個人金融信息安全標準的法律保護效力反思與邏輯調試

■曾 遠

一、問題的提出

隨著金融科技發展，大型科技公司和互聯網企業進入金融領域增加了個人金融信息安全的復雜性和風險性。為此，中國人民銀行等五部委在《金融業標準化體系建設發展規劃（2016—2020年）》中，將金融信息安全標準化作為規劃的重要拼圖。《個人金融信息保護技術規范》《信息安全技術個人信息安全規范》《支付信息保護技術規范》等個人金融信息安全標準，正逐步在監管層面發揮著其“標準化”作用，織密了個人金融信息保護制度網絡，促使金融類機構在各類企業服務文本（包括隱私政策、用戶服務協議、信息安全告知、服務章程）中，向監管機構和社會傳達尊重并保護公民個人金融信息的態度。切換視角發現，在各類因個人金融信息安全問題所產生的侵權糾紛或合同糾紛中，金融類機構通常會以“已經建立符合國家技術標準的個人信息安全管理體系，非常重視客戶個人信息的保護，視客戶信息為經營生命線，嚴格保護客戶的個人信息”，甚至以“標準不是法律”作為其免責的抗辯事由。在此類案件的司法裁判過程中，法官對事實判斷、裁決依據是以《合同法》《侵權責任法》條款為主，但難以見到標準的身影。雖然在個人金融信息保護領域的行政監管與司法裁判有著各自不同的制度邏輯與規范依據，但應看到，基于個人金融信息保護的立場，法律規范與標準均可視為個人金融信息保護工具，二者在個人金融信息保護功能上具有同質性。因此，有必要追問在個人金融信息保護的制度格局中，個人金融信息安全標準化治理為金融消費者提供了何種程度的保護？

個人金融信息保護是學界對“信息權”“數據權”“隱私權”等熱點議題的交叉研究投影在金融消費者保護研究領域的子命題，并隨著《民法典》《個人信息保護法》等涉及個人信息保護相關立法活動的展開，呈現出高度活躍的狀態。學界對個人金融信息保護的熱議既有共識，亦有分歧。學界之共識在于確認強化個人金融信息保護的目標共識、以完善法律規范實現保護的路徑共識。分歧則在于角度、方法與具體規則等方面：其一，對個人金融信息的法律屬性存在金融消費者隱私權與個人信息權的不同立場。其二，對個人金融信息保護方法存在以金融行政監管、刑事司法規制與金融消費者民事保護等不同爭議。其中刑事司法規制、金融消費者民事保護方法都存在一定制度困境。因此，強化對個人金融信息的監管是主流觀點，如基于數據跨境轉移、互聯網金融等不同場景構建個人金融信息保護制度。其三，由于個人金融信息在采集、共享等不同使用階段表現出不同特點，各階段保護規則都對金融消費者的知情權和同意權、信息披露、糾紛解決與各方責任承擔都有其側重點，也產生了較多交叉性爭論。但是，理論界對于個人金融信息保護的研究路徑，仍局限在話語層面反復討論個人金融信息的法律屬性、保護路徑等問題，但對金融標準化實踐對個人金融信息保護的影響缺乏足夠的理論回應。

個人金融信息保護相關研究領域均未有效關注現有標準化在個人金融信息保護制度體系中的制度定位、實質效力等問題。理論上有必要反思：個人金融信息安全標準究竟在整個規范體系中扮演著怎樣的角色？為此，筆者從功能主義視角出發，以涉及金融科技行業的金融機構企業服務文本為研究樣本，剖析研究樣本與個人金融信息安全標準設置的契合度，進而探究個人信息安全標準的制度實踐，以期為相關實踐提供理論參考。

