黄国辉 宁 杰 郑嘉泰

（中国人民银行辽源市中心支行，吉林辽源 136200）

国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。在金融领域，基层央行在贯彻落实《中国人民银行金融消费者权益保护实施办法》(以下简称“5号令”)的过程中，不断强化对金融消费者金融信息的保护，加大对金融消费者权益的保护力度。然而，由于互联网金融活动中对金融信息的处理方式较为特殊，导致互联网金融消费者金融信息权益频遭侵害，如何对金融信息权益实施法律保护已经成为各有权监管部门关注的焦点。通过对“5号令”相关规定进行文义解释，难以充分满足日常监管履职的需要。因此，强化互联网金融消费者金融信息权法律保护的研究具有理论和实践意义。

一、互联网金融消费者金融信息安全存在的问题现状

（一）不当收集金融信息事件频发

“5号令”第二十九条中对银行、支付机构收集金融信息方面做出了明确规定，与业务无关的不可以收集；收集过程中不可以采取不正当方式；不得变相或者是强制收集。但互联网金融平台经常会基于其服务的复杂性和特殊性，以较为隐蔽的方式违法违规收集与业务无关的用户金融信息。如，互联网金融服务平台在要求用户提供必要的身份信息的时，附带过度收集一些与注册用户无关、而与该平台营销相关的金融信息，或者平台通过技术手段擅自采集用户其它衍生信息，均属于侵害金融消费者的金融信息权益。

（二）不当使用金融信息的现象日益严重

“5号令”第三十二条规定，银行、支付机构不可以超出范围使用消费者金融信息，并要求如果要使用用户金融信息只可以在法律法规的规定以及双方约定的用途以内。随着互联网金融领域在生活中应用场景不断扩充，互联网金融平台违背诚信原则，将用户金融信息贩卖、向第三方提供或是滥用的情况屡见不鲜。部分互联网金融平台对内部员工缺乏管理，导致内部员工私下将用户的个人金融信息倒卖给他人，从中获取利益，严重危害了金融消费者财产及金融信息安全。

（三）金融信息泄露渠道日益增多

互联网金融信息常态化是以虚拟数据的形态进行保存，由于互联网本身存在开放性，在空间和时间上基本无法有效限制虚拟数据信息的传递，导致信息泄露后传播速度极快、传播范围极广，难以有效管控损害。相对滞后的法律监管制度，较为弱势的互联网金融行业自律，加之各家平台公司信息安全管理制度的不健全，造成泄露消费者金融信息行为的违法成本过低，很难有效的约束和制止该侵权违法行为，也加剧了个人金融信息泄露进一步扩散的风险。

二、互联网金融消费者金融信息权法律保护存在的问题

（一）金融信息概念的法律界定不明确

《民法典》颁布之前，我国民法未对“个人信息”的概念进行明确界定；直至《民法典》的颁布后，“个人信息”这一概念才在《民法典》第一千零三十四条中得到正式的定义。但《民法典》并未对个人信息的概念及范围作出较为明确的界定。当前，不同行业对个人信息的内涵及外延都有其各自的规定，保护范围的标准也各不相同。“5号令”第二十八条给金融消费者的金融信息作出了定义，但是“5号令”仅能够适用于银行和支付机构，无法规范大多数互联网金融平台。在金融科技革命的浪潮中，个人信息范围快速拓展，如果法律无法对互联网金融消费者金融信息的概念、法律保护范围作出最为明确的界定，金融信息主体权益将会受到直接而深刻的影响。因此，界定“互联网金融消费者”以及“金融信息”的基本概念与范围都是我国对互联网金融消费者个人信息进行法律保护亟需解决的问题。

