黃國輝 寧 杰 鄭嘉泰

（中國人民銀行遼源市中心支行，吉林遼源 136200）

國家網(wǎng)絡(luò)安全工作要堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，保障個人信息安全，維護(hù)公民在網(wǎng)絡(luò)空間的合法權(quán)益。在金融領(lǐng)域，基層央行在貫徹落實《中國人民銀行金融消費者權(quán)益保護(hù)實施辦法》(以下簡稱“5號令”)的過程中，不斷強(qiáng)化對金融消費者金融信息的保護(hù)，加大對金融消費者權(quán)益的保護(hù)力度。然而，由于互聯(lián)網(wǎng)金融活動中對金融信息的處理方式較為特殊，導(dǎo)致互聯(lián)網(wǎng)金融消費者金融信息權(quán)益頻遭侵害，如何對金融信息權(quán)益實施法律保護(hù)已經(jīng)成為各有權(quán)監(jiān)管部門關(guān)注的焦點。通過對“5號令”相關(guān)規(guī)定進(jìn)行文義解釋，難以充分滿足日常監(jiān)管履職的需要。因此，強(qiáng)化互聯(lián)網(wǎng)金融消費者金融信息權(quán)法律保護(hù)的研究具有理論和實踐意義。

一、互聯(lián)網(wǎng)金融消費者金融信息安全存在的問題現(xiàn)狀

（一）不當(dāng)收集金融信息事件頻發(fā)

“5號令”第二十九條中對銀行、支付機(jī)構(gòu)收集金融信息方面做出了明確規(guī)定，與業(yè)務(wù)無關(guān)的不可以收集；收集過程中不可以采取不正當(dāng)方式；不得變相或者是強(qiáng)制收集。但互聯(lián)網(wǎng)金融平臺經(jīng)常會基于其服務(wù)的復(fù)雜性和特殊性，以較為隱蔽的方式違法違規(guī)收集與業(yè)務(wù)無關(guān)的用戶金融信息。如，互聯(lián)網(wǎng)金融服務(wù)平臺在要求用戶提供必要的身份信息的時，附帶過度收集一些與注冊用戶無關(guān)、而與該平臺營銷相關(guān)的金融信息，或者平臺通過技術(shù)手段擅自采集用戶其它衍生信息，均屬于侵害金融消費者的金融信息權(quán)益。

（二）不當(dāng)使用金融信息的現(xiàn)象日益嚴(yán)重

“5號令”第三十二條規(guī)定，銀行、支付機(jī)構(gòu)不可以超出范圍使用消費者金融信息，并要求如果要使用用戶金融信息只可以在法律法規(guī)的規(guī)定以及雙方約定的用途以內(nèi)。隨著互聯(lián)網(wǎng)金融領(lǐng)域在生活中應(yīng)用場景不斷擴(kuò)充，互聯(lián)網(wǎng)金融平臺違背誠信原則，將用戶金融信息販賣、向第三方提供或是濫用的情況屢見不鮮。部分互聯(lián)網(wǎng)金融平臺對內(nèi)部員工缺乏管理，導(dǎo)致內(nèi)部員工私下將用戶的個人金融信息倒賣給他人，從中獲取利益，嚴(yán)重危害了金融消費者財產(chǎn)及金融信息安全。

（三）金融信息泄露渠道日益增多

互聯(lián)網(wǎng)金融信息常態(tài)化是以虛擬數(shù)據(jù)的形態(tài)進(jìn)行保存，由于互聯(lián)網(wǎng)本身存在開放性，在空間和時間上基本無法有效限制虛擬數(shù)據(jù)信息的傳遞，導(dǎo)致信息泄露后傳播速度極快、傳播范圍極廣，難以有效管控?fù)p害。相對滯后的法律監(jiān)管制度，較為弱勢的互聯(lián)網(wǎng)金融行業(yè)自律，加之各家平臺公司信息安全管理制度的不健全，造成泄露消費者金融信息行為的違法成本過低，很難有效的約束和制止該侵權(quán)違法行為，也加劇了個人金融信息泄露進(jìn)一步擴(kuò)散的風(fēng)險。

