论网络背景下金融隐私权的法律保护

王建文，彭洋恺

(河海大学法学院，江苏南京 210098)

网络金融的发展根植于经济交易和科技创新相结合的肥沃土壤，而它的壮大则建立于客户的认可和信赖的基础之上。网络金融较之传统金融，产生了新的特点和问题，金融隐私权法律保护的要求随之发生了新的变化。金融隐私权是在传统隐私权的基础上发展而来的一项现代新型权利，是隐私权在金融领域进一步延伸的结果，是对权利的保护由消极走向积极的转变。金融隐私权是指信息持有者对其与信用或交易相关的信息所享有的控制支配权。与通常的隐私权相比，金融隐私权指向的是具有财产利益的信息，以信用信息为核心，包括信息所有人的经济与财产交易状况方面的信息，如信息持有者的财产状况及其财产流向的信息［1］(P63)。金融隐私权的实体包括个人的信用信息、交易信息、财产信息等，是兼具有人格属性和财产属性的权利。

随着金融市场和电子科技的蓬勃发展，几乎每个人都或主动或被动地将手机银行、电子支付软件、网络金融产品应用软件植入了手机，人们对于保护金融隐私和保证交易安全的需求日益增大。中国人民银行《2013年支付体系运行总体情况》报告显示，电子支付业务增长较快，移动支付业务保持高位增长。2013年，全国共发生电子支付业务257．83亿笔，同比增长27．40%，其中，网上支付业务236．74亿笔，同比增长23．06%;移动支付业务16．74亿笔，同比增长212．86%。金融机构掌握了大量客户的个人信息、交易记录及其他相关信息，在现代网络技术普遍应用于金融交易的情况下，在交易迅捷化的同时，网络金融来自内外部的风险加大，安全问题更为突出和复杂。如果客户的资料被滥用，将可能带来比以往非网络环境下金融交易更加巨大的损失。

我国现有金融隐私权保护存在很大的局限性:立法上缺乏明确有效的法律规定;司法上难以满足客户的要求，救济手段缺乏保护性;监管上主体不明，也缺乏行之有效的监管措施。而在网络金融背景下，金融隐私权的保护则又呈现诸多新的特征，需要进一步调整对金融隐私权法律保护的方式。因此，需要从立法、司法和监管多个角度，考察当前国内金融隐私权的保护现状，在借鉴域外金融隐私权保护制度的基础上，构建适合于我国现状的网络背景下的金融隐私权法律保护模式。

一、网络背景下金融隐私权特别保护的实践需求

网络金融可以概括为以电子技术和计算机网络为主要载体和运行媒介的金融活动［2］(P1)。它将金融业与信息技术有机地结合在一起，利用电子技术或网络技术，在数字化金融信息、电子化金融产品和金融服务的基础上，推进金融机构的虚拟化，实现金融交易的无纸化和金融市场的网络化。在日益繁盛的电子商务市场中，网络金融作为信息流、物流和资金流的纽带，其必然成为未来金融业的主要运行模式和重要发展方向。传统的金融法律监督只局限于本国内，且是针对实物货币或票证进行的业务活动的金融业监督［3］(P11)。近年来网络金融蓬勃发展，网络金融创新为民众的生活带来切实的便利，但凸显的问题也日益明显，对于金融隐私的法律保护提出了实践需求。

(一)网络金融大发展对金融隐私权的冲击

网络金融旨在建立3A(anytime，anywhere，anyhow)式的服务，即客户可在任何时间、任何地点以任何方式安全地进行金融业务，不受金融机构营业时间和营业地点的限制，促进社会向“无现金”和“无支票”的方向发展。

网络金融早已悄然渗透到大众生活中，而唤起社会普遍关注的是余额宝的异军突起。由第三方支付平台支付宝推出的新型网络金融产品余额宝，以互联网平台和传统货币基金为载体，本质是吸收用户的资金用于购买基金，由于其实现了无投资金额门槛和随时提现，一经推出便获得了普通民众的青睐。为了应对余额宝的冲击，各家银行也纷纷推出类似余额宝的产品，均支持24小时购买赎回，在网上银行和手机银行平台上均可操作，降低了投资门槛，灵活了赎回期限，客户持有的货币基金份额可随时变现到账。与此同时，微信理财通、百度百发理财通、苏宁零钱宝等由非正规金融部门推出的网络金融产品，借助社交、搜索引擎、电商等平台的东风，也纷纷进入大众的视野，在社会生活中占据一席之地。红极一时的“快的”“滴滴”打车软件等支付软件，由于其门槛低应用广，用户的信息安全完全没有保障，身份信息和财产信息等金融隐私极有可能受到侵害。当侵害发生时，软件开发商、金融机构、软件使用人之间互相推诿，消费者往往追责无门。

