張可法

(蘭州財經(jīng)大學 馬克思主義學院，甘肅 蘭州 730020)

個人信息屬于人格要素，有其明確的內(nèi)涵和外延，可以為他人行為設定禁區(qū)，也可以成為一項具體人格權。我國《民法總則》第111條因沒有提到“個人信息權”字樣，引發(fā)頗多解讀。該項權利屬于絕對權，承認和加強對個人信息權的保護不會帶來信息交流的停滯，大數(shù)據(jù)時代個人信息的財產(chǎn)利益屬性是數(shù)據(jù)財產(chǎn)權的前提和基礎。尤其在我國互聯(lián)網(wǎng)金融應用中注《中國網(wǎng)民信息安全狀況研究報告》顯示，截至2016年末，通過互聯(lián)網(wǎng)理財?shù)木W(wǎng)民共計9890萬人，使用網(wǎng)上支付的網(wǎng)民為4.75億人，互聯(lián)網(wǎng)支付累計交易額約44萬億，互聯(lián)網(wǎng)眾籌約400億。，全球化的“大數(shù)據(jù)”產(chǎn)業(yè)伴生的是對個人信息的濫用與傳播，個人信息的“黑色產(chǎn)業(yè)鏈”侵權現(xiàn)象屢見不鮮注如“徐玉玉案”就是由于個人信息被泄露和濫用進而引發(fā)電信金融詐騙的典型案例。該案被告人杜天禹通過植入木馬方式，非法侵入山東省2016年普通高等學校招生考試信息平臺網(wǎng)站，竊取2016年山東省高考考生個人信息64萬余條，并對外出售牟利，陳文輝等人使用所購的上述信息實施電信詐騙，撥打詐騙電話1萬余次，騙取他人錢款20余萬元，造成山東省臨沂市羅莊區(qū)考生徐玉玉死亡。，大數(shù)據(jù)背景之下金融個人信息的保護甚為堪憂。

一、個人信息作為具體人格權私法保護之證成

個人信息的法律性質如何界定，法律又當采取何種手段保護個人信息?這些疑問相對于學界已經(jīng)達成共識的個人信息具有“可識別性”本質特征而言，學界眾說紛紜。否定說認為個人信息在法律上不能成為民事權利的客體，因為他在技術或物理上無法控制，缺乏“權力外觀”而無法為他人介入行為設定權利禁區(qū)[1]。所有權說認為個人信息是特殊的物權客體，是一種無形財產(chǎn)或無體物[2]。隱私權說強調個人信息屬于信息隱私，如美國在立法中采用了信息隱私的概念，日本更是將隱私權概念從傳統(tǒng)消極的私生活安寧權演變成為具有積極意義的信息隱私權[3]。一般人格權說認為個人信息系一般人格權要素，個人擁有信息自決權。人格權兼財產(chǎn)權說則認為個人信息既是人格要素，也是財產(chǎn)要素，強調個人信息權既是人格權也是財產(chǎn)權[4]。具體人格權說認為個人信息權是一項具體人格權[注]王利明持此觀點，認為個人信息權與隱私權存在種種差異，個人信息權既然不能被隱私權完全涵蓋，故應該獨立。參見《論個人信息權的法律保護》，載于《現(xiàn)代法學》2013年第4期。，區(qū)別于一般人格權，不應該寄居于隱私權。我國在立法實踐中《侵權責任法》已經(jīng)認可隱私權是具體人格權，《民法總則》設有“個人信息”單獨條款，且與《民法總則》中“人格尊嚴”的規(guī)定做了區(qū)分。

