數字人民幣發行和流通中的個人信息保護*

王煒炫

（華東政法大學經濟法學院，上海 200042）

一、引言

近年來，數字經濟和數字貨幣的發展備受矚目。我國高度重視數字經濟和數字貨幣的發展，積極參與數字貨幣、數字稅等國際規則制定，塑造全新的國家競爭優勢。我國是最早對央行數字貨幣（CBDC）進行研究和試驗的國家之一，在2014 年就開始了對央行數字貨幣的研究（王旭和賈媛馨，2020），并于2020 年4 月開始數字人民幣的試點測試。

數字人民幣能為便捷交易提供支持平臺，從而提高交易效率，尤其在跨境支付情景中，數字貨幣的優越性得到充分體現。但利弊總是如影隨行，基于數字人民幣的底層算法邏輯，公眾使用數字人民幣的所有交易細節如交易對象、地點、金額等都會在系統中留痕，并被作為數據保存。從個人信息保護的角度出發，上述交易數據系以電子方式記錄的具有身份識別性的個人信息，而數據主體享有個人信息權益；從隱私權保護的角度出發，根據《中華人民共和國民法典》第1032 條之規定，上述交易數據反映了公民私密的交易活動，應屬于個人隱私范疇，在數據主體不愿披露且客體未涉及社會公共利益時，數據主體享有隱私權益（王利明，2013）。因此，數字人民幣發行和流通中的交易數據兼具個人信息和隱私的性質，如若其不當泄露將直接侵犯數據主體的個人信息權和隱私權，本文將著重研究保護二者的公法路徑，故在本文語境下未對個人信息保護和隱私權保護的私法屬性進行界分。

數字人民幣發行和使用過程中的數據留痕并不意味著侵犯個人隱私，重點在于讓數據公益與數據私益同頻共振，即如何在個人隱私保護與反洗錢監管之間尋找平衡點，構建完善的數據處理規則和監管模式應是當下研究的重點。同時，由于我國數字人民幣發行模式采用雙層架構，即由中央銀行先向指定的商業銀行發行數字人民幣，再由后者對公眾提供兌換服務。兌換服務通過數字人民幣App 完成，其中涉及商業銀行數字人民幣錢包的開通業務。但在實踐中，各家商業銀行的個人信息保護政策條款參差不齊，個別條款甚至有“霸王”條款之嫌。為此，有必要在數字人民幣試點階段就厘清個人信息保護與交易數據監管的關系，同時明晰在雙層架構中，商業銀行在個人信息保護中應扮演的角色以及其收集個人信息的范圍。

二、數字人民幣雙層運營架構下個人隱私保護需要關注的問題

相較于現金交易，數字貨幣的發行和流通提升了交易效率，加速了數字經濟的蓬勃發展。但隨之而來的一個問題是如何打消一部分公眾對個人隱私保護的疑慮。為了解決數字人民幣發行、流通中的個人信息保護問題，構建行之有效的個人數據監管體系，有必要厘清問題的緣起。究其本源，個人信息何以在數字人民幣發行和流通的過程中面臨挑戰，很大程度是因為數字人民幣的雙層運營模式。

根據央行數字人民幣研發工作組于2021 年7 月發布的《中國數字人民幣的研發進展白皮書》（以下簡稱《白皮書》），數字人民幣采用雙層運營架構：在發行層，央行負責數字人民幣的發行、注銷；在流通層，央行選擇具有一定資質且符合條件的商業銀行作為中間機構向公眾兌換數字人民幣（見圖1）。數字人民幣構建遵循“一幣、兩庫、三中心”的原則。其中“一幣”是指數字人民幣；“兩庫”是指數字貨幣發行庫和數字貨幣銀行庫，前者儲存著數字貨幣發行中的所有底層數據，包括但不限于發行數據、交易數據等，后者為商業銀行存放數字貨幣流通數據的數據庫；“三中心”是指認證中心、登記中心和大數據分析中心，認證中心是數字人民幣匿名可控的關鍵組成部分，其主要收集商業銀行以及用戶的身份信息，登記中心則主要負責數字貨幣和身份信息一一對應的工作，同時記錄數字人民幣的流通數據，以完成權屬登記，大數據分析中心則是立足于對異常交易的監管，通過監控異常數據及時發現洗錢等違法犯罪行為。

圖1 數字人民幣的運營框架

在數字人民幣雙層運營的邏輯框架下，央行希望通過商業銀行調動公眾使用數字人民幣的積極性，在尊重公平競爭的前提下充分發揮市場主體的主觀能動性以促進數字人民幣的穩健發展。隨之而來的是，用戶的個人信息保護面臨新問題、新挑戰，主要體現在以下兩個方面：

