陈 熹

法定数字货币是金融科技发展的产物和未来货币形态的发展趋势，也是中国积极应对国际区块链金融挑战、改变国内第三方支付格局的战略部署。我国当前法定数字货币(或称“数字人民币”)主要权利问题在于财产权和个人信息的保护。数字形式的存在决定了财产权须以个人信息保护为基础。因此，个人信息保护将是决定其能否发挥实效的关键。其运营架构之中可能存在的个人信息保护上的一些重点难点问题，会随着试点应用的进一步推广而逐渐凸显，需要制定相应的制度化方案加以解决。结合《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等有关法律法规，有必要对此进行前瞻性分析并提出相应对策。

一、法定数字货币的运营架构和个人信息风险

(一)法定数字货币的运营架构分析

我国法定数字货币的运营架构可称为“双层运营模式”，即可将其基础架构概括为“双层、双链、三中心”。(1)姚前、汤莹玮：《关于央行法定数字货币的若干思考》，《金融研究》2017年第7期。“双层”是指中央银行控制货币发行库的“发行层”与商业银行等授权机构管理货币存放库的“流通层”。“双链”与“双层”相对应，指发行层与流通层均采用区块链技术，在流通层实现分布式记账。其中，由中央银行的“一级链”统一负责货币的形成、发行、最终认证和整体监管，由各商业银行组成的“二级链”以分布式网络来实现货币流通中的区块链共识机制。“三中心”则是指中央银行设立的三个监管机构，组成了法定数字货币的管理体系，分别是“认证中心”(机构、用户等身份信息管理)、“登记中心”(财产权属登记、交易过程登记)与“大数据分析中心”(收集并分析交易信息、监管指标分析等)。(2)杨东、陈哲立：《法定数字货币的定位与性质研究》，《中国人民大学学报》2020年第3期。

法定数字货币真正的创新之处不在于货币的数字化，而是在运营架构中采用分布式记账技术来取代中间清算方。(3)本·布劳德本特：《中央银行与数字货币》，蔡萌浙译，《中国金融》2016年第8期。其本质是交易信用基础的变革：多层次、分布式账本相互验证，形成区块链共识机制，并以此取代传统的中心核算机制，即以算法网络取代第三方信用。

(二)运营架构中的个信风险识别

法定数字货币中的个人信息保护问题来源于相关信息被泄露及滥用。根据上述运营架构分析，个人信息风险可归结于三个层面：应用层、交易层和监管层(见图1)。

图1 法定数字货币的运营架构与个人信息风险

1.应用层：权属与交易信息泄露及二次侵权之风险

法定数字货币的权属确认和交易效力完全依靠信息系统的记载与传输，因此相关信息泄露风险将是法定数字货币运营中的核心关切。一旦信息系统遭遇网络黑客攻击、信息控制主体泄密、系统安全漏洞等，即可能产生全流程、大范围、连锁式的隐私侵权事件，甚至可能影响货币金融系统的安全性。相比于信息安全保障措施较为完善的央行链和商业银行区块交易链，个人用户端组成的应用层所面临的信息泄露风险更为突出。实践中常见方式是通过身份信息注册认证、手机应用信息授权、网络技术或终端物理连接技术等手段窃取个人用户的身份与交易等信息，该行为本身已构成对用户隐私权与个人信息权的侵犯；之后又利用相关信息进行集中交易、诈骗、勒索或盗用数字货币等二次侵权行为，直接侵犯用户的财产安全。

2.交易层：信息处理的外包合作、脱敏数据分析还原、跨境交易之风险

由授权商业银行组成的交易层采用了许可型分布式记账，减少信息节点数并接受中心化机构的监管，因此其相较于比特币等区块链货币，已经大幅降低了信息风险。但银行在许多情况下会委托外包合作机构处理有关信息，如风控与资信审查、银行卡业务代收催收、互联网金融技术外包、用户大数据分析等，显著扩大了掌握信息的主体范围并增加信息泄露风险。其中，经过匿名化处理、无法识别特定用户身份的脱敏信息目前不属于《个人信息保护法》《个人金融信息保护技术规范》等的保护范围，(4)《个人信息保护法》第4条规定：个人信息……不包括匿名化处理后的信息。脱敏信息控制者可采用“信息数量叠加法”等分析方式来达到近似于信息还原的效果，进而侵犯特定用户的隐私权与财产权。(5)唐林垚：《常态化数字抗疫时代的个人信息保护》，《中国政法大学学报》2021年第4期。因此，脱敏信息和其他衍生数据无疑成为当前信息保护法律体系与技术系统中的一个安全隐患。另外，当商业银行进行跨境交易结算时，还面临各国金融信息保护政策差异、司法管辖权受限制和境外网络攻击等问题。

