論金融機構在數據挖掘中的個人信息保護義務

鞏 威

(中央財經大學 法學院,北京 100081)

2020年10月21日，中國人民銀行相關分支機構對部分銀行侵害消費者金融信息安全行為立案調查，并依照有關法律規定分別對有關金融機構及相關責任人予以警告并處以罰款。[1]這一事件體現了監管機構對于金融消費者個人信息保護的重視，對金融機構有著巨大的警示作用。隨著互聯網技術在金融活動中普遍運用，個人金融消費者更加便利地參與到了金融活動當中。而在消費者參與金融活動的過程中，金融機構收集、存儲、處理、分析個人數據成為必然，其中最具經濟價值的數據是經過數據挖掘后得到的新數據。新數據與個人信息保護具有極大的聯系，金融機構作為利用該數據的主體對于數據挖掘過程中的個人信息保護具有重要作用，必須在法律上對其課以強制性的保護義務。本文將分析個人信息在數據挖掘中可能遭受到的風險和該風險難以解決的根源以及如何構建金融機構數據挖掘中個人信息保護義務的途徑。

一、金融機構在數據挖掘中的信息保護隱患

數據挖掘對于金融機構的作用不言而喻(1)數據挖掘(Date mining)又稱數據庫的知識發現(Knowledge Discovery in Database)。根據美國總審計室(General Accounting Office)的定義，數據挖掘指的是“對數據庫技術例如統計分析和建模的應用，以揭示數據中隱藏的模式和微妙的關系，并推斷出允許預測未來結果的規則”。也就是說數據挖掘通過分析現有的數據，來揭示數據中隱藏的信息，并為未來的行為模式進行預測。參見United States General Accounting Office.DATA MINING,Federal Efforts Cover a Wide Range of Uses [EB/OL].(2004-05-27)[2020-12-08].https://www.gao.gov/products/GAO-04-548。，金融機構之所以能夠在金融活動中占據核心地位，不僅因其取得了相應的牌照，被監管機構賦予了從事金融活動的資格，更重要的是金融機構匯集了金融市場的大量數據，包括金融消費者的數據，使其在信息不對稱的市場中占據優勢地位，能夠有效地對資金進行投資分配。

金融機構通過金融消費者個人數據來獲取對于其具有經濟價值的信息，消費者在首次接受金融機構的服務時，會提供例如個人身份信息、住址、電話等基礎個人信息，這些信息旨在保護金融消費者權益，用于后續的身份確認。[2]消費者在進行金融活動中，就會產生更多例如投資、借貸等個人金融活動信息，這些信息一般會被金融機構通過數據挖掘技術進行分析預測，達到風險控制(貸款償還預測和信用評價)、業務關聯分析、客戶市場劃分、客戶價值分析、新客戶開發與產品推廣等目的，從而提升機構業績。經過數據挖掘后所產生的數據經濟價值得到極大地提升，為金融機構的商業營銷提供參考，甚至可以通過對金融大數據的觀察與預測來預防貪污、洗錢等金融犯罪。而目前在我國金融機構混業經營的現象愈發普遍的情形下，數據之間的融合與深度分析能夠提供更加有效的金融服務。但與此同時，金融機構的數據挖掘也產生了許多個人信息保護隱患。

