程 威

(清华大学 法学院，北京 100089)

现代普惠金融的发展表现为数字金融结构内容的丰富和层级叠加，一方面推进了金融资源的有效配置、精准解决资金供需错配的问题，另一方面也产生了个人金融信息被滥用的现实困境。我国工业和信息化部依照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函[2020]164号)查处大量手机应用软件存在的超范围收集个人信息、过度索取权限、私自共享给第三方、不给权限不让用等违法行为，其中相当一部分主体是金融机构和非金融机构类的互联网平台企业(以下统称“信息处理者”)。

个人信息或数据是数字时代的石油，个人金融信息更因其丰富的财产挖掘潜力而成为重要的生产要素。在此背景下，信息处理者与信息主体之间、不同信息处理者之间形成关于信息资源的争夺，消费者迫切需要确保个人信息不被滥用，以免陷入不可测度的风险[1]。

个人金融信息的滥用风险源于信息所具有的人格与财产权益属性，当支付工具电子化大规模消除实物现金点对点、面对面交易后，交易数据的迅速流转加速了金融业态的嬗变，原来负载在纸币交易中的隐私无忧论，在步入电子环境后发生改变，信息容易被科技公司挖掘、利用和泄露，由此造成人格权益的减损和财产权益的降低，这种风险及焦虑构成信息主体的主要受损形态[2]。2021年11月正式生效的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)作为个人信息领域的基本法，在相当程度上回应了个人金融信息保护的问题，但由于其一般性和概括性而缺失了在金融这一特定场景下的保护规范，有必要根据场景规制所需的特殊要素进行相应的补漏。

一、个人金融信息的内涵与属性分析

(一)数据与信息的关系界定

对于个人金融信息保护议题的讨论，需要界定个人金融信息的内涵与基本属性，有必要厘清数据与信息这两个法律概念的关系。我国学界对二者之间的定位概括下来存在区分论与等同论两种主张。

1.区分论。持该观点学者认为，《中华人民共和国民法典》(以下简称《民法典》)第127条规定了对数据的保护，而第111条及“人格权编”对“隐私权与个人信息保护”单辟一章，由此形成数据与个人信息分立保护的格局，所以至少在制定法层面已经对两者的区分进行了宣示。这种区分对待的立场影响到单行法的制定，出现《中华人民共和国数据安全法》与《个人信息保护法》分别制定、侧重有别的现象[3]。语词表达的区分并非仅具概念体系上的意涵，信息与数据的法律地位差异塑造了两种不同的法律制度，针对个人信息的保护可能引发个人信息权的建构，进而为他人设定行为边界，而对于数据而言，其不可能构成一项民事权利[4]。尽管区分论表达了识别二者差异的法律意义，但同样认为二者之间联系密切，“数据文件是信息的表现形式，而数据信息则是数据文件蕴含的信息内容”[5]，二者的高度共生性使其在概念使用层面并无严格区分的必要。

2.等同论。认为个人信息与个人数据在法律概念上其实并无严格区别，二者均服务于对特定主体已识别或可识别的符号内容之保护[6]84。一般而言，欧洲法上通常使用个人数据，进而创设数据主体、数据处理者等辐射概念，而美国法上从隐私保护发展来构筑对个人信息进行保护的“公平信息实践”理论[7]。

我国个人信息与数据保护立法方面晚于美国与欧洲，司法实践的经验积累亦不够丰富，显然不能认为当前的区分模式属于一种后发优势。比较法上对个人信息与数据立法文本的混用说明二者在本质上具有同一性，而且从进化路径上看，美国法主要从隐私保护开始逐步转向重视个人信息，欧洲法亦是从早期对于隐私的宪法性保护延伸至数据权益的优待，可见二者指向的内容是一致的。对于信息与数据本质区分不应追溯至香农关于“信息是对不确定性的排除”的论点，以香农的信息本质讨论为起点对法律的理解而言具有误导性[8]。如果强行在观念上建构数据与信息的概念区隔，只会增加概念的学习和理解成本。

数据与信息本质等同，当突破信息与数据之间的概念藩篱后，为信息、数据同时赋予财产与人格的双重价值导向，不仅解决了在法理上区分数据与信息的规范难题、减省了刻意分化的理论构筑成本，也为数据、信息的多重权益保护奠定了坚实的理论基础。是故，对于个人信息的保护不应仅着眼于其财产性利益的维持，更应重视个人信息中所包含的人格性权益内涵之提取。

