个人金融信息保护的逻辑演进与立法完善※

方乐

内容提要：信息技术的革新在促进金融市场发展的同时，亦加剧了个人金融信息危机的形成。既往适用的金融隐私保护模式无法调和“利用”与“保护”两市场需求间的矛盾。对此，立法者借由《民法典》《个保法》等法律规范的制定重构了“权利-义务-责任”体系，彰显了兼顾个人金融信息保护与利用的改革理念。然则，未有针对性考量金融场景特殊诉求的缺憾使得立法者遗留了个人金融信息法律体系不周延、“同意例外规则”供给不足、信息处理者事中与事后的保护义务相对缺失、权益救济机制有效性差等未竟课题。因而，有必要以专门性个人金融信息保护法律规范的出台为契机，构造起差异化“同意例外规则”、全周期保护义务以及递进式权益救济体系。

新一轮技术革命在释放个人信息价值的同时，亦将非法搜集、违规利用、公开售卖等信息安全之虞摆放在公众面前。由此，个人信息保护陷入了“刺猬困境”：过少的信息利用将使得人类无法享受社会便利，而过多的信息利用又将破坏个人隐私(董淑芬和李志祥，2021)。如何建构个人信息保护制度成为大数据时代亟需解决的法治命题。实际上，该问题的解决在金融领域具有更为重要的意义。一方面，个人金融信息涵盖了信用信息、交易信息、风险偏好等私密信息。另一方面，借由预测分析、客户画像等处理技术，个人金融信息利用与金融效率、金融安全等法益牢固绑定。简言之，“个人金融信息与金钱的高度相关性且能精准关联到个人”(邢会强，2021)，使其为各方所觊觎，保护与利用之间的紧张关系被进一步凸显。目前，相应法律制度的建设正处于“进行时”：《中华人民共和国民法典》(以下简称为《民法典》)、《中华人民共和国个人信息保护法》(以下简称《个保法》)等立法对个人信息保护进行了原则性规定，《银行业金融机构数据治理指引》、《中国人民银行金融消费者权益保护实施办法》(以下简称《金保法》)等文件对个人金融信息保护进行了操作性规定。层级分明的法律文件虽彰显了立法者对个人金融信息保护的重视，但过于分散的保护规则未有关切个人金融信息保护的特性，在促进信息流动和保护人格尊严方面均存有不足。与之相应，理论界也多关注个人信息保护的普遍问题，如隐私权与信息权的区分、知情同意规则的改进等，少有聚焦个人金融信息保护的特殊问题。因此，如何评价现有法律铺开的个人金融信息保护框架，并在其基础上如何通过权利、义务及责任等规则的改进，以调和保护与利用之间的冲突，值得更进一步的探究。

一、 大数据时代下个人金融隐私保护模式的失灵

在传统金融场景，法律制度尚可通过金融机构保密义务的贯彻来保护金融隐私，然随着信息价值的日益显现，单纯强调个人私生活安宁的保护模式再难克制金融市场主体攫取信息的动机。

1. 大数据时代的个人金融信息危机

由于金融产品的定价、销售、流通高度依赖于业者对信息的收集、分析与挖掘，逐利的金融市场主体天生具有获取信息的冲动，不过受限于处理技术，个人金融信息保护问题在既往并不突出。

然而，技术进步在促进金融市场发展的同时，亦增大了逐利动机演化为信息危机的可能。首先，收集技术的进步扩大了信息体量。随着数字化程度的提升和痕迹留存等手段的丰富，不仅历史信息可被循环利用，网页浏览信息、金融消费信息等非必要信息也会被集中收集。其次，应用技术的进步提升了信息质量。在客户画像等技术的应用下，金融业者可通过分析身份、财务等信息获得客户消费能力、消费兴趣、风险偏好、投资意愿等预测信息。后者将直接助益于产品定价、销售及服务，并由此又激励更多的金融业者收集、挖掘信息。再次，共享技术的进步扩展了信息处理主体。伴随统一标准格式、API接口等技术支撑的落实，单个金融机构获取的个人金融信息不再局限于有限市场主体间的流动，其可即时、全面地传输至其隶属的金融控股集团和与其达成合作关系的其他金融机构、科技公司等任意对象。

