周坤琳

摘? ?要：當(dāng)前，傳統(tǒng)金融業(yè)依托互聯(lián)網(wǎng)平臺(tái)取得長(zhǎng)足發(fā)展，但也為信息侵權(quán)大開方便之門。學(xué)者對(duì)互聯(lián)網(wǎng)金融中個(gè)人信息保護(hù)不乏研究，但大多從信息主體的角度出發(fā)，或主張為信息主體賦權(quán)，或主張完善監(jiān)管。賦權(quán)或監(jiān)管雖能有效保護(hù)個(gè)人信息，但互聯(lián)網(wǎng)金融中個(gè)人信息侵權(quán)事件具有侵權(quán)主體復(fù)雜性、手段隱匿性、影響擴(kuò)張性的特征，加之當(dāng)下互聯(lián)網(wǎng)金融中信息控制者與處理者責(zé)義劃分模糊，對(duì)信息主體的保護(hù)流于形式。鑒于此，本文建議應(yīng)從事前控制風(fēng)險(xiǎn)與事后完善責(zé)任的角度出發(fā)，在界定信息利用參與者角色概念的基礎(chǔ)上，構(gòu)設(shè)義務(wù)責(zé)任機(jī)制，平衡行業(yè)發(fā)展與信息保護(hù)，尋求信息動(dòng)態(tài)維度的安全。

關(guān)鍵詞：互聯(lián)網(wǎng)金融;信息控制者;信息處理者;法律義務(wù)和責(zé)任

DOI：10.3969/j.issn.1003-9031.2019.09.007

中圖分類號(hào)：D922.28? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? 文章編號(hào)：1003-9031（2019）09-0051-07

一、互聯(lián)網(wǎng)金融中信息控制者與處理者概念界定及責(zé)義劃分現(xiàn)狀與困境

（一）我國(guó)立法中對(duì)信息控制者與信息處理者界定的現(xiàn)狀與實(shí)踐困境

自2012年至2019年5月，有關(guān)互聯(lián)網(wǎng)金融和個(gè)人信息保護(hù)的立法（含行政法規(guī)）共21部，僅四部規(guī)范對(duì)信息利用主體進(jìn)行界定，其中2017年實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、2018年實(shí)施的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》采用網(wǎng)絡(luò)運(yùn)營(yíng)者的概念，2018年的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中采用信息控制者的概念、提出信息加工處理的概念，2019年《信息安全技術(shù)個(gè)人信息安全規(guī)范（意見稿）》采用個(gè)人信息控制者的概念①。

由我國(guó)的立法現(xiàn)狀可知，當(dāng)下我國(guó)對(duì)個(gè)人信息保護(hù)較全面的規(guī)范性法律文件的法律效力較低，立法的配套速度和細(xì)化度差強(qiáng)人意，存在上位法無(wú)據(jù)可依甚至不予認(rèn)可的尷尬局面。對(duì)信息利用過程中的法律主體劃分不明確，即使采用“網(wǎng)絡(luò)運(yùn)營(yíng)者”的概念，即“網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者”，不僅普通大眾很難通過這種列舉式的法律主體概念判斷自己是否會(huì)構(gòu)成網(wǎng)絡(luò)運(yùn)營(yíng)者，且司法人員在執(zhí)法時(shí)仍然需要通過解釋何為網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者，才能夠認(rèn)定某行為主體是否構(gòu)成網(wǎng)絡(luò)運(yùn)營(yíng)者，即通過確定下位概念來(lái)界定上位概念?；ヂ?lián)網(wǎng)金融混業(yè)發(fā)展的趨勢(shì)愈發(fā)明顯，信息利用方式愈加復(fù)雜，在互聯(lián)網(wǎng)金融中適用上述概念更是難以界定主體，難以有效界分法律義務(wù)追究法律責(zé)任，給信息主體維權(quán)帶來(lái)制度性阻礙。

（二）信息控制者與信息處理者的研究現(xiàn)狀及缺弊微評(píng)

