個(gè)人金融信息安全標(biāo)準(zhǔn)的法律保護(hù)效力反思與邏輯調(diào)試

■曾 遠(yuǎn)

一、問題的提出

隨著金融科技發(fā)展，大型科技公司和互聯(lián)網(wǎng)企業(yè)進(jìn)入金融領(lǐng)域增加了個(gè)人金融信息安全的復(fù)雜性和風(fēng)險(xiǎn)性。為此，中國人民銀行等五部委在《金融業(yè)標(biāo)準(zhǔn)化體系建設(shè)發(fā)展規(guī)劃（2016—2020年）》中，將金融信息安全標(biāo)準(zhǔn)化作為規(guī)劃的重要拼圖?！秱€(gè)人金融信息保護(hù)技術(shù)規(guī)范》《信息安全技術(shù)個(gè)人信息安全規(guī)范》《支付信息保護(hù)技術(shù)規(guī)范》等個(gè)人金融信息安全標(biāo)準(zhǔn)，正逐步在監(jiān)管層面發(fā)揮著其“標(biāo)準(zhǔn)化”作用，織密了個(gè)人金融信息保護(hù)制度網(wǎng)絡(luò)，促使金融類機(jī)構(gòu)在各類企業(yè)服務(wù)文本（包括隱私政策、用戶服務(wù)協(xié)議、信息安全告知、服務(wù)章程）中，向監(jiān)管機(jī)構(gòu)和社會(huì)傳達(dá)尊重并保護(hù)公民個(gè)人金融信息的態(tài)度。切換視角發(fā)現(xiàn)，在各類因個(gè)人金融信息安全問題所產(chǎn)生的侵權(quán)糾紛或合同糾紛中，金融類機(jī)構(gòu)通常會(huì)以“已經(jīng)建立符合國家技術(shù)標(biāo)準(zhǔn)的個(gè)人信息安全管理體系，非常重視客戶個(gè)人信息的保護(hù)，視客戶信息為經(jīng)營生命線，嚴(yán)格保護(hù)客戶的個(gè)人信息”，甚至以“標(biāo)準(zhǔn)不是法律”作為其免責(zé)的抗辯事由。在此類案件的司法裁判過程中，法官對(duì)事實(shí)判斷、裁決依據(jù)是以《合同法》《侵權(quán)責(zé)任法》條款為主，但難以見到標(biāo)準(zhǔn)的身影。雖然在個(gè)人金融信息保護(hù)領(lǐng)域的行政監(jiān)管與司法裁判有著各自不同的制度邏輯與規(guī)范依據(jù)，但應(yīng)看到，基于個(gè)人金融信息保護(hù)的立場，法律規(guī)范與標(biāo)準(zhǔn)均可視為個(gè)人金融信息保護(hù)工具，二者在個(gè)人金融信息保護(hù)功能上具有同質(zhì)性。因此，有必要追問在個(gè)人金融信息保護(hù)的制度格局中，個(gè)人金融信息安全標(biāo)準(zhǔn)化治理為金融消費(fèi)者提供了何種程度的保護(hù)？

個(gè)人金融信息保護(hù)是學(xué)界對(duì)“信息權(quán)”“數(shù)據(jù)權(quán)”“隱私權(quán)”等熱點(diǎn)議題的交叉研究投影在金融消費(fèi)者保護(hù)研究領(lǐng)域的子命題，并隨著《民法典》《個(gè)人信息保護(hù)法》等涉及個(gè)人信息保護(hù)相關(guān)立法活動(dòng)的展開，呈現(xiàn)出高度活躍的狀態(tài)。學(xué)界對(duì)個(gè)人金融信息保護(hù)的熱議既有共識(shí)，亦有分歧。學(xué)界之共識(shí)在于確認(rèn)強(qiáng)化個(gè)人金融信息保護(hù)的目標(biāo)共識(shí)、以完善法律規(guī)范實(shí)現(xiàn)保護(hù)的路徑共識(shí)。分歧則在于角度、方法與具體規(guī)則等方面：其一，對(duì)個(gè)人金融信息的法律屬性存在金融消費(fèi)者隱私權(quán)與個(gè)人信息權(quán)的不同立場。其二，對(duì)個(gè)人金融信息保護(hù)方法存在以金融行政監(jiān)管、刑事司法規(guī)制與金融消費(fèi)者民事保護(hù)等不同爭議。其中刑事司法規(guī)制、金融消費(fèi)者民事保護(hù)方法都存在一定制度困境。因此，強(qiáng)化對(duì)個(gè)人金融信息的監(jiān)管是主流觀點(diǎn)，如基于數(shù)據(jù)跨境轉(zhuǎn)移、互聯(lián)網(wǎng)金融等不同場景構(gòu)建個(gè)人金融信息保護(hù)制度。其三，由于個(gè)人金融信息在采集、共享等不同使用階段表現(xiàn)出不同特點(diǎn)，各階段保護(hù)規(guī)則都對(duì)金融消費(fèi)者的知情權(quán)和同意權(quán)、信息披露、糾紛解決與各方責(zé)任承擔(dān)都有其側(cè)重點(diǎn)，也產(chǎn)生了較多交叉性爭論。但是，理論界對(duì)于個(gè)人金融信息保護(hù)的研究路徑，仍局限在話語層面反復(fù)討論個(gè)人金融信息的法律屬性、保護(hù)路徑等問題，但對(duì)金融標(biāo)準(zhǔn)化實(shí)踐對(duì)個(gè)人金融信息保護(hù)的影響缺乏足夠的理論回應(yīng)。

個(gè)人金融信息保護(hù)相關(guān)研究領(lǐng)域均未有效關(guān)注現(xiàn)有標(biāo)準(zhǔn)化在個(gè)人金融信息保護(hù)制度體系中的制度定位、實(shí)質(zhì)效力等問題。理論上有必要反思：個(gè)人金融信息安全標(biāo)準(zhǔn)究竟在整個(gè)規(guī)范體系中扮演著怎樣的角色？為此，筆者從功能主義視角出發(fā)，以涉及金融科技行業(yè)的金融機(jī)構(gòu)企業(yè)服務(wù)文本為研究樣本，剖析研究樣本與個(gè)人金融信息安全標(biāo)準(zhǔn)設(shè)置的契合度，進(jìn)而探究個(gè)人信息安全標(biāo)準(zhǔn)的制度實(shí)踐，以期為相關(guān)實(shí)踐提供理論參考。

