《论金融监管者的数据安全保护义务.docx》由会员分享,可在线阅读,更多相关《论金融监管者的数据安全保护义务.docx(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、论金融监管者的数据安全保护义务目 次一、核心范畴的廓清(一)金融监管的界定(二)金融监管数据与金融数据的辨析(三)与其他市场监管数据的比较视角下金融监管数据及其安全保护的特点二、数据安全保护义务之源:金融监管者对金融数据的控制(一)新监管理念推动金融监管者加强对数据的全面掌控(二)金融监管数据的保护何以必要(三)数据安全保障义务的衍化三、金融监管者承担数据安全保护义务的法理证成(一)数据安全保护义务的宪法依据(二)金融监管者承担数据安全保护义务的法理正当性四、金融监管者之数据安全保护义务的多维价值面向与规制要求(一)基于维护国家经济安全的数据安全保护义务(二)金融监管数据安全之于市场竞争秩序五
2、、金融监管者之数据安全保护义务规则的设置理路(一)金融监管数据的分类分级管理及其相应的安全保护义务(二)金融监管数据的风险防范举措(三)金融监管数据的风险预警与应急处置(四)针对算法展开的数据安全保护(五)数据主权视角下金融监管数据跨境流动的规制结 语摘要与关键词摘要:金融监管数据作为独立的数据类型,其安全保护具有特殊性。金融监管科技的发展,使金融监管者的数据控制权日益扩张,金融监管者须为此承担数据安全保护义务。其宪法依据在于金融监管者作为履行国家职能的公权数据处理者,应对数据承担全面的国家保护义务。为金融监管者设定数据安全保护义务也是全面规范金融监管权力、提升金融监管质效、维护金融安全与经济
3、秩序、保障数据权益的合法性要求。针对金融监管者的数据安全保护义务,可从维护国家经济安全与市场竞争秩序的多重价值维度进行观察。金融监管者应当识别重要数据,采取全周期的数据风险防控措施,建立数据风险预警与应急处置机制,保障监管算法的安全。金融监管数据的跨境流动须被严格规制。关键词:金融监管者;金融监管数据;数据安全保护义务;国家经济安全正 文中华人民共和国数据安全法(以下简称数据安全法)第四章确立了数据安全保护义务规范体系,其第27条明确了开展数据处理活动必须以健全的全流程数据安全管理制度作为配套机制,并辅之以有效的技术措施来保障数据的安全,而重要数据的处理者承担着数据安全保护义务。金融监管机构在
4、履行金融监管职责的过程中处理着金融机构大量的金融数据,所涉数据直接反映着金融机构的个体经营信息,不仅牵涉到金融机构与作为数据所蕴含信息之所有权人的金融消费者的数据权益保障问题,还可能直接关联到市场竞争秩序的维护以及国家经济安全,涉及重大社会公共利益。我国数据安全法第五章规定了政务数据的安全与开放规则,明确将政务数据也纳入数据安全法的调整范围。其中,金融监管者为履行监管职责所处理的数据符合数据安全法第38条界定的政务数据的定义,是一种政务数据,从而受到数据安全法的规制。因此,金融监管者应当属于我国数据安全法第27条规定的数据安全保护义务人范畴。但我国数据安全法以及其他相关法律、法规并未明确规定金
5、融监管者的数据安全保护义务,更未对此义务内容进行细化调整。这与我国现行的数据/信息安全保护法律规范体系侧重于对数据的私人处理者的义务规制有关,而对公权数据处理者的数据处理原则、义务内容、责任追究与权利人的救济渠道缺乏回应型的系统性规定。在数字经济社会中,金融科技与监管科技的双向快速发展,使监管数据的安全保护成为亟待规范的重要问题。笔者将针对金融监管者的数据安全保护义务相关核心范畴进行廓清,对其产生的社会背景、法理逻辑、价值面向与规范构造等内容予以探究,以期初步建构金融监管者的数据安全保护义务的理论体系,为其相关立法规则的进一步完善提供参考,并为公权数据处理者的数据安全保护义务规范的优化提供些许
6、启发与助益。一、核心范畴的廓清金融监管者通过履行监管权,直接针对金融机构获取面向监管目标的特定范围内的金融数据,经过加工、处理而形成金融监管数据。作为独立数据类型的金融监管数据具有不同于金融数据与其他市场监管数据的独特性,基于此,金融监管数据的安全保护也相应呈现出诸多特点,有必要在学理上对其予以特别研讨,并在立法上进行特殊调整。(一)金融监管的界定金融监管,是指国家法定的监管机关通过行使监管权,对金融机构进行监督、管理的特定规制行为。金融监管对象主要包括通过间接方式融通资金的银行机构与以直接方式融通资金的证券机构,积聚资金来融通资金的保险机构,以及期货机构、信托机构等金融机构。换言之,一国整个
