数字金融背景下金融机构的数据保护义务 ——基于欧盟《一般数据保护条例》的考察

摘要：作为数字金融的关键生产要素，“数据”驱动着实体经济、传统金融和区域经济的升级转型。随着数据价值的提升和信息技术的演进，因数据所衍生的风险亦与日俱增。2018年生效的欧盟《统一数据保护条例》对包括金融机构的数据控制者提供了前所未有的数据保护要求，形成了原则义务、一般义务（合规义务和证明义务）和风险管理具体义务的复合义务体系。但是，过于严苛的数据保护义务可能对数字金融造成不利影响，我国应审慎借鉴《一般数据保护条例》，在坚持个人数据保护底线的前提下，积极促进数字金融的发展。

关键词：数字金融金融数据数据保护

近年来，随着现代网络信息技术的发展，金融业先后经历了金融电子化和金融信息化的阶段，目前在向移动化、网络化、数据化、智能化时代发展，一种新的金融形态——数字金融应运而生。所谓“数字金融”，即以数据为关键生产要素，以现代信息网络为重要载体，以技术创新为核心驱动力，将互联网、云计算、区块链、人工智能等科技手段与金融体系相结合，以此来降低金融服务的门槛和成本，提高金融机构的服务效率，从而实现普惠金融的一种新型金融。与传统金融的客户营销和风险控制依赖于线下渠道不同，在数字金融中，“数据”才是关键。从数据的收集到数据的利用、加工，客户的消费习惯、行为习惯、浏览习惯、购物习惯、信用记录被精确画像，从而为各种营销服务和风控模型成熟奠定基础，由此，数据驱动着实体经济、金融和区域经济的升级转型和创新跨界，成为数字金融发展新的关键生产要素。但在另一方面，随着数据价值的提升和信息技术的演进，因数据所衍生的风险亦与日俱增。有鉴于此，2018年5月，欧盟在1995年《关于个人数据处理及其自由流动的个人保护第95/46/EC号指令》的基础上，实施《一般数据保护条例》（下称“GDPR”），对数据保护提出了更高的要求。在境外长臂管辖和高达全球年营业额的4％或2000万欧元（以较高者为准）的处罚下，GDPR对包括中国在内的全球企业产生了深刻影响。为此，我们尝试着深入GDPR的法律文本，细致剖析金融机构承担的数据保护义务和责任。

一、作为“数据控制者”的金融机构

GDPR延续了2012年《个人数据处理中的个人保护公约》的概念，将“数据控制者”（data controller）作为最主要的义务承担者。根据GDPR第4条的规定，数据控制者是指“单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构。”这里的“数据处理”，即对个人数据进行的任何操作，如数据收集、记录、组织、结构化、存储、改编或修改，或者恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列、组合、限制、清除或销毁的操作。

考虑到复杂的商业模式，GDPR引入了一种新的数据控制者形式——“共同数据控制者”。根据GDPR第26条的规定，所谓共同数据控制者，即共同决定数据处理目标、条件和手段的两个或两个以上数据控制者。不同的数据控制者之间的关系或紧密或疏远，但只要它们在数据处理关键操作的决定上，进行了事实上的“合作”，那么就可以认定是“共同数据控制者”，而不论它们是否达成了正式协议。例如，一家金融机构的app上将其他金融机构引入其中，各方都有权取得和处理因用户登录该网站所生成的数据，则各方构成“共同控制者”。再如，一家银行为了获得更多的客户，和一家P2P网贷公司合作，以便用户可以同时投资网贷和银行理财财产。为了完成服务，银行和网贷公司均有权处理用户的信息，从而构成“共同控制者”。必须说明的是，这里的“控制”是一个事实概念，不必以合意为前提，只要各方之间存在默示的同意即可。

