大數據時代金融機構的安全保障義務

辜明安+王彥

[摘要]大數據時代金融機構對客戶的安全保障義務主要包括信息安全和資金安全兩個方面，其實現有賴于金融數據在金融機構和金融客戶之間的資源配置。在對個體客戶金融信息堅持“告知與許可”使用原則的同時，對海量客戶的金融數據實行“負面清單”制度，在充分保障客戶信息權利的基礎上承認金融機構的數據挖掘權，可以有效避免傳統數據使用“授權制”下巨大的交易成本和監管費用，激發金融機構利用大數據進行金融創新，從而實現與金融安全的良性互動。

[關鍵詞]金融數據；金融信息權；數據挖掘權；告知與許可原則；負面清單

隨著信息技術的發展，人類社會已然進入“大數據時代”，海量數據的生產、傳播和使用給社會生活帶來了顛覆性的變化。“在改變人類基本的生活與思考方式的同時，大數據早已在推動人類信息管理準則的重新定位。”在金融服務領域，伴隨著大數據和互聯網金融的發展，營業模式不斷更新、服務效率極大提高，出現了金融機構和金融客戶前所未有的雙贏格局。但是，由于數據獲取和傳播方式的便捷性、互聯網技術的開放性和即時性，安全風險亦隨之加大，因此，加強大數據時代金融機構的安全保障成為當前的急務。

一、大數據背景下金融機構安全保障義務的轉型

安全是人的基本需要，維護安全是法律的重要任務。在現代社會，“金融是經濟發展的血液和重要支撐”，因此，維護金融安全意義重大。金融機構是維護金融安全和保障客戶利益的主導力量，必須承擔安全保障義務。金融機構的安全保障義務包括兩個層面，一是為實現自身健康發展和維護金融秩序所擔負的安全保障義務，這既是法律對金融機構的基本要求，也是金融機構社會責任的體現；二是為保障客戶利益所擔負的安全保障義務，包括金融機構按照法律規定、行業規范或合同約定，采取措施保障金融客戶的人身、財產、信息及交易活動的安全，防止損害發生或在損害發生后及時采取補救措施的義務等。前者主要體現為依法經營，遵守宏觀調控、金融監管的法律政策和市場競爭秩序；后者主要體現為對客戶利益的尊重和維護。在傳統金融服務條件下，金融機構的安全保障義務主要集中在保護客戶在金融機構營業場所的人身和財產安全、防止客戶資金丟失或被盜以及保護客戶的金融信息等；在大數據背景下，上述義務開始發生變化，客戶的信息安全和資金安全漸成重點，信息安全則是金融機構安全保障義務的核心內容。

（一）客戶金融信息的安全保障

客戶的金融信息安全，是指金融機構對其在交易過程中獲得的靜態的客戶基本信息和動態的交易數據，負有保密和不得非法使用的義務。①任何制度的形成都有其歷時性。對個人信息使用和保護原則的形成，最初源于1890年美國學者沃倫和布倫迪斯在《哈佛法律評論》發表的論文《論隱私權》中提出的隱私權（right to pri-vaey）理論。1960年美國法學家普羅瑟將隱私侵權分為包括擅自使用他人姓名、肖像或其他人格特征的隱私在內的四種侵權行為。隨著信息技術的發展，“隱私權的內涵由消極的‘不受打擾的權利向積極的‘得以掌控自我信息的權利擴充，信息隱私權、金融隱私權、網絡隱私權等概念應運而生。”有學者將隱私權分為自治性隱私權、物理性隱私權和信息性隱私權，即所謂的新隱私權的三分法理論。而信息性隱私權，是指權利人對其能夠被識別的個人信息的獲取、披露和使用予以有效控制的權利。國內學者多將個人金融信息作為信息性隱私權的保護對象。美國也主要通過金融隱私權保護來規范個人金融信息的收集、處理和運用。歐盟則建立了隱私權標章認證機制，規定收集、處理、存儲和交換一定數量以上的個人資料的相關產品和服務，都應該經過法定的檢測流程與驗證程序，以確保該產品和服務對個人信息的保護，防止侵害行為的發生。

