王炜炫

（华东政法大学经济法学院，上海 200042）

一、引言

近年来，数字经济和数字货币的发展备受瞩目。我国高度重视数字经济和数字货币的发展，积极参与数字货币、数字税等国际规则制定，塑造全新的国家竞争优势。我国是最早对央行数字货币（CBDC）进行研究和试验的国家之一，在2014 年就开始了对央行数字货币的研究（王旭和贾媛馨，2020），并于2020 年4 月开始数字人民币的试点测试。

数字人民币能为便捷交易提供支持平台，从而提高交易效率，尤其在跨境支付情景中，数字货币的优越性得到充分体现。但利弊总是如影随行，基于数字人民币的底层算法逻辑，公众使用数字人民币的所有交易细节如交易对象、地点、金额等都会在系统中留痕，并被作为数据保存。从个人信息保护的角度出发，上述交易数据系以电子方式记录的具有身份识别性的个人信息，而数据主体享有个人信息权益；从隐私权保护的角度出发，根据《中华人民共和国民法典》第1032 条之规定，上述交易数据反映了公民私密的交易活动，应属于个人隐私范畴，在数据主体不愿披露且客体未涉及社会公共利益时，数据主体享有隐私权益（王利明，2013）。因此，数字人民币发行和流通中的交易数据兼具个人信息和隐私的性质，如若其不当泄露将直接侵犯数据主体的个人信息权和隐私权，本文将着重研究保护二者的公法路径，故在本文语境下未对个人信息保护和隐私权保护的私法属性进行界分。

数字人民币发行和使用过程中的数据留痕并不意味着侵犯个人隐私，重点在于让数据公益与数据私益同频共振，即如何在个人隐私保护与反洗钱监管之间寻找平衡点，构建完善的数据处理规则和监管模式应是当下研究的重点。同时，由于我国数字人民币发行模式采用双层架构，即由中央银行先向指定的商业银行发行数字人民币，再由后者对公众提供兑换服务。兑换服务通过数字人民币App 完成，其中涉及商业银行数字人民币钱包的开通业务。但在实践中，各家商业银行的个人信息保护政策条款参差不齐，个别条款甚至有“霸王”条款之嫌。为此，有必要在数字人民币试点阶段就厘清个人信息保护与交易数据监管的关系，同时明晰在双层架构中，商业银行在个人信息保护中应扮演的角色以及其收集个人信息的范围。

二、数字人民币双层运营架构下个人隐私保护需要关注的问题

相较于现金交易，数字货币的发行和流通提升了交易效率，加速了数字经济的蓬勃发展。但随之而来的一个问题是如何打消一部分公众对个人隐私保护的疑虑。为了解决数字人民币发行、流通中的个人信息保护问题，构建行之有效的个人数据监管体系，有必要厘清问题的缘起。究其本源，个人信息何以在数字人民币发行和流通的过程中面临挑战，很大程度是因为数字人民币的双层运营模式。

根据央行数字人民币研发工作组于2021 年7 月发布的《中国数字人民币的研发进展白皮书》（以下简称《白皮书》），数字人民币采用双层运营架构：在发行层，央行负责数字人民币的发行、注销；在流通层，央行选择具有一定资质且符合条件的商业银行作为中间机构向公众兑换数字人民币（见图1）。数字人民币构建遵循“一币、两库、三中心”的原则。其中“一币”是指数字人民币；“两库”是指数字货币发行库和数字货币银行库，前者储存着数字货币发行中的所有底层数据，包括但不限于发行数据、交易数据等，后者为商业银行存放数字货币流通数据的数据库；“三中心”是指认证中心、登记中心和大数据分析中心，认证中心是数字人民币匿名可控的关键组成部分，其主要收集商业银行以及用户的身份信息，登记中心则主要负责数字货币和身份信息一一对应的工作，同时记录数字人民币的流通数据，以完成权属登记，大数据分析中心则是立足于对异常交易的监管，通过监控异常数据及时发现洗钱等违法犯罪行为。

图1 数字人民币的运营框架

在数字人民币双层运营的逻辑框架下，央行希望通过商业银行调动公众使用数字人民币的积极性，在尊重公平竞争的前提下充分发挥市场主体的主观能动性以促进数字人民币的稳健发展。随之而来的是，用户的个人信息保护面临新问题、新挑战，主要体现在以下两个方面：

