周坤琳

摘? ?要：當前，傳統(tǒng)金融業(yè)依托互聯(lián)網(wǎng)平臺取得長足發(fā)展，但也為信息侵權大開方便之門。學者對互聯(lián)網(wǎng)金融中個人信息保護不乏研究，但大多從信息主體的角度出發(fā)，或主張為信息主體賦權，或主張完善監(jiān)管。賦權或監(jiān)管雖能有效保護個人信息，但互聯(lián)網(wǎng)金融中個人信息侵權事件具有侵權主體復雜性、手段隱匿性、影響擴張性的特征，加之當下互聯(lián)網(wǎng)金融中信息控制者與處理者責義劃分模糊，對信息主體的保護流于形式。鑒于此，本文建議應從事前控制風險與事后完善責任的角度出發(fā)，在界定信息利用參與者角色概念的基礎上，構設義務責任機制，平衡行業(yè)發(fā)展與信息保護，尋求信息動態(tài)維度的安全。

關鍵詞：互聯(lián)網(wǎng)金融;信息控制者;信息處理者;法律義務和責任

DOI：10.3969/j.issn.1003-9031.2019.09.007

中圖分類號：D922.28? ? ? ? ? ? ? ?文獻標識碼：A? ? ? 文章編號：1003-9031（2019）09-0051-07

一、互聯(lián)網(wǎng)金融中信息控制者與處理者概念界定及責義劃分現(xiàn)狀與困境

（一）我國立法中對信息控制者與信息處理者界定的現(xiàn)狀與實踐困境

自2012年至2019年5月，有關互聯(lián)網(wǎng)金融和個人信息保護的立法（含行政法規(guī)）共21部，僅四部規(guī)范對信息利用主體進行界定，其中2017年實施的《中華人民共和國網(wǎng)絡安全法》、2018年實施的《網(wǎng)絡安全等級保護測評機構管理辦法》采用網(wǎng)絡運營者的概念，2018年的《信息安全技術個人信息安全規(guī)范》中采用信息控制者的概念、提出信息加工處理的概念，2019年《信息安全技術個人信息安全規(guī)范（意見稿）》采用個人信息控制者的概念①。

由我國的立法現(xiàn)狀可知，當下我國對個人信息保護較全面的規(guī)范性法律文件的法律效力較低，立法的配套速度和細化度差強人意，存在上位法無據(jù)可依甚至不予認可的尷尬局面。對信息利用過程中的法律主體劃分不明確，即使采用“網(wǎng)絡運營者”的概念，即“網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者”，不僅普通大眾很難通過這種列舉式的法律主體概念判斷自己是否會構成網(wǎng)絡運營者，且司法人員在執(zhí)法時仍然需要通過解釋何為網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者，才能夠認定某行為主體是否構成網(wǎng)絡運營者，即通過確定下位概念來界定上位概念?；ヂ?lián)網(wǎng)金融混業(yè)發(fā)展的趨勢愈發(fā)明顯，信息利用方式愈加復雜，在互聯(lián)網(wǎng)金融中適用上述概念更是難以界定主體，難以有效界分法律義務追究法律責任，給信息主體維權帶來制度性阻礙。

