智能金融时代的个人金融信息保护与监管研究

原宇航

关键词：智能金融 个人金融信息保护

随着信息技术的长足发展，整个人类社会的数据总量呈现几何级增长的态势。在金融领域，个人金融信息通过智能化方式被充分利用，展现出明显的经济社会价值。这一过程不可避免地出现了个人金融信息被侵害、信息处理者行为不规范等问题。如何更好地平衡个人金融信息主体和信息处理者之间的固有矛盾，更好地维护行业生态成为摆在我们面前的紧迫课题。

本课题深入分析了智能金融和个人金融数据的概念，阐明了数据保护的范围和挑战，并简要介绍了智能金融的优势和实际应用，厘清两个基础概念的意义，引出二者结合的现实困境，从而为更好地展开论述提供必要前提。

当前，我国个人金融数据保护形势较为严峻，针对个人金融数据的侵权乃至犯罪案件屡见不鲜。需要在借鉴境外良好实践的基础上，根据我国实际情况，采取多样化信息保护方式，更好地平衡信息保护与经济效益之间的关系，促进行业持续健康发展。

一、相关概念及现有研究评述

（一）个人金融信息的概念与范围

从一般概念上来说，个人金融信息指的是信息主体在与金融机构发生业务关系的过程中，金融机构所知悉和掌握的个人信息。这种信息主要包括：一是身份信息，主要包括姓名、身份证件、联系方式等基础数据;二是客户交易信息，主要为客户在与金融机构发生交易的过程中产生的信息数据;三是信用信息，主要为借贷、还款情况有关的信用数据。

2020年，中国人民银行发布了《个人金融信息保护技术规范》，对个人金融信息给出了新的定义和范围：“个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。”从类型来看，包括个人身份信息、财产信息、账户信息、金融交易信息、鉴别信息、借贷信息及其他反映特定情况的信息等七大类。此外，该规范按照信息敏感程度将个人金融信息分为“C1、C2、C3”三个类别，要求金融机构根据数据等级进行划分，在信息的收集、使用、转移、保存、销毁等各个环节建立严格的合规流程与保护体系。

（二）智能金融定义及应用

智能金融（AIFinance）指的是金融行业与高新科技的全面融合，以大数据、云计算、区块链、人工智能等为核心要素，提升金融机构的服务效率，拓展金融服务的广度和深度，实现金融服务的个性化、智能化和定制化。

智能技术与金融行业的有效结合，可以大幅提升金融服务的质量和效率。具体表现为：一是差异化产品设计。智能金融可运用大数据技术对客户进行分析画像，更精准地掌握客户的消费行为、消费习惯和金融需求，从而为客户设计出有针对性的金融产品和服务;二是针对性产品推送。智能金融帮助金融机构以成本较低的方式更好地了解客户，向客户推送有针对性的金融产品和服务，提高了营销精准度;三是有效控制风险。智能金融将一些算法應用到风险管理中，较为精准、全面地模拟各类风险事件，有助于更好地进行风险管控。

（三）智能金融与数据保护的关系

目前，智能金融的发展缺乏成熟的大数据环境，且人工智能的发展还没有突破非结构化数据的障碍，未来智能金融的发展需要以技术突破为基础，打造互联互通的大数据平台，提升商业活动数据、个人信用信息等数据的互通访问。但由于数据孤岛化、非结构化，数据分类和保护不规范等问题，导致大数据的价值尚未有效发挥，而目前数据垄断现象在金融行业较为显著，造成未来智能金融发展空间受限。

从数据安全性角度看，用户信息安全保护仍然受到极大挑战。尤其是脸书用户信息泄漏会严重影响公众对互联网机构、金融科技的信任。“用户画像”在提升金融服务智能化的同时，也对用户隐私泄露构成威胁。因此，智能金融有效提升金融服务效率的同时，也隐含着较大的信息安全隐患。在保持个人数据安全的同时，不断提升数据应用价值与范围，在这看似矛盾的关系中寻找平衡发展的长远道路，是金融行业乃至整个社会需要思考的问题。

