史博文

（天津工業(yè)大學(xué)法學(xué)院，天津300387）

一、引言

金融科技又稱技術(shù)驅(qū)動的金融創(chuàng)新，指通過底層技術(shù)革新與進(jìn)步，結(jié)合底層技術(shù)與金融服務(wù)的融合貫通，創(chuàng)造出新型金融服務(wù)模式。金融科技服務(wù)可有效提高金融服務(wù)效率，降低金融服務(wù)成本。根據(jù)金融穩(wěn)定理事會（Financial Stability Board，簡稱FSB）的定義，金融科技是主要依靠區(qū)塊鏈、人工智能、大數(shù)據(jù)等前沿技術(shù)引領(lǐng)和帶動，對金融供給方式、產(chǎn)品服務(wù)方式等產(chǎn)生重大影響的新興金融服務(wù)模式（王瑩，2016）。然而，在金融科技快速發(fā)展帶來數(shù)據(jù)信息“爆炸”的同時，我國信息保護(hù)技術(shù)、保護(hù)理念和法治建設(shè)仍處于滯后狀態(tài)，具體表現(xiàn)為：一方面，金融科技為人們生活帶來便捷，另一方面，個人關(guān)鍵信息泄露嚴(yán)重，不法分子借機(jī)牟利，造成社會信息系統(tǒng)的混亂與無序。在現(xiàn)代社會，個人信息已經(jīng)具備財產(chǎn)權(quán)屬性，并作為人格權(quán)與財產(chǎn)權(quán)的混合權(quán)利存在（付大學(xué)，2019）。近幾年，由個人信息泄露導(dǎo)致的銀行卡盜刷，利用個人關(guān)鍵信息濫貸等不法行為降低了個人和社會的信用水平，對社會產(chǎn)生極大的負(fù)面影響。因此，提高個人信息保護(hù)力度迫在眉睫。

二、金融科技背景下的個人信息保護(hù)現(xiàn)狀

目前，將個人信息的不當(dāng)傳播視為危害公民權(quán)利的社會性問題已成為社會共識，我國立法部門也對個人信息保護(hù)制度的構(gòu)建愈發(fā)重視。目前，我國的個人信息處于間接保護(hù)階段，如《中華人民共和國侵權(quán)責(zé)任法》《中華人民共和國治安管理處罰法》等對人格尊嚴(yán)、信息安全、個人隱私、個人秘密的保護(hù)一直處于分散狀態(tài)，始終無法從更高層次適用統(tǒng)一的上位概念對其進(jìn)行囊括保護(hù)。近幾年，間接保護(hù)范式有了較為明顯地向直接保護(hù)范式轉(zhuǎn)變的傾向，如全國人大2020年5月通過的《中華人民共和國民法典》第111條規(guī)定：“自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”2016年，第十二屆全國人民代表大會常務(wù)委員會第二十四次會議正式通過的《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）第40條規(guī)定：“網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度?！蔽覈鹑诒O(jiān)管機(jī)構(gòu)對個人信息的保護(hù)不斷加強(qiáng)。2011年，央行頒布《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》（銀發(fā)〔2011〕17號，簡稱17號文），對與銀行有關(guān)的個人金融信息進(jìn)行規(guī)范性保護(hù)，強(qiáng)調(diào)銀行主體在收集、使用個人金融信息時應(yīng)堅持依法原則，同時建立銀行金融機(jī)構(gòu)內(nèi)部控制制度，以便對個人金融信息進(jìn)行更好的保護(hù)。遺憾的是，我國對個人信息保護(hù)的立法仍存在“原則導(dǎo)向”和“各自為政”的弊端。

我國對個人信息的保護(hù)現(xiàn)狀可以概括為立法保護(hù)導(dǎo)向明確、金融機(jī)構(gòu)缺乏保護(hù)動力、權(quán)利人缺乏權(quán)利意識三個方面。立法保護(hù)導(dǎo)向明確體現(xiàn)在全國人大將《中華人民共和國個人信息保護(hù)法》（簡稱《個人信息保護(hù)法》）的制訂工作提上日程，標(biāo)志著我國未來個人信息保護(hù)有法可依。在個人信息保護(hù)過程中，政府需扮演強(qiáng)勢角色，積極維護(hù)個人信息不受侵犯。金融機(jī)構(gòu)缺乏保護(hù)個人信息的動力主要原因是，金融機(jī)構(gòu)在維護(hù)個人信息數(shù)據(jù)庫時，需要投入巨大的系統(tǒng)維護(hù)與技術(shù)迭代成本，而能否抵御黑客對個人信息的竊取仍未知。同時，由于法律法規(guī)對個人信息泄露的處罰力度相對較弱，金融機(jī)構(gòu)的個人信息保護(hù)情況普遍不理想。權(quán)利人對個人信息權(quán)利敏感度較低表現(xiàn)在權(quán)利人對個人信息在金融機(jī)構(gòu)中的處理、保護(hù)與用途缺乏認(rèn)知渠道和認(rèn)知意愿，且多數(shù)權(quán)利人對個人信息的重要性認(rèn)識處于較低層次，主觀維護(hù)意愿不高（阮神裕，2020）。

