1. 前言
当今时代,我们的信息技术发展日新月异。从当前的情况来看,人们的各类社会活动都和信息技术的联系有着非常密切的关系。这些社会经济活动,通常会在我们的网络空间里,留下大量的数据信息,从而在电子设备上留下各种记录。在这个大数据时代的背景之下,人们往往会因为社会活动的进行,在各种各样的平台上留下一些数据信息。尤其是一些企业的数据信息,往往会涉及很多金融方面的隐私,从而存在一定隐私数据泄露的风险。关于金融隐私数据跨公司流动发生的泄露,已经引起了相关研究部门的注意,并采取了相应的措施予以保护。
2016年,谷歌提出了联邦学习如何在“安卓”的移动端来进行应用,从而针对用户的本地模型进行更新。这样的一种操作方式,对长期以来存在的数据孤岛问题而言,是一个非常好的解决问题的方案,也正因此,世界引发了一种关于隐私数据计算的热潮。当到了2018年之后,IEEE联邦学习基础架构逐步变得更加完善起来,这种现象引得应用标准相继发布,同时人们也对隐私数据更为关注起来[1]。
随着信息技术的发展,一些金融隐私数据被侵权的案件也时有发生。例如“美国诉微软公司”中数据主权与跨公司数据流通的案例,引起了各方的关注。我国可充分借鉴欧盟的多种个人数据跨境流通模式的先进经验,包括充分的保护水平,“约束性公司规则”、“标准合同条款”以及双边或多边国际条约,启用“白名单”,从而借鉴一些相关的内容。并从中了解和借鉴了一些关于金融隐私数据被侵权之后,如何采用相关的法律规制来进行数据隐私权的保护。
当前,在国内,我国政府陆续出台的《个人信息保护法》《数据安全法》等有关法律法规,针对金融机构必须对掌握的大数据进行匿名化后方能与第三方合作分享这一相关的内容,提出一些在金融隐私数据在进行跨公司流动的时候,相应的信息安全如何通过法律的手段来进行保障。同时,也针对公司之间隐私数据的跨公司流动提出了一些新的要求,围绕如何在数据安全且合乎法规的前提下,加快培育数据要素市场。这样一来,可以促使企业个体对金融数据进行隐私保护处理,从而达到最大化数据效用,最小化隐私泄露风险。
除此之外,国家也颁布了《JRT0197-2020金融机构数据安全数据安全等级指引》《GB/T35273-2020信息安全技术个人信息安全标准》等文件,用以保护金融隐私数据的泄露,从而更好地保障企业个体用户的权益。
作为企业的个体,如何收集、使用、控制和处理金融隐私信息数据,是摆在社会面前的一项重大课题。与此同时,在数字经济迅猛发展的情况下,个人信息数据的分类标准还比较模糊,这对我国作为一个数据大国、一个数据强国的建设是非常不利的。所以,本文将关注我国个人信息数据跨公司流动的隐私数据的保护,从而改善当前的行业现状。
2. 金融隐私数据跨公司流动的现实困境与规则缺失
(一) 中国金融隐私数据跨公司流动立法现状
1) 金融领域中的信息保护
从中国现有的关于金融隐私数据跨公司流动的情况来看,与之相关的法律条文主要有《国际刑事司法协助法》《数据安全法》《个人信息保护法》等。当金融隐私数据在进行跨公司流动的时候,通常会分为两种情况,一种是数据在国内跨公司之间进行流动。还有一种情况是在隐私数据跨越了国界来进行流动,也就是俗称的跨境流动。此时就需要国外的执法机构以及司法机构来协助,从而完成跨越国境调取数据的行为,此时就会涉及《国际刑事司法协助法》这一法律法规。此时,通常会需要走司法协助等官方国际合作的一些程序,或者会采用外交的途径,来向国家外事单位提出请求,具体情况不必赘述。
如表1所示,现根据样本的调查结果来进行分析。在本次的研究过程中,由于其学术性比较强,所以进行了问卷的调查和发放工作。在调查问卷的发放过程中,主要是针对一些企业人员,他们所填写的数据具有比较强的代表性。发放调查问卷的方式是通过网上来进行传递,这些问卷在调查的过程中,一共收到了186份,其中去掉了无效的问卷39份,去掉的原因主要是因为提交的数据异常,并且提交的问卷有很多没有填写。其中有效的问卷为147份,有效率达到79.03%。其中问卷的调查过程中,男女性别比例达到35:14;由此推断女性填写问卷的积极性更高一些,同时推断女性更喜欢采用手机上网来进行回访网络,男性更喜欢通过互联网回访网络;在经过调查的企业人员中,用户的文化多以本科为主,呈现等级性的正态分布,大体来讲,参加调查的用户文化多呈正态的分布,以本科占比为91.84%,具体人数高达135人。所以本次调查的数据隐私问卷,相对高等级的教育水平而言,针对企业隐私数据的安全认知,具有非常强的可用性。同时,对这些人的上网时间进行了调查以及汇总。其中每天上网在5个小时左右的人数占比最高,约为42.18%,每天上网在7个小时的人数,占比约在16.33%;更有每天上网超过9个小时的人,占比达到11.56%,还有一些上网时间较少的人占比达到5.45%。由此可见,数据隐私的安全,与用户切身的工作以及生活是息息相关的。
