大数据金融语境下，数据即利益、资源、权利／权力、暴力与控制等。金融数据安全事关金融正义与金融稳定。鉴于此，有必要立于时代对金融数据安全保障进行法律性的解构。

一、金融数据安全保障的逻辑基础

（一）法哲学层面的探索

在目标上，法律具有价值多元性，如自由、平等、安全等，但是人类群居的生活需要关系与秩序，这不仅是因为它决定了资源的分配，还是因为只有在安全与秩序中，人类才可能延续。“首要的问题不是自由，而是建立一个合法的公共秩序。人当然可以有秩序而无自由，但不能有自由无秩序。必须先存在权威，而后才谈得上限制权威。”［１］虽然这种思想并不一定“温情脉脉”，但它说明秩序是法律的基础性价值。为了防止朝令夕改，法律必须稳定，但是其也并非静止不变。人类的历史是由过去、现在与未来所组成的一条线，在幸福生活的追求中，仅靠稳定性并不能为我们提供一套富有生命力的法律制度，法律必须服从于特定时代所提出的进步要求。

科技创新不仅导致人类生产效率的提升，而且也直接引领了法律的发展。大数据、人工智能等是这个时代的技术标签，其在拓展人类自由空间的同时，也必然会对前有的社会关系、利益、团体等产生一种“洗牌效应”，从而打破原有的壁垒、分工与格局。大数据既是机遇，也是挑战。大数据技术正在日益改变信息的生产、加工、传播与组合方式，使凡物皆可数、物物相联成为可能，但是数据的分享、挖掘、公开与分析也正使社会中的每个人都处于一种不设防的透明化或半透明化状态，使我们正日渐不自知地步向一个风险倍增的社会。在社会关系调节中，法律本身就是一种生命性的存在，为了避免自身的崩溃，法律必须对大数据、大数据金融所触发的新型关系在甄别的基础上明确肯定或否认的法律立场，以使大数据金融行进于造福人类福祉的道路上。

（二）风险治理的视角

科技虽然带来文明，但是同时也开启了风险的“潘多拉之盒”。对于风险，学者吉登斯依据风险来源，将现代社会的风险分为外部风险和人造风险两大类。其中，人造风险指“由我们不断发展的知识对这个世界的影响所产生的风险，是指我们没有多少历史经验的情况下所产生的风险”。［２］随着人类认知的发展，在人为自然立法的旗帜下，自然日益成为人类征服与改造的对象。不可否认，与传统金融相比，大数据金融具有许多优越之处，如提高了资金循环的效率、扩大了金融服务的对象等。然而，也必须意识到，无论一项技术是如何卓越与先进，其最终都必须由人来操控，而这使人类不得不时刻直面可能的操作风险。“任何抽象体系，不论它设计得如何尽善尽美，也不会按人们所假设的那样完美地运作，因为操作者会有失误。”［３］

科技化中，人们面前的世界已并非一幅田园牧歌的景象，当新知识与物化的技术被嵌入社会中时，我们的社会就已开始丧失稳定性，因为新知识在改造世界的同时，也改变了和谐的本质，使世界发生了新的转向。大数据金融开启了一个新时代的金融文明，但是它也直接带来了风险、集中、控制与奴役。当货币被数据化时，它更意味着其持有者进一步丧失了对财富的直接占有与控制，意味着财富因技术升级而被社会中的少数精英进一步集中与垄断。

大数据金融统摄下，数据即资产，而不知不觉中，由于对技术的无知或一知半解、技术垄断及操作失误，数据安全整体上更处于一种不安全的状态。人工智能化的大数据金融旨在将人从琐碎的事务中解脱出来，但是技术越发达，人类就越深陷于技术依赖与可能失控的风险。金融科技已成功实现了“１．０”向“２．０”的华丽转型。“金融科技天生拥有创新基础，对行业与经济、民生是有益的，但插上科技翅膀的金融，具有更强、更广和更快的易破坏性，金融服务面临的安全威胁也与日俱增。”［４］大数据金融下，最终是由人控制技术化的金融，还是技术及技术化的金融风险来奴役与肆虐人类，这是一个必须由法律解答的时代问题。

（三）财产形态的数据化

在人们的日常生活中，“财产”似乎是一个司空见惯的常识性概念，但是若穷根究底，它却是难以名状。鉴于财产于人之生存的重要性，在法律恢宏的规范体系中，财产是一个高频词汇，如在《刑法》中，出现１３５次，在《民法典》中，出现２３７次。法律规范是由字词根据一定的文法所形成的命题，字词句的具体含义直接决定了对当事人的生命、财产与自由的保护、限制或剥夺。高频化的“财产”一词表明，在利益分配与责任承担中，它是关键词语。然而，匪夷所思的是，在相关的法律文本中却很难找到对财产的法言法语性的解释。一般而言，财产是指可以看得见摸得着的事物，如金钱、房屋等。大体上，财产可以被划分为动产、不动产与知识成果性财产。在特征上，财产存在于人体之外，能为人所控制，并能被用于满足生活需求。