前述技术革新不仅加剧了金融信息固有的技术性风险，更是诱发了违规收集、利用、买卖等新型内化性风险。对于前者，信息技术的剩余风险不会彻底消弭。体量、质量及主体维度的变化延长了信息流通链条、形成了信息窃取激励，反而放大了金融信息泄露的可能性。对于后者，处理技术的升级为琐碎信息、无效信息转化为有效信息提供了可能。金融业者拥有更高意愿去超出业务范围的收集、使用及交易信息。由此，个人信息往往在其无意识的状态下被披露至金融市场。更为令人忧虑的是，此种信息处理方式正成为行业潜规则。据不完全统计，于2020年1月至10月期间，在中国人民银行已开出181张涉及个人金融信息的行政处罚罚单中，便有77%的罚单针对的是未经同意查询、未按约定使用个人信息等行为。

事实上，在人格标识的完整性之外，个人金融信息遭受侵犯影响的还有公众安宁生活所必需的行为自由与财产安全。例如，部分金融机构实施精准营销，使客户陷入“信息茧房”，干扰其投资决策、促成其过度消费。又如，部分征信机构将信用信息出售给雇主，异化了财务指标的评判功效，限制了部分欠债人的就业选择。上述例证于实践大量充斥。可见，在信息技术突飞猛进的如今，个人金融信息也正处于前所未有的危机。

2. 个人金融隐私保护模式的适用困境

保护隐私来源于人类羞耻本能。自“任意人都有决定自己事情不被他人干涉的权利”(Warren Brandeis，1890)之观点被提出后，保护公众隐私成各法域共识。在中国，纵使隐私权内容长期未获法律明确，但隐私权的保护内涵在学理和判例的不断讨论中已基本获得澄清：“隐私权不仅包含消极的防御功能，还应当包含对自己私人领域内事物的支配”(谢远扬，2015)。由此，在私法领域，隐私权的保护模式通常具体表达为事前的合同法保护和事后的侵权法保护两种路径。作为隐私权在金融领域的衍生，金融隐私权的保护自然承继了前述模式。

在小数据时代，现实问题主要集中于金融机构会否泄露客户信息。故在行政监管之外，以隐私协议约束金融机构对客户信息的使用，并以人格权救济规则威慑侵权人的保护模式尚可满足实践需求。可是，随着个人金融信息危机的显现，金融隐私保护模式便面临了保护不足与保护过度同时存在的困境。

首先，相比于具象的信息概念，“隐私是指个人生活安宁和生活秘密不受他人披露和干涉”(王利明，2012)的抽象状态。虽然个人金融隐私的范畴需结合具体场景确定，但已公开的信息和个人不在意被他人知晓的信息先天被排除在保护范畴外。由此，针对不当收集、使用、加工等处理此两类信息的行为，金融隐私保护模式存在规制盲区。然则，实践中，不合理处理此两类信息对公众带来的权益侵害或更为严重。如平台长时间留存、利用已公开的客户债务拖欠信息，便会给客户生活带来过度干扰。

其次，设定隐私协议的原意在于确保客户享有合理决定其隐私利用的自由，并在合意被违背之时享有追究违约责任的权利。可现实是此种自由通常为形式自由。其一，金融机构会滥用谈判优势。在金融业务与提供隐私刚性绑定的填写场景中，拒绝提供隐私意味着放弃金融服务。其二，金融机构会滥用专业优势。隐私协议动辄长达数十页，其冗长的告知内容和晦涩的专业词汇远超客户的阅读能力。其三，金融机构会滥用拟定优势。为获取更多的金融信息和承担更低的合同责任，金融机构通常在隐私协议里插入概括性授权条款和免责条款。风险敏感度低的客户难以做出理性选择。并且，以相对性为基石的契约仅能规训合意双方的行为。未在契约中显名的第三方不受契约所约束。一旦契约外主体实施了不当信息处理行为，公众显然无法向其诉诸违约责任，而金融机构也会以无过错为由逃脱违约责任。此外，在部分金融机构隐私保护不力的同时，亦有部分金融机构苦于过于严苛的合同义务。毕竟金融隐私的范畴并不明确，为确保金融隐私使用的合法性，金融机构只能对任何信息均开展事无巨细的告知并征求客户同意。这不仅提高了金融机构的合规成本，而且因部分客户对频繁告知的厌烦，其市场竞争力反会降低。

再次，用于兜底的权利救济路径面临着有效性难题。其一，现代信息社会下的侵权过程不易辨识。在无法及时感知隐私泄露并精准识别隐私泄露主体的情形下，多数客户会默认遭受侵权而放弃司法救济。其二，侵权行为成立的证明难度较高。在违法行为、损害事实之外，一般人格权的侵权行为成立还需要因果关系、主观过错两要件。作为信息处理过程的“局外人”，受害人实难突破资源、技术等方面的不足，举证后两要件。其三，即便客户合理履行了举证责任，也不乏法院以违法行为和处罚结果并不相称为由而否定受害人隐私权被侵害的诉讼主张。(1)参见(2015)沪一中民六(商)终字第107号民事判决书。

