原宇航

關(guān)鍵詞：智能金融 個人金融信息保護

隨著信息技術(shù)的長足發(fā)展，整個人類社會的數(shù)據(jù)總量呈現(xiàn)幾何級增長的態(tài)勢。在金融領(lǐng)域，個人金融信息通過智能化方式被充分利用，展現(xiàn)出明顯的經(jīng)濟社會價值。這一過程不可避免地出現(xiàn)了個人金融信息被侵害、信息處理者行為不規(guī)范等問題。如何更好地平衡個人金融信息主體和信息處理者之間的固有矛盾，更好地維護行業(yè)生態(tài)成為擺在我們面前的緊迫課題。

本課題深入分析了智能金融和個人金融數(shù)據(jù)的概念，闡明了數(shù)據(jù)保護的范圍和挑戰(zhàn)，并簡要介紹了智能金融的優(yōu)勢和實際應(yīng)用，厘清兩個基礎(chǔ)概念的意義，引出二者結(jié)合的現(xiàn)實困境，從而為更好地展開論述提供必要前提。

當前，我國個人金融數(shù)據(jù)保護形勢較為嚴峻，針對個人金融數(shù)據(jù)的侵權(quán)乃至犯罪案件屢見不鮮。需要在借鑒境外良好實踐的基礎(chǔ)上，根據(jù)我國實際情況，采取多樣化信息保護方式，更好地平衡信息保護與經(jīng)濟效益之間的關(guān)系，促進行業(yè)持續(xù)健康發(fā)展。

一、相關(guān)概念及現(xiàn)有研究評述

（一）個人金融信息的概念與范圍

從一般概念上來說，個人金融信息指的是信息主體在與金融機構(gòu)發(fā)生業(yè)務(wù)關(guān)系的過程中，金融機構(gòu)所知悉和掌握的個人信息。這種信息主要包括：一是身份信息，主要包括姓名、身份證件、聯(lián)系方式等基礎(chǔ)數(shù)據(jù);二是客戶交易信息，主要為客戶在與金融機構(gòu)發(fā)生交易的過程中產(chǎn)生的信息數(shù)據(jù);三是信用信息，主要為借貸、還款情況有關(guān)的信用數(shù)據(jù)。

2020年，中國人民銀行發(fā)布了《個人金融信息保護技術(shù)規(guī)范》，對個人金融信息給出了新的定義和范圍：“個人金融信息是指金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務(wù)或者其他渠道獲取、加工和保存的個人信息?！睆念愋蛠砜?，包括個人身份信息、財產(chǎn)信息、賬戶信息、金融交易信息、鑒別信息、借貸信息及其他反映特定情況的信息等七大類。此外，該規(guī)范按照信息敏感程度將個人金融信息分為“C1、C2、C3”三個類別，要求金融機構(gòu)根據(jù)數(shù)據(jù)等級進行劃分，在信息的收集、使用、轉(zhuǎn)移、保存、銷毀等各個環(huán)節(jié)建立嚴格的合規(guī)流程與保護體系。

（二）智能金融定義及應(yīng)用

智能金融（AIFinance）指的是金融行業(yè)與高新科技的全面融合，以大數(shù)據(jù)、云計算、區(qū)塊鏈、人工智能等為核心要素，提升金融機構(gòu)的服務(wù)效率，拓展金融服務(wù)的廣度和深度，實現(xiàn)金融服務(wù)的個性化、智能化和定制化。

智能技術(shù)與金融行業(yè)的有效結(jié)合，可以大幅提升金融服務(wù)的質(zhì)量和效率。具體表現(xiàn)為：一是差異化產(chǎn)品設(shè)計。智能金融可運用大數(shù)據(jù)技術(shù)對客戶進行分析畫像，更精準地掌握客戶的消費行為、消費習慣和金融需求，從而為客戶設(shè)計出有針對性的金融產(chǎn)品和服務(wù);二是針對性產(chǎn)品推送。智能金融幫助金融機構(gòu)以成本較低的方式更好地了解客戶，向客戶推送有針對性的金融產(chǎn)品和服務(wù)，提高了營銷精準度;三是有效控制風險。智能金融將一些算法應(yīng)用到風險管理中，較為精準、全面地模擬各類風險事件，有助于更好地進行風險管控。