网络金融产品的野蛮生长以及银行、证券、保险的深度交叉融合，对于加强金融监管和保护消费者权益形成了倒逼之势。不同于由个人银行卡到货币基金账户的传统二元结构，余额宝之类的网络金融产品是由第三方支付平台在个人银行卡与货币基金之间进行中转，微信理财通更是以网络社交软件进行资金中转。以网络为基础，用户的信息伴随着资金的流动在银行、基金、券商甚至是社交平台、搜索引擎之间流转，形成依托网络运行的三元结构。网络借贷易的虚拟性，导致难以认证双方的资产和信用的状况，实践中容易发生伪造不实资产和捏造虚假借贷的状况。用户个人的身份信息、经济信息和交易信息等金融隐私信息捆绑在一起进行跨行业、跨机构流转，更容易受到来自网络金融内外部风险的侵害。一旦受到侵害，个人的交易信息、交易习惯、财产状况甚至是社会关系，都有可能被曝光，进而可能导致个人的投资、借贷等实体财产受损失。

网络金融契合了移动互联网用户的使用习惯和趋势，其强大的生命力让各方充满期待，但对金融监管模式的变革却提出挑战。与此同时，传统金融业呈现出金融集团化、行业融合渗透日益加深的新态势，这对金融监管的变革而言可谓是极好的契机。金融交易安全和隐私问题被推到了舆论关注的风口浪尖，客户希望个人资料和信息在银行的保密范围不断扩大、保护力度不断加强，传统的隐私权保护已不能满足网络金融新形势下消费者的需求，国内学界对于通过立法规范加强金融隐私权保护的呼声越来越高。

(二)网络背景下金融隐私权保护呈现出的新特征

网络金融的风险主要源自信息技术导致的技术风险和虚拟货币交易服务形式带来的业务风险。网络金融依赖于网络平台的发展壮大，金融隐私权的保护随之呈现出了新的特征，需要进一步调整对金融隐私权的法律保护方式。

第一，技术风险带来的信息安全问题日益突出。传统金融活动中，在分业经营的形式下，金融消费者通常采用分行业单独开户交易的手段，在银行、证券、保险等行业中的不同机构中都有独立的账户，且交易相对独立。与传统金融活动主要依赖于线下纸面交易相比，网络金融线上支付结算业务的信息安全风险大为增加。从网络金融外部活动上看，木马软件、恶意植入插件、二维码病毒等近年来随着网络金融的发展而诞生的新风险，成为金融隐私权保护不可避免的新挑战。随着混业经营和金融全球化发展大潮的到来，金融机构客户或金融产品消费者的各类交易信息都要通过互联网传输，交易信息在金融机构之间、金融行业之间、第三方支付平台以及电子信息服务技术支持商等之间的流动，存在被非法盗取、使用、篡改或公开的风险。从网络金融内部运行和管理上看，其本身还存在一个信息系统，它采用计算机技术与电子通信技术，通过互联网和电子技术手段，突破金融业的传统业务操作模式，摒弃由店堂式的前台接柜开始的传统服务流程，而把金融产品和业务直接在网上推出，整个业务流程由网页接收信息和后台网络处理组成，数据的收集、传递、使用和存储都依赖于网络信息平台。因此，网络金融活动更易受攻击，与之对应的表现为金融数据形式的金融隐私信息，更易被窃取和滥用。

第二，业务风险使得交易者举证愈发困难。正是由于网络金融特有的虚拟货币交易服务形式，信息持有者对自己信息的控制支配力相较于传统金融模式显得更弱。实践中，大量的金融活动以客户默示或点击合同的形式进行，交易信息以电子记录方式存在，传统金融活动中明确的签字盖章的明示手段难以实施，电子形式的通知等告示性文件不易保存，更加难以确认是否到达交易对象。如果金融机构主动滥用客户的金融隐私资料或数据，在发生纠纷时很难判断数据的传递或使用是否违背了消费者的意愿，导致消费者的金融隐私权往往难以得到保障。如果金融机构被动受到网络黑客攻击，泄露金融隐私的始作俑者不明，侵权赔偿责任在金融机构和泄露者之间推诿，则会使得交易者更加难以追责。根据我国法律规定，虽然电子数据可以作为证据，然而此类证据极其容易被篡改和伪造，且多掌握在金融机构手中，客户能接触并保存的电子数据极为有限。如果客户的金融隐私权被侵犯，客户往往需要负担较重的举证责任。普通民众一般没有及时保存上网记录、交易链接等电子交易资料的意识，更难以满足举证责任中形成证据链的要求。举证难成为网络金融中客户金融隐私权保护的新难点。

