随着金融科技的发展、金融效率与风险控制要求的提升，金融领域大数据的合法应用与保护显得十分迫切。本文从法律层面探讨了大数据使用的法治思维与制度规则逻辑，提出大数据立法应该正确认识市场发展与制度建设的关系、数据信息的法律性质与权利归属的关系、数据利用与数据安全的关系以及数据权益的公法保护与私法保护的关系。

 大数据在金融领域的运用，不仅有利于提升社会信用基础、降低金融交易的违约率，维护金融资产安全性；也有利于完善金融监管手段、加强对金融风险的监测、预警和防范，提高金融消费者识别能力；还有利于繁荣资金融通，开发、创新出更普及、更便捷、更安全的金融产品与服务，聚集成新的金融业态。在法律层面，大数据在金融领域的运用导致出现了新的主体、生成了新的权利义务、形成了新的法律关系，也发生了新的纠纷、产生了新的风险、遇到了新的障碍，需要我们以新的法治思维与制度规则，积极应对新挑战、解决新问题、满足新需求。

没有规矩则不成方圆，市场各方急切地呼吁大数据金融法治，其中较突出的是对大数据金融立法的需求，要求法律制度的建设以及对相应法律规范及时地立、改、废。由于大数据金融立法涉及面较广、内容较多，而一些基础问题的认识又分歧较大，有必要先梳理一下思路、形成共识。

 正确认识市场发展与制度建设的关系

有人担心大数据金融刚兴起之际强调立法与法制会影响其成长，其实不然。在市场经济体制下，社会经济活动的正常运行有赖于规范的市场经济秩序，而健全的法律制度是规范市场秩序的重要保障。大数据金融法律制度的建立将会改变目前相关领域法律依据不足的局面，对推进大数据在金融领域运用和维护各方权益起到积极作用。

首先，法制是大数据金融安全运行的保障。社会信用是金融市场的必备要素，法律制度的建立可促使社会对信用的坚持，从源头上净化大数据金融经营环境，防止交易欺诈与违约，保证大数据金融交易安全、市场稳定和健康发展。金融是高风险的行业，金融风险一直困扰着各国金融业。比如现实中，不论交易前审查如何透彻，而呆账坏账依然不断涌现。大数据技术提升金融机构风险控制水平，相应的应用不能仅靠道德约束，法律制度的建立使依法利用大数据成为可能。从而金融机构可追踪金融活动变化，通过严格的惩戒机制，加重失信成本，打击信用违法行为，用良好的信用环境来维护大数据金融的稳定运行。而大数据金融不仅存在着金融风险（互联网金融这几年的风险集中爆发就是明证），还存在网络安全、数据信息安全的风险，也就是风险更大，更要求通过法律制度，建立健全大数据金融风险监控与防范体系。

其次，法制是大数据金融有序发展的基础。法律制度的建立有利于沟通需求、繁荣交易，其将成功实践经验、理论方案上升为行为规范，使大数据金融的经营者、投资者和消费者都知道该做什么、不该做什么。法律制度不仅鼓励创业、投资、消费需求的实现，还维护竞争秩序、保护权益、制止侵权，促进业务合法扩展，带动实体经济发展。同时法律制度建立还有利于规范政府转变职能、优化监管，在社会治理方式大变革的背景下，用大数据管理大数据金融，改事先审核为事中事后监管，使大数据金融有更宽松、可靠的营运环境。当然法律制度的建立也包括出台对新兴行业的支持扶助的制度，比如法定的优惠、奖励、补贴措施等。

再次，法制是大数据金融全球化的现实需要。完善的法律制度的建立是中国经济与国际接轨，参与国际市场竞争的最根本要求。在经济全球化和实施一带一路战略的新形势下，中国参与国际合作和竞争就要建立符合现代市场法制和世界贸易组织规则的制度。大数据金融的法律制度，直接关系中国的投资环境和国际竞争力，所以要尽快改变目前制度规范分散、碎片化、层级低、不适应的问题。例如，全球化背景下，大数据金融交易通常是跨境的，而发达市场国家大都建立较健全的制度，如欧盟在2012年进行了数据保护的改革，修订了欧盟数据保护指令，这也要求中国的制度建设须与国外交流对接。另外制度建设还可为大数据金融行业、企业做出迎接挑战的明确的法律指引，引导行业与企业主动对标国际高标准。