（二）信息控制者與信息處理者的研究現(xiàn)狀及缺弊微評

學界對信息控制者與信息處理者的概念界定標準及責義劃分缺乏專題式研究，大部分學者僅在研究個人信息保護問題時提出對信息利用參與者的劃分，但劃分的標準莫衷一是。如薛麗、劉朝（2018）將處理做為信息控制者利用個人信息的方式;杜換濤 （2018）對信息收集者、信息處理者、信息控制者的強制告知義務進行研究;鄭鈞、高鼎新（2018）對歐盟GDPR中關于信息控制者與信息處理者規(guī)定的義務做出解讀;王昕（2018）將數(shù)據(jù)處理者作為數(shù)據(jù)控制者的上位概念，并具體闡述了處理者的義務;朱宣燁（2018）提出第三方處理者的概念，并主張建立涉及第三方信息處理者的個人信息保護制度，但文中提及的第三方處理者，部分屬于信息共同控制者，部分屬于信息處理者;肖冬梅、成思雯（2019）對數(shù)據(jù)控制者與數(shù)據(jù)處理者設置數(shù)據(jù)保護官的義務進行了研究;弓永欽（2019）提出數(shù)據(jù)控制者要慎重選擇處理者，以保障數(shù)據(jù)主體的權利得到充分的保護，但未明確界定數(shù)據(jù)控制者與數(shù)據(jù)處理者之間責任;鄭令晗（2019）從對象要素、行為要素、意思聯(lián)絡要素、主體類型要素解釋數(shù)據(jù)控制者的概念要義，提出與數(shù)據(jù)處理者的差異在于行為要素;趙晨芳（2019）將數(shù)據(jù)控制者定義為掌握數(shù)據(jù)且有義務根據(jù)數(shù)據(jù)主體之要求刪除相關個人數(shù)據(jù)的義務主體;劉迎霜（2019）將信息處理者分為個人信息的收集者、分析加工者、使用者。綜觀之，我國尚無信息控制者與信息處理者的專題式研究，有關聯(lián)性的理論成果其視角亦有一定的局限性，現(xiàn)有研究探索存在以下缺弊。

1.信息立法得不到學術的自足性支撐，使得該類立法在法律體系中的缺位困境也很突出。大多對信息控制者與信息處理者的研究僅是在歐盟GDPR通過之后，集中在2018—2019年且研究深度不夠，僅做簡單的解讀，未提出切實可行的標準，為學術和實踐帶來困惑。一些學者雖自己提出信息活動參與者的類化標準，但標準本身存在循環(huán)定義甚至相互沖突等邏輯問題。

2.在對互聯(lián)網(wǎng)金融中信息控制者和信息處理者的義務劃分上，沒有系統(tǒng)化的研究，僅從GDPR提出的某個點或某種技術手段出發(fā)研究具體的某一項義務，較為松散，“補丁式”完善已不敷其用。

3.在責任界定上，相關研究因義務劃分的模糊導致責任研究不透徹，部分研究在承責方式上不明確，甚至用傳統(tǒng)的民事責任、刑事責任等相加或綜合的思維來解決當下互聯(lián)網(wǎng)金融中的信息侵權責任問題，未準確認識到傳統(tǒng)法律邏輯與經(jīng)濟法的現(xiàn)代性之間的關系，未以開放的態(tài)度和實踐的本性，探尋“問題與主義”。

4.針對互聯(lián)網(wǎng)金融中個人信息保護，有深度和針對性的實地調(diào)研還不充分，導致有價值的具體法律保障對策研究還很缺乏。

5.一些研究注重賦予個人信息主體以權利，即使將個人信息權利化，但信息主體技術上的弱勢及信息不平等性導致其行使權利面臨障礙。在網(wǎng)絡空間，信息的傳播速度之快、范圍之廣，一旦發(fā)生信息泄露事件，即便采取事后補救措施，也難以完全消除影響。故對個人信息權利的保障仍需在了解信息利用規(guī)律及信息侵權行為的基礎上，從信息控制者和處理者的義務及其責任進行研究，注重風險控制，才能給個人信息安全帶來實質(zhì)性的保障。