(二)个人金融信息保护的特殊性甄别

个人金融信息除一般信息的流动性、价值性、非排他性、规模性等传统特征之外，还具有一些因其功能定位影响的特殊性。

1.个人金融信息具有突出的交易面向。个人信息保护的场景理论认为，信息所处的环境、场域不同，决定了信息的不同面向从而对应不同的调整方式和规制路径[9]，个人金融信息必然依托金融商事交易中不同信息处理者之间的互动结构。在这一结构中，个人金融信息体现出以信息交易为特征的流动形态。具言之，个人的财务类信息一旦通过账户体系与线上网络平台连接，平台需要对此类信息进行深度挖掘以获取用户画像从而推荐与之相匹配的金融产品或服务，然而用户画像并非仅该线上平台所能独自刻画，须和其他与该主体有关的信息平台相结合才能实现精准描绘，故不同平台有关该主体的个人信息高频度交易成为当前互联网非法兴起的常态化现象。此外，在金融交易的背景中，任何个人的正面金融信息都能为潜在的金融产品推销提供渠道，而负面的信息可以帮助减少产品推送的无谓成本[10]47，在获利与避损的双重诱导下，金融信息的价值性凸显，加速流动亦是应有之义。

2.个人金融信息具有鲜明的公共属性。一般而言，个人信息属于私域内容，特别是个人信息中不愿为他人知晓的私密信息更属于隐私领地，受到私法的严格保护。但是个人信息中仍然可能包含其他主体信息内容、与他人信息相融合的面向，比如商业巨贾李四是张三的好友，此时张三的通讯录虽然是其个人信息，但该通讯录中所含有李四的相关信息便需要受到群体利益的衡量，这种互通性、泛化性决定了个人信息本身在一定程度上具有公共属性。在成本收益分析的评判基准下，当我们在强调个人金融信息的保护时，也要同时注意个人金融信息中的公共损害因素，如我国目前的征信体系建设力求形成排污去浊的信用规范网，其中关键的一环便是对于失信被执行人的信息公开。对缺乏诚信主体的个人金融信息如果仍施以严格保护，会损害后续其他与之展开交易的当事人利益，所以为了公共利益考量，应将其信息排除保护范围。此外，出于国家安全等更高位阶的利益需要，要求个人金融信息的适当公开已经不可避免，实名制要求、反洗钱义务、反客户欺诈义务、投资者适当性管理等法定的义务规范[10]47，令部分个人的金融信息特别是其中的负面内容在国家面前无所遁形。

前述特点决定了金融法与信息保护法的两重架构对个人金融信息必须协同妥善配置的规制结构，从而回应其特殊性所对应的现实关切，有必要检视世界主流个人金融信息保护规则的导向，进而问诊把脉，为体系增益、消除弊端提供方法论。

二、个人金融信息保护的规范取向

当前各国对于个人金融信息的保护虽设置了一定的特殊性规范，但总体而言仍主要表现为向赋权进路迈进，即为信息主体设定权利以对抗来自他人的侵害，这在欧美和我国的立法中呈现为知情控制的模式。

(一)欧美法治的知情控制模式

1.欧盟之宪法性规范辐射。在欧盟法上，隐私权被视为一项基本人权，而个人信息权益被视为隐私权的扩充(1)《欧盟基本权利宪章》(CFR)第8条第1款与《欧盟运行条约》(TFEU)第16条第1款几乎一致地规定“每个人有权保护自己的信息”，欧盟法院(CJEU)同样承认信息保护是一项基本权利。EU Agency for Fundamental Rights(FRA),Data Protection in the European Union:the role of National Data Protection Authorities,[2010]14.。《欧洲通用数据保护条例》(GeneralData Protection Regulation，以下简称“GDPR”)将个人信息权益以权利化规范进行保护。作为欧盟的二级法律，GDPR的适用必须确保“对自然人的基本权利和自由特别是隐私权的全面有效保护”(2)Art.7,8 Charter of Fundamental Rights.。通过宪法层级的保护力度，进而辐射到各方面的单项立法，决定了欧盟对个人信息的整体强势保护。

贯彻到个人金融信息领域，欧盟金融服务监管自2008年金融危机以来陆续发布了40多项新法律，旨在增强监管机构的权利、对所有市场参与者保持透明度、控制风险行为以及保护投资者免遭风险等。其中监测、记录、保存、报告、信息交换等行为均需要处理个人信息，即与直接或间接可识别的自然人有关的数据，这些行为会牵连到个人金融信息的保护问题。对此，GDPR第三章同时规定了被遗忘权、拒绝权、纠正权等一系列权利内容，通过上位法赋权，增强信息主体的对抗能力。一方面，这些赋权并不否定金融信息的流动，如欧盟关于个人信息处理的公约中要求个人信息受保护权不能妨害信息流通[6]84，特别是金融信息对促进商业化生产、加速资源优化配置具有关键意义，肆意限制流动会造成社会总体效益的下降；另一方面，当金融信息流动产生的收益与信息保护所实现的人格权益形成冲突，特别是谨慎的成本收益分析无法准确计算两种权益竞争的效果时，反映人格尊严与隐私的个人信息保护会占据上风，因为它关乎民主自治且避免信息主体在实践中沦落为客体[11]71。