7、金融体系均可视为金融监管的对象。金融监管者主要由一国中央银行与政府的金融监管机构组成。我国于2017年11月设立国务院金融稳定发展委员会后,又于2018年3月合并了银行业监督管理委员会与保险监督管理委员会,形成了“一委一行两会”的监管者格局。而市场监管是指政府对金融、商贸、电信、电力、土地等市场通过监察、督促、引导等方式进行经济监督和管理的活动,是行政监管机构对微观经济活动所实施干预和控制的一种政府行为。现代政府干预市场经济运行的必要性,为政府享有市场监管权提供了正当性依据。金融监管属于市场监管的组成部分,是政府基于公权力的履职行为,金融监管者与被监管的金融机构之间形成不平等的管理关系,金融监
8、管者所享有的监管公权力是其控制金融监管数据的权力渊源。金融监管者基于金融监管权得以依法对金融机构与金融交易行为进行干预和控制。较其他市场监管对象,金融监管对象的风险具有网络化、系统性、易扩散、传播迅速等特点。金融监管的重点在于维护金融市场的信用与公众的金融信心,金融监管在防范金融风险的同时,也遏制了金融风险以“多米诺骨牌效应”的方式向其他经济系统快速传播的连锁反应,以此保障国家经济安全,这是金融监管与其他市场监管的不同之处。(二)金融监管数据与金融数据的辨析金融监管数据不同于金融数据。金融机构针对金融消费者的原始数据进行收集与加工,形成金融数据。作为金融监管数据产生基础的金融数据,是市场运行中
9、形成的一种经济数据,金融监管数据则属于市场监管数据的范畴。金融监管者在监管履职的过程中,通过处理相关金融数据,进而将之转化为金融监管者控制下的金融监管数据。它首先具有金融数据的基本特征,并融入了金融监管者的监管意志与处理行为,是一种金融监管者面向金融监管目标而通过监管活动进行二次加工形成的新的、独立的数据类型。申言之,金融监管数据与金融数据具有以下差异:第一,数据范围不同。金融数据往往是限于某一金融机构的片面与局部的数据,而旨在反映国家整个金融体系风险的金融监管数据要求具有全面性与综合性;第二,数据规模不同。金融监管者经由集聚、处理众多金融机构的金融数据形成金融监管数据,二者的数据规模相差悬殊
10、;第三,数据的作用不同。金融机构为了提升市场竞争力与实现盈利性目的来处理金融数据,而金融监管者控制大量金融监管数据是为了实现国家治理的目标;第四,数据控制人的法律性质不同。金融机构是金融数据的控制人,隶属市场主体的范畴,而金融监管数据由作为政府机关的金融监管者控制;第五,数据风险的影响力不同。金融监管数据是经过金融监管者深度加工的、体现国家治理意志的、具有与国家宏观经济密切联动性的数据表现形式,较金融数据,金融监管数据直接关涉金融业的稳定与国家经济安全,金融监管数据风险所产生危害的波及面与影响力大,因此,金融监管数据的安全风险级别高,须匹配更为严格的数据安全保护义务。(三)与其他市场监管数据的
11、比较视角下金融监管数据及其安全保护的特点金融监管数据有别于其他市场监管数据,二者的主要区分点在于:第一,处理人获取数据的方式存异。金融监管者往往通过互联网系统平台获取与处理金融监管数据,其他市场监管数据的获取渠道还包括现场执法或梳理相关票证材料。譬如海关监管的部分数据来源于对进出口商品的抽检等执法活动;高风险生产行业的监管,譬如采矿业的市场监管以及环境保护监管等市场监管也凸显获取监管数据的现场检查路径。第二,数据风险的展现形式存异。原始金融数据常常以形式合法性隐藏其潜在的风险,金融监管者依赖于金融监管科技的计算能力,才能够从数据量激增的原始金融数据中获取有效的金融监管数据,以发现与挖掘数据之间
12、以及数据与国家经济安全、金融秩序的关联性,来实现金融监管目标。而其他市场监管数据的获取还依托于时间周期相对较长的现场执法手段,经由各种渠道获取的其他市场监管数据一般能较为直观地反映出监管对象所存在的风险,便于其他市场监管者实施相应的监管举措。第三,数据的处理方式存异。金融监管数据是经过金融科技计算之后得出的一种集成化、抽象的数据体系,还会借助多样化的金融监管数据模型辅助处理,金融监管数据与人工智能等应用型算法的关联度得以强化。而其他市场监管者针对监管对象展开的数据综合治理,有时无须依托于复杂的监管科技手段。第四,是否直接关涉国家经济安全存异。金融是对货币的经营活动,是以货币融通为主要形式的独立