（一）发行层：用户在使用数字人民币时形成数据留痕

互联网时代，每个人都在“裸奔”（张红，2020）。在互联网信息爆炸式发展的今天，用户在互联网上的一举一动都会形成一串特定化的数字代码并存储于互联网记忆系统当中。根据《白皮书》，虽然央行致力于将数字人民币钱包打造成“小额匿名可控、大额依法可追溯”的模式，但由于数字人民币所运用的技术借鉴了区块链技术的全程留痕、可追溯的特点（陈熹，2022），即其离不开互联网数据算法的底层逻辑——“只要使用，必定会形成数据留痕”。因而，不同于现金实物交易，在使用数字人民币的过程中，相应的交易数据必然会形成相应代码并储存于“两库”当中。同时，相应的交易数据将流转于多重个人信息处理者，而现行法律对于这些处理者的权利义务边界并没有详细规定。用户在兑换服务中，商业银行是第一重个人信息处理者，负责数据处理和数据监管的 “三中心”则是第二重个人信息处理者。但可惜的是，对于“两库”的存储内容以及访问权限目前均未有明确规定。流转次数的增多为个人信息安全增加了不确定性，如若没有健全的数据保存措施和监管制度，随着流转次数的增加，个人信息泄露的风险将会呈现指数式增长。

法国哲学家卢梭曾言，没有约束的自由不是真正的自由。在数字经济时代，数字货币的发行为市场主体提供了高效、便捷的交易方式，但如若缺乏相应的监管，将会为洗钱、电信诈骗等金融犯罪提供滋生温床。数据留痕正是监管的应有之义，要求使用者身份明确、个人信息全面是央行实施货币金融监管的现实路径，也是其职责所在（邢爱芬和付姝菊，2022）。因此，数字人民币数据留痕是必然趋势，这并非问题的关键。核心是如何在数据私益和数据公益中探求双向平衡点（王炜炫，2022）。用户在使用数字人民币过程中所产生的数据理应属于个人隐私，而数据留痕是货币金融监管所必经的前置程序。后者并不会直接侵犯数据主体的隐私权，只有在不当泄露等违法违规现象发生时，数据主体的隐私权才会受到侵犯。因而问题转化为，在数字人民币双层运营架构的逻辑下，“两库”储存数据的内容和访问权限应当有何区别，即商业银行和“三中心”的权利义务边界在哪里？央行“大额依法可追溯”的具体情形有哪些？在向第三方披露相应数据时应当履行何种程序？

（二）流通层：个人信息收集者分散且无统一的收集标准

根据《白皮书》披露，在试点阶段，央行首先选择了若干符合条件的商业银行作为中间兑换机构，其中包括了中国银行、招商银行、网商银行（支付宝）等。根据数字人民币App显示，用户在不同商业银行开设数字人民币钱包时都必须同意其制定的个人信息保护政策，否则将无法开设并使用数字人民币钱包。研读各家商业银行的个人信息保护政策，不同银行要求收集的个人信息内容不尽相同。如某银行要求用户在转钱时提供资金用途信息，而另一家银行仅要求用户提供收款方的手机号、钱包编号等基础性信息，并未涉及资金用途信息的登记。诸如此类的条款内容上的差异还有很多。

此外，个别具体条款或有过度收集个人信息之嫌。如某银行数字人民币钱包个人信息保护政策提示，如若用户拒绝授权系统后台保存交易时的位置信息，数字钱包相关功能将无法使用。个人交易时所处的位置属于个人隐私，用户有权拒绝被获取且拒绝并不会影响商业银行的风控机制。因为钱包开通时已经提供了一定量的个人信息，商业银行完全可以通过其他方式进行异常交易监控，无须强制用户共享时实位置。

在数字人民币流通过程中，央行指令多家商业银行提供兑换服务可以缓解数字人民币的兑换压力，但在采集个人信息方面，个人信息收集者相对分散会令收集标准存在参差，加之目前还没有对商业银行隐私保护政策制定统一的监管标准，这进一步导致不同商业银行个人信息保护政策的较大差异。

隐私政策是网络服务商公开收集并使用用户个人信息的合法性基础，符合合同法中要约的构成要件（Scott，1999），如若用户对网络服务商的要约进行了“同意”，则意味着用户作出了承诺。但事实上，相较于商业银行，用户处于合同谈判的劣势地位，其根本无法与商业银行进行条款磋商。用户在面对格式条款时，只能选择全盘接受或者完全拒绝，没有讨价还价的余地。与此同时，有的商业银行在试点推广数字人民币钱包时，运用数字人民币红包等各种优惠手段吸引公众注册并使用数字人民币钱包，却并没有以明显的方式提示用户应当仔细阅读个人信息保护政策，或涉嫌未履行《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中的明确告知义务。

