引用格式： 曹鵬，羅興平.數(shù)字經(jīng)濟視域下個人金融信息的法律保護困境及完善對策[J].陜西理工大學(xué)學(xué)報（社會科學(xué)版），2024，42（2）：1-8+32.

［摘要］" 隨著數(shù)字經(jīng)濟的快速發(fā)展，個人金融信息已然成為重要的生產(chǎn)要素，其價值日漸凸顯。個人金融信息具有人格利益和財產(chǎn)利益的雙重屬性，其不僅關(guān)乎個人權(quán)益，也關(guān)乎國家金融安全穩(wěn)定。目前，我國尚存在個人金融信息權(quán)利屬性不明確、法律保護規(guī)范體系不完善、執(zhí)法監(jiān)管力度不夠、行業(yè)自律機制有效性發(fā)揮不足等問題。在借鑒國外經(jīng)驗基礎(chǔ)上，提出完善數(shù)字經(jīng)濟時代個人金融信息法律保護的對策和建議：推進個人金融信息保護的系統(tǒng)化法治建設(shè)，明確個人金融信息的權(quán)利屬性、完善司法救濟機制，強化對金融機構(gòu)個人金融信息保護的執(zhí)法監(jiān)管，完善行業(yè)自律和內(nèi)部約束機制。

［關(guān)鍵詞］" 數(shù)字經(jīng)濟； 個人金融信息； 權(quán)利屬性； 法律保護

［中圖分類號］D922.28" ""［文獻標(biāo)識碼］A" ""［文章編號］2096-4005（2024）02-0001-08

［收稿日期］2023-11-22" ［修訂日期］2024-01-31

［作者簡介］曹鵬，助教，主要從事民商事法學(xué)教學(xué)與研究；羅興平，副教授，碩士生導(dǎo)師，主要從事訴訟法學(xué)、司法制度研究。

①數(shù)據(jù)來源于中國信息通信研究院發(fā)布的《中國數(shù)字經(jīng)濟發(fā)展研究報告（2023）》，https：//baijiahao.baidu.com/s？id=1764396685458138720amp;wfr=spideramp;for=pc。

隨著大數(shù)據(jù)、云計算、人工智能技術(shù)的廣泛運用，經(jīng)濟社會數(shù)字化程度顯著提升，數(shù)字經(jīng)濟成為各國經(jīng)濟增長的重要驅(qū)動力?！耙詤^(qū)塊鏈、大數(shù)據(jù)、人工智能等數(shù)字技術(shù)的高速發(fā)展為引擎，數(shù)字經(jīng)濟催生了新業(yè)態(tài)和新的產(chǎn)業(yè)結(jié)構(gòu)實現(xiàn)突破式變革?！盵1]黨的二十大報告指出，要健全國家安全體系，提高公共安全治理水平，加強個人信息保護，要“加快發(fā)展數(shù)字經(jīng)濟，促進數(shù)字經(jīng)濟和實體經(jīng)濟深度融合，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群”[2]30。據(jù)中國信息通信研究院發(fā)布的《中國數(shù)字經(jīng)濟發(fā)展研究報告（2023）》顯示，2022年我國數(shù)字經(jīng)濟規(guī)模達到50.2萬億元，已連續(xù)11年顯著高于同期GDP名義增速，數(shù)字經(jīng)濟占GDP比重達到41.5%①。發(fā)展數(shù)字經(jīng)濟已成為促進我國經(jīng)濟社會發(fā)展的必然選擇。數(shù)字經(jīng)濟在一定程度上反映了當(dāng)今社會的數(shù)字化和信息化程度，也反映了數(shù)據(jù)所包含信息的經(jīng)濟價值屬性。企業(yè)對競爭力的要求轉(zhuǎn)變?yōu)楂@取數(shù)據(jù)、整理數(shù)據(jù)和應(yīng)用數(shù)據(jù)的數(shù)字化能力[3]。信息作為重要的數(shù)據(jù)資源，在數(shù)字經(jīng)濟市場中扮演著不可或缺的角色。數(shù)字經(jīng)濟時代的金融業(yè)，信息數(shù)據(jù)化和金融的關(guān)系就如同硬幣的一體兩面，在某種程度上金融信息就是被記載的一連串?dāng)?shù)據(jù)信息。中國人民銀行原行長周小川認為，金融業(yè)本質(zhì)上就是信息產(chǎn)業(yè)。金融業(yè)把信息看作是一種手段、工具，是一種科技對金融的支持，同時也確實認識到，金融業(yè)在很大程度上依賴于信息產(chǎn)業(yè)（IT）的發(fā)展[4]。由于金融產(chǎn)品和服務(wù)的無形性，信息在金融市場中的作用比在一般有形產(chǎn)品市場上的作用更重要[5]。近年來，金融業(yè)借助科技紛紛進行數(shù)字化轉(zhuǎn)型，以金融科技為代表的數(shù)字金融新業(yè)態(tài)不斷涌現(xiàn)，移動支付、數(shù)字貨幣、數(shù)字銀行、數(shù)字證券、數(shù)字保險、數(shù)字理財?shù)扰畈l(fā)展。金融與科技融合提升了金融服務(wù)效率，數(shù)字技術(shù)給金融行業(yè)帶來了新的機遇，但也為個人金融信息保護帶來了新挑戰(zhàn)。在數(shù)字經(jīng)濟時代，個人金融信息代表著生產(chǎn)要素、資產(chǎn)和收益，基于逐利的誘因，個人金融信息泄露、非法買賣、數(shù)據(jù)丟失等安全事件屢屢發(fā)生，已成為社會廣泛關(guān)注、亟待解決的問題。