二、個(gè)人金融信息安全標(biāo)準(zhǔn)的公私法效力機(jī)制

根據(jù)2017年《標(biāo)準(zhǔn)化法》規(guī)定，我國標(biāo)準(zhǔn)體系分為國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)。而根據(jù)標(biāo)準(zhǔn)法律效力約束性的類型劃分，國家標(biāo)準(zhǔn)分為強(qiáng)制性標(biāo)準(zhǔn)、推薦性標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)（柳經(jīng)緯，2018）。金融強(qiáng)制性標(biāo)準(zhǔn)與金融推薦性標(biāo)準(zhǔn)根本差異在于是否具有強(qiáng)制性效力。強(qiáng)制性標(biāo)準(zhǔn)具有法律層面的約束效力，而推薦性則具有一定的特殊性，若推薦性標(biāo)準(zhǔn)經(jīng)法律援引則具有法律層面的約束效力，反之則無。因此，個(gè)人金融信息安全標(biāo)準(zhǔn)也遵循上例，如《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》規(guī)定，銀行業(yè)金融機(jī)構(gòu)收集、使用數(shù)據(jù)涉及個(gè)人信息的，應(yīng)當(dāng)符合相應(yīng)的國家標(biāo)準(zhǔn)。根據(jù)全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)（下稱“金標(biāo)委”）資料顯示，截至2020年12月，我國涉及個(gè)人金融信息安全的國家標(biāo)準(zhǔn)有28項(xiàng)，行業(yè)性標(biāo)準(zhǔn)79項(xiàng)，但無一項(xiàng)強(qiáng)制性標(biāo)準(zhǔn)。對(duì)于金融機(jī)構(gòu)而言，個(gè)人金融安全標(biāo)準(zhǔn)雖然屬于非強(qiáng)制性標(biāo)準(zhǔn)，但經(jīng)過一行兩會(huì)的部門規(guī)章授權(quán)或援引，其在金融行政監(jiān)管領(lǐng)域內(nèi)具有了公法層面的適用效力，相應(yīng)地，金融機(jī)構(gòu)企業(yè)服務(wù)文本的各項(xiàng)內(nèi)容也需要遵循上述規(guī)范要求。與此同時(shí)，個(gè)人金融信息保護(hù)行業(yè)標(biāo)準(zhǔn)條款也進(jìn)入格式合同、隱私政策、安全告知為基礎(chǔ)的非傳統(tǒng)意思自治的市場秩序領(lǐng)域，發(fā)揮規(guī)范民事關(guān)系的作用。若個(gè)人金融信息安全標(biāo)準(zhǔn)無法律、行政法規(guī)援引，而經(jīng)由當(dāng)事人意思合意使用，應(yīng)僅在當(dāng)事人之間具有私法約束力。

（一）個(gè)人金融信息安全標(biāo)準(zhǔn)的私法效力機(jī)制

個(gè)人金融信息安全標(biāo)準(zhǔn)屬于推薦性標(biāo)準(zhǔn)，不具有強(qiáng)制實(shí)施的效力，其在進(jìn)入市場秩序領(lǐng)域時(shí)的效力路線是作為行業(yè)規(guī)范發(fā)揮“基礎(chǔ)通用、與強(qiáng)制性國家標(biāo)準(zhǔn)配套、對(duì)各有關(guān)行業(yè)起引領(lǐng)作用”，并作為金融機(jī)構(gòu)與金融消費(fèi)者個(gè)人達(dá)成金融合同內(nèi)容，實(shí)現(xiàn)個(gè)人金融信息安全標(biāo)準(zhǔn)私法化的功能價(jià)值。

在作為機(jī)構(gòu)自律與行業(yè)自律的行為準(zhǔn)則方面。金融機(jī)構(gòu)通常將金融信息安全標(biāo)準(zhǔn)作為其內(nèi)部信息安全建設(shè)、監(jiān)督管理、審核查驗(yàn)的實(shí)施準(zhǔn)則。若業(yè)者執(zhí)行不當(dāng)便會(huì)遭自行業(yè)規(guī)制，成為行業(yè)規(guī)制的執(zhí)行依據(jù)。因此，在機(jī)構(gòu)自律與行業(yè)自律模式下，由于行業(yè)對(duì)市場、技術(shù)更為熟悉，由其發(fā)布行為準(zhǔn)則更加可行且更容易遵守。

在作為合同組成部分方面，金融機(jī)構(gòu)與金融消費(fèi)者一般通過“約定”的方式，在企業(yè)服務(wù)文本（服務(wù)協(xié)議及其副本隱私政策）中根據(jù)金融法律與金融標(biāo)準(zhǔn)列明具體措施與技術(shù)要求。如《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》規(guī)定：“金融機(jī)構(gòu)進(jìn)行營銷活動(dòng)時(shí)應(yīng)當(dāng)遵循誠信原則，金融機(jī)構(gòu)實(shí)際承擔(dān)的義務(wù)不得低于在營銷活動(dòng)中通過廣告、資料或者說明等形式對(duì)金融消費(fèi)者所承諾的標(biāo)準(zhǔn)”。若僅在服務(wù)文本籠統(tǒng)約定應(yīng)當(dāng)符合有關(guān)法律規(guī)范或標(biāo)準(zhǔn)的情況下，也可依據(jù)服務(wù)文本規(guī)定的具體信息比對(duì)適用推薦性標(biāo)準(zhǔn)。此時(shí)個(gè)人金融信息安全標(biāo)準(zhǔn)的效力便由企業(yè)內(nèi)部走向外部，成為由司法部門、仲裁機(jī)構(gòu)裁判的依據(jù)。

如何評(píng)價(jià)人金融信息安全標(biāo)準(zhǔn)的私法效力機(jī)制，這需要更為宏觀的視角解釋。實(shí)踐中，個(gè)人金融信息安全標(biāo)準(zhǔn)的私法實(shí)施存有諸多不足，例如在“風(fēng)險(xiǎn)預(yù)防”理念指導(dǎo)下，個(gè)人金融信息“保護(hù)門檻”被遷移至金融企業(yè)隱私政策制定等市場行為領(lǐng)域。但如前所述，金融機(jī)構(gòu)企業(yè)服務(wù)文本內(nèi)容對(duì)金融消費(fèi)者個(gè)人信息安全規(guī)則的用語通常較為寬泛、模糊，如“盡量”“可能”“某些”“盡最大努力”等等，致使有些金融消費(fèi)者認(rèn)為金融機(jī)構(gòu)會(huì)基于契約精神、市場聲譽(yù)、職業(yè)道德等因素，保證其個(gè)人金融信息的安全。但事實(shí)并非全然如此，企業(yè)服務(wù)文本的被遵守程度常因金融機(jī)構(gòu)的專業(yè)、態(tài)度等因素影響出現(xiàn)各種差異，此時(shí)的個(gè)人金融信息安全標(biāo)準(zhǔn)，面臨喪失對(duì)個(gè)人信息保護(hù)的實(shí)質(zhì)內(nèi)核，被強(qiáng)調(diào)意思自治而忽略主體能力差異私法所擠壓的風(fēng)險(xiǎn)。

（二）作為公法規(guī)則的個(gè)人金融信息安全標(biāo)準(zhǔn)

第一，效力來源。個(gè)人金融信息安全標(biāo)準(zhǔn)之所以經(jīng)行政規(guī)章援引而具有公法層面約束力，原因在于其自身的“技術(shù)權(quán)威”。在金融行業(yè)高度數(shù)字化和專業(yè)化的背景下，金融科技通過復(fù)雜數(shù)字技術(shù)，利用個(gè)人金融信息進(jìn)行金融交易模式復(fù)雜性創(chuàng)新，形成了金融科技行業(yè)的技術(shù)壁壘，并對(duì)現(xiàn)代金融監(jiān)管提出新的挑戰(zhàn)。通過對(duì)金融數(shù)據(jù)的標(biāo)準(zhǔn)化處置，可以瓦解金融科技行業(yè)形成的技術(shù)壁壘，降低監(jiān)管難度與成本，保護(hù)金融消費(fèi)者。包括個(gè)人金融信息保護(hù)技術(shù)標(biāo)準(zhǔn)在內(nèi)的金融行業(yè)標(biāo)準(zhǔn)，正逐步走向現(xiàn)代金融監(jiān)管的核心制度領(lǐng)域。作為通過標(biāo)準(zhǔn)化活動(dòng)，按照規(guī)定程序經(jīng)協(xié)商一致制定，為各種活動(dòng)或其結(jié)果提供規(guī)則、指南或特性，供共同使用和重復(fù)使用的文件（柳經(jīng)緯和許林波，2018）。個(gè)人金融信息安全標(biāo)準(zhǔn)與相關(guān)法律規(guī)范的差異，不僅在于制度外觀的形式差異，而且在于其處置對(duì)象的專業(yè)性差異：個(gè)人金融信息安全標(biāo)準(zhǔn)處理的全部屬于個(gè)人金融信息安全技術(shù)與安全管理等專業(yè)技術(shù)問題。這一系列標(biāo)準(zhǔn)由金融從業(yè)者與監(jiān)管者組成的金融標(biāo)準(zhǔn)起草委員會(huì)起草并審查通過，可見該系列標(biāo)準(zhǔn)的制定均圍繞“技術(shù)性”這一核心要素展開。在以往的實(shí)踐中，金融標(biāo)準(zhǔn)的內(nèi)容技術(shù)水準(zhǔn)往往高于金融法律的水準(zhǔn)。因此，不同于法律規(guī)范等級(jí)產(chǎn)生的約束效力，金融標(biāo)準(zhǔn)基于“技術(shù)水準(zhǔn)效力”的內(nèi)容展現(xiàn)，使其得到了廣泛認(rèn)可。這也正是法律效力概念在理論上出現(xiàn)正確性效力與權(quán)威性效力之分，即正確性效力體現(xiàn)了規(guī)范在內(nèi)容上的正確性，而權(quán)威性效力則表達(dá)了規(guī)范在形式上的權(quán)威性（俞祺，2014）。

