金融数据共享机构信息披露义务构建
2023-08-17黄睿喆
黄睿喆
摘要:进入大数据时代,金融数据共享与利用在释放多元价值的同时,也使个人金融信息的安全性受到较大挑战。既有的以个人信息自决为核心的常态化保护路径未能准确评估信息主体的有限理性与信息劣势处境,导致实现知情权受阻,难以获取全面、有效的信息,从而对金融数据共享情形做出理性授权与判断。为解决金融消费者面临的信息不对称与信息过载双重困境,有必要从披露义务主体范围、具体内容、履行方式以及法律责任等方面进行秩序重构,以实现个人数据主体与金融数据共享机构之间的权利义务再平衡。
关键词:大数据;金融数据共享;信息披露;知情同意权
中图分类号 :F832;D922.16 文献标识码:A 文章编号:1007-0753(2023)07-0087-09
一、问题的提出
近年来,数字技术的迭代发展为实现数据互联互通、充分挖掘数据价值提供了技术支持。金融领域作为数据要素最为密集的行业之一,与数据的融合程度超乎一般人想象,数据共享则是其发挥协同效应的关键环节。一方面,大数据技术的应用与赋能有利于丰富金融服务场景,充分挖掘金融消费数据的价值,引导金融服务创新。另一方面,在公共管理领域,金融监管机构可以通过监测个人账户的异常交易情况来判断识别欺诈风险,打击洗钱、逃税等不法行为。金融数据共享的开放创新、释放价值等特性与数字时代普惠金融发生机理一致,顺应了金融产品和服务创新的发展趋势,也实现了金融交易与监管成本的降低。然而在实践中,金融数据共享在赋能传统金融领域提升商業价值、维护公共利益以及繁荣金融市场基础目标和正面效应的同时,也面临违规收集、非法售卖等涉及金融消费者隐私的问题。
个人金融数据与金钱高度相关并且能够精确到个人(邢会强,2021),使其在共享和利用过程中较传统金融活动而言开启了更多的风险源。客观来说,金融数据共享本质上是金融数据控制者范围的扩张。目前以开放银行、金融数据控股公司等金融数据共享范式增加了非传统金融机构——第三方主体的参与。这里的第三方主体通常是金融科技公司,与银行等传统金融机构以风险管理为业务重心不同的是,第三方机构更加注重客户体验,在风控能力、数据合规等方面存在不足,往往是共享链条中监管与合规双维度的薄弱环节。既有的常态化保护路径更多是以“知情—同意”授权机制为核心构建的个人信息自决模式,但该模式因建立在信息主体理性、信息获取充分的先验性假设之上,与个人客户理性不足、信息劣势的实然处境产生悖反。在此情形下,个人数据主体难以实现风险自我管控,知情同意权面临虚置,造成金融数据共享过程中数据使用失范行为泛滥与数据安全隐患加剧,间接影响到大数据金融语境下的数据共享与利用秩序,打击金融消费者参与数据共享的意愿,亦不利于数字金融的长足发展。
事实上,数字金融法律体系内含信息透明度与个人隐私之间的张力(许多奇,2021)。由于金融机构与金融消费者之间资源禀赋与要素的差异性(程雪军,2022),信息不对称现象自金融服务诞生之际就客观存在,并非大数据时代的特有产物。客观来说,大数据技术与金融的结合理应具有较传统金融机构而言更为便捷的信息数据收集、整理、传输能力,并能借此实现支付清算与资金融通领域的风险分摊、信息对称等目标。然而,具备众多接口、信息数据快速集散特征的共享利用行为却因金融机构的逐利本质、技术应用抬高信息壁垒等因素,使得个人数据主体与金融数据共享机构间的信息鸿沟不仅未得到有效弥合,反而呈现出扩大趋势。另在规范供给层面,涉及个人金融数据保护与共享利用的相关规则体系以及治理框架处于“进行时”:从《中华人民共和国民法典》《中华人民共和国个人信息保护法》对个人信息保护做出原则性规定,再到《银行业金融机构数据治理指引》《中国人民银行金融消费者权益保护实施办法》(以下简称《金融消费者保护办法》)等文件对金融领域规则的细化,无不彰显出立法者对个人金融数据保护的重视,但能有效治理金融数据共享相关议题的规范却寥寥无几,涉及金融数据共享机构信息披露义务的具体规则更是付诸阙如。