13、的信用经济,金融数据对于全世界的犯罪分子而言,是一个特别具有吸引力的攻击目标,其间蕴含着直接的经济利益。而当金融数据经由金融监管者的处理成为金融监管数据之后,产生大规模金融数据的集聚效应。由此不仅吸引了网络黑客基于经济获利目的的觊觎,也引发了其他国家主体的窥视,只要其进行一次成功的网络攻击,就可能导致被攻击国家的经济混乱,从而实现攻击者的特别政治目标。因此,金融监管数据更易直接关涉国家经济安全,且面临的主要威胁来自网络。而其他市场监管数据,鉴于大部分监管对象之间相对的分散性,其与其他经济环节不具有较强的关联性,其他市场监管数据的系统性经济风险的特征不明显。监管数据安全的被破坏可能不会导致相关领
14、域产生崩溃式的后果,往往不会对国家经济安全构成广泛的、全盘性的不利影响。针对金融监管数据相异于其他市场监管数据的特点,金融监管数据的安全保护也呈现出特殊性,总结起来,主要可从以下方面予以认知:第一,金融监管数据的风险扩散性更快,金融监管数据安全事件易引发系统性经济风险。其他市场监管数据往往仅具有引发一行一域之风险的“能力”,因其不具有金融业的经济媒介属性,从而不太可能引发系统性经济风险。较其他市场监管数据,金融监管数据的安全保护在面临危险之际,更需要金融监管者应急处置的及时性,金融监管者须着力采取有效的技术与管理措施预先阻断数据风险的传播路径,防范其数据风险造成国民经济整体秩序的瘫痪。第二,金
15、融监管数据因更易与国家安全产生直接关联性,结合数据安全的分类分级管理机制,往往被作为重要数据进行保护,金融监管数据的安全保护也由此凸显国家安全保护的特色。因此,金融监管数据在一定程度上超越了个体数据范畴,而体现出国家数据的色彩。金融监管者对于监管数据的安全保护,属于国家安全保护体系框架的组成部分,应当将之与国家反间谍活动、反恐怖主义以及保守国家秘密等国家安全目标与任务相挂钩,更需要金融监管者提供全面、系统、多重的数据安全保护措施。同时,金融监管数据的共享需要被严格限制,基于保障国家安全与个体数据权益的考量,金融监管数据通常不具备向社会公众开放共享的条件,金融监管数据的处理权限须与其数据分类分级
16、的设置相匹配,这是金融监管数据与其他政务数据的重要区别。第三,金融监管科技的普遍运用,同时加大了监管数据被入侵的风险。金融监管者所掌握的监管大数据蕴含着可观的利益空间,而催生了不法分子的犯罪动机,产生攻击监管数据库、不当获取与利用监管数据等危害数据安全的不法行为动机。现代金融监管的数据化程度高,以互联网为基础的金融科技充斥于金融监管领域,信息技术与数字技术的应用为黑客攻击提供了入口,扩大了数据的风险范围。而且金融监管数据安全呈现幂律分布的特点,相对于涉及面不广的数据源头分散的频繁微小攻击,针对海量大数据的一次攻击就可能造成难以估量的损失。金融监管数据的安全相对脆弱,被不法侵害的风险增加,需要加
17、大被特殊保护的力度。金融监管者应当采取针对性的技术手段防控金融监管数据受到网络黑客的侵害,这需要依托于金融监管科技的不断创新与升级。二、数据安全保护义务之源:金融监管者对金融数据的控制数据不仅是金融业务增长的新燃料,也是金融监管提升监管质效的新工具。金融监管者掌控了源自金融机构的大量数据,往往是个体金融机构的数据量所无法比拟的,而监管者对更多数据的控制意味着应承担更大的责任。数据治理强调数据的可用性、透明度、高质量、数据安全保护与相应的责任机制。金融数据监管作为一种数据治理活动,不能忽视数据安全保护问题,在金融监管活动中可能存在的数据安全风险与挑战亟需学界与立法对之予以重点关注。(一)新监管理
18、念推动金融监管者加强对数据的全面掌控金融科技给金融业带来了“泛金融化”革命,我国新时代的金融监管者为有效回应金融科技被市场主体所广泛运用的现象及其引发的泛化金融风险,其在金融监管领域中加强金融科技的运用成为“无奈”的选择。金融监管的重要目标为市场资源的有效配置、消费者的保护及防范系统性风险,为达到此监管目标,金融监管者规制市场的传统手段主要包括实质性的行为义务、制裁的威胁和声誉的约束效应,但其面对依托无实体的机构和复杂算法来维持其业务运营的新兴金融科技而言,监管力度大打折扣。英国金融行为监管局(FCA)是全球第一家直接针对金融科技予以规制的正式命名的监管机构,其目标在于通过采用一些类似的新技术
