智能金融時代的個人金融信息保護與監管研究

原宇航

關鍵詞：智能金融 個人金融信息保護

隨著信息技術的長足發展，整個人類社會的數據總量呈現幾何級增長的態勢。在金融領域，個人金融信息通過智能化方式被充分利用，展現出明顯的經濟社會價值。這一過程不可避免地出現了個人金融信息被侵害、信息處理者行為不規范等問題。如何更好地平衡個人金融信息主體和信息處理者之間的固有矛盾，更好地維護行業生態成為擺在我們面前的緊迫課題。

本課題深入分析了智能金融和個人金融數據的概念，闡明了數據保護的范圍和挑戰，并簡要介紹了智能金融的優勢和實際應用，厘清兩個基礎概念的意義，引出二者結合的現實困境，從而為更好地展開論述提供必要前提。

當前，我國個人金融數據保護形勢較為嚴峻，針對個人金融數據的侵權乃至犯罪案件屢見不鮮。需要在借鑒境外良好實踐的基礎上，根據我國實際情況，采取多樣化信息保護方式，更好地平衡信息保護與經濟效益之間的關系，促進行業持續健康發展。

一、相關概念及現有研究評述

（一）個人金融信息的概念與范圍

從一般概念上來說，個人金融信息指的是信息主體在與金融機構發生業務關系的過程中，金融機構所知悉和掌握的個人信息。這種信息主要包括：一是身份信息，主要包括姓名、身份證件、聯系方式等基礎數據;二是客戶交易信息，主要為客戶在與金融機構發生交易的過程中產生的信息數據;三是信用信息，主要為借貸、還款情況有關的信用數據。

2020年，中國人民銀行發布了《個人金融信息保護技術規范》，對個人金融信息給出了新的定義和范圍：“個人金融信息是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息。”從類型來看，包括個人身份信息、財產信息、賬戶信息、金融交易信息、鑒別信息、借貸信息及其他反映特定情況的信息等七大類。此外，該規范按照信息敏感程度將個人金融信息分為“C1、C2、C3”三個類別，要求金融機構根據數據等級進行劃分，在信息的收集、使用、轉移、保存、銷毀等各個環節建立嚴格的合規流程與保護體系。

（二）智能金融定義及應用

智能金融（AIFinance）指的是金融行業與高新科技的全面融合，以大數據、云計算、區塊鏈、人工智能等為核心要素，提升金融機構的服務效率，拓展金融服務的廣度和深度，實現金融服務的個性化、智能化和定制化。

智能技術與金融行業的有效結合，可以大幅提升金融服務的質量和效率。具體表現為：一是差異化產品設計。智能金融可運用大數據技術對客戶進行分析畫像，更精準地掌握客戶的消費行為、消費習慣和金融需求，從而為客戶設計出有針對性的金融產品和服務;二是針對性產品推送。智能金融幫助金融機構以成本較低的方式更好地了解客戶，向客戶推送有針對性的金融產品和服務，提高了營銷精準度;三是有效控制風險。智能金融將一些算法應用到風險管理中，較為精準、全面地模擬各類風險事件，有助于更好地進行風險管控。

（三）智能金融與數據保護的關系

目前，智能金融的發展缺乏成熟的大數據環境，且人工智能的發展還沒有突破非結構化數據的障礙，未來智能金融的發展需要以技術突破為基礎，打造互聯互通的大數據平臺，提升商業活動數據、個人信用信息等數據的互通訪問。但由于數據孤島化、非結構化，數據分類和保護不規范等問題，導致大數據的價值尚未有效發揮，而目前數據壟斷現象在金融行業較為顯著，造成未來智能金融發展空間受限。

從數據安全性角度看，用戶信息安全保護仍然受到極大挑戰。尤其是臉書用戶信息泄漏會嚴重影響公眾對互聯網機構、金融科技的信任。“用戶畫像”在提升金融服務智能化的同時，也對用戶隱私泄露構成威脅。因此，智能金融有效提升金融服務效率的同時，也隱含著較大的信息安全隱患。在保持個人數據安全的同時，不斷提升數據應用價值與范圍，在這看似矛盾的關系中尋找平衡發展的長遠道路，是金融行業乃至整個社會需要思考的問題。