三、金融科技背景下個人信息保護(hù)困局

（一）社會規(guī)范之困：公地悲劇造成法律監(jiān)管缺位

公地悲劇指在利益選擇狀態(tài)下，資源分配與個人自益性有所沖突的社會陷阱，在個人信息保護(hù)的法律監(jiān)管層面，指個人信息權(quán)利的權(quán)屬范圍無法準(zhǔn)確界定，以至于其由哪部法律進(jìn)行系統(tǒng)性保護(hù)尚無定數(shù)。而立法部門在無法確定某一具體權(quán)利應(yīng)當(dāng)歸屬何者管轄時，會維持謙抑性的籠統(tǒng)保護(hù)態(tài)度，以免造成兩部甚至更多部法律的規(guī)定沖突與適用不清。因此，除《網(wǎng)絡(luò)安全法》細(xì)致規(guī)定了科學(xué)的追責(zé)制度外，其他相關(guān)法律大多只是原則性地對個人信息保護(hù)進(jìn)行規(guī)定，并未就如何進(jìn)行信息保護(hù)做具體細(xì)致的規(guī)定?！毒W(wǎng)絡(luò)安全法》的規(guī)制范圍是網(wǎng)絡(luò)空間的個人信息竊取行為，僅依靠該法律對個人信息進(jìn)行保護(hù)是以偏概全、以點概面的不科學(xué)路徑，與實現(xiàn)個人信息全面保護(hù)的法治目標(biāo)無法形成自洽的邏輯關(guān)系。個人信息保護(hù)是否屬于公地悲劇在法律規(guī)制層面的體現(xiàn)，主要由現(xiàn)有法律規(guī)制資源存量、侵權(quán)行為法律資源損耗流量、立法機(jī)關(guān)對現(xiàn)有侵權(quán)行為進(jìn)行立法補(bǔ)充三大因素決定（慶啟宸，2019）。當(dāng)現(xiàn)有法律資源存量無法對個人信息侵權(quán)流量有效抵御，就要寄希望于立法機(jī)關(guān)對現(xiàn)有侵權(quán)行為的規(guī)制補(bǔ)充立法。若補(bǔ)充立法強(qiáng)于侵權(quán)行為，個人信息保護(hù)的課題便得以解決，公地悲劇便會消失。若補(bǔ)充立法弱于侵權(quán)行為，便會出現(xiàn)個人信息被侵權(quán)人蠶食殆盡的現(xiàn)象，造成公地悲劇。目前，《個人信息保護(hù)法》尚未出臺，我國對個人信息的法律保護(hù)仍處于公地悲劇中。

（二）技術(shù)壁壘之困：技術(shù)壁壘阻礙個人信息全面保護(hù)

目前，權(quán)利人的個人信息被中心化儲存在各金融機(jī)構(gòu)的數(shù)據(jù)庫中，信息存儲割裂導(dǎo)致規(guī)模化監(jiān)管無法形成。首先，個人信息的市場主體保護(hù)已形成“山頭效應(yīng)”。在權(quán)利人將個人信息授予金融機(jī)構(gòu)時，金融機(jī)構(gòu)便對其進(jìn)行碎片化處理。而各金融機(jī)構(gòu)相互獨立，在信息數(shù)據(jù)庫領(lǐng)域尚未達(dá)成有效合作，由此形成中心化“數(shù)據(jù)豎井”。各個“山頭”獨立存在，對權(quán)利人個人信息保護(hù)缺乏集聚效應(yīng)，導(dǎo)致市場層面?zhèn)€人信息保護(hù)乏力并形成技術(shù)保護(hù)壁壘。其次，金融機(jī)構(gòu)個人信息運用過程的可追溯性較差。在金融機(jī)構(gòu)不斷通過格式合同增強(qiáng)個人信息可獲得性的背景下，金融機(jī)構(gòu)對個人信息運用的可追溯性卻一直處于較低層次。權(quán)利人信息在收集、搬運、使用、保存等處理環(huán)節(jié)缺乏加密、保密與跟蹤保護(hù)措施，極易造成個人信息被非法竊取、篡改和使用（常景超等，2019）。由于個人信息權(quán)具有人格權(quán)與財產(chǎn)權(quán)的混合屬性，一旦被非法竊取和篡改，權(quán)利人將面臨巨大的財產(chǎn)損失。央行建立的征信系統(tǒng)在一定程度上遏制了“山頭效應(yīng)”的發(fā)展趨勢，實現(xiàn)了金融機(jī)構(gòu)之間的部分信息交流互通，但該征信系統(tǒng)存留數(shù)據(jù)存在滯后性，無法根本解決市場主體對個人信息保護(hù)的壁壘之困。最后，金融行業(yè)缺乏統(tǒng)一的個人信息數(shù)據(jù)保存系統(tǒng)與風(fēng)險抵御系統(tǒng)。目前，個人信息通常由各金融機(jī)構(gòu)中心化分散保管，金融機(jī)構(gòu)對信息安全的重視程度與保護(hù)技術(shù)存在差異。威瑞森公司公布的《2019年數(shù)據(jù)泄露調(diào)查報告》顯示，經(jīng)濟(jì)利益驅(qū)動的網(wǎng)絡(luò)攻擊正在增長。因此，各大金融機(jī)構(gòu)亟需突破技術(shù)壁壘，建立數(shù)據(jù)保護(hù)聯(lián)盟，實現(xiàn)真正的數(shù)據(jù)保護(hù)合力，以對抗日益增長的網(wǎng)絡(luò)犯罪。