第二，效力等級(jí)。在確認(rèn)個(gè)人金融信息安全標(biāo)準(zhǔn)的公法效力基礎(chǔ)上，需進(jìn)一步確定該系列標(biāo)準(zhǔn)的效力等級(jí)。從效力來看，法律由國家強(qiáng)制力保證實(shí)施，法律一經(jīng)頒行即具有普遍約束力，標(biāo)準(zhǔn)若不與法律結(jié)合，則無此種強(qiáng)制適用的效力，標(biāo)準(zhǔn)是否得到實(shí)施，完全取決于標(biāo)準(zhǔn)使用者的志愿采用（柳經(jīng)緯，2016）。據(jù)此應(yīng)區(qū)分個(gè)人金融信息安全標(biāo)準(zhǔn)在公法規(guī)制領(lǐng)域與私法治理領(lǐng)域的效力。在個(gè)人金融信息保護(hù)的公法領(lǐng)域，標(biāo)準(zhǔn)的效力等級(jí)在很大程度上屬于老生常談的話題——屬“規(guī)章”還是規(guī)章以下的“其他規(guī)范性文件”。認(rèn)為只需通過認(rèn)定援引或授權(quán)法律規(guī)范的等級(jí)就能界定標(biāo)準(zhǔn)的效力等級(jí)。個(gè)人金融信息安全標(biāo)準(zhǔn)由安全技術(shù)標(biāo)準(zhǔn)與安全管理標(biāo)準(zhǔn)組成，大多數(shù)金融機(jī)構(gòu)對(duì)安全管理標(biāo)準(zhǔn)保持了較高遵守程度，但對(duì)安全技術(shù)標(biāo)準(zhǔn)明顯缺乏遵守程度的一致性。這或許源于安全技術(shù)標(biāo)準(zhǔn)屬于科學(xué)技術(shù)范疇，安全管理標(biāo)準(zhǔn)則與法律規(guī)范體系同屬制度范疇，導(dǎo)致金融企業(yè)更重視“標(biāo)準(zhǔn)法律化后”的效力而忽視“標(biāo)準(zhǔn)法律化前”的效力。

第三，效力范圍。理論上，通過援引或授權(quán)后成為公法規(guī)則后，個(gè)人金融信息安全標(biāo)準(zhǔn)即可確定其效力范圍。但現(xiàn)狀是，在法律層面并不存在相關(guān)援引或授權(quán)作為推薦性標(biāo)準(zhǔn)的個(gè)人金融信息安全標(biāo)準(zhǔn)的法律條款。僅僅是一行兩會(huì)在其部門規(guī)章或規(guī)范性文件中會(huì)援引、授權(quán)個(gè)人金融信息安全標(biāo)準(zhǔn)。因此，在行政監(jiān)管、行政司法領(lǐng)域中，經(jīng)援引后的個(gè)人金融信息安全標(biāo)準(zhǔn)效力范圍在實(shí)踐中并無太多爭議，法院一般依據(jù)具體司法案件，經(jīng)過司法審查后適用于行政司法領(lǐng)域。

三、個(gè)人金融信息安全標(biāo)準(zhǔn)的公私法保護(hù)力度差異

（一）指標(biāo)設(shè)計(jì)

欲考察個(gè)人金融信息安全標(biāo)準(zhǔn)在公法和私法層面的實(shí)際保護(hù)力度，可利用金融企業(yè)的服務(wù)文本（包括使用章程、安全告知、隱私政策、服務(wù)協(xié)議等）對(duì)個(gè)人金融信息安全標(biāo)準(zhǔn)的引用關(guān)系進(jìn)行測度。在已有的企業(yè)文本合規(guī)性審查研究中，大多采用類似法律文義解釋的文本比對(duì)思路來進(jìn)行合規(guī)審查研究，以保證其研究結(jié)果的客觀性（李延舜，2019）。法律文義解釋方法是以法律文本的文字為依憑，并且要以具有明晰含義的解釋結(jié)果作為其階段性解釋目標(biāo)（魏治勛，2014）。對(duì)法律文本的引用不僅能夠反映個(gè)人金融信息安全標(biāo)準(zhǔn)文本的參照關(guān)系和知識(shí)擴(kuò)散，而且能夠反映個(gè)人金融信息安全標(biāo)準(zhǔn)對(duì)金融機(jī)構(gòu)的實(shí)質(zhì)影響。通過對(duì)已獲取金融機(jī)構(gòu)服務(wù)文本的閱讀發(fā)現(xiàn)，多數(shù)金融機(jī)構(gòu)服務(wù)文本中模糊性詞匯偏多，這意味著在服務(wù)文本中模糊性詞匯造成的不確定性，促使用戶“模糊同意”服務(wù)文本所列條款（姜盼盼，2019），進(jìn)而擴(kuò)大金融機(jī)構(gòu)與金融消費(fèi)者發(fā)生個(gè)人信息糾紛時(shí)的回旋空間。個(gè)人金融信息保護(hù)主要是基于企業(yè)安全告知、隱私政策對(duì)法律文本引用實(shí)現(xiàn)的，在一定程度體現(xiàn)了金融企業(yè)對(duì)個(gè)人金融信息保護(hù)制度的遵守程度。因此，可對(duì)個(gè)人金融信息安全標(biāo)準(zhǔn)與金融企業(yè)服務(wù)文本的文本契合度進(jìn)行比對(duì)，檢驗(yàn)現(xiàn)有個(gè)人金融信息安全標(biāo)準(zhǔn)在不同層級(jí)效力的實(shí)際差異。

從性質(zhì)上看，個(gè)人金融信息安全標(biāo)準(zhǔn)無論在制定主體、制定程序還是實(shí)施方式、效力來源等方面，都與法律規(guī)范體系有所不同，但我們?nèi)钥山柚?guī)范主義進(jìn)路，對(duì)個(gè)人金融信息安全標(biāo)準(zhǔn)體系進(jìn)行分類和分級(jí)，進(jìn)而提煉其特征。根據(jù)個(gè)人金融信息安全標(biāo)準(zhǔn)的現(xiàn)行規(guī)定是否涉及金融消費(fèi)者隱私權(quán)等實(shí)體性權(quán)利義務(wù)關(guān)系，可將所有的條款分為核心條款與一般條款。同時(shí)，根據(jù)金融消費(fèi)者是否能從服務(wù)文本中直接獲悉個(gè)人金融信息安全標(biāo)準(zhǔn)的條款，又可分為顯性條款和隱性條款兩大類。顯性條款主要是金融消費(fèi)者在進(jìn)行瀏覽服務(wù)文本時(shí)能夠獲取的相關(guān)信息，隱性條款是金融消費(fèi)者無法直接通過服務(wù)文本知悉的標(biāo)準(zhǔn)內(nèi)容。兩者結(jié)合形成四種類型條款：顯性核心條款、顯性一般條款、隱性核心條款、隱性一般條款（見表1）。

