論大數據背景下金融合規管理中的隱私問題及其倫理對策

呂耀懷 Paula Andrea Aravena

摘?要：大數據技術在金融領域的廣泛應用，一方面，改善了金融服務;另一方面，由于大數據技術自身的屬性而可能導致更多、更大的隱私風險。在這種背景下，金融領域的合規管理面臨雙重的隱私風險：一是金融實體之業務活動所可能產生的隱私風險，二是合規管理自身所可能產生的隱私風險。因此，為了應對金融領域中合規管理所可能遭遇的隱私問題，也就需要有兩個方面的倫理對策：一是針對金融實體全部業務活動中隱私風險的倫理對策，二是針對有權接觸、利用金融客戶數據、信息的合規管理人員的倫理對策。除了基本的倫理對策之外，為了使得柔性的倫理對策不至于成為花瓶般的擺設，有必要為其設置相應的制度保障。

關鍵詞： 大數據;金融合規;隱私;倫理

中圖分類號：F830.22?文獻標識碼：?A?文章編號：1003-7217（2021）01-0002-08

一、引?言

合規是從國外引進的管理術語，近些年在中國的學術界和管理領域得到越來越多的關注。雖然從人類誕生以來就存在著合規的問題，但合規這一概念的出現以及其有意識的運用則要晚很多。按照Ramakrishna S P的推測，最早的涉及合規的問題大概“從亞當吃禁果開始”[1]。其意思顯然是，上帝制定了規則，而亞當的行為則違背了既有的規則，這種違背即是明顯的不合規。雖然類似的合規問題由來已久，但人們對這種問題的認識或將其正式地表述為合規與不合規，并力圖通過特定的管理來減少甚至消除不合規現象，則是近期受到關注的事情。而作為合規管理重要領域的金融合規，則是諸多合規管理研究者津津樂道的問題。Ramakrishna S P的研究認為，“在金融服務領域，可以毫不夸張地說，合規的歷史與監管密切相關”，“對金融服務的結構性監管從20世紀80年代開始演變，這種明顯的與形式結構相一致的現象是最近才出現的，本質上是21世紀的一種現象”，而“合規是一個后監管過程，因此滯后于監管”[1]。這樣看來，對金融合規問題的重視與研究，顯然不會早于20世紀80年代，尤以進入21世紀以后為盛。

我國學界對于合規的研究相對較弱。若以“合規”為關鍵詞在中國知網的學術論文范圍內檢索，則可發現，2011-2017年為相關論文或疑似相關論文發表的高峰時段，分別為119、145、121、138、157、190、162篇。但是，這里用作關鍵詞的“合規”，其中有些并不具有如今國外普遍重視的合規研究方面的意義。例如，在中國知網給出的以“合規”為關鍵詞的學術論文檢索結果中，發表于1955年的就有13篇。毫無疑問，如此檢索得到的所謂關于“合規”的論文，并不完全是或有許多并不是現代意義上的涉及合規問題的論文。而如果以本來在合規研究方面最為熱門的“金融合規”為關鍵詞在知網的學術刊物范圍內搜索，僅得到一篇學術論文，即李笑笑、張璽在2013年發表于《鄭州航空工業管理學院學報》的《金融創新理論視角下民間金融合規化問題探討》?？梢?，人們對這個問題的關注遠遠不夠。雖然也有一些研究銀行特別是商業銀行合規管理問題的論文，但銀行合規管理只是金融合規管理的一個方面，金融合規包括但不限于銀行合規。

在信息化日益發展的今天，大數據技術得到了迅猛發展和迅速普及，其在社會生活各個方面的運用是有目共睹的。在金融領域，大數據技術的運用也為普通人所廣泛感知。與此同時，對大數據的研究也得到迅速地發展并呈現出多視角、多方面的態勢而不限于單一的技術方面。隨著大數據在金融領域中的廣泛運用，其在提供金融服務效率、改進金融服務功能的同時，由于大數據技術本身的一些固有特性，也容易造成新的隱私風險。對于這方面的隱私風險，人們普遍缺乏足夠的認識。而由于人們對金融合規本身價值的重視，又可能更加忽視金融合規過程中可能出現的尤其是基于大數據技術運用所導致的隱私風險。因此，問題還不在于相關的研究是多還是少，而在于相關的研究是否真正揭示了存在的問題，并提出了相應的對策。因此，理性地揭示并清晰地分析這方面的問題，提供相應的對策，給出一種超越技術方面的思考非常必要。