（三）思想觀念之困：權(quán)利人意識尚未蘇醒

首先，權(quán)利人對個人信息權(quán)利的財產(chǎn)權(quán)屬性認(rèn)識不足。美國著名隱私權(quán)法律學(xué)者施瓦茨認(rèn)為，建立個人信息財產(chǎn)化模型需滿足五個關(guān)鍵要素：個人信息的權(quán)利限制、強(qiáng)制披露交易條件的默認(rèn)規(guī)則、市場參與者退出權(quán)、損害賠償制度、個人信息市場和懲罰侵犯隱私權(quán)行為的監(jiān)管機(jī)構(gòu)（Schwarty，2004）。目前，我國對以上五大要素都有條款規(guī)制，如國家標(biāo)準(zhǔn)GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》第7.2小節(jié)規(guī)定：“涉及通過界面展示個人信息的（如顯示屏幕、紙面），個人信息控制者宜對需展示的個人信息采取去標(biāo)識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險。防止內(nèi)部非授權(quán)人員或個人信息主體之外的其他人員未經(jīng)授權(quán)獲取個人信息。”《征信業(yè)管理條例》第19條要求：“征信機(jī)構(gòu)或者信息提供者、信息使用者采用格式合同條款取得個人信息主體同意的，應(yīng)當(dāng)在合同中作出足以引起信息主體注意的提示，并按照信息主體的要求作出明確說明。”權(quán)利人有收回個人信息的權(quán)利，信息管理人也有不對具體權(quán)利人提供金融服務(wù)的權(quán)利，這是市場參與主體的退出權(quán)。損害賠償制度與具有處罰權(quán)的機(jī)構(gòu)（如法院）在法律應(yīng)然層面都有相關(guān)規(guī)定。因此，我國個人信息權(quán)符合施瓦茨對個人信息財產(chǎn)化模型的推演。但我國個人信息保護(hù)仍處于起步階段，公民作為權(quán)利人對信息權(quán)利的財產(chǎn)權(quán)屬性認(rèn)識不足，無法將個人信息與有形財產(chǎn)聯(lián)系起來。權(quán)利人對個人信息的理解停留在“信息孤島”階段是我國目前個人信息保護(hù)舉步維艱的內(nèi)在原因。

其次，權(quán)利人對個人信息保護(hù)的必要性認(rèn)識不足。個人信息安全意識指權(quán)利人在意識領(lǐng)域樹立的信息化工作中個人信息安全理念，也是信息化工作中對個人信息侵犯的外來風(fēng)險處于警覺和戒備的心理狀態(tài)。我國公民對個人信息權(quán)重要性的認(rèn)識處于較落后的階段，其根源是對無形財產(chǎn)權(quán)利的漠視。財產(chǎn)權(quán)利分為有形財產(chǎn)權(quán)利和無形財產(chǎn)權(quán)利。有形財產(chǎn)權(quán)利指通過對權(quán)利圓滿狀態(tài)或受損狀態(tài)進(jìn)行評估，獲得有形財產(chǎn)增加或減少認(rèn)識的權(quán)利。無形財產(chǎn)權(quán)利與有形財產(chǎn)無關(guān)或僅有間接聯(lián)系。無形財產(chǎn)權(quán)利是否受損無法直接決定有形財產(chǎn)是否受損，這導(dǎo)致公眾對無形財產(chǎn)權(quán)利的保護(hù)并不敏感。張捷（2020）的研究顯示，我國公眾隱私觀總體分值為58.69，處于中等水平，公眾在網(wǎng)上主動暴露個人信息的情況較普遍。

最后，權(quán)利人在金融信息保護(hù)運作程序中處于弱勢地位。權(quán)利人將個人信息授予金融機(jī)構(gòu)后，金融機(jī)構(gòu)便對個人信息擁有了絕對處置權(quán)，而權(quán)利人卻難以對信息的處置發(fā)表見解。造成這一現(xiàn)象的根本原因是權(quán)利人與金融機(jī)構(gòu)雙方的權(quán)利、義務(wù)意識淡薄。權(quán)利人認(rèn)為個人信息既然授予金融機(jī)構(gòu)，金融機(jī)構(gòu)理應(yīng)對個人信息享有完全處置權(quán)，自己無權(quán)干涉。同時，個人信息財產(chǎn)屬性是隱性的，不會對財產(chǎn)造成直接影響，因此沒有干涉的原始動機(jī)。金融機(jī)構(gòu)則認(rèn)為獲得個人信息就獲得權(quán)利人的充分授權(quán)，對信息的收集、使用、搬運和保護(hù)無需告知權(quán)利人，這是對個人信息權(quán)利的重大誤解。權(quán)利人僅同意金融機(jī)構(gòu)在權(quán)利人已知且同意獲取金融服務(wù)的范圍內(nèi)享有個人信息使用權(quán)，而此權(quán)利并非無限外延。一旦金融機(jī)構(gòu)對個人信息突破適用邊界，就要承擔(dān)相應(yīng)的法律責(zé)任，但前提是權(quán)利人對個人信息采取保護(hù)態(tài)度，且能夠知悉個人信息在金融機(jī)構(gòu)的應(yīng)用與安全狀況。