二、國外可資借鑒的數(shù)據(jù)立法及研究現(xiàn)狀

（一）國外立法層面的研究

德國2009年生效實施的《聯(lián)邦數(shù)據(jù)保護法》將控制者定義為：任何以個人名義收集、處理或使用的個人和機構，將處理定義為：對個人數(shù)據(jù)的存儲、修改、轉讓、封鎖和刪除;韓國2011年生效的《個人信息保護法》把個人信息處理者定義為官方或商業(yè)目的操作個人信息檔案，或直接間接處理個人信息的公共機構、法人、組織、個人等;新加坡2012年生效的《個人數(shù)據(jù)保護法》定義了處理，指對個人數(shù)據(jù)進行以下單項或組合操作：A記錄、B持有、C機構，適用或變更、D檢索、E組合、F傳輸、G刪除或破壞;法國2016年實施的《郵政和電子通信法典》中規(guī)定了電子通信服務運營商或接受設施的管理者，在2016年實施的《數(shù)字共和國法案》中規(guī)定了處理的負責人;英國2017年公布的《數(shù)據(jù)保護法（草案）》區(qū)分了數(shù)據(jù)控制者與數(shù)據(jù)處理者，并具體對數(shù)據(jù)控制者、數(shù)據(jù)處理者的義務進行了規(guī)定;歐盟2018年生效實施的《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）區(qū)分了數(shù)據(jù)控制者和數(shù)據(jù)處理者，并將數(shù)據(jù)處理者與數(shù)據(jù)控制者同等對待，其中GDPR共48個條款涉及到數(shù)據(jù)控制者的責任與義務， 27個條款涉及到數(shù)據(jù)處理者的責任與義務。

（二）國外學術層面的研究

Robert C. Post（1898）提出隱私必須放在社群的語境中才能被充分理解，區(qū)分主體與語境，個人的合理空間或人格才具有實現(xiàn)的可能;Davis G B，Olson M H（1985）提出信息接受者的概念并研究其義務;Lambert，Paul（2012）針對數(shù)據(jù)控制者和數(shù)據(jù)處理者的刑事責任做出研究;Claudia Diaz，Omer Tene等（2013）提出數(shù)據(jù)處理者與服務提供者的義務和責任，但主要是針對應用商店和軟件;Connolly&Caiti（2018）對GDPR中信息控制者和處理者做進一步研究;Alexe&Irina（2018）提出區(qū)分數(shù)據(jù)控制與數(shù)據(jù)處理者的義務及其責任。

國外對數(shù)據(jù)控制者和數(shù)據(jù)處理者立法、信息風險的研究都比較成熟，特別是在GDPR通過后，為各國立法提供了借鑒。這種世界性的發(fā)展趨勢值得我們密切關注，但應辯證地看到，域外對個人信息（數(shù)據(jù)）保護水平較高，與其歷史文化背景和法律制度有關，而我國互聯(lián)網(wǎng)金融業(yè)發(fā)展環(huán)境、運營特點、市場成熟度與國外存在差異，個人信息權的基礎立法保障嚴重不足。故在互聯(lián)網(wǎng)金融消費個人信息保護的問題上，應平衡好信息適度利用與有效保護，不能作簡單性模仿，機械否定，更不能全盤借用。

三、我國互聯(lián)網(wǎng)金融業(yè)中信息控制者與信息處理者概念及責義構設

（一）信息控制者與信息處理者概念界定及責義劃分之必要

1.彌補概念缺失之弊，為立法提供智力支持。信息控制者和信息處理者作為信息利用過程中的法律擬制主體，其概念構造和義務設定的立法模式，或許能為未來的個人信息保護法（或個人數(shù)據(jù)保護法）如何確定主體性概念、設定義務內(nèi)容提供可鑒經(jīng)驗概念，也為之后對個人信息保護的研究奠定基礎。

2.為行業(yè)提供實質(zhì)指引。明確的指引是義務得以履行的前提，也是義務主體不履行或不適當履行時追究其責任的依據(jù)。要轉變“技術中立，平臺無責”的觀念，信息行業(yè)應主動承擔義務。整齊劃一的底線義務不僅架空信息主體的權利，也為互聯(lián)網(wǎng)金融經(jīng)營者履行義務帶來困擾。從信息主體權利行使的便利性及互聯(lián)網(wǎng)金融企業(yè)的合規(guī)成本綜合考量，以整體上要求加強信息安全的事前保障為要求，側重于通過技術和制度的構建，以對信息安全的事前保障為主，尊重網(wǎng)絡空間信息流動規(guī)律，預見性地采取各種有效手段，盡可能降低信息安全事件發(fā)生的可能性和風險，將信息控制者和信息處理者義務內(nèi)容類型化。