另外，GDPR第7条所规定的同意要件是个人信息自我保护的基石与灵魂，其要义在于：第一，同意是信息控制者处理信息的合法性基础，同意的构成要件主要包括自由表达、具体特定、充分知情、信息主体的明确意思表示(如声明、书面记载、明确支持性行动等)；第二，如果信息处理者未能取得信息主体的明确同意而径行对其信息数据加以整理、加工、演算，信息主体可以寻求向监管机构申诉、针对信息控制者或处理者获得有效司法救济以得到赔偿等；第三，信息主体可以随时撤回同意，且在给予同意之前就应被告知该项权利，这种撤回应当和表示同意一样简单[12]。此外，当个人在未经充分判断的条件下(如自动化决策情形)同意出售个人信息，欧盟基于宪法性规范辐射的基本保障方式将会限制该同意行为的效力[11]71。由是可知，个人信息主体对涉身金融信息是否利用、如何利用必须充分知情，当金融信息与个人的敏感领地联系愈发紧密的条件下，在知情基础上判断是否同意是其控制个人金融信息流向和运转的必要前提。

2.美国之财产法私权保障。与欧洲相比，美国并未将个人信息保护视为一项宪法性基本权利，因此在不同场景内的隐私信息保护存在规制程度的差异化，个人金融信息关涉金融稳定，受到较高规格的监管。当前，美国法上联邦层面针对个人的金融服务所涉信息保护的规范性文件包括《金融服务现代化法案》(Gramm-Leach-Bliley，以下简称“GLB法案”)的第5章、公平信用报告法案(FCRA)、电子基金转让法案(EFTA)、平等信用机会法案(ECOA)以及州法、自律规则、行为规范和市场机制等[13]939。

美国法对于金融信息的保护是在公共权力集中的过程中衍生的，其应用目的实际上主要是对抗政府权力。1976年美国最高法院在米勒案中裁定银行的纪录不受第四修正案的保护，基于此所确定的“第三方原则”认为，自愿向银行提供财务信息的公民不期望享有隐私权，这一原则使政府能够在没有搜查令或正当理由的情况下从银行处收集财务数据(3)UnitedStatesv.Miller,425 U.S.435(1976).。然而，技术条件、时代环境的变化使得这一裁判尺度在电子化交易时代显然已经格格不入，以往的交易方式是通过纸币或跨期票据完成，当前则大部分是通过中介机制展开的线上交易，政府的掠夺之手延伸更为迅捷，另外也使得收集整理个人信息的信息处理者变得活跃而不受控制，这就要求政府在限缩其介入空间与程度的同时，要对实践中可能发生的信息处理者侵害个人金融信息的场景进行监管。为此美国法采取了财产权保障的思路，核心在于当法律承认个人信息不仅是一种可以控制而非消极防止入侵的私人空间，而且是一种可以在自由市场流动的财产权利时，借助财产法规更能有效地帮助个人利用好信息[11]71。这种市场话语和美国社会注重商业发展、激励冒险创新的文化传统相关，人们并不惧怕资本入侵造成一定程度的权益受损，而对国家权力的干涉抱有警惕。正如吴修铭教授对反垄断的历时性考察所示，当私人权力的集中所形成的平台类巨头企业开始入侵私人领域并可能妨害私人自治时，两种权力集中模式的本质是同一的，而且会相互勾结，严重危害民主制度[14]。在此情形下，以财产权私权保障模式对抗来自国家与平台企业的滋扰便是当前美国个人金融信息保护领域的侧重点。

“GLB法案”第5章处理个人金融信息保护问题，从每个金融机构都有“肯定的、持续的义务尊重其客户隐私，保护这些客户非公开的个人信息保密性”前提出发，对金融机构提出了三个核心要求。第一，金融机构必须向客户提供“清晰和明显”通知，描述他们的信息共享程序。通知内容必须包括金融机构向附属机构和非附属第三方披露非公开个人信息、保护这些信息以及在客户关系终止后处理该信息的政策和做法。第二，金融机构必须制定预防措施，以确保客户记录和信息的安全和机密性，防止对这些记录的安全或完整性的预期威胁或危害，并防止未经授权访问或使用这些记录可能对客户造成重大伤害。第三，金融机构不得向任何非关联第三方披露非公开的客户个人信息，除非客户得到通知和合理的指示并自行选择是否共享[13]939。由是可知，对于个人金融信息的利用，美国法同样要求金融机构要履行充分告知义务，在切实保障个人知情的基础之上，由其自行决定是否授予权限，个人对于信息流动是选择退出还是默示加入，均以个人的意思为准。个人通过自行衡量授权分享的成本与收益，从而维护对自身信息的控制。