（一）發行層：用戶在使用數字人民幣時形成數據留痕

互聯網時代，每個人都在“裸奔”（張紅，2020）。在互聯網信息爆炸式發展的今天，用戶在互聯網上的一舉一動都會形成一串特定化的數字代碼并存儲于互聯網記憶系統當中。根據《白皮書》，雖然央行致力于將數字人民幣錢包打造成“小額匿名可控、大額依法可追溯”的模式，但由于數字人民幣所運用的技術借鑒了區塊鏈技術的全程留痕、可追溯的特點（陳熹，2022），即其離不開互聯網數據算法的底層邏輯——“只要使用，必定會形成數據留痕”。因而，不同于現金實物交易，在使用數字人民幣的過程中，相應的交易數據必然會形成相應代碼并儲存于“兩庫”當中。同時，相應的交易數據將流轉于多重個人信息處理者，而現行法律對于這些處理者的權利義務邊界并沒有詳細規定。用戶在兌換服務中，商業銀行是第一重個人信息處理者，負責數據處理和數據監管的 “三中心”則是第二重個人信息處理者。但可惜的是，對于“兩庫”的存儲內容以及訪問權限目前均未有明確規定。流轉次數的增多為個人信息安全增加了不確定性，如若沒有健全的數據保存措施和監管制度，隨著流轉次數的增加，個人信息泄露的風險將會呈現指數式增長。

法國哲學家盧梭曾言，沒有約束的自由不是真正的自由。在數字經濟時代，數字貨幣的發行為市場主體提供了高效、便捷的交易方式，但如若缺乏相應的監管，將會為洗錢、電信詐騙等金融犯罪提供滋生溫床。數據留痕正是監管的應有之義，要求使用者身份明確、個人信息全面是央行實施貨幣金融監管的現實路徑，也是其職責所在（邢愛芬和付姝菊，2022）。因此，數字人民幣數據留痕是必然趨勢，這并非問題的關鍵。核心是如何在數據私益和數據公益中探求雙向平衡點（王煒炫，2022）。用戶在使用數字人民幣過程中所產生的數據理應屬于個人隱私，而數據留痕是貨幣金融監管所必經的前置程序。后者并不會直接侵犯數據主體的隱私權，只有在不當泄露等違法違規現象發生時，數據主體的隱私權才會受到侵犯。因而問題轉化為，在數字人民幣雙層運營架構的邏輯下，“兩庫”儲存數據的內容和訪問權限應當有何區別，即商業銀行和“三中心”的權利義務邊界在哪里？央行“大額依法可追溯”的具體情形有哪些？在向第三方披露相應數據時應當履行何種程序？

（二）流通層：個人信息收集者分散且無統一的收集標準

根據《白皮書》披露，在試點階段，央行首先選擇了若干符合條件的商業銀行作為中間兌換機構，其中包括了中國銀行、招商銀行、網商銀行（支付寶）等。根據數字人民幣App顯示，用戶在不同商業銀行開設數字人民幣錢包時都必須同意其制定的個人信息保護政策，否則將無法開設并使用數字人民幣錢包。研讀各家商業銀行的個人信息保護政策，不同銀行要求收集的個人信息內容不盡相同。如某銀行要求用戶在轉錢時提供資金用途信息，而另一家銀行僅要求用戶提供收款方的手機號、錢包編號等基礎性信息，并未涉及資金用途信息的登記。諸如此類的條款內容上的差異還有很多。

此外，個別具體條款或有過度收集個人信息之嫌。如某銀行數字人民幣錢包個人信息保護政策提示，如若用戶拒絕授權系統后臺保存交易時的位置信息，數字錢包相關功能將無法使用。個人交易時所處的位置屬于個人隱私，用戶有權拒絕被獲取且拒絕并不會影響商業銀行的風控機制。因為錢包開通時已經提供了一定量的個人信息，商業銀行完全可以通過其他方式進行異常交易監控，無須強制用戶共享時實位置。

在數字人民幣流通過程中，央行指令多家商業銀行提供兌換服務可以緩解數字人民幣的兌換壓力，但在采集個人信息方面，個人信息收集者相對分散會令收集標準存在參差，加之目前還沒有對商業銀行隱私保護政策制定統一的監管標準，這進一步導致不同商業銀行個人信息保護政策的較大差異。

隱私政策是網絡服務商公開收集并使用用戶個人信息的合法性基礎，符合合同法中要約的構成要件（Scott，1999），如若用戶對網絡服務商的要約進行了“同意”，則意味著用戶作出了承諾。但事實上，相較于商業銀行，用戶處于合同談判的劣勢地位，其根本無法與商業銀行進行條款磋商。用戶在面對格式條款時，只能選擇全盤接受或者完全拒絕，沒有討價還價的余地。與此同時，有的商業銀行在試點推廣數字人民幣錢包時，運用數字人民幣紅包等各種優惠手段吸引公眾注冊并使用數字人民幣錢包，卻并沒有以明顯的方式提示用戶應當仔細閱讀個人信息保護政策，或涉嫌未履行《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中的明確告知義務。