二、互聯(lián)網(wǎng)金融消費者金融信息權(quán)法律保護(hù)存在的問題

（一）金融信息概念的法律界定不明確

《民法典》頒布之前，我國民法未對“個人信息”的概念進(jìn)行明確界定；直至《民法典》的頒布后，“個人信息”這一概念才在《民法典》第一千零三十四條中得到正式的定義。但《民法典》并未對個人信息的概念及范圍作出較為明確的界定。當(dāng)前，不同行業(yè)對個人信息的內(nèi)涵及外延都有其各自的規(guī)定，保護(hù)范圍的標(biāo)準(zhǔn)也各不相同?！?號令”第二十八條給金融消費者的金融信息作出了定義，但是“5號令”僅能夠適用于銀行和支付機(jī)構(gòu)，無法規(guī)范大多數(shù)互聯(lián)網(wǎng)金融平臺。在金融科技革命的浪潮中，個人信息范圍快速拓展，如果法律無法對互聯(lián)網(wǎng)金融消費者金融信息的概念、法律保護(hù)范圍作出最為明確的界定，金融信息主體權(quán)益將會受到直接而深刻的影響。因此，界定“互聯(lián)網(wǎng)金融消費者”以及“金融信息”的基本概念與范圍都是我國對互聯(lián)網(wǎng)金融消費者個人信息進(jìn)行法律保護(hù)亟需解決的問題。

（二）金融信息保護(hù)立法系統(tǒng)性不足

當(dāng)前，我國對個人金融信息的法律保護(hù)并未形成完整統(tǒng)一的法律體系。相關(guān)規(guī)定散見于不同行業(yè)監(jiān)管部門制定的部門規(guī)章或是規(guī)范性文件中，制定過程中缺乏統(tǒng)一的標(biāo)準(zhǔn)，相互之間缺少必要關(guān)聯(lián)，適用領(lǐng)域較為單一，要么是針對金融機(jī)構(gòu)，要么是單獨針對消費者。即便內(nèi)容中有針對互聯(lián)網(wǎng)金融消費者個人信息權(quán)的相關(guān)規(guī)章制度，也存在滯后性強(qiáng)、領(lǐng)域單一、層次不清、有效性差、操作性弱等問題，難以應(yīng)付錯綜復(fù)雜的互聯(lián)網(wǎng)金融領(lǐng)域，不利于對遭受侵權(quán)違法行為的互聯(lián)網(wǎng)金融消費者實施有效的法律救濟(jì)和保護(hù)。

（三）侵權(quán)責(zé)任立法不足

《消費者權(quán)益保護(hù)法》第五十條對侵權(quán)的民事責(zé)任作出了規(guī)定，《民法典》第一百七十九條對承擔(dān)民事責(zé)任的方式進(jìn)行了規(guī)定，《個人信息保護(hù)法》第七章對侵權(quán)法律責(zé)任進(jìn)行了規(guī)定。但是，由于互聯(lián)網(wǎng)金融活動的特性，從采集、保存到使用金融信息的過程中所涉及環(huán)節(jié)較多、程序較為復(fù)雜，有可能會由多位的責(zé)任主體經(jīng)手處理，導(dǎo)致對責(zé)任主體的認(rèn)定和歸責(zé)等方面存在一定難度。根據(jù)“誰主張，誰舉證”的民事訴訟證據(jù)規(guī)則，認(rèn)為自身權(quán)益受到侵害的金融消費者負(fù)有舉證義務(wù)，但是，一般情況下金融消費者是難以自力確定信息泄露源頭的，這也使互聯(lián)網(wǎng)金融糾紛舉證以及侵權(quán)認(rèn)定變得更為復(fù)雜，有的侵權(quán)案件因為涉及多方侵權(quán)責(zé)任主體，經(jīng)常會發(fā)生各方責(zé)任主體相互推卸法律責(zé)任、逃避法律制裁的情況，在缺少能夠?qū)Ω鞣截?zé)任主體進(jìn)行責(zé)任劃分的法律規(guī)范情況下，法律層面對于個人金融信息侵權(quán)的行政處罰存在依據(jù)不足、處罰標(biāo)準(zhǔn)不明確的問題。

三、國外對互聯(lián)網(wǎng)金融消費者金融信息權(quán)保護(hù)的立法實踐與啟示

（一）英國立法實踐

互聯(lián)網(wǎng)金融最早起源于英國，當(dāng)時主要體現(xiàn)為P2P網(wǎng)貸。互聯(lián)網(wǎng)金融行業(yè)的快速發(fā)展也伴隨著相關(guān)金融糾紛的增多，英國為了更好的對其進(jìn)行行業(yè)監(jiān)管，于2014年將P2P監(jiān)管納入金融監(jiān)管局職責(zé)。英國在互聯(lián)網(wǎng)金融消費者個人金融信息保護(hù)立法方面也較為領(lǐng)先，其《數(shù)據(jù)保護(hù)法》中通過對個人數(shù)據(jù)概念及內(nèi)容的界定、個人數(shù)據(jù)收集和使用的規(guī)范、互聯(lián)網(wǎng)金融消費者權(quán)利的賦予3個方面來保障個人數(shù)據(jù)的安全。同時設(shè)立英國信息專員辦公室，與英國數(shù)字市場部、通信管理局和金融市場行為監(jiān)管局等重要監(jiān)管機(jī)構(gòu)密切合作，將采集消費者個人信息納入監(jiān)管范圍，對有效監(jiān)管信息采集機(jī)構(gòu)起到重要的作用。