Table 1. Survey sample condition description statistics
表1. 调查样本情况描述统计数据
| 问题 |
选项内容 |
人数;百分比 |
| 使用不同方式上网频率 |
电脑 |
49; 33.3% |
| 使用不同方式上网频率 |
手机、平板等移动端 |
98; 66.7% |
| 性别 |
男 |
80; 54.4% |
| 性别 |
女 |
67; 45.5% |
| 文化等级 |
高中及以下 |
12; 8.3% |
| 文化等级 |
本科 |
88; 59.9% |
| 文化等级 |
硕士 |
39; 26.5% |
| 文化等级 |
博士及以上 |
8; 5.5% |
| 平均每天接触网络时间 |
小于1小时 |
8; 5.5% |
| 平均每天接触网络时间 |
高于1小时,小于3小时 |
36; 24.5% |
| 平均每天接触网络时间 |
高于3小时,小于5小时 |
62; 42.2% |
| 平均每天接触网络时间 |
高于5小时,小于7小时 |
24; 16.3% |
| 平均每天接触网络时间 |
高于7小时,小于9小时 |
17; 11.6% |
在使用同种的计量单位以及计量方法对所调查的群体进行反复筛查之后,检验每次获得的结果是否相同,如果结果在可接受的误差范围之内,就代表了这类数据的可靠性非常高。一般来讲,根据信度的分析法,得到的Cronbach’s Alpha(克朗巴哈系数)的数值位于0到1的区间里边,根据不同的检测方法,如果系数在0.7以下,则证明数据的可信度是非常低的,只有当系数位于0.7到0.8之间的时候,可信度达到一般的水准。当系数位于0.8到0.9之间的时候,则证明获得的数据可信度是比较高的,也因此具有很高的可信度,具有特别强的说服力。针对这些调查数据,本文采用SPSS软件,对调查的问卷结果进行数值的分析。根据可信度所表达的调查内容进行描述,并形成模型数据。
本文采用数据分析软件SPSS对调查数据进行了可信度分析,以及对整体和各个变量进行了可信度的对比,最终的结果展示问卷呈现了整体信度系数为0.764,同时,对各个变量的信度系数进行了统计,得出的结论是大多数的变量信度系数都大于0.7,最小值的系数不低于0.6,部分的系数呈现出来的结果高于0.8,从问卷的信度系数来看,整体的信度比较高。
在此,针对数据分析软件SPSS对调查的数据进行可信度的分析,同时对整体以及各个变量来进行信度的对比。见下表2及表3中所列出的数据。
Table 2. Reliability measure of questionnaire population
表2. 问卷总体的可靠性度量
| Cronbach’s Alpha(克朗巴哈系数) |
基于标准项Cronbach’s Alpha(克朗巴哈系数) |
项数 |
| 0.764 |
0.764 |
30 |
为了更好地对所研究的个人数据相关的隐私安全影响因素来进行分析,应用SPSS数据分析软件来进行效度的分析,针对每个逻辑因子,设置了不同的对应问题。其中合计27个问题。
所列的数据中,主要有主动数据存储(AM)、信息匿名技术(IA)、后台被动数据的存储(PS)、数据机密技术(DS)、数据细化技术(DR)、防火墙技术(FT)、传输层(TL)、用户信任(UT)、运行层(RL)、用户期望(UE)、安全测量(SM)和功能体验(PE)的因子载荷,以及KOM的值来进行观察可知,在每个潜变量用隐私分析计算潜变量与题目之间的关系时,(即因子载荷),从而得到椅子的得分,以此作为潜变量的观测值,并以此来进行计算因子的得分,并以此当成潜变量之间的相关系数。
根据SPSS来测算得到的KMO值在进行常规指标检验过程中,逻辑因子的效度系数位于0.5以下的时候,证明这一因子的有效性非常差,当逻辑因子的效度系数达到0.6到0.7的时候,说明这一因子的有效性是可以接受的。当逻辑因子的效度系数提高到0.7到0.8之间的时候,这一因子就具有了比较强的有效性。如果逻辑因子的效度系数高于0.8,在0.8到0.9这个区间的时候,这证明因子的有效性非常高,而到了0.9的区间时,有效性则达到了超高的程度。具体分析见下表3、表4、表5、表6、表7所示。
