论金融机构在数据挖掘中的个人信息保护义务

摘要:金融机构利用数据挖掘获取具有经济价值的信息，会产生消费者收益被剥夺、个人隐私权被侵犯、消费者个人信息泄露等个人信息安全隐患，导致数据流通秩序的破坏。金融消费者的信息保护是数据利用的基础，而数据利用与流转是数据经济乃至金融机构的“血液”，两者均不可偏废。保护义务的构建，需要完善数据交易市场的数据相关权属，共享数据挖掘成果;健全数据挖掘个人信息保护相关法律法规，以是否“加密并无法还原”为标准，设置不同的数据处理规则，最终达到个人数据保护与数据利用流转之间的平衡。

2020年10月21日，中国人民银行相关分支机构对部分银行侵害消费者金融信息安全行为立案调查，并依照有关法律规定分别对有关金融机构及相关责任人予以警告并处以罚款。[1]这一事件体现了监管机构对于金融消费者个人信息保护的重视，对金融机构有着巨大的警示作用。随着互联网技术在金融活动中普遍运用，个人金融消费者更加便利地参与到了金融活动当中。而在消费者参与金融活动的过程中，金融机构收集、存储、处理、分析个人数据成为必然，其中最具经济价值的数据是经过数据挖掘后得到的新数据。新数据与个人信息保护具有极大的联系，金融机构作为利用该数据的主体对于数据挖掘过程中的个人信息保护具有重要作用，必须在法律上对其课以强制性的保护义务。本文将分析个人信息在数据挖掘中可能遭受到的风险和该风险难以解决的根源以及如何构建金融机构数据挖掘中个人信息保护义务的途径。

一、金融机构在数据挖掘中的信息保护隐患

数据挖掘对于金融机构的作用不言而喻Ⓒ，金融机构之所以能够在金融活动中占据核心地位，不仅因其取得了相应的牌照，被监管机构赋予了从事金融活动的资格，更重要的是金融机构汇集了金融市场的大量数据，包括金融消费者的数据，使其在信息不对称的市场中占据优势地位，能够有效地对资金进行投资分配。

金融机构通过金融消费者个人数据来获取对于其具有经济价值的信息，消费者在首次接受金融机构的服务时，会提供例如个人身份信息、住址、电话等基础个人信息，这些信息旨在保护金融消费者权益，用于后续的身份确认。[2]消费者在进行金融活动中，就会产生更多例如投资、借贷等个人金融活动信息，这些信息一般会被金融机构通过数据挖掘技术进行分析预测，达到风险控制(贷款偿还预测和信用评价)、业务关联分析、客户市场划分、客户价值分析、新客户开发与产品推广等目的，从而提升机构业绩。经过数据挖掘后所产生的数据经济价值得到极大地提升，为金融机构的商业营销提供参考，甚至可以通过对金融大数据的观察与预测来预防贪污、洗钱等金融犯罪。而目前在我国金融机构混业经营的现象愈发普遍的情形下，数据之间的融合与深度分析能够提供更加有效的金融服务。但与此同时，金融机构的数据挖掘也产生了许多个人信息保护隐患。

(一)新数据权益归属不明导致消费者应当享有的收益被剥夺

数据能带来价值，是一种资产，明晰产权是建立数据流通规则和秩序的前提条件。[3]对于消费者而言，明确数据挖掘后的收益归属，消费者的数据权益才能够得到法律保障，消费者才能真正参与到数据流通领域中，享受数据流通所带来的利益;对于金融机构而言，遵守数据收益分配规则，才能够尊重消费者个人信息权利，最大程度上规避法律风险，保障金融领域数据安全。从目前来说，无论在学术界还是立法层面对于数据能否成为一项权利客体尚有争论，但对于数据能够产生收益是没有争议的。Ⓒ数据挖掘后产生的收益分配规则不明，导致金融机构独占新数据所产生的经济利益，消费者作为数据挖掘的基础数据提供者，并没有享受到实在的利益。权益归属需要相关立法予以明确，只有金融消费者的信息权利得以保障，金融机构的保护义务才能与之对应。

