李航｜我国个人金融数据保护的理论适用和规则完善

在国家推进金融数据高质量发展的政策背景下，个人金融数据成为经济社会发展的关键变量。当前我国个人金融数据保护面临个人金融数据的界定不明晰、数据权利构建与数据开放利用之间存在矛盾、个人金融数据保护规则不完善等问题，对此可采用“卡—梅”理论框架对个人金融数据保护予以分析和完善。“卡—梅”框架通过对个人金融数据保护规则进行系统性分类，提供了一种“绕开”数据确权来保护个人金融数据权益的理论工具。具体可以引入“合意性管制规则”和“自愿性责任规则”，并且以“法律保留”为原则配置金融监管机构和金融业机构的实体权力（利），以“正当程序”为指引规范金融监管机构和金融业机构的行为，以此完善个人金融数据保护规则。

随着科技的迅速发展和数据量的激猛增长，个人数据的保护问题在世界范围内成为一个共识。首先，数字社会中人类无时无刻不在产生数据和交换信息，它“不会像面包一样，你吃掉一半我就少了一半，恰恰是在不断地流动分享、复制挖掘和赋值利用中才能生成更多数据，附加更多意义，创造更多价值”。但是，诸如Meta（即Facebook）的数据泄露事件，剑桥分析的数据转卖事件等，对于发挥数据价值有着极大的负面影响，数据保护的问题亟待得到全面深度的解决。其次，大数据不仅是人们获取信息并挖掘潜在价值的源头，更是一种改变“政府与公民关系的方法”。得益于大数据以及新型数字科技带来的便利，“电子政务”和“智慧政府”等概念不断为传统政府所接纳，政府的信息系统中存储了大量有关公民个人信息的数据，这些数据的整合不仅有利于政府高效地完成行政事务，也同样具有类似商业化数据那样的经济价值。西方国家于20世纪50年代兴起的知情权运动和21世纪初的开放政府数据运动使得政府和人民都意识到数据的巨大价值，并且开始对数据价值的获取提出了新的诉求。最后，数字保护主义作为数字经济时代下贸易保护主义的拓展和延伸，使得技术创新和数据服务创新都遭受了极大冲击，同时也是对经济全球化的一种阻碍，名义上保护了国家的数据和技术安全，实质上却是一种双重标准式的建立在侵害他国公民数据基础上的掠夺式霸权主义和利己主义。数字保护主义的抬头，使得人们对于保障个人信息数据安全的诉求更加强烈。

个人金融数据保护事实上是个人数据保护在金融行业中的具体体现，金融是现代经济的核心，“金融是国家重要的核心竞争力，金融安全是国家安全的重要组成部分，金融制度是经济社会发展中重要的基础性制度”，国家大力推进金融市场高质量发展，在这种政策背景之下，个人金融数据的规模日益庞大，且相比其他类型数据更具备创造经济效益的潜力和价值，俨然成为数字经济时代下经济社会发展的关键变量，对个人金融数据的保护也势在必行。

首先是“数据”和“信息”的界定不明晰。事实上，多数学者并未在论证过程中就数据和信息的区别进行过多笔墨的证成，而是下意识地回避两者是否存在规范意义上的不同之处。而一部分学者固然对这两个概念进行了一定程度的剖析和论证，但是所得到的结论并不一致：有学者主张信息与数据的区分仅仅存在于思维层面，如果试图在各个阶段都强行明确区分两者之间的差别，就会陷入循环论证之中，认为这两个概念只不过是同一事物的不同面向，无需也无法区分。一些学者则是就两者的差别进行了专题研究，将信息和数据的区分指向了个人信息权和个人数据权的区分，两者存在本质的不同，归属于不同的权利客体。

其次，个人金融数据的范畴不明确。我国并无专门就金融数据（信息）作专门规定的专项立法，针对个人金融数据的保护，相关的条款散见于诸如《商业银行法》《中国人民银行法》《证券法》《保险法》《反洗钱法》《征信业管理条例》等法律法规中，这些法律法规中对于金融数据或金融信息的相关表述一般是账户信息、银行账号、银行账户、财产信息、信用信息、交易信息、支付账户等表述，而作为信息保护专项立法的《个人信息保护法》中则是以“金融账户”这一表述描述金融数据（或金融信息）的，但也仅限于此，并未就该表述做进一步的解释或区分，有待进一步厘清。

我国近年出台的《个人信息保护法》符合实用主义的原则，兼具有公法属性和私法属性，但是在法学界的研究中，依旧有学者持不同的观点：一些民法学者主张通过私权利的创设来解决问题，即创设在民法上具有排他性的数据权利，通过民事法律规则解决个人金融数据的保护问题。然而，这种通过创设数据权利的保护路径有以下值得商榷的问题：