Table 3. Active data storage factor load value
表3. 主动数据存储因子载荷值
| 变量 |
测量的内容 |
因子载荷 |
KMO(取样适切性量数) |
| 主动数据存储(AM) |
如果云存储给用户带来了一种随时随地想存就存的便利,可以选择云存储的一种可能性 |
0.8753 |
0.742 |
| 主动数据存储(AM) |
应用实用型操作软件后,用户自主将相应的文件来进行存储,用于线下的数据端,您认为数据的安全程度 |
0.9012 |
0.742 |
Table 4. Factor load value for background passive data storage
表4. 后台被动数据进行存储的因子载荷值
| 变量 |
测量内容 |
因子载荷 |
KMO(取样适切性量数) |
| 后台被动数据存储(PS) |
社交软件对您的社交圈的影响程度 |
0.8132 |
0.797 |
| 后台被动数据存储(PS) |
您设置的消费应用软件支付密码的安全程度 |
0.7926 |
0.797 |
| 后台被动数据存储(PS) |
具有后台自动存储个人敏感信息的软件占据您的操作系统的软件比例 |
0.7785 |
0.797 |
Table 5. Information anonymity technology factor payload value
表5. 信息匿名技术因子载荷值
| 变量 |
测量内容 |
因子载荷 |
KMO(取样适切性量数) |
| 信息匿名技(IA) |
应用软件应用隐藏存储保护您的信息,您接受的程度 |
0.7794 |
0.811 |
| 信息匿名技术(IA) |
对数据进行模糊存储后发生的数据泄露的可能性 |
0.8436 |
0.811 |
Table 6. User expectation factor load value
表6. 用户期望因子载荷值
| 变量 |
测量内容 |
因子载荷 |
KMO(取样适切性量数) |
| 用户期望(UE) |
您对达到其承诺的软件的期望值 |
0.738 |
0.857 |
| 用户期望(UE) |
您对系统服务软件的失误进行反馈和追踪的可能 |
0.845 |
0.857 |
Table 7. Safety measure factor loading value
表7. 安全测量因子载荷值
| 变量 |
测量内容 |
因子载荷 |
KMO(取样适切性量数) |
| 安全测量(SM) |
安全度量评估无法解释应用软件安全度的可能性 |
0.768 |
0.791 |
| 安全测量(SM) |
选择安全测量值低的应用软件的可能 |
0.810 |
0.791 |
从上述的表格可以看出,针对变量的所有的测量内容,因子的载荷值通常都超过了0.6,大部分的测量内容都高于0.7,甚至还有高于0.8的。所以可以了解到,此时量表的总体检验结果KMO是0.747的。这证明检测的结果比较好,而且调查问卷具有非常好的效度。
此外,根据调查问卷的一些调查结果分析,通常情况下,后台的被动数据存储,数据保密的一些技术,数据细化的技术,防火墙的技术,信息的匿名技术,都有着紧密的联系,这就意味着正向的关系是成立的,同时,在存储背景的某些被动数据的过程中,软件所要保护的区域相对较高,这种软件的背后,从运行到存储,都有可能会导致用户的隐私被泄露。当他们的数据被保存起来,并且得到了用户的允许和允许之后,就会被保存起来。为了更方便地发掘商业机会,因此可以将用户的隐私保存起来,因此,在这一过程中,要注重安全性、数据保密技术、数据精炼技术和信息匿名技术的保护。同时,还要提高防火墙的技术,从而对整个的操作系统进行运用,并以此来确保整个操作系统的网络安全,并以此来加强对数据的保护,防止隐私数据的泄密与侵权。
2) 金融隐私数据跨公司流动法律框架的网络安全法
2018年,国务院发布《法人金融机构洗钱和恐怖融资风险管理指引(试行)》,其中明确指出,为打击洗钱、反恐融资目的,境外主管机关对中国公司财务机构提出的客户、账户、交易信息以及其它有关的金融隐私信息需求,必须走正式途径。