三、域外借鑒：部分發達經濟體數字貨幣的隱私權保護

當前，域外部分發達經濟體也在大力推動數字貨幣的發展并研究制訂相應的運作和監管規則，其對于隱私權益和個人數據權益保護的規定或可為我國提供鏡鑒。

（一）數字美元的隱私權保護規則

2020 年，美國數字美元基金會（Digital Dollar Foundation）協同埃森哲（Accenture）正式開啟數字美元項目（DDP），旨在研究數字美元的發行模式及其發展軌跡。根據DDP 發布的《數字美元白皮書》披露，數字美元的運營模式同樣采取雙層架構，即美聯儲將向商業銀行發行數字美元，商業銀行為公眾提供數字美元的兌換服務①See Digital Dollar Foundation and Accenture, The Digital Dollar Project: Exploring a US CBDC, (May 2020), http://digitaldollarproj ect.org/wp-content/uploads/2021/05/Digital-Dollar-Project-Whitepaper_vF_7_13_20.pdf.。

《數字美元白皮書》專門對隱私保護進行介紹。首先，《數字美元白皮書》指出如何保護個人隱私不會被政府無端監控是數字貨幣時代的癥結所在。因為在傳統的現金交易當中，政府難以對每一筆交易進行全方位監管，但這并不意味著現金是為了保障個人隱私的產物，現金保護隱私的功能源自于其“無記名工具”的固有屬性。對于現金交易監管，美國政府規定如若在貿易中收到超過1 萬美元的現金應當履行相應的申報程序。因此，只要涉及貨幣交易流通，隨之而來的便是交易監管，重點在于如何避免無端監管。

其次，《數字美元白皮書》指出美國法院近期拒絕將“第三人理論”擴展適用于蜂窩通信數據隱私中，即在數字美元發行和流通的過程中，政府獲取公民相關交易數據仍要符合美國憲法第四修正案之規定。雖然美國憲法沒有明文規定隱私權，但是聯邦最高法院在博伊德（Boyd）案從美國憲法第四修正案中“解釋”出了“隱私”。在判決中，法院指出，政府的搜查行為侵犯了公民的“個人住宅的神圣性和個人生活的隱私”②See Boyd v.United States, 116 U.S.616, 630(1886).。因此，政府搜查公民隱私時應當符合美國憲法第四修正案的實體和程序要件：第一，在實體上政府的搜查行為須具有合理依據（Probable Cause），通常體現為被搜查者具有犯罪的可能性；第二，在程序上政府的搜查行為原則上應取得法院簽發的合法令狀（Warrant），否則政府所獲取的隱私數據無法作為定罪證據（張詠，2020）。

但例外是，如若個人自愿主動向第三方提供自己的信息，則不受隱私期待的保護（向燕，2008）。這一原則又被稱為“第三人理論”，并在“美國訴米勒案”（United States v.Miller）中得以明晰。此案雙方的爭議焦點在于政府向銀行索要被告的賬戶信息是否屬于對被告隱私的搜查。法院最終裁決，用戶向銀行披露隱私數據時，就已經預料到了銀行可能向政府披露其隱私的風險，故被告不享有美國憲法第四修正案所規定的隱私保護③See United States v.Miller, 425 U.S.435, 443(1976).。

在數字美元的個人信息保護中，美國法院目前拒絕適用“第三人理論”排除用戶的隱私保護。一個主要原因是，在數字貨幣中，用戶并非自愿主動地將個人隱私數據分享給美聯儲，更多的是政府為了金融監管的公益而選擇犧牲部分數據私益。因此，直接運用“第三人理論”排除用戶隱私保護，無異于強制將用戶的隱私交由政府無限制監管與使用，將會給隱私權保護帶來沖擊。

（二）數字歐元的個人數據保護規則

數字歐元目前仍處于起步階段，未來也可能采用類似數字人民幣的雙層運營架構（宋鷺等，2022）。歐洲央行發布的《數字歐元公眾咨詢報告》顯示，隱私是歐元區用戶最關心的問題。歐盟發布的《數字歐元：政策啟示及前景》明確指出，歐洲所有政策和目標的第一價值位階都是保護隱私，因而數字歐元的構建也應著重考慮如何權衡數據隱私保護和反洗錢監管④See European Central Bank, Report on a Digital Euro, (October 2020), https://www.ecb.europa.eu/pub/pdf/other/Report_on_a_digital_euro～4d7268b458.en.pdf.。該文件“隱私要求”部分提出了“小額匿名、大額可追溯”“加強第三方審計”“數據透明”等三項原則性措施。歐盟《一般數據保護條例》（GDPR）就個人隱私數據保護作出具體規定，在數字歐元項目中，GDPR 或在以下兩個方面提供合規思路：

1.知情同意原則

根據GDPR 第6 條之規定，當至少滿足下列一項情形時，數據處理方為合法：①數據主體同意為一個或者多個特定目的而處理其個人數據；②數據處理對完成某項數據主體所參與的契約是必要的，或者在簽訂契約之前基于數據主體要求而進行的數據處理；③數據處理是數據控制者為了履行法定義務所實施的；④數據處理是保護數據主體或者其他自然人的核心利益所必要的；⑤數據處理是數據控制者為了公共利益或者基于政府權限而完成某項任務所進行的；⑥數據處理對于數據控制者或者第三方所追求的合法利益是必要的，其中不包括需要通過個人數據保護以實現數據主體的優先利益或基本權利與自由，尤其是兒童的優先利益或基本權利與自由⑤See GENERAL DATA PROTECTION REGULATION, at https://gdpr-info.eu/art-6-gdpr/ (Last visited on October 8, 2022).。

