許 娟 黎浩田

內(nèi)容提要《中華人民共和國個(gè)人信息保護(hù)法》構(gòu)建起來的個(gè)人信息處理者義務(wù)性規(guī)范為侵權(quán)責(zé)任的實(shí)現(xiàn)提供了更為全面的法律保障。但就金融企業(yè)這類個(gè)人信息處理者而言，現(xiàn)有個(gè)人信息保護(hù)的民事責(zé)任體系仍然難以實(shí)現(xiàn)個(gè)人金融信息損害賠償?shù)木葷?jì)，需要引入風(fēng)險(xiǎn)民事責(zé)任，進(jìn)一步完善現(xiàn)有民事責(zé)任體系。一方面，可以在《個(gè)人信息保護(hù)法》適用中做出解釋：將金融企業(yè)市場特許經(jīng)營許可設(shè)定為消費(fèi)者格式合同的效力要件，將金融企業(yè)監(jiān)管義務(wù)延伸至個(gè)人金融信息的民事責(zé)任認(rèn)定之中。另一方面，可以對(duì)《個(gè)人信息保護(hù)法》進(jìn)行創(chuàng)新性的研究：在豐富具體人格權(quán)權(quán)利內(nèi)容的基礎(chǔ)上，增加金融消費(fèi)者人格要素的賦權(quán)規(guī)范；明確金融企業(yè)行業(yè)管理的禁止性規(guī)則，課以金融企業(yè)個(gè)人金融信息安全管理義務(wù)和信息風(fēng)險(xiǎn)評(píng)估義務(wù)；在通知公義務(wù)中構(gòu)建默認(rèn)付費(fèi)或默認(rèn)罰款等財(cái)產(chǎn)權(quán)保護(hù)模式。

隨著數(shù)據(jù)利用行為所隱含的技術(shù)風(fēng)險(xiǎn)增長，包含個(gè)人信息的金融信息在技術(shù)迭代中被侵犯的事件也屢屢出現(xiàn)。2021年9月2日，時(shí)任中國建設(shè)銀行余姚城建支行行長的沈某在工作中侵犯金融消費(fèi)者個(gè)人信息受到行政處罰一案[1]甬銀保監(jiān)罰決字〔2021〕64號(hào)。，引起社會(huì)各界對(duì)金融消費(fèi)者個(gè)人信息安全的熱切關(guān)注。早在2020年5月8日，中信銀行發(fā)布了因泄露個(gè)人金融信息致王越池的道歉信[2]《脫口秀演員池子交易流水遭泄露，中信銀行深夜致歉》，https://www.163.com/dy/article/GIVOSVJ50549B1FP.html。，隨后該行又被曝在2018年就因“未經(jīng)同意查詢個(gè)人或企業(yè)信貸信息”遭受行政處罰；2018年支付寶“年度賬單”[3]深圳市法學(xué)會(huì)：《聚焦“支付寶年度賬單事件”》，https://www.sohu.com/a/219129029_100011665。事件曝光。此類事件中的金融消費(fèi)者在維護(hù)金融信息權(quán)益時(shí)，面臨信息不對(duì)稱致使同意有效性降低等諸多問題，金融消費(fèi)者在默示狀態(tài)下的同意逐漸成為金融信息控制者的免責(zé)條款。長期以來，金融企業(yè)作為信息持有者，事先制定收集信息的協(xié)議，形成默示同意的客觀事實(shí)，并憑借數(shù)據(jù)持有優(yōu)勢運(yùn)用算法技術(shù)發(fā)掘潛在消費(fèi)者。而默示同意范圍不明、金融信息二次利用缺乏消費(fèi)者同意以及金融企業(yè)共享信息不當(dāng)?shù)葐栴}都潛藏著損害個(gè)人金融信息的風(fēng)險(xiǎn)。《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）第28條將“金融賬戶”等重要信息歸類為敏感個(gè)人信息加以保護(hù)，推動(dòng)個(gè)人信息保護(hù)邁入新階段，也給個(gè)人金融信息保護(hù)的司法實(shí)踐提供了新的視角。本文在個(gè)人信息權(quán)益保護(hù)的基礎(chǔ)上，嵌入風(fēng)險(xiǎn)民事責(zé)任，嘗試在金融消費(fèi)者與金融企業(yè)利益平衡的基礎(chǔ)上探尋個(gè)人金融信息保護(hù)的有效路徑。

一、個(gè)人金融信息民事責(zé)任體系：基于現(xiàn)行法的檢視

個(gè)人金融信息是為信息主體提供金融產(chǎn)品或者服務(wù)所必需的個(gè)人信息[1]朱蕓陽：《個(gè)人金融信息保護(hù)的邏輯與規(guī)則展開》，《環(huán)球法律評(píng)論》2021年第6期?！，F(xiàn)行法對(duì)個(gè)人金融信息損害的風(fēng)險(xiǎn)規(guī)制一般采取原則性的規(guī)定，僅設(shè)置籠統(tǒng)的保密義務(wù)，未明確界定金融信息的保護(hù)邊界。在法律、法規(guī)和規(guī)章對(duì)金融消費(fèi)者信息保護(hù)缺位的同時(shí)，下位的金融領(lǐng)域規(guī)范性文件對(duì)各類損害個(gè)人金融信息情形的民事責(zé)任追究也并不完備，這在規(guī)范層面形成了個(gè)人金融信息保護(hù)的結(jié)構(gòu)性困境。

1.法律法規(guī)和規(guī)章對(duì)民事責(zé)任的規(guī)定并不完備

在金融企業(yè)信息侵權(quán)事件中缺乏對(duì)個(gè)人金融信息的有效保護(hù)，是因?yàn)樵擃I(lǐng)域的基礎(chǔ)性法律——《個(gè)人信息保護(hù)法》及其他相關(guān)法律法規(guī)并未提供足夠的確定性，其中的授權(quán)性或原則性條款使適用缺乏可操作性，導(dǎo)致法律的實(shí)踐價(jià)值大打折扣。

（1）相關(guān)條文涵射中的敏感信息重疊難題

《中華人民共和國民法典》（以下簡稱《民法典》）第111條規(guī)定“自然人的個(gè)人信息受法律保護(hù)”，確立了金融企業(yè)“依法取得”和“確保信息安全”的宏觀義務(wù)，并以“不得非法買賣、提供和公開個(gè)人信息”等規(guī)定限制金融企業(yè)對(duì)金融信息的處理行為?！睹穹ǖ洹返?11條對(duì)信息保護(hù)的規(guī)定較為模糊，未進(jìn)一步明確界分“個(gè)人信息”與“金融信息”這類敏感信息?！睹穹ǖ洹返?033條本質(zhì)上是對(duì)信息的分類，列舉了信息權(quán)侵權(quán)行為，卻未對(duì)金融等特定領(lǐng)域作出規(guī)定?！睹穹ǖ洹返?034條再次強(qiáng)調(diào)個(gè)人信息受法律保護(hù)，并列舉了個(gè)人信息的類型，其中許多屬于金融活動(dòng)過程中必定涉及的信息。根據(jù)該條，個(gè)人的私密信息適用有關(guān)信息權(quán)的規(guī)定，沒有規(guī)定的可以適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。2021年8月20日全國人大常委會(huì)公布《個(gè)人信息保護(hù)法》，其中第28條將敏感個(gè)人信息定義為“容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”，該定義涵蓋了“金融賬戶”，確立了“特定目的”、“充分必要性”和“采取嚴(yán)格保護(hù)措施”為基準(zhǔn)的敏感個(gè)人信息處理三要件，但仍需通過司法解釋進(jìn)一步明確什么是金融信息以及信息保護(hù)的法律路徑。就《民法典》第1034條和《個(gè)人信息保護(hù)法》第28條而言，“私密”信息與“敏感”信息的范圍有所重疊，在金融信息案件的法條適用中難免陷入二選一的困境。

