黄文超

摘   要：个人金融数据的价值在于共享、流通、分析研判，是构建金融信用风险防范体系的基础性资源。个人金融数据的权属不清、数据流通法律规制不健全造成个人金融数据流通壁垒。个人对金融数据的权利绝对化以及金融机构对投入较大成本而控制管理的个人金融数据权利弱化，亦是加剧阻碍个人金融数据流通的重要原因。就個人而言，因个人金融数据具有信用评价功能，可精准描绘个人信用“画像”（profile），并具有社会价值、资产价值、流通价值等关乎社会公共利益的价值属性，不宜将个人金融数据权利私人化、绝对权化，个人金融数据存在个人对金融信息的防御性法益，在法益遭受侵害时可行使删除、更正、赔偿等权利。就金融机构而言，金融机构基于服务目的、数据安全考量而对个人金融数据事实控制，应得到法律的确认并进一步配置金融机构享有占有、使用、收益等财产性权利。打破金融机构行为规范模式的枷锁，采用赋权模式可更周全保护个人金融数据安全利用和有序流通，此种赋权模式具有理论基础、功能价值和现实需求。

关键词：个人金融数据;金融信用;数据权益配置;数据财产权

中图分类号：F832.39  文献标识码：B  文章编号：1674-2265（2021）12-0084-07

DOI：10.19647/j.cnki.37-1462/f.2021.12.011

一、问题的提出

随着金融产业数字化的高速发展，金融机构服务中沉积大量个人金融数据（本文信息与数据同等概念）、企业经营数据。但个人金融数据权属不清、数据流通规范不健全导致个人金融数据流通阻滞，用于信用风险评估的金融数据常常存在大量的缺失值，加之信息成本、壁垒、法规的限制，互联网消费金融机构并不总能够有效获取完整的信贷申请者信息，使信用风险评估偏离实际水平，从而造成信贷的损失、资源的错配（朱建平等，2020）[1]。这直接体现在人民法院审理的金融借款合同纠纷逐年上升。

金融机构已由金融电子化和金融信息化向移动化、网络化、数据化、智能化迈进（许可和尹振涛，2019）[2]。个人金融数据的共享流通、深度利用正在改变金融市场格局。金融机构亟须打破个人金融数据流通壁垒，让个人金融数据在行业之间安全有序流通，建立基于个人金融信息分析研判为中心的金融信用风险防控体系，有效降低金融机构服务成本和服务风险，促进金融机构服务精准化、高效化，并激发金融数据潜在的商业价值。

个人金融数据是个人数据的子项，个人数据来源于个人，是个人身份形象、社会地位、资产状况、隐私信息等重要可识别特定主体的精准“画像”（profile）。个人对个人数据享有法益还是权利，存在理论争议。有学者认为应该赋予个人对数据的财产权说①、用益物权说②、企业数据资产权说③，也有学者认为个人数据具有社会性和公共性，不宜赋予个人对数据支配性权利，防止出现个人数据社会化利用不足④。由于法律秩序在个人数据权属的失灵，理论上存有争议，导致个人金融数据亦存在权属不清、界限不明、利用不足、保护不周延等问题。理论中，个人金融数据权益配置研究方向鲜有探索，多数学者从个人金融数据的监管、共享、跨境传输等角度来研究个人金融数据的利用及金融机构如何面对监管与合规，但都绕不开一个关键问题：个人金融数据的个人、机构、社会公众的权益配置问题，只有将个人金融数据的底层逻辑性问题梳理清楚，个人金融数据保护和利用才可“师出有名”。实践中，个人金融数据的保护问题已经迫在眉睫，是采取行为规范模式来规制金融机构的法律行为用以保护个人权益，还是采取赋权模式赋予金融机构一定财产性权利来保护与利用个人金融数据亦存在理论上的争议。从合理利用个人金融数据、正视个人金融数据现实管控现状、合规建立金融信用风险防范体系等角度出发，本文认为个人对个人金融数据仅享有法益，此法益非所有权或支配权，仅在个人信息遭受侵害时触发法律保护机制，方可寻求《民法典》第1037条的法律保护⑤;金融机构对其实际控制管理的个人金融数据享有财产性权利，可根据合同目的或法定目的使用服务过程中收集的各类个人金融数据;监管部门可出于增强社会治理能力、维护社会公共利益以及保障国家重大决策的目的，分析、利用一定范围的个人金融数据。由此，构成了个人金融数据多元化权益配置体系和社会化利用规则的理论基础。

