包晓丽：数据共享的风险与应对 | 上海政法学院学报202105

关键词：数据共享；网络借贷；个人信息；公平交易

目次

一、数据共享的必要性与风险

二、数据在网络借贷法律关系中的流动与风险

三、数据主体基本权利体系

四、网络借贷平台个人信息保护义务

　　“数据”（Data）一词在拉丁文里是“已知”的意思，也可以理解为“事实”。它是对事实（Facts）或信息（Information）进行数字化记录并处理的结果。著名网络法教授尤查·本克勒（Yochai Benkler）将信息系统的结构划分为物理性基础设施层（如网线、无线电频谱）、逻辑性基础设施层（软件）和内容层。受此启发，我们可以将网络环境下的数据划分为三个层次：作为数据介质的物理层、数据本身的符号层，以及由数据解析后代表信息意义的内容层。以支付宝账单为例，存储该账单的服务器和手机内存是物理层的信息载体，而在操作系统中以二进制符号和算法表现的数据则是符号层面的信息载体，最终用户看到的数字和文字所呈现出来的支付款记录则是内容层面的信息。可见，数据是信息在电子空间的表现形式和载体，信息是数据承载的内容。

　　既有生活经验告诉我们三个基本事实：第一，数据已经成为重要的生产要素，能够提高资源配置和行为决策的有效性。随着数据本体（Ontology）和标注、个人匹配算法、机器学习这三大关键技术的发展，市场得到重新配置。市场参与者不再仅仅依靠价格来评估商品和服务，先进的匹配算法可以从价格以外的多个维度更好地匹配供给和需求。第二，数据的流通和交换是符合人们意愿且应当被允许的，它具有很大的开发潜力，可以为了同一目的而被多次使用，也可以用于其他目的。数据已经表现出来的价值只是漂浮在水面上的冰山一角，其潜在价值是深不见底的水下部分。第三，无处不在的数据收集和流转给我们所处的时代带来了风险和挑战，数据交换引发了隐私泄露、数据独裁等问题。

　　与此同时，数据风险和数据纠纷与数据技术的发展相伴相行。当手机与我们“如影随形”，定位功能将个人地理信息精确定位；Cookie技术记录了人们的一举一动；数据的收集与售卖早已成为一个成熟的产业。个人数据被广泛应用于背景调查、信用评价、电子医疗档案的建立等诸多方面。国内外以数据作为核心业务的企业雨后春笋般出现，数据收集、数据分析和数据挖掘已经融入人们日常生活的方方面面，并将更为深入。广泛的数据收集和数据挖掘增加了隐私泄露的风险，推动了隐私观念的变革。一方面，个人数据的收集变得日益密集和隐秘，数据企业存在“神不知鬼不觉”地收集或超范围收集用户数据的情况；另一方面，数据流转具有主体多元、方式纷繁复杂且隐蔽的特点。以淘宝数据为例，用户个人信息和订单信息不仅掌握在淘宝商铺手中，也掌握在淘宝平台，甚至掌握在外包服务商手中。监管者难以对大大小小、分散众多的数据处理者进行有效监管。

　　（一）数据相关概念辨析

　　1.数据与个人信息

　　从我国现有规范性文件的规定来看，信息这个概念一般在强调主体可识别性的情境下使用，而数据这个概念一般在强调数据安全和控制的层面上使用，但既有研究也经常混用数据和信息这两个概念。因此，我们有必要首先明晰二者的关系。

　　从词源上看，信息一词（Information）源于15世纪的拉丁语“Informare”，由动词“告知”（To Inform）衍生而来，有形成想法（To Give Form to, To Shape or to Form）的含义。信息在本质上是反映客观世界及其变化规律的信号与消息。在法律上，则是指固定于一定载体之上的，对事物的现象和本质认识的表达。当我们提到“信息”一词时，一般是在内容层面上说的。而数据本身是没有意义的，只有经过解释和理解才有意义。通过梳理既有立法和学术研究，我们发现，当涉及信息/数据中包含的人格利益保护时，既有传统倾向于使用信息或者个人信息的概念；当关注于数据治理和数据经济价值的流转时，数据概念更受青睐。

　　关于二者的关系表现为：二者具有天然的共生性和一致性，是一体两面的关系。电子数据是信息的数字化形式，通常与电子信息具有共同的意义。信息通过数据形式生成、传输和储存，控制数据即掌握了相关信息，在此意义上数据和信息具有天然的共生性和一致性。数据和信息是同一事物的两个方面，构成工具和本体的关系。数据属于信息传递的工具，是物理性的；而信息则以其内容为价值所在，可通过数据这个媒介来传输，是具有经济价值和象征含义的文本和信号，是内容性的。由于信息必须通过数据这个载体才能存在和传递，因此，我们无法将二者加以分离而抽象地讨论其中之一的权利。

　　有研究者认为，《中华人民共和国民法总则》第111条调整的是不可交易的个人信息，第127条规范的是可以商业化利用的数据，实则不然。一方面，作为第111条规范对象的个人信息，除了是防御权的客体，也可以是积极利用的对象。在侵害个人信息的情况下，除采用精神损害赔偿的方式外，也可以采用财产救济的方法。另一方面，第127条规范的可商业化利用的数据也可能涉及个人信息保护的问题。新修订的《信息安全技术个人信息安全规范》（GB/T35273-2020）特别指明个人信息控制者通过加工处理后形成的信息，如果能够识别到特定个人或者反映个人活动情况的，也属于个人信息，如用户画像或特征标签。衍生数据在对原始数据清洗、匿名化处理后产生，但这并不是说数据处理者在对数据加工过程中或者加工完成后就免除了保护个人信息的义务。只有经过“去身份化”处理的信息确已不能识别到特定自然人，成为不体现个人身份的“大数据”之后，为了促进社会经济发展和方便人们生活，该类数据才能在无须再次征得个人同意的情况下流转和交易。