一般認為，金融隱私權是指金融客戶對與其信用或交易相關的信息所享有的控制支配權，它是一種兼具人格性和財產性且財產性日益突出的新型民事權利，包括客戶自主支配上述信息的權利，自主決定是否允許第三人知悉并利用該信息的權利，以及當上述信息被不當泄露和被非法使用時，尋求司法救濟的權利。需要說明的是，客戶的金融信息包括但不限于金融隱私。由于傳統的隱私權只有自然人才享有，而金融客戶不僅包括自然人，還包括各種企業和其他社會組織，企業等社會組織對其金融信息同樣享有權利，所以，我們認為用“金融信息權”來概括客戶對金融信息的支配權是適當的。有研究將金融信息的內容概括為客戶的銀行賬號、存取款情況、貸款及還款情況、信用消費及支付情況、所持證券品種及證券交易記錄、所投保險及保險繳費情況等。就信息自身而言，個體孤立的金融信息價值不大，但是大數據和云計算把海量、孤立的數據聯系在一起，就使數據具備了重大的商業價值。通過數據挖掘（data mining），不但可以準確把握客戶的消費習慣從而“投其所好”地推薦商品和服務，優化定價體系，防止價值“滲漏”，實現差異化定價和精準營銷；而且可以實現對貸款客戶資信情況的準確判斷并有效降低貸款風險；還能及時發現保險賠付中的“異常值”，提前采取措施，預防和減少賠付；并實現對經濟發展水平的準確評估而為政府提供決策依據。數據分析在帶來上述積極效應的同時，還可能產生竊取客戶消費隱私、盜取客戶資金等諸多非法目的的負面效應（許多消費者認為對自己消費習慣的分析本身就構成侵權）。所以，非法獲取個人金融信息就成為不法之徒侵權甚至犯罪的手段。與非法獲取相對應，有關部門不慎泄露相關信息也會帶來極大的社會恐慌。最為典型的一是2013年5月美國彭博社授權記者接觸到金融客戶的機密數據；二是同年2月中國人壽80萬名客戶的個人保單信息被泄露。鑒于金融信息的重要價值和可能遭受的侵害，我們有理由要求作為經營者和掌握這些重要金融信息的金融機構負擔安全保障職責。

（二）客戶資金的安全保障

客戶的資金安全是指金融機構有義務保障客戶資金不受金融機構及第三方的侵害。近年來，銀行儲戶存款失蹤或被盜取的案件屢屢發生。2015年2月15日《芝加哥論壇報》報道，俄羅斯網絡安全公司卡巴斯基實驗室（Kaspersky Lab）發布報告稱，自2013年年底開始的一年多時間里，一黑客團伙已從世界至少30個國家的100家銀行竊取多達10億美元資金。①國內媒體報道，2014年初，浙江杭州42位儲戶的9505萬元存款“不翼而飛”，該案涉及多家商業銀行；2014年10月，上市酒業公司瀘州老窖在中國農業銀行長沙迎新支行的1.5億元存款失蹤；2015年5月，多名市民存在中國工商銀行石家莊建南支行的數百萬元存款失蹤。從國內案件偵破結果看，多是不法分子以高息攬存誘使受害人將錢存入銀行，在為受害人辦理存款及網上銀行業務的過程中與銀行“內鬼”配合，竊取受害人存款信息，包括最為關鍵的印鑒、密碼、u盾等信息，然后將受害人的存款轉走。與上述案件每筆多涉及大額款項不同的是，還有不法分子乘消費者刷卡消費時拷貝銀行卡信息后制造偽卡異地盜取卡內存款，個案金額從幾百到幾千不等，由于數額不大且多涉及外地，偵破難度相對較大。此類案件頻頻發生，不僅導致大量的財產損失和糾紛發生，還損害了公眾與金融機構的信賴關系，延緩了現代交易技術的使用。另外，還有銀行工作人員與保險代理人串通，以高息誘騙客戶購買保險或理財產品，產生糾紛。諸如此類，一方面說明了金融客戶對自己的金融信息或資金沒有盡到妥善保管的注意義務；另一方面更說明現行金融系統及其內部管理對客戶資金安全保障存有不可忽視的漏洞。