为了在多个主体之间清晰地分配责任，所有的共同控制者应以一种透明的方式安排各自的义务和责任。此处的“透明”意味着数据主体有权获知各方间内部安排；此处的“义务和责任”包括但不限于由何方担任联络人，并承担收集、使用数据时通知用户的义务。根据GDPR第83条的规定，如果各方没有就上述内容达成协议，则将遭至1000万欧元或全球范围内年度总营业额2%的罚款。作为共同控制者，无论它们之间协议如何安排，各方均应履行GDPR对数据控制者的实质性要求，数据主体亦有权向任何一名控制者主张权利。

在经济学上，控制权即决策权。遵循这一认识，数据控制者的关键亦在于享有决定数据为何处理、有谁进行处理、如何处理等重大问题的“决策权”，而非从事数据处理的行为，因为数据处理仅是技术性行为，完全可以委诸他人。基于此，GDPR将“数据控制者”和“数据处理者”相区分，前者依法承担最终责任，而后者仅依其与数据控制者达成的协议承担合同责任。不过，考虑到数据处理者是最直接的行为主体，GDPR对于上述协议做了规范性要求，包括禁止转委托、保密、处理安全、报告义务以及协助数据控制者履行其法定义务，等等。从效果上看，对数据控制者的规范在很大程度上也适用于数据处理者。不仅于此，在数据处理者擅自超越数据控制者的授权开展处理行为，则视为自行决定处理的目的和方式，从而承担数据控制者所有的义务和责任。

反观我国，《网络安全法》将“网络的所有者、管理者和网络服务提供者”统称为“网络运营者”，这固然扩张了规制范围，但也因缺乏类型化，使得规制缺乏针对性。类似地，我国《个人信息安全规范》尽管明确了“有权决定个人信息处理目的、方式等的个人信息控制者”，可也没有规定“个人信息处理者”。在个人信息权利受到侵害的情形下，控制者将是唯一的法定责任主体，而处理者仅仅向控制者，而非用户承担违约责任。在某些场景下，处理者还可以凭借合同漏洞约定置身事外，这显然不公。为此，有必要尽快出台个人信息控制者及其处理者之间的《数据处理合同范本》，促使义务和责任在两者之间公平、有效地划分。

二、金融机构作为数据控制者的义务体系

在GDPR中，数据控制者的义务是由原则义务、一般义务和具体义务组成的复合体。其中，原则义务居于指导性地位，一般义务是依循原则义务，在通用场景下的规范要求，具体义务则是从一般义务中“风险预防”规则出发，在特定场景下的引申制度。

（一）问责原则下的义务

针对数据控制者，GDPR第5条“个人数据处理的原则”第2款特别规定其“应当对上述原则的落实情况秉承责任并予以证明”。这里的“上述原则”指向了个人数据的核心规范和关键权利，即（1）合法、公平、透明原则：应以合法、公平和公开透明的方式处理个人数据；（2）目的限制原则：在收集个人数据时，应当基于具体、明确、合法的目的，同时在处理个人数据时，亦不得违反上述目的；（3）最小范围原则：数据应当充分、相关并以个人数据处理目的所必要的为限；（4）准确性原则：数据应当是准确的，若有必要应保持适时更新，采取一切合理措施确保与数据处理目的相悖的错误数据被及时清除或更正；（5）存储限制原则：可识别数据主体身份的数据的保存期限，不得超过实现其处理目的所需要的时间；（6）完整性和保密性原则：数据处理应以确保个人数据适当安全的方式进行。

这一被称为“问责原则”（Principle of Accountability）的规范并非一个新事物。上世纪80年代，在OECD（经合组织）制定的《隐私保护与个人数据跨境流动指南》（Guideline on the Protection of Privacy and Transborder Flows of Personal Data）中，第14条就确立了该原则。在过去三十年间，世界各国越来越多地将这一原则运用到个人数据的监管中。目前，加拿大、法国、澳大利亚和哥伦比亚发布的“问责指南”（Accountability Guides）或“隐私治理框架”（Privacy Governance Frameworks），均将问责原则作为推动企业合规的驱动力。