(二)中国法中的知情控制路径

与欧美在变动的时代环境下逐渐形成知情控制的规范模式不同，我国的个人信息保护立法从一开始便以严格获取个人同意为前提。2012年《关于加强网络信息保护的决定》中首次将经被收集者“同意”作为网络服务提供者等在业务活动中使用公民个人电子信息的合法性基础，《中华人民共和国网络安全法》第22条、第41条和第42条，《中华人民共和国广告法》第43条，《中华人民共和国消费者权益保护法》第29条，《征信业管理条例》第14条等法律法规均继受了这一规定，将用户同意作为前置要件。更为重要的是，《中华人民共和国民法典》增设人格权编，将隐私权与个人信息保护单列一章，《个人信息保护法》的出台也进一步强化了保护效果，从而形成特别法与一般法协力保护的细化规则和精神特质。《个人信息保护法》总则编在第111条规定“获取他人个人信息，应当依法取得并确保信息安全”，所谓“依法取得”为引致性规范，引致对象则为《民法典》人格权编与《个人信息保护法》；人格权编第1035条要求处理个人信息“应征得该自然人或其监护人同意”，表明同意是信息处理的必要条件；《个人信息保护法》第13条将个人同意列为处理个人信息的首要合法要件，并借鉴GDPR设置了其他合法情形。

立法者不厌其烦地在信息立法问题上采用严格的知情同意规则，具体到个人金融信息领域，目前该领域效力最高的规范性文件《金融消费者权益保护实施办法》第29条、第30条和第31条明确规定，在银行、支付机构等收集消费者金融信息、用于营销、用户体验改进和市场调查的、通过格式条款收集等场景下，均需要以适当方式提醒用户注意，在取得其同意之后才能开展后续行为。这为信息处理者廓清了行为边界、提供了责任豁免的渠道，同时也为个人信息主体保护自身信息设定了一般性的注意义务。换言之，在信息收集者充分履行了告知义务和提示义务等合法性要求后，信息主体若对知情同意规则不予重视，则须为此承受不利的法律后果[15]6。

三、个人金融信息知情控制论的困境与破解

(一)困境：“控制的幻觉”

不难看出，知情控制模式的前提是理性主体在充分消化各种成本收益分析之后展开的谨慎决断，对于信息处理者是否履行知情同意规范可以有效监督，且信息处理者必然为此提供完善、易行、可靠的知情拒绝机制，并不因此伤害信息主体应有的利益。然而，这一先验性的假设不仅高估了理性因素在信息关系中的可能性与必要性，也无法准确回应市场效率对于信息流动的客观需求。

第一，知情控制规则在实践中的运用呈现为“主观上理性匮乏且客观上无控制可能”的尴尬局面。主观上信息主体面临理性有限与认知不足的问题，很大程度扭曲了个体在抉择时的成本收益分析，信息处理者往往利用并放大这种行为经济学上的不理性以增加信息覆盖形成信息茧房，诱导信息主体作出失真的判断[16]。比如当用户使用一款软件时，通常不会仔细阅读软件开发者提供的巨细靡遗的隐私政策，而是迅速勾选同意条款，忽视其中可能涵括的与自身金融信息利益有关的内容。客观上，信息主体即便仔细阅读了隐私政策中的金融信息处置条款，如果有所异议而选择不接受，该软件便明确拒绝为其提供应有的服务，此时所谓的知情控制实际上变成了“知情后、不同意、被拒绝、被迫同意”，控制的可能性弱化、保护性消失。

第二，如果严格执行知情控制，在相当程度上会挫伤市场效率对信息流动的客观需求，根源上表现为与金融信息财产价值最大化的理念冲突。金融信息对于大数据时代金融产业发展的积极意义不言而喻，通过大规模的金融信息流转有利于推动信息技术进步和产业结构优化，流动是信息的生命。事实上，尽管信息法律关系中信息主体与信息处理者之间的利益状态并不均衡，而知情控制确有矫正这种不平等关系的功能，但如果法律严格执行由信息主体锁定信息的流向，结果可能是保护了信息中所蕴含的人格权益，但推升了信息流动成本进而抑制信息财产属性的价值发挥。