二、大數據時代金融數據的資源配置

毋庸置疑，客戶對其金融信息享有顯而易見的正當權利，但是絕不能因此就否定金融機構使用客戶信息的權利。金融機構為金融交易和保護客戶利益當然可以使用客戶信息，但是金融機構為自身利益或社會公益而挖掘使用金融數據亦成為無法回避的現實問題。海量的客戶信息掌握在金融機構手中，簡單粗暴的禁止只能起到阻止金融機構公開使用挖掘結論的效果，無法從根本上杜絕其“地下挖掘，而轉入“地下”活動的危害可能更為巨大。同時，在大數據時代，禁止金融機構對金融數據進行挖掘利用無疑是巨大的資源浪費，所以，面對信息技術浪潮對金融服務的沖擊，我們應該以積極的態度，與時俱進地進行制度設計，在金融數據的挖掘使用問題上合理配置資源，劃清金融機構和客戶雙方信息權利的界限。

（一）金融機構數據挖掘權的現實依據

從信息來源看，除客戶基本身份信息外，金融數據是金融機構和客戶在金融交易過程中產生的，是交易進行不可或缺的載體，所以，將金融數據單純歸結為客戶一方的金融隱私或金融信息并進而將數據權利上升為客戶的金融隱私權或金融信息權，則有失偏頗。因為，除客戶的基本信息外，金融數據的生產是雙方協作的結果，并非單方固有。對自身的金融信息，客戶有權查詢、復制、核對并更正錯誤信息，有權要求金融機構保密。與此同時，金融機構對每個客戶的金融信息，也有權維護、查詢、復制、審核、監督，以便及時發現數據異常情況，保障雙方的金融利益和交易安全。在此過程中，金融機構對客戶的數據自然享有一定的權利，是最基本的數據使用權，其法理依據是雙方的金融合同，無論合同是否約定，金融機構當然應該擁有上述權利，否則金融交易將不可進行。由此可見，個體的金融信息是金融機構和客戶在金融交易過程中產生，雙方分別并共同對數據享有一定的權利、承擔一定的義務。但是，對由海量客戶的金融信息構成的金融數據，其維護的職責卻在金融機構，單個客戶難以承擔。在現實生活和理論研究中，卻存在過分強調客戶的信息權利而忽視金融機構數據利益的傾向。因此，在保護客戶金融信息的前提下，承認和尊重金融機構的數據權利同樣重要。

事實上，金融客戶能夠享受到大數據所帶來的諸多便利，離不開金融機構的數據挖掘。大數據以海量數據為基礎，以互聯網為紐帶，形成交易成本低廉、運算速度快捷、存儲容量巨大、服務類型多樣的現代交易平臺。金融服務也借助大數據和互聯網發生了翻天覆地的變化，交易費用大幅下降，信息不對稱問題顯著緩解，交易安全不斷加強，金融客戶在此過程中充分享受到大數據和信息技術所帶來的便捷服務和經濟效益。這些進步一方面得益于信息技術的發展，另一方面也離不開對客戶金融信息的掌握和利用。只有建立在體量巨大的金融數據之上，上述成就才能實現。對金融數據的統計、匯總和分析，并非大數據時代才有，在傳統金融服務時期，為經濟發展的需要，政府和金融機構也會對金融數據進行使用，但是并未引發金融數據的權利歸屬問題，原因主要在于金融數據的使用受到諸多技術限制，數據的社會效益和經濟效益有限。在大數據時代，技術進步使金融數據的挖掘和利用具有了重大的經濟和社會價值，金融數據已經成為重要的生產要素和資源。通過數據的二次乃至多次挖掘，一方面，可以實現以充分的歷史數據來生成供需雙方的風險定價與動態違約概率，有效降低由于信息不對稱所導致的道德風險和逆向選擇；另一方面，及時發現交易規律和安全隱患，為金融機構的經營決策甚至為國民經濟和社會發展提供參考依據。如果禁止金融機構進行數據挖掘，則無異于對歷史潮流的反動，所以，賦予金融機構數據挖掘權就成為歷史必然。

