三、对我国的启示
(一)科技概念法律化
GDPR的条文是建立在三个术语之上,分别是控制者、处理者、数据主体。控制器和处理器之间的区别基于事实确定,任何事实上“确定处理数据的目的和方式”的实体都是该数据的控制者,而代表控制者处理个人数据的一方成为处理者,绝大多数GDPR规定的保护个人数据的责任由控制者承担,同时对处理者也有规制。另一方面,CCPA也建立了“企业”“第三方”“服务提供者”“消费者”等四个术语,并通过条文对四个术语进行立法解释。GDPR和CCPA尽管术语的名称不一样,但是内涵是一致的,两者可以进行转换。例如,“消费者” 是数据主体,“企业”是控制者,“服务提供者”是满足“企业”要求的处理器,“第三方”是既不是“企业”也不是“服务提供者”的实体。两部数据监管法律都是通过将科技概念进行法律化,转换为法律术语,从而成为数据与隐私规范的基础内容。我国在建立数据监管法律时,也可以借鉴这样的方式分类,对数据主体、数据控制者、数据处理者进行立法解释,明确核心术语的含义。
(二)以用户权利保护为核心
金融的基石在于信任,而构建数据监管法律的目的在于提升用户(消费者、投资者)对金融科技的信心。诚如拉菲·拉波塔所说:“当投资者受到保护,不被剥削的时候,他们会更愿意为购买证券而付出更多,使得发行证券对于企业来说成为更有吸引力的事情。”[23]对于金融科技的用户也是同样,当其权利受到保护,会提升对金融科技产品或服务的信心,他们会更愿意尝试新产品或服务,使得金融科技公司更有动力研发与优化新技术,通过参与者的自我调适,弥补新技术存在的漏洞,以化解新技术带来的潜在风险,从而实现金融市场的良性循环。纵观主要国家及地区的数据监管法律,基本都是围绕用户权利保护展开,包括用户数据的财产权与隐私权,同时设立较高的处罚额度。
1.数据财产权
首先,明确“数据”为财产权客体。用户对数据具有占有、使用、处分、收益的权能,因而具有民法上停止侵害、侵权赔偿的效力。金融科技产品或服务的提供者需要收集、处理、共享用户的数据,前提在于用户的授权。规定数据控制者的责任,若未经授权对用户数据使用的行为,需要承担对数据主体的法律责任,其中包括国内数据控制者与境外数据控制者。
其次,明确数据的可读性与合法性。[24]可读性是数据的技术标准,只有可读取的数据才具备可支配性;合法性表明数据的内容与取得的方式符合现有法律规定,如符合《网络安全法》的要求,并不违反社会公共利益与善良风俗,只有合法的数据才能够作为保护对象。
2.数据隐私权
第一,明确我国数据隐私权的范围。张新宝教授在《个人信息保护法(专家建议稿)》(下文简称《专家建议稿》)中对“个人敏感信息”定义为:“因其性质、内容与信息主体的核心隐私相关,或一旦泄露、滥用可能危害信息主体人身和财产安全或引发对信息主体的歧视等不利后果的个人信息。”但是,数据隐私权的范围仍然需要商榷,该定义缩小了隐私权的范围,并非所有泄露、滥用产生“不利后果”才是隐私数据。比如,穿戴设备所产生的“健康数据”,即步数、心率、睡眠时间等生理数据,尽管这些数据泄露、滥用不必然对数据主体产生“不利后果”,也不能识别出特定自然人。但是这些数据经过计算分析,则具有经济价值。因此,可以在定义中增加“因其性质、内容与信息主体的核心隐私相关,并且该数据用于商业用途”。这样可以涵盖那些新技术所衍生的个人数据。
第二,明确数据主体的知情权与可遗忘权。对于收集、处理用户数据的行为,数据主体的知情权表现在“许可”,即对该行为知晓或认可。但是,知情权也存在例外,即数据涉及国家安全、公共利益的情形。
可遗忘权是源自欧盟GDPR的概念,即用户有权要求清除、更改个人数据,具体表现为删除侵害个人名誉、隐私的信息,允许用户注销账号等。长久以来,科技公司未提供用户注销账户的选项,随着该科技公司经营或技术存在问题,用户多年前遗留的个人数据泄露的情形时有发生。
3.高额处罚
在《专家建议稿》中,处罚额度设立为“处上一年度在中国境内营业额百分之一以上百分之五以下的罚款,对直接负责的主管人员处五千元以上五万元以下罚款”。我国设置年营业额百分之一至百分之五的处罚额度与欧盟GDPR标准基本契合,根据国际法中的平等原则与互惠原则,若欧盟数据监管机构依据GDPR域外效力对我国公司进行处罚,则我国也可以依据相似的标准,对违反我国《个人信息保护法》的欧盟公司进行处罚。但是,相对于业者的高额处罚,对直接负责的主管人员的处罚明显过轻。各主要国家及地区数据保护法的处罚对象一般都为“单位”,未涉及主管人员,因而可以考虑两条路径。第一,提高直接负责的主管人员的处罚力度,设置为“一万元以上十万元以下罚款”;第二,删除该条款,行政处罚对象只针对“单位”,不涉及个人。