　　2.隐私与个人信息

　　关于隐私与个人信息（数据）的关系问题争议已久。一般认为两者构成交叉关系，但实际上，两者并非同一层面的问题。个人信息是事实判断问题，是对客观世界的表达或记录；隐私是价值判断问题，它是包含于个人数据之中的一种利益类型。因此，对于个人信息（数据）而言，只涉及存不存在、真或假的问题，用计算的语言表示就是0或者1。但隐私则不然，它是一个价值判断问题，即哪些类型的权益构成个人隐私。对该问题的回答并无一个先验的客观的统一的标准，其答案往往取决于某个时间内某个地区多数人分享的价值共识，是该不该的问题。

　　关于隐私和个人信息的侵害，实践中存在三种可能的情况：一是只侵犯用户隐私但不侵犯个人信息的情形，例如，利用用户在Facebook上向公众公开的个人主页信息向其发送垃圾短信，侵扰了用户正常的生活安宁；二是只侵犯个人信息但未侵犯隐私的情形，例如，电话信息、信用记录记载错误；三是既侵犯隐私又侵犯个人信息的情形，例如，未经用户同意，利用非公开的个人信息进行广告推广。

　　（二）数据共享的正当性与必要性

　　一宗数据往往同时承载了不同主体、多样化的利益诉求。首先，个人数据作为社会管理系统高效的运作工具，具有公共属性；其次，个人数据属于公民人身权和财产权的载体，兼具隐私保护等人格利益和便利社交等财产利益的双重属性；最后，个人数据还是企业产品开发、市场竞争的重要资源。个人数据上的主体交织性与利益主张多元性为数据共享提供了现实基础。

　　数据共享是原始数据收集者将自己所收集的数据与他人共享，在收集者与分享者之间形成的一种合同关系。区别于传统的财产形态，数据具有共享边际成本几近于零的特点。用户对数据的使用并不影响企业同时对数据进行加工，是典型的共享性资源。有别于有体物“一物一权”的支配性特征，数据具有“一数多权”的属性，其天然的非物质客体性和多元主体性决定了数据有效利用的前提是对数据进行共享。由于数据使用的边际成本极低，因此数据资源的共享而非独占成为必要趋势。在过去，财产的价值来源于交换；而在未来，其价值并非源于交换而是共享。以“所有”为中心的观念将被以“利用”为中心的观念取代。这也是从物尽其用到数尽其用的必然。

　　一方面，数据可以被多个主体同时使用，具有非独占性或共享性。同样是个人金融活动数据，若不存在技术壁垒，我们既可以非常轻易地将此数据用于蚂蚁金服借贷场景，也可以将此数据用于京东金融等其他平台。在内存和网络允许的情况下，数据复制和共享的成本几近于零。数据有两种可能的共享途径：一是通过许可使用的方式，在技术上使多人同时、完整地使用同一宗数据；二是通过物理复制的方式，体现为符号层面的多个数据文件/多宗数据，但在内容层面仍为同一信息。有学者据此主张数据具有公共产品（Public Goods）的属性，由此主张“分享”作为数据法基本价值取向。

　　但是，数据的非独占性或非排他性是从技术可行性以及消费效用的角度而言的，与权利范围是否具有排他性并不等同。数据效用公共性的特征也并不能证成数据权属公共性的结论。正如著作权也具有消费上的非排他性和非竞争性，但为了追求鼓励创造和知识传播之间的平衡，法律也为其设置了法定权利。如果我们将数据完全置于公共之境，可能会导致数据的无止境迭代和挖掘，从而产生后果严重的隐私泄露和犯罪风险，也会影响数据初始收集者的创新积极性。

　　另一方面，数据具有消费上的非消耗性。对数据的使用并不会减少其本身的价值；相反地，数据的价值因为使用而体现。数据的非消耗性特征是数据非排他性得以成立的前提，是数据挖掘和数据共享的基础。一方面，数据企业通过对既有数据进行不断的组合与聚合，以挖掘新的数据价值；另一方面，数据的非消耗性使得数据流转和数据共享成为可能。在实践中，越来越多的平台通过开放应用程序接口（API, Application Program Interface）的方式许可第三方在协议范围内使用数据。但正如“祸兮，福之所倚；福兮，祸之所伏”，数据的非消耗性也有两面性。一方面，它有利于提高数据生产力，通过数据挖掘和数据共享带来更多的社会福利；另一方面，不断的挖掘和共享使得数据的使用目的超出了当事人可以预见的范围，更将带来个人信息侵害、数据独裁等风险。

　　（三）数据共享与人格利益保护

　　与个人有关的数据与数据上的个人利益实际上是两个层面的问题。前者是民法问题中的事实判断问题，回应的是能否识别到个人；后者是民法问题中的价值判断问题，回应的是要不要承认和保护数据上的特定利益类型。正如前文所描述的那样，数据往往具有功能上的多重聚合性（企业经济效益、社会经济意义、信息社会基础、公共管理功能、信息安全功能等）和利益关系的交织性。其中，用户的重大利益期待包括：以私生活秘密不被公开、网络生活安宁不被打扰为内容的隐私利益期待，以个人信用信息的准确维持为内容的信用利益期待，以数据不被泄露和用于诈骗的安全利益期待，以及其他人身或财产利益期待。

　　数据共享最关键的问题在于，在充分尊重数据主体权利的前提下，数据控制者可以在多大范围内共享数据。由于数据技术的频繁迭代和广泛应用让我们的生活“暴露无遗”，平台用户的隐私忧虑和诉求也越来越强烈，且不同用户的隐私期待强烈程度并不相同。隐私的保护应当在具体的信息流通场景下加以理解，以实现“场景性公正”，而非划定一条固定的隐私权或个人信息权益的边界。