3.监管层：信息泄露与权力滥用之风险

法定数字货币流通特征之一为相对匿名性，即交易前台匿名而监管后台实名，只有央行或其授权主体才能查询用户身份信息。(6)柯达：《论我国法定数字货币的法律属性》，《科技与法律》2019年第4期。因此，央行链作为中心机构的存在，显著降低了分布式账本验证节点过多而导致的信息泄露风险。但是，风险也随之转移到了中心机构本身。后台实名制将使大量身份信息与交易信息集中到央行链的登记中心、认证中心与大数据分析中心。如此庞杂的交易信息与复杂的验证系统，除了技术层面的安全问题之外，也不能排除监管机构中的个别人员利用职务之便而非法获取、利用相关信息的可能性。中心化监管机制在强化货币金融监管权的同时，也相应放大了该权力被滥用时的危害性。

(三)法定数字货币个人信息保护的特殊性分析

法定数字货币具有不同于传统纸币、存款货币与第三方电子支付的特殊性，其在个人金融隐私与信息权利方面产生了新的问题。

1.货币搭载的信息量大增与信息的财产属性增强

纸币属于完全匿名货币，其本身无法记载使用者的身份或交易信息。法定数字货币则实现了相对匿名性，其上可搭载的信息量大幅增加，如货币权属、移转过程、交易场景等直接信息，以及经过大数据分析而产生的使用者身份背景、行踪轨迹、生活偏好等衍生信息。特定的信息控制者可以读取及分析上述信息，还可以借助搭载附加的智能合约及支付指令等技术来变动信息，甚至直接限制某笔资金的使用和流转。法定数字货币建立在大量信息集合之上，货币与信息的融合大大延伸了信息社会的触角，并强化了信息控制者的权力。

从另一方面看，信息与货币的融合也使得相关个人信息的财产权属性大幅增强，已经超出了一般隐私权及金融隐私权的法益价值。法定数字货币个人信息泄露时，不仅可能侵犯个人隐私，还可能利用与财产高度关联的信息进行财产权益的二次侵权，甚至可能直接导致个人丧失对法定数字货币本身的权属和占有。(7)刘向民：《央行发行数字货币的法律问题》，《中国金融》2016年第17期。

2.交易安全与信息保护可能发生冲突

一般情况下，货币适用“占有即所有”的权属取得规则。这一规则的基础在于货币信息有限性和交易双方的信息不对称：传统货币无法搭载、登记、认证相关身份信息，因此交易相对人只能信赖占有的外观而接受货币。法定数字货币很大程度上改变了这一现实，不仅能搭载大量相关信息，而且需要经过央行链登记中心、认证中心处理信息后才能确定其物权流转的法律效力。法定数字货币的权属信息登记未达到不动产登记公示的效力，实际上介于动产交付与不动产登记之间。在支付错误、权属登记错误或无权处分货币的情形下，为了保护交易相对人及登记公信力而需要对个人信息进行查询、使用甚至公示时，就可能直接损害法定数字货币持有人的个人信息权利。另外，出于公共利益或社会征信等目的而使用货币信息的行为，也可能超过限度而损害个人信息权利，个人信息使用的免责情形与信息自决权的范围等目前也缺乏具体规定。法定数字货币为交易安全提供了新的保护方式，但仍是以压缩个人信息权利作为代价的。

