人工智能環(huán)境下金融隱私權(quán)的法律救濟研究

邱思萍，鄭啟福

一、人工智能對金融隱私權(quán)的挑戰(zhàn)

隨著信息網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)信息系統(tǒng)的應(yīng)用日趨成熟，人工智能被視為下一時代的科技制高點，將成為金融行業(yè)未來發(fā)展的核心驅(qū)動力。2017年7月，國務(wù)院發(fā)布了《新一代人工智能發(fā)展規(guī)劃》，提出建設(shè)智能金融，發(fā)展金融新業(yè)態(tài)。當前，在政府、金融機構(gòu)和科技公司等社會各方共同推動下，人工智能在金融領(lǐng)域得到了廣泛運用，主要表現(xiàn)在：運用機器學習、知識圖譜、自然語言處理和計算機視覺等人工智能技術(shù)，為金融領(lǐng)域的各個參與主體、各個業(yè)務(wù)環(huán)節(jié)提供產(chǎn)品創(chuàng)新、流程再造和服務(wù)升級，有力地推動了金融行業(yè)從信息化向智能化轉(zhuǎn)變[1]。

目前，人工智能在金融領(lǐng)域內(nèi)提供的服務(wù)主要有：智能支付、智能理賠、智能客服、智能營銷、智能投顧、智能投研等。雖然這些服務(wù)還處于早期發(fā)展階段，但是，其優(yōu)勢卻越來越明顯，既有利于為金融消費者提供優(yōu)質(zhì)的金融服務(wù)，實現(xiàn)真正的普惠化；也有利于金融機構(gòu)降低運營成本，增強主動式風險管控能力。對這些服務(wù)進行深入探究，尤其是以指紋識別、聲紋識別、人臉識別、虹膜識別等為主要手段的智能支付服務(wù)，以及通過廣泛收集的客戶消費、交易、社交、網(wǎng)絡(luò)瀏覽等行為數(shù)據(jù)，利用深度學習相關(guān)算法進行模型構(gòu)建，為金融消費者提供智能營銷服務(wù)，不難發(fā)現(xiàn)人工智能活動的本質(zhì)是通過輸入海量的數(shù)據(jù)信息，對廣泛聯(lián)系的數(shù)據(jù)信息進行篩選、分析和歸納，并借此獲得傳統(tǒng)數(shù)據(jù)信息應(yīng)用方式所無法帶來的經(jīng)濟、社會價值的新的數(shù)據(jù)應(yīng)用模式[2]。在金融領(lǐng)域的交易活動中，人工智能猶如一把雙刃劍：金融機構(gòu)掌握著金融消費者的個人身份識別、經(jīng)濟狀況、消費能力、社交活動和投資喜好等大量信息，使得金融消費者在享受人工智能帶來的便捷性、個性化和精準化服務(wù)的同時，面臨著隱私權(quán)和數(shù)據(jù)信息安全的重大威脅。因此，在智能金融的大趨勢下，保護金融消費者的權(quán)益，尤其是對金融隱私權(quán)的法律救濟是一個重要課題。

二、金融消費者和金融隱私權(quán)概念界定

（一）金融消費者

金融消費者概念的界定，無論是學術(shù)研究還是在金融實踐中都是一個難點。許多學者從不同的視角提出了定義，雖然存在一定的差異，但是比較統(tǒng)一的看法是：金融消費者應(yīng)該成為消費者的一個種概念，將金融機構(gòu)的交易相對人在法律上確認為金融消費者。由于金融消費者有其特殊性，不宜直接適用消費者的概念，需要重新定義金融消費者的概念。我們比較認同“金融消費者”即“從金融機構(gòu)購買金融投資商品或接受服務(wù)的自然人、法人或其他組織，分為專業(yè)金融消費者和一般金融消費者”[3]。專業(yè)投資機構(gòu)和具有一定專業(yè)能力、風險承受能力并以投資作為主要謀生方式的自然人是專業(yè)金融消費者。

在金融交易關(guān)系中，一般金融消費者對特定的、專業(yè)的和復雜的金融商品或服務(wù)的回報與風險的判斷，主要依靠金融機構(gòu)的推介和誘導。當一般金融消費者面對金融機構(gòu)提供的個性化與精準化的智能營銷時，容易被誘使而作出偏離理性甚至錯誤的投資決策，合法權(quán)益容易受到侵害。因此，本文探討的金融消費者僅限于一般金融消費者。

（二）金融隱私權(quán)

隱私權(quán)作為一項具體人格權(quán)，是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權(quán)[4]。公民有權(quán)排除他人對私人正常生活的騷擾，禁止他人對私人空間（包括物質(zhì)空間和虛擬空間）的入侵，排除他人對個人自主決定的妨礙，保護私人生活秘密。在金融服務(wù)領(lǐng)域里，金融消費者的金融隱私是指金融消費者在和金融機構(gòu)進行交易和接受服務(wù)的過程中形成的不能公開的資料信息，具體包括個人信息、投資信息、信用信息、保險信息、理財信息等與財務(wù)有關(guān)的信息[5]。金融消費者有權(quán)對其在金融消費過程中產(chǎn)生的相關(guān)信息享有占有權(quán)、使用權(quán)、收益權(quán)和處分權(quán)。金融隱私權(quán)既具有人身權(quán)屬性又具有信息財產(chǎn)權(quán)利的特質(zhì)，其是逐漸從人格利益中分離出來并向財產(chǎn)利益轉(zhuǎn)化的一種新型民事權(quán)利[6]。