其一，前置要件不符合当前数字经济发展的现状及衍生出的规律。“有效解决数据权属问题的前置性条件是厘清数据来源”，只有明确数据来自谁，才能进行后续的确权。而纵观现有法律，几乎没有明确的法定数据权利创设，原因就在于当前的数据法律关系日益复杂，数据的来源呈现出多元化的特点，以智能手机为代表的智能移动终端在人类生活中所占比重越来越大，人类无时无刻不在产生数据，互联网使得人们之间的距离被无限制缩短，没有哪些与人类相关的数据可以固定被某类群体所“包揽”。

其二，关注个人信息的财产权利面向或人格权利面向，将数据权利界定为一种支配性权利，在追求周延保护的同时可能使得个人金融数据从保护不足时的“公地悲剧”演化为利用不足的“反公地悲剧”。静态的民事权利客体理念无法有效回应个人信息可识别性和相关性标准边界扩张所带来的需求，强行私权化可能会使民法体系变得混乱。例如，主张数据财产赋权的观点关注个人信息去标识化后成为可以被平台企业有能力控制和收益的财产性要素集合，成为企业数据权的一部分，而较少关注个人信息被利用时如何满足公共利益的需求。实践层面上，以“知情—同意”为主的规则并未起到应有的作用。

其三，私法救济的难度较大。首先，有实证研究表明，传统的“赋权—维权”保护路径可能出现“立法高效而赋权低效”的悖论，通过立法赋予当事人权利并不能改变“强权即正确”的残酷现实。在司法实践中，数据主体与被告之间信息不对称，数据控制者的违约或侵权行为通常难以被数据主体所发觉，导致数据主体的举证难度较高，且数据侵权的损失往往囿于其隐蔽性和不可逆转性而难以被量化计算，导致预期可获得的赔偿通常处于较低水平。尽管《个人信息保护法》第70条规定了个人信息保护的公益诉讼制度，但是该条规定并没有操作上的指引，其示范意义大于实操意义，而数据侵权常常以大规模侵权的形式存在，传统私益诉讼应对规模侵权时的成本和难度较大，公益诉讼制度又不完备，使得个人信息的保护存在进退两难的境地。

其一，受制于我国金融行业分业经营和分业监管的现状，当前我国有关金融数据保护的规定之间关联程度不明显，各个部门出台的规章、规范性文件、行业标准之间并非相互补充的关系，多数规则宣示意义较大，而一些关键条款之间可能会出现标准不一的情形，此时对于规则的适用会产生较大疑惑。例如《民法典》第1035条规定了个人信息处理的一般性原则，金融机构处理金融数据时显然应当遵循该法条规定。然而中国人民银行出台的《中国人民银行金融消费者权益保护实施办法》（以下简称《金保办法》）第31条第2款规定了银行、支付机构通过格式条款收集使用消费者信息的，除了要明确向消费者披露收集相关金融信息的目的、方式、内容和使用范围，还额外规定了应当在格式条款中以尽可能通俗易懂的方式向金融消费者提示同意银行、支付机构收集、使用其金融信息的可能后果。

其二，与个人金融数据保护相关的专门规定位阶相对较低，其中位阶最高的也仅仅是作为部门规章的《金保办法》。该办法有几条规定的文本描述中有“法律、行政法规另有规定的除外”这一但书规定，看似是正常的但书式规定，但此处貌似有不妥之处。法律、行政法规中并无专门规定金融数据保护的条款，如果适用就意味着适用的是一般性的信息保护法律法规，《金保办法》本身就是作为“特别法”的存在，其规定本身就应当是对一般性规则的补充和修正，此时通过该但书规定适用了一般法的规则，那么该特殊法的条款就没有了适用的空间；但反之，如果不规定该条款，缺少但书的兜底，法律的滞后性将会扩张，不利于适应当前发展迅速的数字经济。此外，位阶不足和规范不系统可能会使得相关规定失去强制性，条文本身的稳定性也会下降，强制性越不足，该规范能达到的实效就越弱。而作为最高位阶的《金保办法》的适用对象也并非全体金融机构，而是银行业金融机构和非银行支付机构，导致非银行的非支付机构并未在该部门规章的调整范围内，自然也就不适应该规章中有关消费者金融信息保护的规定，这对于保护个人金融数据来讲是不妥当的。

事实上，数据和信息在概念上的区分并不是一件难事，《数据安全法》已经给出了定义：“有信息的记录”，即数据是信息的载体。根据这个定义，数据于信息，就如“纸之于文、唱片之于音乐、电视之于新闻”。这种理解虽然通俗易懂，但容易将数据和信息进行人为的区分而忽视两者本质上不可分割的特性：信息缺乏一定的载体和媒介就失去了存在的空间，只有借助载体才能为人们所感知和理解；数字科技的迅速迭代使得传统意义上信息和载体（媒介）之间的距离被无限制拉进，信息被分化成二进制的比特（犫犻狋），直接成为信息的基本单元，可以显示为信息并能高效传输。