二、個人金融信息安全標準的公私法效力機制

根據2017年《標準化法》規定，我國標準體系分為國家標準、行業標準、地方標準、團體標準和企業標準。而根據標準法律效力約束性的類型劃分，國家標準分為強制性標準、推薦性標準，行業標準、地方標準是推薦性標準（柳經緯，2018）。金融強制性標準與金融推薦性標準根本差異在于是否具有強制性效力。強制性標準具有法律層面的約束效力，而推薦性則具有一定的特殊性，若推薦性標準經法律援引則具有法律層面的約束效力，反之則無。因此，個人金融信息安全標準也遵循上例，如《銀行業金融機構數據治理指引》規定，銀行業金融機構收集、使用數據涉及個人信息的，應當符合相應的國家標準。根據全國金融標準化技術委員會（下稱“金標委”）資料顯示，截至2020年12月，我國涉及個人金融信息安全的國家標準有28項，行業性標準79項，但無一項強制性標準。對于金融機構而言，個人金融安全標準雖然屬于非強制性標準，但經過一行兩會的部門規章授權或援引，其在金融行政監管領域內具有了公法層面的適用效力，相應地，金融機構企業服務文本的各項內容也需要遵循上述規范要求。與此同時，個人金融信息保護行業標準條款也進入格式合同、隱私政策、安全告知為基礎的非傳統意思自治的市場秩序領域，發揮規范民事關系的作用。若個人金融信息安全標準無法律、行政法規援引，而經由當事人意思合意使用，應僅在當事人之間具有私法約束力。

（一）個人金融信息安全標準的私法效力機制

個人金融信息安全標準屬于推薦性標準，不具有強制實施的效力，其在進入市場秩序領域時的效力路線是作為行業規范發揮“基礎通用、與強制性國家標準配套、對各有關行業起引領作用”，并作為金融機構與金融消費者個人達成金融合同內容，實現個人金融信息安全標準私法化的功能價值。

在作為機構自律與行業自律的行為準則方面。金融機構通常將金融信息安全標準作為其內部信息安全建設、監督管理、審核查驗的實施準則。若業者執行不當便會遭自行業規制，成為行業規制的執行依據。因此，在機構自律與行業自律模式下，由于行業對市場、技術更為熟悉，由其發布行為準則更加可行且更容易遵守。

在作為合同組成部分方面，金融機構與金融消費者一般通過“約定”的方式，在企業服務文本（服務協議及其副本隱私政策）中根據金融法律與金融標準列明具體措施與技術要求。如《中國人民銀行金融消費者權益保護實施辦法》規定：“金融機構進行營銷活動時應當遵循誠信原則，金融機構實際承擔的義務不得低于在營銷活動中通過廣告、資料或者說明等形式對金融消費者所承諾的標準”。若僅在服務文本籠統約定應當符合有關法律規范或標準的情況下，也可依據服務文本規定的具體信息比對適用推薦性標準。此時個人金融信息安全標準的效力便由企業內部走向外部，成為由司法部門、仲裁機構裁判的依據。

如何評價人金融信息安全標準的私法效力機制，這需要更為宏觀的視角解釋。實踐中，個人金融信息安全標準的私法實施存有諸多不足，例如在“風險預防”理念指導下，個人金融信息“保護門檻”被遷移至金融企業隱私政策制定等市場行為領域。但如前所述，金融機構企業服務文本內容對金融消費者個人信息安全規則的用語通常較為寬泛、模糊，如“盡量”“可能”“某些”“盡最大努力”等等，致使有些金融消費者認為金融機構會基于契約精神、市場聲譽、職業道德等因素，保證其個人金融信息的安全。但事實并非全然如此，企業服務文本的被遵守程度常因金融機構的專業、態度等因素影響出現各種差異，此時的個人金融信息安全標準，面臨喪失對個人信息保護的實質內核，被強調意思自治而忽略主體能力差異私法所擠壓的風險。

（二）作為公法規則的個人金融信息安全標準

第一，效力來源。個人金融信息安全標準之所以經行政規章援引而具有公法層面約束力，原因在于其自身的“技術權威”。在金融行業高度數字化和專業化的背景下，金融科技通過復雜數字技術，利用個人金融信息進行金融交易模式復雜性創新，形成了金融科技行業的技術壁壘，并對現代金融監管提出新的挑戰。通過對金融數據的標準化處置，可以瓦解金融科技行業形成的技術壁壘，降低監管難度與成本，保護金融消費者。包括個人金融信息保護技術標準在內的金融行業標準，正逐步走向現代金融監管的核心制度領域。作為通過標準化活動，按照規定程序經協商一致制定，為各種活動或其結果提供規則、指南或特性，供共同使用和重復使用的文件（柳經緯和許林波，2018）。個人金融信息安全標準與相關法律規范的差異，不僅在于制度外觀的形式差異，而且在于其處置對象的專業性差異：個人金融信息安全標準處理的全部屬于個人金融信息安全技術與安全管理等專業技術問題。這一系列標準由金融從業者與監管者組成的金融標準起草委員會起草并審查通過，可見該系列標準的制定均圍繞“技術性”這一核心要素展開。在以往的實踐中，金融標準的內容技術水準往往高于金融法律的水準。因此，不同于法律規范等級產生的約束效力，金融標準基于“技術水準效力”的內容展現，使其得到了廣泛認可。這也正是法律效力概念在理論上出現正確性效力與權威性效力之分，即正確性效力體現了規范在內容上的正確性，而權威性效力則表達了規范在形式上的權威性（俞祺，2014）。