此外,随着我国司法制度的进步,一些相关的大数据流通方面的法律规定也正处于不断完善的过程之中,除了《数据安全法》和《个人信息保护法》之外,未来还有拟出台的《网络数据安全管理条例》。这些法律都涉及到了大数据流通和调取方面的内容,从而构成了金融隐私数据跨公司流动法律框架的最基本的网络安全法[2]。
3) 信息保护确定的跨公司流动标准
当前,金融数据合作共享模式逐步被纳入重点探讨的内容中来。随着大数据时代的发展,如何开展一种金融数据“由私到公”的合作共享模式进入到了人们的视野之中。首先,随着全球经济的发展,金融数据的跨越公司流动已经不可避免,关键是如何在金融数据的获取与使用过程中保护企业个体的隐私,让其在使用过程中获得合理合法的授权。此外,在金融数据进行跨公司流运的过程中,还需要进行必要的监管与协助,同时还要对监管的路径来进行优化,从而让金融数据的流通基于安全保障的目的来进行调取,同时,还要在调取“私主体”的数据过程中,对于涉及“私主体”以及公共机构之间的一些行权,限权,甚至责任承担问题,都需要进行严格的限定。这些内容涉及到的法律主体,以及法律关系,在当前金融数据的合作共享中,呈现出一种多元化的法益的博弈状态,同时,它还涉及到金融行业的安全问题,以及国家安全的权益问题。但是还要注意在这个过程中,不要给企业个体之间造成困扰,增加其主体的行权义务。也就是说,无论在何种程度,无论在什么情形之下,都要与公共机构完成共享数据,同时要达到公共机构获取数据的一种合法性,以及正当性,同时还要考虑是否有的程序,实体规则,会对法律规制产生冲突。因此,这些金融数据跨公司流动的过程中,要立路于法律关系的内容,从保护企业个体的法律权益的角度来进行展开[3]。
4) 《民法典》确立的信息保护的基本概念
根据我国的《民法典》第1038条规定,信息处理者不得透露或篡改信息。同时也不可以随便收集或者存储个人信息。在信息处理过程中,必须要采取最基本的保护措施,确保被收集、存储方的隐私信息的安全性,并且要防止信息泄露、篡改、丢失等情况的发生。此外,在出现或有可能出现个人信息泄露、篡改、丢失等情形时,必须及时采取补救行动。
5) 智能物联网产品带来的新型隐私风险
在物联网时代,我们的生活中离不开各种各样的智能设备,它在带给我们日常生活便捷的同时,很多智能物联网产品也会带来新型的隐私风险,从而存在着非常严重的安全隐患。在这样的情况下,物联网智能设备也会成为我们涉密场所需要认真防控的重点。通常情况下,在我们日常所用的智能设备中,存在的问题主要有:防护技术不足;隐私信息集中;非常容易被攻破等问题。同时还有可能被不法分子利用,从而攻破。其中比较关键的隐私数据,主要是位置隐私信息的泄露。比如说一些用户的位置隐私,传感器节点的位置隐私等等。尤其是关于位置服务中的位置隐私这些内容,一些不法分子往往是通过一些技术手段,从而进行网络内部数据的访问,并因此而获得一些个人用户的资料和信息等等[4]。这样做就会产生非常严重的泄密隐患,并因此威胁到了涉密场所的安全,从而带来了新型的隐私风险。
6) 公共监控视频的潜在风险
在我们生活场所中,往往大量的安装了一些公共监控。这些公共监控视频,也存在着隐私泄露的风险。首先,智能摄像头会拍摄大量的公共场景的信息,这些海量的视频数据,一般是通过互联网传输,最后再存储在云端的,这使得数据的安全性被完全掌控在服务商的手中。一般来讲,一些个体用户的安全性在这个过程中根本无法得到有效的保障。从本质上来讲,这样做就相当于将个体或者企业的隐私数据交给了第三方进行掌控。一旦第三方的管理人员个人素质不佳,或者因为利益而出卖这些数据,那么这些个人和企业的安全便受到威胁,很难得到保障。
(二) 中国个人金融数据隐私跨公司流动规制体系的不足
1) 行业标准及行业自律性的缺失
在国内,个人金融数据隐私的行业标准以及行业自律性,都处在不断发展和完善的阶段。通常来讲,对于公共场所的监控设施,用户家中的路由器,以及智能音箱和智能手机等设备,同样都面临着一些安全问题。例如,家中的路由器,作为个体的所有智能设备的通信中心,当处在被攻破的条件下,所有与它连接的设备,都会面临着很大的危险。对于一些智能音箱而言,由于缺乏行业标准,部分产品的质量堪忧,有的会在识别错误的情况下,从而导致在非唤醒的状态之下,进入工作。这样一来,非常容易造成用户的隐私泄露。此外,在我们的日常生活中,当我们用上智能手机的时候,它非常容易成为我们的隐私仓库。手机里通常会储存着我们的大量个人信息。比如一些涉及企业信息的资料等等。在日常的工作过程中,一些个体企业的不知名插件,有可能会在暗中调用权限,窃取一些企业间的隐私信息。由于针对这一隐私保护的行业标准以及行业自律性的缺失,很可能会造成个体企业隐私资料的泄露。因此,所谓的保护隐私,不止单纯定为厂商的责任,而是需要对行业标准进行严格的限定,同时,也要对企业的相关工作人员进行职业方面的培训,如果缺乏相应的行业自律性,那企业个体的隐私就得不到有效的保护。
