摘要： 新发展环境使金融机构的潜在客群数量激增，对金融数据进行挖掘已经成为金融机构朝普惠金融方向发展的必然举措。伴随金融数据价值的提高，保护金融客户的金融隐私权日益成为金融机构安全保障义务的新内容。在数据挖掘冲击金融隐私权的困境中，金融机构急于在数据挖掘与保护金融隐私之间寻求平衡，以实现对金融数据的有效利用。为实现金融机构的安全保障义务与数据挖掘权的平衡，可在将金融数据定性为财产性权益的基础上，将通知金融客户作为金融机构开展挖掘行为的前置条件，以脱敏规制作为数据挖掘的程度标准，并在金融客户主张挖掘行为侵犯其金融隐私权时，采取举证责任倒置和惩罚性赔偿机制，综合规制金融机构的数据挖掘行为。

关键词：数据挖掘权;脱敏标准;通知追偿制度;举证责任倒置;惩罚性赔偿

中图分类号：D913     文献标志码：A      文章编号：1672-0768（2022）02-0035-07

一、问题的提出

在大数据时代普惠金融理念下，金融机构正面临着前所未有的机遇，一方面，金融技术快速发展，金融机构的服务水平迅速提高，尤其是在普惠金融理念下，金融机构的潜在客群数量激增，伴随金融行业市场规模的扩张，为每一位金融客户提供满足其要求的金融产品，已经成为金融机构发展的终极目标;另一方面，金融机构数据挖掘的合理性被广泛承认，以美国为代表的个别国家甚至鼓励金融机构对其掌握的金融数据进行分析与利用，以促进金融机构终极目标的实现和金融行业的进一步发展。与此同时，金融机构也正面临一个难题，伴随其掌握的金融数据规模的扩大，金融数据的保护也日益引起社会各界的关注。各国在承认金融机构享有数据挖掘权的同时，也纷纷认可金融客户对金融机构在提供金融服务过程中收集的金融数据享有金融隐私权，金融机构对其负有保护义务。在金融机构为求发展急需进行数据挖掘和为保护金融隐私权禁止数据挖掘的大背景下，金融机构的数据挖掘与金融隐私权保护的矛盾已经显现，尤其在《民法典》颁布后，这一矛盾更为突出。按照《民法典》第1  034条和1  035条的规定，金融数据属于金融客户的个人信息，金融机构只有在合法、正当、必要的前提下才能进行数据挖掘，并且不可过度挖掘。现阶段金融机构是否享有数据挖掘权，以及其何种挖掘行为才属于合法、正当、必要且不过度？如何在两种利益的权衡中探索金融机构的安全保障义务与数据挖掘权间的平衡？两大问题已经成为《民法典》时代下我国金融行业发展中迫切需要回答的问题。

二、金融机构数据挖掘的合理性

金融机构的数据挖掘是依靠现代计算机技术而逐步发展起来的一项经营辅助措施。数据挖掘（Data  Mining），又译为资料探勘、数据采矿，是一种透过数理模式来分析企业内储存的大量资料，以找出不同的客户或市场划分，分析出消费者喜好和行为的方法。数据挖掘使金融机构更有针对性地向客户提供适合的金融服务，利于金融机构分析金融市场交易规律和安全隐患，及时发现金融异常交易，尤其在挖掘金融客户的历史交易信息中，可以根据客户交易的风险定价和动态违约概率生成客户交易等级，降低金融交易的道德风险和逆向选择。