學(xué)界對(duì)信息控制者與信息處理者的概念界定標(biāo)準(zhǔn)及責(zé)義劃分缺乏專題式研究，大部分學(xué)者僅在研究個(gè)人信息保護(hù)問題時(shí)提出對(duì)信息利用參與者的劃分，但劃分的標(biāo)準(zhǔn)莫衷一是。如薛麗、劉朝（2018）將處理做為信息控制者利用個(gè)人信息的方式;杜換濤 （2018）對(duì)信息收集者、信息處理者、信息控制者的強(qiáng)制告知義務(wù)進(jìn)行研究;鄭鈞、高鼎新（2018）對(duì)歐盟GDPR中關(guān)于信息控制者與信息處理者規(guī)定的義務(wù)做出解讀;王昕（2018）將數(shù)據(jù)處理者作為數(shù)據(jù)控制者的上位概念，并具體闡述了處理者的義務(wù);朱宣燁（2018）提出第三方處理者的概念，并主張建立涉及第三方信息處理者的個(gè)人信息保護(hù)制度，但文中提及的第三方處理者，部分屬于信息共同控制者，部分屬于信息處理者;肖冬梅、成思雯（2019）對(duì)數(shù)據(jù)控制者與數(shù)據(jù)處理者設(shè)置數(shù)據(jù)保護(hù)官的義務(wù)進(jìn)行了研究;弓永欽（2019）提出數(shù)據(jù)控制者要慎重選擇處理者，以保障數(shù)據(jù)主體的權(quán)利得到充分的保護(hù)，但未明確界定數(shù)據(jù)控制者與數(shù)據(jù)處理者之間責(zé)任;鄭令晗（2019）從對(duì)象要素、行為要素、意思聯(lián)絡(luò)要素、主體類型要素解釋數(shù)據(jù)控制者的概念要義，提出與數(shù)據(jù)處理者的差異在于行為要素;趙晨芳（2019）將數(shù)據(jù)控制者定義為掌握數(shù)據(jù)且有義務(wù)根據(jù)數(shù)據(jù)主體之要求刪除相關(guān)個(gè)人數(shù)據(jù)的義務(wù)主體;劉迎霜（2019）將信息處理者分為個(gè)人信息的收集者、分析加工者、使用者。綜觀之，我國(guó)尚無(wú)信息控制者與信息處理者的專題式研究，有關(guān)聯(lián)性的理論成果其視角亦有一定的局限性，現(xiàn)有研究探索存在以下缺弊。

1.信息立法得不到學(xué)術(shù)的自足性支撐，使得該類立法在法律體系中的缺位困境也很突出。大多對(duì)信息控制者與信息處理者的研究?jī)H是在歐盟GDPR通過之后，集中在2018—2019年且研究深度不夠，僅做簡(jiǎn)單的解讀，未提出切實(shí)可行的標(biāo)準(zhǔn)，為學(xué)術(shù)和實(shí)踐帶來(lái)困惑。一些學(xué)者雖自己提出信息活動(dòng)參與者的類化標(biāo)準(zhǔn)，但標(biāo)準(zhǔn)本身存在循環(huán)定義甚至相互沖突等邏輯問題。

2.在對(duì)互聯(lián)網(wǎng)金融中信息控制者和信息處理者的義務(wù)劃分上，沒有系統(tǒng)化的研究，僅從GDPR提出的某個(gè)點(diǎn)或某種技術(shù)手段出發(fā)研究具體的某一項(xiàng)義務(wù)，較為松散，“補(bǔ)丁式”完善已不敷其用。

3.在責(zé)任界定上，相關(guān)研究因義務(wù)劃分的模糊導(dǎo)致責(zé)任研究不透徹，部分研究在承責(zé)方式上不明確，甚至用傳統(tǒng)的民事責(zé)任、刑事責(zé)任等相加或綜合的思維來(lái)解決當(dāng)下互聯(lián)網(wǎng)金融中的信息侵權(quán)責(zé)任問題，未準(zhǔn)確認(rèn)識(shí)到傳統(tǒng)法律邏輯與經(jīng)濟(jì)法的現(xiàn)代性之間的關(guān)系，未以開放的態(tài)度和實(shí)踐的本性，探尋“問題與主義”。