近年來，我國學(xué)界關(guān)于個人金融信息保護的研究多集中于個人金融信息主體享有權(quán)利內(nèi)容、金融機構(gòu)的義務(wù)等方面，而缺少對個人金融信息的權(quán)利屬性、法律保護路徑的研究。目前，我國尚未制定專門的個人金融信息保護法律法規(guī)，現(xiàn)有的關(guān)于個人金融信息保護的法律規(guī)定也缺乏具體化和可操作性，未能完全解決數(shù)字經(jīng)濟時代背景下的個人金融信息保護困境。為此，本文探究個人金融信息法律保護存在的問題，在借鑒國外經(jīng)驗的基礎(chǔ)上，提出完善數(shù)字經(jīng)濟時代個人金融信息法律保護的對策和建議。

一、" 數(shù)字經(jīng)濟時代個人金融信息的內(nèi)涵界定與特征

（一）個人金融信息的涵義

數(shù)字經(jīng)濟時代，各種信息，特別是個人信息已全面數(shù)據(jù)化，數(shù)據(jù)已成為社會的核心生產(chǎn)要素、企業(yè)的重要生產(chǎn)資源之一[6]。從邏輯學(xué)的角度講，個人金融信息是個人信息的子概念[7]。我國《民法典》第111條對自然人的個人信息受法律保護作了原則性規(guī)定，第1034條則明確了個人信息的概念①。2021年8月20日頒布的《個人信息保護法》，是我國在信息網(wǎng)絡(luò)時代保障個人權(quán)利的基本立法[8]?！秱€人信息保護法》第4條②仍將可識別性作為個人信息的判斷標(biāo)準(zhǔn)，其不同于《民法典》對于個人信息范圍的列舉性規(guī)定，而是明確“匿名化處理后的信息”不屬于個人信息，對“個人信息”的范圍進行了除外規(guī)定[9]563。個人金融信息是個人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、信貸信息等方面的擴展與細化③。相比其他個人信息而言，個人金融信息蘊含經(jīng)濟價值和人格利益，具有一定的獨特性。

①《民法典》第1034條規(guī)定：自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定。

②《個人信息保護法》第4條規(guī)定：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

③參見2020年2月13日中國人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171-2020）。

目前，我國對“個人金融信息”沒有明確的法律定義?！吨袊嗣胥y行關(guān)于銀行業(yè)金融業(yè)機構(gòu)做好個人金融信息保護工作的通知》《中國人民銀行金融消費者權(quán)益保護實施辦法》《個人金融信息保護技術(shù)規(guī)范》等規(guī)范性文件，使用過“個人金融信息”“消費者金融信息”等概念，對個人金融信息的內(nèi)涵雖有界定，但表述各有不同，其內(nèi)涵和外延存在差異。結(jié)合“個人信息”的法律定義，本文將個人金融信息界定為金融機構(gòu)在為個人提供金融產(chǎn)品或服務(wù)的過程中，掌握的并以電子或者其他方式記錄的具有可識別性的個人信息，包括個人財產(chǎn)信息和個人身份信息。

（二）數(shù)字經(jīng)濟時代個人金融信息的特征

數(shù)字經(jīng)濟時代，個人金融信息承載著信息主體的切身利益，兼具個人人身和財產(chǎn)權(quán)益雙重屬性，屬于綜合性的新型民事權(quán)益。

1.個人金融信息中的財產(chǎn)信息體現(xiàn)個人財產(chǎn)利益

在金融業(yè)務(wù)活動中，金融機構(gòu)基于交易相對方的優(yōu)勢地位，掌握海量的個人財產(chǎn)信息，如金融賬號、口令密碼信息、存貸款信息、資產(chǎn)信息、交易和消費記錄以及虛擬貨幣、虛擬交易等虛擬財產(chǎn)信息。這些信息與個人財產(chǎn)狀況、金融資產(chǎn)密切相關(guān)，關(guān)乎個人經(jīng)濟利益，因而具有財產(chǎn)權(quán)益屬性。所謂財產(chǎn)權(quán)益，是指以財產(chǎn)利益為內(nèi)容或直接體現(xiàn)為財產(chǎn)利益的民事權(quán)利[10]40。個人金融信息中的財產(chǎn)信息屬于個人的無形資產(chǎn)，雖無固體形態(tài)，但在經(jīng)濟價值屬性上卻與有形財產(chǎn)無差異。個人金融信息反映個人所擁有的金融資產(chǎn)和貨幣收益，即所謂的“數(shù)字時代每個人所擁有的資產(chǎn)都是被記載的一連串的數(shù)字信息”。數(shù)字經(jīng)濟時代，當(dāng)數(shù)字科技與金融深度融合，個人金融信息蘊含巨大的商業(yè)價值，其被加工、開發(fā)的余地很大，增值的空間很大[11]47。

2.個人金融信息中的身份識別信息涉及個人人格權(quán)益

所謂人格權(quán)，是指以主體固有的人格利益為客體，以維護和實現(xiàn)人格平等、人格尊嚴(yán)、人身自由為目標(biāo)的權(quán)利[12]5。個人信息由于其與特定主體的身份相關(guān)，屬于人格要素[8]。個人金融信息除包含個人的財產(chǎn)信息外，還包括具有精準(zhǔn)性、獨特性、敏感性的個人身份信息。該身份信息因具有可識別性，可直接定位信息主體身份，或通過數(shù)字技術(shù)對自然人進行“精準(zhǔn)畫像”，間接識別特定個人身份。金融機構(gòu)掌握的個人金融信息當(dāng)中，個人身份信息最能體現(xiàn)人格權(quán)益屬性，如身份證信息、個人生物信息及個人圖像等信息。個人金融信息既包含諸如個人身份等靜態(tài)信息，也包含有個人在金融交易日積月累的動態(tài)信息。這些信息能夠識別特定個人或反映特定個人交易能力、習(xí)慣和活動狀況，通過大數(shù)據(jù)技術(shù)處理，直接反映個人金融活動狀況，直接體現(xiàn)信息主體人格利益，因而具有強烈的人格權(quán)益屬性。