在保護個人信息方面，傳統(tǒng)的司法路徑之所以存在困境，原因在于隱私權與個人信息的性質比較特殊。目前對個人信息主張司法框架保護的觀點得到了許多學者的認同。從比較法上看，域外的立法經(jīng)驗是隱私權經(jīng)歷了從隱私權到個人信息權的演變，并且都采用了司法保護模式，美國和德國即如此[注]美國“社會的發(fā)展和學說的跟進，在私法領域內(nèi)隱私權被賦予了更加豐富的內(nèi)涵，擴充為信息隱私權、空間隱私權和自我決定的隱私”，隨后美國的隱私權體系從防御性體系向進取性的權利發(fā)展，強調主體對自身信息的支配、控制和決定。參見楊惟欽《價值維度中的個人信息權屬模式考察—以利益屬性為切入點》，載于《法學評論》2016年第4期，第68頁。，先以私法方式對個人信息法律性質予以界定，然后將隱私權歸入人格權的范疇并加以保護。德國等一些歐盟國家的私法都曾將隱私權歸入人格權的范疇，以私法的方式保護隱私權益。也就是說德國等歐盟國家對個人信息法律性質的界定都經(jīng)歷了由隱私權到個人信息的轉變。中國在2009年《侵權責任法》第2條中明確了隱私權的私法權益，將隱私權納入人格權范疇；2017年《民法總則》第110條中確認了自然人享有隱私權，第111條規(guī)定了個人信息受法律保護。大數(shù)據(jù)時代加強個人信息權的私法保護是大勢所趨。為更好地保護個人的隱私權益，個人信息權有必要明確下來，確定個人信息權的邊界。我國目前對隱私權的保護屬于碎片式的立法保護，大多數(shù)法律法規(guī)只針對特定行業(yè)的個人信息，偏重于宣示性的義務設定，權利義務和責任都沒有系統(tǒng)規(guī)定。因此，需要從私法上厘清個人信息的法律地位，強化個人信息的私法保護，促進私人個體有動力和積極性維護自身利益。

由此可見，在實踐方面，個人信息的法律保護是沿著隱私權保護到個人信息保護的路徑展開的，始終保持私法保護的主航道。從大數(shù)據(jù)時代的國情而言，加強個人信息的私法保護是必然更是應然。

二、個人金融信息的私法保護

(一)金融個人信息的界定

美國1999年頒布的《金融服務現(xiàn)代化法案》定義金融消費者為個人、家庭成員或為家務目的而從金融機構得到金融產(chǎn)品或服務的個人[5]。判斷一個主體是否為金融消費者，應該從以下幾個方面進行考量：首先看購買金融產(chǎn)品的目的是為了滿足個人和家庭的生活消費還是為了資產(chǎn)的大幅增值；其次從購買金融產(chǎn)品的主體出發(fā)，法人或其他組織購買金融產(chǎn)品或服務的行為可界定為投資，個人購買則界定為消費，若是企業(yè)為員工購買保險則仍界定為金融消費；三是從購買主體的知識結構看，投資者一般會具有相對專業(yè)的知識，而消費者只是為了滿足個人和家庭生活的需要[6]。我國2015年5月頒布的《中國人民銀行金融消費者權益實施辦法》明確規(guī)定：“本辦法所稱金融消費者，是指在中華人民共和國領域內(nèi)購買金融機構銷售的商品，或者接受金融機構提供的金融服務的自然人?！盵注]《中國人民銀行金融消費者權益保護實施辦法》第二條規(guī)定。但目前學術界對金融消費者的界定還存在分歧：一為是否完全堅持《消費者權益保護法》對消費者界定時所限定的“生活消費”的目的性標準；二是金融消費者的外延是僅限于自然人還是既包括自然人也包括法人和非法人組織；三是金融消費者的界定是否引入專業(yè)性標準[7]。個人金融信息一般是指個人在銀行、證券公司、信托投資公司以及保險公司等金融機構有關交易記錄以及因此提供的個人資料，包括個人的銀行卡及信用卡賬號、存取款情況、貸款和還款情況、信用消費和支付情況，以及證券交易賬號、所持證券品種及交易記錄，信托產(chǎn)品及交易記錄，所投保險及保險費繳交情況、保險金額、保單價值等。