　　在网络借贷场景下，借款人通过向贷款人披露支付宝平台积累的信用数据、历史交易数据，证明自己的财务状况和还款能力。一方面，这是数据服务金融，通过数字化手段落实诚实信用原则、提升决策效率、降低人力成本的典型范例。在此生产方式转型的过程中，用户的历史数据与企业的技术升级共同实现了人力成本的降低。另一方面，这也给用户隐私保护带来了挑战。在传统授信过程中，金融机构工作人员会要求借款人提供银行流水、收入证明、房屋和车辆等资产证明，借款人对于披露的信息范围有较强的控制力。但是，在网络借贷场景下，授信的作出以支付宝平台提供的数据为依据，申请人并不知道更无法控制被共享的数据范围，存在较大的隐私忧虑。

　　此外，被共享数据还是用户信用利益的载体。信用是民事主体所具有的经济能力在社会上受到的相应信赖和评价。征信活动体现了社会经济发展的客观需要。用户在支付宝平台的活动记录将成为判断其是否诚信，并进而影响借呗、花呗、租借充电宝等后续社会活动的依据。这种信用利益一般涉及用户人格利益的范畴，因此法律严格限制了对外共享的范围，并对其中的敏感信息规定了更高的注意义务。同时，对于企业而言，信用评分是能给卖家带来直接经济利益的重要商业利益。在“淘宝诉杜某、邱某某、张某某网络侵权责任纠纷（评价权第一）案”中，法院表示，平台上的销量和评价数据均经过了长期交易积累形成，消费者已经养成了依赖于信用评价数据进行网购决策的习惯。因此，恶意差评的行为损害了淘宝公司的民事权益，并支持了淘宝公司对信用评价数据具有竞争利益的诉请。

　　本文所言网络借贷是指网络支付平台联合授信机构，利用大数据、云计算、移动互联网等技术手段，运用平台积累的客户经营、网络消费、网络交易等内生数据，以及通过合法渠道获取的其他数据，分析评定借款客户的信用风险，确定贷款方式和额度，并在线上完成贷款申请、风险审核、贷款审批、贷款发放和贷款回收等流程的业务。与传统的借款合同相比，网络借贷法律关系具有以下三方面的特性。

　　一是支付宝、微信等网络支付平台在借贷法律关系中发挥了关键作用。根据《借呗服务协议》，用户授权蚂蚁智信（杭州）信息技术有限公司（以下简称“蚂蚁智信”）根据业务安排、授信机构的要求及相关标准，自主为用户选择若干授信机构，并向授信机构提供用户的必要信息。此时，用户事实上并无决定合同相对方的可能，而完全依赖于平台的选择。厘清平台的法律属性有助于明确平台的义务范围。

　　二是数据成为重要的生产要素。信贷决策的作出依赖于数据结果，而非金融从业人员的经验判断。“数据劳动论”（Data as Labor）认为，个人的数据活动本身可以被定义为劳动，企业收集原始数据的行为也应被视为劳动者参与人工智能生产过程的基本劳动环节。传统信贷授信额度的核准依赖于金融机构工作人员对申请者背景情况展开的全面调查，需要大量人力投入和经验判断。而在数据服务金融的情况下，“借呗”可以根据申请人既有消费数据、资产数据和信用数据，并依靠人工智能算法做出信贷决策。在此生产方式转型的过程中，用户的历史数据与企业的技术升级共同实现了人力成本的降低。

　　三是支付平台通过整合生态链中的上下游数据，使数据流动与共享成为常态。以“借呗”为例，蚂蚁智信的分析对象不仅包括用户的支付宝数据，还包括用户在使用淘宝、天猫等关联平台过程中产生的数据。《个人信息授权协议》明确约定，“为了协助授信机构客观、准确地评估您的还款能力、还款意愿和授信额度等，蚂蚁智信将向其关联公司（如支付宝、网商银行等）采集评估您借呗履约能力相关的信息，如交易信息、履约信息及履约能力判断信息等”。在实践中，金融集团内部各企业之间共享用户个人信息的现象十分普遍。金融集团往往在控股公司层面制定统一适用于整个集团的隐私政策，并在其中规定用户将个人信息授权给集团内部所有企业，甚至面向外部第三方进行共享。

　　（一）网络借贷的法律构造

　　根据《借呗服务协议》，“借呗”由蚂蚁智信作为服务顾问，联合授信机构共同为用户提供在线消费金融服务。用户授权蚂蚁智信：（1）自主为用户选择若干授信机构，并向授信机构提供用户的必要信息；（2）在用户申请使用授信资金时，蚂蚁智信可以在已给予借呗额度的若干授信机构中为用户自主作出选择；（3）委托蚂蚁智信统一或分批地向不同授信机构发出要约，根据业务需要授信机构将单独或匹配其他授信机构根据授信协议以及贷款协议的约定向用户提供授信资金。（见图1）

　　首先，网络借贷法律关系涉及的主体多元。用户是借款人；蚂蚁智信接受用户委托，代其寻找和选择贷款人，是借款人的代理人；贷款人可以是单一的有从事借贷业务资格的金融机构，也可以是多家金融机构联合为借款人发放贷款。根据《蚂蚁科技集团股份有限公司首次公开发行股票并在科创板上市招股意向书》，重庆市蚂蚁商诚小额贷款有限公司（以下简称“蚂蚁商诚”）和蚂蚁智信均为蚂蚁科技集团股份有限公司（以下简称“蚂蚁科技”）在微贷科技领域的全资子公司。其中，蚂蚁商诚主要作为资金提供方，开展小额贷款及相关技术服务（联合贷）；蚂蚁智信主要作为信息提供方，提供微贷相关技术服务（助贷）。

　　其次，互联网平台作为借贷业务代理人而非中介人，必须依据诚信原则从事代理行为。委托合同是委托人和受托人约定，由受托人处理委托人事务的合同；中介合同是中介人向委托人报告订立合同的机会或者提供订立合同的媒介服务，委托人支付报酬的合同。借呗《个人消费授信额度合同》约定：“用户和授信机构同意由蚂蚁智信提供推荐匹配服务，并确认就此推荐匹配达成的合同真实合法有效。”可见，蚂蚁智信在其中发挥的作用不限于提供订立合同的机会，还可以径直匹配借贷双方，且合同的法律后果由借贷双方承担。此时，蚂蚁智信作为代理人，必须努力尽到勤勉和谨慎的义务，充分维护被代理人的利益。平台不得将自己置于使被代理人利益与自己利益相冲突的地位，代理人应当争取获得对被代理人最有利的结果。同时，蚂蚁智信（实际运营主体）和支付宝平台（信息沟通平台）应当尽到及时报告的义务，使用户及时了解借贷合同情况。

