互聯網金融信息風險的法律防控

王肅之

摘 要 隨著互聯網金融的崛起，信息風險已經成為影響其良性發展的重要問題，信息系統風險、賬戶信息風險、用戶信息風險層出不窮。現有相關立法主要包括刑事立法、行政立法，但是存在框架不夠細密、未能及時回應現實、缺乏對互聯網金融消費者信息的保護等問題。應健全互聯網金融信息安全立法體系，重視互聯網金融企業的信息保護，并且嚴厲打擊侵犯互聯網金融消費者信息行為。

關鍵詞 互聯網金融；信息風險；法律分析；法律對策

[中圖分類號]D922.28 [文獻標識碼]A [文章編號]1673-0461（2017）06-0081-05

在經歷了農業社會、工業社會之后，人類社會不可避免地進入了網絡社會。網絡社會在極大地方便了人們生活的同時，也同時伴生著巨大風險，信息泄露、信息濫用等行為往往導致著各種各樣的直接后果和間接后果。互聯網金融的發展給經濟發展注入了新的活力，但是其自身的信息網絡屬性也隱含著巨大的信息風險。市場經濟是法治經濟，網絡空間是法治空間，現有立法在防控互聯網金融信息風險過程中是否已然充足？未來互聯網金融信息風險的法律防控又該走向何處？尚需進一步研究。

一、互聯網金融發展的信息風險

根據CNNIC最新發布的《第38次中國互聯網絡發展狀況統計報告》顯示，截至2016年6月，中國網民規模達7.10億，全年共計新增網民2 132萬人。在網民數字飛漲的背后，是互聯網從根本上再構人們生活方式、再構整個社會結構的歷史進程。互聯網的普及極大地改變了人們的生產和生活方式，重塑了傳統行業的發展模式，在“互聯網+”時代，互聯網與傳統產業結合，催生了一大批新興產業，互聯網金融順勢而生。

謝平、鄒傳偉《互聯網金融模式研究》正式提出互聯網金融模式問題，并從支付方式、信息處理、資源配置[1]三個方面展開論述。之后，關于互聯網金融的模式、種類界定林林總總：第一，三分法。中國人民銀行金融穩定分析小組《中國金融穩定報告2014》認為，當前，業界和學術界對互聯網金融尚無明確的、獲得廣泛認可的定義，但對互聯網支付、P2P網貸、眾籌融資等典型業態分類有比較統一的認識。第二，六分法：第三方支付、眾籌、大數據金融、互聯網金融門戶以及金融機構信息化等[2]。第三，八分法：傳統金融互聯網化、移動支付和第三方支付、互聯網貨幣、基于大數據的征信和網絡貸款、基于大數據的保險、對等聯網（P2P）、眾籌、大數據在證券投資中的應用等。各種分類不一而足。

2015年《關于促進互聯網金融健康發展的指導意見》出臺，標志著我國互聯網金融監管進入有規可循的時代，也明確了官方所認可的互聯網金融主要形式。根據該意見，互聯網金融主要包括互聯網支付、網絡借貸、股權眾籌融資、互聯網基金銷售、互聯網保險、互聯網信托和互聯網消費金融等形式，從法律上確定了若干互聯網金融類型。該意見的出臺確實有利于推動互聯網金融發展的規范化、正常化，然而其也未能全面解決互聯網金融發展的信息風險問題。對于“信息披露、風險提示和合格投資者制度”與“消費者權益保護”的概括規定顯然十分有限。2016年，國務院辦公廳印發了《互聯網金融風險專項整治工作實施方案的通知》，其規定的重點整治的工作有四項：第一，P2P網絡借貸和股權眾籌業務；第二，通過互聯網開展資產管理及跨界從事金融業務；第三，第三方支付業務；第四，互聯網金融領域廣告等行為。但是該通知也未就互聯網金融的信息風險問題作出專門規定。

