數(shù)字人民幣發(fā)行和流通中的個(gè)人信息保護(hù)*

王煒炫

（華東政法大學(xué)經(jīng)濟(jì)法學(xué)院，上海 200042）

一、引言

近年來(lái)，數(shù)字經(jīng)濟(jì)和數(shù)字貨幣的發(fā)展備受矚目。我國(guó)高度重視數(shù)字經(jīng)濟(jì)和數(shù)字貨幣的發(fā)展，積極參與數(shù)字貨幣、數(shù)字稅等國(guó)際規(guī)則制定，塑造全新的國(guó)家競(jìng)爭(zhēng)優(yōu)勢(shì)。我國(guó)是最早對(duì)央行數(shù)字貨幣（CBDC）進(jìn)行研究和試驗(yàn)的國(guó)家之一，在2014 年就開(kāi)始了對(duì)央行數(shù)字貨幣的研究（王旭和賈媛馨，2020），并于2020 年4 月開(kāi)始數(shù)字人民幣的試點(diǎn)測(cè)試。

數(shù)字人民幣能為便捷交易提供支持平臺(tái)，從而提高交易效率，尤其在跨境支付情景中，數(shù)字貨幣的優(yōu)越性得到充分體現(xiàn)。但利弊總是如影隨行，基于數(shù)字人民幣的底層算法邏輯，公眾使用數(shù)字人民幣的所有交易細(xì)節(jié)如交易對(duì)象、地點(diǎn)、金額等都會(huì)在系統(tǒng)中留痕，并被作為數(shù)據(jù)保存。從個(gè)人信息保護(hù)的角度出發(fā)，上述交易數(shù)據(jù)系以電子方式記錄的具有身份識(shí)別性的個(gè)人信息，而數(shù)據(jù)主體享有個(gè)人信息權(quán)益；從隱私權(quán)保護(hù)的角度出發(fā)，根據(jù)《中華人民共和國(guó)民法典》第1032 條之規(guī)定，上述交易數(shù)據(jù)反映了公民私密的交易活動(dòng)，應(yīng)屬于個(gè)人隱私范疇，在數(shù)據(jù)主體不愿披露且客體未涉及社會(huì)公共利益時(shí)，數(shù)據(jù)主體享有隱私權(quán)益（王利明，2013）。因此，數(shù)字人民幣發(fā)行和流通中的交易數(shù)據(jù)兼具個(gè)人信息和隱私的性質(zhì)，如若其不當(dāng)泄露將直接侵犯數(shù)據(jù)主體的個(gè)人信息權(quán)和隱私權(quán)，本文將著重研究保護(hù)二者的公法路徑，故在本文語(yǔ)境下未對(duì)個(gè)人信息保護(hù)和隱私權(quán)保護(hù)的私法屬性進(jìn)行界分。

數(shù)字人民幣發(fā)行和使用過(guò)程中的數(shù)據(jù)留痕并不意味著侵犯?jìng)€(gè)人隱私，重點(diǎn)在于讓數(shù)據(jù)公益與數(shù)據(jù)私益同頻共振，即如何在個(gè)人隱私保護(hù)與反洗錢(qián)監(jiān)管之間尋找平衡點(diǎn)，構(gòu)建完善的數(shù)據(jù)處理規(guī)則和監(jiān)管模式應(yīng)是當(dāng)下研究的重點(diǎn)。同時(shí)，由于我國(guó)數(shù)字人民幣發(fā)行模式采用雙層架構(gòu)，即由中央銀行先向指定的商業(yè)銀行發(fā)行數(shù)字人民幣，再由后者對(duì)公眾提供兌換服務(wù)。兌換服務(wù)通過(guò)數(shù)字人民幣App 完成，其中涉及商業(yè)銀行數(shù)字人民幣錢(qián)包的開(kāi)通業(yè)務(wù)。但在實(shí)踐中，各家商業(yè)銀行的個(gè)人信息保護(hù)政策條款參差不齊，個(gè)別條款甚至有“霸王”條款之嫌。為此，有必要在數(shù)字人民幣試點(diǎn)階段就厘清個(gè)人信息保護(hù)與交易數(shù)據(jù)監(jiān)管的關(guān)系，同時(shí)明晰在雙層架構(gòu)中，商業(yè)銀行在個(gè)人信息保護(hù)中應(yīng)扮演的角色以及其收集個(gè)人信息的范圍。

二、數(shù)字人民幣雙層運(yùn)營(yíng)架構(gòu)下個(gè)人隱私保護(hù)需要關(guān)注的問(wèn)題

相較于現(xiàn)金交易，數(shù)字貨幣的發(fā)行和流通提升了交易效率，加速了數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展。但隨之而來(lái)的一個(gè)問(wèn)題是如何打消一部分公眾對(duì)個(gè)人隱私保護(hù)的疑慮。為了解決數(shù)字人民幣發(fā)行、流通中的個(gè)人信息保護(hù)問(wèn)題，構(gòu)建行之有效的個(gè)人數(shù)據(jù)監(jiān)管體系，有必要厘清問(wèn)題的緣起。究其本源，個(gè)人信息何以在數(shù)字人民幣發(fā)行和流通的過(guò)程中面臨挑戰(zhàn)，很大程度是因?yàn)閿?shù)字人民幣的雙層運(yùn)營(yíng)模式。

根據(jù)央行數(shù)字人民幣研發(fā)工作組于2021 年7 月發(fā)布的《中國(guó)數(shù)字人民幣的研發(fā)進(jìn)展白皮書(shū)》（以下簡(jiǎn)稱(chēng)《白皮書(shū)》），數(shù)字人民幣采用雙層運(yùn)營(yíng)架構(gòu)：在發(fā)行層，央行負(fù)責(zé)數(shù)字人民幣的發(fā)行、注銷(xiāo)；在流通層，央行選擇具有一定資質(zhì)且符合條件的商業(yè)銀行作為中間機(jī)構(gòu)向公眾兌換數(shù)字人民幣（見(jiàn)圖1）。數(shù)字人民幣構(gòu)建遵循“一幣、兩庫(kù)、三中心”的原則。其中“一幣”是指數(shù)字人民幣；“兩庫(kù)”是指數(shù)字貨幣發(fā)行庫(kù)和數(shù)字貨幣銀行庫(kù)，前者儲(chǔ)存著數(shù)字貨幣發(fā)行中的所有底層數(shù)據(jù)，包括但不限于發(fā)行數(shù)據(jù)、交易數(shù)據(jù)等，后者為商業(yè)銀行存放數(shù)字貨幣流通數(shù)據(jù)的數(shù)據(jù)庫(kù)；“三中心”是指認(rèn)證中心、登記中心和大數(shù)據(jù)分析中心，認(rèn)證中心是數(shù)字人民幣匿名可控的關(guān)鍵組成部分，其主要收集商業(yè)銀行以及用戶的身份信息，登記中心則主要負(fù)責(zé)數(shù)字貨幣和身份信息一一對(duì)應(yīng)的工作，同時(shí)記錄數(shù)字人民幣的流通數(shù)據(jù)，以完成權(quán)屬登記，大數(shù)據(jù)分析中心則是立足于對(duì)異常交易的監(jiān)管，通過(guò)監(jiān)控異常數(shù)據(jù)及時(shí)發(fā)現(xiàn)洗錢(qián)等違法犯罪行為。

圖1 數(shù)字人民幣的運(yùn)營(yíng)框架

在數(shù)字人民幣雙層運(yùn)營(yíng)的邏輯框架下，央行希望通過(guò)商業(yè)銀行調(diào)動(dòng)公眾使用數(shù)字人民幣的積極性，在尊重公平競(jìng)爭(zhēng)的前提下充分發(fā)揮市場(chǎng)主體的主觀能動(dòng)性以促進(jìn)數(shù)字人民幣的穩(wěn)健發(fā)展。隨之而來(lái)的是，用戶的個(gè)人信息保護(hù)面臨新問(wèn)題、新挑戰(zhàn)，主要體現(xiàn)在以下兩個(gè)方面：