第二，效力等級。在確認個人金融信息安全標準的公法效力基礎上，需進一步確定該系列標準的效力等級。從效力來看，法律由國家強制力保證實施，法律一經頒行即具有普遍約束力，標準若不與法律結合，則無此種強制適用的效力，標準是否得到實施，完全取決于標準使用者的志愿采用（柳經緯，2016）。據此應區分個人金融信息安全標準在公法規制領域與私法治理領域的效力。在個人金融信息保護的公法領域，標準的效力等級在很大程度上屬于老生常談的話題——屬“規章”還是規章以下的“其他規范性文件”。認為只需通過認定援引或授權法律規范的等級就能界定標準的效力等級。個人金融信息安全標準由安全技術標準與安全管理標準組成，大多數金融機構對安全管理標準保持了較高遵守程度，但對安全技術標準明顯缺乏遵守程度的一致性。這或許源于安全技術標準屬于科學技術范疇，安全管理標準則與法律規范體系同屬制度范疇，導致金融企業更重視“標準法律化后”的效力而忽視“標準法律化前”的效力。

第三，效力范圍。理論上，通過援引或授權后成為公法規則后，個人金融信息安全標準即可確定其效力范圍。但現狀是，在法律層面并不存在相關援引或授權作為推薦性標準的個人金融信息安全標準的法律條款。僅僅是一行兩會在其部門規章或規范性文件中會援引、授權個人金融信息安全標準。因此，在行政監管、行政司法領域中，經援引后的個人金融信息安全標準效力范圍在實踐中并無太多爭議，法院一般依據具體司法案件，經過司法審查后適用于行政司法領域。

三、個人金融信息安全標準的公私法保護力度差異

（一）指標設計

欲考察個人金融信息安全標準在公法和私法層面的實際保護力度，可利用金融企業的服務文本（包括使用章程、安全告知、隱私政策、服務協議等）對個人金融信息安全標準的引用關系進行測度。在已有的企業文本合規性審查研究中，大多采用類似法律文義解釋的文本比對思路來進行合規審查研究，以保證其研究結果的客觀性（李延舜，2019）。法律文義解釋方法是以法律文本的文字為依憑，并且要以具有明晰含義的解釋結果作為其階段性解釋目標（魏治勛，2014）。對法律文本的引用不僅能夠反映個人金融信息安全標準文本的參照關系和知識擴散，而且能夠反映個人金融信息安全標準對金融機構的實質影響。通過對已獲取金融機構服務文本的閱讀發現，多數金融機構服務文本中模糊性詞匯偏多，這意味著在服務文本中模糊性詞匯造成的不確定性，促使用戶“模糊同意”服務文本所列條款（姜盼盼，2019），進而擴大金融機構與金融消費者發生個人信息糾紛時的回旋空間。個人金融信息保護主要是基于企業安全告知、隱私政策對法律文本引用實現的，在一定程度體現了金融企業對個人金融信息保護制度的遵守程度。因此，可對個人金融信息安全標準與金融企業服務文本的文本契合度進行比對，檢驗現有個人金融信息安全標準在不同層級效力的實際差異。

從性質上看，個人金融信息安全標準無論在制定主體、制定程序還是實施方式、效力來源等方面，都與法律規范體系有所不同，但我們仍可借助規范主義進路，對個人金融信息安全標準體系進行分類和分級，進而提煉其特征。根據個人金融信息安全標準的現行規定是否涉及金融消費者隱私權等實體性權利義務關系，可將所有的條款分為核心條款與一般條款。同時，根據金融消費者是否能從服務文本中直接獲悉個人金融信息安全標準的條款，又可分為顯性條款和隱性條款兩大類。顯性條款主要是金融消費者在進行瀏覽服務文本時能夠獲取的相關信息，隱性條款是金融消費者無法直接通過服務文本知悉的標準內容。兩者結合形成四種類型條款：顯性核心條款、顯性一般條款、隱性核心條款、隱性一般條款（見表1）。