（二）金融信息保护立法系统性不足

当前，我国对个人金融信息的法律保护并未形成完整统一的法律体系。相关规定散见于不同行业监管部门制定的部门规章或是规范性文件中，制定过程中缺乏统一的标准，相互之间缺少必要关联，适用领域较为单一，要么是针对金融机构，要么是单独针对消费者。即便内容中有针对互联网金融消费者个人信息权的相关规章制度，也存在滞后性强、领域单一、层次不清、有效性差、操作性弱等问题，难以应付错综复杂的互联网金融领域，不利于对遭受侵权违法行为的互联网金融消费者实施有效的法律救济和保护。

（三）侵权责任立法不足

《消费者权益保护法》第五十条对侵权的民事责任作出了规定，《民法典》第一百七十九条对承担民事责任的方式进行了规定，《个人信息保护法》第七章对侵权法律责任进行了规定。但是，由于互联网金融活动的特性，从采集、保存到使用金融信息的过程中所涉及环节较多、程序较为复杂，有可能会由多位的责任主体经手处理，导致对责任主体的认定和归责等方面存在一定难度。根据“谁主张，谁举证”的民事诉讼证据规则，认为自身权益受到侵害的金融消费者负有举证义务，但是，一般情况下金融消费者是难以自力确定信息泄露源头的，这也使互联网金融纠纷举证以及侵权认定变得更为复杂，有的侵权案件因为涉及多方侵权责任主体，经常会发生各方责任主体相互推卸法律责任、逃避法律制裁的情况，在缺少能够对各方责任主体进行责任划分的法律规范情况下，法律层面对于个人金融信息侵权的行政处罚存在依据不足、处罚标准不明确的问题。

三、国外对互联网金融消费者金融信息权保护的立法实践与启示

（一）英国立法实践

互联网金融最早起源于英国，当时主要体现为P2P网贷。互联网金融行业的快速发展也伴随着相关金融纠纷的增多，英国为了更好的对其进行行业监管，于2014年将P2P监管纳入金融监管局职责。英国在互联网金融消费者个人金融信息保护立法方面也较为领先，其《数据保护法》中通过对个人数据概念及内容的界定、个人数据收集和使用的规范、互联网金融消费者权利的赋予3个方面来保障个人数据的安全。同时设立英国信息专员办公室，与英国数字市场部、通信管理局和金融市场行为监管局等重要监管机构密切合作，将采集消费者个人信息纳入监管范围，对有效监管信息采集机构起到重要的作用。

（二）欧盟立法实践

欧盟对个人金融信息保护的法律非常具有特点，并且形成了体系，其中涵盖了对个人金融信息法律保护的各个过程，从信息采集到删除的各个环节都有法律进行严格规范。在收集个人金融信息方面，要求商家必须通过合法正当的途径进行获取，并且必须要在合理范围内采集信息。在保存个人金融信息方面，《隐私和电子通信指令》规定了商家应采取一系列的保护措施，在消费者个人金融信息出现风险问题时，必须要第一时间告知消费者，从而保障消费者个人信息安全。在应用个人金融信息方面，《个人数据保护指令》要求商家在应用其信息时要确保用途正规，且必须要及时告知对方，还应当告知其享有的权利，信息使用完毕必须立即予以删除处理。举证责任分配方面，《远程金融服务指令》规定，应当由服务提供方进行举证。

（三）美国立法实践

美国采用不同行业、不同领域各自立法的分散立法模式，对金融消费者个人信息保护确实具有较强的针对性，对隐私权的保护十分全面，当金融消费者的个人信息权益遭受到不法侵害时，有多重维权救济渠道可以对其权益进行保护。如，美国的《消费者互联网隐私保护加强法》详细规范了互联网金融经营者采集用户个人金融信息前应尽的义务，且赋予了个人金融信息被贩卖或应用至其他途径的知情权以及一定的选择权。又如，《公平信用报告法》明确了互联网金融机构对用户个人金融信息收集、使用限制，将部分信息列为敏感信息，限制第三方机构收集，并规定收集前必须征得当事人同意。美国最典型的维权措施当属集团诉讼程序，即由多位小额消费者共同发起的集体诉讼程序。这种诉讼方式有助于帮助消费者跨越互联网地域性限制，打破金融消费者维护自身合法权益的空间壁垒。