（2）相關(guān)條文空缺情形下的信息自決短板

《民法典》第127條設(shè)置了參照其他相關(guān)法律規(guī)定的接口，第1030條也同樣設(shè)置了適用其他法律、行政法規(guī)規(guī)定的接口，但是目前的相關(guān)法律、行政法規(guī)體系尚未健全到能夠與其對(duì)接的地步?！渡虡I(yè)銀行法》《儲(chǔ)蓄銀行管理法》《反洗錢法》《銀行業(yè)監(jiān)督管理法》《消費(fèi)者權(quán)益保護(hù)法》等有關(guān)金融信息的法律雖然都有對(duì)銀行客戶金融信息權(quán)保護(hù)的相關(guān)規(guī)定，但是這些規(guī)定卻也存在著對(duì)金融信息保護(hù)的具體化不足及目標(biāo)性不明確等問題，難以對(duì)金融消費(fèi)者信息提供嚴(yán)密的保護(hù)。譬如現(xiàn)行《商業(yè)銀行法》第29條規(guī)定了商業(yè)銀行為存款人保密的原則，《證券法》第38條也規(guī)定了證券交易所、證券公司和證券登記結(jié)算機(jī)構(gòu)對(duì)于客戶賬戶的保密義務(wù)。但在金融交易中雙方的交易信息一直存在不對(duì)等的狀態(tài)，即在交易過程中一方擁有某種資料信息，而另外一方不擁有對(duì)等的相關(guān)資料信息[1]易濤：《金融隱私權(quán)法律保護(hù)問題探析》，《科技與法律》2016年第1期。。因此，這些法規(guī)的有效性因?yàn)橄M(fèi)者和金融企業(yè)之間知識(shí)和權(quán)力的巨大的不對(duì)稱而被消解。金融消費(fèi)者做出知情的理性決策的實(shí)際能力遠(yuǎn)未達(dá)到《民法典》和《個(gè)人信息保護(hù)法》所預(yù)設(shè)的程度?！睹穹ǖ洹返?35條[2]《民法典》第135條：“民事法律行為可以采取書面形式、口頭形式或者其他形式”。對(duì)民事行為形式相關(guān)規(guī)定承認(rèn)默示形式，第140條[3]《民法典》第140條：“行為人可以明示或者默示作出意思表示。沉默只有在有法律規(guī)定、當(dāng)事人約定或者符合當(dāng)事人之間的交易習(xí)慣時(shí)，才可以視為意思表示”。蘊(yùn)含默示同意要素并構(gòu)建了“法律規(guī)定”、“當(dāng)事人約定”或“交易習(xí)慣”三種類型。現(xiàn)行部門法大都也只提到了同意制度并以明示同意作為重點(diǎn)，如《消費(fèi)者權(quán)益保護(hù)法》關(guān)于“明示”“同意”的規(guī)定[4]《消費(fèi)者權(quán)益保護(hù)法》第29條：“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)……明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意?！?；《網(wǎng)絡(luò)安全法》則要求“明示并取得同意”[5]《網(wǎng)絡(luò)安全法》第22條第3款：“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意。”。《消費(fèi)者權(quán)益保護(hù)法》第29條[6]《消費(fèi)者權(quán)益保護(hù)法》第29條：“經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)消費(fèi)者同意。經(jīng)營者收集、使用消費(fèi)者個(gè)人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。”規(guī)定經(jīng)營者應(yīng)采取措施保護(hù)消費(fèi)者個(gè)人信息安全。從《消費(fèi)者權(quán)益保護(hù)法》和《網(wǎng)絡(luò)安全法》都規(guī)定的基于同意規(guī)則的信息保護(hù)模型來看，以“同意”作為核心的信息保護(hù)模式不注重強(qiáng)調(diào)“默示”與“明示”的明確區(qū)分，未能意識(shí)到默示條款的價(jià)值與重要性，在個(gè)人金融信息保護(hù)這一特殊領(lǐng)域容易造成風(fēng)險(xiǎn)擴(kuò)散的嚴(yán)重后果。如《網(wǎng)絡(luò)安全法》要求網(wǎng)絡(luò)經(jīng)營者在用戶同意的基礎(chǔ)上承擔(dān)起維護(hù)用戶個(gè)人信息不受侵犯的義務(wù)，但互聯(lián)網(wǎng)金融消費(fèi)者在簽訂電子合同時(shí)，“授權(quán)同意”的格式條款會(huì)成為網(wǎng)絡(luò)經(jīng)營者免責(zé)的依據(jù)。2019年12月，國家計(jì)算機(jī)病毒應(yīng)急處理中心通報(bào)多家銀行手機(jī)APP存在“未向用戶明示申請(qǐng)的全部隱私權(quán)限，涉嫌隱私信息不合規(guī)”的問題，這些問題往往被技術(shù)中立的外衣掩蓋，甚至被算法等操作系統(tǒng)黑箱化。個(gè)人金融信息處理行為本質(zhì)上具有智能科技活動(dòng)的性質(zhì)，必須約束金融企業(yè)憑借技術(shù)外力形成的任性，精確保護(hù)個(gè)人金融信息。而界分兩類同意的條款空缺正使金融消費(fèi)者日益喪失對(duì)個(gè)人信息的自主控制權(quán)，因此，對(duì)個(gè)人金融信息的保護(hù)還需對(duì)如何定義有效同意、獲取同意的方式等予以明確。

3.相關(guān)條文無法應(yīng)對(duì)司法實(shí)踐的保護(hù)需求

基于《個(gè)人信息保護(hù)法》第14條，金融消費(fèi)者同意處理個(gè)人金融信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確做出，并且法律、行政法規(guī)對(duì)取得單獨(dú)同意或者書面同意另有規(guī)定的應(yīng)遵從其規(guī)定。同時(shí)，《民法典》第1038條設(shè)置了信息處理者兩個(gè)“不得”的禁止性條款，但現(xiàn)實(shí)生活以其復(fù)雜性消解了該條的理想化設(shè)定，一系列具有隱蔽性強(qiáng)、成功率高、作案時(shí)間長、涉案金額大等特點(diǎn)的金融大案背后都或多或少涉及對(duì)個(gè)人金融信息的侵害。當(dāng)消費(fèi)者因個(gè)人信息被侵犯提起訴訟請(qǐng)求時(shí)，還往往面臨財(cái)產(chǎn)損失計(jì)算無法可依的困境。例如游某訴徽商銀行成都金牛支行案中，金融消費(fèi)者基于對(duì)銀行的信任而概括函授同意，提供了U盾和個(gè)人信息，支行行長伙同其他銀行工作人員將其金融賬戶與其他客戶的賬號(hào)信息進(jìn)行混淆造成理財(cái)回款的假象，蒙蔽游某繼續(xù)在徽商銀行儲(chǔ)蓄、理財(cái)，最終使其遭到巨額資金損失，但其財(cái)產(chǎn)損失難以得到有效賠償[7]成都市中級(jí)人民法院〔2021〕川01民初9707號(hào)判決書。。

2.規(guī)范性文件對(duì)民事責(zé)任的保護(hù)對(duì)象規(guī)定不一致

當(dāng)新興技術(shù)面世而法律缺位時(shí)，具有更強(qiáng)靈活性的規(guī)范性文件在調(diào)整失衡的法律關(guān)系中就會(huì)起到重要作用。作為個(gè)人信息的子概念[1]朱蕓陽：《個(gè)人金融信息保護(hù)的邏輯與規(guī)則展開》，《環(huán)球法律評(píng)論》2021年第6期。，個(gè)人金融信息范圍的界定并不清晰，僅中國人民銀行制定過的《人民幣銀行結(jié)算賬戶管理辦法》《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》《金融控股公司監(jiān)督管理試行辦法》《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等數(shù)部規(guī)范性文件，就使用過“銀行結(jié)算賬戶信息”“客戶信息”“敏感信息”“個(gè)人金融信息”“消費(fèi)者金融信息”等名稱，涵蓋個(gè)人身份、財(cái)產(chǎn)、賬戶、信用、金融交易、借貸以及衍生信息等多個(gè)概念。同時(shí)，上述規(guī)范性文件與銀保監(jiān)會(huì)制定的《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中對(duì)金融信息保護(hù)對(duì)象的規(guī)定也不一致。即使這些規(guī)范性文件規(guī)定了金融企業(yè)的保密義務(wù)，但就如最新的《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（2020年版）新增了“金融消費(fèi)者權(quán)利”，雖然一定程度上填補(bǔ)了個(gè)人金融信息保護(hù)的制度空缺，但對(duì)金融企業(yè)的民事責(zé)任規(guī)定仍不完善。

