金融科技場(chǎng)域下個(gè)人信息保護(hù)制度構(gòu)建

史博文

（天津工業(yè)大學(xué)法學(xué)院，天津300387）

一、引言

金融科技又稱技術(shù)驅(qū)動(dòng)的金融創(chuàng)新，指通過底層技術(shù)革新與進(jìn)步，結(jié)合底層技術(shù)與金融服務(wù)的融合貫通，創(chuàng)造出新型金融服務(wù)模式。金融科技服務(wù)可有效提高金融服務(wù)效率，降低金融服務(wù)成本。根據(jù)金融穩(wěn)定理事會(huì)（Financial Stability Board，簡(jiǎn)稱FSB）的定義，金融科技是主要依靠區(qū)塊鏈、人工智能、大數(shù)據(jù)等前沿技術(shù)引領(lǐng)和帶動(dòng)，對(duì)金融供給方式、產(chǎn)品服務(wù)方式等產(chǎn)生重大影響的新興金融服務(wù)模式（王瑩，2016）。然而，在金融科技快速發(fā)展帶來數(shù)據(jù)信息“爆炸”的同時(shí)，我國信息保護(hù)技術(shù)、保護(hù)理念和法治建設(shè)仍處于滯后狀態(tài)，具體表現(xiàn)為：一方面，金融科技為人們生活帶來便捷，另一方面，個(gè)人關(guān)鍵信息泄露嚴(yán)重，不法分子借機(jī)牟利，造成社會(huì)信息系統(tǒng)的混亂與無序。在現(xiàn)代社會(huì)，個(gè)人信息已經(jīng)具備財(cái)產(chǎn)權(quán)屬性，并作為人格權(quán)與財(cái)產(chǎn)權(quán)的混合權(quán)利存在（付大學(xué)，2019）。近幾年，由個(gè)人信息泄露導(dǎo)致的銀行卡盜刷，利用個(gè)人關(guān)鍵信息濫貸等不法行為降低了個(gè)人和社會(huì)的信用水平，對(duì)社會(huì)產(chǎn)生極大的負(fù)面影響。因此，提高個(gè)人信息保護(hù)力度迫在眉睫。

二、金融科技背景下的個(gè)人信息保護(hù)現(xiàn)狀

目前，將個(gè)人信息的不當(dāng)傳播視為危害公民權(quán)利的社會(huì)性問題已成為社會(huì)共識(shí)，我國立法部門也對(duì)個(gè)人信息保護(hù)制度的構(gòu)建愈發(fā)重視。目前，我國的個(gè)人信息處于間接保護(hù)階段，如《中華人民共和國侵權(quán)責(zé)任法》《中華人民共和國治安管理處罰法》等對(duì)人格尊嚴(yán)、信息安全、個(gè)人隱私、個(gè)人秘密的保護(hù)一直處于分散狀態(tài)，始終無法從更高層次適用統(tǒng)一的上位概念對(duì)其進(jìn)行囊括保護(hù)。近幾年，間接保護(hù)范式有了較為明顯地向直接保護(hù)范式轉(zhuǎn)變的傾向，如全國人大2020年5月通過的《中華人民共和國民法典》第111條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！?016年，第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議正式通過的《中華人民共和國網(wǎng)絡(luò)安全法》（簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）第40條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度?！蔽覈鹑诒O(jiān)管機(jī)構(gòu)對(duì)個(gè)人信息的保護(hù)不斷加強(qiáng)。2011年，央行頒布《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)〔2011〕17號(hào)，簡(jiǎn)稱17號(hào)文），對(duì)與銀行有關(guān)的個(gè)人金融信息進(jìn)行規(guī)范性保護(hù)，強(qiáng)調(diào)銀行主體在收集、使用個(gè)人金融信息時(shí)應(yīng)堅(jiān)持依法原則，同時(shí)建立銀行金融機(jī)構(gòu)內(nèi)部控制制度，以便對(duì)個(gè)人金融信息進(jìn)行更好的保護(hù)。遺憾的是，我國對(duì)個(gè)人信息保護(hù)的立法仍存在“原則導(dǎo)向”和“各自為政”的弊端。

我國對(duì)個(gè)人信息的保護(hù)現(xiàn)狀可以概括為立法保護(hù)導(dǎo)向明確、金融機(jī)構(gòu)缺乏保護(hù)動(dòng)力、權(quán)利人缺乏權(quán)利意識(shí)三個(gè)方面。立法保護(hù)導(dǎo)向明確體現(xiàn)在全國人大將《中華人民共和國個(gè)人信息保護(hù)法》（簡(jiǎn)稱《個(gè)人信息保護(hù)法》）的制訂工作提上日程，標(biāo)志著我國未來個(gè)人信息保護(hù)有法可依。在個(gè)人信息保護(hù)過程中，政府需扮演強(qiáng)勢(shì)角色，積極維護(hù)個(gè)人信息不受侵犯。金融機(jī)構(gòu)缺乏保護(hù)個(gè)人信息的動(dòng)力主要原因是，金融機(jī)構(gòu)在維護(hù)個(gè)人信息數(shù)據(jù)庫時(shí)，需要投入巨大的系統(tǒng)維護(hù)與技術(shù)迭代成本，而能否抵御黑客對(duì)個(gè)人信息的竊取仍未知。同時(shí)，由于法律法規(guī)對(duì)個(gè)人信息泄露的處罰力度相對(duì)較弱，金融機(jī)構(gòu)的個(gè)人信息保護(hù)情況普遍不理想。權(quán)利人對(duì)個(gè)人信息權(quán)利敏感度較低表現(xiàn)在權(quán)利人對(duì)個(gè)人信息在金融機(jī)構(gòu)中的處理、保護(hù)與用途缺乏認(rèn)知渠道和認(rèn)知意愿，且多數(shù)權(quán)利人對(duì)個(gè)人信息的重要性認(rèn)識(shí)處于較低層次，主觀維護(hù)意愿不高（阮神裕，2020）。