表1 個人金融信息安全標準內容的結構化條款

續表1

基于2020年中國人民銀行公布的金融科技企業試點名單、中國中關村互聯網金融研究院公布的中國金融科技競爭榜單，按照服務文本可獲得性、金融科技業務合規性等標準，篩選出涉足金融科技業務的商業銀行、金融科技服務類公司、金融科技技術類公司等實體共76家機構的企業服務文本。樣本中76個企業服務文本所牽涉單項安全標準條款的最大數值為76（即所有企業服務文本都遵守該項安全標準），因此每項安全標準的數值應不大于76，由此繪制雷達圖以直觀揭示在公法層面與私法層面的個人金融信息安全標準的實際保護力度差異。

圖1 金融企業服務文本條款與個人金融信息安全標準條款比對圖

（二）個人金融信息安全標準的保護效力差異

從金融企業服務文本條款與個人金融信息安全標準條款契合度結果看，樣本機構的企業服務文本在遵守作為私法規則與公法規則的個人金融安全標準的程度差異頗大。

在作為私法行為準則時，企業服務文本與其契合度相對較高的是免責條款、敏感信息提示、企業與用戶權限等顯性核心條款，分別有58、37、33項。其中，超過一半的金融科技服務類企業和金融科技技術類企業在個人信息的收集與使用目的條款中大量使用概括性語言。但更能體現問題的是個人金融信息范圍、用戶數據共享、用戶信息合理使用等顯性核心條款與安全運行技術要求、安全準則與策略、安全監測與風險評估、風險處理與責任承擔等隱性條款的被遵守程度遠低于預期，存在較大的“保護盲區”。分別有12、18、17項企業服務文本中提及保障用戶信息安全運行、安全策略、安全檢測與風險評估等內容，且仍以模糊語言代替具體的信息安全實施要求。雖然其中提到最多的是匿名技術和脫敏處理，但沒有一家企業服務文本對安全技術內容進行披露，例如工商銀行在隱私政策中提到：“我們成立了專責團隊負責研發和應用多種安全技術和程序”。此外，個人金融信息安全標準詳細規定了安全事件處理及應急預案、責任承擔等內容。在所有的企業服務文本中，僅有13項商業銀行和部分持牌金融機構服務文本明確提及發生信息安全事故后承擔法律責任。幾乎所有的服務文本沒有明確個人信息保護的安全技術責任人和責任部門。個人金融信息安全標準普遍要求在發生個人信息安全事件后企業應將及時告知個人信息主體，但有的企業服務文本明確提及“及時通知”。

作為公法的個人金融信息安全標準實際的保護力度則顯著高于作為私法時。其中敏感信息提示、個人金融信息目錄用戶數據共享、信息合理使用等核心條款的契合度有了明顯提升，分別達到了56、58、58、49、55項。從個人金融信息安全標準條款與金融機構企業服務文本引用的結構特征看，公法規范對個人金融信息保護制度體系中的其他層面規則有著較強的影響力，但也存在樣本服務文本覆蓋內容不全面，滿足顯性核心條款數量存在特定差異，隱性安全條款方面依舊不完善，不同條款滿足法定要求方面存在巨大差異等一系列問題。例如，安全運行技術要求、安全準則與策略、安全監測與風險評估、風險處理與責任承擔等隱性條款被遵循的比例徘徊在27.6%（風險處理與責任承擔）至48.6%（訪問控制）之間。需要引起注意的是，為凸顯市場聲譽，有相當比例的企業服務文本是在部分個人金融信息安全標準發布前由企業自行制定。當某些安全標準頒布后，上述企業服務反而沒有進一步更新，不僅如此，上述安全標準被一行兩會援引后，又進一步導致上述企業服務文本陷入無法完全滿足法定要求的困境。該困境顯示了金融機構對個人金融信息保護方面存在明顯市場驅動導向，也表明金融機構在回應市場自我規制與法律規制要求方面的態度遲緩。

