网络首发|范志勇:论金融监管者的数据安全保护义务
编者按:
为贯彻落实中共中央宣传部 教育部 科技部印发的《关于推动学术期刊繁荣发展的意见》,顺应互联网时代数字化发展趋势,加强优质内容出版传播能力建设,提升学术引领能力,《行政法学研究》积极探索网络优先出版、数据出版等新型出版模式,于“中国知网”陆续推出网络首发文章,并于微信公众号同步推出,敬请关注!
论金融监管者的数据安全保护义务
(范志勇 北京交通大学法学院讲师)
目 次
一、核心范畴的廓清
(一)金融监管的界定
(二)金融监管数据与金融数据的辨析
(三)与其他市场监管数据的比较视角下金融监管数据及其安全保护的特点
二、数据安全保护义务之源:金融监管者对金融数据的控制
(一)新监管理念推动金融监管者加强对数据的全面掌控
(二)金融监管数据的保护何以必要
(三)数据安全保障义务的衍化
三、金融监管者承担数据安全保护义务的法理证成
(一)数据安全保护义务的宪法依据
(二)金融监管者承担数据安全保护义务的法理正当性
四、金融监管者之数据安全保护义务的多维价值面向与规制要求
(一)基于维护国家经济安全的数据安全保护义务
(二)金融监管数据安全之于市场竞争秩序
五、金融监管者之数据安全保护义务规则的设置理路
(一)金融监管数据的分类分级管理及其相应的安全保护义务
(二)金融监管数据的风险防范举措
(三)金融监管数据的风险预警与应急处置
(四)针对算法展开的数据安全保护
(五)数据主权视角下金融监管数据跨境流动的规制
结 语
摘要与关键词
摘要:金融监管数据作为独立的数据类型,其安全保护具有特殊性。金融监管科技的发展,使金融监管者的数据控制权日益扩张,金融监管者须为此承担数据安全保护义务,其宪法依据在于金融监管者作为履行国家职能的公权数据处理者,应对数据承担全面的国家保护义务。为金融监管者设定数据安全保护义务也是全面规范金融监管权力、提升金融监管质效、维护金融安全与经济秩序、保障数据权益的合法性要求。针对金融监管者的数据安全保护义务,可从维护国家经济安全与市场竞争秩序的多重价值维度进行观察。金融监管者应当识别重要数据,采取全周期的数据风险防控措施,建立数据风险预警与应急处置机制,保障监管算法的安全。金融监管数据的跨境流动须被严格规制。
关键词:金融监管者;金融监管数据;数据安全保护义务;国家经济安全
正 文
《中华人民共和国数据安全法》(以下简称《数据安全法》)第四章确立了数据安全保护义务规范体系,其第27条明确了开展数据处理活动必须以健全的全流程数据安全管理制度作为配套机制,并辅之以有效的技术措施来保障数据的安全,而重要数据的处理者承担着数据安全保护义务。金融监管机构在履行金融监管职责的过程中处理着金融机构大量的金融数据,所涉数据直接反映着金融机构的个体经营信息,不仅牵涉到金融机构与作为数据所蕴含信息之所有权人的金融消费者的数据权益保障问题,还可能直接关联到市场竞争秩序的维护以及国家经济安全,涉及重大社会公共利益。我国《数据安全法》第五章规定了政务数据的安全与开放规则,明确将政务数据也纳入《数据安全法》的调整范围,其中,金融监管者为履行监管职责所处理的数据符合《数据安全法》第38条界定的政务数据的定义,是一种政务数据,从而受到《数据安全法》的规制,因此,金融监管者应当属于我国《数据安全法》第27条规定的数据安全保护义务人范畴。但我国《数据安全法》以及其他相关法律、法规并未明确规定金融监管者的数据安全保护义务,更未对此义务内容进行细化调整,这与我国现行的数据/信息安全保护法律规范体系侧重于对数据的私人处理者的义务规制有关,而对公权数据处理者的数据处理原则、义务内容、责任追究与权利人的救济渠道缺乏回应型的系统性规定。在数字经济社会中,金融科技与监管科技的双向快速发展,使监管数据的安全保护成为亟待规范的重要问题。笔者将针对金融监管者的数据安全保护义务相关核心范畴进行廓清,对其产生的社会背景、法理逻辑、价值面向与规范构造等内容予以探究,以期初步建构金融监管者的数据安全保护义务的理论体系,为其相关立法规则的进一步完善提供参考,并为公权数据处理者的数据安全保护义务规范的优化提供些许启发与助益。
一、核心范畴的廓清
金融监管者通过履行监管权,直接针对金融机构获取面向监管目标的特定范围内的金融数据,经过加工、处理而形成金融监管数据。作为独立数据类型的金融监管数据具有不同于金融数据与其他市场监管数据的独特性,基于此,金融监管数据的安全保护也相应呈现出诸多特点,有必要在学理上对其予以特别研讨,并在立法上进行特殊调整。
(一)金融监管的界定
金融监管,是指国家法定的监管机关通过行使监管权,对金融机构进行监督、管理的特定规制行为,金融监管对象主要包括通过间接方式融通资金的银行机构与以直接方式融通资金的证券机构,积聚资金来融通资金的保险机构,以及期货机构、信托机构等金融机构,换言之,一国整个金融体系均可视为金融监管的对象。金融监管者主要由一国中央银行与政府的金融监管当局组成。我国于2017年11月设立国务院金融稳定发展委员会后,又于2018年3月合并了银行业监督管理委员会与保险监督管理委员会,形成了“一委一行两会”的监管者格局。而市场监管是指政府对金融、商贸、电信、电力、土地等市场通过监察、督促、引导等方式进行经济监督和管理的活动,是行政监管机构对微观经济活动所实施干预和控制的一种政府行为。现代政府干预市场经济运行的必要性,为政府享有市场监管权提供了正当性依据。金融监管属于市场监管的组成部分,是政府基于公权力的履职行为,金融监管者与被监管的金融机构之间形成不平等的管理关系,金融监管者所享有的监管公权力是其控制金融监管数据的权力渊源。金融监管者基于金融监管权得以依法对金融机构与金融交易行为进行干预和控制。较其他市场监管对象,金融监管对象的风险具有网络化、系统性、易扩散、传播迅速等特点。金融监管的重点在于维护金融市场的信用与公众的金融信心,金融监管在防范金融风险的同时,也遏制了金融风险以“多米诺”骨牌效应的方式向其他经济系统快速传播的连锁反应,以此保障国家经济安全,这是金融监管与其他市场监管的不同之处。
(二)金融监管数据与金融数据的辨析
金融监管数据不同于金融数据。金融机构针对金融消费者的原始数据进行收集与加工,形成金融数据。作为金融监管数据产生基础的金融数据,是市场运行中形成的一种经济数据,金融监管数据则属于市场监管数据的范畴。金融监管者在监管履职的过程中,通过处理相关金融数据,进而将之转化为金融监管者控制下的金融监管数据,它首先具有金融数据的基本特征,并融入了金融监管者的监管意志与处理行为,是一种金融监管者面向金融监管目标而通过监管活动进行二次加工形成的新的、独立的数据类型。申言之,金融监管数据与金融数据具有以下差异:第一,数据范围不同,金融数据往往是限于某一金融机构的片面与局部的数据,而旨在反映国家整个金融体系风险的金融监管数据要求具有全面性与综合性;第二,数据规模不同,金融监管者经由集聚、处理众多金融机构的金融数据形成金融监管数据,二者的数据规模相差悬殊;第三,数据的作用不同,金融机构为了提升市场竞争力与实现盈利性目的来处理金融数据,而金融监管者控制大量金融监管数据是为了实现国家治理的目标;第四,数据控制人的法律性质不同,金融机构是金融数据的控制人,隶属市场主体的范畴,而金融监管数据由作为政府机关的金融监管者控制;第五,数据风险的影响力不同。金融监管数据是经过金融监管者深度加工的、体现国家治理意志的、具有与国家宏观经济密切联动性的数据表现形式,较金融数据,金融监管数据直接关涉金融业的稳定与国家经济安全,金融监管数据风险所产生危害的波及面与影响力大,因此,金融监管数据的安全风险级别高,须匹配更为严格的数据安全保护义务。