通过数据与信息不可分割的特性，可以推导出数据与信息之间的关系——数据倾向形式而并非形式本身，信息倾向内容但也并非内容本身，两者是一体两面的关系。数据与信息绝大多数语境下可以相互替代，指代的都是能够为个人、企业、国家提供判断依据并作出相关决策的内容。主张数据与信息之间存在区别的观点可以总结为“数据与信息是形式与内容的关系”，这种理解是对两者关系的直觉性理解，源于对日常生活中表征为“数据与信息相互转换”经验的简单积累，对“数据是信息载体”这一概念内涵的理解出现了偏差，是静态视角下的经验主义所致，将数据和信息进行了预先的割裂（即认为数据与信息是两个概念），以此作为定义数据和信息的前提，这是一种循环论证—即主观上定义了数据和信息的边界，以此来对客观现象进行抽象式的归纳总结，是一种“结论—命题—结论”的循环，忽视了数据和信息不可分割的内在本质。信息也可以成为数据，即信息本身就可以成为其他信息的载体，此时信息也就符合了数据的内涵。因此，信息与数据是侧重点不同、不可分割的同一事物，当它成为某些具备规律的内容之载体时，这些具备某些规律的内容是信息，承载这些信息的就是“特定于这些信息”的数据。有价值的信息可以被进一步收集和整理为新的数据，进而成为更高级抽象的知识信息的原料，此种循环在大数据和人工智能时代背景下不断进行，达到社会全息化分享和控制的结果，数据和信息的最终使命得以完成。可以这么说，数据和信息互相因对方的存在而存在。在实践和学术研究中因其本身的不可分割特性，没有必要进行区分，也无法进行具体的区分。因此，本文在论证过程中如无特殊说明，数据和信息的概念可以相互转换使用。

前述立法对于金融数据（信息）的定义采用了“行为主体＋行为模式+可识别性＋典型举例”的方式，其中“行为主体”指的是“金融业机构”；“行为模式”是指个人金融数据是由金融业机构提供金融产品或服务及其他合法渠道收集到的，该个人金融数据的收集或是源于其对外提供产品或服务，或是为了提供更好的产品或服务；“可识别性”虽然未在法律文本中明文体现，但是文本中提及的“个人信息”“消费者信息”的表述实质上就是“可识别性”的体现，包括可单独识别以及需结合其他信息方可识别；“典型举例”则是列举了个人金融消费者在接受金融产品或服务时产生的各种常见的金融数据，包括与个人身份、财产相关的数据，个人交易内容相关的数据等。而《个人信息保护法》第28条属于特别规定，其规定“金融账户”是一旦泄露或被非法使用个人的人格尊严、人身安全和财产安全容易遭受侵害的“敏感个人信息”，除去其作为个人金融数据应当适用的法律法规，也应当使用《个人信息保护法》对于敏感个人信息的保护规则。

综上，个人金融数据指的是金融业机构在向个人金融消费者提供金融产品或金融服务时或从其他合法渠道收集加工和保存的，能够单独识别或结合其他信息识别特定个人金融消费者的数据。敏感个人金融数据指的是具有高致害风险概率的个人金融数据，这一类个人金融数据的泄露或非法使用易导致个人金融消费者的人身、财产安全受到侵害。

“卡—梅”框架（C&M Framework）是一种基于法经济学理论衍生出的理论模型，是卡拉布雷西（Guido Calabresi）和梅拉米德（Douglas Melamed）于20世纪70年代初提出的一种法经济学分析框架，注重法益保护的效果模式，即公民合法权益在受到侵犯时能够得到的法律救济的力度。这种“合法权益”的范围相当宽泛，包括所有受到法律保护的权利和利益，既包括物质利益，也包括精神权益，可以说，法律经济学上的“合法权益”比法律意义上的“合法权益”内容要更为宽泛。

“卡—梅”框架以私人是否能够对法益自由转移或自主交易作为法律规则的划分标准，以此提出了三类法律规则：禁易规则、财产规则、责任规则。“禁易规则”指的是规定了法益不得以任何方式进行自由移转的法律规则。“财产规则”指的是规定了法益可以通过自愿交易的方式进行移转的法律规则，即规定了禁止对法益进行非自愿交易的法律规则。“责任规则”指的是规定了“尽管法益并未通过自愿交易的形式进行了交易，但只要支付了一个被法律规则确定下来的定价，该移转仍旧成立”的法律规则，由此，“责任规则”既允许通过自愿交易进行法益的转移，也允许通过支付法定价格进行法益的非自愿性转移。对该三类规则进行总结，禁易规则禁止法益自由转移，财产规则和责任规则都允许法益的自由转移，其中责任规则相比财产规则多规定了一种情形，即非自愿交易时支付法定价格即可完成法益转移。

前述三种规则组成了“卡—梅”框架的初始架构，国内有学者对该框架予以了完善，补充建立了两种新的规则：管制规则和无为规则。管制规则指的是规定了虽然允许自愿交易但应当遵守法定标准或限制的法律规则。该规则同时具有财产规则和责任规则的部分特点，但属于独立的法律规则类型。与“财产规则”相比，其多出了法定标准或限制；与“责任规则”相比，管制规则规定对法益进行附法定要件的自愿交易应当得到保护，但并不保护符合法定要件的非自愿交易；而责任规则除了保护对法益进行的自愿交易，还保护支付了法定价格的非自愿交易。无为规则指的是规定该权益并不受到法律保护的法律规则，此时所涉及的权益不能被称之为法益，因为其不受法律的保护。