同樣的情況還存在于國務(wù)院發(fā)布的規(guī)范性文件中，如《個(gè)人存款賬戶實(shí)名制規(guī)定》第9條所規(guī)定的保密義務(wù)的對(duì)象為存款人，卻不包括金融交易中其他金融主體如貸款人、保證人等。在個(gè)人金融信息保護(hù)方面，立法的滯后直接致使金融企業(yè)獲取客戶個(gè)人金融信息被肆意侵犯，損害金融消費(fèi)者的合法權(quán)益。即使國務(wù)院發(fā)布的《關(guān)于加強(qiáng)金融消費(fèi)者權(quán)益保護(hù)工作的指導(dǎo)意見》將消費(fèi)者個(gè)人信息的法律保護(hù)設(shè)定為金融消費(fèi)者的信息安全權(quán)，但并未超越現(xiàn)行金融立法有關(guān)金融企業(yè)保密義務(wù)的規(guī)則要求，這些位階較低的辦法、通知等規(guī)范性文件雖明確了保密義務(wù)的范圍和個(gè)人金融信息的范圍，卻因其自身效力在實(shí)踐中不具有強(qiáng)制力，仍無法起到有效的保護(hù)作用。

二、從傳統(tǒng)民事責(zé)任到風(fēng)險(xiǎn)民事責(zé)任：化解風(fēng)險(xiǎn)的新方案

《個(gè)人信息保護(hù)法》構(gòu)建了以“告知—同意”為核心的個(gè)人信息處理規(guī)則，保障了金融消費(fèi)者等個(gè)體在個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利，強(qiáng)化了金融企業(yè)等個(gè)人信息處理者的義務(wù)。從近年來官方通報(bào)的典型事例來看，金融行業(yè)在金融消費(fèi)者個(gè)人信息保護(hù)上存在的風(fēng)險(xiǎn)漏洞不僅具有系統(tǒng)性，也愈發(fā)顯現(xiàn)復(fù)雜性，即在法律規(guī)制的系統(tǒng)性漏洞中蘊(yùn)含著個(gè)人金融信息泄露、擴(kuò)散的可能性。在國外，涌現(xiàn)出個(gè)人金融信息及其財(cái)產(chǎn)性利益被默示讓渡給銀行的案例，如“圖爾尼爾案”[2]英國“圖爾尼爾”案中法院援用“默示條款”理論作為認(rèn)定銀行承擔(dān)金融隱私信息權(quán)保護(hù)義務(wù)的理論基礎(chǔ)，認(rèn)為該銀行違反了對(duì)客戶的金融隱私信息保護(hù)義務(wù)，應(yīng)承擔(dān)賠償責(zé)任；銀行對(duì)金融隱私信息權(quán)保護(hù)的范圍包括銀行因其與客戶關(guān)系的存在而獲得的任何信息，且金融隱私信息權(quán)保護(hù)義務(wù)不因客戶結(jié)清賬戶或停止使用賬戶而終止。和“彼特森案”[3]美國“彼特森”案中，法院將銀行對(duì)金融隱私信息權(quán)的保護(hù)范圍限于有關(guān)賬戶的信息和客戶的交易情況兩個(gè)方面。該案開啟法院認(rèn)可銀行未經(jīng)客戶許可而透露其信息時(shí)，客戶得以銀行違反了與客戶的契約間的默示條款為由起訴銀行的先河。，這些案例推動(dòng)司法裁判在責(zé)任認(rèn)定方面向前邁進(jìn)了很大一步。在國內(nèi)，劉某某訴工商銀行上海分行侵犯隱私權(quán)案[4]參見上海市高級(jí)人民法院〔2016〕滬民申2161號(hào)判決書。和郭某訴民生銀行南京分行案[5]趙興武、徐高純、邵小波：《未經(jīng)許可查詢客戶信用信息 南京一銀行被判書面賠禮道歉》，《人民法院報(bào)》2012年3月23日。等個(gè)人金融信息權(quán)益被默示讓渡的案件亟待引起立法部門的重視和回應(yīng)。隨著金融消費(fèi)者信息完成從公共物到風(fēng)險(xiǎn)物的客體性變遷，構(gòu)建風(fēng)險(xiǎn)民事責(zé)任就成為保護(hù)金融消費(fèi)者信息的必然選擇。

1.金融行業(yè)的復(fù)雜性風(fēng)險(xiǎn)必然導(dǎo)致引入風(fēng)險(xiǎn)民事責(zé)任

大數(shù)據(jù)時(shí)代數(shù)據(jù)量巨大且商業(yè)價(jià)值高，損害個(gè)人金融信息的破壞性將產(chǎn)生杠桿效應(yīng)，對(duì)個(gè)人金融信息安全構(gòu)成嚴(yán)峻考驗(yàn)。防范系統(tǒng)性金融風(fēng)險(xiǎn)不僅是對(duì)金融行業(yè)的要求，對(duì)于整個(gè)經(jīng)濟(jì)社會(huì)發(fā)展也有重要意義。金融風(fēng)險(xiǎn)伴隨著互聯(lián)網(wǎng)全覆蓋，不確定性彌散后使得原來有形世界逐漸掙脫傳統(tǒng)良善機(jī)制的捆綁，傳統(tǒng)法律機(jī)制對(duì)此卻難以控制。在前述游某訴徽商銀行成都金牛支行一案中，銀行行長等人在利用金融消費(fèi)者個(gè)人信息時(shí)，不僅侵犯了客戶的個(gè)人信息權(quán)益[1]金融隱私信息權(quán)是由隱私信息權(quán)引申出來的下位概念，實(shí)質(zhì)是傳統(tǒng)隱私信息權(quán)在金融領(lǐng)域的一種延伸，也是隱私信息權(quán)由消極被動(dòng)的權(quán)利向積極主動(dòng)的權(quán)利的一種轉(zhuǎn)變。金融隱私信息權(quán)，是指權(quán)利主體積極主動(dòng)地支配控制與自身的財(cái)產(chǎn)、交易相關(guān)或其他能夠反映個(gè)人信用狀況的信息的權(quán)利。具體參見談李榮：《金融隱私信息權(quán)與信用開放的博弈》，法律出版社2008年版，第1頁。，而且還篡改金融消費(fèi)者信用信息進(jìn)行欺詐，騙取客戶的巨額財(cái)產(chǎn)。個(gè)人金融信息一旦泄露或者被非法使用，極易導(dǎo)致自然人的人格尊嚴(yán)受到侵害，人身、財(cái)產(chǎn)安全受到危害，因此，對(duì)處理敏感個(gè)人信息的活動(dòng)應(yīng)當(dāng)作出更加嚴(yán)格的限制。面對(duì)違法形態(tài)復(fù)雜性的挑戰(zhàn)，金融企業(yè)必須按照“風(fēng)險(xiǎn)最小化，收益最大化”[2]〔美〕赫伯特·西蒙：《管理決策新科學(xué)》，李柱流等譯，中國社會(huì)科學(xué)出版社1982年版，第33頁。的風(fēng)險(xiǎn)民事責(zé)任給自身設(shè)定義務(wù)，為金融消費(fèi)者設(shè)定權(quán)利。個(gè)人金融信息的風(fēng)險(xiǎn)責(zé)任是金融企業(yè)違反風(fēng)險(xiǎn)義務(wù)所應(yīng)承擔(dān)的不利法律后果。個(gè)人金融信息風(fēng)險(xiǎn)責(zé)任的復(fù)雜性表明：責(zé)任形態(tài)既包括個(gè)人責(zé)任，也包括組織責(zé)任；既包括危險(xiǎn)責(zé)任，也包括后果責(zé)任；既存在客觀責(zé)任，也存在主觀責(zé)任；既存在間接責(zé)任，也存在直接責(zé)任?？偟膩碚f，金融復(fù)雜性風(fēng)險(xiǎn)是線性規(guī)律和非線性規(guī)律、單向度規(guī)律和互補(bǔ)性規(guī)律、被組織規(guī)律和自組織規(guī)律共存的風(fēng)險(xiǎn)形態(tài)，其中各種規(guī)律分別運(yùn)轉(zhuǎn)于各自有效的范圍之內(nèi)。復(fù)雜性方法把系統(tǒng)性方法作為一種特殊的極限情況包括在自身之中，這構(gòu)成真正的復(fù)雜性方法和觀點(diǎn)[3]陳一壯：《包納簡單性方法的復(fù)雜性方法》，《哲學(xué)研究》2010年第8期。，傳統(tǒng)的單一主體行使方式不能有效解決個(gè)人金融信息本身的復(fù)雜性和共識(shí)達(dá)成過程的復(fù)雜性問題，加上個(gè)人金融信息本身的高度復(fù)雜性和利益敏感性，對(duì)風(fēng)險(xiǎn)擴(kuò)散的因果認(rèn)定只能從對(duì)確定性的追求轉(zhuǎn)向?qū)Σ淮_定性的分析[4]〔比〕伊利亞·普利高津：《確定性的終結(jié)：時(shí)間、混沌與新自然法》，湛敏譯，上海科技教育出版社1998年版，第146頁。。