(一)新數據權益歸屬不明導致消費者應當享有的收益被剝奪

數據能帶來價值，是一種資產，明晰產權是建立數據流通規則和秩序的前提條件。[3]對于消費者而言，明確數據挖掘后的收益歸屬，消費者的數據權益才能夠得到法律保障，消費者才能真正參與到數據流通領域中，享受數據流通所帶來的利益；對于金融機構而言，遵守數據收益分配規則，才能夠尊重消費者個人信息權利，最大程度上規避法律風險，保障金融領域數據安全。從目前來說，無論在學術界還是立法層面對于數據能否成為一項權利客體尚有爭論，但對于數據能夠產生收益是沒有爭議的。(2)對于數據是否能夠成為一項民法上的客體，學術界多數采取肯定的態度，也有一些學者認為數據不能成為民法上的客體。“肯定說”見程嘯.論大數據時代的個人數據權利 [J].中國社會科學,2018(3);肖建華,柴芳墨.論數據權利與交易規制[J].中國高校社會科學,2019(1)；“否定說”見梅夏英.數據的法律屬性及其民法定位[J].中國社會科學,2016(9)，筆者在此文采“肯定說”。數據挖掘后產生的收益分配規則不明，導致金融機構獨占新數據所產生的經濟利益，消費者作為數據挖掘的基礎數據提供者，并沒有享受到實在的利益。權益歸屬需要相關立法予以明確，只有金融消費者的信息權利得以保障，金融機構的保護義務才能與之對應。

(二)數據挖掘本身可能侵犯消費者個人隱私權

美國政府運用數據挖掘技術分析數據，以達到執法和反恐的目的。美國通信工業協會(Telecommunications Industry Association)的數據挖掘項目涉及所謂的“交易空間”(transactionspace)。通過分析包括金融、教育、旅行、醫療、入境、交通住房等的交易信息，尋找交易之間的聯系和“事件”(包括逮捕或可疑活動)。但學者認為政府數據挖掘對隱私、結社自由和言論自由等公民基本自由構成嚴重威脅,揭示了個人財物、健康、心理等生活方式。[4]

金融機構對個人數據的挖掘同樣會涉及到以上問題，尤其是隱私權方面。隱私權內容主要包括維護個人的私生活安寧、個人私密不被公開、個人私生活自主決定等。[5]金融機構對個人數據的挖掘包括消費者整體數據挖掘與具體個人數據挖掘。金融機構對消費者整體數據進行挖掘，主要得出宏觀數據，比如經濟運行情況、群體投資偏好等，不涉及個人數據；而對具體個人的數據挖掘，可以挖掘出與消費者息息相關的情況，如個人投資偏好、個人收入情況等。但是如果挖掘出的信息涉及個人私密信息甚至是敏感信息時，就有可能涉及到侵犯個人隱私權的問題。比如保險公司如果有權收集客戶的銀行賬戶交易信息時，客戶的銀行賬戶交易信息顯示其在一定時間內多次與醫院進行轉賬交易，則保險公司有可能懷疑其有重大疾病。雖然重大疾病告知是保險法下的重要規則，但是客戶主動告知與保險公司通過數據挖掘得知在隱私保護制度下卻是重大的區別，后者有侵犯消費者個人隱私權的可能。隨著數據挖掘技術的不斷進步，數據之間關聯性增強明顯引發了消費者個人隱私權被侵害的風險，并且網絡會生成在線行為的全面記錄，互聯網技術能夠以一種無法預料的方式傳播個人秘密,這加劇了個人隱私權被侵犯的可能[6]。

(三)數據挖掘易造成個人信息泄露——數據流通秩序的破壞

個人信息泄露與侵犯個人隱私權不同，侵犯個人隱私權指的是破壞個人私生活安寧、個人不愿意向他人公開的信息被公開，著重于個人的主觀意愿，效果是個人的人格利益被侵犯；而個人信息泄露除了人格利益被侵犯外，還有財產方面的利益。[5]隨著數據廣泛地被應用于各行各業，個人信息的財產價值逐漸凸顯，與財產價值相伴而生的是數據流通秩序甚至是數據市場的形成。數據的流通大致呈現“數據主體—數據收集者—數據處理者”的過程。一般來說，在正常的數據流轉過程中，數據收集者與數據處理者均通過支付對價來獲取數據，從而形成一個良性的市場。