4.針對(duì)互聯(lián)網(wǎng)金融中個(gè)人信息保護(hù)，有深度和針對(duì)性的實(shí)地調(diào)研還不充分，導(dǎo)致有價(jià)值的具體法律保障對(duì)策研究還很缺乏。

5.一些研究注重賦予個(gè)人信息主體以權(quán)利，即使將個(gè)人信息權(quán)利化，但信息主體技術(shù)上的弱勢(shì)及信息不平等性導(dǎo)致其行使權(quán)利面臨障礙。在網(wǎng)絡(luò)空間，信息的傳播速度之快、范圍之廣，一旦發(fā)生信息泄露事件，即便采取事后補(bǔ)救措施，也難以完全消除影響。故對(duì)個(gè)人信息權(quán)利的保障仍需在了解信息利用規(guī)律及信息侵權(quán)行為的基礎(chǔ)上，從信息控制者和處理者的義務(wù)及其責(zé)任進(jìn)行研究，注重風(fēng)險(xiǎn)控制，才能給個(gè)人信息安全帶來(lái)實(shí)質(zhì)性的保障。

二、國(guó)外可資借鑒的數(shù)據(jù)立法及研究現(xiàn)狀

（一）國(guó)外立法層面的研究

德國(guó)2009年生效實(shí)施的《聯(lián)邦數(shù)據(jù)保護(hù)法》將控制者定義為：任何以個(gè)人名義收集、處理或使用的個(gè)人和機(jī)構(gòu)，將處理定義為：對(duì)個(gè)人數(shù)據(jù)的存儲(chǔ)、修改、轉(zhuǎn)讓、封鎖和刪除;韓國(guó)2011年生效的《個(gè)人信息保護(hù)法》把個(gè)人信息處理者定義為官方或商業(yè)目的操作個(gè)人信息檔案，或直接間接處理個(gè)人信息的公共機(jī)構(gòu)、法人、組織、個(gè)人等;新加坡2012年生效的《個(gè)人數(shù)據(jù)保護(hù)法》定義了處理，指對(duì)個(gè)人數(shù)據(jù)進(jìn)行以下單項(xiàng)或組合操作：A記錄、B持有、C機(jī)構(gòu)，適用或變更、D檢索、E組合、F傳輸、G刪除或破壞;法國(guó)2016年實(shí)施的《郵政和電子通信法典》中規(guī)定了電子通信服務(wù)運(yùn)營(yíng)商或接受設(shè)施的管理者，在2016年實(shí)施的《數(shù)字共和國(guó)法案》中規(guī)定了處理的負(fù)責(zé)人;英國(guó)2017年公布的《數(shù)據(jù)保護(hù)法（草案）》區(qū)分了數(shù)據(jù)控制者與數(shù)據(jù)處理者，并具體對(duì)數(shù)據(jù)控制者、數(shù)據(jù)處理者的義務(wù)進(jìn)行了規(guī)定;歐盟2018年生效實(shí)施的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR）區(qū)分了數(shù)據(jù)控制者和數(shù)據(jù)處理者，并將數(shù)據(jù)處理者與數(shù)據(jù)控制者同等對(duì)待，其中GDPR共48個(gè)條款涉及到數(shù)據(jù)控制者的責(zé)任與義務(wù)， 27個(gè)條款涉及到數(shù)據(jù)處理者的責(zé)任與義務(wù)。