二、个人金融数据的功能价值

（一）个人金融数据的可识别性

金融数据依据数据是否可识别到特定主体，分为个人金融信息和金融机构数据。其中，个人金融信息是可识别到特定主体的数据，是重要、敏感的个人信息。个人金融信息来源于两部分：一部分是数据主体为接受金融服务，主动向金融机构提供的个人相关信息，包括自然人姓名、住址、身份证号码、财产状况、工作状况、家庭主要成员等信息;另一部分来源于金融机构在提供金融服务时形成的个人交易记录、个人资产变动等信息，该信息具有间接识别性，需要结合其他识别符共同识别特定主体。总体来说，个人金融数据是金融机构在金融服务过程中形成的信息集合，具有识别特定主体的功能价值，是重要敏感的个人信息。

（二）个人金融信息聚合化的价值提升

个人信息自古有之，自然人出生后的姓名、出生地、性别、籍贯、求学过程、工作履历、财产状况、婚姻及子女状况等信息要素，构成“社会身份”的识别符号，散落在不同的档案记录中或人脑记忆中。彼时，尚未有个人信息保护之法律探讨，为何今日成为热点问题？究其原因是离散的个人信息不能产生对特定主体的影响，甚至对他人或社会无特殊作用或价值。随着科学技术、信息化手段不断增强，与个人相关的信息不断汇聚融合并形成信息集合，当关于自然人的信息集合足够多、样本足够丰富，就具有了分析研判目标群体的意识趋势和行为趋势的能力，信息集合即具有一定的市场价值，此过程即是信息聚合化的价值提升。在金融数据领域，金融机构在服务过程中将碎片化的个人信息收集、存储、加工形成一定量级的集合，对个人的消费需求、金融交易记录、信用等级进行分析研判，制定个性化的营销方案，精准化、差别化开展金融服务，减少金融机构运营成本，提升服务质量。

（三）“数据劳动”生产个人金融数据的社会价值

社会价值亦称“市场价值”，是“个别价值”的对称。由社会必要劳动时间决定的社会价值是商品价格的基础。个人金融数据的社会价值离不开金融机构的“数据劳动”，金融机构为更好提供金融服务而收集、存储、加工、分析及利用海量非结构化的个人信息，将具有“个别价值”的信息转化为具有“社會价值”的个人金融数据集合，使原本零散的个人金融信息变成生产要素。在此过程中，金融机构需不断投入人力、物力开展信息化和信息安全的基础设施建设，将数据主体提供的数据与金融机构通过服务流程收集、控制的数据进行结构化处理、智能化分析，最终形成可以利用的数据集合。金融机构的“数据劳动”作用于个人金融数据形成了具有流通价值、交易价值、分析价值、评价价值的个人金融数据集合。

（四）个人金融数据集合的资产属性

个人金融数据在助力金融机构提升服务质量和效率的同时，赋予金融机构降低风险的能力。因此，个人金融数据已然成为重要的数据资产，具有经济价值，在为金融机构本身带来价值的同时，也为金融机构之间数据流通、共享及金融信用风险分析研判提供基础性资源。（1）从金融机构管理角度分析，个人金融数据是金融机构服务市场的衍生品。随着金融市场不断扩大、金融风险不断复杂，此种衍生品正逐步起到关键作用。金融大数据分析产生的决策反作用于金融机构内部运营管理，其已然成为金融机构做出重大决策的重要依据。（2）从金融资源合理配置角度分析，金融机构有限的货币资源应该配置给最适合的对象，控制金融信用风险在适度范围是优化营商环境和保障国家金融秩序良性发展的底线。金融机构通过对个人资产情况、履约情况、交易记录等一系列个人金融数据的分析研判，寻找最优的金融资源需求方，并配置风险可控的金融资源，在金融机构与个人之间达成资源配置最优状态。