（三）智能金融與數(shù)據(jù)保護的關(guān)系

目前，智能金融的發(fā)展缺乏成熟的大數(shù)據(jù)環(huán)境，且人工智能的發(fā)展還沒有突破非結(jié)構(gòu)化數(shù)據(jù)的障礙，未來智能金融的發(fā)展需要以技術(shù)突破為基礎(chǔ)，打造互聯(lián)互通的大數(shù)據(jù)平臺，提升商業(yè)活動數(shù)據(jù)、個人信用信息等數(shù)據(jù)的互通訪問。但由于數(shù)據(jù)孤島化、非結(jié)構(gòu)化，數(shù)據(jù)分類和保護不規(guī)范等問題，導(dǎo)致大數(shù)據(jù)的價值尚未有效發(fā)揮，而目前數(shù)據(jù)壟斷現(xiàn)象在金融行業(yè)較為顯著，造成未來智能金融發(fā)展空間受限。

從數(shù)據(jù)安全性角度看，用戶信息安全保護仍然受到極大挑戰(zhàn)。尤其是臉書用戶信息泄漏會嚴重影響公眾對互聯(lián)網(wǎng)機構(gòu)、金融科技的信任?！坝脩舢嬒瘛痹谔嵘鹑诜?wù)智能化的同時，也對用戶隱私泄露構(gòu)成威脅。因此，智能金融有效提升金融服務(wù)效率的同時，也隱含著較大的信息安全隱患。在保持個人數(shù)據(jù)安全的同時，不斷提升數(shù)據(jù)應(yīng)用價值與范圍，在這看似矛盾的關(guān)系中尋找平衡發(fā)展的長遠道路，是金融行業(yè)乃至整個社會需要思考的問題。

二、域外個人金融信息保護立法與監(jiān)管經(jīng)驗

域外發(fā)達經(jīng)濟體較早地開展對個人數(shù)據(jù)（含個人金融數(shù)據(jù)）保護的研究。歐洲側(cè)重保護個人數(shù)據(jù)權(quán)利，強化行政部門體制機制，形成以“知情同意”為基礎(chǔ)的個人數(shù)據(jù)保護架構(gòu)。美國更側(cè)重促進金融行業(yè)發(fā)展，發(fā)揮行業(yè)自律的有機作用，注重信息自由流通及其市場價值。兩種模式各有利弊，需全面看待。

（一）歐盟

在立法層面上，歐盟在1995年頒布了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》，對各成員國間不同標準的信息保護法做出統(tǒng)一。2016年4月，歐洲議會通過了《通用數(shù)據(jù)保護條例》，強化了個人數(shù)據(jù)權(quán)利的保護力度，在企業(yè)責任方面設(shè)置了更多規(guī)則，防止企業(yè)過度分析個人數(shù)據(jù)，同時在數(shù)據(jù)跨境轉(zhuǎn)移方面也提出了更嚴格的要求。該條例采用“知情同意”原則，以解決原有指令界定不清晰的“默示同意”問題。其要求“同意”必須是具體的、清晰的，并且應(yīng)當在以明確直白的語言告知客戶的前提下，由其自由做出選擇，同時賦予客戶在任何時間撤回其“同意”的權(quán)利。

在監(jiān)管層面上，歐盟采用“一站式”監(jiān)管原則，由數(shù)據(jù)處理主體所在地的監(jiān)管部門為主要監(jiān)管機構(gòu)，其他國家相關(guān)部門與主要監(jiān)管機構(gòu)協(xié)同配合。此規(guī)定對跨境數(shù)據(jù)處理的監(jiān)管權(quán)限進行了明確，防止了管轄權(quán)沖突，同時增強了數(shù)據(jù)處理主體對監(jiān)管規(guī)則的可預(yù)見性。此外，歐盟內(nèi)部新增數(shù)據(jù)保護理事會，作為獨立的機構(gòu)直接對歐委會負責，并建立企業(yè)數(shù)據(jù)保護專員制度，明確企業(yè)數(shù)據(jù)保護的主體責任。