表1 個(gè)人金融信息安全標(biāo)準(zhǔn)內(nèi)容的結(jié)構(gòu)化條款

續(xù)表1

基于2020年中國人民銀行公布的金融科技企業(yè)試點(diǎn)名單、中國中關(guān)村互聯(lián)網(wǎng)金融研究院公布的中國金融科技競爭榜單，按照服務(wù)文本可獲得性、金融科技業(yè)務(wù)合規(guī)性等標(biāo)準(zhǔn)，篩選出涉足金融科技業(yè)務(wù)的商業(yè)銀行、金融科技服務(wù)類公司、金融科技技術(shù)類公司等實(shí)體共76家機(jī)構(gòu)的企業(yè)服務(wù)文本。樣本中76個(gè)企業(yè)服務(wù)文本所牽涉單項(xiàng)安全標(biāo)準(zhǔn)條款的最大數(shù)值為76（即所有企業(yè)服務(wù)文本都遵守該項(xiàng)安全標(biāo)準(zhǔn)），因此每項(xiàng)安全標(biāo)準(zhǔn)的數(shù)值應(yīng)不大于76，由此繪制雷達(dá)圖以直觀揭示在公法層面與私法層面的個(gè)人金融信息安全標(biāo)準(zhǔn)的實(shí)際保護(hù)力度差異。

圖1 金融企業(yè)服務(wù)文本條款與個(gè)人金融信息安全標(biāo)準(zhǔn)條款比對(duì)圖

（二）個(gè)人金融信息安全標(biāo)準(zhǔn)的保護(hù)效力差異

從金融企業(yè)服務(wù)文本條款與個(gè)人金融信息安全標(biāo)準(zhǔn)條款契合度結(jié)果看，樣本機(jī)構(gòu)的企業(yè)服務(wù)文本在遵守作為私法規(guī)則與公法規(guī)則的個(gè)人金融安全標(biāo)準(zhǔn)的程度差異頗大。

在作為私法行為準(zhǔn)則時(shí)，企業(yè)服務(wù)文本與其契合度相對(duì)較高的是免責(zé)條款、敏感信息提示、企業(yè)與用戶權(quán)限等顯性核心條款，分別有58、37、33項(xiàng)。其中，超過一半的金融科技服務(wù)類企業(yè)和金融科技技術(shù)類企業(yè)在個(gè)人信息的收集與使用目的條款中大量使用概括性語言。但更能體現(xiàn)問題的是個(gè)人金融信息范圍、用戶數(shù)據(jù)共享、用戶信息合理使用等顯性核心條款與安全運(yùn)行技術(shù)要求、安全準(zhǔn)則與策略、安全監(jiān)測與風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理與責(zé)任承擔(dān)等隱性條款的被遵守程度遠(yuǎn)低于預(yù)期，存在較大的“保護(hù)盲區(qū)”。分別有12、18、17項(xiàng)企業(yè)服務(wù)文本中提及保障用戶信息安全運(yùn)行、安全策略、安全檢測與風(fēng)險(xiǎn)評(píng)估等內(nèi)容，且仍以模糊語言代替具體的信息安全實(shí)施要求。雖然其中提到最多的是匿名技術(shù)和脫敏處理，但沒有一家企業(yè)服務(wù)文本對(duì)安全技術(shù)內(nèi)容進(jìn)行披露，例如工商銀行在隱私政策中提到：“我們成立了專責(zé)團(tuán)隊(duì)負(fù)責(zé)研發(fā)和應(yīng)用多種安全技術(shù)和程序”。此外，個(gè)人金融信息安全標(biāo)準(zhǔn)詳細(xì)規(guī)定了安全事件處理及應(yīng)急預(yù)案、責(zé)任承擔(dān)等內(nèi)容。在所有的企業(yè)服務(wù)文本中，僅有13項(xiàng)商業(yè)銀行和部分持牌金融機(jī)構(gòu)服務(wù)文本明確提及發(fā)生信息安全事故后承擔(dān)法律責(zé)任。幾乎所有的服務(wù)文本沒有明確個(gè)人信息保護(hù)的安全技術(shù)責(zé)任人和責(zé)任部門。個(gè)人金融信息安全標(biāo)準(zhǔn)普遍要求在發(fā)生個(gè)人信息安全事件后企業(yè)應(yīng)將及時(shí)告知個(gè)人信息主體，但有的企業(yè)服務(wù)文本明確提及“及時(shí)通知”。

作為公法的個(gè)人金融信息安全標(biāo)準(zhǔn)實(shí)際的保護(hù)力度則顯著高于作為私法時(shí)。其中敏感信息提示、個(gè)人金融信息目錄用戶數(shù)據(jù)共享、信息合理使用等核心條款的契合度有了明顯提升，分別達(dá)到了56、58、58、49、55項(xiàng)。從個(gè)人金融信息安全標(biāo)準(zhǔn)條款與金融機(jī)構(gòu)企業(yè)服務(wù)文本引用的結(jié)構(gòu)特征看，公法規(guī)范對(duì)個(gè)人金融信息保護(hù)制度體系中的其他層面規(guī)則有著較強(qiáng)的影響力，但也存在樣本服務(wù)文本覆蓋內(nèi)容不全面，滿足顯性核心條款數(shù)量存在特定差異，隱性安全條款方面依舊不完善，不同條款滿足法定要求方面存在巨大差異等一系列問題。例如，安全運(yùn)行技術(shù)要求、安全準(zhǔn)則與策略、安全監(jiān)測與風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理與責(zé)任承擔(dān)等隱性條款被遵循的比例徘徊在27.6%（風(fēng)險(xiǎn)處理與責(zé)任承擔(dān)）至48.6%（訪問控制）之間。需要引起注意的是，為凸顯市場聲譽(yù)，有相當(dāng)比例的企業(yè)服務(wù)文本是在部分個(gè)人金融信息安全標(biāo)準(zhǔn)發(fā)布前由企業(yè)自行制定。當(dāng)某些安全標(biāo)準(zhǔn)頒布后，上述企業(yè)服務(wù)反而沒有進(jìn)一步更新，不僅如此，上述安全標(biāo)準(zhǔn)被一行兩會(huì)援引后，又進(jìn)一步導(dǎo)致上述企業(yè)服務(wù)文本陷入無法完全滿足法定要求的困境。該困境顯示了金融機(jī)構(gòu)對(duì)個(gè)人金融信息保護(hù)方面存在明顯市場驅(qū)動(dòng)導(dǎo)向，也表明金融機(jī)構(gòu)在回應(yīng)市場自我規(guī)制與法律規(guī)制要求方面的態(tài)度遲緩。