二、域外個人金融信息保護立法與監管經驗

域外發達經濟體較早地開展對個人數據（含個人金融數據）保護的研究。歐洲側重保護個人數據權利，強化行政部門體制機制，形成以“知情同意”為基礎的個人數據保護架構。美國更側重促進金融行業發展，發揮行業自律的有機作用，注重信息自由流通及其市場價值。兩種模式各有利弊，需全面看待。

（一）歐盟

在立法層面上，歐盟在1995年頒布了《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》，對各成員國間不同標準的信息保護法做出統一。2016年4月，歐洲議會通過了《通用數據保護條例》，強化了個人數據權利的保護力度，在企業責任方面設置了更多規則，防止企業過度分析個人數據，同時在數據跨境轉移方面也提出了更嚴格的要求。該條例采用“知情同意”原則，以解決原有指令界定不清晰的“默示同意”問題。其要求“同意”必須是具體的、清晰的，并且應當在以明確直白的語言告知客戶的前提下，由其自由做出選擇，同時賦予客戶在任何時間撤回其“同意”的權利。

在監管層面上，歐盟采用“一站式”監管原則，由數據處理主體所在地的監管部門為主要監管機構，其他國家相關部門與主要監管機構協同配合。此規定對跨境數據處理的監管權限進行了明確，防止了管轄權沖突，同時增強了數據處理主體對監管規則的可預見性。此外，歐盟內部新增數據保護理事會，作為獨立的機構直接對歐委會負責，并建立企業數據保護專員制度，明確企業數據保護的主體責任。

（二）美國

在立法層面上，美國于1999年頒布《金融服務現代化法》，為金融機構保護與使用客戶信息制定了統一的法律規范，主要體現為：一是隱私政策告知，要求金融機構披露對客戶信息使用的方式、范圍及相關保護政策;二是規范金融機構向非關聯企業提供客戶信息的行為，提供前應將相關政策、條款以書面或電子文檔方式告知客戶，同時向客戶提供選擇退出的權利;三是要求金融監管機構公布客戶個人信息保護的標準、法規等;四是該法僅是對客戶信息的最低保障，允許各州制定更嚴格的規范。2011 年，美國對相關規定進行修訂，完善了金融機構非關聯企業之間利用客戶信息的提示要求，并于2014年制定了金融機構客戶隱私政策模板。

在監管層面上，美國在個人信息保護方面強調行業自律，通過制定行業行為指引強化個人信息保護規范。由金融機構組成的行業自律組織，出于立場不同，傾向于認為個人信息屬于金融機構有權支配的資源，在沒有法律規定的情況下可以自行使用，其所制定的自律規范，也不可避免地側重于保護自身利益，從而影響個人信息保護的強度。

（三）比較與小結

歐盟與美國通過立法確立了個人數據的來源渠道、收集手段合法、目的特定、利用限制等原則，并都在一定程度上兼顧了個人數據保護與金融行業發展之間的平衡，但兩者價值取向的不同導致了立法與監管模式的差異：歐盟更側重于保護個人數據權利，形成以“知情同意”為基礎的個人數據保護架構。這種方式給予個人數據保護更高的重視程度，但在大數據時代也遭遇了諸多挑戰。例如企業可能利用冗長的條款內容、不顯著乃至故意隱藏的告知方式，使得客戶常常忽略聲明直接選擇同意;美國更側重于促進金融行業發展，以推動智能金融發展來對待個人數據保護，注重信息的自由流通與市場價值，故并不設置事前的“知情同意”，而采用事后的“選擇退出”。這種方式也可能帶來金融消費者對其個人數據控制程度較低、個人信息保護不足等問題。

三、智能金融背景下個人金融信息保護的形勢

（一）形勢分析

個人數據權利保護的重要意義即保護公民個人信息權利或隱私權利，維護公民的人格尊嚴。智能金融背景下個人數據共享成為業內主流，而倡導共享價值背后的邏輯是保護信息資源的自由流通，這成為支持個人數據共享理論的法理基礎。數據安全與數據共享代表著作為信息處理者的金融機構與金融消費者之間的利益沖突。信息處理者在金融業務中往往掌握大量的客戶信息，在信息傳遞、共享的過程中，信息主體利益的保護被削弱，由此引發的數據權利問題成為信息處理者與金融消費者利益沖突之源。