結合個人金融信息安全標準對76家樣本企業類型的約束程度分析發現：安全標準對商業銀行系統、金融科技應用類公司系統、金融科技技術類公司系統產生的約束效應存在明顯差異。其中，約束效應最強的是商業銀行系統，表明金融科技發展必須是“正規金融持牌監管”制度框架下發展的特征。個人金融信息安全標準對金融科技服務類公司的約束效應較商業銀行薄弱一些。僅有援引后的個人金融信息安全標準對金融科技服務類公司服務文本起到直接的約束效應，從側面反映金融科技服務類公司在服務文本的重點在于符合公法規范要求，而對標準的遵守則要“看人說話”。金融科技技術類公司受個人金融信息保護公法規范和標準的約束效應最弱。無論是作為私法還是公法的個人金融信息安全標準，對其約束性均形同虛設。以上分析發現，個人金融信息安全標準在持牌類金融行業內具有“監管閘門”作用。由于個人金融信息安全標準的非強制性，對部分金融科技企業不具有約束力，使得部分持牌金融企業和非持牌金融科技企業以尋利為目的，利用其個人信息采用隱性手段損害金融消費者合法權益。這些行為源于數字金融的發展，對商業銀行帶來了一定負面影響（梁涵書和張藝，2021），也源于金融機構藐視消費者合法權益的傲慢態度，而這些隱性損害行為也揭示了部分金融科技企業“服務的虛偽性”（宋俊平和張俊喜，2019）。

四、個人金融信息保護安全標準的運行機制反思

在金融市場與信息技術雙重復雜化條件下，政府監管、自我規制與社會共治的個人金融信息保護機制需要規范化的制度載體。外部監管由法律提供權力依據，自我規制依賴于市場制度供給，社會共治更需要多元化治理依據。與此同時，多元化保護機制若無合理的治理邏輯，必然產生差異乃至絮亂的治理效果。從上述意義看，無法忽視個人金融信息安全標準化的保護路線在公法與私法領域產生的“保護盲區”。

（一）本質屬性：法律規范還是市場契約

個人金融信息安全標準作為獨立于金融法律之外的制度體系，其實質是一種能夠滿足金融市場對個人金融信息保護需求的“制度資源（System resources）”（Terlaak，2007）。市場為滿足市場主體對市場秩序正常運行需求，通過市場內生型配置資源方式，將標準這一維持市場秩序的“制度資源”提供給市場主體。具有合作、協商等“市場”屬性思維金融標準，有別于凸顯管制、服從等“國家”色彩的金融法律。從此點出發，在“引導行為”與“規制行為”并行的規范框架下，個人金融信息安全標準的首要功能應當是引導金融機構合規使用金融消費者個人信息（Braun，2019）。例如，在2018年中國電子技術標準化研究院抽查評審100多款金融企業服務隱私條款時，發現其中38款隱私條款及相關實現機制有明顯更新，22款有較小程度更新，其余40款沒有更新。雖然改進程度和效果不一，但評審結束后，大多數參評企業參照《信息安全技術個人信息安全規范》繼續對其企業服務隱私條款進行了再整改，體現出了個人金融信息安全標準在行業層面的引領示范效果。

當一行兩會的部門規章或規范性文件援引個人金融信息安全標準，使其具有公法效力時，我們應對個人金融信息安全標準的制度屬性變化保持警惕。這一邏輯無疑將個人金融信息安全標準置于與公法規范有同等效力的地位，即使一行兩會對其援引的事由具有科學性的“技術權威”，這凸顯出政府規制與社會自治互動關系中工具主義治理路線在金融消費者保護領域的根深蒂固。標準治理中“存在著對以往‘全能主義國家’的路徑依賴，國家主義的思維和慣性催生出了一種政府支持社會組織發展的‘工具主義’模式”（唐文玉，2016），具有明顯的階段性特征：一是強調各類社會治理規范所蘊含管制、秩序的價值優先性；二是社會治理規范缺乏硬約束效力；三是公法規范對其他社會治理規范存在“選擇性支持”情況。這種“工具主義”模式存在著不可忽視的限度，主要表現：其一，導致個人金融信息安全標準治理功能失調。從公共性角度審視，標準具有為市場提供維持市場秩序和宣示秩序價值的雙重功能。公法規范支持其他市場規范的“工具主義”模式，強調管制、秩序的價值優先性，合作、協商的價值則被置于次要位置，導致在構建個人金融信息保護制度體系過程中，優先支持標準規范維持市場秩序的功能，對其市場秩序的宣示功能則關注較少，而金融機構也將標準的規范市場秩序功能作為其主要功能，而把宣示社會、協商治理的功能束之高閣。其二，限制了標準對個人金融信息保護的績效水平。在“工具主義”模式下，一旦某類具體的個人金融信息標準被法律所援引，其與公法規范之間的“行為規范”和“執法依據”二元框架將演化為“權威——依附”等級化關系結構，雖然該類標準效力的屬性已被轉化公法效力，但也將影響其他不具有強制約束力類型標準的治理能力。

