1、NorthernFinanceJournal北方金融数 字 人 民 币(Digital Currency ElectronicPayment,简称 DC/EP)是由中国人民银行开发的法定数字货币,目前已在全国 17 个省份开展了试点工作,未来将会得到全面推广。伴随着数字科技的发展,个人信息的泄露和非法使用问题突出,数字人民币运营中是否能够有效保障用户的个人信息,已成为用户关切的核心问题,甚至用户对于个人信息保护的要求高于数字人民币所能带来的便利。而在市场经济供需平衡的体系下,想要顺利推行数字人民币,必须使其获得良好的市场认可度。如果数据隐私得不到保护,数字人民币就难以获得市场认可,也难以被广泛
2、使用。因此,有必要对数字人民币运营中的个人信息保护问题进行研究,助力数字人民币运营制度的完善,从而为在全国范围乃至全世界范围内更好地推广数字人民币奠定基础。一、数字人民币的运营架构与信息处理过程(一)数字人民币的运营机构及职能中国人民银行针对数字人民币的设计,采取“一币、两库、三中心”的基本架构。“一币”是指人民币是唯一的法定货币,数字人民币只是人民币的数字形式。“两库”是指央行掌握的数字人民币发行库和商业银行掌握的数字人民币银行库,延续我国现有的“央行商业银行”货币发行流通模式。“三中心”是数字人民币的登记中心、认证中心和大数据分析中心。登记中心负责数字人民币在运营中的权属登记,储存用户的交
3、易流水信息;认证中心负责用户身份信息的存档和验证,对用户身份信息进行集中管理;大数据分析中心则是通过统计、分析前两个中心收集的信息,为打击违法犯罪活动和调控货币政策提供支持。由此可见,在数字人民币运营过程中,中国人民银行是用户个人信息最大的收集者、处理者和储存者。此外,中国人民银行并不直接对接用户,而是指定以商业银行为代表的金融机构,以及联通、移动、腾讯等支付结算机构作为数字人民币钱包的运营机构,负责用户的数字人民币兑换和交易等需求,通过收集个人信息,与中国人民银行认证中心进行信息核验,并将信息最终传输到登记中心,从而完成一次数字人民币的交易流转。(二)数字人民币的运营阶段及信息流转数字人民币
4、运营流程可大致分为五个阶段。第一阶段,用户通过指定运营机构开通数字人民币钱包。根据用户身份的可识别强度,数字人民币钱包共划分为四个等级。前三级(类)钱包均为实名制,且单笔限额与实名程度呈正相关关系,数字人民币运营中的个人信息保护问题白剑宇(中国政法大学法学院 北京 海淀 100088)内容摘要:数字人民币在我国快速发展,目前已经在多个省市开展了试点工作,而个人信息保护是决定其能否最终实现推广的关键因素。当前数字人民币运营中存在过度收集用户个人信息、用户同意缺乏多层级选择权、货币权力和信息权利产生新张力的问题。笔者以比例原则为基础,从适当性、必要性、均衡性三个方面分别论述。最后,建议厘清数字人民
5、币个人信息保护的职责分工、区分敏感度对个人信息分类管理、完善个人信息可控匿名的法律规范。关键词:数字人民币;个人信息保护;可控匿名性;比例原则中图分类号:F822.2文献标识码:B文章编号:2095-8501(2023)04-0073-05行业/金融法制2023.04金融法制/行业2023.04073DOI:10.16459/ki.15-1370/f.2023.04.018NorthernFinanceJournal北方金融实名程度越高,钱包等级越高,单笔限额也就越高。而第四级(类)钱包为匿名制,仅需要验证手机号码即可开通,但钱包权限是最低级别的,单笔限额 2000 元,年累计限额 5 万元。
6、整个钱包等级的划分严格按照“小额匿名,大额可溯”的思路所设计,具体见表 1。第二阶段,指定运营机构将用户在开通钱包时提交的个人信息传输到中国人民银行登记中心,形成初始登记信息。第三阶段,用户在特定场景下使用数字人民币钱包,指定运营机构需要对用户身份进行核验,在读取用户个人信息后,更新加密字符串进而完成支付,并将交易信息传输到登记中心。第四阶段,用户根据现实使用需求,选择升级数字人民币钱包。因为等级越高的钱包需要的个人信息越多,故用户需要补充提交个人信息,指定运营机构在收集到相关信息后将用户信息传输到登记中心。第五阶段,中国人民银行大数据分析中心在实时监测中,发现涉嫌违规大额支付情况时,可直接追