三、金融科技背景下個(gè)人信息保護(hù)困局

（一）社會(huì)規(guī)范之困：公地悲劇造成法律監(jiān)管缺位

公地悲劇指在利益選擇狀態(tài)下，資源分配與個(gè)人自益性有所沖突的社會(huì)陷阱，在個(gè)人信息保護(hù)的法律監(jiān)管層面，指?jìng)€(gè)人信息權(quán)利的權(quán)屬范圍無法準(zhǔn)確界定，以至于其由哪部法律進(jìn)行系統(tǒng)性保護(hù)尚無定數(shù)。而立法部門在無法確定某一具體權(quán)利應(yīng)當(dāng)歸屬何者管轄時(shí)，會(huì)維持謙抑性的籠統(tǒng)保護(hù)態(tài)度，以免造成兩部甚至更多部法律的規(guī)定沖突與適用不清。因此，除《網(wǎng)絡(luò)安全法》細(xì)致規(guī)定了科學(xué)的追責(zé)制度外，其他相關(guān)法律大多只是原則性地對(duì)個(gè)人信息保護(hù)進(jìn)行規(guī)定，并未就如何進(jìn)行信息保護(hù)做具體細(xì)致的規(guī)定?！毒W(wǎng)絡(luò)安全法》的規(guī)制范圍是網(wǎng)絡(luò)空間的個(gè)人信息竊取行為，僅依靠該法律對(duì)個(gè)人信息進(jìn)行保護(hù)是以偏概全、以點(diǎn)概面的不科學(xué)路徑，與實(shí)現(xiàn)個(gè)人信息全面保護(hù)的法治目標(biāo)無法形成自洽的邏輯關(guān)系。個(gè)人信息保護(hù)是否屬于公地悲劇在法律規(guī)制層面的體現(xiàn)，主要由現(xiàn)有法律規(guī)制資源存量、侵權(quán)行為法律資源損耗流量、立法機(jī)關(guān)對(duì)現(xiàn)有侵權(quán)行為進(jìn)行立法補(bǔ)充三大因素決定（慶啟宸，2019）。當(dāng)現(xiàn)有法律資源存量無法對(duì)個(gè)人信息侵權(quán)流量有效抵御，就要寄希望于立法機(jī)關(guān)對(duì)現(xiàn)有侵權(quán)行為的規(guī)制補(bǔ)充立法。若補(bǔ)充立法強(qiáng)于侵權(quán)行為，個(gè)人信息保護(hù)的課題便得以解決，公地悲劇便會(huì)消失。若補(bǔ)充立法弱于侵權(quán)行為，便會(huì)出現(xiàn)個(gè)人信息被侵權(quán)人蠶食殆盡的現(xiàn)象，造成公地悲劇。目前，《個(gè)人信息保護(hù)法》尚未出臺(tái)，我國對(duì)個(gè)人信息的法律保護(hù)仍處于公地悲劇中。

（二）技術(shù)壁壘之困：技術(shù)壁壘阻礙個(gè)人信息全面保護(hù)

目前，權(quán)利人的個(gè)人信息被中心化儲(chǔ)存在各金融機(jī)構(gòu)的數(shù)據(jù)庫中，信息存儲(chǔ)割裂導(dǎo)致規(guī)模化監(jiān)管無法形成。首先，個(gè)人信息的市場(chǎng)主體保護(hù)已形成“山頭效應(yīng)”。在權(quán)利人將個(gè)人信息授予金融機(jī)構(gòu)時(shí)，金融機(jī)構(gòu)便對(duì)其進(jìn)行碎片化處理。而各金融機(jī)構(gòu)相互獨(dú)立，在信息數(shù)據(jù)庫領(lǐng)域尚未達(dá)成有效合作，由此形成中心化“數(shù)據(jù)豎井”。各個(gè)“山頭”獨(dú)立存在，對(duì)權(quán)利人個(gè)人信息保護(hù)缺乏集聚效應(yīng)，導(dǎo)致市場(chǎng)層面?zhèn)€人信息保護(hù)乏力并形成技術(shù)保護(hù)壁壘。其次，金融機(jī)構(gòu)個(gè)人信息運(yùn)用過程的可追溯性較差。在金融機(jī)構(gòu)不斷通過格式合同增強(qiáng)個(gè)人信息可獲得性的背景下，金融機(jī)構(gòu)對(duì)個(gè)人信息運(yùn)用的可追溯性卻一直處于較低層次。權(quán)利人信息在收集、搬運(yùn)、使用、保存等處理環(huán)節(jié)缺乏加密、保密與跟蹤保護(hù)措施，極易造成個(gè)人信息被非法竊取、篡改和使用（常景超等，2019）。由于個(gè)人信息權(quán)具有人格權(quán)與財(cái)產(chǎn)權(quán)的混合屬性，一旦被非法竊取和篡改，權(quán)利人將面臨巨大的財(cái)產(chǎn)損失。央行建立的征信系統(tǒng)在一定程度上遏制了“山頭效應(yīng)”的發(fā)展趨勢(shì)，實(shí)現(xiàn)了金融機(jī)構(gòu)之間的部分信息交流互通，但該征信系統(tǒng)存留數(shù)據(jù)存在滯后性，無法根本解決市場(chǎng)主體對(duì)個(gè)人信息保護(hù)的壁壘之困。最后，金融行業(yè)缺乏統(tǒng)一的個(gè)人信息數(shù)據(jù)保存系統(tǒng)與風(fēng)險(xiǎn)抵御系統(tǒng)。目前，個(gè)人信息通常由各金融機(jī)構(gòu)中心化分散保管，金融機(jī)構(gòu)對(duì)信息安全的重視程度與保護(hù)技術(shù)存在差異。威瑞森公司公布的《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，經(jīng)濟(jì)利益驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊正在增長(zhǎng)。因此，各大金融機(jī)構(gòu)亟需突破技術(shù)壁壘，建立數(shù)據(jù)保護(hù)聯(lián)盟，實(shí)現(xiàn)真正的數(shù)據(jù)保護(hù)合力，以對(duì)抗日益增長(zhǎng)的網(wǎng)絡(luò)犯罪。

