個人金融信息保護中的政府監管權研究

■周之田

一、個人金融信息保護中政府監管權的內涵

金融業務的財產屬性使金融業機構在收集和使用個人金融信息方面具有天然的優勢。在金融科技的推動下，一方面，金融與數據深度綁定，金融業機構獲取、加工信息的能力與意愿大幅提升；另一方面，互聯網金融等業態的普及帶來了金融消費者數量的快速增長。二者的疊加使金融業機構對個人信息的收集與利用行為日益泛化，信息的收集和利用活動與個人金融信息保護之間的關系愈發緊張，個人金融信息保護逐漸成為社會關注的熱點問題。其中，政府監管作為個人金融信息保護的核心環節承擔起著愈發重要的職能，由此產生的個人金融信息保護中的政府監管權問題，則具有了研究的理論與實踐意義。

個人金融信息是指自然人在辦理金融業務及享受金融服務中產生或留存的賬戶信息、財產信息、借貸信息、交易信息以及自愿和非自愿交由金融業機構加工得到的衍生信息，包括了金融業機構獲取、保存和加工的自然人個人金融信息的總和，是一個廣泛的范疇。

個人金融信息的保護是一項系統性工程，包括個人金融信息保護立法、法律實施以及權利侵害后的司法救濟等。法律實施概念下的政府監管則在個人金融信息保護中具有銜接立法與司法的聯結作用。政府監管承擔著實現個人金融信息保護立法和確保金融業機構落實行為規范的任務，并保護信息主體享有的權利，對侵權行為進行行政救濟。對個人金融信息保護中的政府監管行為進行權力化的提煉，即形成了個人金融信息保護中的政府監管權概念，被作為行政事權的一種被確立下來。監管權是行政機關依法享有的直接限制市場主體的權利或者增加其義務的權力（盛學軍，2006），是經濟法語境下國家為解決市場失靈問題而進行政府干預的手段的權力化和法定化。其授予由立法明確規定，行使程序受羈束性原則的制約。

個人金融信息保護中的政府監管權可理解為在金融業機構收集、利用個人金融信息的活動中，政府根據立法授權享有的并以社會公共利益為目的對市場主體開展直接約束和控制行為的權力。此外，就監管權的內容而言，根據行政法學的研究，政府監管行為包括政府依法律授權而為的制定規章、設定許可、監督檢查、行政處罰和行政裁決等行政處理行為（肖興志等，2006）。從權力形式看，實現上述監管行為的監管權可以總結為規章制定權、行政許可權、監督檢查權、行政處罰權、行政裁決權及行政強制執行權等六種。監管權的行使主要通過上述六種權力對社會經濟個體的行為進行直接調整，實現監管目標。

需要注意的是，個人金融信息保護中監管的客體應按照信息收集、利用主體的不同分為兩類，一是針對金融機構（法律意義上的金融機構）收集、使用以及對外提供個人金融信息的行為進行監管；二是針對互聯網金融獲取、加工、轉讓與共享個人金融信息的行為進行監管。這兩種客體所屬行業有一定差別，對個人金融信息的收集、利用途徑區別較大，在監管上應予以區別對待。而個人金融信息保護中的政府監管權在這兩類客體中既有共性也有差異，具體而言，其監管權的邊界與內容相同，但在行使主體與行使方式上各有特點。