3.個人金融信息權(quán)益與隱私權(quán)屬于交集關(guān)系

從《民法典》第110條、111條的具體規(guī)定來看，沒有將個人信息全部納入隱私權(quán)保護的范疇，而是將個人信息保護與隱私權(quán)并列規(guī)定?！睹穹ǖ洹返?034條規(guī)定，個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定。我國《個人信息保護法》延續(xù)了《民法典》的做法，將個人信息區(qū)分為一般個人信息和敏感個人信息進行差異化的保護，以維護個人在數(shù)字化時代的人格尊嚴(yán)和公平，兼顧了數(shù)字經(jīng)濟發(fā)展的合理需求和趨勢[13]。在個人金融信息領(lǐng)域，生物識別信息、身份證件號碼等私密信息屬于隱私權(quán)的保護范疇，而個人金融信息當(dāng)中的姓名、金融賬戶開立時間、電話號碼等一般個人信息則不應(yīng)納入隱私權(quán)的范圍。因此，個人金融信息與隱私權(quán)屬于交集關(guān)系，二者在范圍上存在一定程度上的交叉，即個人金融信息當(dāng)中的私密信息屬于隱私權(quán)的范圍，但個人金融信息的范圍遠遠超過了隱私權(quán)的范疇。

二、 數(shù)字經(jīng)濟時代我國個人金融信息法律保護現(xiàn)狀及困境

（一）數(shù)字經(jīng)濟時代應(yīng)加強個人金融信息的法律保護

在數(shù)字經(jīng)濟時代，個人金融信息的價值及重要性不言而喻。加強個人金融信息法律保護應(yīng)是數(shù)字經(jīng)濟發(fā)展應(yīng)然的結(jié)果。一方面，保護個人金融信息是保護個人人身和財產(chǎn)權(quán)益的必然要求。個人每一次銀行卡消費、取款，購買銀行理財產(chǎn)品、基金定投、儲蓄連接保險等創(chuàng)新型的金融產(chǎn)品與金融衍生產(chǎn)品，都會在金融機構(gòu)留下記錄。隨著大數(shù)據(jù)技術(shù)的發(fā)展，個人金融信息的商業(yè)價值日益受到重視。一些不法分子通過信息的集中化管理和量化技術(shù)，對個人金融信息進行數(shù)據(jù)畫像，分析個人的資金狀況、愛好偏好、消費習(xí)慣等，有針對性地開展網(wǎng)絡(luò)詐騙、營銷欺詐，獲取利益。近年來，一系列金融詐騙、電信詐騙等案件背后大多涉及個人金融信息的泄露、丟失等問題。個人金融信息侵權(quán)案件中，往往給信息主體造成嚴(yán)重的人身和財產(chǎn)損失。

另一方面，保護個人金融信息是維護金融安全穩(wěn)定的重要方面。數(shù)字技術(shù)是一把雙刃劍，金融與科技融合提升了金融服務(wù)效率，也加大了網(wǎng)絡(luò)信息安全防控和金融風(fēng)險防范的難度[14]。在數(shù)字經(jīng)濟時代，信息的收集和匹配成本越來越低，原來單獨的、獨立的、可以公示的個人信息一旦被收集、提取和綜合，就完全可以與特定的個人相匹配，從而形成某一特定個人詳細準(zhǔn)確的整體信息[9]560。網(wǎng)絡(luò)的數(shù)字化特征使得數(shù)據(jù)成為個人金融信息的重要載體，個人信息的價值凸顯，其安全風(fēng)險也隨之增大[15]。個人金融信息被濫用或泄露，不僅會導(dǎo)致信息主體財產(chǎn)方面的損失，更直接侵犯信息主體的人格權(quán)利[16]。個人金融信息侵權(quán)案件發(fā)生后，金融機構(gòu)除面臨法律風(fēng)險外，還可能遭遇信任危機，進而引發(fā)信用風(fēng)險，影響金融機構(gòu)的正常經(jīng)營。隨著數(shù)字化金融的發(fā)展，金融信息一旦遭到侵害往往是大批量的泄露，那么其所造成的財產(chǎn)損失將會是難以估量的[17]，不僅會直接侵害個人金融信息主體的權(quán)益，還可能會引發(fā)金融風(fēng)險，危害國家安全和損害公共利益。

（二）我國個人金融信息保護的相關(guān)法律規(guī)定

目前，我國尚未對個人金融信息保護進行專門立法，有關(guān)個人金融信息保護的規(guī)定較為分散籠統(tǒng)，主要集中在《民法典》《個人信息保護法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《商業(yè)銀行法》《銀行業(yè)監(jiān)督管理法》《個人存款實名制規(guī)定》等法律法規(guī)中。