“卡—梅”框架理论的优势在于，其分析的受到法律规则保护的法益并不仅限于法律已明确设立了的权利，这意味着无需进行确权行为即可对可受法律保护的权益进行框架内相应规则的选择。此外，经由学者补充完善的“卡—梅”框架内的五类法律救济规则理论上可以对应任何法益。这些优势都为“卡—梅”框架运用于个人金融数据保护规则的阐释和完善上提供了可能的方法论指引。例如，当前法律规定的告知同意规则明显属于财产规则，但对于《个人信息保护法》规定的不需要取得个人同意的情形，属于告知同意规则的例外，应当被视为责任规则在法条中的表达，由于这些情形下数据收集的目的都是为了公共利益，此时坚持财产规则的保护无疑会导致无效率，数据主体也无法获得利益，故而该条法律规定中并未规定“法定价格”，即法定价格为零，数据收集者可基于该责任规则无偿获得数据。

笔者之所以采取“卡—梅”框架来阐释个人金融数据保护的原因在于，“传统理论偏重于基本价值层面的解释，无法为数据保护规则的量化评估提供指引”，申言之，在价值判断上，传统理论倾向于解释基本价值，但是当需要对基本价值进行判断和选择之时，无法通过量化的方式提供更为精确的对比依据，从而导致说服力不足。此外，“卡—梅”框架提出的目的在于对“法益”进行救济，而这些法益并不单单指代已经由法律确权了的权利，而是包含了所有受到法律保护但并未被权利化的利益，甚至可以包括有待法院进一步确定的“纯经济利益”。对于不宜通过确权方式进行保护的个人金融数据权益来讲，“卡—梅”框架无疑具有更强的优越性。通过“卡—梅”框架对个人金融数据保护的阐释，有实现“绕过确权对权益进行保护”的可能性。

当然，“卡—梅”框架并非全能。“卡—梅”框架的研究重点在于如何在不同规则之间进行选择，但如何进行选择，“卡—梅”框架仅仅给出了参考性的标准，即法经济学最常讨论的可供量化的交易成本。采用某类规则的交易成本看上去是可量化的，但事实上，量化本身也是需要标准的，不同理论下依旧有可能会有不同的选择。更何况，法律确认规则类型之时并不仅仅依靠交易成本的量化，分配偏好和对正义的考量都是应有之义。笔者认为，功能视角下的“卡—梅”框架提供了“绕过确权对权益进行保护”的思路，并且该理论对于法律规则的阐述更加系统，通过“初始归属明确＋交易定价确定方式”的标准将法律规制做出精细分类，展示了不同法律规则在制定或修改时背后可能存在的理论考量乃至现实影响，尤其是不同规则相互转化之时，转化过程更为直观和清晰，也更能促使立法者和执法者反思该法律规则的创设或修订目的，以及其是否为当前情况下最合适的规则，对于研究个人金融数据的保护更具规范意义。

“卡—梅”框架对个人金融数据保护的启发在于以“初始归属明确+交易定价确定方式”的标准去分类法律规则，可以通过一种无需确权的方式来保障权益，具体可从以下两个方面展开。

权益基础的确定并不意味着直接确定所有数据权益转移场景下的转移规则，根据“卡—梅”框架理论，除了“禁易规则”，确定权益转移规则的前提是确认权益的初始归属，鉴于不同场景之中的初始权益并不一定单独归属于某一主体，因此需要首先明确不同场景下数据权益的初始归属。

“告知—同意”的双重结构表明，合同的成立并不意味着“同意”的做出，同意与否也并不必然影响合同的效力。金融业机构之间的数据共享基于金融业机构之间签订的数据共享或商业合作合同，约定由一方（金融数据提供机构）向另一方（金融数据接收机构）提供包含个人金融数据在内的数据或者将个人金融数据的提供作为合同成立的必要条件，此时需要有“同意”的做出才能完成整个“告知—同意”程序，赋予所有金融业机构数据处理活动以合法性，这意味着至少应当存在两次“告知—同意”：第一次是金融数据提供机构需要征得个人金融消费者的同意，同意向其他金融业机构提供个人金融数据；第二次是金融数据接收机构需要征得个人金融消费者的同意，同意其在金融数据提供机构处获得个人金融数据之后进行数据处理活动。对此，《个人信息保护法》第23条通过法律直接规定的形式，把这两次同意合并为了一次同意，将第二次本该由金融数据接收机构向个人金融消费者告知并征得的“同意”交由金融数据提供机构去完成，简化了该流程。