在大数据技术统御金融领域的全新时代,金融数据共享法律治理仍未突破“权利—义务—责任”的调整思路。传统“知情—同意”模式在保障金融数据主体知情同意权方面被赋予重任却表现乏力,亟需提供适切性的风险治理方案以回应个人金融数据主体与监管机构强烈的信息披露需求。有鉴于此,本文拟从反向强化金融数据共享机构的信息披露义务着手,结合金融数据共享实践,对信息披露义务的具体规范构造进行细化,以期其能作为集成预防与控制金融数据共享风险的重要治理工具。
二、大数据时代金融数据共享风险及其规制失灵
(一)金融数据共享风险频现
现代人类处在一个风险不断扩张的社会环境,对风险的规避和对安全的追求构成了新世纪以来人类一直追求的目标。纵观人类历史上每个重大时刻,只要征服自然的愿望有所表露与新的技术工具出现,都将成为对人类的安全和福利做出永久性贡献的重要契机(刘易斯·芒福德,2009)。这表明,技术的应用是改善人类自身物质生活需要的重要工具。然而,技术的发展实则兼具制造问题与解决问题的双重属性,人们在获取技术正向反馈的同时,也承受着由此带来的一系列危及自身生存与发展的内外风险。
在通信网络以及移动智能装置广泛投入应用的同时,个人数据体量较以往而言呈现出“井喷式”急剧增长,叠加数据存储介质与数据传输技术的发展,数据的存储和流转更加低成本、便捷化。与此同时,数据储存方式的虚拟化加大了数据库遭受攻击的可能性。数据共享过程中开放接口的增多、传递链条的延长都为黑客入侵等不法行为的发生提供了可乘之机,其中个人金融数据是黑客攻击金融机构系统意在获取的重要目标。在共享技术层面,金融数据共享机构对个人数据的处理既需要传感器、电缆、光纤等硬件设施,也依赖API(应用编程接口,Application Programming Interface)、算法等软件技术。各项数字技术的运用虽然有助于数据开放与共享效率的提升,但随着共享接口增多,共享系统的复杂程度不断攀升。若被资质存疑的第三方机构恶意调用,将直接导致个人隐私信息泄露危机,造成不可逆的实质权益侵害。特别是目前不断涌现出的大量新型网络攻击手段,部分黑客专职以侵入与金融领域相关的网络平台,利用系统漏洞和网络病毒攻击平台以获取金融数据牟利。数据安全技术相对滞后的第三方机构很可能因风险管理不善或遭受恶意非法入侵等事件意外泄露个人金融数据,造成个人客户财产损失。
数据所具有的驱动经济发展和产业创新的强大动能使其价值得到广泛肯认,信息社会的危险也逐渐从隐私的泄露发展到信息被预知的可能性,对数据资源量的掌控差异将直接影响财富的分配(张家林,2017)。面对个人数据带来的商业价值与决策效率,共享机构对数据的掌控需求与扩张性使用意愿在信息优势的掩盖下,势必会产生基于逐利目的而滥用数据的风险隐患。金融数据共享机构在向个人客户提供服务的同时,也要求个人客户提供数据信息用于后续身份确认,这属于个人客户数据的首次運用,但面对体量庞大且潜在价值巨大的金融数据,个人基础数据以及后续产生的交易数据往往会被分析、整合,而后被投入产品创新、精准营销和经营决策进行二次利用。在缺乏个人客户授权或超越授权范围的情形下,部分共享机构往往悖离了最小必要原则,利用网络爬虫技术抓取客户数据,可能造成网络安全、数据泄露与未授权交易等风险(Liu,2020),而个人很难追踪到屏幕抓取技术获取数据行为的整个操作过程。
除了超越数据使用边界的越权收集数据行为外,金融数据共享机构还可能存在利用数据牟利的风险。无论是消费偏好、征信信息还是地理位置等数据信息,都极具商业价值,为数据共享主体进行个人客户画像、实施精准营销推送、预测市场需求等行为提供重要分析基础,使其在相关市场竞争中占据有利地位。资本对利润的狂热追逐为全面信息共享提供经济上持久动力的同时(董淑芬和李志祥,2021),也会造成数据利用者对目标、手段合理性的重视程度大大降低,易使个人数据主体权益沦为利益扩张的牺牲品。特别是在法律法规和监管缺失的情形下,数据共享机构可能存在肆意泄露个人数据、售卖至数据黑市进行非法牟利等活动。上述数据侵权行为造成的安全隐患易使个人数据主体对数据开放共享的安全性产生质疑,带来个人客户对金融数据共享范式的信任危机,进而使得开放金融生态的发展举步维艰。