虽然数据挖掘对于金融机构、金融市场甚至金融客户均具有重要意义，但是由于金融数据毕竟与金融客户高度相关，金融机构对金融数据的挖掘和使用，总是陷入对金融隐私权侵权的争论之中。一般认为，金融隐私权是指金融客户对与其信用或交易相关的信息所享有的控制支配权，它是一种兼具人格性和财产性，且财产性日益突出的新型民事权利，其包括客户自主支配上述信息的权利，自主决定是否允许第三人知悉并利用该信息的权利，以及当上述信息被不当泄露和被非法使用时，寻求司法救济的权利[ 1 ]。从这一角度而言，似乎金融机构本不应该享有数据挖掘权，因为数据挖掘本身即为侵权行为。其实金融客户对金融数据享有金融隐私权并不具有否定金融机构数据挖掘权的效力，之所以叫做金融隐私权而非直接称为隐私权的原因之一就在于，金融客户的金融数据不同于自然人的一般个人信息，金融数据并非独属于金融客户，除客户基本身份信息外，金融数据也包含金融机构和客户在金融交易过程中生成的数据，其是双方协作的结果，并非单方固有，金融数据是交易进行不可或缺的载体[ 2 ]。由此便可以推出，金融机构可以对其掌握的金融数据进行合理的挖掘和利用，当然这种挖掘也有利于金融客户接受更优质的金融服务，因此数据挖掘也具有必要性。就如同公众人物的隐私权受到限制，金融客户对于金融机构的数据挖掘也应承担容忍义务。

三、金融机构安全保障义务的发展

（一）金融机构消费者保护理念的新内涵

金融机构的消费者保护理念发展较早，负责任金融理念可以视为较早且完备的消费者保护理念。美国负责任金融理念根源于其对次贷危机的反思，危机发生前，美国的金融行业高度发达，保险和证券产品种类十分齐全，更加诱人的是美国信贷普及率极高，金融机构对金融客户的审核十分宽松，这就导致了大量资质低、抗风险能力弱的消费者进入金融市场。危机爆发后美国宏观经济几近崩溃，这一部分消费者受损最为严重。美国为预防这一问题，以立法的方式确立负责任的金融理念，金融机构应对消费者的抗风险能力进行全面的调查，避免消费者盲目从事金融交易。在数字普惠金融理念下保护消费者的理念更进一步得到提升，尤其表现为负责任保护消费者原则的确立。2016年，根据G20财长和央行行长会的要求，世界银行等9个国际组织的专家组成了数字普惠金融技术小组，GPFI中方主席兼任组长，牵头起草了《G20数字普惠金融高级原则》。该文件明确提出采取负责任的数字金融措施保护消费者[ 3 ]。在科技高速推动金融行业发展的过程中，金融行业也面临着前所未有的风险，与金融机构相比，金融客户的抗风险与预测风险的能力均较低，在普惠理念下应加强对金融客户尤其是小客户的保护。但是，金融机构的消费者保护主要集中在提高消费者的抗风险能力，甚至过度将实现金融行业的稳定当作保护消费者的因素之一，较少甚至根本没有涉及对消费者金融隐私权的保护，使得保护消费者原则在大数据普惠金融理念下对消费者的保护不够全面。本文并不否认金融行业的风险相较于其他行业更大，也认同对金融客户抗风险能力的保护对金融客户、金融机构和金额行业都具有重大意义。但是，在大数据时代下，金融数据已经成为了一种资本，对金融数据的挖掘也已经成为金融机构发展不得不采取的战略，加之在普惠金融理念下，金融客户的范围扩大，更使得金融数据库的数据存储量激增，挖掘日益頻繁，保护金融客户对金融数据的金融隐私权越来越具有紧迫性。保护金融客户的金融隐私权应成为保护消费者原则的新内涵，这不仅可以驱策金融机构在理念上树立对金融数据的保护意识，更可完善大数据普惠时代消费者保护理念的不足之处。