結(jié)合個(gè)人金融信息安全標(biāo)準(zhǔn)對(duì)76家樣本企業(yè)類型的約束程度分析發(fā)現(xiàn)：安全標(biāo)準(zhǔn)對(duì)商業(yè)銀行系統(tǒng)、金融科技應(yīng)用類公司系統(tǒng)、金融科技技術(shù)類公司系統(tǒng)產(chǎn)生的約束效應(yīng)存在明顯差異。其中，約束效應(yīng)最強(qiáng)的是商業(yè)銀行系統(tǒng)，表明金融科技發(fā)展必須是“正規(guī)金融持牌監(jiān)管”制度框架下發(fā)展的特征。個(gè)人金融信息安全標(biāo)準(zhǔn)對(duì)金融科技服務(wù)類公司的約束效應(yīng)較商業(yè)銀行薄弱一些。僅有援引后的個(gè)人金融信息安全標(biāo)準(zhǔn)對(duì)金融科技服務(wù)類公司服務(wù)文本起到直接的約束效應(yīng)，從側(cè)面反映金融科技服務(wù)類公司在服務(wù)文本的重點(diǎn)在于符合公法規(guī)范要求，而對(duì)標(biāo)準(zhǔn)的遵守則要“看人說話”。金融科技技術(shù)類公司受個(gè)人金融信息保護(hù)公法規(guī)范和標(biāo)準(zhǔn)的約束效應(yīng)最弱。無論是作為私法還是公法的個(gè)人金融信息安全標(biāo)準(zhǔn)，對(duì)其約束性均形同虛設(shè)。以上分析發(fā)現(xiàn)，個(gè)人金融信息安全標(biāo)準(zhǔn)在持牌類金融行業(yè)內(nèi)具有“監(jiān)管閘門”作用。由于個(gè)人金融信息安全標(biāo)準(zhǔn)的非強(qiáng)制性，對(duì)部分金融科技企業(yè)不具有約束力，使得部分持牌金融企業(yè)和非持牌金融科技企業(yè)以尋利為目的，利用其個(gè)人信息采用隱性手段損害金融消費(fèi)者合法權(quán)益。這些行為源于數(shù)字金融的發(fā)展，對(duì)商業(yè)銀行帶來了一定負(fù)面影響（梁涵書和張藝，2021），也源于金融機(jī)構(gòu)藐視消費(fèi)者合法權(quán)益的傲慢態(tài)度，而這些隱性損害行為也揭示了部分金融科技企業(yè)“服務(wù)的虛偽性”（宋俊平和張俊喜，2019）。

四、個(gè)人金融信息保護(hù)安全標(biāo)準(zhǔn)的運(yùn)行機(jī)制反思

在金融市場與信息技術(shù)雙重復(fù)雜化條件下，政府監(jiān)管、自我規(guī)制與社會(huì)共治的個(gè)人金融信息保護(hù)機(jī)制需要規(guī)范化的制度載體。外部監(jiān)管由法律提供權(quán)力依據(jù)，自我規(guī)制依賴于市場制度供給，社會(huì)共治更需要多元化治理依據(jù)。與此同時(shí)，多元化保護(hù)機(jī)制若無合理的治理邏輯，必然產(chǎn)生差異乃至絮亂的治理效果。從上述意義看，無法忽視個(gè)人金融信息安全標(biāo)準(zhǔn)化的保護(hù)路線在公法與私法領(lǐng)域產(chǎn)生的“保護(hù)盲區(qū)”。

（一）本質(zhì)屬性：法律規(guī)范還是市場契約

個(gè)人金融信息安全標(biāo)準(zhǔn)作為獨(dú)立于金融法律之外的制度體系，其實(shí)質(zhì)是一種能夠滿足金融市場對(duì)個(gè)人金融信息保護(hù)需求的“制度資源（System resources）”（Terlaak，2007）。市場為滿足市場主體對(duì)市場秩序正常運(yùn)行需求，通過市場內(nèi)生型配置資源方式，將標(biāo)準(zhǔn)這一維持市場秩序的“制度資源”提供給市場主體。具有合作、協(xié)商等“市場”屬性思維金融標(biāo)準(zhǔn)，有別于凸顯管制、服從等“國家”色彩的金融法律。從此點(diǎn)出發(fā)，在“引導(dǎo)行為”與“規(guī)制行為”并行的規(guī)范框架下，個(gè)人金融信息安全標(biāo)準(zhǔn)的首要功能應(yīng)當(dāng)是引導(dǎo)金融機(jī)構(gòu)合規(guī)使用金融消費(fèi)者個(gè)人信息（Braun，2019）。例如，在2018年中國電子技術(shù)標(biāo)準(zhǔn)化研究院抽查評(píng)審100多款金融企業(yè)服務(wù)隱私條款時(shí)，發(fā)現(xiàn)其中38款隱私條款及相關(guān)實(shí)現(xiàn)機(jī)制有明顯更新，22款有較小程度更新，其余40款沒有更新。雖然改進(jìn)程度和效果不一，但評(píng)審結(jié)束后，大多數(shù)參評(píng)企業(yè)參照《信息安全技術(shù)個(gè)人信息安全規(guī)范》繼續(xù)對(duì)其企業(yè)服務(wù)隱私條款進(jìn)行了再整改，體現(xiàn)出了個(gè)人金融信息安全標(biāo)準(zhǔn)在行業(yè)層面的引領(lǐng)示范效果。

當(dāng)一行兩會(huì)的部門規(guī)章或規(guī)范性文件援引個(gè)人金融信息安全標(biāo)準(zhǔn)，使其具有公法效力時(shí)，我們應(yīng)對(duì)個(gè)人金融信息安全標(biāo)準(zhǔn)的制度屬性變化保持警惕。這一邏輯無疑將個(gè)人金融信息安全標(biāo)準(zhǔn)置于與公法規(guī)范有同等效力的地位，即使一行兩會(huì)對(duì)其援引的事由具有科學(xué)性的“技術(shù)權(quán)威”，這凸顯出政府規(guī)制與社會(huì)自治互動(dòng)關(guān)系中工具主義治理路線在金融消費(fèi)者保護(hù)領(lǐng)域的根深蒂固。標(biāo)準(zhǔn)治理中“存在著對(duì)以往‘全能主義國家’的路徑依賴，國家主義的思維和慣性催生出了一種政府支持社會(huì)組織發(fā)展的‘工具主義’模式”（唐文玉，2016），具有明顯的階段性特征：一是強(qiáng)調(diào)各類社會(huì)治理規(guī)范所蘊(yùn)含管制、秩序的價(jià)值優(yōu)先性；二是社會(huì)治理規(guī)范缺乏硬約束效力；三是公法規(guī)范對(duì)其他社會(huì)治理規(guī)范存在“選擇性支持”情況。這種“工具主義”模式存在著不可忽視的限度，主要表現(xiàn)：其一，導(dǎo)致個(gè)人金融信息安全標(biāo)準(zhǔn)治理功能失調(diào)。從公共性角度審視，標(biāo)準(zhǔn)具有為市場提供維持市場秩序和宣示秩序價(jià)值的雙重功能。公法規(guī)范支持其他市場規(guī)范的“工具主義”模式，強(qiáng)調(diào)管制、秩序的價(jià)值優(yōu)先性，合作、協(xié)商的價(jià)值則被置于次要位置，導(dǎo)致在構(gòu)建個(gè)人金融信息保護(hù)制度體系過程中，優(yōu)先支持標(biāo)準(zhǔn)規(guī)范維持市場秩序的功能，對(duì)其市場秩序的宣示功能則關(guān)注較少，而金融機(jī)構(gòu)也將標(biāo)準(zhǔn)的規(guī)范市場秩序功能作為其主要功能，而把宣示社會(huì)、協(xié)商治理的功能束之高閣。其二，限制了標(biāo)準(zhǔn)對(duì)個(gè)人金融信息保護(hù)的績效水平。在“工具主義”模式下，一旦某類具體的個(gè)人金融信息標(biāo)準(zhǔn)被法律所援引，其與公法規(guī)范之間的“行為規(guī)范”和“執(zhí)法依據(jù)”二元框架將演化為“權(quán)威——依附”等級(jí)化關(guān)系結(jié)構(gòu)，雖然該類標(biāo)準(zhǔn)效力的屬性已被轉(zhuǎn)化公法效力，但也將影響其他不具有強(qiáng)制約束力類型標(biāo)準(zhǔn)的治理能力。

