孔令宇

(中國人民銀行亳州市中心支行,安徽 亳州 236800)

一、個人金融信息的權利屬性

(一)個人信息權與個人金融信息權的辨析

個人金融信息是個人信息的子概念，但個人金融信息權并非是個人信息權的子集。換言之，個人信息包含個人金融信息、身份信息等種類，但個人金融信息權并非是個人信息權在金融領域的延伸或具體表現(xiàn)，其與個人信息權既有重合又有區(qū)別。基于權利構成視角來看，個人金融信息權的權利主體是金融消費者而非普通公民；權利客體是金融消費者的個人金融信息，包括但不限于金融消費者的身份信息、收入信息、賬戶信息、消費習慣、信用信息、金融交易信息等能標識出特定個人的信息和伴生的可預測信息，并非單純的隱私、肖像等信息?；诹x務指向的對象來看，個人金融信息權的義務主體主要是指金融機構和監(jiān)管機構，其侵害主體更為特定。

(二)私益性與公益性的融合體

基于權利處置的視角來看，個人金融信息權屬于自決權的重要范疇，具有私法的權利屬性。具言之，個人金融信息權是對權利主體可被識別的基礎信息以及由其所衍生經(jīng)濟價值的保護，權利主體可自由對其進行處分。因此，其具有強烈的私權屬性?；跈嗬Ｗo角度來看，個人金融信息權又屬于監(jiān)管機構保護的重要法益，其不僅僅屬于個人的所有，更具有一定的公益屬性。[1]原因如下：一是保護權利主體之正當權益的需要。金融機構擁有較好的人才儲備、運行系統(tǒng)和科技能力，一旦金融消費者的金融信息被金融機構掌握，其便可預測、分析金融消費者的行為，進而在與金融消費者的交易中占據(jù)優(yōu)勢地位，掌握交易話語權。因此，為維護金融消費者的合法權益，需要相關監(jiān)管機構介入，平衡交易雙方的力量。二是為保護經(jīng)濟平穩(wěn)發(fā)展的需要。金融信息雖源于個人，但也是社會信息平臺搭建的基礎。通過匯總海量的金融信息，可以為搭建各類金融基礎信息平臺提供基礎。而一旦各類基礎信息平臺建設成功，則可極大減少金融機構間內部的審批環(huán)節(jié)，極大的提高金融交易的效率。如征信信息平臺，為貸款提供了極大便利，甚至成為公民的“經(jīng)濟身份證”。因此，個人金融信息權雖脫胎于民事權，但其對社會的穩(wěn)定發(fā)展具有重要意義，具有濃烈的公益屬性。

(三)兼具私權和公權屬性

1.具有私權屬性。主要表現(xiàn)為財產(chǎn)權與人格權：一是財產(chǎn)權屬性。隨著金融科技的發(fā)展，金融機構也在自建各類數(shù)據(jù)庫，其需要海量的數(shù)據(jù)作為基礎。而公民的個人金融信息一經(jīng)產(chǎn)生便會形成一個獨立的數(shù)據(jù)，記錄著該數(shù)據(jù)主體特有的消費情況。此時，這些包含個人金融的數(shù)據(jù)便會成為金融機構爭搶的重要生產(chǎn)資料，其便具有商品的價值和使用價值，并成為一種無形商品，在金融市場間流通。二是人格權屬性。人格權是以權利者的人格利益為客體的民事權利，包括但不限于尊嚴、健康、信息、姓名、隱私等特定信息。因此，諸如消費軌跡、交易內容、賬戶信息及個人身份信息等能具有獨特標識性的信息，應當被理解為金融消費者的人格權益范疇，并享有別人勿擾的法定權能，因為其體現(xiàn)著金融消費者的人格尊嚴和獨立意志。

2.具有公權屬性。國家主權是國家獨立自主處理內外事物的表現(xiàn)。當海量個人金融信息經(jīng)加工后，其會變成金融數(shù)據(jù)，可以揭示當前居民消費情況、國民存款情況等經(jīng)濟運行現(xiàn)狀及發(fā)展規(guī)律。在此基礎上，如不能嚴格控制數(shù)據(jù)的傳輸和儲存，將成為外敵攻擊和利用的對象，國家金融安全將受到嚴重的挑戰(zhàn)。基于此角度來看，個人金融信息具有公權屬性。

