徐惠麗

（常州大學(xué)史良法學(xué)院，江蘇 常州213164）

互聯(lián)網(wǎng)新技術(shù)不斷改變著個人信息的收集、處理和使用方式，對個人信息保護(hù)帶來挑戰(zhàn)，尤其在金融領(lǐng)域更為突出。一方面，金融機(jī)構(gòu)追求利益與消費者維護(hù)自我權(quán)益相沖突；另一方面，金融機(jī)構(gòu)面臨信息披露與隱私保護(hù)義務(wù)的雙向選擇。在數(shù)據(jù)時代，金融隱私和安全與通信隱私同等重要。①如何給予金融消費者的個人信息以特殊、傾斜的保護(hù)，已成為當(dāng)前研究的潮流以及各國立法的重點。

一、金融消費者個人信息利益權(quán)利化的法理證成

（一）利益、權(quán)利與權(quán)益法律內(nèi)涵

對于權(quán)利本質(zhì)探討，有“利益說”和“法力說”。葉名怡認(rèn)為，固有利益是債權(quán)人在締約時的現(xiàn)狀利益、整體利益、維持利益。②楊立新認(rèn)為，某種民事利益，法律規(guī)定以權(quán)利進(jìn)行保護(hù)的，就是權(quán)利；某種民事利益法律予以保護(hù)，但未規(guī)定為權(quán)利者，即為法益。③權(quán)利的本質(zhì)是利益，將特定的利益歸類為類型化和有名化的權(quán)利，實質(zhì)是對高階利益的維護(hù)。法益平等保護(hù)與法益區(qū)分保護(hù)爭議在于，權(quán)利主體、權(quán)利內(nèi)容和權(quán)利實現(xiàn)機(jī)制的歸屬功能、排他功能與社會典型公開性，反之則為利益。任何人均負(fù)有不妨害權(quán)利人實現(xiàn)其權(quán)利的義務(wù)，權(quán)利人可向任何人主張權(quán)利，一般不必通過義務(wù)人的作為就可實現(xiàn)自己的權(quán)利。對于個人信息保護(hù)，利益上升，則為權(quán)利；利益下降，則為潛在利益。

（二）個人信息保護(hù)模式切換——權(quán)利保護(hù)模式

個人信息具有相對獨立性，不附著于債權(quán)保護(hù)，更不附著于“主物從物關(guān)系”的產(chǎn)權(quán)保護(hù)；個人信息可單獨抽離，遵循區(qū)分保護(hù)原則?！睹穹倓t》對個人信息定性以及個人信息權(quán)利的保護(hù)路徑選擇性忽略的原因，可能與權(quán)利概念本身的模糊性有關(guān)。

1.比較法考察

美國1999年金融現(xiàn)代化法案（GLBA）特別要求所有金融機(jī)構(gòu)制定并實施旨在保護(hù)其收集的個人客戶信息的書面安全計劃；2003年公平準(zhǔn)確信用交易法（FACT Act）要求金融機(jī)構(gòu)作為其安全計劃的一部分，實施妥善處理消費者信息的辦法。④金融現(xiàn)代化法案規(guī)定：“每個金融機(jī)構(gòu)都有義務(wù)尊重其客戶的隱私，并保護(hù)這些客戶的非公開個人信息的安全性和機(jī)密性”。金融現(xiàn)代化法案將“非公開個人信息”定義為：（1）消費者向金融機(jī)構(gòu)提供的信息；（2）與消費者的任何交易或為消費者進(jìn)行的任何服務(wù)所產(chǎn)生的信息；（3）由金融機(jī)構(gòu)以其他方式取得的信息。⑤該法案包括三部分：金融秘密規(guī)則，借口防備規(guī)定，安全維護(hù)規(guī)則。金融機(jī)構(gòu)不得在未經(jīng)通知的情況下將非公開信息轉(zhuǎn)讓給非關(guān)聯(lián)第三方，此通知必須包括一項選擇退出規(guī)定，即消費者個人擁有退出向第三方傳輸數(shù)據(jù)的權(quán)利。⑥

韓國數(shù)據(jù)隱私法（PIPA）明確要求數(shù)據(jù)處理人員通知數(shù)據(jù)主體以下事項：（1）提供信息的目的；（2）提供給第三方的個人信息項目；（3）信息保留期；（4）數(shù)據(jù)主體拒絕同意的權(quán)利；以及（5）數(shù)據(jù)主體拒絕同意的損失。如果通知中缺少上述列舉的任何一項信息，通知內(nèi)容將被視為不充分，從而導(dǎo)致數(shù)據(jù)處理人員與第三方之間的信息共享不合法。⑦

