论大数据背景下金融合规管理中的隐私问题及其伦理对策
2021-02-21吕耀怀PaulaAndreaAravena
吕耀怀 Paula Andrea Aravena
摘 要:大数据技术在金融领域的广泛应用,一方面,改善了金融服务;另一方面,由于大数据技术自身的属性而可能导致更多、更大的隐私风险。在这种背景下,金融领域的合规管理面临双重的隐私风险:一是金融实体之业务活动所可能产生的隐私风险,二是合规管理自身所可能产生的隐私风险。因此,为了应对金融领域中合规管理所可能遭遇的隐私问题,也就需要有两个方面的伦理对策:一是针对金融实体全部业务活动中隐私风险的伦理对策,二是针对有权接触、利用金融客户数据、信息的合规管理人员的伦理对策。除了基本的伦理对策之外,为了使得柔性的伦理对策不至于成为花瓶般的摆设,有必要为其设置相应的制度保障。
关键词: 大数据;金融合规;隐私;伦理
中图分类号:F830.22 文献标识码: A 文章编号:1003-7217(2021)01-0002-08
一、引 言
合规是从国外引进的管理术语,近些年在中国的学术界和管理领域得到越来越多的关注。虽然从人类诞生以来就存在着合规的问题,但合规这一概念的出现以及其有意识的运用则要晚很多。按照Ramakrishna S P的推测,最早的涉及合规的问题大概“从亚当吃禁果开始”[1]。其意思显然是,上帝制定了规则,而亚当的行为则违背了既有的规则,这种违背即是明显的不合规。虽然类似的合规问题由来已久,但人们对这种问题的认识或将其正式地表述为合规与不合规,并力图通过特定的管理来减少甚至消除不合规现象,则是近期受到关注的事情。而作为合规管理重要领域的金融合规,则是诸多合规管理研究者津津乐道的问题。Ramakrishna S P的研究认为,“在金融服务领域,可以毫不夸张地说,合规的历史与监管密切相关”,“对金融服务的结构性监管从20世纪80年代开始演变,这种明显的与形式结构相一致的现象是最近才出现的,本质上是21世纪的一种现象”,而“合规是一个后监管过程,因此滞后于监管”[1]。这样看来,对金融合规问题的重视与研究,显然不会早于20世纪80年代,尤以进入21世纪以后为盛。
我国学界对于合规的研究相对较弱。若以“合规”为关键词在中国知网的学术论文范围内检索,则可发现,2011-2017年为相关论文或疑似相关论文发表的高峰时段,分别为119、145、121、138、157、190、162篇。但是,这里用作关键词的“合规”,其中有些并不具有如今国外普遍重视的合规研究方面的意义。例如,在中国知网给出的以“合规”为关键词的学术论文检索结果中,发表于1955年的就有13篇。毫无疑问,如此检索得到的所谓关于“合规”的论文,并不完全是或有许多并不是现代意义上的涉及合规问题的论文。而如果以本来在合规研究方面最为热门的“金融合规”为关键词在知网的学术刊物范围内搜索,仅得到一篇学术论文,即李笑笑、张玺在2013年发表于《郑州航空工业管理学院学报》的《金融创新理论视角下民间金融合规化问题探讨》。可见,人们对这个问题的关注远远不够。虽然也有一些研究银行特别是商业银行合规管理问题的论文,但银行合规管理只是金融合规管理的一个方面,金融合规包括但不限于银行合规。
在信息化日益发展的今天,大数据技术得到了迅猛发展和迅速普及,其在社会生活各个方面的运用是有目共睹的。在金融领域,大数据技术的运用也为普通人所广泛感知。与此同时,对大数据的研究也得到迅速地发展并呈现出多视角、多方面的态势而不限于单一的技术方面。随着大数据在金融领域中的广泛运用,其在提供金融服务效率、改进金融服务功能的同时,由于大数据技术本身的一些固有特性,也容易造成新的隐私风险。对于这方面的隐私风险,人们普遍缺乏足够的认识。而由于人们对金融合规本身价值的重视,又可能更加忽视金融合规过程中可能出现的尤其是基于大数据技术运用所导致的隐私风险。因此,问题还不在于相关的研究是多还是少,而在于相关的研究是否真正揭示了存在的问题,并提出了相应的对策。因此,理性地揭示并清晰地分析这方面的问题,提供相应的对策,给出一种超越技术方面的思考非常必要。
二、大数据背景下金融合规管理面临的隐私风险
随着大数据技术的发展与普及,其在金融合规管理中得到了日益广泛的应用。