《民法典》第111條規(guī)定，自然人的個人信息受法律保護?！睹穹ǖ洹啡烁駲?quán)篇中對個人信息保護的規(guī)定確立了個人信息保護的請求權(quán)基礎(chǔ)，為個人信息保護提供了民事司法救濟渠道。但《民法典》對個人信息保護僅作了原則性的規(guī)定，側(cè)重于宣示性的權(quán)利義務(wù)設(shè)定，未對金融等特定領(lǐng)域作出明確規(guī)定?！秱€人信息保護法》第28條①將“金融賬戶”列為敏感個人信息予以保護，其他條文未涉及“金融信息”相關(guān)規(guī)定。《個人信息保護法》作為個人信息保護領(lǐng)域的一般法，涉及個人金融信息的條文僅一條，沒有對個人金融信息做出詳細的規(guī)定。在數(shù)字經(jīng)濟時代，《個人信息保護法》對個人金融信息無法做到周全保護?！毒W(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》從維護網(wǎng)絡(luò)安全和保障數(shù)據(jù)安全，促進數(shù)據(jù)開發(fā)利用的角度，規(guī)定了在開展網(wǎng)絡(luò)、數(shù)據(jù)處理活動時，收集個人信息應(yīng)遵循的原則、使用個人信息的要求、防止個人信息泄露的措施、監(jiān)管制度與相關(guān)禁止事項，但未涉及個人金融信息保護的具體規(guī)定?！渡虡I(yè)銀行法》第29條規(guī)定：商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)，應(yīng)當(dāng)遵循存款自愿、取款自由、存款有息、為存款人保密的原則，該規(guī)定設(shè)立了銀行為客戶保密原則，但對商業(yè)銀行履行個人金融信息義務(wù)及應(yīng)承擔(dān)的責(zé)任未進行全面規(guī)定，可操作性不強?！躲y行業(yè)監(jiān)督管理法》第1條規(guī)定要保護存款人和其他客戶合法權(quán)益，但在內(nèi)容上除了第43條對金融監(jiān)管人員違規(guī)查詢個人賬戶進行行政處分規(guī)定外，對防范銀行業(yè)機構(gòu)侵害客戶個人合法利益內(nèi)容沒有任何規(guī)定?！秱€人存款實名制規(guī)定》第8條規(guī)定：金融機構(gòu)及工作人員負有對個人存款賬戶的情況保守秘密的責(zé)任，此條僅是原則規(guī)定，保護措施的具體化不足。

①《中華人民共和國個人信息保護法》第28條規(guī)定：敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

（三）我國個人金融信息法律保護存在的問題

1.個人金融信息法律保護規(guī)范體系有待完善

我國個人金融信息保護的法律、行政法規(guī)規(guī)定不成體系，呈零星、分散狀態(tài)，而且一般只有一個或數(shù)個條文涉及個人金融信息保護，保護力度有限?！缎谭ā冯m然規(guī)定了侵犯公民個人信息罪相關(guān)罪名，但對于侵犯個人金融信息權(quán)益的一般違法行為無法適用，實際工作中對泄露個人金融信息行為立案、判刑的先例也極少[18]。我國目前對個人金融信息保護規(guī)定較為系統(tǒng)全面的內(nèi)容主要在金融規(guī)范性文件中[19]，法律位階不高。《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》《中國人民銀行金融消費者權(quán)益保護實施辦法》對個人金融信息保護作了具體的規(guī)定，但調(diào)整范圍較窄，僅調(diào)整銀行業(yè)金融機構(gòu)，不涉及保險、證券、期貨等其他金融業(yè)。2020年2月中國人民銀行發(fā)布的《個人金融信息保護技術(shù)規(guī)范》對個人金融信息作了較為詳細的規(guī)定，但只是金融行業(yè)標(biāo)準(zhǔn)的規(guī)范性文件，并非強制性規(guī)定，且僅為安全評估機構(gòu)開展安全檢查與評估工作提供參考，效力層級低。

2.個人金融信息的權(quán)利屬性不明確

對于個人金融信息的權(quán)利屬性，法律制度層面未進行規(guī)定，學(xué)界也存在不同觀點，有觀點認為個人金融信息屬于金融隱私權(quán)，應(yīng)從隱私權(quán)的角度保護個人金融信息[20]。也有觀點將個人金融信息視為金融消費者信息權(quán)，將個人金融信息歸屬于金融消費者權(quán)益，納入金融消費者權(quán)利保護范疇[21]。亦有觀點從信息數(shù)據(jù)權(quán)的視角研究個人金融信息的屬性，認為在大數(shù)據(jù)時代，法律應(yīng)當(dāng)對個人金融信息數(shù)據(jù)權(quán)益進行特別保護[5]。本文認為個人金融信息兼具人格權(quán)益和財產(chǎn)權(quán)益雙重屬性，屬于新型綜合性民事權(quán)益。個人金融信息概念及權(quán)利屬性的不確定性，給個人金融信息侵權(quán)案件的歸責(zé)原則、義務(wù)內(nèi)容、責(zé)任范圍、責(zé)任承擔(dān)方式的認定帶來諸多困難，不利于個人金融信息保護的多元化救濟，特別是民事司法救濟。

3.個人金融信息保護執(zhí)法監(jiān)管力度不夠

首先，金融監(jiān)管部門在金融領(lǐng)域的執(zhí)法監(jiān)督以防范金融業(yè)經(jīng)營風(fēng)險為重點，對個人金融信息權(quán)益保護的執(zhí)法監(jiān)管力度不夠。比如，反洗錢執(zhí)法部門在開展反洗錢執(zhí)法中，檢查事項包括金融機構(gòu)履行客戶身份信息識別義務(wù)情況，但執(zhí)法主要目的是打擊和懲處洗錢違法行為，防范洗錢風(fēng)險?！墩餍艠I(yè)管理條例》規(guī)定了金融機構(gòu)對征信信息負有保密的義務(wù)，征信業(yè)管理部門在開展征信執(zhí)法檢查時，雖然關(guān)注金融機構(gòu)落實征信信息安全義務(wù)情況，但主要是從征信業(yè)合規(guī)管理的角度出發(fā)開展的執(zhí)法監(jiān)督。其次，對從事金融業(yè)活動的機構(gòu)未全部納入執(zhí)法監(jiān)管范圍。對個人金融信息保護的執(zhí)法監(jiān)管，主要是針對持牌金融機構(gòu)開展的，未將所有從事金融業(yè)務(wù)活動的機構(gòu)全部納入金融監(jiān)管的范圍。大型科技企業(yè)利用互聯(lián)網(wǎng)技術(shù)，廣泛涉足金融活動或間接提供金融服務(wù)，掌握大量的個人金融信息，但對該類科技企業(yè)執(zhí)法監(jiān)管未全部覆蓋，存在監(jiān)管真空和監(jiān)管盲區(qū)的現(xiàn)象。

