沈奇

在互联网技术高速发展的背景下，金融市场与计算机技术融合从而产生了数字金融。个人金融信息与公民人格权益和国家金融市场健康发展紧密联系。目前，我国个人金融信息的保护主要存在法律法规体系不够完善、信息管理混乱、保护意识低等不足。因此，需要建立健全信息保护法律法规体系；强化金融机构对个人金融信息保护的信义义务制度；设立统一信息监管部门；提高全社会个人金融信息保护意识。

一、数字金融中个人信息保护存在的问题

我国法律体系中有许多关于个人金融信息保护的法律法规，中国人民银行、中国证券业监督管理委员会等部门均出台了有关个人金融信息保护的规章。个人金融信息的共享与保护在我国法律中颇受重视，但由于各种原因导致其长时间定位不清。数字金融是进入信息时代发展起来的新型经济体制，以数字信息为生产资料，通过互联网技术以及数据流通等手段创造经济价值的一系列经济手段。随着互联网的深入发展与普及，为服务于数字信息时代的生产资料以及物资的快速流转与生产，数字金融随之产生，各大金融机构相继开通数字化金融服务。数字金融在我国蓬勃发展表现出了旺盛的生命力，但个人金融信息的发展在我国呈现出以下特征：

一是人格利益遭受损害。个人金融信息具有人格性与敏感性，保护个人金融信息就是保护公民人格权益。目前我国采取“一元制”保护方法，即把个人信息与个人隐私以相同的方法进行保护。

二是监管保护难度增加。数字信息、市场与风险紧密相连，数字金融驱使着经济个体不断追寻着更高利益，市场主体为了占据更大的市场份额，不断地从公民个人、社会团体等获取信息，有些公司采取信息共享的模式占据市场份额，客观的推动了个人金融信息的共享化进程，但是也加大了对使用个人信息监管的难度。互联网为信息的传播提供了高效的途径，但互联网使用者身份隐蔽，行业各异，人员组成复杂增加了监管的难度。

二、数字金融下个人金融信息保护体系薄弱

（一）法律法规体系与数字金融实践不适应

随着社会的发展，人们越来越重视个人信息的保护，其中个人金融信息作为个人信息中极为重要的一部分已经在全世界引起重视。各国也在本国法律体系中规定了对公民个人金融信息保护的相关条例。例如，美国的《金融服务现代化法案》中规定了对于公民金融信息的保护。欧盟《通用数据保护条例》（GDPR）是适用于全行业的法律条例，同样适用于对个人金融信息的保护。

我国相继颁布了多部法律保护公民的个人金融信息，如《中国人民银行金融消费者权益保护实施办法》《个人信息保护法》等规定了公民个人信息保护办法。《中国人民银行金融消费者权益保护实施办法》规定了个人金融信息为银行、支付机构通过主营业务或者其他的符合法律规定的渠道获取的信息。央行对个人金融信息的定义为个人在进行金融产品交易或者在接受相关金融服务时所联系的个人信息，如个人使用Q币等虛拟货币时所产生的信息在此定义下就不属于个人金融信息。《个人信息保护法》规定了何为个人信息，但未对个人金融信息做出解释，且该法只是笼统对个人信息的保护只做出宽泛规定，并没有依据个人金融信息的特点以及现实中的侵权现象做出具体的法律规定。此外法律体系的不完善使得市场主体不知法律界限，很多违法现象都存在“无知违法”的现象，其中以中小金融机构最为严重。商业银行法、证券法、保险法都没有对个人信息保护做出规定。总体而言，我国对于个人金融信息保护的法律规范分散于各个法律部门中，还有些规定于部门规章之中，没有形成完整的法律法规体系，使得对个人金融信息的保护“无法可依”。

（二）信息使用者义务不明确

信息使用者作为信息市场的主导者，拥有大量的信息，相对于公民具有天然的优势，但其没有尽相应的义务。金融“信用”是个人金融信息的产物，现代市场经济下许多企业也建立了自己产业下的一套“征信”系统。此外这类互联网金融公司也曾设立过征信公司，更是被作为“互联网”征信企业进行试点，但是其在适用期满时并未获得批准继续运行，随后这些企业继续以“信用分”的形式运行。市场经济下充斥着各种商业主体，每家企业都希望有一份自己的征信信息，各信息使用者雇佣大量的销售人员，这些销售人员通过网络、电话、广告手段不断地获取公民个人金融信息，这些信息使用者在获取公民个人信息时不告知或者少量告知公民其要如何使用个人金融信息；其次在获得信息所有者授权后，这些使用者缺乏安全保护意识，通常其只设立了简单的信息保护系统或者将其与其他的客户信息存储在一起，这样会导致金融信息安全隐患和信息管理混乱。

有些企业存在未经客户同意获取客户个人信息后任意使用其个人信息。这种现象大多存在于线上App，国家法律要求互联网实名制，有些App在国家要求实名制的大旗之下，一些信息使用者利用APP的虚拟性、非接触性和隐秘性的特点，采取霸王条款逼迫用户，规定用户使用该APP时必须交出个人信息，并且对用户个人信息存在过度使用情况，甚至根本没有取得授权便使用用户信息。中国信息通信研究院等机构发布的《移动互联网应用个人信息安全报告》统计显示，强制性、高频次、过渡性收集使用APP用户个人信息成为“业界常态”，用户向12321网络不良与垃圾信息举报受理中心投诉的问题主要包括：APP在获取用户个人信息时规则说明不明确、存在隐藏条款、缺少配套的适应性条款对所有用户都采取一致的格式条款。