(二)数据挖掘本身可能侵犯消费者个人隐私权

美国政府运用数据挖掘技术分析数据，以达到执法和反恐的目的。美国通信工业协会(Tele-communicationsIndustryAssociation)的数据挖掘项目涉及所谓的“交易空间”(transactionspace)。通过分析包括金融、教育、旅行、医疗、入境、交通住房等的交易信息，寻找交易之间的联系和“事件”(包括逮捕或可疑活动)。但学者认为政府数据挖掘对隐私、结社自由和言论自由等公民基本自由构成严重威胁，揭示了个人财物、健康、心理等生活方式。[4]

金融机构对个人数据的挖掘同样会涉及到以上问题，尤其是隐私权方面。隐私权内容主要包括维护个人的私生活安宁、个人私密不被公开、个人私生活自主决定等。[5]金融机构对个人数据的挖掘包括消费者整体数据挖掘与具体个人数据挖掘。金融机构对消费者整体数据进行挖掘，主要得出宏观数据，比如经济运行情况、群体投资偏好等，不涉及个人数据;而对具体个人的数据挖掘，可以挖掘出与消费者息息相关的情况，如个人投资偏好、个人收入情况等。但是如果挖掘出的信息涉及个人私密信息甚至是敏感信息时，就有可能涉及到侵犯个人隐私权的问题。比如保险公司如果有权收集客户的银行账户交易信息时，客户的银行账户交易信息显示其在一定时间内多次与医院进行转账交易，则保险公司有可能怀疑其有重大疾病。虽然重大疾病告知是保险法下的重要规则，但是客户主动告知与保险公司通过数据挖掘得知在隐私保护制度下却是重大的区别，后者有侵犯消费者个人隐私权的可能。随着数据挖掘技术的不断进步，数据之间关联性增强明显引发了消费者个人隐私权被侵害的风险，并且网络会生成在线行为的全面记录，互联网技术能够以一种无法预料的方式传播个人秘密，这加剧了个人隐私权被侵犯的可能[6]。

(三)数据挖掘易造成个人信息泄露———数据流通秩序的破坏

个人信息泄露与侵犯个人隐私权不同，侵犯个人隐私权指的是破坏个人私生活安宁、个人不愿意向他人公开的信息被公开，着重于个人的主观意愿，效果是个人的人格利益被侵犯;而个人信息泄露除了人格利益被侵犯外，还有财产方面的利益。[5]随着数据广泛地被应用于各行各业，个人信息的财产价值逐渐凸显，与财产价值相伴而生的是数据流通秩序甚至是数据市场的形成。数据的流通大致呈现“数据主体—数据收集者—数据处理者”的过程。一般来说，在正常的数据流转过程中，数据收集者与数据处理者均通过支付对价来获取数据，从而形成一个良性的市场。

但数据挖掘过程容易造成信息泄露，金融机构尤甚。原因在于数据挖掘过程涉及从数据库中数据提取、数据预处理、知识提取、知识评估等多个过程[7]，在这一过程中可能会有多个主体处理数据，数据经手的次数越多，数据暴露也愈发可能，因此在数据中显示的个人信息的泄露风险就会提升。在金融机构当中，个人信息泄露的原因如下:首先，金融控股公司的出现促进了金融消费者信息之间的共享与流动。Ⓒ银行子公司获取到的大量消费者信息，与证券子公司、资产管理子公司和保险子公司共享，能够提高营销的效率，深度开发客户资源，实现一站式金融超市。[8]但数据流动性的增强提高了金融控股公司进行个人数据保护的难度，需要进行必要的规范。其次，传统的金融机构保护理念不适用于当前大数据下的数字金融。金融机构对于消费者资料的保密义务存在已久，但是其强调对于客户资料静态的隐私保护。但在大数据时代，消费者资料以数据动态的方式呈现，更加强调数据安全，需要用新的思维来保护消费者个人数据。

