数字金融背景下金融机构的数据保护义务-基于欧盟《一般数据保护条例》的考察.docxVIP

??

?

??

数字金融背景下金融机构的数据保护义务

基于欧盟《一般数据保护条例》的考察

?

??

?

?

?

?

?

?

?

???

?

?

?

?

?

近年来，随着现代网络信息技术的发展，金融业先后经历了金融电子化和金融信息化的阶段，目前在向移动化、网络化、数据化、智能化时代发展，一种新的金融形态——数字金融应运而生。所谓“数字金融”，即以数据为关键生产要素，以现代信息网络为重要载体，以技术创新为核心驱动力，将互联网、云计算、区块链、人工智能等科技手段与金融体系相结合，以此来降低金融服务的门槛和成本，提高金融机构的服务效率，从而实现普惠金融的一种新型金融。与传统金融的客户营销和风险控制依赖于线下渠道不同，在数字金融中，“数据”才是关键。从数据的收集到数据的利用、加工，客户的消费习惯、行为习惯、浏览习惯、购物习惯、信用记录被精确画像，从而为各种营销服务和搭建风控模型奠定基础，由此，数据驱动着实体经济、金融和区域经济的升级转型和创新跨界，成为数字金融发展新的关键生产要素。但在另一方面，随着数据价值的提升和信息技术的演进，因数据所衍生的风险亦与日俱增。有鉴于此，2018年5月，欧盟在1995年《关于个人数据处理及其自由流动的个人保护第95/46/EC号指令》的基础上，实施《一般数据保护条例》（theGeneralDataProtectionRegulation，GDPR），对数据保护提出了更高的要求。在境外长臂管辖和高达全球年营业额的4%或2000万欧元（以较高者为准）的处罚下，GDPR对包括中国在内的全球企业产生了深刻影响。为此，我们尝试着深入GDPR的法律文本，细致剖析金融机构承担的数据保护义务和责任。

一作为“数据控制者”的金融机构

GDPR延续了2012年《个人数据处理中的个人保护公约》的概念，将“数据控制者”（datacontroller）作为最主要的义务承担者。根据GDPR第4条的规定，数据控制者是指“单独或与他人共同确定个人数据处理的目的和方式的自然人、法人、公共权力机关、代理机构或其他机构”。这里的“数据处理”，即对个人数据进行的任何操作，如数据收集、记录、组织、结构化、存储、改编或修改，或者恢复、查询、使用、通过传播、分发方式进行披露或者其他使个人数据可被他人获得、排列、组合、限制、清除或销毁的操作。

考虑到复杂的商业模式，GDPR引入了一种新的数据控制者形式——“共同数据控制者”。根据GDPR第26条的规定，所谓共同数据控制者，即共同决定数据处理目标、条件和手段的两个或两个以上数据控制者。不同的数据控制者之间的关系或紧密或疏远，但只要它们在数据处理关键操作的决定上进行了事实上的“合作”，那么就可以认定是“共同数据控制者”，而不论它们是否达成了正式协议。[1]例如，一家金融机构的App上将其他金融机构引入其中，各方都有权取得和处理因用户登录该网站所生成的数据，则各方构成“共同控制者”。再如，一家银行为了获得更多的客户，和一家P2P网贷公司合作，以便用户可以同时投资网贷和银行理财财产。为了完成服务，银行和网贷公司均有权处理用户的信息，从而构成“共同控制者”。必须说明的是，这里的“控制”是一个事实概念，不必以合意为前提，只要各方之间存在默示的同意即可。

为了在多个主体之间清晰地分配责任，所有的共同控制者应以一种透明的方式安排各自的义务和责任。此处的“透明”意味着数据主体有权获知各方间的内部安排；此处的“义务和责任”包括但不限于由何方担任联络人，并承担收集、使用数据时通知用户的义务。根据GDPR第83条的规定，如果各方没有就上述内容达成协议，则将被处以1000万欧元或全球范围内年度总营业额的2%的罚款。作为共同控制者，无论它们之间协议如何安排，各方均应履行GDPR对数据控制者的实质性要求，数据主体亦有权向任何一名控制者主张权利。

在经济学上，控制权即决策权。[2]遵循这一认识，数据控制者的关键亦在于享有决定数据为何处理、有谁进行处理、如何处理等重大问题的“决策权”，而非从事数据处理的行为，因为数据处理仅是技术性行为，完全可以委诸他人。基于此，GDPR将“数据控制者”和“数据处理者”相区分，前者依法承担最终责任，而后者仅依其与数据控制者达成的协议承担合同责任。不过，考虑到数据处理者是最直接的行为主体，GDPR对于上述协议做了规范性要求，包括禁止转委托、必威体育官网网址、处理安全、报告义务以及协助数据控制者履行其法定义务，等等。从效果上看，对数据控制者的规范在很大程度上也适用于数据处理者。不仅于此，在数据处理者擅自超越数据控制者的授权开展处理行为，则视为自行决定处理的目的和方式，从而承担数据控制者所有的义务和责任。

反观我国，《网络安全法》将“网络的所有者、管理者和网络服务提供者”统称为“网络运营者”，这固然扩