2.風(fēng)險(xiǎn)民事責(zé)任的引入順應(yīng)風(fēng)險(xiǎn)物客體性變遷所產(chǎn)生的合理性需求

無論從實(shí)踐還是從法律目的上看，個(gè)人金融信息在公共領(lǐng)域是非共享不能帶來巨大便利，因此，充分考慮個(gè)人信息保護(hù)的公共性背景或社群背景，承認(rèn)個(gè)人金融信息具有公共性對(duì)于當(dāng)代金融生活有重要意義。個(gè)人金融信息符合經(jīng)濟(jì)學(xué)上的“公共品”核心特征，即非競爭性和非排他性。信息公共物品帶給金融消費(fèi)者與金融企業(yè)的不只是便利，也有無處不在的風(fēng)險(xiǎn)。金融企業(yè)會(huì)利用該行業(yè)的特質(zhì)和個(gè)人金融信息進(jìn)行經(jīng)營活動(dòng)。在互聯(lián)網(wǎng)發(fā)達(dá)時(shí)期，金融企業(yè)的盈利方式已不僅局限于傳統(tǒng)的金融方式，更多的是互聯(lián)網(wǎng)信息數(shù)據(jù)流量方式，因而這種情況下就意味著本來就處于弱勢地位的消費(fèi)者因?yàn)榧夹g(shù)等原因變得更加容易被利用與侵犯。例如銀保監(jiān)會(huì)公布的處罰決定事由中，有中信銀行對(duì)客戶敏感信息管理不善致其流出至互聯(lián)網(wǎng)[5]銀保監(jiān)罰決字〔2021〕5號(hào)。，支付寶（中國）網(wǎng)絡(luò)技術(shù)有限公司對(duì)個(gè)人金融信息收集不符合最少與必需原則、對(duì)個(gè)人金融信息使用不當(dāng)?shù)萚6]杭銀處罰字〔2018〕23號(hào)。。金融消費(fèi)者的個(gè)人金融信息是需要一定程度的社會(huì)控制來構(gòu)建和保護(hù)的公共物品，在風(fēng)險(xiǎn)社會(huì)中消費(fèi)者經(jīng)過告知—同意框架讓渡個(gè)人信息，而《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中的技術(shù)規(guī)范覆蓋了風(fēng)險(xiǎn)規(guī)范，出現(xiàn)了風(fēng)險(xiǎn)規(guī)范缺失的制度困境。在這種情況下，單純用民事法律關(guān)系保護(hù)公共物品存在極大的私法困境。因此，企業(yè)法人組織不僅要加大公共物品的管理性規(guī)范，更要及時(shí)構(gòu)建契合風(fēng)險(xiǎn)防范的法律要素。在公法上，個(gè)人金融信息具有信息流通的價(jià)值，在流通增值收益的同時(shí)，難以控制的信息風(fēng)險(xiǎn)從流通環(huán)節(jié)外溢極大地危害著金融消費(fèi)者的利益，嚴(yán)重地破壞了金融行業(yè)固有的法律秩序，更直觀地破壞和抹殺了金融消費(fèi)者的個(gè)體意志自由。盡管個(gè)人金融信息在定義上幾乎被視為公共領(lǐng)域的組成部分，是可以廣泛獲得和使用的，但信息風(fēng)險(xiǎn)一旦掙脫了正義的捆綁，脫去了法律的繩索，就呈現(xiàn)風(fēng)險(xiǎn)物的特性。從個(gè)人信息權(quán)益保護(hù)的角度來看，期望通過個(gè)體自我決定、自我主宰以保護(hù)自己信息權(quán)利的意思主義民法學(xué)說，對(duì)個(gè)人信息權(quán)益保護(hù)的思考不免陷入過于簡單的桎梏，我們有必要通過對(duì)現(xiàn)行法律規(guī)定的檢視與反思來探尋有效的個(gè)人金融信息法律保護(hù)路徑。

3.風(fēng)險(xiǎn)民事責(zé)任契合個(gè)人金融信息的規(guī)則填補(bǔ)空間

隨著互聯(lián)網(wǎng)金融產(chǎn)品的迭代，金融領(lǐng)域默示同意個(gè)人身份信息的法律保護(hù)已經(jīng)難以應(yīng)對(duì)個(gè)人金融信息風(fēng)險(xiǎn)的復(fù)雜性。為了預(yù)防潛在風(fēng)險(xiǎn)，其一，在個(gè)人金融信息保護(hù)場景，企業(yè)應(yīng)當(dāng)設(shè)置風(fēng)險(xiǎn)行為規(guī)則，即類似于合同的附隨義務(wù)，例如消費(fèi)者報(bào)告義務(wù)，即借鑒美國FCRA這類響應(yīng)計(jì)算機(jī)化和數(shù)字記錄的信息法，提供“消費(fèi)者報(bào)告”機(jī)制，由消費(fèi)者報(bào)告代理機(jī)構(gòu)進(jìn)行對(duì)任何針對(duì)消費(fèi)者信用價(jià)值或個(gè)人特征的通信，用于建立消費(fèi)者的信用資格。同時(shí)，詳細(xì)規(guī)定在什么情況下可以向另一方提供消費(fèi)者報(bào)告，以及將這些報(bào)告用于執(zhí)法或聘用等目的的法律限制。其二，將一部分特定風(fēng)險(xiǎn)信息從信息目錄中獨(dú)立出來進(jìn)行保護(hù)，將金融消費(fèi)者記錄定義為“金融企業(yè)在系統(tǒng)或合同中‘維護(hù)’的‘與金融消費(fèi)者直接相關(guān)的信息’”。其三，設(shè)置公平信息慣例的法定義務(wù)，作為默示同意信息利用的前置條件。將金融消費(fèi)者個(gè)人信息的存在與遵循公平信息慣例的義務(wù)聯(lián)系起來，對(duì)處理金融消費(fèi)者信息的組織規(guī)定義務(wù)，禁止金融信息運(yùn)營商未事先征得訂戶的書面或電子同意情況下收集任何與訂戶有關(guān)的默示同意個(gè)人身份信息。

三、風(fēng)險(xiǎn)民事責(zé)任與民事責(zé)任體系的銜接：塑造結(jié)構(gòu)性賦權(quán)機(jī)制

在金融信息保護(hù)領(lǐng)域，對(duì)與《個(gè)人信息保護(hù)法》相關(guān)的現(xiàn)行法律、法規(guī)和規(guī)范性文件進(jìn)行及時(shí)更新，才能確保該法順利實(shí)施，更好地推動(dòng)個(gè)人金融信息保護(hù)與信息流通利用制度健康發(fā)展。為了穩(wěn)定公共秩序與私權(quán)保護(hù)，在現(xiàn)行安全保障義務(wù)的基礎(chǔ)上，對(duì)作為私權(quán)主體的金融企業(yè)利用個(gè)人金融信息應(yīng)當(dāng)提出進(jìn)一步的風(fēng)險(xiǎn)預(yù)防要求[1]Edward J.Janger,Paul M.Schwartz,"The Gramm-Leach-Bliley Act,Information Privacy,and the Limits of Default Rules",Minnesota Law Review,2002(86),pp.1249-1261.。面對(duì)現(xiàn)行法存在的系統(tǒng)性規(guī)范缺失，明確金融企業(yè)的風(fēng)險(xiǎn)民事責(zé)任，賦予金融消費(fèi)者人格權(quán)，在金融信息保密義務(wù)的基礎(chǔ)上，增加金融企業(yè)信息安全管理義務(wù)和信息風(fēng)險(xiǎn)評(píng)估義務(wù)并靈活增減義務(wù)規(guī)則，以保障個(gè)人金融信息的安全性，更好地保護(hù)金融消費(fèi)者個(gè)人信息權(quán)益。

1.概括賦予金融消費(fèi)者人格權(quán)