對應到數字歐元雙層運營架構當中，歐洲央行對于用戶的隱私數據收集和處理可以解釋為履行其對洗錢、金融詐騙等違法犯罪行為的法定監管義務，即為了鞏固貨幣金融市場的穩定性而讓渡了部分數據主體的隱私權，因而其獲取與處理行為具有天然的合法性基礎。但是對于商業銀行等提供兌換服務的中間機構而言，這樣的合法性基礎仍需要通過數據主體的知情同意而獲得，因為金融監管的責任在于歐洲央行，中間機構不存在任何法定義務。換言之，商業銀行與用戶簽訂隱私保護合約時應當充分履行明確說明義務，確保用戶在授權時知悉合同約束條款，以取得用戶有效的同意。

2.個人數據處理規則

在厘清歐洲央行和商業銀行收集處理個人隱私數據的合法性基礎之后，隨之而來的問題是歐洲央行對于隱私數據的披露應當如何控制？根據GDPR 第10 條之規定，官方機構可以在采取恰當的方式保護數據主體的權利和自由后，處理涉及違法犯罪的個人信息。本條為歐洲央行實行貨幣金融監管，并將有關隱私數據移送相關機構提供了合法性基礎。

除此之外，GDPR 強調數據的流通價值。靜態的數據價值遠不如數據流通共享所帶來的社會經濟效益，但這樣的數據流通共享需要在合規的前提下進行。根據GDPR 第5 條第1 款第5 項，在為了實現公共利益、科學、歷史研究或統計目的時，并且為了保障數據主體的權利和自由，在已經采取了本條例第89 條第1 款所規定的合理技術和組織措施的情況下，數據可以進行超期存儲且進行適當共享。其中，GDPR 第89 條第1 款主要要求，為以上目的而進行數據共享時，應當保證數據最小化原則，即采取相應措施保障數據主體隱私權，措施包括但不限于數據匿名化。

用戶使用數字歐元所產生的個人信息可以形成一張巨大的數據網，對于科研機構分析金融消費行為、金融交易發展等均有重要價值，對于歐洲央行分析宏觀經濟形勢、制訂貨幣政策、提升數字歐元的用戶黏性有著至關重要的作用。此類個人金融信息是大數據的重要組成部分，具有精準性和高價值，是數字經濟時代的重要數字紅利（邢會強，2022）。但數據處理應當在合法合規的框架下才能有效運行。

（三）小結

雖然相較于數字人民幣，數字美元和數字歐元的發展仍處于起步階段，在制度藍圖上僅有宏觀層面的模型建構與原則性的制度方針，但其現行的數據隱私保護規則以及相應的立法思路或能為我國數字人民幣發行、流通中個人信息保護制度的構建提供一些有益的啟示。

第一，堅持法定數字貨幣雙層運營的架構模式。首先，不同于加密資產比特幣和Libra 的去中心化的獲取模式，法定數字貨幣由國家信用背書的特性決定了其中心化的管理模式。在法定數字貨幣中，央行承擔中心發行的法定職責，因而央行必然承擔中心監管職責。其次，由于法定數字貨幣在法律地位上等同于現金貨幣，具有無限法償性，為了避免出現擠兌風險，央行無法直接向公眾發行數字貨幣，雙層運行架構或許是必要的選擇（蓋靜，2021）。最后，在技術上匿名化和去中心化并非難事，但是數字貨幣的發行是為了促進經濟的穩定健康發展。如若完全采取匿名化，央行無法對數字貨幣交易中的異常行為進行及時監管，數字貨幣最終可能會淪為違法犯罪分子的洗錢工具，進而影響國家貨幣的公信力和國際地位。

第二，有必要明確何種情形下，數字貨幣中的個人隱私會受到政府監管。在反洗錢監管趨嚴的背景下，個人交易數據留痕早已是板上釘釘的事實。但群眾關切的是，這些個人隱私將在何種情況下受到政府監管。對此，美國憲法第四修正案和相關判例或許可以提供鏡鑒。就目前而言，如若政府需要獲取存儲于美聯儲的數字貨幣個人隱私，需要提供合理依據和有效的搜查令，理由包括公民涉嫌洗錢、詐騙等違法犯罪行為等。由于美國是判例法國家，合理與否的判定權由法官掌握。但這樣的立法模式仍然相對明晰地界定了政府在何種情況下可以查閱并監管數字貨幣中的個人隱私。