如果个人信息遭到泄露，不仅仅是消费者个人的信息权利遭到破坏，正常的数据流转市场也会受到影响。近些年来，银行泄露个人信息事件屡见不鲜，加大了公众对于其数据在金融机构存储安全的疑虑，加剧了数据市场交易主体之间的不信任，不利于数据市场的发展。数据挖掘过程中的风险引发了金融机构在数据挖掘过程中对于个人信息保护义务的思考，如果能够构建一个完整的金融机构信息保护义务框架，上述问题都可以得到合理的解决。

二、问题之根源———消费者信息权益保护与挖掘数据经济价值的冲突

金融机构数据挖掘导致的个人信息保护隐患，是在信息本就是金融机构赖以运转的重要资源的前提下，数据逐渐成为一项关键的信息来源而显现的。数据挖掘成为了金融机构获得更大收益的一种手段，数据的经济价值在金融机构中愈发凸显。与此同时，无论是消费者的个人信息保护意识还是世界各国对于个人信息保护的立法政策，都越来越强调在个人信息保护的基础上促进数据的流通与利用，因此这两个价值之间产生了冲突。

(一)金融消费者信息保护是数据利用的基础

学术界尽管基于数据能否成立一项法律上的权利目前尚有争议Ⓒ，在《民法典》与《个人信息保护法(草案)》中对于是否承认信息权利也作了模糊的表述，但是数据主体与数据处理者基于数据应当享有相关利益目前已形成了共识。对于个人信息权利的内涵与范围，学者们有不同的见解。邢会强主张将个人数据划分为基本个人信息、伴生个人信息、预测个人信息以及匿名信息，并根据人格属性以及个人与信息企业在这三种不同信息上投入劳动的多少，认为个人享有基本个人信息、伴生个人信息与预测个人信息的人格权。至于财产权及份额分配部分，他认为个人独享基本个人信息的财产权与份额，信息企业独享匿名信息的财产权与份额，而个人与信息企业共享伴生个人信息与预测个人信息的财产权;[9]龙卫球将个人数据权利进行两阶段建构，主张用户基于初始数据的人格权和财产权，而数据经营者基于数据享有经营权和资产权;[10]程啸、丁道勤等将个人数据划分为初始数据与增值数据，主张用户绝对享有初始数据所有权，而数据处理者享有增值数据所有权。[11][12]学者均根据个人数据与个人关系远近而将个人数据划分为不同的种类，根据不同种类数据的性质进行权益划分。虽然表述为“某种权利”，但实质上仍然是某种利益。个人享有更多在与个人关系密切数据之上的权益，而信息处理者则享有更多经处理数据之上的权益，这些见解能够为将来数据收益的分配提供参考。从学者们的表述来看，对于个人基于数据收益的保护，首先是要完善个人信息保护制度。

不仅如此，从我国与世界各个国家地区的立法趋势来看，强调个人信息保护也是大势所趋。欧盟的《通用数据保护条例》(以下简称GDPR)与我国刚刚公布的《个人信息保护法(草案)》中，规定了个人信息保护的基本原则与一般原则。这些原则均以保护个人的数据权利为基础，在此基础上实现信息保护与信息流通之间的平衡。在基本原则方面，欧盟的GDPR第1条“主要事项与目标”第2款就明确规定“本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据保护的权利”，在此基础上才强调对于数据的利用;而我国刚刚公布的《个人信息保护法(草案)》第1条也规定了“为保护个人信息权益”的立法目的。世界各国与地区的数据保护法规，均以个人信息权益保护为优先考量的法益。