(二)破解：从知情控制到行为规制

对个人金融信息保护的具体方式有绝对权利化和行为规制两种。知情控制是通过为个体赋权实现权利保障，但由于我国并未明文规定个人信息权[17]，《个人信息保护法》的赋权进路也是基于信息权益的表达，且大多数是权益受损后的救济性权利如删除权等，所以能否从我国法上确认赋权规范的实证法定位仍然有争议。因此，解决问题须着眼于体系化的规制架构和适应性的观念更新，法社会学上的反身法理论可为此提供智识资源。

传统的法律形式主义强调作为私法处理对象的信息可在封闭的、完备的体系框架下得以有效定位，这其实是以物权法中的物来对标信息，如借助排他权、支配权等概念解释信息的控制；法律实质主义认为信息是现有私法体系之外的事物，法律本身的不完备性决定了对信息的处理必须考虑公共政策、群体利益与各方期待等。反身法是对法律实质主义与形式主义不足之处的补缺，它一方面意识到形式主义对私法自治的保障，另一方面也欣赏实质主义对市场弊端的矫正，其目的是为法律内部要素和外部诉求的协调提供整体性架构[18]。这里的“反身”既指法律将生产与再生产的结果引入，通过法律产生、改变法律本身以建构新轮次的统一，如通过法律内部的教义学方法完善法律；也指依赖于外部环境条件的冲击和回应，通过区分涉身元素与非涉身元素后的描述、调整以完成体系反思，如在实践中应用规范并根据规范效果落差而调整规范以至于圆融。

应用到个人金融信息保护场域，反身法要求迈向私法的同时要超越私法，注重社会结构、经济模式、政府权力和意识形态等外部要素的引入，个体赋权与行为规制可以双管齐下、协同利用。总之，个人金融信息的保护不应放弃信息主体赋权，即便是《个人信息保护法》为信息主体提供了自我保护的手段，从信息处理者角度看也是为其限定了行为边界，所以注重以多元共生规范为框架的行为规制也必不可少。

四、个人金融信息保护的路径优化

必须承认，权益归属决定利用与规制方式，金融信息归属因其场景多元而变得复杂，企业、国家和个人均对其有利益诉求，是企业的生产要素、国家的竞争资源和个体的数字人格，而且信息本身的流动性和结构化属性令不同渠道的资源加以整合连接，从而形成传统所未规范的新型功能与结构。对于信息的归属判断，无法从个人层面将其确认为传统物权所理解的主体对客体的独断支配，相反信息在不同的主体之间进行利益配置和分层界定，各个主体均有参与信息权益建构和保护的义务。从这一视角来看，形成对个人金融信息的保护绝非个体通过正当化、程序化机制获取救济的过程，而是不同主体特别是国家、平台及个人之间动态交互、协调规范的体系化保护范式，其核心是个人金融信息的治理。

(一)“弱小圆点”分析模式引入

1.理论原型。循着个人金融信息治理规制进行拓展，以对信息处理者的行为规制为重点，“弱小圆点”分析模式具有重要参考价值。著名网络法学者莱辛格教授认为，对实体规范世界与网络虚拟世界中某一特定对象的规制，存在四种分散、博弈且呈现为公私协动的力量，分别为法律、市场、社群准则与架构，这个被规制的对象被称为“弱小圆点”。

法律作为主要的规制力量，以惩罚性的后果警示行为人不逾矩，它在一定程度上是社群准则经过普遍化、成文化后的总结、凝练，承载着公权力对于规制对象的行为期待，打破这一期待将会承受不利后果，由于这一不利后果是对不同权益进行权衡后的法政策偏好，符合特定社会结构所持守的价值观念，所以可以获得较高认同。社群准则规制的是具有社会显著性的行为，违反此类规范将会被评价为行为失常者[19]。社群准则的不同之处在于其效力来自于共同体内部形成的价值确信，但并不排斥法律为该价值确信设定规则引导。发挥市场作用主要靠价格机制，而且是在获益过程中产生权益负担，其规制力量源于存在一个界定可交易物品的法律和社群准则以及关于如何进行买卖的合同与财产规则所组成的外部环境。架构是对世界存在形式或世界在某特定方面的存在形式进行的规制，在信息技术背景下主要呈现为网络框架的底层设计，其关键约束功能在于自动执行机制[20]34。“弱小圆点”作为被规制对象，并非特指某一主体，它更多的是一种需要调整的社会行为。

