論個人金融數據的權益配置

黃文超

摘? ?要：個人金融數據的價值在于共享、流通、分析研判，是構建金融信用風險防范體系的基礎性資源。個人金融數據的權屬不清、數據流通法律規制不健全造成個人金融數據流通壁壘。個人對金融數據的權利絕對化以及金融機構對投入較大成本而控制管理的個人金融數據權利弱化，亦是加劇阻礙個人金融數據流通的重要原因。就個人而言，因個人金融數據具有信用評價功能，可精準描繪個人信用“畫像”（profile），并具有社會價值、資產價值、流通價值等關乎社會公共利益的價值屬性，不宜將個人金融數據權利私人化、絕對權化，個人金融數據存在個人對金融信息的防御性法益，在法益遭受侵害時可行使刪除、更正、賠償等權利。就金融機構而言，金融機構基于服務目的、數據安全考量而對個人金融數據事實控制，應得到法律的確認并進一步配置金融機構享有占有、使用、收益等財產性權利。打破金融機構行為規范模式的枷鎖，采用賦權模式可更周全保護個人金融數據安全利用和有序流通，此種賦權模式具有理論基礎、功能價值和現實需求。

關鍵詞：個人金融數據;金融信用;數據權益配置;數據財產權

中圖分類號：F832.39? 文獻標識碼：B? 文章編號：1674-2265（2021）12-0084-07

DOI：10.19647/j.cnki.37-1462/f.2021.12.011

一、問題的提出

隨著金融產業數字化的高速發展，金融機構服務中沉積大量個人金融數據（本文信息與數據同等概念）、企業經營數據。但個人金融數據權屬不清、數據流通規范不健全導致個人金融數據流通阻滯，用于信用風險評估的金融數據常常存在大量的缺失值，加之信息成本、壁壘、法規的限制，互聯網消費金融機構并不總能夠有效獲取完整的信貸申請者信息，使信用風險評估偏離實際水平，從而造成信貸的損失、資源的錯配（朱建平等，2020）[1]。這直接體現在人民法院審理的金融借款合同糾紛逐年上升。

金融機構已由金融電子化和金融信息化向移動化、網絡化、數據化、智能化邁進（許可和尹振濤，2019）[2]。個人金融數據的共享流通、深度利用正在改變金融市場格局。金融機構亟須打破個人金融數據流通壁壘，讓個人金融數據在行業之間安全有序流通，建立基于個人金融信息分析研判為中心的金融信用風險防控體系，有效降低金融機構服務成本和服務風險，促進金融機構服務精準化、高效化，并激發金融數據潛在的商業價值。

個人金融數據是個人數據的子項，個人數據來源于個人，是個人身份形象、社會地位、資產狀況、隱私信息等重要可識別特定主體的精準“畫像”（profile）。個人對個人數據享有法益還是權利，存在理論爭議。有學者認為應該賦予個人對數據的財產權說①、用益物權說②、企業數據資產權說③，也有學者認為個人數據具有社會性和公共性，不宜賦予個人對數據支配性權利，防止出現個人數據社會化利用不足④。由于法律秩序在個人數據權屬的失靈，理論上存有爭議，導致個人金融數據亦存在權屬不清、界限不明、利用不足、保護不周延等問題。理論中，個人金融數據權益配置研究方向鮮有探索，多數學者從個人金融數據的監管、共享、跨境傳輸等角度來研究個人金融數據的利用及金融機構如何面對監管與合規，但都繞不開一個關鍵問題：個人金融數據的個人、機構、社會公眾的權益配置問題，只有將個人金融數據的底層邏輯性問題梳理清楚，個人金融數據保護和利用才可“師出有名”。實踐中，個人金融數據的保護問題已經迫在眉睫，是采取行為規范模式來規制金融機構的法律行為用以保護個人權益，還是采取賦權模式賦予金融機構一定財產性權利來保護與利用個人金融數據亦存在理論上的爭議。從合理利用個人金融數據、正視個人金融數據現實管控現狀、合規建立金融信用風險防范體系等角度出發，本文認為個人對個人金融數據僅享有法益，此法益非所有權或支配權，僅在個人信息遭受侵害時觸發法律保護機制，方可尋求《民法典》第1037條的法律保護⑤;金融機構對其實際控制管理的個人金融數據享有財產性權利，可根據合同目的或法定目的使用服務過程中收集的各類個人金融數據;監管部門可出于增強社會治理能力、維護社會公共利益以及保障國家重大決策的目的，分析、利用一定范圍的個人金融數據。由此，構成了個人金融數據多元化權益配置體系和社會化利用規則的理論基礎。