在互聯網環境下，信息數據在成為社會運轉核心方式和關鍵資源的同時，也成為最大的危險來源。公私領域對于數據利用的需求比以往任何一個時代更加迫切。[3]民眾享受互聯網金融帶來便利的同時，卻面臨著賬號被盜、資金被竊、交易欺詐以及財產損失等諸多潛在的信息安全風險[4]。每年在全球范圍內有大約十億的信息數據泄露記錄并且導致近六十億美元的經濟損失。[5]對于處于社會資源配置頂端的金融業更是首當其沖，信息風險嚴重危及互聯網金融的良性發展。其主要包括以下幾個方面：

第一，信息系統風險。隨著信息技術的發展，在計算機信息系統不斷方便人們生活的同時，其信息系統的輻射網絡也在日益膨脹，甚至于信息系統已經逐漸脫離于具體的計算機，而成為與社會成千上萬人休戚相關的巨大系統。就互聯網金融而言，信息系統也成為了互聯網上資金周轉的根本路徑，也自然成為了網絡攻擊的重點對象。早在2013年1月9日，拍拍貸就遭到了黑客的惡意流量攻擊。此后，人人貸、融信網、網貸之家、雙乾支付等互聯網金融平臺屢屢受到攻擊。比特幣等虛擬貨幣也未能逃過一劫，比特幣平臺Gatecoin表示，發生在2016年5月9日到12日之間的攻擊最終導致了185 000枚以太幣和250枚比特幣的損失，總價值200萬美元，占平臺總資產的15%。

第二，賬戶信息風險。在信息化、數據化的浪潮之中，用戶的資金也愈發電子化。在互聯網金融平臺上流動著無數的用戶資金，賬戶密碼代替了存折、銀行卡成為互聯網資金的“鑰匙”。然而，在互聯網金融不斷發展的同時，用戶的賬號也頻頻遭受信息風險。2014年，央視就曝光犯罪嫌疑人在網絡上以2元錢一個的價格向別人購買支付寶賬號和密碼，使用親友的身份證號、銀行卡號，注冊了大量支付寶賬戶，在十天時間里轉走了32萬元。其他領域的所謂“盜號”時間也屢屢發生。

第三，用戶信息風險。在互聯網金融蓬勃發展的同時，互聯網金融用戶的群體也逐漸壯大起來。在互聯網環境下，無論與人身有關的個人信息，還是與行為有關的個人信息，都成為“商品”被隨意買賣，互聯網金融用戶由于身份與金錢有關，更成為重點受害群體。早在2013年，央視“3.15”晚會就曝光，眾多不法互聯網廣告商、網絡搜索企業，均通過Cookies暗中跟蹤用戶的上網行為和用戶隱私信息。在有的案件中個人信息倒賣十分猖獗，一個電話號碼可能被賣五次，手機定位信息的買賣也司空見慣。

與互聯網金融信息風險的一再蔓延相對照，現有立法卻顯得較為滯后。這些新的機會和風險正對我們的法律制度構成新挑戰。[6]法律由于其穩定性，往往自我調整周期較長。無論是信息時代還是網絡金融，便捷性、變化性均是其顯著特征，這就與傳統的金融立法特別是信息金融立法出現了方向性差距。然而，市場經濟歸根到底是法治經濟，互聯網金融的良性發展歸根到底需要在法律的規范、引導下有序進行，否則2015年由互聯網金融野蠻生長誘發的股災還會到來，互聯網金融的信息風險呼喚著立法的修正和更新。