人工智能技術(shù)的發(fā)展依托移動互聯(lián)、云計算、大數(shù)據(jù)和區(qū)塊鏈等技術(shù)，發(fā)展的驅(qū)動力主要來自數(shù)據(jù)信息的收集、分析和處理。在人工智能環(huán)境下，金融隱私權(quán)存在著以下安全隱患：金融機構(gòu)在采集數(shù)據(jù)過程中，可能會出現(xiàn)未經(jīng)授權(quán)或者即使獲得授權(quán)也很難保障是在金融消費者充分知曉，并理解其行為意義的情況下作出的同意的獲取數(shù)據(jù)行為，這在一定程度上對金融消費者的金融隱私權(quán)構(gòu)成威脅；此外，金融機構(gòu)利用人工智能技術(shù)在使用大量金融消費者信息和交易數(shù)據(jù)的過程中，可能由于系統(tǒng)自身的缺陷以及數(shù)據(jù)的調(diào)用和訪問頻率急劇增加，不可避免地留下安全漏洞，導致數(shù)據(jù)泄露、信息被盜或者遭受惡意攻擊等問題，也在一定程度上難以保證人工智能的安全環(huán)境，對金融消費者的金融隱私權(quán)造成侵害。

三、我國金融隱私權(quán)法律保護現(xiàn)狀分析

目前，我國金融隱私權(quán)保護尚未建立完善的法律保護體系，一些保護性質(zhì)的條款散見于其他法律法規(guī)以及部門規(guī)章中。金融隱私權(quán)保護由于缺乏系統(tǒng)的制度設(shè)計，導致侵害金融隱私權(quán)的糾紛頻發(fā)。面對人工智能環(huán)境下的金融隱私侵權(quán)行為，金融消費者要么尋求行政救濟，但金融監(jiān)管部門無能為力；要么尋求司法救濟，但多數(shù)也以失敗告終，金融消費者的金融隱私權(quán)保護任重道遠。

（一）《侵權(quán)責任法》雖有相應(yīng)規(guī)定但不完善

《中華人民共和國侵權(quán)責任法》（以下簡稱《侵權(quán)責任法》）第2條對隱私權(quán)雖然有相應(yīng)的規(guī)定，但是，僅在原則上承認隱私權(quán)是受保護的民事權(quán)益，而隱私權(quán)的定義、分類、內(nèi)容以及在其權(quán)利行使過程中與其他權(quán)利發(fā)生沖突的解決辦法等都無明確規(guī)定。第36條對網(wǎng)絡(luò)侵權(quán)進行了明確規(guī)定，網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)損害他人民事權(quán)益的，需要承擔網(wǎng)絡(luò)侵權(quán)責任。例如，提供網(wǎng)絡(luò)服務(wù)的自然人或法人泄露或者出售客戶信息，直接或者間接給客戶造成的財產(chǎn)損失和隱私侵害的，應(yīng)承擔侵權(quán)責任。人工智能技術(shù)在金融領(lǐng)域里廣泛運用的同時，也給金融消費者的隱私權(quán)帶來不可預(yù)測的風險。雖然各種智能金融服務(wù)使金融機構(gòu)對于個人信息的獲取與利用具有一定的合理性，但是，在人工智能的精準推算下，與金融隱私有關(guān)的信息范圍不斷擴大。這種信息利用的方式有效回避了現(xiàn)有法律對侵犯隱私權(quán)行為的規(guī)定，給金融消費者的隱私權(quán)保護帶來了難題。例如，在智能營銷服務(wù)中，金融機構(gòu)運用人工智能技術(shù)，通過網(wǎng)絡(luò)爬蟲技術(shù)采集大量的金融消費者的數(shù)據(jù)，并對數(shù)據(jù)信息進行排列、整合、演算或分析，構(gòu)建群體客戶畫像，通過畫像與特定的身份識別信息進行關(guān)聯(lián)，已經(jīng)可以準確地分析出金融消費者未公開的其他保密信息內(nèi)容。為了有效保護金融隱私權(quán)，加強人工智能環(huán)境下金融隱私權(quán)保護立法刻不容緩。