(二)互聯(lián)網(wǎng)視域下金融消費者弱勢地位加劇

信息社會的危險從隱私的泄露發(fā)展到信息被預知的可能性，對數(shù)據(jù)資源量的掌控差異影響著財富的分配[注]所謂“被預知的可能性”，即能夠預測我們可能生病、拖欠還款和犯罪的算法會讓我們無法購買保險，無法貸款，甚至實施犯罪前就被預先逮捕。參見張家林《證券投資人工智能—人工智能時代財富管理變革》，中國經(jīng)濟出版社，2017年版，第179-180頁。。由于數(shù)據(jù)庫審計、風險評估等用戶和數(shù)據(jù)安全保障的籬笆扎得不緊，在激烈的市場競爭中，金融企業(yè)為了多搶客戶，過度收集個人信息、擅自披露個人信息甚至非法買賣個人信息。金融消費者數(shù)量眾多，社會差異性大，收入較低和受教育程度較低的金融消費者難以了解相關金融產(chǎn)品和金融服務，金融機構從掌握信息資源優(yōu)勢和經(jīng)濟利益出發(fā)，將資源配置過度向中高端客戶傾斜，忽視了對弱勢金融消費者的權益保護。買賣個人銀行卡信息事件頻頻發(fā)生，既暴露了銀行員工的道德風險和違規(guī)牟利因素，也說明金融機構作為金融消費者和受益者在信息安全保護方面存在嚴重缺位。我國《民事訴訟法》第64條及相關司法解釋規(guī)定，金融信息受害人負有證明自己主張的舉證責任，司法實踐中由于金融信息的出售和泄露行為具有隱蔽性，一旦發(fā)生信息泄露甚至引起損失，金融消費者舉證艱難，維權能力更是有限。

(三)財產(chǎn)屬性是金融個人信息保護的價值基礎

2013年4月，日本富士通公司建立了自己的“大數(shù)據(jù)”交易市場(Data plaza)，并將交易中介服務培育為主力業(yè)務之一，計劃在2016年之前將參與企業(yè)增至千家左右，2018年基本實現(xiàn)服務大中型企業(yè)全覆蓋。2015年2月，我國工信部將貴陽正式列為全國唯一的大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點示范區(qū)，同年4月14日全國首個大數(shù)據(jù)交易所——貴陽大數(shù)據(jù)交易所正式掛牌運營并完成首批大數(shù)據(jù)交易[8]。我國《合同法》第130條規(guī)定：“買賣合同是出賣人轉移標的物的所有權于買受人，買受人支付價款的合同?！盵9]75在大數(shù)據(jù)買賣合同中，標的物是“數(shù)據(jù)”，因此可以推斷大數(shù)據(jù)具有財產(chǎn)性，否則將不會存在買賣關系[9]75。

金融個人信息具有人格和財產(chǎn)雙重屬性。按傳統(tǒng)理論，現(xiàn)代個人信息保護重在隱私的個人人格權保護，但美國學者舍恩伯格認為應該改變當下以隱私倫理個人為中心的觀念，轉向以數(shù)據(jù)收集者和使用者的責任為中心的保護模式。舍恩伯格的觀點涉及大數(shù)據(jù)時代個人信息保護的兩個維度：一是基于個體的權利倫理維度；二是基于總體(數(shù)據(jù)收集者以及使用者)的責任倫理維度[10]。諸如阿里小貸以電商平臺所獲取的用戶信息為主要支撐，對淘寶商戶在平臺中產(chǎn)生的交易、信用等信息進行分析，引入風險分析、資信調查模式，得出用戶的信用評價，據(jù)此證明借貸人的信譽對其進行小額貸款，其中所涉及的交易信息、商戶個人身份信息以及所形成的信用評價等皆為互聯(lián)網(wǎng)金融中的個人信息[11]。由此進一步證明了金融信息的價值屬性，也說明金融個人信息保護刻不容緩。