（二）金融机构安全保障义务的新内容

包括金融机构在内的经营者承担安全保障义务的先例，最早可以追溯到德国的亚麻毯案（商场售货员在为顾客拿取亚麻毯时，意外将另外两个毛毯碰下，导致顾客受伤。德国最高法院认为商店因其雇员的过失没有对顾客尽到照顾义务，应对其承担赔偿责任）。伴随金融行业的发展，尤其是大数据普惠金融时代的到来，金融机构的安全保障义务出现了新的内容。传统金融机构安全保障义务的内容主要是，采取措施保障金融客户的人身、 财产、信息及交易活动的安全，防止损害发生或在损害发生后及时采取补救措施等[ 4 ]。但是就现代的数据技术发展来讲，原有的客户信息保障义务已经不能满足保护金融客户金融隐私权的需要。这一点表现为现行法律制度缺乏对金融机构数据挖掘行为合法性和合理程度的规定。相对于金融机构主要为防止第三人或者金融机构过失侵犯金融客户金融信息的传统安全保障义务，本文讨论的金融机构的数据挖掘行为本身便具有侵权属性，所以，金融机构在数据挖掘的过程中对客户金融隐私权的保护也应成为其安全保障义务的新内容。

这一内容可以从以下方面去思考：第一，在报偿理论中收益与风险一致是最基本的原则。如前所论，金融机构在大数据时代普惠金融理念下加强数据挖掘是其发展的重要举措，是金融机构获得收益的重要前提。这一收益与之相对的便是金融机构在数据挖掘过程中有义务避免其挖掘行为对金融隐私权造成损害。从危险源中获取经济利益者也经常会被视为具有制止危险义务的人[ 5 ]。金融机构在获得收益的同时应承担对金融客户金融隐私权的保护义务;第二，在危险控制模式下来理解金融机构安全保障义务的新内容就显得更为简单。金融机构掌握的金融数据之所以会面临危险，一方面是由于第三方的恶意侵权，这一问题尚处于传统安全保障义务的讨论空间;另一方面就是金融机构不合理的数据挖掘，这一危险源处于金融机构的完全控制之下，金融机构自然应担负安全保障责任;第三，金融机构负担这一安全保障义务也符合节约社会成本的理念。金融客户并不像金融机构一般掌握大量的金融数据，更无法像金融机构一样依靠大数据、云计算等方式进行数据的推算与分析，在数据挖掘与金融隐私的平衡中，金融机构承担保护义务更加具有操作性，其花費的成本也相应较低;第四，从金融机构与金融客户权利平衡的角度来看，金融机构也应承担这一安全保障义务。在金融市场，尤其是在大数据普惠时代的金融市场，金融机构相较于金融客户处于绝对优势地位，这一优势在资金、技术、人员、市场把握和数据储备等方面均有体现。我们也不难发现，金融客户隐私权的危机也正是金融机构优势地位（正是这一优势的地位才使金融机构的数据挖掘更加深入）导致的。在一切法律关系中，应各就其具体的情形，依正义、平衡的理论，加以调整双方的权利和义务，而追求其具体的社会妥当[ 6 ]。赋予金融机构新的安全保障义务，顺应了大数据时代普惠金融理念下金融机构数据挖掘程度不断加深的发展趋势。

四、金融机构安全保障义务与数据挖掘权的失衡

金融客户的容忍义务建立在金融机构合理挖掘的前提之上。在金融行业发展早期，金融机构，甚至政府也会对金融数据进行分析，以规范金融行业的发展，但限于当时的技术水平，数据挖掘水平较低，其与金融隐私保护尚处于较为平衡的状态。但伴随信息技术的发展，尤其是大数据时代的到来，数据挖掘的范围日益扩大、程度日益加深，尤其是在普惠金融理念的影响下，金融机构的数据挖掘也日益频繁，金融机构的数据挖掘行为与其所负担的保护金融隐私权的安保义务开始逐渐失衡。