大数据时代已经来临,虽然人们对大数据的概念存在着不同的认知,但通常不会反对如此解释大数据:所谓大数据,是指数据存储量超过具有收集、存储、管理和分析数据功能的传统数据库软件的数据集合。一般看来,大数据具有 3V 特征: 海量数据规模(Volume)、快速的数据流转和动态数据体系 (Velocity)、多样数据类型(Variety),桑尼尔·索雷斯(Sunil Soares)还加上了第4个V :巨大数据价值(Value)[2]。大数据日益成为“人们获得新的认知、创造新的价值的源泉; 大数据还是改变市场、组织机构以及政府与公民关系的方法”[3]。大数据所汇集的各种数据,可以大致归类为五种[2]:(1)Web和社交媒体数据。包括点击流和社交媒体数据,如Facebook、Twitter、LinkedIn中的数据和博客。(2)机器对机器的数据。机器对机器的技術,简称M2M,支持无线和有线系统与其他设备进行通信。M2M使用传感器或仪表设备捕获速度、温度、压力、流速和盐度等信息。被捕获的各种信息,通过无线、有线或混合网络传送到应用层,并被转化为有意义的信息。(3)大体量交易数据。包括医疗索赔、电信CDR和公用设施计费单。准结构化或非结构化格式的大体量交易数据正在不断增长。(4)生物计量学数据。生物识别或生物计量学,指基于解剖或行为特点和特征的人体自动识别。解剖数据来自于指纹、虹膜、视网膜、人脸、手的轮廓、耳型、声音模式、DNA;行为数据包括书法和击键行为分析。(5)人工生成的数据。人类制造了海量的数据,如呼叫中心客户代表的记录单、录音、电子邮件、纸质文件、调查问卷和电子病历等,此类数据可能包含需要屏蔽的敏感信息,也可能包含可提高结构化数据质量并与主数据管理整合的洞察力。
以上五个种类的数据中,难免包含有某些需要屏蔽的敏感信息、个人在不知不觉的情况下被记录下的信息等等,而运用大数据技术对于這些数据的进一步加工、集成、处理,又可能产生更多的、个人并不想让他人知晓的信息。
大数据技术一经产生,就显示出多方面的应用价值。就金融领域而言,“在金融服务方面,利用大数据从多维度评估对象的信用水平,打破时空限制,使得金融服务的开展更便捷。例如,蚂蚁金服利用大数据,可以从 100 多个不同的风险维度评估客户的信用水平,快速为用户提供不同额度的贷款” [4]。还有“一种用于大型和半结构化数据的并行运算和统计分析的软件生态”即Hadoop 在银行业务中的应用。Hadoop“能够从银行内部的海量数据中获取商业价值和情报,其处理日益复杂数据的能力和伸缩性能帮助银行发现新的商机。同时,大数据用公共数据源和社交媒体里半结构化数据补充和丰富内部数据,以实现数据价值的最大化” [5]。
当然,大数据技术不仅可以应用于金融服务或实现金融数据价值的最大化,它甚至还成为了金融合规管理的一种新型的、重要的手段或工具。
什么是合规?根据巴塞尔银行监督委员会(Basel Committee on Banking Supervision)于2005年5月发布的《合规与银行合规职能》(《Compliance and the compliance function in banks》[6]),针对银行业务和运作的合规是指银行内部应当具有的一种独立职能,其目的在于管理银行自身的合规风险。这里之所以主要依据《合规与银行合规职能》来解说合规,是因为该文件被认为是“关于金融服务的正式合规职能的第一个也是最基本的权威文件”[1]。“合规是金融服务业运营和声誉的关键”[7]。现在包括银行在内的所有金融服务业,都极为重视以合规为主题的管理。银行的合规管理是银行内部所应具有的管理自身合规风险的独立职能。那么,什么是合规风险呢?根据《合规与银行合规职能》第1条规定,“合规风险”是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则(以下统称“法律、规则和准则”)而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。有论者更为简洁地对“合规风险”予以这样的界定:合规风险是“由于不遵守法律、行为准则、良好行为标准或监管规定而对银行的诚信或声誉产生负面影响的任何行为或活动” [8]。在这些认识的基础上,我们可以将合规管理视为确保银行在开展业务经营活动时遵守“法律、规则和准则”的内部职能。这里所谓的“法律、规则和准则”,具体来说,可以分为四个层面:第一个层面是指具有最高水平之强制效力的法律法规,其主体部分由监管机关颁布的监管法规所组成;第二个层面是不具有法律法规那样强大的强制效力的行业协会的操作准则和市场惯例等;第三个层面是银行内部规范,即银行在日常经营管理过程中依据上述外部规则而制定的内部的具体规章制度;最后一个层面是伦理规范层面,根据《合规与银行合规职能》第5条的规定,“法律、规则和准则”不仅包括那些具有法律约束力的文件,还包括诚实守信等伦理规范。