但數據挖掘過程容易造成信息泄露，金融機構尤甚。原因在于數據挖掘過程涉及從數據庫中數據提取、數據預處理、知識提取、知識評估等多個過程[7]，在這一過程中可能會有多個主體處理數據，數據經手的次數越多，數據暴露也愈發可能，因此在數據中顯示的個人信息的泄露風險就會提升。在金融機構當中，個人信息泄露的原因如下：首先，金融控股公司的出現促進了金融消費者信息之間的共享與流動。(3)中國人民銀行《金融控股公司監督管理試行辦法(征求意見稿)》第22條：“金融控股公司與其所控股機構之間、其所控股機構之間可以共享客戶信息、銷售團隊、信息技術系統、運營后臺、營業場所等資源，發揮協同效應。”銀行子公司獲取到的大量消費者信息，與證券子公司、資產管理子公司和保險子公司共享，能夠提高營銷的效率，深度開發客戶資源，實現一站式金融超市。[8]但數據流動性的增強提高了金融控股公司進行個人數據保護的難度，需要進行必要的規范。其次，傳統的金融機構保護理念不適用于當前大數據下的數字金融。金融機構對于消費者資料的保密義務存在已久，但是其強調對于客戶資料靜態的隱私保護。但在大數據時代，消費者資料以數據動態的方式呈現，更加強調數據安全，需要用新的思維來保護消費者個人數據。

如果個人信息遭到泄露，不僅僅是消費者個人的信息權利遭到破壞，正常的數據流轉市場也會受到影響。近些年來，銀行泄露個人信息事件屢見不鮮，加大了公眾對于其數據在金融機構存儲安全的疑慮，加劇了數據市場交易主體之間的不信任，不利于數據市場的發展。數據挖掘過程中的風險引發了金融機構在數據挖掘過程中對于個人信息保護義務的思考，如果能夠構建一個完整的金融機構信息保護義務框架，上述問題都可以得到合理的解決。

二、問題之根源——消費者信息權益保護與挖掘數據經濟價值的沖突

金融機構數據挖掘導致的個人信息保護隱患，是在信息本就是金融機構賴以運轉的重要資源的前提下，數據逐漸成為一項關鍵的信息來源而顯現的。數據挖掘成為了金融機構獲得更大收益的一種手段，數據的經濟價值在金融機構中愈發凸顯。與此同時，無論是消費者的個人信息保護意識還是世界各國對于個人信息保護的立法政策，都越來越強調在個人信息保護的基礎上促進數據的流通與利用，因此這兩個價值之間產生了沖突。

(一)金融消費者信息保護是數據利用的基礎

學術界盡管基于數據能否成立一項法律上的權利目前尚有爭議(4)數據權利“否定說”見梅夏英.數據的法律屬性及其民法定位[J].中國社會科學,2016(9)；張陽.數據的權力化困境與契約式規制[J].科技與法律,2016(6)；肯定說見肖建華,柴芳墨.論數據權利與交易規制[J].中國高校社會科學,2019(1)。，在《民法典》與《個人信息保護法(草案)》中對于是否承認信息權利也作了模糊的表述，但是數據主體與數據處理者基于數據應當享有相關利益目前已形成了共識。對于個人信息權利的內涵與范圍，學者們有不同的見解。邢會強主張將個人數據劃分為基本個人信息、伴生個人信息、預測個人信息以及匿名信息，并根據人格屬性以及個人與信息企業在這三種不同信息上投入勞動的多少，認為個人享有基本個人信息、伴生個人信息與預測個人信息的人格權。至于財產權及份額分配部分，他認為個人獨享基本個人信息的財產權與份額，信息企業獨享匿名信息的財產權與份額，而個人與信息企業共享伴生個人信息與預測個人信息的財產權；[9]龍衛球將個人數據權利進行兩階段建構，主張用戶基于初始數據的人格權和財產權，而數據經營者基于數據享有經營權和資產權；[10]程嘯、丁道勤等將個人數據劃分為初始數據與增值數據，主張用戶絕對享有初始數據所有權，而數據處理者享有增值數據所有權。[11][12]學者均根據個人數據與個人關系遠近而將個人數據劃分為不同的種類，根據不同種類數據的性質進行權益劃分。雖然表述為“某種權利”，但實質上仍然是某種利益。個人享有更多在與個人關系密切數據之上的權益，而信息處理者則享有更多經處理數據之上的權益，這些見解能夠為將來數據收益的分配提供參考。從學者們的表述來看，對于個人基于數據收益的保護，首先是要完善個人信息保護制度。