2.權(quán)利束的生成

權(quán)利本身存在自我更新的特性，具體權(quán)利由基本權(quán)利衍生，而人身權(quán)、財產(chǎn)權(quán)被不斷賦予新的時代內(nèi)容，潛在被發(fā)展的權(quán)利成為象征母權(quán)利的“權(quán)利束”。⑧個人信息權(quán)是既有法律體系中規(guī)定的、消費者所擁有的權(quán)利集合，貫穿個人信息采集、使用、轉(zhuǎn)讓、存儲、修改全過程。個人信息內(nèi)新舊交織的權(quán)利，聚合形成了權(quán)利束。當(dāng)權(quán)利束中的某項權(quán)利被侵害時，權(quán)利人可將規(guī)定某項具體權(quán)利的法律規(guī)范作為請求權(quán)基礎(chǔ)從而得到救濟(jì)。

（1）數(shù)據(jù)權(quán)

消費者享有數(shù)據(jù)權(quán)，包含自主決定的利益與被遺忘權(quán)。自主決定的利益包括：知悉個人數(shù)據(jù)被收集、被基于何種目的而加以收集以及使用的目的、方式、范圍并基于此加以同意的利益。⑨對于超出收集目的，或已經(jīng)過時（相對于收集目的而言）的個人信息，信息主體享有要求信息控制者立即刪除的權(quán)利。⑩

（2）信息人格權(quán)

信息人格權(quán)近似于隱私權(quán)，又應(yīng)當(dāng)區(qū)分敏感信息和非敏感信息，在保護(hù)上前者嚴(yán)格于后者。[11]同時，信息人格權(quán)也包含名譽(yù)權(quán)、姓名權(quán)等權(quán)利。名譽(yù)權(quán)和姓名權(quán)在司法解釋層面一定程度的擴(kuò)張適用，足以補(bǔ)位隱私權(quán)概念滯后與社會發(fā)展之間存在的權(quán)利裂縫。[12]

（3）信用權(quán)

信用權(quán)覆蓋個人基本信息與信用交易信息。民法認(rèn)為在商品經(jīng)濟(jì)時代，信用的法律含義不同于傳統(tǒng)道德與經(jīng)濟(jì)意義上的信義，而應(yīng)成為自然人和法人所享有的一項獨立的人格權(quán)利，信用權(quán)以個人信用和企業(yè)信用為主要表現(xiàn)形式，并以實現(xiàn)交易中的信用利益為內(nèi)容。[13]個人信用權(quán)包括個人信用保有權(quán)、個人信用維護(hù)權(quán)、請求相應(yīng)利益權(quán)。[14]

（4）個人信息受保護(hù)權(quán)

消費者享有個人信息免受侵害與方便救濟(jì)權(quán)，有權(quán)要求金融機(jī)構(gòu)合理利用并保障個人信息安全，自然人的個人信息受法律保護(hù)。侵犯個人信息的違法行為，不僅破壞了信息權(quán)利人對其個人信息的控制和支配，同時也侵害了消費者追求的信息穩(wěn)定安寧。個人信息的收集者與處理者應(yīng)當(dāng)采取恰當(dāng)?shù)拇胧﹣矸婪栋殡S個人信息收集、儲存、處理與流轉(zhuǎn)的風(fēng)險。[15]

總之，金融消費者信息權(quán)融合了以更新刪除消極權(quán)能的數(shù)據(jù)權(quán)，以知情同意積極權(quán)能的信息人格權(quán)；以及客觀確定的信用權(quán)和主觀確定的個人信息受保護(hù)權(quán)。個人金融信息與個人一般信息的區(qū)別在于：不僅具有積極身份識別性，同時也具備消極財產(chǎn)指向性，故直接采用人格權(quán)保護(hù)模式并不可取，因此必須明確個人信息權(quán)的邊界。

（三）個人信息保護(hù)模式進(jìn)階——權(quán)益保護(hù)模式

個人信息基于互聯(lián)網(wǎng)發(fā)展大數(shù)據(jù)分析，分析整合散發(fā)出全新的價值。消費者對個人信息除了擁有四項固有權(quán)利，還擁有信息利益。該項利益分為三部分，一是讓渡于金融機(jī)構(gòu)的部分財產(chǎn)利益，金融機(jī)構(gòu)對這些信息經(jīng)過清洗加工、脫密脫敏后有權(quán)合理使用；二是消費者保留的自用利益，例如信用利益；三是保留在消費者個人信息內(nèi)未轉(zhuǎn)移、未讓渡的潛在財產(chǎn)利益，即中間層利益。個人信息保留的未讓渡利益專指消費者隱含的、未利用的財產(chǎn)價值，該部分財產(chǎn)利益隱而不發(fā)，因不具有典型公開性而受到較弱保護(hù)。消費者讓渡部分利益，目的是為了維護(hù)信息的總體安寧。