大数据技术是金融机构数据挖掘程度加深的关键原因。数据挖掘的方法主要有分类、回归分析、聚类、关联规则、特征、变化和偏差分析、Web页挖掘等。这些方法均建立在高度技术化的基础之上，相较于早期金融机构受限于技术水平，现在的金融机构已经可以大规模分析处理金融数据，对金融数据的利用程度也日益加深。与此同时，普惠金融理念也为金融机构进一步加大挖掘提供了动力。2005年联合国提出普惠金融这一理念，有趣的是，尽管全球对于普惠金融的概念未有较大争议，但是关于这一理念却少有分析。2015年我国国务院发布《推进普惠金融发展规划（2016—2020年）》，文中提出：普惠金融是指立足机会平等要求和商业可持续原则，以可负担的成本，为有金融服务需求的社会各阶层和群体提供适当、有效的金融服务。二十国集团（G20）于2016年也正式提出，普惠金融泛指一切通过使用数字金融服务以促进普惠金融的行动。并且强调，妇女、穷人、年轻人、老年人、中小企业和其他群体均应成为普惠金融的服务对象。在这一理念下，金融机构为向更广泛的金融客户提供更为适合其发展的金融服务，加大对现有数据的分析，以探索更精细化的客户金融服务需求是必行之举。更要注意的是，各国政府对于金融机构使用大数据技术深度挖掘金融数据大多持支持态度，美国财政部认为大数据、人工智能、机器学习等数字技术有助于加强对学生和工薪阶层的信贷支持[ 7 ];印度国家层面的PMJDY计划虽未着重提及数字技术，但在2018年发布的普惠金融指数（FII）中体现了一定的数字技术导向[ 8 ];我国政府也明确提出，应引导金融机构使用金融科技和数字技术拓展普惠金融服务的广度和深度。在这一趋势下，金融机构的数据挖掘程度会进一步加深，其与保护金融客户金融隐私权的矛盾也将进一步凸显。

普惠金融理念下金融客户范围的扩大和数量的增加，使得信息不对称问题更为严重，并且不对称的不利影响有向金融机构延伸的趋势，这将进一步推动金融机构开展数据挖掘。金融市场的信息不对称问题一直存在，在大数据普惠金融时代之前，在银行信贷市场，借款人与银行之间存在广泛的信息不对称，借款人普遍存在的逆向选择和道德风险会导致信贷配给的数量约束及价格约束[ 9 ]。在资本市场，筹资者与投资者之间也存在广泛的信息不对称，投资者为避免信息不对称的不良影响，往往采取保守的投资战略，筹资者不得不对股票进行折价发行[ 10 ]，甚至会减少股票发行数量[ 11 ]。在大数据普惠时代，虽然金融市场的运作日益专业化，但是信息不对称问题不但没有解决，反而更为严重，相较于金融客户，金融机构掌握大量的金融数据，对金融市场的分析与掌控能力远超前者。但是，大数据普惠金融时代信息不对称出现了一个奇怪的现象：不利影响开始向金融机构转移，突出表现为：金融机构在向海量的普通用户提供金融服务和产品时，精准定价与风险防控变得更为艰难。因为在现代管理理论中，在 “事实（Fact）—数据（Data）—信息（Information）—知识 （Knowledge）—智能（Intelligence）”的链条中[ 12 ]，金融机构在金融客户的经济社会活动呈现全面离散化、碎片化和数据化之后，越来越难以在真假难辨的信息中梳理出可靠的事实，并演化数据、推理信息，做出是否进行金融交易的决定。在这一趋势下，金融机构唯有加大对现有数据的挖掘，以普遍化的数据信息比对具体金融客户的信息准确性，这无疑又加剧了数据挖掘与金融隐私保护的失衡。