（二）美國

在立法層面上，美國于1999年頒布《金融服務(wù)現(xiàn)代化法》，為金融機構(gòu)保護與使用客戶信息制定了統(tǒng)一的法律規(guī)范，主要體現(xiàn)為：一是隱私政策告知，要求金融機構(gòu)披露對客戶信息使用的方式、范圍及相關(guān)保護政策;二是規(guī)范金融機構(gòu)向非關(guān)聯(lián)企業(yè)提供客戶信息的行為，提供前應(yīng)將相關(guān)政策、條款以書面或電子文檔方式告知客戶，同時向客戶提供選擇退出的權(quán)利;三是要求金融監(jiān)管機構(gòu)公布客戶個人信息保護的標準、法規(guī)等;四是該法僅是對客戶信息的最低保障，允許各州制定更嚴格的規(guī)范。2011 年，美國對相關(guān)規(guī)定進行修訂，完善了金融機構(gòu)非關(guān)聯(lián)企業(yè)之間利用客戶信息的提示要求，并于2014年制定了金融機構(gòu)客戶隱私政策模板。

在監(jiān)管層面上，美國在個人信息保護方面強調(diào)行業(yè)自律，通過制定行業(yè)行為指引強化個人信息保護規(guī)范。由金融機構(gòu)組成的行業(yè)自律組織，出于立場不同，傾向于認為個人信息屬于金融機構(gòu)有權(quán)支配的資源，在沒有法律規(guī)定的情況下可以自行使用，其所制定的自律規(guī)范，也不可避免地側(cè)重于保護自身利益，從而影響個人信息保護的強度。

（三）比較與小結(jié)

歐盟與美國通過立法確立了個人數(shù)據(jù)的來源渠道、收集手段合法、目的特定、利用限制等原則，并都在一定程度上兼顧了個人數(shù)據(jù)保護與金融行業(yè)發(fā)展之間的平衡，但兩者價值取向的不同導(dǎo)致了立法與監(jiān)管模式的差異：歐盟更側(cè)重于保護個人數(shù)據(jù)權(quán)利，形成以“知情同意”為基礎(chǔ)的個人數(shù)據(jù)保護架構(gòu)。這種方式給予個人數(shù)據(jù)保護更高的重視程度，但在大數(shù)據(jù)時代也遭遇了諸多挑戰(zhàn)。例如企業(yè)可能利用冗長的條款內(nèi)容、不顯著乃至故意隱藏的告知方式，使得客戶常常忽略聲明直接選擇同意;美國更側(cè)重于促進金融行業(yè)發(fā)展，以推動智能金融發(fā)展來對待個人數(shù)據(jù)保護，注重信息的自由流通與市場價值，故并不設(shè)置事前的“知情同意”，而采用事后的“選擇退出”。這種方式也可能帶來金融消費者對其個人數(shù)據(jù)控制程度較低、個人信息保護不足等問題。

三、智能金融背景下個人金融信息保護的形勢

（一）形勢分析

個人數(shù)據(jù)權(quán)利保護的重要意義即保護公民個人信息權(quán)利或隱私權(quán)利，維護公民的人格尊嚴。智能金融背景下個人數(shù)據(jù)共享成為業(yè)內(nèi)主流，而倡導(dǎo)共享價值背后的邏輯是保護信息資源的自由流通，這成為支持個人數(shù)據(jù)共享理論的法理基礎(chǔ)。數(shù)據(jù)安全與數(shù)據(jù)共享代表著作為信息處理者的金融機構(gòu)與金融消費者之間的利益沖突。信息處理者在金融業(yè)務(wù)中往往掌握大量的客戶信息，在信息傳遞、共享的過程中，信息主體利益的保護被削弱，由此引發(fā)的數(shù)據(jù)權(quán)利問題成為信息處理者與金融消費者利益沖突之源。