二、域外个人金融信息保护立法与监管经验

域外发达经济体较早地开展对个人数据（含个人金融数据）保护的研究。欧洲侧重保护个人数据权利，强化行政部门体制机制，形成以“知情同意”为基础的个人数据保护架构。美国更侧重促进金融行业发展，发挥行业自律的有机作用，注重信息自由流通及其市场价值。两种模式各有利弊，需全面看待。

（一）欧盟

在立法层面上，欧盟在1995年颁布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，对各成员国间不同标准的信息保护法做出统一。2016年4月，欧洲议会通过了《通用数据保护条例》，强化了个人数据权利的保护力度，在企业责任方面设置了更多规则，防止企业过度分析个人数据，同时在数据跨境转移方面也提出了更严格的要求。该条例采用“知情同意”原则，以解决原有指令界定不清晰的“默示同意”问题。其要求“同意”必须是具体的、清晰的，并且应当在以明确直白的语言告知客户的前提下，由其自由做出选择，同时赋予客户在任何时间撤回其“同意”的权利。

在监管层面上，欧盟采用“一站式”监管原则，由数据处理主体所在地的监管部门为主要监管机构，其他国家相关部门与主要监管机构协同配合。此规定对跨境数据处理的监管权限进行了明确，防止了管辖权冲突，同时增强了数据处理主体对监管规则的可预见性。此外，欧盟内部新增数据保护理事会，作为独立的机构直接对欧委会负责，并建立企业数据保护专员制度，明确企业数据保护的主体责任。

（二）美国

在立法层面上，美国于1999年颁布《金融服务现代化法》，为金融机构保护与使用客户信息制定了统一的法律规范，主要体现为：一是隐私政策告知，要求金融机构披露对客户信息使用的方式、范围及相关保护政策;二是规范金融机构向非关联企业提供客户信息的行为，提供前应将相关政策、条款以书面或电子文档方式告知客户，同时向客户提供选择退出的权利;三是要求金融监管机构公布客户个人信息保护的标准、法规等;四是该法仅是对客户信息的最低保障，允许各州制定更严格的规范。2011 年，美国对相关规定进行修订，完善了金融机构非关联企业之间利用客户信息的提示要求，并于2014年制定了金融机构客户隐私政策模板。

在监管层面上，美国在个人信息保护方面强调行业自律，通过制定行业行为指引强化个人信息保护规范。由金融机构组成的行业自律组织，出于立场不同，倾向于认为个人信息属于金融机构有权支配的资源，在没有法律规定的情况下可以自行使用，其所制定的自律规范，也不可避免地侧重于保护自身利益，从而影响个人信息保护的强度。

（三）比较与小结

欧盟与美国通过立法确立了个人数据的来源渠道、收集手段合法、目的特定、利用限制等原则，并都在一定程度上兼顾了个人数据保护与金融行业发展之间的平衡，但两者价值取向的不同导致了立法与监管模式的差异：欧盟更侧重于保护个人数据权利，形成以“知情同意”为基础的个人数据保护架构。这种方式给予个人数据保护更高的重视程度，但在大数据时代也遭遇了诸多挑战。例如企业可能利用冗长的条款内容、不显著乃至故意隐藏的告知方式，使得客户常常忽略声明直接选择同意;美国更侧重于促进金融行业发展，以推动智能金融发展来对待个人数据保护，注重信息的自由流通与市场价值，故并不设置事前的“知情同意”，而采用事后的“选择退出”。这种方式也可能带来金融消费者对其个人数据控制程度较低、个人信息保护不足等问题。

三、智能金融背景下个人金融信息保护的形势

（一）形势分析

个人数据权利保护的重要意义即保护公民个人信息权利或隐私权利，维护公民的人格尊严。智能金融背景下个人数据共享成为业内主流，而倡导共享价值背后的逻辑是保护信息资源的自由流通，这成为支持个人数据共享理论的法理基础。数据安全与数据共享代表着作为信息处理者的金融机构与金融消费者之间的利益冲突。信息处理者在金融业务中往往掌握大量的客户信息，在信息传递、共享的过程中，信息主体利益的保护被削弱，由此引发的数据权利问题成为信息处理者与金融消费者利益冲突之源。