（二）換位審思：包容審慎的拼圖缺憾

我國個(gè)人金融信息安全標(biāo)準(zhǔn)的公私法效力差異是規(guī)制結(jié)構(gòu)性問題。從機(jī)構(gòu)設(shè)置看，我國個(gè)人金融信息保護(hù)監(jiān)管權(quán)屬于分散配置模式。對(duì)于監(jiān)管權(quán)分散配置而言，初衷旨在希望監(jiān)管機(jī)構(gòu)在保護(hù)個(gè)人金融信息方面能夠有針對(duì)性開展監(jiān)管活動(dòng)。但在分業(yè)監(jiān)管模式下，監(jiān)管機(jī)構(gòu)條塊化任務(wù)劃分，使得個(gè)人金融信息保護(hù)被置于作為相對(duì)較后的責(zé)任劃分區(qū)域，導(dǎo)致監(jiān)管機(jī)構(gòu)對(duì)個(gè)人金融信息保護(hù)未形成經(jīng)常性執(zhí)法狀態(tài)。因此，對(duì)金融機(jī)構(gòu)因信息泄露引發(fā)侵權(quán)事件或?yàn)E用信息導(dǎo)致社會(huì)熱點(diǎn)后，監(jiān)管機(jī)構(gòu)方遲遲介入。前者常見于銀行類金融機(jī)構(gòu)與金融消費(fèi)者在普通銀行業(yè)務(wù)服務(wù)糾紛事件中，后者見于近年來因金融科技對(duì)個(gè)人金融信息大量復(fù)制與傳播后產(chǎn)生的新情況。例如，螞蟻金服在2018年向支付寶用戶提供查賬服務(wù)時(shí)，非法收集用戶信息引發(fā)社會(huì)關(guān)注，監(jiān)管機(jī)構(gòu)方介入其中。此外，監(jiān)管機(jī)構(gòu)由于自身缺乏應(yīng)對(duì)金融科技創(chuàng)新的技術(shù)力量，一方面，要求金融機(jī)構(gòu)履行一定信息審查義務(wù)。如中國人民銀行在《支付信息保護(hù)技術(shù)規(guī)范》中，要求從事支付活動(dòng)的金融機(jī)構(gòu)應(yīng)承擔(dān)審核金融消費(fèi)者個(gè)人信息合法性的義務(wù)。另一方面，監(jiān)管機(jī)構(gòu)要求與金融機(jī)構(gòu)有業(yè)務(wù)合作的金融科技公司，也應(yīng)提供符合金融標(biāo)準(zhǔn)的合規(guī)數(shù)據(jù)。該數(shù)據(jù)已成為監(jiān)管機(jī)構(gòu)對(duì)平臺(tái)內(nèi)商戶進(jìn)行常規(guī)執(zhí)法的重要參考。

追本溯源，個(gè)人金融信息安全標(biāo)準(zhǔn)化是尋求平衡市場秩序與金融創(chuàng)新的包容審慎原則重要手段之一。包容審慎是金融創(chuàng)新發(fā)展與防范風(fēng)險(xiǎn)的基本原則，其核心要義之一是確保對(duì)個(gè)人金融信息的使用不突破規(guī)制底線。從運(yùn)作方式而言，個(gè)人金融信息安全標(biāo)準(zhǔn)化首先在于厘清政府與市場的邊界，但標(biāo)準(zhǔn)的適用必然面臨與法律規(guī)范的交融。對(duì)個(gè)人金融信息安全底線的理解在政府干預(yù)與市場自治的場域中又產(chǎn)生了新的分歧。若監(jiān)管層秉持“拿來主義”“工具主義”的統(tǒng)治理念，沒有區(qū)分引導(dǎo)性行為規(guī)范與規(guī)制性行為規(guī)范在運(yùn)行機(jī)制的本質(zhì)差異，沒有脫離“命令——控制——制裁”的規(guī)制進(jìn)路，也就難以保持個(gè)人金融信息安全標(biāo)準(zhǔn)應(yīng)有的制度屬性。換位審視，金融機(jī)構(gòu)若缺乏足夠的自治動(dòng)力，若不對(duì)市場權(quán)力秩序有所敬畏，將導(dǎo)致個(gè)人金融信息安全標(biāo)準(zhǔn)喪失原初的制度功能，并引發(fā)監(jiān)管層依照法律法規(guī)規(guī)制進(jìn)路將標(biāo)準(zhǔn)納入外部規(guī)制依據(jù)范疇，強(qiáng)化國家干預(yù)市場秩序的力度。進(jìn)一步而言，作為市場資源的個(gè)人金融信息安全標(biāo)準(zhǔn)對(duì)供需兩端的權(quán)力秩序改造，決定了其勢(shì)必面臨外部規(guī)制與內(nèi)部自治的競爭、融合態(tài)勢(shì)。而這一態(tài)勢(shì)恰應(yīng)從市場內(nèi)外雙重視角，對(duì)其作出更符合包容審慎原則的解讀。

從監(jiān)管層面看，個(gè)人金融信息安全標(biāo)準(zhǔn)應(yīng)體現(xiàn)包容審慎的底線思維。在市場秩序理性運(yùn)行過程中，法律介入的前提是對(duì)個(gè)人金融信息市場價(jià)值的確認(rèn)，為其社會(huì)福利產(chǎn)出提供必要的制度保障。若金融企業(yè)的服務(wù)協(xié)議、隱私條款不符合《信息安全技術(shù)個(gè)人信息安全規(guī)范》等安全標(biāo)準(zhǔn)，但其能遵守《網(wǎng)絡(luò)安全法》等法律規(guī)范確定行為準(zhǔn)則，不應(yīng)一概確認(rèn)其條款的法律風(fēng)險(xiǎn)，而應(yīng)先由市場機(jī)制來判斷企業(yè)服務(wù)條款不滿足標(biāo)準(zhǔn)要求所產(chǎn)生的市場風(fēng)險(xiǎn)。《金融科技（FinTech）發(fā)展規(guī)劃（2019—2021年）》提出，針對(duì)金融業(yè)信息技術(shù)應(yīng)用建立健全國家統(tǒng)一推行的認(rèn)證機(jī)制。認(rèn)證制度實(shí)施后所產(chǎn)生的信號(hào)傳遞機(jī)制、激勵(lì)性規(guī)制效應(yīng)，將促使金融企業(yè)尊重市場標(biāo)準(zhǔn)，使市場標(biāo)準(zhǔn)發(fā)揮其制度功能。否則，在“命令——控制——制裁”的法律規(guī)制進(jìn)路下，規(guī)制主體與市場主體都將在社會(huì)包容性呼聲下，迷失包容審慎的標(biāo)準(zhǔn)性，導(dǎo)致市場標(biāo)準(zhǔn)被法律規(guī)制所“俘獲”而不是法治層面的制度吸收與轉(zhuǎn)化。

從市場層面看，應(yīng)警惕金融科技競爭對(duì)個(gè)人金融信息安全標(biāo)準(zhǔn)所產(chǎn)生的擠出效應(yīng)。阿里、騰訊等眾多互聯(lián)網(wǎng)巨頭涉足金融業(yè)，打破了傳統(tǒng)金融市場競爭不足局面，眾多中小企業(yè)通過業(yè)務(wù)依附模式得以涉足金融科技市場，模糊了金融行業(yè)利益邊界，重構(gòu)了傳統(tǒng)金融市場的利益均衡機(jī)制。因此，個(gè)人金融信息安全標(biāo)準(zhǔn)制定主體多元化、利益多元化，決定了單獨(dú)的技術(shù)要素或規(guī)則要素均無法滿足個(gè)人金融信息安全標(biāo)準(zhǔn)的產(chǎn)出。如《信息安全技術(shù)個(gè)人信息安全規(guī)范》的起草單位囊括了社會(huì)團(tuán)體、市場企業(yè)、專業(yè)機(jī)構(gòu)。與個(gè)人金融信息立法相比，市場標(biāo)準(zhǔn)的制定存在被利益主體俘獲的可能性更大，并導(dǎo)致個(gè)人金融信息安全水平被任意界定，增加市場競爭成本，最終產(chǎn)生市場擠出效應(yīng)，形成寡頭壟斷市場。