（二）歐盟立法實踐

歐盟對個人金融信息保護(hù)的法律非常具有特點，并且形成了體系，其中涵蓋了對個人金融信息法律保護(hù)的各個過程，從信息采集到刪除的各個環(huán)節(jié)都有法律進(jìn)行嚴(yán)格規(guī)范。在收集個人金融信息方面，要求商家必須通過合法正當(dāng)?shù)耐緩竭M(jìn)行獲取，并且必須要在合理范圍內(nèi)采集信息。在保存?zhèn)€人金融信息方面，《隱私和電子通信指令》規(guī)定了商家應(yīng)采取一系列的保護(hù)措施，在消費者個人金融信息出現(xiàn)風(fēng)險問題時，必須要第一時間告知消費者，從而保障消費者個人信息安全。在應(yīng)用個人金融信息方面，《個人數(shù)據(jù)保護(hù)指令》要求商家在應(yīng)用其信息時要確保用途正規(guī)，且必須要及時告知對方，還應(yīng)當(dāng)告知其享有的權(quán)利，信息使用完畢必須立即予以刪除處理。舉證責(zé)任分配方面，《遠(yuǎn)程金融服務(wù)指令》規(guī)定，應(yīng)當(dāng)由服務(wù)提供方進(jìn)行舉證。

（三）美國立法實踐

美國采用不同行業(yè)、不同領(lǐng)域各自立法的分散立法模式，對金融消費者個人信息保護(hù)確實具有較強(qiáng)的針對性，對隱私權(quán)的保護(hù)十分全面，當(dāng)金融消費者的個人信息權(quán)益遭受到不法侵害時，有多重維權(quán)救濟(jì)渠道可以對其權(quán)益進(jìn)行保護(hù)。如，美國的《消費者互聯(lián)網(wǎng)隱私保護(hù)加強(qiáng)法》詳細(xì)規(guī)范了互聯(lián)網(wǎng)金融經(jīng)營者采集用戶個人金融信息前應(yīng)盡的義務(wù)，且賦予了個人金融信息被販賣或應(yīng)用至其他途徑的知情權(quán)以及一定的選擇權(quán)。又如，《公平信用報告法》明確了互聯(lián)網(wǎng)金融機(jī)構(gòu)對用戶個人金融信息收集、使用限制，將部分信息列為敏感信息，限制第三方機(jī)構(gòu)收集，并規(guī)定收集前必須征得當(dāng)事人同意。美國最典型的維權(quán)措施當(dāng)屬集團(tuán)訴訟程序，即由多位小額消費者共同發(fā)起的集體訴訟程序。這種訴訟方式有助于幫助消費者跨越互聯(lián)網(wǎng)地域性限制，打破金融消費者維護(hù)自身合法權(quán)益的空間壁壘。

（四）國外立法實踐對我國的啟示

完善對互聯(lián)網(wǎng)金融消費者個人信息保護(hù)領(lǐng)域的立法，需要全盤考慮到本國的國情。國外在金融消費者個人信息權(quán)保護(hù)立法實踐領(lǐng)域有著自己獨特的立法模式，其中有很多立法思路和框架值得參考借鑒。其中，美國分行業(yè)制定法律對于跨域性極強(qiáng)的互聯(lián)網(wǎng)金融領(lǐng)域來說，很容易造成不同行業(yè)法律之間的法律適用沖突，形成監(jiān)管機(jī)構(gòu)互相推諉的情況。歐盟雖然采用統(tǒng)一立法模式解決了跨區(qū)域監(jiān)管難的問題，但是互聯(lián)網(wǎng)金融領(lǐng)域發(fā)展速度過快，統(tǒng)一立法很難從節(jié)奏上緊跟其發(fā)展速度，立法保護(hù)實踐中容易存在明顯的法律滯后性。因此，應(yīng)結(jié)合我國實際，在借鑒國外立法實踐經(jīng)驗的基礎(chǔ)上，探索形成一套適合我國國情的立法體系。