二、 个人金融信息保护模式的理念与内容

有鉴于金融隐私保护模式的失灵，立法者逐渐意识到金融信息与金融隐私的差异。在转向个人金融信息权益为保护基点的基础上，立法者通过《民法典》《个保法》等法律规范重置了权义结构，彰显了兼顾保护与利用两重目标的理念。

1. 理念：兼顾个人金融信息的保护与利用

深层次分析下，金融隐私保护模式的局限性在于“隐私权的价值取向归根到底还是维护私人生活安宁”(谢远扬，2015)。在权能内容上，即便人格权日益呈现出商品化特征，金融隐私权仍主要表现为消极、被动的静态权利。随着收集、使用、传输等处理行为的常态化，侵权行为更为隐蔽、普遍。如果不肯认客户自主控制信息的权利，则私人生活安宁势必难以保障。但若因此全面改进金融隐私权，便又存在干涉行业发展的隐忧。试想，如举凡获取他人信息之行为均需获取他人同意，则普遍的私人信息交流尚有侵权之虞，遑论通过信息的合理流通、使用来实现技术创新的深化和公共福祉的增进。可见，此种单一的价值取向与加大信息利用的社会发展趋势天生存有抵牾。继续拘泥于金融隐私保护模式将使得立法者陷入保护抑或利用的“全有全无”窘境。况且，与美国的宽泛隐私权不同，中国金融隐私权的内涵扩张存在既定边界(田野和张晨辉，2019)。通过扩张金融隐私权来强化保护的做法还会与其他人格权制度形成冲突，造成人格权理论体系的不自洽。

基于此，立法者逐渐舍弃个人金融隐私保护路径，而转向基于个人金融信息的全新保护模式。相较之，二者的直观差异在于个人金融信息的概念范畴更为宽广。《金保法》2016年版第27条曾对“个人金融信息”进行了概括定义——“金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息”。《民法典》《个保法》进一步围绕识别性和关联性对“个人信息”进行了解释。虽然此概括定义存在主体层面的瑕疵，但可以看出，其囊括了所有可识别客户的金融信息。由此，因深度处理碎片化信息造成的规制盲区可获得填补。

透过保护对象不同之表象，两类保护模式的实质差异表现为价值取向的不同。社会信息化进程的推进使得个人金融信息价值变得多元：其不仅具有人格尊严与自由价值，也具备商业价值和公共管理价值(张新宝，2018)。允许金融机构或相应主体高效地处理个人金融信息，既助益金融行业的结构型升级，也惠泽全体金融消费者，此谓商业价值的体现。强制客户提供诸如借贷状况、资金来源、收入状况等金融信息，并将其用于反洗钱、投资者分类、反客户欺诈等正当用途，系维护金融市场安全等公共利益所必须，此即公共管理价值的彰显。如果一味地坚守个人金融信息的私密状态，则不仅个人金融信息的商业价值与公共管理价值将无法得到完全释放，甚至于金融业者会因过度抑制而竭力向监管盲区逃逸，继而造成更多的信息侵权行为。对此，全新的个人金融信息保护模式将个人金融信息的处理价值考虑在内。此种兼顾保护与利用的模式理念回应了个人金融信息的多元价值，为金融市场的进一步发展提供了制度激励。

2. 内容：“权利-义务-责任”体系的重构

兼顾保护与利用的立法理念在内容上具体表达为“权利-义务-责任”体系的重构。

(1) 赋予信息主体弱化的“信息自决权”。与美国不同，欧陆各国借由德国“人口普查案”等司法判例的推进，逐渐形成了“个人人格的发展路径、方式等应由个人自主决定”(谢远扬，2019)的信息自决观点，并将其明确贯彻至《一般数据保护条例》等立法。此种思潮同样影响了中国。早在2013年，《征信业管理条例》便规定了个人对本人信息享有查询、异议和投诉等权利。当前，尽管《民法典》未有采纳“个人信息权”概念，而是选择了“个人信息权益”的表述，但表达方式的不同并不影响立法者赋予了个人对个人信息享有自决权利的实质：《民法典》明文规定了个人享有同意、查阅与复制、更正、删除、安全、保密等六方面的个人信息权利。在其基础上，《个保法》直接将第四章命名为“个人在个人信息处理活动中的权利”，并补充了补充请求权、解释请求权等权利。正如“卡-梅框架”所揭示，责任规则偏重事后规制，旨在变相促成个人信息的强制交易，而赋予信息主体自我决断信息的权利“在保障隐私利益和维护人格尊严方面能够起到更好的预防和警示功效”(曹博，2018)。但此种权利并非绝对、排他的权利。过于强调控制的绝对性将忽视个人信息的社会属性，造成权利边界的模糊和信息自由流通的阻滞。是故，域内外立法创设的均是弱化的“信息自决权”。此种“弱化”表征主要体现为“同意例外规则”，即并非所有信息的处理均需获得信息主体明示同意。对此，《民法典》规定了已公开信息、维护公共利益、维护该自然人合法权益、匿名信息、特别法另有规定等五类例外情形。《个保法》进一步细化了上述例外，并补充了订立或履行合同所必需、履行法定职责或义务所必需等情形。于金融领域，《金保法》等规范亦规定了特别法另有规定、提供金融产品、服务所必须等例外情形。前述例外规则的设定回避了传统“知情—同意”机制的“全有抑或全无”弊端，是适度鼓励个人金融信息利用理念的集中体现。