7、溯该笔交易的具体情况,提取相关个人信息和交易记录,作为追究责任的依据。(三)数字人民币运营中涉及的个人信息及分类在数字人民币以上五个阶段运营中,会汇集大量的个人信息,包括用户的姓名、性别、年龄、身份证号、生物识别信息、家庭住址、财务状况、账户信息等。个人信息保护法 第 28 条要求对敏感个人信息进行单独保护,而是否属于敏感个人信息则需要从权益侵害的可能性、权益侵害的概率大小、是否具有特殊信赖关系、公众是否对致害风险达成共识等方面进行区分。因而,数字人民币用户的身份证号、指纹和人脸等生物识别信息、银行账户信息、使用时涉及到的医疗健康信息、行踪轨迹信息等,均属于敏感个人信息。除此之外,用户的姓名、
8、性别、家庭住址等则属于一般个人信息。二、数字人民币运营中个人信息保护的不足(一)存在过度收集用户个人信息的问题指定运营机构负责与用户直接交互,采集用户个人信息,为用户开通数字人民币钱包,实现数字人民币的兑换等服务。根据上表所示,数字人民币钱包的等级和用户提供的个人信息数量息息相关,向指定运营机构提供的信息数量越多,数字人民币钱包等级就会越高。而第四类钱包等级最低,可交易额度也最小,但仅需要用户提供手机号即可开通使用,符合“小额匿名”的基本要求。但是实践中,存在指定运营机构过度收集用户个人信息的情况。比如,中国电信“翼支付”APP 在开通数字人民币钱包功能时,需要实名认证环节,不仅需要用户提供手
9、机号码,还需要用户提供翼支付的账号和身份证件信息,并通过人脸识别完成认证。然而,初始数字人民币钱包都是最低等级的第四类钱包,“翼支付”APP 在开通钱包时却要收集用户身份证件信息和人脸生物识别信息,显然与“小额匿名”的设计初衷相违背,疑似过度收集用户个人信息。(二)用户对于处理同意缺乏多层级的选择权“告知同意”规则是个人信息保护领域的基本规则,要求在处理个人信息时首先应当告知信息主体收集和利用的范围及限度,必须经其同意后才能从事相应的信息处理活动。在实践中,指定运营机构会将处理个人信息的告知事项和同意条款纳入隐私政策或服务协议中,且是以“一揽子”形式机械化地取得用户同意。换言之,在现有数字人民
10、币的“告知同意”规则下,用户如果想要使用数字人民币,就必须被迫全部接受指定运营机构的个人信息处理政策,对于同意程度和范围没有选择权,进而导致数字人民币用户“告知同意”规则被架空。在当前全盘接受或否定的同意结构下,数字人民币用户丧失了对于不同支付场景下的个人信息多层级处理的选择权。(三)货币权力和信息权利产生新的张力货币发行和秩序维护是国家货币权力的体现,数字人民币能够实现货币与信息的融合,延伸了信息社会的触角,以“可控匿名性”的制度设计便利国家货币政策宏观调控和反洗钱、反恐怖融资,强化了这种权力。这一方面有利于货币政策效率和监管措施有效性的提升,但另一方面也在客观上压缩了个人金融信息隐私权利,
11、导致国家货表1数字人民币钱包类型实名程度信息要求单笔限额日累计限额年累计限额一类钱包最强实名身份证件、手机号、银行账户无无无二类钱包较强实名身份证件、手机号、银行账户5万元10万元无三类钱包较弱实名身份证件、手机号5000元1万元无四类钱包匿名手机号2000元5000元5万元行业/金融法制2023.04金融法制/行业2023.04074NorthernFinanceJournal北方金融币权力和个人金融信息隐私权利之间产生了新的张力。虽然个人权利需要让位于公共利益,但前提必须是遵循合法程序且在必要限度内行使公权力。一般情形下,中国人民银行会对数字人民币包含的个人信息进行严格保密,体现了“匿名性
12、”特点,但出于公共目的,可能会将个人信息公开或提供给第三方,体现“可控性”特点,也就是匿名例外规则。但具体哪些情况下会触发匿名例外规则,目前现有法律规范中并未明确规定,导致信息控制者的权力边界处于模糊状态,难以有效保护个人信息主体的权利。三、数字人民币个人信息保护的比例原则要求行政机关和泛行政主体为实现某种行政目标而实施行政行为时,会对行政相对人的权利义务产生影响,其必须不偏倚地对待行政目标的价值与对公民造成损害的价值,使其行为实现“价值平衡”,相应行为才具有合理性,这就是比例原则的基本要求。数字人民币在运营过程中,会采集和利用使用者的个人信息,有造成公民隐私泄露的风险,故必须坚持比例原则的要
