王 辉

（新疆财经大学金融学院，乌鲁木齐830012）

大数据技术的出现，使得互联网与信息化更有效的结合。截止到2020年底，我国互联网用户已有8.9亿，数据不论从种类还是规模上，都有了爆发式的增长。公民隐私权的客体范围也扩大到公民的健康数据、输入法记录、网上购物记录、搜索引擎记录及个人行程记录等网络信息，隐私逐渐产生出可以量化的巨大的商业价值。由于金融消费者和金融机构在地位和权责上的差异性，导致金融隐私极易受到侵犯，且举证和追责较为困难。因此，完善金融隐私权保护体系的重要性不言而喻。

一、金融隐私权的界定与我国金融隐私泄露乱象

（一）金融隐私权的界定

我国对金融隐私权并没有一个公认的定义。郑启福（2012）认为，金融隐私权是指金融消费者所享有的金融账户信息、交易信息依法受到保护，不受侵犯、干涉的权利，主要包括保密权、使用权、知情权和维护权。[1]潘建珊（2007）认为，金融隐私权是个人对于本人金融资料所享有的隐私权利，是一种特殊的个人资料权，指的是个人控制收集、揭露和使用关于其本人金融交易或事务的权利。[2]王宝刚、张立先（2013）认为，金融隐私权的概念是隐私权不断扩展的结果。金融隐私权是指自然人控制并排除他人干涉其本人在金融市场中产生的个人金融信息的能力，具有人格权和财产权双重属性。主要包括社会保障号码、住址、从事行业等。[3]综上所述，金融隐私权可以认为是金融消费者对其个人的各种金融信息具有自由支配和控制的权利，任何人都不得干涉金融消费者个人的这项权利。

（二）我国金融隐私泄露乱象

分析《2020中国个人信息安全和隐私保护报告》可以看出：将近70%的受访者都认为信息泄露情况严重，36%的人表示曾接到过诈骗或销售电话，确定个人信息遭到泄露、贩卖的调研者达到18%。而在被问到如何应对信息泄露行为时，仅有两成受访者选择了积极的应对措施。

2016年湖南犯罪嫌疑人联合某银行前行长、保安，非法盗窃257万条银行个人信息，个人征信报告120余万份。这些信息的泄露，给银行客户带了诸多不便，甚至还骚扰到了客户家人。2020年5月6日，脱口秀演员王越池公开指责中信银行在未获得自身允许的情况下向笑果文化公司提供其个人账户流水。根据《2020年数据金融APP安全观测报告》可看出，我国金融类APP存在诸多问题，超9成金融类APP存在不同程度的安全漏洞，有问题的APP占测评APP总数的90.12%，且高、中、低各等级安全漏洞占比均有明显增长。证券、外汇、保险、银行及股票类的APP存在高危漏洞的比例高达90%以上。随着科学技术的发展，违法获取金融隐私的现象屡禁不止，国内的法律法规也未能及时有效的提供保护，法律没有对金融从业人员和金融机构形成足够的威慑力，对犯罪人员的处罚也不足以让他们刻骨铭心。

二、金融隐私权保护制度的比较分析

（一）国外金融隐私权制度保护体系

1.英国率先对金融隐私权进行保护。1924年英国的“图尔尼尔”案首次实现了对金融隐私权的保护。英国法院最终认定保密是合同中隐含的条款，被告银行侵犯了原告的金融隐私权，应承担相应责任。此后，经过多年发展，英国对金融隐私权的保护更进一步，于1998年制定了《数据保护法》，并于2017年8月7日发布了一份《新的数据保护法案：我们的改革》的报告，旨在更新和加强对个人数据的保护。

2.美国专门立法保护。美国是最早研究和应用大数据技术的国家，大数据技术在美国金融领域的广泛应用，虽然推动了金融业的发展，但也增加了金融隐私权泄露风险，为了保护金融隐私，美国于1996年通过《消费者信用报告法》，2003年颁布了《公平准确信用交易法》，此后因1970年颁布的《银行保密法》屡遭侵犯金融隐私权而受到谴责，1976年的“米勒”案更是震惊全美，于是美国在1978年通过了《金融隐私权法》，旨在对金融隐私进行更有效的保护。1999年，美国银行被爆出盗卖客户资料，美国国会更加坚定地通过了《金融服务现代化法》，其中明确规定了金融机构有义务为客户的隐私权进行保护。2000年11月更是联合众多机构共同签订了《消费者隐私保护最终规则》，规定所有金融机构务必向客户提供金融隐私保密政策。2010年又发布了《多德弗兰克法案》，增设专门的消费者金融保护局。至此，美国对金融隐私权的保护基本形成了完善的体系。