(三)与其他市场监管数据的比较视角下金融监管数据及其安全保护的特点
金融监管数据有别于其他市场监管数据,二者的主要区分点在于:第一,处理人获取数据的方式存异。金融监管者往往通过互联网系统平台获取与处理金融监管数据,其他市场监管数据的获取渠道还包括现场执法或梳理相关票证材料,譬如海关监管的部分数据来源于对进出口商品的抽检等执法活动,高风险生产行业的监管,譬如采矿业的市场监管以及环境保护监管等市场监管也凸显获取监管数据的现场检查路径。第二,数据风险的展现形式存异。原始金融数据常常以形式合法性隐藏其潜在的风险,金融监管者依赖于金融监管科技的计算能力,才能够从数据量激增的原始金融数据中获取有效的金融监管数据,以发现与挖掘数据之间以及数据与国家经济安全、金融秩序的关联性,来实现金融监管目标,而其他市场监管数据的获取还依托于时间周期相对较长的现场执法手段,经由各种渠道获取的其他市场监管数据一般能较为直观地反映出监管对象所存在的风险,便于其他市场监管者实施相应的监管举措。第三,数据的处理方式存异。金融监管数据是经过金融科技计算之后得出的一种集成化、抽象的数据体系,还会借助多样化的金融监管数据模型辅助处理,金融监管数据与人工智能等应用型算法的关联度得以强化,而其他市场监管者针对监管对象展开的数据综合治理,有时无须依托于复杂的监管科技手段。第四,是否直接关涉国家经济安全存异。金融是对货币的经营活动,是以货币融通为主要形式的独立的信用经济,金融数据对于全世界的犯罪分子而言,是一个特别具有吸引力的攻击目标,其间蕴含着直接的经济利益,而当金融数据经由金融监管者的处理成为金融监管数据之后,产生大规模金融数据的集聚效应,由此不仅吸引了网络黑客基于经济获利目的的觊觎,也引发了其他国家主体的窥视,只要其进行一次成功的网络攻击,就可能导致被攻击国家的经济混乱,从而实现攻击者的特别政治目标。因此,金融监管数据更易直接关涉国家经济安全,且面临的主要威胁来自网络。而其他市场监管数据,鉴于大部分监管对象之间相对的分散性,其与其他经济环节不具有较强的关联性,其他市场监管数据的系统性经济风险的特征不明显,监管数据安全的被破坏可能不会导致相关领域产生崩溃式的后果,往往不会对国家经济安全构成广泛的、全盘性的不利影响。
针对金融监管数据相异于其他市场监管数据的特点,金融监管数据的安全保护也呈现出特殊性,总结起来,主要可从以下方面予以认知:第一,金融监管数据的风险扩散性更快,金融监管数据安全事件易引发系统性经济风险。其他市场监管数据往往仅具有引发一行一域之风险的“能力”,因其不具有金融业的经济媒介属性,从而不太可能引发系统性经济风险。较其他市场监管数据,金融监管数据的安全保护在面临危险之际,更需要金融监管者应急处置的及时性,金融监管者须着力采取有效的技术与管理措施预先阻断数据风险的传播路径,防范其数据风险造成国民经济整体秩序的瘫痪。第二,金融监管数据因更易于与国家安全产生直接关联性,结合数据安全的分类分级管理机制,往往被作为重要数据进行保护,金融监管数据的安全保护也由此凸显国家安全保护的特色。因此,金融监管数据在一定程度上超越了个体数据范畴,而体现出国家数据的色彩。金融监管者对于监管数据的安全保护,属于国家安全保护体系框架的组成部分,应当将之与国家反间谍活动、反恐怖主义以及保守国家秘密等国家安全目标与任务相挂钩,更需要金融监管者提供全面、系统、多重的数据安全保护措施。同时,金融监管数据的共享需要被严格限制,基于保障国家安全与个体数据权益的考量,金融监管数据通常不具备向社会公众开放共享的条件,金融监管数据的处理权限须与其数据分类分级的设置相匹配,这是金融监管数据与其他政务数据的重要区别。第三,金融监管科技的普遍运用,同时加大了监管数据被入侵的风险。金融监管者所掌握的监管大数据蕴含着可观的利益空间,而催生了不法分子的犯罪动机,产生攻击监管数据库、不当获取与利用监管数据等危害数据安全的不法行为动机。现代金融监管的数据化程度高,以互联网为基础的金融科技充斥于金融监管领域,信息技术与数字技术的应用为黑客攻击提供了入口,扩大了数据的风险范围。而且金融监管数据安全呈现幂律分布的特点,相对于涉及面不广的数据源头分散的频繁微小攻击,针对海量大数据的一次攻击就可能造成难以估量的损失。金融监管数据的安全相对脆弱,被不法侵害的风险增加,需要加大被特殊保护的力度,金融监管者应当采取针对性的技术手段防控金融监管数据受到网络黑客的侵害,这需要依托于金融监管科技的不断创新与升级。
二、数据安全保护义务之源:金融监管者对金融数据的控制
数据不仅是金融业务增长的新燃料,也是金融监管提升监管质效的新工具。金融监管者掌控了源自金融机构的大量数据,往往是个体金融机构的数据量所无法比拟的,而监管者对更多数据的控制意味着应承担更大的责任。数据治理强调数据的可用性、透明度、高质量、数据安全保护与相应的责任机制,金融数据监管作为一种数据治理活动,不能忽视数据安全保护问题,在金融监管活动中可能存在的数据安全风险与挑战亟需学界与立法对之予以重点关注。
(一)新监管理念推动金融监管者加强对数据的全面掌控
金融科技给金融业带来了“泛金融化”革命,我国新时代的金融监管者为有效回应金融科技被市场主体所广泛运用的现象与其引发的泛化金融风险,其在金融监管领域中加强金融科技的运用成为“无奈”的选择。金融监管的重要目标为市场资源的有效配置、消费者的保护及防范系统性风险,为达到此监管目标,金融监管者规制市场的传统手段主要包括实质性的行为义务、制裁的威胁和声誉的约束效应,但其面对依托无实体的机构和复杂算法来维持其业务运营的新兴金融科技而言,监管力度大打折扣。英国金融行为监管局(FCA)是全球第一家直接针对金融科技予以规制的正式命名的监管机构,其目标在于通过采用一些类似的新技术,以帮助新兴的金融科技行业突破传统金融监管的桎梏和网络安全的威胁,这标志着监管科技(RegTech)时代的到来。在金融科技的影响下,金融监管理念产生了重大变化,监管者逐渐尝试融合了监管科技内涵的新监管模式,譬如功能监管、穿透式监管、嵌入式监管等。
相较于机构监管,功能监管的监管者可以对相同功能属性的金融业务适用一致的监管标准,监管“对事不对人”,而无须顾忌于金融活动的实施机构的设置形式,减少了监管套利的问题,但功能监管与机构监管均属于分业监管范畴,仅仅是划分领域的具体标准不同。我国近年来在维持既有分业监管体制的前提下,引入了功能监管的思想,释放出金融大监管布局的信号,在强调金融监管者内部数据互通、信息互联的监管权有效整合的同时,也为监管数据安全保护义务的分配与责任人识别,以及后续的问责机制的实施提出了挑战。机构监管模式面对非金融机构从事的创新型金融活动缺乏监管能力,功能监管能够在很大程度上弥补此弊端。金融监管者要实现功能监管,须加大对市场主体经济活动的干预,因此需要掌控更多的商业数据,从中筛选出具有金融功能的金融数据,以此作为开展金融监管活动的依据。由此,功能监管模式下金融监管者对经济数据的控制力得以强化。