不僅如此，從我國與世界各個國家地區的立法趨勢來看，強調個人信息保護也是大勢所趨。歐盟的《通用數據保護條例》(以下簡稱GDPR)與我國剛剛公布的《個人信息保護法(草案)》中，規定了個人信息保護的基本原則與一般原則。這些原則均以保護個人的數據權利為基礎，在此基礎上實現信息保護與信息流通之間的平衡。在基本原則方面，歐盟的GDPR第1條“主要事項與目標”第2款就明確規定“本條例保護自然人的基本權利與自由，特別是自然人享有的個人數據保護的權利”，在此基礎上才強調對于數據的利用；而我國剛剛公布的《個人信息保護法(草案)》第1條也規定了“為保護個人信息權益”的立法目的。世界各國與地區的數據保護法規，均以個人信息權益保護為優先考量的法益。

我國數據保護起步較晚，但近些年來發展迅速，法律法規體系逐漸形成。《民法典》第111條規定了個人信息受法律保護的基本準則，并在第1034條至第1039條規定了個人信息保護的一般規定，為個人信息保護奠定了法源基礎；在法律層面個人信息保護的相關條文還散見在《網絡安全法》《消費者權益保護法》《電子商務法》等法律當中，而個人信息保護專法《個人信息保護法(草案)》亦在征求公眾意見當中；行政法規、地方性法規、部門規章層面的法規更是數不勝數。金融領域的信息保護立法則散見于部門規整和國家標準層面，2015年11月，國務院辦公廳印發《關于加強金融消費者權益保護工作的指導意見》，拉開了金融機構保護金融消費者信息安全權的序幕。[13]之后《中國人民銀行金融消費者權益保護實施辦法》以專章的形式規定了個人金融信息保護制度框架，《個人金融信息(數據)保護試行辦法(初稿)》也正在征求意見當中，隨著《個人信息保護法》和《數據安全法》等上位法規完成后，金融領域信息保護法規會更加完善。

從金融機構與消費者的關系來看，個人信息保護也是十分必要的。金融機構與消費者基于金融業務上的關系主要是合同關系，雙方簽訂一定的合同來完成多樣的金融業務，金融機構提供金融相關服務，而消費者接受金融服務并支付對價。而雙方之于個人數據上的法律關系，主要有以下觀點：一種是所有權轉移關系，即消費者的人格數據所有權完全移轉給金融機構；二是保管關系，個人數據作為附屬品交由金融機構保管；三是“準委托代理關系”，即個人將部分信息權能委托給金融機構行使。[14]在這三種學說中，筆者認為“準委托代理關系”能夠更好地描述與規制個人數據上的法律關系。在個人數據交給金融機構之前，個人享有完整的信息權能，金融機構因金融服務關系而獲得了部分信息權能，比如收集、分析、處理等權能，但是無論金融機構獲得了怎樣的權能，個人數據的人格屬性沒有轉移，個人仍享有最完整的數據權利。在“委托代理關系”中，受托人的權利由委托人授予，因此受托人必須考慮委托人的利益行事，金融機構也必須考慮金融消費者的利益，保護消費者的個人數據。

（二）臨床癥狀 病雞精神沉郁，羽毛蓬亂，無光，翅膀下垂，不愿活動，嗉襄腫大積液;病雞倒提有大量酸臭液體從口流出，拉白色稀糞;病雞胸腹部，大腿內側翅膀背側等處掉毛，表皮水腫.外觀呈紫色或紫紅色，局部炎性壞死或干燥結痂。