正如“Accountability”隐含“职责”和“解释”两重含义一样，问责原则包含着两层义务：（1）合规义务：数据控制者有责任保证个人数据的处理符合GDPR的原则和规则；（2）举证义务：数据控制还负有举证责任（burden of prove），能够向监管机构展示和解释其处理行为，以证明其合规。鉴于个人数据处理的复杂性，问责原则有赖于更细致的规则加以明确，此即数据控制者的“一般义务”和“具体义务”。但是，这绝不意味着问责原则缺乏约束力，事实上，问责原则宣示了数据保护的重要性，强化了数据控制者的义务和承诺。同时，根据GDPR的责任条款，一旦认定数据控制者违反了这一原则，将遭至高达2000万欧元或或全球范围内年度总营业额4%的罚款。

（二）作为一般义务的合规义务

GDPR第四章“数据控制者和处理者”第一节“一般义务”中，数据控制者的合规义务系重中之重，其主要体现为如下方面。

1.建立数据保护管理体系

根据GDPR第24条第1款和第2款的规定，数据控制者有义务采取适当的技术、组织措施、数据保护政策，确保其数据的处理行为符合法律规定。为此，数据控制者应当从现有的“信息安全管理体系”（information security management system，ISMS）向“数据保护管理体系”（Data Protection Management System，DPMS）转变，以落实上述要求。如同ISMS，DPMS首先是技术系统，通过引入信息技术安全概念，其拓展了ISO 27001和ISO 27002标准，规范了处理过程中的基础设施、数据管理和用户交互行为。但另一方面，DPMS也是一套“内部合规”系统，其体现为公司章程、章程细则和规章制度，以监督和督促公司内部成员遵守数据保护和个人信息安全的要求。

鉴于大型公司数据合规业务纷繁芜杂，DPMS不仅能够简化管理，还能让数据控制者有效降低合规成本。凭借DPMS的“协同”（synergies）功能，所有和数据有关的员工以及他们的数据处理活动，能够在统一平台上实施、记录和评价。同时，DPMS还能帮助公司管理层培育数据保护理念，进行数据保护培训，并生成数据处理报告和文件。在已经设立数据保护官（DPO）的公司，DPO可以成为DPMS内部运作的核心，其通过与公司外合作伙伴的合同关系，以及与政府部门的监管关系，将DPMS和外部管理及监管相互连接，从而降低了数据保护的沟通和协调成本。

2. 从设计着手保护数据

GDPR首次在欧盟层面上引入了“经由设计和默认的数据保护”（data protection by design），其直接源于“经规划隐私（Privacy by Design, PbD）这一理念。1995年，在加拿大隐私专员Ann Cavoukian和荷兰数据保护局联合小组共同发表的《隐私增强技术：匿名之路》报告中，首次提及隐私增强技术（Privacy-enhancing technologies，PET），在“价值导向设计理论”（Value Sensitive Design Theory）的影响下，PeT逐渐演变成为PbD。通过深刻反思技术创新与隐私保护的关系，PbD把隐私主动地嵌入数据开发与挖掘技术、商业操作、网络架构中，把隐私保护看作是企业经营和发展的核心问题之一而非从属性问题。同样，“经由设计和默认的数据保护”遵循个人和企业双赢的观念，力求通过周密、直接的嵌入式设计来调和相互冲突的利益与目标。具体而言，“经由设计和默认的数据保护”包含着如下基本内涵。

其一，积极主动防御。数据控制者不应在侵权事实发生后才进行事后救济，而要主动预见并提前阻止个人数据风险发生。这意味着数据控制者要有前瞻性，承诺采取高于法律规定的数据保护标准，并且不断改进承诺，确保该承诺为客户和相关主体所知悉。同时，定期进行指标检查，及时发现不足并改进。