在我国法律体系中，虽然难以寻觅到对财产的定义，但是对“物”却有明确的界定，如《民法典》第１１５条规定：物包括不动产和动产；法律规定权利作为物权客体的，依照其规定。那么，是否就可以推断财产和物是可以等同的？在释义不明时，这是一个难以妄下结论的问题，但可以确定的是，“物”肯定属于财产的范畴。在民法学界，对于物的形态，原存在有体物与有形物之争，争论的结果是：“随着人类科学技术的发展，有体物不仅包括那些看得出、摸得着的有形物，也包括无法为人们肉眼所看见或无法为人所触摸的无形物。”［５］此外，亦有人认为：“在民法上对于社会物质构成要素采用人与物两分法，换言之，社会物质要么是人，要么是物，不存在人与物之间的过渡存在，否则这个社会物质就不属于社会存在，民法无法对其进行调整。”［６］如果依此理解，则大数据金融中的金融数据属于法律中无形物的范畴。

科技不仅加速了思维模式的改变，而且也改变了财产形态，使财产虚拟化与数据化。大数据时代，凡物皆可数。虽然货币财产的数据化加速了资金融通，提高了价值创造的机会与效率，但是当货币离它原有的形态越来越远、越来越抽象时，它也随之越来越不受财产主体的掌控与支配。对于信用资产的持有者而言，其资产就是计算机系统中的数字符号。毋庸置疑，网络的开放性、技术性、电子性及大数据的挖掘性、预测性、关联性等使金融数据安全更加处于一种不确定性的风险状态。

二、金融数据安全保障应恪守的基本理念

（一）科技伦理性

科技与伦理之间的论战一直没有休止。有人认为，科学是关于“是”的事实性知识，而伦理则属于“应该性”的价值性知识，因而科学与伦理无涉。对此，休谟即认为：“科学是一个抽象直观的知识体系，它使用描述命题，确认在原则上应该证实的事实，而价值则与目的相关，它使用命令命题，表达人的主观意向，提出不能证实的也不应该证实的没有真假的种种原则和规范。”［７］科学的目的在于真理，科学与技术的结合在于自由，但是科技越来越不受人的控制，它反而因其权威性与实用性控制我们，并最终演变为一种迫不得已的奴役与枷锁。同时，科技也并不必然会促使人类道德的升华，诚如卢梭所担忧的那样，如果缺乏有效的约束，科技发展不仅不会促进道德的进步，反倒会加速道德的沦丧。在人类的繁衍生息中，如果文明只局限于物质、技术、艺术等元素，那么这一见解未免过于肤浅。出于对美好生活的追求，伦理性要求必须在人类社会生活中的每一个细节中得以体现。虽然技术能增加财富，但是它并不能确保一种善的生活。“人类现在正无可奈何地致力于寻找避免成为经济动物的方法，或者更准确地说，致力于寻找一个伦理罗盘来引导技术的发展。”［８］

数据安全危机下，网络意味着一种新式的垄断、暴力、霸权与风险。“世界已经离开了暴力与金钱控制的时代，而未来世界政治的魔方将控制在拥有信息强权者的手里，他们会使用手中掌握的网络控制权、信息发布权，利用英语这种强大的文化语言优势，达到暴力和金钱无法征服的目的。”［９］虽然新技术正在一步一步地革新人类的生存方式，但同时也让新旧问题堆积。大数据正使人类面临严重的伦理危机，大数据传输的技术风险，如黑客的出现和对大数据的滥用，造成了资源、技术、技术犯罪、信息安全、保密、病毒、“黑客”等问题，似乎也证实了技术本身的风险逻辑。［１０］虽然我们可以通过技术、严苛的法律等来缓解人心难测的问题，但是“我们不能只依赖技术，还需要给网络注入更多的人文色彩。网络技术迫切要求与网络道德之间形成一种相互作用、相互影响的关系，从而实现技术性与人文性的统一”。［１１］大数据的基础是超级计算，虽然算法并没有价值判断，但是人会给算法植入了自己的价值判断。随着算法能力的日益强大，被赋予的价值越来越多时，社会权力就必然会被进一步收缩，社会资源也必然会随之集中与板结。随着机器依赖的与日俱增，最终究竟是人控制了机器，还是机器控制了人，这是一个现实问题。

大数据金融的优势并非遮蔽其伦理问题的理由，恰恰相反，伦理问题也是对大数据金融先天缺陷的一种反映。大数据金融依赖于网络，而如果使用不当，网络技术就会偏离技术应有的初衷，对个体与社会整体造成伤害。在技术面前，人类并不理性，因为“科技理性眼中只有生产力优势，因而患上了受系统制约的风险失明症”。［１２］为了防止这种风险，在金融安全保障中，就必须确立大数据金融伦理性原则，以守住技术应有的德性。“当计算机互联网络成为人们不可摆脱的一种生活方式，人们就有权利要求它必须具备适应人性、满足人性和关怀人性的品质。”［１３］在大数据技术的孵化下，无论金融创新发展到何种程度，为了让大数据金融链条中的每一个参与者都能对技术无害存在确信，安全诉求都应讲究伦理，而这本身也是知识向善的根本要求。

（二）安全性

对于何为安全，有学者认为：“如果一个国家的公民在实施赋予他们的权利中不受外来的干预，我才称他们是安全的，权利可能涉及他们的人身或他们的财产。因此，安全——如果说这种表述听起来不太过于简单、因而也许是含糊不清的话——就是合法自由的可靠性。”［１４］霍布斯认为：“人民的安全是至高无上的法律。”［１５］大数据金融拓展了金融文明与自由的空间，但是也掺入了令人不安的因素，这主要表现在以下几个方面：