三、金融数据上的个人权益

个人金融数据可识别到特定主体，与个人有天然的联系，个人对金融数据享有何种权益，关乎个人金融数据的流动性与安全性。个人对个人金融数据享有法益还是权利，理论上存在争议。邢会强（2021）[3]认为，个人金融信息中的个人身份信息和个人财产信息由于是客户自己整理、提交的，因此，其财产权益完全归属个人。程啸（2018）[4]认为自然人对个人数据的权利并非物权等可以积极利用的绝对权，只有在该权利被侵害而导致其他民事权利被侵害时，才能得到侵权法的保护。高富平（2019）[5]则认为，个人信息保护本质上还是法益保护，而不是赋予个人对个人信息享有某种权利来实现保护。综合以上观点，笔者认为，数据主体享有对个人金融数据的法益保护，而非赋予数据主体所有权或支配权。

（一）法益保护模式与赋权保护模式的比较

“法益”一词由德国学者Michadl Bimbaum等人于1830年左右引入刑法领域。法益的定义有两种：一种宽泛地将法益视为法律所保护的利益，强调利益的法律保护特征，以张明楷、梁慧星等人为代表;另一种狭义地界定法益具备间接保护、消极承认、反射性的特征，史尚宽、洪逊欣、张弛、韩强等学者持有此种观点（李岩，2008）[6]。前者的宽泛理解包括狭义的法益与权利，两者易产生混淆;后者概念模糊，特征不易理解。龙卫球（2002）[7]给出“法益”定义，利用排除法清晰说明了权利与法益的关系，即“权利仅限于指称名义上被称为权利者，属于广义法益的核心部分，其余民法上的利益均称其他法益”。综上观点，利益是法益和权利的初始形态，利益受到法律所保护而上升为法益，当法益被定型化后上升为权利（张俊浩，2000）[8]。所以法益本质上是一种利益，是具有法律可保护性和法律属性的利益。张明楷（2000）[9]认为法益必须是在现实中可能受到事实上侵害威胁的利益，如果不可能遭受侵害或者威胁，也就没有保护的必要。因此，法益具有被动性，一旦侵害不存在，法益亦无存在必要，即法益仅仅能在损害发生后，有请求赔偿的主张（李岩，2008）[6]。

赋权模式是对个人赋予排他性、支配性权利，而在个人金融信息领域存在适用障碍。首先，个人信息具有无形性、非排他性的特点。个人信息可同时存储在多种介质中，适用于多种场合，在社会交往中个人信息散落在多种场景，个人无法准确掌握个人信息被他人利用到何种程度、何种场景，存在一定控制盲区，无法做到像有形财产或知识产权一样的绝对支配力，无法理想化地认为信息被个人所掌控和支配。其次，个人信息保护的赋权模式，会造成个人信息社会化利用受阻，“反公地悲剧”现象日益严重。赋予个人对个人信息的所有权或支配权，对个人信息的使用就需得到个人的授权或许可，严重影响社会正常运行，增加社会运行成本，阻碍大数据红利的进一步释放。最后，赋权模式的权利边界无法界定。个人信息种类涵盖范围广，适用场景多，权利和义务的边界尚未达成社会普遍共识;法律亦无法脱离社会共识和交易习惯，对个人赋予个人信息支配性权利。赋予个人金融信息所有权，势必造成金融机构欲共享、流通个人金融信息需取得个人的授权或支付对价，徒增金融机构服务成本，最终将增加的成本转嫁到消费者自身。此外，实践中使用个人信息需支付合理对价，定价过程中存在道德和技术障碍，且个人信息的定价势必增加了个人信息贩卖可能，有损个人信息安全，助长针对个人信息诈骗的犯罪活动。同时，个人信息定价不具有可行性、操作性，违反人生而平等的基本人权理念，比如明星的出行信息和普通百姓的出行信息的售价存在天壤之别。