（二）《網(wǎng)絡(luò)安全法》的“授權(quán)同意”成為金融機構(gòu)的免責借口

《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第41條對個人信息收集和使用進行了具體規(guī)定：網(wǎng)絡(luò)運營者應(yīng)當遵循合法、正當、必要的原則；明示收集、使用信息且經(jīng)被收集者同意，不得收集與其提供的服務(wù)無關(guān)的個人信息。通常情況下，為了獲得金融消費者的授權(quán)同意，金融機構(gòu)會說明信息收集的目的、方式、范圍和使用規(guī)則，但在特殊情況下，服務(wù)條款往往用晦澀難懂的專業(yè)術(shù)語刻意隱瞞了一些可能導致?lián)p害隱私權(quán)的行為。面對人工智能運用場景的多樣化，大部分金融消費者的理解和認知能力不足，難以對自己的權(quán)益和風險作出準確評價。金融機構(gòu)在提供智能金融服務(wù)時，往往要求金融消費者提供個人相關(guān)信息注冊成會員，作為提供金融服務(wù)的前提。為了獲得金融機構(gòu)的相關(guān)服務(wù)，金融消費者被迫作出授權(quán)同意的決定。甚至一些金融服務(wù)機構(gòu)為了獲取更多的個人信息而故意擴大解釋范圍，將與服務(wù)無關(guān)的信息收集解釋成為與其提供的金融服務(wù)具有關(guān)聯(lián)性。一旦發(fā)生金融機構(gòu)濫用金融消費者的金融隱私信息產(chǎn)生金融隱私權(quán)糾紛時，“授權(quán)同意”就成為了金融機構(gòu)免責的借口。金融機構(gòu)利用“授權(quán)同意”來規(guī)避法律對金融機構(gòu)收集和使用金融消費者隱私的限制性或禁止性規(guī)定，逃避法律的制裁。如何打擊金融機構(gòu)利用“授權(quán)同意”規(guī)避法律制裁的行為，保護金融消費者隱私權(quán)，是我國金融隱私權(quán)保護在實踐上面臨的重大挑戰(zhàn)。

（三）《消費者權(quán)益保護法》對金融消費者的維權(quán)沒有專門規(guī)定

2014年修訂的《中華人民共和國消費者權(quán)益保護法》（以下簡稱《消費者權(quán)益保護法》）第28條和第29條把金融消費者及個人信息納入其保護范圍，確立了經(jīng)營者收集和使用個人信息的原則，明確了經(jīng)營者及其工作人員的保密義務(wù)和禁止信息侵擾等內(nèi)容。如此看來，金融消費者應(yīng)當是傳統(tǒng)消費者在金融領(lǐng)域的延伸，利用人工智能提供金融商品或服務(wù)的經(jīng)營者與傳統(tǒng)意義上的經(jīng)營者一樣需要承擔相同的義務(wù)。在司法實務(wù)中，法院對相關(guān)金融服務(wù)欺詐案件進行裁判時，普遍認為“三倍賠償制度突破了違約責任的合理預(yù)見規(guī)則”，應(yīng)嚴格適用，主張權(quán)利的金融消費者應(yīng)對金融經(jīng)營者的欺詐行為承擔舉證責任?？墒?，一般金融消費者往往處于絕對的弱勢地位，維權(quán)舉證很困難。由于運用人工智能技術(shù)的金融服務(wù)欺詐涉及到大量數(shù)據(jù)化的證據(jù)，此類證據(jù)都掌握在金融機構(gòu)手中且容易被篡改或偽造。金融消費者能接觸并保存的電子數(shù)據(jù)非常有限，難以滿足舉證責任中形成證據(jù)鏈的要求。金融消費者幾乎不可能成功完成舉證責任以證明金融經(jīng)營者侵害其金融隱私權(quán)和存在欺詐行為，敗訴的風險很高。例如，金融經(jīng)營者在提供智能投顧服務(wù)時，如果存在利用金融消費者的金融隱私，故意誘導進行虛假推介時，會嚴重侵害金融消費者的權(quán)益。在現(xiàn)實生活中，大量打著“人工智能”旗號的投資理財機構(gòu)，侵犯金融消費者的隱私權(quán)，從事金融服務(wù)欺詐活動。在金融消費者知道事實真相后，由于個人維權(quán)困難，往往結(jié)成集體維權(quán)，影響社會穩(wěn)定。因此，要維護金融消費者的合法權(quán)益，完善金融消費立法是非常必要的。

（四）其他法律的有關(guān)規(guī)定缺乏可操作性

《中華人民共和國商業(yè)銀行法》《中華人民共和國銀行業(yè)監(jiān)督管理法》《中華人民共和國證券法》《中華人民共和國證券投資基金法》《中華人民共和國保險法》等金融法律法規(guī)都在總則和第1條有金融消費者權(quán)益保護的相關(guān)規(guī)定，但是，條款內(nèi)容都較為原則和抽象，操作性不強，只能起到宣示性的作用。對金融消費者的金融隱私權(quán)保護，現(xiàn)行的金融法律法規(guī)既沒有詳細規(guī)定金融機構(gòu)應(yīng)該履行的具體保密義務(wù)，也沒有規(guī)定違反保密義務(wù)時應(yīng)當承擔的具體法律責任。目前，我國金融消費者權(quán)益保護機構(gòu)在行使職權(quán)時面臨著缺乏法律支撐的難題。我國金融行業(yè)實行分業(yè)監(jiān)管方式，相關(guān)部門在處理糾紛時大都依據(jù)的是法律效力低的行業(yè)規(guī)章制度、相關(guān)政策和指導意見等規(guī)范性文件。我國尚未建立起動態(tài)的金融科技創(chuàng)新產(chǎn)品長效監(jiān)管機制，無法對金融科技創(chuàng)新產(chǎn)品進行有效的監(jiān)管。由于人工智能技術(shù)引發(fā)的金融隱私權(quán)糾紛的責任主體很難界定，大部分金融消費者無法提供金融機構(gòu)利用人工智能侵犯其隱私權(quán)的有效證據(jù)，因此，只能向“一行三會”（中國人民銀行、中國銀行業(yè)監(jiān)督管理委員會、中國證券監(jiān)督管理委員會和中國保險監(jiān)督管理委員會）的金融消費者權(quán)益保護機構(gòu)進行投訴，但是，“一行三會”對金融糾紛的處理往往缺乏共同的執(zhí)行標準和相應(yīng)的協(xié)調(diào)解決機制，導致大部分的投訴案件最終都是不了了之。