一是金融数据安全风险。共享、开放与平等是大数据存在的基础与大数据时代的核心精神。在信息与知识不对称的情况下，金融的线上性、虚拟性、智能性等使用户的金融数据实时处于一种不设防或难以设防的风险状态。大数据金融下，金融数据具有强大的社会价值，且不限于初次用途，还可以二次或多次利用。虽然针对互联网于隐私权的挑战，人们倡导将告知与许可、匿名化与模糊化作为防御的武器，但是大数据使这些应对之策难以奏效。大数据金融时代，如何确定数据的权属、理性地划定金融隐私权保护的边界及相关当事方的权责利为时代所急。二是货币数字化的溢出风险。虽然数字货币节约了交易成本，为商业化发展再次提供了“催化剂”，但是如果货币发行权失范，则必然会导致货币政策失灵，并进而加速社会秩序紊乱。如果这一风险得不到有效的制阀，则必然会导致公民财富被铸币税“合法”掠夺，从而抑制投资、生产与创新。三是金融数据的分析风险。为了防范失信风险，在业务开展中，金融机构倾向于从事前的角度对风险进行评价，从而确定是否与客户建立关系及建立多大的业务关系等。在前超算时代，这一目标难以低成本地实现，但是金融大数据“过去决定未来”的预测能较好地解决这一短板。大数据下，金融机构可以对客户前期沉淀的破碎化数据进行总体评价，进而进行交易决策。虽然大数据金融可以起到风控的效果，但是交易不能也造成了金融不公，因为“大数据成为了集体选择的工具，迫使我们放弃了自由的意志。大数据的不利影响并不是大数据本身的缺陷，而是我们滥用大数据预测所导致的结果”。［１６］四是法律风险。大数据语境下，侵犯不同法益的违法行为不仅在形式上出现专业性的“进化”，如盗窃或抢夺实物货币变成了在智能终端中篡改数据或进行数据异动，货币形态的改变将促使有权者对伪造／变造货币罪进行适时的解释，而且技术性也必将使违法行为更加具有隐蔽性，从而对矫正性正义提出了新的诉求。虽然面对诸如此类的纷争，可以援引时下的法律条文提供一种法律上的解读，但是由于规范自身的时滞性、零散性、粗放性，其能否提供一种公众认可的正义支持也值得质疑。

（三）平衡性

在法律建构中，每一种法律制度都面临界定权利／权力、明确权利／权力及协调权利／权力的问题。法律是一种中庸的艺术，而这也决定了在权利／权力与义务的分配中，权利／权力与义务都有刻度。“妥协一诚信一和平”是法律的精神所在。大数据金融需要发展，这是当今时代不变的主题，同时金融数据安全也是必须守护的底线。当多元利益都需要被纳入界定的范畴时，为了实现公正，并进而促进金融文明，在法律改良中，必须自始至终地贯彻平衡的理念。

在创新与监管中，安全一直处于难以撼动的主导地位，“金融管制的根本目标是实现金融稳定，金融管制是金融稳定的制度体现”。［１７］金融管制体现的是权力意志，金融创新彰显的是自由意愿。如果单从强力的表象剖析，市场必须听命于政府，服务于安全的高远要求，然而，如果深入政府权力来源的正当性，则不难发现这一观点失之偏颇。在法哲学上，权利才是权力存在的正当性，权力存在的基础即在于保障权利与扩大自由，而不是相反。如果这一判断是正确的，那么我们就不难推导出以下命题：大数据金融应景下，金融数据安全保障也并非一个抑制创新的绝对概念，金融治理本身就是一个安全、自由与效益价值的综合体。辩证而言，不安全中已包含了安全的元素，因为风险、压力与不确定性也是作为安全的激励因素存在。在个体与整体的关系中，无度地强调安全只会导致社会的停滞不前与最终的衰败。变革有益于安全，而拒绝变革则导致不安全与社会的分裂。

客观上，作为手段存在的科技并无善恶之分，但是人之意念与行为却存在善恶之分。鉴于此，大数据及大数据金融必须接受伦理的约束，但这也是一个平衡的表达。在事实层面，面对技术的蓬勃发展，无论我们如何呼吁伦理，人类已不可能回归到那茹毛饮血与刀耕火种的石器时代，人类与技术前行是文明中不变的主旋律。“一切以往的道德归根结底都是当时社会经济状况的产物。”［１８］“科学技术是人类对客观规律的正确反映，是求真的过程，属于实践范畴；伦理是维护人们生活及其行为的准则与规范，是求善的过程，是辩证的范畴。”［１９］

三、金融数据安全保障的义务解析

（一）问题何在：金融数据安全保障义务设定的前提

金融科技“２．０”时代，金融机构实质上扮演的是一个金融数据“搬运工”与准确“记账”的会计角色。金融数据安全不仅事关金融关系的稳定与安全，而且也与其客户的资产安全紧密相关。如果数据安全不能得到应有的保证，那么金融发展也只能是空谈。基于此，与其说风险治理是金融法建构的主线，倒不如说，整个金融法律体系都应围绕金融机构客户的资金安全展开，而这一主题在大数据金融下显得尤其急切。在金融治理中，虽然规范的制订者都致力于从内部治理、流动性等力保金融机构的稳健，但是如果从“金融消费者是金融机构上帝”的角度评价，金融法在本质上是服务于金融消费者的权益，而这一问题与金融数据深度关联。现对与此相关的困境作如下解析：