三、域外借鉴：部分发达经济体数字货币的隐私权保护

当前，域外部分发达经济体也在大力推动数字货币的发展并研究制订相应的运作和监管规则，其对于隐私权益和个人数据权益保护的规定或可为我国提供镜鉴。

（一）数字美元的隐私权保护规则

2020 年，美国数字美元基金会（Digital Dollar Foundation）协同埃森哲（Accenture）正式开启数字美元项目（DDP），旨在研究数字美元的发行模式及其发展轨迹。根据DDP 发布的《数字美元白皮书》披露，数字美元的运营模式同样采取双层架构，即美联储将向商业银行发行数字美元，商业银行为公众提供数字美元的兑换服务①See Digital Dollar Foundation and Accenture, The Digital Dollar Project: Exploring a US CBDC, (May 2020), http://digitaldollarproj ect.org/wp-content/uploads/2021/05/Digital-Dollar-Project-Whitepaper_vF_7_13_20.pdf.。

《数字美元白皮书》专门对隐私保护进行介绍。首先，《数字美元白皮书》指出如何保护个人隐私不会被政府无端监控是数字货币时代的症结所在。因为在传统的现金交易当中，政府难以对每一笔交易进行全方位监管，但这并不意味着现金是为了保障个人隐私的产物，现金保护隐私的功能源自于其“无记名工具”的固有属性。对于现金交易监管，美国政府规定如若在贸易中收到超过1 万美元的现金应当履行相应的申报程序。因此，只要涉及货币交易流通，随之而来的便是交易监管，重点在于如何避免无端监管。

其次，《数字美元白皮书》指出美国法院近期拒绝将“第三人理论”扩展适用于蜂窝通信数据隐私中，即在数字美元发行和流通的过程中，政府获取公民相关交易数据仍要符合美国宪法第四修正案之规定。虽然美国宪法没有明文规定隐私权，但是联邦最高法院在博伊德（Boyd）案从美国宪法第四修正案中“解释”出了“隐私”。在判决中，法院指出，政府的搜查行为侵犯了公民的“个人住宅的神圣性和个人生活的隐私”②See Boyd v.United States, 116 U.S.616, 630(1886).。因此，政府搜查公民隐私时应当符合美国宪法第四修正案的实体和程序要件：第一，在实体上政府的搜查行为须具有合理依据（Probable Cause），通常体现为被搜查者具有犯罪的可能性；第二，在程序上政府的搜查行为原则上应取得法院签发的合法令状（Warrant），否则政府所获取的隐私数据无法作为定罪证据（张咏，2020）。

但例外是，如若个人自愿主动向第三方提供自己的信息，则不受隐私期待的保护（向燕，2008）。这一原则又被称为“第三人理论”，并在“美国诉米勒案”（United States v.Miller）中得以明晰。此案双方的争议焦点在于政府向银行索要被告的账户信息是否属于对被告隐私的搜查。法院最终裁决，用户向银行披露隐私数据时，就已经预料到了银行可能向政府披露其隐私的风险，故被告不享有美国宪法第四修正案所规定的隐私保护③See United States v.Miller, 425 U.S.435, 443(1976).。

在数字美元的个人信息保护中，美国法院目前拒绝适用“第三人理论”排除用户的隐私保护。一个主要原因是，在数字货币中，用户并非自愿主动地将个人隐私数据分享给美联储，更多的是政府为了金融监管的公益而选择牺牲部分数据私益。因此，直接运用“第三人理论”排除用户隐私保护，无异于强制将用户的隐私交由政府无限制监管与使用，将会给隐私权保护带来冲击。

（二）数字欧元的个人数据保护规则

数字欧元目前仍处于起步阶段，未来也可能采用类似数字人民币的双层运营架构（宋鹭等，2022）。欧洲央行发布的《数字欧元公众咨询报告》显示，隐私是欧元区用户最关心的问题。欧盟发布的《数字欧元：政策启示及前景》明确指出，欧洲所有政策和目标的第一价值位阶都是保护隐私，因而数字欧元的构建也应着重考虑如何权衡数据隐私保护和反洗钱监管④See European Central Bank, Report on a Digital Euro, (October 2020), https://www.ecb.europa.eu/pub/pdf/other/Report_on_a_digital_euro～4d7268b458.en.pdf.。该文件“隐私要求”部分提出了“小额匿名、大额可追溯”“加强第三方审计”“数据透明”等三项原则性措施。欧盟《一般数据保护条例》（GDPR）就个人隐私数据保护作出具体规定，在数字欧元项目中，GDPR 或在以下两个方面提供合规思路：

1.知情同意原则

根据GDPR 第6 条之规定，当至少满足下列一项情形时，数据处理方为合法：①数据主体同意为一个或者多个特定目的而处理其个人数据；②数据处理对完成某项数据主体所参与的契约是必要的，或者在签订契约之前基于数据主体要求而进行的数据处理；③数据处理是数据控制者为了履行法定义务所实施的；④数据处理是保护数据主体或者其他自然人的核心利益所必要的；⑤数据处理是数据控制者为了公共利益或者基于政府权限而完成某项任务所进行的；⑥数据处理对于数据控制者或者第三方所追求的合法利益是必要的，其中不包括需要通过个人数据保护以实现数据主体的优先利益或基本权利与自由，尤其是儿童的优先利益或基本权利与自由⑤See GENERAL DATA PROTECTION REGULATION, at https://gdpr-info.eu/art-6-gdpr/ (Last visited on October 8, 2022).。