二、個人金融數據的功能價值

（一）個人金融數據的可識別性

金融數據依據數據是否可識別到特定主體，分為個人金融信息和金融機構數據。其中，個人金融信息是可識別到特定主體的數據，是重要、敏感的個人信息。個人金融信息來源于兩部分：一部分是數據主體為接受金融服務，主動向金融機構提供的個人相關信息，包括自然人姓名、住址、身份證號碼、財產狀況、工作狀況、家庭主要成員等信息;另一部分來源于金融機構在提供金融服務時形成的個人交易記錄、個人資產變動等信息，該信息具有間接識別性，需要結合其他識別符共同識別特定主體。總體來說，個人金融數據是金融機構在金融服務過程中形成的信息集合，具有識別特定主體的功能價值，是重要敏感的個人信息。

（二）個人金融信息聚合化的價值提升

個人信息自古有之，自然人出生后的姓名、出生地、性別、籍貫、求學過程、工作履歷、財產狀況、婚姻及子女狀況等信息要素，構成“社會身份”的識別符號，散落在不同的檔案記錄中或人腦記憶中。彼時，尚未有個人信息保護之法律探討，為何今日成為熱點問題？究其原因是離散的個人信息不能產生對特定主體的影響，甚至對他人或社會無特殊作用或價值。隨著科學技術、信息化手段不斷增強，與個人相關的信息不斷匯聚融合并形成信息集合，當關于自然人的信息集合足夠多、樣本足夠豐富，就具有了分析研判目標群體的意識趨勢和行為趨勢的能力，信息集合即具有一定的市場價值，此過程即是信息聚合化的價值提升。在金融數據領域，金融機構在服務過程中將碎片化的個人信息收集、存儲、加工形成一定量級的集合，對個人的消費需求、金融交易記錄、信用等級進行分析研判，制定個性化的營銷方案，精準化、差別化開展金融服務，減少金融機構運營成本，提升服務質量。

（三）“數據勞動”生產個人金融數據的社會價值

社會價值亦稱“市場價值”，是“個別價值”的對稱。由社會必要勞動時間決定的社會價值是商品價格的基礎。個人金融數據的社會價值離不開金融機構的“數據勞動”，金融機構為更好提供金融服務而收集、存儲、加工、分析及利用海量非結構化的個人信息，將具有“個別價值”的信息轉化為具有“社會價值”的個人金融數據集合，使原本零散的個人金融信息變成生產要素。在此過程中，金融機構需不斷投入人力、物力開展信息化和信息安全的基礎設施建設，將數據主體提供的數據與金融機構通過服務流程收集、控制的數據進行結構化處理、智能化分析，最終形成可以利用的數據集合。金融機構的“數據勞動”作用于個人金融數據形成了具有流通價值、交易價值、分析價值、評價價值的個人金融數據集合。

（四）個人金融數據集合的資產屬性

個人金融數據在助力金融機構提升服務質量和效率的同時，賦予金融機構降低風險的能力。因此，個人金融數據已然成為重要的數據資產，具有經濟價值，在為金融機構本身帶來價值的同時，也為金融機構之間數據流通、共享及金融信用風險分析研判提供基礎性資源。（1）從金融機構管理角度分析，個人金融數據是金融機構服務市場的衍生品。隨著金融市場不斷擴大、金融風險不斷復雜，此種衍生品正逐步起到關鍵作用。金融大數據分析產生的決策反作用于金融機構內部運營管理，其已然成為金融機構做出重大決策的重要依據。（2）從金融資源合理配置角度分析，金融機構有限的貨幣資源應該配置給最適合的對象，控制金融信用風險在適度范圍是優化營商環境和保障國家金融秩序良性發展的底線。金融機構通過對個人資產情況、履約情況、交易記錄等一系列個人金融數據的分析研判，尋找最優的金融資源需求方，并配置風險可控的金融資源，在金融機構與個人之間達成資源配置最優狀態。