我国数据保护起步较晚，但近些年来发展迅速，法律法规体系逐渐形成。《民法典》第111条规定了个人信息受法律保护的基本准则，并在第1034条至第1039条规定了个人信息保护的一般规定，为个人信息保护奠定了法源基础;在法律层面个人信息保护的相关条文还散见在《网络安全法》《消费者权益保护法》《电子商务法》等法律当中，而个人信息保护专法《个人信息保护法(草案)》亦在征求公众意见当中;行政法规、地方性法规、部门规章层面的法规更是数不胜数。金融领域的信息保护立法则散见于部门规整和国家标准层面，2015年11月，国务院办公厅印发《关于加强金融消费者权益保护工作的指导意见》，拉开了金融机构保护金融消费者信息安全权的序幕。[13]之后《中国人民银行金融消费者权益保护实施办法》以专章的形式规定了个人金融信息保护制度框架，《个人金融信息(数据)保护试行办法(初稿)》也正在征求意见当中，随着《个人信息保护法》和《数据安全法》等上位法规完成后，金融领域信息保护法规会更加完善。

从金融机构与消费者的关系来看，个人信息保护也是十分必要的。金融机构与消费者基于金融业务上的关系主要是合同关系，双方签订一定的合同来完成多样的金融业务，金融机构提供金融相关服务，而消费者接受金融服务并支付对价。而双方之于个人数据上的法律关系，主要有以下观点:一种是所有权转移关系，即消费者的人格数据所有权完全移转给金融机构;二是保管关系，个人数据作为附属品交由金融机构保管;三是“准委托代理关系”，即个人将部分信息权能委托给金融机构行使。[14]在这三种学说中，笔者认为“准委托代理关系”能够更好地描述与规制个人数据上的法律关系。在个人数据交给金融机构之前，个人享有完整的信息权能，金融机构因金融服务关系而获得了部分信息权能，比如收集、分析、处理等权能，但是无论金融机构获得了怎样的权能，个人数据的人格属性没有转移，个人仍享有最完整的数据权利。在“委托代理关系”中，受托人的权利由委托人授予，因此受托人必须考虑委托人的利益行事，金融机构也必须考虑金融消费者的利益，保护消费者的个人数据。

由此可见，个人信息保护从学理上与制度实践上已逐渐形成并完善，这是金融机构在数据挖掘中无法回避的问题，但数据挖掘服务于金融机构的本质实际上是金融科技的运用，金融科技必须以数据为依托，挖掘数据的经济价值。只有数据的经济价值得到体现，金融科技才能够发展。为此，个人数据保护法必须支持并促进数据的利用与流转。

(二)数据利用与流转是数据经济乃至金融机构的“血液”

大数据时代，根据学者的共识，数据的主要特点是“3V”，即“容量大”(volume)、“多样性”(va-riety)和“速度快”(velocity)，不同来源的数据在云存储和云计算技术的支持下达到了数据的融合从而构成了大数据。[17]与过去静态的资料不同，大数据时代数据的内容处于不断变化之中，这种变化比数据本身的数量更重要。数据的变化有两个方面，一个是数据本身能够通过算法技术产生新的数据，主要是本文所谈论的数据挖掘，即数据利用;二是数据的流通，即数据流转。金融机构从事的金融业务依赖于信息的变动，对于信息的灵敏度很高，在当今以数据为信息主要表现形式的社会更是如此。数据挖掘能够强化金融机构获取信息的能力，通过数据挖掘，抓取并分析出只通过数据表面无法得到的信息，能够更好地服务于消费者，服务于国家金融事业。

如果制定的个人信息保护法规过严，对于数据的利用设置过多的束缚，就会限制数字经济与金融行业的发展。在2020年11月10日举行的数据保护官(DPO)草案专题研讨会上，许多业内人士建议《个人信息保护法(草案)》中将企业的“正当利益”也纳入处理个人信息的“同意”之外的合法性基础。[15]目的就是为了能够扩大草案第13条处理个人信息“同意”之外的事由，在保护个人信息的基础上促进数据的利用与流转。由此可见，如果法律实施过严，企业在处理业务时势必会有所顾虑。对于金融机构而言，由于我国对于金融的强监管模式，合规成为了金融机构在处理业务时的首要考虑因素，因此如果个人信息保护法规设置过严，不利于当今金融行业与数字经济的融合发展。