二、大數據背景下金融合規管理面臨的隱私風險

隨著大數據技術的發展與普及，其在金融合規管理中得到了日益廣泛的應用。

大數據時代已經來臨，雖然人們對大數據的概念存在著不同的認知，但通常不會反對如此解釋大數據：所謂大數據，是指數據存儲量超過具有收集、存儲、管理和分析數據功能的傳統數據庫軟件的數據集合。一般看來，大數據具有 3V 特征： 海量數據規模（Volume）、快速的數據流轉和動態數據體系 （Velocity）、多樣數據類型（Variety），桑尼爾·索雷斯（Sunil Soares）還加上了第4個V ：巨大數據價值（Value）[2]。大數據日益成為“人們獲得新的認知、創造新的價值的源泉; 大數據還是改變市場、組織機構以及政府與公民關系的方法”[3]。大數據所匯集的各種數據，可以大致歸類為五種[2]：（1）Web和社交媒體數據。包括點擊流和社交媒體數據，如Facebook、Twitter、LinkedIn中的數據和博客。（2）機器對機器的數據。機器對機器的技術，簡稱M2M，支持無線和有線系統與其他設備進行通信。M2M使用傳感器或儀表設備捕獲速度、溫度、壓力、流速和鹽度等信息。被捕獲的各種信息，通過無線、有線或混合網絡傳送到應用層，并被轉化為有意義的信息。（3）大體量交易數據。包括醫療索賠、電信CDR和公用設施計費單。準結構化或非結構化格式的大體量交易數據正在不斷增長。（4）生物計量學數據。生物識別或生物計量學，指基于解剖或行為特點和特征的人體自動識別。解剖數據來自于指紋、虹膜、視網膜、人臉、手的輪廓、耳型、聲音模式、DNA;行為數據包括書法和擊鍵行為分析。（5）人工生成的數據。人類制造了海量的數據，如呼叫中心客戶代表的記錄單、錄音、電子郵件、紙質文件、調查問卷和電子病歷等，此類數據可能包含需要屏蔽的敏感信息，也可能包含可提高結構化數據質量并與主數據管理整合的洞察力。

以上五個種類的數據中，難免包含有某些需要屏蔽的敏感信息、個人在不知不覺的情況下被記錄下的信息等等，而運用大數據技術對于這些數據的進一步加工、集成、處理，又可能產生更多的、個人并不想讓他人知曉的信息。

大數據技術一經產生，就顯示出多方面的應用價值。就金融領域而言，“在金融服務方面，利用大數據從多維度評估對象的信用水平，打破時空限制，使得金融服務的開展更便捷。例如，螞蟻金服利用大數據，可以從 100 多個不同的風險維度評估客戶的信用水平，快速為用戶提供不同額度的貸款” [4]。還有“一種用于大型和半結構化數據的并行運算和統計分析的軟件生態”即Hadoop 在銀行業務中的應用。Hadoop“能夠從銀行內部的海量數據中獲取商業價值和情報，其處理日益復雜數據的能力和伸縮性能幫助銀行發現新的商機。同時，大數據用公共數據源和社交媒體里半結構化數據補充和豐富內部數據，以實現數據價值的最大化” [5]。

當然，大數據技術不僅可以應用于金融服務或實現金融數據價值的最大化，它甚至還成為了金融合規管理的一種新型的、重要的手段或工具。

什么是合規？根據巴塞爾銀行監督委員會（Basel Committee on Banking Supervision）于2005年5月發布的《合規與銀行合規職能》（《Compliance and the compliance function in banks》[6]），針對銀行業務和運作的合規是指銀行內部應當具有的一種獨立職能，其目的在于管理銀行自身的合規風險。這里之所以主要依據《合規與銀行合規職能》來解說合規，是因為該文件被認為是“關于金融服務的正式合規職能的第一個也是最基本的權威文件”[1]?！昂弦幨墙鹑诜諛I運營和聲譽的關鍵”[7]。現在包括銀行在內的所有金融服務業，都極為重視以合規為主題的管理。銀行的合規管理是銀行內部所應具有的管理自身合規風險的獨立職能。那么，什么是合規風險呢？根據《合規與銀行合規職能》第1條規定，“合規風險”是指銀行因未能遵循法律、監管規定、規則、自律性組織制定的有關準則，以及適用于銀行自身業務活動的行為準則（以下統稱“法律、規則和準則”）而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。有論者更為簡潔地對“合規風險”予以這樣的界定：合規風險是“由于不遵守法律、行為準則、良好行為標準或監管規定而對銀行的誠信或聲譽產生負面影響的任何行為或活動” [8]。在這些認識的基礎上，我們可以將合規管理視為確保銀行在開展業務經營活動時遵守“法律、規則和準則”的內部職能。這里所謂的“法律、規則和準則”，具體來說，可以分為四個層面：第一個層面是指具有最高水平之強制效力的法律法規，其主體部分由監管機關頒布的監管法規所組成;第二個層面是不具有法律法規那樣強大的強制效力的行業協會的操作準則和市場慣例等;第三個層面是銀行內部規范，即銀行在日常經營管理過程中依據上述外部規則而制定的內部的具體規章制度;最后一個層面是倫理規范層面，根據《合規與銀行合規職能》第5條的規定，“法律、規則和準則”不僅包括那些具有法律約束力的文件，還包括誠實守信等倫理規范。