（二）國(guó)外學(xué)術(shù)層面的研究

Robert C. Post（1898）提出隱私必須放在社群的語(yǔ)境中才能被充分理解，區(qū)分主體與語(yǔ)境，個(gè)人的合理空間或人格才具有實(shí)現(xiàn)的可能;Davis G B，Olson M H（1985）提出信息接受者的概念并研究其義務(wù);Lambert，Paul（2012）針對(duì)數(shù)據(jù)控制者和數(shù)據(jù)處理者的刑事責(zé)任做出研究;Claudia Diaz，Omer Tene等（2013）提出數(shù)據(jù)處理者與服務(wù)提供者的義務(wù)和責(zé)任，但主要是針對(duì)應(yīng)用商店和軟件;Connolly&Caiti（2018）對(duì)GDPR中信息控制者和處理者做進(jìn)一步研究;Alexe&Irina（2018）提出區(qū)分?jǐn)?shù)據(jù)控制與數(shù)據(jù)處理者的義務(wù)及其責(zé)任。

國(guó)外對(duì)數(shù)據(jù)控制者和數(shù)據(jù)處理者立法、信息風(fēng)險(xiǎn)的研究都比較成熟，特別是在GDPR通過后，為各國(guó)立法提供了借鑒。這種世界性的發(fā)展趨勢(shì)值得我們密切關(guān)注，但應(yīng)辯證地看到，域外對(duì)個(gè)人信息（數(shù)據(jù)）保護(hù)水平較高，與其歷史文化背景和法律制度有關(guān)，而我國(guó)互聯(lián)網(wǎng)金融業(yè)發(fā)展環(huán)境、運(yùn)營(yíng)特點(diǎn)、市場(chǎng)成熟度與國(guó)外存在差異，個(gè)人信息權(quán)的基礎(chǔ)立法保障嚴(yán)重不足。故在互聯(lián)網(wǎng)金融消費(fèi)個(gè)人信息保護(hù)的問題上，應(yīng)平衡好信息適度利用與有效保護(hù)，不能作簡(jiǎn)單性模仿，機(jī)械否定，更不能全盤借用。

三、我國(guó)互聯(lián)網(wǎng)金融業(yè)中信息控制者與信息處理者概念及責(zé)義構(gòu)設(shè)

（一）信息控制者與信息處理者概念界定及責(zé)義劃分之必要

1.彌補(bǔ)概念缺失之弊，為立法提供智力支持。信息控制者和信息處理者作為信息利用過程中的法律擬制主體，其概念構(gòu)造和義務(wù)設(shè)定的立法模式，或許能為未來(lái)的個(gè)人信息保護(hù)法（或個(gè)人數(shù)據(jù)保護(hù)法）如何確定主體性概念、設(shè)定義務(wù)內(nèi)容提供可鑒經(jīng)驗(yàn)概念，也為之后對(duì)個(gè)人信息保護(hù)的研究奠定基礎(chǔ)。

2.為行業(yè)提供實(shí)質(zhì)指引。明確的指引是義務(wù)得以履行的前提，也是義務(wù)主體不履行或不適當(dāng)履行時(shí)追究其責(zé)任的依據(jù)。要轉(zhuǎn)變“技術(shù)中立，平臺(tái)無(wú)責(zé)”的觀念，信息行業(yè)應(yīng)主動(dòng)承擔(dān)義務(wù)。整齊劃一的底線義務(wù)不僅架空信息主體的權(quán)利，也為互聯(lián)網(wǎng)金融經(jīng)營(yíng)者履行義務(wù)帶來(lái)困擾。從信息主體權(quán)利行使的便利性及互聯(lián)網(wǎng)金融企業(yè)的合規(guī)成本綜合考量，以整體上要求加強(qiáng)信息安全的事前保障為要求，側(cè)重于通過技術(shù)和制度的構(gòu)建，以對(duì)信息安全的事前保障為主，尊重網(wǎng)絡(luò)空間信息流動(dòng)規(guī)律，預(yù)見性地采取各種有效手段，盡可能降低信息安全事件發(fā)生的可能性和風(fēng)險(xiǎn)，將信息控制者和信息處理者義務(wù)內(nèi)容類型化。