基于这种行为结构，数据权益应当初始归属于个人金融消费者以及金融数据的提供者，但两者的数据权益有所不同：个人金融消费者的数据权益基础源于法律的规定；而金融数据提供者的数据权益基础来源于个人的同意，因此是附条件的数据权益，只有当个人金融消费者同意其向其他金融业机构提供个人金融数据之后，才具有了可供交易转移的权益。

对于第一种行为，金融业机构是基于法律法规等规则向金融监管机构提供个人金融数据的，而非基于个人同意，即并非金融业机构的权益基础，因此此时金融业机构不具备数据初始权益，初始权益人依旧归属于权益基础来源于法律规定的个人金融消费者。

对于第二种行为，金融监管机构并非在共享金融监管数据，而是基于监管数据以及其他考量履行法定职能，个人金融消费者以及金融业机构此时获得的原始数据是金融监管机构的行政行为本身，其中并无个人金融数据的相关内容，这个阶段的数据循环并非以个人金融数据为核心数据，而是以“监管机构履行职能后金融市场的预期发展趋势”为核心数据，基于该数据，个人金融消费者决定是否开启下一轮的金融数据循环（即是否接受新的金融服务或产品），金融业机构对金融服务或产品进行完善和迭代并形成新的金融数据处理机制。也就是说，此时并不产生数据权益的转移，故无需确定数据权益的初始归属。

“卡—梅”框架下确认了初始权益归属之后，需要区分交易的定价方式，这是确定法律规则种类的核心标准。申言之，要想明晰法律规则，就要对交易定价的方式进行分析论证。根据“卡—梅”框架的理论，有禁易规则、管制规则、财产规则、责任规则和无为规则，分别对应不同的交易定价方式，个人金融数据保护的规则可以在这几种规则中进行区分和选择。

财产规则和责任规则是学者们在运用“卡—梅”框架时最常使用的两种法律规则类型。两者的定价方式差异主要体现在：财产规则的定价方式是法律规则允许且仅允许私人自愿交易，不对该交易进行过多约束。责任规则的定价方式虽然允许私人自愿交易，但是如果发生法定情形，哪怕此时交易并非自愿，只要支付了法定价格，就可以从法益初始拥有者处合法取得该法益，或者说强制剥夺其法益。责任规则相较于财产规则最大的不同之处是法律规则为非自愿交易提供了强制交易的法律定价，这种定价可以是法律直接规定的无偿，也可以是由司法机关确定的损害赔偿或者补偿。“责任规则之所以存在，就是因为某些情形下交易成本过高，以至于不可能期待通过当事人自愿交易来达成资源配置的效率最大化。”可以说，责任规则下，对于没有发生法定情形的私人自愿交易，法律不做强制性定价限制，这与财产性规则并无二致，一旦发生了法定情形，只要支付法定定价，即可达成权益转移之目的，无需初始法益拥有者同意，此时相当于在财产性规则的基础上增加了“法定情形下权益得直接移转”之限制。

就个人金融数据的保护来讲，一般情形下的“知情—同意”规则即属财产规则之列，只有个人金融消费者同意由金融业机构进行数据处理（即数据权益转移），金融业机构才可以进行约定范围内的数据处理活动，至于个人金融消费者可通过该同意获得何种对价（即交易定价），属于两者意思自治范围以内。但是依前文之分析，金融市场中的数据处理活动是围绕个人金融数据的处理进行的，金融市场的复杂性和时效性以及大数据的指数型增长，单纯的财产性规则过分强调同意的重要性，使得个人对于数据的控制几近绝对控制，既忽略了金融数据的公共性，也高估了个人金融消费者应对大量数据的专业程度和处理效率，因此，采用以财产规则为原则，以责任规则为补充的保护路径是个人金融数据保护课题下的应有之义。

当然，责任规则并非万能。诚如前文所述，责任规则适用的前提是适用责任规则的效率更高而成本更低，其定价经常是由司法机关作出的损害赔偿认定，但是就个人金融数据的保护来讲，实践中缺乏可将效率或成本量化的标准和规则，而司法机关做出的认定并非“普适”标准，做出的定价高于权利人的实际损失时可能会减少金融业机构的数据分享动力，做出的定价低于权利人实际损失时可能会增强金融业机构的获利预期，形成“效率违约”，都不利于金融数据的流动和价值发掘。因此，寻求可供量化的标准或者方式，也是个人金融数据保护中的重点。

就个人金融数据保护来讲，管制规则无论是相比财产规则抑或责任规则，无疑都加重了金融数据流转共享的“负担”，但这并不意味着管制规则就没有适用的余地。金融数据相较其他数据更关乎经济发展乃至国家安全，适当的管制规则可以为金融监管机构的介入提供规则上的正当性。同样地，适用管制规则同样应当考虑效率和成本问题，通常情况下，适用管制规则的前提是金融监管机构的管理成本低于诉讼成本（责任规则），亦即此时金融监管机构的事前事中介入比通过司法机关时候救济更有效率。