2) 跨公司数据流通协议的空缺
在现实互联网的应用中,很多APP平台之间可以实行“一键关联”。比如说用户在A平台注册之后,通过一键关联,可以以同样的身份信息一键关联登录到B站。这说明跨公司的数据流通现象是非常常见的,而且也在业内被视为司空见惯。同理,在这个过程中,用户通常不太可能签署跨公司数据流通的协议。企业个体隐私的大量数据在进行跨公司流通的时候,亦是如此。很多平台,如果用户不提供个人实名信息,根本无法登录使用,诸多平台更是一旦注册就无法注销,而这些数据随时可能会出现在另外的平台。在现实生活中,这种对个体隐私数据毫无边界的“一网打尽”,证明了在当前企业个体的隐私数据保护中,形势依然严峻。
3) “截屏社交”——二次传播的界限未被明确
所谓的截屏社交,主要是指个体将聊天内容截屏之后,再转发给他人,并借助此举拉近社交距离的行为。截屏社交在进行二次传播的过程中,对打破双方个体的隐私平衡发挥着非常重要的作用,这样一来,就会让原来的隐密聊天记录面临着被侵犯隐私的风险。但是关于个体传播的界限,并没有在法律法规或者相关准则中被界定,针对边界敏感、重塑边界的契约也就无法得到体现,这样一来,界限就根本无法被明确。
3. 金融隐私数据跨公司流动法律规制的成因
(一) 金融隐私数据与公司数据主权的关系
1) 数据主权在法律层面的合法性分析
众所周知,在2021年的11月,我们国家颁布了《中华人民共和国个人信息保护法》。在这一法律法规中规定了一个原则,即个体的资讯行为,既要有正当性,合法性,又要有最低的必要性。同时,也要保证透明度和安全性。在这种情况下,需要制定一种权利和义务都有清晰的规定,并能起到有效的保护作用,并能运用这些标准,从而对个体的信息权益进行保障,这其中就包括对企业个体例如公司的保障,从而促进金融数据的依法且合理而且有效的利用。
2) 对于“数据主权”概念的重新定义
关于数据主权,它与传统的主权,以及网络主权的概念和意义是不同的,数据主权不是一个空间的架构,它是一个实体的概念[5]。总体来讲,数据主权化的观点提出,是一种国际上的不同国家之间,对于本国的数据实施控制的主权宣示,同时,它也是如何让自身数据合理化,加强数据管理的一种最主要的依据。通常来讲,数据主权的基本范畴,可以总结为一种在大数据,以及“云计算”的大环境下,各国对其国内的某些数据,包括其国民的某些数据,拥有所有权、控制权、管辖权和使用权,总体来说,就是国家数据主权,以及个人数据权利的总和。
具体的体现主要是对内的一种最高数据实施管控权,以及对外的数据处理权[6]。从当前的情况来看,我国正处于大数据时代的发展阶段。因此,我国的数据主权概念总体呈现出一种具有排他性、绝对性、单薄性甚至于混杂性的特点。从实际来讲,数据主权的概念,源于传统主权的思想内涵。它是不可能完全摆脱传统的概念单独来进行存在的,同时也具有很大的绝对性,以及很明显的排他性。尤其是当数据进行跨公司流动的时候,这种排他性就表现得更加的明显。从国际的视角来看,无论哪个国家,都非常严格的管控本国数据的泄露与流出。从数据主权的概念来讲,这是一种新兴的概念,无论是从权力的角度来讲,还是从传统的主权维度来讲,都相对而言比较的单薄。在这样的情况下,为了解决这一单薄的问题,需要不断地提炼有别于传统主权的概念。因此,可以尝试精化提炼传统概念的特点,从而对现有的概念内涵进行丰富的方式。不过,在这个过程中,一定要注意与其他的概念不要发生混杂,从而导致对概念的理解陷入另外的一种困境。例如,不要让数据主权与网络主权混为一谈,这是在研究中需要重点注意的。
4. 基于数据保护安全评估建立的跨公司数据流动免审机制
(一) 国外对跨境数据流通中个人信息保护的法律规制
1) 国外个人数据保护立法的沿袭