五、個(gè)人金融信息安全標(biāo)準(zhǔn)多層保護(hù)邏輯的調(diào)試

現(xiàn)行個(gè)人金融信息安全標(biāo)準(zhǔn)存在規(guī)制路徑依賴，弱化了標(biāo)準(zhǔn)應(yīng)有的制度價(jià)值與制度功能。因此，對(duì)個(gè)人金融信息安全標(biāo)準(zhǔn)定位，既不能迷信“市場萬能”，將其全部留待市場自我定位；亦不能重歸“國家主義”舊路，將其視為法律規(guī)制的延長線；而需從多主體、多層次的合作治理與規(guī)制的立場，利用既有法律制度融入個(gè)人金融信息安全標(biāo)準(zhǔn)，是確保其可持續(xù)發(fā)展的必然之舉。

（一）作為協(xié)同治理的制度構(gòu)成要素

金融新業(yè)態(tài)創(chuàng)新與發(fā)展的前提是金融企業(yè)可以有效進(jìn)入市場之中。而按照個(gè)人金融信息安全標(biāo)準(zhǔn)化思路，安全認(rèn)證將形成安全閘門與準(zhǔn)入門檻。實(shí)踐表明，政策標(biāo)準(zhǔn)與市場規(guī)則、執(zhí)法機(jī)構(gòu)與市場主體的博弈，使得標(biāo)準(zhǔn)被束縛手腳，難以產(chǎn)生實(shí)質(zhì)性效果。功能主義協(xié)同治理效力的正當(dāng)性源自治理效力的融貫性。從保障個(gè)人金融信息安全的實(shí)質(zhì)角度看，對(duì)本應(yīng)貫徹共同性的標(biāo)準(zhǔn)效力事項(xiàng)不同區(qū)分，勢(shì)必導(dǎo)致標(biāo)準(zhǔn)制度的虛置。尤其在安全技術(shù)使用效力方面，不同層級(jí)效力的截然不同，對(duì)金融消費(fèi)者信息安全的威脅更為嚴(yán)重。標(biāo)準(zhǔn)不同層級(jí)的效力統(tǒng)合，可以在充分凸顯安全標(biāo)準(zhǔn)“技術(shù)權(quán)威”優(yōu)勢(shì)的同時(shí)，通過政府參與確保其公共性。在協(xié)同治理模式下，可以以立法方式賦權(quán)個(gè)人金融信息安全標(biāo)準(zhǔn)，在安全技術(shù)審查標(biāo)準(zhǔn)、安全運(yùn)行操作規(guī)范等方面予以明確為金融機(jī)構(gòu)服務(wù)文本必備內(nèi)容。從而有利于提高相應(yīng)規(guī)則的遵從度，使得個(gè)人金融信息安全標(biāo)準(zhǔn)發(fā)揮更大作用，也使得政府干預(yù)更具謙抑性，并更加符合比例原則的理念追求，節(jié)約行政成本。

與此同時(shí)，金融法規(guī)制是金融新業(yè)態(tài)發(fā)展的法治底線與市場邊界，應(yīng)明確個(gè)人金融信息安全標(biāo)準(zhǔn)的多元化保護(hù)機(jī)制。法律規(guī)制應(yīng)統(tǒng)籌個(gè)人金融信息合理保護(hù)與有效利用，為標(biāo)準(zhǔn)劃定明確界限，使其成為“市場內(nèi)”的“看門人”，確保標(biāo)準(zhǔn)成為保障個(gè)人金融信息安全生命周期的規(guī)范化標(biāo)桿，協(xié)同促進(jìn)個(gè)人金融信息安全標(biāo)準(zhǔn)的實(shí)施?！吨腥A人民共和國標(biāo)準(zhǔn)化法釋義》認(rèn)為，在有些情況下，推薦性標(biāo)準(zhǔn)的效力會(huì)發(fā)生轉(zhuǎn)化，必須執(zhí)行：推薦性標(biāo)準(zhǔn)被相關(guān)法律、法規(guī)、規(guī)章引用，則該推薦性標(biāo)準(zhǔn)具有相應(yīng)的強(qiáng)制約束力，應(yīng)當(dāng)按照法律、法規(guī)、規(guī)章的相關(guān)規(guī)定予以實(shí)施。因此，可在《個(gè)人信息保護(hù)法》《民法典》《網(wǎng)絡(luò)安全法》等法律規(guī)范設(shè)置引用個(gè)人金融信息安全標(biāo)準(zhǔn)的條款，賦予其相應(yīng)效力邊界。然而，這一情形可能與《標(biāo)準(zhǔn)化法》第2條關(guān)于推薦性標(biāo)準(zhǔn)沒有強(qiáng)制性例外的規(guī)定發(fā)生沖突。所以，標(biāo)準(zhǔn)的效力邊界需經(jīng)《標(biāo)準(zhǔn)化法》與其他法律規(guī)范進(jìn)行協(xié)調(diào)。

（二）個(gè)人金融信息安全標(biāo)準(zhǔn)的賦權(quán)邏輯與解釋空間

標(biāo)準(zhǔn)的生成與完善是個(gè)人金融信息利用與保護(hù)的秩序得以穩(wěn)定運(yùn)行的一個(gè)重要前置性條件。包容審慎原則可以暫時(shí)容忍金融科技初創(chuàng)時(shí)期的利益不均衡，一旦金融信息資源配置模式的創(chuàng)新性被認(rèn)可，標(biāo)準(zhǔn)的進(jìn)一步完善是政府與市場不能回避的問題。如前文所述，個(gè)人金融信息安全標(biāo)準(zhǔn)實(shí)施所產(chǎn)生的“保護(hù)盲區(qū)”問題，集中體現(xiàn)于金融機(jī)構(gòu)在安全技術(shù)運(yùn)行、安全測率、安全準(zhǔn)則以及應(yīng)急處理等隱性條款自我規(guī)制上的努力。但金融機(jī)構(gòu)服務(wù)文本在內(nèi)容完整與保護(hù)力度實(shí)際情況遠(yuǎn)未達(dá)到理想狀態(tài)，如何完善金融機(jī)構(gòu)市場自律作為維護(hù)金融消費(fèi)者信息安全的核心措施，無疑是一個(gè)現(xiàn)實(shí)抉擇難題。雖然未來以標(biāo)準(zhǔn)認(rèn)證實(shí)施的市場規(guī)制將繼續(xù)發(fā)展，并發(fā)揮積極作用，但市場自律的效果是緩慢釋放的，無法在短期內(nèi)提升我國個(gè)人金融信息保護(hù)整體水平。在協(xié)同治理框架下，標(biāo)準(zhǔn)作為市場自律的依據(jù)，其生成邏輯無疑需要回應(yīng)上述難題。

