)立了訴訟因由，要求數(shù)據(jù)泄露的企業(yè)需進行最低法定損害賠償，并允許國家對違規(guī)行為處以罰款。集體訴訟和違規(guī)處罰金額一般不會相同，企業(yè)不合規(guī)的風險也可能非常高。

3 我國金融數(shù)據(jù)風險監(jiān)管的實施路徑

近年來，我國陸續(xù)出臺《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法（草案）》等法律。中國正在積極探索建立金融數(shù)據(jù)治理框架，但相關(guān)可落地的方法仍有待完善。中國是世界經(jīng)濟難以分割的重要組成部分，應(yīng)積極參與全球數(shù)據(jù)治理規(guī)則的制定，以阻止全球市場的進一步倒退分割。

3.1 我國《數(shù)據(jù)安全法》中的跨境數(shù)據(jù)管理制度

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）于2021年9月1日起正式施行。第一，它明確重要數(shù)據(jù)出境安全管理制度。該法第31條規(guī)定了數(shù)據(jù)的出入境安全管理制度和管理辦法。其一，該條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者在境內(nèi)運營過程中采集、生成的重要數(shù)據(jù)的出境安全管理應(yīng)適用《網(wǎng)絡(luò)安全法》第37條規(guī)定的一般與例外情形。其二，對其他數(shù)據(jù)處理者在國內(nèi)運營中收集和生成的重要數(shù)據(jù)的規(guī)定，目前可參考國家網(wǎng)信辦在2017年發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱，《辦法》），其中第9條規(guī)定了6類重要數(shù)據(jù)。《辦法》規(guī)定網(wǎng)絡(luò)運營者在將數(shù)據(jù)輸出境時，應(yīng)當向行業(yè)主管部門或者監(jiān)管部門的現(xiàn)場提交安全評估報告。由于該《辦法》尚未正式頒布實施，征求意見稿發(fā)布時間較長，對關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營者以外的數(shù)據(jù)處理者，數(shù)據(jù)出境安全管理的相關(guān)規(guī)定尚不明確，因此需等待官方出臺正式的文件。但在此之前，公司需要密切關(guān)注其重要數(shù)據(jù)出境時的合規(guī)義務(wù)。最后，嚴格規(guī)制面向境外司法或者執(zhí)法機構(gòu)的數(shù)據(jù)出境活動。《數(shù)據(jù)安全法》第36條制定的背景是近年來國家之間的數(shù)據(jù)管轄權(quán)存在沖突，并在國際大環(huán)境中日趨激烈。2018年3月，美國通過了《澄清海外合法使用數(shù)據(jù)法》，該法第103(a)(1)條規(guī)定，“無論該信息是在美國國內(nèi)還是國外，電子通信服務(wù)或遠程計算服務(wù)提供者需保存、備份或披露電子通信信息者、內(nèi)容提供者以及擁有、保管或控制任何記錄或其他與客戶有關(guān)，并由客戶產(chǎn)生的信息?！边@為在數(shù)據(jù)領(lǐng)域確立“長臂管轄”規(guī)則奠定了初步立法基礎(chǔ)。在此背景下，我國《數(shù)據(jù)安全法》的規(guī)定明確了境內(nèi)數(shù)據(jù)的管轄權(quán)以及相關(guān)機構(gòu)的法律責任，這不僅意味著第36條的規(guī)定是企業(yè)應(yīng)嚴格履行的一項數(shù)據(jù)合規(guī)義務(wù)，還在法律上也有可進行援引的法律規(guī)范。

