商业银行个人数据保护中经济法干预理念的贯彻

刘瀚谦

（重庆市江北区江北城法律服务所，中国 重庆 401120）

商业银行的数字化转型正在加速推进。2018年浦发银行推出无界开放银行，开启了中国开放银行的元年。紧随其后招商银行、建设银行、兴业银行等商业银行陆续开始探索且逐步落实开放银行战略，推动了我国银行业自下而上的变革。商业银行作为传统的金融机构，掌握大量金融数据，其中个人数据是商业银行数据共享的重要内容，同时也是影响个人数据主体权益的重要因素。但是，对于开放银行给个人数据保护带来的挑战尚未引起重视，也没有形成正确认识。法学研究对开放银行和商业银行个人数据保护的关注度不够，缺乏对新兴事物的本质把握。近几年，学者们热衷于讨论数据的权利归属问题和网络安全法体系下的个人信息保护规则，知网上与商业银行个人数据保护有关的论文数量相对较少。从不同的法学理论出发可以形成对商业银行个人数据保护的不同认识。例如，从民法角度开放银行主要由商业银行、个人数据主体、数据接收者之间的契约关系构成，遵循意思自治。然而，从经济法理论出发，商业银行个人数据保护还涉及社会公共利益保护，应当接受政府干预。

市场监管是经济法的重要调整方式，特别是其中的市场准入制度能有效提高数据接收者的安全保护水平，实现监管商业银行和监管数据接收者并重，因此商业银行个人数据保护应当遵循适度监管理念。商业银行个人数据保护符合经济法的社会本位和实质正义基本理念，采用经济法的调整方式加以规范能更好实现个人数据权益主体保护的目标。基于此，本文梳理商业银行个人数据保护的现状，分析商业银行个人数据保护贯彻经济法理念的必要性，阐述商业银行个人数据保护中适度干预理念的体现。

一、商业银行个人数据保护的现状

个人数据保护是促进数字经济发展的重要问题，只有保护好个人数据才能促进数字经济良性发展。但是，有关个人数据的内涵和外延的认识并不统一，特别是个人数据和个人信息的混淆使用引发了广泛讨论。从法律意义上讲，真正重要的不是个人数据，而是个人数据经过解释后形成的个人信息。然而，为了保护个人信息，法律不得不对个人数据进行调整，因为随着信息技术的发展，个人信息主要是以个人数据的方式被存储，个人数据泄露成为侵害个人信息权益的主要问题。

广义上的数据并非仅限于存储在电子设备中的数据，还包括记载于纸质媒介上的传统统计数据。从纸质媒介上的统计数据演变为比特形式的数据反映了数据载体的变革。与纸质媒介记载的数据相比，比特形式的数据产生的量更大、流通速度更快、实时性更强，更能凸显经济效益。从技术层面，大数据时代背景下本文所研究的商业银行掌握的个人数据是指以比特形式呈现的存放在电子设备中的数据。在法律层面，按照一定规律组合后可以反映特定的信息内容的数据才具有法律意义。

我国司法实践中，民事法律制度对商业银行个人数据保护的效果不佳，银行泄露个人数据的案件屡禁不止[1]。商业银行掌握大量敏感度较高的个人数据，如果保护不当将会严重侵害个人数据主体的合法权益，也会导致社会公众对数字经济丧失信心。商业银行个人数据泄露严重危害社会利益，因此保护商业银行个人数据是保护社会利益的要求，是维护社会利益的体现。一方面，商业银行的客户很多，商业银行收集了大量的个人身份数据、信贷数据、资产数据、交易数据等，沉积在商业银行的个人数据体量庞大，一旦商业银行个人数据存储或者传输过程出现问题导致个人数据泄露，受到影响的不仅是个别客户，还可能影响商业银行的所有客户的数据安全[2]。另一方面，商业银行在数字化转型的过程中经常利用应用程序接口向第三方传输个人数据，应用程序接口使用过程中的主要风险是身份认证系统出现错误或者个人数据被盗用导致未经授权的支付[3]。由于商业银行业务具有高度同质性，某家商业银行因个人数据保护不当出现违规支付问题可能导致其他商业银行也丧失客户的信任，从而产生挤兑风险，影响金融稳定。