13、求,实现国家货币权力和公民的个人金融隐私权利的平衡。而比例原则又可细分为适当性原则、必要性原则、均衡性原则,下文将逐一展开分析。(一)坚持以处理目的为导向的适当性原则根据适当性原则,在数字人民币运营中,收集和利用用户个人信息的范围和方式,必须有助于信息处理目的的实现。中国人民银行处理个人信息主要有两个目的:其一,打击反洗钱和反恐怖融资等金融违法活动;其二,将交易信息等汇集成大数据,为货币政策宏观调控提供支持。而指定运营机构处理个人信息也有两个目的:其一,数字人民币正常运营中涉及兑换、交易、结算等业务时的验证和记录;其二,配合央行对大额可疑交易进行筛查和甄别,打击金融违法活动。基于如上目的,数字
14、人民币钱包采取“可控匿名性”的制度设计,但在具体适用上依然要在适当性原则的框架下进行。首先,针对服务日常交易的目的,原则上应坚持“匿名性”要求,以用户同意为基础,收集和利用信息也应当是被动状态,仅服务于交易的完成。用户有权选择开通数字人民币钱包等级,指定运营机构应根据钱包等级不同,分别收集相应等级的信息。尤其是在数字人民币运营初期,多数用户出于“风险规避”心理,一般会选择开通第四类钱包,指定运营机构就不能收集用户手机号码之外的个人信息,否则有违维系日常运营的目的。其次,针对用于支撑央行货币政策调整的目的,中国人民银行可通过分析数字人民币用户在消费和交易中表现出的资产配置特征、交易习惯等,形成对
15、数字人民币系统运行情况的有效评估和对货币政策的及时调控。而这种宏观调整的目的决定其在微观层面无需识别到特定个人,中国人民银行在该目的指导下需对收集的用户个人信息进行脱敏和聚合化处理,保证信息处理的适当性。再者,针对打击金融违法犯罪活动的目的,应坚持“可控性”要求,虽然无需用户同意而可以主动处理用户信息,但不能随意扩大匿名例外规则的范围,否则会突破打击犯罪的目的,对个人金融信息隐私权利产生严重危害。(二)坚持以损害最小为结果的必要性原则根据必要性原则,数字人民币运营中对个人信息的处理,应在多种方式间权衡,选择对信息主体损害最小的方式。即不论是中国人民银行还是指定运营机构,其处理个人信息的手段均不
16、能超过为实现处理目的而可采取的最缓和的手段。就必要性原则本身而言,又可从消极层面和积极层面细分为禁止过度损害和禁止保障不足。在消极不作为方面,规避对数字人民币用户个人信息过度采集和滥用,尽可能减少对用户的权益侵犯。指定运营机构在对用户个人信息采集利用时,必须基于用户真实意思表示,全过程贯彻“告知同意”规则。“告知”是处理个人信息的前提,如果用户没有被告知处理的范围和方式,其就不可能对处理过程提出异议,变相剥夺了用户维护自身利益的权利。而“同意”则是要求指定运营机构不论是对于收集信息的种类,还是利用信息的方式及范围,均需要取得用户本人同意。甚至对于敏感个人信息的采集处理,可以增加单独取得授权的环
17、节,对个人信息分类分级保护,减少潜在的损害危险。在积极作为方面,有效预防个人信息保护不足,从源头的技术支撑和事后救济角度分别入手,实现损害最小化。首先,数字人民币在运营中汇聚大量用户个人信息,而这种信息过度集中的模式导致被黑客入侵或泄露风险显著提升。而数字人民币作为金融科技的一项重要成果,其底层逻辑与区块链息息相关,需要强大的算力支撑和多点行业/金融法制2023.04金融法制/行业2023.04075NorthernFinanceJournal北方金融验证保障安全性。中国人民银行在支付系统的设计中需要对具体技术和算法保密,并定期维护和升级,增强系统稳健性,防止因技术不足导致黑客攻击而造成用户信
18、息泄露。其次,如果确实发生了个人信息侵权,中国人民银行和指定运营机构应迅速排查问题,及时作出反应,积极采取补救措施消除影响,对用户的损害结果实现最小化。(三)坚持以利益平衡为目标的均衡性原则根据必要性原则,中国人民银行和指定运营机构需要在数据处理需求和个人信息保护之间实现平衡,防止过度或不必要地处理个人信息。换言之,信息控制者的公共利益和信息主体的个体利益之间需要权衡利弊,在一定条件下牺牲个体利益也是为了成就更好的公共利益,但如果实现公共利益很小,或是损害个体利益很大,则会导致两种利益失衡,不满足均衡性要求。首先,公共利益的大小和真伪衡量本身就是一个现实问题。不仅是数字人民币运营中会产生这样的