4.金融機構(gòu)自律機制有效性發(fā)揮不足

近年來，金融機構(gòu)廣泛運用科技手段開發(fā)各類金融APP，存在未設(shè)定隱私條款情況下過度收集個人信息等問題。部分金融APP收集的個人信息與其產(chǎn)品功能并沒有明確關(guān)聯(lián)，甚至收集生物信息、位置信息等敏感信息，且未在收集的個人信息種類中注明為個人敏感信息，明顯超出合理范圍。中國消費者協(xié)會發(fā)布的《100款A(yù)PP個人信息收集與隱私政策測評報告》①，顯示測評的100款A(yù)PP應(yīng)用程序中，金融理財類APP收集的個人信息共計有10類，其中收集最多的是手機號，占比達100%，其次是通信信息、位置信息、身份信息和個人基本資料等。在隱私政策方面，47款A(yù)PP隱私條款內(nèi)容不達標(biāo)，其中34款A(yù)PP沒有隱私條款。與此同時，部分金融機構(gòu)信息內(nèi)控缺乏流程制約，如業(yè)務(wù)系統(tǒng)對客戶信息查詢、復(fù)制、打印等操作無記錄和相應(yīng)的監(jiān)測保障措施，加之內(nèi)部員工非法竊取數(shù)據(jù)等技術(shù)防范手段欠缺，導(dǎo)致操作人員可通過光驅(qū)、USB等數(shù)據(jù)輸出設(shè)備，隨意復(fù)制、保存客戶信息。銀行業(yè)金融機構(gòu)現(xiàn)有的個人金融信息保護的理念傳導(dǎo)、措施落實上還不夠到位，個人信息保護分散于各個部門、服務(wù)于不同業(yè)務(wù)需求，缺乏應(yīng)有的統(tǒng)一管理[22]。個別銀行在客戶信息保護方面存在明顯的操作風(fēng)險，某些銀行機構(gòu)的個別業(yè)務(wù)人員甚至非法出售和對外提供客戶信息[4]。

①來源于中國消費者協(xié)會發(fā)布的《100款A(yù)PP個人信息收集與隱私政策測評報告》，https：//www.cca.org.cn/zxsd/detail/28309.html。

三、 域外個人金融信息法律保護

數(shù)字經(jīng)濟時代，歐美等域外國家對個人金融信息保護發(fā)展較早，法律體系也更加完善，對我國個人金融信息保護具有啟發(fā)和借鑒意義。

（一）美國

美國對個人金融信息的保護逐步從行業(yè)自律為主向?qū)ｉT法律規(guī)制轉(zhuǎn)變，其監(jiān)管體系圍繞法律體系產(chǎn)生，并服務(wù)于市場經(jīng)濟。美國的個人信息保護措施和相關(guān)立法帶有明顯的消費者權(quán)益保護法或公法規(guī)制的特征[23]。美國1978年頒布的《金融隱私權(quán)法》，在法律層面將個人金融信息確定為隱私權(quán)范疇，但僅是限制政府取得客戶個人金融信息的權(quán)利[16]。美國于1999年頒布了《金融服務(wù)現(xiàn)代法》，這部法律第五章的隱私條款規(guī)定了對非公開的個人信息的保護[24]，并在《消費者金融隱私保密最終規(guī)則》中得到具體細化：第一，按年制定并提供客戶信息保護的“隱私政策”；第二，向第三方披露個人信息前必須告知客戶并發(fā)送“隱私通知”；第三，客戶有權(quán)選擇終止相關(guān)業(yè)務(wù)關(guān)系并禁止信息披露。美國在個人金融信息保護方面，主要是將個人金融信息納入個人隱私權(quán)和金融消費者信息權(quán)益的范疇，通過加強對金融消費者權(quán)益的法律保護，實現(xiàn)個人金融信息全面保護。美國法律對個人金融信息所提供的保護手段是對信息的收集、處理與使用過程進行消費者權(quán)益保護法與公法規(guī)制，并未訴諸私法上具有排他性的個人信息權(quán)。

美國業(yè)已形成行政監(jiān)督、行業(yè)協(xié)會自律和司法救濟相協(xié)調(diào)的信息保護運作機制。銀行系統(tǒng)行政機構(gòu)主要包括財政部貨幣監(jiān)理局（OCC）、聯(lián)邦儲備系統(tǒng)（FRS）和聯(lián)邦儲蓄保險公司（FDIC）等，其有權(quán)制定征信機構(gòu)的業(yè)務(wù)規(guī)則，并對違法違規(guī)行為進行查處。自律協(xié)會主要有美國信用報告協(xié)會（CDIA）和全國信用管理協(xié)會（NACM），加強內(nèi)部學(xué)習(xí)交流和外部溝通協(xié)作。美國實行信息保護并非首要目標(biāo)，而更注重平衡信息有效使用和保護的關(guān)系。在信息采集環(huán)節(jié)，美國適用“默示同意”方式，即信息主體未明示拒絕或反對，則表示同意采集，以促進征信市場的繁榮。信息保護主要體現(xiàn)在信息使用環(huán)節(jié)，除前述法律規(guī)定外，美國還以判例法的形式確定了銀行和客戶之間的“默示條款”規(guī)則。即使銀行和客戶沒有相關(guān)約定，銀行也不得對外泄露客戶個人信息，否則應(yīng)承擔(dān)違約責(zé)任。