三、金融數據上的個人權益

個人金融數據可識別到特定主體，與個人有天然的聯系，個人對金融數據享有何種權益，關乎個人金融數據的流動性與安全性。個人對個人金融數據享有法益還是權利，理論上存在爭議。邢會強（2021）[3]認為，個人金融信息中的個人身份信息和個人財產信息由于是客戶自己整理、提交的，因此，其財產權益完全歸屬個人。程嘯（2018）[4]認為自然人對個人數據的權利并非物權等可以積極利用的絕對權，只有在該權利被侵害而導致其他民事權利被侵害時，才能得到侵權法的保護。高富平（2019）[5]則認為，個人信息保護本質上還是法益保護，而不是賦予個人對個人信息享有某種權利來實現保護。綜合以上觀點，筆者認為，數據主體享有對個人金融數據的法益保護，而非賦予數據主體所有權或支配權。

（一）法益保護模式與賦權保護模式的比較

“法益”一詞由德國學者Michadl Bimbaum等人于1830年左右引入刑法領域。法益的定義有兩種：一種寬泛地將法益視為法律所保護的利益，強調利益的法律保護特征，以張明楷、梁慧星等人為代表;另一種狹義地界定法益具備間接保護、消極承認、反射性的特征，史尚寬、洪遜欣、張弛、韓強等學者持有此種觀點（李巖，2008）[6]。前者的寬泛理解包括狹義的法益與權利，兩者易產生混淆;后者概念模糊，特征不易理解。龍衛球（2002）[7]給出“法益”定義，利用排除法清晰說明了權利與法益的關系，即“權利僅限于指稱名義上被稱為權利者，屬于廣義法益的核心部分，其余民法上的利益均稱其他法益”。綜上觀點，利益是法益和權利的初始形態，利益受到法律所保護而上升為法益，當法益被定型化后上升為權利（張俊浩，2000）[8]。所以法益本質上是一種利益，是具有法律可保護性和法律屬性的利益。張明楷（2000）[9]認為法益必須是在現實中可能受到事實上侵害威脅的利益，如果不可能遭受侵害或者威脅，也就沒有保護的必要。因此，法益具有被動性，一旦侵害不存在，法益亦無存在必要，即法益僅僅能在損害發生后，有請求賠償的主張（李巖，2008）[6]。

賦權模式是對個人賦予排他性、支配性權利，而在個人金融信息領域存在適用障礙。首先，個人信息具有無形性、非排他性的特點。個人信息可同時存儲在多種介質中，適用于多種場合，在社會交往中個人信息散落在多種場景，個人無法準確掌握個人信息被他人利用到何種程度、何種場景，存在一定控制盲區，無法做到像有形財產或知識產權一樣的絕對支配力，無法理想化地認為信息被個人所掌控和支配。其次，個人信息保護的賦權模式，會造成個人信息社會化利用受阻，“反公地悲劇”現象日益嚴重。賦予個人對個人信息的所有權或支配權，對個人信息的使用就需得到個人的授權或許可，嚴重影響社會正常運行，增加社會運行成本，阻礙大數據紅利的進一步釋放。最后，賦權模式的權利邊界無法界定。個人信息種類涵蓋范圍廣，適用場景多，權利和義務的邊界尚未達成社會普遍共識;法律亦無法脫離社會共識和交易習慣，對個人賦予個人信息支配性權利。賦予個人金融信息所有權，勢必造成金融機構欲共享、流通個人金融信息需取得個人的授權或支付對價，徒增金融機構服務成本，最終將增加的成本轉嫁到消費者自身。此外，實踐中使用個人信息需支付合理對價，定價過程中存在道德和技術障礙，且個人信息的定價勢必增加了個人信息販賣可能，有損個人信息安全，助長針對個人信息詐騙的犯罪活動。同時，個人信息定價不具有可行性、操作性，違反人生而平等的基本人權理念，比如明星的出行信息和普通百姓的出行信息的售價存在天壤之別。

