文 | 车宁 农业银行网络金融部高级经理,央行观察专栏作家

发轫于上世纪中叶而大兴于本世纪初期,在不断迭代的科学技术及持续变革的产业生态推动下,信息数据不仅在具象层面完成了自身从附带产品到核心资源的华丽转身,更在抽象层面实现了从偶一为之的经验论证到辅助决策工具再到具有普适价值的方法论的“三级跳”。

如果说信息“使用”激励机制的完善缔造了数据产业气势磅礴的帝国气象,那么与之对应,信息“保护”激励机制的失灵则有可能成为其停滞不前甚或轰然坍塌的“阿喀琉斯之踵”。

在国外,信息已被堂而皇之地用作超级武器,在商业、政治领域斩将夺旗;而在境内,头部企业也心安理得地将信息的无偿让渡作为服务提供理所当然的对价。从长远来看,使用与保护之间的失衡终将导致所有数据相关产业发展的不可持续,这其中当然包括金融,而作为当今经济体制资源调度核心的金融产业的进化“停摆”,其直接和间接影响不可估量。有鉴于此,从发展同生、和谐共享的价值观出发,客观分析金融客户信息保护难点,并在此基础上尝试补强治理机制而非浅薄地激于义愤或民粹地夸大矛盾,方是解决问题的应有之路。

保护对象:客体的复杂与价值的冲突

作为信息安全工作的一体两面,无论是客户层面的保护还是行业层面的监管,其出发点首先在于对事实的确认。而对客观事实的确认,不仅会夹杂自主观判断的影响,也会受概念工具失真的困扰,这正是信息保护工作之“难”之“新”的起点。一方面,从信息形成的机制看,客户本身基于不同场景的动态和静态事实并不直接构成信息,必须有待于包括金融企业在内的专业机构的电子化、数据化处理,另外,客户当下的行为信息和未来的行为取向也受到这些机构有意无意的影响,其本身对信息权利的掌控程度和主体地位并不突出;另一方面,从权利保护的指向看,不同法律不同主体关注的客体概念芜杂不清,同一事实因关注角度不同而呈现不同的侧面,比如,数据资产并不直接等同于数据,根据《企业会计准则》的描述,只有为企业拥有或控制且预期带来经济利益的数据资源才可成为数据资产,即使针对同一事实而在概念上发生混同进而课以并不匹配的责任义务也是客户信息保护进退失据的原因之一。

另外,法律权利的赋予并不是对事实的简单确认和机械追加,而是包含了内在的价值判断。虽然作为纷繁复杂利益诉求的投射,权利不必然也不可能价值取向一致,但过去起码在权利大类或者部门法里还是保持了基本的统一。进入数据信息时代,由于前述主客观因素的交织作用,权利表现有了质的不同:首先是权利归属或掌握不清,这一方面表现为很难准确把客户作为所谓“客户信息”的主体,事实上,客户置于信息之前与其说是主体限定不如说是来源描述,另一方面还表现为权利占有和使用的排他性也不明显,甚至出现了越共享越增值的情形;其次是权利分类不再绝对,不能再简单二选一地将比如个人信息权利归属于人身权或财产权,甚至不能将其局限于民法部门;最后,基于事实不同侧面或事实不同组合形成的概念再与不同价值取向相结合形成近似乃至同一标的的不同权利体系,进而形成不同的调整法律,如围绕信息数据而致力国家网络安全的《网络安全法》,强调客户权利保护的《消费者权益保护法》以及关注银行数据治理的《银行业金融机构数据治理指引》(即将出台)等等。法权结构和法律体系的“飘忽”构成了信息保护工作在基础层面的第二大难点。

行为结构:过度收集的追求与焦灼

从客户信息权利损害事实的结果回看,信息保护较之传统侵权案件的不同点突出有三一是损害的风险寓于权益的享受之中,具有相当的结构性、共生性特征,不再是非黑即白的简单划定,对损害的制止很可能意味着对权益的否定;二是损害往往在关系上呈现相关性而非传统侵权法或刑法所要求的因果性,甚至可以说任何单一事实对损害发生均不具有直接性,另外,损害在时间上还具有非及时性,其模糊性在事实认定、排除损害及诉讼时效等等方面都对信息保护工作造成很大困扰;三是损害更多是可能性的“风险”而非确定性的“事实”,一方面,与较少的最终发生的损害事实相比,人们对侵害可能导致风险的广度、烈度的担忧具有明显的不对称性,另一方面,这种担忧本身也构成了实体性的损害,对客户精神安宁和企业正常发展确实造成了消极影响,形成了一种非经典意义上的“侵权”。这种类似“莫须有”(或许有)的虚拟损害给权利的实际保护平添诸多困难。

