周坤琳

摘   要：当前，传统金融业依托互联网平台取得长足发展，但也为信息侵权大开方便之门。学者对互联网金融中个人信息保护不乏研究，但大多从信息主体的角度出发，或主张为信息主体赋权，或主张完善监管。赋权或监管虽能有效保护个人信息，但互联网金融中个人信息侵权事件具有侵权主体复杂性、手段隐匿性、影响扩张性的特征，加之当下互联网金融中信息控制者与处理者责义划分模糊，对信息主体的保护流于形式。鉴于此，本文建议应从事前控制风险与事后完善责任的角度出发，在界定信息利用参与者角色概念的基础上，构设义务责任机制，平衡行业发展与信息保护，寻求信息动态维度的安全。

关键词：互联网金融;信息控制者;信息处理者;法律义务和责任

DOI：10.3969/j.issn.1003-9031.2019.09.007

中图分类号：D922.28               文献标识码：A      文章编号：1003-9031（2019）09-0051-07

一、互联网金融中信息控制者与处理者概念界定及责义划分现状与困境

（一）我国立法中对信息控制者与信息处理者界定的现状与实践困境

自2012年至2019年5月，有关互联网金融和个人信息保护的立法（含行政法规）共21部，仅四部规范对信息利用主体进行界定，其中2017年实施的《中华人民共和国网络安全法》、2018年實施的《网络安全等级保护测评机构管理办法》采用网络运营者的概念，2018年的《信息安全技术个人信息安全规范》中采用信息控制者的概念、提出信息加工处理的概念，2019年《信息安全技术个人信息安全规范（意见稿）》采用个人信息控制者的概念①。

由我国的立法现状可知，当下我国对个人信息保护较全面的规范性法律文件的法律效力较低，立法的配套速度和细化度差强人意，存在上位法无据可依甚至不予认可的尴尬局面。对信息利用过程中的法律主体划分不明确，即使采用“网络运营者”的概念，即“网络的所有者、管理者和网络服务提供者”，不仅普通大众很难通过这种列举式的法律主体概念判断自己是否会构成网络运营者，且司法人员在执法时仍然需要通过解释何为网络的所有者、管理者和网络服务提供者，才能够认定某行为主体是否构成网络运营者，即通过确定下位概念来界定上位概念。互联网金融混业发展的趋势愈发明显，信息利用方式愈加复杂，在互联网金融中适用上述概念更是难以界定主体，难以有效界分法律义务追究法律责任，给信息主体维权带来制度性阻碍。

（二）信息控制者与信息处理者的研究现状及缺弊微评

学界对信息控制者与信息处理者的概念界定标准及责义划分缺乏专题式研究，大部分学者仅在研究个人信息保护问题时提出对信息利用参与者的划分，但划分的标准莫衷一是。如薛丽、刘朝（2018）将处理做为信息控制者利用个人信息的方式;杜换涛 （2018）对信息收集者、信息处理者、信息控制者的强制告知义务进行研究;郑钧、高鼎新（2018）对欧盟GDPR中关于信息控制者与信息处理者规定的义务做出解读;王昕（2018）将数据处理者作为数据控制者的上位概念，并具体阐述了处理者的义务;朱宣烨（2018）提出第三方处理者的概念，并主张建立涉及第三方信息处理者的个人信息保护制度，但文中提及的第三方处理者，部分属于信息共同控制者，部分属于信息处理者;肖冬梅、成思雯（2019）对数据控制者与数据处理者设置数据保护官的义务进行了研究;弓永钦（2019）提出数据控制者要慎重选择处理者，以保障数据主体的权利得到充分的保护，但未明确界定数据控制者与数据处理者之间责任;郑令晗（2019）从对象要素、行为要素、意思联络要素、主体类型要素解释数据控制者的概念要义，提出与数据处理者的差异在于行为要素;赵晨芳（2019）将数据控制者定义为掌握数据且有义务根据数据主体之要求删除相关个人数据的义务主体;刘迎霜（2019）将信息处理者分为个人信息的收集者、分析加工者、使用者。综观之，我国尚无信息控制者与信息处理者的专题式研究，有关联性的理论成果其视角亦有一定的局限性，现有研究探索存在以下缺弊。

1.信息立法得不到学术的自足性支撑，使得该类立法在法律体系中的缺位困境也很突出。大多对信息控制者与信息处理者的研究仅是在欧盟GDPR通过之后，集中在2018—2019年且研究深度不够，仅做简单的解读，未提出切实可行的标准，为学术和实践带来困惑。一些学者虽自己提出信息活动参与者的类化标准，但标准本身存在循环定义甚至相互冲突等逻辑问题。