（二）個人在金融信息處理中的防御性法益

我國《個人信息保護法》將個人信息處理行為作為規范對象⑥，而非賦予個人對個人信息的絕對性、支配性權利。《個人信息保護法》是個人信息處理中個人主體權益保護的基本法，它規范個人信息處理行為，通過個人信息處理關系的權利和義務配置，實現在保護主體權利前提下的個人信息流動使用（高富平，2021）[10]，而非保護“靜態”的個人信息。在處理個人信息時應遵循合法、正當、必要原則，在《個人信息保護法》將知情同意作為合法性基礎之一的情況下，金融機構亦可在訂立或者履行個人作為一方當事人的合同所必需使用個人信息時，無須得到個人的同意。因此，金融機構基于個人同意或合同目的控制、管理、處理個人數據具有合法性和正當性。例如，個人申請貸款時提交的個人信息，金融機構有權根據發放貸款、信用風險分析、收取本金和利息、催收、訴訟等合同約定目的，直接使用個人信息。

個人在個人金融信息處理中具有消極、防御性的法益，即防范個人信息被不正當處理（使用）而侵犯個人（主體）尊嚴和自由的權利。防御性法益包括信息處理前的知曉同意，信息處理中的更正、刪除、撤回，信息處理后對不法行為的救濟。

（三）個人金融信息的法益保護要件和保護義務

個人金融信息主體主張請求權需滿足兩個要件，即一般要件和特殊要件。一般要件是指個人信息主體的人格權益因信息處理正受侵害或有受侵害之虞，特殊要件是指違反涉及個人信息處理中個人權益保護的具體法律的規定（高富平和李群濤，2021）[11]。

個人金融信息處理中對不法的救濟保護除了數據主體行使“惰性”請求之外，還需配置金融機構的嚴格保護義務、金融數據系統平臺的設計者保護義務和監督管理部門的監督保護義務。金融機構作為個人金融信息的直接保護者、受益者，需要利用自身技術能力和手段嚴格保護個人金融數據安全，在國家信息安全監督管理部門的監督下落實個人金融信息保護要求。金融數據系統平臺的設計者也應該從底層代碼、算法邏輯角度，研發符合個人金融信息保護、利用、流通的系統平臺，歐盟制定的《統一數據保護條例》（GDPR）將“通過設計保護數據”（data protection by design）作為指導原則，其核心思想是隱私保護并不僅僅是事后的法律救濟，更需要將隱私保護的理念貫穿在產品開發設計的始終，確保信息控制者和處理者以及產品開發者踐行數據保護義務，使產品在設計之初將用戶數據安全和隱私保護最大化（周漢華，2018）[12]。數據主體在數據安全保護、監督、管理中處于弱勢地位，亟須國家數據安全保護監督管理部門實施監督管理權能：一方面，與國外、國際的相關數據保護機構開展對話與合作，行使我國數據保護與流通的世界話語權;另一方面，監督、指導、管理國內數據企業依法合規利用個人信息。

（四）個人信息法益保護的立法實踐

我國《民法典》第111條和1034條載明“自然人的個人信息受法律保護”。根據上述法益和權利的定義、區分、特征來分析，立法機關將個人信息設定為法益保護范疇，尚未上升為權利。從域外立法角度分析，歐盟《統一數據保護條例》（GDPR）將個人信息作為公民的基本權利，個人數據保護權是公民防范數據處理行為侵犯個人尊嚴的一組防御性權利，使數據主體在一定情形和條件下可以對個人數據處理全過程進行控制或干預（高富平，2020）[13]。個人信息保護法并非旨在保護一種作為民事權利的“個人信息自決權”，正如德國部分學者正確地指出的，個人信息保護法應被視為針對個人信息自動化處理方式給個人人格或財產帶來之加害危險的事先防御機制（楊芳，2015）[14]。從域內外的立法分析，個人信息的法益保護已經成為普遍共識，較好地平衡了個人信息保護和流通之間的關系，在個人金融數據方面具有指引作用。

四、合理配置金融機構的金融數據財產權

隨著金融數據規模和價值不斷增加，個人金融數據上存在多元權益，合理安排數據主體、金融機構的權益配置是關鍵問題。在收集限制原則、目的特定化原則⑦的雙重壓力下，金融機構利用個人金融數據仍是如履薄冰，亟須在法律、行政法規方面為金融機構“松綁”，賦予其對個人金融數據的財產性權利，方可在金融機構之間完成數據流通、共享，激活個人金融數據潛在價值，服務國家金融體系健康發展。