四、國外個人信息保護(hù)主要模式及啟示

（一）美國：消費者保護(hù)模式

在個人信息保護(hù)領(lǐng)域，美國采用的是消費者保護(hù)模式。即個人信息保護(hù)立法的根本目的是維護(hù)消費者正當(dāng)權(quán)利，防止企業(yè)通過市場強(qiáng)勢地位對消費者實施欺詐和脅迫。美國1973年頒布的《公平信息實踐準(zhǔn)則》開辟了美國個人信息保護(hù)的先河。從此，美國對個人信息保護(hù)確立了兩個重要原則：一是權(quán)利人信息透明原則，二是權(quán)利人對信息利用的參與原則。權(quán)利人信息透明原則即信息保管人在收集、搬運、使用、轉(zhuǎn)讓個人信息時，應(yīng)當(dāng)對權(quán)利人程序透明，保障權(quán)利人知情權(quán)。權(quán)利人對信息利用的參與原則即信息保管人在對個人信息進(jìn)行收集和利用時，應(yīng)征得權(quán)利人同意，使權(quán)利人積極參與到個人信息的使用過程中來（Solove和Hartzog，2014）。

1914年，美國聯(lián)邦貿(mào)易委員會成立，奠定了美國以消費者權(quán)益保護(hù)為主導(dǎo)的個人信息保護(hù)基礎(chǔ)。聯(lián)邦貿(mào)易委員會進(jìn)行個人信息保護(hù)的主要法律依據(jù)包括美國各項單行法和《聯(lián)邦貿(mào)易委員會法》（王葉剛，2020）。單行法包括美國國會于1974年頒布的《隱私法》、1986年頒布的《電子通信隱私法》、1998年頒布的《兒童在線隱私保護(hù)法》等十余部法律（張立彬，2020）。個人信息保護(hù)的單行法主要以碎片化的形式對不同領(lǐng)域的個人信息進(jìn)行分散式保護(hù)。但社會發(fā)展帶來的新權(quán)利領(lǐng)域無窮無盡，列舉式立法范式無法滿足現(xiàn)實需要，因此，單行法無法作為個人信息保護(hù)的主要法律依據(jù)?！堵?lián)邦貿(mào)易委員會法》主要通過兩種路徑對個人信息進(jìn)行保護(hù)：一是對欺詐交易行為的規(guī)制。該法認(rèn)定的欺詐交易行為指經(jīng)營者對消費者實施誤導(dǎo)導(dǎo)致消費者產(chǎn)生認(rèn)識錯誤，從而造成消費者權(quán)益損害，這其中包括個人信息權(quán)損害（Reidenberg，2015）。二是對顯失公平交易行為的規(guī)制?！堵?lián)邦貿(mào)易委員會法》認(rèn)定的顯失公平交易行為指經(jīng)營者通過市場強(qiáng)勢地位向消費者施加一定的外力，使消費者在消費中無法意識到或意識到而無法避免將要遭受的損失。總體而言，聯(lián)邦貿(mào)易委員會利用隱私政策的調(diào)整，對個人信息權(quán)進(jìn)行保護(hù)。

（二）歐盟：數(shù)據(jù)保護(hù)模式

歐盟主要采用數(shù)據(jù)保護(hù)模式對個人信息進(jìn)行保護(hù)，即發(fā)生侵權(quán)行為時，優(yōu)先確保信息數(shù)據(jù)的安全性，而非權(quán)利人的合法權(quán)益。這種保護(hù)模式剝奪了權(quán)利人在個人信息泄露案件中權(quán)益保護(hù)的優(yōu)位性。歐盟于2018年頒布了《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR），強(qiáng)化了數(shù)據(jù)保護(hù)模式的監(jiān)管導(dǎo)向。GDPR的規(guī)制主體是企業(yè)，要求企業(yè)建立用戶數(shù)據(jù)監(jiān)控體系，完善數(shù)據(jù)監(jiān)控基礎(chǔ)設(shè)施，完善數(shù)據(jù)安全保障機(jī)制（占南，2019）。與美國消費者保護(hù)模式不同，歐盟數(shù)據(jù)保護(hù)模式通過主體分類的方式進(jìn)行個人信息保護(hù)。首先，GDPR賦予數(shù)據(jù)主體多項合法權(quán)利。GDPR中的第五章至第七章用大量篇幅對數(shù)據(jù)主體權(quán)利進(jìn)行列舉式規(guī)定。如第五章規(guī)定的知情權(quán)，第六章規(guī)定的訪問權(quán)、更正權(quán)與可攜帶權(quán)，第七章規(guī)定的刪除權(quán)、限制處理權(quán)、反對權(quán)和自動化個人決策權(quán)等。與消費者權(quán)利相比，數(shù)據(jù)主體權(quán)利保護(hù)范圍更廣，權(quán)利保護(hù)無需以交易的發(fā)生為必要條件。其次，GDPR的適用主體不僅包括歐盟企業(yè)，也包括非歐盟企業(yè)。2018年5月，兩家歐洲隱私與信息數(shù)據(jù)保護(hù)組織向法國有關(guān)監(jiān)管機(jī)構(gòu)投訴谷歌在用戶個人信息授權(quán)協(xié)議上采用“強(qiáng)制同意”條款，并在不告知用戶的情況下將個人信息作商業(yè)用途。法國國家自由與信息委員會依據(jù)GDPR的相關(guān)規(guī)定，向谷歌開出5000萬歐元的罰單。谷歌也成為GDPR在歐盟生效后第一個受罰的美國科技巨頭。