当前我国《个人信息保护法》以“告知—同意”为原则，同时规定了数据处理者无需经过同意即可处理数据的法定情形，从“卡—梅”框架的角度分析，这实质上确定了以财产规则为基础，以责任规则为补充的数据保护体系。尽管“卡—梅”框架基本上涵盖了所有类型的法律规则，并且国家干预自愿交易之强度以“禁易规则、管制规则、责任规则、财产规则、无为规则”的顺序依次降低，但由于每种规则的适用要件互不相同，因此在这种框架下的各个规则之间泾渭分明，且除了无为规则、财产规则之外，其他的规则都带有强制性色彩，其中责任规则以法定价格取代约定价格，管制规则以法定条件作为额外要件，因此，可以从“国家干预自愿交易之强度”上入手，对现有个人金融数据保护规则进行适当补充，在承认金融监管机构行使监管职能保护个人金融数据必要性的前提下完善个人金融数据保护规则。

尼尔·古宁翰（Neil Gunningham）曾提出“精巧规制”的理论，该理论最初被运用于环境规制中，追求较少干预下的双赢结果，主张授权多种主体共同参与到规制过程中，采用丰富的政策工具组合。德国学界中则普遍采用“受国家规制之社会自我管制”的用语来表述公私合作管制模式。在美国行政法领域中颇具代表性的学者朱迪·弗里曼（Jody Freeman）提出了更为细致的理论，将政府与私主体合作的模式总结出几点特征：（1）以解决管制问题为导向；（2）参与的全局性；（3）应当对解决问题的方案进行连续的修正；（4）超越传统监管责任对公私角色的划分；（5）行政机关应发挥灵活应变的优势。

这种强调企业和政府之间的协作性而非服从性的合作治理理论在金融行业中则主要体现为金融业机构与金融监管机构之间的协作性。具体设计如下：

管制规则实质上是在财产规则的基础之上增加了法定要件，必须在满足财产规则（即“告知—同意”一般规则）的同时满足此要件方可完成管制规则下的权益转移。笔者主张的合意性管制规则与一般情况下的管制规则最大的区别就在于在财产规则基础上增加的要件是否为法定，合意性的管制规则完全可以借由公私合作的模式实现要件的约定化。具体说来：金融监管机构与金融业机构之间主要就个人金融数据的事前和事中保护进行协商，主要以事前风险防控和事中风险应对和处置为协商事项，包括但不限于金融数据处理风险的评估方案和预警机制，数据安全平台的建立，技术算法的披露、准入资格的限制等，这些内容多数没有在《个人信息保护法》中予以规定，与金融数据（信息）相关的法规、规范性文件、标准中也基本没有更为具体的操作或限制，但这也恰好为金融业机构和金融监管者之间通过协作达到个人金融数据保护目的提供了法律规则上的包容性。在协商之时，金融监管者可以视情况征求个人金融消费者的建议或反馈，以此作为与金融业机构协商的重要资料。

对于保护个人金融数据的高效率和低成本是适用管制规则的重要量化指标，但是该指标在金融监管机构视角和在金融业机构的视角通常并不一致。监管机构作为交易的监管者，看待问题的角度更加客观和中立，但实践性通常不足；金融业机构作为交易的直接参与者、辅助参与者或交易设施提供者，处于金融市场的“第一战线”，其看待问题的角度更为主观，但通常与实践的结合比较密切，能反映当下实践中个人金融数据保护的痛点。因此，可通过合作治理模式发挥各自的优势，具体如下设计：由金融业机构设计金融服务或者产品，由金融监管者和金融业机构协商后列举出诸如评估标准、预警方案、准入限制、技术算法披露等要件，以金融业机构正常提供的产品或服务为对照组，以增加了金融监管者提出之要件的产品或服务为实验组（且不断变换要件作为变量），两者都由金融业机构向个人金融消费者提供，而后对个人金融消费者的同意率（量）、交易成交率（量）、磋商成本、经济效益等指标进行量化分析，从实证的角度对比市场思维和监管思维对于规则适用结果的不同之处，更为直观地感受量化结果。这并不是唯一能够量化合意性管制规则效果的协作方案，笔者提出这一方案仅仅是提供一种以控制变量为实验原理、以协商合作为前提的规则量化分析方法，相信只要金融监管者愿意同金融业机构合作，并且重视个人金融消费者的参与，协商制定出可达到“双赢”甚至“三赢”效果的规则亦不再遥远。

《个人信息保护法》第13条第1款的2到7项规定了个人信息处理者可依法不经个人同意而处理个人信息的情形，第27条规定处理已公开的对个人权益没有重大影响的信息不需经过个人同意，这些都是典型的责任规则。除了法定的无需个人同意的情形外，“告知—同意”是信息处理者处理个人信息之前应当遵守的原则，《个人信息保护法》中并未规定“概括同意”的情形，相反，个人数据处理者要想将经过同意处理的个人数据提供给其他数据处理者，应当按照《个人信息保护法》第23条规定告知个人并取得单独同意。不单如此，个人同意了数据转出方的单独同意后，由于该同意仅为同意数据转出方的数据处理（分享）行为，但数据接收方的处理行为不一定符合个人的意愿，故而数据接收方的处理行为也应当征得个人的同意，只不过《个人信息保护法》第23条将这两次同意“压缩”为了一次，由数据转出方统一向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等并取得同意，数据接收方只能在转出方对个人告知的范围内处理数据。将两次同意通过法律规定为一次同意是值得肯定的，减少了各方为达到“告知—同意”目的所要付出的成本。但笔者认为，可以在此基础之上再次减少相应的成本，至少提供一个可以减少成本的选择，即引入自愿性责任规则，具体设计如下：