穿透式监管通常被认为源于美国《1940年投资公司法》与《1940年投资顾问法》中的“看透”(Look Through Provision)法律条款,在公司法、税法中均有所适用。我国当前金融市场的穿透式监管秉持“实质重于形式”的原则,以“提升市场透明度”为主旨目标,主要包括主体穿透、产品属性穿透以及嵌套层级穿透等。穿透式监管旨在透过层层复杂的金融活动的表象,识别隐藏在其后的实质性的金融交易来予以有效的监管。穿透式监管发挥了机构监管与功能监管的综合优势,覆盖二者各自出现的空白监管的领域,通过对被监管主体报送的大数据进行算法分析,能够有效地辅助机构监管抑或功能监管的判断,从而刺破复杂交易形式的层层“面纱”,直视其内核的金融本质。金融监管者对金融数据的全面掌控,构成了其经由“穿透”直抵交易的金融核心的前提与基础,而近年来我国金融监管者对穿透式监管模式的运用,进一步扩张了其所处理的金融数据的范围。
而嵌入式监管是数字经济与金融科技大发展背景下的一种新的监管框架,经由阅读市场分类账,可以基于数据自动监控金融机构是否契合监管标准,解决被监管者的行政负担,提高数据质量。嵌入式监管避免了体外被动式监管的弊端,是一种监管程序前置的主动性、预防性的监管方式,便于及时识别、反馈与处置风险。嵌入式监管建立在监管者对细化的大规模金融数据进行掌控的基础上。无论是穿透式监管,还是嵌入式监管,发展的金融科技在监管层面的运用使之成为现实,监管者通过掌握数据而介入金融机构个体市场活动的程度逐步加深,使得更多的金融数据被纳入监管者的处理活动中,金融数据所面对的风险增大。金融监管者对金融交易活动的介入,既是在数字经济影响下,金融监管者应对金融科技发展与金融创新的需要,也体现了金融监管作为一种公共物品供给,以金融基础设施体系的重要组成部分的形态,促进金融业可持续发展,推动经济增长的政策追求。
总之,数字经济下,金融业务相互嵌套、彼此关联,市场行业的经营边界更加模糊,综合性金融业务、“互联网+金融”的蓬勃发展加剧了金融监管者与被监管者的信息不对称问题,监管者获取真实、全面、实时数据的能力直接决定着金融监管的效果,现场检查、金融机构定期报告、信息披露等传统的获取监管数据方式的影响力被淡化,在一系列新监管理念的影响下,金融监管全面迎来了数据监管时代,针对金融业风险实行动态、综合监测。借力数据监管方式,穿透式监管、嵌入式监管模式也得以确立与深化。数字经济下,数据成为了金融监管者提升监管效果的重要抓手与得力工具,不断涌现的新监管模式越发展现出数据监管的特点,数据成为了监管深入金融机构业务运营过程中的必由路径。金融监管者对监管数据的控制程度的加强与金融监管数据范围的扩张,使金融监管数据的安全保护成为值得关注的重要问题。
(二)金融监管数据的保护何以必要
金融监管者利用监管科技促进了监管大数据库的形成,其增加了金融监管数据安全的风险级别。数字经济下,金融监管者广泛采用监管科技,譬如数据自动获取技术的发展极大地强化了监管者对数据的控制力,其使得金融监管者无须依赖金融机构的报告,而直接可以利用自动报告技术获取即时、整合的目标数据。金融监管者这种利用新技术所开展的自动式数据获取,甚至可能较金融机构自身所掌握的经营数据与金融用户数据更为全面、细致、客观、实时,经由科学的算法来辅助分析,监管者从中也许能够得出金融机构尚不自觉的对金融机构持续性经营与竞争力水平有着重大影响的结论。兹事体大,金融监管者不可不对监管数据予以特别慎重的保护。
金融监管数据直接关涉相关主体的重大信息权益。金融监管目标在于对金融市场产生正向影响,试图以政府干预的方式解决市场失灵的问题,使金融市场回归常态化运行的状态,但伴随着政府干预的过程也不可避免地会出现政府失灵,金融监管具有对金融市场产生负向影响的隐患,而金融科技在金融监管领域中的广泛运用,无疑加大了这一风险以及其转化为现实危险之后的破坏力,其影响的范围不仅涉及到特定的被监管主体,还会波及金融市场中的其他参与竞争的主体乃至社会公共利益。金融监管者所收集的监管数据涉及到大量金融机构的经营数据与金融消费者信息,根据这些数据往往能够勾勒出所涉金融机构或特定金融消费者的精准画像。而监管科技与金融科技本质不同,前者依然遵循着“命令—服从”的行政权力中心化逻辑,与以“破坏—创新”为主要特点的金融科技相悖,监管科技同样面对着“监管俘获”等失灵可能的窘境。金融监管数据被滥用、主体数据权益被侵害的风险不容小觑。
切实保护金融监管数据,也是合理划定金融监管权力边界的需要。金融科技的日新月异,在大幅提升市场主体的金融创新水平的同时,也对金融监管提出了与时俱进式的发展要求,而较之所调整的社会关系,法律规范天然的滞后性决定了狭义的立法层面无法满足金融监管因时因势而动的灵活性要求,时代于客观上赋予了金融监管以更大的自由裁量权,但立法对此也并非无所作为,针对金融科技兴起带来的新型社会关系中相对稳定的内容仍然应当努力通过法律规范的方式予以规制,如此也实际限制了金融监管者不断扩张的自由裁量权,使之居于必要的空间发挥作用,而不得侵入私主体的合法权益领域。
(三)数据安全保障义务的衍化
数据安全保护义务是在侵权责任法视阈下安全保障义务的基础上发展起来的,数据安全保障义务可以视为数据安全保护义务的另一重渊源。二者在密切关联的同时,也存在诸多差异,需要对二者进行辨析。在大数据时代,社会数据量骤增,依靠纯粹人工来收集与分析金融数据成为难以完成的任务,且运作成本巨大,即使金融监管者强制被监管者报送相关金融数据,也往往通过系统对接与数据传送的方式自动完成,监管者将数据汇总于统一或分散的特定系统平台之上。与此同时,被监管机构针对监管者所要求报送的固定项目的数据来源却是多元化的,最基础的数据通常由金融机构的基层工作人员或客户在企业系统中录入,或者由金融机构在其经营活动中通过强大的商业监控能力来获取,金融机构因在金融数据的最终形成过程中付出了一定劳动,并对原始信息进行了加工与处理,而得以享有数据用益权。金融监管者通过汇集大量金融机构促生的金融数据,将数据泄露、被不当或非法利用、危害国家数据主权等多重风险负担转移至己方,其也将相应承受预防与避免其潜在危险的安全保障义务,这是由金融监管者对监管数据的控制力与风险负担主体移转的客观事实所决定的。即便金融监管者负有数据的安全保障义务,但同时其也应成为金融数据安全保护义务人,因为数据安全保护义务较传统的侵权责任法规范意义上数据安全保障义务的内涵更为丰富,外延亦广,除安全保障义务内容外,还包括监管者不得不当使用金融数据以对金融机构进行歧视性监管对待,抑或过度收集数据以至于侵害金融机构的经营自主权以及信息权益等指向被监管者自身以及其竞争者的多层面的风险防范义务内容。可以说,金融监管者的数据安全保护义务的内容可以覆盖数据安全保障义务的要求,从而后者为前者所吸收合并,进而,数字经济下的金融数据安全保障义务将衍化为金融数据安全保护义务,继续发挥保障金融数据安全的重要功用。
三、金融监管者承担数据安全保护义务的法理证成