2.在对互联网金融中信息控制者和信息处理者的义务划分上，没有系统化的研究，仅从GDPR提出的某个点或某种技术手段出发研究具体的某一项义务，较为松散，“补丁式”完善已不敷其用。

3.在责任界定上，相关研究因义务划分的模糊导致责任研究不透彻，部分研究在承责方式上不明确，甚至用传统的民事责任、刑事责任等相加或综合的思维来解决当下互联网金融中的信息侵权责任问题，未准确认识到传统法律逻辑与经济法的现代性之间的关系，未以开放的态度和实践的本性，探寻“问题与主义”。

4.针对互联网金融中个人信息保护，有深度和针对性的实地调研还不充分，导致有价值的具体法律保障对策研究还很缺乏。

5.一些研究注重赋予个人信息主体以权利，即使将个人信息权利化，但信息主体技术上的弱势及信息不平等性导致其行使权利面临障碍。在网络空间，信息的传播速度之快、范围之广，一旦发生信息泄露事件，即便采取事后补救措施，也难以完全消除影响。故对个人信息权利的保障仍需在了解信息利用规律及信息侵权行为的基础上，从信息控制者和处理者的义务及其责任进行研究，注重风险控制，才能给个人信息安全带来实质性的保障。

二、国外可资借鉴的数据立法及研究现状

（一）国外立法层面的研究

德国2009年生效实施的《联邦数据保护法》将控制者定义为：任何以个人名义收集、处理或使用的个人和机构，将处理定义为：对个人数据的存储、修改、转让、封锁和删除;韩国2011年生效的《个人信息保护法》把个人信息处理者定义为官方或商业目的操作个人信息档案，或直接间接处理个人信息的公共机构、法人、组织、个人等;新加坡2012年生效的《个人数据保护法》定义了处理，指对个人数据进行以下单项或组合操作：A记录、B持有、C机构，适用或变更、D检索、E组合、F传输、G删除或破坏;法国2016年实施的《邮政和电子通信法典》中规定了电子通信服务运营商或接受设施的管理者，在2016年实施的《数字共和国法案》中规定了处理的负责人;英国2017年公布的《数据保护法（草案）》区分了数据控制者与数据处理者，并具体对数据控制者、数据处理者的义务进行了规定;欧盟2018年生效实施的《一般数据保护条例》（General Data Protection Regulation，简称GDPR）区分了数据控制者和数据处理者，并将数据处理者与数据控制者同等对待，其中GDPR共48个条款涉及到数据控制者的责任与义务， 27个条款涉及到数据处理者的责任与义务。

（二）国外学术层面的研究

Robert C. Post（1898）提出隐私必须放在社群的语境中才能被充分理解，区分主体与语境，个人的合理空间或人格才具有实现的可能;Davis G B，Olson M H（1985）提出信息接受者的概念并研究其义务;Lambert，Paul（2012）针对数据控制者和数据处理者的刑事责任做出研究;Claudia Diaz，Omer Tene等（2013）提出数据处理者与服务提供者的义务和责任，但主要是针对应用商店和软件;Connolly&Caiti（2018）对GDPR中信息控制者和处理者做进一步研究;Alexe&Irina（2018）提出区分数据控制与数据处理者的义务及其责任。

国外对数据控制者和数据处理者立法、信息风险的研究都比较成熟，特别是在GDPR通过后，为各国立法提供了借鉴。这种世界性的发展趋势值得我们密切关注，但应辩证地看到，域外对个人信息（数据）保护水平较高，与其历史文化背景和法律制度有关，而我国互联网金融业发展环境、运营特点、市场成熟度与国外存在差异，个人信息权的基础立法保障严重不足。故在互联网金融消费个人信息保护的问题上，应平衡好信息适度利用与有效保护，不能作简单性模仿，机械否定，更不能全盘借用。

三、我国互联网金融业中信息控制者与信息处理者概念及责义构设

（一）信息控制者与信息处理者概念界定及责义划分之必要

1.弥补概念缺失之弊，为立法提供智力支持。信息控制者和信息处理者作为信息利用过程中的法律拟制主体，其概念构造和义务设定的立法模式，或许能为未来的个人信息保护法（或个人数据保护法）如何确定主体性概念、设定义务内容提供可鉴经验概念，也为之后对个人信息保护的研究奠定基础。

2.为行业提供实质指引。明确的指引是义务得以履行的前提，也是义务主体不履行或不适当履行时追究其责任的依据。要转变“技术中立，平台无责”的观念，信息行业应主动承担义务。整齐划一的底线义务不仅架空信息主体的权利，也为互联网金融经营者履行义务带来困扰。从信息主体权利行使的便利性及互联网金融企业的合规成本综合考量，以整体上要求加强信息安全的事前保障为要求，侧重于通过技术和制度的构建，以对信息安全的事前保障为主，尊重网络空间信息流动规律，预见性地采取各种有效手段，尽可能降低信息安全事件发生的可能性和风险，将信息控制者和信息处理者义务内容类型化。

