欧阳文婷

(华中师范大学，湖北 武汉 430079)

一、 金融消费者信息权理论探析

(一)金融消费者的概念界定

1. 金融消费者的内涵

我国分业经营和分业管理的体制下，不同行业的金融消费者往往被冠以不同的称谓，如银行业称“存款人”，保险业称“投保人”“被保险人”，证券业称“投资者”，等等。 由于实践中金融商品往往跨部门混合销售，金融消费者很可能具备多重身份，此时金融消费者的定义宜表述为:因生活需要而购买金融机构提供的商品或接受金融机构提供的服务的一般自然人。

2. 金融消费者的外延

金融消费者的范围不应包括所有的自然人，也不应排除所有的法人。 对一般自然人而言，其经济能力、金融知识、信息掌握等相对处于劣势地位，有赖立法政策的倾斜保护。 但自然人中“具备雄厚财力或专业能力”的少数群体，由于其在金融交易中并非处于弱势，从效率与成本出发，不应纳入金融消费者的范畴。 同理，在法人方面也需秉持实质正义的理念区别对待，将弱势地位的中小机构定义为金融消费者予以特别保护。

金融消费者的确定不一定以“生活需要”为条件，且包括潜在的金融交易主体。 投资目的和生活需求难以严格区分。 于家庭而言，传统的生活消费相对短期，投资可定性为延迟了的、中长期的生活消费，其获取的收益最终还是用于生产生活。 另外，金融产品投资买卖已经成为现代社会的一部分，金融排斥将会导致社会排斥，有必要约束金融机构的行为，将潜在的金融消费需求者的利益纳入保护。

(二)金融消费者信息权解析

金融消费者的信息权，是指信息持有者对其与信用或交易相关的信息所享有的控制支配权。 金融机构应当对其金融商品和服务过程中所获取的相关个人信息严格保密，未经权利人许可或法律另有规定的情况下，不得为任何人和任何目的进行滥用和泄露。随着金融消费者信息权理论的不断完善，金融消费者的信息权具体包括金融信息保密权、金融信息支配利用权和金融信息维护权。 金融信息保密权是指客户的个人身份信息、资信状况、证券信托账户等具有私密性，任何人不得利用信息实施冒领他人存款、抛售他人股票等侵权行为。 信息支配利用权源于个人信息的财产性质，金融消费者是其信用使用范围的决定者。 信息维护权即是指当个人金融信息被不当泄露或遭受侵害时，寻求法律救济的权利。

二、 金融信息权保护面临的挑战

(一)法律条款存在交叉

针对金融信息的保护问题，当前立法层次不高，着眼于对金融机构的间接监管，保护范围和效果有限。 由于我国金融传统上以分业监管为基本模式，《银行法》《证券法》《保险法》等单行法均侧重于本行业的具体特性，条款较为分散，有关金融消费者信息保护的条款也易出现交叉重叠。 《个人信息保护法》作为我国第一部与数字经济相适应、专门规范信息保护的法律，为金融信息处理设定了科学的规则，对各金融组织的数据信息合规实践均产生了直接和深远的影响。 在此基础上，需处理好《个人信息保护法》与《民法典》、相关规范性文件的衔接关系，厘清立法体系，进一步强化对金融信息的保护。

(二)偏重行政处罚，民事责任不足

金融消费者信息权的权能内容不完整，偏重于事后的消极保护。 信息管理者的法律责任重心偏离，轻民事救济。 近年来，我国高度重视非法利用公民金融信息对财产、征信、名誉的侵害，在刑事立法和行政监管方面均较为严苛。 在刑法修正案中整合规定出售、非法提供和非法获取公民个人信息罪，扩大了规制范围。 然而，我国实践中一般偏重于追究信息管理者，如银行的民事责任，对受损消费者进行赔偿的案例不多，不利于金融消费者的权益保护。

(三)金融信息保护需防范多种风险

第一，金融机构因其数据来源广，储备海量，信息数据库遭受技术攻击的可能性较高。 庞大而详细的数据对金融企业而言是一座金矿，但是对黑客来说同样意味着巨大的价值。 黑客会长期对金融科技公司进行渗透和数据扒取，DDoS 攻击已经成为当前金融领域极其常见的安全威胁。 当下数据共享、迁移已成为行业发展的必要条件，在金融信息采集的各项节点可能存在泄露风险。