金融监管者以社会公共利益之名而行监管职责,所掌控的大量监管数据也具有了社会公共物品的属性,因此,监管数据虽为金融监管者实际控制,但并非监管者的“私产”。同时,数据留存牵涉多系统与多环节,流动路径复杂导致追踪困难,数据的确权成为难题,容易造成逆向选择和道德风险问题。数据安全需要被保护,而数据的实际控制人是最为适格的数据安全保护义务人。金融监管者作为公权数据处理者,是金融监管数据的实际控制人,国家对数据的保护义务构成金融监管者针对金融监管数据的安全保护义务的宪法依据。在此基础上,立法为金融监管者设定数据安全保护义务也是全面规范金融监管权力、提升金融监管质效、维护金融安全与经济秩序、保障数据权益的合理要求。
(一)数据安全保护义务的宪法依据
数据安全保护首先是一项法律义务,但对其义务源泉的本质探析在合法性层面难以实现,应当回溯宪法层面寻求答案,这是由法律规范体系的层级结构决定的。汉斯·凯尔森(Hans Kelsen)以基础规范理论为基点全面构建了法律层级结构的效力体系,作为其纯粹法学理论大厦的重要组成部分。基础规范往往表现为宪法规范。宪法保证了由其产生并赋予效力的法律体系的完整、统一,内部的法律规范因宪法价值的“掌控”而并行不悖。向宪法进行回溯,于合宪性层面寻求法律义务的终极法理依据,是契合法律体系建构初衷与根本目的的进路。
义务对应于权利,立法设定数据安全保护义务的根本目标在于保障数据权利人的合法权益,因此,就合宪性路径针对数据安全保护义务展开的探究可以从基本权利视角入手。数据作为信息的载体,蕴含着信息权益人的法益,从数据安全保护义务人的视角而言,可将数据权益与信息权益的概念一并使用,不再区别,虽然二者的界分在某些场域下是必要且可行的。关于数据/信息权利的命题,我国学界近年来颇有争议,尚未形成通说,笔者赞同王锡锌教授的观点,数据/信息权利首先是一项宪法基本权利,具体以个人数据/信息受保护权的基本权利形态存在,《中华人民共和国宪法》(以下简称《宪法》)第38条之“公民的人格尊严不受侵犯”可成为个人数据/信息受保护权被纳入基本权利范围的宪法文本依据。在德国,“权利”(recht)一词有着权利与法律的多义,法学界在此启发下衍生出基本权利的两层含义,即基本权利具有主观权利与客观规范的双重属性。前者是权利人为实现个人利益,而向国家主张履行消极不干涉义务或履行积极给付义务的请求权,也就是宪法赋予公民要求国家为一定行为或不作为的权能,对应着防御权与收益权功能。后者则意味着基本权利是宪法确立的全社会所共同追求的客观价值秩序,国家须维护这一秩序,并创造有利于基本权利实现的条件。作为基本权利的个人数据/信息受保护权的双重属性,对国家提出了全面的数据/信息保护义务的宪法要求,即国家对数据同时应承担消极与积极的保护义务。在我国数据/信息法治的实定法层面,立法者对国家予以极大的信任,而未全面、辩证地认识到数据的国家保护义务既有积极保护义务,也包括消极保护义务,后者为作为数据处理者的国家提出了数据安全保护的宪法义务要求,对国家处理数据的行为进行合宪性约束,属于作为个人信息保护权的宪法基本权利的防御功能。金融监管者作为履行公权力职能的机关,应当代表国家承担针对数据的国家保护义务,宪法义务落实到法律义务层面,即为数据安全保护义务。
个人数据受保护权对应于国家在宪法上所承担的数据安全保护义务,这是数据权利人能够有效对抗公权力对数据安全进行侵害风险的有力法治手段,也使数据权利人得以具备应对各类数据侵害风险源的基本能力。申言之,之所以国家立法要特别保护数据/信息,是数据处理者在处理数据的过程中,其会与数据权利人之间形成不对称的事实“权力”关系,进而会导致数据权利人的相关权益存在受到侵害的风险,立法对数据处理者设定数据安全保护义务,亦是为了预防与规制大规模处理数据所产生的侵害权益的风险。而具有被规制必要的数据处理者不仅包括拥有强势资本与技术的、高度组织化的市场机构与平台,也应涵盖最大的数据处理者——国家,以及代表国家履职的公权力机关,此数据处理的公、私主体均较数据权利人处于具有明显优势的、非对称的“权力”结构中。据此,基于数据权益保障的目标而言,国家及其公权力机关也不应豁免于数据安全保护的义务负担。
当然,数据权利/信息权利在针对利益对立双方均为私主体的情况下,同样可以民事权利的形态存在,以更好的保障数据权利人的法益,并为数据利用者的合理、正当的数据使用行为提供合法性保护,避免数据使用过程的动辄得咎,影响数据价值的发挥,阻滞数字经济的发展。此外,在应对公权力数据处理者的侵害数据风险之时,权利人虽为私主体,但在权利人内部,又可根据数据的民事权利性质与来源的差异,划分为不同的权利人群体,譬如数据/信息所有权人与数据/信息用益权人,二者均享有对公权数据处理者的数据安全保护的请求权基础,对应而言,公权数据处理者对数据所有权人与数据用益权人同时承担数据安全保护义务。
(二)金融监管者承担数据安全保护义务的法理正当性
在宪法提供了根本依据的基础上,金融监管者承担数据安全保护义务于法理层面还有着深厚的正当性基础,监管权设置与监管者履职的特点决定了为监管者设置数据安全保护义务的必要性。归结起来,其法理正当性主要在于以下六个方面:
第一,金融监管权力的妥当设置要求金融监管者承担数据安全保护义务。有效的金融监管是对绝对金融自由的必要限制,但必须同时承认相对金融自由的合法性地位,相对自由的金融市场之存在隐含了金融监管相对性的特征,监管权力的运用同样需要受到合法性限定。数据安全保护失当属于金融监管失灵的一种表现形式,其不仅会损害被监管者的数据权益,也会降低社会整体福利。因此,数据安全保护义务的负担在客观上构成对金融监管者运用大数据与金融科技扩张监管权的重要阻力,促进动态、发展、合理的金融监管权力边界的形成,以推动金融监管权力的良好施展。在我国金融宏观审慎监管体制下,金融监管者享有的较大自由裁量权将戴上数据安全保护义务的 “枷锁”,其行使监管权力的自由将止于监管数据安全的充分保护。数据安全保护义务还加大了金融监管者在履行监管职责工作中的必要注意义务与不当监管的责任承担,促使金融监管者的权力寻租动机被有效地抑制,因为权力寻租的潜在收益面对因违反数据安全保护义务而被问责的风险而言不再具有吸引力。
第二,承担数据安全保护义务是金融监管者依法、合理行权的需要。金融监管措施虽然无法对应于具体类型的行政行为,二者分属不同的法律话语体系,但金融监管权本质上可被视为行政权力,金融监管者在依法行政之外,还应当落实正当程序与比例原则施加的行权限制。正当程序与比例原则从正面视角在事前即予金融监管权以适当、合法的限制,而数据安全保护义务在金融监管措施做出的事前、事中乃至事后对金融监管者以全面的约束。具体而言,首先,数据安全保护义务在金融监管目标中将增设保障数据安全的特定价值,监管者在面对监管事项时,须做出有利于或至少不会侵害监管所涉数据安全的监管决策;其次,对将实施的已然过滤了数据安全风险的监管决策,还应配置针对数据安全保护的合目的性制度规则,并在监管措施实施的过程中予以落实,在金融监管行为须遵循的正当程序与比例原则的衡量中应纳入数据安全保护的因子;再者,在监管措施实施完毕之后,监管者需要检查监管数据的安全在监管者履职中是否得到了充分保护,对于其中被侵犯的数据安全权益,监管者须依法予以救济,且在事后运用比例原则对监管效果展开评价时,数据安全保护的成本与收益亦应被纳入其中。尤其在我国社会信用管理体系建设取得显著进展的背景下,金融监管举措中加入了信用管理的元素,监管数据中包含大量金融机构与金融消费者的信用信息,监管数据由此可能直接成为金融监管者赖以优化监管效果的关键手段,信用法治的发展使监管数据的安全保护的重要性得以提升,使数据的控制者承担法定的数据安全保护义务,这也是数字经济与社会信用建设叠加的新形势使然。