(2) 施加严格的信息处理者义务。如果仅依靠权利控制机制来缓和保护与利用间的冲突，则至少存在两处缺憾：其一，处于信息劣势的信息主体仅享有形式意义的同意权，难真实保护个人信息；其二，过度复杂的程序会不合理增加信息控制者成本，影响信息的自由流动(周汉华，2020)。所以，也有必要明文规定信息控制者的个人信息保护义务及其边界。对此，《征信业管理条例》《金保法》等法律规范不乏对金融机构提出了个人信息禁止收集范围、禁止收集方式、明示标准、最长保存期限等方面的要求。而《民法典》则概括规定了信息处理者应遵循的信息处理原则和采取必要措施、及时补救等安全保障义务。较前述规范，《个保法》对信息处理者义务作了更为详尽的规定。第一，其通过设置个人信息保护负责人、规定定期合规审计、开展事前风险评估、列举必要预防措施与补救措施内容等手段细化了安全保障义务的履行标准。第二，为确保“知情—同意”机制的有效性，其着重规定了信息披露的方式与事项、单独取得和重新取得同意的情形以及同意撤销机制。第三，针对包括金融账户在内的敏感个人信息，其对信息处理者的处理目的、处理必要性、同意的取得方式、告知事项等内容作了更为严格的要求。

(3) 形成民事、行政及刑事法律责任的联动。与前述权义变动相配套，立法者对违反规定者所需承担的法律责任亦进行了调整。不同于先前单一侧重谈话、整改、处分等行政责任，新近法律规范愈发强调民事责任的重要性。例如《金保法》第60条将侵害消费者金融信息的法律后果转介规定为相应民事责任和责令改正、没收违法所得、罚款等行政责任。《民法典》在人格权编一般规定处载明不合理侵害者应当承担民事责任。《个保法》则更进一步地贯彻了民事责任、行政责任并重的立法思路：在规定责令改正、罚款等行政责任之外，还吸纳了过错推定的归责原则和以检察院等主体为适格起诉对象的公益诉讼机制。此外，立法者也未完全忽视刑罚手段的兜底规制功效。《中华人民共和国刑法修正案(九)》将“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”统合为“侵犯公民个人信息罪”。其通过犯罪主体、犯罪行为范围的扩张，为公民个人金融信息权益提供了刑罚层面的保障。由此，个人金融信息保护模式在法律效果上呈现出了民事、行政及刑事法律责任相联动的样态。

三、 未竟课题：金融场景下保护与利用边界的调适

既有立法在理念与内容上的进步值得肯定，但其所呈现出的保护体系仍依赖于《民法典》等个人信息保护的普适规范。在部分信息高度私密且极为强调信息共享的金融场景，理想的个人金融信息保护模式还应充分回应降低信息流动阻碍和实现全周期保护的行业诉求。由此观之，现有模式所圈定的保护与利用边界存在进一步细化和调整的必要。

1. 个人金融信息法律体系尚不周延

检视现有的个人金融信息法律体系，首要问题是形式层面的缺憾。揆诸域外经验，信息保护的立法轨迹呈现为“基本法保护——民法保护——专门法律保护——分领域具体保护”(张继红，2016)。此种递进体例保证了不同层级规范的统一和具体规则的可执行性。反观我国，不仅高、低位阶法律规范间有冲突，专门性法律规范亦阙如，既有法律体系难谓周延。

首先，由于《民法典》《个保法》等规范于近期方出台，而各金融监管机构先前出于实践需要应急出台了诸多文件，不同层级的规范间确实存有诸多抵牾。例如，针对金融机构处理个人信息所需告知的内容，《民法典》等法律将其规定为目的、方式及范围，而《金保法》《个人金融信息保护技术规范》等文件规定的是处理目的、处理内容和可能后果。信息披露义务规定的不一致直接影响了金融机构的执行效果。对此，立法者需在尊重《个保法》等上位法的基础上调整具体规范性文件，以避免实践层面的混乱。