二、防控互聯網金融信息風險的立法分析

（一）現有立法概況

互聯網金融信息風險多與犯罪行為、行政違法行為相關聯，一般不屬于平等主體之間的民商事法律關系，與傳統經濟金融領域的風險不同，其更多地規定在刑法、行政法之中：

第一，刑事立法現狀。由于我國刑事立法一直以來采用單一的刑法典模式，有關互聯網金融信息風險的犯罪行為也多通過刑法修正案的形式納入刑法典的規定之中。經過《刑法修正案（五）》、《刑法修正案（七）》、《刑法修正案（九）》，目前主要包括以下罪名：其一，竊取、收買、非法提供信用卡信息罪。該罪由《刑法修正案（五）》于《刑法》第三章“破壞社會主義市場經濟秩序罪”中增設第一百七十七條之一，規制“竊取、收買或者非法提供他人信用卡信息資料”的行為。其二，侵犯公民個人信息罪。該罪由《刑法修正案（七）》于《刑法》第四章“侵犯公民人身權利、民主權利罪”中增設第二百五十三條之一，規制“違反國家有關規定向他人出售或者提供公民個人信息”與“竊取或者以其他方法非法獲取公民個人信息的”兩種行為，并且對于在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的從重處罰。其三，非法侵入計算機信息系統罪、非法獲取計算機信息系統數據、非法控制計算機信息系統罪。非法侵入計算機信息系統罪在現行刑法出臺時即有規定，只不過當時適用范圍僅限于“國家事務、國防建設、尖端科學技術領域的計算機信息系統”，《刑法修正案（七）》將其擴大到一般計算機信息系統。另兩個罪名由《刑法修正案（七）》于《刑法》第六章“妨害社會管理秩序罪”中增設第二百八十五條第二款。第二百八十五條對于侵入計算機信息系統、獲取計算機信息系統數據、非法控制計算機信息系統數據的行為予以全面規制。其四，破壞計算機信息系統罪。該罪由《刑法》第六章“妨害社會管理秩序罪”中的第二百八十六條規定，規制對計算機信息系統及其存儲、處理或者傳輸的數據和應用程序刪改等破壞性行為，以及故意制作、傳播計算機病毒等破壞性程序的行為。

第二，行政立法現狀。有關互聯網金融信息風險的行政違法行為之前主要規定在《治安管理處罰法》中，新進出臺的《網絡安全法》對此也有規定。其一，《治安管理處罰法》的規定。《治安管理處罰法》第二十九條規定，在違反國家規定的情況下，實施下列行為且造成特定危害的，予以行政處罰：侵入計算機信息系統；對計算機信息系統功能進行刪除、修改、增加、干擾；對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的；故意制作、傳播計算機病毒等破壞性程序。其二，《網絡安全法》。2016年11月出臺的《網絡安全法》從網絡信息安全的角度作出規定。《網絡安全法》第四十一條至第四十三條對于個人信息搜集與保管利用提出了具體的要求，并在第四十四條明確指出任何個人和組織不得非法獲取、非法出售、非法提供個人信息，第四十五條還對有關部門及其人員對于個人信息的保管提出了具體要求。上述規定構建了相對完整的了個人信息的收集、使用和保管規則體系。此外，《網絡安全法》第六十四條規定了侵犯個人信息的行政處罰，對于違反個人信息的收集、使用和保管規則的行為可處警告、沒收違法所得、罰款、停業整頓、吊銷營業執照等處罰。第六十四條第二款中也在具體的行政處罰之前作出“尚不構成犯罪”的規定。

（二）現有立法分析

總體來看，我國已經初步形成了互聯網金融信息風險法律防控體系，但是也存在一定的不足，分述如下：

第一，基本立法框架尚且不夠細密。目前，經過《刑法修正案（五）》、《刑法修正案（七）》、《刑法修正案（九）》的不斷修正，有關互聯網金融信息風險的犯罪行為規定已經較為全面；同時，繼《治安管理處罰法》后，《網絡安全法》的出臺特別是其中有關信息安全的條款適用，客觀上對于互聯網金融用戶的信息安全保護也具有重要意義。鑒于我國采取的是刑法典式的一元刑事立法模式，《網絡安全法》第六十四條第二款的銜接規定也有利于其與《刑法》的有關規定相協調。在這個意義上看，可以認為有關互聯網金融信息風險的立法框架已經初具規模。

但是，現有立法的不足也是明顯的。在《刑法修正案（九）》修正侵犯公民個人信息罪等犯罪后，2005年出臺《治安管理處罰法》中的原有規定就顯得十分不足。即對該類行為中較為輕微的行為，或者科以過重的刑事處罰，或者放任其一再蔓延，不利于有效地打擊侵犯互聯網金融用戶等公民個人信息的行為。更為重要的是，目前缺乏與互聯網金融信息風險直接相關的具體規定。《網絡安全法》等法律中有關的條款雖然可以間接適用，但是其針對性、有效性都會大打折扣。《電子商務法》雖然已經形成草案，但是尚未出臺，而且一些規定也有待于進一步完善。