3.為信息主體提供動態(tài)安全保障。突破現(xiàn)有對信息保護學術研論中宣示倡揚性的命題探索，具化對互聯(lián)網(wǎng)金融消費者個人信息保護的責任義務主題研究，為嘗試建立信息主體與信息處理者和信息控制者之間高效、便捷的個人信息糾紛處理制度提供基礎，構建不同于傳統(tǒng)救濟模式的快捷有效的救濟模式。使監(jiān)管執(zhí)法者、糾紛裁判者等能更及時地對治侵權行為，公平、公正地解決具體糾紛，避免同類案件出現(xiàn)不同的處理結果甚至無法可依的現(xiàn)象，最大程度地保障弱勢群體的個人數(shù)據(jù)利益。

（二）信息處理者與信息控制者內(nèi)涵界定、用語表達及性質(zhì)厘定

對信息控制者與信息處理者的義務及責任的劃分以其概念的界定為基礎?！翱刂啤焙汀疤幚怼弊鳛樾畔⒖刂普吲c信息處理者組成的核心語詞，在特定法律概念中表征該法的保護對象和法律關系。由概念界定可進一步分析各信息利用參與者的特征，更好地理解個人信息及其控制關系、處理關系?！翱刂啤睉改艽_定信息處理的目的及方式，控制者是能決定處理活動目的的實體，決定信息處理的用途，決定收集哪些信息、誰來收集、是否有理由不通知信息主體或征求信息主體的同意，以及保存信息多長時間等?！疤幚怼卑▽€人信息的進一步加工，如二次利用。信息處理者可決定信息處理活動的每一個環(huán)節(jié)，并有義務確保信息處理活動的安全，如決定信息如何存儲、互聯(lián)網(wǎng)金融平臺及機構間的個人信息轉移等。

以互聯(lián)網(wǎng)金融業(yè)中信息共享利用為例，根據(jù)2018年實施的《信息安全技術個人信息安全規(guī)范》（2019年修改）的規(guī)定，信息共享指信息控制者向其他控制者提供個人信息，且雙方控制者對個人信息擁有獨立控制權①。由此可知，信息共享行為僅在信息控制者之間發(fā)生，若經(jīng)授權進行個人信息加工處理的內(nèi)部機構或其他第三方機構對信息進行共享，則應承擔信息侵權責任。除信息共享外，互聯(lián)網(wǎng)金融業(yè)中還涉及信息加工處理等信息用環(huán)節(jié)，在此過程中，需要根據(jù)信息主體與互聯(lián)網(wǎng)金融經(jīng)營平臺的服務協(xié)議先確定信息控制者，若在后期信息控制者授權信息處理者對信息進行進一步處理，則處理者需遵循相關義務。若在授權后，信息處理者超過約定或?qū)嵸|(zhì)上已經(jīng)自己決定信息的利用方式等，則應將信息處理者劃為信息控制者。當然，上述對信息控制者與信息處理者的區(qū)分標準可能在概念上不周延。在實踐中存在很多信息控制者與信息處理者為同一平臺的情況，則以其實際利用信息活動的情況為準。

（三）互聯(lián)網(wǎng)金融中信息處理者與信息控制者義務劃分

1.技術加制度：注重信息安全事前風險防控

義務的劃分需要尊重互聯(lián)網(wǎng)金融中信息的利用規(guī)律，同時還需要進行系統(tǒng)化、類型化處理，僅提出一個點或從一種技術手段出發(fā)研究具體的某一項義務，較為松散，補丁式完善不敷其用?？傮w而言，可將信息控制者與信息處理者的義務分為以下三種類型：一是原則性義務，如知情同意義務、收集受限義務、目的特定義務等;二是一般性義務，如信息控制者“選擇同意”、進行網(wǎng)絡安全認證、遵守服務協(xié)議等的義務;三是具體的義務，如根據(jù)信息利用活動的不同采取匿名化或假名化技術，降低信息再識別的風險。對信息控制者和信息處理者的義務是有差異的，信息控制者的約定義務主要來源于與信息主體簽訂的服務合同，信息處理者的約定義務主要來源于與信息控制者之間的義務。但除此之外，因信息控制者與信息處理者在各信息利用活動中的角色不同，其承擔的義務也就不同，如在技術手段的選擇及是否需要履行告知義務的要求不同。

