論大數據下金融隱私權的法律保護

郭晨暉，魏樹發

（福建師范大學法學院，福州 350000）

隨著信息技術的進步，互聯網金融經濟的興起和大數據時代的到來，傳統隱私權被賦予新的性質和內涵，衍生出金融隱私權。其中消費者金融信息的作用可謂功不可沒。當金融經營者從中獲益時，天然處于信息弱勢地位的金融消費者的金融隱私變得更易遭到不法侵害。近年來侵害金融隱私的事件屢見不鮮，日益暴露出對金融隱私的保護不足，難以滿足消費者的需要。從而產生一個極具現實意義的研究議題：大數據背景下，法律應如何保護金融隱私權？

一、金融隱私權

（一）金融隱私權的概念

2014 年中國年度管理大會上，阿里巴巴集團董事馬云表示：“我們對一個人的了解遠遠超過你自己，你是不了解你的，電腦會比你更了解你。”其中隱喻金融隱私。通常而言，金融隱私權是指金融消費者在進行金融交易的過程中，對其具有濃厚財產屬性的身份、交易、主觀等相關的金融信息享有的不受他人干擾、知悉、收集、利用和公開的一種積極面向的控制支配權。在大數據背景下，面對易被侵犯、難救濟、客體數據化、被保護性強的金融隱私，金融消費者擁有決定權、保密權、索賠權三大金融隱私權權能。

（二）金融隱私權的特征

1.易被侵犯性和難救濟性

首先隨著大數據時代的到來，人們對網絡依賴性增強，個人隱私被窺視、非法利用的可能性越來越大。其次在信息時代金融隱私的載體是網絡，其虛擬性使私人信息、隱私空間更易受到不法侵害。最后由于計算機強大記錄、存儲功能以及網絡新興媒體的開放發布性、傳播交流性特點，導致個人信息一旦在互聯網上傳播，其速度之快、傳播之廣以及第三方攝取之便將會難以掌控，使得不法侵害后果嚴重化。這不僅可能給權利人帶來重大財產損失，還對信譽形象造成不利影響。因而對金融隱私的救濟和保護也變得十分困難。例如2019 年 3·15 爆出黑幕的 714 高炮、融360“要錢又要命”的APP 利用技術手段竊取客戶金融隱私從事放貸行為。

2.客體數據化和濃厚的財產屬性

要充分消化金融隱私權的內涵，首要分析的就是其客體范疇。一般而言，法學、金融界普遍認為對金融隱私權的保護應囊括三個主要方面：（1）個人身份信息：姓名、性別、身份證件、手機號碼、家庭地址具有識別性的身份信息。（2）個人交易信息：銀行卡號、存貸款額、收支情況有關賬戶交易的財務信息。（3）個人主觀信息：金融經營者與消費者交往中所獲得信息進行整理歸納后對其形成的主觀印象。這些金融隱私通過現代網絡技術進行匹配合并，可綜合分析出消費者的潛在需求，對經營者而言極具市場價值。常見的就是淘寶網、京東等根據客戶喜好、購買力、購買習慣，推送和發布廣告商品，做到買與賣的精準匹配。可見，大數據時代，從具有突出人身屬性的傳統隱私權中涌現出賦有濃厚財產屬性的金融隱私權，而這恰好是其被侵犯對象的本質所在。此外，其財產屬性不僅表現在直接涉及消費者詳細的財產信息，而且表現在金融隱私本身可作買賣交易的對象，并且是社會征信制度建立的重要基礎。

3.積極支配面向和被保護性

“不受他人干擾”(To be lone)的傳統隱私權具有被動性，不允許支配、處分，具有強烈消極防御面向。恰恰相反，金融隱私權賦予權利主體積極主張的權利，而權利人對其金融隱私自我支配、利用、處分的自由，突出積極支配面向的特征。

金融經營者與消費者間簽訂的合同通常是儲蓄、借貸等格式合同，作為格式合同提供方的經營者往往處于主導優勢地位；而消費者常因信息不對稱而處于被動弱勢地位。并且事實上：金融隱私的所有權雖歸消費者，但實際控制人卻是經營者。臺灣新版LINE 強迫用戶隱私權同意事件突出反映該現象①。因此，金融隱私權的保護依舊在很大程度上依賴于經營者對保密義務的履行，其被保護性的特征明顯。