二、個人金融信息保護面臨的挑戰(zhàn)及原因分析

(一)個人金融信息被“合法”竊取

1.電子合同影響真實意思表達。實踐中，金融機構和類金融機構常通過網(wǎng)絡媒介向用戶發(fā)出邀約或訂立合同。在此境況下，電子合同礙于字體小、內容多、語言晦澀、反復點擊鏈接進行跳轉閱讀等原因，常導致金融消費者不能真正理解合同內容，其做出的意思表示大都是基于營銷人員的口頭說明，簽訂合同這一行為與其真實的意思表示可能有差距，或存在重大誤解或意思表示不真實?；诖?，填寫同意選項授權金融機構合法地采集個人金融信息，潛存被侵權的可能。

2.概括性條款削弱自主選擇權。金融機構多通過概括條款或嵌套協(xié)議要求金融消費者勾選“同意”或“不同意”選項授權其獲取個人金融信息。作為消費者只有“同意”或“不同意”兩種選擇，如不同意則不能注冊賬戶獲得金融服務。而金融消費者一經(jīng)授權同意，金融機構則可以基于概括性條款的相關規(guī)定，隨意獲取個人金融信息并用于分析、傳輸，開設其他業(yè)務，甚至用于交易。比如代理購買理財產(chǎn)品，開通短信提醒被推送或者被電話銷售各類理財、金融衍生品等。

(二)個人金融信息被非法侵害

1.非法使用。金融消費者的個人金融信息一經(jīng)產(chǎn)生便會成為獨立的數(shù)據(jù)，存在被金融機構等利用的可能。實踐中，當金融消費者在一家銀行留下身份等其他信息時，其便對該信息失去了保護。因為信息系無形的財富，個人金融信息權利主體無法保障知情人是否傳遞給第三人或被其用于其他地方。比如，“ETC搶注”事件。車主在金融機構留下個人身份證號、手機號等信息，商業(yè)銀行為了完成上級工作任務出現(xiàn)了提前為車主注冊“ETC”開戶信息，搶占資源。當車主去銀行辦理時，經(jīng)查詢會發(fā)現(xiàn)車主已經(jīng)注冊了相關信息，無法在另一家銀行辦理，車主的信息在不知情的情況下被銀行使用并辦理業(yè)務。

2.非法流轉。個人金融信息作為一種數(shù)據(jù)資源被金融機構掌握后，便會在金融機構間流動。金融消費者不可能知道數(shù)據(jù)的發(fā)送方和接收方是誰，接收數(shù)據(jù)的目的是什么，是否被僅用于辦理消費者授權的業(yè)務。如，當金融消費者辦理汽車金融服務后，各種汽車保險、二手車買賣、汽車租賃、貸款、理財?shù)葼I銷電話不勝其煩，甚至還有詐騙電話。再如，某金融消費者在芝麻信用等平臺注冊后，其在使用“哈啰”“青檸”等共享單車時，會被調用查詢信用評分，那么為什么他們會知道呢？各類信用賦分的公司又是依據(jù)哪些信息評價金融消費者信用等級呢？然而，不論原因是什么，消費者的個人金融信息依然被他人知曉，其安寧生活和隱私已存侵害之可能。

(三)個人金融信息保護不完善

1.沒有頂層立法設計，保護體系缺失。我國現(xiàn)有對公民個人金融信息保護性規(guī)范散見于《中華人民共和國民法典》(以下簡稱《民法典》)《消費者權益保護法》《中國人民銀行金融消費者權益保護實施辦法》等法律、法規(guī)、規(guī)章及規(guī)范性文件等。在規(guī)范層面，雖然上述各效力層級的法律規(guī)范中均有涉及對公民個人金融信息的相關保護條款，但是卻沒有綱領性規(guī)定來進行有效統(tǒng)攝，更沒有一個完整的法律體系對個人金融信息權進行保護。由此，不可避免的會出現(xiàn)法出多門，公民、執(zhí)法機關等主體僅知一隅，難窺全貌，不知道有法可依；規(guī)范眾多，規(guī)范間存在沖突不知如何調處；法規(guī)范的倫理解釋、文理解釋邊界不能確定等一系列問題。