　　最后，授信机构依据蚂蚁智信的数据结果作出信贷决策，该分析结论又以蚂蚁集团内部的广泛数据共享为基础。一方面，蚂蚁智信不仅收集和处理用户在使用“借呗”过程中产生的数据，加工和挖掘用户在支付宝和网商银行上积累的身份信息、联系方式、支付宝账户信息及绑卡信息、身份验证信息、借还款银行账户信息、授信资金用途信息、交易信息和履约信息，以及淘宝网的联系信息，同时还向政府机关、司法机关、行业组织、学信网等第三方权威机构采集身份信息（实名认证信息、学籍学历信息）、诉讼信息、交易信息、资产负债信息等必要信息；另一方面，为使贷款人了解借款人的真实财务状况，蚂蚁智信须向授信机构及其关联机构或合作机构共享用户数据。在此过程中，不仅数据来源广，而且涉及的主体多，存在较大的数据安全和隐私泄露风险。

　　（二）网络借贷数据共享的风险类型

　　在网络借贷法律关系中，各方共享的数据包括用户账户信息、个人身份信息、金融交易信息、财产信息、信贷信息等，这些数据不仅是金融业机构在提供金融产品和服务的过程中积累的重要基础数据，也是个人隐私的重要内容。对数据问题的既有研究表现出对传统私法理论的高度路径依赖，即对个人信息采用人格权说或者个人信息权说，对企业数据主张知识产权保护或者财产权保护。然而，受制于“分享”作为数据基本价值取向，企图通过一套边界分明的传统权利理论来建立数据权属和秩序，遇到了理论和实践上的瓶颈。在网络借贷数据共享场景下，我们应当首先梳理由此带来的风险类型，并以此为基础建构公平、安全、有序的数据共享理论架构。

　　1.知情同意“形同虚设”

　　一般而言，在未经数据主体同意的情况下，数据收集者和控制者不得实施数据共享行为。理由有三：一是知情同意是数据主体对个人数据支配权的体现，也可以成为信息自决的权利；二是个人信息属于人格权益的范畴，具有人身专属性，因此数据收集者和控制者不能随意共享个人信息；三是必须保障数据主体对数据流通全流程的控制。信息共享本质上就是信息的流通，这一过程的链条可能很长，而且可能向公众开放，在整个过程中，应当保障个人对其信息的控制。在实践中，企业为了追求商事交易的效率往往弱化了对用户个人信息的保护力度。特别是在网络借贷法律关系中，知情同意规则存在被架空的风险。

　　第一，用户授权的意思表示不够明确。根据《中华人民共和国个人信息保护法（草案二审稿）》（以下简称“《草案二审稿》”）的规定，个人信息处理者向第三方提供其处理个人信息的，应当取得个人的单独同意。在“新浪微博诉脉脉数据纠纷案”中，对于开放数据接口的合作方式，北京知识产权法院同样引入了“用户授权+平台授权+用户授权”的三重授权原则。在用户申请借呗授信时，实际上存在四方数据参与者（用户、蚂蚁智信、授信机构、原数据处理者）。由服务提供者（蚂蚁智信）而非个人信息处理者（支付宝、淘宝）取得用户个人信息授权，实际上包含了两方面的授权：一是取得用户对蚂蚁智信处理阿里旗下其他平台数据的授权许可；二是取得用户对蚂蚁智信将前述数据向外部授信机构进行披露的同意。但《借呗服务协议》《个人信息授权协议》在获得用户前述两方面授权的表述上不够清晰，用户对其授权共享的范围更是不甚明确。

　　第二，概括同意难以保障用户个人信息权益。概括授权相当于数据主体将其对个人信息享有的权利完全委托给了被授权者。鉴于个人信息与信息主体人格利益之间的紧密联系，此种委托可能造成信息主体对于个人信息的完全失控，从而带来超出其合理预期的影响。因此，必须严格限制概括授权的范围。但《借呗服务协议》约定，授信机构发生变更后用户继续使用借呗即视为其与新机构形成借贷法律关系。无须用户再次同意，蚂蚁智信便可将用户数据向新机构共享。这样的概括授权赋予了蚂蚁智信过于宽泛的权利，使数据主体根本无法掌控信息的流动范围。

　　第三，用户对第三方身份认识不清。我们通过社会调研的方式发现，在使用借呗功能时，用户常常误以为其交易相对方为支付宝平台，而并不知道个人信息流向了外部第三方。典型的如，在支付宝平台选择启用借呗备用金功能时，用户交互界面显示“本资金由重庆市蚂蚁商诚小额贷款有限公司提供”，然而，《备用金服务协议》却表示备用金由蚂蚁智信自主为用户匹配的授信机构提供。《草案二审稿》第5条明确规定，不得通过误导方式处理个人信息。支付宝和蚂蚁智信应当以显著的提示方式，向用户明确告知个人信息处理者的身份和联系方式。向授信机构提供其处理个人信息的，应取得个人的单独同意，且告知数据接收方的身份、联系方式、处理目的、处理方式和个人信息的种类。

　　第四，缺乏对敏感个人信息的特殊处理规则。敏感信息是指一旦泄露或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息。对敏感数据予以特别保护已经成为大多数国家分享的共识，有学者提出应当“强化个人敏感信息的保护”和“强化个人一般信息的利用”。蚂蚁智信收集的生物识别特征等身份信息、支付宝账户信息及绑卡信息、借还款银行账户信息均属于用户的敏感个人信息。向第三方共享此类信息时，蚂蚁智信和支付宝平台应当取得个人的单独、明示同意，并向个人告知处理敏感个人信息的必要性，以及对个人的影响，如隐私侵害的风险和对征信评价的影响。