 正确认识数据信息的法律性质与权利归属的关系

在大数据中，数据是载体，信息才是内容。大数据及其信息的法律属性是什么，以至涉及哪些主体的哪些权利需要法律保护，众所纷纭。关于数据及信息的法律性质，有资源说、财产说、无形资产说、民事权利说、新型权利说等等，但都不能自圆其说，并不能完整地解释数据与信息的客观现象。在大数据时代，信息就是资源，掌握更多的信息就意味着能更加全面地了解情况，但资源不是法律定性的概念。数据与信息也不能简单指称为民事权利或财产，因为它既不符合物的特征、在不交易转移时也不构成债、还不是智力成果，虽含有人身权却又有非人身的内容。2017年3月颁布的《民法总则》中，并没有简单地把数据和信息归为隐私权或财产，而是创设了一项新的权利—个人信息权。虽仅指个人数据信息，但其他主体亦可触类旁通。《民法总则》第111条规定“自然人的个人信息受法律保护，任何组织和个人需要取得他人的个人信息，应当依法取得并确保信息安全，不得非法收集、使用、加工传输他人信息，不得非法买卖提供或者公开他人个人信息。”同时第127条还规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”根据规定，我们可知个人信息权可以有人身权包括隐私权的内容，也可以有财产权的内容，其内涵不是非常固定的，而是在不同场景下会有不同的体现，法律会做出相应的不同规定。总体上看，个人信息权包含了对自己相关数据的自行拥有、支配、处置和收益的权利，包含了同意、知情、异议、请求纠错和请求遗忘、制止侵权和司法救济等权利。

数据信息的财产属性已越来越为大家认可，数据具有价值，信息能够带来财产，数据资源正与资金、土地、劳动力等生产要素一样，已成为促进经济增长和社会发展的基本要素。但数据信息这种财产性往往需要通过利用、转让流通，甚至加工整合后使用才能实现。不论是广义的大数据在金融领域的运用，还是具体到大数据金融，都是基于数据信息财产性和流通性的产物。

数据信息的人身属性更为大家所熟知，但不能拘泥于隐私。个人信息范围广泛，与人身相关的也内容众多，并不都属于隐私。隐私是指不愿意告诉别人的私密信息甚至为敏感信息，涉及尊严、名誉、财富、自由、不受歧视等。如上所述，个人信息加以利用才具有价值，而隐私是不可利用的，它与国家秘密、商业秘密一样受到法律的保护。

数据信息的社会属性也是必须关注的。社会治理依赖大数据，而大数据是由众多个体的具体数据构成的，每个个体的数据信息都在公共事务中发挥着作用。即使是个人数据亦具有一定的公共性，每个人都在社会中生存发展，必须要让别人识别自己，任何人都无法也不能阻止他人了解你，不可能阻止别人收集你的数据信息，但是收集应该通过合法途径，不得损害数据权利人的个人利益。

因此，明晰产权是建立数据流通规则和秩序的前提条件。数据信息权利归属的原则是谁的数据归谁所有，没有主体指向的数据就是公共资源。数据的性质不同，权利归属也不同。

首先，公共数据、信息归属于社会。公共数据主要是政府或司法机关在行政执法、司法的活动中产生的信息，如行政许可、裁判与执行过程中产生的身份、生产、经营、履约与财产等信息。由于这些信息是因法律的强制力和政府行为产生的，具有较强的公信力、权威性与适用面，既影响相关企业和个人等个体，也涉及公众和他人的利益，其公开披露、开放使用，有利于提高社会诚信水平和社会治理效率、降低社会运行与搜寻信息成本。对公共数据、信息的利用与挖掘也是金融大数据发展创新的重要源泉。因此，对于公共数据，立法的趋势应该是加大公开力度，促进公共信息的充分利用，涉及社会稳定、国家安全或其他国家利益的除外。立法还要督促公共机构对公共信息的互联互通，防止信息孤岛、相互隔离现象，发挥公共信息效能。

其次，个体(个人、企业)数据、信息的权利属于个体。数据信息含有人身、财产、社会等性质，不能将个体的信息权等同于财产所有权，所以就个人数据信息而言，其权利与保护的核心就是《民法总则》规定的“不得非法收集”“不得非法买卖”，并不排斥合法地收集、使用以及因此产生的利益，这本身反映了认识与立法的进步。对于个人和企业数据，立法的方向应该是全面保护，包括严格保护隐私权，保护个人其他信息不受非法收集、买卖的权利，保护许可他人有偿无偿使用信息的权利。