其次，未在“分领域具体保护”层面形成可统摄保护个人金融信息的专门法律规范。与《征信业管理条例》《金融信息服务管理规定》等文件相比，中国人民银行出台的《金保法》在位阶、内容等方面似最吻合专门规范的要求，可若将其作为规制个人金融信息的专门规范，则其存在规制对象和保护对象上的双重不足。其一，《金保法》以境内依法成立的银行业金融机构为规制主体。“境内”“银行业”“金融机构”三类条件大大限缩了规制对象。不论是境外企业，还是保险、证券等其他金融机构，抑或是非金融机构，均存在侵害个人金融信息权益的可能。尤其是考虑到中国金融监管体制以持牌与否划定监管范畴，市场中存在大量未取得金融牌照却从事金融服务的科技公司。如果不将这些主体纳入监管范畴，则不仅会引发金融市场的不公平竞争，而且会由于监管漏洞的存在，造成更多主体从事套利活动。其二，《金保法》以金融消费者为保护对象，其保护的金融信息权益仅为消费者金融信息权益。即便《金保法》自身采宽泛解释，将“购买、使用银行、支付机构的产品或服务的自然人”均视作金融消费者，但非处金融交易弱势地位的自然人(如具有高专业能力、高财力的投资者)受倾斜式保护的合理性是值得商榷的(杨东，2014)。并且，保护对象亦未有摆脱“金融机构”的定义限制，购买或使用非持牌机构产品或服务的自然人被排除在保护范围外。

2. “同意例外规则”的供给并不明确、充分

转向实质内容，之所以《民法典》等法律规范规定“同意例外规则”，其意旨在于降低个人信息利用门槛。对此，维护公共利益、匿名处理等豁口基本可满足多数场景的个人信息利用需求。可是，对比其他场景，由于个人金融信息的利用密切关涉金融产品的升级、金融市场的竞争等利益，金融场景对于个人金融信息的利用有更为强烈的诉求。循此，径直适用普适的“同意例外规则”并不妥当。

一方面，“维护公共利益”等宏观描述难为信息主体和信息处理者提供明确预期。有必要结合具体金融场景细化部分“同意例外规则”。例如，在收集端，金融机构等主体需要履行反洗钱、投资者适当性、协助犯罪侦察等法定义务，收集个人金融信息系其必须开展的事项。此时，应赋予金融机构等主体毋庸征得信息主体授权同意即可收集的权利。又如，在使用端，金融机构等主体所掌握的个人金融信息高度关联税收征管、司法执行、国家安全等重大公共利益的实现。不论信息主体是否愿意负面信息被使用，也应基于对合法利益的评估与比较，而拟制金融机构等主体享有使用个人金融信息的自由。

另一方面，既有“同意例外规则”未将基于商业利益的必要金融信息共享与转让考虑在内。实践中同样存在基于商业利益的必要金融信息流动：其一，为增强金融产品的竞争力，金融机构会与其他金融机构、科技公司等主体开展合作。例如，银行往往需要同科技公司合作建设开放银行的平台，而在平台搭建后，仍需要不断向平台接入第三方机构，以完善商业生态。其二，在行业竞争的驱动下，收购、兼并、重组、破产等行为的发生是市场常态。个人金融信息的存在往往是收购等行为实施的主要原因。可是，在《金保法》等规范刚性规定同意形式为“明示同意”的情形下，金融机构等信息处理者仅能向客户重复告知并索取授权。此举不仅加重了客户和金融机构的行为成本，更使得收购人等第三方主体因部分客户的拒绝、延误而遭受权益损失。此外，由于美国、韩国等法域已经规定金融控股集团内的信息共享采默示同意，采明示同意的举措还会使得境内金融机构在国际金融市场竞争中落入劣势地位(颜苏，2019)。

3. 信息处理者事中、事后的保护义务相对缺失

通过义务施加来弥补权利控制机制不足的立法思路本不应被指摘，但个人金融信息的风险贯穿信息处理的全生命周期，既包括事前的收集，也包括事中的管理、使用、共享，还包括事后的处置。以事前收集阶段为重心的现有义务构造无疑旁落了信息处理者事中、事后的保护义务，造成了个人金融信息安全网的真空。