（三）思想觀念之困：權(quán)利人意識(shí)尚未蘇醒

首先，權(quán)利人對(duì)個(gè)人信息權(quán)利的財(cái)產(chǎn)權(quán)屬性認(rèn)識(shí)不足。美國著名隱私權(quán)法律學(xué)者施瓦茨認(rèn)為，建立個(gè)人信息財(cái)產(chǎn)化模型需滿足五個(gè)關(guān)鍵要素：個(gè)人信息的權(quán)利限制、強(qiáng)制披露交易條件的默認(rèn)規(guī)則、市場(chǎng)參與者退出權(quán)、損害賠償制度、個(gè)人信息市場(chǎng)和懲罰侵犯隱私權(quán)行為的監(jiān)管機(jī)構(gòu)（Schwarty，2004）。目前，我國對(duì)以上五大要素都有條款規(guī)制，如國家標(biāo)準(zhǔn)GB/T35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》第7.2小節(jié)規(guī)定：“涉及通過界面展示個(gè)人信息的（如顯示屏幕、紙面），個(gè)人信息控制者宜對(duì)需展示的個(gè)人信息采取去標(biāo)識(shí)化處理等措施，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。防止內(nèi)部非授權(quán)人員或個(gè)人信息主體之外的其他人員未經(jīng)授權(quán)獲取個(gè)人信息?！薄墩餍艠I(yè)管理?xiàng)l例》第19條要求：“征信機(jī)構(gòu)或者信息提供者、信息使用者采用格式合同條款取得個(gè)人信息主體同意的，應(yīng)當(dāng)在合同中作出足以引起信息主體注意的提示，并按照信息主體的要求作出明確說明?！睓?quán)利人有收回個(gè)人信息的權(quán)利，信息管理人也有不對(duì)具體權(quán)利人提供金融服務(wù)的權(quán)利，這是市場(chǎng)參與主體的退出權(quán)。損害賠償制度與具有處罰權(quán)的機(jī)構(gòu)（如法院）在法律應(yīng)然層面都有相關(guān)規(guī)定。因此，我國個(gè)人信息權(quán)符合施瓦茨對(duì)個(gè)人信息財(cái)產(chǎn)化模型的推演。但我國個(gè)人信息保護(hù)仍處于起步階段，公民作為權(quán)利人對(duì)信息權(quán)利的財(cái)產(chǎn)權(quán)屬性認(rèn)識(shí)不足，無法將個(gè)人信息與有形財(cái)產(chǎn)聯(lián)系起來。權(quán)利人對(duì)個(gè)人信息的理解停留在“信息孤島”階段是我國目前個(gè)人信息保護(hù)舉步維艱的內(nèi)在原因。

其次，權(quán)利人對(duì)個(gè)人信息保護(hù)的必要性認(rèn)識(shí)不足。個(gè)人信息安全意識(shí)指權(quán)利人在意識(shí)領(lǐng)域樹立的信息化工作中個(gè)人信息安全理念，也是信息化工作中對(duì)個(gè)人信息侵犯的外來風(fēng)險(xiǎn)處于警覺和戒備的心理狀態(tài)。我國公民對(duì)個(gè)人信息權(quán)重要性的認(rèn)識(shí)處于較落后的階段，其根源是對(duì)無形財(cái)產(chǎn)權(quán)利的漠視。財(cái)產(chǎn)權(quán)利分為有形財(cái)產(chǎn)權(quán)利和無形財(cái)產(chǎn)權(quán)利。有形財(cái)產(chǎn)權(quán)利指通過對(duì)權(quán)利圓滿狀態(tài)或受損狀態(tài)進(jìn)行評(píng)估，獲得有形財(cái)產(chǎn)增加或減少認(rèn)識(shí)的權(quán)利。無形財(cái)產(chǎn)權(quán)利與有形財(cái)產(chǎn)無關(guān)或僅有間接聯(lián)系。無形財(cái)產(chǎn)權(quán)利是否受損無法直接決定有形財(cái)產(chǎn)是否受損，這導(dǎo)致公眾對(duì)無形財(cái)產(chǎn)權(quán)利的保護(hù)并不敏感。張捷（2020）的研究顯示，我國公眾隱私觀總體分值為58.69，處于中等水平，公眾在網(wǎng)上主動(dòng)暴露個(gè)人信息的情況較普遍。

最后，權(quán)利人在金融信息保護(hù)運(yùn)作程序中處于弱勢(shì)地位。權(quán)利人將個(gè)人信息授予金融機(jī)構(gòu)后，金融機(jī)構(gòu)便對(duì)個(gè)人信息擁有了絕對(duì)處置權(quán)，而權(quán)利人卻難以對(duì)信息的處置發(fā)表見解。造成這一現(xiàn)象的根本原因是權(quán)利人與金融機(jī)構(gòu)雙方的權(quán)利、義務(wù)意識(shí)淡薄。權(quán)利人認(rèn)為個(gè)人信息既然授予金融機(jī)構(gòu)，金融機(jī)構(gòu)理應(yīng)對(duì)個(gè)人信息享有完全處置權(quán)，自己無權(quán)干涉。同時(shí)，個(gè)人信息財(cái)產(chǎn)屬性是隱性的，不會(huì)對(duì)財(cái)產(chǎn)造成直接影響，因此沒有干涉的原始動(dòng)機(jī)。金融機(jī)構(gòu)則認(rèn)為獲得個(gè)人信息就獲得權(quán)利人的充分授權(quán)，對(duì)信息的收集、使用、搬運(yùn)和保護(hù)無需告知權(quán)利人，這是對(duì)個(gè)人信息權(quán)利的重大誤解。權(quán)利人僅同意金融機(jī)構(gòu)在權(quán)利人已知且同意獲取金融服務(wù)的范圍內(nèi)享有個(gè)人信息使用權(quán)，而此權(quán)利并非無限外延。一旦金融機(jī)構(gòu)對(duì)個(gè)人信息突破適用邊界，就要承擔(dān)相應(yīng)的法律責(zé)任，但前提是權(quán)利人對(duì)個(gè)人信息采取保護(hù)態(tài)度，且能夠知悉個(gè)人信息在金融機(jī)構(gòu)的應(yīng)用與安全狀況。