19、问题,几乎所有涉及公共利益的事物和政策都需要权衡。事实上,个人信息通过加工和深度处理究竟能产生多大数据价值,与其所处的场景密不可分。在不同的利益冲突场景中,利益本身的价值并非恒定,而会随着场景的变化而变化。本质上,公共利益并不一定高于个人权利的价值,其利益大小需结合具体场景判断,也与个人信息本身的特征相关联。此外,甚至还可能产生“伪公共利益”的情况。比如个别运营机构,以协助打击金融犯罪为幌子,过度收集用户个人信息,进而利用金融数据的巨大商业价值牟取私利,不仅对公共利益没有任何裨益,还极大地损害了用户个人权益,严重违反均衡性原则。其次,面对打击金融犯罪活动时,虽然个人权利在公共利益面前需要让步,
20、但信息处理过程仍需要保持谦抑性,尽可能减少对个体权益的损害。当然,此处的个体权益不仅包括违法犯罪的用户,也包括其他正常使用的用户。就违法犯罪者本身而言,央行在查处犯罪时,需要获取、分析与犯罪本身相关的个人信息和交易数据,虽然也会损害犯罪者的金融隐私权利,但这种损害的目的是维持社会金融秩序稳定,故具有正当性。而对于其他用户的数据,需要更加谨慎处理,少侵犯或者不侵犯其隐私权利。最典型的就是,因为很多金融数据之间具有关联性,央行在打击犯罪时极有可能波及其他用户,导致其他用户信息被泄露。比如在披露违法交易时,很可能会导致守法一方的个人信息被连带公开或过度收集,使守法用户无辜被牵连,增加对个体权益的损害
21、。显然,如此操作欠缺“克制性”,在公共利益没有增加的情况下,进一步削减了个人权益,不满足均衡性原则的要求。四、数字人民币个人信息保护的对策建议(一)厘清数字人民币个人信息保护的职责分工数字人民币运营需要中国人民银行和指定运营机构相互配合,二者应各司其职,在各自职责范围内保护用户个人信息。中国人民银行作为我国央行,统筹和协调数字人民币运营,故保护数字人民币流通中个人信息安全也是其职责所在。首先,中国人民银行内部的“三中心”应相互独立运行,登记中心以数字人民币钱包地址为被记录主体,记录数字人民币权属关系和交易信息,避免识别到特定用户主体;认证中心对用户个人身份信息和核验身份的密钥信息分别存储,以防
22、信息泄露;大数据分析中心必须对个人信息脱敏化和集群化处理,防止出现超越目的的行为。且中心之间应建立“防火墙”,工作人员相互独立,避免留有可操作空间。其次,中国人民银行应积极发挥央行职责,对运营机构信息处理工作给予指导,并监督和约束其信息处理行为,必要时可采取行政处罚和收回授权运营资质的措施,提高数字人民币个人信息保护的监管效能。再者,建立数字人民币系统的联防联控机制,在个人信息已泄露的情况下,积极采取应急阻断措施控制影响,避免连锁效应和金融系统性风险。指定运营机构作为与数字人民币用户直接交互的主体,需要严格在授权范围内履行职责,真正落实“告知同意”机制。其信息处理活动应坚持以下三个原则:第一,
23、在首次进行个人信息处理时,要告知用户整体处理情况,而在收集敏感个人信息时,需再次单独告知用户;第二,构建多层级用户同意规则,以“告知+明示同意=合法处理”为原则,即在数字人民币日常运营中,只有用户明示同意,指定运营机构才能收集和利用其个人信息,同时以“告知+公共目的+拟制同意=合法处理”为例外,即如果需要将用户信息用于公共目的时,可以无需取得用户单独同意,但拟制同意的前提一定是公共目的,此处对目的范围必须进行严格限定,且依然要遵循法定程序进行信息处理,行业/金融法制2023.04金融法制/行业2023.04076NorthernFinanceJournal北方金融杜绝出于自身利益而将用户个人信
24、息另作他用谋取私利的情况;第三,对用户个人信息的收集范围不能超过必要限度,遵守必要性原则,且非必要不得损害个人用户的信息权益,如出于公共目的,也要控制损害影响,不能超过可实现的社会公共利益,保持均衡性原则。(二)区分敏感度对个人信息分类管理数字人民币运营中涉及的用户个人信息种类繁多,层次不一,如果对不同信息采取统一管理模式,并不利于个人信息保护。目前,我国 个人信息保护法采取一般信息和敏感信息二分的保护方式;个人金融信息保护技术规范则是根据敏感程度,将个人金融信息分为用户鉴别信息(C3)、可识别特定个人金融信息(C2)、金融业机构内部使用的个人金融信息(C1)三个等级,并采取针对性保护措施。因