（二）歐盟

歐盟將個人金融信息權(quán)益視為與人格權(quán)相并列的新型民事權(quán)益，即個人信息權(quán)或個人數(shù)據(jù)權(quán)，探索個人金融信息司法保護路徑。歐盟采取對信息數(shù)據(jù)統(tǒng)一立法模式，致力于構(gòu)建個人信息保護新秩序。歐洲采用綜合立法模式實現(xiàn)了對個人信息的嚴(yán)格保護，較為典型的是歐盟1995年頒布的《歐盟個人信息保護與自由流通指令》（以下簡稱《指令》）[25]，該指令為歐洲各國各行業(yè)的信息保護制定了統(tǒng)一標(biāo)準(zhǔn)，歐盟各國需參照《指令》制定相應(yīng)的國內(nèi)法，具有較高的借鑒意義?！吨噶睢芬?guī)定各成員國成立一個或多個獨立機關(guān)，對個人信息的采集和使用享有調(diào)查權(quán)和有效的干預(yù)權(quán)力，保障個人信息權(quán)益和法律實施。歐盟各國大多建立了本國的個人數(shù)據(jù)保護機構(gòu)，包括德國、法國和西班牙等。比如，德國成立專門的“個人信息保護委員會”，監(jiān)督個人信息的使用情況；德國銀行設(shè)立“客戶信息保護人”，負責(zé)用戶信息的采集和利用。

與美國不同，歐盟對信息采集適用客戶“明示同意”方式?！吨噶睢访鞔_銀行客戶作為信息主體享有對其個人信息的接觸權(quán)、拒絕權(quán)和救濟權(quán)。德國響應(yīng)歐盟《指令》頒布的《聯(lián)邦信息保護法》，規(guī)定銀行客戶享有對其信息的知情權(quán)、更正權(quán)和限制使用權(quán)。銀行因其管理客戶個人信息的身份，受到《指令》約束。歐盟2018年生效的《一般數(shù)據(jù)保護條例（GDPR）》致力于構(gòu)建個人信息保護新秩序，具有個人信息保護里程碑意義[26]?！兑话銛?shù)據(jù)保護條例（GDPR）》將個人金融信息保護納入私權(quán)保護范疇，創(chuàng)設(shè)了“被遺忘權(quán)”和“可攜帶權(quán)”，并首次突破國境和地域限制，對在歐盟范圍內(nèi)進行信息活動的域外金融服務(wù)主體同樣具有約束力。銀行應(yīng)當(dāng)保證對用戶信息收集和處理的準(zhǔn)確性、關(guān)聯(lián)性和合理性，在客戶同意的前提下使用信息，并采取安全和適當(dāng)?shù)募夹g(shù)措施，防止用戶信息在使用過程中泄漏。

（三）日本

日本通過個人信息保護專門立法，明確監(jiān)管機構(gòu)，建立立體化監(jiān)督體制。2005年，日本開始實施《個人信息保護法》，確立了個人信息保護的基本精神以及如何有效使用個人信息[27]，該法相當(dāng)于日本個人信息保護領(lǐng)域的一般法。2020 年6月5日，日本在眾議院會議上通過了《個人信息保護法》的修正法案，擴展延伸了個人信息概念，確立了一體化監(jiān)督體制。為此，日本獨立設(shè)置了第三方機構(gòu)對個人信息進行保護和監(jiān)管，將分散在各個領(lǐng)域的監(jiān)督權(quán)轉(zhuǎn)移并集中到個人信息保護機構(gòu)[28]。

在金融領(lǐng)域，日本頒布了個人金融信息特別法，制定專門個人金融信息保護規(guī)則，旨在強化個人金融信息安全。如日本金融廳頒布了《關(guān)于金融行業(yè)個人信息保護指南》（以下簡稱“指南”），對機構(gòu)設(shè)置、信息管理、使用和轉(zhuǎn)讓等內(nèi)容確定了具體規(guī)定?！吨改稀芬蠼鹑跈C構(gòu)須設(shè)置個人客戶信息保護部門，對銀行員工的相關(guān)信息行為進行監(jiān)督管理，防止客戶信息遭泄露。在客戶信息的使用和管理方面，《指南》規(guī)定，如果第三方機構(gòu)需要掌握銀行客戶信息時，銀行必須謹(jǐn)慎選擇被允許的第三方，第三方機構(gòu)應(yīng)當(dāng)建立有效的保護機構(gòu)及規(guī)則，并且第三方機構(gòu)不得再次允許其他機構(gòu)使用。日本全國銀行協(xié)會參照《指南》制定了行業(yè)內(nèi)的自律性規(guī)則，用以指導(dǎo)金融機構(gòu)做好個人信息保護工作[29]。

四、 完善個人金融信息法律保護的對策

數(shù)字經(jīng)濟時代，個人金融信息價值愈發(fā)凸顯，構(gòu)建保護個人金融信息的法律制度已成為必然選擇。然而《個人信息保護法》作為個人信息保護的一般法，對具有特殊屬性的個人金融信息難以周全保護。因此，對個人金融信息的法律保護仍需進一步完善。

1.推進個人金融信息保護的系統(tǒng)化法治建設(shè)

首先，建議在《金融穩(wěn)定法（草案）》中增加關(guān)于“個人金融信息保護”的相關(guān)內(nèi)容，明確個人金融信息保護與維護金融穩(wěn)定之間的關(guān)系。其次，參照歐盟和日本對個人金融信息特殊保護的做法，建議我國制定個人金融信息法規(guī)——《個人金融信息保護條例》，對個人金融信息保護的宗旨、基本原則、規(guī)制主體、各方的權(quán)利義務(wù)、法律責(zé)任和救濟途徑作出規(guī)定。為加強對個人金融信息的保護，可以將保密、保護、不公開、不得泄露，不得篡改、毀損，不得買賣，不得非法向他人提供作為規(guī)制主體的義務(wù)，規(guī)定在條例中。在具體保護規(guī)則方面，構(gòu)建完備而立體的個人信息及數(shù)據(jù)分級分類保護機制。借鑒歐盟做法，將個人金融信息劃分為個人一般金融信息和個人敏感金融信息。對不同類型的個人金融信息實行差異化的保護。這兩類保護措施的嚴(yán)密性呈現(xiàn)逐漸遞增的狀態(tài)，個人一般金融信息可視作個人愿意公開的信息，對這部分信息設(shè)置一般保護標(biāo)準(zhǔn)即可。個人敏感金融信息涉及個人極為重要的個人私密部分。如個人金融交易信息、身份證信息、生物識別等信息，對這部分信息需要設(shè)置極高的保護標(biāo)準(zhǔn)。對敏感個人金融信息應(yīng)該采取較為嚴(yán)格的限制措施，限制此類信息的使用與處理，具體包括明確收集原則、收集限制原則、一次授權(quán)原則等。第三，完善金融管理部門相關(guān)規(guī)章制度，研究制定符合金融業(yè)實際的個人金融信息保護管理辦法，以“合理使用”為原則建立完備的客戶信息授權(quán)使用制度，明確個人信息保護的主要負責(zé)人和其他相關(guān)人員職責(zé)，細化金融機構(gòu)處理客戶個人金融信息的行為，為個人客戶事后維權(quán)提供保障和支持。