19、,以帮助新兴的金融科技行业突破传统金融监管的桎梏和网络安全的威胁,这标志着监管科技(RegTech)时代的到来。在金融科技的影响下,金融监管理念产生了重大变化,监管者逐渐尝试融合了监管科技内涵的新监管模式,譬如功能监管、穿透式监管、嵌入式监管等。功能监管是在机构监管体制的基础上发展起来的,相较于机构监管,功能监管的监管者可以对相同功能属性的金融业务适用一致的监管标准,监管“对事不对人”,而无须顾忌于金融活动的实施机构的设置形式,减少了监管套利的问题,但功能监管与机构监管均属于分业监管范畴,仅仅是划分领域的具体标准不同。我国近年来在维持既有分业监管体制的前提下,引入了功能监管的思想,释放出金融大
20、监管布局的信号,在强调金融监管者内部数据互通、信息互联的监管权有效整合的同时,也为监管数据安全保护义务的分配与责任人识别,以及后续的问责机制的实施提出了挑战。机构监管模式面对非金融机构从事的创新型金融活动缺乏监管能力,功能监管能够在很大程度上弥补此弊端,但功能监管却无法界定某些关涉金融科技的业务的性质,以至于无法对其进行监管,机构监管与功能监管分别在某些机构与某些业务领域存在监管的盲区。金融监管者要实现功能监管,须加大对市场主体经济活动的干预,因此需要掌控更多的商业数据,从中筛选出具有金融功能的金融数据,以此作为开展金融监管活动的依据。由此,功能监管模式下金融监管者对经济数据的控制力得以强化。
21、穿透式监管通常被认为源于美国1940年投资公司法与1940年投资顾问法中的“看透”(Look Through Provision)法律条款,在公司法、税法中均有所适用。我国当前金融市场的穿透式监管秉持“实质重于形式”的原则,以“提升市场透明度”为主旨目标,主要包括主体穿透、产品属性穿透以及嵌套层级穿透等。穿透式监管旨在透过层层复杂的金融活动的表象,识别隐藏在其后的实质性的金融交易来予以有效的监管。穿透式监管发挥了机构监管与功能监管的综合优势,覆盖二者各自出现的监管空白的领域。通过对被监管主体报送的大数据进行算法分析,能够有效地辅助机构监管抑或功能监管的判断,从而刺破复杂交易形式的层层“面纱”,
22、直视其内核的金融本质。金融监管者对金融数据的全面掌控,构成了其经由“穿透”直抵交易的金融核心的前提与基础,而近年来我国金融监管者对穿透式监管模式的运用,进一步扩张了其所处理的金融数据的范围。穿透式监管须坚守合法性与合理性的边界,警惕监管权借此不当扩张而侵害金融机构的合法权益。穿透式监管仅作为我国金融监管的例外模式来适用,因其对市场机制的较大的影响力,会破坏金融交易当事人的合理预期,不宜扩大其应用场景。而嵌入式监管是数字经济与金融科技大发展背景下的一种新的监管框架,经由阅读市场分类账,可以基于数据自动监控金融机构是否契合监管标准,解决被监管者的行政负担,提高数据质量。嵌入式监管避免了体外被动式监
23、管的弊端,是一种监管程序前置的主动性、预防性的监管方式,便于及时识别、反馈与处置风险。嵌入式监管建立在监管者对细化的大规模金融数据进行掌控的基础上。无论是穿透式监管,还是嵌入式监管,发展的金融科技在监管层面的运用使之成为现实。监管者通过掌握数据而介入金融机构个体市场活动的程度逐步加深,使得更多的金融数据被纳入监管者的处理活动中,金融数据所面对的风险增大。金融监管者对金融交易活动的介入,既是在数字经济影响下,金融监管者应对金融科技发展与金融创新的需要;也体现了金融监管作为一种公共物品供给,以金融基础设施体系的重要组成部分的形态,促进金融业可持续发展,推动经济增长的政策追求。总之,数字经济下,金融
24、业务相互嵌套、彼此关联,市场行业的经营边界更加模糊,综合性金融业务、“互联网+金融”的蓬勃发展加剧了金融监管者与被监管者的信息不对称问题。监管者获取真实、全面、实时数据的能力直接决定着金融监管的效果,现场检查、金融机构定期报告、信息披露等传统的获取监管数据方式的影响力被淡化。在一系列新监管理念的影响下,金融监管全面迎来了数据监管时代,针对金融业风险实行动态、综合监测。借力数据监管方式,穿透式监管、嵌入式监管模式也得以确立与深化。数字经济下,数据成为金融监管者提升监管效果的重要抓手与得力工具,不断涌现的新监管模式越发展现出数据监管的特点,数据成为了监管深入金融机构业务运营过程的必由路径。金融监管