四、互聯(lián)網(wǎng)金融消費者個人信息權(quán)法律保護(hù)相關(guān)建議

（一）完善立法體系

我國互聯(lián)網(wǎng)金融消費者金融信息安全保護(hù)處于探索階段，相關(guān)的法律、法規(guī)和制度可操作性不高、概念不夠具體、制度不夠系統(tǒng)等問題無法忽視，在互聯(lián)網(wǎng)金融領(lǐng)域發(fā)展速度不可逆的今天，建立一套統(tǒng)一、完善、可操作性強(qiáng)的立法體系已是大勢所趨。首先應(yīng)以2021年11月1日起施行的《個人信息保護(hù)法》為基礎(chǔ)，結(jié)合我國國情及當(dāng)前大數(shù)據(jù)、互聯(lián)網(wǎng)、云存儲技術(shù)的發(fā)展現(xiàn)狀，制定一部《金融消費者金融信息保護(hù)法》，以此為將來制定更加具有針對性的下位法或相關(guān)制度規(guī)范提供指導(dǎo)。各立法部門需要加強(qiáng)基層調(diào)研，不斷細(xì)化、分解、解決個人信息權(quán)保護(hù)工作中的重點和難點，形成一部具有穩(wěn)定性的互聯(lián)網(wǎng)金融領(lǐng)域?qū)ｉT立法，并不斷地更新和調(diào)整低層次的法律規(guī)范，最終形成基本法為基礎(chǔ)，部門法為輔，互聯(lián)網(wǎng)金融領(lǐng)域?qū)ｉT立法為重點的系統(tǒng)化、立體化法律體系。

（二）明確立法內(nèi)容

《個人信息保護(hù)法》的施行對于加快互聯(lián)網(wǎng)個人金融信息立法進(jìn)程方面有著重要的借鑒意義，同時也為其他領(lǐng)域?qū)τ趥€人信息保護(hù)工作提供了基礎(chǔ)的法律制度保障，但在當(dāng)前互聯(lián)網(wǎng)技術(shù)領(lǐng)域不斷更新發(fā)展、互聯(lián)網(wǎng)金融消費者信息權(quán)概念存在爭議的兩大背景下，《個人信息保護(hù)法》不太適合直接對不斷快速融合新事物、開拓新應(yīng)用場景的互聯(lián)網(wǎng)金融領(lǐng)域進(jìn)行保護(hù)，只有以各部門單元為輔制定互聯(lián)網(wǎng)金融領(lǐng)域?qū)ｉT立法并不斷更新才能解決法律的滯后性問題，而互聯(lián)網(wǎng)金融領(lǐng)域?qū)ｉT立法中至少應(yīng)明確以下幾方面內(nèi)容：一是需要明確金融消費者金融信息權(quán)的義務(wù)主體，由于互聯(lián)網(wǎng)金融在義務(wù)主體的認(rèn)定上更為廣泛，存在與消費者之間沒有合同關(guān)系但是卻處于交易環(huán)節(jié)中的隱藏主體，對消費者個人金融信息安全存在潛在的威脅，因此需要明確義務(wù)主體，避免該情況侵權(quán)行為的發(fā)生。二是明確互聯(lián)網(wǎng)金融經(jīng)營者的法律地位、從業(yè)資格及經(jīng)營范圍等內(nèi)容。三是明確互聯(lián)網(wǎng)金融消費者金融信息的定義、內(nèi)容和范圍，規(guī)范互聯(lián)網(wǎng)金融經(jīng)營者個人信息收集和使用規(guī)則。四是明確互聯(lián)網(wǎng)金融消費者金融信息侵權(quán)違法犯罪行為的法律責(zé)任和處罰辦法。

（三）健全法律監(jiān)管體系

目前，人民銀行與銀保監(jiān)會均設(shè)有金融消費者保護(hù)部門，但雙方的規(guī)章制度、監(jiān)管職責(zé)以及監(jiān)管范圍有所不同，容易出現(xiàn)監(jiān)管重疊和監(jiān)管空白的情況，且互聯(lián)網(wǎng)金融交易有著跨區(qū)域的特點，對其進(jìn)行監(jiān)管時也要充分考慮各地的監(jiān)管規(guī)范，因此有必要形成一套完整的互聯(lián)網(wǎng)金融消費者金融信息保護(hù)法律監(jiān)管體系。一方面可以明確一個專門的監(jiān)管部門，并賦予其法律地位和法定職權(quán)，將所有互聯(lián)網(wǎng)金融機(jī)構(gòu)和涉及到互聯(lián)網(wǎng)金融消費者金融信息的經(jīng)營者進(jìn)行統(tǒng)一監(jiān)管。另一方面要做到有法可依，相應(yīng)的監(jiān)管職責(zé)細(xì)化和監(jiān)管條例制定是必要的，對受理消費者投訴進(jìn)行糾紛解決、對互聯(lián)網(wǎng)金融經(jīng)營者進(jìn)行監(jiān)督檢查、對互聯(lián)網(wǎng)經(jīng)營者內(nèi)部職工的教育培訓(xùn)這三點也應(yīng)該納入監(jiān)管職責(zé)中，這是完善法律監(jiān)管體系的基礎(chǔ)，更能為互聯(lián)網(wǎng)金融消費者金融信息權(quán)保駕護(hù)航。