详言之，针对个人金融信息的管理与使用，《个保法》等立法未有规定信息处理者的持续信息披露义务。实践中，信息主体往往对自身信息被使用的情况并不知情。一方面，在概括同意条款普遍采纳的现状下，期许普通客户在短时间内理解过载信息并作出授权与否的合理决策并不现实。另一方面，在金融算法大规模使用的背景下，即便信息处理者往往也很难清楚知悉金融算法的运作逻辑，遑论在收集信息之际一次性告知客户全部目的。因此，有必要责令信息处理者持续披露个人金融信息的具体使用目的与潜在可能的风险，来改变客户的信息劣势。

其次，针对个人金融信息的共享，相关规范均少有关注信息处理者对第三方机构的监督义务。可是，相比于受严格金融监管辖制的金融机构，科技公司等第三方机构往往才是信息泄露、不当处理的重灾区。不论科技公司等第三方机构后续是否会因穿透认定而被施加与信息处理者一致的保护义务，客户均是出于对于信息处理者的信赖才允许信息共享行为的开展，所以信息处理者理应为客户尽职，以确保第三方机构不出现信息泄露等问题。考虑到共享流程，此种监督义务除表现为筛选、督促第三方机构，还应包括持续披露共享信息的用途、类型、潜在后果等内容。

再次，针对信息风险已经发生的情形，《民法典》等规范概括规定了信息处理者具有立即补救并通知自然人和主管部门的义务，却未有明确规定通知时间、通知方式及通知内容。《个保法》为此补充了泄露原因、已采取的补救措施、个人可采取的减损措施等通知内容。但即便如此，相应规定在通知时间、通知方式等方面的缺失仍为客户不能及时知情留下了可能。并且，《个保法》额外规定了在信息处理者认为损失可通过措施避免，且主管部门认同的情况下，信息处理者可不用通知客户。此例外条款的合理性值得商榷。一方面，客户理应享有知悉自身信息已泄露的权利，不论损害结果是否已避免。另一方面，信息处理者和主管部门存有认知发生错误的可能性，不能及时被通知会导致客户无法及时采取减损、救济措施，造成二次创伤。

4. 权益救济机制的有效性值得商榷

现有规范为客户貌似提供了周全救济机制，但客户是否真切希望通过高门槛的司法或监管途径来处理纠纷本身值得质疑，而且，立足于各类法律责任的保护范围和实现程序，既有权益救济途径的有效性也有待完善。

民事责任端，“客户的损害赔偿权，或者因为难以计算个人信息的价值，或者难以举证，不得不沦为纸面上的权利”(张新宝，2018)。证明能力的缺乏和赔偿数额的确定始终是客户民事维权的阻碍。对此，《个保法》将司法实践涌现或提出的过错推定、公益诉讼以及综合损失和利益来确定赔偿数额等举措予以肯认，可较明显改善客户民事维权的不利处境，但其仍未解决的是，第一，过错推定仅分配了过错要件的证明责任，客户仍需举证损害结果和因果关系。其中，对于因果关系，算法黑箱、信息共享的大规模存在模糊了侵权行为造成损害事实的因果链条。缺乏相应专业知识的客户将不可避免地遭遇规范评价困境。第二，针对实际损失和收益均难以确定的情形，《个保法》采取了“根据实际情况”的抽象规定回避了赔偿数额难题。可实践中，非现实损害的发生并不少见。因为信息泄露等行为的最普遍后果是“产生下游侵害发生的可能性”，即便暂未出现现实损害，未来发生侵害的可能性依然存在，此会给客户持续带来不安(商希雪，2021)。如何确保非现实损害客户得到赔偿亦是保护个人金融信息权益的应有之义。此外，在共同侵权中，繁琐的诉讼程序、共同侵权主体间的推诿等原因所造成的漫长赔付过程同样会影响客户的救济效果，而此点似少被立法者关注。

行政责任端，既有法律规范详尽规定了行政责任的施予情形，若欲进一步提高行政责任的救济功效，或更应着眼于科技驱动型监管体系的建构，以分布式、智能式的实时监管弥补人力监管先天的不足。但对于行政责任的落实，唯需注意的是，若继续遵循分业监管体制，在不同金融领域设定不同信息监管机构，则不免仍会存在监管空白和监管套利。例如，金融控股公司可主动调整共享范畴，以逃逸至弱监管强度的金融领域。并且，分散的监管权亦会增加监管机构的协作成本和信息处理者的合规成本。

刑事责任端，“侵犯公民个人信息罪”不能涵盖所有非法利用个人金融信息行为。该项罪名惩罚的是出售、非法提供及获取个人信息的行为。假定行为人在合法获取个人信息后，又未经同意地将个人金融信息用至新用途抑或是诈骗等其他犯罪行为，司法机关便很难通过“侵犯公民个人信息罪”来规制(李振林，2019)。与之相似，“窃取、收买、非法提供信用卡信息罪”“非法使用未公开信息罪”等其他刑事罪名同样无法涵摄非法使用行为。在授权日益普遍的趋势下，非法使用个人金融信息行为的出现频率与数量不容忽视，未将其纳入刑法规范范畴已成立法疏漏。