（三）金融隱私權的權能

1.決定權

權利人有權在法定范圍內，依法處分其金融隱私被采集適用的范圍、目的、期限和修改的權利，以及是否允許第三人知悉或使用該信息。可見金融隱私決定權居于核心地位，其宗旨在于：信息持有者不僅是其信用信息產生的最初來源；也是其完整性、正確性的最后檢驗者；還是其適用范圍的參與決定者。所以必須賦予信息持有者對其信用信息主動控制支配的權利.[1]而根據被稱為“最人性！賦權用戶，加大資料操控權”的歐盟2018 年《一般資料保護規范》，金融隱私權具體還可分為“更正權”、“拒絕權”、“資料可轉權”和“被遺忘權”。

2.保密權

大數據下螞蟻花唄、平安保險和網絡銀行等金融經營者在采集、管理、使用中所產生消費者的金融隱私，權利人享有未經本人同意，他人不得將其與社會公共利益、社會征信體系無關的信息公布于第三人或另謀他用。然而實踐中消費者金融隱私的保密權往往沒有得到很好的維護，例如多家銀行曝光大學生拖欠助學貸款，導致大學生個人資料泄露、傳播的惡劣現象；中國光大銀行福州分行與福州都購傳媒有限公司合同約定，提供聯名信用卡客戶資料，導致個人信息網上非法傳播、泄露。

3.索賠權

當金融隱私被不當披露或被不法侵害時，權利人可通過私力救濟、公力救濟或者社會救濟的方式，要求侵權的金融經營者或第三人等侵害方承擔相應的停止侵害、消除影響、賠禮道歉或支付賠償金等損害賠償責任，采取適當措施以補償被侵害的權利人的物質、精神損失。如1924 年英國圖爾尼爾案(Toumier)就是說明金融隱私索賠權的典例。

二、我國金融隱私權法律制度缺陷

（一）法律內容含糊，針對對象不明晰

法在本質上是一種規范人們行為的實踐規則，具有強烈的實踐要求，正如列寧所說：“法令之所以重要，不在于是不是寫在紙上，而在于由誰去執行。”亦如龐德所說：“法的生命在于實施。”同樣，金融隱私權的法律保護不能只是理想國、空中樓閣。雖然有作為我國根本大法的《中華人民共和國憲法》第三十八、三十九、四十條確定對隱私權進行保護的最根源的依據；《侵權責任法》第二條的民事權益的范圍明確包含隱私權；再到最近幾年隨著數據共享的發展應運而生的《全國人民代表大會常委會關于加強網絡信息保護的決定》、《國務院辦公廳關于加強金融消費者權益保護工作的指導意見》等法律法規對金融隱私權進行立法保護，但實際情況是：相關立法只是宏觀上的指導，并沒有明晰其權利主體、對其義務主體同樣是泛泛之談，缺乏針對性、指向性，從而可操作性弱。這些法律法規對保護金融隱私尚未形成一定的條理、脈絡，只作了單薄、原則的規定。不論是螞蟻花唄催賬侵犯用戶隱私，還是溫州韓某起訴百度有錢花侵犯隱私，甚至是個人信息被販賣1 條只需5 分錢等案件依舊層出不窮，證明這種間接性保護并不利于對金融隱私權的維護。

（二）例外情形簡單，涵蓋范圍相對狹小

金融隱私權的行駛應以自由為原則，以限制為例外。進一步而言，對金融隱私的保護是相對保護而非絕對保護。但目前關于金融隱私權的法律規定的例外情形只有《商業銀行法》第二十九和三十條中規定的“法律或行政法規規定的除外”這一寬泛、可操作性弱的情況，難以涵蓋社會實踐中的其他情形，不具有法律的預見性。若在實踐中遇見其他例外情況時難以自圓其說，缺乏高度統籌性、廣延性。例如：“失信名單”數據庫包含的信用卡中心的黑名單和小額信貸的違約名單的情況；以及京東金融、螞蟻微貸、阿里小額信貸等新興互聯網金融企業，力圖充分利用其掌握的先進的數據檢索技術和海量信息資源涉足金融領域，為金融消費者提供小額貸款服務的情形，這些實踐中的其他例外情況是“法律或行政法規規定的除外”所沒有囊括的。