互聯(lián)網(wǎng)金融業(yè)中信息控制者和信息處理者對信息的利用風險不可避免不能消除，只能以技術和制度使信息利用處于風險可控狀態(tài)。信息處理風險大小、安全保障等問題和利益僅在具體的信息處理制度中才能得到客觀和科學的描述，在區(qū)分信息控制者與信息處理者義務的基礎上，應明晰個人信息保護邊界。通過評估機制預判信息利用目的的風險大小，再根據(jù)風險的高低采取不同的技術手段，高風險的信息處理業(yè)務（如涉及到的信息規(guī)模較大、信息性質(zhì)較為敏感）則采取技術性較高的保障手段，如果在可用技術和合理成本內(nèi)仍不能減輕風險，則需咨詢監(jiān)管機構?；ヂ?lián)網(wǎng)金融業(yè)的技術能力將作為企業(yè)風險評估的一個重要指標，應在互聯(lián)網(wǎng)金融交易和產(chǎn)品服務的全過程中充分體現(xiàn)。

2.兼顧與平衡：企業(yè)合規(guī)成本與監(jiān)管效率之考量

信息是互聯(lián)網(wǎng)金融發(fā)展的內(nèi)驅(qū)力，保護信息是企業(yè)的合規(guī)要求，也是其內(nèi)在的自主需求，在構建信息保護機制時應充分考慮發(fā)揮企業(yè)的自主能動性，加強監(jiān)管部門與產(chǎn)業(yè)的合作治理精神。同時，互聯(lián)網(wǎng)金融業(yè)中信息控制者和信息處理者僅承擔各自的義務，若企業(yè)已經(jīng)盡到規(guī)定的義務仍發(fā)生安全事件，則可成為減輕或免除法律責任的事由，減輕企業(yè)的成本。對義務的劃分除減少監(jiān)管機關解讀、適用信息保護相關規(guī)范的不確定性外，還應增強監(jiān)管制度的可行性，如對信息控制者與信息處理者是否履行義務的判定，相比較傳統(tǒng)侵權行為中損害難以確定導致維權難的問題，監(jiān)管機關在具體義務的基礎上，通過可量化的方式進行，如技術能力采取“程度性”量化，用數(shù)據(jù)質(zhì)量評價函數(shù)來度量脫敏后的數(shù)據(jù)。

（四）互聯(lián)網(wǎng)金融中信息處理者與信息控制者責任構設初探

責任是義務人履行義務的推動力，因不履行義務而導致信息安全事件的發(fā)生，則義務主體應承擔責任。責任承擔的概率與相關法律規(guī)定的義務多少有關，且經(jīng)濟法上的責任為“角色責任”，信息控制者與信息處理者的承責原因、承責方式等存在差異性?；ヂ?lián)網(wǎng)金融經(jīng)營者侵犯個人信息責任的承擔，即非民事、刑事、行政責任的簡單相加，也非簡單的責任綜合。在德國《聯(lián)邦數(shù)據(jù)保護法》中，對侵犯個人數(shù)據(jù)的行為人，需要承擔行政責任，嚴重的需要負刑事責任。在我國，應基于互聯(lián)網(wǎng)金融規(guī)制規(guī)則與傳統(tǒng)法律的差異認識， 從互聯(lián)網(wǎng)經(jīng)濟與經(jīng)濟法的實踐中去探尋特有的“問題與主義”，更關注對互聯(lián)網(wǎng)金融經(jīng)營者處罰的有效性及警示作用。除民事、刑事及行政責任外，對違法的互聯(lián)網(wǎng)金融經(jīng)營者，監(jiān)管機關根據(jù)信息安全事件的影響大小，可進行通告，有權的監(jiān)管機構還可吊銷牌照，采取警告、罰款、信譽減值等處罰措施。