四、 完善进路：个人金融信息保护立法的跟进

多方利益平衡、妥协下形成的个人信息保护基本法仅是个人信息保护的最低标准(张新宝，2015)。面向个人金融信息，有必要结合金融场景的自身需求调适保护与利用的边界。对此，业界不乏传出中国人民银行正在制定《个人金融信息保护试行办法》的消息。有鉴于其位阶和内容，其既可整合零散的应急规范文件，消除不同层级规范间的抵牾，又可以个人金融信息为建构基点，将信息主体和信息处理者完整纳入规制范畴。因此，《个人金融信息保护试行办法》的出台确能弥补个人金融信息保护的专门性规范缺失。但结合前述未竟课题，其仍需在内容上呈现出适度放开信息处理、全面加强信息保护的逻辑主线。

1. 构造差异化的“同意例外规则”

对于既有“同意例外规则”未充分考虑必要信息收集、共享等痹症，自应通过同意例外规则的细化与扩张来予以回应。可问题是，并非在所有需促成社会公共利益、商业利益的情形下，均应一刀切地舍弃客户的人格尊严和自由。例如，若客户怀疑第三方机构有信息安全隐患，其理应具备拒绝其继续处理信息的自由。对此，欧盟《一般数据保护条例》建构了差异化的“同意例外规则”：其一，如果使用利益足够重要，则处理主体享有毋庸获得数据主体同意的权利。除非数据主体对此提出拒绝，且数据控制者无法证明合法利益足够重要并优于数据主体的利益；其二，如果使用利益为商业利益等非重要利益，则数据主体可径直行使拒绝数据使用的权利。与之相似，美国亦对是否应无条件免于授权该问题实施了差别对待：一方面，对于银行向信用报告机构披露信用信息等行为，银行无需向客户提供退出权；另一方面，在银行向关联机构共享数据时，其虽不必获取客户授权，但其应当给予客户退出的机会。

此种差异化的立法设计在不影响信息处理效率的前提下，更好关切了客户的人格尊严与自由，宜被中国相应立法借鉴。当个人金融信息被用于反欺诈、税收征管等公共利益之时，应直接拟制客户同意，但可赋予客户向监管机构或司法机关申请拒绝的权利。当个人金融信息被用于商业利益之时，则应推定客户默示同意，并赋予客户无条件退出的权利。例如，在关联机构间的个人金融信息共享以及兼并、收购等行为导致的个人金融信息流动等情形下，考虑到法律责任承担的主体始终未发生变化，客户的信息安全一般不会面临更多风险。故可先予认定客户同意，来避免支出无谓成本。此外，在赋予客户退出权利的同时，也应规定金融机构等主体有提供便捷退出机制的义务，否则，客户的退出权利将形同虚设。

2. 推进全周期的个人金融信息保护义务

强调信息处理者全周期的保护义务已成现代立法的普遍共识。加州消费者隐私法案即为范例。但推进全周期的信息保护义务并非强调对信息处理者苛以相同合规要求。除却“合法、正当、必要、不得过度”等要求系信息处理者始终应遵循的原则，在不同处理阶段，金融机构信息保护义务仍应有所侧重。

事前，应承袭《个保法》等上位法对告知内容、告知方式、同意的作出方式等内容的规定。但需要说明的是，其一，由于客户系缺乏专业能力的普通自然人，即便信息处理者竭力用清晰易懂的语言告知了处理目的等事项，其仍有可能难以理解信息处理的潜在影响。因此，有必要将可能后果刚性纳入告知内容。其二，对于信息处理者无需获取明示同意的“例外”情形，客户亦享有被告知相应事项的知情权利。否则，便消解了客户对信息处理者的监督功效。其三，对于非自身收集的个人金融信息，信息处理者有审查该信息合法性的普通注意义务。如当其他机构共享的个人金融信息系匿名信息破译而来，若金融机构继续使用，同样会构成对个人金融信息权益的侵害。其四，对于财务信息等敏感个人金融信息，信息处理者有必要对其施予更高强度的保护。在明示同意或专门同意外，可要求信息处理者对财务信息等敏感信息的处理以书面同意为前提。但具体应是线下书面同意，还是线上书面同意，应取决于财务信息等敏感信息于不同金融场景的风险程度，宜通过自律性规范等非正式规则明确。