二、商业银行个人数据保护贯彻经济法干预理念的必要性

个人数据的重要性毋庸置疑，但是个人数据主体却缺乏控制个人数据的能力。一方面，个人数据主体没有技术条件和专业知识；另一方面，个人数据太分散了并且被存储在不同的设备里，不能像动产和不动产一样被轻易控制。个人数据主体的权益保护依靠个人数据控制者等主体自觉履行信息披露义务[4]，并且实践证明个人数据主体缺乏有效方式用以监督个人数据控制者履行法律义务并按照约定处理个人数据。目前，个人数据主体的控制权主要通过知情同意来实现，但是知情同意的保护效果不理想。个人数据保护的实现需要政府干预，通过立法方式让个人数据控制者等主体承担更多个人数据保护义务，通过监管机构的监管执法督促其履行个人数据保护法律义务，通过市场准入确保市场主体具备个人数据保护能力，这样就是实现实质正义的主要方式。

（一）个人数据主体处于弱势地位

与商业银行、数据接收者相比，个人数据主体处于弱势地位，具体表现为：第一，个人数据主体处于信息弱势。个人数据由商业银行和数据接收者掌握，个人数据主体无法及时全面的了解个人数据处理的情况，而且商业银行和数据接收者可能会隐藏个人数据处理的真实情况或者提供虚假信息以谋取不正当利益。第二，个人数据主体处于技术弱势。个人数据主体没有技术条件去存储和管理海量的个人数据，对个人数据的控制权主要是通过授权规则实现，但是授权规则对个人数据主体的保护十分有限[5]。第三，个人数据主体处于认知弱势。因为缺乏专业知识，个人数据主体难以对自身行为做出正确判断，缺乏保护自身数据权益的能力。第四，个人数据主体处于经济弱势。面对商业银行和数据接受收者的隐私政策，个人数据主体往往只能选择接受，否则将无法使用产品和服务，处于经济弱势的个人数据主体缺乏议价能力。

（二）以意思自治为基础理论的知情同意是形式平等

知情同意是现在个人数据保护的主要方式，但是知情同意是民法思维的体现，本质上是形式平等。意思自治有效实现基于人是具有理性的基本假设，因此每个人都可以理性选择交易对象、确定交易内容、审核交易条款。知情同意是民法契约自由原则在个人数据保护中的体现[6]，个人与数据控制者之间是依据隐私政策或者服务协议形成的民事法律关系，具体而言是合同关系。在合同法律关系建立之前，个人作为一方法律主体有权决定是否加入。换言之，知情同意以尊重个人的意思自治为理论基础，个人接受隐私条款进而订立合同是意思自治的结果。尽管个人与数据控制者都是平等的民事主体，但是民法的形式平等无法解决个人数据保护面临的问题。根据知情同意的实施情况，现在采取有效同意还是面临一些困难。第一，产品和服务的提供者利用格式条款将同意条款和其他重要合同条款捆绑在一起，不同意就无法使用产品和服务，实质上排除了个人数据主体的选择权。第二，同意条款冗长且难以理解，个人数据主体没有充足的时间精力去行使权利。第三，事实证明个人数据主体很少阅读同意条款，导致知情同意流于形式。第四，隐私政策和服务协议中没有提供有效的撤回同意的途径。

（三）个人数据保护中实质正义的实现

在民商法领域，形式平等的主要表现就是强调法律主体地位平等，法律人格高度抽象，平等地享有权利和履行义务，忽视了个体之间真实存在的差异[7]。但是，现实并非如此简单，由于经济条件、社会资源、天资禀赋等方面的差异，人们实质上处于不平等的地位，无法平等地参与竞争。民商法确立的形式平等使得法律沦为保护强者的工具，强者更强，弱者则面临淘汰。实质正义与形式正义相对，经济法中将社会中的人赋予不同的身份，比如经营者和消费者、大企业和小企业、雇主和劳动者等，并为处于弱势地位的消费者、劳动者提供倾斜保护，为他们提供平等参与竞争的基础条件。