3.為信息主體提供動(dòng)態(tài)安全保障。突破現(xiàn)有對(duì)信息保護(hù)學(xué)術(shù)研論中宣示倡揚(yáng)性的命題探索，具化對(duì)互聯(lián)網(wǎng)金融消費(fèi)者個(gè)人信息保護(hù)的責(zé)任義務(wù)主題研究，為嘗試建立信息主體與信息處理者和信息控制者之間高效、便捷的個(gè)人信息糾紛處理制度提供基礎(chǔ)，構(gòu)建不同于傳統(tǒng)救濟(jì)模式的快捷有效的救濟(jì)模式。使監(jiān)管執(zhí)法者、糾紛裁判者等能更及時(shí)地對(duì)治侵權(quán)行為，公平、公正地解決具體糾紛，避免同類案件出現(xiàn)不同的處理結(jié)果甚至無(wú)法可依的現(xiàn)象，最大程度地保障弱勢(shì)群體的個(gè)人數(shù)據(jù)利益。

（二）信息處理者與信息控制者內(nèi)涵界定、用語(yǔ)表達(dá)及性質(zhì)厘定

對(duì)信息控制者與信息處理者的義務(wù)及責(zé)任的劃分以其概念的界定為基礎(chǔ)。“控制”和“處理”作為信息控制者與信息處理者組成的核心語(yǔ)詞，在特定法律概念中表征該法的保護(hù)對(duì)象和法律關(guān)系。由概念界定可進(jìn)一步分析各信息利用參與者的特征，更好地理解個(gè)人信息及其控制關(guān)系、處理關(guān)系?！翱刂啤睉?yīng)指能確定信息處理的目的及方式，控制者是能決定處理活動(dòng)目的的實(shí)體，決定信息處理的用途，決定收集哪些信息、誰(shuí)來(lái)收集、是否有理由不通知信息主體或征求信息主體的同意，以及保存信息多長(zhǎng)時(shí)間等?！疤幚怼卑▽?duì)個(gè)人信息的進(jìn)一步加工，如二次利用。信息處理者可決定信息處理活動(dòng)的每一個(gè)環(huán)節(jié)，并有義務(wù)確保信息處理活動(dòng)的安全，如決定信息如何存儲(chǔ)、互聯(lián)網(wǎng)金融平臺(tái)及機(jī)構(gòu)間的個(gè)人信息轉(zhuǎn)移等。

以互聯(lián)網(wǎng)金融業(yè)中信息共享利用為例，根據(jù)2018年實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（2019年修改）的規(guī)定，信息共享指信息控制者向其他控制者提供個(gè)人信息，且雙方控制者對(duì)個(gè)人信息擁有獨(dú)立控制權(quán)①。由此可知，信息共享行為僅在信息控制者之間發(fā)生，若經(jīng)授權(quán)進(jìn)行個(gè)人信息加工處理的內(nèi)部機(jī)構(gòu)或其他第三方機(jī)構(gòu)對(duì)信息進(jìn)行共享，則應(yīng)承擔(dān)信息侵權(quán)責(zé)任。除信息共享外，互聯(lián)網(wǎng)金融業(yè)中還涉及信息加工處理等信息用環(huán)節(jié)，在此過程中，需要根據(jù)信息主體與互聯(lián)網(wǎng)金融經(jīng)營(yíng)平臺(tái)的服務(wù)協(xié)議先確定信息控制者，若在后期信息控制者授權(quán)信息處理者對(duì)信息進(jìn)行進(jìn)一步處理，則處理者需遵循相關(guān)義務(wù)。若在授權(quán)后，信息處理者超過約定或?qū)嵸|(zhì)上已經(jīng)自己決定信息的利用方式等，則應(yīng)將信息處理者劃為信息控制者。當(dāng)然，上述對(duì)信息控制者與信息處理者的區(qū)分標(biāo)準(zhǔn)可能在概念上不周延。在實(shí)踐中存在很多信息控制者與信息處理者為同一平臺(tái)的情況，則以其實(shí)際利用信息活動(dòng)的情況為準(zhǔn)。