（四）国外立法实践对我国的启示

完善对互联网金融消费者个人信息保护领域的立法，需要全盘考虑到本国的国情。国外在金融消费者个人信息权保护立法实践领域有着自己独特的立法模式，其中有很多立法思路和框架值得参考借鉴。其中，美国分行业制定法律对于跨域性极强的互联网金融领域来说，很容易造成不同行业法律之间的法律适用冲突，形成监管机构互相推诿的情况。欧盟虽然采用统一立法模式解决了跨区域监管难的问题，但是互联网金融领域发展速度过快，统一立法很难从节奏上紧跟其发展速度，立法保护实践中容易存在明显的法律滞后性。因此，应结合我国实际，在借鉴国外立法实践经验的基础上，探索形成一套适合我国国情的立法体系。

四、互联网金融消费者个人信息权法律保护相关建议

（一）完善立法体系

我国互联网金融消费者金融信息安全保护处于探索阶段，相关的法律、法规和制度可操作性不高、概念不够具体、制度不够系统等问题无法忽视，在互联网金融领域发展速度不可逆的今天，建立一套统一、完善、可操作性强的立法体系已是大势所趋。首先应以2021年11月1日起施行的《个人信息保护法》为基础，结合我国国情及当前大数据、互联网、云存储技术的发展现状，制定一部《金融消费者金融信息保护法》，以此为将来制定更加具有针对性的下位法或相关制度规范提供指导。各立法部门需要加强基层调研，不断细化、分解、解决个人信息权保护工作中的重点和难点，形成一部具有稳定性的互联网金融领域专门立法，并不断地更新和调整低层次的法律规范，最终形成基本法为基础，部门法为辅，互联网金融领域专门立法为重点的系统化、立体化法律体系。

（二）明确立法内容

《个人信息保护法》的施行对于加快互联网个人金融信息立法进程方面有着重要的借鉴意义，同时也为其他领域对于个人信息保护工作提供了基础的法律制度保障，但在当前互联网技术领域不断更新发展、互联网金融消费者信息权概念存在争议的两大背景下，《个人信息保护法》不太适合直接对不断快速融合新事物、开拓新应用场景的互联网金融领域进行保护，只有以各部门单元为辅制定互联网金融领域专门立法并不断更新才能解决法律的滞后性问题，而互联网金融领域专门立法中至少应明确以下几方面内容：一是需要明确金融消费者金融信息权的义务主体，由于互联网金融在义务主体的认定上更为广泛，存在与消费者之间没有合同关系但是却处于交易环节中的隐藏主体，对消费者个人金融信息安全存在潜在的威胁，因此需要明确义务主体，避免该情况侵权行为的发生。二是明确互联网金融经营者的法律地位、从业资格及经营范围等内容。三是明确互联网金融消费者金融信息的定义、内容和范围，规范互联网金融经营者个人信息收集和使用规则。四是明确互联网金融消费者金融信息侵权违法犯罪行为的法律责任和处罚办法。

（三）健全法律监管体系

目前，人民银行与银保监会均设有金融消费者保护部门，但双方的规章制度、监管职责以及监管范围有所不同，容易出现监管重叠和监管空白的情况，且互联网金融交易有着跨区域的特点，对其进行监管时也要充分考虑各地的监管规范，因此有必要形成一套完整的互联网金融消费者金融信息保护法律监管体系。一方面可以明确一个专门的监管部门，并赋予其法律地位和法定职权，将所有互联网金融机构和涉及到互联网金融消费者金融信息的经营者进行统一监管。另一方面要做到有法可依，相应的监管职责细化和监管条例制定是必要的，对受理消费者投诉进行纠纷解决、对互联网金融经营者进行监督检查、对互联网经营者内部职工的教育培训这三点也应该纳入监管职责中，这是完善法律监管体系的基础，更能为互联网金融消费者金融信息权保驾护航。