(二)私益角度常态化保护路径的适用局限
承前所述,金融数据共享过程中的风险频发表明需要及时回应个人数据主体的权益保护期待。然而,技术的快速进步和复杂的现实利益关联可能使得相对刚性的法律规制往往难以有效执行(段伟文,2020)。既有的保护路径更多从金融消费者私益角度出发,重隐私安宁的静态保护而轻金融数据的动态利用,所表现出来的适用局限性可归结为以下三个方面。
首先,金融隐私保护追求私密状态的消极主张与大数据时代数据共享利用的积极诉求之间存有抵牾之处。早在大数据时代来临前,传统金融机构就已产生对个人客户资料的保密义务,该义务主要指向对信息资料的静态化保护。后进入数字金融时代,与个人客户相关的信息均已实现数字化,金融机构等数据控制者在算法技术的驱动下能够利用个人金融数据,开展金融业务创新与风险控制。对此,金融机构在履行传统的保密义务的同时,也必然需要从传统的静态安全保护义务延伸到数据流转与利用过程中的动态安全保障义务。传统的金融隐私保护模式对于已经公开、无法构成隐私的个人金融信息在收集、加工、共享和利用过程中的不当行为存在规制盲区,导致某些个人金融数据因无法满足私密性要求而丧失了通过隐私权路径主张权利保护的可能性。
其次,以“知情—同意”授权机制为核心的权利进路流于形式,个人客户的实质知情权被架空。“知情—同意”保护框架自互联网平台兴起以来,一直是确保平台企业在线数据收集和使用实践获得自由和知情同意的模式,其创设初衷是为理性人创造一个充分自由的选择环境,从而化解选择环境中的信息不对称问题(汪全胜和王新鹏,2022),但在保障个人客户知情权方面被寄予厚望的“知情—同意”模式并未达到预设目标。实践中,金融机构在获取客户授权所提供的隐私保护政策文本篇幅冗长繁琐,大量专业术语使得普通客户面临信息过载现象,难以把握和理解个人金融数据共享的具体情形,且无法对可能存在的风险做出准确评估。并且,事无巨细的告知造成了个人客户的阅读负担,个人数据主体为索取便利往往放弃阅读隐私条款而直接勾选同意,呈现出“实质不知情”的现象(郭雳,2022)。同时,金融机构通常会滥用格式合同的预先拟定优势,为攫取更多个人数据和承担更低的合同责任而添加概括授权与免责条款。并且,以相对性为基石的契约仅能规训合约双方的行为,未在契约中显名的第三方不受契约所约束(方乐,2022)。若未与个人客户构成服务合同关系的第三方机构实施了侵害个人金融信息权益的行为,个人客户将难以对其追究违约责任。
最后,用以兜底的事后救济阶段司法路径无法提供有效保护。在金融数据共享领域,个人金融数据既面临黑客攻击等技术风险,也存在数据泄露、未授权交易与不当收集、利用等扩张使用个人数据带来的安全隐患。在金融与科技融合的场景下,作为信息劣势一方的个人客户在感知和识别这些风险时力量薄弱,加上数据侵权行为相较于一般的侵权行为具有隐蔽性、因果关系复杂等特征,信息主体欲通过侵权路径获得救济,应当以造成损害结果及因果关系要件的证成为前提。加之个人金融信息主体不甚了解自身信息的具体处理情况,对金融数据被泄露或滥用的识别难度较高,造成信息主体在举证质证方面也存在难题。多数金融消费者会默认遭受侵权而放弃寻求救济。另外,来源于单个主体的个人信息数据市场价值有限,即使个人客户选择维权,所获得的赔偿数额也很难与支出的诉讼成本持平。
(三)金融数据共享机构信息披露义务的缺位
