杨 禧 廖水凤 陈晓莉 广东金融学院

个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、财产信息、借贷信息等方面的扩展与细化，是个人隐私的重要内容，也是金融机构在提供金融产品和服务过程中积累的重要基础数据（《个人金融信息保护技术规范》，2020）。日益频发的个人金融信息泄露事件，助长了各方对个人金融信息保护的需求。从金融消费者等信息主体角度来看，个人金融信息一旦泄露或被不当使用，其生命健康、人格尊严或经济利益等极易遭受损害（谢琳、王漩，2020）。从金融机构和以第三方支付平台公司为代表的非持牌金融机构等信息处理方角度来看，随着国家日益重视个人信息权益的保护、关于个人信息保护法律法规的相继出台，金融机构等信息处理方在信息泄露事件中面临的民事赔偿风险将愈发增加，且足以威胁到机构的正常运营。而与之相矛盾的是，个人金融信息的适度共享、披露又是金融市场克服信息不对称的重要手段（邢会强，2021）。因此，顺应大数据时代的趋势，在个人金融信息保护与利用方面寻求达成个人消费者权益与金融机构权益之间的均衡，应对两者冲突带来的责任风险的方式，已成为一个亟待解决的问题。就目前情况来看，借鉴国内外金融机构的做法，由金融机构等信息处理方主动投保个人金融信息泄露责任保险，不失为处理客户金融信息时有效均衡信息保护与利用之间冲突的方法，值得国内业界对其发展给予更多的重视。

一、个人金融信息保护需求

（一）法律法规角度

自2021年11月1日起施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中关于个人信息保护职责的明确，以及自2021 年1 月已经开始实施的《中华人民共和国民法典》（以下简称《民法典》）中对信息处理者民事责任的规范，一方面体现出对金融消费者的权益保护，另一方面也对金融机构个人信息保护管理能力提出新要求。除法律之外，近些年我国还出台了一系列政策规定，如《银行业金融机构数据治理指引》（中国银行保险监督管理委员会，2018年）、《个人金融信息保护技术规范》（中国人民银行，2020年2月，以下简称《规范》）、《中国人民银行金融消费者权益保护实施办法》（中国人民银行，2020 年9 月，以下简称《实施办法》）等大量规范性文件都提及了个人金融信息保护。此外，在个人金融信息的收集过程中，大量金融机构参与了对于数据的使用与处理。为此，2021年6月10日通过的《中华人民共和国数据安全法》（以下简称《数据安全法》）在第一章总则中明确，该法旨在通过规范数据处理活动等，确保个人及组织合法权益的实现。这些法律法规在规范相关金融机构和非持牌金融机构的合法合规运行、强化其对客户个人金融信息的保护意识方面，提供了新的发展思路，这也意味着个人金融信息保护需求的日益增加。

（二）金融消费者角度

金融机构在为客户办理业务或提供服务的过程中，会不可避免地收集大量个人隐私信息，由于存储不当或信息系统遭受攻击等诸多因素，金融行业成为泄露个人信息的“重灾区”之一，损害了金融消费者的权益。个人金融信息泄露事件通常具体表现为以短信、电话等形式对当事人进行骚扰，泄露内容往往包括但不限于金融消费者的真实姓名、家庭住址、收入状况、近期资金需求等，隐私信息的高度透明化让人不寒而栗的同时，也给金融消费者带来精神上的困扰。通常来说，个人金融信息会包含身份证、财产、账户、交易等方面的重要信息，这些隐私信息若被泄露，可能对金融消费者造成财产上的重大损失。除此之外，更有不法分子通过违规交易个人信息的平台（如社交群聊、网站等），将其非法收集而来的个人隐私信息明码标价，造成进一步泄露。若不法分子以获得的金融消费者个人信息实施违法犯罪活动，将其所实施的犯罪事由均归咎于毫不知情的金融消费者，也会造成对金融消费者个人名誉的损害。由此可见，从信息主体的角度出发，对个人金融信息的保护刻不容缓。