（三）日本和韓國：立法層面的統(tǒng)合式安排

日本和韓國在個人信息保護(hù)的立法方面具有共同特征，均采用統(tǒng)合式立法。統(tǒng)合式立法指議會、政府和相關(guān)部門與具有立法權(quán)力的社會組織針對某一事項立法形成法律體系，并依照立法主體位階決定法律效力的位階。

日本個人信息立法中，層次由高到低分別為：國家總括性立法（由國會通過，地位類似于信息保護(hù)領(lǐng)域的根本大法）、國家個別性立法（由國會通過，地位類似于各部門法）、政府主管部門頒布的重點行業(yè)規(guī)章、政府主管部門頒布的其他行業(yè)規(guī)章（ユン·ジョンス，2009）。日本信息保護(hù)立法的顯著特征是將民營企業(yè)與政府部門分開規(guī)制，二者所要遵守的法律并不相同。個人信息保護(hù)領(lǐng)域的根本大法為《個人信息保護(hù)法》的第一章至第三章基本法部分。個別法包括《關(guān)于行政機(jī)關(guān)持有的個人信息保護(hù)法》《關(guān)于獨立行政法人等持有的個人信息保護(hù)法》等部門法。政府主管部門頒布的重點行業(yè)規(guī)章包括通商產(chǎn)業(yè)省頒布的《關(guān)于民營部門計算機(jī)處理個人信息保護(hù)指南》、郵政省頒布的《關(guān)于電信業(yè)的個人信息保護(hù)指南》等。

韓國個人信息立法中，法律效力最高的是韓國國會于2011年通過的《個人信息保護(hù)法》，具體行業(yè)的部門法效力次之，如《電氣通信事業(yè)法》《信用信息保護(hù)法》《位置信息保護(hù)法》《信息通信網(wǎng)法》等。

日韓兩國法律運行上既有同一性，也有對立性（池建新，2016）。首先，兩國在個人信息權(quán)被侵犯后的法律救濟(jì)路徑上具有同一性，即對個人信息的保護(hù)不僅局限于司法保護(hù)，行政保護(hù)同樣注重。被侵權(quán)人除法院起訴侵權(quán)人承擔(dān)賠償責(zé)任外，還可以向行政機(jī)關(guān)投訴或申訴。兩國都建立了個人信息保護(hù)行政機(jī)構(gòu)，如日本的行業(yè)主管部長負(fù)責(zé)制和韓國的個人信息調(diào)解委員會。其次，兩國在侵權(quán)人法律適用方面存在對立性。日本對數(shù)據(jù)保管主體的個人信息保護(hù)義務(wù)是分層規(guī)定的，原因在于日本官方認(rèn)為，政府部門收集、搬運和處理個人信息的目的是提高行政效率，以便更好地履行行政職能。因此，政府部門的個人信息使用具有公益性動機(jī)，侵權(quán)主觀惡性相對較小，并且政府作為公共管理部門，理應(yīng)受到更多的社會監(jiān)督。而民營企業(yè)的目的是利潤最大化，主觀惡性相對較大。但民營企業(yè)需要保持一定的靈活性，不得過度立法干涉其生產(chǎn)經(jīng)營。韓國官方認(rèn)為，出于公平性目的，應(yīng)當(dāng)對侵權(quán)主體一視同仁，適用同一法律進(jìn)行規(guī)制。

（四）啟示與比較分析

在個人信息保護(hù)的立法方面，歐盟、美國與日韓呈現(xiàn)出較強(qiáng)的地域特色。雖同為保護(hù)個人信息，但側(cè)重點頗有不同。各國在保護(hù)傾向和立法范式始終遵循個人信息的直接保護(hù)與行政保護(hù)。

個人信息的直接保護(hù)指明確將個人信息作為一項權(quán)利列入法律保護(hù)范疇，并佐以相應(yīng)的輔助性規(guī)定，如侵權(quán)定性、保護(hù)路徑、監(jiān)管機(jī)構(gòu)和法律后果。我國目前的個人信息保護(hù)處于分散式立法階段，看似各司其職，實則在個人信息的規(guī)范保護(hù)上無法形成強(qiáng)大合力。如《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)信息泄露案件的規(guī)制，央行17號文對金融機(jī)構(gòu)信息泄露案件的規(guī)制。不同信息領(lǐng)域適用不同的“小法”，容易產(chǎn)生權(quán)力縫隙。