由此可見，個人信息保護從學理上與制度實踐上已逐漸形成并完善，這是金融機構在數據挖掘中無法回避的問題，但數據挖掘服務于金融機構的本質實際上是金融科技的運用，金融科技必須以數據為依托，挖掘數據的經濟價值。只有數據的經濟價值得到體現，金融科技才能夠發展。為此，個人數據保護法必須支持并促進數據的利用與流轉。

(二)數據利用與流轉是數據經濟乃至金融機構的“血液”

大數據時代，根據學者的共識，數據的主要特點是“3V”，即“容量大”(volume)、“多樣性”(variety)和“速度快”(velocity)，不同來源的數據在云存儲和云計算技術的支持下達到了數據的融合從而構成了大數據。[17]與過去靜態的資料不同，大數據時代數據的內容處于不斷變化之中，這種變化比數據本身的數量更重要。數據的變化有兩個方面，一個是數據本身能夠通過算法技術產生新的數據，主要是本文所談論的數據挖掘，即數據利用；二是數據的流通，即數據流轉。金融機構從事的金融業務依賴于信息的變動，對于信息的靈敏度很高，在當今以數據為信息主要表現形式的社會更是如此。 數據挖掘能夠強化金融機構獲取信息的能力，通過數據挖掘，抓取并分析出只通過數據表面無法得到的信息，能夠更好地服務于消費者，服務于國家金融事業。

如果制定的個人信息保護法規過嚴，對于數據的利用設置過多的束縛，就會限制數字經濟與金融行業的發展。在2020年11月10日舉行的數據保護官(DPO)草案專題研討會上，許多業內人士建議《個人信息保護法(草案)》中將企業的“正當利益”也納入處理個人信息的“同意”之外的合法性基礎。[15]目的就是為了能夠擴大草案第13條處理個人信息“同意”之外的事由，在保護個人信息的基礎上促進數據的利用與流轉。由此可見，如果法律實施過嚴，企業在處理業務時勢必會有所顧慮。對于金融機構而言，由于我國對于金融的強監管模式，合規成為了金融機構在處理業務時的首要考慮因素，因此如果個人信息保護法規設置過嚴，不利于當今金融行業與數字經濟的融合發展。

(三)兩種價值取向之間的平衡

筆者認為，兩種價值取向均不可偏廢。雖然當前的個人信息保護法規側重于對個人信息的保護，但與此同時也促進與規范了個人信息數據的利用。個人信息保護法規除了保護個人私權之外，還需符合相關業界期待，尤其是我國互聯網經濟的飛速發展對于數據利用的需求。金融機構當然希望能夠與金融消費者于數據之上達成良性互動，在數據挖掘方面做到兩全其美。

以歐盟頒布《通用數據保護條例》(GDPR)為例，根據調查，該條例頒布后有86%的企業表示擔憂。對于這一項史上最嚴個人數據保護法來說，大多數企業的合規與業務發展均難以做到平衡。因此，我國在制定《個人信息保護法》時應當注意到該法案對于互聯網包括科技金融的影響。

三、保護義務的構建

構建金融機構在數據挖掘中的保護義務需要協調前文所提出的問題——實現個人信息保護同數據利用與流轉之間的平衡。由于數據交易市場是未來數據流轉的重要通道，因此要從數據交易市場的思維角度出發去構建金融機構的保護義務。