一是“市场假象问题”。数据并非新词，在“小数据”时代，这一术语已然存在。语词自身的不准确性、多义性可能造成解释或理解的混乱，从而传递虚假、错误或误导的信息。在不同时空中，数据所要表达的思想与观念迥然不同：在小数据时期，数据相对静态，比较封闭化、零碎化与样本化，其应有的价值与功能难以释放；而在大数据时代，数据呈现开放性、相关性与总体性，其应有的潜能与价值可以被深层次挖掘，而与此同时，开放与动态也使数据处于不确定的风险之中。二是权利清单不明确。权利与义务是一个对称性的组合。在法律关系中，只有明确了权利，义务与关系才有存在的意义。大数据下，金融机构对于其辖下的金融数据安全负有保障义务，而这种义务的种类与范围是一个和金融消费者权利紧密关联的问题。虽然《消费者权益保护法》为消费者配备了９种权利，但是并没有解决这些权利的范围及与其他权利相互协调的问题。而且，根据该法第２条的“消费者为生活消费需要购买、使用商品或者接受服务”的概念循环，金融消费者是否属于消费者也充满了变数。三是关键概念不够清晰。语言是存在的家，其凝固的是一个世界。如果语言越来越抽象，我们也就和自己所处的世界与家园越来越远。实际上，语言也是法律的家园，其凝固的是关系、权利／权力、义务与责任。如果作为利益分切器的法律语言抽象、晦涩，那么法律正义也必然无家可归。金融数据安全是大数据金融的“立身安命”之本，在这一目标实现中，如果法律人从一开始就通过具体的条文对数据安全进行建章立制，而直接跳过数据、安全及数据安全等基础概念，那么就必然面临理想与现实严重脱节的矛盾。《网络安全法》、中国银保监会《关于印发监管数据安全管理办法（试行）》与数据保护紧密相关，但是其并没有廓清信息与数据的词义。四是义务主体不明确。在论及义务主体时，必须明确权利及权利主体。大数据引发了一系列新的法律问题，其中最基础的是数据权，但是对于这一术语的认知仍处于一种论战状态。在无语境设定时，汉语中的“权”字存在“权利”与“权力”两种截然不同的解读，而这也导致在认识范式上，数据权表现为权利范式或权力范式。此外，亦有人提出：“从数据权、数据权利到数据产权，数据确权正经历权利范式——权力范式——经济范式的嬗变。”［２０］“数据权基本谱系可分为数据主权和数据权利两大框架。”［２１］除对基本概念缺乏共识外，人们对于数据权的具体内容也是众说纷纭。由于数据权与金融数据权存在逻辑上的上下位关系，上述不确定就必然导致金融数据权的相关问题亦处于模糊状态，进而使在金融数据安全保障中义务主体的不确定。大数据金融下，若不严格地确定义务主体，那么金融数据安全保障就可能是一个似是而非的命题。

（二）关键词明确：金融数据安全保障义务配置的基础

本质上，法律学即语言学。“毋庸置疑，法律是一种语言机制。法律是用语言制定的，那些用来构成法律的概念只能通过语言才能为人们所理解。”［２２］“概念在未明确之前，不应使用它，且在没有相信其真实性之前，不应提出该主张疽［２３］鉴于此，在给金融数据安全提供义务性制度保障时，我们有必要对大数据语境下的数据、安全与义务主体等尽可能有一个系统、合理与客观的认识。

１．数据

大数据时代，数据是信息处置系统的基本单元，但是对于何谓数据，法学界的理解并不相同，“从数据保护的法律史上看，数据的法律保护是舶来品，在欧美国家被称为‘ｐｅｒｓｏｎａｌ　ｄａｔａ’。在我国存在多种称谓，比较典型的是个人信息、个人资料、个人数据。”［２４］数据并非法学词汇，而是一个计算机科学的术语。在数据的法律研究中，对于数据是什么必须遵循“法律的归法律、计算机科学的归计算机科学”的学科原则。“网络语境下的数据，实际上应限于电子数据，即在计算机及网络中流通的二进制数字代码０和１组合而成的比特流。”［２５］特征上，数据是“存储在计算机的各种信息的总和，是计算机加工的原料，是事实的集合，是测量或观察的结果或产生信息的原材料”。［２６］在形式上，数据可以划分为连续值的模拟性数据与离散的数字数据，前者如图像与声音等，后者如文字与符号等。

基于以上，对金融数据该作如何界定呢？对此可作广义与狭义的解释。广义上，其不仅包括金融机构自身的数据，如资产质量、流动性、自有资本、盈亏等，而且还包括为客户提供服务沉淀下的数据。对此类数据可作以下划分：一是依主从性，可划分为基础性与衍生性数据，前者如客户的户名、账号、登录密码、资金余额等，后者如交易指令、交易流水、往来账号信息等；二是依私密性，可以划分为敏感性与一般性数据，前者与金融安全密切相关，应给予强力保护，后者只涉及一般金融隐私，可给予低级别的保护。狭义上的金融数据仅指与金融机构客户相关的数据。鉴于客户是金融机构发展的基础，“狭义说”更加契合金融的本性与金融安全的需求。