3.为信息主体提供动态安全保障。突破现有对信息保护学术研论中宣示倡扬性的命题探索，具化对互联网金融消费者个人信息保护的责任义务主题研究，为尝试建立信息主体与信息处理者和信息控制者之间高效、便捷的个人信息纠纷处理制度提供基础，构建不同于传统救济模式的快捷有效的救济模式。使监管执法者、纠纷裁判者等能更及时地对治侵权行为，公平、公正地解决具体纠纷，避免同类案件出现不同的处理结果甚至无法可依的现象，最大程度地保障弱势群体的个人数据利益。

（二）信息处理者与信息控制者内涵界定、用语表达及性质厘定

对信息控制者与信息处理者的义务及责任的划分以其概念的界定为基础。“控制”和“处理”作为信息控制者与信息处理者组成的核心语词，在特定法律概念中表征该法的保护对象和法律关系。由概念界定可进一步分析各信息利用参与者的特征，更好地理解个人信息及其控制关系、处理关系。“控制”应指能确定信息处理的目的及方式，控制者是能决定处理活动目的的实体，决定信息处理的用途，决定收集哪些信息、谁来收集、是否有理由不通知信息主体或征求信息主体的同意，以及保存信息多长时间等。“处理”包括对个人信息的进一步加工，如二次利用。信息处理者可决定信息处理活动的每一个环节，并有义务确保信息处理活动的安全，如决定信息如何存储、互联网金融平台及机构间的个人信息转移等。

以互联网金融业中信息共享利用为例，根据2018年实施的《信息安全技术个人信息安全规范》（2019年修改）的规定，信息共享指信息控制者向其他控制者提供个人信息，且双方控制者对个人信息拥有独立控制权①。由此可知，信息共享行为仅在信息控制者之间发生，若经授权进行个人信息加工处理的内部机构或其他第三方机构对信息进行共享，则应承担信息侵权责任。除信息共享外，互聯网金融业中还涉及信息加工处理等信息用环节，在此过程中，需要根据信息主体与互联网金融经营平台的服务协议先确定信息控制者，若在后期信息控制者授权信息处理者对信息进行进一步处理，则处理者需遵循相关义务。若在授权后，信息处理者超过约定或实质上已经自己决定信息的利用方式等，则应将信息处理者划为信息控制者。当然，上述对信息控制者与信息处理者的区分标准可能在概念上不周延。在实践中存在很多信息控制者与信息处理者为同一平台的情况，则以其实际利用信息活动的情况为准。

（三）互联网金融中信息处理者与信息控制者义务划分

1.技术加制度：注重信息安全事前风险防控

义务的划分需要尊重互联网金融中信息的利用规律，同时还需要进行系统化、类型化处理，仅提出一个点或从一种技术手段出发研究具体的某一项义务，较为松散，补丁式完善不敷其用。总体而言，可将信息控制者与信息处理者的义务分为以下三种类型：一是原则性义务，如知情同意义务、收集受限义务、目的特定义务等;二是一般性义务，如信息控制者“选择同意”、进行网络安全认证、遵守服务协议等的义务;三是具体的义务，如根据信息利用活动的不同采取匿名化或假名化技术，降低信息再识别的风险。对信息控制者和信息处理者的义务是有差异的，信息控制者的约定义务主要来源于与信息主体签订的服务合同，信息处理者的约定义务主要来源于与信息控制者之间的义务。但除此之外，因信息控制者与信息处理者在各信息利用活动中的角色不同，其承担的义务也就不同，如在技术手段的选择及是否需要履行告知义务的要求不同。

互联网金融业中信息控制者和信息处理者对信息的利用风险不可避免不能消除，只能以技术和制度使信息利用处于风险可控状态。信息处理风险大小、安全保障等问题和利益仅在具体的信息处理制度中才能得到客观和科学的描述，在区分信息控制者与信息处理者义务的基础上，应明晰个人信息保护边界。通过评估机制预判信息利用目的的风险大小，再根据风险的高低采取不同的技术手段，高风险的信息处理业务（如涉及到的信息规模较大、信息性质较为敏感）则采取技术性较高的保障手段，如果在可用技术和合理成本内仍不能减轻风险，则需咨询监管机构。互联网金融业的技术能力将作为企业风险评估的一个重要指标，应在互联网金融交易和产品服务的全过程中充分体现。