四、發(fā)達國家金融隱私權(quán)保護的立法借鑒

許多國家或地區(qū)都對保護金融隱私權(quán)進行了立法嘗試，結(jié)合自身國情特點，設(shè)計出了一些適用性極強又各具特色的法律制度，建立了金融隱私權(quán)保護機制和糾紛解決機制，有效地保護了金融消費者的權(quán)益，為我國的立法提供了有價值的借鑒。

（一）美國的金融隱私權(quán)保護立法

美國作為金融隱私權(quán)保護立法最完善的國家之一，通過單行立法模式對金融機構(gòu)規(guī)定了隱私權(quán)保護的5項原則和嚴格的保密義務(wù)。美國聯(lián)邦法律《金融服務(wù)現(xiàn)代化法》規(guī)定了隱私保護的最低水平，第5章規(guī)定了金融機構(gòu)對非公開的個人信息履行保護義務(wù)。金融機構(gòu)必須履行尊重客戶隱私的義務(wù)，在與消費者建立客戶關(guān)系時以及關(guān)系存續(xù)期間，必須每年都以書面或電子文檔的形式告知客戶有關(guān)金融隱私披露的詳細情況和具體程序。金融機構(gòu)應(yīng)當保護客戶隱私記錄的安全，防止對客戶產(chǎn)生實質(zhì)損害和未經(jīng)授權(quán)而獲取、使用此類記錄的違法行為[6]?？蛻粢灿袡?quán)拒絕金融機構(gòu)將其金融隱私與關(guān)聯(lián)或非關(guān)聯(lián)的第三方共享。《金融隱私權(quán)法》詳細規(guī)定了聯(lián)邦機構(gòu)獲得銀行客戶資料和記錄的途徑、程序及例外情況。任何需要取得銀行資料或記錄的機構(gòu)必須依照法定的程序進行事先申請，并應(yīng)將此情況向相關(guān)的銀行客戶通報。銀行客戶有權(quán)提出抗訴，要求銀行不透露與其相關(guān)的資料或情報[7]。

（二）歐盟的數(shù)據(jù)隱私保護立法

歐盟采取統(tǒng)一立法模式對人工智能涉及到的最重要客體——數(shù)據(jù)進行立法，是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護法規(guī)。2018年5月25日，歐盟通過了《一般數(shù)據(jù)保護條例》（General Data Protection Regulation簡稱GDPR）。GDPR明確了個人數(shù)據(jù)和數(shù)據(jù)控制者的定義，明確了對數(shù)據(jù)主體的知情權(quán)、反對權(quán)、刪除權(quán)以及數(shù)據(jù)可攜權(quán)的保護。GDPR規(guī)定了保護個人數(shù)據(jù)的7項基本原則，其中的“公正性、合法性和透明性”原則要求：包括第三方在內(nèi)的數(shù)據(jù)控制者處理個人數(shù)據(jù)應(yīng)當有合法依據(jù)；關(guān)聯(lián)企業(yè)內(nèi)部信息共享也應(yīng)當有合法性，即未經(jīng)個人明確同意即視為反對，不認可任何形式的“缺省同意”[8]；要求數(shù)據(jù)主體的同意必須是詳細清晰，數(shù)據(jù)主體必須在充分知情的前提下自由作出，而且可以隨時撤回同意，數(shù)據(jù)控制者應(yīng)為此提供便利。當獲取數(shù)據(jù)時所述的目的不再適用或數(shù)據(jù)主體撤回同意時，GDPR規(guī)定數(shù)據(jù)控制者必須刪除個人數(shù)據(jù)，同時將個人數(shù)據(jù)清除請求告知第三方處理機構(gòu)。“必要性”原則要求數(shù)據(jù)控制者有權(quán)合法處理數(shù)據(jù)，并詳細規(guī)定滿足的條件，即數(shù)據(jù)主體的授權(quán)同意、完成與數(shù)據(jù)主體所簽訂的契約是必要或在簽訂契約前基于數(shù)據(jù)主體的請求、履行其法定義務(wù)、保護數(shù)據(jù)主體或另一個自然人的核心利益、為了公共利益或基于官方授權(quán)而履行某項任務(wù)等6種情形；控制者在獲取個人數(shù)據(jù)時，在必要的情況下應(yīng)當向數(shù)據(jù)主體提供相關(guān)信息，尤其是涉及到自動的決策機制，“包括不被僅僅根據(jù)自動化處理——包括符合第22條的用戶畫像而對數(shù)據(jù)主體作出決定，要提供分析過程所涉及的邏輯程序以及對數(shù)據(jù)主體的處理過程的重要意義和設(shè)想結(jié)果”[9]等信息。