2.状态识别。将“弱小圆点”理论置于个人金融信息的保护框架内，“弱小圆点”应当被界定为是信息处理者对个人金融信息的处理行为，由于不同规制力量对信息的规制并非一刀切的，需要根据敏感个人金融信息与非敏感个人金融信息的类型差异对规制策略进行反思。敏感个人金融信息指的是一旦泄露或非法使用，容易导致自然人人格尊严受到侵害或人身、财产安全受到危害的个人信息，而非敏感个人信息一般是在信息处理者的控制之下、对个人人格尊严与财产安全侵犯可能性不大的个人信息。根据《个人金融信息保护技术规范》(JR/T0171-2020)的推荐性内容，用户鉴别信息、可识别特定个人金融信息主体身份与金融状况的个人金融信息以及用于金融产品与服务的关键信息均属于敏感信息。信息处理者内部控制的个人金融信息资产则相对而言敏感度较低，可认为是非敏感信息。

由是可知，非敏感的个人金融信息受到的保护程度相对较弱，其一方面在架构设计上并未严格执行保密措施，另一方面仅能获得反不正当竞争法的低度保护。此类信息资产的利益密度不够高，信息主体和信息控制者对于这部分信息的价值期待较低，如果后者采取严格保密措施、以隐私规范等作为前置性的保护渠道，则会产生成本与收益严重不匹配的现象，耗费了一部分社会资源。比较而言，对于敏感的个人金融信息所施加的规制就严格一些，仅仅通过自由市场的运作无法解决信息主体受保护期待的实现，必须结合其他规范机制加以落实。

(二)个人金融信息保护的行为规制结构

将“弱小圆点”理论的规制力量置于对个人敏感金融信息的滥用这一议题中，需要依托法律、市场、社群准则、架构的多重规制手段。不容忽视的是，规制力量之间存在区别又相互依赖，每一种规制可支持或反对其他规制，每种规制力量的变化、调整都会影响整体的规制效果，规制之间会协同一致，也可能相互对立，特别是技术的变化会对社群准则本身产生直接影响，这种影响在整个规制工具集合中不断传导、融合，形成新的规制结构，所以在衡量对“弱小圆点”的约束机制时应当综合考量。

1.构建激励相容的法律规范模式。法律规范是形塑社会行为模式最关键的力量，具象上表现为政府通过行政手段介入个人金融信息的生命全周期。信息控制者对于个人信息，具有较强的利用激励，缺乏同等程度的保护激励。法律规范模式的目标便是寻求信息控制者保护个人信息与合法范围内最大化信息利用两种冲突理念的平衡。针对营利法人的信息控制者，法律所应当调节的核心在于引导其建立切实保障信息安全的内控机制，对此应沿着“创制模板、明确下限”的思路前进。

第一，为信息处理者创制示范模板。如以某企业为对标，对其安全措施、保护手段、危险预警、通知程度、互动形态等展示信息控制者基本行为操守的内容加以标准化，特别是法律须为信息控制者履行通知义务的具体要求作出详细规定。我国工业和信息化部在开展APP侵害用户权益的专项整治活动中处罚了大批违规企业，理由是这些企业在受到警示后依然知错不改。实际上对于较多企业而言，在受到警戒之后并不知道如何走向合规而非真的恶意不改，由政府通过规范性文件设定合规标准可以减少这部分损失。政府设定清晰明确的标准化流程，一方面可以通过提供示范模板引导信息处理者自查自纠，减少该类企业自行摸索的耗费成本，政府承担这部分成本显然更有利于实现第三方效应(4)第三方效应指的是政府通过内化一部分社会公共成本，从而为整个行业提供公共用品(public goods)，减少市场主体在形成有效谈判规则过程中的交易费用。对于公共用品的理解，应当意识到其非独占性，任何主体使用都不会影响其他人使用，如音乐、法律文件等。参见张五常：《经济解释卷一·科学说需求》，中信出版社2019年版，第228页。，对整个行业都有裨益，更重要的是政府有责任和能力提供这样的公共产品；另一方面标准化的模板具有良好的漏洞填补机制，可以为一些信息处理者在与信息主体展开法律关系过程中缺少但又必要的内容提供补充解释的参考依据[21]。需注意的是，虽然该对标企业是行业内的示范，但一定程度的偏离并不会产生惩罚性后果，只不过越接近该对标企业，违法风险就越小。

第二，为信息处理者明确行为底线。法律应当设定信息处理者行为的禁止性内容，避免其逾越雷池给信息主体造成不可估量的损害，通过外部压力传导至企业内控行为，比较典型的例子如规定信息处理者不得以不公平的条件或不加区分的“一揽子协议”方式强制信息主体授权收集并处理金融信息[15]6，这严重侵害个人对负载在信息之上的权益。对于金融信息中的敏感内容如信息主体的银行卡磁道数据、银行卡密码、交易信息、个人生物识别信息等，应采取较高的保密技术实施特殊保护，并且定期观察检测安全环境、根据技术条件的变化在可承受的成本范围内更新保护措施，此外还要设定信息泄露的警报系统，在危险事件发生之时得以迅速回应，从而构建体系完整的安全阀。信息处理者通过机器学习等技术对信息数据进行加工编码运算过程中，应当采用公平合理的算法设计，禁止因敏感数据的分类差异实行歧视性对待，避免出现违反平等原则的事件而伤害部分信息主体的应有信息利益[22]。