（一）發(fā)行層：用戶在使用數(shù)字人民幣時(shí)形成數(shù)據(jù)留痕

互聯(lián)網(wǎng)時(shí)代，每個(gè)人都在“裸奔”（張紅，2020）。在互聯(lián)網(wǎng)信息爆炸式發(fā)展的今天，用戶在互聯(lián)網(wǎng)上的一舉一動(dòng)都會(huì)形成一串特定化的數(shù)字代碼并存儲(chǔ)于互聯(lián)網(wǎng)記憶系統(tǒng)當(dāng)中。根據(jù)《白皮書(shū)》，雖然央行致力于將數(shù)字人民幣錢(qián)包打造成“小額匿名可控、大額依法可追溯”的模式，但由于數(shù)字人民幣所運(yùn)用的技術(shù)借鑒了區(qū)塊鏈技術(shù)的全程留痕、可追溯的特點(diǎn)（陳熹，2022），即其離不開(kāi)互聯(lián)網(wǎng)數(shù)據(jù)算法的底層邏輯——“只要使用，必定會(huì)形成數(shù)據(jù)留痕”。因而，不同于現(xiàn)金實(shí)物交易，在使用數(shù)字人民幣的過(guò)程中，相應(yīng)的交易數(shù)據(jù)必然會(huì)形成相應(yīng)代碼并儲(chǔ)存于“兩庫(kù)”當(dāng)中。同時(shí)，相應(yīng)的交易數(shù)據(jù)將流轉(zhuǎn)于多重個(gè)人信息處理者，而現(xiàn)行法律對(duì)于這些處理者的權(quán)利義務(wù)邊界并沒(méi)有詳細(xì)規(guī)定。用戶在兌換服務(wù)中，商業(yè)銀行是第一重個(gè)人信息處理者，負(fù)責(zé)數(shù)據(jù)處理和數(shù)據(jù)監(jiān)管的 “三中心”則是第二重個(gè)人信息處理者。但可惜的是，對(duì)于“兩庫(kù)”的存儲(chǔ)內(nèi)容以及訪問(wèn)權(quán)限目前均未有明確規(guī)定。流轉(zhuǎn)次數(shù)的增多為個(gè)人信息安全增加了不確定性，如若沒(méi)有健全的數(shù)據(jù)保存措施和監(jiān)管制度，隨著流轉(zhuǎn)次數(shù)的增加，個(gè)人信息泄露的風(fēng)險(xiǎn)將會(huì)呈現(xiàn)指數(shù)式增長(zhǎng)。

法國(guó)哲學(xué)家盧梭曾言，沒(méi)有約束的自由不是真正的自由。在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)字貨幣的發(fā)行為市場(chǎng)主體提供了高效、便捷的交易方式，但如若缺乏相應(yīng)的監(jiān)管，將會(huì)為洗錢(qián)、電信詐騙等金融犯罪提供滋生溫床。數(shù)據(jù)留痕正是監(jiān)管的應(yīng)有之義，要求使用者身份明確、個(gè)人信息全面是央行實(shí)施貨幣金融監(jiān)管的現(xiàn)實(shí)路徑，也是其職責(zé)所在（邢愛(ài)芬和付姝菊，2022）。因此，數(shù)字人民幣數(shù)據(jù)留痕是必然趨勢(shì)，這并非問(wèn)題的關(guān)鍵。核心是如何在數(shù)據(jù)私益和數(shù)據(jù)公益中探求雙向平衡點(diǎn)（王煒炫，2022）。用戶在使用數(shù)字人民幣過(guò)程中所產(chǎn)生的數(shù)據(jù)理應(yīng)屬于個(gè)人隱私，而數(shù)據(jù)留痕是貨幣金融監(jiān)管所必經(jīng)的前置程序。后者并不會(huì)直接侵犯數(shù)據(jù)主體的隱私權(quán)，只有在不當(dāng)泄露等違法違規(guī)現(xiàn)象發(fā)生時(shí)，數(shù)據(jù)主體的隱私權(quán)才會(huì)受到侵犯。因而問(wèn)題轉(zhuǎn)化為，在數(shù)字人民幣雙層運(yùn)營(yíng)架構(gòu)的邏輯下，“兩庫(kù)”儲(chǔ)存數(shù)據(jù)的內(nèi)容和訪問(wèn)權(quán)限應(yīng)當(dāng)有何區(qū)別，即商業(yè)銀行和“三中心”的權(quán)利義務(wù)邊界在哪里？央行“大額依法可追溯”的具體情形有哪些？在向第三方披露相應(yīng)數(shù)據(jù)時(shí)應(yīng)當(dāng)履行何種程序？

（二）流通層：個(gè)人信息收集者分散且無(wú)統(tǒng)一的收集標(biāo)準(zhǔn)

根據(jù)《白皮書(shū)》披露，在試點(diǎn)階段，央行首先選擇了若干符合條件的商業(yè)銀行作為中間兌換機(jī)構(gòu)，其中包括了中國(guó)銀行、招商銀行、網(wǎng)商銀行（支付寶）等。根據(jù)數(shù)字人民幣App顯示，用戶在不同商業(yè)銀行開(kāi)設(shè)數(shù)字人民幣錢(qián)包時(shí)都必須同意其制定的個(gè)人信息保護(hù)政策，否則將無(wú)法開(kāi)設(shè)并使用數(shù)字人民幣錢(qián)包。研讀各家商業(yè)銀行的個(gè)人信息保護(hù)政策，不同銀行要求收集的個(gè)人信息內(nèi)容不盡相同。如某銀行要求用戶在轉(zhuǎn)錢(qián)時(shí)提供資金用途信息，而另一家銀行僅要求用戶提供收款方的手機(jī)號(hào)、錢(qián)包編號(hào)等基礎(chǔ)性信息，并未涉及資金用途信息的登記。諸如此類(lèi)的條款內(nèi)容上的差異還有很多。

此外，個(gè)別具體條款或有過(guò)度收集個(gè)人信息之嫌。如某銀行數(shù)字人民幣錢(qián)包個(gè)人信息保護(hù)政策提示，如若用戶拒絕授權(quán)系統(tǒng)后臺(tái)保存交易時(shí)的位置信息，數(shù)字錢(qián)包相關(guān)功能將無(wú)法使用。個(gè)人交易時(shí)所處的位置屬于個(gè)人隱私，用戶有權(quán)拒絕被獲取且拒絕并不會(huì)影響商業(yè)銀行的風(fēng)控機(jī)制。因?yàn)殄X(qián)包開(kāi)通時(shí)已經(jīng)提供了一定量的個(gè)人信息，商業(yè)銀行完全可以通過(guò)其他方式進(jìn)行異常交易監(jiān)控，無(wú)須強(qiáng)制用戶共享時(shí)實(shí)位置。

在數(shù)字人民幣流通過(guò)程中，央行指令多家商業(yè)銀行提供兌換服務(wù)可以緩解數(shù)字人民幣的兌換壓力，但在采集個(gè)人信息方面，個(gè)人信息收集者相對(duì)分散會(huì)令收集標(biāo)準(zhǔn)存在參差，加之目前還沒(méi)有對(duì)商業(yè)銀行隱私保護(hù)政策制定統(tǒng)一的監(jiān)管標(biāo)準(zhǔn)，這進(jìn)一步導(dǎo)致不同商業(yè)銀行個(gè)人信息保護(hù)政策的較大差異。

隱私政策是網(wǎng)絡(luò)服務(wù)商公開(kāi)收集并使用用戶個(gè)人信息的合法性基礎(chǔ)，符合合同法中要約的構(gòu)成要件（Scott，1999），如若用戶對(duì)網(wǎng)絡(luò)服務(wù)商的要約進(jìn)行了“同意”，則意味著用戶作出了承諾。但事實(shí)上，相較于商業(yè)銀行，用戶處于合同談判的劣勢(shì)地位，其根本無(wú)法與商業(yè)銀行進(jìn)行條款磋商。用戶在面對(duì)格式條款時(shí)，只能選擇全盤(pán)接受或者完全拒絕，沒(méi)有討價(jià)還價(jià)的余地。與此同時(shí)，有的商業(yè)銀行在試點(diǎn)推廣數(shù)字人民幣錢(qián)包時(shí)，運(yùn)用數(shù)字人民幣紅包等各種優(yōu)惠手段吸引公眾注冊(cè)并使用數(shù)字人民幣錢(qián)包，卻并沒(méi)有以明顯的方式提示用戶應(yīng)當(dāng)仔細(xì)閱讀個(gè)人信息保護(hù)政策，或涉嫌未履行《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）中的明確告知義務(wù)。

三、域外借鑒：部分發(fā)達(dá)經(jīng)濟(jì)體數(shù)字貨幣的隱私權(quán)保護(hù)

當(dāng)前，域外部分發(fā)達(dá)經(jīng)濟(jì)體也在大力推動(dòng)數(shù)字貨幣的發(fā)展并研究制訂相應(yīng)的運(yùn)作和監(jiān)管規(guī)則，其對(duì)于隱私權(quán)益和個(gè)人數(shù)據(jù)權(quán)益保護(hù)的規(guī)定或可為我國(guó)提供鏡鑒。