第二，對于互聯網金融信息風險有關雙方的變化未能及時回應。一方面，現有立法對于可能遭受風險的主體擴張未能及時回應，互聯網金融企業用戶信息權的保護存在問題。隨著互聯網金融的發展，其用戶范圍也不僅僅局限于公民個人，而是在事實上包括了企業用戶。就企業而言，傳統意義上其基本法人權利可以通過《公司法》、《合伙企業法》等法律予以保護，而對于其商業秘密則可以通過《反不正當競爭法》等法律予以保護，這樣的保護體系在傳統社會中已然較為充足，但是在信息社會則難以面對其信息保護的問題。比如企業用戶的法定代表人姓名、銀行賬戶等信息在交易中很容易被獲取，這些信息無法通過前述的保護方法予以保護，但是一旦被泄露和非法利用，很容易對于互聯網金融企業的經濟利潤、商業聲譽施加不利影響。另一方面，現有立法對于可能引起風險的主體擴張未能及時回應。不僅傳統意義上惡意實施的非法侵入、破壞計算機信息系統的行為存在，“善意”的非法侵入行為也已經成為事實。比如，“白帽子”（也稱“道德黑客”）的問題。“白帽子”通過向相關平臺或者廠家反饋、發布漏洞，以敦促廠家在漏洞被黑客攻擊利用之前將其修復完善，維護計算機和互聯網安全。但是，這樣一種行為很可能給企業帶來客觀的風險。2015年12月，袁某通過安全測試軟件（自帶緩存功能，會自動將測試信息存儲到本地隱藏文件夾）發現某社交網站存在安全漏洞。為驗證漏洞確實存在，袁某通過其發現的漏洞瀏覽了該社交網站的部分數據。隨后，袁某將上述漏洞提交至其所屬的某互聯網漏洞報告平臺（以下簡稱“漏洞平臺”），漏洞平臺遂向社交網站通知了漏洞信息，使網站漏洞得以及時修復。但在漏洞修復過程中，社交平臺發現有九百余條有效數據被網站攻擊者獲取。對于這樣“善意”帶來的風險如何防控則是需要研究的新命題。

第三，互聯網金融消費者信息安全的法律保護仍顯不足。雖然現有刑事立法與行政立法對于包括互聯網金融消費者在內的個人信息保護力度一再加強，但是目前仍然存在以下兩個不足：一方面，缺乏對于互聯網金融消費者信息安全的特別保護。無論《刑法》還是《網絡安全法》，均是以“個人信息”為對象進行保護，但是金融領域的信息安全有其特殊性與重要性。2011年公布的《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》對此已有認識，其規定獲取“支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的”即構成犯罪，而其他“身份認證信息五百組以上的”才構成犯罪。現有立法中卻缺乏對于互聯網金融消費者信息安全的特別保護規定。另一方面，缺乏對于非法利用互聯網金融消費者信息行為的獨立規制。大數據技術的發展特別是數據挖掘利用技術的提升，互聯網金融消費者個人信息利用的利益也越來越大，非法利用行為已經在事實上重構了侵犯個人信息行為的體系。這些行為活動不是出售、非法提供而是非法使用公民個人信息。[7]非法利用行為不但成為體系中的重要行為之一，而且成為該體系的核心行為，成為非法獲取、非法提供行為的目的和前提。比如前文所述的對于支付寶賬戶的利用行為，如果說直接的支付行為尚可以納入傳統的盜竊罪、詐騙罪等犯罪予以處罰，那么對于其賬戶本身信用、個人資料等信息的非法利用則存在入罪的障礙，不利于有效保護互聯網金融消費者信息安全。因而需要重新考慮侵犯個人信息犯罪行為的體系，以有效地規制非法利用互聯網金融消費者信息個人信息的行為。