四、國外個(gè)人信息保護(hù)主要模式及啟示

（一）美國：消費(fèi)者保護(hù)模式

在個(gè)人信息保護(hù)領(lǐng)域，美國采用的是消費(fèi)者保護(hù)模式。即個(gè)人信息保護(hù)立法的根本目的是維護(hù)消費(fèi)者正當(dāng)權(quán)利，防止企業(yè)通過市場(chǎng)強(qiáng)勢(shì)地位對(duì)消費(fèi)者實(shí)施欺詐和脅迫。美國1973年頒布的《公平信息實(shí)踐準(zhǔn)則》開辟了美國個(gè)人信息保護(hù)的先河。從此，美國對(duì)個(gè)人信息保護(hù)確立了兩個(gè)重要原則：一是權(quán)利人信息透明原則，二是權(quán)利人對(duì)信息利用的參與原則。權(quán)利人信息透明原則即信息保管人在收集、搬運(yùn)、使用、轉(zhuǎn)讓個(gè)人信息時(shí)，應(yīng)當(dāng)對(duì)權(quán)利人程序透明，保障權(quán)利人知情權(quán)。權(quán)利人對(duì)信息利用的參與原則即信息保管人在對(duì)個(gè)人信息進(jìn)行收集和利用時(shí)，應(yīng)征得權(quán)利人同意，使權(quán)利人積極參與到個(gè)人信息的使用過程中來（Solove和Hartzog，2014）。

1914年，美國聯(lián)邦貿(mào)易委員會(huì)成立，奠定了美國以消費(fèi)者權(quán)益保護(hù)為主導(dǎo)的個(gè)人信息保護(hù)基礎(chǔ)。聯(lián)邦貿(mào)易委員會(huì)進(jìn)行個(gè)人信息保護(hù)的主要法律依據(jù)包括美國各項(xiàng)單行法和《聯(lián)邦貿(mào)易委員會(huì)法》（王葉剛，2020）。單行法包括美國國會(huì)于1974年頒布的《隱私法》、1986年頒布的《電子通信隱私法》、1998年頒布的《兒童在線隱私保護(hù)法》等十余部法律（張立彬，2020）。個(gè)人信息保護(hù)的單行法主要以碎片化的形式對(duì)不同領(lǐng)域的個(gè)人信息進(jìn)行分散式保護(hù)。但社會(huì)發(fā)展帶來的新權(quán)利領(lǐng)域無窮無盡，列舉式立法范式無法滿足現(xiàn)實(shí)需要，因此，單行法無法作為個(gè)人信息保護(hù)的主要法律依據(jù)。《聯(lián)邦貿(mào)易委員會(huì)法》主要通過兩種路徑對(duì)個(gè)人信息進(jìn)行保護(hù)：一是對(duì)欺詐交易行為的規(guī)制。該法認(rèn)定的欺詐交易行為指經(jīng)營(yíng)者對(duì)消費(fèi)者實(shí)施誤導(dǎo)導(dǎo)致消費(fèi)者產(chǎn)生認(rèn)識(shí)錯(cuò)誤，從而造成消費(fèi)者權(quán)益損害，這其中包括個(gè)人信息權(quán)損害（Reidenberg，2015）。二是對(duì)顯失公平交易行為的規(guī)制。《聯(lián)邦貿(mào)易委員會(huì)法》認(rèn)定的顯失公平交易行為指經(jīng)營(yíng)者通過市場(chǎng)強(qiáng)勢(shì)地位向消費(fèi)者施加一定的外力，使消費(fèi)者在消費(fèi)中無法意識(shí)到或意識(shí)到而無法避免將要遭受的損失。總體而言，聯(lián)邦貿(mào)易委員會(huì)利用隱私政策的調(diào)整，對(duì)個(gè)人信息權(quán)進(jìn)行保護(hù)。

（二）歐盟：數(shù)據(jù)保護(hù)模式

歐盟主要采用數(shù)據(jù)保護(hù)模式對(duì)個(gè)人信息進(jìn)行保護(hù)，即發(fā)生侵權(quán)行為時(shí)，優(yōu)先確保信息數(shù)據(jù)的安全性，而非權(quán)利人的合法權(quán)益。這種保護(hù)模式剝奪了權(quán)利人在個(gè)人信息泄露案件中權(quán)益保護(hù)的優(yōu)位性。歐盟于2018年頒布了《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR），強(qiáng)化了數(shù)據(jù)保護(hù)模式的監(jiān)管導(dǎo)向。GDPR的規(guī)制主體是企業(yè)，要求企業(yè)建立用戶數(shù)據(jù)監(jiān)控體系，完善數(shù)據(jù)監(jiān)控基礎(chǔ)設(shè)施，完善數(shù)據(jù)安全保障機(jī)制（占南，2019）。與美國消費(fèi)者保護(hù)模式不同，歐盟數(shù)據(jù)保護(hù)模式通過主體分類的方式進(jìn)行個(gè)人信息保護(hù)。首先，GDPR賦予數(shù)據(jù)主體多項(xiàng)合法權(quán)利。GDPR中的第五章至第七章用大量篇幅對(duì)數(shù)據(jù)主體權(quán)利進(jìn)行列舉式規(guī)定。如第五章規(guī)定的知情權(quán)，第六章規(guī)定的訪問權(quán)、更正權(quán)與可攜帶權(quán)，第七章規(guī)定的刪除權(quán)、限制處理權(quán)、反對(duì)權(quán)和自動(dòng)化個(gè)人決策權(quán)等。與消費(fèi)者權(quán)利相比，數(shù)據(jù)主體權(quán)利保護(hù)范圍更廣，權(quán)利保護(hù)無需以交易的發(fā)生為必要條件。其次，GDPR的適用主體不僅包括歐盟企業(yè)，也包括非歐盟企業(yè)。2018年5月，兩家歐洲隱私與信息數(shù)據(jù)保護(hù)組織向法國有關(guān)監(jiān)管機(jī)構(gòu)投訴谷歌在用戶個(gè)人信息授權(quán)協(xié)議上采用“強(qiáng)制同意”條款，并在不告知用戶的情況下將個(gè)人信息作商業(yè)用途。法國國家自由與信息委員會(huì)依據(jù)GDPR的相關(guān)規(guī)定，向谷歌開出5000萬歐元的罰單。谷歌也成為GDPR在歐盟生效后第一個(gè)受罰的美國科技巨頭。