除英国、美国外，几乎所有金融行业发达的国家或地区如欧盟、瑞士和我国香港地区等均制定了专门的保护金融隐私的法律法规。

（二）国内金融隐私权制度保护体系

在法律条文方面，《中华人民共和国宪法》第38、39、40条明确规定了对隐私权的保护;《侵权责任法》第2条的民事权益的范围明确包含隐私权;《消费者权益保护法》第29条和第50条、《民法总则》第111条、《网络安全法》第41条以及《关于加强网络信息保护的决定》第1条都有对个人信息采集、使用等行为的规范。《全国人民代表大会常务委员会关于加强网络信息保护的决定》《国务院办公厅关于加强金融消费者权益保护工作的指导意见》等法律法规也在加强对金融隐私权的保护。

在部门规章方面，我国也出台了《商业银行信用卡业务监督管理办法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《个人信用信息基础数据库管理暂行办法》《电子银行业务管理办法》《电信和互联网用户个人信息保护规定》以及《关于加强网络信息保护的决定》《电信与互联网用户个人信息保护规定》等。

从上述法律法规既可以看出我国在推动金融隐私保护的努力，也可以看出我国目前并没有对金融隐私权形成足够的保护，法规缺乏整体性和相关性，执行上存在弹性，使得我国金融隐私权的保护难以起到十分有效的作用。

三、金融隐私权保护的必要性

（一）金融隐私面临来自互联网的外生性风险

在大数据时代，金融消费者如果想要消费金融产品，就势必会与互联网产生交集，这一点也体现了大数据时代鲜明的网络化和复杂化的特点，大量的个人金融信息需要由金融消费者自身去提交给金融机构或第三方中介机构，而这些信息在产生、收集和使用的过程中就存在着风险。无论是虚假APP骗取用户资金或是机构服务器受到攻击，这些情况都是司空见惯，由于网络技术的日新月异，而防御系统的更新却需要很长的周期，导致技术漏洞被攻击的案件屡见不鲜。公司为了保护自身利益会雇佣白客，但来自世界各地的黑客让保护金融隐私的难度直线上升。这种技术性风险事先难以预防，而且由于法律稳定性和滞后性，法律也很难对这些风险造成的损失作出及时有效的反应。不同于现实生活，在网络世界确定侵权行为人是十分困难的事，在侵权行为发生后，很难通过法律手段对侵权行为人进行追责，要求其承担刑事或民事责任，即使能够确定，被侵权人正当权益的保护也会受到时效性的影响。

（二）金融消费者金融隐私面临的内生性风险

内生性风险存在于金融机构以及第三方机构在对金融消费者金融信息的分析利用过程中。隐私权和信息权具有绝对私人性和相对公共性。从隐私权和信息权的绝对私人性方面来说，金融机构对金融消费者的金融隐私应当严格遵循保密义务。但是在大数据时代，拥有更多的数据和信息就相当于掌握主动，数据就是财富。在金融市场上，信息的不对称优势使得金融机构对信息具有强烈的占有欲，以人身保险为例，如果保险公司了解到了客户的身体健康数据，对于某些险种进行拒保或收取高额的保费，这对保险公司来说绝对有益，却损害了保险消费者的利益；又如金融机构或第三方中介机构等过度收集金融隐私信息，通过售卖、互换等方式为自己获取利益。这种数据带来的利益会让金融机构难以拒绝，对于数据的占有欲望无疑是悬在金融消费者头顶的达摩克利斯之剑。

（三）金融隐私数据存在被二次利用的风险

在大数据的时代背景下，金融机构从金融消费者处获得个人信息后，由于金融隐私的精准性和高价值性，金融机构对这些信息的使用不会仅仅是确认消费者身份、保护消费者权益，消费者的金融隐私还存在被二次利用的风险，金融机构通过对数据的综合分析来设计更为高效的商业运营模式，更为合理地调整自身资源配置，或者创新盈利渠道等，从商业角度来说金融机构这么做无可厚非，但这些对数据的应用行为并没有得到金融消费者的许可。金融消费者在行使保护金融隐私的权利时困难重重，不论是在实体金融机构或是金融机构APP进行业务操作时，面对纸质合同或是电子化格式合同，金融消费者并没有多少的选择去保护自己的隐私，如果想享受服务，只能将个人信息详尽地登记于经营者的信息库中，消费者对于自己的金融隐私数据的保护能力几乎不存在，只能被动地接受最终的法律结果。而且，我国金融消费者对于金融合同和相关的金融法律法规的了解还是相对较少，如果想要完全了解金融机构所有数据的利用条款的真实意思，对于金融消费者而言不仅极为消耗精力，同时维权成本也会提高。因此，用户的金融隐私信息在二次使用过程中很容易失控。