2.規(guī)則過于籠統(tǒng)，保護力度不足。《征信業(yè)管理條例》《個人金融信息保護技術規(guī)范》《中國人民銀行金融消費者權益保護實施辦法》等法律規(guī)則對個人金融信息保護的規(guī)定較為籠統(tǒng)，容易存在理解偏差或不便于執(zhí)行的弊端。基于法律規(guī)則構成要素角度來看，關于公民個人金融信息保護的法律規(guī)則多具備假定條件、行為模式，缺少法律后果。如《民法典》第一百一十條、第一千零三十四條等，均規(guī)定自然人的信息受法律保護，其他權利主體不得從事何種行為，但是就侵權行為的法律后果沒有明確依據(jù)?；诜梢?guī)則的表述來看，大都采用類似宣示性的語句表述。如建立金融消費者信息保護制度、對個人金融信息進行必要的收集等。如《中國人民銀行金融消費者權益保護實施辦法》第十七條規(guī)定銀行、支付機構對金融產(chǎn)品和服務進行信息披露時，應當使用有利于金融消費者接收、理解的方式，并以適當方式供金融消費者確認其已接收完整信息。而對于什么是“有利于”“適當方式”不得而知。

(四)監(jiān)管層面保護有漏洞

1.監(jiān)管者的“理性選擇”。隨著數(shù)字經(jīng)濟的發(fā)展，基于“公共選擇理論”中理性經(jīng)濟人的假設，金融監(jiān)管者在執(zhí)法過程中會出現(xiàn)“理性選擇”，從而造成選擇性執(zhí)法、監(jiān)管“漏洞”等窘?jīng)r。一旦金融監(jiān)管出現(xiàn)偏差，公民個人金融信息的保護將失去有力的盾牌，淪為任人宰割的魚肉；法律規(guī)范也將成為紙面上的“法律”，造成整個保護制度的淪陷。同時，監(jiān)管者的“理性選擇”也會引發(fā)金融機構或類金融機構投其所好，進而誘發(fā)監(jiān)管失責，權力尋租。

2.金融監(jiān)管存在盲區(qū)。在大數(shù)據(jù)背景下，很多新興的金融服務形態(tài)使得現(xiàn)有的金融監(jiān)管存在盲區(qū)。比如拉卡拉支付、股權眾籌、互聯(lián)網(wǎng)保險、芝麻信用、微信支付分等APP或小程序層出不窮，其中有一部分獲得了央行或其他部門頒發(fā)的營業(yè)牌照，但還有很多未獲許可就實施了運營。諸如此類的新興金融科技平臺在實踐中游離于監(jiān)管之外，并在攫取個人金融信息這塊利益蛋糕。同時，礙于分業(yè)監(jiān)管的大背景，許多新興金融科技平臺也難以將其劃分到某一具體的監(jiān)管范圍中，依據(jù)現(xiàn)行的法律規(guī)范，監(jiān)管主體很難確認其主體資格，進而加劇其成為三不管的真空地帶。

三、個人金融信息保護的完善路徑

基于上述分析可知，公民的個人金融信息既要面臨來自金融機構“合法”竊取和非法侵害，又面臨立法、執(zhí)法領域保護不完善帶來的諸多挑戰(zhàn)。上述挑戰(zhàn)不僅使得公民個人金融信息受到諸多侵害，更需要我們反思當下的保護措施是否需要更新迭代。因此，為了進一步加強對公民個人金融信息的保護，筆者認為應當以個人金融信息的權利屬性為理論依據(jù)，結合當下面臨的侵害來源，通過法治化手段逐個消解危害源，進而更好的保護公民的個人金融信息權益。