其二，将数据保护作为初始系统中默认设置。相对于个人，数据控制者一般拥有强大的技术和信息优势，从而贯彻“代码即法律”的逻辑，通过框架设计决定用户的行为。为此，“经由设计和默认的数据保护”反其道而行之，要求个人数据收集、使用、转让、共享的条款，一般应采取Opt In（选择同意）模式，以保障即使个人没有做出任何动作，其权利依然不会受到侵害。据此，默认设置的规定保证了用户可以最方便的途径保护其个人数据。而正如Facebook信息泄露事件所显示的，一旦将用户信息默认设置为公开，则可能带来严重的危害。GDPR第25条第2款明确规定：数据控制者应当采取适当的技术性措施，确保在默认情况下只处理每个特定处理目的所必需的个人数据，限制处理的内容包括数量、范围、存储期限和可访问性。

这一原则已经被我国监管机构所认可。2017年8月，在中央网信办、工信部、公安部、国家标准委开展的网络产品、服务隐私条款评审中，监管者就特别要求：收集个人数据时应由用户“选择同意”，不得“选择退出”（Opt Out），这意味着，只有用户主动做出点击“同意”、“下一步”、“注册”、“发送”、“拨打”的肯定性动作之后，企业才能收集和使用其数据。

其三，寓数据保护于设计之中。“经由设计和默认的数据保护”要求将数据保护作为信息技术系统、物理硬件、商业结构中必不可少的一部分，但另一方面，这种嵌入又并不会削弱其所欲达成的基本功能。为此，我们有必要在“灵活性、常识和实用性”原则的指导下，在尊重商业模式和产业发展的前提下，制定数据保护的专门立法、综合性法律和行业标准。

其四，遍及全程的保护。数据保护应在数据收集、存储、处理、转让和删除的全过程中体现，并在各个环节明确具体责任人，以确保安全标准的实施。

其五，保持透明性与可见性。权利不仅要实现，而且要以看得见的方式实现。对用户透明和可见，是建构企业和用户间信任关系的捷径，更是以用户为中心的精神要义。为此，数据控制者应当公开披露个人数据处理的政策、进程和控制方式，并且，相关信息应以用户友好的方式，通俗易懂地呈现。同时，为便于客户监督，企业内部负责个人数据安全事务的人员——“数据保护官”（DPO）的联系方式有必要公之于众，后续投诉和赔偿机制也应随之完善。

（三）作为一般义务的证明义务

数据控制者不但要保证数据处理的合规，还要可见的方式实现合规。为了满足这一要求，数据控制者应从下述方面履行其证明义务。

1.保存处理活动的记录

GDPR第30条详述了贯彻问责机制理念的具体方法，该条款要求数据控制者保存就其职责范围内的处理活动的书面（包括电子）记录。该等书面或电子记录应至少包含：（1）控制者的名称/姓名和联系方式，以及在存在共同控制者的情况下，提供其信息，控制者的授权代表和DPO的名称/姓名和联系方式；（2）处理的目的。必须说明的是，该“记录的目的”一方面不可过于宽泛，以便能通过形式审查，来评估处理活动的合法性，另一方面也不能过于狭窄，避免限制合法的数据处理。（3）对数据主体类别和个人数据类别的描述；（4）已经或将要接收个人数据的接收者（包括第三国的接收者或国际组织）之类别；（5）在适用的情况下，将个人数据传输给第三国或国际组织的情况，包括该第三国或国际组织的身份，以及，在适用的情况下适当保障措施的文件；（6）删除不同类别数据的预期时限；（7）对技术性和组织性安全措施的概述。

为了提升数据处理的透明性，书面记录应当满足如下条件：（1）在应监管机构的要求提供时，监管机构能够据此监控数据处理的操作；（2）能够证明遵守GDPR的具体情况；（3）当数据主体行使GDPR的相关权利时，能够回应信息提供的请求。为制作记录之目的，数据控制者内部的不同部门应相互配合、各负其责，共同收集和整理必要的信息。不过，这也会导致个人信息泄露的风险，因而有必要利用DPMS中定制化软件系统，对其进行监控和审计。