一部金融发展史可谓是一部科技进步史,金融业和金融监管始终是跟随科技创新的步伐不断发展的(周仲飞和李敬伟,2018)。遗憾的是,以大数据、人工智能、云计算等为代表的新科技与金融领域的深度融合并未延续“理性市场”与“有效市场”的童话,反而造成金融立法与新金融科技发展步速的错乱(巫文勇,2022)。传统保护路径从金融消费者个人权利出发,彰显出法律对于个体人格尊严和人格利益的尊重与保护,但金融消费者对其个人数据的控制实质上处于弱势地位,进而造成以权利为中心构建的常态化保护路径在实践中处处碰壁。加之金融数据共享活动覆盖个人利益与社会公共利益双重维度,有必要从传统的单一强调静态安全的私益保护转向平衡与兼顾公共利益的保护,从事后救济转为事先预防的保护思路,以降低风险的解决成本。这一路径的转化与建构须从弥合金融消费者与金融数据共享机构之间的信息鸿沟着手,而实现这一目标恰恰需要信息规制手段——强制信息披露制度发挥作用。
信息披露被认为是风险控制与管理的中心环节,管理和披露信息也被认为是网络时代一些主体的责任(Roland和 Sarah,2011)。迄今为止,大数据金融领域内尚未制定涉及信息披露义务的行业规则及监管标准,现有规则大多聚焦在信息控制者对个人信息的保护义务。例如,《民法典》第一千零三十八条概括规定了信息处理者应当遵循的基本原则以及需要采取的必要技术措施和补救措施以确保个人信息安全。相比之下,个人信息保护法则开辟专章规定了个人信息处理者的義务,除了细化安全保障义务内容外,还就处理个人信息的具体内容、单独取得与重新取得同意的情形以及同意撤销机制等进行了进一步明确,并对包括金融账户在内的敏感个人信息提出应取得单独书面同意等严格要求。
由此可见,前述规定大多以保障“知情—同意”模式的有效性来对个人信息处理者施加较为笼统的信息处理义务,并未就信息披露义务进行体系化的规范构造。结合金融数据共享实践,金融机构大多根据自身经营和发展战略,量身定做符合自身利益诉求的自律性信息披露义务规则。现有的披露秩序混乱,数据共享机构披露义务的履行大多集中在收集个人客户数据时的一次性披露,这与数据共享下的动态持续和重复利用客观需求并不匹配。此外,由于缺少法律及其他具有相当约束力的规则对金融共享机构的信息披露义务主体范围、履行方式、标准、内容、频次等核心内容进行统一规范,个人数据主体在进行决策时缺乏可供参考的真实有效的判断信息,难以做出理性的授权决定。
三、金融数据共享场域适用强制信息披露制度的正当性基础
(一)现实基础:金融数据共享治理进路转化需要
在大数据时代来临前,受限于个人信息处理技术并不发达,个人金融信息保护问题并不突出。随着数字化程度的不断提升,个人金融数据主体参与金融市场活动过程中留存的痕迹都将串联为颇具价值的行为轨迹。虽然人格权能日益显现出商品化趋势,但金融隐私权仍然表现为消极的静态权利内容,与行业发展态势下的数据共享与利用需求存在扞格。在个人信息数据处理的合法性基础上,我国总体表现为向赋权进路迈进,即为信息主体设定权利以对抗来自他人的侵害的基本模式(程威,2022),但在个人权利控制模式下,信息权利主体因理性不足、信息不对称等主客观因素,仅享有形式意义上的知情同意权,难以对共享机构的信息处理行为展开谨慎决断。相较而言,行为规制模式旨在以规范数据共享行为的方式,为行为人收集、使用数据提供较为清晰的规范指引,在确定数据处理者履行基本义务的同时,为其划定相对自由的数据利用空间,从而有利于统筹数据主体权益保护与数据共享利用双重目标的实现。
然而,如若全面舍弃个人权利控制进路,虽然在一定程度上能够解决个人理性不足的决策困境与规范数据控制者的数据处理行为,但也容易消解此前信息自决权模式为个人数据主体创造的自由意志空间之努力。致力于全面改进隐私规制进路以强化个人对其数据的控制程度,又可能抑制金融数据的合理流通及利用,导致产业创新、增进公共福祉的发展滞后,且盲目扩张隐私权范畴可能造成与现有的人格权理论体系不自洽。因此,为避免治理进路上陷入个人信息自决“全有全无”的绝对境地以及弥补权利控制机制的不足,有必要通过强化金融机构的保护义务来改善个人客户的信息保护状况。原因在于,大数据金融背景下,资金流动的电子数据化已经是一种“革命性”的时代潮流,虽然从最密切利害关系看,保证交易资金安全是消费者责无旁贷的责任,但在技术、信息、人力非对称关系下,确保交易资金的非风险性更是涉事平台机构的职责所在(黎四奇,2018)。在目前的“知情—同意”机制所呈现的保护力度不足的普遍现状下,期许金融消费者短期内强化对过载信息的理解能力并不现实。因此,鉴于金融消费者与金融机构间的信息掌控能力偏差,有必要实现权利的倾斜保护,强化以信息披露为核心的金融机构数据保护义务与责任。