（二）个人在金融信息处理中的防御性法益

我国《个人信息保护法》将个人信息处理行为作为规范对象⑥，而非赋予个人对个人信息的绝对性、支配性权利。《个人信息保护法》是个人信息处理中个人主体权益保护的基本法，它规范个人信息处理行为，通过个人信息处理关系的权利和义务配置，实现在保护主体权利前提下的个人信息流动使用（高富平，2021）[10]，而非保护“静态”的个人信息。在处理个人信息时应遵循合法、正当、必要原则，在《个人信息保护法》将知情同意作为合法性基础之一的情况下，金融机构亦可在订立或者履行个人作为一方当事人的合同所必需使用个人信息时，无须得到个人的同意。因此，金融机构基于个人同意或合同目的控制、管理、处理个人数据具有合法性和正当性。例如，个人申请贷款时提交的个人信息，金融机构有权根据发放贷款、信用风险分析、收取本金和利息、催收、诉讼等合同约定目的，直接使用个人信息。

个人在个人金融信息处理中具有消极、防御性的法益，即防范个人信息被不正当处理（使用）而侵犯个人（主体）尊严和自由的权利。防御性法益包括信息处理前的知晓同意，信息处理中的更正、删除、撤回，信息处理后对不法行为的救济。

（三）个人金融信息的法益保护要件和保护义务

个人金融信息主体主张请求权需满足两个要件，即一般要件和特殊要件。一般要件是指个人信息主体的人格权益因信息处理正受侵害或有受侵害之虞，特殊要件是指违反涉及个人信息处理中个人权益保护的具体法律的规定（高富平和李群涛，2021）[11]。

个人金融信息处理中对不法的救济保护除了数据主体行使“惰性”请求之外，还需配置金融机构的严格保护义务、金融数据系统平台的设计者保护义务和监督管理部门的监督保护义务。金融机构作为个人金融信息的直接保护者、受益者，需要利用自身技术能力和手段严格保护个人金融数据安全，在国家信息安全监督管理部门的监督下落实个人金融信息保护要求。金融数据系统平台的设计者也应该从底层代码、算法逻辑角度，研发符合个人金融信息保护、利用、流通的系统平台，欧盟制定的《统一数据保护条例》（GDPR）将“通过设计保护数据”（data protection by design）作为指导原则，其核心思想是隐私保护并不仅仅是事后的法律救济，更需要将隐私保护的理念贯穿在产品开发设计的始终，确保信息控制者和处理者以及产品开发者践行数据保护义务，使产品在设计之初将用户数据安全和隐私保护最大化（周汉华，2018）[12]。数据主体在数据安全保护、监督、管理中处于弱势地位，亟须国家数据安全保护监督管理部门实施监督管理权能：一方面，与国外、国际的相关数据保护机构开展对话与合作，行使我国数据保护与流通的世界话语权;另一方面，监督、指导、管理国内数据企业依法合规利用个人信息。

（四）个人信息法益保护的立法实践

我国《民法典》第111条和1034条载明“自然人的个人信息受法律保护”。根据上述法益和权利的定义、区分、特征来分析，立法机关将个人信息设定为法益保护范畴，尚未上升为权利。从域外立法角度分析，欧盟《统一数据保护条例》（GDPR）将个人信息作为公民的基本权利，个人数据保护权是公民防范数据处理行为侵犯个人尊严的一组防御性权利，使数据主体在一定情形和条件下可以对个人数据处理全过程进行控制或干预（高富平，2020）[13]。个人信息保护法并非旨在保护一种作为民事权利的“个人信息自决权”，正如德国部分学者正确地指出的，个人信息保护法应被视为针对个人信息自动化处理方式给个人人格或财产带来之加害危险的事先防御机制（杨芳，2015）[14]。从域内外的立法分析，个人信息的法益保护已经成为普遍共识，较好地平衡了个人信息保护和流通之间的关系，在个人金融数据方面具有指引作用。