在欧洲,欧洲委员会于1981年1月28日通过了《关于自动处理的个人数据保护公约》(第108号)。这项议案得到了欧洲委员会不少成员的赞同,甚至连欧洲以外的一些国家,都可以参与其中。第108号《公约》强化并肯定了1973年的各项决议,并在资料保护方面确立了里程碑意义的1974年各项决议,成为第一个法律约束力的国际文书。与《指引》的区别是,该公约请各缔约国在本国法律中采取必要措施,实施《指引》关于处理个人资料的各项原则。如果出现了个人信息的泄露,篡改,丢失等情况,就需要进行相应的补救。其中,108号公约由3部分组成:一部分是以实体法的形式来对基本原则进行规定;另外,还制定了一些关于跨界数据流的特殊规则,其中这一法规的第二章的内容,即以实体法的形式规定基本原则;第三章的内容,主要是讲了如何进行跨界数据流的特殊规则;其中第五章的内容,主要是讲了各方协商机制。这一法则直到今天仍然适用。由上述内容可以看出,国外对于个人数据的保护立法大部分沿袭了《关于自动处理的个人数据保护公约》(第108号公约)这一法则,直到今天,这一法则仍然在很多国家适用。
2) 以“适当性评估”为核心的数据跨公司流通的混合模式
在欧洲,关于数据跨公司流通的模式,经历了非常长的探索期。一直到了《通用数据保护条例》的公布,这才构建起以“充分平等保护(Adequate Level of Protection)”作为基础的准则,以“适当性评估(Adequacy Decision)”作为核心要求,同时以“适当性保护措施”、“特殊情形”再加上一些关于“国际双边/多边协议”为补充,从而建立起了个人数据跨公司流通的混合模式。
其中,适当性评价模型是一种十分重要的基础模型,可成为欧盟数据跨境流动的有关规范,也就是在达到足够保护程度的前提下,方可将其跨境传输至第三国。在这个过程中,欧盟委员会基于多种因素考虑,通过进行适当性评估,来确定是否达到保护的标准。可以形象的说,如果能过评估,就相当于经过了欧盟认证的“白名单”。不过,在这个过程中,认证的过程非常的繁琐复杂,在实际的运用中操作性较差。到目前为止,世界上已经有12个国家或者地区通过了这些认证。但是,这里边的国家并不包括中国。
(二) 二元模式下的中国个人数据出境安全评估机制
1) 基于数据主体的同意实现公司数据跨境流通
从当前的社会来看,中国与欧盟适当性评估标准并不一致。再加上国际双边协约的缺失,因此,在企业数据的个体间进行流通过的时候,企业可以根据自身业务需求,合理选择相适应的传输方式。
在中国,我们的立场就是首先要把国家安全以及产业安全放在首位,当数据跨公司流通的时候,必须保证数据的安全可控,这是前提条件,同时,还要兼顾数据进行自由流动。近年来,我国也在积极推动《全球数据安全倡议》,同时,极力倡导维护独立自主、发展中国家的发展利益,借此防止遭遇数据霸权的控制。
此外,还有《中华人民共和国个人信息保护法》,这些相关的法律法规,针对个人信息跨境流通,在规则方面做出了相关的规定。从法律法规的两方面来进行考虑,针对我国公司数据跨境跨公司流通,一方面是纳入国际协定,如已经生效的RCEP和中国申请加入的CPTPP和DEPA。另外一方面是遵从我国的关于《个人信息保护法》中的相关法律准则。
2) 基于安全评估审查实现隐私数据跨公司流通
在通过了安全评估的基础上,如果想实现隐私数据的跨公司流通,那需要从法理层面,再加上实践层面双双入手。
从经济的角度来讲,用户的数据堪称一座丰富的“金矿”,具有很大的经济价值。已成为培育人工智能更强算法的养料;从商业上讲,数据也已成为当今时代重要的生产资料。例如通过人脸识别的方式可以积累更多的用户信息。针对用户的面部信息,可以透露出其性别、年龄等情况,此外,还有的可以汇集到一些地理定位的维度信息,这样才能得到一些相对精确的“用户画像”。利用这些信息,可以完成大量的精准营销,从而完成广告推送,借此实现流量变现,获得大量的经济利息。故而有一些不良企业,就通过直接售卖用户的信息,借此来牟取私利[7]。但是从技术的角度来讲,随着人工智能时代的发展,越来越多的渠道可以汇集大量的用户数据。这些数据都可以成为培养更强大的算法的基础。行业法规也随之完善起来,从实践的平面来讲,平台需要提供技术的支持,加强用户信息的自决权,以及如何进行强化审核以及把关,同时,还要不断地简化维权通道[8]。在法律方面,应该破除一些适用方法的障碍,并借此保障截屏社交中的信息安全。此外,保护隐私除了厂商要负一定的责任,还需要行业遵守相应的标准,并且不断地提高用户自身的保护意识。
5. 建立以行业自律规范体系为基础的金融数据流通合作框架
(一) 国外金融隐私保护框架中数据跨公司流通的基本路径
1) 金融数据隐私保护框架中的责任原则