二、個人金融信息保護中政府監管權的邊界

（一）信息利用與權利保護之維

個人金融信息保護中政府監管權的邊界首先為權利的邊界，該邊界由信息利用與權利保護之間的矛盾運動決定。個人金融信息中的權利保護主要指自然人對金融數據享有的信息自決權與金融隱私權。信息自決權理論①1971年，德國內政部委托起草的“聯邦個人信息保護法草案”說明中，提出了“個人信息自決權”的概念，這一概念在德國法院“人口普查案”中被引入一般人格權并寫入判決說理，確立了個人有權知曉信息收集者、信息種類、收集目的、收集條件的理念。該判例指出，如不能知曉前述信息，個人將不可避免的傾向于滿足數據控制者的潛在期望。因此，法律及監管必須保證數據主體的個人信息自決權，這是保護人格權的需要。最早由德國提出，核心的權利束有修正權、刪除權、反對權、拒絕權等，該權利要求個人對自身的金融信息享有知情權，并在此基礎上決定信息收集的范圍以及利用方式、目的等，在一定情況下還可進行修改與刪除。而金融隱私權則屬于隱私權的一種，是指個人對與其信用或交易相關的金融信息享有的不受他人非法知悉、利用和公開的權利（李銳，2012），對金融隱私權的保護主要要求知情者對信息主體不愿讓他人知曉的財產、信用等信息的“秘不外宣”。綜上可見，權益保護的主要手段為限制信息獲取的數量與信息利用的方式。

然而，對任何一種權利的保護都會產生相應的成本。這種成本由權利保護的直接成本（執法成本）與間接成本（社會成本）共同構成。執法成本能夠直接顯著的被觀察到，但更為重要的是由于對權利的保護減損了信息利用的效率，由此帶來的社會成本的增加。信息與數據是信息化社會的基礎性、戰略性資源，其整理與運用對于許多行業尤其是數據產業、金融產業的發展具有先決性的意義，對信息的統計與分析亦成為社會管理不可或缺的手段。信息資源匱乏將影響經濟效率，導致政府與個人之間的信息不對稱，出現政府失靈等結果。

由此可見，信息利用與權利保護的矛盾存在此消彼長的關系。由于信息利用與權利保護這兩種利益存在不一致性，在個人金融信息保護中任何設計都不可能完全符合這兩種利益，所以，對二者的權衡主要依據不同社會發展階段所追求的發展目標，進行不同的利益搭配，以使相關各方的利益在共存和相容的基礎上達到合理的優化狀態。就我國個人金融信息保護現狀而言，信息利用與權利保護存在著較為嚴重的利益失衡，權利保護長期被邊緣化以便完成相關產業的資本積累。我國金融和數據的相關行業已進入從“增量”轉向“提質”發展的階段，應加強服務意識與合規意識，做好個人金融信息保護工作，才能夠增強產業自身的競爭力，才能實現產業發展和信息利用的可持續化。

（二）政府干預與市場自由之維

個人金融信息保護中政府監管權的邊界其次為自由的邊界，也就是市場自由，該邊界由政府干預與市場自由之間的矛盾運動決定。市場是一種自發秩序，在商業、工業等經濟領域能夠通過價格進行資源配置。但市場不是萬能的，“經濟人”為市場配置資源帶來效率，但也是其非效率的根源，政府干預因此具有合理性，干預逐漸成為政府履行經濟職能的重要表現。然而，干預會產生非生產性的資源耗費，增加企業的內部控制及合規成本。正如學者指出的，個人金融信息保護制度是一種消極的保護制度，其主要是為了保護信息不被任意利用（李振林，2017）。這種保護制度不產生積極的經濟效益，一定程度上限制了企業的經營自由。理論上說，監管當局對數據保護的范圍和程度應當以監管收益與成本的盈虧臨界點為限（劉倩，2019）。當監管行為給市場主體帶來的成本與預期收益的損失超過監管獲利，導致市場主體積極性降低而保護利益并無顯著提升時，這種干預是不經濟的，該種監管超過了經濟自主和國家統治的臨界點，侵犯了市場自由并降低了市場效率。

因此，企業的發展需要相對自由的市場環境，政府在微觀層面介入得越少，經濟效率一般而言越高，所以政府監管應保持限度，以效率意識確定監管范圍與強度。個人金融信息保護中，政府監管權的確立與行使需注重保護市場自由，減少微觀介入，在“成本—收益分析”的框架下合理確定個人金融信息的保護邊界，并從程序上加強政府監管權行使的羈束性。