個人信息的行政保護(hù)指行政機(jī)關(guān)通過對侵權(quán)人或有過失的信息保管人進(jìn)行行政處罰或處分，或運用行政權(quán)力干預(yù)有個人信息泄露風(fēng)險的違法交易，達(dá)到對個人信息進(jìn)行保護(hù)的行政管理目的。我國對個人信息的行政保護(hù)采取“分業(yè)監(jiān)管”的監(jiān)管范式，如《中華人民共和國消費者權(quán)益保護(hù)法》第56條規(guī)定工商行政管理部門有權(quán)對法律、法規(guī)未作明確責(zé)任規(guī)定的經(jīng)營者責(zé)令改正、警告、沒收違法所得或罰款；《中華人民共和國郵政法》和《快遞暫行條例》賦予郵政管理部門對個人信息侵權(quán)案件行政處罰的權(quán)力；《征信業(yè)管理條例》規(guī)定國務(wù)院征信監(jiān)督部門對征信機(jī)構(gòu)和金融信用信息基礎(chǔ)數(shù)據(jù)庫運行機(jī)構(gòu)的個人信息侵犯與保管過失進(jìn)行行政處罰的權(quán)力。分業(yè)監(jiān)管的前提是在立法的應(yīng)然層面和執(zhí)法的實然層面，各部門法與行政主體對所管轄的領(lǐng)域邊界清晰，否則便有可能造成個人信息保護(hù)的公地悲劇。因此，我國亟待設(shè)立或依法確立統(tǒng)一的個人信息保護(hù)執(zhí)法機(jī)構(gòu)，將個人信息保護(hù)的行政權(quán)力收歸一處，再依據(jù)行業(yè)性質(zhì)差異區(qū)分不同的內(nèi)部機(jī)構(gòu)。與分業(yè)監(jiān)管范式不同的是，各內(nèi)部機(jī)構(gòu)雖地位平等，但個人信息保護(hù)執(zhí)法機(jī)構(gòu)這一上級主體可以在內(nèi)部機(jī)構(gòu)發(fā)生管轄權(quán)糾紛時進(jìn)行指定管轄，避免個人信息保護(hù)公地悲劇的產(chǎn)生。

五、構(gòu)建金融科技場域下個人信息保護(hù)制度

金融科技場域下個人信息保護(hù)制度構(gòu)建應(yīng)具有整體思維，通過多管齊下解決。在法律層面，應(yīng)完善相關(guān)規(guī)范，設(shè)立切實可行的個人信息保護(hù)制度并形成體系；在基礎(chǔ)設(shè)施建設(shè)層面，應(yīng)堅持體用結(jié)合，在完善法規(guī)的基礎(chǔ)上對個人信息保護(hù)基礎(chǔ)設(shè)施與技術(shù)儲備加以更新，使之更適應(yīng)新時代個人信息保護(hù)的需求；在監(jiān)管實操層面，協(xié)調(diào)和處理好金融數(shù)據(jù)開放與監(jiān)管保護(hù)準(zhǔn)則的關(guān)系，避免監(jiān)管俘獲等有礙于監(jiān)管實施的情況發(fā)生。

（一）完善規(guī)范：加快制訂《個人信息保護(hù)法》

世界主要發(fā)達(dá)國家在信息保護(hù)領(lǐng)域大多有專門立法，如美國《公平信息實踐準(zhǔn)則》和《隱私法》、歐盟的《通用數(shù)據(jù)保護(hù)條例》、日韓的《個人信息保護(hù)法》等。2017年3月，全國人大代表邵志清在第十二屆全國人大第五次會議上提出議案，建議加快制定個人信息保護(hù)法，同時將《中華人民共和國個人信息保護(hù)法（草案）》作為附件提交。2020年5月25日全國人大三次會議中，全國人大常委會在工作報告中指出，圍繞國家安全和社會治理，制定生物安全法、個人信息保護(hù)法、數(shù)據(jù)安全法，通過刑法修正案修改《中華人民共和國行政處罰法》和《中華人民共和國人民武裝警察法》等。由此可見，《個人信息保護(hù)法》的制定已提上日程。針對《個人信息保護(hù)法》具體條款的制定，本文提出如下建議：

1.融合數(shù)據(jù)與消費者保護(hù)模式的個人信息保護(hù)路徑

在信息保護(hù)領(lǐng)域，美國奉行的“消費者保護(hù)模式”與歐盟奉行的“數(shù)據(jù)保護(hù)模式”均有優(yōu)勢。結(jié)合我國國情，我國信息保護(hù)的重點應(yīng)以“數(shù)據(jù)保護(hù)模式”為基礎(chǔ)，佐以“消費者保護(hù)模式”。主要原因是我國消費者權(quán)益保護(hù)力度較弱，國情與美國存在諸多不同。突出表現(xiàn)為美國聯(lián)邦貿(mào)易委員會是聯(lián)邦機(jī)構(gòu)，主要職權(quán)之一是保護(hù)消費者合法權(quán)益。而我國市場監(jiān)督管理部門的職權(quán)傾向于保障市場秩序的有效運行，在市場秩序規(guī)制與消費者權(quán)益保護(hù)的選擇上傾向前者。同時，中國消費者協(xié)會作為社會組織缺乏行政機(jī)關(guān)特有的職權(quán)性。因此，就消費者權(quán)益的行政職權(quán)保護(hù)而言，我國行政主體存在缺位現(xiàn)象。以“數(shù)據(jù)保護(hù)模式”為監(jiān)管基礎(chǔ)，權(quán)力來源更順暢，也更適合中國現(xiàn)有社會狀況。將金融行業(yè)納入統(tǒng)一的“市場信用信息數(shù)據(jù)庫”，公示侵害權(quán)利人合法權(quán)益的不誠信金融機(jī)構(gòu)，使金融科技服務(wù)機(jī)構(gòu)“一處失信，處處碰壁”，以此提升個人信息保護(hù)的重視程度，加大權(quán)利人個人信息保護(hù)力度。