（一）數(shù)字美元的隱私權(quán)保護(hù)規(guī)則

2020 年，美國(guó)數(shù)字美元基金會(huì)（Digital Dollar Foundation）協(xié)同埃森哲（Accenture）正式開(kāi)啟數(shù)字美元項(xiàng)目（DDP），旨在研究數(shù)字美元的發(fā)行模式及其發(fā)展軌跡。根據(jù)DDP 發(fā)布的《數(shù)字美元白皮書(shū)》披露，數(shù)字美元的運(yùn)營(yíng)模式同樣采取雙層架構(gòu)，即美聯(lián)儲(chǔ)將向商業(yè)銀行發(fā)行數(shù)字美元，商業(yè)銀行為公眾提供數(shù)字美元的兌換服務(wù)①See Digital Dollar Foundation and Accenture, The Digital Dollar Project: Exploring a US CBDC, (May 2020), http://digitaldollarproj ect.org/wp-content/uploads/2021/05/Digital-Dollar-Project-Whitepaper_vF_7_13_20.pdf.。

《數(shù)字美元白皮書(shū)》專(zhuān)門(mén)對(duì)隱私保護(hù)進(jìn)行介紹。首先，《數(shù)字美元白皮書(shū)》指出如何保護(hù)個(gè)人隱私不會(huì)被政府無(wú)端監(jiān)控是數(shù)字貨幣時(shí)代的癥結(jié)所在。因?yàn)樵趥鹘y(tǒng)的現(xiàn)金交易當(dāng)中，政府難以對(duì)每一筆交易進(jìn)行全方位監(jiān)管，但這并不意味著現(xiàn)金是為了保障個(gè)人隱私的產(chǎn)物，現(xiàn)金保護(hù)隱私的功能源自于其“無(wú)記名工具”的固有屬性。對(duì)于現(xiàn)金交易監(jiān)管，美國(guó)政府規(guī)定如若在貿(mào)易中收到超過(guò)1 萬(wàn)美元的現(xiàn)金應(yīng)當(dāng)履行相應(yīng)的申報(bào)程序。因此，只要涉及貨幣交易流通，隨之而來(lái)的便是交易監(jiān)管，重點(diǎn)在于如何避免無(wú)端監(jiān)管。

其次，《數(shù)字美元白皮書(shū)》指出美國(guó)法院近期拒絕將“第三人理論”擴(kuò)展適用于蜂窩通信數(shù)據(jù)隱私中，即在數(shù)字美元發(fā)行和流通的過(guò)程中，政府獲取公民相關(guān)交易數(shù)據(jù)仍要符合美國(guó)憲法第四修正案之規(guī)定。雖然美國(guó)憲法沒(méi)有明文規(guī)定隱私權(quán)，但是聯(lián)邦最高法院在博伊德（Boyd）案從美國(guó)憲法第四修正案中“解釋”出了“隱私”。在判決中，法院指出，政府的搜查行為侵犯了公民的“個(gè)人住宅的神圣性和個(gè)人生活的隱私”②See Boyd v.United States, 116 U.S.616, 630(1886).。因此，政府搜查公民隱私時(shí)應(yīng)當(dāng)符合美國(guó)憲法第四修正案的實(shí)體和程序要件：第一，在實(shí)體上政府的搜查行為須具有合理依據(jù)（Probable Cause），通常體現(xiàn)為被搜查者具有犯罪的可能性；第二，在程序上政府的搜查行為原則上應(yīng)取得法院簽發(fā)的合法令狀（Warrant），否則政府所獲取的隱私數(shù)據(jù)無(wú)法作為定罪證據(jù)（張?jiān)仯?020）。

但例外是，如若個(gè)人自愿主動(dòng)向第三方提供自己的信息，則不受隱私期待的保護(hù)（向燕，2008）。這一原則又被稱(chēng)為“第三人理論”，并在“美國(guó)訴米勒案”（United States v.Miller）中得以明晰。此案雙方的爭(zhēng)議焦點(diǎn)在于政府向銀行索要被告的賬戶信息是否屬于對(duì)被告隱私的搜查。法院最終裁決，用戶向銀行披露隱私數(shù)據(jù)時(shí)，就已經(jīng)預(yù)料到了銀行可能向政府披露其隱私的風(fēng)險(xiǎn)，故被告不享有美國(guó)憲法第四修正案所規(guī)定的隱私保護(hù)③See United States v.Miller, 425 U.S.435, 443(1976).。

在數(shù)字美元的個(gè)人信息保護(hù)中，美國(guó)法院目前拒絕適用“第三人理論”排除用戶的隱私保護(hù)。一個(gè)主要原因是，在數(shù)字貨幣中，用戶并非自愿主動(dòng)地將個(gè)人隱私數(shù)據(jù)分享給美聯(lián)儲(chǔ)，更多的是政府為了金融監(jiān)管的公益而選擇犧牲部分?jǐn)?shù)據(jù)私益。因此，直接運(yùn)用“第三人理論”排除用戶隱私保護(hù)，無(wú)異于強(qiáng)制將用戶的隱私交由政府無(wú)限制監(jiān)管與使用，將會(huì)給隱私權(quán)保護(hù)帶來(lái)沖擊。

（二）數(shù)字歐元的個(gè)人數(shù)據(jù)保護(hù)規(guī)則

數(shù)字歐元目前仍處于起步階段，未來(lái)也可能采用類(lèi)似數(shù)字人民幣的雙層運(yùn)營(yíng)架構(gòu)（宋鷺等，2022）。歐洲央行發(fā)布的《數(shù)字歐元公眾咨詢(xún)報(bào)告》顯示，隱私是歐元區(qū)用戶最關(guān)心的問(wèn)題。歐盟發(fā)布的《數(shù)字歐元：政策啟示及前景》明確指出，歐洲所有政策和目標(biāo)的第一價(jià)值位階都是保護(hù)隱私，因而數(shù)字歐元的構(gòu)建也應(yīng)著重考慮如何權(quán)衡數(shù)據(jù)隱私保護(hù)和反洗錢(qián)監(jiān)管④See European Central Bank, Report on a Digital Euro, (October 2020), https://www.ecb.europa.eu/pub/pdf/other/Report_on_a_digital_euro～4d7268b458.en.pdf.。該文件“隱私要求”部分提出了“小額匿名、大額可追溯”“加強(qiáng)第三方審計(jì)”“數(shù)據(jù)透明”等三項(xiàng)原則性措施。歐盟《一般數(shù)據(jù)保護(hù)條例》（GDPR）就個(gè)人隱私數(shù)據(jù)保護(hù)作出具體規(guī)定，在數(shù)字歐元項(xiàng)目中，GDPR 或在以下兩個(gè)方面提供合規(guī)思路：

1.知情同意原則

根據(jù)GDPR 第6 條之規(guī)定，當(dāng)至少滿足下列一項(xiàng)情形時(shí)，數(shù)據(jù)處理方為合法：①數(shù)據(jù)主體同意為一個(gè)或者多個(gè)特定目的而處理其個(gè)人數(shù)據(jù)；②數(shù)據(jù)處理對(duì)完成某項(xiàng)數(shù)據(jù)主體所參與的契約是必要的，或者在簽訂契約之前基于數(shù)據(jù)主體要求而進(jìn)行的數(shù)據(jù)處理；③數(shù)據(jù)處理是數(shù)據(jù)控制者為了履行法定義務(wù)所實(shí)施的；④數(shù)據(jù)處理是保護(hù)數(shù)據(jù)主體或者其他自然人的核心利益所必要的；⑤數(shù)據(jù)處理是數(shù)據(jù)控制者為了公共利益或者基于政府權(quán)限而完成某項(xiàng)任務(wù)所進(jìn)行的；⑥數(shù)據(jù)處理對(duì)于數(shù)據(jù)控制者或者第三方所追求的合法利益是必要的，其中不包括需要通過(guò)個(gè)人數(shù)據(jù)保護(hù)以實(shí)現(xiàn)數(shù)據(jù)主體的優(yōu)先利益或基本權(quán)利與自由，尤其是兒童的優(yōu)先利益或基本權(quán)利與自由⑤See GENERAL DATA PROTECTION REGULATION, at https://gdpr-info.eu/art-6-gdpr/ (Last visited on October 8, 2022).。