（二）換位審思：包容審慎的拼圖缺憾

我國個人金融信息安全標準的公私法效力差異是規制結構性問題。從機構設置看，我國個人金融信息保護監管權屬于分散配置模式。對于監管權分散配置而言，初衷旨在希望監管機構在保護個人金融信息方面能夠有針對性開展監管活動。但在分業監管模式下，監管機構條塊化任務劃分，使得個人金融信息保護被置于作為相對較后的責任劃分區域，導致監管機構對個人金融信息保護未形成經常性執法狀態。因此，對金融機構因信息泄露引發侵權事件或濫用信息導致社會熱點后，監管機構方遲遲介入。前者常見于銀行類金融機構與金融消費者在普通銀行業務服務糾紛事件中，后者見于近年來因金融科技對個人金融信息大量復制與傳播后產生的新情況。例如，螞蟻金服在2018年向支付寶用戶提供查賬服務時，非法收集用戶信息引發社會關注，監管機構方介入其中。此外，監管機構由于自身缺乏應對金融科技創新的技術力量，一方面，要求金融機構履行一定信息審查義務。如中國人民銀行在《支付信息保護技術規范》中，要求從事支付活動的金融機構應承擔審核金融消費者個人信息合法性的義務。另一方面，監管機構要求與金融機構有業務合作的金融科技公司，也應提供符合金融標準的合規數據。該數據已成為監管機構對平臺內商戶進行常規執法的重要參考。

追本溯源，個人金融信息安全標準化是尋求平衡市場秩序與金融創新的包容審慎原則重要手段之一。包容審慎是金融創新發展與防范風險的基本原則，其核心要義之一是確保對個人金融信息的使用不突破規制底線。從運作方式而言，個人金融信息安全標準化首先在于厘清政府與市場的邊界，但標準的適用必然面臨與法律規范的交融。對個人金融信息安全底線的理解在政府干預與市場自治的場域中又產生了新的分歧。若監管層秉持“拿來主義”“工具主義”的統治理念，沒有區分引導性行為規范與規制性行為規范在運行機制的本質差異，沒有脫離“命令——控制——制裁”的規制進路，也就難以保持個人金融信息安全標準應有的制度屬性。換位審視，金融機構若缺乏足夠的自治動力，若不對市場權力秩序有所敬畏，將導致個人金融信息安全標準喪失原初的制度功能，并引發監管層依照法律法規規制進路將標準納入外部規制依據范疇，強化國家干預市場秩序的力度。進一步而言，作為市場資源的個人金融信息安全標準對供需兩端的權力秩序改造，決定了其勢必面臨外部規制與內部自治的競爭、融合態勢。而這一態勢恰應從市場內外雙重視角，對其作出更符合包容審慎原則的解讀。

從監管層面看，個人金融信息安全標準應體現包容審慎的底線思維。在市場秩序理性運行過程中，法律介入的前提是對個人金融信息市場價值的確認，為其社會福利產出提供必要的制度保障。若金融企業的服務協議、隱私條款不符合《信息安全技術個人信息安全規范》等安全標準，但其能遵守《網絡安全法》等法律規范確定行為準則，不應一概確認其條款的法律風險，而應先由市場機制來判斷企業服務條款不滿足標準要求所產生的市場風險。《金融科技（FinTech）發展規劃（2019—2021年）》提出，針對金融業信息技術應用建立健全國家統一推行的認證機制。認證制度實施后所產生的信號傳遞機制、激勵性規制效應，將促使金融企業尊重市場標準，使市場標準發揮其制度功能。否則，在“命令——控制——制裁”的法律規制進路下，規制主體與市場主體都將在社會包容性呼聲下，迷失包容審慎的標準性，導致市場標準被法律規制所“俘獲”而不是法治層面的制度吸收與轉化。