（三）互聯(lián)網(wǎng)金融中信息處理者與信息控制者義務(wù)劃分

1.技術(shù)加制度：注重信息安全事前風(fēng)險(xiǎn)防控

義務(wù)的劃分需要尊重互聯(lián)網(wǎng)金融中信息的利用規(guī)律，同時(shí)還需要進(jìn)行系統(tǒng)化、類型化處理，僅提出一個(gè)點(diǎn)或從一種技術(shù)手段出發(fā)研究具體的某一項(xiàng)義務(wù)，較為松散，補(bǔ)丁式完善不敷其用?？傮w而言，可將信息控制者與信息處理者的義務(wù)分為以下三種類型：一是原則性義務(wù)，如知情同意義務(wù)、收集受限義務(wù)、目的特定義務(wù)等;二是一般性義務(wù)，如信息控制者“選擇同意”、進(jìn)行網(wǎng)絡(luò)安全認(rèn)證、遵守服務(wù)協(xié)議等的義務(wù);三是具體的義務(wù)，如根據(jù)信息利用活動(dòng)的不同采取匿名化或假名化技術(shù)，降低信息再識(shí)別的風(fēng)險(xiǎn)。對(duì)信息控制者和信息處理者的義務(wù)是有差異的，信息控制者的約定義務(wù)主要來(lái)源于與信息主體簽訂的服務(wù)合同，信息處理者的約定義務(wù)主要來(lái)源于與信息控制者之間的義務(wù)。但除此之外，因信息控制者與信息處理者在各信息利用活動(dòng)中的角色不同，其承擔(dān)的義務(wù)也就不同，如在技術(shù)手段的選擇及是否需要履行告知義務(wù)的要求不同。

互聯(lián)網(wǎng)金融業(yè)中信息控制者和信息處理者對(duì)信息的利用風(fēng)險(xiǎn)不可避免不能消除，只能以技術(shù)和制度使信息利用處于風(fēng)險(xiǎn)可控狀態(tài)。信息處理風(fēng)險(xiǎn)大小、安全保障等問題和利益僅在具體的信息處理制度中才能得到客觀和科學(xué)的描述，在區(qū)分信息控制者與信息處理者義務(wù)的基礎(chǔ)上，應(yīng)明晰個(gè)人信息保護(hù)邊界。通過評(píng)估機(jī)制預(yù)判信息利用目的的風(fēng)險(xiǎn)大小，再根據(jù)風(fēng)險(xiǎn)的高低采取不同的技術(shù)手段，高風(fēng)險(xiǎn)的信息處理業(yè)務(wù)（如涉及到的信息規(guī)模較大、信息性質(zhì)較為敏感）則采取技術(shù)性較高的保障手段，如果在可用技術(shù)和合理成本內(nèi)仍不能減輕風(fēng)險(xiǎn)，則需咨詢監(jiān)管機(jī)構(gòu)?；ヂ?lián)網(wǎng)金融業(yè)的技術(shù)能力將作為企業(yè)風(fēng)險(xiǎn)評(píng)估的一個(gè)重要指標(biāo)，應(yīng)在互聯(lián)網(wǎng)金融交易和產(chǎn)品服務(wù)的全過程中充分體現(xiàn)。