２．安全

什么是数据安全？对此，有人认为：“在大数据背景下，客户的信息安全和资金安全渐成重点，信息安全则是金融机构安全保障义务的核心内容。”［２７］虽然这种法内言法的表述无懈可击，但问题是，金融大数据化下，如何保障数据安全？在法律的改良中，如果撇开技术因素而想当然地进行法律设计，那么这就是极大的不安全。这就表明，当“数据”和“安全”组合时，虽然在构词上，数据是作为限定语存在的，但是穷本究源地看，数据安全是一个技术性命题，而法律只是作为确认与保障而存在。

无安全，不数据。对于数据安全，人们发表了一些宏观、中观或微观的见解。宏观上的有：“数据安全是指保证数据的机密性、完整性和可用性。”［２８］“数据安全是指数据在生命周期中对数据的安全防护，它是一种主动的保护措施，主要指数据的保密性、完整性和可用性，一般包括两个方面：数据本身的安全和数据防护的安全，如敏感数据加密存储、传输中的安全通道、安全的加密算法、数据备份、异地容灾、终端数据安全、网络数据安全等。”［２９］中观上的有：“根据互联网的开放互联系统的结构和特点，在互联网安全模型中将安全实施划分到三个不同的安全层次，即基础设施层、服务层和应用层。”［３０］在架构上，大数据涉及数据生命周期与数据平台两个方面。基于此，有研究者认为，大数据安全体系由以下三个层级组成：一是法律、法规及标准层；二是大数据生命周期层，主要涉及数据保护的相关技术，包括数据质量、数据生命周期管理、数据权属和隐私保护；三是大数据平台层，主要涉及身份认证、访问控制、数据加密和审计。［３１］在计算机科学中，数据安全至关紧要，而这一问题所可能存在的伦理风险、法律风险等都应以技术的方式进行事前防范，而不是通过法律维权的方式进行事后的“亡羊补牢”。

３．义务主体

大数据化时代，如何认识数据具有全局性。虽然在研究中，人们对数据权表现出了浓烈兴趣，但是“数据确权问题非常复杂，数据权属构成也存在着较大的分歧。一方面，数据的来源具有多样性，个人、企业和政府对数据权属的认识和关注重点有明显的差异；另一方面，信息技术水平、数控能力、数据分析能力、跨国公司数量等因素都对数据确权有一定的影响”。［３２］在确定数据归属中，人们也用了一些闪烁不定的概念，如数据主体、数据控制者、数据处理者等，但是这些外延宽广的中性词还是没有解决权益归属。数据权利主体不明必然会对义务主体的确定性产生影响，从而直接危及数据安全的目标实现。

数据动态地依存于系统与网络之中，其体现的是一种流程性的循环，这个流程由数据的生成、输入、传送、接受、处理与反馈等多个节点组成。在这每个环节中的数据占有者，既对相关的数据享有权利，同时也对应地负有义务。从这个角度看，每个节点中的涉事者都对数据安全负有对应义务。在大数据金融的生态关系链中，涉及的当事者有智能终端的生产者／销售者、软件设计者／供应者、电信服务商、金融机构、金融监管者、金融行业协会及金融消费者等。在关系梳理上，作为一种金融循环，大数据金融直接涉及金融服务提供者与接受者之间的权利义务关系，但是由于数据的传输、处理等需要智能软硬件与固定或移动网络的支撑，在间接关系上，其还涉及金融机构／金融消费者与智能终端生产者／销售者、软件开发者／销售者、电信商等之间的权利义务关系。另外，由于法定的国家职能机构对于安全起着不可或缺的看护、监督与处置作用，其也是大数据金融链中必不可少的义务主体。

４．义务内容

大数据金融是新技术催生的结果，技术性的数据风险必须以技术的方式来遏制，而法律的作用则在于对这种技术研发、使用与推广等的安全进行确认、引导与保障。由于在数据安全保障上，法律上的义务首先是指向金融服务提供者的，在义务的法律特征上，其应表现为数据的保密性、真实性、完整性与可用性，故当金融服务提供者的金融数据安全保障义务须通过技术要求进行落实时，其就主要体现在以下几个方面：

一是数据传输安全保障义务。金融交易数据的准确、及时与完整传输是大数据金融服务提供的实质所在。金融服务提供的义务主要包括：（１）金融数据的加密。数据安全的另一种表述就是要确保数据不会被泄露或被他人不当窃取。为实现这一点，金融服务提供者应满足对称或非对称加密、数字签名、散列算法、数字证书等技术要求，并配备有专门的技术人员。（２）数据网络安全。网络是大数据金融运行必需的场景。网络安全主要体现于两个方面，即共享与安全。如果缺乏共享，或共享不畅，则大数据金融就陷入“皮之不存，毛将焉附”的僵局。是故，金融数据安全保障是数据共享下金融服务提供者应尽的基本义务，其内容包括网络结构安全、网络访问控制、不当入侵防范及网络设备防护等。二是数据存储的安全保障义务。大数据金融下，数据是金融业的核心资产。虽然在交易中，金融数据处于变动状态，但是这些数据最终都会留痕于金融服务机构系统的终端之中，因而确保金融数据存储的安全举足轻重，其主要体现于以下几点：（１）硬件安全。其包括机房、计算机设备的安全，物理位置选择的合理，防火、防雷、防震、防电磁、防盗、防破坏，电供持续与机房访问控制等。（２）运行系统安全。大数据金融下，每一笔交易都会被记录于系统中，确保计算机系统安然无恙的重要性是不言而喻的，确保运行系统安全包括客户的身份识别、服务器管理安全、系统资源授权访问与核查、网络通信安全及监控与日志管理等。（３）金融数据存储的安全。在总体上，金融数据备份的基本构成要素包括备份目的、备份主体、备份数量、备份策略、备份方式及执行引擎等。在系统架构上，金融数据备份至少应包括备份主服务器、介质服务器及客户端３个部分。数据备份方式一般为ＬＡＮ／ＬＡＮ－Ｆｒｅｅ备份、热备份、冷备份、全量备份或增量备份等。三是数据使用安全保障义务。大数据时代，在超算技术下，数据标签化使数据具有强大的挖掘功能。大数据借助网络爬虫等技术对非结构化信息进行整体性的采集与相关性分析，并最终实现结构化与存储。正因如此，大数据为金融机构提供了全方位了解客户信息的机会，如负债、资产流动性与历史信用等，从而为未来业务的拓展提供了机会。然而，大数据挖掘是一柄“双刃剑”，如果过度挖掘，就可能构成对他人正当权益的侵犯。大数据时代，虽然隐私权保护日显急切，但无论是事前告知或许可还是模糊化或匿名化处理，挖掘技术使这些设想的安全意义荡然无存。“大数据分析挖掘衍生出过去科学和商业所无法想象的崭新模式，但与此同时，也对经济、社会、文化产生深远影响，对隐私权在内的个人基本权利带来巨大冲击。”［３３］金融数据安全关注的不只是某个点，而是一条线，其不仅仅体现于数据传输与存储环节，而且也贯穿于金融数据占有者事后的严格保密与适法使用。