(三)两种价值取向之间的平衡

笔者认为，两种价值取向均不可偏废。虽然当前的个人信息保护法规侧重于对个人信息的保护，但与此同时也促进与规范了个人信息数据的利用。个人信息保护法规除了保护个人私权之外，还需符合相关业界期待，尤其是我国互联网经济的飞速发展对于数据利用的需求。金融机构当然希望能够与金融消费者于数据之上达成良性互动，在数据挖掘方面做到两全其美。

以欧盟颁布《通用数据保护条例》(GDPR)为例，根据调查，该条例颁布后有86%的企业表示担忧。对于这一项史上最严个人数据保护法来说，大多数企业的合规与业务发展均难以做到平衡。因此，我国在制定《个人信息保护法》时应当注意到该法案对于互联网包括科技金融的影响。

三、保护义务的构建

构建金融机构在数据挖掘中的保护义务需要协调前文所提出的问题———实现个人信息保护同数据利用与流转之间的平衡。由于数据交易市场是未来数据流转的重要通道，因此要从数据交易市场的思维角度出发去构建金融机构的保护义务。

(一)完善数据交易市场的数据相关权属，共享数据挖掘成果

权利义务往往是相互对应的，主体享有权利的同时也需承担义务。尽管对于数据权利当前学术界尚有争议，但是与数据相关的权利构建是有必要的。构建金融机构保护义务的前提是明确数据主体即金融消费者享有的权利，尤其是对于新数据享有的权利。数据挖掘后所产生的新数据可以称之为“增值数据”，而金融消费者对于这些增值数据是否享有权利需要根据这些数据的个人属性来确定。可以将这些数据划分为“宏观数据”与“微观数据”，宏观数据指的是对个人数据经过挖掘后而产生的反映某个群体整体状况的无法识别个人的数据，这些数据对于个人利益关系不大，因此可以将这些数据完整的权能归于金融机构，使得金融机构得以依法使用;而“微观数据”则是根据金融消费者个人数据分析得出了与其个人有关的数据，包括个人情况、行为偏好等，由于这些数据仍具有个人属性，可以从中识别出相关主体，因此消费者对这些数据仍享有权利，至少是人格利益上的权利，只有部分权能转让给了金融机构，金融机构依然需要负担义务来保障消费者的相关人格利益。如果消费者由于对新数据的产生亦有贡献，也应当享受一部分基于新数据所产生的收益。

数据挖掘的目的，不仅在于金融机构分析消费者投资偏好、还贷能力，其对于整体市场的预测也是有价值的。因此，数据挖掘应当不仅服务于金融机构本身，还应当服务于消费者。对于数据挖掘后得出的、不涉及国家秘密、公共利益或法律法规规定的不得公开的信息外，均应及时通过各种方式与消费者共享，使得数据挖掘能够服务于社会，这也是数据流通与共享的一种形式。

(二)构建数据挖掘信息保护法律法规

我国目前正在加快个人信息保护方面的立法工作，《个人信息保护法(草案)》第五章专门规定了个人信息处理者的义务。而《个人信息保护法》是适用于全领域个人信息保护的法律，不能过于详细与技术化。对于金融领域数据挖掘上的数据保护，由于其正需要在技术上进行详细规定，应当以更低层级的行政法规、部门规章予以规制。而对于体系的建设来说，域外经验有欧盟和美国两种模式为代表。