第三，遵循知情同意原則，并確立數據最小化和匿名化的數據處理規則。隨著時間的推移和用戶使用量的疊加，用戶在使用數字貨幣時所產生的數據會逐步形成龐大的數據庫，其數據內部的關聯性會不斷地加強，或可以通過數據分析的手段提高貨幣金融政策的普適性。這樣的金融數據庫是數字經濟時代重要的生產要素，無論是政府機關還是科研組織都應抓住數字時代的數字紅利，利用數據要素為經濟社會發展制訂規劃或出謀劃策。在數據收集處理和流轉共享時需要注重對數據主體的隱私保護，GDPR 始終堅持知情同意原則的指引地位，并明確了數據最小化和匿名化的數據處理具體規則，這在一定程度上為數據的高效收集和安全流轉提供了相應的制度保障。

四、路徑選擇：數字人民幣發行和流通的隱私數據監管模式

新事物伴隨著新挑戰，尤其是在數字經濟高速發展的時代，政府監管權和公眾隱私權之間開始出現更多的摩擦。在數字人民幣的發展過程中，政府對于數據公益和數據私益的抉擇將直接影響數字人民幣制度的未來演變軌跡，如何調整各方主體的權利義務關系以明確個人隱私權與政府監管權的邊界，已然成為數字人民幣制度完善的一項重要命題。

（一）明確中央銀行在數字人民幣數據監管的中心地位

赫維茨（Hurwicz）認為，資源配置的有效性、信息的有效性與激勵的兼容性是判斷制度設計優劣的基本標準。要在各種可能的制度中選擇一個資源配置效率較高、信息成本較低、各方利益主體協調的制度（田國強和陳旭東，2018）。在新制度經濟學的分析視角下，交易成本成為分析制度優劣的起點。制度安排中的交易成本都可以通過數據對比而知悉，而正是由于交易成本的存在造成了制度效率高低有別的現象。在金融監管中，如何確立監管主體亦然需要考慮制度成本的差異。在數字人民幣運營體系當中，央行是“兩庫”數據的首要收集者，對于信息的收集和監管均處于第一線，同時其內部“三中心”的設立也有助于分散制度風險，進而起到降低制度成本的作用，由央行直接進行數字人民幣數據監管應是最低成本的方案。

此外，央行作為專業的法定貨幣發行中心和商業銀行的核心監管者，對于儲存金融信息和制定處理規則、監管商業銀行，相較于其他機構都具有優勢，其自身的專業能力和水平同樣能減少制度運行的信息成本，從而提高監管制度中的資源配置效率。

因此，對于央行數據合規監管的中心地位應當予以明確，主要職責包括：履行對“兩庫”中的數據監管、數據傳輸中的合規運營、隱私保護條款設計等方面的監管責任，對于商業銀行的數據違規行為予以糾正。

（二）發行層：設計數字人民幣隱私數據的收集處理規則

1.強化“兩庫”系統設計并明確存儲數據內容以及訪問權限

在數字人民幣架構中，“兩庫”的存儲內容將直接關系到數字人民幣交易過程中個人隱私數據被收集的程度。因而如何設計“兩庫”系統以及各方主體的訪問權限，對于個人隱私數據的安全保護是至關重要的。

對此，可考慮對“兩庫”進行差別化設計。首先，數字貨幣發行庫和數字貨幣銀行庫的儲存內容應當有所不同。后者應為前者的子集，因為在數字貨幣發行過程中，央行處于中心化的監管地位，對于交易信息數據的掌握當是全面且具體的；而商業銀行在數字貨幣運營體系中主要起到兌換數字貨幣的橋梁作用，其無需對每一筆交易細節了如指掌，只需在提供錢包開立、服務時采集必要的個人信息即可。

其次，在具體內容上，數字貨幣發行庫應存儲有關數字貨幣交易的所有信息，以便“三中心”實時進行數據監管；而數字貨幣銀行庫應當遵循必要性原則，即該庫僅可儲存金額變動等基礎性交易信息，同時無法將交易信息與身份信息一一對應。

最后，在訪問權限上，央行可以出于數據監管目的訪問數字貨幣銀行庫，而商業銀行無權查閱數字貨幣發行庫。因為數據貨幣發行庫構建的初衷在于使承擔監管職責的央行能及時監控異常交易數據，以打擊洗錢、詐騙等金融違法犯罪行為。

2.構建完善的數據查閱和披露體系

國際社會已對數字貨幣留痕監管達成共識，但關鍵在于如何保障個人隱私數據不被無故查閱和監管。英國行政法學家韋德曾言，法治并不要求消除廣泛的行政裁量權，但法治要求控制行政裁量權的行使。因而，為了切實保障數據主體的隱私權，有必要明晰政府機關查閱隱私數據的權限邊界。于此，如圖2 所示的數字人民幣隱私數據查閱與披露體系或可為我國將來立法提供參考。