在信息控制者和信息處理者具體的責任配置中，首先，信息控制者和信息處理者都需要先看信息處理行為的類型，如加工處理行為、共享行為及其他信息利用活動是否違反與金融消費者所簽訂的協(xié)議，在糾紛發(fā)生時應對該協(xié)議做出有利于消費者的傾向性解釋，同時應注重分配舉證責任，避免互聯(lián)網(wǎng)金融消費者因舉證責任過重、舉證不能而放棄司法救濟;其次，應明確責任承擔的主體，信息處理活動主要的責任承擔主體是違法加工處理個人信息的信息處理者，僅信息控制者有權進行的信息活動，則由信息控制者、共同信息控制者（聯(lián)合信息控制者）、信息接收方等承擔責任;最后，責任的承擔方式因信息處理者與信息控制者角色不同而有差異的，大多情況下，信息處理者的侵權可能承擔合同責任，信息控制者侵權承擔可能承擔連帶責任、最終責任，若信息處理者超出授權范圍起到?jīng)Q定信息利用方式等情況，則信息處理者應以信息控制者論。在厘清責任機制的基礎上，信息主體可就近向信息控制者或信息處理者提出異議及申訴。若進一步研究，可嘗試建立信息主體與信息處理者與信息控制者之間高效、便捷的個人信息糾紛處理制度，構建不同于傳統(tǒng)救濟模式的快捷有效的救濟模式，建立線上糾紛解決方案，暢通互聯(lián)網(wǎng)金融消費者維權渠道。

四、結語

互聯(lián)網(wǎng)金融市場的發(fā)展與信息有著天然緊密的聯(lián)系，在互聯(lián)網(wǎng)金融行業(yè)的發(fā)展中也逐步形成了信息控制者與信息處理者的實質(zhì)分工。本文嘗試在提出互聯(lián)網(wǎng)金融中信息控制者與信息處理者的法律區(qū)分的基礎上，關注主體資格與義務責任，在尊重互聯(lián)網(wǎng)金融消費者個人信息權與便利互聯(lián)網(wǎng)金融經(jīng)營者的基礎上探索建立信息控制者與信息處理者的承責機制，旨在為監(jiān)管者提供路徑參考的同時，為互聯(lián)網(wǎng)金融經(jīng)營者內(nèi)部控制提供合規(guī)化的指引。同時以對信息安全的事前保障為主，尊重網(wǎng)絡空間信息流動規(guī)律，預見性地采取各種有效手段，盡可能降低信息安全事件發(fā)生的可能性和風險，最終達到平衡好互聯(lián)網(wǎng)金融業(yè)中個人信息的適度利用與有效監(jiān)管、強化信息安全風險的事前防控、尋求個人信息動態(tài)維度上安全的多重法治目標。

（特約編輯：潘文娣）

參考文獻：

[1]京東法律研究院.歐盟《一般數(shù)據(jù)保護條例》GDPR（漢英對照）[M].北京：法律出版社，2018：174-265.

[2]烏爾里?！へ惪?風險社會：新的現(xiàn)代性之路[M].張文杰，何博聞譯.江蘇：譯林出版社，2018：16.

[3]何穎.數(shù)據(jù)共享背景下的金融隱私保護[J].東南大學學報（哲學社會科學版），2017（1）：85-91.

[4]周倩伊，王亞民，王闖.基于互聯(lián)網(wǎng)大數(shù)據(jù)的脫敏分析技術研究[J].數(shù)據(jù)分析與知識發(fā)現(xiàn)，2018，2（2）：58-63.

[5]張守文.經(jīng)濟法理論的重構[M].北京：人民出版社，2004：431.

[6]李愛君，蘇桂梅.國際數(shù)據(jù)保護規(guī)則要覽[M].北京：法律出版社，2018：41-43.

[7]應飛虎.問題及其主義——經(jīng)濟法學研究非傳統(tǒng)性之探析[J].法律科學（西北政法學院學報），2007（2）：86-94.