以金融機(jī)構(gòu)視角看待個人信息潛在利益，便是積極的可得利益；而從消費者視角看待，則是消極的不可侵犯利益。信息產(chǎn)權(quán)理論的失誤之處在于，一是把個人信息看成從物，二是對可得利益的誤判；對于消費者個人信息潛在利益，金融機(jī)構(gòu)負(fù)有不作為侵權(quán)義務(wù)?？梢?，將個人信息潛在利益定義為“可得利益”是金融機(jī)構(gòu)視角下強(qiáng)加的概念?；貧w消費者本位，強(qiáng)調(diào)消費者對個人信息的實質(zhì)態(tài)度：追求信息的穩(wěn)定與安全，而非信息的利益。但破壞信息的一般的、未讓渡的潛在利益，消費者有權(quán)追回收益，整個過程遵循損害填平原則。

消費者個人信息進(jìn)階形態(tài)為權(quán)益束，即包含母權(quán)利、子權(quán)利，積極的、社會典型公開性的外觀權(quán)利與消極的、隱藏的潛在利益。權(quán)益束的性質(zhì)決定了區(qū)分保護(hù)模式，權(quán)益平衡十分重要。實際訴訟中，可以根據(jù)案情對權(quán)益束的部分或整體進(jìn)行選用，以“權(quán)益鏈接”形式方便消費者實施權(quán)益救濟(jì)，即從消極防御到積極主動。

二、金融機(jī)構(gòu)違反消費者個人信息保護(hù)義務(wù)的責(zé)任重置

權(quán)益鏈接救濟(jì)并不否認(rèn)金融機(jī)構(gòu)違背義務(wù)的事實成立，相反，以金融機(jī)構(gòu)違約事實作為舉證補(bǔ)充反而更能起到權(quán)益救濟(jì)效果。但考慮到合同法履行利益中的實際損失與預(yù)期利益在實務(wù)中難以計算，而侵權(quán)法確有具體的賠償標(biāo)準(zhǔn)，消費者權(quán)益保護(hù)法兼具公私法特性，故應(yīng)摒棄合同法違約責(zé)任與嚴(yán)格責(zé)任，以侵權(quán)法+消費者權(quán)益保護(hù)法作為適法依據(jù)。

（一）責(zé)任屬性——直接責(zé)任與按份責(zé)任

理論上，違反信息保護(hù)義務(wù)的金融機(jī)構(gòu)一般承擔(dān)直接責(zé)任，例如當(dāng)發(fā)生內(nèi)部信息侵害、信息錯誤錄入、越權(quán)上報與強(qiáng)制上報情形時，金融機(jī)構(gòu)負(fù)全部責(zé)任，金融消費者有權(quán)直接向金融機(jī)構(gòu)尋求權(quán)益救濟(jì)。但實務(wù)中存在例外情形，即飽受爭議第三人外部侵權(quán)的歸責(zé)問題。《消費者權(quán)益保護(hù)法》規(guī)定，經(jīng)營者未盡安全保障義務(wù)，承擔(dān)侵權(quán)責(zé)任?！肚謾?quán)責(zé)任法》規(guī)定，發(fā)生第三人侵權(quán)，未盡安全保障的義務(wù)的管理人承擔(dān)補(bǔ)充責(zé)任。

然而，當(dāng)?shù)谌送獠壳謾?quán)事由發(fā)生后，不宜適用補(bǔ)充責(zé)任。個人信息的外部侵權(quán)，本質(zhì)是共同因果關(guān)系下，第三人作為侵權(quán)與金融機(jī)構(gòu)未盡安全保障義務(wù)的不作為侵權(quán)兩個行為共同作用的結(jié)果，類似于無意思聯(lián)絡(luò)的分別侵權(quán)，金融機(jī)構(gòu)與第三人根據(jù)原因力大小承擔(dān)按份責(zé)任。承擔(dān)按份責(zé)任的理由如下：一是責(zé)任外觀符合；二是安全風(fēng)險較高；三是外部侵權(quán)為消費者固有權(quán)利損害，非財產(chǎn)損失；四是金融機(jī)構(gòu)與第三人按責(zé)分擔(dān)精神損害賠償款，利于保護(hù)消費者權(quán)益。