2.明確個人金融信息的權(quán)利屬性，完善民事司法救濟機制

首先，應(yīng)從法律上明確個人金融信息的涵義和權(quán)利屬性。個人金融信息兼具財產(chǎn)權(quán)益和人格權(quán)益雙重屬性，是一項新型綜合性民事權(quán)益。在立法時，明確個人金融信息的權(quán)利屬性，界定各方主體的義務(wù)和責(zé)任，明確責(zé)任承擔(dān)方式，從而奠定個人金融信息法律保護的請求權(quán)基礎(chǔ)。其次，要完善個人金融信息的民事司法救濟機制。民事司法救濟可以有力地保護個人金融信息安全，能夠作為個人金融信息保護的有力救濟手段。侵害個人金融信息的行為主體，不僅要承擔(dān)行政責(zé)任甚至刑事處罰，還要承擔(dān)因侵權(quán)行為產(chǎn)生的民事賠償責(zé)任，比如停止侵害、恢復(fù)名譽、消除影響、賠禮道歉、賠償損失等。第三，明確規(guī)定個人金融信息侵權(quán)損害民事賠償責(zé)任。從舉證責(zé)任、損害賠償范圍等各方面明確加強個人金融敏感信息權(quán)益保護，同時促進數(shù)字經(jīng)濟健康發(fā)展。對于個人金融信息侵權(quán)案件，信息主體可以通過侵權(quán)損害賠償?shù)确绞竭M行救濟。對侵害個人金融信息的行為進行規(guī)制，設(shè)立個人金融信息領(lǐng)域的過錯推定責(zé)任制度、公益訴訟制度、精神損害賠償制度。在舉證責(zé)任方面，合理分配信息主體和金融機構(gòu)的舉證義務(wù)。特別是針對侵害個人金融敏感信息的行為，實行舉證責(zé)任倒置，規(guī)定由金融機構(gòu)承擔(dān)有關(guān)個人金融敏感信息泄露案件的舉證責(zé)任。

3.加強對金融機構(gòu)個人金融信息權(quán)益的執(zhí)法監(jiān)管

強化金融監(jiān)管部門對個人金融信息的監(jiān)管，拓展現(xiàn)場、非現(xiàn)場監(jiān)管措施。對于個人金融信息的法律規(guī)定，應(yīng)多使用強制性規(guī)定，防止金融機構(gòu)等信息控制者權(quán)力過大而監(jiān)管太少。夯實金融機構(gòu)在個人金融信息保護中的主體責(zé)任，重點加強對金融機構(gòu)履行信息保密義務(wù)和信息采集、使用、傳遞和處理等環(huán)節(jié)的監(jiān)管，實現(xiàn)金融機構(gòu)客戶個人金融信息事前、事中和事后的監(jiān)管全覆蓋。將履行保護個人金融信息義務(wù)的主體，從傳統(tǒng)金融機構(gòu)拓展到互聯(lián)網(wǎng)金融機構(gòu)和科技金融機構(gòu)，只要是涉及金融活動的企業(yè)機構(gòu)均應(yīng)納入到個人金融信息監(jiān)管范圍。建立與司法機關(guān)的合作機制，發(fā)揮司法辦案先進技術(shù)、專業(yè)偵查和跨區(qū)聯(lián)動優(yōu)勢，實現(xiàn)金融機構(gòu)個人信息違法監(jiān)測數(shù)據(jù)共享，積極探索刑事追究制度銜接，嚴(yán)厲打擊金融機構(gòu)侵犯用戶個人信息的違法行為。

4.完善行業(yè)自律與內(nèi)部約束機制

加強個人金融信息保護自律管理，金融行業(yè)協(xié)會應(yīng)制訂相關(guān)行業(yè)標(biāo)準(zhǔn)指導(dǎo)金融機構(gòu)開展信息保護工作，增強對金融機構(gòu)的自律約束。加強對相關(guān)崗位工作人員的法規(guī)知識教育與培訓(xùn)，強化其對個人金融信息的安全意識，金融機構(gòu)與重點崗位人員簽署對個人金融信息保密的承諾書。完善內(nèi)部監(jiān)督機制，金融機構(gòu)內(nèi)部合規(guī)稽查部門應(yīng)定期進行內(nèi)部檢查，及時發(fā)現(xiàn)危及個人金融信息安全的隱患，對違反個人金融信息保護相關(guān)規(guī)定的人員進行批評教育和懲處。鞏固和創(chuàng)新信息技術(shù)，金融機構(gòu)應(yīng)加快自主研發(fā)和推廣與本行業(yè)業(yè)務(wù)系統(tǒng)相適應(yīng)的金融信息安全保障系統(tǒng)，升級用戶安全查詢、信息管理和異常行為監(jiān)測等相關(guān)技術(shù)，充分利用傳輸加密、數(shù)字簽名和防火墻等手段強化信息保護力量。

［" 參" 考" 文" 獻" ］

[1]周汀瀅，李安巧.數(shù)字人民幣APP上線的全產(chǎn)業(yè)鏈影響效應(yīng)研究——基于事件研究法[J].陜西理工大學(xué)學(xué)報（社會科學(xué)版），2023，41（2）：31-40.