25、者对监管数据的控制程度的加强与金融监管数据范围的扩张,使金融监管数据的安全保护成为值得关注的重要问题。(二)金融监管数据的保护何以必要金融监管者利用监管科技促进了监管大数据库的形成,其增加了金融监管数据安全的风险级别。数字经济下,金融监管者广泛采用监管科技,譬如数据自动获取技术的发展极大地强化了监管者对数据的控制力,其使得金融监管者无须依赖金融机构的报告,而直接可以利用自动报告技术获取即时、整合的目标数据。金融监管者这种利用新技术所开展的自动式数据获取,甚至可能较金融机构自身所掌握的经营数据与金融用户数据更为全面、细致、客观、实时。经由科学的算法来辅助分析,监管者从中也许能够得出金融机构尚不自
26、觉的对自身持续性经营与竞争力水平有着重大影响的结论。兹事体大,金融监管者不可不对监管数据予以特别慎重的保护。金融监管数据直接关涉相关主体的重大信息权益。金融监管目标在于对金融市场产生正向影响,试图以政府干预的方式解决市场失灵的问题,使金融市场回归常态化运行的状态。但伴随着政府干预的过程也不可避免地会出现政府失灵,金融监管具有对金融市场产生负向影响的隐患,而金融科技在金融监管领域中的广泛运用,无疑加大了这一风险以及其转化为现实危险之后的破坏力。其影响的范围不仅涉及特定的被监管主体,还会波及金融市场中的其他参与竞争的主体乃至社会公共利益。金融监管者所收集的监管数据涉及大量金融机构的经营数据与金融消
27、费者信息,根据这些数据往往能够勾勒出所涉金融机构或特定金融消费者的精准画像。而监管科技与金融科技本质不同,前者依然遵循着“命令服从”的行政权力中心化逻辑,与以“破坏创新”为主要特点的金融科技相悖,监管科技同样面对着“监管俘获”等失灵可能的窘境。金融监管数据被滥用、主体数据权益被侵害的风险不容小觑。切实保护金融监管数据,也是合理划定金融监管权力边界的需要。金融科技的日新月异,在大幅提升市场主体的金融创新水平的同时,也对金融监管提出了与时俱进式的发展要求。而较之所调整的社会关系,法律规范天然的滞后性决定了狭义的立法层面无法满足金融监管因时因势而动的灵活性要求,时代于客观上赋予了金融监管以更大的自由
28、裁量权。但立法对此也并非无所作为,针对金融科技兴起带来的新型社会关系中相对稳定的内容仍然应当努力通过法律规范的方式予以规制,如此也实际限制了金融监管者不断扩张的自由裁量权,使之居于必要的空间发挥作用,而不得侵入私主体的合法权益领域。(三)数据安全保障义务的衍化数据安全保护义务是在侵权责任法视阈下安全保障义务的基础上发展起来的,数据安全保障义务可以视为数据安全保护义务的另一重渊源。二者在密切关联的同时,也存在诸多差异,需要对二者进行辨析。在大数据时代,社会数据量骤增,依靠纯粹人工来收集与分析金融数据成为难以完成的任务,且运作成本巨大,即使金融监管者强制被监管者报送相关金融数据,也往往通过系统对接
29、与数据传送的方式自动完成,监管者将数据汇总于统一或分散的特定系统平台之上。与此同时,被监管机构针对监管者所要求报送的固定项目的数据来源却是多元化的,最基础的数据通常由金融机构的基层工作人员或客户在企业系统中录入,或者由金融机构在其经营活动中通过强大的商业监控能力来获取。金融机构因在金融数据的最终形成过程中付出了一定劳动,并对原始信息进行了加工与处理,而得以享有数据用益权。金融监管者通过汇集大量金融机构促生的金融数据,将数据泄露、被不当或非法利用、危害国家数据主权等多重风险负担转移至己方,其也将相应承受预防与避免其潜在危险的安全保障义务。这是由金融监管者对监管数据的控制力与风险负担主体移转的客观
30、事实所决定的。即便金融监管者负有数据的安全保障义务,但同时其也应成为金融数据安全保护义务人,因为数据安全保护义务较传统的侵权责任法规范意义上数据安全保障义务的内涵更为丰富,外延亦广。除安全保障义务内容外,还包括监管者不得不当使用金融数据以对金融机构进行歧视性监管对待,抑或过度收集数据以至于侵害金融机构的经营自主权以及信息权益等指向被监管者自身以及其竞争者的多层面的风险防范义务内容。可以说,金融监管者的数据安全保护义务的内容可以覆盖数据安全保障义务的要求,从而后者为前者所吸收合并。进而,数字经济下的金融数据安全保障义务将衍化为金融数据安全保护义务,继续发挥保障金融数据安全的重要功用。三、金融监管
31、者承担数据安全保护义务的法理证成金融监管者以社会公共利益之名而行监管职责,所掌控的大量监管数据也具有了社会公共物品的属性,因此,监管数据虽为金融监管者实际控制,但并非监管者的“私产”。同时,数据留存牵涉多系统与多环节,流动路径复杂导致追踪困难,数据的确权成为难题,容易造成逆向选择和道德风险问题。数据安全需要被保护,而数据的实际控制人是最为适格的数据安全保护义务人,针对公共物品的善良管理人的信义义务在金融监管数据层面可以相应转化为监管者的数据安全保护义务。金融监管者作为公权数据处理者,是金融监管数据的实际控制人,国家对数据的保护义务构成金融监管者针对金融监管数据的安全保护义务的宪法依据。在此基础