三、防控互聯網金融信息風險的法律對策

（一）健全互聯網金融信息安全立法體系

通過法律手段有效防控互聯網金融信息風險最為根本的途徑就是健全完善互聯網金融信息安全立法體系，使互聯網金融信息風險的防控全面納入法治的軌道。在現有的立法框架與狀況下，應側重從以下兩個方面予以完善：

第一，出臺專門立法與規定。信息風險防控是互聯網金融與傳統金融風險防控相比最為突出的新問題，傳統金融相關立法在調整其信息風險過程中難以完全適用，而與信息網絡有關的刑事法、行政法則多是從網絡信息安全的一般層面規定，現有的諸如《關于促進互聯網金融健康發展的指導意見》、《關于印發互聯網金融風險專項整治工作實施方案的通知》等文件不但立法層級有限而且缺乏義務與責任的規定，應及時在立法層面制定專門的互聯網金融信息風險防控立法或者規定。目前《電子商務法》正在起草過程中，其草案正向社會征求意見，然而值得玩味的是，草案第三條規定“涉及金融類產品和服務、利用信息網絡播放音視頻節目以及網絡出版等內容方面的服務，不適用本法”。但是草案第三章“電子商務交易與服務”第二節“電子支付”從第三十一條到第三十七條卻對于電子支付服務者作了極為詳盡的規定，前后條文讓人頗感費解。既作為互聯網時代電子商務的重要形式，又作為信息社會金融業務的延伸，支付寶等第三方支付平臺的雙重屬性為如何對其恰當立法提出了挑戰。筆者認為，應當就互聯網金融問題出臺專門的法律或者行政法規，并且在其中以一章的篇幅規定互聯網金融信息安全問題，且指明第三方支付平臺的金融行為依照本法律或者行政法規的規定，以規范和指導互聯網金融信息風險的防控。

第二，協調現有立法與規定。目前刑事法和行政法的相關規定仍然存在不協調之處，突出表現在《治安管理處罰法》等法律過于滯后。目前《治安管理處罰法》正處在修訂過程中，公布的修訂草案也在一定程度上注重與《刑法》的協調，但是仍未能完全銜接。比如，修訂草案第九十六條第一款、第二款規定，“明知他人利用信息網絡實施違法犯罪，為其提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持或者廣告推廣、支付結算等幫助的，處五日以上十日以下拘留；情節較重的，處十日以上十五日以下拘留。設立用于實施違法犯罪活動的網站、聊天室、論壇、通訊群組等網絡平臺的，依照前款規定從重處罰。”這兩款規定了為其提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持或者廣告推廣、支付結算等幫助，以及設立用于實施違法犯罪活動的網站、聊天室、論壇、通訊群組等網絡平臺的行為，但是未就與互聯網金融信息風險有關的發布違法犯罪信息與為實施違法犯罪發布信息的行為作出規定。現實中，互聯網金融領域的犯罪往往與大量資金相聯系，一旦有關互聯網金融犯罪的信息發布實際上具有更大的社會危害性，修訂草案的規定未對此有所體現。建議將“設立用于實施違法犯罪活動的網站、聊天室、論壇、通訊群組等網絡平臺的”修改為“設立用于實施違法犯罪活動的網站、聊天室、論壇、通訊群組等網絡平臺，發布違法犯罪信息，以及為實施違法犯罪發布信息的”。此外，也應通過修訂的形式將其他法律予以完善和協調，構建科學合理的立法體系。

（二）重視互聯網金融企業的信息保護

隨著互聯網的發展，進入互聯網的主體范圍早已不僅僅是具體的網民和特定的IP地址，企業作為重要的主體介入互聯網發展，互聯網金融信息安全領域企業信息安全的保護也應受到立法的重視：