3.相对法偿性地位导致选择与竞争

法定数字货币必须依赖网络系统与收付工具才能实现其功能，受制于民众生活习惯、经济水平与网络技术发展，因此在相当长的时期内法定数字货币仍将与纸质货币并存，无法确立唯一的法偿货币地位。(8)刘少军：《法定数字货币的法理与权义分配研究》，《中国政法大学学报》2018年第3期。因此，其法偿性是相对的，而相对法偿效力相当于允许市场主体在许多场景下可以不使用法定数字货币，其与纸币、存款货币、第三方支付平台等现有支付工具将形成竞争关系。由此引发的问题是，对于个人信息泄露和滥用问题的担忧，可能会削弱民众选择使用法定数字货币的积极性，从而进一步降低法定数字货币的实际法偿能力。即使国家以强制性手段要求在一些支付场景中必须使用法定数字货币，这种法偿性也只能提供一部分的货币职能基础，市场选择与接受程度才是货币实际发挥职能的关键要素。

二、法定数字货币个人信息保护的法权场景分析

(一)国家货币权力与个人金融权利的法权结构

产生上述个人信息保护问题的根源在于两大方面：在形式上，货币的电子网络化使原有的网络安全风险进一步侵入货币安全领域；在实质上，国家货币权力借助法定数字货币的推行而加强，与个人金融隐私权利之间产生了新的张力。形式问题会随着技术措施的不断完善而得到解决，而实质问题则需要对国家货币权力与金融隐私权利的法权结构进行重新审视与再平衡。

国家货币权力与个人金融权利之间存在着对立统一的法权结构。二者在根本上是相互统一的，国家货币发行权、监管权与货币政策执行权等均来源于公民权利，服务于国家整体金融利益并维护公民的金融权利。但是在一些情况与变化之下，二者又会表现出一定程度的紧张关系：个人金融权利被滥用，常见于洗钱、(9)李紫阳、张泽辰：《第三方支付场景下洗钱罪立法反思与调适》，《南昌大学学报》(人文社会科学版)2021年第1期。偷逃税、售卖及使用假币等金融违法犯罪行为或侵犯他人金融权利的侵权行为等，应当受到国家权力的监管与规制。国家监管权力失灵或被滥用，如监管权力行使过度或行使不当、监管程序流于形式、监管授权委托导致权力主体异化等情形，也可能侵损个人合法的金融权利。当权利与权力发生冲突时，需要明确二者的优先顺位并依法加以协调处理。根据相关法律的立法价值与处理规则，个人金融隐私权利须让位于公共利益，国家货币权力在多数情况下应具有优先地位，但前提是必须遵循合法程序且在必要限度内行使公权力。(10)相关法律可参见《个人信息保护法》第33、35条，《税收征收管理法》第30条，《反洗钱法》第4、6条，以及《审计法实施条例》第30条，《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第3条等法规规定。

金融隐私及信息权作为一项个人金融权利，同样应具“克减性”，即受到公共利益的限制与国家权力的监管。法定数字货币强化了国家货币权力，提高货币政策的执行效率并扩大监管措施的作用范围，但在客观上也压缩了个人金融隐私及信息权的领域，加剧了法权结构的失衡状态。在此情况下，货币权力与金融隐私权利二者法权结构再平衡的要点，是货币权力对金融隐私权利的“克减”行为应更加谨慎而谦抑，严格遵循法定程序，采用正当手段且在必要限度内进行。

(二)法定数字货币典型应用场景的法权分析

1.信用信息与征信

信用信息用于记录、评价个人或企业的信用行为与信用价值，不是纯粹的个人隐私或商业秘密，因为其与交易安全、经济秩序高度关联而部分转化为社会公共信息。信用信息的公开披露与金融隐私权的保护构成一对矛盾，公共领域扩张总是以私人领域缩减为代价。(11)谈李荣：《金融隐私权与信用开放的博弈》，法律出版社2008年版，第158页。征信体系的初衷是建立信用信息共享机制，为市场提供安全高效的信用交易环境。但是缺乏制度规范的社会征信体系会给征信对象造成超过征信目的的附加损害，过度侵入私人的生活消费、经营自由与社会道德评价。另外，非公权机关基于自身商业利益而获取信用信息的行为，理应经过平等协商并支付补偿，现实中商业银行及其他金融机构往往借格式条款不充分授权甚至未经任何授权而单方面进行商业征信，忽视了信用信息的部分财产权性质，没有给予征信对象相应的知情权与求偿权。