大数据金融是一个系统性的工程，是多方合作的结果。虽然金融服务提供者是数据安全保障最重要的义务主体，但相对金融安全而言，义务也并非金融服务提供者的“独舞”，而必须是这个链条中所有参与者的“共舞”。对于智能终端的生产者／销售者等主体而言，其产品或服务必须符合法定的行业标准。对此，我国《网络安全法》第三章从网络运营者义务、产品与服务等角度对网络运行安全进行了专章规定。在安全保障义务中，金融消费者亦不能置身事外，除享受相关的法定权益外，在互联网、大数据时代，了解基本的网络与大数据知识、风险防范方法是金融消费者应尽的义务，而这也是金融数据安全保障义务的体现。

四、金融数据安全的法律责任保障

（一）面临的挑战

大数据不仅使金融平台、金融方式及金融理念等发生脱胎换骨的改变，而且大数据的特性也使当下法律的基本价值面临严峻挑战。在日益精密的数字技术下，因为可以对破碎、零散的信息进行汇总与归类，人们的行为不再被视为互不相关、偶然性发生的事件，相反，它们是相互依存的网络的一个组成部分，是相互串联的整体故事中的一个片断。客观上，个体行为貌似随意，但是在大数据计算下，人的行为都遵循某种规律，当幂律出现时，规律性的行为就会产生。

大数据带来了改变，为了秩序、稳定与安全等公共利益，在社会治理与责任追究中，预测与惩罚可能并不是因为当事人“做了什么”，而是因为“将要做什么”。虽然这种对个体行为“画像”的做法可以为营造一个高效、安全的社会提供捷径，但是却颠覆了传统的人的自由选择与责任自负的基本观念，撕裂了基本的法律正义观。在法律演进的历史上，“罗马人的法律（ｌｅｘ）这个词来源于选择。选择更多的是突出选择主体的行为及其正当性”。［３４］当大数据被奉行为集体选择的工具时，我们将不可避免地生存于一个没有多少独立选择和自由意志的社会中，正义的实现不是因为你做了什么，而是因为你明天将要做什么。在大数据功利主义治理下，是非将被利害主宰，手段正当性将被目的正当性所证明，法律的因果关系将被相关关系所取代。这些正在发生的转变也必然会以点带面地影响金融数据安全保障义务法律责任机制的走向。严格的法律责任是对金融数据安全义务的强力保障，但是在责任兑付中，面对大数据的相关性、预测性与功利性，法律责任机制该何去何从？

（二）路径选择

在人类知识的探索中，一切命题性的推理，似乎都建立于因果关系之上，这一观点也被法律学所接受，即在法律责任承担上，违法行为与危害后果之间应存在因果关系。为此，“必须证明需要承担责任的人自己以一种伴有过错的方式实施了行为，并由此而造成了他因此要受惩罚或者被强制予以赔偿的那种损害”。［３５］在纷繁复杂的社会中，原因与结果是一条冗长的链条，在明确这一逻辑关系时，也只能从这条长链中截取其中的一小段进行孤立的因与果的考察。“原因与结果这两个概念，只有在应用于个别场合时才有其本身的意义。”［３６］是故，虽然因果关系说给行为人对其违法成本的承担提供了一个自圆其说的方法论，但其是否契合法律实体正义亦是疑点重重，如怀疑论者就认为，因果律依靠的并不是理性，而是经验，法律人的因果问题并非什么科学调查，而是依据常识所作出的法律责任判断。“科学的实际效用依赖于它预知未来的能力，而科学的预知能力得以发挥必然依靠因果关系，但依靠因果关系进行的推理具有概然性。”［３７］