（三）日本和韓國：立法層面的統(tǒng)合式安排

日本和韓國在個(gè)人信息保護(hù)的立法方面具有共同特征，均采用統(tǒng)合式立法。統(tǒng)合式立法指議會(huì)、政府和相關(guān)部門與具有立法權(quán)力的社會(huì)組織針對(duì)某一事項(xiàng)立法形成法律體系，并依照立法主體位階決定法律效力的位階。

日本個(gè)人信息立法中，層次由高到低分別為：國家總括性立法（由國會(huì)通過，地位類似于信息保護(hù)領(lǐng)域的根本大法）、國家個(gè)別性立法（由國會(huì)通過，地位類似于各部門法）、政府主管部門頒布的重點(diǎn)行業(yè)規(guī)章、政府主管部門頒布的其他行業(yè)規(guī)章（ユン·ジョンス，2009）。日本信息保護(hù)立法的顯著特征是將民營(yíng)企業(yè)與政府部門分開規(guī)制，二者所要遵守的法律并不相同。個(gè)人信息保護(hù)領(lǐng)域的根本大法為《個(gè)人信息保護(hù)法》的第一章至第三章基本法部分。個(gè)別法包括《關(guān)于行政機(jī)關(guān)持有的個(gè)人信息保護(hù)法》《關(guān)于獨(dú)立行政法人等持有的個(gè)人信息保護(hù)法》等部門法。政府主管部門頒布的重點(diǎn)行業(yè)規(guī)章包括通商產(chǎn)業(yè)省頒布的《關(guān)于民營(yíng)部門計(jì)算機(jī)處理個(gè)人信息保護(hù)指南》、郵政省頒布的《關(guān)于電信業(yè)的個(gè)人信息保護(hù)指南》等。

韓國個(gè)人信息立法中，法律效力最高的是韓國國會(huì)于2011年通過的《個(gè)人信息保護(hù)法》，具體行業(yè)的部門法效力次之，如《電氣通信事業(yè)法》《信用信息保護(hù)法》《位置信息保護(hù)法》《信息通信網(wǎng)法》等。

日韓兩國法律運(yùn)行上既有同一性，也有對(duì)立性（池建新，2016）。首先，兩國在個(gè)人信息權(quán)被侵犯后的法律救濟(jì)路徑上具有同一性，即對(duì)個(gè)人信息的保護(hù)不僅局限于司法保護(hù)，行政保護(hù)同樣注重。被侵權(quán)人除法院起訴侵權(quán)人承擔(dān)賠償責(zé)任外，還可以向行政機(jī)關(guān)投訴或申訴。兩國都建立了個(gè)人信息保護(hù)行政機(jī)構(gòu)，如日本的行業(yè)主管部長(zhǎng)負(fù)責(zé)制和韓國的個(gè)人信息調(diào)解委員會(huì)。其次，兩國在侵權(quán)人法律適用方面存在對(duì)立性。日本對(duì)數(shù)據(jù)保管主體的個(gè)人信息保護(hù)義務(wù)是分層規(guī)定的，原因在于日本官方認(rèn)為，政府部門收集、搬運(yùn)和處理個(gè)人信息的目的是提高行政效率，以便更好地履行行政職能。因此，政府部門的個(gè)人信息使用具有公益性動(dòng)機(jī)，侵權(quán)主觀惡性相對(duì)較小，并且政府作為公共管理部門，理應(yīng)受到更多的社會(huì)監(jiān)督。而民營(yíng)企業(yè)的目的是利潤(rùn)最大化，主觀惡性相對(duì)較大。但民營(yíng)企業(yè)需要保持一定的靈活性，不得過度立法干涉其生產(chǎn)經(jīng)營(yíng)。韓國官方認(rèn)為，出于公平性目的，應(yīng)當(dāng)對(duì)侵權(quán)主體一視同仁，適用同一法律進(jìn)行規(guī)制。

（四）啟示與比較分析

在個(gè)人信息保護(hù)的立法方面，歐盟、美國與日韓呈現(xiàn)出較強(qiáng)的地域特色。雖同為保護(hù)個(gè)人信息，但側(cè)重點(diǎn)頗有不同。各國在保護(hù)傾向和立法范式始終遵循個(gè)人信息的直接保護(hù)與行政保護(hù)。

個(gè)人信息的直接保護(hù)指明確將個(gè)人信息作為一項(xiàng)權(quán)利列入法律保護(hù)范疇，并佐以相應(yīng)的輔助性規(guī)定，如侵權(quán)定性、保護(hù)路徑、監(jiān)管機(jī)構(gòu)和法律后果。我國目前的個(gè)人信息保護(hù)處于分散式立法階段，看似各司其職，實(shí)則在個(gè)人信息的規(guī)范保護(hù)上無法形成強(qiáng)大合力。如《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)信息泄露案件的規(guī)制，央行17號(hào)文對(duì)金融機(jī)構(gòu)信息泄露案件的規(guī)制。不同信息領(lǐng)域適用不同的“小法”，容易產(chǎn)生權(quán)力縫隙。