在大數據時代，金融行業的合規管理勢必要利用似乎無所不能且極為方便的大數據技術，而從上述對大數據的認知及關于“合規風險”的解釋可以推知，在大數據時代，金融行業特別是銀行業所面臨的“合規風險”中，很可能包含且放大了廣為人們擔心的隱私風險，這樣的風險在“大數據用公共數據源和社交媒體里半結構化數據補充和豐富內部數據”的情況下尤其突出。

自1890年沃倫（Samuel Warren）等人發表《隱私權》[9]一文以來，私人領域的隱私風險越來越受到學者和普通人的關注。在社會進入信息化時代之后，人們對隱私風險的關注逐漸發散到公共領域，于是有了對公共領域中隱私問題（privacy in public）的擔心與研究[10]。在大數據時代，公共領域的隱私問題更為突出，因為借助于大數據技術，人們更容易搜集、合成、積聚、編輯可能導致隱私風險的信息[11]。

在很大程度上，現在的金融技術（Fintech）其實也是大數據技術，即大數據技術在金融領域的廣泛運用。大數據技術在提升金融服務效率、促進金融事業發展的同時，也可能導致前所未有的一些風險，例如眾所周知的隱私風險。如果說金融領域中的某些個人數據之前并不被認為有隱私問題，那么，基于大數據技術對這些信息的搜集、合成、積聚、編輯，則有可能導致之前并不存在的隱私風險;如果說金融領域中之前就可能存在著個人數據方面的某些隱私問題，那么，在廣泛使用大數據技術之后，隱私問題就可能被放大，即成為更可能發生且后果更嚴重的隱私問題。此處，我們以大數據背景下的銀行客戶關系管理為例予以具體分析。在當今時代，客戶往往有與多家銀行之間的松散關系，而銀行則往往無法全面了解客戶的偏好、購物特點和消費習慣，也不再能夠壟斷客戶的金融交易。然而，與客戶建立牢固的關系又是銀行存在和發展的必要途徑，故銀行必須動態了解消費者的興趣和愛好，持續關注客戶滿意度，保持與客戶的多渠道聯系。這樣的話，銀行就應當注重外部信息來源（如社交網絡、客戶電話記錄、客戶郵件、保險理賠），以便更好地了解客戶的心理狀態[5]。而對“社交網絡、客戶電話記錄、客戶郵件、保險理賠”的關注，就顯然已經進入前述桑尼爾·索雷斯所說大數據之五個方面的數據范圍之內。在這種情況下，如果銀行自身缺乏足夠的自律或缺乏強有力的內部控制機制，則如此涉及金融業務之外的客戶信息就很有可能導致合規風險中的隱私風險。如此產生的隱性風險，在非大數據條件下可能無法得以形成，但附著于大數據技術卻使之變得十分現實。

特別應當注意的是，“合規管理在銀行中的作用不局限于組織內部，還延伸到客戶身上。銀行必須監控其客戶的交易，以了解他們是否在法律允許的范圍內開展業務，是否從事非法活動” [12]。在這樣的延伸到客戶身上的銀行合規管理中，尤其可能引發隱私風險，因為銀行作為合規管理的主體完全有條件以此為名義而去搜集銀行客戶的各種信息包括隱私信息。這就提示我們：大數據背景下金融合規管理所面臨的隱私風險，除了有由非專門的合規管理部門的金融業務行為所可能導致的合規風險中包含的隱私風險之外，金融合規管理過程或這種管理行為本身也可能產生相關的隱私風險。在大數據背景下，金融合規管理勢必要接觸到各種基于大數據技術的客戶個人信息，而如果金融合規管理主體不能正確地處理這樣的信息，就有可能使得這些信息處于各種風險之中，其中必然也包括了隱私風險。仍以銀行的合規管理為例，銀行是市場經濟條件下具備經濟人之基本要素的機構，其管理行為就一定會受到其經濟人本性的影響。若銀行所面對的各種客戶信息中可能有讓其感興趣的內容或客戶信息有可能被銀行用來服務于其功利、利益或效益，則作為合規管理主體的銀行也往往冒著可能發生的合規風險去收集、整理甚至挖掘這樣的內容。在包含這樣的內容的客戶信息中，有些本身即已是隱私性質的信息，有些本身并非直接的隱私信息，但通過一定的基于大數據技術的挖掘、整合則可能呈現為某種程度的隱私信息[11]。這就是說，即使是金融機構自身的合規管理，也可能由于其自身固有的經濟人特性而趨向于產生某種隱私風險。在沒有強有力的外部制約或有效的自我制約機制的情況下，這種趨向無疑具有一定的必然性。

有論者曾經認識到且指出過銀行合規職能與隱私問題的關聯。例如，Jonathan Edwards等在其對銀行合規職能之涉及對象的分析中，就明確將隱私和數據保護作為這樣的對象[8]。另有論者在解說前述巴塞爾銀行監督管理委員會的文件所界定的合規風險概念時明確指出，根據這一文件，合規風險就涉及到隱私和數據保護等問題[13]。這樣的認識當然值得肯定，但在大數據時代僅僅有這樣的認識還不夠，而應當更進一步將合規管理與隱私風險的關系明確地置于大數據的背景下，清醒地看到并客觀地把握大數據背景對于合規管理與隱私風險的影響。