實踐中，我國侵害個人信息案件頻發(fā)。買賣公民個人數(shù)據(jù)已成為刑事犯罪領(lǐng)域的典型黑產(chǎn)鏈，在引發(fā)社會廣泛關(guān)注的同時更對金融機構(gòu)的形象造成嚴重打擊，也增加了公眾對于信息處理者的不信任。在法律適用領(lǐng)域，我國個人數(shù)據(jù)保護刑事司法實踐更為活躍，刑法和相關(guān)司法解釋都對個人信息犯罪作出了明確規(guī)定和適用說明，以嚴格的刑事責任對個人數(shù)據(jù)犯罪形成打擊震懾。

金融消費者出于對自身數(shù)據(jù)安全感的缺乏，要求機構(gòu)采用金融服務(wù)訂立前的“知情同意”模式進行個人數(shù)據(jù)保護。在此模式下，2012年發(fā)布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》明確規(guī)定“網(wǎng)絡(luò)服務(wù)提供者在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)同意”。2013 年修訂的《消費者權(quán)益保護法》與2016年出臺的《網(wǎng)絡(luò)安全法》中也沿襲了相關(guān)原則和要求，并增加了相應(yīng)的行政和民事責任。

（二）原因分析

1.過度創(chuàng)新帶來的制度難題。智能大數(shù)據(jù)背景下，高新技術(shù)迅猛發(fā)展為金融信息網(wǎng)絡(luò)化和虛擬化提供支持。在數(shù)據(jù)存儲方面，儲存大數(shù)據(jù)的虛擬化網(wǎng)絡(luò)云端雖然增加載體容量，然而云計算、同步化技術(shù)無法與存儲需求進行有效匹配，導(dǎo)致數(shù)據(jù)閑置、儲存低效成為技術(shù)發(fā)展配套不全的弊病。在數(shù)據(jù)兼容方面，交易模式和支付場景的混亂導(dǎo)致部分企業(yè)數(shù)據(jù)交換的安全性和精準性受到挑戰(zhàn)。在數(shù)據(jù)安全方面，互聯(lián)網(wǎng)技術(shù)漏洞帶來的泄露隱患沖擊金融生態(tài)系統(tǒng)安全，更多依托交易平臺系統(tǒng)開展的業(yè)務(wù)更易引發(fā)黑客攻擊，導(dǎo)致個人金融信息泄露事件時有發(fā)生。

2.過分強調(diào)數(shù)據(jù)保護產(chǎn)生的負面效應(yīng)。大數(shù)據(jù)時代，金融企業(yè)經(jīng)營綜合性加強，集團化趨勢明顯，過分強調(diào)個人數(shù)據(jù)保護凸顯制度平衡和實際業(yè)務(wù)的沖突。個人數(shù)據(jù)流動為社會發(fā)展帶來極大的創(chuàng)新動力，尤其對信息產(chǎn)業(yè)的領(lǐng)軍效應(yīng)明顯。而在“知情同意”機制下，金融機構(gòu)修改個人信息授權(quán)條款直接增加了經(jīng)營成本;個人數(shù)據(jù)保護涉及的格式條款內(nèi)容較為復(fù)雜，在告知環(huán)節(jié)經(jīng)常因為未顯著提示使得客戶在未認真閱讀的情況下點擊同意，致使數(shù)據(jù)隱私保護條款失去實際價值。

3.金融數(shù)據(jù)監(jiān)管的有限性。當前，新興金融業(yè)態(tài)不同程度游離于現(xiàn)有金融監(jiān)管體系之外，而金融監(jiān)管必須基于真實完整的數(shù)據(jù)信息才能有效實行。信息不對稱使得監(jiān)管機構(gòu)確定監(jiān)管對象和時機的難度加大，普通的合規(guī)性檢查無法滿足有效監(jiān)管的需要。我國現(xiàn)有的法律、法規(guī)尚未對部分機構(gòu)監(jiān)管事項進行明確的規(guī)定，市場主體的趨利性易引發(fā)道德風險，如虛假數(shù)據(jù)報送，漏報瞞報統(tǒng)計信息等。利用市場信息不對稱，部分機構(gòu)運用多種手段侵害個人信息安全，其產(chǎn)生的法律風險和損失最終往往轉(zhuǎn)嫁至消費者。因此，金融數(shù)據(jù)監(jiān)管的“有限理性”特征催生了高額的尋租成本，導(dǎo)致現(xiàn)行金融數(shù)據(jù)監(jiān)管出現(xiàn)盲區(qū)。在此背景下，完善行為監(jiān)管或許是營造良好金融數(shù)據(jù)環(huán)境的“靈丹妙藥”。