或然性或者不可预见性在给客户带来前述难题外,也让金融机构头疼欲裂首先是与电商、社交甚至内容数据相比,金融机构掌握的金融数据虽然更加敏感,但因缺少场景基础数据支撑而在可用性上与互联网公司等相比存在比较劣势,加上金融信息横向上在不同金融机构乃至政府部门分割,纵向上历史数据质量不高治理困难,数据的内在缺陷和压力反向助长了金融机构对客户信息有时甚至是“过度”的渴求;另外,围绕大数据的相关技术和产业的迅速发展,使得金融机构客观上不能完整预见未来数据使用的场景及颗粒度,这就造成一种风险悖论:要么在现在存在过度收集数据的法律风险,要么在未来面对没有完整取得客户授权的尴尬状态。质言之,现阶段没有确定性的营商环境的恶劣使得金融机构即使主观存在善意,事实上也很难做到对客户信息的周全保护。

行业监管:落后于现实的踽踽前行

与客户、企业的焦灼相对应,监管也在黑暗和泥泞中摸索。其一在制度体系层面,既表现为法律呈现形式上的碎片化,又表现为具体规范内容上的原则化,这就导致了不同价值判断下对不同客体的规范,却很可能套用了同一的处置手段,这客观上导致义务和后果畸轻或畸重情形的大量出现,不利于形成守法的稳定预期,助长脱法乃至违法情形的滋生。不宁唯是,在对客户信息保护正面规范的内容未丰富的情形下,对侵权乃至犯罪后果却进行了详尽的规定,事实上形成了重刑罚轻治理的价值导向,再叠加我国又有作为后发国家对信息产业实现赶超的内在动力,就导致或者选择性执法,或者干脆束之高阁,最终甚至可能出现重立法轻执行的窘境。

其二在监管执法层面,困难首先在于对象的复杂性上,信息数据产业所带来的并不仅仅是知识在质和量上或广或深的累加,更多还表现为认知范式上的变革,简单使用传统监管框架和方法论难免削足适履之嫌。其次,从国内乃至世界范围内近几十年公共治理的大趋势看,均存在着在作为规范主体的政府和作为规范对象的个人、企业之间的社会治理的蓬勃兴起,政府与企业、个人间的监管关系也具有更多的引导、激励色彩,政府部门的独占、主导情景日渐稀少。最后,在过去,由于历史因素影响,客观上存在着人才结构上从监管机构到大型金融机构再到中小金融机构的雁行结构,监管人员具有相当的知识优势,而今随着业务的快速发展和细密分工,监管无法再形成单方的专业优势,信息不对称也剥夺了其“上帝视角”,客观上使得信息保护更应向协商式执法演进。

治理趋向:专业的人办专业的事

综上所述,为了有效应对大数据时代信息保护难题,形成安全与发展双重价值,国家、企业和个人三种利益和谐调和的可持续发展状态,除了要在碎片化的立法现实中旗帜鲜明地主张制定《个人信息保护法》(而非简单依托传统民法、刑法等),加强对客户的宣传教育及建立在信息共享前提下监管科技(RegTech)的使用外,在监管和企业层面还要做到以下工作:

对监管层面来说,未来的变化既表现为客户信息保护作为“双峰监管”中行为监管的重要工具作用日益重要,还表现为过去发展与监管左右互搏的价值冲突可能定于监管一尊,与之相适应:一是要打造多层次、多主体的治理机制,不仅要发挥监管本身的作用,还要调动企业的积极性,对于行业协会、专业公司等第三方利益无涉机构可以更专业承担的工作也可放心移交,让其而非自己更多承担表达行业声音,承担发展价值的重任。二是要推动形成重规范轻诉讼的工作模式,毕竟一方面司法机关常年超负荷运转,很难有更多资源向稍不注意即爆炸式发展的信息保护案件倾斜,另一方面数据权利如前所述还具有很多不同于传统权利的特征,权利边界也不清晰,不适于“非黑即白”司法主导模式的适用。

对金融机构等企业层面来说,由于数据最终形成资产是在企业,实际持有、控制也在企业,与客户自力或向执法、司法机构发起救济相比,压实企业的责任无疑成本更低,效果更好:金融机构等企业一方面要算总账算大账,充分认识客户信息保护所花费成本与损害实际发生后的赔偿以及规范运作对自身业务促进作用相比的效益,形成信息安全的内生激励机制;另一方面也要重点将客户信息保护纳入公司治理范畴,从高管层以下再设立独立于合规部门、业务部门、科技部门的专业的信息保护/数据治理部门,高屋建瓴地带动工作开展。

声明:本文来自央行观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。