对应到数字欧元双层运营架构当中，欧洲央行对于用户的隐私数据收集和处理可以解释为履行其对洗钱、金融诈骗等违法犯罪行为的法定监管义务，即为了巩固货币金融市场的稳定性而让渡了部分数据主体的隐私权，因而其获取与处理行为具有天然的合法性基础。但是对于商业银行等提供兑换服务的中间机构而言，这样的合法性基础仍需要通过数据主体的知情同意而获得，因为金融监管的责任在于欧洲央行，中间机构不存在任何法定义务。换言之，商业银行与用户签订隐私保护合约时应当充分履行明确说明义务，确保用户在授权时知悉合同约束条款，以取得用户有效的同意。

2.个人数据处理规则

在厘清欧洲央行和商业银行收集处理个人隐私数据的合法性基础之后，随之而来的问题是欧洲央行对于隐私数据的披露应当如何控制？根据GDPR 第10 条之规定，官方机构可以在采取恰当的方式保护数据主体的权利和自由后，处理涉及违法犯罪的个人信息。本条为欧洲央行实行货币金融监管，并将有关隐私数据移送相关机构提供了合法性基础。

除此之外，GDPR 强调数据的流通价值。静态的数据价值远不如数据流通共享所带来的社会经济效益，但这样的数据流通共享需要在合规的前提下进行。根据GDPR 第5 条第1 款第5 项，在为了实现公共利益、科学、历史研究或统计目的时，并且为了保障数据主体的权利和自由，在已经采取了本条例第89 条第1 款所规定的合理技术和组织措施的情况下，数据可以进行超期存储且进行适当共享。其中，GDPR 第89 条第1 款主要要求，为以上目的而进行数据共享时，应当保证数据最小化原则，即采取相应措施保障数据主体隐私权，措施包括但不限于数据匿名化。

用户使用数字欧元所产生的个人信息可以形成一张巨大的数据网，对于科研机构分析金融消费行为、金融交易发展等均有重要价值，对于欧洲央行分析宏观经济形势、制订货币政策、提升数字欧元的用户黏性有着至关重要的作用。此类个人金融信息是大数据的重要组成部分，具有精准性和高价值，是数字经济时代的重要数字红利（邢会强，2022）。但数据处理应当在合法合规的框架下才能有效运行。

（三）小结

虽然相较于数字人民币，数字美元和数字欧元的发展仍处于起步阶段，在制度蓝图上仅有宏观层面的模型建构与原则性的制度方针，但其现行的数据隐私保护规则以及相应的立法思路或能为我国数字人民币发行、流通中个人信息保护制度的构建提供一些有益的启示。

第一，坚持法定数字货币双层运营的架构模式。首先，不同于加密资产比特币和Libra 的去中心化的获取模式，法定数字货币由国家信用背书的特性决定了其中心化的管理模式。在法定数字货币中，央行承担中心发行的法定职责，因而央行必然承担中心监管职责。其次，由于法定数字货币在法律地位上等同于现金货币，具有无限法偿性，为了避免出现挤兑风险，央行无法直接向公众发行数字货币，双层运行架构或许是必要的选择（盖静，2021）。最后，在技术上匿名化和去中心化并非难事，但是数字货币的发行是为了促进经济的稳定健康发展。如若完全采取匿名化，央行无法对数字货币交易中的异常行为进行及时监管，数字货币最终可能会沦为违法犯罪分子的洗钱工具，进而影响国家货币的公信力和国际地位。

第二，有必要明确何种情形下，数字货币中的个人隐私会受到政府监管。在反洗钱监管趋严的背景下，个人交易数据留痕早已是板上钉钉的事实。但群众关切的是，这些个人隐私将在何种情况下受到政府监管。对此，美国宪法第四修正案和相关判例或许可以提供镜鉴。就目前而言，如若政府需要获取存储于美联储的数字货币个人隐私，需要提供合理依据和有效的搜查令，理由包括公民涉嫌洗钱、诈骗等违法犯罪行为等。由于美国是判例法国家，合理与否的判定权由法官掌握。但这样的立法模式仍然相对明晰地界定了政府在何种情况下可以查阅并监管数字货币中的个人隐私。