（三）金融机构角度

除了金融消费者的合法权益遭到侵犯，个人金融信息的泄露也会给金融机构带来一定的损害赔偿责任。目前，因未深刻意识到对金融消费者合法权益保护问题的重要性，已有部分金融机构受到相关监管部门的严厉处罚。2020年10月，中国人民银行甚至开出十分罕见的千万元级罚单，处罚对象涉及3 家国有大型银行的6 家分支机构，罚金超过4000 万元，所涉内容均为“侵犯金融消费者金融信息安全”（21 世纪经济报道，2021）。《民法典》第四编第六章有关隐私权和个人信息保护的内容，首次对个人信息保护进行了相对完整的法律规定，随着其正式实施贯彻，个人信息保护问题已提升至一个新的高度（任自力，2020）；《数据安全法》第六章“法律责任”中提出了对信息处理者的行政处罚办法，例如针对开展数据处理活动的组织，若违反数据安全保护义务，可处以5万元以上50 万元以下罚款，若情节严重的，罚款上限或将达到200万元。《个人信息保护法》则进一步将信息保护的责任落实到机构及其负责人，当发现个人信息活动存在较大风险或者发生个人信息安全事件时，监管部门会对个人信息处理方的法定代表人或者主要负责人进行约谈，或者直接罚款。不难发现，监管部门正一改以往对于金融机构少则几千元、多则几万元的处罚作风，持续加大其对泄露消费者金融信息的惩戒力度。日趋严格的惩戒机制使金融机构面临巨大的赔偿压力，影响其经营稳定性，由此也产生了转嫁此类民事赔偿责任风险的相关需求。

（四）非持牌金融机构角度

在以往，个人金融信息的来源渠道主要是央行征信中心和传统的金融机构，而现今，在金融科技及大数据快速发展的时代背景下，众多机构拥有了广泛收集个人金融信息的权限。由此，个人金融信息的泄露责任将不再仅归咎于金融机构的内部问题，其也可能来源于相关的非持牌金融机构。非持牌金融机构又被称为“类金融机构”，指小贷公司、融资租赁公司、互联网金融、第三方支付平台等企业。这类非持牌金融机构同样掌握了大量的客户个人金融信息，由于国家并没有制定专门针对非持牌金融机构的行业规范标准，后者违规使用收集到的个人信息的行为屡次发生（见表1），也会造成相应的损失赔偿责任（薛小飞，2021）。

▶表1 部分非持牌金融机构侵害用户个人金融信息行为情况（2021年）

因此，针对个人金融信息保护，相关非持牌金融机构也面临由于非法泄露个人金融信息而带来的经济损害赔偿责任，同时需规避由此带来的民事赔偿责任风险。

二、个人金融信息泄露责任保险发展现状

责任保险的规范依赖于法律法规的不断完善，这也是责任保险自身蓬勃发展的动力。商业责任保险具有的社会管理功能，不仅体现在事后可以有效地消除被保险人承担的经济损失风险，也体现在可充分保障受害人的合法权益，这不失为一种具有前瞻性、补偿性的金融信息泄露风险管理手段。面对各方日益增长的个人金融信息保护需求，由金融机构、非持牌金融机构等信息处理方主动投保的个人金融信息泄露责任保险，是其在处理客户金融信息时，均衡信息保护与利用之间冲突的有效应对手段。在成熟的集体诉讼机制下，以美国为代表的欧美国家的保险公司，推行以企业机构等信息处理方为被保险人的信息泄露责任保险，且发展逐步呈多样化，但国内市场尚未重视该险种在个人金融信息泄露事件中发挥的作用。

（一）国外个人金融信息泄露责任保险的发展

在美国，对于个人信息保护的立法，一般采取的是具有行业特征的监管制度和手段（周登宪、王志华、乔丽华，2014），例如最早期的《公平信用报告法》（FCRA），以及于2020 年1 月1 日正式生效的被称为美国“最严厉、最全面的个人隐私保护法案”——《加利福利亚消费者隐私法案》，其采用民事诉讼加政府诉讼双轨制来执行惩罚机制。近年来，以美国为代表的欧美国家信息业发展迅速，信息数据泄露事件频发，因而不乏企业因泄露用户信息而面临巨额赔款的案例。例如，2017 年9 月，美国征信巨头Equifax 在承认1.45 亿美国居民个人隐私信息泄露后，面临用户集体诉讼的约合4500亿美元赔偿，最终该公司同意拿出最高4.25亿美元用以赔偿受影响用户。2018年12月，万豪国际酒店旗下的喜达屋酒店（Starwood Hotel）因泄露约5 亿顾客的信息遭遇集体诉讼，索赔金额高达125亿美元。