32、上,立法为金融监管者设定数据安全保护义务也是全面规范金融监管权力、提升金融监管质效、维护金融安全与经济秩序、保障数据权益的合理要求。(一)数据安全保护义务的宪法依据数据安全保护首先是一项法律义务,但对其义务源泉的本质探析在合法性层面难以实现,应当回溯宪法层面寻求答案,这是由法律规范体系的层级结构决定的。汉斯凯尔森(Hans Kelsen)以基础规范理论为基点全面构建了法律层级结构的效力体系,作为其纯粹法学理论大厦的重要组成部分。基础规范往往表现为宪法规范。宪法保证了由其产生并赋予效力的法律体系的完整、统一,内部的法律规范因宪法价值的“掌控”而并行不悖。向宪法进行回溯,于合宪性层面寻求法律义务的
33、终极法理依据,是契合法律体系建构初衷与根本目的的进路。义务对应于权利,立法设定数据安全保护义务的根本目标在于保障数据权利人的合法权益,因此,就合宪性路径针对数据安全保护义务展开的探究可以从基本权利视角入手。数据作为信息的载体,蕴含着信息权益人的法益,从数据安全保护义务人的视角而言,可将数据权益与信息权益的概念一并使用,不再区别,虽然二者的界分在某些场域下是必要且可行的。关于数据/信息权利的命题,我国学界近年来颇有争议,尚未形成通说。笔者赞同王锡锌教授的观点,数据/信息权利首先是一项宪法基本权利,具体以个人数据/信息受保护权的基本权利形态存在,中华人民共和国宪法(以下简称宪法)第38条之“公民的
34、人格尊严不受侵犯”可成为个人数据/信息受保护权被纳入基本权利范围的宪法文本依据。在德国,“权利”(recht)一词有着权利与法律的多义,法学界在此启发下衍生出基本权利的两层含义,即基本权利具有主观权利与客观规范的双重属性。前者是权利人为实现个人利益,而向国家主张履行消极不干涉义务或履行积极给付义务的请求权,也就是宪法赋予公民要求国家为一定行为或不作为的权能,对应着防御权与收益权功能。后者则意味着基本权利是宪法确立的全社会所共同追求的客观价值秩序,国家须维护这一秩序,并创造有利于基本权利实现的条件。作为基本权利的个人数据/信息受保护权的双重属性,对国家提出了全面的数据/信息保护义务的宪法要求,即
35、国家对数据同时应承担消极与积极的保护义务。在我国数据/信息法治的实定法层面,立法未全面、辩证地认识到数据的国家保护义务既有积极保护义务,也包括消极保护义务。后者为作为数据处理者的国家提出了数据安全保护的宪法义务要求,对国家处理数据的行为进行合宪性约束,属于作为个人信息保护权的宪法基本权利的防御功能。金融监管者作为履行公权力职能的机关,应当代表国家承担针对数据的国家保护义务,宪法义务落实到法律义务层面,即为数据安全保护义务。个人数据受保护权对应于国家在宪法上所承担的数据安全保护义务,这是数据权利人能够有效对抗公权力对数据安全进行侵害风险的有力法治手段,也使数据权利人得以具备应对各类数据侵害风险源
36、的基本能力。申言之,之所以国家立法要特别保护数据/信息,是因为数据处理者在处理数据的过程中,会与数据权利人之间形成不对称的事实“权力”关系,进而会导致数据权利人的相关权益存在受到侵害的风险。立法对数据处理者设定数据安全保护义务,亦是为了预防与规制大规模处理数据所产生的侵害权益的风险。而具有被规制必要的数据处理者不仅包括拥有强势资本与技术的、高度组织化的市场机构与平台,也应涵盖最大的数据处理者国家,以及代表国家履职的公权力机关,此数据处理的公、私主体均较数据权利人处于具有明显优势的、非对称的“权力”结构中。据此,基于数据权益保障的目标而言,国家及其公权力机关也不应豁免于数据安全保护的义务负担。当
37、然,数据权利/信息权利在针对利益对立双方均为私主体的情况下,同样可以民事权利的形态存在,以更好的保障数据权利人的法益,并为数据利用者的合理、正当的数据使用行为提供合法性保护,避免数据使用过程的动辄得咎,影响数据价值的发挥,阻滞数字经济的发展。此外,在应对公权力数据处理者侵害数据的风险之时,权利人虽为私主体,但在权利人内部,又可根据数据的民事权利性质与来源的差异,划分为不同的权利人群体,譬如数据/信息所有权人与数据/信息用益权人。二者均享有对公权数据处理者的数据安全保护的请求权基础,对应而言,公权数据处理者对数据所有权人与数据用益权人同时承担数据安全保护义务。(二)金融监管者承担数据安全保护义务