在大数据时代,金融行业的合规管理势必要利用似乎无所不能且极为方便的大数据技术,而从上述对大数据的认知及关于“合规风险”的解释可以推知,在大数据时代,金融行业特别是银行业所面临的“合规风险”中,很可能包含且放大了广为人们担心的隐私风险,这样的风险在“大数据用公共数据源和社交媒体里半结构化数据补充和丰富内部数据”的情况下尤其突出。
自1890年沃伦(Samuel Warren)等人发表《隐私权》[9]一文以来,私人领域的隐私风险越来越受到学者和普通人的关注。在社会进入信息化时代之后,人们对隐私风险的关注逐渐发散到公共领域,于是有了对公共领域中隐私问题(privacy in public)的担心与研究[10]。在大数据时代,公共领域的隐私问题更为突出,因为借助于大数据技术,人们更容易搜集、合成、积聚、编辑可能导致隐私风险的信息[11]。
在很大程度上,现在的金融技术(Fintech)其实也是大数据技术,即大数据技术在金融领域的广泛运用。大数据技术在提升金融服务效率、促进金融事业发展的同时,也可能导致前所未有的一些风险,例如众所周知的隐私风险。如果说金融领域中的某些个人数据之前并不被认为有隐私问题,那么,基于大数据技术对这些信息的搜集、合成、积聚、编辑,则有可能导致之前并不存在的隐私风险;如果说金融领域中之前就可能存在着个人数据方面的某些隐私问题,那么,在广泛使用大数据技术之后,隐私问题就可能被放大,即成为更可能发生且后果更严重的隐私问题。此处,我们以大数据背景下的银行客户关系管理为例予以具体分析。在当今时代,客户往往有与多家银行之间的松散关系,而银行则往往无法全面了解客户的偏好、购物特点和消费习惯,也不再能够垄断客户的金融交易。然而,与客户建立牢固的关系又是银行存在和发展的必要途径,故银行必须动态了解消费者的兴趣和爱好,持续关注客户满意度,保持与客户的多渠道联系。这样的话,银行就应当注重外部信息来源(如社交网络、客户电话记录、客户邮件、保险理赔),以便更好地了解客户的心理状态[5]。而对“社交网络、客户电话记录、客户邮件、保险理赔”的关注,就显然已经进入前述桑尼尔·索雷斯所说大数据之五个方面的数据范围之内。在这种情况下,如果银行自身缺乏足够的自律或缺乏强有力的内部控制机制,则如此涉及金融业务之外的客户信息就很有可能导致合规风险中的隐私风险。如此产生的隐性风险,在非大数据条件下可能无法得以形成,但附着于大数据技术却使之变得十分现实。
特别应当注意的是,“合规管理在银行中的作用不局限于组织内部,还延伸到客户身上。银行必须监控其客户的交易,以了解他们是否在法律允许的范围内开展业务,是否从事非法活动” [12]。在这样的延伸到客户身上的银行合规管理中,尤其可能引发隐私风险,因为银行作为合规管理的主体完全有条件以此为名义而去搜集银行客户的各种信息包括隐私信息。这就提示我们:大数据背景下金融合规管理所面临的隐私风险,除了有由非专门的合规管理部门的金融业务行为所可能导致的合规风险中包含的隐私风险之外,金融合规管理过程或这种管理行为本身也可能产生相关的隐私风险。在大数据背景下,金融合规管理势必要接触到各种基于大数据技术的客户个人信息,而如果金融合规管理主体不能正确地处理这样的信息,就有可能使得这些信息处于各种风险之中,其中必然也包括了隐私风险。仍以银行的合规管理为例,银行是市场经济条件下具备经济人之基本要素的机构,其管理行为就一定会受到其经济人本性的影响。若银行所面对的各种客户信息中可能有让其感兴趣的内容或客户信息有可能被银行用来服务于其功利、利益或效益,则作为合规管理主体的银行也往往冒着可能发生的合规风险去收集、整理甚至挖掘这样的内容。在包含这样的内容的客户信息中,有些本身即已是隐私性质的信息,有些本身并非直接的隐私信息,但通过一定的基于大数据技术的挖掘、整合则可能呈现为某种程度的隐私信息[11]。这就是说,即使是金融机构自身的合规管理,也可能由于其自身固有的经济人特性而趋向于产生某种隐私风险。在没有强有力的外部制约或有效的自我制约机制的情况下,这种趋向无疑具有一定的必然性。
有论者曾经认识到且指出过银行合规职能与隐私问题的关联。例如,Jonathan Edwards等在其对银行合規职能之涉及对象的分析中,就明确将隐私和数据保护作为这样的对象[8]。另有论者在解说前述巴塞尔银行监督管理委员会的文件所界定的合规风险概念时明确指出,根据这一文件,合规风险就涉及到隐私和数据保护等问题[13]。这样的认识当然值得肯定,但在大数据时代仅仅有这样的认识还不够,而应当更进一步将合规管理与隐私风险的关系明确地置于大数据的背景下,清醒地看到并客观地把握大数据背景对于合规管理与隐私风险的影响。
三、新时代金融合规管理中隐私问题的伦理对策