第三，监管救济与网络金融的发展速度难以匹配。相比较传统金融活动安全成熟的监管保护机制，线上网络金融活动对于消费者的保护、赔偿都明显不足。P2P网贷是网络金融中迅速崛起又迅速暴露问题的行业，据媒体报道，截至2014年2月底，全国P2P网贷平台共626家，平均每家注册资本为1 360万元。此外，2013年全年，倒闭、跑路、提现困难等各种问题平台75家。2014年前6个月至少有35家网贷公司跑路［4］。由于缺乏相对应的法律法规，受害者难以寻求有效的救济渠道。以百度的信用保障计划为例，由于百度对于网贷公司提供了“信誉V”的认证，交易者基于对百度认证的信赖，往往更倾向于选择经过认证的商户。自百度开启为“旺旺贷”受害者提供保障性赔偿的先河，受到网贷侵害而追责无门的受害者便蜂涌而至，把百度的信誉保障计划当成了最后的救命稻草，使得第三方平台承担了过多的责任，呈现出畸形的态势。网络金融活动迅速发展，而监管与救济的速度难以与之匹配，交易者的金融隐私和资金安全得不到保障，网络平台承担过多的责任，而真正的责任人得不到及时有效的惩罚，长此以往，最终只会损害网络金融的活力。

二、网络背景下我国金融隐私权保护的现状及问题

(一)金融隐私权法律保护的现状

与英美国家系统化与成熟化的金融隐私权保护制度相比，我国尚无专门的金融隐私权保护法律制度，仅有的关于金融隐私权保护的零散法律条文亦较为原则、粗疏，在现如今网络金融发展一日千里的情况下，更是难以满足网络背景下金融隐私权保护的现实需求。

我国传统金融业法对于金融隐私权的保护缺乏足够的重视，呈现“先天不足”的态势，对于金融隐私权的保护多是散见于金融业法中，以银行保密义务为基础对金融隐私权进行保护。《商业银行法》第29条对于金融机构的保密义务进行了原则性的规定，同时排除了法律法规规定或约定的情形。该法第78条规定商业银行工作人员在工作期间泄露国家秘密、商业秘密的进行处分或追究刑事责任。令人遗憾的是，该法并未规定泄露个人金融隐私的法律责任。因此，若用户的金融信息被商业银行工作人员泄露，根据现行法律难以寻求适当的救济途径。在此情形下，用户只能以银行泄露商业秘密寻求救济，但多数情况下个人金融隐私并未上升到商业秘密的高度，用户因泄密受到的损失往往难以追究银行和其工作人员的责任。《保险法》亦存在以个人商业秘密笼统的概括个人账户信息、交易信息、财产信息的状况。《证券法》第44条规定了证券交易所、证券公司、证券登记结算机构必须依法为客户开立的账户保密。该法第136条和第147条对于证券公司的保密和内部控制进行了较为明确的规定，并规定了保密年限;第162条对于证券登记结算机构也进行了相应的规定。在有关金融信息使用方面，《证券法》规定了国务院证券监督管理机构的查询、调查和申请司法机关冻结相关违法账户的职责。对于违反法律规定的责任承担，《证券法》也进行了较为详细的规定，但同样遗憾的是，没有体现劵商及其从业人员对于泄露客户账户信息的处罚。

伴随着网络技术的高速发展和广泛应用，电子银行和网络金融产品的推广使得用户对于个人金融隐私的保护更加重视。我国法律法规对于时代的要求有所回应，但仍显“后天失调”，法律的缓慢推进难以满足飞速发展的网络信息化时代的需求。

对于网络背景下的金融隐私权保护，《电子银行业务管理办法》和《银行业消费者权益保护工作指引》有所突破。《电子银行业务管理办法》规定了金融机构有义务加强技术方面的措施以保证交易数据的安全，并明确金融机构关于数据转移的保密职责。《银行业消费者权益保护工作指引》第12条明确提出了银行业消费者的个人金融信息安全权的概念，并加以严格规定，明确了银行业金融机构向第三方提供消费者金融信息的前提条件是消费者的同意或授权。

2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过《关于加强网络信息保护的决定》，虽对网络服务中用户的隐私加以重视，但仍未注意网络金融活动的特殊性，未区分网络金融活动与普通网络服务活动的差异，亦未区分金融隐私权与传统隐私权的差异，难以体现对网络金融中金融隐私权加强保护的必要性。2014年3月14日，央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》，叫停支付宝、腾讯虚拟信用卡产品，同时叫停的还有条码(二维码)支付等面对面支付服务。紧急叫停可谓是应对层出不穷的网络金融产品难以监管的无奈之举。然而堵不如疏，叫停之后寻求以怎样更加合理的方式既能维持金融创新的势头，又能保证用户的金融隐私权，是急需解决的问题。