（三）懲罰手段單一、救濟途徑匱乏

正如英國古老法諺所言：“無救濟就無權利。”即權利的存在和最終實現，需要以法律上存在相對應的救濟途徑為前提。倘若沒有救濟途徑，權利也變得沒有意義。的確，對于侵害金融隱私的不法行為，法律并沒有完善地規定相應的否定性評價后果，對金融隱私的立法保護僅僅是一種倡導、強調，是沒牙齒的老虎，不足以讓違法者感受到法律的教育、懲戒功能。例如《全國人民代表大會常務委員會關于加強網絡信息保護的決定》十一條重在規定違法者的行政責任，相應的民事和刑事責任并未詳細規定，并未明確金融消費者的金融隱私權受到侵害時的救濟途徑。換個角度來看，這種立法現狀更是突出了個人在金融隱私權受到侵害后尋求救濟的困頓，對不法侵害金融隱私權者的懲罰缺乏威懾性。例如招商銀行、工商銀行、農業銀行等“內鬼”泄露客戶信息案件；垃圾短信屢禁不絕的中國電信監守自盜案；分工合作克隆銀行卡出境消費套現,利用網絡支付平臺盜劃銀行卡資金案等。

三、構建健全的金融隱私權法律保護體系

（一）構建多元立體的立法保護體系

1.明確金融隱私權的重要法律地位

馬克思說：“立法者應該把自己看作一個自然科學家。他不是在制造法律，不是在發明法律，而僅僅是在表述法律。”作為立法者應與時俱進，恰當地表述法律。大數據時代，應當在憲法中增加“保護個人金融隱私”的規定，在宏觀上指引、鼓勵著相關法規的制定。可借鑒中國臺灣地區有關個人資料保護的規定，依據國際個人資料保護原則，與國際接軌。同時在立法時，須使金融經營者與消費者間的利益趨于平衡。對權利人獨占性的金融隱私權予以必要限制，削弱個人本位，但又不至于不合理地損害其合法權利，實現個人本位與社會本位的協調一致。要在準確反映加強金融隱私權保護這一大數據時代價值取向的同時，不斷促進實現利益平衡的合理權力格局。

2.健全以單行法為主，以條例、指導性案例為輔的金融隱私權立法體系

擬定專門保護金融隱私權的單行法，并輔之以國務院對金融經營者保護金融隱私的程序做出的具體、詳細規定，外加上最高院的統一關于金融隱私權的法律適用、創制指導性案例。同樣借鑒美國立法，在上位法中允許各地方具體問題具體分析地制定更加嚴格的保護金融隱私的立法，方便地方結合自身實際情況頒布適合自身的金融隱私權法，為建立健全保護金融隱私權立法體系添磚加瓦。還可在經濟發達地區進行金融隱私權法的試點，“摸著石頭過河”做到積累經驗教訓，為金融隱私權法的鋪開做好準備。

3.明晰金融隱私權法的法律內容、舉證責任和基本原則等

首先，在法律內容上，客體：明確保護的金融隱私權的對象即個人的身份信息、交易信息、主觀信息。權能：法律上賦予金融隱私權完整處分權、保密權、索賠權的權能。義務主體：明確經營者的義務責任，完善其責任承擔制度。其次，在舉證責任方面，為彌補信息不對稱，應該分階段采取不同的責任原則：采集階段采用過錯責任原則；處理階段：無過錯責任原則和舉證責任倒置原則，即只有行為責任已形成或責任分配不到位等情形下，都應該承擔相應的侵權責任，以更好地保護金融隱私權。[2]這樣在法律程序上適當加重處于優勢地位的金融經營者的舉證責任，平衡雙方的權利義務。最后在基本原則方面，可參考中國臺灣地區有關個人資料保護的規定中個人資料收集、處理、利用的四大原則：“尊重當事人的權利”“采取誠實及信用的方法”“應與收集的目的具有正當合理的關系”“不得逾越特定目的之必要范圍”②，以該原則為我國金融隱私權司法實踐提供綱領性指導。

（二）增設法定例外情形，健全監督管理體系，平衡信息披露和隱私保護

一方面在法定例外情形上，“有權利必有限制”作為基本的法定原則應規制著權利人的私人權利和社會公共利益的協調。同理金融隱私權的行使也不得違反法律法規的強制性、禁止性規定，不得損害國家利益、社會公共利益和他人合法權益。具體而言：第一，個人授權同意。權利人明確表示同意，允許將本人的金融隱私予以公開的情況。第二，金融經營者、征信評級等相關機構在合理范圍內處置信息。如為建立健全社會征信體系、信息通告等。第三，社會公共利益的限制。基于社會公共利益，執法機關依法調查和公開當事人的有關金融隱私，則不屬于侵權行為。如為讓老賴寸步難行，建立失信黑名單……再者，在立法中劃定金融隱私可披露的范圍，在程序法中規定相應的披露程序的步驟，讓金融隱私披露做到有法可依，執法必嚴，給金融經營者和消費者的權利義務劃好界限，以明面上的“程序正義”為支撐，積極追求實踐中的“實質正義”。