(一)完善數據交易市場的數據相關權屬，共享數據挖掘成果

權利義務往往是相互對應的，主體享有權利的同時也需承擔義務。盡管對于數據權利當前學術界尚有爭議，但是與數據相關的權利構建是有必要的。構建金融機構保護義務的前提是明確數據主體即金融消費者享有的權利，尤其是對于新數據享有的權利。數據挖掘后所產生的新數據可以稱之為“增值數據”，而金融消費者對于這些增值數據是否享有權利需要根據這些數據的個人屬性來確定。可以將這些數據劃分為“宏觀數據”與“微觀數據”，宏觀數據指的是對個人數據經過挖掘后而產生的反映某個群體整體狀況的無法識別個人的數據，這些數據對于個人利益關系不大，因此可以將這些數據完整的權能歸于金融機構，使得金融機構得以依法使用；而“微觀數據”則是根據金融消費者個人數據分析得出了與其個人有關的數據，包括個人情況、行為偏好等，由于這些數據仍具有個人屬性，可以從中識別出相關主體，因此消費者對這些數據仍享有權利，至少是人格利益上的權利，只有部分權能轉讓給了金融機構，金融機構依然需要負擔義務來保障消費者的相關人格利益。如果消費者由于對新數據的產生亦有貢獻，也應當享受一部分基于新數據所產生的收益。

數據挖掘的目的，不僅在于金融機構分析消費者投資偏好、還貸能力，其對于整體市場的預測也是有價值的。因此，數據挖掘應當不僅服務于金融機構本身，還應當服務于消費者。對于數據挖掘后得出的、不涉及國家秘密、公共利益或法律法規規定的不得公開的信息外，均應及時通過各種方式與消費者共享，使得數據挖掘能夠服務于社會，這也是數據流通與共享的一種形式。

(二)構建數據挖掘信息保護法律法規

1.域外立法例

歐盟以及其成員國在個人信息保護立法上采取統一立法的保護模式。以1970年德國黑森州制定的《黑森州數據法》為開端，歐洲各國紛紛制定專門的個人信息保護法律，這為歐洲數據保護奠定了基礎。到了1995年歐盟通過的《個人數據保護指令》則是首部區域整體性的個人數據保護法規[16]，但對成員國不具有強制性；直到2016年頒布的GDPR則對所有歐盟成員國具有約束力，并對數據保護進行了全方位規定，適用于所有領域。對具體的數據挖掘以及處理者的義務，則在條例第4條定義了“用戶畫像”，并在第四章規定了“控制者與處理者”的義務，以“一般性義務”為統領，同時劃分為“個人數據安全”“數據保護影響評估與提前咨詢”“數據保護官”“行為準則與認證”四個部分，將數據控制者與處理者的義務從制度設計到行為模式都進行了詳實規定，其中的具體操作規范，如對可能危害個人利益的高風險活動進行事前評估、主體內部設置數據保護官等是我國可借鑒的。

而美國由于有著完整的隱私權保護體系，具有“大隱私”的觀念，因此將信息保護納入隱私保護范圍內，其隱私權含義也從消極的他人私生活安寧的概念演變為信息隱私權[17]；并且由于其具有“自由市場+行業強監管”的基礎，因此美國采取行業的分散立法模式。在金融領域主要有1978年《金融隱私權法案》(Right to Financial Privacy Act of 1978)、《金融服務法現代化法案》(Gramm-Leach-BlileyAct,GLBA)、《金融消費者保護法》(Consumer Financial Protection)等。其中1999年的《金融服務法現代化法案》第五章專門設置了金融機構的隱私保護政策，進一步要求金融機構對其如何收集、分享、保護金融消費者個人信息進行詳細的解釋。

2.中國化制度構建——構建以“個人信息保護法”為核心的保護義務體系

我國應當將歐盟與美國的兩種立法模式結合起來。原因在于，歐盟的統一立法模式將個人信息保護法規納入一部法律當中，如果我國也采用此模式，不僅未來的《個人信息保護法》會過于冗長，并且由于其屬于法律，修訂必須經過全國人大及其常委會的通過，立法程序的繁雜無法適應當前各行業瞬息萬變的發展。而美國采取行業分散立法模式是因為其具有“自由市場+行業強監管”的歷史傳統。我國則應當采取統一立法與部門行業分別立法相結合的方式，構建以“個人信息保護法”為核心的保護義務體系。原因在于我國的《個人信息保護法(草案)》(以下簡稱“草案”)目前一共有69條，是一部統領個人信息保護領域的法律，不可能將各行各業特殊情形均納入其中；并且草案第56條將各個部門領域下的個人信息保護工作交由國務院各部門監督管理，表明具體行業的規范制定工作要由行政法規或部門規章來完成。