由于书面记录可能给企业带来较大的负担，对所有类型的数据控制者一刀切的适用，可能伤及小微企业的发展。为此，GDPR在第30条第5款对雇员人数少于250人的企业或组织，给予了特别豁免。根据GDPR的相关说明，这主要考虑到中小微企业缺乏充分的财力、人力来履行这一义务。较诸欧盟，工业和信息化部、国家统计局、国家发展改革委、财政部《关于印发中小企业划型标准规定的通知》在认定小微企业时，还综合考虑了从业人员、营业收入、资产总额等因素。而从少于250人该单一指标看，该义务的豁免主要针对小微企业。

不过，小微企业并非在任何情况下都无须遵守书面记录的义务，该等义务免除有着三种限制：（1）当数据处理行为可能给数据主体的权利或自由带来风险时，上述豁免不予适用。虽然GDPR在文意上没有明确这里“权利”或“自由”究竟何指，可从立法目的上看，只有处理行为可能侵害数据主体的重大权利或实质自由的场合，该款才有适用的余地，从而将较小的风险排除在外。（2）当数据处理是经常性活动时，上述豁免不予适用。换言之，只有临时性和辅助性的数据处理才能豁免。据此，倘若数据处理构成企业的主营业务，那么，即便是小微企业亦应承担书面记录义务。（3）当处理涉及到敏感数据或与刑事定罪或犯罪有关的信息时，上述豁免不予适用。根据GDPR第9条第1款的规定，“敏感数据”包括种族、民族、政治观点、宗教信仰、哲学信仰、工会成员资格、个人基因数据、生物特征数据、健康数据、性生活、性取向数据。鉴于敏感数据和犯罪数据一旦泄露就会给数据主体造成威胁，因此与该等数据相关的处理，不论方式如何均不得豁免。不过，受限于GDPR第9条第2款，企业为雇佣目的，对员工健康数据的处理不在此限。综合上述限制情形，不难发现，因为GDPR表述的模糊性，小微企业将面临非常不确定的执法环境，它们可能不得不费时费力，像大企业一样保留数据，对小微企业网开一面的立法目的难以实现。所以，我国完全可以选择性借鉴，只将把数据处理作为营业主要内容的小微企业排除即可。

2. 遵守行为准则和认证机制

为了鼓励数据控制者“自我规制”（self-regulation），GDPR将遵守相关“行为准则”（Code of Conduct）和“认证机制”（Certification）作为证明其履行数据控制者义务的考量依据。这些义务包括但不限于：数据处理安全义务（第32条第3款）、数据保护影响评估义务（第35条第8款）、向第三国传输数据的安全保障义务（第40条第3款）以及相关行政处罚的适当性（第83条第2款）。

“行为准则”首先由代表各类数据控制者和处理者的协会或其他组织起草，并征求数据主体等利益相关者的意见，之后上报监管机构。由后者就其是否符合GDPR出具意见，只有在证明该行为准则包含充分的适当安全保障措施后，方能批准生效。根据GDPR第40条第2款，下述内容是必不可少的：（1）公平透明的数据处理程序；（2）在具体情形下，数据控制者的合法利益；（3）个人数据收集；（4）个人数据的假名化；（5）向公众和数据主体提供的信息；（6）数据主体权利的行使；（7）提供给儿童的信息、对儿童的保护以及对儿童具有家长责任的人的同意的获取方式；（8）个人数据安全保护措施和程序；（9）就个人数据泄露事件，向监管机构报告以及告知数据主体；（10）向第三国或者国际组织传输个人数据；（11）用以解决数据控制者和数据主体之间关于处理行为争议的庭前程序和其他争议解决程序，该程序应公正地保护数据主权的权利。此外，为了增强行为准则的执行力，相关准则必须为监管机构提供“程序接口”，以便后者能够据此强制数据控制者遵守。