GDPR還規(guī)定了數(shù)據(jù)控制者和處理者的義務(wù)：要求數(shù)據(jù)控制者必須設(shè)立數(shù)據(jù)保護專員或者指定代表負責數(shù)據(jù)保護事項；對個人數(shù)據(jù)要采取安全保障措施，在設(shè)計產(chǎn)品和服務(wù)時必須嵌入數(shù)據(jù)保護；對于高風險的數(shù)據(jù)處理活動，要進行數(shù)據(jù)保護影響風險評估和事先協(xié)商；在發(fā)生數(shù)據(jù)泄露時，要及時采取必要措施并通知監(jiān)管機構(gòu)等。對于違反相關(guān)義務(wù)規(guī)定的行為，GDPR設(shè)置了巨額的處罰措施，將面臨2 000萬歐元或全球營業(yè)額4%的巨額罰款[10]。

（三）日本的個人情報保護立法

日本為了保護金融隱私權(quán)進行了一系列立法，其中《個人情報保護法》對于個人情報收集的使用目的、取得適當性、確保正確性、安全性和透明性等方面均作了規(guī)定[11]。為了在金融領(lǐng)域更好地保護金融消費者的隱私權(quán)，日本金融廳先后發(fā)布了《金融領(lǐng)域個人情報保護方針》和《金融領(lǐng)域個人情報保護方針之安全管理措施實務(wù)指南》。在金融領(lǐng)域個人情報保護機制方面，日本建立了 CRIN（credit information network）機制，建立了全國銀行個人信用情報中心、日本情報中心和信用情報中心，聯(lián)合規(guī)范和維護金融信用和金融隱私信息的產(chǎn)生、傳遞和存儲過程中的個人金融信用情報安全[12]。為了解決金融消費者舉證能力、專業(yè)性等不足的問題，實現(xiàn)在訴訟中金融消費者能與金融機構(gòu)形成相對平等的實力抗衡，日本以保護弱勢群體為原則，規(guī)定了消費者公益訴訟制度，采取了許多傾斜性保護措施。例如，在發(fā)生涉及侵害眾多消費者權(quán)益的金融糾紛時，一些公益性社會團體可以提起公益訴訟，維護金融消費者的權(quán)益。法官在審理該案件中必須按照有利于大多數(shù)金融消費者利益的原則，對金融消費者予以傾斜性保護，依法作出裁判。

五、人工智能環(huán)境下金融隱私權(quán)的法律救濟對策

在金融領(lǐng)域里，利用人工智能對金融消費者的交易數(shù)據(jù)進行收集、整理和分析后得到具有身份專屬性的信息，這些信息屬于金融隱私，具有極高的商業(yè)價值，有利于金融機構(gòu)提供針對性的產(chǎn)品和個性化的服務(wù)。但是，金融隱私完全脫離了金融消費者，由金融機構(gòu)及其他關(guān)聯(lián)的第三方所掌控，若被超合理目的使用甚至濫用，則會給金融消費者的金融隱私權(quán)帶來巨大的風險。我國應(yīng)當結(jié)合實際國情，在借鑒國外立法經(jīng)驗的基礎(chǔ)上，建立金融隱私權(quán)保護機制，制定具有中國特色的人工智能環(huán)境下保護金融消費者權(quán)益的法律法規(guī)，對金融消費者提供切實有效的法律救濟。

（一）建立保護金融隱私權(quán)的法律體系

在金融領(lǐng)域，發(fā)展人工智能是必然趨勢。人工智能對金融消費者的金融隱私權(quán)的挑戰(zhàn)也是不可避免的。我國應(yīng)將分散在各個法律法規(guī)或政策文件中涉及到金融隱私保護的內(nèi)容體系化，建立具有中國特色的金融隱私權(quán)保護法律體系，其中要制定《金融隱私權(quán)保護法》，明確人工智能的法律性質(zhì)、法律主體、法律責任、風險控制等問題，揚長避短，促進人工智能在金融領(lǐng)域的合法運用。

金融機構(gòu)應(yīng)當在利用人工智能向金融消費者提供合法的金融產(chǎn)品和金融服務(wù)之前，明確告知其使用可能存在的風險及其注意事項、人工停止損失措施和免責范圍等，并保證所提供的服務(wù)能夠達到適當?shù)陌踩潭萚13]。在法律責任認定上適用過錯推定原則，應(yīng)按人工智能的法律主體各自的過錯程度分配民事、行政和刑事的法律責任。