實踐中，我國侵害個人信息案件頻發。買賣公民個人數據已成為刑事犯罪領域的典型黑產鏈，在引發社會廣泛關注的同時更對金融機構的形象造成嚴重打擊，也增加了公眾對于信息處理者的不信任。在法律適用領域，我國個人數據保護刑事司法實踐更為活躍，刑法和相關司法解釋都對個人信息犯罪作出了明確規定和適用說明，以嚴格的刑事責任對個人數據犯罪形成打擊震懾。

金融消費者出于對自身數據安全感的缺乏，要求機構采用金融服務訂立前的“知情同意”模式進行個人數據保護。在此模式下，2012年發布的《關于加強網絡信息保護的決定》明確規定“網絡服務提供者在業務活動中收集、使用公民個人電子信息，應遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經同意”。2013 年修訂的《消費者權益保護法》與2016年出臺的《網絡安全法》中也沿襲了相關原則和要求，并增加了相應的行政和民事責任。

（二）原因分析

1.過度創新帶來的制度難題。智能大數據背景下，高新技術迅猛發展為金融信息網絡化和虛擬化提供支持。在數據存儲方面，儲存大數據的虛擬化網絡云端雖然增加載體容量，然而云計算、同步化技術無法與存儲需求進行有效匹配，導致數據閑置、儲存低效成為技術發展配套不全的弊病。在數據兼容方面，交易模式和支付場景的混亂導致部分企業數據交換的安全性和精準性受到挑戰。在數據安全方面，互聯網技術漏洞帶來的泄露隱患沖擊金融生態系統安全，更多依托交易平臺系統開展的業務更易引發黑客攻擊，導致個人金融信息泄露事件時有發生。

2.過分強調數據保護產生的負面效應。大數據時代，金融企業經營綜合性加強，集團化趨勢明顯，過分強調個人數據保護凸顯制度平衡和實際業務的沖突。個人數據流動為社會發展帶來極大的創新動力，尤其對信息產業的領軍效應明顯。而在“知情同意”機制下，金融機構修改個人信息授權條款直接增加了經營成本;個人數據保護涉及的格式條款內容較為復雜，在告知環節經常因為未顯著提示使得客戶在未認真閱讀的情況下點擊同意，致使數據隱私保護條款失去實際價值。

3.金融數據監管的有限性。當前，新興金融業態不同程度游離于現有金融監管體系之外，而金融監管必須基于真實完整的數據信息才能有效實行。信息不對稱使得監管機構確定監管對象和時機的難度加大，普通的合規性檢查無法滿足有效監管的需要。我國現有的法律、法規尚未對部分機構監管事項進行明確的規定，市場主體的趨利性易引發道德風險，如虛假數據報送，漏報瞞報統計信息等。利用市場信息不對稱，部分機構運用多種手段侵害個人信息安全，其產生的法律風險和損失最終往往轉嫁至消費者。因此，金融數據監管的“有限理性”特征催生了高額的尋租成本，導致現行金融數據監管出現盲區。在此背景下，完善行為監管或許是營造良好金融數據環境的“靈丹妙藥”。

四、政策建議

（一）建立健全符合我國國情的個人金融信息保護法律體系

在智能金融發展背景下，我國現有金融法律體系面臨層次不高、針對性不強，且執法成本和司法成本較高等問題，因此推動形成符合我國國情的個人金融信息保護法律體系具有重要意義。

一方面以《民法典》頒布為契機，切實有效推動數據治理法治化。《民法典》的出臺基本構建了個人信息保護的頂層立法設計，通過專章規定“隱私權和個人信息保護”的方式，對隱私權和個人信息定義、保護原則等問題作出規定，并賦能數據要素價值，為數字時代個人信息保護奠定了民法基礎。另一方面充分借鑒域外發達國家立法實踐，加快推動《個人信息保護法》落地實施，促進個人信息及隱私保護的專門化、規范化、系統化。

（二）健全監管執法體系，推動形成監管合力

在金融混業經營模式下，我國尚未有明確的監管部門對個人金融信息保護進行統一監管，極易產生監管推諉和尺度不一等現象。因此，有必要加強各監管部門的溝通協調，明確職責分工，有效填補監管空白。

首先，在立法層面上明確各類型機構的監管主體，細化職責范圍，積極構建包含事前審查、事中管控、事后監督的全流程監管體系。其次，加強監管部門協同配合，既要明確交叉部分的職能歸屬，又要共商空白部分的職能合作，打造全方位、立體化的監管格局。最后，堅持從嚴監管導向，完善配套的金融監管法規，確保有法可依、有法必依，統籌協調執法尺度，做到依法行政、執法必嚴。