　　2.信用利益隐蔽受损

　　信用是民事主体所具有的经济能力与诚信品格在社会上获得的相应信赖与评价。该信用评价的结果直接决定信用主体利益的获取和利益的多寡。用户同意开通借呗协议，即意味着授权蚂蚁智信对其信用进行打分，用户在借呗平台的借还款记录还将影响其在人民银行金融信用信息基础数据库中的评价。在消费信用作为社会交往重要支撑的背景下，用户有权了解信用评价的评价规则、个人行为是否被纳入信用评分的基本事实，保留对评价结果准确性提出异议的权利。2003年，美国颁布了《公平准确信用交易法案》（FACTA, Fair and Accurate Credit Transaction Act）加强对金融消费者的保护，同时赋予个人每年一次免费查询自己信用报告的机会。在网络借贷场景下，数据共享的范围存在较大的不确定性，由此对用户信用评价产生的影响也不透明，可能在“神不知鬼不觉”的情况下损害了用户的信用利益。

　　3.数据垄断和算法风险

　　蚂蚁智信作为借贷业务代理人，是与授信提供方蚂蚁商诚同属蚂蚁科技的全资子公司。正如Google公司将其关联公司置顶于搜索结果列表一样，因差别待遇产生的新型垄断问题受到关注。特别是随着数据与算法发展的高度聚集化，互联网场景下的“超级平台”已现端倪，它依凭数据技术和商业模式创新自成生态竞争系统，实现了同行业与跨行业联合或集中的实质控制。在“借呗”商业场景下，由于蚂蚁智信有权自主为用户选择授信机构，容易出现蚂蚁智信将资信良好的借款人匹配给其关联企业蚂蚁商诚，而将资信劣后的借款人匹配给外部银行的情况。此外，蚂蚁智信通过算法对用户资信进行评价，但又并非借贷合同的相对方，无须承担违约的信用风险，这样的算法设计具有一定的道德风险，蚂蚁智信可能为了提高借贷率而轻视可能导致借款方违约的因素。

　　由此可见，数据在网络借贷法律关系中的流动和共享可能产生的风险，不仅包括用户端对个人信息权益和信用利益的影响，还包括数据企业垄断交易和算法公平的隐患。据此，我们主张从明确数据主体权利和强化平台义务两个方面加以应对，下文将分而述之。

　　数据主体是指数据内容指向的个人。从农耕社会到工业社会再到信息化社会，法律制度经历了从“人法”到“物法”再到“数法”的跃迁。为了实现数据主体承载于数据中的人格利益和财产利益，法律应当赋予数据主体相应的权能。在网络借贷场景下，信贷决策的作出以用户同意数据共享为前提，此时用户不仅应当具有数据使用过程中的权利，还应当包括数据流转中的权利，如数据共享权。

　　提到数据权利，就不得不先回顾德国法上个人信息权的发展脉络。1971年，德国学者施泰姆勒最早提出个人信息自决权概念，并经“人口普查案”得到明确。德国联邦宪法法院在该案中，通过援引《基本法》之“人性尊严”（第1条）和“一般人格权”（第2条）条款，得出个人拥有“自由的自主决定”的权利，进而导出“信息自决权”。“信息自决权”后经由《德国个人信息保护法》进一步塑造，成为体系化的权利。其内容包括用户在数据收集、处理和利用过程中所享有的完整权能：告知权、更正权、封锁权和删除权。信息自决权的本质在于保障个人拥有可以自主决定其信息于何时、何地、以何种方式、在何种范围内被收集、储存、处理和利用的权利。其适用范围经由对公权力机关信息处理的规制，发展到对一切个人信息的控制。

　　在德国信息自决权和美国大隐私权概念的基础上，我国发展出个人信息权和个人信息作为受法律保护的利益之争。有学者认为，个人信息权的义务人是不特定的第三人，且其内涵明确、外延清晰，属于绝对权范畴的具体人格权。另有学者认为，作为绝对权的个人信息自决权并不存在，自然人对个人信息并不享有绝对权和支配权，而只享有应受法律保护的利益。该法益保护自然人免受因他人非法收集、处理、泄露、买卖个人信息，从而导致人格尊严和财产利益遭受损失。法律并未正面列举信息权的内容，而是从反面赋予个人对侵害个人信息的行为相应的防御性权利。行为人违反保护性法律的规定侵害个人信息的，应当承担侵权责任。可见，个人信息保护法强调对个人信息中的人格利益和财产利益的防御性救济，而未设立独立的“个人信息自决权”。个人信息保护与个人信息自决权并不等同。

　　通过前文论述可以发现，个人信息或个人数据是事实层面的产物，而非抽象权利层面的产物。赋予数据主体对数据的绝对权将导致如下两方面的悖论：一方面，个人和企业的权利边界并不是泾渭分明的，而需要结合信息的人格属性与双方的贡献程度加以判断，并不存在预设的权利界限；另一方面，绝对权规则是需要一定的公示手段配合的。尽管在数据场景下的数据公示系统的建立成本不高，但是权利公示的识别成本却很高。数据的收集和流转每分每秒都在发生，如果当事人对每次数据处理行为都要进行一次识别，对其而言将构成沉重的负担。因此，没有必要赋予用户类似于所有权一样的绝对权，而只需要在认可数据主体人格利益和财产利益的基础上，细化用户实现这些利益期待的具体权能。有基于此，在总结既有学术研究和法律法规的基础上，我们将数据主体的数据权利主要抽象为以下类别。