三、新時代金融合規管理中隱私問題的倫理對策

既然大數據背景下金融合規管理中存在著不容否定的隱私風險且這種風險較之過去甚至更為嚴重，那么，我們就不僅不能忽視這樣的隱私問題，而且還應當尋求解決這樣的問題的各種對策。倫理對策是最為基本的對策，倫理思考是其他所有對策的基礎和根據即正當性之來源。因此，在重點考慮大數據背景下金融合規管理中隱私問題的倫理對策時，也呈現出一些相關的倫理思考。當然，金融領域并非只有銀行這樣一種實體，保險、證券、投資等方面的實體也屬于金融領域。但是，為了鎖定最重要的焦點問題并使得討論足夠集中且具體化，我們主要針對銀行業的情況展開相關分析，而由于銀行在金融領域中處于公認的重要地位且具有相當的代表性，故此處的分析或結論原則上也適用于金融領域中的其他行業。

為了解決大數據背景下金融合規管理中的隱私問題，就需要根據大數據生命周期的規律性來設置或提出適用于維護特定隱私權利的具體道德要求。

基于上述認識，可以針對大數據生命周期中的安全風險來考慮一些可供操作的、相對具體的道德要求?！按髷祿纳芷诎〝祿a生、采集、傳輸、分析與使用、分享、銷毀等諸多環節，每個環節都面臨不同的安全威脅。其中，安全問題較為突出的是數據采集、數據傳輸、數據存儲、數據分析與使用四個階段”[14]。在金融領域，客戶的隱私風險就屬于安全風險的重要組成部分。因此，為了避免或防范出現這樣的隱私風險，完全可以考慮在安全問題較為突出的數據采集、數據傳輸、數據存儲、數據分析與使用這四個階段分別采取有針對性的倫理對策。

1.在數據采集階段，一旦真實數據被采集，則用戶隱私保護就會完全脫離用戶自身控制，故此階段存在著比較突出的隱私風險。對于金融領域的合規管理來說，在這個階段最為重要的就是要強調并落實客戶數據采集者的相關倫理責任。這種倫理責任要求客戶數據采集者不僅必須保證其相關的采集行為是正當的金融業務所需要的行為，而且還有責任保證其所采集的客戶數據不被用于未經客戶許可的其他方面。將這種責任定義為倫理責任，意味著即使金融領域的客戶數據采集者還沒有被賦予相關的法律義務，還沒有受到更具約束力的其他規范的制約，其自身也應該具備一種自覺的自律機制，以自動限制或避免可能造成隱私風險的客戶數據采集行為。

2.數據傳輸階段的主要安全目標是保證數據內容在傳輸過程中不被惡意攻擊者收集或破壞。金融領域所搜集的各種客戶數據，即使沒有被傳播到金融領域之外的其他地方，也必定在金融領域內部形成數據傳播。而在這樣的傳播過程中，對金融客戶的數據尤其是隱私數據感興趣者大有人在。金融實體之所以需要這樣的客戶數據，往往是因為這樣的數據有利于發展金融業務或有助于改進金融服務，但金融領域中可能有些人并不從事與此相關的業務或服務，卻出于個人目的或基于其他不正當需求而傾向于獲取客戶數據。由于這些人處于金融領域內部、居于金融實體之中且更有條件接觸或獲取金融實體所采集的客戶數據，故他們對客戶數據所造成的隱私風險也就更為明顯。因此，對于金融領域的合規管理來說，這個階段最為重要的就是要消解內部人員中對于客戶數據的可能的惡意攻擊者或破壞者。而要有效地落實這樣的消解，首先就應當對金融實體內的全體人員加強相關的道德教育，使得其內部成員都養成良好的職業道德，提升保守客戶信息之秘密的自覺性;其次，尤其應當教育金融實體中客戶信息的傳輸者，務必意識到客戶信息在傳輸過程中可能遭遇的各種風險，重視防范客戶信息被惡意攻擊者收集或破壞的可能性。

3.數據存儲階段面臨的安全風險不僅有來自外部黑客的攻擊、來自內部人員的信息竊取，還包括不同利益方對數據的超權限使用等。金融實體所搜集的客戶數據具有重要的經濟價值，這種價值不僅為金融實體所重視，而且也往往為一些不良用心者所覬覦。因此，外部黑客、內部蛀蟲都可能會想方設法去獲取客戶數據。既然金融實體已經采集并存儲了不少相關的客戶數據，那么，這些被存儲的客戶數據就可能成為竊取、盜用的直接目標。從倫理上說，要求這些本來就心存不軌者從善如流似乎是不現實的，對他們而言，唯一可能的選擇就是要提高儲存這些客戶數據包括許多客戶隱私信息的當事人的倫理責任，要求他們以高度的責任心來對待客戶數據的儲存，并將安全措施的更新換代也上升到倫理責任的高度。在金融實體內部，某些客戶數據往往被限定為得到許可的相關利益方使用，但金融實體內部的其他利益方出于自身利益考慮也可能企圖利用處于同一實體的條件來獲取這些客戶數據。這就要求客戶數據存儲者還要一視同仁地對待實體內部的各利益方，任何一方都不能超越權限或突破權限地去利用被存儲的客戶信息，這不僅是倫理責任的要求，也是金融實體內部公正的體現。