法定数字货币与社会征信、商业征信体系的结合将加剧私人领域的缩减，需要遵循公私分明、法权平衡的原则加以规范：央行链各机关作为监管层，应统一承担法定数字货币征信体系的职责，以基于公共利益的目的在公权部门中共享信用信息，同时也必须明确合法的征信形式、信用信息的使用范围、共享授权程序与征信对象告知程序，以及建立征信损害的行政赔偿与司法救济机制。二级链各商业银行与其他金融机构等基于商业利益需要获取相关信用信息的，应在央行链的授权之下统一纳入信息共享机制监管，并以税收转移支付等形式承担征信对象的征信费用与损害赔偿。

2.涉税信息与税收征管

税收征管已进入“信息治税”“涉税信息共享”的时代，法定数字货币将加速这一进程，为信息化的税收稽查提供全面、高效、一体化的机制平台。我国《税收征收管理法》第6条规定，纳税人、扣缴人及其他相关单位有义务向税务机关提供公民的涉税信息。公民的涉税信息虽然是一种个人信息，但本质上不属于个人隐私，而带有法定的公共利益属性。即便如此，涉税信息中仍包含其他个人权利因素，包括个人信息知情权、保密权、异议权、救济权和检举权等程序性权利，(12)参见《税收征收管理法》第8条规定。极易在税务征管权力过度扩张和任意行使中被彻底忽视，使公民在遭受滥用公权力的行为时“一无所知”且“一丝不挂”。(13)苟学珍：《涉税信息共享中纳税人信息权保护论纲——基于法权理论的视角》，《税务与经济》2020年第6期。同时，这种信息共享机制借助法定数字货币的应用终端、授权银行、第三方合作机构等进一步扩大，不可避免地会使税务机关之外的其他信息控制者掌握公民的大量重要信息，可能损害公民合法权利，公权力的扩张与主体异化效应显著。

因此，税收征管权力与法定数字货币涉税信息权利之间的法权关系需要从两方面加以平衡：一方面，借助法定数字货币运营系统实现一体化的公民涉税信息共享机制，并明确税务机关的信息稽查职权；另一方面，以涉税信息稽查法定程序来限制征管稽查权力的行使，完善稽查审批流程与行政复议途径，明确税务机关的通知、保密、救济等义务，并防止与非权力机关在进行信息共享和职权委托的过程中出现权力主体异化问题。

3.衍生数据与专有权

个人信息只有记录性，不具备知识产权的独创性要件。但是将个人信息进行脱敏化处理并加工、计算、聚合之后的衍生数据，则是具有独创性和经济价值的智力成果或商业秘密，应享有“数据专有权”。(14)杨立新：《衍生数据是数据专有权的客体》，《中国社会科学报》2016年7月13日。法定数字货币的相关信息将在央行链大数据分析中心及其他委托分析机构中产生大量衍生数据，其控制者享有的专有权也会成为法权结构中的重要一环，需要法律对专有权的权利地位、行使范围和保护方式等加以规定。

根据法权关系原理，法定数字货币的衍生数据权利与个人信息保护之间的基本规则应当包含：第一，非法获取个人信息而形成的衍生数据不应享有专有权；第二，以技术手段分析还原后可识别特定身份信息的衍生数据不应享有专有权；第三，国家机关借助公权力获取个人信息而形成的衍生数据属于社会公共信息，不应享有专有权；第四，个人、企业等非国家公权力机构以合法手段形成的衍生数据享有专有权，但妨碍信息权利人使用自己的个人信息、妨碍其他信息控制者产生新的衍生数据等数据垄断行为也应被禁止。

三、法定数字货币个人信息保护的制度化方案

(一)确立权责统一、协商互信的制度原则

综合前述风险识别与场景分析，当前建设法定数字货币体系的重点是在顶层设计中强化信息风险防控机制，数字货币的运营推广应与个人信息保护的制度改革并行，适时修改与完善有关法律法规，在权责统一、协商互信的指导原则下确保体系的安全、有序与高效。