所谓“认证”，是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。与“行为准则”类似，“认证”也有助于数据控制者向监管机构展示数据处理活动的合规性。但与前者对GDPR抽象规则的具体化不同，认证机制旨在向公众展示数据控制者业务的合法性，并向监管机构提供合规性证明。就此而言，行为准则和认证机制之间相互补充，数据控制者可以择一或合并使用。当数据控制者申请认证时，应向认证机构提供实施认证程序所需的所有信息和访问处理行为的权限。这里的“认证机构”必须证明满足如下条件：（1）已证明其独立性和符合监管要求的专业知识；（2）已建立签发、定期检查和撤回数据保护认证的程序；（3）已建立公开、透明的处理投诉程序和组织；（4）不存在利益冲突；（5）获得监管机构认可。认证机构签发的认证的有效期限最长为三年，若相关要求继续满足，可以续期。

与之类似，我国《网络安全法》第15条和17条亦明确提出了完善网络安全标准和网络安全认证体系。前者为我国建立法律、行政法规、强制性国家标准、推荐性国家标准相互衔接配套的新型网络安全管理体系筑牢了根基。目前，网络产品和服务安全、网络关键设备、关键信息基础设施保护、个人信息安全、网络安全人才评价、事件管理、应急响应、灾难恢复、监测预警、风险评估等领域的国家标准或正在制定或已经出台。但正如2018年年初“支付宝年度账单事件”所显示的，由于《网络安全法》并未规定国家标准的法律效力，监管机构如何适用《个人信息安全规范》——迄今最重要的个人信息行为准则——仍未明确，这必然弱化了行为准则的作用。无独有偶，尽管《网络安全法》鼓励有关企业、机构开展网络安全认证服务，但缺乏赋权机制和监管措施，个人信息安全的认证难以落地。为此，建议监管机构尽快制定细则，明确认证机构的准入标准，设立认证程序，优化认证体系，维护认证结果的统一性和权威性。

三、金融机构作为数据控制者的具体义务：基于风险的进路

原则义务和一般义务并不足以为数据控制者提供明晰的指引，数据主体权利的实现最终有赖于更细致、更可操作的具体义务。但在网络安全形势瞬息万变的今天，“关注安全底线的、静态的、整齐划一的规定”实际上已无法为个人数据提供实质性的安全保障。为此，GDPR在设定数据控制者“一般义务”之初，便采用了“基于风险的进路”（risk-based approach），强调从“数据处理行为的性质、范围、环境、目的以及对自然人的权利和自由带来风险和损害的可能性与严重性”出发，构造不同规则，并促使数据控制者将其纳入到内部决策之中，最终令安全义务从外部的“至上而下”地施加转变为“内化于心”的自我执行。

“基于风险的进路”并非GDPR的原创。欧盟议会与欧盟理事会1995年《关于涉及个人数据处理的个人保护以及此类数据自动流通的第95/46/EC号指令》第17条第1款早已规定：“考虑到技术发展水平以及执行的成本，这些（安全）措施应当达到与数据处理表现的风险以及被保护的数据的性质相适应的安全水平”，但GDPR首次借鉴了“风险规制”（risk regulation）框架，在风险评估和风险管理中全面贯彻了“基于风险的进路”。

（一）数据风险评估

所谓“风险评估”，即利用事实和假设，客观评估特定事项对数据主体造成危害的概率。当评估危害是否存在、危害的程度以及接受风险造成的负面后果时，风险评估能够为监管机构和数据控制者提供一个有序、清晰、协调的决策基础。就数据风险的评估而言，GDPR首先基于对数据主体的影响，区分了一般数据和三种特殊数据。其中，一般数据可以在合法性基础上进行处理；种族、民族、政治观点、宗教信仰、哲学信仰等特殊数据原则上可以处理，但不得泄露；个人基因、生物特征等特殊数据，不得以识别自然人身份为目的进行处理；健康数据、性生活、性取向等特殊数据，一概禁止处理。