個(gè)人金融信息利用行為規(guī)則并不能取代信息權(quán)利的保護(hù)路徑，信息權(quán)利保護(hù)應(yīng)當(dāng)順應(yīng)信息風(fēng)險(xiǎn)的復(fù)雜性。個(gè)人金融信息歸屬于人格權(quán)法，可以通過《民法典·人格權(quán)篇》為信息技術(shù)的未來發(fā)展留下解釋空間[2]張新寶：《民法典為AI立法留下空間》，https://www.sohu.com/a/396790633_114988。。針對(duì)金融消費(fèi)者信息保護(hù)的私法缺位，可以借助《民法典》第799條[3]《民法典》第799條：“任何組織或者個(gè)人不得以丑化、污損，或者利用信息技術(shù)手段偽造等方式侵害他人的肖像權(quán)。未經(jīng)肖像權(quán)人同意，不得制作、使用、公開肖像權(quán)人的肖像，但是法律另有規(guī)定的除外。”讓消費(fèi)者的人格權(quán)在個(gè)人金融信息保護(hù)中得以具體化。針對(duì)個(gè)人金融信息的內(nèi)涵、搜集范圍和手段、處理方式、侵權(quán)形式等正在發(fā)生巨大變化，金融企業(yè)存在產(chǎn)品宣傳引人誤解[1]杭銀處罰字〔2018〕23號(hào)。、系統(tǒng)權(quán)限管理漏洞、外包機(jī)構(gòu)管理缺陷等諸多風(fēng)險(xiǎn)[2]銀保監(jiān)罰決字〔2021〕5號(hào)。的情況，在金融消費(fèi)者人格權(quán)益私法保障不足的背景下，需要增加金融消費(fèi)者民法人格權(quán)的公法要素。在國外，《加州消費(fèi)者信息法案》（2018）通過增加消費(fèi)者反歧視權(quán)，賦予消費(fèi)者訴訟權(quán)利以獲取賠償，并設(shè)立“消費(fèi)者信息基金”，通過金融市場普遍非歧視的服務(wù)保障金融消費(fèi)者的個(gè)人信息，確立了消費(fèi)者信息的憲法基本權(quán)利保護(hù)和社會(huì)法保護(hù)模式。在國內(nèi)，《民法典》頒布之后，互聯(lián)網(wǎng)信息領(lǐng)域中的司法解釋將面臨極大挑戰(zhàn)，民法人格權(quán)條文或許能夠提供金融消費(fèi)者基本權(quán)利保障的賦權(quán)入口[3]人格權(quán)與基本權(quán)利及其他公法上權(quán)利之間的曖昧關(guān)系也引發(fā)了我國學(xué)者對(duì)人格權(quán)的規(guī)范品質(zhì)的反思。具體參見姚輝：《從立法論邁向解釋論的人格權(quán)編》，《清華法學(xué)》2020年第3期。。同時(shí)，從廣州互聯(lián)網(wǎng)法院審理的王女士在某銀行“被刷臉”一案[4]廣州互聯(lián)網(wǎng)法院：《銀行不能證明辦卡及貸款者為其本人，駁回全部訴請(qǐng)》，《人民法院報(bào)》，2021年8月19日。來看，增加對(duì)金融消費(fèi)者生物特征的有效識(shí)別，是避免個(gè)人生物特征信息利用超過必要限度的關(guān)鍵措施。針對(duì)消費(fèi)者金融信息人格所蘊(yùn)含的財(cái)產(chǎn)性利益保護(hù)，未來可以根據(jù)《個(gè)人信息保護(hù)法》第70條和最高人民法院有關(guān)個(gè)人信息保護(hù)的司法解釋[5]賀榮：《國務(wù)院新聞辦公室舉行司法審判服務(wù)保障全面建成小康社會(huì)新聞發(fā)布會(huì)答記者問》，國新網(wǎng)，http://www.scio.gov.cn/xwfbh/xwbfbh/wqfbh/44687/46962/index.htm。，對(duì)于用AI變臉等深度偽造技術(shù)對(duì)金融消費(fèi)者群體的信息權(quán)益造成的傷害，制定由消費(fèi)者組織或由國家網(wǎng)信部門確定的組織提起民事公益訴訟的具體規(guī)范指引，以此補(bǔ)位人格權(quán)侵權(quán)保護(hù)之不足。

2.具體課以附隨義務(wù)：個(gè)人金融信息安全管理義務(wù)和風(fēng)險(xiǎn)評(píng)估義務(wù)

《個(gè)人信息保護(hù)法》第9條和第59條分別確定了個(gè)人信息處理者和個(gè)人信息處理的受托人對(duì)個(gè)人信息處理活動(dòng)采取必要安全措施的義務(wù)，在第51條[6]《個(gè)人信息保護(hù)法》第51條：“個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取下列措施確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露、篡改、丟失：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對(duì)個(gè)人信息實(shí)行分類管理；（三）采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施；（四）合理確定個(gè)人信息處理的操作權(quán)限，并定期對(duì)從業(yè)人員進(jìn)行安全教育和培訓(xùn)；（五）制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施?！焙?5條[7]《個(gè)人信息保護(hù)法》第55條：“有下列情形之一的，個(gè)人信息處理者應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄：（一）處理敏感個(gè)人信息；（二）利用個(gè)人信息進(jìn)行自動(dòng)化決策；（三）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開個(gè)人信息；（四）向境外提供個(gè)人信息；（五）其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)?！币簿唧w闡述了個(gè)人信息處理者采取措施防范安全風(fēng)險(xiǎn)和影響評(píng)估等義務(wù)。由于技術(shù)的發(fā)展，風(fēng)險(xiǎn)民事責(zé)任具體化中內(nèi)嵌的義務(wù)性規(guī)范也應(yīng)當(dāng)不斷細(xì)化明確，尤其在金融領(lǐng)域，需要通過具體的司法解釋課以金融企業(yè)信息安全管理義務(wù)和信息風(fēng)險(xiǎn)評(píng)估義務(wù)兩項(xiàng)義務(wù)。金融產(chǎn)品是信息的組合，由于構(gòu)成原理復(fù)雜，即使在信息適量的情況下，普通消費(fèi)者也很難完全理解信息的內(nèi)容從而對(duì)產(chǎn)品有全面認(rèn)知。專業(yè)化復(fù)雜化的金融合同使消費(fèi)者處于不利地位，他們難以依常識(shí)判斷金融產(chǎn)品是否存在瑕疵。正是由于金融消費(fèi)合同的特殊性，因此法律對(duì)金融企業(yè)予以一定程度的規(guī)制，金融企業(yè)除應(yīng)提供合法合規(guī)的金融產(chǎn)品和服務(wù)，還應(yīng)對(duì)風(fēng)險(xiǎn)警示等重要事項(xiàng)予以充分適當(dāng)?shù)恼f明[8]黃莉萍、潘晟：《金融消費(fèi)合同中的品質(zhì)擔(dān)保責(zé)任問題探究》，《行政與法》2017年第6期。。在伊某與中國工商銀行盤錦分行儲(chǔ)蓄存款合同糾紛再審案件中[9]最高人民法院〔2017〕最高法民再174號(hào)判決書。，最高人民法院明確銀行在為自然人辦理業(yè)務(wù)時(shí)應(yīng)盡到最大的注意和風(fēng)險(xiǎn)提示義務(wù)。需要強(qiáng)調(diào)的是，面向消費(fèi)者的金融產(chǎn)品通常具有復(fù)雜性和不可理解的特點(diǎn)，有必要在司法解釋中細(xì)化金融企業(yè)的信息安全管理義務(wù)和信息風(fēng)險(xiǎn)評(píng)估義務(wù)等附隨義務(wù)，要求金融企業(yè)引入內(nèi)部程序和機(jī)制，以確保消費(fèi)者對(duì)產(chǎn)品的正確理解，從而降低個(gè)人和社會(huì)成本，增加消費(fèi)者對(duì)金融企業(yè)的信任。

