大数据背景下的金融消费者隐私权保护

朱 曦

中央财经大学法学院

大数据背景下的金融消费者隐私权保护

朱 曦

中央财经大学法学院

我国金融行业的不断发展，金融消费逐渐普及，日益成为人们生活中的重要内容。以大数据为代表的新兴技术发展，使得金融消费者个人信息、金融信息等常常遭到泄露，金融消费者隐私权侵权易发高发。鉴于此，有必要从法律层面对此加以审视。目前，我国金融消费者隐私权保护机制还存在诸多制度性缺失。为弥补其缺陷，应着力将立法完善、金融机构义务强化以及疏浚权利救济途径等有机结合起来。

大数据；金融消费者；隐私权；保护

20世纪中叶以后，以计算机、网络等为基础技术取得了长足发展，人们对信息存储和处理能力显著提升，人类社会逐步由传统的低密度数据同期处理技术阶段迈入依赖于网络信息系统的“大数据(Big Data)时代”。一般认为，“大数据技术”是指基于海量、来源多样化的数据集合，通过云计算的数据处理与应用模式，快速获取、处理、分析等手段形成的智力资源和知识服务能力，大数据具有数据规模大(Volume)、数据种类多(Variet)、处理速度快(Velocity)、价值密度低(Value)等基本特征。①

近年来，出现几起较大的金融服务机构泄密事件证券股民信息被泄露甚至被公幵叫卖事件。随着我国以移动支付产业的发展，蚂蚁金服，微信支付、百度金融及相关金融服务产业对于金融消费者消费数据及个人信息、账户情况等信息更为集中，信息暴露风险敞口急剧扩大。面对大数据技术进步带来的冲击，我国对金融消费者隐私权进行保护的法律制度架构尚处于萌芽阶段，仍存有诸多尚可玩完善之处。由此，本文拟讨论上述问题并提出因应之策，希冀能于完善金融消费者隐私权法律保护制度构建有一二之功用。

一、“金融消费者隐私权”概念之辩

(一)“金融消费者”概念的提出

尽管“消费者”一词已为人们耳熟能详，但金融消费者这一称谓在我国仍属新兴名词，为学术界所争相讨论的对象。②一般认为，金融消费者系指消费者于金融领域中之延伸，金融消费者接受金融市场服务商提供的金融类产品或服务，金融消费者与金融市场服务商比较而言，位于劣势，有普通消费者的一般征象。然而金融消费者固非传统消费者，金融市场中的购买行为自某种意义下当属投资理财行为，其较一般消费者而言则具有一定的异征。

银行业监督管理委员会于2006年颁布的《商业银行金融创新指引》系我国首次于官方层面提及“金融消费者”这一概念。2008年以来，尤自2012年“券商创新大会”以来，金融创新引致的结构化设计、层次关系复杂化的理财产品和金融衍生品层出不穷，金融机构间的并购整合集团化进程，两者相互促进共同推动我国金融零售市场广泛形成。金融创新和金融混业地双向深化导致投资者的身份发生转变，由此，金融消费者这一定义由概念转为现实。金融消费者的认定可以从广义和狭义两个角度进行把握，广义而言，金融消费者的认定有如下关键：一系自然人，法人或其他组织不能成为金融消费者这一概念的指向主体；二是需购买金融商品或接受金融服务；三要求上述产品或服务地提供者为金融服务商，一般的民间借贷因其发生于民事合同领域，将其借款方归入消费者进行保护存在天然地现实障碍。狭义而言，金融消费者系指从银行、证券、保险及信托等金融服务商处购买金融产品或接受金融服务的自然人。③

(二)“金融消费者隐私权”的内涵

隐私权(right to privacy)一词肇源自美国，系由沃伦(Warren)和布兰迪斯(Brandeis)两位学者于《哈佛大学法律评论》1890年第4期共同发表的论文“The R ight to Privacy”中首倡，二者认为“隐私权是个人在通常情况下决定他的思想、观点和情感在多大程度上与别人交流的权利，在任何情况下，每一个人都有被赋予决定自己所有的事情不公之于众的权利，都有不受他人干涉搅扰的权利。”

逾百年过去，社会经济不断发展、人们观念也发生着深刻地转变，隐私权的内涵愈为丰富，其权利边界不断扩张，出现了“金融消费者隐私权”的概念。一般认为，金融消费者隐私权系指金融消费者所享有的、与公共利益无关的个人金融账户资料、金融交易数据以及因金融消费行为所提供的其他信息等依法受到保护，不为他人非法侵害的权利。④其与传统隐私权的区别在于，金融消费者隐私权的权利客体集中指向含有财产利益的各类金融信息，可细化分为：设立金融账户的有关信息，如消费者本人和金融账户地指向关系，金融账户的交易情况、资金或金融财产数量等;金融账户交易的有关信息，如账户交易的对手方、数量、价格及交易时间等信息;金融服务商因开设立金融账户或账户交易而知悉的关于金融消费者的任何信息。