（二）“告知與許可”原則對數據挖掘的適用限制與“負面清單”原則的確立

承認金融機構的數據挖掘權并不意味著金融機構就當然享有該項權利。權利的來源不外乎兩種形式，一是權利人的授權，二是法律的規定。傳統法上，對個人信息的使用權源于權利人的授權，即采取“授權制”，實行“告知與許可”原則，歐盟和美國均堅持這一制度。但是，隨著大數據技術的發展，歐盟和美國卻采取了近乎相反的法律對策。

從立法上，歐盟（不包括英國）堅持大陸法系傳統采取授權制原則，將個人數據視為基本人權，個人金融信息是個人數據的組成部分，未經權利人許可，他人無權收集并使用個人數據。為加強人權保障，歐盟還專設獨立機構進行個人數據保護。1995年歐盟通過了《個人數據保護指令》，規定個人數據的處理者收集和處理個人數據要遵循合法原則（Legitimacy）、適當原則（Proportionality）、透明原則（Transparency）、終極原則（Finality）、保密和安全原則（Confidenfi-ality and Security）及監控原則（Control）等六個原則，強調數據處理者收集和處理個人數據需預先設定目的且僅為此目的，并應當告知數據主體有關數據的處理情況，不得過度收集、處理個人數據。2006年3月，在馬德里和倫敦公交系統遭遇恐怖襲擊后，歐盟頒布了《數據保留指令》，要求電信公司將歐盟公民的通信數據保留6個月到兩年，但是2014年4月歐洲法院裁定《數據保留指令》無效，理由是該項指令允許電信公司對使用者日常生活習慣進行跟蹤，侵犯了公民人權。歐洲法院判決的理論依據依然是告知與許可原則。此前的2010年德國憲法法院就否決了一項要求電信公司將所有數據保留6個月的法案。2015年10月6日，歐洲法院判決認定歐美2000年簽署的關于自動交換數據的《安全港協議》無效。根據該判決，今后美國臉書、谷歌、亞馬遜等網絡科技公司將收集到的歐洲公民數據送往美國將受到法律限制。由此可見，歐盟對包括金融數據在內的個人信息，繼續采取更加嚴格的授權制度，未經許可，任何機構無權進行收集、存儲、傳輸、挖掘等使用。研究顯示，雖然歐盟在個人信息保護方面的立法堪稱典范，但實施效果并不理想，并對數據挖掘限制過多。歐盟嚴格的信息保護及其相關的知識產權制度，使得歐洲國家在數據挖掘研究方面落后于其他國家和地區。

美國歷來重視隱私權的保護，在傳統法上也堅持告知與許可原則，將包括隱私在內的個人數據視為一項財產權。1970年公布的《聯邦公平信用報告法》被認為是美國個人數據保護的開端，旨在保護消費者免受不準確或武斷的信用報告的不利影響；1994年的《金融隱私權利法》規定了披露金融信息時的具體程序；同年的《電子轉賬法》要求轉賬機構與客戶通過合同約定信息透露的情形；而1999年的《金融服務現代化法》則是確立了信息透露時的同意原則。隨著大數據技術的發展，傳統告知與許可原則受到挑戰。為充分利用大數據促進社會經濟發展的優勢，保持美國在相關領域的國際領先地位，美國政府更傾向于以改良的法律規則和政策框架保護隱私權的同時，鼓勵和推廣大數據技術的運用，盡力使二者協調一致。正如2014年5月美國總統執行辦公室發布的全球“大數據”白皮書《大數據：把握機遇，守護價值》（Big Data：Seize opportunities.Preserving Values）所說，“大數據正改變世界，但它并沒有改變美國人對于保護個人隱私、確保公平或是防止歧視的堅定信仰。”美國沒有制定統一的個人數據保護法，而是針對個人數據濫用危險比較大、個人利益特別需要保護的特殊部門進行特別立法，如前述《金融隱私權利法》《金融服務現代化法》等。美國雖無獨立的數據保護機構，但行業自律機構發揮了數據保護的重要作用。總之，美國是在事前加強個人隱私保護的前提下賦予金融機構等數據擁有者數據挖掘權，同時采取事后對侵權行為進行責任追究的政策選擇來處理大數據下的金融數據使用問題。