金融消费者金融隐私权还存在保护不周延的问题，即消费者隐私数据多源融合问题。金融隐私数据总体可分为元数据和主数据，元数据是对数据的属性描述，是一种电子目录式的数据，其本身不具有实质内容，对其进行针对性保护较为困难。更为关键的一点是，相对于主数据，元数据的收集难度相对很低，但它在实用性方面的价值非常高。将元数据与金融消费者的主数据进行多源融合之后，很容易完整还原消费者的个人信息，这样一来，大大增加了消费者的金融隐私泄露的风险性。当前，对于元数据的保护几乎处在真空状态，这个漏洞对金融隐私的保护造成了极大的风险。

四、完善金融隐私权保护的建议

（一）加快完善金融隐私保护法律体系

从前文对国内金融隐私权制度保护体系的描述可以看出，我国对于保护金融隐私权的法律条文没有形成体系，法律条款的解读不够清晰，缺乏一致性和协调性，仍有较大的完善空间，导致金融消费者在权益受损时维权困难。因此需加快推动《个人信息保护法》《数据安全法》的制定，明确金融隐私权的重要法律地位，在法律层面予以重视，提供坚实的法律基础和行为依据。

通过立法形式，明确金融消费者和金融隐私权的定义，对于个人金融信息的所属方和使用方进行清晰的权责界定，为我国实施个人金融信息的保护制度提供重要的法律前提。明确金融机构、金融中介等金融信息使用者对金融隐私的保护义务，同时建议以法律形式规定金融机构不得过度收集个人信息，不得以任何形式强迫金融消费者提供金融隐私信息，并推广集体诉讼制度，拓宽维权渠道。借鉴国际上的先进模式，对金融机构和第三方机构等个人金融信息的收集者和使用者进行层级划分，对不同类别和层级采取针对性地金融信息监管和保护的要求，对特定风险的个人信息的处理进行严格的审查，确保创建一个安全的金融信息使用环境。同时建立个人信息泄露预警机制和处理机制，包括发布个人信息泄露的通知，及时追查信息泄露的源头，冻结信息传输的渠道等机制，最大限度地减少信息主体因个人信息泄露造成的损失。

除此之外，从法律层面明确违背金融信息所有人意图的获取、持有、买卖等行为的责任追究，在举证方面，实行有利于群众的举证原则，降低金融消费者的金融隐私举证成本和难度，并加大对违法人员或机构的处罚力度，可通过巨额罚款或重判等措施增加违法成本，形成有力威慑，维护法律的尊严。

（二）加强金融机构保密制度建设，塑造良好行业环境

行业协会应督促金融机构建立完备的金融隐私保护制度，制定完备的金融消费者的信息安全管理办法，加强风险内控。金融信息存在于金融机构业务流程的各个环节当中，但金融机构对于金融信息的管理却非常的笼统，无法保证金融信息收集、管理和使用等行为的合理性和规范性，金融隐私权的保护基本上只能依赖于法律法规对金融机构规定的信息保密义务。可借鉴国外成熟的保密体系，形成行业性的基本准则，除金融机构本身的合理使用和客户明确的同意外，不得随意泄露和滥用客户的任何其他金融信息，建立起完善的追责制度。同时，积极培养金融从业人员对客户隐私信息的保密意识，积极开展培训工作，提升从业人员对金融隐私权的认知。

（三）做好金融机构技术防护

随着金融行业的发展，机构本身的风险影响着社会的稳定，再加上科技的发展，金融机构全面迎来科技时代，实现无纸化办公，金融机构的网络安全问题越来越引发人们的关注。本文第一部分提到过，我国金融APP有90%都存在着漏洞，这说明金融机构对系统的安全防护不够重视。因此为了保护金融隐私不被窃取，金融机构要定期对电子系统进行检测和升级，时刻防范技术漏洞，提高系统的安全性。对信息泄露的风险在事前做好防范，对信息泄露的事故及时作出反应，尽可能减少损失，对信息泄露的损失做好补偿和救济，深刻反思错误。