其一，附条件的默示同意。如果个人金融数据接收方的数据处理目的、方式和数据种类与个人金融数据转出方的一样，此时个人金融数据转出方需第一时间履行告知个人金融消费者其金融数据的接收方名称或者姓名、联系方式、处理目的、处理方式和个人金融数据的种类等的义务，不需等待个人金融消费者的同意，个人金融数据接收方即可进行数据处理活动，个人金融消费者依旧享有《个人信息保护法》第15条规定的撤回权，可随时撤回同意或者明示拒绝。

其二，可选择的概括同意。在个人金融消费者明示同意后，对于金融业机构收集的个人金融数据，任何主体（包括但不限于金融业机构）只需对个人支付约定的对价即可对约定范围内的个人金融数据予以处理。有学者称其为“经由谈判产生的责任规则”。当然，由于是经协商产生，故而个人金融消费者当然可以约定将可处理其数据的主体限定为具有某种资质的主体。

其三，前述同意类型的规定模式。对于前述附条件的默示同意以及可选择的概括同意，首先应当明确，个人金融消费者当然可以同金融业机构进行自由约定，但如果仅仅是这样，在没有相关约定的时候这两种同意就不能发挥出其高效率和低成本的作用，因此应当考虑由公权力机关对这两种同意类型进行倡导或直接规定，笔者认为，当前并不着急立法，可以先行考虑推行示范性合同，合同中由个人金融消费者选择适用法定的同意规则或者示范性合同中约定的同意规则，之后对相关选择进行统计，并通过调查问卷等方式向个人金融消费者收集反馈，这也体现了合作治理理论下公权力机关作为“多方协商的召集者和助成者”的积极意义，待条件成熟后可考虑通过立法的方式将规则固定下来。

其一，金融监管机构的最终决定权。行政契约理论中，缔结行政契约的目的在于满足某种公共利益，在公共利益所需要的范围内，行政机关对行政契约的履行必须具有特权。该论述在个人金融数据保护之公私协作模式中同样适用。这种特权具体至少应当体现在以下几个方面：（1）金融监管机构的强制终止权。在金融业机构严重违反协商相关事项导致个人金融消费者的知情权、人格权益、财产权益等合法权益已经或即将遭受重大损害时，金融监管机构可通过行使强制终止权，终止与金融业机构之间的合作治理模式，转而适用法定的“知情—同意”规定；（2）对合作治理过程的指导和监督权。金融监管机构在合作治理中不仅仅是监管者，还扮演了组织者、协调者甚至是协商当事人的角色，要注重对金融业机构的正确引导，保证合作治理的执行向着预期的方向行进，减少公私之间的纠纷，努力培养和提高保护金融数据的能力；（3）对金融业机构违反约定处理个人金融数据行为的处罚权。该权力体现了合作治理的管制属性，目的在于防止金融业机构利用与金融监管机关的约定进行监管套利等违法行为。前述几种权力可统称为金融监管机构的最终决定权，监管机构单方即可行使该权力，金融业机构可以对该权力的行使提出异议，但在异议得到解决之前，该权力的行使效果不因异议的存在而发生变化。

其二，金融业机构有拒绝接受采用以合作治理方式进行监管的权利。笔者在论证合作治理理论与个人金融数据保护契合性时，论证了合作治理理论可以对个人金融数据保护所处的困境产生补充和修正作用，与公法保护个人金融数据不谋而合，但其始终强调“协作性”，如果一方不配合，协作也无从谈起，该机制并不是为了取代现有的机制，只是对于公私主体之间现有机制的“调和”而非“否定”，尽管最终决定权在金融监管机构身上，但金融业机构依旧有权拒绝采用合作治理的数据处理机制。

前述权力（利）的基础并不来源于金融监管机构和金融业机构之间的协商，而应当来源于各金融立法、信息保护立法中的规定，具体可以考虑在《个人信息保护法》第六章“履行个人信息保护职责的部门”、《证券法》第十二章“证券监督管理机构”、《期货和衍生品法》第十章“监督管理”等章节中予以规定，金融监管机构与金融业机构若采合作治理模式来处理个人金融数据，则可列举出监管机构的法定最终决定权，同时明确金融业机构有权拒绝采取合作治理模式，拒绝的法律后果是适用相关法律的一般性规定。除了上述应当由法律直接规定的权力（利）之外，其他实体权力（利）均不可由金融监管机构或金融业机构单方行使，而是应当通过协商来确认具体配置，如金融监管机构对于启用合作治理模式的决定权，尽管也属于一种决定权力，但该权力的行使不能直接导致合作治理模式适用于个人金融数据处理中，金融业机构有权拒绝适用该模式，对此只能通过协商的方式而非法律规定的形式确定是否启用合作治理模式。