1.域外立法例

欧盟以及其成员国在个人信息保护立法上采取统一立法的保护模式。以1970年德国黑森州制定的《黑森州数据法》为开端，欧洲各国纷纷制定专门的个人信息保护法律，这为欧洲数据保护奠定了基础。到了1995年欧盟通过的《个人数据保护指令》则是首部区域整体性的个人数据保护法规[16]，但对成员国不具有强制性;直到2016年颁布的GDPR则对所有欧盟成员国具有约束力，并对数据保护进行了全方位规定，适用于所有领域。对具体的数据挖掘以及处理者的义务，则在条例第4条定义了“用户画像”，并在第四章规定了“控制者与处理者”的义务，以“一般性义务”为统领，同时划分为“个人数据安全”“数据保护影响评估与提前咨询”“数据保护官”“行为准则与认证”四个部分，将数据控制者与处理者的义务从制度设计到行为模式都进行了详实规定，其中的具体操作规范，如对可能危害个人利益的高风险活动进行事前评估、主体内部设置数据保护官等是我国可借鉴的。

而美国由于有着完整的隐私权保护体系，具有“大隐私”的观念，因此将信息保护纳入隐私保护范围内，其隐私权含义也从消极的他人私生活安宁的概念演变为信息隐私权[17];并且由于其具有“自由市场+行业强监管”的基础，因此美国采取行业的分散立法模式。在金融领域主要有1978年《金融隐私权法案》(RighttoFinancialPrivacyActof1978)、《金融服务法现代化法案》(Gramm-Leach-BlileyAct，GLBA)、《金融消费者保护法》(ConsumerFinancialProtection)等。其中1999年的《金融服务法现代化法案》第五章专门设置了金融机构的隐私保护政策，进一步要求金融机构对其如何收集、分享、保护金融消费者个人信息进行详细的解释。

2.中国化制度构建———构建以“个人信息保护法”为核心的保护义务体系

我国应当将欧盟与美国的两种立法模式结合起来。原因在于，欧盟的统一立法模式将个人信息保护法规纳入一部法律当中，如果我国也采用此模式，不仅未来的《个人信息保护法》会过于冗长，并且由于其属于法律，修订必须经过全国人大及其常委会的通过，立法程序的繁杂无法适应当前各行业瞬息万变的发展。而美国采取行业分散立法模式是因为其具有“自由市场+行业强监管”的历史传统。我国则应当采取统一立法与部门行业分别立法相结合的方式，构建以“个人信息保护法”为核心的保护义务体系。原因在于我国的《个人信息保护法(草案)》(以下简称“草案”)目前一共有69条，是一部统领个人信息保护领域的法律，不可能将各行各业特殊情形均纳入其中;并且草案第56条将各个部门领域下的个人信息保护工作交由国务院各部门监督管理，表明具体行业的规范制定工作要由行政法规或部门规章来完成。

在金融领域需要由“一委一行二会”来实施个人信息保护监管，制定相关法规。目前来说关于金融领域的个人信息保护法规散见于《商业银行法》《证券法》《征信业管理条例》《金融消费者权益保护实施办法》等法律法规中，总体上零散而笼统，对于一些重要概念没有统一的定义。例如《金融消费者权益保护实施办法》第8条规定要建立“个人金融信息保护机制”，但缺乏具体措施;并且现有立法仅规定了金融机构的一般利用[18]，对于数据的再次利用比如数据挖掘则没有涉及。

因此，应当以“宏观—微观”两个层次来进行立法设计。在宏观上，我国现已出台的《民法典》以及正在制定中的《个人信息保护法》为个人信息保护提供了基础性保护;微观上，金融领域应当制定一部比较详实的《金融业个人信息保护条例》，参照欧盟GDPR的立法技术进行全方位的规范，并且以专章的形式来规定“数据挖掘”环节的保护问题与数据控制者处理者的法律义务，而具体的信息保护技术规范可以由强制性的国家标准来制定，这也是金融机构从事数据挖掘活动应当遵守的义务依据。