从我国目前的商业环境来看,在“数据规则”的内容设定上,一般都是较为含糊的。主要是在数据共享、数据保护、合法使用和过错追究等方面做出了原则上的规定,而在金融隐私保护体系中,这也是一种基本义务。除此之外,还有政府、财政、司法等方面的大数据。这些大数据在并没有隐私保护框架之下,通常采用公私数据统一进行治理的模式。通常来讲,这些数据往往涉及了政务、金融、司法等部分公共数据,尚未形成“大数据”框架下的公私数据统一治理模式[9]。
从国家层面看,中国在数据方面的立法也相对较为薄弱,除2021年颁布的《数据安全法》外,尚无其他数据专门规制立法,对国际评价指标所重视的数据的合理使用、隐私保护、分类保护、跨境流动、治理标准等核心问题尚未形成规范体系,与数据治理相关的基础设施建设、行政审批流程、争议解决方式、实施载体治理、跨部门跨区域协作等各实施发展环节,虽然都有相应的法制法规来进行立法框架的限定,但是仍然需要国家高质量立法跟进。
2) 流通与监管视野下金融隐私数据公司个体的信息保护
从我国当前的情况来看,在流通与监管的视野下,数字平台治理规则体系不健全,金融隐私数据公司的个体信息保护并不全面。这主要是两个方面的原因造成的。一方面是因为平台的建设孤立复杂,缺乏一定的融合性。另外一方面来讲,缺乏对平台建设的全国性,以及系统化的实施规划。从当前的金融隐私数据公司来看,一方面公司的数据平台建设缺乏融合性,不仅孤立而且复杂,少于对其进行全国性以及系统性的实施和规划。当前,各地的平台建设计划非常繁杂。前期的平台通常以国家的一些政府和官方平台为参照,或者以一些大企业的建设标准为参照,然后衍生出适合自己本公司性价比的数据平台[10]。通常来讲,国家的数据平台涉及大数据隐私的主要有金融、税收、信用、司法、支付、出行、物流、医疗、教育等诸多领域分类。在这些平台中,政务平台、税务平台、公共信用平台等响应国家号召,实行了“大平台”建设,但是经常会有一些“重复建设”“平台不兼容”等问题出现。在金融企业之间,也存在平台管理机制混乱、横向协作机制不健全等诸多现实问题。这样一来就给金融隐私数据公司的个体信息保护带来了挑战。
(二) 通过行业自律规范体系构建金融隐私数据跨公司流通协作框架
1) 以问责制为原则推进行业自律及自我规范体系的构建
金融隐私数据跨公司流通涉及到的信息安全本身涵盖范围比较广泛,如何防止商业企业隐私数据的相关机密泄露,可以通过以问责制为原则来进行行业自律以及自我规范体系的构建。信息处理人员在收集或者是管理企业的信息的时候是需要保密的,而且也不可以私自的进行篡改或者是提取,造成的一切过错行为都需要信息处理者本人承担相关责任。建立健全的数据收集,以及使用问责制度,对于保护个人的数据隐私来讲,非常重要。从当前的情况来看,可以通过规定数据使用者应该承担的责任,从而保护个人数据的安全性和合法使用的个人数据。如果发生企业金融隐私数据的泄露或者非法使用情况,数据的使用者必须承担相应的法律责任,同时向受影响的个人提供一些合理的赔偿。
与此同时,这些问责的制度,要有法律层面的保障,可以通过法律法规,来对这些个人的数据隐私进行加强保护。对于政府而言,必须加大对于违法行为的打击力度,同时还要加强对于数据使用者来进行监管[11]。一些独立的个别数据保护机构或者委员会,在监督和调查的过程中,可能会涉及到一些个体数据隐私泄露的案件,此时要通过这些数据保护机构或者委员会,来保障这些个体的数据隐私。
此外,还要不断加强公众的信息安全意识培养。只有大家都重视起对于个人数据的保护意识,才能避免让这些个体的金融数据隐私泄露给不可信赖的第三方。在普及金融隐私数据保护的道路上,我们任重而道远。政府有国家的一些相关的法制机构,可以适当展开宣传教育工作,从而不断地提高公众的信息安全意识,并借此来引导更多的人参与到个人信息数据保护的过程中来。
2) 围绕《民法典》参与金融隐私数据跨公司流动
为保障个人金融隐私等方面的利益,《中华人民共和国民法典》(以下简称《民法典》)对其进行了专门的规定。另外,我国还专门出台了一部关于个人财务隐私的法律,即《中华人民共和国个人信息保护法》。在金融方面,《个人信息保护法》也是如此。这是一个次级的个人信息。不管是“私人财务信件”还是“金融隐私”这一概念,或者说其前身,自其产生之日起,便采取了较为广泛的定义。