對(duì)應(yīng)到數(shù)字歐元雙層運(yùn)營(yíng)架構(gòu)當(dāng)中，歐洲央行對(duì)于用戶的隱私數(shù)據(jù)收集和處理可以解釋為履行其對(duì)洗錢(qián)、金融詐騙等違法犯罪行為的法定監(jiān)管義務(wù)，即為了鞏固貨幣金融市場(chǎng)的穩(wěn)定性而讓渡了部分?jǐn)?shù)據(jù)主體的隱私權(quán)，因而其獲取與處理行為具有天然的合法性基礎(chǔ)。但是對(duì)于商業(yè)銀行等提供兌換服務(wù)的中間機(jī)構(gòu)而言，這樣的合法性基礎(chǔ)仍需要通過(guò)數(shù)據(jù)主體的知情同意而獲得，因?yàn)榻鹑诒O(jiān)管的責(zé)任在于歐洲央行，中間機(jī)構(gòu)不存在任何法定義務(wù)。換言之，商業(yè)銀行與用戶簽訂隱私保護(hù)合約時(shí)應(yīng)當(dāng)充分履行明確說(shuō)明義務(wù)，確保用戶在授權(quán)時(shí)知悉合同約束條款，以取得用戶有效的同意。

2.個(gè)人數(shù)據(jù)處理規(guī)則

在厘清歐洲央行和商業(yè)銀行收集處理個(gè)人隱私數(shù)據(jù)的合法性基礎(chǔ)之后，隨之而來(lái)的問(wèn)題是歐洲央行對(duì)于隱私數(shù)據(jù)的披露應(yīng)當(dāng)如何控制？根據(jù)GDPR 第10 條之規(guī)定，官方機(jī)構(gòu)可以在采取恰當(dāng)?shù)姆绞奖Ｗo(hù)數(shù)據(jù)主體的權(quán)利和自由后，處理涉及違法犯罪的個(gè)人信息。本條為歐洲央行實(shí)行貨幣金融監(jiān)管，并將有關(guān)隱私數(shù)據(jù)移送相關(guān)機(jī)構(gòu)提供了合法性基礎(chǔ)。

除此之外，GDPR 強(qiáng)調(diào)數(shù)據(jù)的流通價(jià)值。靜態(tài)的數(shù)據(jù)價(jià)值遠(yuǎn)不如數(shù)據(jù)流通共享所帶來(lái)的社會(huì)經(jīng)濟(jì)效益，但這樣的數(shù)據(jù)流通共享需要在合規(guī)的前提下進(jìn)行。根據(jù)GDPR 第5 條第1 款第5 項(xiàng)，在為了實(shí)現(xiàn)公共利益、科學(xué)、歷史研究或統(tǒng)計(jì)目的時(shí)，并且為了保障數(shù)據(jù)主體的權(quán)利和自由，在已經(jīng)采取了本條例第89 條第1 款所規(guī)定的合理技術(shù)和組織措施的情況下，數(shù)據(jù)可以進(jìn)行超期存儲(chǔ)且進(jìn)行適當(dāng)共享。其中，GDPR 第89 條第1 款主要要求，為以上目的而進(jìn)行數(shù)據(jù)共享時(shí)，應(yīng)當(dāng)保證數(shù)據(jù)最小化原則，即采取相應(yīng)措施保障數(shù)據(jù)主體隱私權(quán)，措施包括但不限于數(shù)據(jù)匿名化。

用戶使用數(shù)字歐元所產(chǎn)生的個(gè)人信息可以形成一張巨大的數(shù)據(jù)網(wǎng)，對(duì)于科研機(jī)構(gòu)分析金融消費(fèi)行為、金融交易發(fā)展等均有重要價(jià)值，對(duì)于歐洲央行分析宏觀經(jīng)濟(jì)形勢(shì)、制訂貨幣政策、提升數(shù)字歐元的用戶黏性有著至關(guān)重要的作用。此類(lèi)個(gè)人金融信息是大數(shù)據(jù)的重要組成部分，具有精準(zhǔn)性和高價(jià)值，是數(shù)字經(jīng)濟(jì)時(shí)代的重要數(shù)字紅利（邢會(huì)強(qiáng)，2022）。但數(shù)據(jù)處理應(yīng)當(dāng)在合法合規(guī)的框架下才能有效運(yùn)行。

（三）小結(jié)

雖然相較于數(shù)字人民幣，數(shù)字美元和數(shù)字歐元的發(fā)展仍處于起步階段，在制度藍(lán)圖上僅有宏觀層面的模型建構(gòu)與原則性的制度方針，但其現(xiàn)行的數(shù)據(jù)隱私保護(hù)規(guī)則以及相應(yīng)的立法思路或能為我國(guó)數(shù)字人民幣發(fā)行、流通中個(gè)人信息保護(hù)制度的構(gòu)建提供一些有益的啟示。

第一，堅(jiān)持法定數(shù)字貨幣雙層運(yùn)營(yíng)的架構(gòu)模式。首先，不同于加密資產(chǎn)比特幣和Libra 的去中心化的獲取模式，法定數(shù)字貨幣由國(guó)家信用背書(shū)的特性決定了其中心化的管理模式。在法定數(shù)字貨幣中，央行承擔(dān)中心發(fā)行的法定職責(zé)，因而央行必然承擔(dān)中心監(jiān)管職責(zé)。其次，由于法定數(shù)字貨幣在法律地位上等同于現(xiàn)金貨幣，具有無(wú)限法償性，為了避免出現(xiàn)擠兌風(fēng)險(xiǎn)，央行無(wú)法直接向公眾發(fā)行數(shù)字貨幣，雙層運(yùn)行架構(gòu)或許是必要的選擇（蓋靜，2021）。最后，在技術(shù)上匿名化和去中心化并非難事，但是數(shù)字貨幣的發(fā)行是為了促進(jìn)經(jīng)濟(jì)的穩(wěn)定健康發(fā)展。如若完全采取匿名化，央行無(wú)法對(duì)數(shù)字貨幣交易中的異常行為進(jìn)行及時(shí)監(jiān)管，數(shù)字貨幣最終可能會(huì)淪為違法犯罪分子的洗錢(qián)工具，進(jìn)而影響國(guó)家貨幣的公信力和國(guó)際地位。

第二，有必要明確何種情形下，數(shù)字貨幣中的個(gè)人隱私會(huì)受到政府監(jiān)管。在反洗錢(qián)監(jiān)管趨嚴(yán)的背景下，個(gè)人交易數(shù)據(jù)留痕早已是板上釘釘?shù)氖聦?shí)。但群眾關(guān)切的是，這些個(gè)人隱私將在何種情況下受到政府監(jiān)管。對(duì)此，美國(guó)憲法第四修正案和相關(guān)判例或許可以提供鏡鑒。就目前而言，如若政府需要獲取存儲(chǔ)于美聯(lián)儲(chǔ)的數(shù)字貨幣個(gè)人隱私，需要提供合理依據(jù)和有效的搜查令，理由包括公民涉嫌洗錢(qián)、詐騙等違法犯罪行為等。由于美國(guó)是判例法國(guó)家，合理與否的判定權(quán)由法官掌握。但這樣的立法模式仍然相對(duì)明晰地界定了政府在何種情況下可以查閱并監(jiān)管數(shù)字貨幣中的個(gè)人隱私。

第三，遵循知情同意原則，并確立數(shù)據(jù)最小化和匿名化的數(shù)據(jù)處理規(guī)則。隨著時(shí)間的推移和用戶使用量的疊加，用戶在使用數(shù)字貨幣時(shí)所產(chǎn)生的數(shù)據(jù)會(huì)逐步形成龐大的數(shù)據(jù)庫(kù)，其數(shù)據(jù)內(nèi)部的關(guān)聯(lián)性會(huì)不斷地加強(qiáng)，或可以通過(guò)數(shù)據(jù)分析的手段提高貨幣金融政策的普適性。這樣的金融數(shù)據(jù)庫(kù)是數(shù)字經(jīng)濟(jì)時(shí)代重要的生產(chǎn)要素，無(wú)論是政府機(jī)關(guān)還是科研組織都應(yīng)抓住數(shù)字時(shí)代的數(shù)字紅利，利用數(shù)據(jù)要素為經(jīng)濟(jì)社會(huì)發(fā)展制訂規(guī)劃或出謀劃策。在數(shù)據(jù)收集處理和流轉(zhuǎn)共享時(shí)需要注重對(duì)數(shù)據(jù)主體的隱私保護(hù)，GDPR 始終堅(jiān)持知情同意原則的指引地位，并明確了數(shù)據(jù)最小化和匿名化的數(shù)據(jù)處理具體規(guī)則，這在一定程度上為數(shù)據(jù)的高效收集和安全流轉(zhuǎn)提供了相應(yīng)的制度保障。