個(gè)人信息的行政保護(hù)指行政機(jī)關(guān)通過對(duì)侵權(quán)人或有過失的信息保管人進(jìn)行行政處罰或處分，或運(yùn)用行政權(quán)力干預(yù)有個(gè)人信息泄露風(fēng)險(xiǎn)的違法交易，達(dá)到對(duì)個(gè)人信息進(jìn)行保護(hù)的行政管理目的。我國對(duì)個(gè)人信息的行政保護(hù)采取“分業(yè)監(jiān)管”的監(jiān)管范式，如《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》第56條規(guī)定工商行政管理部門有權(quán)對(duì)法律、法規(guī)未作明確責(zé)任規(guī)定的經(jīng)營(yíng)者責(zé)令改正、警告、沒收違法所得或罰款；《中華人民共和國郵政法》和《快遞暫行條例》賦予郵政管理部門對(duì)個(gè)人信息侵權(quán)案件行政處罰的權(quán)力；《征信業(yè)管理?xiàng)l例》規(guī)定國務(wù)院征信監(jiān)督部門對(duì)征信機(jī)構(gòu)和金融信用信息基礎(chǔ)數(shù)據(jù)庫運(yùn)行機(jī)構(gòu)的個(gè)人信息侵犯與保管過失進(jìn)行行政處罰的權(quán)力。分業(yè)監(jiān)管的前提是在立法的應(yīng)然層面和執(zhí)法的實(shí)然層面，各部門法與行政主體對(duì)所管轄的領(lǐng)域邊界清晰，否則便有可能造成個(gè)人信息保護(hù)的公地悲劇。因此，我國亟待設(shè)立或依法確立統(tǒng)一的個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)，將個(gè)人信息保護(hù)的行政權(quán)力收歸一處，再依據(jù)行業(yè)性質(zhì)差異區(qū)分不同的內(nèi)部機(jī)構(gòu)。與分業(yè)監(jiān)管范式不同的是，各內(nèi)部機(jī)構(gòu)雖地位平等，但個(gè)人信息保護(hù)執(zhí)法機(jī)構(gòu)這一上級(jí)主體可以在內(nèi)部機(jī)構(gòu)發(fā)生管轄權(quán)糾紛時(shí)進(jìn)行指定管轄，避免個(gè)人信息保護(hù)公地悲劇的產(chǎn)生。

五、構(gòu)建金融科技場(chǎng)域下個(gè)人信息保護(hù)制度

金融科技場(chǎng)域下個(gè)人信息保護(hù)制度構(gòu)建應(yīng)具有整體思維，通過多管齊下解決。在法律層面，應(yīng)完善相關(guān)規(guī)范，設(shè)立切實(shí)可行的個(gè)人信息保護(hù)制度并形成體系；在基礎(chǔ)設(shè)施建設(shè)層面，應(yīng)堅(jiān)持體用結(jié)合，在完善法規(guī)的基礎(chǔ)上對(duì)個(gè)人信息保護(hù)基礎(chǔ)設(shè)施與技術(shù)儲(chǔ)備加以更新，使之更適應(yīng)新時(shí)代個(gè)人信息保護(hù)的需求；在監(jiān)管實(shí)操層面，協(xié)調(diào)和處理好金融數(shù)據(jù)開放與監(jiān)管保護(hù)準(zhǔn)則的關(guān)系，避免監(jiān)管俘獲等有礙于監(jiān)管實(shí)施的情況發(fā)生。

（一）完善規(guī)范：加快制訂《個(gè)人信息保護(hù)法》

世界主要發(fā)達(dá)國家在信息保護(hù)領(lǐng)域大多有專門立法，如美國《公平信息實(shí)踐準(zhǔn)則》和《隱私法》、歐盟的《通用數(shù)據(jù)保護(hù)條例》、日韓的《個(gè)人信息保護(hù)法》等。2017年3月，全國人大代表邵志清在第十二屆全國人大第五次會(huì)議上提出議案，建議加快制定個(gè)人信息保護(hù)法，同時(shí)將《中華人民共和國個(gè)人信息保護(hù)法（草案）》作為附件提交。2020年5月25日全國人大三次會(huì)議中，全國人大常委會(huì)在工作報(bào)告中指出，圍繞國家安全和社會(huì)治理，制定生物安全法、個(gè)人信息保護(hù)法、數(shù)據(jù)安全法，通過刑法修正案修改《中華人民共和國行政處罰法》和《中華人民共和國人民武裝警察法》等。由此可見，《個(gè)人信息保護(hù)法》的制定已提上日程。針對(duì)《個(gè)人信息保護(hù)法》具體條款的制定，本文提出如下建議：

1.融合數(shù)據(jù)與消費(fèi)者保護(hù)模式的個(gè)人信息保護(hù)路徑

在信息保護(hù)領(lǐng)域，美國奉行的“消費(fèi)者保護(hù)模式”與歐盟奉行的“數(shù)據(jù)保護(hù)模式”均有優(yōu)勢(shì)。結(jié)合我國國情，我國信息保護(hù)的重點(diǎn)應(yīng)以“數(shù)據(jù)保護(hù)模式”為基礎(chǔ)，佐以“消費(fèi)者保護(hù)模式”。主要原因是我國消費(fèi)者權(quán)益保護(hù)力度較弱，國情與美國存在諸多不同。突出表現(xiàn)為美國聯(lián)邦貿(mào)易委員會(huì)是聯(lián)邦機(jī)構(gòu)，主要職權(quán)之一是保護(hù)消費(fèi)者合法權(quán)益。而我國市場(chǎng)監(jiān)督管理部門的職權(quán)傾向于保障市場(chǎng)秩序的有效運(yùn)行，在市場(chǎng)秩序規(guī)制與消費(fèi)者權(quán)益保護(hù)的選擇上傾向前者。同時(shí)，中國消費(fèi)者協(xié)會(huì)作為社會(huì)組織缺乏行政機(jī)關(guān)特有的職權(quán)性。因此，就消費(fèi)者權(quán)益的行政職權(quán)保護(hù)而言，我國行政主體存在缺位現(xiàn)象。以“數(shù)據(jù)保護(hù)模式”為監(jiān)管基礎(chǔ)，權(quán)力來源更順暢，也更適合中國現(xiàn)有社會(huì)狀況。將金融行業(yè)納入統(tǒng)一的“市場(chǎng)信用信息數(shù)據(jù)庫”，公示侵害權(quán)利人合法權(quán)益的不誠信金融機(jī)構(gòu)，使金融科技服務(wù)機(jī)構(gòu)“一處失信，處處碰壁”，以此提升個(gè)人信息保護(hù)的重視程度，加大權(quán)利人個(gè)人信息保護(hù)力度。