在金融機構行使金融數據財產性權利時，個人的防御性法益起到監督、抑制金融機構對個人人格尊嚴、自由及財產性利益等權益不法侵害的作用。一旦金融機構違反處理行為的規范而侵犯個人權益，個人有權利行使救濟手段。個人的防御性法益與金融機構財產性權利分別設置，各自功能獨立又相互制約。

（一）個人金融數據資產向權利化的進階

數據資產權利化是將經過定義、脫敏或描述過的數據“寫入”大數據控制人所掌控或享有使用權的記錄載體，是大數據“進化”為交易標的的過程，也是單純作為信息載體的數據轉化為具有法律意義的數據的過程（王玉林和高富平，2016）[15]。數據資產轉向數據權利需解決合理賦權、利益衡量的問題。

1. 基于數據的流通與利用為目的而賦權。個人金融數據源于數據主體提供和金融機構運營沉積，是由金融機構管理和維護的數據集合，此數據集合是金融機構重要資源已成現實。即使不賦予金融機構財產權利，事實上仍由金融機構控制和利用，并未對金融機構造成較大影響。問題在于金融機構是否有權對個人金融數據進行共享、流通、交易，這才是賦權的本質內涵。數據的價值在于流通、社會化利用，個人金融數據對金融業或其他行業來講具有提升服務能力，分析消費習慣，更好為消費者提供優質服務的益處。

2. 基于構建信用風險防控體系為目的而賦權。金融信用體系是社會信用體系建設的重要部分，其基礎性資源就是個人金融數據。對個人金融數據的分析、研判是金融機構、監管部門對抗金融風險最有效的手段。基于信用風險防控目的，為金融機構賦予財產權，使金融機構具有占有、使用、收益個人金融數據的財產權能;允許金融機構在法律框架下，共享個人金融數據;逐漸在社會信用體系中建立信用積分或評級制度，對信用較高人員進行激勵、對信用較低人員進行限制，如在行政管理和公共服務中允許信用較高人員享有“綠色通道”、容缺受理、程序簡化等便利服務措施。

3. 基于事實上的管理控制為目的而賦權。數據流通本質是基于對數據的合法控制，數據控制者不僅可以自己使用，而且也可以許可他人使用，只要這種許可使用不侵犯他人權利，也未違反禁止性的法律規定（高富平，2019）[16]。一旦法律承認數據控制者對數據的控制上升為一種財產權利，有利于激發數據控制者對數據開發利用和保護的動力，打開數據“潘多拉魔盒”，釋放出數據的巨大價值。

從民法的占有理論角度分析，金融機構具有占有個人金融數據的“體素”和“心素”，符合薩維尼占有理論（薩維尼，2007）[17]。“體素”方面，金融機構基于法律規范和事實控制、管理個人金融數據，符合事實與規范的二重性（車浩，2014）[18]。“心素”方面，金融機構具有搜集、加工、管理、分析、利用個人金融數據的意圖。從控制的目的和意愿角度出發，金融機構出于提升服務和管理能力等目的，利用自身的技術能力實時管理控制個人金融數據更具合理性、科學性，符合市場化規律。因此，個人金融數據完全由金融機構控制，且大部分數據由金融機構依據運營服務所產生，即應將財產權利賦予金融機構，由金融機構在實際控制的前提下，合理使用個人金融數據，發揮個人金融數據最大效能。

（二）數據保護機構監督下的個人金融數據流通模式

個人金融數據包含重要敏感信息和私密信息，可直接或間接識別特定主體，一旦個人金融數據泄露或非法跨境傳輸將會嚴重影響個人財產安全、社會安定和國家主權安全。《信息安全技術個人信息安全規范》規定個人金融信息屬于個人敏感信息，收集個人敏感信息時應該遵循嚴格要求（邢會強，2021）[3]。因此，金融機構應在數據保護機構的嚴格監督下，建立高級別安全防護體系和安全管理體系，包括建立內部員工分級查閱信息權限配置，防止個人數據的內部泄露;對個人金融數據的收集、存儲、管理、利用的技術方案和安全防范措施需進行風險評估。