關于個人電子信息，我國也實行告知與許可原則。根據2012年全國人大常委會發布的《關于加強網絡信息保護的決定》，網絡服務提供者和其他企事業單位在業務活動中收集、使用公民個人電子信息，應當明示收集、使用信息的目的、方式和范圍，并經被收集者同意。2013年工信部頒布的《電信和互聯網用戶個人信息保護規定》也重申了上述原則。應該說，這一原則是建立在對個人隱私保護的法理基礎之上，禁止未經權利人許可收集和使用個人電子信息，因而具有與生俱來的正當性。在信息傳播飛速提高的互聯網時代，個人信息和隱私被泄露、傳播的風險更大，所以這一原則并不過時，且更應得到加強。但是，需要注意的是上述原則保護的并非所有的個人電子信息，《關于加強網絡信息保護的決定》第1條規定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”，可見，法律保護的是具有身份識別和涉及隱私的電子信息，如果電子信息不包含此兩項內容，則不在此列。就單個個體的金融信息而言，因為具有身份信息和涉及個人隱私，所以未經權利人同意金融機構不得超出雙方金融合同的范圍進行使用。但是，對于由海量客戶的金融信息構成的金融數據，在進行了脫敏處理、使之不具備身份識別和隱私泄露的風險之后，就與原始的個人金融信息有了本質的區別，不應再受告知與許可原則的使用限制，應該允許金融機構進行數據挖掘。正是數據挖掘技術的出現，才使得作為金融交易副產品的客戶數據具有了難以估量的價值，正如在鐵礦渣中發現貴重金屬一樣。事實證明，大數據技術的運用是大勢所趨，代表了人類認識世界的視角從因果關系向相關關系的轉變。如果在數據挖掘前都要“告知與許可”，無疑是不現實的。理由有三，其一，金融機構在數據挖掘時不可能完全預知將來出于何種用途對數據進行挖掘，法律作此預設必將會妨礙社會對于新技術的有效運用，甚或阻礙社會可能的發展；其二，海量數據掌握在金融機構手中，實際上法律不可能完全禁止其進行挖掘使用；第三，數據挖掘必然涉及到海量客戶，要征得所有客戶的許可難以實現，且交易成本難以估量。所以，在此情況下，“告知與許可”原則不應適用，法律應該明確金融機構有權對金融數據進行挖掘使用的同時設定“負面清單”就成為一種理性選擇。

對金融機構數據挖掘設定“負面清單”是對客戶利益的一種事前保護措施，是法律預先規定金融機構在數據收集和挖掘中禁止實施的行為類型，如不得為數據挖掘而收集與交易無關的信息、不得泄露客戶的金融隱私，不得在其挖掘結論中保留能夠倒推出特定客戶的內容等。如此權利配置和合理使用就可以歸結為：金融機構對在交易過程中獲取的海量客戶的金融數據有權進行挖掘使用，但是以不損害客戶的金融信息（主要是身份和隱私）和資金安全為前提；金融客戶對自己的金融信息享有正當使用的權利，對損害自己金融信息和資金安全等基本權利的行為有權制止并追究責任。這種配置是在不損害客戶權益的基礎上賦予金融機構更多的權利，而金融機構對大數據的使用不僅關涉自身利益，而且會推動金融秩序的完善和社會福利的提高，因此是一種帕累托改進。上述“負面清單”也意味著對金融數據的法律監管由“授權制”向“負責制”轉變，監管的核心任務在于監控企業在數據收集、使用過程中是否盡到保護客戶數據安全的職責。