二、大数据背景下金融消费者隐私权保护的困境

(一)金融消费者隐私权保护的立法缺失

1、概念缺失

金融消费者隐私权作为一项新兴的民事权利，其上位权利“隐私权”在美国和欧洲一些国家宪法中得到明确承认，形成了以最高法的形式确立保护的制度基础。迈入大数据时代，为因应金融消费者隐私权保护这一新课题，域外各国和地区立法都作出很大的努力并取得了一定的进步。相关立法例情况如下：

时间 国家或地区 立法例1978年 美国 《金融隐私权法》1986年 美国 《联邦电子通讯隐私权法案》2003年 日本 《个人信息保护法》2010年 台湾地区 修订《个人数据保护法》

然而，我国宪法并没有对隐私权加保护加以确认，单是以列举了几项具体情形下的保护原则。2009年新颁布的《侵权责任法》系我国首次从法律实质层面上提出“隐私权”这一概念，然而该法亦仅于第二条中提及隐私权这一名词，我国现行立法并未以以法律的形式确定隐私权的实质、具体内涵。“隐私权”之规定尚且如此粗糙，遑论“金融消费者隐私权”这一下位权利。

2、相关法律法规原则性强，规定不完备

美国于1974年颁布《隐私权法》、1978年颁布《金融消费者隐私保护法》，这两个法案构筑起美国金融消费者隐私保护的基础屏障。此外，美国联邦政府和各州政府以两个法案为蓝本为金融消费者隐私权保护设定了详实的实施细则，针对金融消费者隐私权保护从侵害防范、保护规则执行、侵害救济等层级均细致设计，实现了对金融消费者隐私权的多方位、全过程的完整保护链条。反观我国，目前存续的相关法律法规原则性强，操作性缺失。以我国《储蓄管理条例》第5条和《商业银行法》第29条为例⑤，此二者均仅原则性地规定商业银行负有的针对储户的保密义务，从实际实施的方面来看，缺乏义务人的具体范围和保密义务的实施准则。另外，法条规定亦不是十分完备，凡举一例，《商业银行法》第53条规定“商业银行的工作人员不得泄露其在任职期间知悉的国家秘密、商业秘密”，此即使得金融消费者的个人隐私信息排斥在保护范围之外，再者工作人员的规定不够明确，仅限制工作人员，范围亦过于狭隘。

3、监督机制混乱，监管失灵

从现行的体制安排上，我国对金融市场的监督管理的权责赋予给了“一行三会”。这即使得多龙治水的局面发生，因监管思路的不同，金融消费者隐私权的保障机制变得纷繁迥异，不同金融产品的消费者因此所受到的保障措施不同。与此同时，金融创新正使得金融产品的层次变得复杂，同一个金融产品的结构中可能包含有信托计划、资产管理计划等，此时该产品将面临较为笼统的混合监管，金融消费者隐私权的保护更显复杂，监管失灵的情形极易发生。

(二)金融消费者隐私权救济途径不完善

“无救济，无权利。”由此，构筑金融消费者隐私权保护机制制度的关键一环即是为金融消费者在权利遭受侵害时提供适切的纠纷解决机制，疏浚司法救济途径。2013年修正的《消费者权益保护法》扩张了消费者的概念，将金融消费者归入一般消费者进行保护，有效改观了以前金融消费者保护“法无依据”的局面，实是一种进步，值得肯定。然而，在救济途径的套用上我国现行保护机制还有很多欠缺，主要体现在以下两点。

1、缺乏对金融消费者权益保护的专门机构

金融消费者作为消费者群体中的一部分，固然有其本身的特殊性，但其与金融服务商相对比，在隐私权遭受侵害的场合，其自身议价能力较弱，处于劣势，此种情形与普通消费者之境遇无异。固其自身权利的保护中应当有类消费者协会的组织监督，此种监督，一来避免金融服务商对金融消费者隐私权益的侵害，二者，可以为金融消费者在维护自身合法的隐私权益提供支持。针对金融消费者保护法律制度的特殊性，英美两国设立专门的金融消费者保护局单独对其进行保护。纵观我国金融领域的机构设置，尚未有专门的机构或组织对金融消费者的权益进行保护。一方面是日益增长的金融消费者群体及其维权诉求，另一方面是监管人缺位的尴尬事实，不得不说金融消费者权益保护任重而道远。