四、合理配置金融机构的金融数据财产权

随着金融数据规模和价值不断增加，个人金融数据上存在多元权益，合理安排数据主体、金融机构的权益配置是关键问题。在收集限制原则、目的特定化原则⑦的双重压力下，金融机构利用个人金融数据仍是如履薄冰，亟须在法律、行政法规方面为金融机构“松绑”，赋予其对个人金融数据的财产性权利，方可在金融机构之间完成数据流通、共享，激活个人金融数据潜在价值，服务国家金融体系健康发展。

在金融机构行使金融数据财产性权利时，个人的防御性法益起到监督、抑制金融机构对个人人格尊严、自由及财产性利益等权益不法侵害的作用。一旦金融机构违反处理行为的规范而侵犯个人权益，个人有权利行使救济手段。个人的防御性法益与金融机构财产性权利分别设置，各自功能独立又相互制约。

（一）个人金融数据资产向权利化的进阶

数据资产权利化是将经过定义、脱敏或描述过的数据“写入”大数据控制人所掌控或享有使用权的记录载体，是大数据“进化”为交易标的的过程，也是单纯作为信息载体的数据转化为具有法律意义的数据的过程（王玉林和高富平，2016）[15]。数据资产转向数据权利需解决合理赋权、利益衡量的问题。

1. 基于数据的流通与利用为目的而赋权。个人金融数据源于数据主体提供和金融机构运营沉积，是由金融机构管理和维护的数据集合，此数据集合是金融机构重要资源已成现实。即使不赋予金融机构财产权利，事实上仍由金融机构控制和利用，并未对金融机构造成较大影响。问题在于金融机构是否有权对个人金融数据进行共享、流通、交易，这才是赋权的本质内涵。数据的价值在于流通、社会化利用，个人金融数据对金融业或其他行业来讲具有提升服務能力，分析消费习惯，更好为消费者提供优质服务的益处。

2. 基于构建信用风险防控体系为目的而赋权。金融信用体系是社会信用体系建设的重要部分，其基础性资源就是个人金融数据。对个人金融数据的分析、研判是金融机构、监管部门对抗金融风险最有效的手段。基于信用风险防控目的，为金融机构赋予财产权，使金融机构具有占有、使用、收益个人金融数据的财产权能;允许金融机构在法律框架下，共享个人金融数据;逐渐在社会信用体系中建立信用积分或评级制度，对信用较高人员进行激励、对信用较低人员进行限制，如在行政管理和公共服务中允许信用较高人员享有“绿色通道”、容缺受理、程序简化等便利服务措施。

3. 基于事实上的管理控制为目的而赋权。数据流通本质是基于对数据的合法控制，数据控制者不仅可以自己使用，而且也可以许可他人使用，只要这种许可使用不侵犯他人权利，也未违反禁止性的法律规定（高富平，2019）[16]。一旦法律承认数据控制者对数据的控制上升为一种财产权利，有利于激发数据控制者对数据开发利用和保护的动力，打开数据“潘多拉魔盒”，释放出数据的巨大价值。

从民法的占有理论角度分析，金融机构具有占有个人金融数据的“体素”和“心素”，符合萨维尼占有理论（萨维尼，2007）[17]。“体素”方面，金融机构基于法律规范和事实控制、管理个人金融数据，符合事实与规范的二重性（车浩，2014）[18]。“心素”方面，金融机构具有搜集、加工、管理、分析、利用个人金融数据的意图。从控制的目的和意愿角度出发，金融机构出于提升服务和管理能力等目的，利用自身的技术能力实时管理控制个人金融数据更具合理性、科学性，符合市场化规律。因此，个人金融数据完全由金融机构控制，且大部分数据由金融机构依据运营服务所产生，即应将财产权利赋予金融机构，由金融机构在实际控制的前提下，合理使用个人金融数据，发挥个人金融数据最大效能。

（二）数据保护机构监督下的个人金融数据流通模式

个人金融数据包含重要敏感信息和私密信息，可直接或间接识别特定主体，一旦个人金融数据泄露或非法跨境传输将会严重影响个人财产安全、社会安定和国家主权安全。《信息安全技术个人信息安全规范》规定个人金融信息属于个人敏感信息，收集个人敏感信息时应该遵循严格要求（邢会强，2021）[3]。因此，金融机构应在数据保护机构的严格监督下，建立高级别安全防护体系和安全管理体系，包括建立内部员工分级查阅信息权限配置，防止个人数据的内部泄露;对个人金融数据的收集、存储、管理、利用的技术方案和安全防范措施需进行风险评估。