(一)完善個人金融信息保護法律規(guī)范

1.確定法律原則，完善頂層立法設計。應當加快個人金融信息領域專門的立法保護，為構建系統(tǒng)的個人金融信息保護法制度提供良好的制度框架和頂層立法設計。由此，應當盡快以《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)為基石，通過細化其內容，創(chuàng)設好法律原則和關于個人金融信息保護的基礎性法律規(guī)則，為進一步創(chuàng)設配套個人金融信息保護實施條例和建設個人金融信息保護法律體系奠定基礎?；诖?，應堅持比例原則，嘗試在立法中通過確立必要性原則、適當性原則、最小損害原則和合法性原則作為頂層立法的法律原則，進而統(tǒng)攝個人金融信息保護的相關法律規(guī)則。一是通過確立必要性原則，對監(jiān)管機構、金融機構采集、使用個人金融信息的邊界加以限制。具言之，非為辦理金融業(yè)務之需要不采集信息，非為提供金融服務之需要不采集信息，非為方便金融消費者簡化手續(xù)不傳輸信息，非基于監(jiān)管機構之批準不利用信息，非基于公共利益之需要任何機關、機構、個人不得進行信息加工和交易等。二是確定適當性原則，對監(jiān)管機構、金融機構等采集、使用信息的手段加以限制，即相關機構在收集、使用、交易信息時所使用的措施是否符合相關目的的要求，如果措施超過目的的范圍則應禁止。三是確定最小損害原則，所有關于個人金融信息保護的法律規(guī)范均應以損害權利主體最小的利益為邊界來進行創(chuàng)設或清理，以此規(guī)范相關機構的義務；或是通過提高違法成本，最大限度的維護權利主體的合法權益。四是確定合法性原則作為兜底條款和基礎性條款。根據(jù)憲法規(guī)定，立法、執(zhí)法、守法各環(huán)節(jié)的基礎前提就是合法。為此，通過合法性原則，根據(jù)憲法和個人金融信息保護的頂層立法等相關規(guī)定可以及時依法清理與時代不相適應的規(guī)范，及時創(chuàng)設新的法律規(guī)則對新情況加以規(guī)制；確保執(zhí)法部門和金融機構依法開展相關工作，切實維護好公民個人金融信息。

2.優(yōu)化法律規(guī)則，完善個人金融信息保護立法體系。應以《個人信息保護法》等頂層立法設計為基礎，進一步深入開展精細化立法工作，完善相關配套實施條例，進一步增強法律規(guī)則的可操作性。[2]一是人民銀行可依職權主動開展立法工作。央行可結合實際，制定個人金融信息保護管理辦法等部門規(guī)章，待時機成熟后，向國務院或全國人大申請制定行政法規(guī)或法律進一步充實個人金融信息保護立法體系。二是國家金融委應充分發(fā)揮好協(xié)調機制。可依法授權由人民銀行牽頭開展法律法規(guī)清理工作，以憲法為根基，依據(jù)《民法典》《個人信息保護法》《中國人民銀行法》等基本法對一行兩會及相關部門制定的規(guī)范性法律文件進行清理，對與上位法存在抵觸、與法律原則存在抵觸的相關法律規(guī)范進行清理，進一步掃清個人金融信息保護法律體系建設的制度障礙。三是中國人民銀行牽頭開展法律匯編工作。人民銀行對清理后現(xiàn)存的各項法律規(guī)范按照法律效力位階進行編纂，進一步方便執(zhí)法、金融機構和金融消費者查詢、使用法律。在匯編過程中，堅持上位法優(yōu)于下位法、特殊法優(yōu)于一般法、新法優(yōu)于舊法的基本調處機制，平衡好各規(guī)范性法律文件間的關系，理順法律規(guī)范遵守的先后順序。

(二)提高個人金融信息保護執(zhí)法水平

根據(jù)央地權限劃分，金融管理權屬于中央事權，各地在中央的指導下可以對屬地的擔保等金融機構進行管理。因此，做好金融監(jiān)管的關鍵在中央，具體在一委一行兩會的職權行使。據(jù)上文分析，當前的監(jiān)管現(xiàn)狀面臨選擇性執(zhí)法和執(zhí)法盲區(qū)的現(xiàn)實挑戰(zhàn)。所以，可嘗試通過強化技術監(jiān)管和整合監(jiān)管力量來消解監(jiān)管中面臨的問題。