虽然在法律的知识谱系中，因果关系似乎是作为不容置疑的真理存在的，但是作为经验的因与果只是一种习惯性的猜测，其并不必然靠谱。由此就产生一个难题：法律人一边希望借助因果关系通向正义，而在另一边却因为方法的不可靠而疏离于正义。既然因果关系不可靠，那么是否就意味着倒向大数据相关性呢？对此，必须心怀谨慎。法律是一种折中与妥协，当数据科技对金融模式、金融监管与社会治理等提出全新的挑战时，刻板地固守一种非此即彼的思维与法律的品性相背。发展是硬道理，大数据与大数据金融是人类新的文明方式，虽然强调相关性的大数据并非至善至美，但是其干预前置亦和法律所主张的“事前防范胜于事后救济”的思想不谋而合。因果关系论为法律学中探求正义的历史性基本知识，而历史是一种已内化为人们日常习惯与观念的无意识性选择。长远地看，法律是由过去、现在与未来所形成的一条线，与时俱进是法律发展的基本要求。大数据金融时代，为了确保金融数据安全义务的顺利履行，在责任机制的改良上，既要尊重传统，又必须展望未来，因而有必要确立“以因果关系为主、以相关关联为辅”的追责原则。

通过义务的方式确立、维护与实现金融数据安全权无疑是正确的，但是当保障义务没有履行时，如何进行快捷、有效的救助则更紧要。在数据安全保障义务落空时，如何实现权利诉求就是一个程序法问题，但是根据“谁主张，谁举证”的证据规则，当事人的权利就很有可能被虚置。大数据金融下，金融数据存在于系统中，在寻求公力救济时，就可能面临两个问题：一是谁的数据更具有证明力。数据既存在于客户的终端中，同时也存在于金融服务提供者的系统中，在两者之间发生碰撞时，谁的数据更可信需要正当性的解释。二是举证责任配置。打官司即打证据。在举证能力上，无疑金融服务者更具有比较优势，如果仍然坚守原有的举证规则，就背于法律不强人所难的基本原则；反之，如果适用举证责任倒置，则不难发现在大数据时代，传统的“谁主张谁举证”原则就形同虚设而失去存在的实际意义。为了确保诉权配置的公平，举证责任倒置只是作为例外而存在的，如在我国民事诉讼中实行倒置的情形主要有两种，即环境污染等特殊侵权情形与劳动争议情形。大数据金融下，金融数据安全的责任保障该适用何种规则？无疑，传统的“谁主张谁举张”已明显落后于时代的技术需求，“一刀切”地援用举证责任倒置也逆于法律公正的理念，只有适时适度地对举证责任倒置的情形进行扩张才符合发展趋势。

在科技的推动下，无论法律获得如何发展，宗旨上，法律是为了人类真善美的生活而存在，而不是人类为了法律而存在。大数据金融导致了一些基本概念的嬗变，如货币、安全，那么在金融数据安全的刑事责任上，我们就必须对时下的刑法体系、类罪名与个罪名、罪种之间的一致性及罪责刑是否相适等进行时代性的审视与解构。《刑法》第２８５～２８７条规定了一些相关计算机的犯罪，但是在这之中，有许多是值得反思的，如将这些个罪名置于类罪名“扰乱公共秩序罪”的统摄下，是否欠妥？第２８５条的“非法获取计算机系统数据罪”和盗窃罪之间的关联？智能化时代，对计算机该作何种解释？在《刑法》分则中，类罪名的先后排序即是法益重要性的排序。大数据安全事关国家安全与公共安全。那么，金融数据安全相关的罪名应安排在哪个类罪名下呢？这不仅是一个逻辑问题，更是一个法律态度与方向问题。此外，在“破坏金融管理秩序罪”中，我国《刑法》首先设置了关于货币的个罪名，如伪造货币罪、持有、使用假币罪。当货币的形态已在悄然间发生改变时，为了坚守罪名法定，法律也必须对关键概念作出厘定。

五、关于金融数据安全的一个扩大性解释：代结语

在传统意义上，安全是一个主客观性的概念。然而，随着人类生活的繁杂，“安全的传统意义已经发生了重大变化，安全是权利的获得和实现不受侵犯和危害，安全是国家和社会冲突表现的主要领域……安全具有巨大的相互依存性，不能离开世界和文化整体而获得安全，不能离开社会的发展而获得安全”。［３８］这一见解对大数据语境下金融数据安全治理具有很好的借鉴意义。在大数据治理中，数据割据、数据孤岛与数据质量是三大必须深思熟虑的问题。大数据金融之所以使金融循环的模式发生了颠覆性的变化，就在于金融数据体系内与体系外的相互共享与流通。是故，在法律建构中，金融数据安全主要体现于三个层面：宏观上，国家应通过立法解决因地方主义、部门主义等人为因素所造成的数据割裂现象；中观上，金融市场主体应致力于避免因行业竞争、技术、历史遗留等所造成的数据孤岛现象；微观上，金融服务机构应在内部确保金融数据的完整性、真实性、准确性与一致性，从而确保其客户金融资产的安然无恙。