在金融領域需要由“一委一行二會”來實施個人信息保護監管，制定相關法規。目前來說關于金融領域的個人信息保護法規散見于《商業銀行法》《證券法》《征信業管理條例》《金融消費者權益保護實施辦法》等法律法規中，總體上零散而籠統，對于一些重要概念沒有統一的定義。例如《金融消費者權益保護實施辦法》第8條規定要建立“個人金融信息保護機制”，但缺乏具體措施；并且現有立法僅規定了金融機構的一般利用[18]，對于數據的再次利用比如數據挖掘則沒有涉及。

因此，應當以“宏觀—微觀”兩個層次來進行立法設計。在宏觀上，我國現已出臺的《民法典》以及正在制定中的《個人信息保護法》為個人信息保護提供了基礎性保護；微觀上，金融領域應當制定一部比較詳實的《金融業個人信息保護條例》，參照歐盟GDPR的立法技術進行全方位的規范，并且以專章的形式來規定“數據挖掘”環節的保護問題與數據控制者處理者的法律義務，而具體的信息保護技術規范可以由強制性的國家標準來制定，這也是金融機構從事數據挖掘活動應當遵守的義務依據。

(三)以是否“加密并無法還原”為標準，設置不同的數據處理規則

就金融機構而言，其義務就是在內部加強數據流轉管理，尤其是數據挖掘的全周期管理。為了達到個人信息保護與挖掘數據經濟價值兩者的平衡，可以根據數據挖掘過程的個人信息是否達到“加密并無法還原”為標準，即個人數據經過加密、脫敏等處理后是否能夠還原的標準。若數據未達到此標準，則適用個人信息保護規則，側重于對個人信息的保護；若達到該標準，則適用數據利用與流轉規則，可以對數據的經濟價值加以利用。

根據前文所述，數據挖掘的周期包括“數據提取、數據預處理、知識提取、知識評估”等過程。在“數據提取”與“數據預處理”階段，應當遵循個人信息保護原則，而在后兩個階段如果數據已經達到“加密并無法還原”的標準，則適用數據利用與流轉規則，并且及時向消費者說明數據挖掘的使用情況與個人信息保密情況。

在具體實施上，首先金融機構要制定嚴密的規章制度，由獨立部門負責消費者個人數據的管理與技術支持；并且要設置嚴密的數據對內與對外流動管理，在數據挖掘的每一個節點設置專人把關，將數據風險評估納入機構內部流程中。而金融機構也應當定期對其內部規章以及管理制度進行修訂，確保符合法律法規的要求。

四、結論

數據挖掘是大數據時代數據庫技術與算法相結合的產物，它有利于金融機構與現代科技相結合，充分挖掘金融數據的經濟價值，提升金融服務品質與效率。但與此同時，人們的數據權利意識與個人數據安全意識在不斷提高。因此，數據權利保護與數據的經濟利用之間的關系問題成為了當今數據法研究的核心問題，而當前的主流學說主張在基于個人信息保護的基礎上，促進數據的流轉與利用，挖掘數據的經濟價值。處于金融數據利用核心地位的金融機構負擔了重要的義務。隨著未來金融與科技不斷融合，數據挖掘勢必將在金融數據利用中承擔更加重要的作用，這就需要金融機構不斷改進數據挖掘技術，并提高數據挖掘中的信息保護能力，使得數字經濟與金融行業不斷融合，相互促進。