歸根到底，上述金融數據的權利配置和合理使用，實質是一種經濟學上資源的產權配置問題。薩繆爾森指出：“信息隱私是從豐盛可用的個人資料當中所產生的稀有資源”，“實際上是財產應如何界定與交換，以及應采取怎樣形式的問題。”根據經濟學理論，特定資源的產權應該配置給能夠最大限度發揮資源效益的組織或個人，并將其可能給他人和社會造成的負外部性內部化。作為金融交易副產品的海量金融數據，單個客戶沒有掌控的條件和依據，也沒有挖掘使用的動力；而金融機構卻有掌控的便利和挖掘數據獲取更大利益的激勵，所以將其產權配置給后者無疑是正確的，只是需要給其設定紅線，即保障客戶的金融安全。科斯“含蓄地表明：各種法律對行為產生影響的主要因素是交易成本，而法律的目的正應是推進市場交換，促進交易成本最低化”。“任何資源配置機制，要為社會所接受，都必須解決好兩類任務：一是不管資源如何使用，必須充分揭示資源收益的信息；二是必須能夠促使人們認真思考這些信息。”所以，從經濟學的角度看，要更好地保護金融客戶的信息權，法律就應該科學設置金融客戶信息的最優資源配置模式，降低消費成本，實現效用的最大化。在此需要說明的是，經濟學上金融數據的產權對應法學概念，應該是對金融數據的掌握控制及合理使用的權利，而不能以“所有權”、“使用權”或“知識產權”簡單替代。

三、大數據時代金融安全與資源配置的良性互動

（一）信息技術的發展是確保金融安全的原始動力

隨著大數據時代信息技術的發展，安全保障的措施不斷提高，安全系數整體呈上升趨勢。對于因金融機構的原因導致客戶信息泄露或資金損失的，金融機構自然難以免責，所以金融機構自身也有加強防范的激勵。對由于客戶自身疏忽大意導致信息泄露或資金損失的，則應由客戶自己承擔損失，但是客戶向金融機構報案之后金融機構應該采取措施防止損失的擴大，否則就應該對擴大的損失承擔責任。對此問題理論上似無爭議，但是實踐中發生爭議最多的就是此類案件中的舉證問題，即到底是因哪方原因導致信息泄露，雙方往往各執一詞。對此類案件，不論法院如何裁決，都是一種事后的救濟手段，裁判的作用在于通過事后的責任分配給當事人以激勵，督促有能力防止風險發生且防險成本較低的一方積極采取措施予以防范。從根本上有效防范風險發生還有賴于技術的進步：一是偵查技術的發展，二是防范技術的進步，在金融領域，二者密切相關，都離不開信息技術對非法行為及行為人的準確鎖定。近年來，由于技術進步降低安全風險的事例不勝枚舉，例如，相對于傳統的磁條卡，芯片卡的安全性更高，能夠有效防止被復制，所以中國人民銀行積極推行芯片卡，并規定到2015年底之后不再發放磁條卡。所以，金融信息的安全保障離不開信息技術的發展。

（二）規范的法治是實現雙向激勵的制度保障

文明社會的建立，并不能僅靠提高人們的道德水平來實現，更重要的是建立和運行一套規范的社會制度，通過利益格局的設置，對有益社會的行為進行有效激勵，使行為人能夠通過實施善行獲得利益，并對違法行為形成足夠威懾，將其控制在最低限度之內。而社會制度的形成，就是社會資源配置的過程。科學劃分金融機構和客戶對金融信息所享有的權利和利用的界限，就是重要的資源配置，配置得當，能夠充分調動雙方的積極性，最大限度實現雙方的利益和促進社會發展，否則就會適得其反。