应当形成民法、刑法、行政法协力规制体系，民事上减轻个人在金融信息受损时的举证责任，如规定由信息处理者证明其不存在侵害个人金融信息的行为；刑事上适当提高刑期与罚金额度、引入累犯加罚，但同时注意谦抑性的平衡；行政法上可以规定吊销个人信息处理登记证或许可证，对于严重的违法行为，应提高行政处罚标准，按照违法处理个人信息的数量处以罚款等。

2.完善信息流动的市场交易结构。大数据技术的发展使用户画像日益精准化，信息主体对金融产品与服务的决策选择不断受到信息处理者的影响，信息主体的意思自治在很大程度上被压缩，转而沦为信息处理者操纵的客体。市场交易规则介入的行为规制，应着眼信息主体与信息处理者关于信息的对价化交易过程、信息处理者之间关于数据信息流转的要素市场建构。

第一，信息主体与信息处理者的对价化交易，须在更新观念、设定规范的条件下实现。观念层面，当前对于信息法律关系，由于企业为个人提供了“免费”服务，如金融机构为客户提供免费的存款和资金保全服务，且个人并不需要在此过程中给付金钱，所以认为二者之间形成了以信息换取服务的无偿合同关系。但是信息收集者对信息的商业化处理所获利益超过了信息主体的免费使用收益，两者之间的利益失衡严重，“承认个人信息的财产价值，从而可通过损害赔偿或不当得利等制度，从根源上遏制经营者不法利用个人信息的经济动机”[23]。规范层面，可以借鉴人格权商品化的交易模式将个人与企业之间关于金融信息让渡的关系，在性质上界定为设权让与。依该模式，权利主体并未发生更替，原始权利中具体权能的一部分与总权利分离，转让给受让人即信息处理者，从而确保受让人同权利人之间依据许可性内容实现其具体利益。如德国法上已经将信息流转关系尝试性参考知识产权的许可规则进行处理[24]，以调整二者之间的利益失衡状态。对敏感金融信息而言，企业应当在获取信息之前履行充分的告知义务，若企业出价令个人满意，该部分金融信息在符合安全性的前提下自然可以让渡。由此，信息处理者在不断获取数字市场的经济红利之时，作为信息原材料提供者的个人也可以从中分取一部分利益。

第二，信息处理者与其他企业展开有关信息转让的法律关系，核心是构建统一合规的要素市场。近年来我国已设立由政府、企业、产业联盟分别主导的各种类型的大数据交易平台，并出台了与数据交易、数据结算、资源管理、确权分权、资格审核等一系列规则，成为信息产业发展的重要保障。但其数据交易的上位立法仍有缺失、治理组织的职能分散，造成交易行为无序化、信息孤岛与碎片化等弊端[25]。首先要通过完善数据立法，强调信息流转的经济价值，特别是形成有序交易的规则体系，但信息处理者之间的交易行为所涉及对原始隐私政策的改变，必须及时告知信息主体以再次取得同意，防止后者合理预期落空；其次应成立专门治理数据的市场机构，可以将分散于工业和信息化部、公安部、网信办或市场监管等多个部门的权力集中于某一特定政府部门，同时授权具有公共管理职能的社会组织如互联网协会等作为前线监管机构履行监督职责，既保证了公权力作用于市场的积极意义，也扩大了专业化职权的运作空间。市场规则的运作离不开法律的引导，这体现出“弱小圆点”保护框架内不同规制力量之间的作用关系。

3.强化自律合规的社群准则体系。社群准则作为软法性规范，施加约束的机理一方面是通过声誉机制提升社群内部成员逾矩行为的社会成本，另一方面借助教育引导强化责任意识与合规观念。实际上，前者属于事后评价，通过事后的优劣评定为约束对象框定行为边界、指明努力方向，而后者是事前督导，事先介入思想层面以减少行为错谬、干预其违法行为的发生源头。事先介入的主观因素更强，规制效果也更好，而实际上在理性的受约束对象眼中，不管是事前还是事后，都会产生直接的主观规制效果[20]340。