2.兼顧與平衡：企業(yè)合規(guī)成本與監(jiān)管效率之考量

信息是互聯(lián)網(wǎng)金融發(fā)展的內(nèi)驅(qū)力，保護(hù)信息是企業(yè)的合規(guī)要求，也是其內(nèi)在的自主需求，在構(gòu)建信息保護(hù)機(jī)制時(shí)應(yīng)充分考慮發(fā)揮企業(yè)的自主能動(dòng)性，加強(qiáng)監(jiān)管部門與產(chǎn)業(yè)的合作治理精神。同時(shí)，互聯(lián)網(wǎng)金融業(yè)中信息控制者和信息處理者僅承擔(dān)各自的義務(wù)，若企業(yè)已經(jīng)盡到規(guī)定的義務(wù)仍發(fā)生安全事件，則可成為減輕或免除法律責(zé)任的事由，減輕企業(yè)的成本。對(duì)義務(wù)的劃分除減少監(jiān)管機(jī)關(guān)解讀、適用信息保護(hù)相關(guān)規(guī)范的不確定性外，還應(yīng)增強(qiáng)監(jiān)管制度的可行性，如對(duì)信息控制者與信息處理者是否履行義務(wù)的判定，相比較傳統(tǒng)侵權(quán)行為中損害難以確定導(dǎo)致維權(quán)難的問題，監(jiān)管機(jī)關(guān)在具體義務(wù)的基礎(chǔ)上，通過可量化的方式進(jìn)行，如技術(shù)能力采取“程度性”量化，用數(shù)據(jù)質(zhì)量評(píng)價(jià)函數(shù)來(lái)度量脫敏后的數(shù)據(jù)。

（四）互聯(lián)網(wǎng)金融中信息處理者與信息控制者責(zé)任構(gòu)設(shè)初探

責(zé)任是義務(wù)人履行義務(wù)的推動(dòng)力，因不履行義務(wù)而導(dǎo)致信息安全事件的發(fā)生，則義務(wù)主體應(yīng)承擔(dān)責(zé)任。責(zé)任承擔(dān)的概率與相關(guān)法律規(guī)定的義務(wù)多少有關(guān)，且經(jīng)濟(jì)法上的責(zé)任為“角色責(zé)任”，信息控制者與信息處理者的承責(zé)原因、承責(zé)方式等存在差異性?；ヂ?lián)網(wǎng)金融經(jīng)營(yíng)者侵犯?jìng)€(gè)人信息責(zé)任的承擔(dān)，即非民事、刑事、行政責(zé)任的簡(jiǎn)單相加，也非簡(jiǎn)單的責(zé)任綜合。在德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》中，對(duì)侵犯?jìng)€(gè)人數(shù)據(jù)的行為人，需要承擔(dān)行政責(zé)任，嚴(yán)重的需要負(fù)刑事責(zé)任。在我國(guó)，應(yīng)基于互聯(lián)網(wǎng)金融規(guī)制規(guī)則與傳統(tǒng)法律的差異認(rèn)識(shí)， 從互聯(lián)網(wǎng)經(jīng)濟(jì)與經(jīng)濟(jì)法的實(shí)踐中去探尋特有的“問題與主義”，更關(guān)注對(duì)互聯(lián)網(wǎng)金融經(jīng)營(yíng)者處罰的有效性及警示作用。除民事、刑事及行政責(zé)任外，對(duì)違法的互聯(lián)網(wǎng)金融經(jīng)營(yíng)者，監(jiān)管機(jī)關(guān)根據(jù)信息安全事件的影響大小，可進(jìn)行通告，有權(quán)的監(jiān)管機(jī)構(gòu)還可吊銷牌照，采取警告、罰款、信譽(yù)減值等處罰措施。

在信息控制者和信息處理者具體的責(zé)任配置中，首先，信息控制者和信息處理者都需要先看信息處理行為的類型，如加工處理行為、共享行為及其他信息利用活動(dòng)是否違反與金融消費(fèi)者所簽訂的協(xié)議，在糾紛發(fā)生時(shí)應(yīng)對(duì)該協(xié)議做出有利于消費(fèi)者的傾向性解釋，同時(shí)應(yīng)注重分配舉證責(zé)任，避免互聯(lián)網(wǎng)金融消費(fèi)者因舉證責(zé)任過重、舉證不能而放棄司法救濟(jì);其次，應(yīng)明確責(zé)任承擔(dān)的主體，信息處理活動(dòng)主要的責(zé)任承擔(dān)主體是違法加工處理個(gè)人信息的信息處理者，僅信息控制者有權(quán)進(jìn)行的信息活動(dòng)，則由信息控制者、共同信息控制者（聯(lián)合信息控制者）、信息接收方等承擔(dān)責(zé)任;最后，責(zé)任的承擔(dān)方式因信息處理者與信息控制者角色不同而有差異的，大多情況下，信息處理者的侵權(quán)可能承擔(dān)合同責(zé)任，信息控制者侵權(quán)承擔(dān)可能承擔(dān)連帶責(zé)任、最終責(zé)任，若信息處理者超出授權(quán)范圍起到?jīng)Q定信息利用方式等情況，則信息處理者應(yīng)以信息控制者論。在厘清責(zé)任機(jī)制的基礎(chǔ)上，信息主體可就近向信息控制者或信息處理者提出異議及申訴。若進(jìn)一步研究，可嘗試建立信息主體與信息處理者與信息控制者之間高效、便捷的個(gè)人信息糾紛處理制度，構(gòu)建不同于傳統(tǒng)救濟(jì)模式的快捷有效的救濟(jì)模式，建立線上糾紛解決方案，暢通互聯(lián)網(wǎng)金融消費(fèi)者維權(quán)渠道。