第三，遵循知情同意原则，并确立数据最小化和匿名化的数据处理规则。随着时间的推移和用户使用量的叠加，用户在使用数字货币时所产生的数据会逐步形成庞大的数据库，其数据内部的关联性会不断地加强，或可以通过数据分析的手段提高货币金融政策的普适性。这样的金融数据库是数字经济时代重要的生产要素，无论是政府机关还是科研组织都应抓住数字时代的数字红利，利用数据要素为经济社会发展制订规划或出谋划策。在数据收集处理和流转共享时需要注重对数据主体的隐私保护，GDPR 始终坚持知情同意原则的指引地位，并明确了数据最小化和匿名化的数据处理具体规则，这在一定程度上为数据的高效收集和安全流转提供了相应的制度保障。

四、路径选择：数字人民币发行和流通的隐私数据监管模式

新事物伴随着新挑战，尤其是在数字经济高速发展的时代，政府监管权和公众隐私权之间开始出现更多的摩擦。在数字人民币的发展过程中，政府对于数据公益和数据私益的抉择将直接影响数字人民币制度的未来演变轨迹，如何调整各方主体的权利义务关系以明确个人隐私权与政府监管权的边界，已然成为数字人民币制度完善的一项重要命题。

（一）明确中央银行在数字人民币数据监管的中心地位

赫维茨（Hurwicz）认为，资源配置的有效性、信息的有效性与激励的兼容性是判断制度设计优劣的基本标准。要在各种可能的制度中选择一个资源配置效率较高、信息成本较低、各方利益主体协调的制度（田国强和陈旭东，2018）。在新制度经济学的分析视角下，交易成本成为分析制度优劣的起点。制度安排中的交易成本都可以通过数据对比而知悉，而正是由于交易成本的存在造成了制度效率高低有别的现象。在金融监管中，如何确立监管主体亦然需要考虑制度成本的差异。在数字人民币运营体系当中，央行是“两库”数据的首要收集者，对于信息的收集和监管均处于第一线，同时其内部“三中心”的设立也有助于分散制度风险，进而起到降低制度成本的作用，由央行直接进行数字人民币数据监管应是最低成本的方案。

此外，央行作为专业的法定货币发行中心和商业银行的核心监管者，对于储存金融信息和制定处理规则、监管商业银行，相较于其他机构都具有优势，其自身的专业能力和水平同样能减少制度运行的信息成本，从而提高监管制度中的资源配置效率。

因此，对于央行数据合规监管的中心地位应当予以明确，主要职责包括：履行对“两库”中的数据监管、数据传输中的合规运营、隐私保护条款设计等方面的监管责任，对于商业银行的数据违规行为予以纠正。

（二）发行层：设计数字人民币隐私数据的收集处理规则

1.强化“两库”系统设计并明确存储数据内容以及访问权限

在数字人民币架构中，“两库”的存储内容将直接关系到数字人民币交易过程中个人隐私数据被收集的程度。因而如何设计“两库”系统以及各方主体的访问权限，对于个人隐私数据的安全保护是至关重要的。

对此，可考虑对“两库”进行差别化设计。首先，数字货币发行库和数字货币银行库的储存内容应当有所不同。后者应为前者的子集，因为在数字货币发行过程中，央行处于中心化的监管地位，对于交易信息数据的掌握当是全面且具体的；而商业银行在数字货币运营体系中主要起到兑换数字货币的桥梁作用，其无需对每一笔交易细节了如指掌，只需在提供钱包开立、服务时采集必要的个人信息即可。

其次，在具体内容上，数字货币发行库应存储有关数字货币交易的所有信息，以便“三中心”实时进行数据监管；而数字货币银行库应当遵循必要性原则，即该库仅可储存金额变动等基础性交易信息，同时无法将交易信息与身份信息一一对应。

最后，在访问权限上，央行可以出于数据监管目的访问数字货币银行库，而商业银行无权查阅数字货币发行库。因为数据货币发行库构建的初衷在于使承担监管职责的央行能及时监控异常交易数据，以打击洗钱、诈骗等金融违法犯罪行为。

2.构建完善的数据查阅和披露体系

国际社会已对数字货币留痕监管达成共识，但关键在于如何保障个人隐私数据不被无故查阅和监管。英国行政法学家韦德曾言，法治并不要求消除广泛的行政裁量权，但法治要求控制行政裁量权的行使。因而，为了切实保障数据主体的隐私权，有必要明晰政府机关查阅隐私数据的权限边界。于此，如图2 所示的数字人民币隐私数据查阅与披露体系或可为我国将来立法提供参考。