標(biāo)準(zhǔn)的形成有兩種路徑：政府引導(dǎo)與市場生成。政府引導(dǎo)的標(biāo)準(zhǔn)是政府通過標(biāo)準(zhǔn)法規(guī)推動(dòng)形成的個(gè)人金融信息保護(hù)的國家標(biāo)準(zhǔn)體系；市場生成的標(biāo)準(zhǔn)是指金融市場主體自發(fā)形成的行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)或企業(yè)標(biāo)準(zhǔn)。如果只滿足于形式上的內(nèi)部生成，不賦予市場個(gè)體、團(tuán)體自治權(quán)，就預(yù)示著政府規(guī)制仍將實(shí)質(zhì)影響標(biāo)準(zhǔn)內(nèi)部生成秩序，意味著有關(guān)團(tuán)體事實(shí)上成為協(xié)助政府制定標(biāo)準(zhǔn)的工具。個(gè)人金融信息安全標(biāo)準(zhǔn)生成的動(dòng)力來源在于賦予協(xié)會(huì)、企業(yè)足夠的治理權(quán)限，強(qiáng)化其市場責(zé)任與社會(huì)責(zé)任。金融行業(yè)協(xié)會(huì)與金融機(jī)構(gòu)獲得自主治理權(quán)限，應(yīng)符合市場等價(jià)交易準(zhǔn)則，其對(duì)價(jià)在于市場責(zé)任與社會(huì)責(zé)任的承擔(dān)。完善金融企業(yè)服務(wù)的首要工作是提高合規(guī)程度，具體措施應(yīng)是在個(gè)人金融信息標(biāo)準(zhǔn)規(guī)則生成機(jī)制之內(nèi)充分考慮利益相關(guān)者的權(quán)利與利益實(shí)現(xiàn)。經(jīng)合組織認(rèn)為標(biāo)準(zhǔn)制定組織應(yīng)代表不同的經(jīng)濟(jì)利益，包括公共部門和消費(fèi)者，以避免諸如只有少數(shù)制定者時(shí)可能出現(xiàn)的問題。通過個(gè)人信息安全標(biāo)準(zhǔn)的信息公開，提升金融消費(fèi)者的議價(jià)能力，實(shí)現(xiàn)實(shí)質(zhì)意義上個(gè)人金融信息安全標(biāo)準(zhǔn)生成的市場化驅(qū)動(dòng)。

從法律解釋視角看，個(gè)人金融信息安全標(biāo)準(zhǔn)對(duì)個(gè)人信息保護(hù)法律法規(guī)能起到解釋作用。具體而言，應(yīng)在保護(hù)個(gè)人金融信息的安全性、尊重信息使用的專業(yè)性、維護(hù)個(gè)人金融信息保護(hù)效能等前提下，在法律內(nèi)容不確定時(shí)，立法明確授權(quán)行政機(jī)關(guān)制定技術(shù)標(biāo)準(zhǔn)解釋的，法院應(yīng)當(dāng)采納技術(shù)標(biāo)準(zhǔn)。默示授權(quán)的，法院對(duì)是否采納技術(shù)標(biāo)準(zhǔn)，具有自由裁量權(quán)。在事實(shí)認(rèn)定層面，技術(shù)標(biāo)準(zhǔn)作為證據(jù)和判斷證據(jù)之證據(jù)能力以及證明力方法（包建華和陳寶貴，2019）。

（三）強(qiáng)化個(gè)人金融信息安全標(biāo)準(zhǔn)競爭中性監(jiān)督

個(gè)人金融信息安全標(biāo)準(zhǔn)發(fā)展瓶頸在于如何消除其不同運(yùn)行機(jī)制間的盲區(qū)。個(gè)人金融信息安全標(biāo)準(zhǔn)通過在市場內(nèi)權(quán)利秩序的更迭促進(jìn)市場外權(quán)利秩序的變動(dòng)，實(shí)現(xiàn)市場內(nèi)外秩序交融。因此，消除制度保護(hù)盲區(qū)的關(guān)鍵是防止政府權(quán)力對(duì)市場標(biāo)準(zhǔn)內(nèi)生機(jī)制的不當(dāng)干預(yù)。個(gè)人金融信息安全標(biāo)準(zhǔn)（國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)）絕大部分為推薦性標(biāo)準(zhǔn)，其性質(zhì)是建立金融行業(yè)內(nèi)的個(gè)人金融信息保護(hù)的基礎(chǔ)性門檻，并不限制基于門檻之上的技術(shù)創(chuàng)新與保護(hù)水平。因此，我國金融信息安全標(biāo)準(zhǔn)的變遷路徑是以政府監(jiān)管為主導(dǎo)，金融信息安全標(biāo)準(zhǔn)體系的“強(qiáng)公共性”與“弱市場性”決定了應(yīng)強(qiáng)化對(duì)標(biāo)準(zhǔn)生成的競爭中性監(jiān)督。通過競爭中性監(jiān)督，一方面可以提升市場標(biāo)準(zhǔn)內(nèi)生機(jī)制的競優(yōu)導(dǎo)向，調(diào)動(dòng)金融企業(yè)市場自覺性，維護(hù)市場標(biāo)準(zhǔn)的導(dǎo)向機(jī)制，確保個(gè)人金融信息安全和效益的協(xié)調(diào)；另一方面可以確保政府介入金融信息市場標(biāo)準(zhǔn)生成的程度，為法律規(guī)制與市場自治銜接奠定基礎(chǔ)。

個(gè)人金融信息安全標(biāo)準(zhǔn)競爭中性監(jiān)督的使用要點(diǎn)：第一，強(qiáng)化標(biāo)準(zhǔn)制定組織的信息公開義務(wù)。若國家標(biāo)準(zhǔn)存在擠出效應(yīng)或限制創(chuàng)新效果，應(yīng)對(duì)國家標(biāo)準(zhǔn)保護(hù)個(gè)人金融信息的目標(biāo)與技術(shù)要求、管理要求之間的必然聯(lián)系做出詳細(xì)解釋，排除技術(shù)標(biāo)準(zhǔn)與管理標(biāo)準(zhǔn)以保護(hù)為“目的”行限制創(chuàng)新之“實(shí)”。例如，央行發(fā)布的技術(shù)文件《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》“自上而下”地對(duì)個(gè)人金融信息的生命周期技術(shù)要求與安全運(yùn)行技術(shù)要求，規(guī)定“必須符合法律規(guī)范與行業(yè)主管部門要求”，進(jìn)而限制個(gè)人信息的收集和使用。有關(guān)金融信息生命周期技術(shù)要求以及運(yùn)行技術(shù)要求的限定，都是基于有限理性進(jìn)行判斷的，這種“控制性”技術(shù)路線與標(biāo)準(zhǔn)的“市場化”的本質(zhì)屬性有所沖突，可能制約市場創(chuàng)新。因此，應(yīng)當(dāng)征求各方意見，并依法對(duì)相關(guān)政策動(dòng)機(jī)進(jìn)行公開和釋明，降低政策施行的協(xié)調(diào)成本。第二，完善個(gè)人金融信息標(biāo)準(zhǔn)競爭中性的社會(huì)監(jiān)督。個(gè)人金融信息安全環(huán)境的營造并非僅僅是監(jiān)管層獨(dú)立支撐，更多需要構(gòu)建行業(yè)監(jiān)管、社會(huì)監(jiān)督、協(xié)會(huì)自律、機(jī)構(gòu)自治的多位一體治理體系，共同打造全社會(huì)協(xié)同共治的治理格局，提升個(gè)人金融信息安全標(biāo)準(zhǔn)制定的公開化與透明度。美國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)開放競爭機(jī)制的經(jīng)驗(yàn)表明，若對(duì)網(wǎng)絡(luò)安全給予不同程度定義，并設(shè)立對(duì)應(yīng)標(biāo)準(zhǔn)組，實(shí)現(xiàn)這些標(biāo)準(zhǔn)組的互相競爭，并由用戶最終驗(yàn)證、判斷哪個(gè)標(biāo)準(zhǔn)將最適合其特定要求，將極大降低標(biāo)準(zhǔn)治理成本（Srinivas et al.，2019）。因此，個(gè)人金融信息安全標(biāo)準(zhǔn)的開展不僅要向社會(huì)各界廣泛征求意見，并且在監(jiān)管層主體地位之外明確社會(huì)監(jiān)督重要性。