所以，考虑到美国集体诉讼机制，当涉及众多消费者时，损害赔偿数字将十分巨大，而金融信息泄露事件具有广泛性的特征。面对严苛的处罚先例，美国等国家的企业和机构产生了转移因信息泄露带来经济赔偿责任风险的需求。因此，美国保险行业推出的针对信息泄露事件之民事赔偿责任风险的保险并不罕见，最著名的莫过于1999年，专门针对由于感染病毒、非法入侵等导致业务陷入瘫痪并给企业带来巨大经济损失的情形，由苏黎世北美保险公司推出的“E-Risk保险”。截至2018年，美国本土已有30 多家保险公司针对个人信息保护提供网络保险产品服务，旨在转移不同行业的企业因信息泄露事件带来的民事赔偿责任风险，规模与数量为全球国家与地区之最。

（二）国内个人金融信息泄露责任保险的发展

国内市场目前针对个人信息或个人金融信息泄露引发的民事赔偿责任的保险产品数量少，且保险责任范围覆盖不全。2017年6 月，中国人民财产保险股份有限公司与韩国三星火灾保险公司联合开发了个人信息泄露责任保险，该产品承保企业由于网络黑客攻击等原因，发生投保企业所管理的客户信息泄露事故而引发的相关赔偿责任，是中国市场首款承保个人信息泄露风险的保险产品，开创了行业之先。但是，该产品仅仅以附加险的形式出现，且没有专门针对个人金融信息这一特殊标的作出具体的理赔规范。

就个人金融信息保护方面，尽管国家相继出台了《数据安全法》《个人信息保护法》，但从目前的责任保障机制来看，法律法规都属于事后救济（罗顶，2019）。在信息时代，金融机构处理个人金融信息时，单单依靠法律法规的事后救济，还不能直接防范金融信息泄露事件发生的风险，也难以在金融信息泄露事件发生之前施加有效的管理与控制措施，例如必要的风险提示、人员监管等配套设施都有所缺乏，以至于金融机构、金融消费者在信息泄露事件中过于被动。

三、个人金融信息泄露责任保险发展困境

由于个人金融信息泄露事件本身的特殊性，以及金融机构等信息处理方的风险意识有限，国内针对个人金融信息泄露责任保险的发展面临困境。

（一）保险责任范围不全面

目前在国内外保险市场上，个人信息泄露责任险条款中的保险责任范围大多仅限于网络安全事件导致的个人信息泄露，而在实务当中，金融机构泄露客户个人金融信息的途径并不仅仅局限于网络安全事件。这表明了现有的相关产品保险责任覆盖范围不全面，难以与金融机构面临的实际风险进行有效匹配。例如，金融消费者在面临个人金融信息泄露时，往往会遭受精神困扰。随着个人维权意识的增强，金融机构等信息处理方可能面临更高的精神损害赔偿责任风险，而已有的个人信息泄露责任保险产品对此并未涉及。因此，对于我国个人金融信息泄露责任保险，其在险种创新和责任设计方面仍有很大的进步空间，若不能对此加以改进，个人金融信息泄露责任保险发展将受到一定的限制。

（二）金融信息泄露事件主体责任难以厘清

个人金融信息的收集会经过多个环节，涉及多个责任主体。在每个环节里，都有信息泄露、信息非法使用的风险存在，但难以界定是哪个环节出现问题。加之信息泄露事件本身的特殊性，保险人难以测定其可能的理赔范围，这无疑将对保险公司的财务造成巨大的潜在风险，影响保险利益共同体的安全。个人金融信息泄露事件在不同主体之间的责任厘清方面存在困难，给保险责任的明确带来了操作难度，一定程度上阻碍了该险种的发展。