图2 我国数字人民币隐私数据查阅与披露体系

我国《个人信息保护法》将公民的个人信息分为敏感个人信息和其他个人信息，并在该法第28 条以“概括+列举”的方式释明敏感个人信息的种类。在司法上，二者的分类标准应当根据“一旦相关信息泄露，是否容易导致自然人的人格尊严受到侵害和是否会对个人的人身安全及财产安全造成危害”两个标准进行判定（王利明，2022）。具体到数字人民币相关的个人信息，“两库”中的数据内容主要包括用户的身份信息、账户信息、资金流向甚至虹膜、生物脸像等信息。这些信息数据在“三中心”的处理下可以实现一一对应关系，进而形成明确、具体的用户“画像”。对于用户而言，这些数据是其基于金融交易行为所产生的个人金融信息。如若不当泄露，用户的资金安全将直接受到威胁，甚至可能为电信诈骗、洗钱等犯罪分子提供信息来源，进而对公众用户的财产安全造成危害。因而，数字人民币中的交易数据属于敏感个人信息范畴。

《个人信息保护法》第29 条进一步规定了“单独同意规则”，即敏感个人信息的处理必须经过数据主体单独同意，在法律法规特别规定的情形中还需要取得书面同意。因此，原则上，如若要披露或者共享用户在数字人民币使用过程中的交易数据，必须取得数据主体的单独同意，仅通过隐私政策等形式获取一揽子授权并不具有法律效力（王利明，2022）。

关于原始数据的查阅。在数字人民币发行过程中，央行主要承担监管异常交易和数据保护职责，其本无意对用户原始隐私数据进行共享及披露，央行也无精力在共享原始数据前联系每个数据主体取得单独同意。因实施成本过高，加之共享动力缺位，央行的履职重心应着力于数据监管和数据保护方面。但经授权的特定主体可以基于公共利益的考量，向央行申请查阅特定数据主体的原始数据，其中包括数字人民币钱包背后的身份信息以及账户货币交易信息（柯达，2019）。保留原始数据查阅是数据留痕监管的本质和初衷，因为央行在发现异常交易数据后，或者在公安、检察院等法定机关提出配合调查请求时，根据《中华人民共和国刑事诉讼法》等相关法律规定，央行有配合提供原始数据的义务。如若原始数据不可查阅，那么数字货币监管的制度愿景将无法落地。同时，原始数据的查阅需要有明确的法条授权。因为数字人民币具有较强的私法属性，在满足数据公益的前提下，必须要加强对数据主体隐私权的保护，对于读取信息的机关、读取条件、读取程序、读取内容等方面需要作出限制性规定（赵莹，2020）。授权查阅的方式、程序可以通过成文法的形式予以明确，即非经法律明确授权（如央行履行反洗钱监管职能和刑事诉讼法中的配合义务等），公安、检察院等国家机关无权查阅数字人民币所涉及的原始隐私数据。而且在查阅程序和内容上，查阅主体应当履行前置程序，对于查阅内容的范围应当在事前予以明晰，不得随意扩大查阅原始隐私数据的范围。

关于脱敏数据的获取。《G20 数字经济发展与合作倡议》明确指出，使用数字化的知识和信息是数字经济时代的关键生产要素。互联网、大数据、金融科技等手段的广泛运用和融合创新改变了社会互动的方式，也使得社会在信息化的变革中前行。数字经济时代下，数据要素已经成为公认的五大生产要素之一。数据的价值不在于单个数据背后所代表的信息，而在于数据经过不断叠加、算法处理后所形成的数据信息库。在数据信息库中，单个数据早已难以识别，但是数据之间的联系将会加强，对于社会大数据研究而言是可贵的资源宝藏。在“两库”中，用户每天不间断的交易数据将会形成庞大的数据网，对于央行、政府或者其他非营利性研究组织而言，将会是科研与调研的重要资源。因而“两库”中的数据不应仅停留在数据库中成为静态物品，而应在特定的条件下加速数据的共享和流转，发挥数据要素的最大市场价值，达到数据要素与产权收益的帕累托最优。隐私与共享并不矛盾，矛盾在于如何控制共享隐私的行为（Acquisti 等，2016）。虽然数据共享须经脱敏、匿名化程序，但脱敏数据并不意味着完全无法还原，脱敏程序只是加大了数据还原的难度。在互联网技术高速迭代的今天，脱敏数据控制者或可采用脱敏数据还原等算法以达到近乎数据还原的效果，从而造成隐私数据的二次泄露（唐林垚，2021）。因而作为“两库”监管者的央行应当履行脱敏数据申请获取的审核、审批职责。

第一，在申请用途方面，脱敏数据申请获取的范围采取有限列举的方式，即应当出于社会公共利益或者科学研究等具有社会公共福利的目的。因为脱敏数据共享的目的在于利用数据要素创造更大的社会财富价值而非为了增加少部分群体的私人盈利。从域外立法看，即使欧美均承认数据共享流转的社会经济价值，但是欧盟GDPR 第5 条仍把数据共享的情形限制于“在为了实现公共利益、科学、历史研究或统计目的时”。这亦说明了在数据要素发展的起步阶段，对脱敏隐私数据流转采取谦抑审慎的态度是国际主流。