2.構(gòu)筑行政保護(hù)與司法保護(hù)結(jié)合的個(gè)人信息保護(hù)路徑

在個(gè)人信息保護(hù)路徑的選擇上，《個(gè)人信息保護(hù)法》應(yīng)堅(jiān)持行政保護(hù)與司法保護(hù)并重的模式。目前，我國對(duì)個(gè)人信息的保護(hù)主要集中在司法保護(hù)領(lǐng)域，即被侵權(quán)人通過向人民法院起訴侵權(quán)人維護(hù)個(gè)人權(quán)利。訴訟無疑是非常有效的維權(quán)方式，法院強(qiáng)制執(zhí)行意味著一旦形成對(duì)被侵權(quán)人有利的判決，侵權(quán)人必須承擔(dān)相應(yīng)的法律責(zé)任。但該方式也有明顯的弊端：一方面，訴訟周期較長(zhǎng)，被侵權(quán)人可能面臨長(zhǎng)時(shí)間的權(quán)利侵犯；另一方面，訴訟成本較高，訴訟費(fèi)、律師費(fèi)、保全費(fèi)等造成訴訟的高成本。因此，我國在構(gòu)筑個(gè)人信息保護(hù)體系時(shí)，應(yīng)在保留司法保護(hù)模式的同時(shí)，強(qiáng)化個(gè)人信息的行政保護(hù)。

強(qiáng)化個(gè)人信息的行政保護(hù)是“數(shù)據(jù)保護(hù)模式”的具體體現(xiàn)，主體是行政機(jī)關(guān)，對(duì)象是金融科技公司，客體是個(gè)人信息。行政保護(hù)具有單向性和職權(quán)性，金融科技公司是行政相對(duì)人。金融科技公司對(duì)個(gè)人信息實(shí)施侵害主要包括直接故意侵害和丟失個(gè)人信息侵害。針對(duì)前者，行政主體根據(jù)金融科技公司的主觀惡意、侵權(quán)行為和獲利數(shù)額等因素考慮處罰決定。針對(duì)后者，需對(duì)丟失個(gè)人信息的性質(zhì)進(jìn)行盡職丟失與過失丟失的區(qū)分。同時(shí)，建立個(gè)人信息保護(hù)人盡職免責(zé)制度，即金融科技公司有證據(jù)證明其已窮盡一切手段履行信息保管義務(wù)時(shí)，可以減輕或免除其保管責(zé)任。若金融科技公司因過失泄露了個(gè)人信息，則應(yīng)承擔(dān)相應(yīng)責(zé)任。

個(gè)人信息的行政保護(hù)雖具有效率高、程序簡(jiǎn)單、靈活性強(qiáng)等優(yōu)勢(shì)，但也存在弊端，如黑客對(duì)金融科技公司轄內(nèi)金融信息數(shù)據(jù)庫發(fā)起攻擊，造成大量個(gè)人信息泄露，金融監(jiān)管機(jī)構(gòu)無權(quán)對(duì)其進(jìn)行監(jiān)管，需由被侵權(quán)人向人民法院進(jìn)行起訴，采用司法程序?qū)ψ陨砗戏?quán)益進(jìn)行維護(hù)。因此，由行政機(jī)關(guān)對(duì)金融科技公司進(jìn)行監(jiān)管較為便利，而第三方對(duì)個(gè)人信息的侵權(quán)應(yīng)采用司法保護(hù)模式?？梢钥闯觯瑯?gòu)筑行政保護(hù)與司法保護(hù)相結(jié)合的個(gè)人信息保護(hù)路徑十分重要。

（二）體用結(jié)合：完善信息保護(hù)基礎(chǔ)設(shè)施與技術(shù)儲(chǔ)備建設(shè)

2017年《網(wǎng)絡(luò)安全法》正式生效，其中的第三章“網(wǎng)絡(luò)運(yùn)行安全”是立法亮點(diǎn)，即我國首次將關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)提到立法層面。《網(wǎng)絡(luò)安全法》第31條指出，關(guān)鍵信息基礎(chǔ)設(shè)施是在我國重要行業(yè)及領(lǐng)域，其一旦遭受攻擊和破壞導(dǎo)致系統(tǒng)失靈或數(shù)據(jù)泄露，可能導(dǎo)致重大社會(huì)利益受損。金融信息基礎(chǔ)設(shè)施就從屬于關(guān)鍵信息基礎(chǔ)設(shè)施（王春暉，2017）。