　　（一）积极利用权能

　　1.强化知情权和同意权

　　欧盟《一般数据保护条例》（General Data Protection Regulation）（以下简称“《条例》”）提出的透明性原则是指，数据控制者应当以一种清晰、简明且易被数据主体获取的方式，通过清楚明确的语言，采取合适措施向数据主体提供数据被收集、使用、咨询或处理的事实、过程、目的、程度，以及数据主体所享有的权利。在我国的法律语境下，透明性原则即表现为数据主体的知情权。知情权能够让数据主体了解与处理个人数据有关的风险、规则、保障和权利，是数据主体行使其他权利的前提和基础。知情权的权利对象主要包括两类数据。

　　一是数据企业在收集个人数据的同时应当向用户提供的信息，包括：（1）数据控制人、代理人和数据保护官的身份和联系方式；（2）数据处理的目的及其法律基础；（3）若数据处理服务用于数据控制人或第三方追求合法利益的目的，则应说明合法利益的内容；（4）数据接收方的信息；（5）若数据控制人意图将个人数据向境外传输的，其所采取的保护个人信息的合理安全措施以及获取副本的方式。

　　二是数据企业在取得数据后应当由用户提供的信息，包括：（1）数据存储期限，若无法确定具体期限的应当告知期限决定；（2）数据主体的权利，包括数据访问、修改、限制处理、反对处理、删除和可携带的权利；（3）数据主体撤回同意的方式与后果；（4）向监管机构投诉的权利；（5）个人数据的提供依据是基于法律规定、合同要求，还是订立合同所必需，数据主体是否有义务提供个人数据，以及如无法提供数据的可能后果；（6）在自动决策过程中，数据画像所涉及的逻辑程序及其对数据主体的可能影响和预期结果。

　　知情权是同意权行使的基础，同意权是知情权的延伸和目的。同意在法律性质上即为当事人的意思表示。因此，对同意的规范构造可以从意思表示的实质要求（意思自由、同意真实和弱者保护）和形式要求（包括明示、默示，原则上不包括沉默）加以展开。主张明示同意是任何信息收集与使用的前提，或者相反，主张对于一般信息而言，默示同意即为用户有效授权的观点，都是不可取的。一般而言，数据主体对数据处理的同意应当通过书面声明（包括隐私政策、弹窗勾选等）的方式作出。如果书面声明中还涉及其他事项，则同意应以与其他事项显著区别的、易于理解的方式和清楚明确的语言呈现。例外情况下，若收集和处理的数据是数据控制者与用户成立合同关系和履行合同义务所必需的信息，则无须适用明示同意规则。

　　在web3.0数据广泛交换的时代，尽管“通知-同意”规则受到要么因授权范围太窄阻碍了数据再次开发使用，要么因授权范围过宽在实质上被架空的诘难，但在整体上持否定态度的“通知-同意过时论”并不能成立。首先，同意权是数据主体自由意志的直接表现，是数据主体权利保护的首要原则。其次，知情同意权是数据主体其他权能的基础和本源。若信息的收集和处理没有征得用户同意这一正当性基础，那么后续的访问权、更正权、可携带权、被遗忘权等其他权能也将失去依托。数据企业对数据的挖掘和商业化利用更是无本之木，数据权利体系更无从建立。再次，知情同意规则面临的困境不应通过否定该制度的方式得以解决，而应通过技术更新、提高软件运营者自律意识、加强个人端点对信息收集行为的限制等方式使其得到落实。例如，在冗长的政策中通过明显提示的方式，提请用户注意与其重大权益相关的条款、当数据用途发生变化时通过弹窗推送，以及强制阅读的方式提示数据主体。最后，“通知-同意”规则至今为止仍然是最为重要的普适性规则。欧盟《条例》、美国《加州消费者隐私权法案》、我国《中华人民共和国网络安全法》（以下简称“《网络安全法》”）以及《草案二审稿》都将其作为数据处理的必要条件。

　　《中华人民共和国民法典》（简称“《民法典》”）第1035条明确规定了数据收集的“通知-同意”原则。但实践中，由于数据主体与数据收集企业均无法在事先就数据处理方式进行完整且事无巨细的预测，因此，数据主体的同意只能是概括式同意。例如，在支付宝平台上，用户身份数据最初仅用于收付款场景，但随着“芝麻信用”“生活缴费”等功能的推出，用户身份数据在未经二次明确授权同意的情况下自然地被用于后续应用场景。这种数据处理行为是否合法正当，在实践中也引起了不小的争议。肯定方认为，用户的同意是在目的范围内概括式的同意，大到可以笼统地表述为使用支付宝的目的。否定方主张，此种同意应当是较为具体的同意，前述将用户身份数据用于收付款、信用评价和生活缴费的场景对应着不同的数据处理目的，应当分别获得用户的授权许可。应当指出的是，瞬息万变是网络社会中极为重要的特征，对于“同意”我们不能作过窄的理解。如果每次数据收集与处理行为都需要经过用户的明示同意，无论对于企业还是用户而言都是不经济的。因此，用户的“同意”应当理解为合目的范围内的概括许可，且保留数据主体的任意退出权。

　　2.开放数据访问权

　　访问权是指用户向数据企业确认其个人信息是否被收集和使用，知悉被收集和使用的数据范围与内容的权利。访问权可谓知情权的重要实现方式，其更多地强调数据主体有权自发、主动地向数据控制者要求提供有关信息。欧盟《95指令》在先规定了数据主体的查询权，《条例》（第15条）在此基础上将其明确为访问权。访问查询的范围包括：（1）处理的目的；（2）个人数据的种类；（3）个人数据接收者的种类，特别是在第三国或者国际组织的接受者；（4）个人数据存储期限，若无法提供，用于确定该期限的标准；（5）向控制者要求修改、删除、限制处理或者拒绝处理的权利；（6）向监管机构申诉的权利；（7）当数据并非直接来源于用户时，数据的来源信息；（8）自动化决策的逻辑、程序及其对数据主体的可能影响。此外，数据控制者应当以提供数据副本的方式满足个人的访问权。对于数据主体要求提供额外副本的，在不损害他人权利和自由的情况下，数据控制者可以根据实际成本收取合理费用。