(四)金融個人信息與金融機構之間法律關系的認定

關于金融消費者提供個人信息后金融機構與個人金融信息之間存在怎樣的關系，學界觀點認為：一是所有權轉移，認為信息從金融消費者提交給金融機構開始就完成了所有權的轉移，從此信息歸屬于金融機構，金融消費者對其再無權利[12]；二是“保管”關系，金融消費者為了享有金融產(chǎn)品及服務而提供自身的信息，金融機構只是將這些信息作為加密手段或是金融產(chǎn)品的附屬品予以保存[13]；三是準“委托—代理”關系[注]準“委托—代理”關系與傳統(tǒng)“委托—代理”關系最大的區(qū)別在于作為委托人的金融消費者授權作為代理人的金融機構并非出于自身利益考量，而是為了充分發(fā)揮信息利用價值的制度利益。而作為被委托人的金融機構，則是在消費者授權下加工、使用消費者個人信息，必須要做到不傷及委托人利益，并充分保護其知情權。張繼紅《論我國金融消費者信息權保護的立法完善——基于大數(shù)據(jù)時代金融信息流動的負面風險分析》，載于《法學論壇》2016年第6期。，即信息的部分權能被委托給金融機構予以行使，信息的利用價值被開發(fā)，使金融機構不僅僅保管信息還能對信息進行分析和加工。仔細分析不難發(fā)現(xiàn)以上觀點存在理論上的缺陷。其一，所有權轉移觀點中金融消費者個人不存在意思表示將個人信息讓與金融機構，核心意思不明確，所有權轉移不成立。其二，按照合同法上保管權利義務關系，寄存人只轉移保管物的占有給保管人，而不轉移使用和收益權，即保管人僅有權占有保管物但不能使用保管物，且保管人負有返還保管物義務。其三，委托代理關系中的核心是委托的法律后果歸委托人，金融機構主要提供金融產(chǎn)品或服務給金融消費者，金融信息的提供是一種輔助行為，本身不產(chǎn)生相關后果，因此委托代理關系也不成立。承前所述，筆者認為金融業(yè)經(jīng)營者與消費者之間建立的交易關系(提供金融產(chǎn)品和服務)實質為合同關系，金融機構對金融消費者信息合理利用及保密是金融消費合同中的附隨義務。附隨義務的理論根基源自誠實信用原則，具有不確定性、從屬性、輔助性等特點。從消費角度而言，金融合同在締結、履行及合同關系結束后，金融機構應承擔注意、告知、協(xié)助、保密、保護和不作為等附隨義務，違反附隨義務的要承擔相應的法律責任。

互聯(lián)網(wǎng)金融背景下，損害金融個人信息安全的表現(xiàn)形式五花八門，主要手段包括黑客侵襲、病毒木馬攻擊、系統(tǒng)漏洞、詐騙網(wǎng)站、假冒網(wǎng)站、垃圾詐騙短信等，個人金融信息屢受侵害，如各種類型的互聯(lián)網(wǎng)金融業(yè)態(tài)、各種交易媒介形式頻繁發(fā)生的惡性信息泄露事件。在大數(shù)據(jù)運用技術中各家網(wǎng)絡企業(yè)對數(shù)據(jù)的渴求度極高，加速了“黑產(chǎn)數(shù)據(jù)”的流通，用戶的隱私和信息公然成為販賣品，在黑市上肆無忌憚交易已經(jīng)形成一整套泄露信息的黑色產(chǎn)業(yè)鏈，違法犯罪活動猖獗。遺憾的是目前尚缺乏有效的網(wǎng)絡技術和法制環(huán)境進行有效治理[14]。

三、個人金融信息私法保護的困境

目前，我國對個人金融信息保護的立法分散在不同的法律法規(guī)和規(guī)章中，主要有《民法通則》《商業(yè)銀行法》《保險法》《證券法》《反洗錢法》《刑法修正案(七)》《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》等。2005年中國人民銀行出臺了《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》，對個人信用信息的報送、整理、查詢、異議處理等作了規(guī)定。2012年國務院通過了《征信業(yè)管理條例》，規(guī)定了征信機構的設立條件、業(yè)務規(guī)則和監(jiān)管規(guī)則。這兩個規(guī)范性文件主要涉及征信信息，尚未擴及個人的全部金融信息。為了加強個人金融信息保護，中國人民銀行分別于2011年和2012年發(fā)布了《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》和《關于銀行業(yè)金融機構進一步做好客戶個人金融信息保護工作的通知》，對個人金融信息進行了列舉式界定，并且對金融機構的金融信息保護行為作了比較具體的列舉。此外，我國《反洗錢法》和國務院頒布的《個人存款賬戶實名制規(guī)定》、中國人民銀行與中國銀行業(yè)監(jiān)督管理委員會等部門聯(lián)合發(fā)布的《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》、中國人民銀行發(fā)布的《銀行卡業(yè)務管理辦法》等法律法規(guī)和規(guī)章中也對金融信息保護有零星規(guī)定。但現(xiàn)有規(guī)則缺乏系統(tǒng)性，效力層次較低，未能在法律層面解決金融機構的信息安全保護義務及其伴隨的損害賠償問題，個人金融信息私法保護仍困難重重。