(三)以是否“加密并无法还原”为标准，设置不同的数据处理规则

就金融机构而言，其义务就是在内部加强数据流转管理，尤其是数据挖掘的全周期管理。为了达到个人信息保护与挖掘数据经济价值两者的平衡，可以根据数据挖掘过程的个人信息是否达到“加密并无法还原”为标准，即个人数据经过加密、脱敏等处理后是否能够还原的标准。若数据未达到此标准，则适用个人信息保护规则，侧重于对个人信息的保护;若达到该标准，则适用数据利用与流转规则，可以对数据的经济价值加以利用。

根据前文所述，数据挖掘的周期包括“数据提取、数据预处理、知识提取、知识评估”等过程。在“数据提取”与“数据预处理”阶段，应当遵循个人信息保护原则，而在后两个阶段如果数据已经达到“加密并无法还原”的标准，则适用数据利用与流转规则，并且及时向消费者说明数据挖掘的使用情况与个人信息保密情况。

在具体实施上，首先金融机构要制定严密的规章制度，由独立部门负责消费者个人数据的管理与技术支持;并且要设置严密的数据对内与对外流动管理，在数据挖掘的每一个节点设置专人把关，将数据风险评估纳入机构内部流程中。而金融机构也应当定期对其内部规章以及管理制度进行修订，确保符合法律法规的要求。

四、结论

数据挖掘是大数据时代数据库技术与算法相结合的产物，它有利于金融机构与现代科技相结合，充分挖掘金融数据的经济价值，提升金融服务品质与效率。但与此同时，人们的数据权利意识与个人数据安全意识在不断提高。因此，数据权利保护与数据的经济利用之间的关系问题成为了当今数据法研究的核心问题，而当前的主流学说主张在基于个人信息保护的基础上，促进数据的流转与利用，挖掘数据的经济价值。处于金融数据利用核心地位的金融机构负担了重要的义务。随着未来金融与科技不断融合，数据挖掘势必将在金融数据利用中承担更加重要的作用，这就需要金融机构不断改进数据挖掘技术，并提高数据挖掘中的信息保护能力，使得数字经济与金融行业不断融合，相互促进。

参考文献:

[1]中国人民银行官网[EB/OL](2020-10-21)[2020-11-6].http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/4113407/index.html.

[2]张继红.论我国金融消费者信息权保护的立法[J].法学论坛，2016(06):92-102.

[3]丁道勤.基础数据与增值数据的二元划分[J].财经法学，2017(02):5-11.

[4]TienLee.Privacy，TechnologyandDataMining[J].OhioNorthernUniversityLawReview，2004(03):389-416.

[5]王利明.论个人信息权的法律保护———以个人信息权与隐私权的界分为中心[J].现代法学，2013(04):62-72.

[6]PaulM.Schwartz.InternetPrivacyandtheState[J].ConnecticutLawReview，2000(03):815-820.

[7]钟晓，马少平，张钹，等.数据挖掘综述[J].模式识别与人工智能，2001(01):48-55.

[8]何渊.数据法学[M].北京:北京大学出版社，2020:216.

[9]邢会强.大数据交易背景下个人信息财产权的分配与实现机制[J].法学评论，2019(06):98-110.

[10]龙卫球.数据新型财产权构建及其体系研究[J].政法论坛，2017(04):63-77.

[11]程啸.论大数据时代的个人数据权利[J].中国社会科学，2018(03):102-122.

[12]丁道勤.基础数据与增值数据的二元划分[J].财经法学，2017(02):5-10.

[13]何颖.数据共享背景下的金融隐私保护[J].东南大学学报(哲学社会科学版)，2017(01):85-91.

[14]侯东德，苏成慧.证券投资者个人信息的法律保护[J].法学杂志，2018(09):86-97.

[15]公众号“网安寻路人”.第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二[Z].(2020-11-15).

[16]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学，2015(03):39-59.

[17]叶名怡.论个人信息权的基本范畴[J].清华法学，2018(05):143-158.

[18]张继红.大数据时代金融信息的法律保护[M].北京:法律出版社，2019:39.