圖2 我國數字人民幣隱私數據查閱與披露體系

我國《個人信息保護法》將公民的個人信息分為敏感個人信息和其他個人信息，并在該法第28 條以“概括+列舉”的方式釋明敏感個人信息的種類。在司法上，二者的分類標準應當根據“一旦相關信息泄露，是否容易導致自然人的人格尊嚴受到侵害和是否會對個人的人身安全及財產安全造成危害”兩個標準進行判定（王利明，2022）。具體到數字人民幣相關的個人信息，“兩庫”中的數據內容主要包括用戶的身份信息、賬戶信息、資金流向甚至虹膜、生物臉像等信息。這些信息數據在“三中心”的處理下可以實現一一對應關系，進而形成明確、具體的用戶“畫像”。對于用戶而言，這些數據是其基于金融交易行為所產生的個人金融信息。如若不當泄露，用戶的資金安全將直接受到威脅，甚至可能為電信詐騙、洗錢等犯罪分子提供信息來源，進而對公眾用戶的財產安全造成危害。因而，數字人民幣中的交易數據屬于敏感個人信息范疇。

《個人信息保護法》第29 條進一步規定了“單獨同意規則”，即敏感個人信息的處理必須經過數據主體單獨同意，在法律法規特別規定的情形中還需要取得書面同意。因此，原則上，如若要披露或者共享用戶在數字人民幣使用過程中的交易數據，必須取得數據主體的單獨同意，僅通過隱私政策等形式獲取一攬子授權并不具有法律效力（王利明，2022）。

關于原始數據的查閱。在數字人民幣發行過程中，央行主要承擔監管異常交易和數據保護職責，其本無意對用戶原始隱私數據進行共享及披露，央行也無精力在共享原始數據前聯系每個數據主體取得單獨同意。因實施成本過高，加之共享動力缺位，央行的履職重心應著力于數據監管和數據保護方面。但經授權的特定主體可以基于公共利益的考量，向央行申請查閱特定數據主體的原始數據，其中包括數字人民幣錢包背后的身份信息以及賬戶貨幣交易信息（柯達，2019）。保留原始數據查閱是數據留痕監管的本質和初衷，因為央行在發現異常交易數據后，或者在公安、檢察院等法定機關提出配合調查請求時，根據《中華人民共和國刑事訴訟法》等相關法律規定，央行有配合提供原始數據的義務。如若原始數據不可查閱，那么數字貨幣監管的制度愿景將無法落地。同時，原始數據的查閱需要有明確的法條授權。因為數字人民幣具有較強的私法屬性，在滿足數據公益的前提下，必須要加強對數據主體隱私權的保護，對于讀取信息的機關、讀取條件、讀取程序、讀取內容等方面需要作出限制性規定（趙瑩，2020）。授權查閱的方式、程序可以通過成文法的形式予以明確，即非經法律明確授權（如央行履行反洗錢監管職能和刑事訴訟法中的配合義務等），公安、檢察院等國家機關無權查閱數字人民幣所涉及的原始隱私數據。而且在查閱程序和內容上，查閱主體應當履行前置程序，對于查閱內容的范圍應當在事前予以明晰，不得隨意擴大查閱原始隱私數據的范圍。

關于脫敏數據的獲取?！禛20 數字經濟發展與合作倡議》明確指出，使用數字化的知識和信息是數字經濟時代的關鍵生產要素?；ヂ摼W、大數據、金融科技等手段的廣泛運用和融合創新改變了社會互動的方式，也使得社會在信息化的變革中前行。數字經濟時代下，數據要素已經成為公認的五大生產要素之一。數據的價值不在于單個數據背后所代表的信息，而在于數據經過不斷疊加、算法處理后所形成的數據信息庫。在數據信息庫中，單個數據早已難以識別，但是數據之間的聯系將會加強，對于社會大數據研究而言是可貴的資源寶藏。在“兩庫”中，用戶每天不間斷的交易數據將會形成龐大的數據網，對于央行、政府或者其他非營利性研究組織而言，將會是科研與調研的重要資源。因而“兩庫”中的數據不應僅停留在數據庫中成為靜態物品，而應在特定的條件下加速數據的共享和流轉，發揮數據要素的最大市場價值，達到數據要素與產權收益的帕累托最優。隱私與共享并不矛盾，矛盾在于如何控制共享隱私的行為（Acquisti 等，2016）。雖然數據共享須經脫敏、匿名化程序，但脫敏數據并不意味著完全無法還原，脫敏程序只是加大了數據還原的難度。在互聯網技術高速迭代的今天，脫敏數據控制者或可采用脫敏數據還原等算法以達到近乎數據還原的效果，從而造成隱私數據的二次泄露（唐林垚，2021）。因而作為“兩庫”監管者的央行應當履行脫敏數據申請獲取的審核、審批職責。

第一，在申請用途方面，脫敏數據申請獲取的范圍采取有限列舉的方式，即應當出于社會公共利益或者科學研究等具有社會公共福利的目的。因為脫敏數據共享的目的在于利用數據要素創造更大的社會財富價值而非為了增加少部分群體的私人盈利。從域外立法看，即使歐美均承認數據共享流轉的社會經濟價值，但是歐盟GDPR 第5 條仍把數據共享的情形限制于“在為了實現公共利益、科學、歷史研究或統計目的時”。這亦說明了在數據要素發展的起步階段，對脫敏隱私數據流轉采取謙抑審慎的態度是國際主流。