2.構(gòu)筑行政保護(hù)與司法保護(hù)結(jié)合的個人信息保護(hù)路徑

在個人信息保護(hù)路徑的選擇上，《個人信息保護(hù)法》應(yīng)堅持行政保護(hù)與司法保護(hù)并重的模式。目前，我國對個人信息的保護(hù)主要集中在司法保護(hù)領(lǐng)域，即被侵權(quán)人通過向人民法院起訴侵權(quán)人維護(hù)個人權(quán)利。訴訟無疑是非常有效的維權(quán)方式，法院強(qiáng)制執(zhí)行意味著一旦形成對被侵權(quán)人有利的判決，侵權(quán)人必須承擔(dān)相應(yīng)的法律責(zé)任。但該方式也有明顯的弊端：一方面，訴訟周期較長，被侵權(quán)人可能面臨長時間的權(quán)利侵犯；另一方面，訴訟成本較高，訴訟費、律師費、保全費等造成訴訟的高成本。因此，我國在構(gòu)筑個人信息保護(hù)體系時，應(yīng)在保留司法保護(hù)模式的同時，強(qiáng)化個人信息的行政保護(hù)。

強(qiáng)化個人信息的行政保護(hù)是“數(shù)據(jù)保護(hù)模式”的具體體現(xiàn)，主體是行政機(jī)關(guān)，對象是金融科技公司，客體是個人信息。行政保護(hù)具有單向性和職權(quán)性，金融科技公司是行政相對人。金融科技公司對個人信息實施侵害主要包括直接故意侵害和丟失個人信息侵害。針對前者，行政主體根據(jù)金融科技公司的主觀惡意、侵權(quán)行為和獲利數(shù)額等因素考慮處罰決定。針對后者，需對丟失個人信息的性質(zhì)進(jìn)行盡職丟失與過失丟失的區(qū)分。同時，建立個人信息保護(hù)人盡職免責(zé)制度，即金融科技公司有證據(jù)證明其已窮盡一切手段履行信息保管義務(wù)時，可以減輕或免除其保管責(zé)任。若金融科技公司因過失泄露了個人信息，則應(yīng)承擔(dān)相應(yīng)責(zé)任。

個人信息的行政保護(hù)雖具有效率高、程序簡單、靈活性強(qiáng)等優(yōu)勢，但也存在弊端，如黑客對金融科技公司轄內(nèi)金融信息數(shù)據(jù)庫發(fā)起攻擊，造成大量個人信息泄露，金融監(jiān)管機(jī)構(gòu)無權(quán)對其進(jìn)行監(jiān)管，需由被侵權(quán)人向人民法院進(jìn)行起訴，采用司法程序?qū)ψ陨砗戏?quán)益進(jìn)行維護(hù)。因此，由行政機(jī)關(guān)對金融科技公司進(jìn)行監(jiān)管較為便利，而第三方對個人信息的侵權(quán)應(yīng)采用司法保護(hù)模式?？梢钥闯觯瑯?gòu)筑行政保護(hù)與司法保護(hù)相結(jié)合的個人信息保護(hù)路徑十分重要。

（二）體用結(jié)合：完善信息保護(hù)基礎(chǔ)設(shè)施與技術(shù)儲備建設(shè)

2017年《網(wǎng)絡(luò)安全法》正式生效，其中的第三章“網(wǎng)絡(luò)運行安全”是立法亮點，即我國首次將關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)提到立法層面?！毒W(wǎng)絡(luò)安全法》第31條指出，關(guān)鍵信息基礎(chǔ)設(shè)施是在我國重要行業(yè)及領(lǐng)域，其一旦遭受攻擊和破壞導(dǎo)致系統(tǒng)失靈或數(shù)據(jù)泄露，可能導(dǎo)致重大社會利益受損。金融信息基礎(chǔ)設(shè)施就從屬于關(guān)鍵信息基礎(chǔ)設(shè)施（王春暉，2017）。