1.強化技術監(jiān)管水平。監(jiān)管者作為一個獨立的生命個體，其本人可能會出現(xiàn)“理性選擇”進而有趨利避害的行為。但技術作為一種無生命的管理手段則可以有效彌補上述情況。另外，伴隨著金融科技的不斷發(fā)展，金融產(chǎn)品甚至金融秩序也在悄然發(fā)生變化，并催生金融管理制度和管理理念的變化。基于此，可嘗試通過建立以數(shù)據(jù)為核心的技術監(jiān)管新舉措，通過將掌握的個人金融信息加工成數(shù)據(jù)，并對其進行處理、分析，搭建穩(wěn)定的數(shù)據(jù)平臺，進而為實現(xiàn)實時、動態(tài)監(jiān)管奠定基礎，為維護金融安全奠定基礎。一是強化金融信息基礎設施建設。人民銀行可依職權加快金融信息基礎設施建設，通過加強對個人金融信息的采集、加工和梳理，建設“金融信息云平臺”，從源頭約束個人金融信息的傳遞和使用。二是強化金融技術監(jiān)管措施。通過建設個人金融信息使用、傳輸監(jiān)測平臺或系統(tǒng)，對金融機構間傳輸金融信息的情況實施動態(tài)監(jiān)測，有傳輸情況即會在系統(tǒng)中出現(xiàn)日志等記錄，切實做到全流程跟蹤。

2.整合金融監(jiān)管力量?，F(xiàn)有金融監(jiān)管模式主要為“一委一行兩會+地方金融監(jiān)管局”的央地聯(lián)動模式，主要是以中央金融監(jiān)管為主。對大型互聯(lián)網(wǎng)平臺、國有商業(yè)銀行和全國性的金融機構，中央的監(jiān)管也更為有力。同時，當下金融業(yè)內部聯(lián)系愈加緊密，傳統(tǒng)的分業(yè)監(jiān)管模式難以有效應對混業(yè)發(fā)展的金融態(tài)勢。且從具體監(jiān)管實施來看，央行、銀保監(jiān)會、證監(jiān)會內均設有金融消費者群益保護機構，對個人金融信息保護均設置了內部的規(guī)章或制度，各部門大都依據(jù)內部規(guī)章進行相關監(jiān)管工作。金融委作為協(xié)調機構，本身不具備執(zhí)法權，通過開會或其他方式協(xié)調執(zhí)法和調節(jié)法規(guī)沖突會耗費大量的人力物力。

所以，可以由金融委組織協(xié)調在央行內部成立綜合性的金融消費者權益保護機構，進而形成統(tǒng)一的監(jiān)管標準和統(tǒng)一的受理渠道，最大限度的避免資源閑置和浪費，防止各部門間的扯皮。同時，根據(jù)中央和法律法規(guī)授權，央行具有擬定金融業(yè)重要法律法規(guī)的法定權限，由央行統(tǒng)一開展個人金融信息保護工作，不僅有利于個人金融信息保護相關法律法規(guī)的起草，更有利于實施。另外，礙于當前個人金融信息傳輸?shù)姆稚⑿?，由央行及其派出機構實施監(jiān)管保護，其保護的覆蓋面更廣，面對全國性或地方間各類金融機構均可以實施檢查、處罰，有效回避了鞭長莫及的尷尬。

3.審慎劃定“公益需要”的邊界。對于采集、使用個人金融信息是否是基于“公益需要”的標準，應由執(zhí)法機構進行界定。執(zhí)法機構根據(jù)金融發(fā)展的需要，基于搭建金融信息基礎設施和維護金融安全需要等，來圈定公益的邊界。由執(zhí)法機構結合被采集使用信息的種類、范圍和傳輸?shù)姆秶葘嶋H情況，綜合加以判定金融機構是否存在超越“公益需要”而損害金融消費者的合法權益。

同時，應由執(zhí)法機構嘗試建立個人金融信息使用告知和補償機制。對確因“公益需要”而采集或使用個人金融信息的應由金融機構通過短信、郵件或向監(jiān)管機構備案等形式進行告知。一是為留存記錄，二是為保護金融消費者的知情權。對于因金融機構“自己需要”而采集、使用個人金融信息的，應由金融機構在征求權利主體明確同意的基礎上進行一定費用的補償，進而實現(xiàn)權利保護的平等性，滿足個人金融信息的財富屬性。