经加工的数据、信息归属于加工者或合法持有者。这是指对公共信息、合法收集或合法持有的他人信息进行加工处理后，有权向社会有偿或无偿提供。有专家认为经加工的数据、信息就是无主化处理，实际是在不影响原数据真实准确的基础上重新整合，可供新的用途。大数据金融特别是征信、评级等信用服务机构往往就是基于数据整合而开发开展业务，并向社会提供各种分析、评价。这类数据要强调依法收集，开放利用之前要进行脱敏、隐名处理。对于经加工的数据、信息，立法的前瞻是细化合法收集、合法使用以及加工处理的具体规范，特别是相关机构不得以格式条款自行授权，不得随意扩大使用所获的商用信息，不得侵犯他人的隐私与商业秘密，不得损害个人、企业数据信息的衍生权益。

 正确认识数据利用与数据安全的关系

数据信息的价值在于利用，鼓励充分、合法利用是大数据金融立法的目标之一。对于公共数据，要在风险可控前提下最大限度开放利用，健全政府部门数据资源统筹、公开、共享制度。对于个体数据，有专家认为，国际上关于个人数据信息的权威法律文件，都主要集中于保护个人信息的流通使用；个人信息保护立法的目的，最终是为了个人信息能够在保护个人利益的前提下得到利用。

利用可以是自己使用，如可以根据交易对手的交易资料和活动记录，进行归纳、整理，了解、掌握其企业或个人的交易习惯，实时给出其动态履约率、财产能力，信用评估也将更加有效。若在云计算的支持下，分析模型将更完善，信用信息也将更科学。

利用也可以是流转，可以是有偿交易，也可以是无偿转让。流转的标的是通过数据记载的信息，但不是传统的买卖，而是一种数据服务、信息服务；流转不转移信息权，只是信息许可使用权。授权别人使用和受让使用权都是数据信息的利用。

加工整理也是对数据信息的利用，大数据时代崇尚全社会信息资源的开放分享和开发利用，加工整理可能是更大范围更有效率的利用。

但大数据的利用也涉及信息安全问题，需要平衡数据权利人与使用人之间的关系，平衡数据的信息权和许可使用权之间的关系，平衡充分利用与确保信息安全之间的关系。

首先要防止个人信息的窃取和泄露。不法分子窃取信息的目的是从事欺骗、敲诈、偷盗、非法经营等违法犯罪活动，这是立法要重点打击的对象。而有些因金融活动获得、持有个人信息的机构疏于管理、防范，未尽保密职责，泄露、丢失信息，甚至是敏感数据和隐私，给了不法分子可乘之机，这也是立法要重点关注，予以惩处的现象。

其次要防止数据滥用。即使是通过合法收集、合法转让获得数据信息，也有可能发生过度收集、未明示告知、超出公示或约定范围使用、篡改或毁损、逾期保留、加工处理不当等行为，或者将数据用于违法目的。立法要将业界公认的最少够用的原则上升为制度，要界定个人信息合理正当使用的范围和方式，并对大数据金融机构在使用信息过程中赋予相应的义务、承担相应责任。

再次要防范非法倒卖数据。个人数据信息所隐含的商业价值逐渐被人们发现，越来越多的机构或个人采取种种手段获取他人信息，而有部分信息持有机构安全意识不强、保护能力不足，其内部个别员工在利益驱使下，自行或内外勾结非法倒卖数据，损害了他人权益。立法要促使大数据金融机构完善管理与技术手段，加强从业者职业操守教育，防范道德风险。

正确认识数据权益的公法保护与私法保护的关系

关于大数据金融立法在认识上存在两个误区，一个是认为立法就是保护个人隐私或个人信息权，一个是认为保护信息权主要依靠刑法。前一个误区是不明白法律具有促进与保障双重功能，大数据金融立法也有推动市场、行业发展的作用。后一个误区则是不清楚法律的公法与私法的分工及合作。

公法涉及公权力的运用，表现为刑法、行政法，由国家机关以国家强制力的手段进行管理执法、制裁违法、打击犯罪，主要维护国家利益、公共利益、社会稳定、经济秩序，但也会作用于严重侵害个体权益的行为。私法则是对个人、企业等个体权益的确认与维护，表现为民法、商法。主要运用意思自治、契约自由和诚实信用等原则，依靠市场规律，调整平等主体之间的财产和人身关系。公法私法应相互配合共同保护数据权益。因此，大数据金融法律制度建设要均衡好公法私法的关系，当前要更注重私法对数据权益的保护作用，制定好民商法的规范；公法的保护要适度，避免不当限制了信息的合理利用。行政法方面，结合政府职能转变，要明确政府监管大数据金融市场的权限范围及方式，增强公共数据信息的权威性与可利用性。刑法对个人信息的保护必须限定在一定范围，真正作为社会正义的最后屏障和权益保护的最后手段。

（吴弘为华东政法大学经济法学院院长。本文编辑/王蕾）