(二)法理基础:金融数据共享领域构建信息披露义务的重要性
经济学理论认为,交易过程中的信息不对称可能会产生一系列降低经济运行效率的不良影响,因而需要调制以弥合信息鸿沟。在传统法学视阈下,市场平等主体之间依托意思自治发生的交易行为不应当受到公权力的过分干涉,这与经济学的理论倾向并不一致。然而,信息披露作为经法学理论改造而落地的制度必须反映法律多元价值与权利义务平衡主张。这就决定了信息披露理论从经济学向法学“改造”过程中形成了一个原则(曾威,2019),即所要披露的信息必须对交易来说是“必不可少”的“关键”信息(林润辉等,2015)。在此种认识倾向下,将强制信息披露义务引入金融数据共享领域必须具备相当程度的正当性基础。
长期以来,信息披露主要适用于资本市场监管、环境保护以及食品安全等具有较强公共性的领域,其共通之处在于处理好本领域内市场主体与不特定对象之间的利益平衡关系(后向东,2023)。大数据与金融的结合虽然在促进普惠金融层面上发挥了重要作用,却未能改变其攫取利润的原始动机。为了抢占更多的数据资源,金融机构个人数据传递链条延长、数据交互亦更为频繁,与之相伴的是风险节点的增多、风险接触面的拓宽。因此,亟须对数据加强全方位的保护力度,特别是个人数据的知情权保障。理论上,科技的发展应当使得信息的收集和披露更加经济与便利,从而消弭交易主体的信息不对称,但实践中往往并非如此,甚至可能出现相反的结果(廖凡,2019)。金融消费者与金融机构之间存在严重的地位不对等从传统金融延伸到了大数据金融领域,金融机构具有专业的知识与雄厚的资本,个人在金融领域明显处于弱势地位,需要法律倾斜保护(李东方和李耕坤,2023)。特别是金融数据共享与利用行为产生的价值几乎全部归于金融共享机构而非作为数据主体的金融消费者,且金融消费者还要因此承担数据泄露与滥用的不利后果,这种不平衡的利益结构必然要求共享机构承担更重的义务。法律作为利益平衡工具,在调整各主体利益环节中体现出了维持正义的作用(李翔宇,2023)。对此,信息披露义务旨在弥合个人客户与金融机构之间的信息偏差,有效改善信息不对称与信息过载的双重困境,保障金融消费者的知情权,使其在相对理性的基础上做出合意授权,同时也能增强个人数据主体参与数据共享的意愿,为数据的流通和利用提供坚实的合法性基础。
四、金融数据共享领域信息披露义务的规范构造
规范构造的锚定是确立金融数据共享机构信息披露义务秩序的核心。信息披露贯穿个人金融信息保护始终,致力于消除金融数据共享中由于信息不对称衍生的诸多风险。完善的信息披露义务规则体系有赖于制度刚性和操作弹性的科学结合,使之一方面对共享主体履行信息披露义务形成强约束力,另一方面能够为义务履行留下灵活操作空间,避免对数据自由流动造成过多阻碍(赵吟,2021),在安全与效率之间合理界定披露的主体范围、内容与形式、义务履行不当的责任承担等内容。
(一)主体范围
在传统金融业务模式中,金融机构大多依据其与个人客户签订的服务协议披露其收集和使用个人金融信息的基本情况,各类法律规范与政策文件也大多规制银行的行为,但极少关注第三方机构的披露义务。例如,2023年2月中国银保监会、中国人民银行发布关于《商业银行资本管理办法(征求意见稿)》,提到了商业银行信息披露的内容和要求。《银行保险机构消费者权益保护管理办法(征求意见稿)》第九条提出,“银行保险机构应当建立完善消费者权益保护信息披露机制,在售前、售中、售后全流程披露产品和服务关键信息,遵循真实性、准确性、完整性和及时性原则”。以银行为代表的传统金融机构将信息披露作为其履行金融消费者权益保护的职责之一自不待言,关键在于目前参与金融数据共享的第三方机构并未被纳入信息披露义务主体范畴。事实上,相较于严格受到金融监管辖制的金融机构,第三方机构往往才是金融数据泄露、不当处理的重灾区。