四、路徑選擇：數(shù)字人民幣發(fā)行和流通的隱私數(shù)據(jù)監(jiān)管模式

新事物伴隨著新挑戰(zhàn)，尤其是在數(shù)字經(jīng)濟(jì)高速發(fā)展的時(shí)代，政府監(jiān)管權(quán)和公眾隱私權(quán)之間開(kāi)始出現(xiàn)更多的摩擦。在數(shù)字人民幣的發(fā)展過(guò)程中，政府對(duì)于數(shù)據(jù)公益和數(shù)據(jù)私益的抉擇將直接影響數(shù)字人民幣制度的未來(lái)演變軌跡，如何調(diào)整各方主體的權(quán)利義務(wù)關(guān)系以明確個(gè)人隱私權(quán)與政府監(jiān)管權(quán)的邊界，已然成為數(shù)字人民幣制度完善的一項(xiàng)重要命題。

（一）明確中央銀行在數(shù)字人民幣數(shù)據(jù)監(jiān)管的中心地位

赫維茨（Hurwicz）認(rèn)為，資源配置的有效性、信息的有效性與激勵(lì)的兼容性是判斷制度設(shè)計(jì)優(yōu)劣的基本標(biāo)準(zhǔn)。要在各種可能的制度中選擇一個(gè)資源配置效率較高、信息成本較低、各方利益主體協(xié)調(diào)的制度（田國(guó)強(qiáng)和陳旭東，2018）。在新制度經(jīng)濟(jì)學(xué)的分析視角下，交易成本成為分析制度優(yōu)劣的起點(diǎn)。制度安排中的交易成本都可以通過(guò)數(shù)據(jù)對(duì)比而知悉，而正是由于交易成本的存在造成了制度效率高低有別的現(xiàn)象。在金融監(jiān)管中，如何確立監(jiān)管主體亦然需要考慮制度成本的差異。在數(shù)字人民幣運(yùn)營(yíng)體系當(dāng)中，央行是“兩庫(kù)”數(shù)據(jù)的首要收集者，對(duì)于信息的收集和監(jiān)管均處于第一線，同時(shí)其內(nèi)部“三中心”的設(shè)立也有助于分散制度風(fēng)險(xiǎn)，進(jìn)而起到降低制度成本的作用，由央行直接進(jìn)行數(shù)字人民幣數(shù)據(jù)監(jiān)管應(yīng)是最低成本的方案。

此外，央行作為專(zhuān)業(yè)的法定貨幣發(fā)行中心和商業(yè)銀行的核心監(jiān)管者，對(duì)于儲(chǔ)存金融信息和制定處理規(guī)則、監(jiān)管商業(yè)銀行，相較于其他機(jī)構(gòu)都具有優(yōu)勢(shì)，其自身的專(zhuān)業(yè)能力和水平同樣能減少制度運(yùn)行的信息成本，從而提高監(jiān)管制度中的資源配置效率。

因此，對(duì)于央行數(shù)據(jù)合規(guī)監(jiān)管的中心地位應(yīng)當(dāng)予以明確，主要職責(zé)包括：履行對(duì)“兩庫(kù)”中的數(shù)據(jù)監(jiān)管、數(shù)據(jù)傳輸中的合規(guī)運(yùn)營(yíng)、隱私保護(hù)條款設(shè)計(jì)等方面的監(jiān)管責(zé)任，對(duì)于商業(yè)銀行的數(shù)據(jù)違規(guī)行為予以糾正。

（二）發(fā)行層：設(shè)計(jì)數(shù)字人民幣隱私數(shù)據(jù)的收集處理規(guī)則

1.強(qiáng)化“兩庫(kù)”系統(tǒng)設(shè)計(jì)并明確存儲(chǔ)數(shù)據(jù)內(nèi)容以及訪問(wèn)權(quán)限

在數(shù)字人民幣架構(gòu)中，“兩庫(kù)”的存儲(chǔ)內(nèi)容將直接關(guān)系到數(shù)字人民幣交易過(guò)程中個(gè)人隱私數(shù)據(jù)被收集的程度。因而如何設(shè)計(jì)“兩庫(kù)”系統(tǒng)以及各方主體的訪問(wèn)權(quán)限，對(duì)于個(gè)人隱私數(shù)據(jù)的安全保護(hù)是至關(guān)重要的。

對(duì)此，可考慮對(duì)“兩庫(kù)”進(jìn)行差別化設(shè)計(jì)。首先，數(shù)字貨幣發(fā)行庫(kù)和數(shù)字貨幣銀行庫(kù)的儲(chǔ)存內(nèi)容應(yīng)當(dāng)有所不同。后者應(yīng)為前者的子集，因?yàn)樵跀?shù)字貨幣發(fā)行過(guò)程中，央行處于中心化的監(jiān)管地位，對(duì)于交易信息數(shù)據(jù)的掌握當(dāng)是全面且具體的；而商業(yè)銀行在數(shù)字貨幣運(yùn)營(yíng)體系中主要起到兌換數(shù)字貨幣的橋梁作用，其無(wú)需對(duì)每一筆交易細(xì)節(jié)了如指掌，只需在提供錢(qián)包開(kāi)立、服務(wù)時(shí)采集必要的個(gè)人信息即可。

其次，在具體內(nèi)容上，數(shù)字貨幣發(fā)行庫(kù)應(yīng)存儲(chǔ)有關(guān)數(shù)字貨幣交易的所有信息，以便“三中心”實(shí)時(shí)進(jìn)行數(shù)據(jù)監(jiān)管；而數(shù)字貨幣銀行庫(kù)應(yīng)當(dāng)遵循必要性原則，即該庫(kù)僅可儲(chǔ)存金額變動(dòng)等基礎(chǔ)性交易信息，同時(shí)無(wú)法將交易信息與身份信息一一對(duì)應(yīng)。

最后，在訪問(wèn)權(quán)限上，央行可以出于數(shù)據(jù)監(jiān)管目的訪問(wèn)數(shù)字貨幣銀行庫(kù)，而商業(yè)銀行無(wú)權(quán)查閱數(shù)字貨幣發(fā)行庫(kù)。因?yàn)閿?shù)據(jù)貨幣發(fā)行庫(kù)構(gòu)建的初衷在于使承擔(dān)監(jiān)管職責(zé)的央行能及時(shí)監(jiān)控異常交易數(shù)據(jù)，以打擊洗錢(qián)、詐騙等金融違法犯罪行為。

2.構(gòu)建完善的數(shù)據(jù)查閱和披露體系

國(guó)際社會(huì)已對(duì)數(shù)字貨幣留痕監(jiān)管達(dá)成共識(shí)，但關(guān)鍵在于如何保障個(gè)人隱私數(shù)據(jù)不被無(wú)故查閱和監(jiān)管。英國(guó)行政法學(xué)家韋德曾言，法治并不要求消除廣泛的行政裁量權(quán)，但法治要求控制行政裁量權(quán)的行使。因而，為了切實(shí)保障數(shù)據(jù)主體的隱私權(quán)，有必要明晰政府機(jī)關(guān)查閱隱私數(shù)據(jù)的權(quán)限邊界。于此，如圖2 所示的數(shù)字人民幣隱私數(shù)據(jù)查閱與披露體系或可為我國(guó)將來(lái)立法提供參考。

圖2 我國(guó)數(shù)字人民幣隱私數(shù)據(jù)查閱與披露體系

我國(guó)《個(gè)人信息保護(hù)法》將公民的個(gè)人信息分為敏感個(gè)人信息和其他個(gè)人信息，并在該法第28 條以“概括+列舉”的方式釋明敏感個(gè)人信息的種類(lèi)。在司法上，二者的分類(lèi)標(biāo)準(zhǔn)應(yīng)當(dāng)根據(jù)“一旦相關(guān)信息泄露，是否容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害和是否會(huì)對(duì)個(gè)人的人身安全及財(cái)產(chǎn)安全造成危害”兩個(gè)標(biāo)準(zhǔn)進(jìn)行判定（王利明，2022）。具體到數(shù)字人民幣相關(guān)的個(gè)人信息，“兩庫(kù)”中的數(shù)據(jù)內(nèi)容主要包括用戶的身份信息、賬戶信息、資金流向甚至虹膜、生物臉像等信息。這些信息數(shù)據(jù)在“三中心”的處理下可以實(shí)現(xiàn)一一對(duì)應(yīng)關(guān)系，進(jìn)而形成明確、具體的用戶“畫(huà)像”。對(duì)于用戶而言，這些數(shù)據(jù)是其基于金融交易行為所產(chǎn)生的個(gè)人金融信息。如若不當(dāng)泄露，用戶的資金安全將直接受到威脅，甚至可能為電信詐騙、洗錢(qián)等犯罪分子提供信息來(lái)源，進(jìn)而對(duì)公眾用戶的財(cái)產(chǎn)安全造成危害。因而，數(shù)字人民幣中的交易數(shù)據(jù)屬于敏感個(gè)人信息范疇。