個人金融數據流通還需建立統一、規范、安全的數據流通平臺，此平臺建立模式有二：一是由金融行業自行搭建個人金融數據流通平臺，金融機構按照統一標準相互共享、流通個人金融數據，由于金融機構有強烈控制個人金融數據以維護自身利益的意愿，此種做法存在監管失位、非強制性、機構利益本位的弊端。二是由金融監管機構建立個人金融數據流通平臺，金融機構按照數據共享標準上傳個人金融數據，此種做法是國際上較常用的做法，我國人民銀行征信系統即采用此種模式，但此種模式存在對監管機構的技術能力要求高、管理主體單一化、智能分析利用數據的市場活力不足等缺點。目前我國還處于個人金融數據收集、利用、流通的初級階段，有必要深入借鑒數據保護和個人金融數據流通較為發達的歐盟體系，以更加精細、規范、高效的形式完成個人金融數據的流通管理，從粗放式轉變為精細化的個人金融數據保護和流通模式。《歐洲市場基礎設施條例》《金融市場基礎設施指令》等金融基礎設施監管領域的規范，規定了金融數據監管報告義務與金融數據標準化要求：一方面，要求監管機構開發數據管理系統，提高接收和處理金融業交付大量數據的能力;另一方面，要求被監管機構收集和傳輸更多的數據，自上而下引發新一輪金融科技周期（楊帆，2019）[19]。歐盟模式對我國個人金融數據的監管與流通規則起到示范作用：一要增強金融數據監管部門的處理能力，包括個人金融數據分級分類管理能力、人工智能分析能力，改變中國人民銀行征信系統僅為“數據存儲與固定模式展示”的功能單一性。將中國人民銀行收集、控制、管理的數據進行分級分類，初步分析處理個人金融數據集合，供金融機構初步決策使用，金融機構亦可自行根據服務目的，在可使用數據級別項下利用數據“共享池”;二要強化個人金融數據多元化收集、標準化收集的能力，改變中國人民銀行征信系統的個人金融數據來源單一、非標準化數據收集不足問題。信息集合越豐富、來源越廣泛，數據“畫像”更貼合個人的真實狀況，有利于金融機構穿透層層面紗，了解真實財產狀況、款項用途、信用情況等重要評估信息。與此同時，從金融秩序治理和金融風險防范角度出發，個人金融數據在金融機構和監管部門之間流通，有助于監管部門監督金融機構運營、保護個人金融數據安全。監管機構也可分析個人金融數據“共享池”研判國家金融市場的健康狀況，在經濟下行前做出適當預判和調控。

五、小結與《個人信息保護法》實施后的建議

個人金融數據是關于個人和金融機構共同利益的重要數據，存在多元權益。個人金融數據由金融機構收集、存儲、管理、利用，是金融機構的重要資源，同時，個人金融數據也關乎信用體系建立和國家金融體系建設，涉及社會和公眾利益。在大數據和人工智能分析的技術手段下，個人金融數據的開放利用一定程度上決定著金融信用防控體系和金融市場的服務升級。在金融機構沉積下來的個人金融數據實現從控制到賦權，需要立法機關正視事實控制的價值，賦予金融機構財產性權利，以實現個人金融數據的開放和共享利用。在《個人信息保護法》實施后，建議針對特殊的個人金融數據、醫療健康數據、交通數據等社會公共利益屬性較強的重要敏感數據，主動賦予數據控制者財產性權利，實現數據保護力度和數據利用最大化，利用市場規律激發數據控制者保護和利用數據的潛能。建立以《個人信息保護法》為總則性法律規范，以金融、交通、醫療等特殊數據的保護、流通、利用為規范目的的特別法，共同構成個人信息保護的法律體系，通過賦權模式代替行為規范模式，劃定數據控制者權利與義務的邊界，充分保障特殊數據流通權利。在個人金融數據流通與保護方面，增加數據“守護人”制度，除了在數據控制者或處理者之間配置數據權利、義務與責任外，對數據存儲、流通的載體——數據平臺的設計制作者附加責任與義務，從底層算法角度規制個人數據的流通安全，保障技術環境、運營環境的算法正義。