第三,金融监管者的数据安全保护义务的设置是金融监管谦抑性的要求。针对市场不断涌现的金融创新交易模式,对于预防性、前瞻性监管供给的需求得以提升,向金融机构收集大数据成为金融监管者在制度供给侧进行相应监管创新的必要选择,但在金融监管借助数据平台进行大规模扩张之际,市场经济中金融监管的谦抑性本质理念仍应被牢固秉持。金融监管者对于数据监管的路径依赖与监管偏好,容易受到非理性因素的影响,而且监管者基于自身的信息与知识能力不足的缺陷,以及监管措施无法被金融机构严格执行的现实难题,倾向于增加监管的严厉性,以期“取乎其上得乎其中”,在数据监管层面反映为向金融机构收集与监管目标无关的过度数据,严重干扰金融机构的正常经营,增加了监管数据被侵害的风险,从而形成监管投机和监管失灵。而当监管者背负着数据安全保护义务后,采集大量不必要的监管数据意味着数据安全保护义务将更为沉重,金融监管者因此将被迫“收敛”不必要的严格监管措施。特定主体的数据安全保护义务构成其获得数据控制合法权力的对价。金融监管者的数据安全保护义务成为平衡金融监管权的延展与受限之激烈张力的关键点,也形成扩张金融监管职能范围的“负面清单”,将监管权扩张的风险进行有限化,框定金融监管权扩张产生的危险所不得逾越的边界。
第四,监管科技于宏观与微观调整领域的耦合呼吁监管者承担数据安全保护义务的规范设置。通过运用大数据监管与算法分析等科技手段于金融监管中,微观审慎监管政策的重要性逐步增加,且具有了与宏观审慎监管密切配合以提升系统监管效果的可能性,特定的金融监管措施甚至能够仅针对金融机构个体予以实施。因此,金融监管者经由掌控大数据从宏观与微观等多个层面对具体的金融机构施予递增的影响力,其中难以避免消极的作用力,有必要为金融监管者设置同样着力面对个体展开的数据安全保护义务,以对应性义务规范来减少甚或消除金融监管者以监管数据为载体对市场主体私权益领域的侵犯风险。换言之,金融监管者的数据安全保护义务是同时面向金融市场的系统性风险进行规避以及金融机构、金融消费者等个体信息权益保障要求所设定的法定义务,具有微观与宏观层面双重调整的耦合性,其首先属于义务人的第一重负担,强调数据安全未予以合法保护后果的预防性价值,且一旦事先设立的“防火墙”失效,配合问责与赔偿的事后救济机制将共同发挥全面保障监管数据安全的作用。
第五,为避免地方监管者被数字平台利益“绑架”,须强调金融监管者的数据安全保护义务。鉴于数字平台机构对于数据管理与运用层面的近乎垄断的先行优势,行政机关在社会治理领域中越发依赖数字平台机构的大数据与专业分析能力的支持,以至于部分地方监管者在寻求与数字平台机构合作的过程中,不自觉地为之所“绑架”,金融数据监管领域亦是如此,地方监管者在规制数字平台机构的数据安全保护行为方面的力度有所弱化,于数字平台之上的金融消费者的数据所有权法益极易受到已不当结成实质性利益同盟的地方监管者与平台机构的联合侵犯。为保障参与数字金融的广大金融消费者的数据所有权计,该当特别强调金融监管者针对包含金融消费者信息的监管数据的安全保护义务,清晰界分金融监管者与数字平台机构的利益疆域,督促金融监管者回归中立、客观的监管立场。
第六,较一般数据,金融监管数据具有特殊性,有必要为之建构监管者数据安全保护义务的特殊规范体系。金融监管者作为公权力机关,其承担的数据安全保护义务与私人数据处理者的数据安全保护义务有联系更有区别,譬如,数据所有权人“同意”与“目的限制”是数据保护的重要原则要求,欧盟《通用数据保护条例》(the European General Data Protection Regulation, GDPR)对此予以重点规范,以及通说认为的自主、赋权和自我决定是数据保护的核心内容,这些一般仅仅适用于监管数据之外的数据保护要求,因为金融监管权作为公权力具有法律依据,金融监管者必须严格依法履职,被监管者与数据所涉金融消费者难以自主表达自由意志与自我决定,数据赋权的方式也往往被行政立法所取代,监管者的数据安全保护义务遵循着另一套逻辑规则,对其须进行特别的研究。且金融监管者汇聚了牵涉金融机构、金融消费者个体利益乃至社会公共利益的大量金融数据,较金融机构掌控的用户以及自身经营的有限数据,其范围大为扩展,金融监管者成为名副其实的最大的金融数据处理者,不同金融机构之间的金融监管数据在监管者平台上自动呈现出可比较性的特征,金融监管者的数据处理活动的影响力深远。因此,金融监管者对监管数据的控制宜被界定为最高风险级别的数据处理活动,其也将由此承担着最为严格的数据安全保护义务,其义务规则理应被特别设置。
四、金融监管者之数据安全保护义务的多维价值面向与规制要求
金融监管者基于履行监管职责的需要而向金融机构收集相关的经营数据,监管者获取监管数据本身必须具备合法性,这是现代法治国家政府机关依法行政的基本要求,自不待言。除此之外,金融监管者的数据安全保护义务的内涵丰富,可以从多重价值维度进行认知,不仅包括维护国家主权、金融安全与竞争秩序的宏观安全价值,还涉及保护金融机构与金融消费者合法权益的微观安全价值,包括金融机构对金融数据的用益权与金融消费者基于金融数据的所有权。其中,金融监管者行数据监管的核心目标在于规制金融机构的市场经营行为,一般不直接针对金融消费者,因此,金融监管者的数据安全保护主要惠及作为金融数据用益权人的金融机构,而作为金融数据所有权人的金融消费者往往仅为间接受益人。
(一)基于维护国家经济安全的数据安全保护义务
金融数据监管将大量金融数据进行聚合,在此基础上开展监管分析,一方面可能促进监管者得到意向的信息与知识,但也带来了数据安全风险,其中,监管大数据分析的结论本身即可能具有安全风险,譬如通过数据分析挖掘出数据中潜藏的安全情报或涉密信息,从而成为敏感数据,更重大的风险是大量单一的金融数据的聚合得以形成关涉一国整体经济安全的重大价值数据。因此,基于金融风险的系统性特点,金融监管数据很可能涉及一国金融业乃至国民经济的整体安全,金融监管者保护监管数据安全,就是在保障国家经济安全与金融秩序的稳定。我国《数据安全法》第21条明确规定了数据分类分级保护制度的建构要求,直接关涉国家安全、社会重大公共利益的监管数据将构成重要数据。依托重要数据须着手建立国家数据安全管理制度,包括重要数据的识别认定、重要数据的安全审查、重要数据的跨境管制等。《数据安全法》第30条还规定,重要数据的处理者应当定期对数据处理活动开展风险评估,以对重要数据的安全进行预先保护。我国《数据安全法》对重要数据的分类识别与特别保护机制应当在金融监管领域得到切实落实。