四、結(jié)語(yǔ)

互聯(lián)網(wǎng)金融市場(chǎng)的發(fā)展與信息有著天然緊密的聯(lián)系，在互聯(lián)網(wǎng)金融行業(yè)的發(fā)展中也逐步形成了信息控制者與信息處理者的實(shí)質(zhì)分工。本文嘗試在提出互聯(lián)網(wǎng)金融中信息控制者與信息處理者的法律區(qū)分的基礎(chǔ)上，關(guān)注主體資格與義務(wù)責(zé)任，在尊重互聯(lián)網(wǎng)金融消費(fèi)者個(gè)人信息權(quán)與便利互聯(lián)網(wǎng)金融經(jīng)營(yíng)者的基礎(chǔ)上探索建立信息控制者與信息處理者的承責(zé)機(jī)制，旨在為監(jiān)管者提供路徑參考的同時(shí)，為互聯(lián)網(wǎng)金融經(jīng)營(yíng)者內(nèi)部控制提供合規(guī)化的指引。同時(shí)以對(duì)信息安全的事前保障為主，尊重網(wǎng)絡(luò)空間信息流動(dòng)規(guī)律，預(yù)見性地采取各種有效手段，盡可能降低信息安全事件發(fā)生的可能性和風(fēng)險(xiǎn)，最終達(dá)到平衡好互聯(lián)網(wǎng)金融業(yè)中個(gè)人信息的適度利用與有效監(jiān)管、強(qiáng)化信息安全風(fēng)險(xiǎn)的事前防控、尋求個(gè)人信息動(dòng)態(tài)維度上安全的多重法治目標(biāo)。

（特約編輯：潘文娣）

參考文獻(xiàn)：

[1]京東法律研究院.歐盟《一般數(shù)據(jù)保護(hù)條例》GDPR（漢英對(duì)照）[M].北京：法律出版社，2018：174-265.

[2]烏爾里?！へ惪?風(fēng)險(xiǎn)社會(huì)：新的現(xiàn)代性之路[M].張文杰，何博聞譯.江蘇：譯林出版社，2018：16.

[3]何穎.數(shù)據(jù)共享背景下的金融隱私保護(hù)[J].東南大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2017（1）：85-91.

[4]周倩伊，王亞民，王闖.基于互聯(lián)網(wǎng)大數(shù)據(jù)的脫敏分析技術(shù)研究[J].數(shù)據(jù)分析與知識(shí)發(fā)現(xiàn)，2018，2（2）：58-63.

[5]張守文.經(jīng)濟(jì)法理論的重構(gòu)[M].北京：人民出版社，2004：431.

[6]李愛君，蘇桂梅.國(guó)際數(shù)據(jù)保護(hù)規(guī)則要覽[M].北京：法律出版社，2018：41-43.

[7]應(yīng)飛虎.問題及其主義——經(jīng)濟(jì)法學(xué)研究非傳統(tǒng)性之探析[J].法律科學(xué)（西北政法學(xué)院學(xué)報(bào)），2007（2）：86-94.