张杜娟

一、金融消费者个人信息权概述

（一）金融消费者的概念

构建金融消费者信息保护法律体系，首先要对金融消费者这个权利主体进行概念界定。金融消费者的概念在国外已被法律所确认，但是在我国还未成为一个独立的法律术语，仅在银行法、保险法、证券法等有相关笼统规定。因此我们可转从文义角度着手，从消费者这个名词的含义衍生出何为金融消费者。由《中华人民共和国消费者权益保护法》可知，消费者主要是指为了生存需要进行消费，从而购买、使用或者接受服务的民事主体。

在此基础上，我们可从三个层面延伸出金融消费者的概念。其一，金融消费者购买商品是否应满足为了生活消费需要。为生活消费而购买商品的才能称之为金融消费者，为投资购买商品的只能称为投资者。其二，金融消费者是否应具有一定专业化知识。对于金融消费者不应该有过多的要求，即要求其具有专业人员才具有的知识。因为我们之所以要加大对金融消费者的保护力度主要是因为其一直居于弱势地位，与金融机构的力量相比较为悬殊，但当金融消费者具有金融专业知识时，其与金融机构的地位就发生了根本性的变化，不应对其倾斜保护了[1]。其三，金融消费者的主体范围特定，只能是自然人。金融消费者必须固定为自然人，其他任何组织都不应包括在内。因为法人、非法人组织的专业水平、财力资源一般比较丰厚，并不处于弱势地位。

基于以上分析，笔者认为金融消费者是为了购买或接受金融服务而进行生活消费的自然人。这类人员与专业人员相比并不具有相应的金融专业知识，也没有抵抗金融市场风险的能力，对其保护应当符合倾斜保护原理。

（二）个人金融信息的概念和特征

《中华人民共和国个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别的自然人有关的所有信息。《中国人民银行金融消费者权益保护实施办法》第二十八条明确指出，金融信息也是消费者信息的一种，这类信息是金融机构通过进行金融业务而获得的消费者的信息，其中包含了个人身份、财务以及金融交易等信息。

基于以上，我们可将个人金融信息分为三类，即个人身份、个人财产以及伴生预测性信息。

1.个人身份信息

个人身份信息包括个人的名字、家庭住址、年龄、联系方式以及其他可以识别出特定身份的信息。这些信息往往可以单独或与其他信息结合即能识别到某个具体的人，具有一定的可识别性。

2.个人财产信息

个人财产信息具体是指可以完整地展现出金融消费者财产情况的信息，如银行卡账户信息、信用交易情况、金融产品购买状况等。对金融消费者的个人财产信息有一个全面的了解，即可帮助了解其个人财务状况、不动产和特殊动产拥有情况。

3.伴生预测性信息

伴生预测性信息是指金融机构对金融消费者在金融交易活动中产生的交易、财产信息二次加工处理后形成的预测其消费活动的信息。金融机构通过对个人投资能力、风险偏好的分析，能够更好地预测消费者之后的行为，掌握其投资偏好，推荐金融产品，同时金融机构也可以更好地调整其金融行为。个人金融信息具有如下特征：

第一，多元性与复杂性。个人金融信息的范围极其广泛，不仅包含了个人基本以及个人伴生信息，而且还将个人预测信息包括在内，这从另一个方面展现出个人金融信息的复杂与多元，因此相关法律制度也较为复杂。

第二，敏感性、精准性与高价值。个人财务信息极其敏感，如果没有经过正当程序披露出来，那么最后造成的危害结果可能就比较严重。通过个人金融信息中的个人身份信息可以直接定位到某个人，体现了其准确性[2]。此外，个人的财务信息直接与金钱密切相关，故而该信息具有的重要价值也就不言而喻。

（三）个人信息权的概念

金融消费者的个人信息权具体是指特定的主体即金融消费者，在进行金融消费或接受金融服务时，可以自由地支配其享有的个人信息。它是一种对世权，所有金融机构或非金融机构都不得擅自使用、盗取这类主体的个人信息。

这一权利同时有两种属性，即人身属性和财产属性。一方面，金融消费者个人信息权具有人身属性。因为个人金融信息中包括的个人姓名、家庭住址、年龄、联系方式等往往可以单独或结合识别到某个具体的人。个人预测伴生性信息里的金融消费者消费偏好、习惯等信息一旦被泄露，往往会侵害金融消费者的个人隐私，使得金融消费者人格尊严受侵害。另一方面，金融消费者个人信息权还拥有较高的财产价值。金融机构能够根据个人信息分析消费者的消费偏好、进行投资预测并进行金融产品的推荐、定向推荐金融服务、实现金融决策最优化。关于个人信息权的内容，《中华人民共和国个人信息保护法》第四章具体规定了知情权、决定权、查阅复制权、个人信息可携带权、更正补充权、删除权、规则解释权七项权利。

