新一轮科技革命的兴起和快速发展,人工智能、数字化、数据合规、AI赋能等新型名词应运而生。又随着各类智能技术的广泛应用,数据逐渐作为一种资产从原本只在技术相关行业探讨的领域,进入社会各行各业的研究视线。相关研究覆盖个人隐私与个人信息的保护与边界探索、数据的法律保护与规制、数据增值带来的税务设计与规制、道德伦理定性与争议、技术保护与技术换代、跨境数据的政治协调与斡旋、数字经济良性发展的架构设计与监管等各个方向,涉及数据质量、数据存储、数据恢复、数据调取与使用、数据监管、数据审核、数据筛选、数据跨区域跨境综合规制、内部外部监管以及使用、数据保密性、数据造假的分级处罚、数据永久删除限制等方方面面。基于上述相关研究,各行各业开始热议起数据合规问题。
本文旨在探讨个人与企业共同制造的原始交易数据及衍生交易数据、特殊交易数据如何保护的问题。
一、从“收钱吧”与“二维火”侵害计算机软件著作权及不正当竞争纠纷一案引出的一般交易数据权益认定问题。
上海市高级人民法院(2024)沪民终628号判决书中针对一方提出交易数据侵权行为进行了理论分析,认为:
在消费结算支付业务中,数据权益可能涉及消费者、商户、聚合支付平台等多方主体。我国法律并未就结算支付数据的相关权益归属进行特别规定。基于金融市场对数据流通性的客观需要,对此类数据权益可遵循贡献比例原则予以综合认定,即对数据的生成作出贡献的主体,可按其实际投入比例享有相应权益。在具体案件中,需基于现有法律框架和法律基本原则,结合数据类型、应用场景、生成过程、贡献程度、双方约定、利益平衡等不同因素对相关数据权益的分配予以综合认定。
该案中,双方争议的数据为餐饮商家和消费者通过二维火收银系统结算的支付流水,即资金流动的详细交易记录,包括交易时间、交易金额、交易对方、交易类型、交易渠道等信息,上述信息属于支付数据中的原始交易数据。
首先,根据民事权利义务相一致原则,消费者和商户作为交易流水所涉数据的共同形成方、制作方,应各自享有数据来源者的相应民事权益。消费者是信息主体和支付交易发起者,对其消费的原始交易数据享有支配权。餐饮商户作为结算支付数据的生成者,可在其业务范围内对包括交易流水在内的必要经营数据享有有限的使用权,但不得侵害消费者包括隐私权在内的正当民事权益。
其次,在交易数据的后续流转过程中,原始交易数据可通过不同主体的收集、存储、使用和加工等经营活动转化为企业或机构数据。这些经过处理的衍生数据的具体权益范围应根据衍生数据的生成方式、加工程度等因素综合认定。企业和个人通过服务获取、存储原始支付数据,可在不侵害数据制作者合法权益或不违反约定的情况下,对相关数据在其业务范围内进行合规使用(如进行脱敏、分析并加工形成衍生数据或聚合数据),但并不能因此对原始支付数据产生垄断性权益。
获取用户收银数据后,对原始交易数据进行技术加工,作为数据流通中的一环,聚合支付平台对讼争支付流水中相关数据所起到的作用类似支付中介。如果没有证据证明其他主体曾对数据的优化、处理或增值作出任何贡献,那么基于公平原则,相关主体不能因其单纯的数据获取、持有或流通行为而获得竞争性法益。
由此可见,从计算机软件著作权保护和不正当竞争角度来看,原始数据权益一般归属于创造数据的信息主体,衍生数据则根据数据衍生的过程以及是否产生增值价值决定衍生数据的使用权益归属问题。各方主体根据各自对数据形成和增值的价值享有对应的权益,在不牵扯侵犯原始数据主体相关人身属性权益的情况下,可以合理进行使用、利用,以满足交易、流通和竞争需求。那么对于自身权益保护,各方主体均有保护责任,也有权对超出使用边界的使用行为进行维权。
二、商业金融领域交易数据保护的特殊问题
金融数据是典型的隐蔽信息,专业化程度较高,技术、操作、信息科技等风险与传统的金融风险交织,对金融数据的处理、运用、监管等提出更高的要求。然而金融领域作为数据相关立法与监管最完备的行业,在实践中却是各类数据风险的“重灾区”。