（二）責(zé)任分配——過錯責(zé)任與舉證倒置

在確定責(zé)任類型后，優(yōu)化舉證責(zé)任是金融機(jī)構(gòu)承擔(dān)民事責(zé)任的關(guān)鍵環(huán)節(jié)。在權(quán)益鏈接的救濟(jì)框架下，采用過錯推定歸責(zé)原則，實施舉證責(zé)任倒置，將更多的舉證責(zé)任推給金融機(jī)構(gòu)，消費者只需提供初步證據(jù)，方能彰顯權(quán)利義務(wù)傾斜性配置的作用。例如當(dāng)消費者已明確提出保密聲明的情況下，金融機(jī)構(gòu)仍將有關(guān)信息予以披露或者進(jìn)行不正當(dāng)使用且不能證明無過錯的，意味著金融機(jī)構(gòu)的主觀過錯要件已經(jīng)得到滿足，無需進(jìn)一步確認(rèn)。

信息權(quán)益義務(wù)的排列組合要求對金融機(jī)構(gòu)設(shè)置更為嚴(yán)苛的責(zé)任分配原則，且應(yīng)對金融機(jī)構(gòu)免責(zé)事由進(jìn)行合理限制。過錯認(rèn)定應(yīng)囊括重大過失，免責(zé)事由僅限特定場合的信息提供（例如在訴訟或仲裁提交證據(jù)的特殊情形）、不可抗力與金融消費者的重大過錯。因此，以上三種情形均應(yīng)認(rèn)定為侵權(quán)行為，金融機(jī)構(gòu)應(yīng)承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

（三）責(zé)任區(qū)分——防御性責(zé)任與損害賠償責(zé)任

按照權(quán)利與利益區(qū)分保護(hù)要求，設(shè)置防御性責(zé)任體現(xiàn)了民事責(zé)任的擴(kuò)張，而對潛在利益的有限賠償則體現(xiàn)了民事責(zé)任的限制。侵害消費者信息權(quán)利，例如數(shù)據(jù)權(quán)、信息人格權(quán)、信用權(quán)和個人信息受保護(hù)權(quán)，可對金融機(jī)構(gòu)施加防御性責(zé)任；侵害消費者個人信息潛在利益，則以收回金融機(jī)構(gòu)獲利為限對金融機(jī)構(gòu)施加損害賠償責(zé)任。

1.防御性責(zé)任

關(guān)于個人信息的預(yù)防性責(zé)任措施，也指向停止侵害和消除危險，具體包括更正、停止處理、斷鏈、刪除、隱名化等數(shù)字加密處理等。[16]防御性責(zé)任的輕重取決于金融機(jī)構(gòu)侵害消費者個人信息情節(jié)，涉及精神損害賠償。考慮到實務(wù)中金融機(jī)構(gòu)違反個人信息保護(hù)義務(wù)的普遍嚴(yán)重現(xiàn)象，設(shè)置精神損害賠償責(zé)任有助于對消費者個人信息權(quán)利止損。與此同時，根據(jù)消費者整體性，個體賠償有時也能發(fā)揮示范作用而成為消費群體的部分主張，從而起到督促金融機(jī)構(gòu)履行義務(wù)的作用，畢竟金錢付出有時比口頭承認(rèn)更具有說服力與威懾力。應(yīng)支持金融機(jī)構(gòu)在違反消費者個人信息保護(hù)義務(wù)且情節(jié)嚴(yán)重時承擔(dān)精神損害賠償責(zé)任。

2.損害賠償責(zé)任

個人金融信息被不當(dāng)利用，造成的損失應(yīng)歸屬于潛在利益損失范疇。金融機(jī)構(gòu)非法利用消費者潛在利益造成消費者損失的，應(yīng)進(jìn)行損害賠償；未能及時補(bǔ)救所造成的損失，應(yīng)承擔(dān)加重責(zé)任。計算損失時，可借鑒知識產(chǎn)權(quán)法中確定侵權(quán)賠償數(shù)額的做法，類推適用的計算方式，包括：以權(quán)利人的實際損失計算；以侵權(quán)人的侵權(quán)獲利計算；以正常許可費為參照計算；定額賠償。[17]對于以牟利目的侵害物質(zhì)性人格權(quán)并造成嚴(yán)重后果的，私法賠償?shù)耐瑫r應(yīng)承擔(dān)精神損害賠償責(zé)任；而對于侵權(quán)人以營利目的利用他人的個人信息權(quán)利，精神損害賠償同時應(yīng)將獲利轉(zhuǎn)歸受害人，[18]即遵循獲利收回原則。