3.2 我國《個人信息保護法》與GDPR、CCPA的對比

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）已于2021年11月1日起正式施行。與GDPR、CCPA等制度相比，我國《個人信息保護法》雖有不同之處，卻亦有其自身的特性。其一，適用范圍?！秱€人信息保護法》第3條第1款設(shè)定的基本原則為屬地主義，即無論數(shù)據(jù)處理者是外國主體還是個人信息主體是外國人，只要數(shù)據(jù)處理活動發(fā)生在中國境內(nèi)，均適用本法。而《個人信息保護法》第3條第2款也借鑒了GDPR的規(guī)則，具有事實上“長臂管轄”的效果。其二，個人信息的定義?！秱€人信息保護法》第4條規(guī)定了個人信息的范疇，在歷經(jīng)《網(wǎng)絡(luò)安全法》《民法典》的發(fā)展變化，最終確定“識別標準+關(guān)聯(lián)標準”的判斷方式。有關(guān)識別標準的判斷方法是從信息到個人，可以通過信息自身的特征來識別個人，例如身份證信息、籍貫等；而關(guān)聯(lián)標準是從個人到信息，即已知的特定個人在其活動中產(chǎn)生的信息，例如某人的定位、手機賬單等。其三，合法、有效標準?！秱€人信息保護法》首次突破了《網(wǎng)絡(luò)安全法》以“告知—同意”為核心的單一法律基礎(chǔ)，對《民法典》第1035條所規(guī)定的“法律、行政法規(guī)另有規(guī)定”進行了細化和擴展。雖然《個人信息保護法》還未像歐盟GDPR的規(guī)定，要求數(shù)據(jù)控制者在收集數(shù)據(jù)主體個人數(shù)據(jù)時需說明處理的法律依據(jù)，但此有益于企業(yè)制定對應(yīng)的數(shù)據(jù)合規(guī)策略，以確保個人信息的合規(guī)性?！秱€人信息保護法》第14條、第15條規(guī)定了在個人信息主體同意處理個人信息的情形下，需達到獲得個人同意的有效標準及符合撤回同意進行規(guī)定。該同意應(yīng)由個人在充分知情的前提下，自愿、明確地作出，且可以被便捷地撤回。第16條還規(guī)定，個人信息處理者不得拒絕提供產(chǎn)品或者服務(wù)的相關(guān)理由。其四，跨境傳輸?shù)穆窂?。在跨境傳輸?shù)耐ㄓ靡笊?，無論企業(yè)構(gòu)成何種主體，只要涉及將個人信息跨境傳輸，就要求保障境外接收方處理個人信息的活動時需達到《個人信息保護法》規(guī)定的對個人信息最基本的保護標準，且告知個人關(guān)于個人信息跨境傳輸?shù)南嚓P(guān)情況并取得個人的單獨同意，當然，這需要事先進行個人信息保護影響評估。在跨境傳輸?shù)穆窂皆O(shè)計上，對于個人信息處理者來說，在進行數(shù)據(jù)跨境傳輸時，除滿足上述一般的要求以外，還需要根據(jù)數(shù)據(jù)本身的特征以符合規(guī)則的基本要求。最后，個人信息主體權(quán)利?！秱€人信息保護法》規(guī)定的法定權(quán)利與GDPR以及CCPA的對比下，該法第44條賦予信息主體具有對信息的決定權(quán)，這在GDPR和CCPA項下卻沒有明確指出，而第45條第2款首次引入了GDPR和CCPA項下的可攜帶權(quán)，由此可知，我國《個人信息保護法》與GDPR和CCPA等制度仍有異同，并趨于相互吸收、借鑒。

我國應(yīng)借鑒國際數(shù)據(jù)治理的經(jīng)驗，積極建設(shè)國際數(shù)據(jù)治理合作機制，投身于數(shù)據(jù)安全治理之中。

4 結(jié)束語

在通信信息技術(shù)飛速發(fā)展的時代，金融科技在全球市場領(lǐng)域進行了廣泛應(yīng)用，金融用戶信息的收集、分析及處理更為便捷與專業(yè)，數(shù)據(jù)的合理使用、流通安全、信息共享等問題引發(fā)廣泛關(guān)注。在國際上，歐盟、美國等國家在數(shù)據(jù)治理中均積累了一些先進的國際經(jīng)驗?！秱€人信息保護法》的通過和正式實施，我國缺乏專門的個人信息保護立法的時代一去不復(fù)返，并會迎來個人信息保護的新時代。我國應(yīng)借鑒國際數(shù)據(jù)治理的經(jīng)驗，積極建設(shè)國際數(shù)據(jù)治理合作機制，投身于數(shù)據(jù)安全治理之中。面對新的法律規(guī)則與市場環(huán)境，我國企業(yè)也迫切需要重塑內(nèi)部合規(guī)及管理體系，結(jié)合自身數(shù)據(jù)處理活動的能力，設(shè)置數(shù)據(jù)保護機構(gòu)并承擔起數(shù)據(jù)治理的行政職責，以應(yīng)對數(shù)據(jù)治理帶來的合規(guī)風險?！?/p>