[2]習(xí)近平.高舉中國特色社會主義偉大旗幟 為全面建設(shè)社會主義現(xiàn)代化國家而團結(jié)奮斗：在中國共產(chǎn)黨第二十次全國代表大會上的報告[M].北京：人民出版社，2022.

[3]陳雨露.數(shù)字經(jīng)濟與實體經(jīng)濟融合發(fā)展的理論探索[J].經(jīng)濟研究，2023（9）：22-30.

[4]周小川.信息科技與金融政策的相互作用[J].中國金融，2019（15）：9-15.

[5]邢會強.大數(shù)據(jù)時代個人金融信息的保護與利用[J].東方法學(xué)，2021（1）：47-60.

[6]劉雪婷.數(shù)字經(jīng)濟時代個人信息保護的法治規(guī)范及機制構(gòu)建[J].吉首大學(xué)學(xué)報（社會科學(xué)版），2022（4）：137-147.

[7]邵朱勵.個人金融信息權(quán)的民法保護研究[D].合肥：安徽大學(xué)，2016.

[8]石佳友.個人信息保護的私法維度——兼論《民法典》與《個人信息保護法》的關(guān)系[J].比較法研究，2021（5）：14-32.

[9]中國法制出版社.中華人民共和國民法典：實用版[M].北京：中國法制出版社，2020.

[10]《民法學(xué)》編寫組.民法學(xué)[M].北京：高等教育出版社，2019.

[11]齊愛民.個人信息保護法總論[M].北京：北京大學(xué)出版社，2014.

[12]王利明.人格權(quán)法[M].北京：中國政法大學(xué)出版社，2009.

[13]方志偉，王建文.從個人信息到數(shù)據(jù)要素：個人信息商業(yè)利用的制度安排——以《個人信息保護法》為中心[J].廣東社會科學(xué)，2022（1）：239-248.

[14]張偉.銀行業(yè)金融機構(gòu)數(shù)字化轉(zhuǎn)型：內(nèi)涵、路徑與挑戰(zhàn)[J].國際金融，2023（5）：72-80.

[15]鐘一平.加強網(wǎng)絡(luò)環(huán)境下的個人金融信息保護[EB/OL].（2020-01-20）[2023-08-21].https：//www.finan-cialnews.com.cn/ll/gdsj/202001/t20200120_175520.html.

[16]朱偉彬.我國個人金融信息保護法律問題研究[J].西部金融，2014（10）：23-27+32.

[17]魏雅玲.大數(shù)據(jù)時代個人金融信息的法律保護研究[D].南寧：廣西大學(xué)，2021.

[18]王景武.出臺個人金融信息保護法迫在眉睫[EB/OL].（2017-03-13）[2023-08-02].https：//www.finan-cialnews.com.cn.

[19]駱君彥.完善我國個人金融信息安全保護的立法建議[J].金融與經(jīng)濟，2012（5）：81-82.

[20]易濤.金融隱私權(quán)法律保護問題探析[J].科技與法律，2016（1）：88-116.

[21]諶嵐.開放銀行中金融消費者信息的法律保護研究[D].成都：西南財經(jīng)大學(xué)，2021.

[22]中國工商銀行江蘇省分行課題組，吳宗輝，錢貴根，等.我國商業(yè)銀行個人金融信息保護策略研究[J].金融縱橫，2018（7）：8-16.

[23]丁曉東.個人信息私法保護的困境與出路[J].法學(xué)研究，2018（6）：194-206.

[24]陽露昭，丁麗雪.美國的金融信息保護制度及其對我國的啟示[J].浙江金融，2009（5）：22-23．

[25]張煒.商業(yè)銀行個人客戶信息保護法律問題研究[J].金融論壇，2013（4）：53-59.

[26]張可法.個人金融信息私法保護的困境與出路[J].西北民族大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2019（2）：91-97.

[27]林永軍.我國個人金融信息保護制度研究及國際比較[J].金融縱橫，2018（10）：12-16.

[28]洪芳，陳英.國外個人信息保護立法對我國啟示與借鑒[J].北方金融，2021（11）：63-65.

[29]王寶剛，張立先，馬運全，等.個人金融信息保護法律問題研究[J].金融理論與實踐，2013（2）：74-79.

［責(zé)任編輯：劉 英" 責(zé)任校對：馬 勇］

（上接第8頁）

The Legal Protection Dilemma and Improvement Countermeasures of Personal Financial Information from the Perspective of Digital Economy

CAO Peng， ""LUO Xingping

（School of Economics， Management and Law， Shaanxi University of Technology， Hanzhong 723000， Shaanxi）

Abstract：" With the rapid development of the digital economy， personal financial information has become an important factor of production， and its value is increasingly prominent. Personal financial information has dual attributes of personal interests and property interests， which not only concerns personal rights， but also national financial security and stability. At present， there are relevant problems in China， such as unclear attributes of personal financial information rights， lack of a standardized legal protection system， insufficient enforcement and supervision efforts， and insufficient effectiveness of industry self-discipline mechanisms. Drawing on foreign experience， it is necessary to strengthen the legal protection of personal financial information in the digital economy era， including the promotion of systematic legal construction of personal financial information protection， clarifying the rights and attributes of personal financial information， improving relief mechanisms， strengthening law enforcement supervision of personal financial information protection by financial institutions， and emphasizing industry self-discipline.

Key words：" digital economy;" personal financial information;" rights attributes;" legal