《個(gè)人信息保護(hù)法》第29 條進(jìn)一步規(guī)定了“單獨(dú)同意規(guī)則”，即敏感個(gè)人信息的處理必須經(jīng)過(guò)數(shù)據(jù)主體單獨(dú)同意，在法律法規(guī)特別規(guī)定的情形中還需要取得書(shū)面同意。因此，原則上，如若要披露或者共享用戶在數(shù)字人民幣使用過(guò)程中的交易數(shù)據(jù)，必須取得數(shù)據(jù)主體的單獨(dú)同意，僅通過(guò)隱私政策等形式獲取一攬子授權(quán)并不具有法律效力（王利明，2022）。

關(guān)于原始數(shù)據(jù)的查閱。在數(shù)字人民幣發(fā)行過(guò)程中，央行主要承擔(dān)監(jiān)管異常交易和數(shù)據(jù)保護(hù)職責(zé)，其本無(wú)意對(duì)用戶原始隱私數(shù)據(jù)進(jìn)行共享及披露，央行也無(wú)精力在共享原始數(shù)據(jù)前聯(lián)系每個(gè)數(shù)據(jù)主體取得單獨(dú)同意。因?qū)嵤┏杀具^(guò)高，加之共享動(dòng)力缺位，央行的履職重心應(yīng)著力于數(shù)據(jù)監(jiān)管和數(shù)據(jù)保護(hù)方面。但經(jīng)授權(quán)的特定主體可以基于公共利益的考量，向央行申請(qǐng)查閱特定數(shù)據(jù)主體的原始數(shù)據(jù)，其中包括數(shù)字人民幣錢(qián)包背后的身份信息以及賬戶貨幣交易信息（柯達(dá)，2019）。保留原始數(shù)據(jù)查閱是數(shù)據(jù)留痕監(jiān)管的本質(zhì)和初衷，因?yàn)檠胄性诎l(fā)現(xiàn)異常交易數(shù)據(jù)后，或者在公安、檢察院等法定機(jī)關(guān)提出配合調(diào)查請(qǐng)求時(shí)，根據(jù)《中華人民共和國(guó)刑事訴訟法》等相關(guān)法律規(guī)定，央行有配合提供原始數(shù)據(jù)的義務(wù)。如若原始數(shù)據(jù)不可查閱，那么數(shù)字貨幣監(jiān)管的制度愿景將無(wú)法落地。同時(shí)，原始數(shù)據(jù)的查閱需要有明確的法條授權(quán)。因?yàn)閿?shù)字人民幣具有較強(qiáng)的私法屬性，在滿足數(shù)據(jù)公益的前提下，必須要加強(qiáng)對(duì)數(shù)據(jù)主體隱私權(quán)的保護(hù)，對(duì)于讀取信息的機(jī)關(guān)、讀取條件、讀取程序、讀取內(nèi)容等方面需要作出限制性規(guī)定（趙瑩，2020）。授權(quán)查閱的方式、程序可以通過(guò)成文法的形式予以明確，即非經(jīng)法律明確授權(quán)（如央行履行反洗錢(qián)監(jiān)管職能和刑事訴訟法中的配合義務(wù)等），公安、檢察院等國(guó)家機(jī)關(guān)無(wú)權(quán)查閱數(shù)字人民幣所涉及的原始隱私數(shù)據(jù)。而且在查閱程序和內(nèi)容上，查閱主體應(yīng)當(dāng)履行前置程序，對(duì)于查閱內(nèi)容的范圍應(yīng)當(dāng)在事前予以明晰，不得隨意擴(kuò)大查閱原始隱私數(shù)據(jù)的范圍。

關(guān)于脫敏數(shù)據(jù)的獲取?！禛20 數(shù)字經(jīng)濟(jì)發(fā)展與合作倡議》明確指出，使用數(shù)字化的知識(shí)和信息是數(shù)字經(jīng)濟(jì)時(shí)代的關(guān)鍵生產(chǎn)要素?；ヂ?lián)網(wǎng)、大數(shù)據(jù)、金融科技等手段的廣泛運(yùn)用和融合創(chuàng)新改變了社會(huì)互動(dòng)的方式，也使得社會(huì)在信息化的變革中前行。數(shù)字經(jīng)濟(jì)時(shí)代下，數(shù)據(jù)要素已經(jīng)成為公認(rèn)的五大生產(chǎn)要素之一。數(shù)據(jù)的價(jià)值不在于單個(gè)數(shù)據(jù)背后所代表的信息，而在于數(shù)據(jù)經(jīng)過(guò)不斷疊加、算法處理后所形成的數(shù)據(jù)信息庫(kù)。在數(shù)據(jù)信息庫(kù)中，單個(gè)數(shù)據(jù)早已難以識(shí)別，但是數(shù)據(jù)之間的聯(lián)系將會(huì)加強(qiáng)，對(duì)于社會(huì)大數(shù)據(jù)研究而言是可貴的資源寶藏。在“兩庫(kù)”中，用戶每天不間斷的交易數(shù)據(jù)將會(huì)形成龐大的數(shù)據(jù)網(wǎng)，對(duì)于央行、政府或者其他非營(yíng)利性研究組織而言，將會(huì)是科研與調(diào)研的重要資源。因而“兩庫(kù)”中的數(shù)據(jù)不應(yīng)僅停留在數(shù)據(jù)庫(kù)中成為靜態(tài)物品，而應(yīng)在特定的條件下加速數(shù)據(jù)的共享和流轉(zhuǎn)，發(fā)揮數(shù)據(jù)要素的最大市場(chǎng)價(jià)值，達(dá)到數(shù)據(jù)要素與產(chǎn)權(quán)收益的帕累托最優(yōu)。隱私與共享并不矛盾，矛盾在于如何控制共享隱私的行為（Acquisti 等，2016）。雖然數(shù)據(jù)共享須經(jīng)脫敏、匿名化程序，但脫敏數(shù)據(jù)并不意味著完全無(wú)法還原，脫敏程序只是加大了數(shù)據(jù)還原的難度。在互聯(lián)網(wǎng)技術(shù)高速迭代的今天，脫敏數(shù)據(jù)控制者或可采用脫敏數(shù)據(jù)還原等算法以達(dá)到近乎數(shù)據(jù)還原的效果，從而造成隱私數(shù)據(jù)的二次泄露（唐林垚，2021）。因而作為“兩庫(kù)”監(jiān)管者的央行應(yīng)當(dāng)履行脫敏數(shù)據(jù)申請(qǐng)獲取的審核、審批職責(zé)。

第一，在申請(qǐng)用途方面，脫敏數(shù)據(jù)申請(qǐng)獲取的范圍采取有限列舉的方式，即應(yīng)當(dāng)出于社會(huì)公共利益或者科學(xué)研究等具有社會(huì)公共福利的目的。因?yàn)槊撁魯?shù)據(jù)共享的目的在于利用數(shù)據(jù)要素創(chuàng)造更大的社會(huì)財(cái)富價(jià)值而非為了增加少部分群體的私人盈利。從域外立法看，即使歐美均承認(rèn)數(shù)據(jù)共享流轉(zhuǎn)的社會(huì)經(jīng)濟(jì)價(jià)值，但是歐盟GDPR 第5 條仍把數(shù)據(jù)共享的情形限制于“在為了實(shí)現(xiàn)公共利益、科學(xué)、歷史研究或統(tǒng)計(jì)目的時(shí)”。這亦說(shuō)明了在數(shù)據(jù)要素發(fā)展的起步階段，對(duì)脫敏隱私數(shù)據(jù)流轉(zhuǎn)采取謙抑審慎的態(tài)度是國(guó)際主流。