第一，應在立法上給予互聯網金融企業信息權利必要的保護。縱觀我國現有立法，均是針對個人信息安全保護所展開的，《網絡安全法》中所采納的概念是“個人信息”，《刑法》中創設的罪名是“侵犯公民個人信息罪”，《關于加強網絡信息保護的決定》所保護的也主要是“公民個人電子信息”。學者之前給出的相關規定也是諸如“保護電子商務消費者個人信息安全以及其他合法權益”的表述[8]。這樣以個人信息為唯一保護對象的模式顯然不利于企業用戶信息的法律保護。應在立法中肯定包括互聯網金融企業在內的企業信息權利，比如，《電子商務法》草案第四十五條的規定就可以表述為：“本法所稱用戶信息，是指電子商務經營主體在電子商務活動中收集的能夠單獨或者與其他信息結合識別特定用戶的信息，如自然人姓名、身份證件號碼、住址、聯系方式、位置信息、銀行卡信息、交易記錄、支付記錄、快遞物流記錄等，單位名稱、名譽等。”

第二，應重視通過立法引導互聯網金融企業信息系統安全的保護。袁某一案中，互聯網企業報警信息數據被獲取反而讓立法機關逮捕了“白帽子”袁某，從而引起了“白帽子”群體的反對，《刑法》在這一過程中反而起了反作用，如果類似案件發生在互聯網金融企業那無疑會使大量的資金陷入信息安全風險之中。應通過立法引導多方主體共同參與互聯網金融企業的信息安全保護：其一，應引導官方和民間網絡安全力量共同維護互聯網金融企業信息系統的安全，特別是積極引導“白帽子”等民間網絡安全力量與互聯網金融企業實現“聯姻”。其二，應引導互聯網金融企業自身注重信息安全的保護，在資質審核、定期檢查中將信息安全作為重要的參考依據，使互聯網金融的信息安全意識與能力得到有效提升。其三，應推動良性的社會信息安全平臺建立并參與互聯網金融信息安全維護。在袁某一案發生后，“烏云”漏洞平臺被關閉，漏洞平臺與互聯網企業的緊張關系并未消弭，應以立法積極推動這一鴻溝的跨越。

（三）嚴厲打擊侵犯互聯網金融消費者信息行為

目前我國有關侵犯公民個人信息犯罪的規定圍繞非法獲取、非法提供行為展開，缺乏對于非法利用行為的規定，不利于保護互聯網金融消費者的信息安全，對此應予補充。對此，我國臺灣地區已有立法嘗試。我國臺灣地區《個人資料保護法》第四十一條規定，“意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害于他人者，處五年以下有期徒刑，得并科新臺幣一百萬元以下罰金。”而其第六條第一項的規定即為“有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得搜集、處理或利用。”日本《個人信息保護法》第七十三條也規定，“違反第六十三條的規定，泄露秘密或者盜用的，處以兩年以下懲役或者一百萬日元以下的罰金。違反基于第三十四條第二項或第三項的規定所作出的命令的，處以六個月以下的懲役或三十萬日元以下的罰金。”我國《刑法》中也應規定非法利用個人信息的行為入罪。

此外，金融領域特別是互聯網金融領域的信息安全更加重要，應在立法中重點予以保護。《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中對于金融有關認證信息的側重保護是合理的。在日后修正《刑法》時，也應明確做出規定，對于侵犯個人金融信息安全的行為從重處罰。

[參考文獻]

[1] 謝平，鄒傳偉. 互聯網金融模式研究[J]. 金融研究，2012（12）：11-22.

[2] 羅明雄. 互聯網金融六大模式解析[J].高科技與產業化，2014（3）：56-59.

[3] 任孚婷.大數據時代隱私保護與數據利用的博弈[J].編輯學刊，2015（6）：41.

[4] 胡劍波，宋帥，石峰. 互聯網金融信息安全風險及其防范[J]. 征信，2015（4）：13.

[5] Charlotte A.Tschider.Experimenting with Privacy： Driving Efficiency Through a State-Informed Federal Data Breach Notification and Data Protection Law[J].Tulane Journal of Technology&Intellectual Property，2015， 18：45.

[6] [德]烏爾里希·齊白.全球風險社會與信息社會中的刑法——21世紀刑法模式的轉換[M].周遵友，江溯，等，譯.北京：中國法制出版社，2012：273.

[7] 趙秉志.公民個人信息刑法保護問題研究[J].華東政法大學學報，2014（1）：127.

[8] 齊愛民. 中華人民共和國電子商務法草案建議稿[J]. 法學雜志，2014（10）：9.