第二，金融App 存在过度收集和利用金融消费者信息的情况。 有学者已针对100 款银行App，用不同品牌的手机进行个人信息实证测试，其结果显示，所有App 均存在越界收集个人信息的情况。具体到信息内容，位置信息、手机存储信息收集比例最高，联系人信息等隐私信息紧随其后，且95%以上金融App 没有设置隐私权限的特别提示。 目前而言，无论是信息收集还是隐私条款，金融消费者为正常使用App 只能接受信息权的强制转让。

(四)金融消费者信息保护权利救济有完善空间

第一，金融行业自律组织的作用较为局限。 作为政府与企业之间的中介和桥梁，互联网金融行业自律组织能理解政策意图和监管思路，领会防范系统性风险的底线，更好地参与、配合政府部门开展专项整治工作。 但消协目前暂未渗透至金融领域，银行业协会的维权体系和技术平台尚未建立；保险业协会主要提供信访途径，费时费力；证券业协会的调解职能还未充分发挥。 就目前而言，较为有效的途径主要有信访、调解等。

第二，消费者自身保护意识不足。 如金融消费者常用密码多为生日等重要日期，且一般不会定期更换，部分消费者也有使用公用网络进行金融操作、对银行单据随意丢弃等不良习惯。 此外，金融消费者学历层次相差较大，对金融信息的敏感程度不同，当金融机构等消费平台出具信息说明条款、要求提供信息时，大多数公民一般不会细致查看便进行个人信息授权，对此后信息的使用、加工、流转没有意识或并不关心。

三、 金融消费者信息权保护的对策建议

(一)《个人信息保护法》与其他法律规范的衔接

处理好《个人信息保护法》与《民法典》的衔接关系。 单独适用方面，《民法典》和《个人信息保护法》相互补充。 例如，金融信息不当泄露情况紧急，《个人信息保护法》的事后救济无法立即提供保护，即可援引《民法典》人格权禁令制度及时制止侵权行为，防止损失扩大。 《个人信息保护法》也有单独适用空间。 如本次新法的亮点之一在于首次规定“个人信息可携带权”“过错推定责任”均属于《民法典》中“依照其他法律特别规定”的情形。 结合适用主要体现于个人金融信息处理规则。 《民法典》对金融信息处理采“个人同意＋特定免责”模式，而《个人信息保护法》在此基础上兼顾金融信息的多元价值，转向融知情同意在内的“多元合理事由模式”，由此可拓展出适应金融信息保护需要的多种合理使用场景。

提高金融信息权相关规范的立法层级，辅助《个人信息保护法》发挥在金融领域的作用。 如考虑将有关金融信息权的规范性文件进行整合，出台专门的《网络金融信息保护法》。 结合当下将大型互联网平台的金融业务全面纳入监管范围的需要，可制定《金融控股公司法》，对金融创新抗辩严加把关，强化大型金融集团的信息处理者责任。 也可考虑将《中国人民银行金融消费者权益保护实施办法》上升为法律，提升其效力，构建起完整协调的金融信息保护法律体系。

(二)确立信息权的内容和信息处理者的责任

赋予金融消费者完整的信息权是充分保护的前提。 我国《个人信息保护法》遵循一般规则对消费者金融信息权的内容进行了划定。 首先，在信息处理活动中，基于金融信息传统的人格属性，个人享有查阅权、复制权、更正权、删除权。 其次，《个人信息保护法》适应了金融信息权商业化的现实土壤，规定了自动化信息推送、商业营销的知情权、选择权，当产生重大不利影响时，也享有算法解释权和拒绝权。 再次，在互联网应用和服务呈多元化发展、新老管理系统更替频繁的需求下，《个人信息保护法》规定金融消费者享有携带权，即信息处理者应当为个人提供转移金融信息的途径。 总体而言，《个人信息保护法》有关信息权的架构在确定人格属性权利要素的同时给予财产属性更多的关注，并突出了消费者的主动性和救济性权利。