个人金融数据流通还需建立统一、规范、安全的数据流通平台，此平台建立模式有二：一是由金融行业自行搭建个人金融数据流通平台，金融机构按照统一标准相互共享、流通个人金融数据，由于金融机构有强烈控制个人金融数据以维护自身利益的意愿，此种做法存在监管失位、非强制性、机构利益本位的弊端。二是由金融监管机构建立个人金融数据流通平台，金融机构按照数据共享标准上传个人金融数据，此种做法是国际上较常用的做法，我国人民银行征信系统即采用此种模式，但此种模式存在对监管机构的技术能力要求高、管理主体单一化、智能分析利用数据的市场活力不足等缺点。目前我国还处于个人金融数据收集、利用、流通的初级阶段，有必要深入借鉴数据保护和个人金融数据流通较为发达的欧盟体系，以更加精细、规范、高效的形式完成个人金融数据的流通管理，从粗放式转变为精细化的个人金融数据保护和流通模式。《欧洲市场基础设施条例》《金融市场基础设施指令》等金融基础设施监管领域的规范，规定了金融数据监管报告义务与金融数据标准化要求：一方面，要求监管机构开发数据管理系统，提高接收和处理金融业交付大量数据的能力;另一方面，要求被监管机构收集和传输更多的数据，自上而下引发新一轮金融科技周期（杨帆，2019）[19]。欧盟模式对我国个人金融数据的监管与流通规则起到示范作用：一要增强金融数据监管部门的处理能力，包括个人金融数据分级分类管理能力、人工智能分析能力，改变中国人民银行征信系统仅为“数据存储与固定模式展示”的功能单一性。将中国人民银行收集、控制、管理的数据进行分级分类，初步分析处理个人金融数据集合，供金融机构初步决策使用，金融机构亦可自行根据服务目的，在可使用数据级别项下利用数据“共享池”;二要强化个人金融数据多元化收集、标准化收集的能力，改变中国人民银行征信系统的个人金融数据来源单一、非标准化数据收集不足问题。信息集合越丰富、来源越广泛，数据“画像”更贴合个人的真实状况，有利于金融机构穿透层层面纱，了解真实财产状况、款项用途、信用情况等重要评估信息。与此同时，从金融秩序治理和金融风险防范角度出发，个人金融数据在金融机构和监管部门之间流通，有助于监管部门监督金融机构运营、保护个人金融数据安全。监管机构也可分析个人金融数据“共享池”研判国家金融市场的健康状况，在经济下行前做出适当预判和调控。

五、小结与《个人信息保护法》实施后的建议

个人金融数据是关于个人和金融机构共同利益的重要数据，存在多元权益。个人金融数据由金融机构收集、存储、管理、利用，是金融机构的重要资源，同时，个人金融数据也关乎信用体系建立和国家金融体系建设，涉及社会和公众利益。在大数据和人工智能分析的技术手段下，个人金融数据的开放利用一定程度上决定着金融信用防控体系和金融市场的服务升级。在金融机构沉积下来的个人金融数据实现从控制到赋权，需要立法机关正视事实控制的价值，赋予金融机构财产性权利，以实现个人金融数据的开放和共享利用。在《个人信息保护法》实施后，建议针对特殊的个人金融数据、医疗健康数据、交通数据等社会公共利益属性较强的重要敏感数据，主动赋予数据控制者财产性权利，实现数据保护力度和数据利用最大化，利用市场规律激发数据控制者保护和利用数据的潜能。建立以《个人信息保护法》为总则性法律规范，以金融、交通、医疗等特殊数据的保护、流通、利用为规范目的的特别法，共同构成个人信息保护的法律体系，通过赋权模式代替行为规范模式，划定数据控制者权利与义务的边界，充分保障特殊数据流通权利。在个人金融数据流通与保护方面，增加数据“守护人”制度，除了在数据控制者或处理者之间配置数据权利、义務与责任外，对数据存储、流通的载体——数据平台的设计制作者附加责任与义务，从底层算法角度规制个人数据的流通安全，保障技术环境、运营环境的算法正义。