2014年3月，央行下发的《支付机构网络支付业务管理办法(征求意见稿)》对于支付机构客户的金融隐私权保护有了大踏步的前进，具体而详细地规定了支付机构在客户账户管理、风险管理与客户权益保护等方面的内容，立场鲜明地对客户金融隐私信息进行保护，加强支付机构的风险防范和信息安全保护义务，具有较强的先进性。社会反映比较集中的问题体现在消费者对于隐私保护和风险控制方面的支持、支付结算机构对于网络金融发展活力的担忧，我们期待在听取社会各方意见之后定稿的《支付机构网络支付业务管理办法》能制衡两者之间的冲突，维护消费者的权益。

(二)金融隐私权保护存在的问题

从前文对我国金融隐私权保护的现状分析不难看出，目前多数是从银行及相关法律层面进行规定的，以银行保密义务为基础对金融隐私权进行保护。对于金融隐私权的保护缺乏集中、明确的规定，立法内容较为分散和抽象，难以适应金融隐私权保护的现实需求，更无法适应网络背景下金融隐私权保护的特殊需求。其主要存在的问题如下:

第一，立法缺乏系统性。从上述对金融隐私权的分析可以看出，银行对客户的金融隐私权都负有保密义务，但是与一般规定相对应的立法内容却都较为笼统和抽象。对于客户金融交易信息由《商业银行法》《证券法》《银行业监督管理法》《信托公司管理办法》等法律零散地进行保护，缺乏有效性。因此，我国关于金融隐私权的立法保护不够系统，可操作性不强，难以应对错综复杂的金融交易现状。

第二，权利主体缺乏指向性。综观我国金融业法的现状，法律侧重于赋予金融机构获取客户信息的权力。纵观权利变迁的历史潮流，公权不断缩减而专门化，私权日益受到重视和保护，对于金融隐私权而言，其权利主体在当前立法中没有明确的指向性，使得个人行使金融隐私权维护人身和财产利益时存在困难。

第三，救济手段缺乏保护性。一方面，金融机构与客户处于不平等的地位，个人的金融隐私权被侵犯后，很难寻求救济渠道。由于网络金融的特殊性，客户的举证也更加困难。加之中国消费者大部分缺乏维护个人金融隐私的习惯，在传统金融交易中不注意留存单据，在无纸化无单据的网络金融中就更难以主动保存交易证据和记录;另一方面，金融机构侵犯客户的金融隐私权，恶意泄露隐私数据，虽然有罚款乃至追究刑事责任的惩罚措施，但仍缺乏威慑力。

第四，监管模式滞后性。我国网络金融的主要业务形式包括第三方支付、网络金融产品和网络借贷。较早出现的第三方支付平台以央行发牌的方式进行管理，而网络金融理财产品和网络借贷，尽管很早就受到了关注，但至今尚未受到实质的监管，仅从原则上明确了方向。国内类似余额宝的网络金融产品是网络平台加货币基金的运作模式，涉及了银行、基金、保险、证券等行业，甚至蔓延到非正规金融领域，传统的分业监管模式难以适应对于网络金融产品的监管需求。在金融产品跨行业、跨金融集团混业发展的情况下，传统的监管模式难以跟得上金融创新的发展。

三、网络背景下金融隐私权法律保护的域外经验

金融隐私权的法律规制，在域外法学界有着深厚的理论研究基础和丰富的司法实践经验。金融隐私权保护制度在金融发达国家和地区，目前已形成了系统化的金融隐私权保护制度，成为金融法律制度的重要组成部分。自2008年金融危机之后，以欧美为主的西方国家更是开展了对金融监管的大幅度改革。由于我国对于金融隐私权的传统保护有着先天不足的弊病，需要深入研究金融隐私权保护发达的国家和地区的法律制度构建。

网络金融虽然具有传播速度快、影响范围广的特点，但是网络毕竟只是金融活动的载体，跳脱不出金融活动的本质，网络背景下的金融活动也离不开对从业人员、数据传播、监管制度等方面的管理和建设，不可能脱离有形本质而完全虚拟化存在。因此，研究域外经验也将从这几个方面展开，考量各国家、地区的立法思路和监管制度架构，选取具有借鉴意义的“框架式”和“点面式”的立法规定，思考域外经验中适合网络金融大发展新形势下的制度构建，为我国完善网络背景下的金融隐私权保护提供思路。

(一)美国的金融隐私权保护制度

美国注重市场效率及数据流通，从立法模式和立法角度上来看，美国对于金融隐私权的保护有着深厚的判例模式和分行业立法习惯，在政府自我定位上美国联邦政府更多地表现出参与者的角色，与信息主体的地位较为平等且中立。

随着全球金融一体化和自由化浪潮的不断高涨，混业经营成为国际金融业发展的主导趋向。为了应对混业经营可能对消费者隐私的侵犯，美国于1999年颁布了《金融服务现代化法》，其第五章中隐私条款主要规定了金融机构应每年以书面或电子文档的形式告知客户披露其非公开个人信息的情况和程序，并规定了客户有选择拒绝权(opt-out)，即消费者有选择拒绝金融机构将其非公开个人信息与非联营第三方分享的权力，或拒绝部分非公开个人信息与联营机构分享。消费者应得到金融机构关于如何行使这项选择权的说明［5］。我国对于金融数据流通的管理可以借鉴这一模式，特别是对于金融隐私跨行业、跨集团流通，需要有充分的告知和来自于交易者的明确指示。