实践中，我国侵害个人信息案件频发。买卖公民个人数据已成为刑事犯罪领域的典型黑产链，在引发社会广泛关注的同时更对金融机构的形象造成严重打击，也增加了公众对于信息处理者的不信任。在法律适用领域，我国个人数据保护刑事司法实践更为活跃，刑法和相关司法解释都对个人信息犯罪作出了明确规定和适用说明，以严格的刑事责任对个人数据犯罪形成打击震慑。

金融消费者出于对自身数据安全感的缺乏，要求机构采用金融服务订立前的“知情同意”模式进行个人数据保护。在此模式下，2012年发布的《关于加强网络信息保护的决定》明确规定“网络服务提供者在业务活动中收集、使用公民个人电子信息，应遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经同意”。2013 年修订的《消费者权益保护法》与2016年出台的《网络安全法》中也沿袭了相关原则和要求，并增加了相应的行政和民事责任。

（二）原因分析

1.过度创新帶来的制度难题。智能大数据背景下，高新技术迅猛发展为金融信息网络化和虚拟化提供支持。在数据存储方面，储存大数据的虚拟化网络云端虽然增加载体容量，然而云计算、同步化技术无法与存储需求进行有效匹配，导致数据闲置、储存低效成为技术发展配套不全的弊病。在数据兼容方面，交易模式和支付场景的混乱导致部分企业数据交换的安全性和精准性受到挑战。在数据安全方面，互联网技术漏洞带来的泄露隐患冲击金融生态系统安全，更多依托交易平台系统开展的业务更易引发黑客攻击，导致个人金融信息泄露事件时有发生。

2.过分强调数据保护产生的负面效应。大数据时代，金融企业经营综合性加强，集团化趋势明显，过分强调个人数据保护凸显制度平衡和实际业务的冲突。个人数据流动为社会发展带来极大的创新动力，尤其对信息产业的领军效应明显。而在“知情同意”机制下，金融机构修改个人信息授权条款直接增加了经营成本;个人数据保护涉及的格式条款内容较为复杂，在告知环节经常因为未显著提示使得客户在未认真阅读的情况下点击同意，致使数据隐私保护条款失去实际价值。

3.金融数据监管的有限性。当前，新兴金融业态不同程度游离于现有金融监管体系之外，而金融监管必须基于真实完整的数据信息才能有效实行。信息不对称使得监管机构确定监管对象和时机的难度加大，普通的合规性检查无法满足有效监管的需要。我国现有的法律、法规尚未对部分机构监管事项进行明确的规定，市场主体的趋利性易引发道德风险，如虚假数据报送，漏报瞒报统计信息等。利用市场信息不对称，部分机构运用多种手段侵害个人信息安全，其产生的法律风险和损失最终往往转嫁至消费者。因此，金融数据监管的“有限理性”特征催生了高额的寻租成本，导致现行金融数据监管出现盲区。在此背景下，完善行为监管或许是营造良好金融数据环境的“灵丹妙药”。

四、政策建议

（一）建立健全符合我国国情的个人金融信息保护法律体系

在智能金融发展背景下，我国现有金融法律体系面临层次不高、针对性不强，且执法成本和司法成本较高等问题，因此推动形成符合我国国情的个人金融信息保护法律体系具有重要意义。

一方面以《民法典》颁布为契机，切实有效推动数据治理法治化。《民法典》的出台基本构建了个人信息保护的顶层立法设计，通过专章规定“隐私权和个人信息保护”的方式，对隐私权和个人信息定义、保护原则等问题作出规定，并赋能数据要素价值，为数字时代个人信息保护奠定了民法基础。另一方面充分借鉴域外发达国家立法实践，加快推动《个人信息保护法》落地实施，促进个人信息及隐私保护的专门化、规范化、系统化。

（二）健全监管执法体系，推动形成监管合力

在金融混业经营模式下，我国尚未有明确的监管部门对个人金融信息保护进行统一监管，极易产生监管推诿和尺度不一等现象。因此，有必要加强各监管部门的沟通协调，明确职责分工，有效填补监管空白。

首先，在立法层面上明确各类型机构的监管主体，细化职责范围，积极构建包含事前审查、事中管控、事后监督的全流程监管体系。其次，加强监管部门协同配合，既要明确交叉部分的职能归属，又要共商空白部分的职能合作，打造全方位、立体化的监管格局。最后，坚持从严监管导向，完善配套的金融监管法规，确保有法可依、有法必依，统筹协调执法尺度，做到依法行政、执法必严。