二、个人金融信息保护的困境

（一）个人金融信息立法不足

我国近些年来才开始注重保护金融隐私，故而有关法律出台的时间也比较晚，有关规定还不健全，立法文件分散，立法层级低，未形成统一法律体系，且内容缺乏针对性，实施性不强。

当前我国出台的《中华人民共和国民法典》虽然涉及了个人信息的保护，然而这种规定较为原则化。该法在第一百一十一条指出，法律保护自然人的个人信息权。该条并没有说明个人金融信息也该受保护，且没有将个人信息当做一项权利；第九百九十九条明确提出，如果是出于公共利益的目的而进行新闻报道或者是进行舆论监督的，那么必须在合理的限度内使用个人信息，如果超过该限度需要被追究法律责任；第一千零三十四条明确指出，应该通过隐私权的方式来保护个人信息中的隐私信息，但隐私权中并没有具体规定个人信息的保护方式。此外，该法并没有将个人信息权与隐私权完全区分开来。尽管这两项权利存在一定的重合点，但并不是完全重合。个人信息包括个人机密信息和个人公开信息。个人机密信息可能与隐私权中的某些信息一致，但是其并不能完全与个人公开信息重合。

最新出台的《中华人民共和国个人信息保护法》总则部分规定了应当规范个人信息处理行为、保护个人信息，个人信息处理应当合法正当诚信，处理个人信息应当公开透明，任何组织、个人不得非法收集、利用个人信息，个人信息处理应当经过他人同意或者为了公共利益。此外，还规定了最小原则，即禁止过度收集个人信息，防止过度侵犯个人权益，适用比例原则。对于个人信息的定义、敏感个人信息、个人信息权利的具体内容也有规定。第二十八条规定了敏感个人信息的定义，认为敏感信息包含个人金融账户的信息，并规定对其进行严格保护。这无疑是个人信息立法上的一大进步，但其内容大部分规定的是个人信息，尚未对个人金融信息进行明确具体规定。

《刑法修正案（九）》在第十七条明确了侵害个人信息的有关罪名，即如果与国家相关规定相违背，将个人信息出售或提供给他人，情节严重的，可能会被判处三年以下有期徒刑、拘役，单处或并处罚金；情节特别严重的，判处三年以上七年以下有期徒刑，而且并处罚金。《中华人民共和国刑法》虽然明确了侵犯公民个人信息可能遭受的处罚，但该罪刑并不是专门适用于个人金融信息，且入罪门槛高，通常的侵犯金融消费者个人信息的案件无法适用。

《中国人民银行金融消费者权益保护实施办法》对何为消费者金融信息、银行的处理原则、金融消费者的义务、银行的义务等进行了明确，但并没有直接规定侵犯个人金融信息适用的类型、所要承担的法律责任、后果等。《中华人民共和国消费者权益保护法》虽然明确了消费者可以保护自己的个人信息，企业也应该保护好消费者的合法权益，但是对于侵犯个人金融信息的类型、法律责任和后果却没有作出具体规定。因此，金融消费者很难在诉讼中直接援引其中明确的法律规定进行救济。《金融消费者权益保护实施办法》《中华人民共和国中国人民银行法》等法律文件尽管也涉及市场的禁止性规定等，但这些规定较为笼统，实践可操作性较差，并且这些规定出台的目的也是为了能够让金融机构稳定运行，而不是最大程度地维护好金融消费者的合法权益。此外，央行等部门还出台了一些规章及规范性文件，但法律文件之间衔接不明，立法文件分散，缺乏上位法，无法形成统一法律体系，且原则性规定较多，具体规定较少，很难成为金融机构处罚的依据。其条款虽然有针对金融经营者，但并没有明确金融行业的金融者需要承担保护消费者信息安全的义务。

（二）传统司法监管模式不足以应对现状

以往的金融信息受侵害案件中，司法机关多采用民商法规则来解决纠纷。然而近些年来，金融科技的发展步伐进一步加快，市面上的金融产品也越来越多，传统的司法监管模式在司法实践中受到了挑战。