因此,考虑到大数据金融语境下的数据共享具有共享链条长、多节点、多方参与的基本特征,银行、持牌金融机构和第三方服务商的大跨度和深层次合作产生了更加复杂的金融生产关系(陈萌,2020),也将催生新的数据风险,决定了其信息披露义务主体的多元化。当金融数据被共享至银行等传统金融机构以外的第三方主体时,只有第三方机构充分了解数据利用的具体情况,其披露的信息准确度高且履行义务的成本也较低。因此,金融数据共享场域下信息披露义务的构建,应当将第三方共享机构纳入信息披露义务的主体范围。并且在数据共享的不同阶段,金融机构与第三方机构信息披露义务的主次地位应当结合具体阶段内相关共享主体对数据掌控程度的高低进行区分。
(二)具体内容
金融数据共享风险频现的问题症结是信息不对称与技术加持下的关联结构,信息披露是有效缓解信息偏差的核心工具。基于金融数据共享风险逻辑与大数据金融语境下的发展需求,实现借以扭转个人数据主体的信息匮乏处境并保障其知情权的规范目标,必须合理界定强制披露的具體内容,既要避免增加个人客户对披露信息的阅读与接收负担,同时也要尽量减轻金融数据共享机构的披露义务履行成本。揆诸现制,现有规范如《民法典》第一千零三十五条、《网络安全法》第四十一条、《个人信息保护法》第七条都将处理信息的目的、方式和范围作为信息处理者的披露义务内容。在金融规范领域,金融消费者权益保护实施办法第三十一条与《信息安全技术 个人信息安全规范》针对数据共享提出了更为细致的披露内容,具体包括共享数据的目的、数据类型、数据接收方类型以及可能产生的后果。
由此可知,在信息披露内容及详实程度方面,各层级的法律规范既有达成共识之处,亦有不一致的地方。效力层级较高的规范大多侧重在个人数据授权时应当披露的信息,目的是保障“知情—同意”授权机制有效发挥作用,但并未考虑到共享后续利用情况的披露问题,且普适于各类数据处理活动,对金融数据共享而言稍显宽泛。反之,效力层级较低的规范关注到了数据使用后果的披露问题,但因位阶较低难以形成强制力。是故,信息披露义务内容的设置不能拘泥于授权阶段的一次性简单披露,必须关注到数据共享的动态化特征,为个人数据主体充分评估金融数据共享的风险与做出理性授权提供完整的信息参照。另外,考虑到共享信息超载披露不仅无助于信息主体做出准确的判断,还会增加共享机构的披露成本,在确定信息披露义务的内容边界时应当结合共享数据风险范围、数据种类,重点披露共享目的、类型、时长、共享及存储方式、共享主体的身份资质、数据安全保障能力等内容,以及可能产生的后果和拟采取的解决方案。
(三)履行方式
在金融数据共享过程中,个人客户知情权保障受阻的原因之一是荷担超越自身理解能力而引发不愿知情的负面情绪。对此,信息披露义务在履行方式上应当以科学、合理、恰当的方式呈现给个人客户,既要使其能够获取足够关键、与切身利益相关的重要信息,也要便于个人客户接受和理解。例如,金融消费者权益保护实施办法第十七条规定银行等机构在对相关金融产品或服务进行信息披露时,“应当使用有利于金融消费者接收、理解的方式”,并“对其中关键的专业术语进行解释说明”。
因此,在披露形式上,金融数据共享机构可采取列表或目录形式供个人客户自行选择查询涉及数据共享的具体信息。考虑到数据共享因不同实施阶段的处理目标或治理理念差异而各有其侧重,在授权阶段,应当以促成数据共享、提升数据流转和利用效率为原则,金融数据共享机构的信息披露可以采取相对简洁明了的单页形式呈现;而在数据共享阶段,数据流向弱监管领域,数据风险随之攀升,此时应当坚守安全底线,要求参与共享的第三方机构尽可能详尽地披露其利用个人数据的具体情形。为便于及时披露金融数据泄露等紧急安全事件,有必要考虑在数据共享平台建立统一的个人客户管理中心作为主要的义务履行途径,但并不局限于此,当发生数据泄露等紧急安全事件时,亦可通过弹窗、电话、短信等方式及时通知个人客户。另外,因授权阶段信息披露义务的具体内容将影响个人数据主体是否做出授权决定,故此时信息披露义务主体应当向个人客户一次性披露全部重要信息,以供其做出准确、理性的评估与决策。在后续共享阶段,综合数据共享效率与共享机构披露成本等因素,金融数据共享机构可以结合具体情况选择定期披露,但涉及安全隐患的事件应进行持续性、实时性披露,即做到“一事一披露”。