1．明確金融隱私權(quán)主體的權(quán)利

金融消費者作為金融隱私權(quán)主體，應(yīng)享有對金融隱私最完整的權(quán)利，包括收集、分析、轉(zhuǎn)移和處理全過程，法律另有規(guī)定除外。金融機構(gòu)及有關(guān)聯(lián)的第三方（以下統(tǒng)稱“金融服務(wù)者”），對金融隱私所擁有的權(quán)利都由金融消費者授權(quán)，并受授權(quán)協(xié)議的制約和限制。金融服務(wù)者需征得金融消費者的同意，且必須是在金融消費者充分知情的前提下自由作出的授權(quán)同意，以保障金融消費者的知情權(quán)。鑒于目前我國一般金融消費者還不具備專業(yè)金融認知水平和預(yù)見能力，對于個人數(shù)據(jù)信息應(yīng)區(qū)分不同的場景、類別、處理環(huán)節(jié)來適用“同意規(guī)則”的做法，并不能充分保障金融消費者的金融隱私權(quán)不受侵害。因為我國金融隱私權(quán)主體和金融體制所處的發(fā)展階段還相對較低，還不能照搬國外的立法經(jīng)驗。根據(jù)我國的國情，金融服務(wù)者利用人工智能技術(shù)對金融消費者的隱私占有和使用必須取得金融消費者明確清晰的同意，金融消費者有權(quán)要求金融機構(gòu)提供相關(guān)信息材料，尤其是涉及到人工智能的自動決策機制。

金融服務(wù)者運用人工智能技術(shù)對金融消費者的基礎(chǔ)信息進行收集、學習、演算和構(gòu)建，根據(jù)金融消費者的需求進行匹配和設(shè)計，形成具有更高商業(yè)價值的數(shù)據(jù)，進行商業(yè)營銷和商業(yè)決策所產(chǎn)生的收益權(quán)如何界定？這應(yīng)分兩種情況：一是如果金融服務(wù)者在沒有獲得金融消費者的授權(quán)或者在金融消費者明確表示拒絕的情況下，使用金融隱私信息所帶來的收益應(yīng)當屬于不當?shù)美?；二是金融服?wù)者在獲得金融消費者授權(quán)并分享權(quán)益的情況下，對信息開發(fā)提升的商業(yè)價值，享有合法收益權(quán)。

2．明確金融服務(wù)者的義務(wù)

在權(quán)利與義務(wù)的規(guī)則設(shè)計上，有必要加強金融隱私的控制者——金融服務(wù)者的法定義務(wù)，以進一步保護金融隱私權(quán)。金融服務(wù)者在利用人工智能技術(shù)提供產(chǎn)品和服務(wù)中，凡是涉及到金融隱私的收集、使用、處理等環(huán)節(jié)應(yīng)該履行的義務(wù)都應(yīng)進行立法。

金融消費者在接受智能服務(wù)之前，金融服務(wù)者應(yīng)當履行充分告知的義務(wù)，明確告知其使用可能存在的風險、注意事項及止損措施等。為了有效保障金融消費者的隱私權(quán)，應(yīng)要求金融服務(wù)者必須設(shè)立專門的人工智能技術(shù)維護專員負責數(shù)據(jù)信息保護事項；應(yīng)增加金融服務(wù)者對智能產(chǎn)品和智能服務(wù)進行內(nèi)部或獨立的風險評估管理的義務(wù)；應(yīng)當采取與隱私風險相關(guān)的安全保護和防范措施。例如，對人工智能技術(shù)在設(shè)計產(chǎn)品或提供服務(wù)時，在其程序或系統(tǒng)中配置金融隱私保護程序，確保任何第三方無法獲取或分享數(shù)據(jù)。一旦出現(xiàn)數(shù)據(jù)泄露、信息被盜或者遭受惡意攻擊等問題，金融服務(wù)者有義務(wù)及時采取必要措施并通知金融監(jiān)管機構(gòu)，有義務(wù)協(xié)助金融監(jiān)管機構(gòu)和司法部門的調(diào)查工作。

金融消費者在接受金融服務(wù)者運用人工智能技術(shù)提供的智能服務(wù)時，無一例外都只有經(jīng)過授權(quán)同意，才能順利地購買產(chǎn)品或接受服務(wù)。由于授權(quán)同意不具有可協(xié)商性，金融消費者可能承擔與收益不相匹配的風險，處于絕對的劣勢地位。因此，授權(quán)同意書的內(nèi)容不能完全交由主體雙方意思自治，法律必須對此進行干預(yù)。法律應(yīng)規(guī)定授權(quán)同意書的必備條款如數(shù)據(jù)類型、目的及目的限制、方式和頻率、存儲區(qū)域和期限、數(shù)據(jù)安全的措施以及處理程序等；應(yīng)規(guī)定金融服務(wù)者有義務(wù)將授權(quán)同意書提交行政主管部門，由行政主管部門對其進行合法合規(guī)審查。金融服務(wù)者運用人工智能技術(shù)給金融消費者提供智能金融服務(wù)，目的不僅僅是為了給金融消費者提供優(yōu)質(zhì)的服務(wù)，更是為了獲取能帶來極大商業(yè)價值的數(shù)據(jù)信息。因此，金融服務(wù)者必須取得金融消費者的二次授權(quán)同意，并采取匿名化或加密處理的保障措施，有義務(wù)向金融消費者提供構(gòu)建用戶畫像過程中所涉及的邏輯程序，以及與保護數(shù)據(jù)主體隱私所采取的措施等信息。只有這樣，才能平衡金融消費者的金融隱私權(quán)保護和金融服務(wù)者利用金融隱私信息獲得商業(yè)價值之間的沖突。