五、金融机构数据挖掘的规制措施

在大数据时代普惠金融理念下，数据挖掘是金融机构提供优质服务和把握金融市场发展趋势的关键技术，赋予金融机构数据挖掘权是现代金融行业发展的必然趋势。但是，金融隐私权作为金融客户的权利之一，对其进行保护的意义也是不言而喻。因此可以得出这样一个论点：在大数据普惠金融理念下，金融机构为谋求发展不得不进一步加深、加宽对其掌握的金融数据的挖掘，更深层次地分析金融数据背后蕴含的金融客户的潜在投资动向，肯定金融机构享有的数据挖掘权已成为必然。本文虽明确表示，因金融数据不同于一般的个人信息，金融客户对于金融机构的数据挖掘负有容忍义务，但是，本文也并非认为金融机构的数据挖掘可以不受任何限制。在享有数据挖掘权的同时，金融机构也负有为保障金融客户金融隐私权而对其数据挖掘行为进行合理限制的安全保障义务，即金融机构行使数据挖掘权应受其保护金融客户金融隐私权义务的限制。又因为试图让金融机构自觉限制其挖掘行为不具有现实性，故如何为金融机构的数据挖掘设立合理的规制措施，是回答如何实现金融机构安全保障义务与数据挖掘平衡的关键。本文将通过探索数据挖掘的前置条件、合理程度及如何救济金融客户金融隐私权三个问题，论述金融机构的安全保障义务与数据挖掘权的平衡之道。

（一）金融机构数据挖掘的前置条件

目前，探索金融机构数据挖掘的前置条件有欧盟理念与美国理念可以借鉴。但从实际来看，欧盟的人权理念不具有可借鉴性。虽然早在2006年欧盟颁布的《数据保留指令》便规定：电信公司对欧盟公民的通信数据将保留6个月至两年，但2014年欧洲法院裁定 《数据保留指令》无效，并主张该项指令允许电信公司对使用者日常生活习惯进行跟踪，侵犯了公民人权——这里的人权实际上是指人格权，并非广泛意义上的人权[ 13 ]。在这一案例中，欧盟实际上确立了经营者在经营过程中不能为正常经营而利用客户的个人信息，欧盟将通讯数据采取人权的保障方式自然而然的导致了在人权与经营权对比中经营权的让位。在欧盟的理念中，金融机构的数据挖掘将寸步难行，在视为人权的金融数据面前金融机构的经营战略之一的数据挖掘根本不具有生存空间。

持欧盟理念的国家在处理金融机构的数據挖掘与安全保障义务时，普遍采取告知许可制度。这一制度的模式是：金融机构书面告知客户其将对金融数据进行分析和推理，并在此基础上加以使用。金融客户也将书面告知金融机构其是否同意金融机构的挖掘。金融机构仅在金融客户书面同意下才能进行数据挖掘。在大数据之前告知许可制度确实发挥了重要作用，但是，本文认为大数据时代，尤其在普惠金融理念下，以告知许可作为金融机构数据挖掘的前置程序不具有可行性。第一，告知许可制度不具有实质保护的价值，功能将流于表面。以我国为例，《关于加强网络信息保护的决定》规定：网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人电子信息，应当明示收集、使用信息的目的、 方式和范围，并经被收集者同意。但在实践中往往表现为经营机构以长篇幅格式合同的方式对客户进行告知，客户一般并不仔细审查告知事项，即使审查，由于经营者与客户的实力差距也使得客户难以拒绝。这一现象在金融行业将更为明显，例如，申请贷款时，银行与债务人处于明显不平等的地位，对于银行的告知事项债务人不具有拒绝的可能性，与此同时，融资难的困境更加重了这一问题。第二，实际操作效率低、成本高。大数据普惠金融时代，金融机构面对的金融数据规模大，主体多，对每一位金融客户进行告知并等待其回复的效率过低。现代金融行业数据挖掘频繁，使用方式、挖掘范围等方面各有不一，每次均进行告知许可成本过高，并且金融行业注重效率，风险与利益变化速度快，每次逐一告知许可也不利于金融机构长远发展。第三，告知许可制度具有否认数据挖掘权的倾向。金融机构对其掌握的金融数据进行挖掘具有必要性与合理性，肯定金融机构对金融数据的挖掘权将成为金融行业发展的必然。告知许可制度将使金融机构的挖掘权建立在金融客户的意思之上，在这一制度下金融机构能否进行数据挖掘的决定性条件为金融客户是否对金融机构的告知进行许可，而非是金融机构是否有必要进行挖掘以及挖掘的程序和程度是否合理合法。这一制度模式与承认金融机构合理正当的数据挖掘权相违背，不利于探索由数据挖掘权和安全保障义务共同影响的数据挖掘规制问题。