(四)法律责任
从法经济学角度而言,只有对于满足假设条件的行为模式给出明确的效果反馈(法律救济或法律责任),一个规则才能够构成科斯所谓的“法律立场”,进而清晰地界定一项权益的“法律边界”(凌斌,2012)。明确金融数据共享机构不履行或不当履行信息披露义务的法律责任能够产生一定的责任威慑效力,并为共享机构提供行为结果的预测。从理论角度而言,信息披露制度包括形式和实质两方面的要求。前者指保证披露内容的形式合法性,并兼具在语言上便于披露对象理解的适用性,如若违反则构成未以法定形式披露;后者则涵盖完整性、真实性、准确性以及及时性。结合金融数据共享实践,完整性要求金融数据共享机构在涉及数据共享利用信息时应当全面、周密、充分地披露,即使是涉及数据安全隐患方面的信息,也不应当有所隐瞒,违反该要求则构成不披露或不完全披露。真实性要求披露数据共享的客观情况,不包含任何虚构,否则构成虚假披露。准确性要求不得在披露数据共享利用情形时做出含糊其辞、误导性的披露,违反则构成误导性披露。及时性要求信息披露义务人应当以最小的时间差来披露相关信息,例如在发生数据泄露事件时,金融数据共享机构应当及时采取措施通知个人客户,未能及时履行的,属于延迟披露。综合来看,违反实质要求的四种情形相较于未以法定形式披露的违反情形而言,对个人客户的知情权损害较大,其法律责任应当重于违反形式披露要求时的责任。
在违法信息披露义务的责任承担方面,应当遵循以民事责任与行政责任为主,以刑事责任为辅的基本思路构建责任体系。之所以循此责任设定逻辑,是因为考虑到当个人金融数据权益受损时,数据主体的利益诉求主要倾向于获得实质性的损失赔偿,并且要求义务主体做出整改以继续接受其服务。以民事责任提供的救济结果更符合其预期的利益诉求,而行政责任由监管机构通过其公权力介入发挥其强制力和威慑力,与民事责任形成互补,能为信息主体提供更加全面的保护。至于刑事责任的设立,更多是为了起到形式上的威慑作用,不宜随意创设罪名,应当恪守刑法的谦抑色彩,仅仅作为信息披露严重违法的兜底性责任实存。
五、结语
随着大数据与金融融合程度的加深,金融数据共享涉及的法律主体与法律关系愈益复杂,传统权利话语在面对金融数据共享风险治理议题时略显不足,个人数据主体的权益保障迫在眉睫。“数据”“风险”是金融行业的天然标签,金融数据共享领域客观存在的信息不对称看似与其在信息供给上的便利性相契合,实则并不尽然。金融数据共享机构的信息披露义务作为个人客户知情权保障的重要部分,亦关系到金融数据共享秩序的确立。考虑到金融数据共享风险治理的革新与重构相较于其他领域有着独特的属性与更高的要求,信息披露义务的规范构造需要结合金融数据共享的实践范式从主体、内容、方式、责任等多层面进行细化。与此同时,金融数据共享机构信息披露义务的确立并非以替代旧有的制度为前提,权利进路与义务进路也不是互斥的存在,而是相互依赖的关系所在。在金融数据共享之公益与个人金融信息保护之私益的耦合与平衡过程中,充满着多维度的紧张关系与价值选择难题。个人金融信息保护的法律价值目标并不意味着要绝对排除和禁止金融数据共享,更非要以牺牲数字经济发展为代价固守旧有的制度规则,而是以金融数据共享的权义结构的动态化调整和安全开放价值的博弈作为贯穿始终的核心。
总的来说,信息披露义务的科学构建需要不同主体通力合作,以及不同位阶的规范形成全面细化、操作性强的制度体系。今后,重点工作应当是强化个人客户自身的信息接收能力、金融数据共享机构的行业自律与义务履行,创新金融监管部门的理念与工具,共同推动金融数据安全、可靠、规范地共享与利用。
参考文献:
[1]邢会强.大数据时代个人金融信息的保护和利用[J].东方法学,2021,(01):47-60.