信息处理者的责任方面，《个人信息保护法》第六十九条很大程度上弥补了当前重行政监管和刑事处罚重心偏移，规定了个人信息处理者未尽义务导致损害的民事责任，在金融领域有重要意义。 于金融消费者而言，多数情况下的信息泄露所造成的损失具有不可逆性，行政责任和刑事责任的罚款罚金均上缴国库，民事责任因其救济私权损害的特征，更符合金融消费者的利益诉求。 考虑到信息处理者的强势地位和金融信息特别保护的客观需要，第六十九条的归责原则理应为过错推定，以减轻金融消费者的举证责任。

(三)加强对金融机构的管理制度建设，提高技术水平

以技术加持构筑金融机构的安全防护墙，实现安全防控机制的常态化和规范化。 金融科技的发展对“技防”水平提出了更高的要求。 第一，各金融机构应与技术服务提供厂商密切沟通，根据需要开展人员培训，熟悉安全防护设施的各项功能和使用方法。 第二，探索使用区块链加密技术、客户信息留痕查询、生物识别、智能分析、大数据分析等安防技术，全方位覆盖浏览器、客户端和业务终端，为操作查询和人员问责保留电子数据。 第三，定期针对病毒木马、黑客恶意攻击等开展攻防演练，积累防范经验。

金融App 收集客户信息应当遵循“最小够用原则”。 “最小够用原则”，欧盟《一般数据保护条例》(GDPR)当中也被称作目的受限(purpose limitation)和数据最小化(data minimization)原则，是指在最小的范围内进行必要的采集和使用。 金融平台为消费者“画像”，追求经济效益的最大化，一定程度上构成了对消费者信息的“勒索”。 从域外对金融机构数据处理的监管看，美国的信息披露制度、英国的“监管沙盒”构建起了金融机构的数据获取与报告义务。 形成共识的是，企业有必要厘清自身产品与服务的具体业务功能和对应需求的信息种类和数量，采集时仅向用户申请业务必要的授权，使用结束后及时删除或停止利用，推动数字治理的规范化和法治化。

(四)探索金融信息权法律救济手段，构建消费者自我保护机制

毋庸置疑，加强金融信息保护有赖于外部保障和内部保障的共同发力，且应以内部保障为先，外部保障兜底。

自我保障方面，金融消费者应当对自己的个人信息妥善保管。 主要可以密切关注个人银行卡、微信账户、支付宝账户的金融信息，谨慎进行银行卡绑定、微信账户登录等操作，不定期检查手机的应用权限，关闭可能窃取个人金融信息的授权，及时对异常情况进行处理。 与此同时，消费者应当配合金融监管部门的金融知识普及教育，提高金融知识水平和金融安全意识。

纠纷解决机制可通过以下途径完善:第一，提高金融机构的服务意识，内设专门机构对金融消费者信息权等权利争议开展解释和调解工作，以此作为前置程序。 第二，可借鉴美国《多德－弗兰克法案》经验，成立专门的“金融消费者保护局”并开通金融消费者投诉热线，搭建高效的投诉处理平台，明晰投诉处理程序和建立信息记录及反馈机制，以保证消费者的投诉得到及时有效的处理。 第三，在诉讼程序中，对金融消费者应当倾斜保护，如举证可实行适当的“举证责任倒置”，允许当事人聘用“专家辅助人”收集电子证据，并在管辖和执行方面提供便利。

四、 余论:信息保护和信息利用的平衡仍需探索

《个人信息保护法》第十三条为该法关于消费者金融信息处理的“法眼”，在《网络安全法》以“个人同意”为唯一标准和《民法典》“个人同意＋特定免责”的基础上，新增了六种对个人金融信息处理的正当化事由，在保护隐私的同时发挥信息的多元化价值。 该法颁布后，企业为扩大经济效益而常态化使用的歧视性定价、定向推送等行为很可能涉嫌违法。 但毋庸置疑的是，立法对人格权的保护优先和对财产权的增值优先体现了不同产权制度下公平优位和效率优位的社会资源配置。 金融消费者信息资源同样需要遵守强制法的“红线”，在意思自治的领域内开展竞争，对任何一方的过度倾斜都会带来消极的结果。 未来金融机构如何做到信息保护与信息利用的平衡仍需积极探索。