第二，在数据使用监管方面，在申请人获取脱敏数据以后，央行不可袖手旁观，因为数据如何使用直接影响隐私数据的安全性。有必要赋予央行定期复查数据使用申请方数据使用情况、数据安全管理落实情况的权限和责任。当申请方超越申请范围使用脱敏数据或者自身数据安全保障措施未达标时，央行应撤回审批，待申请方整改到位后方可重新申请获取脱敏数据。

第三，严守数据最小化原则。数据流转不是隐私流转，美国学者威斯汀（Westin）也曾在《隐私与自由》一书中提出，政府收集的个人信息，只可用于特定目的，不可以用于其他目的或者进一步共享流转，除非数据主体的身份特征已经完全抹去，或者他们对自由共享流转明确表示同意（梁泽宇，2018）。“两库”中的隐私数据能否流转，取决于数据匿名化程度是否完备、数据脱敏要求是否达成。我国《个人信息保护法》对于匿名化并没有明确要求，仅规定了匿名化的信息不属于个人信息的保护范畴。虽然上位法未明确匿名化和脱敏技术的重要地位，但在执法中数据脱敏共享已成为基本准则。根据2020 年2 月发布的《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》，其中明确要求建立个人金融信息脱敏管理规范和制度，明确不同敏感级别中脱敏技术的应用规则。央行作为数字人民币监管机构，在数据处理方面，尤其是在脱敏数据申请获取上，要坚持数据最小化原则，同时也应要求申请方在技术支持上达到相应水平，以在数据共享福利与隐私保护两个方面取得平衡。

（三）流通层：统一规范商业银行的隐私政策条款

1.通过分级钱包的特性确定不同级别钱包所需的隐私内容

制度是自由的制度，自由是制度的自由。正如学者艾斯纳（Allen Eisner）曾呼吁要回归市场、注重效率体制，无论是规制还是反规制，核心目标都是降低交易成本、提升产权效率（尹灿，2015）。制度和自由是典型的一体两面，但二者并不冲突，因为制度的经济理性决定了制度的选择。合理的权力资源配置会创造出自由的制度，而在自由的制度运行中会激发社会主体的主观能动性。二者的最终目的均是为了创造低成本、高效率的自由制度。在数字人民币隐私数据收集中，政府收集信息的范围即为制度权力，而个人隐私数据即为自由。如何匹配二者关系成为制度构建的关键。根据央行数字人民币钱包的分类设计，成本最低、效率最高的方案应当是仅收集该类钱包所必需的个人信息，超出该类钱包设计范围的个人信息应当将选择自由归还市场主体。

根据数字人民币App 介绍，数字人民币钱包的分类情况如表1 所示。央行对数字人民币钱包已有相应的分级标准，对不同级别钱包设立所需的个人信息也有所界定，而非如部分商业银行列出的隐私政策条款所言，需要强制收集用户的地理位置等。数字人民币钱包的等级直接影响用户交易的额度，用户可以选择让渡隐私的程度以换取便捷交易的权限。如若用户希望无限制享受数字货币所带来的快捷交易服务，自然需要提供较多的个人隐私信息；如若用户仅将数字货币作为现金的替代品，则无须过多提供自身的个人隐私信息。在匿名程度最高的四类钱包中，仅需要验证手机号码即可开设，虽然我国通信运营商的手机号要求实名登记，但是未经法定授权，通信运营商不可擅自泄露通信主体的身份信息，故相对而言四类钱包仍具有匿名特性。于此，市场主体便可以根据自身需求选择适合等级的钱包，并根据不同分类的钱包提供相应的隐私数据。

表1 我国数字人民币钱包的分类

2.加强央行对商业银行隐私政策的统一监管

制度安排的作用是使总体社会成本降低，而非使特定群体的成本降低，因而制度中行动者的理性偏好应当优位于制定者的偏好。威廉姆森（Williamson）认为，权力具有资源依赖性（陈耿宣等，2022）。中央银行和商业银行作为数据的收集者自然是希望能拓宽隐私数据的收集范围，以加深对数据要素经济价值的利用，从而便于进行金融监管或者提供相应的金融服务。尤其是商业银行，个人隐私数据作为新型生产要素已在银行业精准营销、风险控制、改善经营、服务创新等过程中发挥重要作用（苏颜，2019）。个人隐私数据背后的用户“画像”有助于商业银行为金融消费者提供精准化服务，对促进商业银行业务的开展有着特殊的作用。在逐利动机的驱动下，目前各家商业银行的隐私政策较为笼统，部分信息收集已经超出了数字人民币钱包所要求的信息类型。但数字人民币兑换服务不同于商业银行的一般经营行为。数字人民币的双层运营架构决定了商业银行的定位，数字人民币由国家信用背书，商业银行在数字人民币发行框架中仅承担兑换服务，并不具有相应的监管权限，只需要获取用户相关基础信息（按钱包分级而定）并提供兑换服务。在此过程中，商业银行无须提供线下营销、推销等专属业务，也不存在商业银行和用户签订金融服务合同（进而提供相应隐私数据）的情形。