既然大数据背景下金融合规管理中存在着不容否定的隐私风险且这种风险较之过去甚至更为严重,那么,我们就不仅不能忽视这样的隐私问题,而且还应当寻求解决这样的问题的各种对策。伦理对策是最为基本的对策,伦理思考是其他所有对策的基础和根据即正当性之来源。因此,在重点考虑大数据背景下金融合规管理中隐私问题的伦理对策时,也呈现出一些相关的伦理思考。当然,金融领域并非只有银行这样一种实体,保险、证券、投资等方面的实体也属于金融领域。但是,为了锁定最重要的焦点问题并使得讨论足够集中且具体化,我们主要针对银行业的情况展开相关分析,而由于银行在金融领域中处于公认的重要地位且具有相当的代表性,故此处的分析或结论原则上也适用于金融领域中的其他行业。
为了解决大数据背景下金融合规管理中的隐私问题,就需要根据大数据生命周期的规律性来设置或提出适用于维护特定隐私权利的具体道德要求。
基于上述认识,可以针对大数据生命周期中的安全风险来考虑一些可供操作的、相对具体的道德要求。“大数据的生命周期包括数据产生、采集、传输、分析与使用、分享、销毁等诸多环节,每个环节都面临不同的安全威胁。其中,安全问题较为突出的是数据采集、数据传输、数据存储、数据分析与使用四个阶段”[14]。在金融领域,客户的隐私风险就属于安全风险的重要组成部分。因此,为了避免或防范出现这样的隐私风险,完全可以考虑在安全问题较为突出的数据采集、数据传输、数据存储、数据分析与使用这四个阶段分别采取有针对性的伦理对策。
1.在数据采集阶段,一旦真实数据被采集,则用户隐私保护就会完全脱离用户自身控制,故此阶段存在着比较突出的隐私风险。对于金融领域的合规管理来说,在这个阶段最为重要的就是要强调并落实客户数据采集者的相关伦理责任。这种伦理责任要求客户数据采集者不仅必须保证其相关的采集行为是正当的金融业务所需要的行为,而且还有责任保证其所采集的客户数据不被用于未经客户许可的其他方面。将这种责任定义为伦理责任,意味着即使金融领域的客户数据采集者还没有被赋予相关的法律义务,还没有受到更具约束力的其他规范的制约,其自身也应该具备一种自觉的自律机制,以自动限制或避免可能造成隐私风险的客户数据采集行为。
2.数据传输阶段的主要安全目标是保证数据内容在传输过程中不被恶意攻击者收集或破坏。金融领域所搜集的各种客户数据,即使没有被传播到金融领域之外的其他地方,也必定在金融领域内部形成数据传播。而在这样的传播过程中,对金融客户的数据尤其是隐私数据感兴趣者大有人在。金融实体之所以需要这样的客户数据,往往是因为这样的数据有利于发展金融业务或有助于改进金融服务,但金融领域中可能有些人并不从事与此相关的业务或服务,却出于个人目的或基于其他不正当需求而倾向于获取客户数据。由于这些人处于金融领域内部、居于金融实体之中且更有条件接触或获取金融实体所采集的客户数据,故他们对客户数据所造成的隐私风险也就更为明显。因此,对于金融领域的合规管理来说,这个阶段最为重要的就是要消解内部人员中对于客户数据的可能的恶意攻击者或破坏者。而要有效地落实这样的消解,首先就应当对金融实体内的全体人员加强相关的道德教育,使得其内部成员都养成良好的职业道德,提升保守客户信息之秘密的自觉性;其次,尤其应当教育金融实体中客户信息的传输者,务必意识到客户信息在传输过程中可能遭遇的各种风险,重视防范客户信息被恶意攻击者收集或破坏的可能性。
3.数据存储阶段面临的安全风险不仅有来自外部黑客的攻击、来自内部人员的信息窃取,还包括不同利益方对数据的超权限使用等。金融实体所搜集的客户数据具有重要的经济价值,这种价值不仅为金融实体所重视,而且也往往为一些不良用心者所觊觎。因此,外部黑客、内部蛀虫都可能会想方设法去获取客户数据。既然金融实体已经采集并存储了不少相关的客户数据,那么,这些被存储的客户数据就可能成为窃取、盗用的直接目标。从伦理上说,要求这些本来就心存不轨者从善如流似乎是不现实的,对他们而言,唯一可能的选择就是要提高储存这些客户数据包括许多客户隐私信息的当事人的伦理责任,要求他们以高度的责任心来对待客户数据的储存,并将安全措施的更新换代也上升到伦理责任的高度。在金融实体内部,某些客户数据往往被限定为得到许可的相关利益方使用,但金融实体内部的其他利益方出于自身利益考虑也可能企图利用处于同一实体的条件来获取这些客户数据。这就要求客户数据存储者还要一视同仁地对待实体内部的各利益方,任何一方都不能超越权限或突破权限地去利用被存储的客户信息,这不仅是伦理责任的要求,也是金融实体内部公正的体现。