（三）金融信息泄露事件事后举证难

根据中国互联网络信息中心发布的《2019年中国网民信息安全状况研究报告》，有88.2%的网民表示对于个人信息泄露“没有任何办法处理”，信息安全所引起的直接经济损失规模已接近200亿元。绝大多数金融消费者在此类信息泄露事件当中，即使选择维权，依民事诉讼法“谁主张，谁举证”的原则，也会被要求进行举证。然而，事后的举证需要大量的证据收集工作，由于技术的不对等、主体权责的不对等，当金融消费者的个人信息权受到侵犯时，证据收集工作往往难以进行。因此，个人由于无法或难以自行承担举证责任，便选择不了了之。在这种情况下，个人对自身金融信息的保护意识会逐渐随着此类事件的屡次发生而减弱，对于客户金融信息泄露难辞其咎的信息处理方——金融机构，便一次次地逃脱其应承担的相关赔偿责任。

（四）信息处理方责任意识不强

我国因金融消费者个人信息泄露而引发的财产安全事件屡见不鲜，其中不乏金融机构内部人员通过买卖客户银行卡信息、账户信息、征信信息等实施电信诈骗的案件，导致金融消费者遭受经济损失。这表明了银行等金融机构在保护客户个人隐私信息方面的意识薄弱，甚至存在着制度漏洞，在制度的贯彻和落实上仍存在短板，过度采集客户信息、通过不正当手段与第三方共享客户信息等监管交叉或监管真空的情况难以规避。另外，信息处理方在对金融消费者的个人信息数据存储和使用上，也存在着大量不规范行为，例如，服务结束后未及时删除数据、将业务终止的客户资料直接当废纸作丢弃处理等。这些行为均表明信息处理方的责任意识不强，不仅加大了个人金融信息泄露的风险，同时也限制了个人金融信息泄露责任保险的发展。

四、个人金融信息泄露责任保险发展建议

（一）扩大个人金融信息泄露责任保险的责任范围

责任保险产生和发展的基础是健全的法律制度。关于个人信息泄露责任险保险责任和相关损失赔偿的设计，应具有一定的时代性、先进性。保险公司在构思个人金融信息泄露责任保险的保险责任范围时，应基于《民法典》中对信息处理方民事责任的规范之法律精神，以及将《个人信息保护法》《数据安全法》《实施办法》中关于个人信息泄露问题的相关规定作为法律依据，降低该类产品的推行难度（张彤，2020）。例如将保险责任尽可能覆盖金融机构面临的个人金融信息泄露责任风险，同时根据个人金融信息泄露事件具有广泛性的特征，适当调整除外责任的范围，以降低保险人的承保风险，具体措施如下：

1.适当扩大保险责任的范围

保险责任应从金融机构及其产品或服务消费者的利益出发，着眼于覆盖个人消费者金融信息泄露的责任风险。其中，该风险包括因网络安全事件、被保险人雇员不忠诚行为所致的第三者（金融产品或服务消费者）个人金融数据泄露风险，以及被保险人在法律上应负的民事损害赔偿责任。所以，首要的保险责任，应为由于发生个人金融信息泄露造成“第三者”（客户）在保险期间首次向被保险人提出损害赔偿请求、依法应由被保险人承担的经济赔偿责任。

此外，因信息泄露事件具有相当的社会影响性与持续性，往往会对金融机构的形象产生较大的不利影响，不妨将金融机构在发生泄露第三者（客户）个人金融信息事件后为恢复或防止毁坏自身机构形象所产生的在责任限额内的损失和费用列为保险责任，例如：通过新闻或电视等大众媒体说明事故发生状况、对应方式或表示歉意所需的公关费用；为预防事故再次发生而产生的系统升级费用、专家咨询费用；被保险人为恢复企业形象支付给信息主体的费用等。这样更能满足金融机构转嫁风险的需求。

2.限制可保的金融信息泄露途径

为了切合市场需求，在考量个人金融信息泄露责任保险的保险责任时，应该同时关注金融机构客户信息泄露的两种可能：一是金融机构自身的计算机系统遭遇网络安全事件，二是金融机构高级管理人员或雇员的不忠诚行为。该类复合型的个人金融信息泄露责任保险可以弥补以金融机构内部人员利用职务便利泄露客户个人金融信息为保障范围的保险市场空白，将会有较好的市场前景。同时，为了降低保险公司承保风险，应将个人金融信息泄露的途径限于两种情形：（1）因网络安全事件造成的个人金融信息泄露；（2）被保险人的高级管理人员或雇员在处理业务时利用职务便利单独或与他人共同实施不忠诚行为造成的第三者（客户）个人金融信息泄露事件。以上两种情形依法均应由被保险人承担经济赔偿责任。