金融监管数据之所以易于成为关涉国家经济安全的重要数据,是因为保障国家经济安全本身亦为金融监管活动的重要目标。除此之外,有效维护金融秩序也是金融监管活动的特定公益目标指向,二者也构成了金融监管视野下的数据范围,即金融监管数据主要包括关系国计民生、金融市场秩序与安全的金融机构加工的经营数据,以及金融机构作为中介平台所收集的蕴含金融消费者信息的相关数据,金融监管者对于后项数据的关注是全面审慎监管的必然要求,有利于其针对在金融交易关系中处于弱势地位的金融消费者权益保障做出倾向性的金融监管与调控举措,贯彻经济法调整的社会本位的实质正义理念。除此之外,金融监管者不得再行无序扩张金融监管数据的范围,在监管履职过程中,伴随着监管经验的积累,金融监管数据也需要被不断精炼、简化,以及优化数据分类、完善数据算法,不断提升数据监管能力,减轻金融机构的数据报送负担,改进金融监管的质效。因此,针对类型与范围严格可控的目的性金融数据予以精准监管,构成金融监管者的数据安全保护义务的重要价值目标。
金融监管的社会公共利益的目标导向还决定了金融监管者对数据的利用方式的限制。金融监管者对于所收集的金融数据原则上作为监控预警、形势分析、违法处罚与纠正、逆市场周期操作等市场监管与宏观调控决策行为的重要依据,而不得直接从事商业性使用,或者仅得以在征得数据多方权利人的同意并支付合意达成的合理对价后而促成数据的商业利用。金融监管数据的使用方式的限制本身构成了保护其数据安全的关键“防火墙”,堵住了监管者受利益驱使导致的非法利用金融监管数据的可能性缺口,而成为金融数据安全保护义务的核心内容。因此,金融监管者严格遵守金融监管数据的规范使用路径,即构成了对金融数据的安全保护义务的履行。旨在创造良好经济秩序与金融安全的金融数据监管,不得成为数字经济安全的风险隐患,而立法不宜再从金融监管者的外部施加额外的数据安全监管机构,否则将造成机构不断臃肿、扩张的“钱穆制度陷阱”式问题,数据安全保护义务是金融监管者在数据监管领域中的自我约束性举措,并以法治的方式实现有力追责的可能,从而避免了机构重重监管机制的弊病。
金融监管数据的安全保护属于社会数据安全保护体系中的一员,金融监管并非行政权力行使的“孤岛”,金融监管数据也无法阻隔其他国家治理数据库的交互、连通。因此,金融监管数据的安全保护亦非仅仅为金融监管者的法定义务,与金融监管职能具有一定相关性的央地各级政府部门也须承担相应的监管数据安全保护义务,根据政府职能的划分,建立金融监管者主导、统筹、协调,与相关政府职能部门参与、配合的数据安全保护的系统治理架构,是更为妥适的制度选择,以在行政权力内部形成金融监管数据安全保护的合力,提升数据安全保护工作的质效。
(二)金融监管数据安全之于市场竞争秩序
在信息量剧增的数字经济时代,同时以促进金融市场公平有效竞争为重要目标的金融监管者,尤其应当注意避免自身成为违反竞争中立、公平竞争原则的“帮凶”,此项风险伴随着监管者对于金融机构大量经营数据的掌控而被大幅放大和凸显出来。金融监管者与金融机构之间存在利益博弈,金融机构为了在监管中获得更多利益,倾向于使用各种手段阻碍监管,或者诱导监管者作出有利于自己的监管行为,当监管者沦陷于金融机构提供的“权力租金”中,监管者将被金融机构所控制。基于数据展开的金融监管也由此有着破坏市场竞争秩序以及侵害金融机构公平竞争权的潜在风险。而数字技术等监管科技的使用,使宏观审慎监管与微观审慎监管的平衡并举实施成为可能,监管者得以借助关键数据而对金融风险进行实时全盘监管,同时也能够对单个金融机构的金融业务开展针对性监管,从而加大了对具体金融机构的监管影响力与数据安全风险的潜在破坏力。
金融监管者的数据安全保护义务的要义不仅在于不助长经由监管数据的不当获取而产生的不正当竞争行为或垄断现象,市场竞争秩序对金融监管数据安全的另一项重要的要求还在于金融机构常态化经营中的竞争力不会因金融监管者的过度监管等不当监管行为而受到不利影响。现代金融监管彰显市场驱动的特征,监管的价值从解决市场失灵发展到使市场更具竞争力和更好地运作。英国金融行为监管局(FCA)即明确其双重监管目标,其中解决市场失灵的目标为维护市场完整性和保护消费者,推动市场机制更好地发挥主导作用的目标体现为促进竞争。以数据监管为核心的监管科技常常将目光局限于规制市场失灵的监管方向上,而忽视了促进竞争的市场推进目的,金融监管者在运用监管数据、保护数据安全的过程中,至少不应成为自由竞争与公平竞争的破坏者,这是金融监管的底线要求,也是金融监管者的数据安全保护义务的重要内涵,同时,应当积极通过运用数据监管的力量消除市场公平竞争的障碍,维护市场竞争秩序。
对于利用金融监管数据所进行的反公平竞争行为,将产生金融监管者职责与包括反垄断局在内的国家市场监督管理部门职责的交叉,对此权力的重叠容易造成执法的冲突或者推诿,出现重复监管抑或空白监管的问题。对此,金融监管者与竞争监管者在基于监管数据所为的破坏市场竞争秩序的行为之上的职责范围须进行协调,依法明确划分监管者的市场规制权力的运行区域。为合理配置监管主体的权力,原则上金融监管者对监管数据承担着安全保护义务,在其对金融监管数据保护不当而造成市场竞争秩序被破坏的特殊情境下,应当进行监管权力的回避,竞争监管部门应当相应地有所担当与作为,积极承担起针对金融监管数据所引发的反公平竞争行为的规制职能。
五、金融监管者之数据安全保护义务规则的设置理路
金融监管数据的多重价值维度体系扩张了数据安全保护义务的内涵,在此基础上有助于确定我国金融监管者的数据安全保护义务的核心规范内容,结合我国《数据安全法》中确立的数据分类分级管理、数据安全审查、风险评估、监测预警、应急处置以及数据跨境流动规制等数据保护基本机制,笔者提出完善我国金融监管者数据安全保护义务的规则设置建议,以切实保障金融监管数据安全。
(一)金融监管数据的分类分级管理及其相应的安全保护义务
金融监管数据可以与其他类型的数据遵循一致的数据分级分类划分规则,监管数据本身在此并无特殊性,金融监管者亦应遵守基于不同级别、类型的数据所设置的安全保护规范。其中,涉及国家安全、国民经济命脉、重大社会公共利益的监管数据属于国家核心数据,监管者需要为之履行更加严格的数据安全管理制度。针对重要的国家核心监管数据,金融监管者在利用数据过程中还应秉持最小化数据风险原则,根据数据具体的使用场景,在保证实现正常监管目标的前提下选择最小化数据泄露风险的举措,这是数据监管比例原则的要求,欧盟《通用数据保护条例》(GDPR)也设置了采取适当和成比例的技术与组织措施来管控数据安全风险的规范。监管数据的分级分类的另一应用在于为数据控制者处理数据之前进行数据安全审查与评估提供参照,通过考察数据的性质与数据处理的规制要求等,来评估计划进行的数据处理行为可能为数据主体带来的权益风险,数据安全审查与评估是我国《数据安全法》第18条与GDPR第35条第1款均确立的重要机制。