4.在数据分析与使用阶段,可能出现多源异构数据集成中的隐私泄露,数据使用者也可能通过数据挖掘得出用户刻意隐藏的信息,数据分析者还可能在进行统计分析时获得具体用户的隐私信息。在这个阶段,对于金融领域的合规管理来说,最重要的就是要强调合理地限制数据挖掘和统计分析。合理的数据挖掘和统计分析,无疑有助于金融实体业务的开展和服务的改善,但如果数据挖掘和统计分析陷入无度的状态,则往往使得包含在客户数据中的客户隐私处于风险之中。怎样对金融实体的数据挖掘和统计分析予以合理的限制呢?这样的限制至少包括两个方面:其一,从主观上说,对于客户数据的挖掘和统计分析应该出于善意而不是被恶意所驱使。如果动机不好,则对于客户数据的挖掘和统计分析都可能被视为出于邪恶从而被予以否定的评价。而这方面的良善动机,主要就是为客户着想、力图增进而不是削弱客户利益。其二,从客观上看,如果过度挖掘客户数据或对客户数据的统计分析做过头了,就可能导致对客户利益其中包括隐私利益的实际伤害。因此,无论是数据挖掘还是统计分析,都应当避免造成这样的对客户利益的实际伤害。金融领域的合规管理方面应发挥的基本功能就是着重提升客户数据使用者或分析者保护客户相关权益的道德自觉性,加强维护客户信息尤其是隐私信息的职业责任。
金融领域合规管理过程中,管理者客观上会大量接触到涉及客户隐私的数据,主观上也可能存在某些非法获取客户隐私的动机或利益需求,因此,金融领域中合规管理隐私风险的伦理对策,除了应当有对合规管理对象(包括人与行为)的道德规范,还应当有对于合规管理主体自身相应的伦理要求。
就防范隐私风险而言,对于合规管理主体的伦理要求主要包括以下几点:
第一,对合规管理主体的管理权限应当予以明确界定,至少应当将这种权限维持在合理的道德边界内。合规管理主体肯定需要有一定的管理权力,这种权力能够保障合规管理主体进行正常的管理活动。然而,合规管理主体却无权侵犯客户隐私。这就意味着,合规管理主体的管理权力必须限制在不至于造成客户隐私权利被侵犯的范围内。如果没有涉及到客户的隐私,没有造成对客户隐私的侵犯,则合规管理主体的管理活动就可能具备一定的正当性;虽然也可能存在着一些其他方面的客户数据安全问题,但这里着重考察的是隐私问题,故我们给出的伦理对策主要是就隐私风险而言的,在这个意义上,避免造成客户数据的隐私风险或客户隐私权利的伤害,就是合规管理主体之相关管理活动的道德边界。即使查阅、调用客户的隐私信息可能便于进行合规管理活动,但这种道德边界的设置,就要求合规管理主体不能为了方便管理而以牺牲客户的隐私权利为代价。
第二,合规管理主体应当明确意识到自己在管理活动中负有重大的道德责任,这种道德责任的一个重要方面,就是将自己的管理活动同时视为是对客户数据特别是客户隐私信息的负责任行为。对于合规管理主体管理权限的道德边界的设定,形成一种外部强制,即使这种道德边界的强制性并不特别强烈或有力,但这毕竟是道德约束力的表现,而道德更重要的是要调动或启发行为主体的自我约束即道德自律。这样的自律,用康德的话语来表示,是纯粹出自义务的行为,而从责任伦理的角度来分析,则是一种强烈的主体责任行为。道德边界虽然属于某种程度的他律,但道德边界的设定却是不可或缺的,因为如果没有设置明确的道德边界,则道德要求就可能流于抽象化而难以在实践中得以具体落实;强化合规管理主体的道德责任,则使得道德边界这样的他律得以主体化,最终形成道德的自律。
第三,合规管理主体在其管理活动中应当特别注意发现和排查那些可能对客户隐私信息造成风险的因素,一旦发现这样的因素,就应当立即予以清理或消除。合规主体的管理活动不仅仅是为了本机构或公司的利益,而且要考虑或维护客户的相关利益,尤其是现在广为人们重视的隐私利益。合规管理主体隶属于其所在机构或公司,故其理所当然要为其所在机构或公司的利益服务,但如果合规管理主体仅仅以其所在机构或公司的利益为上为先,则很可能造成对客户隐私利益的伤害,这至少在道德上是不公平的、不正当的。因此,合规管理主体应当跳出狭隘的部门利益的视角或追求,站在更广泛的群体利益的立场上考虑问题、做出选择,这样,才能在最大程度上避免客户的隐私利益在合规管理中被任意践踏或牺牲。
四、支撑相关伦理对策的制度保障
虽然我们可以从道德的角度提出各种有关合规管理中的隐私风险的对策,但这种道德对策毕竟只能诉诸人们的内心,故其往往可能缺乏足够的刚性。为了使得这样的缺乏刚性的道德对策能够发挥其应有的作用,就需要为其设置刚性的制度保障。有西方学者在讨论合规问题时曾经这样指出:为了减少包括隐私风险在内的诸种风险,“公司不仅要不断努力营造基于其道德价值观的工作环境,还要建立一系列的内部控制制度” [15]。这种基于道德价值观的工作环境主要包括确立相关的但却是柔性的伦理对策,而所谓“内部控制制度”则具有一定的刚性,但刚性的制度并非只有内部形式,还会有外部的但却同样具备甚至更具制约刚性的制度。实体之内部控制制度与外部约束制度的联动,就构成了上述伦理对策的制度保障。这种制度保障以其不同的刚性而赋予柔性的伦理对策以强有力的背后支撑,而柔性的伦理对策在刚性的制度支撑下,不再显得软弱无力、可有可无或流于形式,从而能够成为一种可贯彻于实体各种管理活动乃至注入实体内不同层次的管理者、经营者及普通员工之灵魂中的精神性存在。能够助力伦理对策发挥作用的刚性的制度保障主要有以下几种:
首先,是法律(包括法规)方面的保障。法律(或法规)是公认最具刚性的制度,因为其通常以国家强制力为后盾。如果违背了法律(或法规)的要求,就会受到国家强制力的惩罚,而这种强制是不以法律法规以外的意志为转移的。合规的本义中即有合乎法律要求的意思。如前所述,根据《合规与银行合规职能》第1条规定,“合规风险”是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则以及适用于银行自身业务活动的行为准则而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。如此看来,遵守法律法规就是合规管理本身的题中应有之义。问题在于,大数据背景下针对金融合规管理之隐私风险的法律法规还不够完善,这就可能给利用大数据来侵犯客户隐私的行為在某种程度上打开了方便之门。例如,2017年出台的具有法规性质的《中国人民银行关于加强反洗钱开户管理及可疑交易报告后续控制措施的通知》,其产生于大数据时代,本来在强调“切实提高洗钱风险防控能力和水平”的同时,还应当且也可能针对大数据背景下包括反洗钱任务的银行合规管理给出有关客户隐私方面的限制,但这方面的限制却明显阙如。这一法规性文件中有这样的规定:“对于通过可疑监测标准筛选出的异常交易,各金融机构和支付机构应当注重挖掘客户身份资料和交易记录价值,发挥客户尽职调查的重要作用,采取有效措施进行人工分析、识别” [16]。这样的规定无疑是十分重要且必要的,但在大数据背景下仅仅强调如此操作,则极有可能忽视隐私风险或诱发对客户隐私的侵犯。因此,当务之急是必须尽快完善这方面的法律法规,特别是要加强金融领域保护客户隐私的法律法规建设,堵死不法分子利用大数据的技术手段来侵犯客户隐私的方便之门。此外,相关的法律法规还必须严格约束金融合规管理人员的行为,使得即使是合规管理行为也被严格限制在不触动客户隐私的范围内。任何人都不得以金融实体利益的名义或合规管理的借口无限制地获取、集成、挖掘、使用客户信息,这是相关法律法规限制的底线。法律法规由于诉诸国家强制力,最具刚性和约束力,因此,如果有人企图基于不法目的获取和使用客户数据包括客户隐私信息,就会受到法律法规的严厉制裁;如果这种制裁达到足够严重的程度以致使得不法分子因受制裁而遭受的损失远远超过其不法行为所获得的利益,那么,这样的法律法规对于抑制侵犯客户隐私行为的作用效果就十分明显。罗伯特·考特等指出:“对法的经济分析来自这一看法——法院实行的法律规则对许多不同行为带来隐含的价格,而且可以用经济学家分析消费者或生产者对明显价格的反应的方法来研究决策者对这些隐含价格的反应”[17]。基于这样的分析,对违反犯罪行为的惩罚,就必须“使得非法行为的预期成本高于合法行为的预期成本”[17]。针对大数据背景下合规管理之隐私风险的法律法规,就必须在立法时充分考虑到这个因素,对侵犯客户隐私予以法律法规惩罚的力度一定要明显增加这方面之违法犯罪行为的成本,使得这种违法犯罪行为所可能得到的利益明显低于其可能付出的成本,这才足以遏制此类违法犯罪行为,真正有效地保护客户隐私。这样的法律法规还需要相应的伦理基础,即其精神实质应当与正确的伦理道德的要求保持一致。在可以得到充分的道德辩护因而堪称“良法”的相关法律法规如此保障的基础上,相关的伦理对策就易于落实,其实施就必定会富有成效了。
其次,是金融行业之行业规章的保障。行业规章指的是一个行业所成立之行业协会的各个会员单位,一起协商制订出本行业内各个会员单位都必须执行的行为规范和标准,用来制约和指导本行业各会员单位的行为,以使得行业整体在合理合法的轨道上运行,同时,也促进社会的进步与和谐。金融行业的所有会员单位,都必须遵守这样的规章;这样的规章对金融行业内各个成员单位的约束,可以弥补相关法律法规的不足,进一步避免了法律法规尚不能避免或因其滞后而来不及避免的某些漏洞或风险。金融行业的行业规章具有一定的强制性,因为如果某个会员单位不执行或不遵守这样的行业规章,就可能会受到行业协会的制裁,这种制裁通常关联到会员单位的实际利益,故任何会员单位都可能感受到如此制裁对自己造成的后果有多么严重。