鉴于告知许可制度存在的问题，本文建议吸收美国的财产理念，在认定金融数据为一类财产利益的基础上，将通知金融客户作为金融机构开展数据挖掘的前置条件。虽然美国历来重视隐私权的保护，但美国传统法对这一问题却在坚持告知与许可制度的基础上，将包括隐私在内的个人数据视为一项财产权[ 14 ]。这一理论将数据挖掘权与金融隐私权局限在同一层次上进行权衡，数据挖掘权作为金融机构的经营手段之一本质上为财产权，只有将金融数据也视为金融客户的财产才能在金融机构的权利（数据挖掘权）与金融机构的义务（对金融客户的金融数据进行保护的安全保障义务）的对立中探索数据挖掘的程度问题。通知不同于告知许可，在通知模式下，金融机构在向金融客户通知其对金融数据的推理演算方法、使用范围、使用目的、使用方法以及其他内容后，即可对金融数据进行挖掘，无需等待金融客户的许可。这不仅可以提高金融机构数据挖掘的效率，更好地适应现代金融市场对反应力的要求，规避由信息交流不畅或者金融客户无理由拒绝导致的无法挖掘的困境。

（二）金融机构数据挖掘的程度标准

对这一问题的论证应立足于金融机构安全保障义务的限度。在根源上金融机构对其在服务中获取的金融数据应承担保障责任，这一责任的核心便是阻碍他人侵犯，本文谈论的数据挖掘其本质就体现为金融机构对其掌握的金融数据的侵权，这也正是金融机构安全保障义务存在的原因，正因为如此，才使得安全保障义务禁止限度外的数据挖掘具有合理性，数据挖掘止于安全保障义务限度之内。

根据学术界关于判定安全保障义务的标准，一般应当根据安全保障义务人所从事的行业性质、是否盈利、危险性大小并应合乎人的基本生活经验来判断[ 15 ]。但是这一标准明显是针对包括金融机构在内的安全保障义务主体为避免第三人和经营者过失侵权而设立的，在金额机构有意进行的数据挖掘的侵权领域不具有适用性，其不能成为限制金融机构数据挖掘程度的标准。本文认为应立足于金融机构数据挖掘的特点为金融机构的安全保障义务设立限制标准。数据挖掘的过程是金融机构在其掌握的海量金融数据中归纳、推理、转化出同化知识的过程，同化知识对数据敏感性的要求，使脱敏标准具有成为限制金融机构数据挖掘程度的可能。本文的脱敏不同于类似火车票身份信息马赛克等对个人信息的直接隐私化处理，而是强调金融机构在进行数据挖掘时，应保障其得出的结论对于金融客户而言不具有敏感性。例如，金融机构在分析注册资本在30万人民币以内的小型企业的贷款需求时，在海量的小型企业交易资料中得出注册资本在30万人民币以内的小型企业贷款需求为每年40万，这一结论便不具有敏感性;如果金融机构在资料中推论出A企业今年的贷款需求约为40万则具有敏感性，属于数据挖掘过度。