由于美国是联邦制国家，各州在法律法规的设定上有一定的差异，各州对于金融监管也不尽相同。为了加强统一监管以应对可能出现的系统性风险，2009年6月美国公布了《多德·弗兰克法案》，在监管模式上突出功能性监管，即以金融机构的业务进行区分监管，整体上仍然是分业监管的模式，但更多的监管权被集中到美联储。这一举措旨在推进金融监管改革，加强监管权力集中。

(二)德国的金融隐私权保护制度

德国的金融隐私权保护有着深厚的历史传统。1970年，德国黑森州颁布了世界上最早的关于个人信息保护的法律，其主要规定了政府机关的行为。1977年，德国出台了《联邦信息保护法》，主要针对消费者信用信息的利用，规定了何种数据可以存储、处理和传送。1983年，德国宪法法院将“信息自决权”(right to“informational self-determination”)确定为一项基本权利。现在，德国有16部普通的数据保护法和其他一些在具体特殊领域保护数据的法律，因此，在信息数据保护的法律上形成了细节上与技术上的结合［6］。

网络的普及以及网络金融的运用使得个人数据传播更加便捷，数据泄露对于国家和个人信息安全的威胁也日益增大。德国《联邦信息保护法》于2001年、2003年、2006年和2009年进行了四次修正，对于数据保护的内容、方法和手段进行了大幅度的调整，将对于网络技术的规范和数据传输的过程控制纳入立法视野。2009年的修正案更是增加了数据安全隐患的报告义务，并加强了对数据营销人员的监管。由此可见，网络背景下的金融隐私权保护在德国已得到充分重视，并不断强化对于数据传输和从业人员的管理。

(三)日本的金融隐私权保护制度

日本对于金融隐私权的保护有着较为完善的制度，在立法保护上可以梳理出清晰的发展脉络，在保护机制上建立了成熟的合作与规范机制，在金融业中也建立了相应的行业自律规范，这三方面有机结合，形成了“自上而下管理、自下而上合作”的金融隐私权保护模式。

在立法保护方面，日本的金融隐私权保护历经了从地方团体相关条例的制定、民间部门的指标性规范等阶段后，2003年5月30日公布了《个人情报保护法》，并于2005年4月开始全面实施。对于个人情报收集的使用目的、取得适当性、正确性确保、安全性确保、透明性确保等方面均有规定。为了落实《个人情报保护法》，并使金融业的机构和从业者有具体规范可以遵循，日本金融厅于2004年12月6日发布了《金融领域个人情报保护方针》，并于2005年1月5日发布了《金融领域个人情报保护方针之安全管理措施实务指南》。

在保护机制方面，日本建立了CRIN机制(Credit Information Network，CRIN)，用以维护个人金融信用情报安全。在CRIN机制中，全国银行个人信用情报中心主要针对银行业界，日本情报中心(Japan Information Center，JIC)主要针对消费者金融业界，信用情报中心(Credit Information Center，CIC)主要针对信用销售界，三个机构联合规范和维护金融信用和金融隐私信息的产生、传递和存储过程中的个人金融信用情报安全。1987年，在大藏省及通商产业省的指导下，三机构合作成立了个人信用情报网络，目的仍在交换并提供三个业界所保有之个人信用情报予各加盟会员，更重要的仍在防止超贷以及多重债务之情形出现［7］(P29)。1999年3月，三机构协议签订了《信用情报机关保护个人情报之指导方针》，用来作为三个机构之间自我约束规范的基准。

在业界应对方面，金融业界不断制定或修改自律规范。在《个人情报保护法》制定之前，社团法人生命保险协会和损害保险协会分别制定了《生命保险业个人资料处理指南》《损害保险个人资料处理指南》，CRIN机制也不断地召开协调会议，发布相关实施要领与细则。在《个人情报保护法》制定实施之后，全国银行协会于2004年6月修订了其自律规范，后又于2005年2月发布了《个人资料安全管理措施相关指南》。其他金融业界团体也纷纷提出了自律规范。

(四)我国台湾地区的金融隐私权保护制度

我国台湾地区目前尚无金融隐私权保护的专门立法，仅有1995年8月11日公布的《电脑处理个人资料保护法》，该法为概括性的保护法规;而金融业法规中与金融隐私权较相关者则以《金融控股公司法》及《银行法》为主;“行政院金融监督管理委员会”所属各单位所颁布的金融业办理财富管理业务应注意事项中，对于金融隐私权亦有所着墨。此外，我国台湾地区行“行政院金融监督管理委员会”于2007年7月公布的金融服务法草案则为主管机关对金融服务之首度尝试正式立法［8］。以保障金融消费者权益为首要目标之《金融消费者保护法》已于2011年通过并公布施行，该法的推出，不仅提供业者之依循规范，更使消费者之权益获得明确保障，不啻为金融改革的关键支持力量［9］。