目前我国数据分级分类的主要问题在于依据《数据安全法》第21条第3款的规定,各地区、各部门尚未依法完全确定本地区、本部门以及相关行业、领域的重要数据目录,以及其他类型的数据级别,数据分级分类的统一架构体系尚未确立,在《数据安全法》的适用中亟待政府机关依法予以推动确认相关规则。其中,金融监管数据在数据体系中具有一定的独立性,金融监管者与金融行业协会可依据银行、证券、保险、信托等不同金融行业数据的特点,结合金融数据的范围与聚合形态等要素,考量金融数据中所蕴含信息之权益价值,对金融监管数据先行予以全面、细致的分级分类。金融监管数据的分类分级结论应当与金融监管数据处理者的权限体系与数据安全保护义务相匹配,安全级别高的重要数据往往仅得以由享有一定行政级别与数据控制权限的金融监管相关工作人员处理,须避免数据处理权限低的金融监管工作人员接触级别高的重要数据。对于金融监管数据的合理的分类分级,有利于事先确定责任主体,并在处理者内部形成自我约束、互相监督的机制,避免数据安全风险出现后互相推诿、无人担责的问题,由此,金融监管者才能够有效地履行金融数据安全保护义务。
(二)金融监管数据的风险防范举措
立法应当完善金融监管数据的全生命周期的风险控制措施。立法须明确监管数据获取、传输、存储、分析、公开、删除等各环节、全流程的责任主体,加强对监管数据各操作节点的动态监督,实现监管数据之上的处理均匹配有数据安全保护制度规范,通过技术手段确保任何针对监管数据的处理均留有操作痕迹,并得以识别操作人,以利于出现破坏数据安全事件后问责的展开。尤其在金融监管者使用云服务平台的特殊情境下,须清晰设置各方主体在保护数据安全方面的职责内容。
金融监管者应当充分运用技术手段保障金融监管数据的保密性。根据欧盟《通用数据保护条例》(GDPR)的规定,个人数据的匿名化不仅仅是数据控制人减轻数据保护监管负担的一种工具,在特定情况下,数据控制人甚至有法律义务匿名其掌控的个人数据,因为数据有时涉及个人隐私。金融监管数据亦是如此,即便被监管的金融机构是法人等组织体,在其数据涉及到商业秘密或者核心竞争力等关键元素的情况下,当与重要的监管目标不相冲突抑或有其他的替代性方案之时,监管者应当匿名化相应的数据,这也在源头上防止了金融机构数据由监管者处泄露造成的竞争力丧失的重大损失风险,对承担着数据安全保护义务的监管者也是一种间接的保护。针对无法匿名的监管数据,可以通过密码算法强化对数据的保护,如“密码技术、数字签名技术、认证技术、访问控制、数据安全性检验、密文检索技术、病毒查杀技术等手段来确保数据安全”。需要注意的是,金融监管者仅需对尚未公开的监管数据予以保密化处理,倘若该数据已通过其他合法的渠道进行了公开,则金融监管者将不为此承担保密义务。
金融监管者应当充分运用技术手段保障金融监管数据系统的安全。其中,最绝对的风险防范举措是将监管数据储存网络与外网进行物理隔离,彻底屏蔽与金融监管无关的外部系统接入监管数据平台。但基于监管的实际需要,金融监管数据系统无法避免与外部系统的彻底隔离,与部分外部系统还存在互联互通甚至共建共享的需求,我国《数据安全法》第42条也提出了国家政务数据开放目录的制定要求,以推动政务数据的开放利用。通过监管数据的互联互通来实现监管目标的使用需求,须被严格纳入监管数据内网的安全规范管理范围,面向监管数据安全保护的目标对外部系统予以相应的升级改造,遵循监管数据保密与风险预防要求,规范监管数据的使用方式,并视具体情况采取对监管数据连入外部系统前作匿名化或脱敏处理抑或增加保密标识等数据安全控制措施,消除其危害监管数据安全的风险。
(三)金融监管数据的风险预警与应急处置
为提升数据风险处理效率,有必要建立金融监管数据的风险预警与处置机制,在中央与地方分别制定可行的、有针对性的金融数据安全风险应急预案,明确各行政岗位人员的职责,在危害金融数据安全的突发事件发生后的第一时间按照预案先行紧急处理,避免损害的进一步扩大,之后再通过问责、数据权利救济等方式追究相关责任人的法律责任。同时,设立金融监管数据库的“安全警察”,即金融监管数据安全保护机构抑或专设部门,在地方,鉴于金融监管队伍人员数量有限,其所控制的金融监管数据范围相对较小,数据安全风险相对可控,灵活设立金融监管数据安全保护专岗即可满足数据安全保护的需求。“安全警察”日常监控、定位监管数据管理中主要的风险源。在发现金融监管者出现被不当泄露、监管数据库被非法入侵等数据安全事件时,应当及时采取针对性、精准化的技术分析与应对措施,以此实施监管者对于履行数据安全保护义务的自我约束,切实保障数据权益。专设的金融监管数据安全保护机构/部门/岗位是数据保护必要的配套机制,强有力的数据安全保护机构能够切实提升数据保护的力度,使数据保护成为常态化工作,而非运动式、临时性的举措。欧盟《通用数据保护条例》(GDPR)在欧盟市场具有普遍适用的效力,其在数据保护方面良好的实施效果在很大程度上得益于其赋予了欧盟各数据保护机构广泛的职责范围与充足的执法权力,同时成立了欧洲数据保护委员会(European Data Protection Board)确保欧洲的数据保护机构在整个欧盟及其单一市场对GDPR保持一致的解释与执行标准,进而形成了数据保护的机构合力。我国《数据安全法》第29条也明确规定了数据处理活动的风险监测与应急处置制度。
(四)针对算法展开的数据安全保护
在数字经济时代,金融机构普遍引入金融科技元素的同时,金融监管也强化了金融科技的运用,在处理金融监管数据方面,算法获得了主导地位。不难理解,现代金融监管数据量的骤增、金融监管目标的多元化,以及金融监管任务的繁重性,传统的简单计算与人工分析方式无法满足金融监管的需求。可以说,缺乏科学的算法的辅助,金融监管大数据将沦为“一潭死水”,真正的金融科技是金融大数据与科学算法的融合。但算法在金融监管中的大规模运用,也为金融监管数据安全带来了新的风险隐患。因为讲求程式推演的算法较传统的、以人治为主要特征的监管逻辑更具有稳定性与可预测性,可以说,数字经济下的金融监管很大程度上表现为针对数据运用算法而展开的监管,这不仅使得金融机构能够经由破解监管者的算法而掌握金融监管规律,从而预先做出反监管举措的逆向选择,进行监管套利,而且结合监管算法与监管措施可以在一定程度上反推监管数据的大致态势,甚至直接获取特定范围的金融数据,将导致与金融数据泄露同样的损害后果,由此产生了破坏金融监管数据安全的全新表现形式。鉴于此,金融监管者的数据安全保护义务还应包括对监管算法的特别保密义务,为避免金融机构掌握监管算法或算法被泄露,从而危及监管数据之安全,金融监管者应当尽量无规律地、随机更新监管算法模型。倘若监管算法被泄露,金融监管者应当采取技术手段自动中断该算法的使用,并及时更换监管算法。
(五)数据主权视角下金融监管数据跨境流动的规制
数据的跨境流动形式本身可被视为一国主权的延续,即便是以去中心化为核心特征的互联网,基于其平台展开的数据跨境流动,仍未脱离国家主权的掌控。但不同的数据/信息类型在主权属性上存在差异,数据安全风险限于私域范围,并可通过私法救济的数据主权属性弱,相对者的主权属性强,这使得单一的数据主权适用模式缺乏可行性,也不利于数据资源价值的利用与国家安全利益的维护,有必要在数据主权下对不同类型的数据设置多元化的跨境流动规则。数据主权下的数据跨境流动,主要包括“国家之间的跨境流动、企业之间的数据开放、企业内部的数据处理以及个人与组织之间的个人信息交互,”金融监管数据亦被囊括在内。金融监管数据风险直接关涉公域范围内的国家经济安全,具有强数据主权属性的特征,其数据跨境流动规则较私人数据,应承受更为严格的审查与限制。