4.在數據分析與使用階段，可能出現多源異構數據集成中的隱私泄露，數據使用者也可能通過數據挖掘得出用戶刻意隱藏的信息，數據分析者還可能在進行統計分析時獲得具體用戶的隱私信息。在這個階段，對于金融領域的合規管理來說，最重要的就是要強調合理地限制數據挖掘和統計分析。合理的數據挖掘和統計分析，無疑有助于金融實體業務的開展和服務的改善，但如果數據挖掘和統計分析陷入無度的狀態，則往往使得包含在客戶數據中的客戶隱私處于風險之中。怎樣對金融實體的數據挖掘和統計分析予以合理的限制呢？這樣的限制至少包括兩個方面：其一，從主觀上說，對于客戶數據的挖掘和統計分析應該出于善意而不是被惡意所驅使。如果動機不好，則對于客戶數據的挖掘和統計分析都可能被視為出于邪惡從而被予以否定的評價。而這方面的良善動機，主要就是為客戶著想、力圖增進而不是削弱客戶利益。其二，從客觀上看，如果過度挖掘客戶數據或對客戶數據的統計分析做過頭了，就可能導致對客戶利益其中包括隱私利益的實際傷害。因此，無論是數據挖掘還是統計分析，都應當避免造成這樣的對客戶利益的實際傷害。金融領域的合規管理方面應發揮的基本功能就是著重提升客戶數據使用者或分析者保護客戶相關權益的道德自覺性，加強維護客戶信息尤其是隱私信息的職業責任。

金融領域合規管理過程中，管理者客觀上會大量接觸到涉及客戶隱私的數據，主觀上也可能存在某些非法獲取客戶隱私的動機或利益需求，因此，金融領域中合規管理隱私風險的倫理對策，除了應當有對合規管理對象（包括人與行為）的道德規范，還應當有對于合規管理主體自身相應的倫理要求。

就防范隱私風險而言，對于合規管理主體的倫理要求主要包括以下幾點：

第一，對合規管理主體的管理權限應當予以明確界定，至少應當將這種權限維持在合理的道德邊界內。合規管理主體肯定需要有一定的管理權力，這種權力能夠保障合規管理主體進行正常的管理活動。然而，合規管理主體卻無權侵犯客戶隱私。這就意味著，合規管理主體的管理權力必須限制在不至于造成客戶隱私權利被侵犯的范圍內。如果沒有涉及到客戶的隱私，沒有造成對客戶隱私的侵犯，則合規管理主體的管理活動就可能具備一定的正當性;雖然也可能存在著一些其他方面的客戶數據安全問題，但這里著重考察的是隱私問題，故我們給出的倫理對策主要是就隱私風險而言的，在這個意義上，避免造成客戶數據的隱私風險或客戶隱私權利的傷害，就是合規管理主體之相關管理活動的道德邊界。即使查閱、調用客戶的隱私信息可能便于進行合規管理活動，但這種道德邊界的設置，就要求合規管理主體不能為了方便管理而以犧牲客戶的隱私權利為代價。

第二，合規管理主體應當明確意識到自己在管理活動中負有重大的道德責任，這種道德責任的一個重要方面，就是將自己的管理活動同時視為是對客戶數據特別是客戶隱私信息的負責任行為。對于合規管理主體管理權限的道德邊界的設定，形成一種外部強制，即使這種道德邊界的強制性并不特別強烈或有力，但這畢竟是道德約束力的表現，而道德更重要的是要調動或啟發行為主體的自我約束即道德自律。這樣的自律，用康德的話語來表示，是純粹出自義務的行為，而從責任倫理的角度來分析，則是一種強烈的主體責任行為。道德邊界雖然屬于某種程度的他律，但道德邊界的設定卻是不可或缺的，因為如果沒有設置明確的道德邊界，則道德要求就可能流于抽象化而難以在實踐中得以具體落實;強化合規管理主體的道德責任，則使得道德邊界這樣的他律得以主體化，最終形成道德的自律。

第三，合規管理主體在其管理活動中應當特別注意發現和排查那些可能對客戶隱私信息造成風險的因素，一旦發現這樣的因素，就應當立即予以清理或消除。合規主體的管理活動不僅僅是為了本機構或公司的利益，而且要考慮或維護客戶的相關利益，尤其是現在廣為人們重視的隱私利益。合規管理主體隸屬于其所在機構或公司，故其理所當然要為其所在機構或公司的利益服務，但如果合規管理主體僅僅以其所在機構或公司的利益為上為先，則很可能造成對客戶隱私利益的傷害，這至少在道德上是不公平的、不正當的。因此，合規管理主體應當跳出狹隘的部門利益的視角或追求，站在更廣泛的群體利益的立場上考慮問題、做出選擇，這樣，才能在最大程度上避免客戶的隱私利益在合規管理中被任意踐踏或犧牲。