从当前的情况来看,网信部门和金融监管部门的机构,针对企业个体之间的金融信息保护,也加强了相关的执法力度。当前,这些侵犯个体金融隐私数据的案件,已经引起了国家相关执法部门的重视。根据《民法典》对个体金融信息的保护,可以从两个方面进行考虑,首先,是从单纯地对金融隐私进行严格保密,再到企业个体的金融信息来进行全方位全生命周期的保护[12]。对于个人金融信息的保护,是这个社会法律制度在信息时代的新发展。与《民法典》相关的金融法,需要根据个人信息的保护法来进行系统性的修改,从而更好的来适应信息社会以及数字社会,从而加强对于个人的一些金融信息,来进行事前的,事后的,以及事中的全方位的保护。这些保护还要贯穿到所有的金融隐私数据的过程之中,依据《民法典》和其他的一些相关法律,贯穿到信息采集、存储以及使用、加工、提供和删除等等,运用到每一个金融隐私数据的流转环节。
3) 积极参与金融隐私数据跨公司流动规则制定
随着时代的发展,人们渐渐地意识到了金融隐私数据流通的趋势已经不可避免,相关的法律法规也从强调保密一端到保护与利用同样重视的程度。针对个人的金融信息进行法律保护的时代,是数字经济时代保护企业个体之间金融隐私数据的流通其中最为重要的目的,积极参与到金融隐私数据跨公司流动规则的制定过程中,对于促进大数据的利用与相关的保护具有非常重要的价值和意义,它可以积极促进其发挥数字的红利。
4) 构建数字隐私空间
通常来讲,根据规定,可以通过企业或者相关人员,向主管部门进行汇报,并且做好记录。此外,还要注重环境的保护。比如说要把处理私密信息的系统进行环境、设备和媒体安全的保护。在处理秘密信息的时候,对系统中心房间必须采取有效的技术预防措施,同时,对于这些重要的系统,还需要配备一些安保人员,进行必要的区域防护。
美国物理学家约翰·惠勒曾经提出“万物源于比特”的说法[13]。也就是说,这个世界是由比特来组成的,也就是说,它是由无数的数据来构成的。在大数据的时代,所有的事物都可以用数据来进行表示。人们通过强大的计算机来进行大数据的分析,从而获得大数据背后所隐含的一些相关性以及模式,这些数据,我们可以不断地把隐藏在其后的价值挖掘起来,或者捕捉到这些数据,把它们储存起来,并开发出针对这些数据的应用,这就是关于大数据的一些价值。几十年来,随着一些移动互联网的技术不断以得的进步,关于金融机构的受众,进行了大规模的扩容,这样一来,金融业就面临着一个非常重要的发展机遇,针对其行业的发展特点,大数据的蓬勃发展,为其开辟了一片新的天地。金融业已经成为了一个大数据非常密集的行业。因此,关于金融隐私数据的安全也就越来越受到人们的重视。故而,可以在考虑大数据的核心需求方面,针对欺诈监测需求[14],审计和合规性需求、风险控制需求,客户的服务需求,以及营销方面的需求等等,来不断地满足这些需求,从而构建安全的数据隐私空间。为了满足这些数据的需求,甚至还需要对一些外购的数据来进行采购。此外,在构建大数据隐私空间的时候,也可以根据对外需求,将一些精准性和高价值的数据,通过有偿的形式来进行对外共享或者出售,从而充分发挥大数据时代的红利。当然,这样做的前提就是要保障数据企业利用大数据的经济利益,金融业也不例外,法律要增强确定性,全方位地保障金融业以及个人金融信息在内的一些金融大数据的经济利益。
6. 结论
本文以金融隐私数据跨公司流动相关法律规制内容为重点,从其含义、现象、存在的一些问题等展开论述,针对金融隐私数据跨公司流动过程中存在的问题进行了深入的探讨。在研究的过程中,初步了解金融隐私数据与公司数据主权之间的关系,针对数据主权在法律层面的合法性来进行分析,从而对“数据主权”概念进行剖析。在我国的《民法典》中,只规定和确立了信息保护的基本概念,而针对新商业模式下的隐私风险,缺乏精准的法律规制。综合各个维度展开了讨论,针对智能物联网产品带来的新型隐私风险、公共监控视频的潜在风险;金融信息数据跨公司流动规制方式的不足;行业标准及行业自律性的缺失;跨公司数据流通协议的空缺;“截屏社交”——二次传播的界限未被明确等现实中存在的一些相关现象进行分析,以期寻求更为完善的保护金融数据隐私跨越公司流动的法律规制解决问题。针对这些问题,在笔者看来,应该建立以行业自律规范体系为基础的金融数据流通合作框架,遵循金融数据隐私保护框架中的责任原则,以及实施流通与监管视野下金融隐私数据公司个体的信息保护,并通过以问责制为原则推进行业自律及自我规范体系的构建;围绕《民法典》参与金融隐私数据跨公司流动;积极参与金融隐私数据跨公司流动规则制定;以及构建合理的数字隐私空间,从而解决我国数据隐私保护问题。此外,本文还提出在一些企业、金融服务机构、监管机构实现数据共享的建议,这样一来,不仅为宏观经济、微观金融行为的安全建立关联,而且有利于防范金融犯罪、系统性法律风险等问题。关于这一问题的探讨以及建议,希望推动数据隐私保护的研究步伐。