应衣璐 白熊 李铭

互联网金融作为传统金融业与互联网融合的新兴领域，极大地提高了社会资金的运行效率，但同时也产生了信息泄露、消费侵权、金融欺诈等安全隐患，尤其是个人信息泄露可能会导致身份泄露，进而造成金融诈骗、信用欺诈等后果出现。在互联网金融环境下，如何加强个人信息保护成为亟待解决的问题。

一、互联网金融个人信息的界定

作为解决问题的首要基础，我们首先应当界定互联网金融个人信息的范围。《个人信息保护法》第四条明确给定了个人信息的定义：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。关于个人信息界定的理论，学术界争论不断。就目前来看，比较具有代表性的理论主要有三种：即关联说理论、隐私说理论和识别说理论。其中，识别说理论目前是个人信息理论界定的通说，也为绝大多数域内外立法实践所采用。该学说主张以“识别性”为标准界定个人信息。这种识别包括“直接识别”与“间接识别”，也即，个人信息既包括能直接确定信息主体身份的单一信息，同时也包括与其他信息相结合后足以锁定信息主体身份的信息。

互联网金融个人信息作为个人信息的下位概念，通过结合个人信息的法律定义及识别说理论，可以将其理解为“互联网金融背景下，消费者与金融机构在交易过程中会产生的大量能够直接或者间接识别消费者身份的互联网金融交易数据，以及在金融交易过程中可能会提供的许多涉及个人利益的信息”。

二、当前互联网金融环境下个人信息保护现状

（一）互联网金融个人信息保护面临的挑战

互联网的发展伴随着大数据云计算的出现，不仅带动了许多科技企业的迅速发展，而且可穿戴的智能设备、云存储等技术的发展，与大数据相结合，可以瞬间完成海量个人信息数据的收集整理和传播。我们以为将自己隐藏在互联网背后能够保留个人独处的隐私空间，然而，只要我们开启手机各种应用软件的定位功能，“他们”就可以清楚知道我们在什么位置。在网络上，“他们”也能知道我们观看的网络视频直播是什么内容，网上订购的是什么商品。“他们”甚至通过获取我们浏览的网页、阅读的书籍、听的音乐、看的电影等信息，将我们整理成一个个由各种信息堆砌而成的“数据人”，从而精准地预测我们的喜好。我们的个人空间已经被信息处理者全方位地侵入，如果不采取适当的方式来保护所谓的“数据人”的个人信息隐私，那么“数据人”在大数据时代就会呈现“裸奔”的态势。

1.个人信息使用可能会影响个人的财产权利。通过大数据的分析模型，我们作为由个人信息堆砌的“数据人”，各类行为表现已经被信息处理者掌握得一清二楚。通过技术手段能清晰地描述出每一个人在不同领域的消费习惯、消费商品种类等的“用户画像”。在金融环境下，这些“用户画像”将会给商家们带来巨大的商业利益，因此，在商业利益的驱使之下，个人信息的泛滥会导致骚扰性的电话、短信、邮件频频出现，给我们的生活带来许多侵扰。一些企业利用用户的特征设计成不同的方案，进行“精准式”的营销轰炸，更有甚者可能会利用个人信息实施诈骗活动，危害了公众的财产安全和人身安全。

2.互联网金融环境下的个人信息利用问题。一些互联网金融企业在利益驱使下，通过收集用户个人信息，服务于所谓的精准式信贷、保险、信托、理财等领域。这些企业利用提前拟定好的格式条款、全权授权协议等方式在社交网络、第三方支付平台等线上线下渠道收集用户个人信息，并通过分析用户的行为特征，给用户打上新生儿父母、房奴、单身等各种标签，并将这些用户信息对外出售给相关金融企业。个人信息被利用将会给用户的生活带来巨大的负面影响。例如，人们可能由于深夜购买游戏币等无意间的行为，被贴上没有稳定的工作、生活作息不良等负面标签，有可能在贷款申请时或求职时被拒之门外。因此，若没有对信息收集者的制约机制和本人及时申诉救济的途径，人们在面对信息掌握者对其做出的不利决策时，往往处于毫不知情又无可奈何的窘境。