我国于2015年出台的《促进大数据发展行动纲要》,首次提及数据主权的概念,提出“增强网络空间数据主权保护能力”的要求。其后的数据/信息立法虽未再言及数据主权,但对于数据跨境流动的国家安全因素的考量与安全评估制度等,均彰显了数据主权的思想。就数据跨境流动的立法依据而言,我国《数据安全法》第11条确立了“促进数据跨境安全、自由流动”这一数据跨境流动的总体原则。同时,其第24条第1款明确规定国家建立面向国家安全保障的数据安全审查制度。第36条强调了我国境内的组织、个人向外国司法或者执法机构提供存储于我国境内的数据,必须经主管机关批准的前置程序要求,同样旨在实现国家安全审查的目标。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第三章专章规定了个人信息跨境提供的具体规制规则,强调国家网信部门的审查,与《中华人民共和国网络安全法》(以下简称《网络安全法》)相呼应。而金融监管数据中也会涉及金融消费者的个人信息,《个人信息保护法》也可作为数据跨境流动的参考规范。总体来看,我国相关立法规范了数据跨境流动的基本原则与核心事项,但尚未针对不同类型数据的跨境流动规则做区别对待,而譬如金融监管数据等政务数据的跨境流动具有不同于私人数据的特点,立法有进一步细化规定的空间。
从宏观经济角度而言,随着技术升级的演进与信息革命的深化,数据越来越成为网络产业发展的基础性资源要素,并朝向产业链上下游发展,数据的跨境流动催生出大量新模式、新业态、新企业,深刻影响着国际经济格局,数据潜在巨大价值的不断攀升也刺激主权国家积极获取境外数据资源。但数据作为数字经济下新兴的、重要的生产要素,其跨境流动的原初动力具有私人利益的目标导向性,在高效的跨境流动中往往更有利于实现数据的价值,为数据权利人带来经济利益。而金融监管数据作为政务数据,是金融监管者履行金融监管权的重要抓手与工具,彰显着国家依法干预与规制金融市场的监管目标,因此,金融监管数据不具有私人数据进行跨境流动内在的经济利益的动力与内涵,而且,金融监管数据的跨境流动与金融监管者行使监管职权与实现监管目标不存在直接关系,金融监管者对于金融监管数据的跨境传输不具有利益需求。同时,金融监管数据与国家经济安全、社会公共利益有着天然的关联性,前已述及,金融监管数据可以被视为一种国家数据,承载着国家信息权益,据此,金融监管数据可以属于广义上的国家秘密的范畴,尤其在涉及数据跨境流动的场域下,可以参照适用《中华人民共和国保守国家秘密法》(以下简称《保守国家秘密法》)的相关规定。根据我国《保守国家秘密法》第3条的规定,金融监管者须承担保守作为国家秘密的金融监管数据的义务,因此,金融监管者无权力自行决定将金融监管数据进行跨境流动,原则上,金融监管数据也不允许跨境流动。依据其第30条的规定,金融监管者在对外交往与合作中需要跨境传输金融监管数据的,或者依据我国签订的双边条约与国际协定,需要向其他主权国家或国际组织传输金融监管数据的,应当一并报国务院有关主管部门批准,并与对方签订保密协议。金融监管者未遵守国家保密制度,自行跨境传输金融监管数据,或者保护数据安全不力,导致金融监管数据向境外泄露抑或被境外非法利用的,将依据《保守国家秘密法》承担相应的法律责任。当然,在经过国务院有关主管部门批准后,金融监管者在将金融监管数据进行跨境流动之前,应对其中涉及国家经济安全的信息予以脱敏处理。相较于其他市场监管数据等政务数据类型,金融监管数据因其高风险性、与国家经济安全的直接关联性、风险系统性与易扩散性等特征,须受到更为严格的跨境流动审查与限制,而其他市场监管数据一般与国家经济安全不具有直接关联性,从而其数据跨境流动也因此不会涉入保守国家秘密的法律规制体系。
需要辨别的是,金融监管数据是以金融数据为基础而形成的,金融监管者的数据加工、处理活动往往难以覆盖全部金融数据,以至于有些金融数据以原初样态,在金融监管者的监管活动中,转化为金融监管数据,对其数据的跨境流动规则的设置,仍应秉持区分金融监管数据与金融数据的原则。换言之,即便作为跨境流动对象的数据内容完全一致,但数据流出的主体不同,构成数据跨境流动的不同的法律关系,进而适用不同的数据跨境流动的规制规范。倘若金融机构在满足金融监管者的数据监管要求,报送了部分金融数据后,又将该报送数据中的全部或部分数据进行跨境流动,因其不具备经金融监管者所处理的大量金融数据的集聚效应,往往不会涉及国家安全与公共利益,其安全保护级别较金融监管数据低,此时,金融机构遵循一般数据的跨境流动法律规定内容即可。
结 语
数字经济社会中,金融监管者为应对金融科技蓬勃发展的新形势,而采取了一系列融入监管科技的新监管模式,其往往以数据监管为基础内核,由此带来了监管者对金融数据的控制权的大幅扩张,也导致了更多的数据安全风险。金融监管者须承担针对监管数据的安全保护义务,这是由金融监管权设置、监管者依法履职的要求以及金融监管数据的特点所决定的,其根本的宪法依据在于金融监管者作为公权数据处理人,应负担国家所应承担的数据保护义务。金融监管者承担的数据安全保护义务,较数据安全保障义务的内容更为全面。针对金融监管者的数据安全保护义务,可从维护国家金融安全与经济秩序,以及市场公平竞争秩序的多重价值维度进行观察。作为金融监管者数据安全保护义务的重要内容,数据监管权限须进行合目的性限缩,既是维护国家经济秩序与金融安全的需要,也体现了充分保障金融机构的自主经营权与数据权益的考量因素。金融监管权力的行使须秉持谦抑性原则,不应过度介入金融经营主体开展自主经营的过程之中,收集的金融机构的经营数据亦应坚持必要性原则。金融监管者应当通过对监管数据的分类分级管理来识别与保护重要数据,针对不同的数据类型相应采取不同的全生命周期的数据安全风险防范措施,建立数据的风险预警与应急处置机制,保障监管算法的安全。金融监管数据的跨境流动须纳入保守国家秘密的法律体系予以严格规制。
囿于笔者讨论的主题范围,针对金融监管者的数据安全保护义务相关内容的探究难以在一文中面面俱到,譬如金融监管者未履行或未依法履行对监管数据的安全保护义务所应进一步承担的第二性的义务,即其应予以承担的法律责任,对于履行公权力职能的金融监管者而言,对其法律责任的追究宜沿循问责路径展开,可建立针对数据权益的以国家赔偿为代表的司法救济与国家补偿的特别救济的双重救济渠道。同时,限于笔者的研究视野,本文聚焦于较为宏观的理论研讨,数据监管作为新兴事物,金融监管者于数据监管实践中的履职情况仍须持续观察,潜在的问题尚未充分暴露,有必要在实践基础积累至一定程度后再行开展实证研究。
(责任编辑:张莉)
《行政法学研究》创刊于1993年,是由中华人民共和国教育部主管、中国政法大学主办、《行政法学研究》编辑部出版的国内外公开发行的我国首家部门法学杂志。本刊是国家社科基金资助期刊,已被列入“中国人文社科核心期刊”、“法律类中文核心期刊”、“中文社会科学引文索引(CSSCI)来源期刊”、“中国社会科学期刊精品数据库来源期刊”、“中国学术期刊综合评价数据库来源期刊”和“中国核心期刊(遴选)数据库”。
行政法学研究编辑部
欢迎您关注订阅赐稿!
欢迎各位读者通过全国各地邮局订阅!
地址:北京市海淀区西土城路25号
中国政法大学法治政府研究院
邮编:100088
座机:010-58902973
联系电话:13683175731
投稿网址:http://xzfx.cbpt.cnki.net