实质正义的目标只有通过国家干预的方式才能实现。一方面，国家通过立法让强者承担更多义务，给弱者赋予更多权利。在个人数据保护中，一些国家和地区通过立法的方式让数据控制者、数据处理者、数据接收者承担更多法律义务，赋予个人数据主体更多权利，以矫正形式平等。比如，欧盟的《一般数据保护条例》规定数据控制者要采取适当措施确保依法处理个人数据、处理个人数据要遵循最小必要原则、依法保存数据处理活动记录等，同时也赋予个人数据主体访问权、删除权、更正权等[8]。另一方面，国家通过行政权力调整市场主体的行为也可以达到保护个人数据的目的，比如设置市场准入条件、进行监督检查等。英国和澳大利亚对开放银行进行准入监管，只有满足个人数据安全保护条件的才能进入准入名单，确保市场主体具备基本的个人数据保护能力。美国对市场主体提供的隐私声明进行了详细规范，要求隐私声明内容清晰明了，并且要求市场主体通过手动交付、邮寄、线上确认等方式确保个人数据主体收到实际通知。新加坡更是规定市场主体应当提供个人数据处理仪表盘以方便个人数据主体了解个人数据处理的主体、内容等并可以及时撤回同意。

三、商业银行个人数据保护中经济法干预理念的体现

个人数据保护需要政府干预，但是也要控制政府干预权，要避免政府缺位，也要避免政府越位。这就是经济法中适度干预理念的体现。竞争失效、信息不对称、负外部性等是市场机制自身不能克服的内在局限，因此需要政府干预矫正市场失灵。但是政府也存在局限性，政府也可能被个人利益、部门利益、地区利益裹挟，偏离社会利益目标。因此，要把公权力关在制度的笼子里，严格落实依法监管和监管独立，确保政府干预的有效性。

（一）依法确定监管主体的干预权限

适度干预要求依法确定监管机构的干预权限，并且监管主体应当按照法定职权和程序行使监管权，不能滥用职权、不得超越职权，也不得随意侵害市场主体的自由和权利。从行政法角度观之，依法监管的主要依据是行政法的依法行政原则，因为监管主体行使的是国家行政权，故而要遵守行政法的基本原则。根据现代宪政理论，依法行政原则是行政法的根本遵循。行政法的主要目的是控制行政权力、保障公民权利，依法行政原则是实现行政控权的保障，因为行政权具有扩张性并且以国家强制力为后盾，公民权利根本无法与之抗衡，若不加限制，行政权很可能被滥用，侵害公民的自由和权利。根据依法行政原则：第一，行政权力必须由法律明确授予，行政主体设置必须符合法定程序；第二，行政主体必须接受法定职权范围的约束；第三，行政活动应该严格按照法定程序进行。监管权是国家行政权的一种特殊形式，监管主体行使监管权必须符合依法行政原则的基本要求，即监管主体应当依法监管。从经济法角度观之，依法监管为市场经济有效运行提供了良好的外部法制环境。依法监管可以克服市场失灵，监管主体依法履行职责可以矫正竞争不足、竞争过度、信息不对称等问题，维护市场秩序，提供公平有序的市场环境。同时依法监管也是对监管主体的约束，可以克服政府失灵，保障监管行为符合社会利益，实现监管目标。具体而言，依法监管应当包含如下内容：

第一，明确监管主体的法律地位。法律应当明确监管主体的法律地位，授予监管主体行使监管权的法律资格。当存在多个监管主体时，法律应该明确各个监管主体在监管工作中的地位和作用，监管主体之间应当分工明确、相互配合，形成统一、高效的监管主体体系。第二，监管主体的职权职责必须由法律明确规定。法定职权职责为监管行为提供了正当性基础，也是被监管对象监督监管主体的法律依据。第三，监管方式应当由法律明确规定。监管主体使用的监管手段和监管工具必须由法律规定，监管主体不得采用法定范围之外的监管手段和监管工具。而且，法定监管方式必须依照法定程序实施，因为程序正义是实体正义的保障，依法监管不仅指监管行为符合法律的实体性规定，还要求监管行为符合法律的程序性规定。第四，监管主体在法定职权范围内行使监管权。在法定职权范围内行使监管权是指，当法律有规定时监管主体应当严格按照法律规定行动，当法律没有明确规定时监管主体应当尊重市场主体的自由和权利，不得随意干预。