另一方面在建立健全監督管理體系上，首先對內部專設部門，在立法中明確大型金融機構例如銀行設置保護金融隱私的專設部門、配置專業人員的責任，并要求建立預警體系、訴求處理信息平臺，完善金融機構關于保護金融隱私內控制度，充分發揮組織、機構、人員的自律作用。其次，對外部監管機構，“一行一委兩會”持續金融消費者權益保護工作，金融消費者權益保護成為其主要職責之一，可見對買方市場的傾斜平衡，但是對金融消費者權益保護仍重財產權的保護而輕隱私權的保護。應當在立法上把消費者的金融隱私權列為重要的保護內容，讓監管機關致力于促進信息共享，協調金融隱私保護和披露的關系。

（三）拓寬救濟渠道，明確侵權責任，建立負面懲戒機制

1.拓寬救濟渠道，核定救濟標準

除在立法上明確行政救濟中行政執法機關和行業主管部門的職權，避免“踢足球”不作為現象發生之外，應當在法律上授予消費者權益保護機構關于保護金融隱私方面一定的規則建議權、執法權、仲裁權，并明確建立救濟的參考標準。讓行政機關、司法機關、消費者權益保護機構在金融經營者與消費者之間直接調節，有利于實現訴訟經濟，節約司法資源，維護法律秩序穩定和司法權威性和公信力。

2.明確侵權責任，建立負面懲戒機制，增強法律威懾力

針對上述闡述的責任模式弊端，維克托邁爾舍恩伯格創新性地提出一種設想：個人隱私保護，從個人許可到數據使用者承擔責任。在這個模式下，數據使用者為其行為承擔責任，而不是將重心放在收集數據之初取得個人同意上。[3]在該責任模式下，我國金融隱私權的立法應當明確侵犯權利人金融隱私的金融機構、征信機構及其工作人員等主體在沒有盡到金融隱私權保護義務時應當承擔的法律責任，包括處罰措施和處罰標準。例如：財產罰、非財產罰，對處罰標準可劃定具體處罰財產罰的金額（可參考中國臺灣地區有關個人資料保護的規定③）、非財產罰的懲罰期限等。

四、結語

金融隱私濃厚的財產屬性，極易使金融經營者濫用所獲得的金融隱私以謀取利益。現今，由于我國對保護金融隱私權的立法上的缺失，導致侵害金融隱私權的事件頻發。對此，應當借鑒中國臺灣地區有關個人資料保護的規定和歐盟的《一般數據保護條例》有關數據共享的基本原則和規定；在制度設計上明確金融隱私權的法律內容、責任承擔、價值取向等。即我國在出臺和修訂相關法律時，必須要注意企業尤其是金融經營者與消費者之間的利益趨于平衡；[4]這樣方可維護良好的金融市場秩序，維護消費者的財產權和人格權，促進我國經濟持續健康發展。

注 釋：

①中國臺灣新版LINE 強迫用戶隱私權同意事件：LINE 隱私權變更，同意才能用變相“綁架”。變更條款：1.本人同意LINE隱私權的變更；2.本人同意LINE 為了營銷目的使用及分享本人資訊；3.本人同意分享優化服務資訊以協助完成服務。

②中國臺灣地區有關個人資料保護的規定對“收集、處理”的要件規定：公務機關“收集、處理”個人資料的要件：特定目的符合以下條件1.執行法定事務必要范圍內；2.經當事人書面同意；3.對人權益無侵害。非公務機關“收集、處理”個人資料的要件：特定目的符合下列情況之一：1.法律明文規定；2.與當事人有契約或類似契約的關系；3.當事人自行公開或其他已合法公開的個人資料；4.學術研究機關基于公共利益，有必要作為統計或學術研究之用，且資料經處理無從識別特定的當事人；5.經當事人同意；6.與公共利益有關；7.個人資料取自一般可得的來源，但當事人若對該資料提出禁止處理或利用，并且其自身利益超過收集者的利益，而更值得保護時，就不得收集、處理。

③中國臺灣地區有關個人資料保護的規定的罰則：民事責任：1.每人每一事件可求償5 百元～2 萬元臺幣；2.同一件事，最高可求償2 億元臺幣。刑事責任：1.最高可處2 年以下有期徒刑、拘役或科或并科新臺幣20 萬元以下罰金；2.意圖營利，可加重求處5 年以下有期徒刑，得并科新臺幣1 百萬元以下罰金。行政處罰：最高可處新臺幣5 萬元以上50 萬元以下罰款，并令限期改正，逾期未改正者，按次處罰。