三、結(jié)語

金融消費者個人信息保護(hù)迫在眉睫。從金融機(jī)構(gòu)和消費者不同角度看待，會產(chǎn)生財產(chǎn)收益與信息權(quán)益并存現(xiàn)象，并且各自追求的側(cè)重點不同。個人信息本質(zhì)是權(quán)利束，進(jìn)階形態(tài)為權(quán)益束。長久以來，消費者所擁有的數(shù)據(jù)權(quán)、信息人格權(quán)、信用權(quán)、個人信息受保護(hù)權(quán)以及信息潛在利益被忽視，而寄希望于金融機(jī)構(gòu)認(rèn)真遵守規(guī)定的個人信息保護(hù)義務(wù)。信息保護(hù)難題的癥結(jié)在于“信息與財產(chǎn)一體，權(quán)利與權(quán)益混同”。分離信息與財產(chǎn)，權(quán)利與權(quán)益，通過保護(hù)模式的重組與責(zé)任重置，以“權(quán)益鏈接”救濟(jì)，并將失信金融機(jī)構(gòu)納入信用規(guī)制，方能實現(xiàn)對消費者個人信息的精準(zhǔn)保護(hù)。

注釋

①See McElroy，W.Faith.“Closing the Financial Privacy Loophole:Defining Access in the Right to FinancialPrivacy.”Washington University Law Review，vol.94，No.4，2017，pp.1058。

②葉名怡.違約與侵權(quán)競合實益之反思[J].法學(xué)家，2015（3）：131。

③楊立新.個人信息：法益抑或民事權(quán)利——對《民法總則》第111條規(guī)定的“個人信息”之解讀[J].法學(xué)論壇，2018（1）：38。

④See Ketter，Andrew D.“Protecting the Personal Information of Financial Institution Customers and Consumers.”Banking Law Journal，vol.123，no.6，June 2006，pp.484。

⑤See Dunmire v.Morgan Stanley DW，Inc.，475 F.3d 956(2007)，pp.4。

⑥See Waggoner，RyanL.“Privacy of Personal Information in the Financial Services Sectors of the United States and Japan:The Gramm-Leach-Bliley Act and the Financial Services Agency Guidelines.”I/S:A Journal of Law and Policy for the Information Society，vol.4，No.3，Winter 2008-2009，pp.891-892。

⑦See Kang，Taeuk，and Susan Park.“Transfer of Personal Information in a Corporate Structural Change.”Journal of Korean Law，vol.17，no.1，December 2017，pp.103-104。

⑧馮源.《民法總則》中新興權(quán)利客體“個人信息”與“數(shù)據(jù)”的區(qū)分[J].華中科技大學(xué)學(xué)報（社會科學(xué)版），2018（3）：81。

⑨程嘯.論大數(shù)據(jù)時代的個人數(shù)據(jù)權(quán)利[J].中國社會科學(xué)，2018（3）：116。

⑩萬方.終將被遺忘的權(quán)利——我國引入被遺忘權(quán)的思考[J].法學(xué)評論（雙月刊），2016（6）：157。

[11]龍衛(wèi)球.數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究[J].政法論壇，2017（4）：74。

[12]張繼紅.個人信用權(quán)益保護(hù)的司法困境及其解決之道——以個人信用權(quán)益糾紛的司法案例(2009-2017)為研究對象[J].法學(xué)論壇，2018（3）：148。

[13]錢玉文.消費者權(quán)利變遷的實證研究[M].法律出版社，2011：97。

[14]李新天，朱瓊娟.論“個人信用權(quán)”——兼談我國個人信用法制的構(gòu)建[J].中國法學(xué)，2003（5）：98。

[15]丁曉東.論個人信息法律保護(hù)的思想淵源與基本原理——基于“公平信息實踐”的分析[J].現(xiàn)代法學(xué)，2019（3）：109。

[16]葉名怡.個人信息的侵權(quán)法保護(hù)[J].法學(xué)研究，2018（4）：97。

[17]劉金瑞.個人信息與權(quán)利配置——個人信息自決權(quán)的反思和出路[M].法律出版社，2017：204。

[18]郭明龍.個人信息權(quán)利的侵權(quán)法保護(hù)[M].中國法制出版社，2012：293。