（三）全社会个人金融信息保护意识薄弱

现阶段我国数字金融业发展迅速，数字金融市场上充斥着各种金融信息，但广大信息使用者和信息保有者都没有重视个人金融信息的保护。金融机构信息安全保护意识低，仅2020年央行就开出了181张与“个人金融信息”相关的行政处罚罚单，涉案金额累计超过1.8亿元。公民个人对于金融信息也不够重视，消费者对于数字安全、信息保护、投诉维权等技能长期空缺，部分群众的防范意识低下，轻易地将账户等个人金融信息交给商业主体或陌生人，加大了对个人金融信息保护的难度。

三、完善数字金融中个人信息保护的法律制度

（一）完善个人金融信息保护法律体系

保护个人金融信息不受侵犯离不开健全的法律法规。健全法律法规体系是建设法治国家的基石，相关部门应当坚持依法治国的精神，依据《宪法》设立全方位的法律体系。我国现阶段个人金融信息保护的法律法规散布于各个法律之中且各信息保护法都没有对个人金融信息准确定义。笔者建议相关监管部门制定统一的《金融个人信息保护规定》（以下称规定），《规定》应当结合《商业银行法》《证券法》《保险法》《个人信息保护法》与各行政法规结合，在信息收集、使用、储存、共享方面做出具體规定。《规定》应当确定信息权利人的享有信息权益，信息使用者负有保护信息的责任。一是明确个人金融信息内涵、外延，使得民众以及各金融信息使用者明确知道个人金融信息的定义；二是细化信息权利人的知情权、支配权、异议权和救济权等基础性权利，明确个人金融信息的法律地位；三是明确金融机构作为首要义务主体在收集、保存、使用、共享、披露个人金融信息的妥善保管和保密义务，在数字金融科技飞速发展下保证客户信息不被侵犯。

此种情况屡屡出现因为违法成本过低，应在立法上规制这些行为，根据机构违法情况设立不同等级的处罚机制，根据违法侵权造成的法益侵害程度划分为“轻微”“中等”“严重”三个等级，对于“轻微”的违法行为要求违法机构整改，对侵权对象加以补偿并登记在案；对于“中等”违法行为要求违法机构补偿损失，处以罚款等措施，将其违法行为予以公告并记录在案；对于“严重”违法行为要求其不仅要补偿损失还需给予惩罚性赔偿，侵权中负主要责任人员追究其刑事责任。通过分级处罚方式建立系统性的法律法规，使得有关部门“有法可依”。

（二）强化金融机构对个人金融信息保护的信义义务制度

个人信息保护关键是明确信息使用者的信息管理义务，信息使用者拥有大量个人金融信息，是信息市场的主要组成部分，明确信息使用者管理义务就能对信息市场做到合理规划。明确管理义务首重是对信息收集进行规制，信息收集是信息使用的开端，相关部门可提供相关人员对金融机构收集进行指导监督，对其中优秀的收集方法予以宣传，对于违法行为予以纠正，从根源上杜绝胡乱收集、重复收集、暴力收集等。信息储存的安全也是保护个人金融信息的重要组成部分，信息使用者应当采取技术手段、管理手段等多方位措施保护信息安全，大规模信息收集者应当设立专门的信息安全部门，小规模收集者设立专项负责人。个人金融信息保护最为重要的是信息使用，现实中许多金融机构侵犯个人金融信息都是在使用这一过程中，不当的使用客户信息或者出售客户信息。信息使用者应当设立相关规章制度，规定使用个人金融信息应当取得个人信息权利者的同意，在权利者授权范围内使用，并告知权利人使用的范围，在完成使用目的时将个人金融信息妥善保管，对于公司内部员工个人侵权的予以处分。

（三）加大违法处罚力度，设立独立的信息监管部门

我国现阶段对于个人金融信息侵权主要采取民事手段，处罚力度小、违法成本低。《刑法》的谦抑性要求我们谨慎使用刑事方法而不是不采取，大规模性质恶劣的信息侵权，严重侵犯公民个人利益，扰乱金融市场可以采取刑事手段。信息具有集合性，个人金融信息侵权侵犯的主要是群体利益，对于公民个人利益侵犯较小，可以采取以罚金和对主要负责人从业禁止为主的刑事手段。

（四）提高个人金融信息保护意识

提高全社会个人金融信息保护意识，使得个人金融信息保护成为社会上的风气要从信息使用者和消费者两个方面人手。法律不会保护躺在权利上睡觉的人，权利是公民人格的体现，保护权利即是保护个人尊严，提高全社会个人金融信息保护意识离不开每一个公民的努力，每个公民都应当树立权利保护意识、养成正确的是非观。正如耶林在《为权利而斗争》一书中阐述的“一个国家不过是全部单个个人的总和，由千千万万单个个人的是非感，塑造出一个民族的是非感”。

一项新的法律的诞生必然会对既有利益者提出挑战，信息使用者就必须顺应时代发展，积极履行既有的义务，包括：一是要提高自主保护意识，数据技术及时的更新换代，在制度层面上设立严密的保护体系，使得信息使用的每一个步骤都有据可依；二是要加强领导班子的信息保护意识，在企业内部宣传个人金融信息保护的重要性，以上带下，树立信息保护典型模范，在金融机构内部形成信息保护的风气；三是消费者要做到该说尽说，尽忠诚勤勉义务，尽可能降低使用个人信息对消费者的影响。

四、结语

个人信息已成为公民人格权的重要组成部分，对个人权利保护是法律体系核心内容之一。多年来，我国从民事、行政、刑事等各个层面不断完善个人信息保护相关法律法规，《个人信息保护法》更是构建了个人信息保护完整框架，为金融机构加强个人金融信息保护、防范打击非法侵害个人金融信息提供了法律基础。但现行的个人金融信息保护法律制度还存在诸多不足，法律法规体系不够完备等问题突出，必须建立健全相应法律体系，提高全社会个人信息保护意识，才能保证我国金融事业平稳高速向前发展。