第一,实践中涉及投资理财、手机银行、网络借贷的各类app,侵害个人信息问题比较严重,数据合规水平偏低。第三方合作机构数据安全管控缺位,信息科技外包治理体系缺失或缺乏监管。以借贷app最基本的放款及回款模式为例,从宣传到录入个人或企业信息放款,到期外包第三方催收,坏账债权转让,二次催收,再到最终回款或坏账。实际借款人的金融信息已经在其签署概括性授权时多次流转,最终可能会被打包为金融资产进行卖出。这期间并非所有拥有该原始数据及衍生信息的主体都能够被充分监管,每一个环节都存在谋利泄漏风险。
第二,金融犯罪有从传统金融犯罪向网络金融犯罪转移的趋势,数字化倾向严重,借助数据衍生出的包括利用数据存储和传输手段的金融犯罪、以数据作为传播载体的金融犯罪、非法获取类金融犯罪层出不穷且涉案金额越来越大,而且业务关联型犯罪和职务关联型犯罪高发,例如小牛创投非法集资、龙力生物证券犯罪。金融行业运作多年,了解客户需求但却并不一定了解数据,金融业数据治理起步较早且规范化程度较高,几乎是我国数据治理制度最完善的行业,在实践中却成为个人信息侵权及重大数据安全风险的“高发区”。法律制度的“理性设计”与“非理性实效”间形成张力,风险治理质效不理想,大量金融数据治理规则空转,实际治理效果偏离法律制度预期。
公私主体利益分离治理模式下,监管机构注重数据风险控制效果,金融机构期待从数据合规努力中获取一定收益。因此在成本负担以及责任划分不够明晰的条件下,完全依靠机构和相关企业自己建立完备的合规体系不能满足现实需求,合规和合规监管将在各方利益博弈之下流于表面,没有实质解决数据风险。
第三,特别是在金融数字化转型过程中,大量层出不穷的科技公司介入数据委托处理、信息外包、数据共同处理等全新业务模式中,已经实际上破除了金融业务的封闭性。这些金融科技公司通过提供技术服务以节点的形式介入金融业务,因其掌握科技产品和技术,对数据风险的控制能力更强却还没被真正纳入金融数据监管范围,导致责任机制空转。
第四,在上述问题还没理清并找到好的解决方法之前,金融数据的跨境传输要求又对金融数据治理和监管提出新的挑战。因金融数据内含信息丰富且种类复杂,通常包含个人、企业和机构的交易记录、接待情况、账户余额及其他敏感信息,一旦发生泄露或者被违法抓取分析,将可能对个人和企业的财务安全甚至个人人身安全造成严重威胁。牵涉到跨境传输,个人和企业的金融隐私信息在境外被大肆传播,当事主体很难察觉,察觉之时可能已经造成了不良后果。
三、商业跨境交易数据的披露边界与保护问题
对于一般商业交易数据,例如依托跨境平台进行交易的跨境电商、跨境大宗货物贸易等有专门的平台、代理商、物流平台等进行协助操作,所产生的交易数据需要满足平台、代理商和其他参与主体的约定、当地国家的属地监管要求以及我国对于交易主体的要求。对于大型交易或数据存储、应用平台,国家已经有了部分监管手段,且对于个案例如tiktok跨境数据披露案能够及时反应。
对于专业化程度高的商业金融数据的规范治理,还需要进行探索。
第一,金融数据流通,不仅在内部流通过程中存在数据造假问题,跨境数据传输也同样存在数据失真问题,可能导致金融机构、个人、企业、国家作出错误判断,进而使市场因“羊群效应”而引发系统性金融风险,特别是在我国金融领域发展时间并不长,还处在探索发展阶段的情况下,带来的损失可能会更大。