第一，培训奖惩结合的声誉机制，不仅关注行为违反后的负面效果，还应实施行为合格或优秀的奖励肯定。金融信息处理者多为具有较大社会影响力的金融机构和商务平台，对于声誉制裁较为敏感，政府或者具有公共管理职能的组织可以设置信息搜集的准入门槛与行为细则，引入类似于信用评级机构的第三方合规评级机制，当有关企业违规收集金融信息的次数在特定期限内超过一定比例，合规评级机构将通过调低分数以降低其在用户心中的认可度。对于考核合格的信息处理者或通过自身研发推出以用户金融信息安全保护为导向的新型技术的企业，评级机构则给予较高的分数，政府或具有公共管理职能的组织亦可以补充适当的金钱与非金钱奖励，从而作为优质信息处理者推荐至市场。

第二，促进双管齐下的教育引导，有关金融信息安全保护的教育知识主要面向信息主体与信息处理者。OECD在一份名为《金融服务中的个人数据使用与金融教育的作用》报告中指出，信息主体对于个人信息权益的漠视导致金融信息被不正当使用，并因此造成人格与财产权益的减损，是故应加强对信息主体关于金融信息保护与利用的教育[26]。事实上，信息技术与金融科技的突飞猛进也造成信息处理者本身对于信息保护合规意识的不足，特别是在一些信息处理者中由于缺少熟悉信息法律的合格人员，即便设置了相应的岗位，但对于信息法律法规的学习是不间断的、消化是需要时间的，所以信息处理者也迫切需要持续、充分且符合现实监管要求的金融信息教育。为此，应当由具有公共管理职能的组织如互联网协会等在行业内部定期进行有关金融信息安全保护规则的培训，要求信息处理者学习达到合格的课时量并辅以考试核查；除了采取对不特定公众的教育宣传外，应特别要求信息处理者在用户点击平台APP或使用其他服务时，在显著位置注明有关金融信息保护的教育内容，以此扩大教育宣传的覆盖面。

4.制定“通过设计”的架构功能样态。如前所述，架构是预置在系统内部的规制力量，一经设置就作为默认规则自动执行，规范效果就更为直接。这一方面表明架构发挥功能主要侧重事前预防而非事后救济，另一方面显示出架构的可设计性与其功能之间的密切联系。在金融信息保护语境下，拓展架构的功能区间和强度是关键举措，由于敏感金融信息与隐私内容具有共通性，国际上普遍认同的“通过设计”的隐私保护架构规范对于金融信息保护而言仍具有参考价值。

对于金融信息保护而言，“通过设计”架构的基本原则在于：第一，将敏感信息嵌入设计之中。作为信息处理者服务展开的核心组成部分，但又不损害系统整体的功能发挥，如信息处理者可为个体提供仅能通过当事人指纹识别才可以打开敏感金融信息的设计，且对信息处理者一体适用，除非发生不可抗力侵入系统并有损信息之虞，信息处理者才能启动应急干预机制直接接触有关信息并加锁。第二，设计的功能旨在实现全生命周期保护。算法接入的信息控制技术能够随着算法本身的迭代和算法应用范围的拓展从源头到中程再到末端，对金融信息施加有利的规管，金融科技的引入进一步增强了信息保护技术。第三，透明度要求。架构规则设计以及发挥作用的过程本身都极具隐秘性，作为一种商业秘密，信息处理者有坚实的理由不对外开放，但是如果架构本身存在严重的安全隐患将造成毁灭性结果，对此可要求企业向监管部门披露技术上有关个人金融信息保护的关键部分，或根据监管机构问询履行解释义务，同时增设具有公信力的第三方监督机制，以妥善缓解透明度不够的风险。第四，问责性安排。当技术发展与实践应用存在一定脱节时，信息处理者设计的架构将不应以披露或解释而豁免，若有关架构造成金融信息的终局性危害，为避免发生无担责主体反向激励企业冒险行为，应规定由信息处理者以严格责任为归责原则承担不利后果的损害赔偿责任。

个人金融信息保护的根本特点是其信息敏感性，关系到个人财产权益与人格权益的维护以及金融安全利益的切实保障。比较法和我国当前立法呈现的个体赋权进路面临适用效果不彰的困境，应当在扩充个人对抗外部侵害的权利实现机制的同时，更加重视以体系化的规则建构从外部行为规制角度引导信息处理者与信息主体就金融信息保护实现合作治理。“弱小圆点”理论所提出的不同规制力量对于个人金融信息保护有所助益，然而作为一种规制的思想理路，今后的重点则是在理念指导下完善规制细则。在《个人信息保护法》出台与各种类型的信息保护规范相继涌现的背景下，伴随着金融信息运作的场景增多和金融科技发挥效能的空间拓展，个人金融信息保护依然任重道远。