第一，实现货币权力与信息保护职责的权责统一，由统一机关负责构建法定数字货币信息保护体系。央行链控制下的双层运营模式是我国法定数字货币相较于其他数字货币与支付工具的核心优势，应由中心化机构统一行使数字货币的发行权、监管权与信息授权，有效降低二级链节点分散的信息泄露风险，避免过度授权产生的权力异化与滥用问题。相应地，也应由中心化机构承担个人信息保护责任，制订数字货币信息安全技术规范，执行信息保护规范程序，同时在出现信息风险事件与权利纠纷时承担行政救济与赔偿责任。具体的负责机构设置可以考虑在央行“三中心”之外建立专门信息保护机构或技术辅助机构，并由国家网信部门进行统筹协调与部门配合，(15)参见《个人信息保护法》第60条。实时监督运营体系各环节信息安全状况。

第二，以协商互信为原则开展信息收集与分析工作，即使在特殊情况下也应遵循法定程序行使权力。不同于法权的对抗关系，我国所构建的应该是国家权力和民众之间的信任关系。民众对公权良善行为抱有期待，因此更需要权力机关的自律性约束，通过协商和对话等机制实现信息权利的分配正义，主动承担个人信息保护义务。(16)郭春镇：《数字化时代个人信息的分配正义》，《华东政法大学学报》2021年第3期。具体而言，法定数字货币信息处理者在获取、使用个人信息时应遵循以下原则：其一，普遍告知(对信息处理的整体情况进行告知)与单独告知(每次获取重要敏感信息时都须告知)相结合；其二，普遍授权使用(在未取得个人同意的情况下不能使用相关信息)与单独授权公开(在未取得个人单独同意的情况下不能向社会公开相关信息)相结合；其三，必要性(收集信息范围不超过实现职权所必要的限度)与比例性(收集信息手段对个人的损害不超过所保护的社会利益)相结合；其四，职权性(履行法定职权的信息处理无须获得个人单独同意)与程序性(履行法定职权的信息处理要遵循法定程序与授权范围)相结合。

(二)健全风险防控、分级保护等信息技术规范

第一，建立信息生命周期保护机制。应参照央行发布的《个人金融信息保护技术规范》有关信息生命周期技术要求等规定，制订专门适用于法定数字货币运营体系的技术规范文件，覆盖个人信息的收集、传输、存储、使用、删除及销毁等全流程。重点针对三方面作出要求：其一，加强区块链信息传输保护，二级链的分布式账本进行交易记录和提交认证的过程，应采用安全通道和加密数据，对传输信息进行多方完整性校验；同时，由央行链机构对二级链的安全策略进行审核与优化，提高重要敏感信息的行业技术标准。其二，建立委托信息防火墙机制，央行链与二级链机构将信息委托于第三方外包服务或外部合作机构时，应进行必要的加密及脱敏处理，重要敏感信息不得委托处理，超过委托范围与期限的信息应确认销毁；建立第三方机构的招标准入审核程序，并对其数据安全能力进行定期评估与实时监控。其三，建立货币网信安全事件应急响应机制，依据中央网信办《国家网络安全事件应急预案》等文件的要求，确定信息安全事件的预警等级与专门处置方案，定期开展预警监测和预案演练；重点部署央行链、二级链与用户端三层面的联防联控与应急阻断措施，严防信息泄露连锁传导效应与系统性风险。

第二，实施信息分级分类保护措施。《个人信息保护法》对个人信息的分类(一般信息、敏感信息)和《个人金融信息保护技术规范》对个人金融信息的分类(C3、C2、C1)均以信息的重要性级别为标准，初步建立了我国信息分级制度的基础，其核心思想是重要个人信息需要得到更严格的制度保护。在此分级制的基础上，可以根据信息本身的性质作出分类保护规定。例如法定数字货币的个人金融信息可分为身份信息、交易信息、信用信息、衍生数据信息等。各类信息在身份性和财产性方面均有差异，据此制订各类信息的专用措施，更精准地界定信息保护和信息利用共享的边界：身份性较强的金融信息应注重个人隐私保护，禁止擅自转让、公开披露或委托第三方机构处理，收集、存储、使用的范围应限于法定数字货币功能和监管职权的必要限度内；财产性较强的金融信息尤其是涉及信用状况的信息，应注重区分公私主体的征信权限，以平等协商等方式对信息财产权受损的个人进行补偿救济。