(三)完善個人金融信息保護糾紛化解方式

據(jù)上文可知，金融消費者的個人金融信息常受到金融機構“合法”竊取和非法侵害。其關鍵原因在于金融機構內部的監(jiān)督或行業(yè)自律程度不夠，加之金融糾紛化解方式單一，金融消費者維權難度大，使得金融消費者難以有效進行自我保護。因此，可嘗試通過強化行業(yè)自律和完善糾紛化解方式進一步提升個人金融信息保護水平。

1.強化金融業(yè)行業(yè)自律。隨著市場經(jīng)濟的深入發(fā)展，監(jiān)管者對金融業(yè)的監(jiān)管也更趨向宏觀監(jiān)管，不斷通過發(fā)揮行業(yè)內自律組織的管理和內部調節(jié)，實現(xiàn)自我監(jiān)督和自我管理。金融業(yè)具有高度的協(xié)作性和專業(yè)性特質，行業(yè)協(xié)會具有了解金融內部交易習慣、交易規(guī)則及“合法”回避法律規(guī)定的措施等，作為“內部人”其更了解內部事。

為此，可在監(jiān)管者的組織下通過構建行業(yè)自律人才庫等方式，按照任期公開、平等的推選自律協(xié)會委員。由其對金融機構是否違法采集、使用個人金融信息等行為進行預先研判，并依據(jù)相關法律法規(guī)，結合金融業(yè)發(fā)展實際制定內部標準，受理相關問題投訴。具言之，由自律組織建立統(tǒng)一的行業(yè)標準，如設置統(tǒng)一的個人金融信息采集邊界，設置禁止性信息采集邊界及敏感信息在特定范圍的使用授權方式等。由自律組織細化金融消費者投訴處理流程，對于電子合同的調取、概括性條款的識別、個人金融信息被采集的方式和被利用的情況進行分析，進而進行處置。由其向監(jiān)管部門統(tǒng)一申報基于公益需求采集個人金融信息的范圍，行業(yè)協(xié)會代表金融業(yè)對“基于公益需要”的邊界進行界定，更能有利于整個行業(yè)的發(fā)展，也更能代表行業(yè)內各成員的公意。

2.借助互聯(lián)網(wǎng)平臺完善糾紛化解方式?，F(xiàn)行金融糾紛化解方式主要以金融機構內部調解和外部監(jiān)督兩種方式。內部調解是縱向的糾紛化解方式，外部監(jiān)督協(xié)調是橫向的糾紛化解方式，內外交織構成當前的糾紛化解網(wǎng)絡。[3]

為此，可借助互聯(lián)網(wǎng)平臺，打通線上救濟渠道。由金融委與司法部門協(xié)調，借鑒“楓橋經(jīng)驗”，構建網(wǎng)上仲裁、網(wǎng)上調解平臺，邀請人民調解員、仲裁員、投訴方、被投訴方、金融監(jiān)管機構等多方共同參與的互聯(lián)網(wǎng)調解方式。當金融消費者因被侵權提出訴求時，可在調解平臺上發(fā)起申請，并自助選擇網(wǎng)上仲裁、網(wǎng)上投訴、網(wǎng)上調解等渠道，針對每種不同的渠道，組織不同人員參與化解糾紛，對于網(wǎng)上調解的結論可嘗試由公權力機關或人民調解委員會給予行政或司法確認，限定金融機構處置糾紛的時間，進而讓網(wǎng)上糾紛化解具有公信力，實現(xiàn)對個人金融信息的跨時空保護。

同時，可由央行完善對金融機構的評級方式，主動與司法機關或市場監(jiān)管部門等搭建信息共享機制，對金融機構因侵害個人金融信息而敗訴、被處罰等情況予以記錄并納入評級?？蓞⒄疹愃啤敖鑶h”等APP中信用評分一樣，當金融機構受到處罰或出現(xiàn)敗訴時，將會被降分，分數(shù)降至一定界限時，可采取給予行政處罰，并在業(yè)內給予通報。最大限度實現(xiàn)對個人金融信息的保護，反向督促金融機構強化對個人金融信息的保護。