（二）互联网金融中立法保护之困境

多年来，我国陆续出台了有关个人信息保护方面的法律法规，2021 年8 月通过的《个人信息保护法》更是个人信息保护的上位法，为互联网金融企业加强个人信息保护、防范打击非法侵害个人金融信息提供了法律基础。但应当看到，在信息收集面前，我们仍然还是一个个信息透明的“数据人”，我们的生产和社会生活都被数据化了，甚至个人隐私也会被“无情”地收集。面对信息收集权利的滥用，当前的法律规范虽然明令禁止，但是仍然有大量不法收集信息的情况存在，归根结底，是法律体系的构建还不完善，法律规定还没有细致完备。例如，虽然我国《民法典》第 111 条规定了公民的信息权，但是该条款仅仅是宣示性的，需要相关的法规和司法解释进一步细化；再如，就互联网金融个人信息保护的立法而言，至今无专门的法律法规，仅有少量国家行政法规和部门规章散见于各处，缺乏相互间的协调和统一，对各种权利的界定也不明确，且法律的效力和层次不高。

（三）互联网金融监管层面的欠缺

2017 年5 月，中国人民银行成了金融科技委员会，并将监管科技和金融科技的强化研究编入《中国金融业信息技术“十三五”发展规划》中，旨在将监管科技的应用逐步推广和强化，利用人工智能、大数据、云计算等科技武装金融监管，提高跨市场的金融风险甄别和防范化解能力。我国目前已经在推进安全可控技术应用，提升网络安全防护能力等方面下了大力气。不断实现监管数据的共享和互通以云计算、 数据湖为主要内容的大数据技术等，为各类监管数据的整合、共享、互通提供了技术支撑，提高风险动态识别能力。但随着大数据、云计算、区块链和人工智能不断迭代更新，现有的金融业务模式框架已经发生了重大变化，而当前的监管手段仍然无法有效应对各种网络科技风险，进而更无法阻止个人信息泄露的风险。

面对不断发展的互联网金融，当前的监管技术已经无法有效应对，在监管缺位情况下，个人信息监管保护更加无从谈起。

三、互联网金融个人信息保护的优化途径

（一）立法层面

互联网金融的背景下，金融消费者的个人信息由于具有特殊的商业价值，成为了互联网金融行业争相抢夺的市场资源，因此用户的个人信息，尤其是其中的敏感信息部分，如个人消费记录、信贷记录、消费习惯等，更容易受到侵犯。然而，当前没有一部专门的法律把金融信息作为一类重要的信息予以专门规制。因此，立法需从以下方面尽快完善，以加强公民个人信息的保护。

1.明确“数据”的法律性质和权属。在互联网金融环境下，公民的个人信息往往以“数据”的形式表现出来。实践中，经过收集后所形成的数据权属问题还存在争议。只有确认数据的属性及权属才能界定数据主体所享有的权利和义务，因此我们应当尽快完善法律的相关规定。我们应当将数据认定为一种新型的权利，既不属于物权也不属于知识产权。因为在互联网时代，数据体现出来的特征与传统的物权和知识产权也很大的差异。因此，建议在民法典的基础上，进一步认可数据的人格权属性，配以数据的特点，规定数据的权属属于产生数据的个人，但是经过加工收集整理分析的数据，权属可以由当事人约定，约定不明的，建议其收益由数据生产者和加工者共享。

2.完善数据安全保护制度。目前我国的网络安全保护尚处于制度构建阶段，需要制定更多的具体制度去补充和实施现行制度，需要更完善更有力的数据安全保护制度去保障个人信息。建议在其他单行法律中，也加入与本法相关的数据安全保障制度。例如，在互联网金融领域中，互联网金融机构可以视为商家，个人可以视为消费者，因此，我们可以在《消费者权益保护法》中加入有关消费者的个人信息保护制度，将个人信息的提供纳入到消费者权益保护法中，加强互联网金融消费者的个人信息保护。

（二）监管层面

1.改善互联网金融个人信息的监管模式。随着信息技术的发展，消费者的个人信息逐渐跨地域、跨国境，传统的分业监管模式已经无法精准地划分信息管理辖区。因此，为顺应时代发展，有必要以国情为前提，构建统一的金融监管模式。

2.发挥科技的监管作用。针对监管手段滞后这一问题，我们应当充分运用科技手段，对个人信息进行动态保护，对互联网金融机构实行动态监管。具体而言，我们可以将人工智能技术引入到监管中。金融监管日益复杂化，且监管对象和监管主体之间相互冲突。通过自动化的报告程序可以使得金融机构的合规工作量减少，人工智能和深度学习可以提供自动化的消费者保护、市场监测和审慎监管。同样，我们可以应用区块链的非对称加密技术、去中心化数据存储、互联网匿名保护技术等，制定可操作的监管规则，在保障互联网金融用户信息安全的基础上，为数据共享流通创造便利条件，促进互联网金融企业的竞争和合作，合理设置平台责任，有效平衡经济发展和用户个人金融信息保护之间的平衡。