在堅持以金融隱私權(quán)優(yōu)先保護為基本原則的前提下，兼顧金融消費者的合法利益、社會公共利益和國家安全所需，我國可以借鑒歐盟的“必要性”標準。為了追求必要的合法利益，金融服務(wù)者有權(quán)合法處理金融消費者的金融隱私，但應(yīng)當符合以下情形：金融消費者的授權(quán)同意、基于金融消費者的合法請求、保護金融消費者的核心利益、履行其法定義務(wù)、為了公共利益和國家安全或基于國家機關(guān)依法授權(quán)以及法律規(guī)定的其他情形等。為了保障金融消費者的知情權(quán)，金融服務(wù)者必須每年都以書面或電子文檔的形式告知其有關(guān)金融隱私使用和處理的詳細情況。

（二）建立金融隱私權(quán)糾紛解決機制

首先，應(yīng)完善金融監(jiān)管機構(gòu)內(nèi)部投訴處理機制。我國已經(jīng)建立了“一行三會”的金融消費權(quán)益保護框架，中國人民銀行有必要出臺金融消費者投訴處理辦法，明確處理原則、程序和規(guī)范，及時處理金融消費投訴，保障金融消費者的權(quán)益；明確金融消費權(quán)益保護部門受理金融消費者投訴的職責范圍、處理相關(guān)投訴的程序、調(diào)查取證程序及協(xié)調(diào)機制，既各司其職又能實現(xiàn)跨領(lǐng)域合作。金融消費權(quán)益保護部門有義務(wù)向金融消費者普及金融安全知識及相關(guān)法律法規(guī)，增強其金融風險防范意識及法律意識。

其次，建立專業(yè)化的金融消費案件糾紛仲裁機構(gòu)。隨著金融混業(yè)經(jīng)營逐漸形成常態(tài)，金融消費者處于絕對的弱勢地位，傳統(tǒng)的糾紛解決方式無法有效地解決金融消費糾紛。為了更有利于保障金融消費者權(quán)益，可以建立專門的第三方非訴金融消費糾紛仲裁機構(gòu)（以下簡稱“仲裁機構(gòu)”），從法律層面明確仲裁機構(gòu)的法律地位、管轄范圍、爭議處理的規(guī)則和程序、裁決效力等，處理日益增多的金融消費糾紛。仲裁機構(gòu)人員由包括銀行、證券、期貨和保險等金融行業(yè)的專業(yè)人士、金融法學專家和律師擔任。除仲裁機構(gòu)的設(shè)立、收費、人事任免等事項由中國人民銀行決定外，其他事項都授權(quán)仲裁機構(gòu)依法處理。在糾紛爭議仲裁過程中，為了解決金融消費者的舉證困難，舉證責任分配應(yīng)強化金融機構(gòu)及關(guān)聯(lián)第三方的舉證責任，適用過錯推定原則。仲裁機構(gòu)先行調(diào)解金融消費糾紛，當事人任一方不同意調(diào)解或經(jīng)調(diào)解不成立，仲裁機構(gòu)依法作出裁決。當事人任一方對裁決不服可以就金融消費糾紛直接向人民法院提起訴訟。裁決書經(jīng)法院司法確認后具有強制執(zhí)行效力。

最后，法院應(yīng)對金融消費者進行傾斜性保護。我國《消費者權(quán)益保護法》雖然已經(jīng)將金融消費者和個人信息納入法律保護范圍，但其條款僅有原則性規(guī)定，操作性不強。法院在審理金融消費者隱私權(quán)糾紛案件中，應(yīng)本著保護弱勢群體的原則，尤其在舉證責任的分配和懲罰性賠償?shù)姆蛇m用問題上，對金融消費者進行傾斜性保護。在利用人工智能技術(shù)提供產(chǎn)品或服務(wù)中，產(chǎn)生金融隱私權(quán)糾紛時，所有的數(shù)據(jù)信息都被金融服務(wù)者掌控，絕大多數(shù)金融消費者根本無法提供金融服務(wù)者利用人工智能侵犯其隱私權(quán)的有效證據(jù)。如果仍然采取“誰主張誰舉證”的證據(jù)規(guī)則，對金融消費者極不公平，有違保護弱勢群體的原則。因此，宜采取舉證責任倒置，適用過錯推定原則，強化金融服務(wù)者的舉證責任。在利用人工智能技術(shù)進行金融欺詐的案件中，適用懲罰性賠償能對金融欺詐起到警示和懲戒作用。根據(jù)《消費者權(quán)益保護法》第28條和第55條的規(guī)定，懲罰性賠償?shù)囊?guī)定只適用對金融消費者的知情權(quán)范圍內(nèi)進行服務(wù)欺詐的情形。從法學理論上分析，金融消費者即使購買了金融產(chǎn)品，金融消費者獲得的并不是具有使用價值的物品，而是一種基于金融合同而獲得的資金收益權(quán)，消費者只是接受了經(jīng)營者提供的一種金融商品性服務(wù)[14]。因此，無論是購買智能金融產(chǎn)品還是接受智能金融服務(wù)，本質(zhì)上都是金融服務(wù)。對金融服務(wù)欺詐案件進行裁判時，應(yīng)該嚴格適用懲罰性賠償條款，適用過錯推定原則，由金融服務(wù)者承擔舉證責任。金融服務(wù)者必須有證據(jù)證明其向金融消費者提供智能金融產(chǎn)品或智能金融服務(wù)之前，已經(jīng)充分了解金融消費者相關(guān)資料，并向金融消費者明示了該商品或服務(wù)涉及的用戶協(xié)議（包括授權(quán)同意書）所有重要內(nèi)容和采取的必要安全保護措施；充分披露可能的收益、風險（包括人工智能技術(shù)的局限性）及注意事項等，以此證明金融服務(wù)者對金融消費者不存在欺詐，對金融消費者的權(quán)益受侵害不存在故意或過失的行為。