（三）壓實金融機構主體責任和義務

信息是金融的生命，在智能金融背景下，信息傳播的便捷性及數據潛在的巨大價值，使得金融機構以及各種數據服務商通過各種途徑獲取客戶數據。鑒于服務提供商與信息主體的地位不對等及信息不對稱，服務提供商需承擔更大的信息保護責任和義務。

第一，建立健全專門的個人金融信息保護機制，明確細化專門的信息保護操作規程，實施數據資源分級分類管理;第二，規范格式合同，嚴格遵循合法、公平、顯著提示等原則，增強金融信息收集的合法合理化;第三，賦予信息主體超越“同意”模式的現代數字權利，包括查閱、更新和更正個人數據的權利以及反對信息被使用的權利等，從而打破傳統的“要么同意要么不同意”模式中的弱勢地位。

（四）暢通權利救濟渠道，加大違法行為打擊力度

保護公民權利的關鍵措施之一在于暢通救濟渠道。目前，個人金融信息保護的救濟主要為行政手段和司法手段，側重于行政處罰和刑事處罰，耗時較長且難以使權利受到侵害的公民獲得經濟賠償。因此，應進一步暢通投訴、舉報、仲裁、訴訟、調解等權利救濟渠道，既要壓實信息侵害者的行政責任、刑事責任，也要明確與其侵害行為相對應的民事責任，從而提高違法成本，最大限度對利益受侵害者予以賠償。同時，各監管部門應加大對信息違法查詢、泄露等違法犯罪活動的打擊力度，嚴堵信息販賣等利益鏈條，持續形成高壓態勢，切實保護公民個人信息權利免受侵害。

（五）加強金融教育，提升公民金融信息保護意識

當前信息泄露事件頻出，很大程度上也源于公民對數據保護意識的重視度不足。各監管部門應通力協作，充分發揮各自職能優勢，整合資源配置，切實增強公民個人金融信息保護意識。事前保護方面，各部門應緊扣宣傳節點，圍繞個人金融信息保護和普及金融知識等主題，利用微信、微博等新興媒體和信息平臺提高宣傳效率，不斷提升公民金融素養。事中保護方面，督促服務商主體切實履行主體責任，在提供金融產品和服務的過程中，充分披露與個人金融信息相關的各種信息，確保信息主體明晰相應的權利義務。事后保護方面，在做好信息主體權利救濟的同時，以案說法，做好警示教育，積極引導公眾依法理性維權。

（六）推進個人數據保護國際間交流與合作

當今，中國作為世界第二大經濟實體，經濟體系龐大，涉及影響因素眾多。同樣，在中國新興發展的智能金融所面臨的運作流程和業務類型也復雜多樣，這給依照傳統金融行業制定監管措施的監管部門帶來諸多挑戰。加之金融創新發展迅速且模式多變，無形之中給監管部門帶來了巨大壓力，在監管方案的制定上難以錘定。制訂個人數據保護立法要在體現域外效力的同時，還要加強國際間的交流與合作，共同應對大數據時代帶來的個人信息安全新挑戰。

參考文獻：

[1]戴嬌嬌.美國金融隱私法律保護制度初探[J].福建質量管理，2018，000（017）：155，147.

[2]黃健傑.大數據時代背景下金融消費者平等權利保護研究[J].深圳社會科學，2019（05）.

[3]胡超南.論歐盟《一般數據保護條例》及對我國的啟示[J].法制博覽，2019（15）.

[4]李靜.網絡隱私權保護的立法研究[D].中國海洋大學.

[5]李曉春.智能金融發展對我國金融業的影響[J]. 科技與金融，2018，000（008）：74-78.

[6]馬運全.個人金融信息管理：隱私保護與金融交易的權衡[J].山東大學，2014.

[7]唐斯斯，劉葉婷.我國大數據交易亟待突破[J].中國發展觀察，2016（13）：19-21.

[8]王春暉.論個人信息權保護的法律邊界[J].通信世界，2017（25）.

[9]項焱，陳曦.大數據時代歐盟個人數據保護權初探[J].華東理工大學學報（社會科學版）， 2019， 034（002）：81-91.

作者單位：中國人民銀行金融消費權益保護局