從市場層面看，應警惕金融科技競爭對個人金融信息安全標準所產生的擠出效應。阿里、騰訊等眾多互聯網巨頭涉足金融業，打破了傳統金融市場競爭不足局面，眾多中小企業通過業務依附模式得以涉足金融科技市場，模糊了金融行業利益邊界，重構了傳統金融市場的利益均衡機制。因此，個人金融信息安全標準制定主體多元化、利益多元化，決定了單獨的技術要素或規則要素均無法滿足個人金融信息安全標準的產出。如《信息安全技術個人信息安全規范》的起草單位囊括了社會團體、市場企業、專業機構。與個人金融信息立法相比，市場標準的制定存在被利益主體俘獲的可能性更大，并導致個人金融信息安全水平被任意界定，增加市場競爭成本，最終產生市場擠出效應，形成寡頭壟斷市場。

五、個人金融信息安全標準多層保護邏輯的調試

現行個人金融信息安全標準存在規制路徑依賴，弱化了標準應有的制度價值與制度功能。因此，對個人金融信息安全標準定位，既不能迷信“市場萬能”，將其全部留待市場自我定位；亦不能重歸“國家主義”舊路，將其視為法律規制的延長線；而需從多主體、多層次的合作治理與規制的立場，利用既有法律制度融入個人金融信息安全標準，是確保其可持續發展的必然之舉。

（一）作為協同治理的制度構成要素

金融新業態創新與發展的前提是金融企業可以有效進入市場之中。而按照個人金融信息安全標準化思路，安全認證將形成安全閘門與準入門檻。實踐表明，政策標準與市場規則、執法機構與市場主體的博弈，使得標準被束縛手腳，難以產生實質性效果。功能主義協同治理效力的正當性源自治理效力的融貫性。從保障個人金融信息安全的實質角度看，對本應貫徹共同性的標準效力事項不同區分，勢必導致標準制度的虛置。尤其在安全技術使用效力方面，不同層級效力的截然不同，對金融消費者信息安全的威脅更為嚴重。標準不同層級的效力統合，可以在充分凸顯安全標準“技術權威”優勢的同時，通過政府參與確保其公共性。在協同治理模式下，可以以立法方式賦權個人金融信息安全標準，在安全技術審查標準、安全運行操作規范等方面予以明確為金融機構服務文本必備內容。從而有利于提高相應規則的遵從度，使得個人金融信息安全標準發揮更大作用，也使得政府干預更具謙抑性，并更加符合比例原則的理念追求，節約行政成本。

與此同時，金融法規制是金融新業態發展的法治底線與市場邊界，應明確個人金融信息安全標準的多元化保護機制。法律規制應統籌個人金融信息合理保護與有效利用，為標準劃定明確界限，使其成為“市場內”的“看門人”，確保標準成為保障個人金融信息安全生命周期的規范化標桿，協同促進個人金融信息安全標準的實施。《中華人民共和國標準化法釋義》認為，在有些情況下，推薦性標準的效力會發生轉化，必須執行：推薦性標準被相關法律、法規、規章引用，則該推薦性標準具有相應的強制約束力，應當按照法律、法規、規章的相關規定予以實施。因此，可在《個人信息保護法》《民法典》《網絡安全法》等法律規范設置引用個人金融信息安全標準的條款，賦予其相應效力邊界。然而，這一情形可能與《標準化法》第2條關于推薦性標準沒有強制性例外的規定發生沖突。所以，標準的效力邊界需經《標準化法》與其他法律規范進行協調。

（二）個人金融信息安全標準的賦權邏輯與解釋空間

標準的生成與完善是個人金融信息利用與保護的秩序得以穩定運行的一個重要前置性條件。包容審慎原則可以暫時容忍金融科技初創時期的利益不均衡，一旦金融信息資源配置模式的創新性被認可，標準的進一步完善是政府與市場不能回避的問題。如前文所述，個人金融信息安全標準實施所產生的“保護盲區”問題，集中體現于金融機構在安全技術運行、安全測率、安全準則以及應急處理等隱性條款自我規制上的努力。但金融機構服務文本在內容完整與保護力度實際情況遠未達到理想狀態，如何完善金融機構市場自律作為維護金融消費者信息安全的核心措施，無疑是一個現實抉擇難題。雖然未來以標準認證實施的市場規制將繼續發展，并發揮積極作用，但市場自律的效果是緩慢釋放的，無法在短期內提升我國個人金融信息保護整體水平。在協同治理框架下，標準作為市場自律的依據，其生成邏輯無疑需要回應上述難題。