關(guān)于個(gè)人金融信息安全管理義務(wù)，依據(jù)《個(gè)人信息保護(hù)法》第38條和第40條，只有關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的信息處理者，在向境外提供數(shù)據(jù)時(shí)才需要通過國家網(wǎng)信部門組織的安全評(píng)估?！秱€(gè)人信息保護(hù)法》已給出信息分級(jí)保護(hù)問題的法定方案，即區(qū)分一般個(gè)人信息的處理和敏感個(gè)人信息的處理，第51條還對(duì)個(gè)人信息進(jìn)行了橫向的切分。設(shè)置金融企業(yè)信息安全管理義務(wù)，旨在促使金融企業(yè)采取符合法律法規(guī)、國家標(biāo)準(zhǔn)的安全措施，妥善保管所收集的個(gè)人金融信息，防止信息遺失、毀損、泄露或者篡改。在監(jiān)管條例中應(yīng)當(dāng)明確金融企業(yè)在沒有盡到信息保護(hù)義務(wù)時(shí)應(yīng)當(dāng)承擔(dān)的法律責(zé)任，不僅是行政責(zé)任，還包括相應(yīng)的民事責(zé)任和刑事責(zé)任；要制定更加詳細(xì)的處罰措施，加大處罰力度，增加違法成本，充分保障金融消費(fèi)者的個(gè)人信息權(quán)益[1]黎四奇、苗羽亭：《大數(shù)據(jù)背景下金融隱私權(quán)的保護(hù)》，《財(cái)經(jīng)理論與實(shí)踐》2019年第4期。。2019年上海金融法院在丁某訴甲銀行儲(chǔ)蓄存款合同糾紛案[2]參見上海金融法院〔2019〕滬74民終200號(hào)判決書。的判決書中就指出，銀行負(fù)有妥善保管金融消費(fèi)者銀行卡卡號(hào)、密碼的義務(wù)，對(duì)網(wǎng)上銀行業(yè)務(wù)客戶資料負(fù)有安全保障義務(wù)。另外，為保障個(gè)人金融信息安全，金融企業(yè)需建立良好的數(shù)據(jù)存儲(chǔ)空間，保障其安全，并構(gòu)建個(gè)人金融信息更新機(jī)制，保證信息的及時(shí)性、準(zhǔn)確性和有效性。需要說明的是，金融企業(yè)保護(hù)消費(fèi)者個(gè)人金融信息安全的義務(wù)不因其與外包服務(wù)供應(yīng)商合作而轉(zhuǎn)移、減免。

《個(gè)人信息保護(hù)法》第56條羅列了個(gè)人信息保護(hù)影響評(píng)估的內(nèi)容，包括單方處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、個(gè)人信息流轉(zhuǎn)（包括委托、提供和公開）、向境外提供以及其他對(duì)個(gè)人有重大影響的五類場景。風(fēng)險(xiǎn)評(píng)估可分為自身風(fēng)險(xiǎn)評(píng)估和外包機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估。金融企業(yè)自身的風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)由金融監(jiān)管機(jī)構(gòu)進(jìn)行，內(nèi)容包括對(duì)金融企業(yè)保護(hù)措施的評(píng)估，如內(nèi)部機(jī)制的完善、自身履行職責(zé)的狀況與能力等。金融企業(yè)應(yīng)當(dāng)充分審查、評(píng)估外包服務(wù)供應(yīng)商保護(hù)個(gè)人金融信息的能力，在相關(guān)協(xié)議中明確外包服務(wù)供應(yīng)商保護(hù)個(gè)人金融信息的職責(zé)和保密義務(wù)，并采取必要措施保證外包服務(wù)供應(yīng)商履行上述職責(zé)和義務(wù)[3]例如建立外包服務(wù)供應(yīng)商的競爭機(jī)制，嚴(yán)格審核其資格，提高準(zhǔn)入門檻；通過簽訂合同等方式對(duì)相關(guān)事項(xiàng)予以明確規(guī)定并嚴(yán)格履行個(gè)人金融信息等資料交接登記手續(xù)，保證職責(zé)范圍內(nèi)的責(zé)任清楚劃分，明確資料交接相關(guān)查驗(yàn)程序；完善資料交接及銷毀制度；外包服務(wù)期結(jié)束之后嚴(yán)格要求該公司及相關(guān)人員將金融信息及資料等退回或者銷毀，并派專人予以監(jiān)督。參見楊為程、張金金：《互聯(lián)網(wǎng)金融信息中的隱私權(quán)保護(hù)》，《新疆教育學(xué)院學(xué)報(bào)》2017年第4期。。

3.增設(shè)默認(rèn)付費(fèi)和默認(rèn)罰款的財(cái)產(chǎn)權(quán)保護(hù)機(jī)制

《個(gè)人信息保護(hù)法》第44條明確個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)。由于在金融交易中存在交易雙方信息披露不對(duì)稱的情況，因此對(duì)金融消費(fèi)者知情權(quán)的保護(hù)尤為必要。為了保持金融消費(fèi)者與金融企業(yè)的利益平衡，應(yīng)在通知義務(wù)等普遍的公法義務(wù)保護(hù)模式中增加市場平等服務(wù)協(xié)議中的私法保護(hù)模式，即“默認(rèn)付費(fèi)”和“默認(rèn)罰款”。

（1）以默認(rèn)付費(fèi)模式賦予金融企業(yè)信息開發(fā)權(quán)

對(duì)于金融企業(yè)與金融消費(fèi)者之間的信息利用關(guān)系，學(xué)理上存在兩種解釋：一種是認(rèn)為信息從金融消費(fèi)者提交給金融企業(yè)開始就已完成所有權(quán)的轉(zhuǎn)移，從此信息歸屬于金融企業(yè)，金融消費(fèi)者對(duì)其再無權(quán)利[4]United States.Miller，425U.S.at442-43&443(1976);Smithv.Maryland，442U.S.735，736-37(1979).；另一種則認(rèn)為金融企業(yè)和金融消費(fèi)者之間是“保管”關(guān)系，金融消費(fèi)者為了享有金融產(chǎn)品及服務(wù)而提供自身的信息，金融企業(yè)只是將這些信息作為加密手段或是金融產(chǎn)品的附屬品予以保存[5]Joseph Jerome，"Big Data:Catalyst for a Privacy Conversation"，Indiana Law Review，2014，pp.1-30.。需要說明的是，個(gè)人金融信息同時(shí)具有流轉(zhuǎn)價(jià)值與安全價(jià)值，實(shí)現(xiàn)上述價(jià)值的平衡需賦予金融企業(yè)部分信息權(quán)以開發(fā)信息價(jià)值[1]何穎：《數(shù)據(jù)共享背景下的金融隱私保護(hù)》，《東南大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2017年第1期。，同時(shí)應(yīng)規(guī)定相應(yīng)的義務(wù)，保障金融消費(fèi)者權(quán)利。純粹的保管關(guān)系無法滿足這一要求，因?yàn)楸９芎贤P(guān)系屬于靜止法律關(guān)系，即金融企業(yè)作為信息的保管人對(duì)于信息履行保管義務(wù)，但過嚴(yán)的信息保護(hù)會(huì)抑制金融創(chuàng)新的動(dòng)力。金融企業(yè)與消費(fèi)者之間建立的交易關(guān)系實(shí)質(zhì)為金融消費(fèi)合同關(guān)系，金融企業(yè)對(duì)個(gè)人金融信息合理利用及保密是金融消費(fèi)合同中的附隨義務(wù)?，F(xiàn)存普遍免費(fèi)模式[2]網(wǎng)絡(luò)服務(wù)提供者通過普遍免費(fèi)模式實(shí)現(xiàn)初期擴(kuò)張，往往會(huì)因過分索取用戶的個(gè)人信息作為經(jīng)營的戰(zhàn)略資源或用于進(jìn)行交易的數(shù)據(jù)財(cái)產(chǎn)而損壞用戶的個(gè)人信息權(quán)益，并且免費(fèi)的實(shí)質(zhì)是以數(shù)據(jù)支付為對(duì)價(jià)，網(wǎng)絡(luò)服務(wù)提供者免費(fèi)獲得了最有價(jià)值的資源——用戶的注意力，并將消費(fèi)者和更多的注意力轉(zhuǎn)化為市場份額，以實(shí)現(xiàn)營利的目的。存在虛化“同意原則”[3]方禹：《個(gè)人信息保護(hù)中的“用戶同意”規(guī)則：問題與解決》，《網(wǎng)絡(luò)信息法學(xué)研究》2018年第1期。、降低網(wǎng)絡(luò)服務(wù)提供者責(zé)任等問題，在此情形下，現(xiàn)實(shí)中網(wǎng)絡(luò)信息消費(fèi)者在特定領(lǐng)域下會(huì)更加重視個(gè)人信息的利用與信息保護(hù)，且寧愿支付對(duì)價(jià)以獲得網(wǎng)絡(luò)信息產(chǎn)品和服務(wù)，對(duì)于該人群的合理需求，法律應(yīng)當(dāng)提供相應(yīng)的制度供給滿足其需求，由此構(gòu)建金融消費(fèi)者在金融領(lǐng)域中個(gè)人信息的財(cái)產(chǎn)權(quán)保護(hù)制度——默認(rèn)付費(fèi)。