四、支撐相關倫理對策的制度保障

雖然我們可以從道德的角度提出各種有關合規管理中的隱私風險的對策，但這種道德對策畢竟只能訴諸人們的內心，故其往往可能缺乏足夠的剛性。為了使得這樣的缺乏剛性的道德對策能夠發揮其應有的作用，就需要為其設置剛性的制度保障。有西方學者在討論合規問題時曾經這樣指出：為了減少包括隱私風險在內的諸種風險，“公司不僅要不斷努力營造基于其道德價值觀的工作環境，還要建立一系列的內部控制制度” [15]。這種基于道德價值觀的工作環境主要包括確立相關的但卻是柔性的倫理對策，而所謂“內部控制制度”則具有一定的剛性，但剛性的制度并非只有內部形式，還會有外部的但卻同樣具備甚至更具制約剛性的制度。實體之內部控制制度與外部約束制度的聯動，就構成了上述倫理對策的制度保障。這種制度保障以其不同的剛性而賦予柔性的倫理對策以強有力的背后支撐，而柔性的倫理對策在剛性的制度支撐下，不再顯得軟弱無力、可有可無或流于形式，從而能夠成為一種可貫徹于實體各種管理活動乃至注入實體內不同層次的管理者、經營者及普通員工之靈魂中的精神性存在。能夠助力倫理對策發揮作用的剛性的制度保障主要有以下幾種：

首先，是法律（包括法規）方面的保障。法律（或法規）是公認最具剛性的制度，因為其通常以國家強制力為后盾。如果違背了法律（或法規）的要求，就會受到國家強制力的懲罰，而這種強制是不以法律法規以外的意志為轉移的。合規的本義中即有合乎法律要求的意思。如前所述，根據《合規與銀行合規職能》第1條規定，“合規風險”是指銀行因未能遵循法律、監管規定、規則、自律性組織制定的有關準則以及適用于銀行自身業務活動的行為準則而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險。如此看來，遵守法律法規就是合規管理本身的題中應有之義。問題在于，大數據背景下針對金融合規管理之隱私風險的法律法規還不夠完善，這就可能給利用大數據來侵犯客戶隱私的行為在某種程度上打開了方便之門。例如，2017年出臺的具有法規性質的《中國人民銀行關于加強反洗錢開戶管理及可疑交易報告后續控制措施的通知》，其產生于大數據時代，本來在強調“切實提高洗錢風險防控能力和水平”的同時，還應當且也可能針對大數據背景下包括反洗錢任務的銀行合規管理給出有關客戶隱私方面的限制，但這方面的限制卻明顯闕如。這一法規性文件中有這樣的規定：“對于通過可疑監測標準篩選出的異常交易，各金融機構和支付機構應當注重挖掘客戶身份資料和交易記錄價值，發揮客戶盡職調查的重要作用，采取有效措施進行人工分析、識別” [16]。這樣的規定無疑是十分重要且必要的，但在大數據背景下僅僅強調如此操作，則極有可能忽視隱私風險或誘發對客戶隱私的侵犯。因此，當務之急是必須盡快完善這方面的法律法規，特別是要加強金融領域保護客戶隱私的法律法規建設，堵死不法分子利用大數據的技術手段來侵犯客戶隱私的方便之門。此外，相關的法律法規還必須嚴格約束金融合規管理人員的行為，使得即使是合規管理行為也被嚴格限制在不觸動客戶隱私的范圍內。任何人都不得以金融實體利益的名義或合規管理的借口無限制地獲取、集成、挖掘、使用客戶信息，這是相關法律法規限制的底線。法律法規由于訴諸國家強制力，最具剛性和約束力，因此，如果有人企圖基于不法目的獲取和使用客戶數據包括客戶隱私信息，就會受到法律法規的嚴厲制裁;如果這種制裁達到足夠嚴重的程度以致使得不法分子因受制裁而遭受的損失遠遠超過其不法行為所獲得的利益，那么，這樣的法律法規對于抑制侵犯客戶隱私行為的作用效果就十分明顯。羅伯特·考特等指出：“對法的經濟分析來自這一看法——法院實行的法律規則對許多不同行為帶來隱含的價格，而且可以用經濟學家分析消費者或生產者對明顯價格的反應的方法來研究決策者對這些隱含價格的反應”[17]?；谶@樣的分析，對違反犯罪行為的懲罰，就必須“使得非法行為的預期成本高于合法行為的預期成本”[17]。針對大數據背景下合規管理之隱私風險的法律法規，就必須在立法時充分考慮到這個因素，對侵犯客戶隱私予以法律法規懲罰的力度一定要明顯增加這方面之違法犯罪行為的成本，使得這種違法犯罪行為所可能得到的利益明顯低于其可能付出的成本，這才足以遏制此類違法犯罪行為，真正有效地保護客戶隱私。這樣的法律法規還需要相應的倫理基礎，即其精神實質應當與正確的倫理道德的要求保持一致。在可以得到充分的道德辯護因而堪稱“良法”的相關法律法規如此保障的基礎上，相關的倫理對策就易于落實，其實施就必定會富有成效了。