第三，探索货币信息安全领域的创新技术。采用沙盒模拟与试点经验相结合的探索模式，引进创新技术方式并不断根据实践问题进行调整完善，提高法定数字货币信息安全水平。其一，搭载智能合约的货币权属转移技术，在货币流转过程中加入一段不可更改、自动执行的计算机协议，保证将来交易按照该合约进行，以提高交易的安全性、确定性和可追踪性。搭载智能合约的法定数字货币可以实现权属特定化并自动限制资金流转，在防止泄露或公开个人信息的情况下保障相对人的交易安全。其二，特定场景下的零知识证明技术，即交易主体借用加密承诺机制，可以在不向认证者提供任何有用信息的情况下完成交易认证。在涉及国家秘密、关键行业领域的商业机密等特定交易场景中采用零知识证明，可以兼顾信息保护与监管审计的需求。其三，货币数据失真的保护技术，也被称为“混币机制”，(17)David L.Chaum, “Untraceable Electronic Mail, Return Addresses and Digital Pseudonyms”, Communications of the ACM, 1981, 24(2), pp.84-90.即在信息传输超出授权范围时自动对交易来源、交易内容等数据进行不可还原的混淆与模糊，防止越权使用者或恶意攻击者获得有效信息。

(三)完善公权行使程序、私权救济措施等法律规范

金融行业技术规范及其制度化只是法定数字货币个人信息保护的初级阶段，更需要专门的法律规则和法定程序对公私法权关系进行平衡。当前我国《个人信息保护法》有关规定已取得长足进步，在此基础上还可以就如下方面进一步完善。

第一，制定数字货币信息安全程序与免责制度。应规定具体的货币权力行使程序与防止权力滥用措施，规定数字货币用户的知情权、信息自决权和损害求偿权的行使方式，明确界定依职权使用货币信息可不经同意、不予告知等例外情形的范围及其认定、复核程序。结合前述信息技术规范，将其上升为法定的安全程序：监管层、交易层和应用层各信息处理者只要执行相应的安全程序，即视为已履行信息安全保障义务，免除损失赔偿责任，否则应根据过错程度分担法定数字货币使用者的损失。信息安全程序的设置出于三方面考虑：其一，平衡公私法权的行使界限，防止公权力过度侵入私权利范围；其二，设定公权行使的合法免责范围，便于货币权力的正常运行；其三，信息侵权案件中采用举证倒置规则，信息处理者须承担举证责任，不能自证符合程序义务时即应承担赔偿责任。

第二，完善个人信息受侵害时的民事赔偿制度。个人信息权的侵权事件在民事诉讼中一直存在救济不足、求偿困难的问题，其主要原因在于难以确定侵权损害结果。违法使用、盗卖信息的行为多呈群体侵害性，但对单个权利人的影响可能较轻微，如果没有二次侵权行为发生，则难以证明信息侵权行为对个人的直接损害结果，进而无法计算具体赔偿数额。因此，不能单纯以财产损失数额作为赔偿标准，可以参考《消费者权益保护法》等关于微额损害最低赔偿数额的规定，建立个人信息侵权的最低赔偿标准制度。(18)杨立新：《私法保护个人信息存在的问题及对策》，《社会科学战线》2021年第1期。信息侵权行为造成精神伤害的，也可以单独或一并适用精神损害赔偿责任以救济信息权利人。

第三，个人信息的私法保护与公法保护相结合。个人信息的私法保护、司法救济具有先天的劣势。尤其是大规模的微额信息侵权行为，虽然对社会整体伤害巨大，但单个受害者往往难以举证损害结果，更兼诉讼求偿的动力不足。故此个人信息保护问责导向应由“以损害结果为中心”转变为“以违法性为中心”，采用综合治理的立法模式，使监管职责、纪律处分、行政处罚、刑事处罚与民事赔偿责任相结合，强化行政法、刑法方面的公法保护力度。同时，由公权机关、行业公益组织等充当公共利益代理人的角色，承担发起公益诉讼、维护法定数字货币用户个人信息权利的职责。