【注释】

＊本文系教育部重大攻关项目“科学构建数据治理体系研究”（项目批准号：２１ＪＺＤ０３６）的研究成果。

＊＊湖南大学法学院教授、博士研究生导师，法学博士。

＊＊＊湖南大学法学院博士研究生。

［１］［美］塞缪尔?Ｐ．亨廷顿：《变化社会中的政治秩序》，王冠华等译，沈宗美校，上海人民出版社２００８年版，第６页。

［２］［英］安东尼·吉登斯：《失控的世界》，周红云译，江西人民出版社２００１年版，第２２页。

［３］［英］安东尼?吉登斯：《现代性的后果》，田禾译，译林出版社２０１１年版，第１３４页。

［４］平安金融安全研究院、北京神州绿盟科技有限公司：《２０１７金融科技安全分析报告》，载《信息安全与通信保密》２０１８年第９期。

［５］王利明、杨立新、王轶、程啸：《民法学》，法律出版社２０１５年版，第１９９页。

［６］杨立新：《网络交易平台提供者民法地位之展开》，载《山东大学学报（哲学社会科学版）》２０１６年第１期。

［７］［英］休谟：《人性论》，关文运译，郑之镶校，商务印书馆１９８０年版，第５０９页。

［８］［美］斯塔夫里阿诺斯：《全球通史：从史前史到２１世纪》，吴象婴等译，北京大学出版社２０１２年版，第１２页。

［９］［美］塞缪尔·亨廷顿、［美］彼得·伯杰主编：《全球化的文化动力：当今世界的文化多样性》，康数贻等译，新华出版社２００４年版，第３页。

［１０］参见李伦、孙保学、李波：《大数据信息价值开发的伦理约束：机制框架与中国聚焦》，载《湖南师范大学社会科学学报》２０１８年第１期。

［１１］楚丽震：《关于网络发展的伦理学思考》，载《天津社会科学》２０００年第５期。

［１２］［德］鸟尔里希·贝克：《风险社会：新的现代性之路》，张文杰、何博闻译，译林出版社２０１８年版，第６３页。

［１３］李兰芳：《论网络时代的伦理问题》，载《自然辩证法研究》２０００年第７期。

［１４］［德］威廉·冯·洪堡：《论国家的作用》，林荣远、冯兴元译，中国社会科学出版社１９９８年版，第１１２页。

［１５］Ｔｈｏｍａｓ　Ｈｏｂｂｅｓ，　ＤｅＣｉｖｅ，　ｅｄ．　Ｓ．　Ｐ．　Ｌａｍｐｒｅｃｈｔ，　Ｎｅｗ　Ｙｏｒｋ　１９４９，　Ｐｔ．　ＩＩ　．　Ｘｉｉｉ，２，转引自［美］博登海默：《法理学：法律哲学与法律方法论》，邓正来译，中国政法大学出版社１９９９年版，第２９３页。

［１６］［英］维克托·迈尔·舍恩伯格、［英］肯尼思·库克耶：《大数据时代》，盛杨燕、周涛译，浙江人民出版社２０１２年版，第２０７页。

［１７］周子衡：《金融管制的确立及其变革》，上海人民出版社２００５年版，第８页。

［１８］《马克思恩格斯选集》（第３卷），中共中央马克思恩格斯列宁斯大林著作编译局译，人民出版社１９７２年版，第１３４页。

［１９］潘建红：《现代科技与伦理互动论》，人民出版社２０１５年版，第３１页。

［２０］文禹衡：《数据确权的范式嬗变、概念选择与归属主体》，载《东北师大学报（哲学社会科学版）》２０１９年第５期。

［２１］肖冬梅、文禹衡：《数据权谱系论纲》，载《湘潭大学学报（哲学社会科学版）》２０１５年第６期。

［２２］［澳］约翰·吉本斯：《法律语言学导论》，程朝阳等译，法律出版社２００７年版，第２页。

［２３］［德］考夫曼：《法律哲学》，刘幸义等译，法律出版社２００４年版，第１０页。

［２４］刘建刚：《数据权的证成》，载《北京政法职业学院学报》２０１６年第４期。

［２５］夏英：《数据的法律属性及其民法定位》，载《中国社会科学》２０１６年第９期。

［２６］温浩宇、任志纯、靳亚静：《数据的概念及其质量要素》，载《情报科学》２００１年第７期。

［２７］辜明安、王彦：《大数据时代金融机构的安全保障义务与金融数据的资源配置》，载《社会科学研究》２０１６年第３期。

［２８］陆顾新等编著：《银行数据治理》，机械工业出版社２０２０年版，第１４１页。

［２９］丁丽媛：《基于数据生命周期的金融数据安全管理研究》，载《信息安全研究》２０１８年第６期。

［３０］谢晓燕：《互联网安全技术标准体系研究》，载《现代电子技术》２００９年第７期。

［３１］参见陈兴蜀、杨博、罗永刚：《大数据安全保护技术》，载《工程科学与技术》２０１７年第５期。

［３２］姜疆：《数据的权属结构与确权》，载《新经济导刊》２０１８年第７期。

［３３］胡水晶：《大数据挖掘的隐私风险及应对策略》，载《科技管理研究》２０１５年第９期。

［３４］张乃根：《西方法哲学史纲》，中国政法大学出版社１９９７年版，第７４页。

［３５］［美］Ｈ．Ｌ．Ａ．哈特、［美］托尼?奥诺尔：《法律中的因果关系》，张绍谦、孙战国译，中国政法大学出版社２００５年版，第１１页。

［３６］《马克思恩格斯全集》（第２０卷），中共中央马克思恩格斯列宁斯大林著作编译局译，人民出版社１９７１年版，第２５页。

［３７］赵楠楠：《因果关系与概率的最初联姻——论休谟的概然性思想》，载《自然辩证法通讯》２０１５年第４期。

［３８］王鹰：《论安全的概念》，载《湖北警官学院学报》２００３年第１期。