25、此,数字人民币运营中的个人信息保护也应当贯彻上述规定的一致思路,坚持分类分级的保护理念。首先,考虑到敏感个人信息如果处理不当,会严重危及用户个人的财产安全和人格尊严,故应对敏感个人信息进行重点保护。指定运营机构的信息处理活动必须苛以严格限制,非必要不得随意收集,更不能擅自转让给第三方。敏感信息的采集和利用方式及范围,也必须经由用户本人确认同意,且敏感个人信息应单独存储,采取不可逆加密算法,严格限制信息调取,保护敏感信息安全。其次,敏感个人信息管理应当采取再分级的方式,区分信息的敏感程度,细分为高敏感级、中敏感级、低敏感级三个敏感级别,进而有针对性地采取保护措施。特别是个人生物识别信息,属于高敏
26、感级的个人信息,能直接识别出特定个人,且还具有不变性和唯一性,不论是中国人民银行还是指定运营机构均对此需要采取最严格的保护措施。(三)完善个人信息可控匿名的法律规范在当前法律规范体系内,个人信息保护法侧重对个人信息的“匿名性”保护,难以满足数字人民币“可控性”要求。而 2021 年中国人民银行发布的 中国数字人民币的研发进展白皮书,虽然规定了个人信息可控匿名性问题及运营机构保护职责,但该文件在效力层级上不属于任何法律规范,难以在现实中被有效利用。此外,中国人民银行还出台了诸如 金融分布式账本技术安全规范(JR/T0184-2020)等标准,但均在数字人民币的适用上略显不足。故为了数字人民币长久
27、稳定发展,有必要进一步完善相关法律规范体系。考虑到我国法律规范体系的位阶次序和修改周期,短期内将数字人民币纳入到 中国人民银行法 中不具有现实可操作性,而如果单独立法又与其法定货币的身份不相吻合。因此,首先可以考虑在 人民币管理条例 中增加数字人民币的管理规范,该条例作为行政法规,具有较高法律效力等级。而目前存在的个人信息保护问题,可在该条例第四章“流通和保护”部分予以规定,明确数字人民币“可控匿名性”的制度架构,为中国人民银行规范数字人民币运营中的个人信息保护工作提供依据。此外,人民币管理条例 毕竟是行政法规,多数规定更偏向于原则性和指导性,难以对用户个人信息保护的细节问题进行详细规定。故中
28、国人民银行应当依据现实需求,出台关于数字人民币流通运营问题的实施细则,为“三中心”具体职责分工和指定运营机构的工作提供指导,也为用户切实保护个人信息、消除对数字人民币安全顾虑奠定基础。参考文献1刘向民.央行发行数字货币的法律问题J.中国金融,2016(17):17-19.2Dutil P,Williams J.Regulation Governance in theDigital Era:A New Research Agenda J.Canadian PublicAdministration,2017,60(04):562-580.3姚前,汤莹玮.关于央行法定数字货币的若干思考J.金融研究,
29、2017(07):78-85.4于品显.中央银行数字货币法律问题探析J.上海对外经贸大学学报,2020,27(02):88-102.5柯达.数字人民币的理想与现实基于对深圳数字人民币试点活动的观察J.金融法苑,2020(04):166-180.6陈华,巩孝康.我国央行数字货币问题研究J.学术交流,2021(02):118-131.7陈耿宣,景欣,李红黎.数字人民币M.北京:中国经济出版社,2022.8于柏华.比例原则的法理属性及其私法适用J.中国法学,2022,230(06):134-155.9赵玲.消费者个人金融信息权益的法律保护研究基于数字人民币的视角J.金融论坛,2022,27(12):38-47.10袁俊宇.数字人民币运营机构安全保障义务的廓清与实现J.当代法学,2023,37(02):50-61.行业/金融法制2023.04金融法制/行业2023.04077
浙ICP备2021020529号-1 | 浙B2-20240490 