2.兼顾与平衡：企业合规成本与监管效率之考量

信息是互联网金融发展的内驱力，保护信息是企业的合规要求，也是其内在的自主需求，在构建信息保护机制时应充分考虑发挥企业的自主能动性，加强监管部门与产业的合作治理精神。同时，互联网金融业中信息控制者和信息处理者仅承担各自的义务，若企业已经尽到规定的义务仍发生安全事件，则可成为减轻或免除法律责任的事由，减轻企业的成本。对义务的划分除减少监管机关解读、适用信息保护相关规范的不确定性外，还应增强监管制度的可行性，如对信息控制者与信息处理者是否履行义务的判定，相比较传统侵权行为中损害难以确定导致维权难的问题，监管机关在具体义务的基础上，通过可量化的方式进行，如技术能力采取“程度性”量化，用数据质量评价函数来度量脱敏后的数据。

（四）互联网金融中信息处理者与信息控制者责任构设初探

责任是义务人履行义务的推动力，因不履行义务而导致信息安全事件的发生，则义务主体应承担责任。责任承担的概率与相关法律规定的义务多少有关，且经济法上的责任为“角色责任”，信息控制者与信息处理者的承责原因、承责方式等存在差异性。互联网金融经营者侵犯个人信息责任的承担，即非民事、刑事、行政责任的简单相加，也非简单的责任综合。在德国《联邦数据保护法》中，对侵犯个人数据的行为人，需要承担行政责任，严重的需要负刑事责任。在我国，应基于互联网金融规制规则与传统法律的差异认识， 从互联网经济与经济法的实践中去探寻特有的“问题与主义”，更关注对互联网金融经营者处罚的有效性及警示作用。除民事、刑事及行政责任外，对违法的互联网金融经营者，监管机关根据信息安全事件的影响大小，可进行通告，有权的监管机构还可吊销牌照，采取警告、罚款、信誉减值等处罚措施。

在信息控制者和信息处理者具体的责任配置中，首先，信息控制者和信息处理者都需要先看信息处理行为的类型，如加工处理行为、共享行为及其他信息利用活动是否违反与金融消费者所签订的协议，在纠纷发生时应对该协议做出有利于消费者的倾向性解释，同时应注重分配举证责任，避免互联网金融消费者因举证责任过重、举证不能而放弃司法救济;其次，应明确责任承担的主体，信息处理活动主要的责任承担主体是违法加工处理个人信息的信息处理者，仅信息控制者有权进行的信息活动，则由信息控制者、共同信息控制者（联合信息控制者）、信息接收方等承担责任;最后，责任的承担方式因信息处理者与信息控制者角色不同而有差异的，大多情况下，信息处理者的侵权可能承担合同责任，信息控制者侵权承担可能承担连带责任、最终责任，若信息处理者超出授权范围起到决定信息利用方式等情况，则信息处理者应以信息控制者论。在厘清责任机制的基础上，信息主体可就近向信息控制者或信息处理者提出异议及申诉。若进一步研究，可尝试建立信息主体与信息处理者与信息控制者之间高效、便捷的个人信息纠纷处理制度，构建不同于传统救济模式的快捷有效的救济模式，建立线上纠纷解决方案，畅通互联网金融消费者维权渠道。

四、结语

互联网金融市场的发展与信息有着天然紧密的联系，在互联网金融行业的发展中也逐步形成了信息控制者与信息处理者的实质分工。本文尝试在提出互联网金融中信息控制者与信息处理者的法律区分的基础上，关注主体资格与义务责任，在尊重互联网金融消费者个人信息权与便利互联网金融经营者的基础上探索建立信息控制者与信息处理者的承责机制，旨在为监管者提供路径参考的同时，为互联网金融经营者内部控制提供合规化的指引。同时以对信息安全的事前保障为主，尊重网络空间信息流动规律，预见性地采取各种有效手段，尽可能降低信息安全事件发生的可能性和风险，最终达到平衡好互联网金融业中个人信息的适度利用与有效监管、强化信息安全风险的事前防控、寻求个人信息动态维度上安全的多重法治目标。

（特约编辑：潘文娣）

参考文献：

[1]京东法律研究院.欧盟《一般数据保护条例》GDPR（汉英对照）[M].北京：法律出版社，2018：174-265.

[2]乌尔里希·贝克.风险社会：新的现代性之路[M].张文杰，何博闻译.江苏：译林出版社，2018：16.

[3]何颖.数据共享背景下的金融隐私保护[J].东南大学学报（哲学社会科学版），2017（1）：85-91.

[4]周倩伊，王亞民，王闯.基于互联网大数据的脱敏分析技术研究[J].数据分析与知识发现，2018，2（2）：58-63.

[5]张守文.经济法理论的重构[M].北京：人民出版社，2004：431.

[6]李爱君，苏桂梅.国际数据保护规则要览[M].北京：法律出版社，2018：41-43.

[7]应飞虎.问题及其主义——经济法学研究非传统性之探析[J].法律科学（西北政法学院学报），2007（2）：86-94.