此外，我国台湾地区已建立了全区性的信用咨询机构——金融联合征信中心，用以从事信用资料的收集、存储、交换、维护、更新和补充。机构进行会员制管理，主要业务在于提供会员电脑连线及离线的信用咨询查询服务，并受理会员机构各项信用资料的补充、更正或删除作业以及其他金融咨询相关服务［7］(P61)。在2004年世界银行对于全世界信用咨询机构的调查评比中，我国台湾地区的金融联合征信中心在调查报告中名列第一。此种机制的建立和运营方式，值得我们在今后网络金融征信系统的建设中加以借鉴。

(五)网络背景下金融隐私权保护的国际化合作

在网络金融为跨国金融流通提供便利的同时，金融隐私权保护的国际化对各国政府立法提出了更高的要求。各国金融隐私权立法的重点从单一的一体保护扩展为必须平衡好的两翼，即加强金融隐私权的法律保护和协调国际保护机制。为此，许多国家和地区的理论和实务界已经开始探讨如何对网络背景下的金融隐私权保护进行规制。

在双边合作机制方面，2000年，美国与欧盟签订《安全港协定》(Safe Harbor Agreement)。“安全港”是指美国商务部建立一个公共目录，在联邦交易委员会和美国交通运输部管辖下的任何组织，自愿遵守“安全港”的规则就可以加入这个公共目录，成为“安全港”的一员。其目标是在确保美国企业达到欧盟的较高保护标准的同时，维持美国长久以来一直采用的自律机制［10］。虽然安全港协定并未将金融机构的合作也纳入其中，但基于利用现有资源及节约新机制建立时间的考虑，将金融隐私权的保护纳入安全港协定是可行的。

在多边合作机制方面，经济合作与发展组织于1980年、1985年和1998年分别通过了《保护个人隐私和跨国界个人数据流动指南》《跨国界数据流动宣言》和《在全球网络上保护个人隐私宣言》。亚太经济合作组织会议也于2005年通过了《亚太经济合作组织隐私保护框架》。

在专业国际组织方面，巴塞尔委员会(The Basel Committee on Banking Supervision)在1990年《银行监管当局之间的信息交流》(即《巴塞尔补充协定》)中，本着母国和东道国之间互惠互信的原则建立了专项信息交流机制。1996年在《跨国银行监管》文件中，巴塞尔委员会提出了如何在国际性银行监管业务中克服制度障碍的建议。

在网络安全建设方面，截止目前已有40多个国家和地区颁布了网络空间国家安全战略。网络安全始终是网络金融和金融隐私安全的基础，因此必须保证网络这一基础得以安全有序的发展。2014年2月，美国启动《网络安全框架》。欧盟已在2014年底通过欧洲数据保护改革方案。日本、印度也都于2013年出台网络安全战略，并提出明确的目标。可见，建立可靠的国家网络安全体系是世界范围内的趋势。

四、网络背景下我国金融隐私权法律保护的完善

网络作为金融市场活动的载体，其地位越来越重要，在网络金融衍生产品层出不穷的今天，立法保护金融隐私权的需求也愈加迫切，如何选择适合我国现状的立法模式，适应网络金融发展的要求，既考虑金融机构的自由发展和运营成本，又充分保护金融消费者的金融隐私，对于能否有效构建金融隐私权保护制度是一个至关重要的问题。一方面，要保证个人金融信息的安全，保证金融隐私权不被随意侵犯，征集、传递、使用个人金融信息要有明确的法律规范，并完善救济渠道;另一方面，要适应我国目前尚不发达、不完善的个人信用体系，并保证当前金融市场的顺利发展不会因对个人信息的过度保护而受到阻碍。

吸收金融立法发达国家和地区在网络金融新环境下具有代表性的具体措施，结合我国国情，在确立隐私权的独立法律地位的基础上，统一监管机制，并在金融业法中进行分业立法，对金融隐私权进行具体的法律保护。在立法思路上，将保证网络金融市场的活力与金融隐私权的保护相结合，将对金融机构的具体规制与赋予个人明确权利相结合等。无论是出于金融机构的运营，还是出于为了客户购买的金融产品、从事金融活动产生最大的经济效益的考虑，客户的资料在金融机构及网络载体之间的流通都是不可避免的。因此，应当正视网络的载体作用，从根本上加强对于传统金融隐私权的保护、加强金融监管，同时不忽视网络背景下的金融隐私权保护的新需求，处理好网络金融发展中亟待解决的问题。