使用脱敏标准来限制金融机构的数据挖掘权要解决的最大问题是如何判断挖掘得出的数据是否具有敏感性。一般情况下判断数据是否脱敏的标准是，相关数据是否仍与特定主体间存在关联，以及这一关联能否被第三人合理发觉。本文对这一标准持赞同态度，但是也发现这一标准也存在对金融隐私权保护不力的问题。在事后判断某一通过挖掘得出的数据是否不具有敏感性存在风险，一旦数据未到达脱敏的标准，则很可能会造成数据泄露;在本文语境下这一问题将更为突出，因为数据挖掘本身便具有侵犯金融隐私的违法性，只要认为数据挖掘出的信息不符合脱敏标准，侵权行为便已经发生。鉴于此，本文认为在规制金融机构的数据挖掘行为时，不仅应关注数据挖掘的前置条件和程度，也应对如何救济金融客户的金融隐私权作出回应。

（三）金融客户金融隐私权的救济方案

笔者认为，金融客户的金融隐私权可通过追偿制度予以保护。虽然通知模式下金融客户无权拒絕金融机构的数据挖掘，但其在收到金融机构的通知后有权对金融机构通知的使用范围、使用目的和使用方法等事项进行监督，尤其是对金融机构通过挖掘得出的金融数据进行脱敏考察。如果金融客户认为其挖掘不符合前置条件或者突破脱敏规则，有权向金融机构主张侵权。当然，笔者也注意到这一制度设计也面临着相较于金融机构，金融客户处于明显不利地位的问题。因两主体在经济实力和技术力量等领域明显不对等，所以在这一制度中，金融客户往往因自身的能力局限而使其难以发现侵权行为，即便发现，金融客户也难以在诉讼程序中举证金融机构的数据挖掘超过合理限度。并且这一制度构造也使得是否对金融隐私权构成侵权的注意义务转移到金融客户一方，导致金融机构在数据挖掘时轻视对金融隐私的保护，甚至有可能导致数据挖掘与安全保障义务更加失衡。

为解决这一问题，本文建议在金融客户追偿时采取举证责任倒置和惩罚性赔偿两大构造。一方面，在实践中认定数据挖掘是否突破脱敏规则是一个技术问题，金融客户相对于金融机构而言，其技术水平明显偏低，由金融机构承担其数据挖掘符合脱敏规则的举证责任，不但符合公正的要求，也有利于发挥金融机构的技术优势，节约司法成本。倘若金融机构不能证明其数据挖掘得出的结论符合脱敏规则，就应对金融客户承担侵权责任，避免了金融客户因举证不能而无法主张权益的司法困境;另一方面，对金融机构设立数据挖掘惩罚性赔偿可以倒逼金融机构在进行数据挖掘时充分评估其挖掘行为。事后追偿构造的最大危险性就在于是否将侵权的注意义务转移至金融客户，从而导致金融机构在数据挖掘时缺乏对侵权的注意。在惩罚性赔偿模式下，金融机构的挖掘行为一旦被认定为侵权，便有可能承担巨额赔偿。并且金融机构因数据挖掘而对金融客户承担的责任，并非一般安全保障义务人因第三人侵权而承担的补充责任，而是由个人承担的完全责任。因为金融机构的数据挖掘行为本身便具有不法属性，只不过出于数据形成原因和金融行业发展的考虑赋予其在合理限度内的挖掘权，所以当金融机构的数据挖掘不符合前置条件或者程度过限时，其作为安全保障义务人理应承担与其过错和原因力相当的终局责任，而非补充责任这样的非终局责任形式[ 16 ]。这将使得金融机构在数据挖掘时会主动对挖掘行为进行评查。

六、结语

规制金融机构的数据挖掘行为是实现金融机构安全保障义务与数据挖掘权间平衡的有力抓手。通过权衡金融机构数据挖掘权的必要性与安全保障义务的新内容，以事前通知和事后追偿的制度模式代替传统的告知许可，并将脱敏规制作为衡量数据挖掘的程度标准，不仅可以使金融机构的数据挖掘更加机动灵活，也可以使其对金融隐私权的保护更加规范具体。在赋予金融机构数据挖掘权的同时，也让其负有规范其挖掘行为的义务，并在金融客户救济权益时承担举证责任和惩罚性赔偿责任，可促使金融机构在数据挖掘时严格遵守挖掘前置条件，谨慎分析挖掘程度，规避“一刀切”式平衡安保义务与数据挖掘的立法难度和制度僵化问题，有望成为规范金融机构安保义务与数据挖掘行为的新方向。

参考文献：

[1]谈李荣.金融隐私权与信息披露的冲突与制衡[M].北京：中国金融出版社，2004： 64.