其次，GDPR用举例的方法，列出了最为典型的风险场景：“个人数据的处理可能引发歧视待遇、身份冒用或欺诈、财产损失、名誉损害、机密的泄露、假名化数据未经授权的披露，以及造成数据主体经济和社会方面的其他重大不利局面时；用户被剥夺既有的控制权时；数据用以揭示种族来源、政治观点、宗教或哲学信仰、商业联盟成员状况、处理基因信息、有关健康状况、性生活及犯罪状况等信息时；数据被用以分析或预测个人的工作、经济状况、健康状况、个人偏好或兴趣、可靠性或行为、位置或行动，以构建或使用个人资料时；处理儿童等弱势群体的信息时；处理大量的个人数据且影响大量的用户时。”

最后，GDPR确立了“数据保护影响评估制度”。该制度要求数据控制者在可能发生高风险的数据处理进行前，科学、客观地评估处理引起风险的来源、性质、严重性，避免个人信息安全事故的发生和保护风险的现实化。这些高风险的处理包括但不限于：（1）基于数据的自动化处理和决定；（2）大规模处理特殊数据；（3）对公共区域大规模的系统化监控。其评估内容涵盖了：（1）对数据处理操作、数据处理目的，所追求的合法利益等的系统性描述；（2）对数据处理操作与数据处理目的之间的必要性和比例性的评估；（3）对数据处理操作可能对数据主体权益保护造成的风险的评估；（4）应对数据处理操作可能对数据主体权益保护造成的风险的措施。总之，数据保护影响评估制度替代传统路径中“全有全无”的判断，凭借“程度性”量化，提升数据保护的有效性与实质意义，同时也承认了合理风险的不可避免性，大幅减轻企业的合规压力，促进数据的合理利用。

（二）数据风险管理

有别于数据风险评估，数据风险管理指向了数据控制者或监管机构的决策过程，其需要综合考虑与风险有关的政治、社会、经济的利害关系，针对短期和长期的影响选择适当的应对之道。在这一过程中，决策者必须对可接受的风险和控制成本的合理性进行价值判断。

数据风险管理遵循责任风险对称原则，根据高风险、一般风险、低风险等不同情况，因时、因人、因势设计不同的义务：在高风险时对数据控制者作出高责任要求，在一般风险和低风险时适当降低或部分免除了控制者的义务和责任，避免施加过重负担引致的过犹不及。具体而言，在高风险的场景下，数据控制者负有以下义务：（1）当计划开展一个新的涉及数据处理的业务时（例如采用新的技术），若基于该业务的性质、范围、目的或内容因素可能对数据主体产生较高的风险，应进行数据保护影响评估；（2）当数据保护影响评估表明数据处理操作包含高风险，并且依照现有的技术和成本支出，数据处理控制者不能采取适当措施降低风险的情形，数据处理控制者应当在进行数据处理前，向监管机构咨询。（3）当个人数据泄露可能导致自然人权利和自由面临高风险损害时，控制人应立即通知数据主体通报，不得不当延误，以便其采取必要的预防措施，而在一般风险的场景下，控制人仅报告监管部门即可。

当然，这种差异对待的方法也有可能损害数据主体的利益，因此GDPR特别说明：数据主体的权利在任何风险等级下是完全一致的，数据控制者基于不同风险等级而履行不同义务时均需要保障个人数据得到全面保护。这意味着即便在低风险环境中，数据控制者也应做到下述最低限度的保护义务：（1）个人数据的假名化机制和加密措施；（2）确保处理系统和服务能够持续保持自身的保密性、完整性、有效性和自我修复性；（3）在事故中及时恢复数据的有效性和访问的能力；（4）实施一项定期测试、评估、评价技术性和组织性措施有效性的程序以确保处理的安全性。

数据风险管理契合了当前风险社会中风险不可彻底消除的本质，是我国个人信息保护立法和执法的重要指引。由张新宝教授起草的《个人信息保护法》（专家建议稿）第三条便明确引入了“风险管理”理念，将之贯穿于个人信息保护工作全过程，并建构出个人信息安全风险监测、风险评估、风险监督管理和风险交流在内的全套机制，以期实现个人信息保护风险与安全保护措施之间的比例性。