(一)民事法律保護的困境

當前，我國關于個人信息保護的民事立法比較分散，且個人信息主體的權利義務及民事救濟規(guī)定碎片化，難以形成完備的民法保護體系，更不能為互聯(lián)網(wǎng)金融民事維權提供有效、全面的法律依據(jù)。我國雖出臺了一些規(guī)范性文件和法律法規(guī)，如《網(wǎng)絡安全法》《征信業(yè)管理條例》等，其中也包含了個人信息保護的部分條款，但主要調整的不是個人信息民事法律關系，民事維權的可參考性并不大。此外，法律具有滯后性，現(xiàn)有法律未能符合信息時代特性，難以解決多變、復雜的個人信息侵害事件，對個人信息的法律規(guī)定難以涵蓋互聯(lián)網(wǎng)領域所涉及和將要出現(xiàn)的各類型個人信息，對于此類關乎個人民事權益的信息確需提供法律保護之時就會出現(xiàn)立法空白。可以說，我國個人信息民法保護還處于立法初期，個人信息也僅在《民法總則》出臺后才正式作為一項民事權益登上民法保護的舞臺，現(xiàn)行法律中關于“個人信息”的定義尚不明晰，《民法總則》《侵權責任法》等相關法律法規(guī)并未對“個人信息”的概念、范圍進行規(guī)定，其他部門法中雖存在“個人信息”概念、范圍條款，但不同法律部門的立法目的不同可能會導致對“個人信息”的保護范圍不同，且現(xiàn)有的不同法之間規(guī)定尚未統(tǒng)一。我國《商業(yè)銀行法》第73條的保護對象是存款信息，《反洗錢法》第5條的保護對象是金融機構基于反洗錢職責而獲得的客戶身份資料和交易信息，《征信業(yè)管理條例》和《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》主要保護個人信用和征信信息安全，這些不同層級的立法并未形成統(tǒng)一的金融信息權概念，不利于確定個人金融信息的法律保護。

(二)司法實踐的困境

司法實踐中對于新型的互聯(lián)網(wǎng)金融業(yè)務，如P2P和第三方支付以及不斷創(chuàng)新的相關業(yè)務，除了信息泄露、信息買賣、信息非法收集、利用個人信息詐騙勒索等固有侵權形態(tài)，還可能出現(xiàn)其他新型個人信息侵權類型，但個人信息侵權責任的認定十分復雜，特別是責任主體的確定、侵權責任的歸責尤為困難。在互聯(lián)網(wǎng)金融中，信息的收集、流動會經(jīng)過多個環(huán)節(jié)，其中必然涉及較多責任主體，每個環(huán)節(jié)都可能存在信息泄露、非法使用的風險，不同主體之間的責任需要厘清，而我國現(xiàn)有民法體系中可以作為個人信息有關侵權責任認定的法律規(guī)定主要是《侵權責任法》和相關司法解釋，前者由于在立法之時我國還未正式將個人信息確定為自然人的民事權益，法條中未有“信息侵權責任”等類似規(guī)定，法律滯后導致難以妥善規(guī)范實踐中層出不窮的個人信息侵權責任；而后者雖是我2012年出臺的有關網(wǎng)絡侵權的司法解釋，但規(guī)定的責任主體也主要是網(wǎng)絡服務提供者和網(wǎng)絡使用者，對于像第三方支付、網(wǎng)貸等互聯(lián)網(wǎng)金融業(yè)務中出現(xiàn)的信息侵權事件，介入人數(shù)眾多，可能涉及更多侵權主體，若不對責任主體加以細化規(guī)定，區(qū)分不同主體的主要、次要責任，可能出現(xiàn)責任主體推卸責任，甚至有逃避法律制裁的可能性。此外，我國還未形成完善的侵犯公民個人信息的民事救濟機制，救濟途徑缺乏，對于個人信息侵權主體的責任承擔方式以及是否可以進行精神損害賠償?shù)葐栴}，現(xiàn)有法律規(guī)定過于籠統(tǒng)，且大多數(shù)個人信息侵權發(fā)生在互聯(lián)網(wǎng)中，侵權主體難以確定，證據(jù)收集困難，致使無法滿足個人信息民事維權需求。