对此，央行可以考虑统一规范数字人民币流通中的隐私政策内容，根据数字人民币钱包分级明确各家商业银行收集用户个人隐私的条款，进而界定个人隐私被采集的限度。

（四）推进央行数据安全能力建设并完善配套措施

1.利用隐私增强技术，提升央行数据安全治理能力

数字人民币的匿名特性决定了只有央行以及经法定授权的机构才可以查询原始数据。这样的监管架构可以将隐私数据流转的主体个数控制到最少，但这也考验着央行数据安全治理能力。由于数字人民币的隐私数据具有高度私密性，且属于敏感个人信息，“三中心”的数据处理无法采取外包方式。这就要求央行必须建立健全完备的数字人民币隐私数据存储体系，加强自身数据系统的建设，减少黑客入侵等物理因素所带来的金融风险。对此，新兴隐私增强技术（PETs）或可在技术层面提供支持。2023 年3 月，经济合作与发展组织（OECD）发布《新兴隐私增强技术——当前监管与政策方法报告》，其中对PETs 进行了详细介绍。PETs是一系列数字技术的合集，主要包括数据混淆、加密数据处理等工具技术，旨在解决收集、分析和共享信息过程与个人隐私保护之间的矛盾。新加坡资讯通信媒体发展管理局（IMDA）就曾推出首个PETs 沙盒测试，保障企业在完成隐私数据合规要求的前提下获取隐私数据中的潜在价值。PETs 致力于在保护数据隐私的前提下挖掘数据价值。在数字人民币场景中，不失为平衡反洗钱监管和隐私保护的解决思路，也是同类问题未来方案的发展趋势（朱玮，2022）。因此在建设数字人民币隐私数据监管体系时，除了前文的法律制度回应外，还可考虑新兴技术应用的可能性。结合PETs 的技术特征，其对数字人民币的隐私数据保护或有以下助益：

第一，央行在收集、储存相应交易数据时可以利用差异隐私等数据混淆技术降低数据泄露时被正确识别的风险。数据混淆技术的核心在于将真实数据隐匿于混淆数据之中，即在真实数据中加入大量混淆数据以减少数据泄露后的识别风险。

第二，央行在分析、处理相应交易数据时可以采用多方计算的加密数据处理工具实施联合监管。多方计算技术允许多个主体同时输入信息并查阅相应的输出信息，但是输入信息并不会共享于所有参与者。央行在履行反洗钱监管职能时，通常需要多个机构的协同配合，在此过程中可以运用多方计算技术，在保障数据隐私的基础上提高反洗钱监测分析的有效性（朱玮，2022）。此外，在涉及跨境数字货币交易监管时，各国监管者可以联合输入本国交易数据并对输出的交易数据进行监管以判断其是否符合监管要求，但本国的交易细节无须向他国进行披露以保障本国公民的隐私。

第三，央行在共享、流转相应交易数据时可以联合使用数据混淆和加密数据处理技术保护数据隐私。首先，数据共享的前提是数据脱敏，而数据混淆技术中的匿名化技术可以删除数据中的识别元素，防止其与数据主体相链接，从而契合数据最小化原则。其次，数据共享时应避免数据的多重泄露。加密数据处理工具通过数据加密的方式完成数据一对一共享，因此在前文提及的数据查阅和披露体系中，央行可以在有权机关查阅原始数据时提供安全密钥以保障数据查阅仅在双方之间进行；在共享脱敏数据时，央行可以利用同态加密技术将加密的数字货币交易数据共享给申请主体，使其在浏览并利用数据创造社会财富价值的同时无法获取数据本身，从而保护数据安全。

2.完善商业银行数据外包方的市场准入机制

数字人民币不同于区块链去中心化的算法，其中心化的发行模式在一定程度上减少了商业银行层面的信息节点，降低了数据泄露的风险。但在实践中，商业银行可能由于自身数据处理能力有限，一部分数据收集和处理流程通常委托外包数据处理公司。因而，外包方的数据处理资质也将成为影响用户隐私数据安全的重要因素。

对此，外包方的准入机制要严格参照招投标的相关法律要求，须经法定程序且具有相应的数据处理资质方能参与数字人民币的数据处理。商业银行自由选择数据处理项目方的权利应予以适当限缩。可考虑通过招投标的方式实现市场主体的良性竞争，筛选出最优质的数据处理商，以切实保障用户的隐私数据安全，进而促进数字人民币业务的持续发展。