第二,因金融行业为了保证所依托的数据真实全面以便应对金融交易风险,在进行市场调研时会更加细化,产生的金融数据样本量大而且全面,大量跨境流通的金融数据经过抓取和分析研判,可以反映一国经济社会发展状况。获得、拥有金融行业大数据作为决策基础的主体,将可能在金融竞争中占据优势地位。比如美国掌握大量的跨国银行或支付结算机构的支付交易数据,例如其所掌控的清算所银行同业支付系统(CHIPS)和环球银行金融电信协会(SWIFT)支付系统,获取了大量跨国支付交易的全样本和以美元为主的交易信息,使得其在对伊朗和朝鲜等国家的制裁中具备精准打击的能力。因此我国在处理跨境金融数据传输方面较为谨慎,中国金融机构及商业企业在“走出去”的过程中,不仅要履行《中华人民共和国个人信息保护法》《金融机构反洗钱和反恐怖融资监督管理办法》等相关法律法规,还要确保其交易数据跨境流动的行为符合东道国相关的法律法规。双向甚至多向合规要求对“走出去”的金融机构和其他非金融企业数据合规提出更高要求也带来更多的合规负担。非金融机构因未履行金融数据或交易数据跨境流动双向合规义务而遭到巨额处罚的案例并不罕见,如优步公司因违反欧盟《通用数据保护条例》将欧洲出租车司机个人金融数据跨境传输至美国服务器被荷兰数据保护局处以天价罚款。
第三,当前大部分金融机构在内部管理机制设计时仅关注合规政策形式,套用现有的国内外数据保护法律法规规范的相关条款,未结合自身具体的经营情况进行个性化制度设计,使得数据合规的内部调查、合规尽职调查、合规问责与惩戒等具体举措设置流于形式,起不到治理和帮助作用。而在合规政策的执行上,金融机构也往往着眼于事前预防和事后处理问题阶段,没有形成全流程管控和跟踪机制,很容易在跨境竞争时处于有利地位。我国金融机构内部自我治理效果不佳与金融监管机关的外部监管协同匮乏,以及国际金融数据跨境流通治理规则间的差异,使得当前中国金融数据跨境流动治理陷入进退维谷的局面。
第四,治理人才队伍建设时忽视金融数据双向治理、跨境合规治理的专业人才队伍建设。快速发展的数字化、智能化、高效化的数据治理需求,要求多学科背景复合人才、多复合人才的治理团队协同配合提供服务,单一学科背景的金融人才在应对新型金融数据问题、跨境数据竞争、跨境争议解决时会有思维局限,难以充分满足治理需求。
四、引入合规人才团队与科技,共建成长型数据保护体系
第一,现行法律体系对于数据分类分级保护的规则与商业金融机构指定的数据分级分类标准之间不对称,例如《金融数据安全数据安全分级指南》《证券期货业数据分类分级指引》对于数据分级分类的五分法与《数据安全技术数据分类分级规则》的数据三分法难以契合,难以有效衔接传统金融数据和新型商业模式,从而实现数据增值。需要从制度机制层面进行顶层设计,明确数据合规领域基本的、原则性的规定,之后根据数据类型再进行细化规定,充分调动各行业主体的参与积极性,吸纳专业人才参与机制设计及效果跟踪,动态检查实际效用,使得监管不流于形式。
第二,扩大各行各业人才库建设,重大政策和案件,征集方案建议。各类涉数据合规主体,除自身委托包括律师、审计、技术团体等专业人士建立合规风控团队之外,可考虑有条件地引入有资质的第三方合规企业参与合规流程建设,根据自身情况设计行之有效的合规流程、检查监督机制、分级处罚措施,动态监测数据风险。设立重大风险及时上报机制,有效利用行业资源和合规团队解决问题,吸纳复合型人才,形成有效的风险防御机制,集中精力投入业务与服务生产。
第三,合规科技企业因技术局限,虽然也存在数据风险,但因其相较于生产企业自身及传统金融机构,还是具有相当专业性,在充分核实其资质与能力之后,可以考虑与合规科技企业进行合作,引入第三方技术风控手段,为企业数据安全保驾护航,也可以减轻监管压力,将治理资源集中投入到对新兴技术手段与合规效能监测中去。
五、结语
我国正处在科技快速发展的新阶段,快速发展的数字化、人工智能、新材料等高精尖技术对各行各业提出了不断钻研、更新换代、突破传统思维等的发展要求,逐渐改变着人们生活的方方面面,既带来更多的便利,也带来更多的挑战,需要不断探索数据和技术衍生的新领域,才能尽早处于优势地位以应对更多挑战,抓住更多机遇。
杨甜甜律师
专业领域:企业法律顾问、文化传媒领域案件办理(知识产权、服务合作、委托经营等)、刑事经济类辩护。
(卓建律师)
来 源|杨甜甜
审核|李兰兰、品宣部
编辑|卓小豸