四、政策建議

（一）建立健全符合我國國情的個人金融信息保護法律體系

在智能金融發(fā)展背景下，我國現(xiàn)有金融法律體系面臨層次不高、針對性不強，且執(zhí)法成本和司法成本較高等問題，因此推動形成符合我國國情的個人金融信息保護法律體系具有重要意義。

一方面以《民法典》頒布為契機，切實有效推動數(shù)據(jù)治理法治化?！睹穹ǖ洹返某雠_基本構(gòu)建了個人信息保護的頂層立法設(shè)計，通過專章規(guī)定“隱私權(quán)和個人信息保護”的方式，對隱私權(quán)和個人信息定義、保護原則等問題作出規(guī)定，并賦能數(shù)據(jù)要素價值，為數(shù)字時代個人信息保護奠定了民法基礎(chǔ)。另一方面充分借鑒域外發(fā)達國家立法實踐，加快推動《個人信息保護法》落地實施，促進個人信息及隱私保護的專門化、規(guī)范化、系統(tǒng)化。

（二）健全監(jiān)管執(zhí)法體系，推動形成監(jiān)管合力

在金融混業(yè)經(jīng)營模式下，我國尚未有明確的監(jiān)管部門對個人金融信息保護進行統(tǒng)一監(jiān)管，極易產(chǎn)生監(jiān)管推諉和尺度不一等現(xiàn)象。因此，有必要加強各監(jiān)管部門的溝通協(xié)調(diào)，明確職責分工，有效填補監(jiān)管空白。

首先，在立法層面上明確各類型機構(gòu)的監(jiān)管主體，細化職責范圍，積極構(gòu)建包含事前審查、事中管控、事后監(jiān)督的全流程監(jiān)管體系。其次，加強監(jiān)管部門協(xié)同配合，既要明確交叉部分的職能歸屬，又要共商空白部分的職能合作，打造全方位、立體化的監(jiān)管格局。最后，堅持從嚴監(jiān)管導(dǎo)向，完善配套的金融監(jiān)管法規(guī)，確保有法可依、有法必依，統(tǒng)籌協(xié)調(diào)執(zhí)法尺度，做到依法行政、執(zhí)法必嚴。

（三）壓實金融機構(gòu)主體責任和義務(wù)

信息是金融的生命，在智能金融背景下，信息傳播的便捷性及數(shù)據(jù)潛在的巨大價值，使得金融機構(gòu)以及各種數(shù)據(jù)服務(wù)商通過各種途徑獲取客戶數(shù)據(jù)。鑒于服務(wù)提供商與信息主體的地位不對等及信息不對稱，服務(wù)提供商需承擔更大的信息保護責任和義務(wù)。

第一，建立健全專門的個人金融信息保護機制，明確細化專門的信息保護操作規(guī)程，實施數(shù)據(jù)資源分級分類管理;第二，規(guī)范格式合同，嚴格遵循合法、公平、顯著提示等原則，增強金融信息收集的合法合理化;第三，賦予信息主體超越“同意”模式的現(xiàn)代數(shù)字權(quán)利，包括查閱、更新和更正個人數(shù)據(jù)的權(quán)利以及反對信息被使用的權(quán)利等，從而打破傳統(tǒng)的“要么同意要么不同意”模式中的弱勢地位。