第二，在數(shù)據(jù)使用監(jiān)管方面，在申請(qǐng)人獲取脫敏數(shù)據(jù)以后，央行不可袖手旁觀，因?yàn)閿?shù)據(jù)如何使用直接影響隱私數(shù)據(jù)的安全性。有必要賦予央行定期復(fù)查數(shù)據(jù)使用申請(qǐng)方數(shù)據(jù)使用情況、數(shù)據(jù)安全管理落實(shí)情況的權(quán)限和責(zé)任。當(dāng)申請(qǐng)方超越申請(qǐng)范圍使用脫敏數(shù)據(jù)或者自身數(shù)據(jù)安全保障措施未達(dá)標(biāo)時(shí)，央行應(yīng)撤回審批，待申請(qǐng)方整改到位后方可重新申請(qǐng)獲取脫敏數(shù)據(jù)。

第三，嚴(yán)守?cái)?shù)據(jù)最小化原則。數(shù)據(jù)流轉(zhuǎn)不是隱私流轉(zhuǎn)，美國(guó)學(xué)者威斯?。╓estin）也曾在《隱私與自由》一書(shū)中提出，政府收集的個(gè)人信息，只可用于特定目的，不可以用于其他目的或者進(jìn)一步共享流轉(zhuǎn)，除非數(shù)據(jù)主體的身份特征已經(jīng)完全抹去，或者他們對(duì)自由共享流轉(zhuǎn)明確表示同意（梁澤宇，2018）?！皟蓭?kù)”中的隱私數(shù)據(jù)能否流轉(zhuǎn)，取決于數(shù)據(jù)匿名化程度是否完備、數(shù)據(jù)脫敏要求是否達(dá)成。我國(guó)《個(gè)人信息保護(hù)法》對(duì)于匿名化并沒(méi)有明確要求，僅規(guī)定了匿名化的信息不屬于個(gè)人信息的保護(hù)范疇。雖然上位法未明確匿名化和脫敏技術(shù)的重要地位，但在執(zhí)法中數(shù)據(jù)脫敏共享已成為基本準(zhǔn)則。根據(jù)2020 年2 月發(fā)布的《中國(guó)人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)做好個(gè)人金融信息保護(hù)技術(shù)管理工作的通知》，其中明確要求建立個(gè)人金融信息脫敏管理規(guī)范和制度，明確不同敏感級(jí)別中脫敏技術(shù)的應(yīng)用規(guī)則。央行作為數(shù)字人民幣監(jiān)管機(jī)構(gòu)，在數(shù)據(jù)處理方面，尤其是在脫敏數(shù)據(jù)申請(qǐng)獲取上，要堅(jiān)持?jǐn)?shù)據(jù)最小化原則，同時(shí)也應(yīng)要求申請(qǐng)方在技術(shù)支持上達(dá)到相應(yīng)水平，以在數(shù)據(jù)共享福利與隱私保護(hù)兩個(gè)方面取得平衡。

（三）流通層：統(tǒng)一規(guī)范商業(yè)銀行的隱私政策條款

1.通過(guò)分級(jí)錢(qián)包的特性確定不同級(jí)別錢(qián)包所需的隱私內(nèi)容

制度是自由的制度，自由是制度的自由。正如學(xué)者艾斯納（Allen Eisner）曾呼吁要回歸市場(chǎng)、注重效率體制，無(wú)論是規(guī)制還是反規(guī)制，核心目標(biāo)都是降低交易成本、提升產(chǎn)權(quán)效率（尹燦，2015）。制度和自由是典型的一體兩面，但二者并不沖突，因?yàn)橹贫鹊慕?jīng)濟(jì)理性決定了制度的選擇。合理的權(quán)力資源配置會(huì)創(chuàng)造出自由的制度，而在自由的制度運(yùn)行中會(huì)激發(fā)社會(huì)主體的主觀能動(dòng)性。二者的最終目的均是為了創(chuàng)造低成本、高效率的自由制度。在數(shù)字人民幣隱私數(shù)據(jù)收集中，政府收集信息的范圍即為制度權(quán)力，而個(gè)人隱私數(shù)據(jù)即為自由。如何匹配二者關(guān)系成為制度構(gòu)建的關(guān)鍵。根據(jù)央行數(shù)字人民幣錢(qián)包的分類(lèi)設(shè)計(jì)，成本最低、效率最高的方案應(yīng)當(dāng)是僅收集該類(lèi)錢(qián)包所必需的個(gè)人信息，超出該類(lèi)錢(qián)包設(shè)計(jì)范圍的個(gè)人信息應(yīng)當(dāng)將選擇自由歸還市場(chǎng)主體。

根據(jù)數(shù)字人民幣App 介紹，數(shù)字人民幣錢(qián)包的分類(lèi)情況如表1 所示。央行對(duì)數(shù)字人民幣錢(qián)包已有相應(yīng)的分級(jí)標(biāo)準(zhǔn)，對(duì)不同級(jí)別錢(qián)包設(shè)立所需的個(gè)人信息也有所界定，而非如部分商業(yè)銀行列出的隱私政策條款所言，需要強(qiáng)制收集用戶的地理位置等。數(shù)字人民幣錢(qián)包的等級(jí)直接影響用戶交易的額度，用戶可以選擇讓渡隱私的程度以換取便捷交易的權(quán)限。如若用戶希望無(wú)限制享受數(shù)字貨幣所帶來(lái)的快捷交易服務(wù)，自然需要提供較多的個(gè)人隱私信息；如若用戶僅將數(shù)字貨幣作為現(xiàn)金的替代品，則無(wú)須過(guò)多提供自身的個(gè)人隱私信息。在匿名程度最高的四類(lèi)錢(qián)包中，僅需要驗(yàn)證手機(jī)號(hào)碼即可開(kāi)設(shè)，雖然我國(guó)通信運(yùn)營(yíng)商的手機(jī)號(hào)要求實(shí)名登記，但是未經(jīng)法定授權(quán)，通信運(yùn)營(yíng)商不可擅自泄露通信主體的身份信息，故相對(duì)而言四類(lèi)錢(qián)包仍具有匿名特性。于此，市場(chǎng)主體便可以根據(jù)自身需求選擇適合等級(jí)的錢(qián)包，并根據(jù)不同分類(lèi)的錢(qián)包提供相應(yīng)的隱私數(shù)據(jù)。

表1 我國(guó)數(shù)字人民幣錢(qián)包的分類(lèi)

2.加強(qiáng)央行對(duì)商業(yè)銀行隱私政策的統(tǒng)一監(jiān)管

制度安排的作用是使總體社會(huì)成本降低，而非使特定群體的成本降低，因而制度中行動(dòng)者的理性偏好應(yīng)當(dāng)優(yōu)位于制定者的偏好。威廉姆森（Williamson）認(rèn)為，權(quán)力具有資源依賴(lài)性（陳耿宣等，2022）。中央銀行和商業(yè)銀行作為數(shù)據(jù)的收集者自然是希望能拓寬隱私數(shù)據(jù)的收集范圍，以加深對(duì)數(shù)據(jù)要素經(jīng)濟(jì)價(jià)值的利用，從而便于進(jìn)行金融監(jiān)管或者提供相應(yīng)的金融服務(wù)。尤其是商業(yè)銀行，個(gè)人隱私數(shù)據(jù)作為新型生產(chǎn)要素已在銀行業(yè)精準(zhǔn)營(yíng)銷(xiāo)、風(fēng)險(xiǎn)控制、改善經(jīng)營(yíng)、服務(wù)創(chuàng)新等過(guò)程中發(fā)揮重要作用（蘇顏，2019）。個(gè)人隱私數(shù)據(jù)背后的用戶“畫(huà)像”有助于商業(yè)銀行為金融消費(fèi)者提供精準(zhǔn)化服務(wù)，對(duì)促進(jìn)商業(yè)銀行業(yè)務(wù)的開(kāi)展有著特殊的作用。在逐利動(dòng)機(jī)的驅(qū)動(dòng)下，目前各家商業(yè)銀行的隱私政策較為籠統(tǒng)，部分信息收集已經(jīng)超出了數(shù)字人民幣錢(qián)包所要求的信息類(lèi)型。但數(shù)字人民幣兌換服務(wù)不同于商業(yè)銀行的一般經(jīng)營(yíng)行為。數(shù)字人民幣的雙層運(yùn)營(yíng)架構(gòu)決定了商業(yè)銀行的定位，數(shù)字人民幣由國(guó)家信用背書(shū)，商業(yè)銀行在數(shù)字人民幣發(fā)行框架中僅承擔(dān)兌換服務(wù)，并不具有相應(yīng)的監(jiān)管權(quán)限，只需要獲取用戶相關(guān)基礎(chǔ)信息（按錢(qián)包分級(jí)而定）并提供兌換服務(wù)。在此過(guò)程中，商業(yè)銀行無(wú)須提供線下?tīng)I(yíng)銷(xiāo)、推銷(xiāo)等專(zhuān)屬業(yè)務(wù)，也不存在商業(yè)銀行和用戶簽訂金融服務(wù)合同（進(jìn)而提供相應(yīng)隱私數(shù)據(jù)）的情形。