其次，是金融行業之行業規章的保障。行業規章指的是一個行業所成立之行業協會的各個會員單位，一起協商制訂出本行業內各個會員單位都必須執行的行為規范和標準，用來制約和指導本行業各會員單位的行為，以使得行業整體在合理合法的軌道上運行，同時，也促進社會的進步與和諧。金融行業的所有會員單位，都必須遵守這樣的規章;這樣的規章對金融行業內各個成員單位的約束，可以彌補相關法律法規的不足，進一步避免了法律法規尚不能避免或因其滯后而來不及避免的某些漏洞或風險。金融行業的行業規章具有一定的強制性，因為如果某個會員單位不執行或不遵守這樣的行業規章，就可能會受到行業協會的制裁，這種制裁通常關聯到會員單位的實際利益，故任何會員單位都可能感受到如此制裁對自己造成的后果有多么嚴重。與現有法律法規的情形相似，金融行業的既有規章似乎至今尚未有對于大數據背景下客戶隱私的專門保護條款。雖然某些行業規章可能會有涉及一般的隱私保護的條款，但普遍存在的問題是缺乏專門應對大數據背景下新的隱私風險的具體規定。這樣的話，即使傳統的隱私風險有可能被避免或削弱，但出于金融實體的利益考慮而加工、挖掘客戶信息所造成的前所未有的隱私風險可能就處于無約束狀態。因此，金融行業的規章也必須重視大數據背景下的新型隱私問題，將客戶的隱私權放在高于金融實體利益的位置。這樣做與相關倫理對策在本質上是相通的，而且其本身也體現了一定的倫理價值。行業規章與倫理對策的區別最為關鍵的是：行業規章是強制執行的，其依靠的是行業內的某種強制力，而倫理對策歸根結底不依靠任何強制的力量，最終要訴諸的是行為主體內在的道德自覺。金融行業規章的這種強制力可能與金融實體的利益相勾連，故任何理性的金融實體都不能不或不得不遵從行業規章的要求。行業規章與法律法規也有區別，即行業規章通常要基于本行業的特殊性，其各項規定也反映了本行業的特殊情況，因此，行業規章比法律法規更為具體、更具操作性。例如，金融行業規章即體現出金融活動的特殊性，是對具體的金融活動的要求，而不是一般的或泛泛而論的要求?；诖髷祿尘暗慕鹑谝幷轮猩婕氨拘袠I特殊的隱私風險的規定，一定是對有可能產生隱私風險的金融實體活動包括合規管理活動的可實施、可操作的特定要求。

第三，是金融實體內部相關管理制度的保障。任何一個實體包括金融實體無疑都會設立自身的管理制度。這樣的管理制度根源于實體內部，在管理學中往往也被認為是實體的自律，但與道德意義上的自律還是明顯不同的。從道德的角度看，金融實體內部的這種管理制度其實也是他律，只不過其不同于外部之法律法規、行業規章那樣的他律。依據強制力的不同，可以將訴諸國家強制的法律法規的約束稱為一級強制力即最強的強制力，將訴諸大群體強制的行業規章的約束視作二級強制力，而金融實體內部的相關管理制度則屬于三級強制力也即最弱的強制力。雖然金融實體內部的管理制度在強制力上是最弱的，但卻也能夠對其內部的管理者或員工發揮不容忽視的作用。金融實體內部的管理制度本來應當全面防范客戶的隱私風險，但就現實情況來說，金融實體內部的管理制度卻普遍表現出應對大數據背景下合規管理之隱私風險的蒼白無力。這種情況的存在，一是由于大數據時代來得太快，以致人們還沒有反應過來;二是由于金融實體的高層管理者或其管理制度的設計者更多地考慮本實體的方便，而在客觀上形成了對客戶隱私的忽視。因此，必須讓金融實體的所有管理者都充分認識大數據背景下客戶隱私所可能遭遇的隱私風險的嚴重性、緊迫性，從而盡快行動起來，完善金融實體內部的管理制度，以有效地應對這樣的風險;同時，必須讓金融實體的高層管理者或其管理制度的設計者校正其價值觀，將各種價值予以正確定位，并基于大數據背景重新考慮其內部管理制度存在的問題和缺陷（尤其是涉及客戶數據的隱私風險），并予以及時地改善、改進。在設計金融實體內部旨在應對大數據背景下合規管理所面臨之隱私風險的相關管理制度的時候，為了增強其有效性，也可以參照法的經濟分析，使得所設計的相關管理制度在對侵犯客戶隱私的行為進行處罰時，讓這種處罰給隱私侵權者所帶來的損失明顯高于其通過隱私侵權行為所可能獲得的利益。這里訴諸的是個體作為經濟人的理性，無論這一個體是普通的員工還是合規管理者，在這一制度面前都一視同仁。這樣的訴諸以利益機制為基礎，顯然不同于訴諸個體內在良心的道德機制。但如此訴諸經濟理性卻與訴諸道德機制的倫理對策有異曲同工之效，是對倫理對策之道德機制的補充和保障。