实体的权力（利）分配机制固然直接关系到合作治理的结果正义，但程序本位主义告诉我们，程序本身具有独立于结果的内在价值，对于可以通过协商进行配置的权力（利），应当通过设置相关的程序防范监管机构可能产生的恣意性，为此可在配置双方权力（利）时参照正当程序原则进行程序性规范的设计。正当程序原则下程序公正的最低要求是—程序中立性、程序参与性和程序公开性，分别可推导出避免偏私原则、行政参与原则和行政公开原则。因此，程序性事项的设计应当至少包含以下方面：

回避的目的在于防止合作治理的基础受到公正性和客观性的挑战，因此，当金融监管机构中的行政人员及其近亲属等有关人员与个人金融数据处理有实质上的利害关系时，监管机构应主动要求该行政人员回避与该合作治理相关的工作，金融业机构也可请求监管机构作出回避决定。对于协商或再协商行为，应当于契约约定的场合中在约定的有权主体之间进行，否则该协商或再协商行为不产生契约上的效力。

由于金融监管机构对金融业机构严重违约构成违法行为的处罚或制裁权都是其法定权力，因此需要对金融业机构赋予基于约定情形请求召开听证会的权利，以此作为金融业机构对处罚或制裁的一种程序抗衡。金融监管机构应当就该请求进行审议，符合约定情形的应当召开听证会，其中听证会的规模、召开方式、参与听证的各方代表选择等均由双方依据合意约定于契约之中。

监管机构的最终决定权使得金融业机构可能承担基于决策信息不对称导致的额外履行成本，为避免对金融业机构产生负向激励，有必要就通知的事项作出约定，对象、方式和内容可通过协商与再协商实现动态修正，而是否向社会公开合作治理的内容则以该公开是否会损害公共利益为标准。

对于上述程序事项本身，应当通过法律规定的形式明确下来，如回避、禁止私下协商、请求召开听证会、通知、阐明等，但具体如何实现法定程序，如回避规则中“实质上的利害关系”标准的界定、协商或再协商的场合、如何召开听证会、通知和阐明义务的对象内容方式、再协商的启动程序等，均由监管机构同金融业机构在契约中达成合意，无须由法律具体规定。

鉴于个人金融数据的处理有一定的公共性，并基于尽量避免产生纠纷的考量，应当对程序性规则做“要式主义”要求，即程序性事项应当通过书面形式或者其他约定的形式规定出来。对于“要式主义”，一方面指的是在履行程序性契约条款时，要对每个程序进行外在形式的合规处理，最常见的是将契约本身以及各程序性事项做成书面形式予以记录和保留，便于事后追溯；另一方面也指的是采用标准合同（格式合同）的形式签订契约，如英美等国为了推行政府政策而鼓励使用的政府合同制度。因此，双方可以就个人金融数据处理过程中的程序性事项达成“作成书面形式”的约定，甚至可以约定由监管机构提供标准合同供双方签订契约时使用，尽管该契约不属于民事法律中的合同，但鉴于其协作特点而具备了民事合同的部分属性，双方可约定在不损害公共利益的情形下，将民事法律中的合同解释规则适用于公私契约中。

“卡—梅”分析框架展现了各类法益保护规则相互转换的内在逻辑，为个人金融数据保护提供了一种无需通过数据确权即可对法律规则进行系统分类并选择适用的方法论指引。本文的主张旨在通过将当前我国个人金融数据保护规则纳入“卡—梅”框架中进行分析，在当前《个人信息保护法》“知情—同意”规则的基础上，通过合作治理的模式引入“合意性管制规则”和“自愿性责任规则”，并对该模式下金融监管机构和金融业机构的实体和程序权力（利）进行了配置，以此完善我国个人金融数据保护规则。

诺伯特·坎帕尼亚 赵诗文 译｜作为伦理和权利研究对象的机器人

格哈德·瓦格纳 鲍伊帆 译｜人工智能责任——欧洲议会的一项立法倡议

安德烈亚斯·埃伯特等｜超市里的机器人：考虑零售业使用机器人时的责任和数据保护问题

郑志峰｜自动驾驶汽车立法：全球实践与本土图景

郑驰｜论“封禁”行为中网络平台的平等权保护义务

靳匡宇｜治理现代化背景下自然保护地役权的证成与展开——以自然保护地为中心的考察

上海市法学会官网

http://www.sls.org.cn

特别声明：本文经上观新闻客户端的“上观号”入驻单位授权发布，仅代表该入驻单位观点，“上观新闻”仅为信息发布平台，如您认为发布内容侵犯您的相关权益，请联系删除!