注：

①齐爱民（2015）[20]认为数据财产权是权利人直接支配特定的数据财产并排除他人干涉的权利，其权能包括数据财产权人对数据财产享有的占有、使用、收益、处分的权利。

②申卫星（2020）[21]综合物权法和知识产权法，借助“自物权—他物权”和“著作权—邻接权”的权能分割思想，设定数据原发者拥有数据所有权与数据处理者拥有数据用益权的二元权利结构。

③龙卫球（2017）[22]引入了公法的财产权，建议赋予数据从业者数据经营权和数据资产权，前者系具有专向性、排他性的经营权，后者系对数据的占有、使用、收益和处分权。

④高富平（2018）[23]认为传统的个人信息个人控制理论建立在个人主义观念下，忽视了个人信息的社会性、公共性，不仅不能全面反映个人信息的法律属性，而且不能适应大数据时代个人信息利用的新环境和新方式。

⑤《中华人民共和国民法典》第1037条：自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

⑥信息处理包括信息的收集、分类、加工、存储、共享、交易、分析等行为。

⑦收集限制原则是指个人数据的收集应受到限制，获得数据的手段必须合法和公平，情形允许时应经数据主体知晓或同意。目的特定化原则是指个人数据收集的目的应当在收集时确定，随后的使用限制在实现该目的的必要范围内。

参考文献：

[1]朱建平，郑陈璐，方匡南.缺失数据下的两阶段信用评分模型——基于互联网消费金融数据的研究 [J].数理统计与管理，2020，（12）.

[2]许可，尹振涛.金融数据开放流通共享 [J].中国金融，2019，（4）.

[3]邢会强.大数据时代个人金融信息的保护与利用[J].东方法学，2021，（1）.

[4]程啸.论大数据时代的个人数据权利 [J].中国社会科学，2018，（3）.

[5]高富平.论个人信息保护的目的——以个人信息保护法益区分为核心 [J].法商研究，2019，（1）.

[6]李岩.民事法益的界定 [J].当代法学，2008，（3）.

[7]龙卫球.民法总论 [M].中国法制出版社，2002年.

[8]张俊浩.民法学原理 [M].中国政法大学出版社，2000年.

[9]张明楷.法益初论[M].中国政法大学出版社，2000：163.

[10]高富平.个人信息处理：我国个人信息保护法的规范对象 [J].法商研究，2021，（2）.

[11]高富平，李群涛.个人信息主体权利的性质和行使规范——《民法典》第1037条的解释论展开 [J].上海政法学院学报法学，2020，（6）.

[12]周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向 [J].法学研究，2018，（2）.

[13]高富平.论医疗数据权利配置——医疗数据开放利用法律框架 [J].现代法学，2020，（4）.

[14]杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体 [J].比较法学研究，2015，（6）.

[15]王玉林，高富平.大数据的财产属性研究 [J].图书与情报，2016，（1）.

[16]高富平.数据流通理论——数据资源权利配置的基础 [J].中外法学，2019，（6）.

[17]弗里德里希·卡尔·冯·萨维尼著，朱虎，刘智慧译.论占有 [M].法律出版社，2007年.

[18]车浩.占有概念的二重性：事实与规范 [J].中外法学，2014，（5）.

[19]杨帆.金融监管中的数据共享机制研究 [J].金融监管研究，2019，（10）.

[20]齐爱民.数据权、数据主权的确立与大数据保护的基本原则 [J].苏州大学学报 （ 哲学社會科学版 ），2015，（1）.

[21]申卫星.论数据用益权 [J].中国社会科学，2020 ，（11）.

[22]龙卫球.数据新型财产权构建及其体系研究 [J].政法论坛，2017，（4）.

[23]高富平.个人信息保护：从个人控制到社会控制[J].法学研究，2018，（3）.