（二）保持监管机构的独立监管主体地位

适度干预要求监管机构保持监管独立，是指监管主体独立履行监管职权，不受外界非法干扰。监管独立的理论基础是管制俘获理论，该理论认为政府单纯地追求公共利益只是一种假设，现实中政府及其职员存在谋求私利的倾向，加之利益集团的影响，政府管制可能会背离公共利益目标。第一，因为政府管制者存在利己倾向，可能会与被管制者勾结谋求私利最大化。政府管制者容易被经济利益诱惑，不仅是短期的、直接的经济利益，比如金钱贿赂，还包括长期的、隐性的经济利益，比如政府工作人员离职或者退休之后到企业担任高管，接受高薪。当然，政府管制者还可能被非经济利益影响，比如个人荣誉、子女入学、追求政绩等等。第二，因为政府管制者的权力是任何个人和社会组织都无法与之抗衡的，因此权力是一种稀有资源，利益集团可以寻求权力保护以维持在特定地域、特定行业的垄断地位，或者寻求政府的财政补贴。利益集团倾向于以金钱或者其他利益诱惑政府管制者以谋求不正当竞争优势，并认为这种交易是值得的。政府管制者可以从“权”“利”交易中获利，但是政府管制者取得权力之时无须支付成本代价，这无疑增加了管制俘获的概率。

首先，管制俘获体现为立法俘获。立法过程是利益博弈的集中体现，在博弈中被管制者希望通过立法取得最多权利，承担最少的义务。在数据监管立法过程中，数据企业通常希望立法文件能充分体现其利益诉求，进行各种游说活动，以达到影响立法的目的。由于企业是经济发展的中坚力量，影响政绩和经济指标，因此立法者很可能接受企业游说，做出偏向数据企业的立法选择。其次，管制俘获也体现为执法俘获。执法俘获是因为监管标准具有一定模糊性并且执法主体享有一定程度的自由裁量权，被管制者往往通过利益输送来换取执法主体的选择性执法。政府管制俘获会导致政府偏向企业利益集团，损害消费者利益，也会导致政府偏向经济实力强的利益集团，损害其他市场主体的利益，进而损害市场秩序。监管独立是对政府管制俘获矫正，通过赋予监管主体组织保障、资金保障、人员保障等增强监管主体的独立性，避免监管主体被利益集团或者政治势力俘获，降低监管俘获的机率。

一方面，金融监管容易受外部影响，保持金融监管独立成为现代金融监管制度的重要课题。金融监管机构从属于政府部门，如果没有独立的监管政策制定权和执法权，金融监管就将沦为政府直接干预经济的工具，会对市场机制造成破坏，金融监管还可能受利益集团的影响，金融监管机构的选择性执法会破坏公平竞争的市场秩序[9]。因此，金融监管要避免任何个人、组织的非法干扰，金融监管机构在结构上与其他政府部门分开，职权上能独立自主的执行监管政策，做到管理独立、监督独立、机构独立、预算独立[10]。另一方面，数据监管主体也应秉持监管独立原则，独立行使监管职权，排除非法干预。欧盟在GDPR中对数据监管独立提出了专门要求，数据监管主体独立行使职权、独立执行任务，不受外部直接间接干扰，不接受任何人指示，确立了数据监管主体的独立性[11]。保持监管独立要求数据监管主体具备独立履行职责所需的人力、技术、资金、场所等条件，数据监管主体享有独立的公共财政预算。同时，数据监管主体与其他监管主体保持人员独立，数据监管主体的任职人员不得从事与本职工作有利害关系的工作[12]。由此可见，数据监管主体独立行使监管职权也需要组织、财政、人员等方面的基本保障。

四、结语

本文主要分析了开放银行模式下商业银行个人数据保护的基础理论。基础理论部分主要解决的问题是在民法、经济法、行政法和刑法等调整社会关系的主要法律方式，采用何种调整方式更有利于个人数据保护目标的实现。商业银行应用程序接口主要涉及个人数据保护的商业使用，属于市场经济的范畴，因此重点落在民法和经济法两个法律部门。笔者认为商业银行个人数据保护应当重视经济法的调整方式，主要是基于两个方面的原因：一是个人数据保护不仅关系个人数据主体的合法权益，还涉及公共利益保护，是经济法社会本位理念的体现；二是个人数据主体在技术方面和经济地位方面都处于弱势，与数据控制者和数据接收者相比，对个人数据的控制力很弱，因此为个人数据主体提供倾斜保护是经济法实质正义理念的基本要求。此外，公权力干预市场应当适度，这就要求依法划定公权力干预的边界并避免被监管俘获，即商业银行个人数据保护的监管要秉持适度干预理念。