事中，金融机构等信息处理者依然有向客户进行信息披露的义务。由于个人金融信息的处理情形较为多元，金融机构等信息处理者除了需要披露自身处理信息的情况，其还需要在共享等情形下传输披露第三方机构的信息处理情况。在后一类场景中，金融机构需要保存、记录第三方机构获取信息的时间、类型等内容，并将其及时告知客户。至于频繁、细致的告知是否必然会干涉客户的正常生活，金融机构可通过“个人客户管理中心”等模块的建设来缓解告知义务履行携来的负面影响：金融机构可直接将详细的处理情况发送至“个人客户管理中心”，并附随简明扼要的总结来辅助客户理解上述信息(赵吟，2021)。

事后，金融机构等信息处理者除采取补救措施外，还具有向客户和主管机构通知的义务。对于后者，贯彻通知义务的根本目的系避免损害的扩大。因此，通知是否及时、有效、全面等要素是信息处理者通知义务履行合理与否的重要评判标准。对此，通知义务的规定应作如下修改：其一，关于通知时间，应将通知自然人和主管部门的时间限制在合理范围内。尤其是对自然人，通知时间的及时与否直接关涉损失能否降低。宜将对其的通知时间限定为“立即”。其二，关于通知方式，为确保通知的有效性，应采取电话、短信等确保客户知晓查收了相应信息的通知方式。其三，关于通知内容，为便捷客户实施权益救济，宜补充增加介绍客户可行使的救济途径及相应程序。此外，出于保障客户知情权利，并为已泄露信息做好处置准备的目的，不应以个人信息处理者和主管机构的判断为由剥夺客户的知情自由，宜删除“通知例外条款”。

3. 建立递进式的权益救济体系

首先，立足于权益救济框架，刑事责任规范范畴的不足自应通过非法使用个人金融信息罪的增设和司法解释的适度调整来填补。然而，既有权益救济框架更大的问题在于，径直提起民事诉讼或向监管机构投诉会否真切满足客户救济需求。考虑到民事司法程序的启动成本和监管机构、检查机关的精力限制，对于客户而言，更好的权益救济选择或是其与信息处理者私下协商。并且，争议的内部解决也具有节省司法和监管资源等其他功效。事实上，实践中不乏专门规定内部解决纠纷机制者。如英国面向开放银行实施机构专门设置了争议管理系统和定型化的实践准则。中国亦可效仿此操作，引导客户优先通过内部争议解决机制实现权益救济。在内部争议解决机制未有取得满意结果的情况下，客户还可通过向监管机构投诉或提起民事诉讼来实现权益的救济。最后，再由刑事司法为客户的个人金融信息权益提供兜底保障。由此，前述权益救济路径实则铺成了一个递进式的权益救济框架。相比于法律责任集合，其为客户提供了更为全面的保障范畴和更为清晰的救济流程。

其次，聚焦于配套举措，较之可通过设置专门个人金融信息监管机构来消解困境的行政维权，民事维权的难题较为复杂，亟需多重举措共同实施。其一，因果关系证明采相当因果关系判断标准。由于客户在诉讼证明上存在明显的能力不足，不应过于苛求客户需达到无疑的证明标准。为匹配双方的证明能力，应以通常认知为依据。若信息处理者的行为确可提高损害发生的可能性，则应认定因果关系成立。至于多个信息处理者均有可能导致损害发生却无法查明何者为真实推手的情况下，宜推定任意信息处理者的行为与损害间的因果关系均成立，除非信息处理者能证明其行为不会导致损害成立(阮神裕，2020)。其二，实施法定赔偿金。在非现实损失等情况下，客户可请求的损害赔偿金难以确定。如果放任各地法院自行确定赔偿数额，则不仅可能造成大量“同案不同判”，而且会因预期的缺失而无法充分威慑信息处理者。相反，如果在数额难以确定的情况下，规定信息处理者需向每位受损客户均赔偿固定金额，亦即实施法定赔偿金，则上述两类结果可以规避。并且，如果规定在实际损失低于法定赔偿金额的情形下，信息处理者同样需要按照法定赔偿金额来赔付受损客户，则法定赔偿金的实施还能发挥惩罚赔偿金的功效。其三，探索先行赔偿机制。出于简化救济程序、及时赔偿客户的目的，在信息处理者与第三方机构共同侵权的情形下，不论各侵权人承担的是补充责任抑或连带责任，宜突破内部责任分配的限制，允许受损客户向任意侵权人提起全额赔偿的申请。否则，即便受损客户突破了举证难等维权阻碍，也会因部分侵权人的经济能力、责任份额等原因而难以获得及时救济。