3.将精神损害赔偿列为保险责任

消费者个人信息泄露事件大多数会造成相关人员精神上受到困扰和损害。然而，由于精神损害的界定难以商榷，大多数保险产品将精神损害置于除外责任范畴，这导致金融产品或服务的消费者权益不能得到充分保障。基于《民法典》侵权责任编对精神损害赔偿责任的完善，将“因发生第三者（客户）个人金融信息泄露造成其严重精神损害，依法应由被保险人承担的损害赔偿责任”列为保险责任，无疑为金融消费者注入了强心剂，有利于金融机构产品或服务的优化。

（二）建立统一的个人金融信息界定标准

由于个人信息泄露责任保险发展的滞后性，以及专门针对个人金融信息泄露的责任保险的创新性，保险业内尚未建立该险种中对于“个人金融信息”界定的统一标准，更多依赖于其他法律法规对个人金融信息的释义，这将十分不利于该险种的规范与监督。而个人金融信息的界定关乎保险标的的明确，是个人金融信息泄露责任保险设计的关键（顾雷，2020）。所以，从长远来看，保险业内针对个人信息泄露责任保险建立统一的个人信息范围界定标准，是必要之举。这不仅有助于有关部门对该类保险产品监督管理工作的开展，也有利于该险种的持续健康发展。

由于个人金融信息具有广泛性的特点，保险公司不妨直接引用某一条例的释义。例如，可以参考2020年2月13日中国人民银行正式发布的《规范》，其将个人金融信息按敏感程度从高到低分为C3、C2、C1的三个类别（宁宣凤等，2020），可以此为参考，作为个人金融信息泄露责任保险中对个人金融信息的释义。

（三）建立事后举证责任倒置机制

由于社会公众有关金融信息的安全意识较为薄弱，缺乏警惕性，加之地位的不对等，大多数金融消费者在个人信息权受到侵犯时往往由于举证困难而无法有效保护自己的权益。因此，为保持平衡，在相关信息泄露事件的诉讼中，不妨将举证责任倒置，要求信息处理方，即金融机构主张不存在侵权事实（蔡大顺，2019）。

在这种情况下，由于举证责任倒置机制在国内外金融信息泄露诉讼事件中缺乏相关先例作为参考，拥有相关资源的保险公司不妨尝试与不同类型金融机构进行试点合作。通过承保个人金融信息泄露责任保险，保险公司在事后主导或协助金融机构（被保险人）开展事后的举证工作。此举一方面可以有效地降低金融机构（被保险人）因金融信息泄露而导致的经济损失；另一方面，保险公司也能在举证工作中不断积累实践经验，用于个人金融信息泄露责任保险产品的服务，形成良性循环。

（四）探索专门针对非持牌金融机构的个人金融信息泄露责任保险

与主流的理解不同的是，在《规范》中，关于金融机构的定义，除了专指由国家金融管理部门监督管理的持牌金融机构，另一类是涉及个人金融信息处理的相关机构，即为持牌金融机构业务提供基础支持服务而需要处理个人金融信息的企业，例如电信服务商等（谢秀红等，2016）。除此之外，近年来，我国部分互联网科技公司也纷纷加入了金融业，为金融行业提供广泛的金融服务，盼望分得一杯羹。然而，我国目前尚未出台一部直接适用于所谓“非持牌金融机构”的法律，以及权威的相关信用评级，这使得保险公司承保非持牌金融机构的个人信息泄露责任保险时，难于估量产品成本，面临更大的赔付风险。

面对日益增加的“非持牌金融机构”，保险公司应积极将挑战转化为机遇，在探索个人金融信息泄露责任保险等产品时，不妨先从业务较为单一的机构入手。如面对为金融机构提供身份验证服务的电信服务商，出于业务需要，能接触到大量金融消费者的个人电话、账户余额等信息，同样面临金融信息泄露的民事赔偿责任风险。保险公司可根据实际业务需求，为该类电信服务商制定合适的费率，提供具有定制化条款的个人金融信息泄露责任保险。待承保、理赔、事后反馈等流程和机制成熟后，保险公司再向从事复合业务的非持牌金融机构领域进一步探索。