[2]许多奇.论数字金融规制的法律框架体系[J].荆楚法学,2021(01):146-160.
[3]程雪军.算法社会下金融消费者信息权的法律治理研究[J].河南社会科学,2022,30(07):51-60.
[4] (美)刘易斯·芒福德(Lewis·Mumford)著·陈允明,王克仁,李华山译.技术与文明[M].北京:中国建筑工业出版社,2009:34.
[5]张家林.证券投资人工智能:人工智能时代的财富管理变革[M].北京:中国经济出版社,2017:179-180.
[6] LIU H W.Two decades of laws and practice around screen scraping in the common law world and its open banking watershed moment.[J].Washington International Law Journal,2020(01): 28-62.
[7]董淑芬,李志祥.大數据时代信息共享与隐私保护的冲突与平衡[J].南京社会科学,2021(05):45-52+70.
[8]段伟文.信息文明的伦理基础[M].上海:上海人民出版社,2020:4.
[9]汪全胜,王新鹏.数据治理的行为法经济学转向:助推理论实现个人信息保护[J].哈尔滨工业大学学报(社会科学版),2022(04):53-59.
[10]郭雳.数字化时代个人金融数据治理的“精巧”进路[J].上海交通大学学报(哲学社会科学版),2022,30(05):15-27.
[11]方乐.个人金融信息保护的逻辑演进与立法完善[J].现代经济探讨,2022(03):124-132.
[12]周仲飞,李敬伟.金融科技背景下金融监管范式的转变[J].法学研究,2018(05):3-19.
[13]巫文勇.互联网平台金融的信息披露规则与法律责任重叙[J].法律科学(西北政法大学学报),2022,40(05):50-63.
[14] ROLAND L T,Sarah J H.The SEC Staff's "Cybersecurity Disclosure" Guidance: Will It Help Investors or Cyber-Thieves More?.[J].Business Law Today,2011(12): 1-4.
[15]程威.個人金融信息保护的规范取向与路径优化[J].西北民族大学学报(哲学社会科学版),2022(02):87-96.
[16]黎四奇.二维码扫码支付法律问题解构[J].中国法学,2018(03):110-131.
[17] 曾威.互联网金融科技信息披露制度的构建[J].法商研究,2019,36(05):79-90.
[18]林润辉,谢宗晓,李娅,等.政治关联、政府补助与环境信息披露——资源依赖理论视角[J].公共管理学报,2015,12(02):30-41+154-155.
[19]后向东.信息披露制度的理论溯源及推行思考[J].四川行政学院学报,2023(02):5-16+101.
[20]廖凡.论金融科技的包容审慎监管[J].中外法学,2019(03):797-816.
[21]李东方,李耕坤.数字经济时代个人金融信息的经济法分析与对策——从“立法碎片化”到《个人金融信息保护法》[J].中国政法大学学报,2023(01):201-215.
[22]赵吟.论开放银行数据共享中的信息披露义务[J].政治与法律,2021(02):92-107.
[23]李翔宇.绿色金融背景下我国环境信息披露的现状检视与规制进路[J].西北民族大学学报(哲学社会科学版),2023(03):130-139.
[24]陈萌.从数据共享机制角度谈开放银行创新[J].新金融,2020(05):33-37.
[25]凌斌.法律救济的规则选择:财产规则、责任规则与卡梅框架的法律经济学重构[J].中国法学,2012(06):5-25.
(责任编辑:唐诗柔)
Construction of Information Disclosure Obligations for
Financial Data Sharing Institutions
Huang Ruizhe
(Hunan University)
Abstract: In the era of Big data, financial data sharing and utilization not only release multiple values, but also challenge the security of personal financial information. The existing normalization protection path with personal information self-determination as the core failed to accurately assess the bounded rationality and information disadvantage of the information subject, resulting in difficulties in the protection of the right-to-know of financial consumers and difficulties in obtaining comprehensive and effective information to make rational authorization and judgment on financial data sharing. To address the dual dilemma of information asymmetry and information overload faced by financial consumers, it is necessary to restructure the order from the scope, specific content, performance methods, and legal responsibilities of disclosure obligations, in order to achieve a rebalancing of rights and obligations between personal data subjects and financial data sharing institutions.
Keywords: Big data; Financial data sharing; Information disclosure; Informed consent right