四、構建完善的金融個人信息私法保護制度體系

(一)借鑒金融消費者人信息保護的國外經(jīng)驗

一般法律僅規(guī)定個人信息保護是商業(yè)銀行的一項義務，而將個人信息納入個人隱私權、人格權范疇進行充分必要的立法保護各國都經(jīng)歷了較長時間。如美國在1961年即在彼特森一案中通過“默示條款”，確立了銀行的保密義務，但1978年在《金融隱私權利法》中將金融個人隱私信息確立為信息主體的法定權利，并圍繞該項權利在其后1999年《金融服務現(xiàn)代化法》和2000年《消費者財務隱私保密最終規(guī)則》等一系列法律中進行擴充，實現(xiàn)金融信息全面保護。2010年美國頒布了被稱為史上最嚴監(jiān)管法規(guī)的《多德—弗蘭克華爾街改革和消費者保護法》，形成了完整的消費者權益保護體系，并隨后在對美國銀行、花旗銀行、德意志銀行屢創(chuàng)新高的天價罰單事件中體現(xiàn)出震懾力。2018年在歐盟生效的《一般數(shù)據(jù)保護條例》致力于構建個人信息保護新秩序，具有個人信息保護里程碑意義。德國實現(xiàn)對個人金融信息權利保護是通過不斷擴充人格權來實現(xiàn)的，并通過舉證責任倒置、損害賠償不設上限等立法手段，強化個人金融信息保護的人格權效力。個人金融信息保護由“銀行義務本位”轉向“客戶權利本位”[15]也給我國制定統(tǒng)一的個人信息保護法規(guī)提供了立法經(jīng)驗。

(二)加快完善個人金融信息的立法保護

我國現(xiàn)行的《民法總則》規(guī)定過于原則，最高檢的司法解釋適用于刑事案件，《網(wǎng)絡安全法》只規(guī)范線上數(shù)據(jù)，法律法規(guī)層級不夠，因此迫切需要制定符合我國國情和大數(shù)據(jù)時代特征的《個人信息保護法》，確定個人信息保護的立法宗旨和原則，對于個人信息內(nèi)涵外延、信息主體權利、責任義務主體、信息管理環(huán)節(jié)、違法行為懲戒等做出明確規(guī)定。應盡快修改《中國人民銀行法》《商業(yè)銀行法》《證券法》《保險法》等，明確金融機構保護個人金融信息的義務和法律責任，金融機構更要加強部門內(nèi)規(guī)章立法建設，由此形成以專門法律為核心、其他法律法規(guī)相配合、部門規(guī)章制度為補充的個人金融信息保護法律體系。

(三)明確金融信息安全保護義務主體及義務內(nèi)容

金融機構是金融大數(shù)據(jù)的載體和存續(xù)的直接媒介，在對金融大數(shù)據(jù)進行收集、處理的過程中，能夠獲得大量有利于開展金融業(yè)務、擴大市場范圍、增加營業(yè)利潤的信息。除了金融機構，大數(shù)據(jù)技術提供商、金融管理部門和其他接觸到金融大數(shù)據(jù)的主體也應當承擔金融信息安全保護義務。金融大數(shù)據(jù)置于金融機構管理、控制之后，信息提供方實際上已經(jīng)喪失了對其進行保護的能力，技術提供商、金融中介組織、社會媒體等也往往是通過與金融機構之間的合同安排而接觸和使用金融大數(shù)據(jù)的[16]。首先，有合法收集信息義務。對于金融機構違犯法律規(guī)定或者違背客戶意志收集個人金融信息的，構成對客戶權利的侵犯。其次，有告知或說明義務。在大數(shù)據(jù)時代，由于數(shù)據(jù)的價值很大一部分體現(xiàn)在二級用途上，法律應當要求金融機構明確告知客戶其收集數(shù)據(jù)的目的和用途，并且規(guī)定履行告知或說明義務不能成為免責事由。第三，有妥善管理數(shù)據(jù)義務。金融機構應當對金融信息采取適當?shù)臄?shù)據(jù)保密措施，如進行加密處理、數(shù)據(jù)脫敏等，對于外來風險金融機構應當完善防火墻等技術措施加以防范。第四，有隱私保護義務。金融機構對于金融大數(shù)據(jù)中涉及客戶非公開信息的內(nèi)容應當予以保護，不能擅自泄露給第三方或者公眾。第五，有及時刪除義務。對已經(jīng)失去占有正當性的金融信息，相關主體應當及時予以刪除，不能永久占有、使用。