五、結?語

金融領域中的合規管理，不僅是十分重要、必要的，而且是完全有條件予以實施的。在大數據時代，毫無疑問，運用大數據技術的金融合規可以帶來明顯的效益，可以顯著提升金融服務的效率、給金融客戶帶來諸多方便，但與此同時，由大數據技術的內在特性所決定，大數據背景下的金融合規管理又可能使得隱私風險增加或更容易發生。因此，人們在重視金融合規管理、重視大數據技術在金融合規管理中的運用的同時，必須充分意識到問題的另一方面：隱私風險的存在甚至加劇。在大數據背景下，隱私風險變得空前的嚴重，以致人們不得不對之予以高度的重視。為了應對大數據背景下金融合規管理中的隱私風險問題，人們可以尋求不同的解決途徑，但最為基本的或基礎性的解決途徑乃是倫理方面的解決途徑，即為應對諸如此類的隱私風險問題提供正確的倫理基礎、為相關措施提供正當性辯護等等。倫理對策或倫理途徑雖然是一種軟性的甚至可能顯得有些無力的思考，但這種思考是任何其他的途徑包括硬性的、強有力的途徑所不可或缺的，因為若無相關的正當性論證、倫理基礎，則無論其他措施或對策是如何的強硬、有力，都會因缺乏正當理由的支撐而不能得到廣泛的認同與接受，而這樣的無法得到廣泛認同或接受的措施或對策究竟能有多少效能則是值得懷疑的。

應當指出，雖然本文重點討論相關問題的倫理對策和制度保障，但其他方面的有效措施乃至于技術方面的措施對于化解大數據背景下金融合規管理所面臨的隱私風險來說也是非常必要且重要的，僅僅是因為其不在本文的論域之內且已有某些不錯的相關研究成果才未在此予以展開討論。

參考文獻：

[1]?Ramakrishna S P. An overview of compliance in financial services[M]. Singapore：John Wiley & Sons Singapore Pte. Ltd， 2015：10，11，22.

[2] 桑尼爾·索雷斯（Sunil Soares）.大數據治理[M].匡斌，譯.北京：清華大學出版社，2014：4.

[3] 維克托·邁爾舍恩伯格，肯尼思（Viktor Mayer-Schonberger， Kenneth Cukier）.大數據時代[M].盛楊燕，周濤，譯.杭州： 浙江人民出版社，2013：9.

[4] 劉業政，孫見山，姜元春，等. 大數據的價值發現：4C 模型[J].管理世界，2020（2）：129-138.

[5] 王應貴， 婁世艷. 大數據分析在銀行業的應用研究[J]. 新金融， 2019（10）：59-64.

[6] Basel Committee on Banking Supervision. Compliance and the compliance function in banks[EB/OL]. https：//www.bis.org/publ/bcbs113.htm，2005-04-29/2020-07-01.

[7] Edwards J， Wolfe S. Compliance-A review [J]. Journal of Financial Regulation & Compliance， 2005， 13（1）：48-59.

[8] Jonathan E， Simon W.The compliance function in banks[J]. Journal of Financial Regulation and Compliance，2004，12（3）：216-224.

[9] Samuel W，Louis B. The right to privacy[J]. Harvard Law Review，1890，4（5）：193-220.

[10]Helen Nissenbaum，Toward an approach to privacy in public： Challenges of information technology[J]. Ethics & Behavior， 1997，7（3）：207-219.

[11]呂耀懷， 羅雅婷. 大數據時代個人信息收集與處理的隱私問題及其倫理維度[J]. 哲學動態， 2017（2）：64-69.

[12]Vcomply B.What is the function of compliance in banking and finance？[EB/OL].https：//blog.v-comply.com/banking-compliance/，2017-05-09/2020-07-01.

[13]Ergys Misha. The compliance function in banks and the need for increasing and strengthening its Role-Lessons learned from practice[J]. European Journal of Sustainable Development， 2016， 5（2）：171-180.

[14]馮登國.大數據安全與隱私保護[M].北京：清華大學出版社，2018：5.

[15]Vlassis D. An anticorruption ethics and compliance program for business： A practical guide[M]. Vienna： 2013. 63-63.

[16]佚名. 《中國人民銀行關于加強反洗錢開戶管理及可疑交易報告后續控制措施的通知》相關內容解答[J]. 黑龍江金融， 2017（7）：80-80.

[17]羅伯特·考特，托馬斯·尤倫. 法和經濟學[M]. 張軍，譯. 上海：上海三聯書店，1994：24.

（責任編輯：寧曉青）