首先，由于金融交易专业性较强，并且金融产品的更新迭代速度快，这就需要法官在审理案件时掌握一定的金融专业知识和了解新兴金融产品。对很多没有经济学知识背景的法官来说，虽然可以在审理前咨询金融行业专家，但知识壁垒仍是一个难以逾越的挑战[3]。这就直接导致在司法层面难以对金融案件进行有效监管。

其次，我国保监会、证监会、银监会部门采取的是多方管理与多头立法的监管模式，故而各个监管机构之间没有形成一个统一行为模式。由于不同领域的金融监管部门收集信息的方式、处理方式差异较大，因此会采取不同的监督方式。这就导致实践中，金融消费者信息保护机构虽众多，但部门之间并没有一个明确的分工，监管职责不清晰，多个机构各自分立进行管理与监管，使得金融监管出现难题。

（三）救济机制单一化

在当今社会，如果金融消费者的合法权益如个人金融信息被侵害，他们通常有多种纠纷解决方案，比如申请民事仲裁、和解、调解、投诉等，但他们通常直接提起司法诉讼。这种解决方式并不符合现代社会提倡的多元化纠纷解决原则。直接诉讼固然有效，却加重了司法机关的负担，且个人诉讼成本高，可能会升级矛盾，不利于解决纠纷。

之所以出现这种现象，一是因为很多金融消费者对仲裁等新型解决纠纷方式不了解、不熟悉，不习惯使用这些纠纷解决手段，二是因为目前我国还没有构建起完善的金融调解机制。事实上，金融消费者遭受权益受侵害后，第一时间应当是寻求金融机构内部救济，这是最直接简便的方式，但我国并未建立起相应机制，使得金融消费者救济时出现困境。

三、个人金融信息保护路径

（一）加快个人金融信息立法保护

我国应当加快个人金融信息立法保护，构建起完善的个人金融信息保护法制度。

在具体内容细化上，首先，民法典没有将个人信息与隐私权区分，二者往往被混同。因此立法应注意区分个人信息与隐私权，区分一般信息和敏感信息，并针对司法实践中不同情况，对不同信息采取不同保护方式。其次，应当对《中华人民共和国个人信息保护法》进行具体细化。该法虽然对个人信息进行了具体规定，但并未对个人金融信息进行有效规制。应当进一步及时深入开展配套的精细化立法工作，增强法律条文的可操作性。再次，立法时应对网络提供者、金融机构、行政部门的法律责任进行具体规定。立法应平衡好各法律文件之间的关系，优先适用特别法。

在立法过程中，必须充分维护金融消费者的利益，立法必须以实践为基点，法律须表现出一定的执行力。同时，要平衡好各方主体的利益，寻找到利益的平衡点[4]。为了防止金融机构过分强调其监管职能的发挥而不履行本职工作，立法时应当在金融机构需要承担的义务和维护消费者合法权益间寻找到平衡点。此外，有些机构在一些特定的情况下会基于社会公共利益的目的收集相应的金融个人信息，故而立法时也该对此作出相应规定。

（二）完善个人金融信息监管模式

金融监管体系的变革必须符合社会的发展，与行业需求保持一致。不仅应该确保各个监管机构之间的独立性，在各自的职权范围内进行监管，对违法行为进行相应的处罚，还应该在不同的金融监管机构之间构建起相应的交流合作平台。因此金融机构应当制定监督管理规范，统一监督管理基准，业务规范，建立监督管理制度，完善财务制度，改善金融秩序，促进金融市场健康发展。

首先，必须建立金融司法和金融监管治理金融风险的协同机制。与民商法知识体系的司法监管模式相比，当代的金融监管模式之优势更明显。金融监管机构由于其专业性，往往能很好弥补司法监管模式的不足，更好应对金融纠纷。故而，在现今的金融社会中，有必要加强金融司法与金融监管模式的联动发展，强化司法机关与金融监管部门的交流合作。一方面，金融部门可以向司法机关进行金融知识的宣传教育，提高司法工作人员金融知识水平，从而有利于他们更好办案。另一方面，法院也可以同金融部门进行沟通合作，使金融机构工作人员及时掌握最新金融法规，一旦发现违法行为必须立即予以处罚。此外，在追究金融违法者违法责任问题时，不仅要追究有关人员的民事责任，而且还应该让行政处罚机关介入其中，让违法者承担行政责任，更有甚者应追究其刑事责任。这样不仅可以在最大程度上打击违法犯罪分子，而且还有利于维护社会的稳定与经济秩序的健康运行。