第二，在數據使用監管方面，在申請人獲取脫敏數據以后，央行不可袖手旁觀，因為數據如何使用直接影響隱私數據的安全性。有必要賦予央行定期復查數據使用申請方數據使用情況、數據安全管理落實情況的權限和責任。當申請方超越申請范圍使用脫敏數據或者自身數據安全保障措施未達標時，央行應撤回審批，待申請方整改到位后方可重新申請獲取脫敏數據。

第三，嚴守數據最小化原則。數據流轉不是隱私流轉，美國學者威斯?。╓estin）也曾在《隱私與自由》一書中提出，政府收集的個人信息，只可用于特定目的，不可以用于其他目的或者進一步共享流轉，除非數據主體的身份特征已經完全抹去，或者他們對自由共享流轉明確表示同意（梁澤宇，2018）?！皟蓭臁敝械碾[私數據能否流轉，取決于數據匿名化程度是否完備、數據脫敏要求是否達成。我國《個人信息保護法》對于匿名化并沒有明確要求，僅規定了匿名化的信息不屬于個人信息的保護范疇。雖然上位法未明確匿名化和脫敏技術的重要地位，但在執法中數據脫敏共享已成為基本準則。根據2020 年2 月發布的《中國人民銀行關于發布金融行業標準做好個人金融信息保護技術管理工作的通知》，其中明確要求建立個人金融信息脫敏管理規范和制度，明確不同敏感級別中脫敏技術的應用規則。央行作為數字人民幣監管機構，在數據處理方面，尤其是在脫敏數據申請獲取上，要堅持數據最小化原則，同時也應要求申請方在技術支持上達到相應水平，以在數據共享福利與隱私保護兩個方面取得平衡。

（三）流通層：統一規范商業銀行的隱私政策條款

1.通過分級錢包的特性確定不同級別錢包所需的隱私內容

制度是自由的制度，自由是制度的自由。正如學者艾斯納（Allen Eisner）曾呼吁要回歸市場、注重效率體制，無論是規制還是反規制，核心目標都是降低交易成本、提升產權效率（尹燦，2015）。制度和自由是典型的一體兩面，但二者并不沖突，因為制度的經濟理性決定了制度的選擇。合理的權力資源配置會創造出自由的制度，而在自由的制度運行中會激發社會主體的主觀能動性。二者的最終目的均是為了創造低成本、高效率的自由制度。在數字人民幣隱私數據收集中，政府收集信息的范圍即為制度權力，而個人隱私數據即為自由。如何匹配二者關系成為制度構建的關鍵。根據央行數字人民幣錢包的分類設計，成本最低、效率最高的方案應當是僅收集該類錢包所必需的個人信息，超出該類錢包設計范圍的個人信息應當將選擇自由歸還市場主體。

根據數字人民幣App 介紹，數字人民幣錢包的分類情況如表1 所示。央行對數字人民幣錢包已有相應的分級標準，對不同級別錢包設立所需的個人信息也有所界定，而非如部分商業銀行列出的隱私政策條款所言，需要強制收集用戶的地理位置等。數字人民幣錢包的等級直接影響用戶交易的額度，用戶可以選擇讓渡隱私的程度以換取便捷交易的權限。如若用戶希望無限制享受數字貨幣所帶來的快捷交易服務，自然需要提供較多的個人隱私信息；如若用戶僅將數字貨幣作為現金的替代品，則無須過多提供自身的個人隱私信息。在匿名程度最高的四類錢包中，僅需要驗證手機號碼即可開設，雖然我國通信運營商的手機號要求實名登記，但是未經法定授權，通信運營商不可擅自泄露通信主體的身份信息，故相對而言四類錢包仍具有匿名特性。于此，市場主體便可以根據自身需求選擇適合等級的錢包，并根據不同分類的錢包提供相應的隱私數據。

表1 我國數字人民幣錢包的分類

2.加強央行對商業銀行隱私政策的統一監管

制度安排的作用是使總體社會成本降低，而非使特定群體的成本降低，因而制度中行動者的理性偏好應當優位于制定者的偏好。威廉姆森（Williamson）認為，權力具有資源依賴性（陳耿宣等，2022）。中央銀行和商業銀行作為數據的收集者自然是希望能拓寬隱私數據的收集范圍，以加深對數據要素經濟價值的利用，從而便于進行金融監管或者提供相應的金融服務。尤其是商業銀行，個人隱私數據作為新型生產要素已在銀行業精準營銷、風險控制、改善經營、服務創新等過程中發揮重要作用（蘇顏，2019）。個人隱私數據背后的用戶“畫像”有助于商業銀行為金融消費者提供精準化服務，對促進商業銀行業務的開展有著特殊的作用。在逐利動機的驅動下，目前各家商業銀行的隱私政策較為籠統，部分信息收集已經超出了數字人民幣錢包所要求的信息類型。但數字人民幣兌換服務不同于商業銀行的一般經營行為。數字人民幣的雙層運營架構決定了商業銀行的定位，數字人民幣由國家信用背書，商業銀行在數字人民幣發行框架中僅承擔兌換服務，并不具有相應的監管權限，只需要獲取用戶相關基礎信息（按錢包分級而定）并提供兌換服務。在此過程中，商業銀行無須提供線下營銷、推銷等專屬業務，也不存在商業銀行和用戶簽訂金融服務合同（進而提供相應隱私數據）的情形。