　　3.肯定复制权和可携带权

　　复制权是访问权的衍生权利，而可携带权又是在复制权的基础上发展而形成的一种权利类型。它是指数据主体可以从数据控制者处获取数据副本，并无障碍地向另一数据控制人转移数据的权利。欧盟《条例》第20条规定，对于与数据主体相关的数据主体提供的数据，以及基于同意或履行合同的需要收集的数据，数据主体有权要求数据控制人向其提供以结构化、普遍使用的机器可读的形式记录的个人数据，并有权将该等数据向其他控制者提供。若技术可行，数据主体有权要求个人数据原控制者传输到其他控制者。美国《加州消费者隐私权法案》也有关于数据主体数据复制权和可携带权的类似规定。甚至，该法案还将平台在收集到的信息基础上加工形成的预判消费者行为偏好的数据也作为可携带权行使的范围。我国《信息安全技术个人信息安全规范》（GB/T35273-2020）同样规定，用户有权获取其个人信息副本（包括基本资料、身份信息、健康生理信息、教育工作信息）。在技术可行的前提下，如数据接口匹配，数据企业还可按用户的要求，直接将用户的个人信息副本传输给指定的第三方。

　　数据的可复制性和共享性是其区别于其他财产类型的重要特征，而复制权和可携带权正是同步满足多方合理利益诉求的实现手段。无论是为了最大化数据资产的生产效率，实现“数尽其用”的目标，还是为了增强数据主体对个人信息的控制，可携带权这个“完美转化者”角色都发挥了重要的作用。在蚂蚁信用数据的例子中，可携带权使得用户可以选择向支付宝平台抑或第三方平台拆借。但同样不可忽略的是，数据可携带权的规定可能会给企业带来更多的技术成本，而且更大的隐患是将导致各企业之间抢夺数据，从而产生不正当竞争的风险。因此，可携带权的行使也应当限定在合理的范围内，例如，在一个时间段内只能行使特定的次数，并且因为可携带权的行使给企业带来竞争地位上的影响，可能涉及支付对价予以补偿的问题。

　　（二）消极保护权能

　　1.数据安全请求权

　　权利与义务总是相生相伴的，法律赋予用户个人信息安全请求权就意味着向数据控制者和处理者课加了保护数据安全的义务。个人数据安全请求权是用户参与数据交换活动的基本保障，是数据主体有权要求数据收集和使用者采取合理、必要的保护措施，防止数据泄露、非法利用等行为的权利。《条例》第4章第2节专门就个人数据安全作出了规定。数据控制者、处理者应当根据处理性质、范围、目的、行业现状、实施成本，以及处理活动可能的风险和处理可能给自然人权利自由造成影响的程度，实施适当的技术性和组织性措施，以确保与风险相适应的安全等级。除非数据的泄露不会给自然人的权利和自由带来风险，否则在知道或者应当知道数据泄露之时起72小时内，企业应当将数据泄露情况向监管机构报告。如果个人数据泄露可能会给用户带来较高风险的，数据控制者还应当将数据泄露的情况及时告知数据主体。另外，英国和德国还设立了个人数据保护专员制度。我国《民法典》第1038条以及《草案二审稿》均规定了数据处理者保护信息安全的义务。

　　2.更正权与删除权

　　更正权是指在对个人数据的记录不准确的情况下，数据主体有权要求数据控制者无迟延地修改错误数据的权利。更正权的前提是个人数据的记载存在不准确之处，其延伸的权利表现为要求将不完整的个人数据补充完整并删除部分错误信息。欧盟《95指令》和《条例》第16条均赋予了数据主体此种权利。我国《网络安全法》第43条也规定了在收集和存储的信息存在错误的情况下，个人有权要求更正，企业也有义务予以更正。更正权是保证用户人格表现准确的必要工具，《民法典》第1037条也明确肯定了个人的数据更正权。

　　删除权或言被遗忘权是数据主体有权要求数据控制者无不当迟延地删除其个人数据的权利。与更正权不同的是，删除权的行使并不以个人数据存在不准确之处为前提。被遗忘权的概念和立法主要源起于欧洲，它是《条例》最引人瞩目的规定之一。2014年5月13日，欧洲法院在“谷歌公司诉冈萨雷斯被遗忘权案”（ Google Spain SL, Google Inc. v Agencia Espadola de Protección de Datos, Mario CostejaGonzález）中认定，如果与个人信息有关的搜索引擎结果是不准确的、不适当的、与目的不相关的或者超范围的，会给数据主体造成偏见性影响，数据主体有权请求相关信息不再为公众知晓，不再列入搜索结果。

　　尽管《条例》第17条将被遗忘权与删除权并列，但实际上两者存在一定的差异。被遗忘权来源于《95指令》的删除权（第6条），却不等同于删除权。《95指令》的删除权针对的是缺乏法律基础的信息，是指在数据错误或者无法定和约定授权处理数据的情况下，数据主体要求删除不准确数据的权利。而被遗忘权所针对的是原始收集、使用和传输时具有合法基础，但如今已过时、不相关、不准确的信息。被遗忘权体现了一种动态的利益平衡，即数据的披露、处理在收集初期具有较高价值，但随着时间的推移其公开价值远低于由此给数据主体带来的不利影响，因此，数据主体有权请求删除此宗数据。《条例》第17条专门规定了在数据处理已非必要、数据被非法处理、数据主体撤回授权、主体反对的情况下数据主体的被遗忘权。与此略有差异的是，美国法上被遗忘权的适用范围更为狭窄。

　　我国《网络安全法》第43条、《信息安全技术个人信息安全规范》（GB/T35273-2020）均规定，在数据收集行为违法或者违反与用户的约定时，数据主体有权请求删除相关数据。《网络安全法》和前述标准的规定比较保守，更加类似于《95指令》的删除权，而非《条例》的被遗忘权。这样的数据保护政策与我国国情有关。有学者提出，我国的经济发展水平决定了现阶段的法律法规应偏重于保护信息的价值，规范其他类型的个人数据权利，而不应该设立不切实际的过高标准，为企业增加过高的成本。