（三）压实金融机构主体责任和义务

信息是金融的生命，在智能金融背景下，信息传播的便捷性及数据潜在的巨大价值，使得金融机构以及各种数据服务商通过各种途径获取客户数据。鉴于服务提供商与信息主体的地位不对等及信息不对称，服务提供商需承担更大的信息保护责任和义务。

第一，建立健全专门的个人金融信息保护机制，明确细化专门的信息保护操作规程，实施数据资源分级分类管理;第二，规范格式合同，严格遵循合法、公平、显著提示等原则，增强金融信息收集的合法合理化;第三，赋予信息主体超越“同意”模式的现代数字权利，包括查阅、更新和更正个人数据的权利以及反对信息被使用的权利等，从而打破传统的“要么同意要么不同意”模式中的弱势地位。

（四）畅通权利救济渠道，加大违法行为打击力度

保护公民权利的关键措施之一在于畅通救济渠道。目前，个人金融信息保护的救济主要为行政手段和司法手段，侧重于行政处罚和刑事处罚，耗时较长且难以使权利受到侵害的公民获得经济赔偿。因此，应进一步畅通投诉、举报、仲裁、诉讼、调解等权利救济渠道，既要压实信息侵害者的行政责任、刑事责任，也要明确与其侵害行为相对应的民事责任，从而提高违法成本，最大限度对利益受侵害者予以赔偿。同时，各监管部门应加大对信息违法查询、泄露等违法犯罪活动的打击力度，严堵信息贩卖等利益链条，持续形成高压态势，切实保护公民个人信息权利免受侵害。

（五）加强金融教育，提升公民金融信息保护意识

当前信息泄露事件频出，很大程度上也源于公民对数据保护意识的重视度不足。各监管部门应通力协作，充分发挥各自职能优势，整合资源配置，切实增强公民个人金融信息保护意识。事前保护方面，各部门应紧扣宣传节点，围绕个人金融信息保护和普及金融知识等主题，利用微信、微博等新兴媒体和信息平台提高宣传效率，不断提升公民金融素养。事中保护方面，督促服务商主体切实履行主体责任，在提供金融产品和服务的过程中，充分披露与个人金融信息相关的各种信息，确保信息主体明晰相应的权利义务。事后保护方面，在做好信息主体权利救济的同时，以案说法，做好警示教育，积极引导公众依法理性维权。

（六）推进个人数据保护国际间交流与合作

当今，中国作为世界第二大经济实体，经济体系庞大，涉及影响因素众多。同样，在中国新兴发展的智能金融所面临的运作流程和业务类型也复杂多样，这给依照传统金融行业制定监管措施的监管部门带来诸多挑战。加之金融创新发展迅速且模式多变，无形之中给监管部门带来了巨大压力，在监管方案的制定上难以锤定。制订个人数据保护立法要在体现域外效力的同时，还要加强国际间的交流与合作，共同应对大数据时代带来的个人信息安全新挑战。

参考文献：

[1]戴娇娇.美国金融隐私法律保护制度初探[J].福建质量管理，2018，000（017）：155，147.

[2]黄健傑.大数据时代背景下金融消费者平等权利保护研究[J].深圳社会科学，2019（05）.

[3]胡超南.论欧盟《一般数据保护条例》及对我国的启示[J].法制博览，2019（15）.

[4]李静.网络隐私权保护的立法研究[D].中国海洋大学.

[5]李晓春.智能金融發展对我国金融业的影响[J]. 科技与金融，2018，000（008）：74-78.

[6]马运全.个人金融信息管理：隐私保护与金融交易的权衡[J].山东大学，2014.

[7]唐斯斯，刘叶婷.我国大数据交易亟待突破[J].中国发展观察，2016（13）：19-21.

[8]王春晖.论个人信息权保护的法律边界[J].通信世界，2017（25）.

[9]项焱，陈曦.大数据时代欧盟个人数据保护权初探[J].华东理工大学学报（社会科学版）， 2019， 034（002）：81-91.

作者单位：中国人民银行金融消费权益保护局