（三）建立有中國特色的金融監(jiān)管體制

《中華人民共和國網(wǎng)絡(luò)安全法》《信息安全技術(shù)個人信息安全規(guī)范》已經(jīng)對數(shù)據(jù)使用和隱私保護作出了明確規(guī)定。但是，我國金融監(jiān)管體制仍不完善，應(yīng)構(gòu)建多層次、全方位的金融監(jiān)管體制。凡是金融領(lǐng)域里運用人工智能技術(shù)提供的智能產(chǎn)品或智能服務(wù)，必須接受中國人民銀行金融科技委員會（以下簡稱“央行金融科委”）的嚴格監(jiān)管。

1．進行嚴格的準入審核

人工智能技術(shù)在給金融機構(gòu)帶來巨大效益的同時，也帶來巨大的金融風險。央行金融科委必須對人工智能金融服務(wù)產(chǎn)品加強監(jiān)管，對金融服務(wù)者提供的智能產(chǎn)品或智能服務(wù)進行短期的、小規(guī)模的“監(jiān)管沙盒”測試，指派監(jiān)管人員參與測試的全過程。只有經(jīng)測試確認合格的人工智能金融服務(wù)產(chǎn)品，才能進行準入審核程序，開展風險評估。只有審查和評估通過后，才能獲得準入許可證，并允許投入市場運營。投入市場運營的智能產(chǎn)品或智能服務(wù)一旦發(fā)現(xiàn)存在重大風險或安全隱患，甚至出現(xiàn)無法通過技術(shù)的升級或迭代來解決的情況，應(yīng)當責令金融服務(wù)者停止運營該金融產(chǎn)品，維護金融消費者的合法權(quán)益。

2．積極履行監(jiān)管職責

央行金融科委應(yīng)以科技監(jiān)管應(yīng)對科技風險，建立動態(tài)的科技監(jiān)管機制，構(gòu)建金融科技監(jiān)管規(guī)則系統(tǒng)。為加強金融隱私保護，應(yīng)建立金融監(jiān)管機構(gòu)的聯(lián)動機制，指導各金融監(jiān)管機構(gòu)運用人工智能技術(shù)不定期檢測金融信息的安全，督促金融服務(wù)者完善金融信息的操作規(guī)范和保護措施，加強對跨行業(yè)、跨市場交叉性侵害金融隱私行為的防范和甄別，提升金融風險化解能力。應(yīng)通過披露金融服務(wù)者、金融消費者和其他民事主體運用人工智能技術(shù)侵害金融隱私的行為，納入全國征信系統(tǒng)，更好地維護金融安全和秩序。對于利用人工智能技術(shù)在金融領(lǐng)域?qū)嵤┻`法犯罪的行為，各金融監(jiān)管機構(gòu)應(yīng)在央行金融科委的技術(shù)指導下依法進行偵查，直接追究其法律責任，切實維護金融消費者的權(quán)益。

六、結(jié)語

人工智能將成為金融行業(yè)未來發(fā)展的核心驅(qū)動力。由于我國金融隱私權(quán)立法、行政監(jiān)管和權(quán)利救濟方式滯后，人工智能金融產(chǎn)品和金融服務(wù)在為金融消費者帶來便利的同時，也對金融消費者的隱私權(quán)造成了嚴重威脅。如何解決人工智能技術(shù)的發(fā)展和金融隱私權(quán)保護之間的沖突？我國應(yīng)當在借鑒國外立法經(jīng)驗的基礎(chǔ)上，結(jié)合實際國情，制定具有中國特色的人工智能法律法規(guī)和建立金融隱私權(quán)保護機制，明確人工智能的法律性質(zhì)、法律主體、法律責任、風險控制等問題；明確金融隱私權(quán)主體的權(quán)利、金融服務(wù)者及關(guān)聯(lián)第三方的義務(wù)；建立專業(yè)化的金融消費糾紛仲裁機構(gòu)；適用過錯推定原則，對金融消費者進行傾斜性保護?？傊ㄟ^建立健全人工智能環(huán)境下保護金融隱私權(quán)的法律法規(guī)，為金融消費者提供全方位的法律救濟。