（四）暢通權(quán)利救濟渠道，加大違法行為打擊力度

保護公民權(quán)利的關(guān)鍵措施之一在于暢通救濟渠道。目前，個人金融信息保護的救濟主要為行政手段和司法手段，側(cè)重于行政處罰和刑事處罰，耗時較長且難以使權(quán)利受到侵害的公民獲得經(jīng)濟賠償。因此，應(yīng)進一步暢通投訴、舉報、仲裁、訴訟、調(diào)解等權(quán)利救濟渠道，既要壓實信息侵害者的行政責任、刑事責任，也要明確與其侵害行為相對應(yīng)的民事責任，從而提高違法成本，最大限度對利益受侵害者予以賠償。同時，各監(jiān)管部門應(yīng)加大對信息違法查詢、泄露等違法犯罪活動的打擊力度，嚴堵信息販賣等利益鏈條，持續(xù)形成高壓態(tài)勢，切實保護公民個人信息權(quán)利免受侵害。

（五）加強金融教育，提升公民金融信息保護意識

當前信息泄露事件頻出，很大程度上也源于公民對數(shù)據(jù)保護意識的重視度不足。各監(jiān)管部門應(yīng)通力協(xié)作，充分發(fā)揮各自職能優(yōu)勢，整合資源配置，切實增強公民個人金融信息保護意識。事前保護方面，各部門應(yīng)緊扣宣傳節(jié)點，圍繞個人金融信息保護和普及金融知識等主題，利用微信、微博等新興媒體和信息平臺提高宣傳效率，不斷提升公民金融素養(yǎng)。事中保護方面，督促服務(wù)商主體切實履行主體責任，在提供金融產(chǎn)品和服務(wù)的過程中，充分披露與個人金融信息相關(guān)的各種信息，確保信息主體明晰相應(yīng)的權(quán)利義務(wù)。事后保護方面，在做好信息主體權(quán)利救濟的同時，以案說法，做好警示教育，積極引導(dǎo)公眾依法理性維權(quán)。

（六）推進個人數(shù)據(jù)保護國際間交流與合作

當今，中國作為世界第二大經(jīng)濟實體，經(jīng)濟體系龐大，涉及影響因素眾多。同樣，在中國新興發(fā)展的智能金融所面臨的運作流程和業(yè)務(wù)類型也復(fù)雜多樣，這給依照傳統(tǒng)金融行業(yè)制定監(jiān)管措施的監(jiān)管部門帶來諸多挑戰(zhàn)。加之金融創(chuàng)新發(fā)展迅速且模式多變，無形之中給監(jiān)管部門帶來了巨大壓力，在監(jiān)管方案的制定上難以錘定。制訂個人數(shù)據(jù)保護立法要在體現(xiàn)域外效力的同時，還要加強國際間的交流與合作，共同應(yīng)對大數(shù)據(jù)時代帶來的個人信息安全新挑戰(zhàn)。

參考文獻：

[1]戴嬌嬌.美國金融隱私法律保護制度初探[J].福建質(zhì)量管理，2018，000（017）：155，147.

[2]黃健傑.大數(shù)據(jù)時代背景下金融消費者平等權(quán)利保護研究[J].深圳社會科學，2019（05）.

[3]胡超南.論歐盟《一般數(shù)據(jù)保護條例》及對我國的啟示[J].法制博覽，2019（15）.

[4]李靜.網(wǎng)絡(luò)隱私權(quán)保護的立法研究[D].中國海洋大學.

[5]李曉春.智能金融發(fā)展對我國金融業(yè)的影響[J]. 科技與金融，2018，000（008）：74-78.

[6]馬運全.個人金融信息管理：隱私保護與金融交易的權(quán)衡[J].山東大學，2014.

[7]唐斯斯，劉葉婷.我國大數(shù)據(jù)交易亟待突破[J].中國發(fā)展觀察，2016（13）：19-21.

[8]王春暉.論個人信息權(quán)保護的法律邊界[J].通信世界，2017（25）.

[9]項焱，陳曦.大數(shù)據(jù)時代歐盟個人數(shù)據(jù)保護權(quán)初探[J].華東理工大學學報（社會科學版）， 2019， 034（002）：81-91.

作者單位：中國人民銀行金融消費權(quán)益保護局