四、金融机构数据保护义务的提升对数字金融的宏观影响

GDPR对金融机构施加了严格的数据保护义务，在用户个人数据权利维护的同时，也会对数字金融行业产生意料之外的后果。信用信息行业（credit information）首当其冲。

如果信用制度是金融的基础设施，信用数据就是金融的血液。在欧盟，信用调查机构（credit reference agency）的信用数据来源涵盖了金融机构、日常零售商和政府机构，其数据类型既包括借款人收入状况、贷款数量和类型、担保状况、历史还款记录、分期付款状况、公共部门个人信用记录等正面信息，也包括债务违约数据、迟延付款（逾期）数据、破产和欺诈记录、司法判决状况等负面信息。显而易见，GDPR增加了相关信息收集、使用和分享的成本。更严重的是，其删除权的设定，可能激励用户通过删除自己的负面信息，粉饰自己的信用记录，致使信用评分失真。德勤的调查显示：在曾经被拒贷的消费者中，有60%有意愿删除个人数据，而在那些未曾被拒贷的消费者中，只有20%打算删除。经济学研究早已发现，个人数据权利的提升与信用的有效利用可能此消彼长。例如，以金融隐私指数（Financial Privacy Index）为衡量指标，欧盟的个人数据保护显著强于欧盟，但美国的信贷获取比例普遍高于欧盟各成员国。另一方面，GDPR赋予了个人对数据的控制权，包括对数据共享的排他性决定权，这可能对社会总福利造成不良影响。以美国为例，针对金融数据的共享，加州存在着“选择同意”和“选择退出”两种不同的立法。实证研究显示：在2008年金融危机中，采取更严格的数据保护规则——“选择同意”的城市比采取“选择退出”的城市，有着更高的贷款违约率。

总之，个人数据权利和信用功能的并不兼容。金融机构风控能力下降导致其面临更高的信用风险，对小微企业放贷的意愿下降，普通消费者获得房屋、汽车等消费贷款的几率亦随之降低。有数据显示，GDPR可能导致欧盟消费信贷的总量下降19%，拖累GDP增速0.65个百分点，相当于造成每年830亿欧元的损失并引发140万人失业。

不仅如此，GDPR并未充分考虑未来科技发展与现有规则的兼容性。以数字金融的关键技术人工智能（AI）为例，GDPR对金融机构使用个人数据进行自动化决策严格限制。首先，当企业使用AI做出决策时，用户有权要求审查该决策，并且，该审查必须由有授权和有能力改变决定的人执行。鉴于算法模型日益复杂，需要投入的时间和专家开展人工审查的成本日益上升，最终影响对AI的投资。其次，GDPR第 13、14、15条要求企业在自动决策中提供关于自动决策过程逻辑的有意义信息，但由于算法黑箱的技术特征，这一要求难以完成。

以此观之，如何在个人数据保护和数字金融发展之间取得平衡，GDPR并没有给出一个满意的回答。在某种意义上，我们可以认为不可能有完美的方案，而只有动态均衡一途。然则，如何取舍？对于中国而言，我们将“执其两端，用其中于民”，这里的“民”就是坚持经济发展以满足人们对美好生活向往的大方向。在我国经济长期处在新常态的背景下，数字金融乃至数字经济的发展依然长路漫漫，正因如此，我们应审慎借鉴GDPR的规则，在坚持个人数据保护底线的前提下，适当促进数字金融增长才是当下我国制度选择的“中道”。

文章作者：许可系对外经贸大学法学院助理教授，数字经济与法律创新研究中心执行主任文章来源：《中国金融监管报告（2019）》中国社会科学院金融法律与金融监管研究基地是由中国社会科学院批准设立的院级非实体性研究单位，是首批国家高端智库——国家金融与发展实验室下属的研究机构，专门从事金融法律、金融监管及金融政策等领域的重要理论和实务问题研究。

网址：http://www.flr-cass.org
电话：+(86-10)5986-8205
E-mail：flr-cass@cass.org.cn