[2]辜明安，王彦.大数据时代金融机构的安全保障义务与金融数据的资源配置[J].社会科学研究，2016（3）：76-82.

[3]陶君道，尹优平.第五讲数字普惠金融的国际倡导与中国实践[J].甘肃金融，2019（11）：65-69.

[4]刘力. 金融消费者权益保护理论重述与裁判研究[D].上海：华东政法大学，2012.

[5]冯·巴尔.欧洲比较侵权行为法：下册[M].焦美华，译.北京：法律出版社，2001：271.

[6]史尚宽.民法总论[M].北京：中国政法大学出版社， 2000：40.

[7]林胜，边鹏，闫晗.数字普惠金融政策框架国内外比较研究[J].征信，2020，38（1）：78-82.

[8]零壹财经.印度再次发布多项普惠金融新政[EB/OL].（2019-09-12）[2021-10-25].https：//www.01caijing.com/art I cle/28489htm.

[9]Bester Helmut. The Level of Investment in Credit Markets with Imperfect Information[J]. Zeitschrift für die gesamte Staatswissenschaft / Journal of Institutional and Theoretical Economics，1985，141（4）：305-505.

[10]Beatty Randolph P.，Ritter Jay R.. Investment banking， reputation， and the underpricing of initial public offerings[J]. Journal of Financial Economics，1986，15（1-2）：213-232.

[11]Mark Grinblatt，Chuanyang Huang. Signalling and the Pricing of New Issues[J]. The Journal of Finance，1989，44（2）：393-420.

[12]王作功，李慧洋，孙璐璐.数字金融的发展与治理：从信息不对称到数据不对称[J].金融理论与实践，2019（12）：25-30.

[13]文娟.网络安全立法各国面面观 [N].人民邮电报，2015-07-13.

[14]马特.人格权与财产权关系考——以隐私权为线索[M].北京： 中国法制出版社，2007： 180.

[15]王俊英.论安全保障义务及其限度[J].河北法學，2008（10）：198-200.

[16]李中原.论违反安全保障义务的补充责任制度[J].中外法学，2014，26（3）：676-693.

——From the Perspective of the Balance Between the Security Guarantee

Obligations  and the Right to Data Mining of Financial Institutions

XIAO Zhenyu

（Xixian Court， Jintang County Peoples Court，Chengdu  610400，China）

Abstract： With the number of potential customers of financial institutions increasingly growing ，  mining financial data has become an inevitable measure for financial institutions to develop towards inclusive finance. With the increase in the value of financial data， protecting the financial privacy of the customers has increasingly become a new content of financial institutions security obligations. In the dilemma of data mining impacting financial privacy， financial institutions are eager to find a balance between data mining and financial privacy protection in order to achieve effective use of financial data. In order to achieve a balance between the security obligation of financial institutions and the right to data mining， on the basis of characterizing financial data as property rights and interests， financial customers can be notified as a precondition for financial institutions to conduct mining activities， and desensitization regulations can be used as data. The degree of mining standards， and when financial customers claim that mining violates their financial privacy， adopt the inversion of the burden of proof and punitive compensation mechanisms to comprehensively regulate the data mining behavior of financial institutions.

Key words： data mining right;desensitization standard;notification recovery system; inversion of burden of proof;punitive damages

收稿日期：2021-12-21

作者简介：肖振宇（1996-），男，吉林辽源人，四川省成都市金堂县人民法院法官助理，主要从事民商法研究。