對此，央行可以考慮統一規范數字人民幣流通中的隱私政策內容，根據數字人民幣錢包分級明確各家商業銀行收集用戶個人隱私的條款，進而界定個人隱私被采集的限度。

（四）推進央行數據安全能力建設并完善配套措施

1.利用隱私增強技術，提升央行數據安全治理能力

數字人民幣的匿名特性決定了只有央行以及經法定授權的機構才可以查詢原始數據。這樣的監管架構可以將隱私數據流轉的主體個數控制到最少，但這也考驗著央行數據安全治理能力。由于數字人民幣的隱私數據具有高度私密性，且屬于敏感個人信息，“三中心”的數據處理無法采取外包方式。這就要求央行必須建立健全完備的數字人民幣隱私數據存儲體系，加強自身數據系統的建設，減少黑客入侵等物理因素所帶來的金融風險。對此，新興隱私增強技術（PETs）或可在技術層面提供支持。2023 年3 月，經濟合作與發展組織（OECD）發布《新興隱私增強技術——當前監管與政策方法報告》，其中對PETs 進行了詳細介紹。PETs是一系列數字技術的合集，主要包括數據混淆、加密數據處理等工具技術，旨在解決收集、分析和共享信息過程與個人隱私保護之間的矛盾。新加坡資訊通信媒體發展管理局（IMDA）就曾推出首個PETs 沙盒測試，保障企業在完成隱私數據合規要求的前提下獲取隱私數據中的潛在價值。PETs 致力于在保護數據隱私的前提下挖掘數據價值。在數字人民幣場景中，不失為平衡反洗錢監管和隱私保護的解決思路，也是同類問題未來方案的發展趨勢（朱瑋，2022）。因此在建設數字人民幣隱私數據監管體系時，除了前文的法律制度回應外，還可考慮新興技術應用的可能性。結合PETs 的技術特征，其對數字人民幣的隱私數據保護或有以下助益：

第一，央行在收集、儲存相應交易數據時可以利用差異隱私等數據混淆技術降低數據泄露時被正確識別的風險。數據混淆技術的核心在于將真實數據隱匿于混淆數據之中，即在真實數據中加入大量混淆數據以減少數據泄露后的識別風險。

第二，央行在分析、處理相應交易數據時可以采用多方計算的加密數據處理工具實施聯合監管。多方計算技術允許多個主體同時輸入信息并查閱相應的輸出信息，但是輸入信息并不會共享于所有參與者。央行在履行反洗錢監管職能時，通常需要多個機構的協同配合，在此過程中可以運用多方計算技術，在保障數據隱私的基礎上提高反洗錢監測分析的有效性（朱瑋，2022）。此外，在涉及跨境數字貨幣交易監管時，各國監管者可以聯合輸入本國交易數據并對輸出的交易數據進行監管以判斷其是否符合監管要求，但本國的交易細節無須向他國進行披露以保障本國公民的隱私。

第三，央行在共享、流轉相應交易數據時可以聯合使用數據混淆和加密數據處理技術保護數據隱私。首先，數據共享的前提是數據脫敏，而數據混淆技術中的匿名化技術可以刪除數據中的識別元素，防止其與數據主體相鏈接，從而契合數據最小化原則。其次，數據共享時應避免數據的多重泄露。加密數據處理工具通過數據加密的方式完成數據一對一共享，因此在前文提及的數據查閱和披露體系中，央行可以在有權機關查閱原始數據時提供安全密鑰以保障數據查閱僅在雙方之間進行；在共享脫敏數據時，央行可以利用同態加密技術將加密的數字貨幣交易數據共享給申請主體，使其在瀏覽并利用數據創造社會財富價值的同時無法獲取數據本身，從而保護數據安全。

2.完善商業銀行數據外包方的市場準入機制

數字人民幣不同于區塊鏈去中心化的算法，其中心化的發行模式在一定程度上減少了商業銀行層面的信息節點，降低了數據泄露的風險。但在實踐中，商業銀行可能由于自身數據處理能力有限，一部分數據收集和處理流程通常委托外包數據處理公司。因而，外包方的數據處理資質也將成為影響用戶隱私數據安全的重要因素。

對此，外包方的準入機制要嚴格參照招投標的相關法律要求，須經法定程序且具有相應的數據處理資質方能參與數字人民幣的數據處理。商業銀行自由選擇數據處理項目方的權利應予以適當限縮?？煽紤]通過招投標的方式實現市場主體的良性競爭，篩選出最優質的數據處理商，以切實保障用戶的隱私數據安全，進而促進數字人民幣業務的持續發展。