（2）以默認(rèn)罰款模式實(shí)現(xiàn)金融消費(fèi)者權(quán)益保障

前述默認(rèn)付費(fèi)作為義務(wù)性規(guī)范是基于消費(fèi)者對(duì)個(gè)人金融信息的敏感程度，通過金融企業(yè)提供付費(fèi)服務(wù)的方式實(shí)現(xiàn)消費(fèi)者個(gè)人金融信息的保護(hù)，即金融企業(yè)應(yīng)當(dāng)遵守具體的規(guī)則，否則應(yīng)當(dāng)承擔(dān)“罰款”責(zé)任。金融企業(yè)無論是根據(jù)其法定義務(wù)還是合同義務(wù)，都應(yīng)該對(duì)個(gè)人金融信息負(fù)有保密義務(wù)，這是對(duì)金融消費(fèi)者信息權(quán)和財(cái)產(chǎn)權(quán)的保護(hù)。金融消費(fèi)者與金融企業(yè)簽訂客戶服務(wù)協(xié)議（金融消費(fèi)合同），金融企業(yè)基于該合同收集相應(yīng)服務(wù)所需的客戶個(gè)人數(shù)據(jù)，并且作為數(shù)據(jù)控制者同時(shí)需要承擔(dān)數(shù)據(jù)安全保障的義務(wù)（如采取加密、匿名處理等技術(shù)手段），在法律允許和客戶授權(quán)范圍內(nèi)合理使用數(shù)據(jù)并履行信息披露義務(wù)[4]趙吟：《開放銀行模式下個(gè)人數(shù)據(jù)共享的法律規(guī)制》，《現(xiàn)代法學(xué)》2020年第3期。。在大數(shù)據(jù)背景下，金融企業(yè)掌握大量數(shù)據(jù)信息，與金融消費(fèi)者在議價(jià)能力方面存在較大優(yōu)勢，前面論證的金融企業(yè)與金融消費(fèi)者之間建立的合同關(guān)系中，因其違反約定義務(wù)的成本較低，金融企業(yè)往往不會(huì)對(duì)個(gè)人金融信息盡到合理利用與保密義務(wù)[5]金融機(jī)構(gòu)與金融監(jiān)管機(jī)關(guān)之間成立的是垂直的行政監(jiān)管關(guān)系，法國隱私監(jiān)管機(jī)構(gòu)根據(jù)通用數(shù)據(jù)保護(hù)條例（GDPR），對(duì)谷歌處以5700萬美元罰款，原因是谷歌在設(shè)立賬戶時(shí)，以廣告為目的迫使人們“同意”對(duì)其數(shù)據(jù)進(jìn)行處理。具體參見Ceresearch：《由谷歌高額罰單案再談金融消費(fèi)者信息安全權(quán)》，https://mp.weixin.qq.com/s/aTJydeRq2a177QfDsl_tnw。，金融消費(fèi)者權(quán)益的有效保障難以實(shí)現(xiàn)。

“默認(rèn)罰款”旨在督促合同強(qiáng)勢一方履行安全保障義務(wù)，并通過在軟件系統(tǒng)中設(shè)置信息強(qiáng)制默認(rèn)罰款來實(shí)現(xiàn)。提高企業(yè)不履行義務(wù)的費(fèi)用負(fù)擔(dān)，可以提高消費(fèi)者作為合同弱勢一方的議價(jià)能力。根據(jù)“默認(rèn)罰款”監(jiān)管部門可以直接懲罰不履行合同義務(wù)的締約一方，以使合同相對(duì)方具有相等的議價(jià)能力。信息的默認(rèn)強(qiáng)制設(shè)置（包括默認(rèn)罰款設(shè)置）將不利于提供更多信息的一方，也有可能虛化了告知移除規(guī)則，但是這些默認(rèn)規(guī)則在定義上是非多數(shù)主義的，會(huì)由于罰款議價(jià)能力的改變而改變，如果不能有效地保證履行安全保障義務(wù)，合同相對(duì)方將頻繁地改變默認(rèn)。軟件執(zhí)法的靈活性在于將安全保障義務(wù)與經(jīng)濟(jì)上的可負(fù)擔(dān)性進(jìn)行合理計(jì)費(fèi)，這種隨時(shí)改變算法的個(gè)人金融信息保護(hù)也是一種金融市場交易的產(chǎn)權(quán)化機(jī)制。

四、個(gè)人金融信息風(fēng)險(xiǎn)民事責(zé)任的承擔(dān)路徑

在個(gè)人金融信息損害救濟(jì)方面，《個(gè)人信息保護(hù)法》等相關(guān)法律必須有對(duì)應(yīng)的條文對(duì)接風(fēng)險(xiǎn)民事責(zé)任，使個(gè)人金融信息風(fēng)險(xiǎn)民事責(zé)任落到實(shí)處。從構(gòu)成要件層面來看，將風(fēng)險(xiǎn)民事責(zé)任架設(shè)至民事責(zé)任體系的主要問題在于，因果關(guān)系等核心概念與傳統(tǒng)體系中的含義并不完全一致。為實(shí)現(xiàn)個(gè)人金融信息的損害救濟(jì)，可以將金融企業(yè)市場特許經(jīng)營許可架設(shè)入格式合同的效力要件，在一定范圍內(nèi)放寬因果關(guān)系推定標(biāo)準(zhǔn)并施行嚴(yán)格的歸責(zé)原則。

1.金融企業(yè)市場特許經(jīng)營架設(shè)至金融領(lǐng)域格式合同的效力要件

在金融領(lǐng)域，個(gè)人金融信息處理者與消費(fèi)者之間往往簽訂格式合同，前者利用在市場的優(yōu)勢地位，通過預(yù)設(shè)的格式條款使消費(fèi)者處于不利地位。鑒于此，有必要將金融企業(yè)市場特許經(jīng)營架設(shè)至金融領(lǐng)域格式合同的效力要件之中?！睹穹ǖ洹返?53條第一款明確規(guī)定“違反法律、行政法規(guī)的強(qiáng)制性規(guī)定的”為民事法律行為無效情形之一。根據(jù)通說，法律、行政法規(guī)中的強(qiáng)制性規(guī)范屬于“效力性強(qiáng)制規(guī)范”的包括兩類：一類是“明定無效型”，即法律、行政法規(guī)明文規(guī)定違反強(qiáng)制規(guī)定的法律行為無效的情形；另一類是“危害公序型”，即違反該強(qiáng)制規(guī)定即損害公共秩序的情形。金融企業(yè)市場特許經(jīng)營是由政府有關(guān)部門許可授予的，具有很強(qiáng)的行政管理特征。在金融企業(yè)的經(jīng)營方式和經(jīng)營范圍上，行政機(jī)關(guān)對(duì)金融從業(yè)機(jī)構(gòu)進(jìn)行行政許可審批，并頒發(fā)市場主體資格和經(jīng)營資格證照。即使是僅限制一方當(dāng)事人市場進(jìn)入（準(zhǔn)入）資格或資質(zhì)條件的“資質(zhì)限制類”強(qiáng)制性規(guī)范，若損害社會(huì)公共秩序（主要情形為損害公眾安全）的，則也屬于效力性強(qiáng)制規(guī)范。

2.金融企業(yè)監(jiān)管義務(wù)架設(shè)至個(gè)人金融信息的風(fēng)險(xiǎn)民事責(zé)任認(rèn)定

由于金融消費(fèi)者合同的設(shè)立及其履行一定程度上依賴金融企業(yè)的誠信，為尋求合同相對(duì)方履約的法律基礎(chǔ)，必須建立履行協(xié)議的空間和范圍。公義務(wù)架設(shè)至私義務(wù)可以通過私法訴訟中私法規(guī)范的公法要素來實(shí)現(xiàn)，當(dāng)消費(fèi)者以金融企業(yè)作為被告不履行合同義務(wù)而提起訴訟的時(shí)候，舉證規(guī)則應(yīng)當(dāng)納入行政監(jiān)管認(rèn)定的結(jié)論（如金融企業(yè)內(nèi)部管理失職的行政處罰決定書）。