（三）金融效率與金融安全之維

個人金融信息保護中政府監管權的邊界最后為安全的邊界，該邊界由金融效率與金融安全之間的矛盾運動決定。金融效率與金融安全二者皆為個人金融信息保護中政府監管的實施目的，也是金融監管中存在的一對永恒矛盾。從溯源角度看，金融監管起源于國家對金融業無序發展而沖擊經濟金融秩序的擔憂，本質上屬于維護金融安全的手段。但是隨著金融監管理論的進一步成熟，人們逐漸認識到維護秩序與創新發展是可以共存的。對金融安全與效率之爭不應“一邊倒”，而應統合二者的共融之處，通過改革監管方式適應“積極的金融創新”，將提升金融效率與維護金融安全凝聚為共促關系。針對適應“積極的金融創新”而進行的監管適應性變革，應該注意如下三點：第一，個人金融信息保護中政府監管應保持對違反以下法律的零容忍：包括反行賄和反腐敗法律法規，反洗錢、反避稅法律法規以及國家安全及反恐怖活動的法律規范。第二，調和金融效率與金融安全矛盾的方法，不能夠以在較長期限中犧牲較多人的較重要個人利益為代價。第三，對金融安全的評估一定要堅持科學的方法，立足客觀實際，不能以維護金融安全為名代替政策手段的合法性、合理性審查，尤其應注意保護市場主體在金融創新中的合法權利。

三、個人金融信息保護中政府監管權的現實難題：規范和實踐的審視

（一）個人金融信息保護中政府監管權的行權機制缺陷

1.監管主體與行權手段錯配

在個人金融信息保護政府監管權的行使中，具有某種程度上“監管者無權力，有權者非監管”的困境，該困境在互聯網金融監管中表現最為突出。以2019年國務院網站發布的《數據安全管理辦法（征求意見稿）》為例，該辦法系統的對數據收集、存儲、傳輸、處理、使用等活動進行了規制，生效后即成為網絡空間個人金融信息保護的重要規范。根據我國《行政處罰法》的規定，行政機關的行政處罰權需要來自法律和行政法規的授權，而根據《網絡安全法》第六章的規定，并未對網信部門明示授權。在《數據安全管理辦法（征求意見稿）》中只授權了網信部門約談運營者的權力，同時規定由有關部門依照法律和行政法規的規定作出停業整頓、吊銷執照等行政處罰。結合上述規定可以得出，網信部門在監管個人信息活動的過程中，僅有約談的權力，而實質性的行政處罰則要借助行業主管部門進行。具體到金融業，其行業主管部門為“一行兩會”。《電信和互聯網用戶個人信息保護》中也存在這種情況，作為監管者的電信管理機構最高處罰權限為三萬元以下罰款，處罰權限遠不及金融行業主管部門。在這種情況下，網信部門與電信管理機構缺乏行業管理職權與適當的處罰權，導致其監管效果乏力，而互聯網金融的行業主管部門則重點關注其金融業務的風險與防范，幾乎沒有針對個人金融信息保護領域行使處罰權的實踐。這就形成了一定程度上的“監管者無權力，有權者非監管”困境，這種監管主體與監管手段的錯配降低了監管行為的強制性與威信，減損了監管權行使的效果。