38、的法理正当性在宪法提供了根本依据的基础上,金融监管者承担数据安全保护义务于法理层面还有着深厚的正当性基础,监管权设置与监管者履职的特点决定了为监管者设置数据安全保护义务的必要性。归结起来,其法理正当性主要在于以下六个方面:第一,金融监管权力的妥当设置要求金融监管者承担数据安全保护义务。有效的金融监管是对绝对金融自由的必要限制,但必须同时承认相对金融自由的合法性地位,相对自由的金融市场之存在隐含了金融监管相对性的特征,监管权力的运用同样需要受到合法性限定。数据安全保护失当属于金融监管失灵的一种表现形式,其不仅会损害被监管者的数据权益,也会降低社会整体福利。因此,数据安全保护义务的负担在客观上构成
39、对金融监管者运用大数据与金融科技扩张监管权的重要阻力,促进动态、发展、合理的金融监管权力边界的形成,以推动金融监管权力的良好施展。在我国金融宏观审慎监管体制下,金融监管者享有的较大自由裁量权将戴上数据安全保护义务的 “枷锁”,其行使监管权力的自由将止于监管数据安全的充分保护。数据安全保护义务还加大了金融监管者在履行监管职责工作中的必要注意义务与不当监管的责任承担,促使金融监管者的权力寻租动机被有效地抑制,因为权力寻租的潜在收益面对因违反数据安全保护义务而被问责的风险而言不再具有吸引力。第二,承担数据安全保护义务是金融监管者依法、合理行权的需要。金融监管措施虽然无法对应于具体类型的行政行为,二者
40、分属不同的法律话语体系,但金融监管权本质上可被视为行政权力,金融监管者在依法行政之外,还应当落实正当程序与比例原则施加的行权限制。正当程序与比例原则从正面视角在事前对金融监管权以适当、合法的限制,而数据安全保护义务在金融监管措施做出的事前、事中乃至事后对金融监管者以全面的约束。具体而言,首先,数据安全保护义务在金融监管目标中将增设保障数据安全的特定价值,监管者在面对监管事项时,须做出有利于或至少不会侵害监管所涉数据安全的监管决策;其次,对将实施的已然过滤了数据安全风险的监管决策,还应配置针对数据安全保护的合目的性制度规则,并在监管措施实施的过程中予以落实,在金融监管行为须遵循的正当程序与比例原
41、则的衡量中应纳入数据安全保护的因子;再者,在监管措施实施完毕之后,监管者需要检查监管数据的安全在监管者履职中是否得到了充分保护,对于其中被侵犯的数据安全权益,监管者须依法予以救济,且在事后运用比例原则对监管效果展开评价时,数据安全保护的成本与收益亦应被纳入其中。尤其在我国社会信用管理体系建设取得显著进展的背景下,金融监管举措中加入了信用管理的元素,监管数据中包含大量金融机构与金融消费者的信用信息,监管数据由此可能直接成为金融监管者赖以优化监管效果的关键手段。信用法治的发展使监管数据的安全保护的重要性得以提升,使数据的控制者承担法定的数据安全保护义务,这也是数字经济与社会信用建设叠加的新形势使然
42、。第三,金融监管者的数据安全保护义务的设置是金融监管谦抑性的要求。针对市场不断涌现的金融创新交易模式,对于预防性、前瞻性监管供给的需求得以提升,向金融机构收集大数据成为金融监管者在制度供给侧进行相应监管创新的必要选择,但在金融监管借助数据平台进行大规模扩张之际,市场经济中金融监管的谦抑性本质理念仍应被牢固秉持。金融监管者对于数据监管的路径依赖与监管偏好,容易受到非理性因素的影响,而且监管者基于自身的信息与知识能力不足的缺陷,以及监管措施无法被金融机构严格执行的现实难题,倾向于增加监管的严厉性,以期“取乎其上得乎其中”。在数据监管层面反映为向金融机构收集与监管目标无关的过度数据,严重干扰金融机构
43、的正常经营,增加了监管数据被侵害的风险,从而形成监管投机和监管失灵。而当监管者背负着数据安全保护义务后,采集大量不必要的监管数据意味着数据安全保护义务将更为沉重,金融监管者因此将被迫“收敛”不必要的严格监管措施。特定主体的数据安全保护义务构成其获得数据控制合法权力的对价。金融监管者的数据安全保护义务成为平衡金融监管权的延展与受限之激烈张力的关键点,也形成扩张金融监管职能范围的“负面清单”,将监管权扩张的风险进行有限化,框定金融监管权扩张产生的危险所不得逾越的边界。第四,监管科技于宏观与微观调整领域的耦合呼吁监管者承担数据安全保护义务的规范设置。通过运用大数据监管与算法分析等科技手段于金融监管中