（1）金融企業(yè)違約責(zé)任中架設(shè)公義務(wù)條款

金融企業(yè)與消費(fèi)者以協(xié)議方式擬定相關(guān)的義務(wù)，該協(xié)議通常是行政機(jī)關(guān)以行政手段規(guī)制的格式合同[1]王瀚、張超漢：《格式合同的行政規(guī)制》，《科學(xué)經(jīng)濟(jì)社會(huì)》2009年第4期?；蚪鹑谄髽I(yè)經(jīng)過行政機(jī)關(guān)事前審查制定的合同，在該類合同中將安全保障義務(wù)作為金融企業(yè)違約責(zé)任架設(shè)入公義務(wù)中。此種安全保障義務(wù)不論是通過行政規(guī)定的方式，還是通過行政合同的方式制定，對(duì)于行政機(jī)關(guān)、金融企業(yè)和金融消費(fèi)者而言都更加契合現(xiàn)行公共高效治理與私權(quán)保護(hù)的目的，也更體現(xiàn)公私法領(lǐng)域多維度立法融合的趨勢[2]通常而言，在經(jīng)營者入駐平臺(tái)階段，平臺(tái)需要對(duì)其進(jìn)行實(shí)名登記并審查相關(guān)主體的資質(zhì)是否完備，同時(shí)在日常的運(yùn)營階段還負(fù)有報(bào)告義務(wù)。對(duì)于網(wǎng)絡(luò)平臺(tái)內(nèi)運(yùn)營的經(jīng)營者，網(wǎng)絡(luò)平臺(tái)不僅需要進(jìn)行資格審查，還需督促應(yīng)用程序提供者發(fā)布合法應(yīng)用程序，尊重和保護(hù)應(yīng)用程序提供者的知識(shí)產(chǎn)權(quán)。另外，網(wǎng)絡(luò)平臺(tái)在運(yùn)營過程中也需要對(duì)用戶的個(gè)人信息安全承擔(dān)保障責(zé)任。參見Federal Trade Commission,"Privacy&Date Security Update:2018"，F(xiàn)ederal Trade Commission and Staff Reports，https://www.ftc.gov/reports/privacy-data-security-update-2018。。而以上公法私法融合實(shí)現(xiàn)的一種有效形式就是契約方式，行政機(jī)關(guān)除了通過制定監(jiān)管規(guī)則之外，更為方便的方式是通過行政合同與金融企業(yè)約定安全保障義務(wù)，通過這種由公法上誠實(shí)信用原則的附隨義務(wù)架設(shè)而形成的安全保障義務(wù)作為履行合同的基礎(chǔ)，只要金融企業(yè)有違反義務(wù)的行為，除了行政合同所具有的作為民事契約的歸責(zé)，還會(huì)受到行政合同因約定了安全保障義務(wù)而帶來的公法上的懲罰，即行政機(jī)關(guān)依據(jù)行政合同既可以追究違約責(zé)任也可以主張違反安全保障義務(wù)而進(jìn)行行政處罰[3]王學(xué)輝、趙昕：《隱私權(quán)之公私法整合保護(hù)探索— —以“大數(shù)據(jù)時(shí)代”個(gè)人信息隱私為分析視點(diǎn)》，《河北法學(xué)》2015年第5期。。具體來看，此類行政合同要求金融企業(yè)和互聯(lián)網(wǎng)金融平臺(tái)通過與消費(fèi)者用戶簽訂協(xié)議的方式來敦促雙方遵守法律法規(guī)以及互聯(lián)網(wǎng)相關(guān)公約[1]如《區(qū)塊鏈信息服務(wù)管理規(guī)定》第7條、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》第14條、《互聯(lián)網(wǎng)論壇社區(qū)服務(wù)管理規(guī)定》第6條等。。實(shí)踐中，公權(quán)力的影響力已經(jīng)慢慢滲入對(duì)金融企業(yè)與消費(fèi)者簽訂的格式合同之中，這種行政監(jiān)督的力量對(duì)于市場的整飭效果是立竿見影的。

（2）增加判斷金融企業(yè)侵權(quán)責(zé)任的公法要素

依據(jù)《個(gè)人信息保護(hù)法》第69條規(guī)定，金融企業(yè)侵害個(gè)人金融信息權(quán)益的侵權(quán)賠償責(zé)任適用過錯(cuò)推定責(zé)任，即若金融企業(yè)不能證明自己沒有過錯(cuò)的，就應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。但在司法實(shí)踐中，金融消費(fèi)者一方在調(diào)查取證和舉證質(zhì)證時(shí)面臨銀行等金融機(jī)構(gòu)的壓倒性優(yōu)勢，對(duì)于金融企業(yè)內(nèi)部管理漏洞導(dǎo)致的個(gè)人金融信息損害難以查清事實(shí)[2]何沛蕓、呂新文：《千余畢業(yè)生莫名被開多張農(nóng)行卡，當(dāng)事人要了解真相》，https://m.thepaper.cn/baijiahao_15808648。，行政機(jī)關(guān)在進(jìn)行行政監(jiān)管時(shí)依據(jù)原來的單一公法監(jiān)管規(guī)制也已失去效用。行政機(jī)關(guān)為了保護(hù)消費(fèi)者個(gè)人金融信息，需要將風(fēng)險(xiǎn)民事責(zé)任納入金融企業(yè)與消費(fèi)者民事協(xié)議的范圍，與金融企業(yè)的安全保障義務(wù)一起作為規(guī)制企業(yè)的方式，由此完成金融企業(yè)的嚴(yán)格過錯(cuò)責(zé)任推定。金融企業(yè)在利用消費(fèi)者信息提供產(chǎn)品和服務(wù)的過程中對(duì)于消費(fèi)者信息造成的損害，不論是自身造成的還是基于第三人造成的，基于協(xié)議中金融企業(yè)應(yīng)遵守的風(fēng)險(xiǎn)民事責(zé)任，對(duì)可能發(fā)生的損害消費(fèi)者個(gè)人信息的行為直接推定企業(yè)承擔(dān)責(zé)任，此乃主觀要件客觀化處理的合理方式。

在網(wǎng)絡(luò)侵權(quán)領(lǐng)域，出現(xiàn)平臺(tái)侵犯個(gè)人信息利益時(shí)，因果關(guān)系的認(rèn)定問題往往更為棘手。這不僅僅是因?yàn)榇髷?shù)據(jù)時(shí)代信息的海量性、傳播的即時(shí)性和復(fù)刻的便利性使得人們的交易模式發(fā)生了巨大的變化，企業(yè)普遍啟用的算法機(jī)制也使得責(zé)任溯源的路徑荊棘叢生[3]See Thomas Hemnes,"The Ownership and Exploitation of Personal Identity in the New Media Age",MarshallRev.Intell.Prop.L.，2012(1)，pp.1-39．。在金融網(wǎng)絡(luò)領(lǐng)域，追求明晰和單一化的因果關(guān)系鏈條，在某種程度上已經(jīng)背離互聯(lián)網(wǎng)時(shí)空的復(fù)合性以及科技發(fā)展的規(guī)律。在金融企業(yè)侵犯消費(fèi)者信息的案件中，法院往往基于高度蓋然性的標(biāo)準(zhǔn)，即當(dāng)全案證據(jù)顯示待證事實(shí)存在的可能性大于其不存在的可能性，使得法院有理由相信事實(shí)很可能存在時(shí)，盡管還不能完全排除存在相反的可能性，也允許法院依據(jù)高度蓋然性標(biāo)準(zhǔn)認(rèn)定待證事實(shí)，因而現(xiàn)實(shí)中往往是基于此來認(rèn)定企業(yè)高度存在泄漏消費(fèi)者個(gè)人金融信息的可能性[4]參見北京市朝陽區(qū)人民法院〔2018〕京0105民初36658號(hào)判決書。。但這種高度蓋然性的因果關(guān)系判斷更多的是基于法官的內(nèi)心確信，是基于法官的知識(shí)體系及生活經(jīng)驗(yàn)做出的判斷，具有極大的不確定性與不嚴(yán)謹(jǐn)性。因此，在個(gè)人金融信息侵權(quán)訴訟中，舉證困難的一方，將行政監(jiān)管機(jī)關(guān)做出的金融企業(yè)內(nèi)部監(jiān)管失職等相關(guān)文書作為證據(jù)，司法機(jī)關(guān)以此作為推定因果關(guān)系成立的綜合判斷指標(biāo)的重要考量因素，不失為一種更為公平高效的方式[5]王曉錦：《人工智能對(duì)個(gè)人信息侵權(quán)法保護(hù)的挑戰(zhàn)與應(yīng)對(duì)》，《海南大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版）》2019年第5期。。