与现有法律法规的情形相似,金融行业的既有规章似乎至今尚未有对于大数据背景下客户隐私的专门保护条款。虽然某些行业规章可能会有涉及一般的隐私保护的条款,但普遍存在的问题是缺乏专门应对大数据背景下新的隐私风险的具体规定。这样的话,即使传统的隐私风险有可能被避免或削弱,但出于金融实体的利益考虑而加工、挖掘客户信息所造成的前所未有的隐私风险可能就处于无约束状态。因此,金融行业的规章也必须重视大数据背景下的新型隐私问题,将客户的隐私权放在高于金融实体利益的位置。这样做与相关伦理对策在本质上是相通的,而且其本身也体现了一定的伦理价值。行业规章与伦理对策的区别最为关键的是:行业规章是强制执行的,其依靠的是行业内的某种强制力,而伦理对策归根结底不依靠任何强制的力量,最终要诉诸的是行为主体内在的道德自觉。金融行业规章的这种强制力可能与金融实体的利益相勾连,故任何理性的金融实体都不能不或不得不遵从行业规章的要求。行业规章与法律法规也有区别,即行业规章通常要基于本行业的特殊性,其各项规定也反映了本行业的特殊情况,因此,行业规章比法律法规更为具体、更具操作性。例如,金融行业规章即体现出金融活动的特殊性,是对具体的金融活动的要求,而不是一般的或泛泛而论的要求。基于大数据背景的金融规章中涉及本行业特殊的隐私风险的规定,一定是对有可能产生隐私风险的金融实体活动包括合规管理活动的可实施、可操作的特定要求。
第三,是金融实体内部相关管理制度的保障。任何一个实体包括金融实体无疑都会设立自身的管理制度。这样的管理制度根源于实体内部,在管理学中往往也被认为是实体的自律,但与道德意义上的自律还是明显不同的。从道德的角度看,金融实体内部的这种管理制度其实也是他律,只不过其不同于外部之法律法规、行业规章那样的他律。依据强制力的不同,可以将诉诸国家强制的法律法规的约束称为一级强制力即最强的强制力,将诉诸大群体强制的行业规章的约束视作二级强制力,而金融实体内部的相关管理制度则属于三级强制力也即最弱的强制力。虽然金融实体内部的管理制度在强制力上是最弱的,但却也能够对其内部的管理者或员工发挥不容忽视的作用。金融实体内部的管理制度本来应当全面防范客户的隐私风险,但就现实情况来说,金融实体内部的管理制度却普遍表现出应对大数据背景下合规管理之隐私风险的苍白无力。这种情况的存在,一是由于大数据时代来得太快,以致人们还没有反应过来;二是由于金融实体的高层管理者或其管理制度的设计者更多地考虑本实体的方便,而在客观上形成了对客户隐私的忽视。因此,必须让金融实体的所有管理者都充分认识大数据背景下客户隐私所可能遭遇的隐私风险的严重性、紧迫性,从而尽快行动起来,完善金融实体内部的管理制度,以有效地应对这样的风险;同时,必须让金融实体的高层管理者或其管理制度的设计者校正其价值观,将各种价值予以正确定位,并基于大数据背景重新考虑其内部管理制度存在的问题和缺陷(尤其是涉及客户数据的隐私风险),并予以及时地改善、改进。在设计金融实体内部旨在应对大数据背景下合规管理所面临之隐私风险的相关管理制度的时候,为了增强其有效性,也可以参照法的经济分析,使得所设计的相关管理制度在对侵犯客户隐私的行为进行处罚时,讓这种处罚给隐私侵权者所带来的损失明显高于其通过隐私侵权行为所可能获得的利益。这里诉诸的是个体作为经济人的理性,无论这一个体是普通的员工还是合规管理者,在这一制度面前都一视同仁。这样的诉诸以利益机制为基础,显然不同于诉诸个体内在良心的道德机制。但如此诉诸经济理性却与诉诸道德机制的伦理对策有异曲同工之效,是对伦理对策之道德机制的补充和保障。
五、结 语
金融领域中的合规管理,不仅是十分重要、必要的,而且是完全有条件予以实施的。在大数据时代,毫无疑问,运用大数据技术的金融合规可以带来明显的效益,可以显著提升金融服务的效率、给金融客户带来诸多方便,但与此同时,由大数据技术的内在特性所决定,大数据背景下的金融合规管理又可能使得隐私风险增加或更容易发生。因此,人们在重视金融合规管理、重视大数据技术在金融合规管理中的运用的同时,必须充分意识到问题的另一方面:隐私风险的存在甚至加剧。在大数据背景下,隐私风险变得空前的严重,以致人们不得不对之予以高度的重视。为了应对大数据背景下金融合规管理中的隐私风险问题,人们可以寻求不同的解决途径,但最为基本的或基础性的解决途径乃是伦理方面的解决途径,即为应对诸如此类的隐私风险问题提供正确的伦理基础、为相关措施提供正当性辩护等等。伦理对策或伦理途径虽然是一种软性的甚至可能显得有些无力的思考,但这种思考是任何其他的途径包括硬性的、强有力的途径所不可或缺的,因为若无相关的正当性论证、伦理基础,则无论其他措施或对策是如何的强硬、有力,都会因缺乏正当理由的支撑而不能得到广泛的认同与接受,而这样的无法得到广泛认同或接受的措施或对策究竟能有多少效能则是值得怀疑的。