注：

①齊愛民（2015）[20]認為數據財產權是權利人直接支配特定的數據財產并排除他人干涉的權利，其權能包括數據財產權人對數據財產享有的占有、使用、收益、處分的權利。

②申衛星（2020）[21]綜合物權法和知識產權法，借助“自物權—他物權”和“著作權—鄰接權”的權能分割思想，設定數據原發者擁有數據所有權與數據處理者擁有數據用益權的二元權利結構。

③龍衛球（2017）[22]引入了公法的財產權，建議賦予數據從業者數據經營權和數據資產權，前者系具有專向性、排他性的經營權，后者系對數據的占有、使用、收益和處分權。

④高富平（2018）[23]認為傳統的個人信息個人控制理論建立在個人主義觀念下，忽視了個人信息的社會性、公共性，不僅不能全面反映個人信息的法律屬性，而且不能適應大數據時代個人信息利用的新環境和新方式。

⑤《中華人民共和國民法典》第1037條：自然人可以依法向信息處理者查閱或者復制其個人信息;發現信息有錯誤的，有權提出異議并請求及時采取更正等必要措施。自然人發現信息處理者違反法律、行政法規的規定或者雙方的約定處理其個人信息的，有權請求信息處理者及時刪除。

⑥信息處理包括信息的收集、分類、加工、存儲、共享、交易、分析等行為。

⑦收集限制原則是指個人數據的收集應受到限制，獲得數據的手段必須合法和公平，情形允許時應經數據主體知曉或同意。目的特定化原則是指個人數據收集的目的應當在收集時確定，隨后的使用限制在實現該目的的必要范圍內。

參考文獻：

[1]朱建平，鄭陳璐，方匡南.缺失數據下的兩階段信用評分模型——基于互聯網消費金融數據的研究 [J].數理統計與管理，2020，（12）.

[2]許可，尹振濤.金融數據開放流通共享 [J].中國金融，2019，（4）.

[3]邢會強.大數據時代個人金融信息的保護與利用[J].東方法學，2021，（1）.

[4]程嘯.論大數據時代的個人數據權利 [J].中國社會科學，2018，（3）.

[5]高富平.論個人信息保護的目的——以個人信息保護法益區分為核心 [J].法商研究，2019，（1）.

[6]李巖.民事法益的界定 [J].當代法學，2008，（3）.

[7]龍衛球.民法總論 [M].中國法制出版社，2002年.

[8]張俊浩.民法學原理 [M].中國政法大學出版社，2000年.

[9]張明楷.法益初論[M].中國政法大學出版社，2000：163.

[10]高富平.個人信息處理：我國個人信息保護法的規范對象 [J].法商研究，2021，（2）.

[11]高富平，李群濤.個人信息主體權利的性質和行使規范——《民法典》第1037條的解釋論展開 [J].上海政法學院學報法學，2020，（6）.

[12]周漢華.探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向 [J].法學研究，2018，（2）.

[13]高富平.論醫療數據權利配置——醫療數據開放利用法律框架 [J].現代法學，2020，（4）.

[14]楊芳.個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體 [J].比較法學研究，2015，（6）.

[15]王玉林，高富平.大數據的財產屬性研究 [J].圖書與情報，2016，（1）.

[16]高富平.數據流通理論——數據資源權利配置的基礎 [J].中外法學，2019，（6）.

[17]弗里德里希·卡爾·馮·薩維尼著，朱虎，劉智慧譯.論占有 [M].法律出版社，2007年.

[18]車浩.占有概念的二重性：事實與規范 [J].中外法學，2014，（5）.

[19]楊帆.金融監管中的數據共享機制研究 [J].金融監管研究，2019，（10）.

[20]齊愛民.數據權、數據主權的確立與大數據保護的基本原則 [J].蘇州大學學報 （ 哲學社會科學版 ），2015，（1）.

[21]申衛星.論數據用益權 [J].中國社會科學，2020 ，（11）.

[22]龍衛球.數據新型財產權構建及其體系研究 [J].政法論壇，2017，（4）.

[23]高富平.個人信息保護：從個人控制到社會控制[J].法學研究，2018，（3）.