完善個(gè)人信息保護(hù)的基礎(chǔ)設(shè)施與技術(shù)儲(chǔ)備，需從技術(shù)能力、產(chǎn)業(yè)倒逼、事前監(jiān)督與事后監(jiān)管幾個(gè)層面入手。首先，技術(shù)能力的提升是內(nèi)生動(dòng)力。在世界各國紛紛重視“數(shù)據(jù)本地化存儲(chǔ)”的背景下，金融科技領(lǐng)域的個(gè)人信息保護(hù)應(yīng)借此趨勢(shì)提升數(shù)據(jù)保護(hù)的技術(shù)能力。隨著云計(jì)算、物聯(lián)網(wǎng)與人工智能等新興科技的發(fā)展，在保證國家數(shù)據(jù)安全的前提下，有關(guān)技術(shù)部門可將非核心區(qū)域內(nèi)的數(shù)據(jù)儲(chǔ)存技術(shù)授予金融科技公司，以增強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)抵御能力。在對(duì)金融科技公司進(jìn)行審批時(shí)，相關(guān)部門應(yīng)強(qiáng)制金融科技公司配備相應(yīng)的數(shù)據(jù)保護(hù)系統(tǒng)，保證個(gè)人信息安全。其次，產(chǎn)業(yè)倒逼是完善信息保護(hù)設(shè)施的外部驅(qū)動(dòng)。加快高端芯片、核心器件和新一代移動(dòng)通信網(wǎng)絡(luò)的建設(shè)，借助5G、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興產(chǎn)業(yè)快速發(fā)展帶來的強(qiáng)大驅(qū)動(dòng)力，倒逼金融科技公司強(qiáng)化個(gè)人信息保護(hù)的基礎(chǔ)設(shè)施建設(shè)。再次，事前監(jiān)督是預(yù)防個(gè)人信息泄露的有效手段，主要表現(xiàn)為對(duì)整個(gè)行業(yè)的規(guī)范。制定金融科技公司個(gè)人信息安全標(biāo)準(zhǔn)，將數(shù)據(jù)保護(hù)系統(tǒng)達(dá)到安全標(biāo)準(zhǔn)作為從事金融科技業(yè)務(wù)的準(zhǔn)入門檻。最后，事后監(jiān)管是對(duì)既定侵權(quán)事實(shí)進(jìn)行責(zé)任分配與利益修復(fù)的過程。構(gòu)筑合理的侵犯與泄露個(gè)人信息侵權(quán)的法律責(zé)任，具有修復(fù)舊的法律關(guān)系的作用，也可以震懾潛在侵權(quán)人。

（三）靈活監(jiān)管：協(xié)調(diào)金融數(shù)據(jù)開放與監(jiān)管保護(hù)準(zhǔn)則

金融數(shù)據(jù)開放是繼虛擬貨幣和人工智能后，金融科技的下一個(gè)熱點(diǎn)。但金融數(shù)據(jù)開放不可避免的給個(gè)人信息制度化保護(hù)帶來沖擊。銀行借助雄厚的資金實(shí)力與極高的信用評(píng)價(jià)，收集了大量個(gè)人信息，成為社會(huì)金融數(shù)據(jù)大集合的主要載體。同時(shí)，在金融數(shù)據(jù)開放性變革過程中，銀行因掌握大量金融數(shù)據(jù)而處于風(fēng)口浪尖。作為主要的數(shù)據(jù)開放主體，銀行在維護(hù)個(gè)人信息方面投入大量成本，也取得了不錯(cuò)的集群性積極效應(yīng)（楊帆，2019）。如果銀行開放其掌握的數(shù)據(jù)，金融科技公司是否有能力保護(hù)海量個(gè)人信息，成為阻礙金融數(shù)據(jù)開放的重要問題。

開放金融數(shù)據(jù)對(duì)個(gè)人信息保護(hù)的挑戰(zhàn)主要來自三個(gè)方面。第一，數(shù)據(jù)安全無法得到充分保障。在數(shù)據(jù)分享與開放過程中，銀行、金融科技公司甚至監(jiān)管機(jī)構(gòu)無法保證個(gè)人信息不會(huì)被非法收集、盜用甚至篡改。第二，個(gè)人信息的使用范圍及透明性缺乏有效規(guī)制。如何保障個(gè)人信息僅在授權(quán)范圍內(nèi)被合法使用，使用主體是否是權(quán)利人明確授權(quán)的主體，使用過程是否透明，使用完畢后是否依約進(jìn)行永久數(shù)據(jù)刪除等難題缺乏有效規(guī)制。第三，職責(zé)不明。金融數(shù)據(jù)開放后，個(gè)人信息被惡意泄露、篡改等情況發(fā)生時(shí)，責(zé)任承擔(dān)主體、程序與形式皆不明朗，無法形成有效的權(quán)利救濟(jì)鏈條。

在金融開放的背景下，必須協(xié)調(diào)金融數(shù)據(jù)開放與個(gè)人信息監(jiān)管的關(guān)系。首先，金融數(shù)據(jù)開放應(yīng)保證個(gè)人信息權(quán)得到充分保障，堅(jiān)持審慎原則，將個(gè)人信息的最低保護(hù)限度作為金融數(shù)據(jù)開放的最高限度。在強(qiáng)化個(gè)人信息保護(hù)的能力范圍內(nèi)，有條件地逐步放開金融數(shù)據(jù)展示，避免造成數(shù)據(jù)大量泄露。其次，加快我國統(tǒng)一金融監(jiān)管機(jī)構(gòu)改革進(jìn)程。通過機(jī)構(gòu)設(shè)置調(diào)整，將金融監(jiān)管權(quán)力合而為一，形成監(jiān)管合力，避免出現(xiàn)金融信息監(jiān)管的公地悲劇。最后，在加快推進(jìn)金融數(shù)據(jù)開放的同時(shí)，加大個(gè)人信息保護(hù)的社會(huì)宣傳力度。金融數(shù)據(jù)開放有利于打破金融行業(yè)的信息壟斷，極大提升金融服務(wù)效率，是未來金融行業(yè)的發(fā)展方向。在此前提下，相關(guān)部門應(yīng)加強(qiáng)個(gè)人信息價(jià)值與個(gè)人信息保護(hù)的社會(huì)宣傳力度，增強(qiáng)社會(huì)公眾保護(hù)個(gè)人信息的主觀意愿與客觀能力，從而達(dá)到金融數(shù)據(jù)開放與個(gè)人信息保護(hù)兩手抓的目的。