首先，需要合理設置金融機構與金融客戶的金融安全義務。保障金融安全不僅是金融機構的職責，客戶也負有不可推卸的責任。客戶的責任主要表現在如下方面，一是對自己的金融信息尤其是身份信息、銀行賬號、信用卡號、交易密碼、保密手段等敏感信息負有保密義務；二是客戶發現信息異常或資金丟失時應該及時向金融機構報告和向公安機關報案，并盡可能在力所能及的范圍內收集證據；三是積極配合金融機構和公安機關查清案件。對于金融機構而言，其安全保障義務是主要的，主要表現為：一是在現有技術條件下為客戶提供最大限度的安全保障，因為相較于客戶，金融機構是專業機構，理應在技術措施、舉證責任等方面承擔更加嚴格的義務。二是負有不斷改進安保技術的職責。信息技術日新月異，侵害金融信息的手段也會花樣翻新，正所謂“道高一尺，魔高一丈”，金融機構必須不斷提高和更新安保措施，盡力做到“魔高一尺，道高一丈”。三是建立和運行規范的日常巡查和應急處理機制，及時發現安保漏洞和處理突發事件。

其次，正確認識信息保護與金融創新的辯證關系。一方面，金融信息作為包含個人隱私和商業秘密的重要數據，金融機構和客戶都負有共同維護、保守秘密的義務。另一方面，金融數據作為大數據時代的重要資源，其挖掘利用對社會發展意義重大。如果一味地強調保護信息安全而禁止挖掘使用，則無異于固步自封。大數據技術的發展是不可逆的，它代表了人類認識世界的視角演化和掌控能力的進步。博登海默曾言，在個人生活和社會生活中，一味強調安全，只會導致停滯，最終還會導致衰敗。對傳統金融機構，由“數據”向“資源”再到“價值”的轉化，無疑是金融創新的重要方式，是商業模式與運營模式深刻變革的重要驅動，也是由靜態的數據轉化為動態的生產力的必由之路。這就需要在允許金融機構金融創新的同時加強客戶的信息、資金安全保護，即前文所述的事前“負面清單”和事后侵權責任追究相結合的處理原則；同時，非出于雙方金融交易的需要，不得對單個客戶進行數據收集以及跟蹤定位、行為分析等數據挖掘。金融機構在授權第三方進行數據挖掘時，也務必事先進行相關脫敏處理，如果第三方原因導致客戶信息泄露或資金損失，則金融機構應該承擔責任。當然，這不應影響權利人向第三方追究侵權責任。

第三，建立健全數據安全保障與資源配置的法律制度。立法本身就是資源配置的重要方式，中共十八屆三中全會決議提出，讓市場在資源配置中起決定作用。完善相關立法，需要密切關注以下方面：其一，立法機關在立法過程中應該以務實的態度，以資源有效利用和市場機制為基礎，站在中立的立場，既要保護金融客戶的基本信息權利，又要考慮金融數據的重要價值，賦予數據的持有者數據挖掘權，使海量數據真正為經營者帶來效益的同時也為客戶帶來更為高效的服務和安全，實現技術創新、思維創新。其二，對個體金融信息堅持“告知與許可”原則的同時，以法律形式對數據挖掘確立“負面清單”原則，明確規定禁止金融機構收集和使用客戶金融信息的范圍及原則，采取“負責制”允許金融機構在不損害客戶利益的前提下有權進行大數據的挖掘利用。其三，建立客戶金融信息保護的應急保障機制，當客戶信息泄露和資金損失發生時，金融機構應該在最短時間內采取措施，并負有保存相關證據的義務。其四，建立和完善金融機構安全保障風險評估機制，通過對金融機構的風險評估，獎優罰劣，督促金融機構提高風險保障能力，也給客戶用腳投票提供依據。

結語

作為新時期的基礎生活資料和市場要素，大數據將成為企業提高生產力和競爭力的重要方式，其重要程度甚至超過物質財產和人力資源，金融數據也不例外。在大數據時代，只有充分認識金融數據的資源價值，賦予金融機構數據挖掘權，明確金融機構和客戶的權利界限，以市場配置資源，才能充分調動金融機構運用信息技術將大數據轉化為現實生產力的積極性，創新金融服務的領域和方式，并在此過程中不斷提高金融安全的保障能力，促進經濟和社會發展。