2.行權手段有效性不足

行權手段有效性不足，主要指監管機構在行使監管權規范個人金融信息收集、利用行為時的效果不理想，表現為對違法行為發生前的預防性、發生中的停止性、發生后的懲治性不足。從傳統金融機構的監管情況來看，有相對完整的個人金融信息收集、利用行為規范，但違反監管規則的法律責任偏輕，行政處罰種類少、力度小，導致違法成本相較于違法收益的偏低，預防性與懲治性效果不佳，行權手段有效性不足。從互聯網金融的監管看，《電信和互聯網用戶個人信息保護規定》的條文抽象且原則性強，具有宣示性的特點，側重通過增加企業的內部控制義務來加強對個人信息的保護，法律責任方面僅規定了限期改正、警告與至多三萬元的罰款。因此，自2013年該規定頒布以來，個人金融信息的不當利用行為并未得到有效遏制，電信部門的監管權也未得到充分使用。此外，吸收了國家標準、借鑒了歐盟國家數據保護規則的《數據安全管理辦法（征求意見稿）》盡管對現行數據安全規范體系進行了創新和補強，但該辦法在預防性、停止性與懲治性上仍有缺陷。該辦法重點規定數據收集方面的規則公開與信息主體同意的取得，但是在我國隱私政策、數據收集的授權與基礎服務的提供沒有嚴格區分的情況下，拒絕授權意味著無法接受服務，導致公布規則、征得同意往往流于形式，很難發揮給予用戶事先選擇權的功能。同時，在數據處理與使用方面，該辦法關于查詢、更正和刪除的規則籠統且抽象，尚不能回答用戶可以查詢、更正、刪除何種信息，在什么樣的情況下通過什么途徑可以行使上述權利等問題，現實中可操作性低。加之前文述及的法律責任欠缺，使網信部門監管權的行權效果受到了較大限制。

（二）個人金融信息保護中政府監管權的多頭執法問題

近年來，我國立法機關和行政機關逐漸認識到個人金融信息保護的重要性，在多部法律、法規及規章中對個人金融信息的保護進行了規定，取得了積極的立法進展。如我國《民法典》第一百一十一條規定了個人信息權利；《商業銀行法》第二十九條規定了對存款人的保密原則；《網絡安全法》專設“網絡信息安全”一章，對通過網絡收集、使用個人信息的行為進行了直接約束。此外，國務院及相關部委還制定了《征信業管理條例》《電信和互聯網用戶個人信息保護規定》《關于促進互聯網金融健康發展的指導意見》《人民銀行關于金融機構做好個人金融信息保護工作的通知》《數據安全管理辦法（征求意見稿）》《個人金融信息保護技術規范》（JR/T0171-2020）等法規、規章及標準。但在實踐中，個人金融信息侵權行為仍然屢禁不止、呈現泛化趨勢，所以其原因不在于法律規定的缺乏，而是因為法律執行的不到位，監管權行使中的多頭執法是造成這一困局的主因。

從網絡空間（主要為互聯網金融）的個人金融信息保護監管授權來看，我國《網絡安全法》第五十條規定由網信部門承擔該法規定的網絡信息安全的執法工作。《電信和互聯網用戶個人信息保護規定》第三條將電信管理機構設定為互聯網個人信息的執法機構，而《關于促進互聯網金融健康發展的指導意見》第三條第十七項更是將人民銀行、銀保監會等七個部門列為監管機關，“分別負責對相關從業機構的網絡與信息安全保障進行監管”。從傳統金融機構的個人金融信息活動監管情況來看，網信部門和電信管理機構在金融機構涉及網絡數據的活動中均有一定職權，“一行兩會”在金融監管中對金融業的數據和信息活動也具有法定的行業管理職權。如《人民銀行關于金融機構做好個人金融信息保護工作的通知》中明確由人民銀行行使監督處罰權；《征信業管理條例》中確定征信業監管部門承擔金融業機構征信業務的監管職責；金融機構發生個人信息泄露等違反內部控制要求的行為可由銀行業監管機構進行處罰等。上述規范性文件的相異規定導致在金融業的個人信息保護中存在多個執法機構，沒能理順監管主體以及對應的法律權責，職責落實不到位導致主體責任不清，監管范圍與職責存在交叉并適用不同的法律法規，使得法律規范中對個人金融信息保護的規定難以貫徹落實，監管存在一定的混亂局面。

此外，還有學者指出一些國家和地區的個人數據保護法似乎存在一種趨勢，一方面對數據保護的責任規定非常嚴格，另一方面在執法上采取寬松標準（郭瑜，2012）。政府基于促進相關產業發展，以及加強社會管理能力等考慮，對個人金融信息保護的監管力度沒能與其在隱私權和財產權意義上的重要性匹配起來，沒能對個人金融信息與一般數據進行有效區分，并根據其特點進行強監管。這種“執法不嚴”的情況，加劇了個人金融信息領域侵權行為的發生，而多頭執法又在客觀上為這種做法留下了空間。