(一)严格网络金融监管、实行网络金融产品审批制

层出不穷的网络金融创新产品，突出问题是难以监管、过于自由，未经监管部门的审查便直接推出市场。一款创新型的金融产品能引发整个行业的跟风效应，出现问题之后再进行法律规制对于金融风险的控制和消费者金融隐私权的保护未免有亡羊补牢之嫌。因此，应该严格监管机制，明确对应的监管部门，制定高位阶的法律，规定网络金融创新产品应有相应的审批程序，在推出市场之前就经过审查，管理部门需对其作出限制，制定用户保护措施。同时为了避免因审批而造成的网络金融创新速度减缓，应简化审批程序，只做形式审查，重点审查对于用户的金融隐私权的保护和金融风险的控制。

(二)明确金融机构的法律义务与责任

第一，明确金融机构在数据的收集、使用、传递、存储和更新中的义务。金融机构在收集和使用客户金融数据时负有告知的义务，需要让客户充分了解和明确其信息的使用目的和使用范围。随着金融业混业经营的发展，随着交易跨越不同的金融机构，客户资料也必然在不同金融机构之间传递。为了应对金融隐私资料跨机构或跨行业传递，以及传递后的二手资料的使用和再传递，应当制定较为严格的规范。对于金融隐私信息的存储，金融机构应建立良好的数据信息存储空间，并保证其安全性。当客户的金融隐私信息有变化时，客户通知金融机构，金融机构有即时更新并保证金融信息即时性和有效性的义务。

第二，加强网络技术风险控制的法律规定。网络金融建立于电子信息化的网络技术平台之上，因此除了传统的管理风险之外，金融机构还面临了更多的技术风险。根据美国2010年的调查，有超过六成的网民发现网络运营商会根据他们的浏览记录推送与之相应的广告［11］。这样的情况在我国也屡见不鲜，浏览器与网络运营商的后台收集、存储了用户大量的浏览记录甚至于交易记录。随着电子技术的广泛适用，日新月异的电子技术手段参与到金融活动中，如电子签名、手机支付等，但法律的发展速度往往难以与信息技术的发展速度相匹配，在损害救济方面往往缺乏具体、明确的规定。现有的风险防范方式多以交易时用户手中的硬件设备二次确认来进行，如网银盾、口令卡、电子口令等，但对于金融机构后台存储的信息和账户资料的保护仍有待加强。因此，需加强金融机构对于技术风险控制的法律规定，强化网络金融交易平台的安全性能，防止因外部技术侵害造成的客户金融隐私信息的泄露和损失。

第三，明确金融机构在责任承担方面的规定。我国目前缺乏专门的对金融机构侵犯客户金融隐私权应承担的责任的规定，客户的金融隐私信息受到侵犯后，金融机构的责任承担基本都表现为罚款等方式。

当前金融机构面临着来自外部和内部的风险压力，为了招揽客户，很多金融机构打出“先行赔付”“本息赔付”的概念，但这些始终是金融机构自我约束的方式，且更多的带有格式条款的性质，金融机构有较大的自由空间，缺乏行之有效的上位法律规定金融机构责任承担的方式。

如果是由于金融机构内部的故意或疏忽造成客户的交易信息和信用信息的损害，应由金融机构承担客户金融隐私权受侵害的损失。如果是由于外部第三人非法侵入金融机构的交易系统，对于客户的金融隐私权造成侵害，由于金融机构具有加强技术风险防范和保证客户信息资料安全的义务，加之金融机构与客户处于不平等的地位且能力也有所不同，对于外部风险造成的损失也应由金融机构来承担。

(三)引入“选择加入”与“选择退出”模式

金融行业混业发展造就了金融集团，我国已经出现了中信集团、光大集团、平安集团等大型金融集团，花旗集团、高盛集团等外资金融集团也纷纷进入我国市场，借助网络金融大发展的东风，这些旗下拥有银行、保险、证券、信托等金融业务的大型金融集团掌握了大量的客户金融隐私信息，金融集团之间信息共享的问题也需重视。美国《金融服务现代化法》中对于“选择退出”(opt-out)模式进行了规定，也引发了学界关于客户在与金融机构交易时“选择退出”与“选择加入”(opt-in)模式的讨论，讨论的焦点集中于金融机构运营成本的承担、消费者获得金融服务的便捷性与是否利于客户金融隐私权的保护这些方面。我国目前尚无明确的“选择退出”或“选择加入”模式，因此，可以引入“选择退出”与“选择加入”机制，并采取综合性的运作模式。

金融集团、金融行业内的数据流动和使用可以由客户“选择退出”，即只需要客户明确“退出”某些金融机构之间的数据流动即可，而在客户未选择退出的机构中，金融隐私信息可以自由流动。这样首先利于客户了解个人金融隐私信息的流向，其次也利于金融行业减少运营成本。