44、,微观审慎监管政策的重要性逐步增加,且具有了与宏观审慎监管密切配合以提升系统监管效果的可能性,特定的金融监管措施甚至能够仅针对金融机构个体予以实施。因此,金融监管者经由掌控大数据从宏观与微观等多个层面对具体的金融机构施予递增的影响力,其中难以避免消极的作用力。有必要为金融监管者设置同样着力面对个体展开的数据安全保护义务,以对应性义务规范来减少甚或消除金融监管者以监管数据为载体对市场主体私权益领域的侵犯风险。换言之,金融监管者的数据安全保护义务是同时面向金融市场的系统性风险进行规避以及金融机构、金融消费者等个体信息权益保障要求所设定的法定义务,具有微观与宏观层面双重调整的耦合性。其首先属于义务人
45、的第一重负担,强调数据安全未予以合法保护后果的预防性价值,且一旦事先设立的“防火墙”失效,配合问责与赔偿的事后救济机制将共同发挥全面保障监管数据安全的作用。第五,为避免地方监管者被数字平台利益“绑架”,须强调金融监管者的数据安全保护义务。鉴于数字平台机构对于数据管理与运用层面的近乎垄断的先行优势,行政机关在社会治理领域中越发依赖数字平台机构的大数据与专业分析能力的支持,以至于部分地方监管者在寻求与数字平台机构合作的过程中,不自觉地为之所“绑架”,金融数据监管领域亦是如此。地方监管者在规制数字平台机构的数据安全保护行为方面的力度有所弱化,于数字平台之上的金融消费者的数据所有权法益极易受到已不当结
46、成实质性利益同盟的地方监管者与平台机构的联合侵犯。为保障参与数字金融的广大金融消费者的数据所有权计,该当特别强调金融监管者针对包含金融消费者信息的监管数据的安全保护义务,清晰界分金融监管者与数字平台机构的利益疆域,督促金融监管者回归中立、客观的监管立场。第六,较一般数据,金融监管数据具有特殊性,有必要为之建构监管者数据安全保护义务的特殊规范体系。金融监管者作为公权力机关,其承担的数据安全保护义务与私人数据处理者的数据安全保护义务有联系更有区别。譬如,数据所有权人“同意”与“目的限制”是数据保护的重要原则要求,欧盟通用数据保护条例(the European General Data Protec
47、tion Regulation, GDPR)对此予以重点规范,以及通说认为的自主、赋权和自我决定是数据保护的核心内容。这些一般仅仅适用于监管数据之外的数据保护要求,因为金融监管权作为公权力具有法律依据,金融监管者必须严格依法履职,被监管者与数据所涉金融消费者难以自主表达自由意志与自我决定,数据赋权的方式也往往被行政立法所取代,监管者的数据安全保护义务遵循着另一套逻辑规则,对其须进行特别的研究。且金融监管者汇聚了牵涉金融机构、金融消费者个体利益乃至社会公共利益的大量金融数据,较金融机构掌控的用户以及自身经营的有限数据,其范围大为扩展。金融监管者成为名副其实的最大的金融数据处理者,不同金融机构之间
48、的金融监管数据在监管者平台上自动呈现出可比较性的特征,金融监管者的数据处理活动的影响力深远。因此,金融监管者对监管数据的控制宜被界定为最高风险级别的数据处理活动,其也将由此承担着最为严格的数据安全保护义务,其义务规则理应被特别设置。四、金融监管者之数据安全保护义务的多维价值面向与规制要求金融监管者基于履行监管职责的需要而向金融机构收集相关的经营数据,监管者获取监管数据本身必须具备合法性,这是现代法治国家政府机关依法行政的基本要求,自不待言。除此之外,金融监管者数据安全保护义务的内涵丰富,可以从多重价值维度进行认知,不仅包括维护国家主权、金融安全与竞争秩序的宏观安全价值,还涉及保护金融机构与金融
49、消费者合法权益的微观安全价值,包括金融机构对金融数据的用益权与金融消费者基于金融数据的所有权。其中,金融监管者数据监管的核心目标在于规制金融机构的市场经营行为,一般不直接针对金融消费者。因此,金融监管者的数据安全保护主要惠及作为金融数据用益权人的金融机构,而作为金融数据所有权人的金融消费者往往仅为间接受益人。(一)基于维护国家经济安全的数据安全保护义务金融数据监管将大量金融数据进行聚合,在此基础上开展监管分析,一方面可能促进监管者得到意向的信息与知识,但也带来了数据安全风险。其中,监管大数据分析的结论本身即可能具有安全风险。譬如通过数据分析挖掘出数据中潜藏的安全情报或涉密信息,从而成为敏感数据,更重大的风险是大量单一的金融数据的聚合得以形成关涉一国整体经济安全的重大价值数据。因此,基于金融风险的系统性特点,金融监管数据很可能涉及一国金融业乃至国民经济的整体安全,金融监管者保护监