對(duì)此，央行可以考慮統(tǒng)一規(guī)范數(shù)字人民幣流通中的隱私政策內(nèi)容，根據(jù)數(shù)字人民幣錢(qián)包分級(jí)明確各家商業(yè)銀行收集用戶個(gè)人隱私的條款，進(jìn)而界定個(gè)人隱私被采集的限度。

（四）推進(jìn)央行數(shù)據(jù)安全能力建設(shè)并完善配套措施

1.利用隱私增強(qiáng)技術(shù)，提升央行數(shù)據(jù)安全治理能力

數(shù)字人民幣的匿名特性決定了只有央行以及經(jīng)法定授權(quán)的機(jī)構(gòu)才可以查詢(xún)?cè)紨?shù)據(jù)。這樣的監(jiān)管架構(gòu)可以將隱私數(shù)據(jù)流轉(zhuǎn)的主體個(gè)數(shù)控制到最少，但這也考驗(yàn)著央行數(shù)據(jù)安全治理能力。由于數(shù)字人民幣的隱私數(shù)據(jù)具有高度私密性，且屬于敏感個(gè)人信息，“三中心”的數(shù)據(jù)處理無(wú)法采取外包方式。這就要求央行必須建立健全完備的數(shù)字人民幣隱私數(shù)據(jù)存儲(chǔ)體系，加強(qiáng)自身數(shù)據(jù)系統(tǒng)的建設(shè)，減少黑客入侵等物理因素所帶來(lái)的金融風(fēng)險(xiǎn)。對(duì)此，新興隱私增強(qiáng)技術(shù)（PETs）或可在技術(shù)層面提供支持。2023 年3 月，經(jīng)濟(jì)合作與發(fā)展組織（OECD）發(fā)布《新興隱私增強(qiáng)技術(shù)——當(dāng)前監(jiān)管與政策方法報(bào)告》，其中對(duì)PETs 進(jìn)行了詳細(xì)介紹。PETs是一系列數(shù)字技術(shù)的合集，主要包括數(shù)據(jù)混淆、加密數(shù)據(jù)處理等工具技術(shù)，旨在解決收集、分析和共享信息過(guò)程與個(gè)人隱私保護(hù)之間的矛盾。新加坡資訊通信媒體發(fā)展管理局（IMDA）就曾推出首個(gè)PETs 沙盒測(cè)試，保障企業(yè)在完成隱私數(shù)據(jù)合規(guī)要求的前提下獲取隱私數(shù)據(jù)中的潛在價(jià)值。PETs 致力于在保護(hù)數(shù)據(jù)隱私的前提下挖掘數(shù)據(jù)價(jià)值。在數(shù)字人民幣場(chǎng)景中，不失為平衡反洗錢(qián)監(jiān)管和隱私保護(hù)的解決思路，也是同類(lèi)問(wèn)題未來(lái)方案的發(fā)展趨勢(shì)（朱瑋，2022）。因此在建設(shè)數(shù)字人民幣隱私數(shù)據(jù)監(jiān)管體系時(shí)，除了前文的法律制度回應(yīng)外，還可考慮新興技術(shù)應(yīng)用的可能性。結(jié)合PETs 的技術(shù)特征，其對(duì)數(shù)字人民幣的隱私數(shù)據(jù)保護(hù)或有以下助益：

第一，央行在收集、儲(chǔ)存相應(yīng)交易數(shù)據(jù)時(shí)可以利用差異隱私等數(shù)據(jù)混淆技術(shù)降低數(shù)據(jù)泄露時(shí)被正確識(shí)別的風(fēng)險(xiǎn)。數(shù)據(jù)混淆技術(shù)的核心在于將真實(shí)數(shù)據(jù)隱匿于混淆數(shù)據(jù)之中，即在真實(shí)數(shù)據(jù)中加入大量混淆數(shù)據(jù)以減少數(shù)據(jù)泄露后的識(shí)別風(fēng)險(xiǎn)。

第二，央行在分析、處理相應(yīng)交易數(shù)據(jù)時(shí)可以采用多方計(jì)算的加密數(shù)據(jù)處理工具實(shí)施聯(lián)合監(jiān)管。多方計(jì)算技術(shù)允許多個(gè)主體同時(shí)輸入信息并查閱相應(yīng)的輸出信息，但是輸入信息并不會(huì)共享于所有參與者。央行在履行反洗錢(qián)監(jiān)管職能時(shí)，通常需要多個(gè)機(jī)構(gòu)的協(xié)同配合，在此過(guò)程中可以運(yùn)用多方計(jì)算技術(shù)，在保障數(shù)據(jù)隱私的基礎(chǔ)上提高反洗錢(qián)監(jiān)測(cè)分析的有效性（朱瑋，2022）。此外，在涉及跨境數(shù)字貨幣交易監(jiān)管時(shí)，各國(guó)監(jiān)管者可以聯(lián)合輸入本國(guó)交易數(shù)據(jù)并對(duì)輸出的交易數(shù)據(jù)進(jìn)行監(jiān)管以判斷其是否符合監(jiān)管要求，但本國(guó)的交易細(xì)節(jié)無(wú)須向他國(guó)進(jìn)行披露以保障本國(guó)公民的隱私。

第三，央行在共享、流轉(zhuǎn)相應(yīng)交易數(shù)據(jù)時(shí)可以聯(lián)合使用數(shù)據(jù)混淆和加密數(shù)據(jù)處理技術(shù)保護(hù)數(shù)據(jù)隱私。首先，數(shù)據(jù)共享的前提是數(shù)據(jù)脫敏，而數(shù)據(jù)混淆技術(shù)中的匿名化技術(shù)可以刪除數(shù)據(jù)中的識(shí)別元素，防止其與數(shù)據(jù)主體相鏈接，從而契合數(shù)據(jù)最小化原則。其次，數(shù)據(jù)共享時(shí)應(yīng)避免數(shù)據(jù)的多重泄露。加密數(shù)據(jù)處理工具通過(guò)數(shù)據(jù)加密的方式完成數(shù)據(jù)一對(duì)一共享，因此在前文提及的數(shù)據(jù)查閱和披露體系中，央行可以在有權(quán)機(jī)關(guān)查閱原始數(shù)據(jù)時(shí)提供安全密鑰以保障數(shù)據(jù)查閱僅在雙方之間進(jìn)行；在共享脫敏數(shù)據(jù)時(shí)，央行可以利用同態(tài)加密技術(shù)將加密的數(shù)字貨幣交易數(shù)據(jù)共享給申請(qǐng)主體，使其在瀏覽并利用數(shù)據(jù)創(chuàng)造社會(huì)財(cái)富價(jià)值的同時(shí)無(wú)法獲取數(shù)據(jù)本身，從而保護(hù)數(shù)據(jù)安全。

2.完善商業(yè)銀行數(shù)據(jù)外包方的市場(chǎng)準(zhǔn)入機(jī)制

數(shù)字人民幣不同于區(qū)塊鏈去中心化的算法，其中心化的發(fā)行模式在一定程度上減少了商業(yè)銀行層面的信息節(jié)點(diǎn)，降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。但在實(shí)踐中，商業(yè)銀行可能由于自身數(shù)據(jù)處理能力有限，一部分?jǐn)?shù)據(jù)收集和處理流程通常委托外包數(shù)據(jù)處理公司。因而，外包方的數(shù)據(jù)處理資質(zhì)也將成為影響用戶隱私數(shù)據(jù)安全的重要因素。

對(duì)此，外包方的準(zhǔn)入機(jī)制要嚴(yán)格參照招投標(biāo)的相關(guān)法律要求，須經(jīng)法定程序且具有相應(yīng)的數(shù)據(jù)處理資質(zhì)方能參與數(shù)字人民幣的數(shù)據(jù)處理。商業(yè)銀行自由選擇數(shù)據(jù)處理項(xiàng)目方的權(quán)利應(yīng)予以適當(dāng)限縮。可考慮通過(guò)招投標(biāo)的方式實(shí)現(xiàn)市場(chǎng)主體的良性競(jìng)爭(zhēng)，篩選出最優(yōu)質(zhì)的數(shù)據(jù)處理商，以切實(shí)保障用戶的隱私數(shù)據(jù)安全，進(jìn)而促進(jìn)數(shù)字人民幣業(yè)務(wù)的持續(xù)發(fā)展。