完善個人信息保護(hù)的基礎(chǔ)設(shè)施與技術(shù)儲備，需從技術(shù)能力、產(chǎn)業(yè)倒逼、事前監(jiān)督與事后監(jiān)管幾個層面入手。首先，技術(shù)能力的提升是內(nèi)生動力。在世界各國紛紛重視“數(shù)據(jù)本地化存儲”的背景下，金融科技領(lǐng)域的個人信息保護(hù)應(yīng)借此趨勢提升數(shù)據(jù)保護(hù)的技術(shù)能力。隨著云計算、物聯(lián)網(wǎng)與人工智能等新興科技的發(fā)展，在保證國家數(shù)據(jù)安全的前提下，有關(guān)技術(shù)部門可將非核心區(qū)域內(nèi)的數(shù)據(jù)儲存技術(shù)授予金融科技公司，以增強(qiáng)數(shù)據(jù)風(fēng)險抵御能力。在對金融科技公司進(jìn)行審批時，相關(guān)部門應(yīng)強(qiáng)制金融科技公司配備相應(yīng)的數(shù)據(jù)保護(hù)系統(tǒng)，保證個人信息安全。其次，產(chǎn)業(yè)倒逼是完善信息保護(hù)設(shè)施的外部驅(qū)動。加快高端芯片、核心器件和新一代移動通信網(wǎng)絡(luò)的建設(shè)，借助5G、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興產(chǎn)業(yè)快速發(fā)展帶來的強(qiáng)大驅(qū)動力，倒逼金融科技公司強(qiáng)化個人信息保護(hù)的基礎(chǔ)設(shè)施建設(shè)。再次，事前監(jiān)督是預(yù)防個人信息泄露的有效手段，主要表現(xiàn)為對整個行業(yè)的規(guī)范。制定金融科技公司個人信息安全標(biāo)準(zhǔn)，將數(shù)據(jù)保護(hù)系統(tǒng)達(dá)到安全標(biāo)準(zhǔn)作為從事金融科技業(yè)務(wù)的準(zhǔn)入門檻。最后，事后監(jiān)管是對既定侵權(quán)事實進(jìn)行責(zé)任分配與利益修復(fù)的過程。構(gòu)筑合理的侵犯與泄露個人信息侵權(quán)的法律責(zé)任，具有修復(fù)舊的法律關(guān)系的作用，也可以震懾潛在侵權(quán)人。

（三）靈活監(jiān)管：協(xié)調(diào)金融數(shù)據(jù)開放與監(jiān)管保護(hù)準(zhǔn)則

金融數(shù)據(jù)開放是繼虛擬貨幣和人工智能后，金融科技的下一個熱點。但金融數(shù)據(jù)開放不可避免的給個人信息制度化保護(hù)帶來沖擊。銀行借助雄厚的資金實力與極高的信用評價，收集了大量個人信息，成為社會金融數(shù)據(jù)大集合的主要載體。同時，在金融數(shù)據(jù)開放性變革過程中，銀行因掌握大量金融數(shù)據(jù)而處于風(fēng)口浪尖。作為主要的數(shù)據(jù)開放主體，銀行在維護(hù)個人信息方面投入大量成本，也取得了不錯的集群性積極效應(yīng)（楊帆，2019）。如果銀行開放其掌握的數(shù)據(jù)，金融科技公司是否有能力保護(hù)海量個人信息，成為阻礙金融數(shù)據(jù)開放的重要問題。

開放金融數(shù)據(jù)對個人信息保護(hù)的挑戰(zhàn)主要來自三個方面。第一，數(shù)據(jù)安全無法得到充分保障。在數(shù)據(jù)分享與開放過程中，銀行、金融科技公司甚至監(jiān)管機(jī)構(gòu)無法保證個人信息不會被非法收集、盜用甚至篡改。第二，個人信息的使用范圍及透明性缺乏有效規(guī)制。如何保障個人信息僅在授權(quán)范圍內(nèi)被合法使用，使用主體是否是權(quán)利人明確授權(quán)的主體，使用過程是否透明，使用完畢后是否依約進(jìn)行永久數(shù)據(jù)刪除等難題缺乏有效規(guī)制。第三，職責(zé)不明。金融數(shù)據(jù)開放后，個人信息被惡意泄露、篡改等情況發(fā)生時，責(zé)任承擔(dān)主體、程序與形式皆不明朗，無法形成有效的權(quán)利救濟(jì)鏈條。

在金融開放的背景下，必須協(xié)調(diào)金融數(shù)據(jù)開放與個人信息監(jiān)管的關(guān)系。首先，金融數(shù)據(jù)開放應(yīng)保證個人信息權(quán)得到充分保障，堅持審慎原則，將個人信息的最低保護(hù)限度作為金融數(shù)據(jù)開放的最高限度。在強(qiáng)化個人信息保護(hù)的能力范圍內(nèi)，有條件地逐步放開金融數(shù)據(jù)展示，避免造成數(shù)據(jù)大量泄露。其次，加快我國統(tǒng)一金融監(jiān)管機(jī)構(gòu)改革進(jìn)程。通過機(jī)構(gòu)設(shè)置調(diào)整，將金融監(jiān)管權(quán)力合而為一，形成監(jiān)管合力，避免出現(xiàn)金融信息監(jiān)管的公地悲劇。最后，在加快推進(jìn)金融數(shù)據(jù)開放的同時，加大個人信息保護(hù)的社會宣傳力度。金融數(shù)據(jù)開放有利于打破金融行業(yè)的信息壟斷，極大提升金融服務(wù)效率，是未來金融行業(yè)的發(fā)展方向。在此前提下，相關(guān)部門應(yīng)加強(qiáng)個人信息價值與個人信息保護(hù)的社會宣傳力度，增強(qiáng)社會公眾保護(hù)個人信息的主觀意愿與客觀能力，從而達(dá)到金融數(shù)據(jù)開放與個人信息保護(hù)兩手抓的目的。