標準的形成有兩種路徑：政府引導與市場生成。政府引導的標準是政府通過標準法規推動形成的個人金融信息保護的國家標準體系；市場生成的標準是指金融市場主體自發形成的行業標準、團體標準或企業標準。如果只滿足于形式上的內部生成，不賦予市場個體、團體自治權，就預示著政府規制仍將實質影響標準內部生成秩序，意味著有關團體事實上成為協助政府制定標準的工具。個人金融信息安全標準生成的動力來源在于賦予協會、企業足夠的治理權限，強化其市場責任與社會責任。金融行業協會與金融機構獲得自主治理權限，應符合市場等價交易準則，其對價在于市場責任與社會責任的承擔。完善金融企業服務的首要工作是提高合規程度，具體措施應是在個人金融信息標準規則生成機制之內充分考慮利益相關者的權利與利益實現。經合組織認為標準制定組織應代表不同的經濟利益，包括公共部門和消費者，以避免諸如只有少數制定者時可能出現的問題。通過個人信息安全標準的信息公開，提升金融消費者的議價能力，實現實質意義上個人金融信息安全標準生成的市場化驅動。

從法律解釋視角看，個人金融信息安全標準對個人信息保護法律法規能起到解釋作用。具體而言，應在保護個人金融信息的安全性、尊重信息使用的專業性、維護個人金融信息保護效能等前提下，在法律內容不確定時，立法明確授權行政機關制定技術標準解釋的，法院應當采納技術標準。默示授權的，法院對是否采納技術標準，具有自由裁量權。在事實認定層面，技術標準作為證據和判斷證據之證據能力以及證明力方法（包建華和陳寶貴，2019）。

（三）強化個人金融信息安全標準競爭中性監督

個人金融信息安全標準發展瓶頸在于如何消除其不同運行機制間的盲區。個人金融信息安全標準通過在市場內權利秩序的更迭促進市場外權利秩序的變動，實現市場內外秩序交融。因此，消除制度保護盲區的關鍵是防止政府權力對市場標準內生機制的不當干預。個人金融信息安全標準（國家標準、行業標準）絕大部分為推薦性標準，其性質是建立金融行業內的個人金融信息保護的基礎性門檻，并不限制基于門檻之上的技術創新與保護水平。因此，我國金融信息安全標準的變遷路徑是以政府監管為主導，金融信息安全標準體系的“強公共性”與“弱市場性”決定了應強化對標準生成的競爭中性監督。通過競爭中性監督，一方面可以提升市場標準內生機制的競優導向，調動金融企業市場自覺性，維護市場標準的導向機制，確保個人金融信息安全和效益的協調；另一方面可以確保政府介入金融信息市場標準生成的程度，為法律規制與市場自治銜接奠定基礎。

個人金融信息安全標準競爭中性監督的使用要點：第一，強化標準制定組織的信息公開義務。若國家標準存在擠出效應或限制創新效果，應對國家標準保護個人金融信息的目標與技術要求、管理要求之間的必然聯系做出詳細解釋，排除技術標準與管理標準以保護為“目的”行限制創新之“實”。例如，央行發布的技術文件《個人金融信息保護技術規范》“自上而下”地對個人金融信息的生命周期技術要求與安全運行技術要求，規定“必須符合法律規范與行業主管部門要求”，進而限制個人信息的收集和使用。有關金融信息生命周期技術要求以及運行技術要求的限定，都是基于有限理性進行判斷的，這種“控制性”技術路線與標準的“市場化”的本質屬性有所沖突，可能制約市場創新。因此，應當征求各方意見，并依法對相關政策動機進行公開和釋明，降低政策施行的協調成本。第二，完善個人金融信息標準競爭中性的社會監督。個人金融信息安全環境的營造并非僅僅是監管層獨立支撐，更多需要構建行業監管、社會監督、協會自律、機構自治的多位一體治理體系，共同打造全社會協同共治的治理格局，提升個人金融信息安全標準制定的公開化與透明度。美國網絡安全標準開放競爭機制的經驗表明，若對網絡安全給予不同程度定義，并設立對應標準組，實現這些標準組的互相競爭，并由用戶最終驗證、判斷哪個標準將最適合其特定要求，將極大降低標準治理成本（Srinivas et al.，2019）。因此，個人金融信息安全標準的開展不僅要向社會各界廣泛征求意見，并且在監管層主體地位之外明確社會監督重要性。