　　3.反对权与免受自动化决策权

　　反对权是指数据主体有权在特定情况下随时反对为了执行公务或者为了追求合法利益之必要而处理个人数据的行为，包括根据这些数据进行的用户画像。但若能证明数据处理的合法利益高于用户利益的，或者数据控制者有强有力的法定请求权的，不受用户反对权的限制。同时，在数据营销的场景下，数据主体也有权随时反对为营销目的而对用户进行的数据画像，典型的如取消定向电子邮件的推送，以及关闭淘宝定向广告推送的行为。

     免受自动化决策是指数据主体不受制于采用自动化手段处理的、可能对其造成重大影响的决策或精准评价。惯常商业模式习惯采取用户画像和自动化处理的方式对个人进行精准评价。此种评价基于一定的算法作出，尽管它具有高效、客观的特点，但仍然存在算法不透明、算法歧视、数据源错误等风险。有基于此，当此种评价对数据主体存在重大影响时，《条例》第22条赋予用户免受该评价限制的权利。由此得出，当一方当事人仅仅依据自动决策结果而作出决定个人信贷额度、用人背景筛查等显著影响数据主体重大权益的决定时，数据主体有权向数据处理者提出申诉意见，特别是在信用评分场景下，用户有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。　　

　　无论是从基本法理出发，还是依据法院在既有司法裁判中表达的思路，数据控制方进行数据处理的前提是具有合法性基础。数据处理的合法性基础包括：数据主体的同意、合同履行之必要、法定义务之履行、保护重要利益、维护公共利益和控制者追求合法利益之必要。概括而言，合法性基础的来源主要分为数据主体的授权同意和非以同意为基础的数据收集与数据处理。

　　如前所述，知情同意是数据主体最根本的权利，是其行使其他权利和数据控制者处理数据的前提和基础。实践中普遍存在的隐私政策、用户协议和强制披露制度都是知情同意原则的体现和落实。同意的具体形式主要表现为明示的肯定性行为，如书面声明或浏览网站时勾选的对话框。沉默和默认勾选的对话框不能构成有效的同意。其中，为了订立和履行合同之必要处理数据，其本质上也是基于数据主体的同意。同样以借呗服务为例，蚂蚁智信不可能在每次数据处理的时候都弹出对话框要求用户勾选同意，这不仅会给数据处理方，同时也会给用户带来不必要的负担。在此种情况下，数据处理者可以在授权范围内合理处理用户数据（敏感个人信息和数据对外共享除外）。

　　如果数据后续处理的目的超出了收集时释明的目的，并且再处理行为未获数据主体的同意，亦非通过必要且适当措施来保障公共利益之目标，数据处理者应当查明和考虑数据后续处理行为与数据被收集时的目的之联系。特别是：（1）数据再处理目的与收集时预期目的之间的关系；（2）数据主体与数据控制者在数据收集时的相互关系；（3）个人数据的性质，特别是是否为个人敏感数据或者是有关刑事定罪和罪行的个人数据；（4）评估数据再处理可能给数据主体造成的后果；（5）加密或者匿名化等措施的适用可能性。

　　类似地，我国《网络安全法》也对数据的收集和处理行为提出了原则性要求。《网络安全法》第41条与《信息安全技术个人信息安全规范》（GB/T35273-2020）均对数据的收集和利用提出了目的合法、最小够用、程序正当、公开透明、主体同意（敏感信息需要明示同意）、隐私政策的内容和发布等要求。其中，当数据控制者直接从用户处收集个人数据时，应明确告知被收集人其所提供的数据产品和数据服务的功能、被收集的数据类型，以及相应的数据处理规则，并事前获得用户的许可同意。在数据控制者从第三方间接获得个人数据的情形下，数据控制者应要求数据提供方明确数据来源，并查验来源的合法性。数据控制者还应当查明用户对该宗数据处理利用的授权范围。如果再处理行为超出了用户的原有同意范围，应重新征得数据主体的明示同意。

　　具体而言，网络借贷平台义务的履行可以通过事前合同约定、事中技术保障与事后持续性安全检查和评估三种路径实现。对于事前合同约定，《个人金融信息保护技术规范》（JR/T0171-2020）规定，在共享和转让个人金融信息前，数据控制者应开展个人金融信息安全影响评估，评估信息接收方信息安全保障能力评估，并与其签署数据保护责任承诺。对于事中技术保障，应帮助个人金融信息主体了解数据接收方对个人金融信息的存储、使用等情况，包括个人金融信息主体的权利，如访问、更正、删除、注销账户等；使用支付标记化技术对支付账号进行脱敏处理（因业务需要无法使用支付标记化技术时，应进行加密）；部署信息防泄露监控工具，监控及报告个人金融信息的违规违法行为。对于事后检查评估，应部署流量监控技术措施，对共享、转让的信息进行监控和审计；定期检查或评估信息导出通道的安全性和可靠性；执行严格的审核程序，并准确记录和保存个人金融信息共享和转让情况。

　　最后，支付平台作为网络借贷法律关系的重要节点，还负有维持信用评价准确和公平对待内外部授信机构的义务。一方面，依据诚实信用原则，支付宝和蚂蚁智信对用户负有信义义务，在保护用户隐私、保障数据安全的前提下，还应维持算法中立性和数据准确性，不得引导借款人过度负债或多头借贷；另一方面，由于超大实体的出现，支付平台还可能面临双方代理的情况。此时，可以通过算法评估制度，以防止或者监测不公平自动化决策的结果。蚂蚁智信不得差别对待内外部授信机构，不得将资信良好的用户匹配给其关联公司网商银行或蚂蚁商诚，而应当始终坚持公平交易的原则，构建健康、有序、安全的数据生态环境。

《上海政法学院学报》2021年第5期目录

责任编辑 | 陈楠

审核人员 | 高亚男 张文硕

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。

关注下方公众号，获取更多法律信息