其次，应当更新金融监管理念。如今，在大数据技术飞速发展的时代，金融消费者的个人信息正面临着泄露的风险。随着互联网技术的成熟，金融行业也迅速掀起新变革，金融产品不断更新换代，金融机构的分工不断加强，金融机构为了行业的发展，收集和利用金融消费者的个人信息，消费者的个人利益受到侵犯，金融市场秩序遭到破坏。金融监管必须统筹规划，同时实现金融消费者信息保护和金融发展两个目标。如果说传统金融监管的理念是促进金融业稳定发展，现行金融监督管理的理念应以权利为本位，保护好金融消费者的个人信息。

再次，我国应成立专门的金融消费者保护组织，监督损害金融消费者利益的行为，规范金融机构的行为，监管和协调保险和证券业，同时加强中国银行保险监督管理委员会以及负责保护金融消费者的中国证券监督管理委员会之间的协调与合作，参与各个市场与行业之间的金融产品与服务提供，整合现有三家金融监管机构，保护消费者权益，建立全国独立统一的消费者保护金融体系，形成制度保护合力。

（三）建立多元化救济机制

首先，应当构建科学多元的纠纷解决机制。诉讼不应被当作首要唯一的纠纷解决手段，应开辟更多途径，缓解司法压力，减轻社会矛盾。因为诉讼所经历的程序多且复杂，也需要付出一定的人力财力，整个诉讼程序走完需要较长时间，不利于纠纷迅速解决，而其他手段如调解便可很快解决纠纷，能够在较短时间内缓和金融机构与金融消费者之间的矛盾，不会导致矛盾升级，有利于社会和谐稳定，且调解协议往往代表双方当事人意愿，后期方便执行。应当充分发挥银行业消费者保护协会的作用，鼓励金融业的自律组织、消费者协会等机构参与纠纷，这样可以更快更好地解决争议，避免矛盾进一步扩散升级，而且还有利于金融消费者对相应的金融机构有一个全面的了解。银行业消费者保护协会可以建立金融机构的信用评级制度，公开信用评估结果，并以此限制金融机构的行为。

其次，法院对于案情复杂、当事人人数众多的案件，要积极地鼓励与支持代表人诉讼与共同诉讼制度的运用，这样可以大大提升司法效率，并且有利于金融消费者维权。这是因为金融消费者个人信息案件涉及的金融消费者人数较多，如果适用普通诉讼，诉讼费用通常是一笔大开销，而且诉讼经历的时间较为漫长，消费者举证困难，故对消费者来说并不是最好手段。集体诉讼制度的适用可以集中诉讼成本，集中解决纠纷，节约了司法资源，防止司法机关因为案件众多而导致办案质量低。

再次，司法诉讼中还应该降低金融消费者的举证难度。一直以来金融案件中适用的都是谁主张谁举证的原则，然而在司法实践中，金融信息即使被泄露也很难察觉出来，金融机构也很难通过法律的方式维护自己的合法权益。金融消费者因为其信息劣势地位往往很难收集对自己有利的证据，金融机构及其工作人员可能会怠于提供，且金融信息具有虚拟性，难以收集，这些都导致金融消费者很难收集到相应的证据证明自己的主张，而且维权成本也较高[5]。因此在举证方面，有必要要求金融机构承担更多的举证责任，降低金融消费者的举证难度。我们可以循序渐进建立责任倒置规则，加强对弱势群体的保护，倾斜保护金融消费者。举证责任倒置规则通常被规定在民事诉讼中，而且该规则适用的范围较特定，其在金融消费者侵权领域还是空白。该项规则应当被应用于金融消费者领域，以更好地保护金融消费者的信息免受或少受侵害。

最后，基于金融产品本身的高度专业性和知识复杂性，金融消费者个人信息侵权案件与通常的民事争议相比，情况更加复杂。故而，应该将专家引入调解，不仅有助于更好地解决纠纷，而且有助于结果趋于平等化，避免矛盾进一步升级。

四、结语

大数据技术和互联网的发展将对社会产生全方位的影响，在互联网金融行业尤为突出。信息技术在带来一些隐患的同时，也为互联网金融创造了条件。大数据中包含着信息公开的内涵，然而这并不表明对隐私权保护的不重视，反之体现了维护公民隐私权的重要性。在当前背景下，立法机构应加快维护个人金融信息的立法保护，规范金融个人信息的侵权行为，采用民事维权途径对个人金融信息利益进行保护。