四、個人金融信息保護中政府監管權的完善

（一）監管權的配置：個人金融信息保護中政府監管權的劃分

對個人金融信息保護中政府監管權的合理劃分，能夠明確監管主體職能分工、提高監管權效率，也是進一步賦予行權手段的基礎。筆者認為，個人金融信息保護中政府監管權的劃分，應區分金融機構與互聯網金融兩類客體，分別由中國人民銀行與網信部門行使個人金融信息保護的監管權。這種“一分為二”的劃分方式是完善我國監管權配置的理想路徑。

對于監管權的配置應以效率性與獨立性為理論框架進行解釋與劃分。就效率性而言，不同的分配狀況會影響權力的行使效率，由不同的機構行使會有不同的監管成本以及不同的監管收益，而權力的最優配置應是效率的最大化。從我國金融監管的現狀來看，人民銀行對傳統金融機構的監管已具有較為系統且成熟的模式，將金融機構的個人金融信息收集、利用等行為納入金融監管之中，邊際成本低且監管收益高。且人民銀行內已設有金融消費權益保護局和征信管理局對個人金融信息利用行為進行規制，具有良好的保護基礎，監管機構的建立成本較小。下一步，人民銀行應整合資源、擴大金融消費權益保護局的職能和規模，融合對金融業的監管經驗，承擔起金融機構個人金融信息保護的職責。就互聯網金融而言，《關于促進互聯網金融健康發展的指導意見》中將對互聯網金融信息安全的監管權分配給了7個部門，在業務混合發展的當下，其監管效率嚴重受限。金融監管機構對科技賦能的互聯網金融的監管一直存在某種程度上的監管失靈，缺乏足夠的監管手段。而電信管理部門作為全國工業、通信業、航天及原子能工業等的主管機關，個人金融信息保護只是其相對邊緣化的派生職能，監管資源投放少且缺乏專業性。因此，相比較而言，統管全國信息與數據保護工作的網信部門則具有比較優勢，其作為網絡領域的專職監管機關，擁有充足的監管資源以及科學的監管架構，而專業性的監管手段也有利于提高對網絡行為的監管效率。

就獨立性而言，要求監管機構的職能與其他政府機構的職能區分開來（至少是不相沖突）。判斷一個經濟規制機構的獨立性，關鍵是看相關的法律是否對機構成員的職務活動給予了特定的法律保護（Berger，2000）。人民銀行在金融監管領域具有監督管理的法定授權，其監管行為不受干涉，且與個人金融信息密切相關的征信業屬于央行的監管范圍。而在網絡領域，《網絡安全法》等法律規定由網信部門承擔網絡信息安全的執法工作，對其職務行為進行了充分的授權與保護。而查閱金融監管機構的三定方案與代議機關立法，并無網絡領域的法定授權，其監管更多來源于行業監管的權力。至于電信管理機構，其主要職能在于促進和引導工業、電信等行業發展，個人金融信息保護職能與其主要職能在價值理念上存在一定齟齬，獨立性可能受到影響。因此，結合效率性與獨立性的分析，金融監管機構及電信管理機構應將互聯網金融領域的個人金融信息監管權移交給網信部門，逐步退出個人信息監管領域。形成由人民銀行對金融機構的個人金融信息收集、利用行為進行專有監管，由網信部門對互聯網金融的信息行為進行獨立專有監管的格局。