(四)明確金融信息侵權的民事責任

從當前司法裁判結果看，受害人受到侵害后多數(shù)獲得的僅僅是停止侵害、消除影響等名譽補償方式，經(jīng)濟和精神賠償請求往往得不到司法部門支持，尤其是因個人金融信息泄露導致資金損失，除犯罪分子承擔刑事責任外，受害人難以獲得經(jīng)濟賠償。我國應當提高侵犯金融信息行為的違法成本，在個人信息保護法中明確規(guī)定侵犯個人信息者對其行為所產(chǎn)生損害的經(jīng)濟賠償責任，在造成受害人精神痛苦的情況下還應進行精神損害賠償。要設置舉證責任倒置規(guī)則，由于金融消費者處于弱勢地位，除了侵害后果，在侵權行為、侵權行為與損害后果之間的因果關系、主觀過錯這三項待證事實中，金融消費者舉證困難和訴訟成本較高，即便是《最高人民法院關于民事訴訟證據(jù)的若干規(guī)定》第4條規(guī)定了實行舉證責任倒置的訴訟類型，也僅包括新產(chǎn)品制造方法專利侵權訴訟、高危作業(yè)侵權訴訟、環(huán)境污染訴訟、建筑物致人損害訴訟等。根據(jù)我國目前的立法和司法解釋，舉證責任倒置制度的效力范圍尚未涉及金融信息侵權案件，金融消費者維權道路依然艱難。

(五)加強對金融格式合同免責條款的審查

從保護相對人的利益出發(fā)，格式合同中對將要訂入合同的條款進行提示說明是國內(nèi)外立法中通行的做法。我國《合同法司法解釋(二)》第6條對在格式合同中如何履行提示及說明義務規(guī)定了具體的細節(jié)：提供格式條款的一方對格式條款中免除或者限制其責任的內(nèi)容，在合同訂立時采用足以引起對方注意的文字、符號、字體等特別表示，并按照對方的要求對該格式條款予以說明，人民法院應當認定符合《合同法》第39條所稱“采取合理的方式”。提供格式條款一方對已盡合理提示及說明義務承擔舉證責任。免責條款作為交易中對合同責任和風險分配的一種方式，在企業(yè)確定經(jīng)營風險、維護企業(yè)合理經(jīng)營方面發(fā)揮了重要作用。若雙方在自愿的基礎上制定的不違反法律禁止性規(guī)定和社會公共利益的免責條款，法律是承認其效力的。目前《合同法》第53條規(guī)制的只是涉及人身傷害和因故意或者重大過失造成對方財產(chǎn)損失的情形免責無效。建議在立法中規(guī)定提供格式條款一方違反公平原則免除其責任、加重對方責任、排除對方主要權利的，該條款無效。對于其他顯失公平的條款可變更或可撤銷。同時，應明確相應的互聯(lián)網(wǎng)金融管理部門細化管理職責，杜絕空白地帶和“踢皮球”現(xiàn)象，進一步完善監(jiān)管體系，促進互聯(lián)網(wǎng)金融健康有序發(fā)展。要建立監(jiān)管規(guī)范和統(tǒng)一的監(jiān)管標準、業(yè)務規(guī)范，加強信息披露、非現(xiàn)場監(jiān)管，著手建立互聯(lián)網(wǎng)金融備付金制度，加強資金流量管控，建立并完善互聯(lián)網(wǎng)金融數(shù)據(jù)和電子證據(jù)保護、第三方存管體系。只有解決了舉證問題，才有可能做好互聯(lián)網(wǎng)金融消費者的維權保護[17]。

綜上，大數(shù)據(jù)時代金融行業(yè)日新月異，個人信息在大數(shù)據(jù)金融中的隱患也更加的多樣化、復雜化，個人信息權益的維護面臨嚴峻挑戰(zhàn)，有必要以《民法總則》的出臺為契機，加快完善個人信息權的民法保護體系，增設個人信息權民事專門立法，以規(guī)范互聯(lián)網(wǎng)金融中個人信息的處理行為，理順民事維權途徑，全面保護個人金融信息權益。