应当指出,虽然本文重点讨论相关问题的伦理对策和制度保障,但其他方面的有效措施乃至于技术方面的措施对于化解大数据背景下金融合规管理所面临的隐私风险来说也是非常必要且重要的,仅仅是因为其不在本文的论域之内且已有某些不错的相关研究成果才未在此予以展开讨论。
参考文献:
[1] Ramakrishna S P. An overview of compliance in financial services[M]. Singapore:John Wiley & Sons Singapore Pte. Ltd, 2015:10,11,22.
[2] 桑尼尔·索雷斯(Sunil Soares).大数据治理[M].匡斌,译.北京:清华大学出版社,2014:4.
[3] 维克托·迈尔舍恩伯格,肯尼思(Viktor Mayer-Schonberger, Kenneth Cukier).大数据时代[M].盛杨燕,周涛,译.杭州: 浙江人民出版社,2013:9.
[4] 刘业政,孙见山,姜元春,等. 大数据的价值发现:4C 模型[J].管理世界,2020(2):129-138.
[5] 王应贵, 娄世艳. 大数据分析在银行业的应用研究[J]. 新金融, 2019(10):59-64.
[6] Basel Committee on Banking Supervision. Compliance and the compliance function in banks[EB/OL]. https://www.bis.org/publ/bcbs113.htm,2005-04-29/2020-07-01.
[7] Edwards J, Wolfe S. Compliance-A review [J]. Journal of Financial Regulation & Compliance, 2005, 13(1):48-59.
[8] Jonathan E, Simon W.The compliance function in banks[J]. Journal of Financial Regulation and Compliance,2004,12(3):216-224.
[9] Samuel W,Louis B. The right to privacy[J]. Harvard Law Review,1890,4(5):193-220.
[10]Helen Nissenbaum,Toward an approach to privacy in public: Challenges of information technology[J]. Ethics & Behavior, 1997,7(3):207-219.
[11]呂耀怀, 罗雅婷. 大数据时代个人信息收集与处理的隐私问题及其伦理维度[J]. 哲学动态, 2017(2):64-69.
[12]Vcomply B.What is the function of compliance in banking and finance?[EB/OL].https://blog.v-comply.com/banking-compliance/,2017-05-09/2020-07-01.
[13]Ergys Misha. The compliance function in banks and the need for increasing and strengthening its Role-Lessons learned from practice[J]. European Journal of Sustainable Development, 2016, 5(2):171-180.
[14]冯登国.大数据安全与隐私保护[M].北京:清华大学出版社,2018:5.
[15]Vlassis D. An anticorruption ethics and compliance program for business: A practical guide[M]. Vienna: 2013. 63-63.
[16]佚名. 《中国人民银行关于加强反洗钱开户管理及可疑交易报告后续控制措施的通知》相关内容解答[J]. 黑龙江金融, 2017(7):80-80.
[17]罗伯特·考特,托马斯·尤伦. 法和经济学[M]. 张军,译. 上海:上海三联书店,1994:24.
(责任编辑:宁晓青)