跨集团、跨行业的数据信息流动和使用可以采用“选择加入”模式，严格规范跨行业的数据流动以及二手数据的使用，即客户明示选择“加入”的金融行业或机构，则该客户的金融信息可以在其选择的行业或机构之间流动和使用，这样有利于金融机构的分业监管，也有利于客户明确选择金融隐私信息可以传递和使用的行业或机构，充分保障客户的知情权。

(四)发挥金融行业的自律作用

作为网络金融活动的新兴产物，第三方支付平台以服务型中介机构的作用出现在金融活动中。2010年，央行对第三方支付平台已经开始以发放牌照的方式进行监管。然而网络平台上的金融集团、非正规金融部门良莠不齐，加之网络金融的组成行业众多，发展趋势呈混业经营的方向，单纯的以分行业准入监管的形式对金融机构进行监管，难以适应迅速发展的网络金融市场。对于这样的现状，我们应当创新监管机制，并充分发挥行业的自律作用。

我国台湾地区的金融联合征信中心的机制设立和日本的“隐私标章”(priacy mark)制度对于我国有一定的借鉴意义。金融联合征信中心的会员制管理，在某种程度上是以自律为主要依托的新型监管机制，消费者在选择金融机构时会更倾向于选择已经加入了金融联合征信中心的金融机构，而金融联合征信中心对于会员的管理也保障了金融机构的合理合法运营。日本的“隐私标章”制度的目的有两:提供消费者于交易之际，可以获得何者为重视妥善保护个人情报的经营者的判断方法，并在辨识过程中也会无形的提升消费者保护自我个人情报之意识，此其一;提醒业者在致力于追求个人情报自由流通之时，同时也应落实个人情报保护措施，此其二［7］(P13)。经过“隐私标章”认证的金融业机构，会将标章在其金融活动中以显著的方式标明，以此来显示其足以被信赖。

我国金融行业可以借鉴以上两种方式，发挥行业的自律作用，一是可以作为法律的补充，更大程度上保护客户的金融隐私权;二是对于行业的自我建设起到一定的推动作用，利于金融业界的良性发展。

(五)加强网络金融安全建设和顶层设计

2014年2月27日，我国中央网络安全和信息化领导小组成立，这既是对全球范围内的网络空间国家安全战略建立趋势的呼应，又是促进我国网络金融良性发展的重要举措。金融隐私权能否得到有效的保护决定了用户对于网络金融长足发展是否具有信心，金融创新能否良性发展有赖于金融监管的模式选择。在目前我国银、证、保深度交叉融合的金融环境下，是否要大部制改革尚有待讨论，但对于金融监管需要统一监管机制，具体实施可以在金融业法中进行分业立法，以达到整体统一、具体可行的金融隐私权保护。同时可以借鉴国际经验，参与金融隐私权保护的国际化合作。我国应该努力发挥国际作用，推动亚太地区金融隐私权保护统一标准的构建。积极进行双边和多边协作，推动巴塞尔委员会等专业国际组织制度的制定进程，与金融立法发达国家和地区搭建经济交易和金融隐私权保护的桥梁。

［1］谈李荣．金融隐私权与信用开放的博弈［M］．北京:法律出版社，2008．

［2］齐爱民，陈文成．网络金融法［M］．长沙:湖南大学出版社，2002．

［3］齐爱民，刘娟，张素华，等．网络金融法原理与国际规则［M］．武汉:武汉大学出版社，2004．

［4］凤凰财经综合．互联网金融监管分工划定:P2P网贷由银监会负责［EB/OL］．［2014-03-13］．http://finance．ifeng．com/a/20140311/11860070-0．shtml．

［5］鲁明易，黄嘉璐．美国《金融服务现代化法》隐私条款述评及启示［J］．金融理论与实践，2005，(4)．

［6］YBARRA L．The E．U．Model as an Adoptable Approach for U．S．Privacy Laws:A Comparative Analysis of Data Collection Laws in the United Kingdom，Germany，and the United States［J］．Loy．L．A．Int'l＆ Comp．L．Rev，2011-2012，(34)．

［7］李智仁．日本金融隐私权保障规范之发展——兼论我国面临之问题与对策［J］．国立中正大学法学集刊，2005，(19)．

［8］林育廷．金融隐私权保障与财富管理发展之冲突与协调——兼评美国与台湾之规范政策［J］．科技法学评论，2007，(2)．

［9］李智仁．金融服务业行销监理规范之台湾经验［J］．月旦财经法杂志，2012，(31)．

［10］颜苏．金融隐私权保护国际合作研究［J］．理论界，2011，(2)．

［11］KUHLMANN S．A．Do not track me online:the logistical struggles over the right“to be let alone”online［J］．DePaul J．Art Tech．＆Intell．Prop．L，2011-2012，(22)．