（二）監管權的行使：個人金融信息保護中的分類規制

1.以分級罰款為核心的法律責任

個人數據具有人格自由和人格尊嚴價值、商業價值和公共管理等多重價值（程嘯，2018），個人金融信息更是直接關涉信息主體生活安寧與財產安全，因此應得到更高程度的保護。而我國行使監管權手段的預防性、停止性與懲戒性不足，導致監管效果不及預期，亟需得到加強。而無論是金融機構抑或互聯網金融機構，對個人金融信息的收集、利用都旨在獲得商業收益，故罰金處罰可以使信息利用的相關主體得不償失，具有比較直接的“報復性”，因此預防性與懲治性效果較佳，是程度上比較合適的行政處罰。如歐盟的《一般數據保護條例》就建立了兩級罰款機制，其將違反數據保護規則的情況分為兩類進行規制：在第一層級，處以1000萬歐元以下或企業上一年度全球營業額2%以下的罰款，適用情形主要為違反數據控制、處理者所應承擔的義務。在第二層級，處以2000萬歐元以下或企業上一年度全球營業額4%以下的罰款，適用情形主要為違背處理數據的基本原則以及侵害數據主體的主要權利。歐盟在全球個人信息保護領域具有先進性，而我國數據科技發展已具有較高水平，具備借鑒歐盟先進權利保護經驗的基礎。故我國可以效仿這一制度設計，將違反個人金融信息保護規范和侵犯信息主體權利的情況分類規制。

這種分類是以違法行為造成損失的外化程度為標準的。如果個人金融信息控制者違反法律規范對其設定的內部管理性義務，則鑒于其負效應并未外化可對其處以較輕處罰。具體而言，第一級罰款主要針對：違反金融業機構內部控制要求，包括安全制度體系的建立與發布、訪問控制，安全監測與風險評估，安全事件處置體系以及違反個人金融信息利用技術要求，包括違反收集、儲存、傳輸、轉讓以及委托處理中的技術要求，未履行相關義務或技術安全性不達標等。第二級罰款主要針對：侵犯個人金融信息主體法律權利和違反監管規則所設定的原則規定造成嚴重后果的。侵犯信息主體法律權利主要指現行法律文本中設定的民事權利，主要為侵犯金融隱私權。而違反監管規則所設定的原則規定，造成嚴重后果主要指大規模買賣個人金融數據，擅自從事征信業務以及嚴重的信息泄露等情況。出現上述情況，監管機構有權視嚴重程度處以較高數額的罰款。最后，關于罰款數額的確定。筆者認為，監管機構對具體罰款數額的確定應以金融業機構的相關業務規模（營業額）為核心，結合其合規能力、行為目的，被侵權人的廣泛性、損害水平以及事后的補救措施等因素綜合考慮。

2.對個人金融信息征信化利用的持牌監管

在個人金融信息的利用行為中，有一類行為具有監管上的特殊性，應將其與一般的信息利用行為予以區分，即互聯網金融對個人金融信息的征信化利用行為。部分互聯網金融企業利用其在提供服務的過程中所保存的金融交易信息、財產信息及借貸信息，經過分析處理逐漸形成旨在對相關個人的財務狀況及信用狀況進行評價的數據庫，除為自身關聯企業提供信息支持外，還以盈利為目的向其他機構提供自然人的信用查詢服務，這種行為實質上屬于個人征信業務。筆者認為，針對個人金融信息利用行為的復雜現狀，在監管權的行使中應將征信化利用與其他個人金融信息的商業利用行為區分開來，采取分類規制的策略。

在現代社會中，信用是一種戰略資源。生成與運用對于社會運轉具有重要意義，加之信用信息的高度敏感性和重要性，因此征信業一直堅持嚴格的持牌監管。互聯網金融企業對個人金融信息的征信化利用行為實質上違反了《征信業管理條例》的規定，未經征信監管部門批準即從事征信查詢業務，使得征信行為泛化，違反金融秩序并且侵犯個人金融隱私權。筆者認為，互聯網金融企業向其他機構或個人提供自然人的信用查詢服務屬于征信業務，超越了內部利用的限制，應由持牌金融機構提供。部分互聯網金融企業此舉屬違法行為，故在個人金融信息保護的監管中應堅持征信業務的持牌監管，對無牌照的個人金融信息征信化利用行為予以禁止。