2、法律责任分配模糊，诉讼救济成本较高

“司法救济是权益保护的最后一道防线。”在金融消费者权利遭受侵害，请求救济的场合，因其金融服务商的法律关系认定为一般的合同关系。其裁判规则和举证责任的分配大抵是按照合同案件来进行划分，使得本已处于相对劣势的单个金融消费者维权成本更为加重。此外，诉讼作为纠纷解决机制中的最后一环，其周期相对较长，成本较高，会使得遭受侵权的普通金融消费者选择息诉不争，矛盾郁结。短期看，固可维持安平祥和的金融市场局面，长期而言，却会金融消费者在交易时更为谨慎，甚至压抑交易动机，增加社会的沟通成本和金融效率。

三、金融消费者隐私权保护的制度架构

一项法律制度的架构是从无到有，逐步完善的过程，我国目前关于金融消费者隐私权保护与现实的需求相比，存在着规定不完善，内容不切当，重复规定或者互相冲突等问题。解决好这些问题的关键应在于做好金融消费者隐私权保护制度架构的顶层设计，历史的经验告诉我们，金融市场除却是一个交易双方市场外，也是一个由国家紧密关切，需要着重监管的市场。这也就意味着，这一市场中的重要参与者金融消费者的权益保护不能仅靠私法领域的意思自治，还应在必要的时候允许国家行政力量的介入。同时，金融消费者隐私权保护制度的落地还应着力借力于金融行业自律，多元的纠纷解决机制的建构。

(一)立法完善：公私法整合的路径主线

金融消费者隐私具有横跨“公私两域”复合性⑥之特征，此即表明在“大数据时代”，附着于“金融消费”这一行为上“私人”和“公益”两种属性联系、交叉得更为密切。“大数据时代”技术革新促使金融消费者隐私权保护诉求不断增加。此时，检视私法对隐私权的保护措施和成效，推动公法审慎介入，构筑切合时代要求的金融消费者隐私权保护制度意义重大。

“大数据时代”，金融消费者隐私侵害情形既发生在私法空间，也发生在公有领域，作为整个金融市场的监管枢纽和中心，有权机关其对于市场运行及市场行为参与者的信息把控能力最为强大。因此，为防范有权机关的违法侵害，金融消费者隐私权的行政法保护显得尤为重要。请读者注意的是，公法介入金融消费者隐私权保护，并不意味着否定传统的“私法保护”模式，只是在部分例外场合下，给予受侵害的金融消费者更多的救济途径。“私法保护”模式注重在侵权视角下对金融消费者进行保护；“公法保护模式”则具有一定程度上的约束功能，限制公权力机关对于金融消费者隐私权的非法侵害。唯有将此两种保护模式良好地链接在一起，才能形成有效地金融消费者保护制度。

(二)强化金融服务商的义务及责任承担

金融市场中，金融消费者的隐私信息总是被动掌握在处于信息优势地位的金融服务商手中，这也是金融消费者隐私权屡遭侵害不可避免的主要原因。因此，通过立法强化金融服务商保护金融消费者隐私的法定义务及相应的责任承担是保护金融消费者隐私权的客观要求。

金融服务商在金融消费者隐私权的保护中应强化的义务有如下几种：(1)保密义务。除非有法律上的依据或者经过金融消费者的明确同意，否则金融服务商不得将自己掌握的与金融消费者有关的隐私信息向任意第三人披露。(2)通知义务。美国《个人信息保护法》在其第五部分规定：“金融服务商在与消费者建立业务关系之初及其后至少每年一次，应以书面或电子形式向消费者提供一份清晰、醒目的有关本机构隐私政策与惯例的通知。”此即意味着金融服务商在与金融消费者建立合同关系之后，负有定期向金融消费者告知其所掌握的金融消费者隐私信息的保密情况。(3)信息安全保障义务。在提供商品或服务过程中获取的金融消费者的私人信息金融服务商除应当保密之外，还需采取相应的技术措施和其他必要措施以保证信息安全;(4)信息再使用的限制义务。金融服务商不得将己获取的金融消费者隐私信息再次使用，除非法律上的规定或为金融消费者本人的需要。

“民事权利和民事义务只有与民事责任相结合，权利才能受到责任关系的保护。”唯有立法明确规定金融服务商在违反上述义务时因应承担的法律责任，才有助于金融服务商履行其法定义务，从而保障金融消费者隐私权全面保护这一目标的实现。

(三)救济途径完善：诉与非诉并举

1、优化非诉纠纷解决机制

目前我国实际情况看，在一般性的侵权场合，金融消费者通过诉讼维权的积极性不高，盖因诉讼周期较长，侵权举证较难，因隐私权侵害引致的法律纠纷更是如此。实践中可引入类似消费者协会(为方便称呼，文中称之为“金融消费者权益保护协会”)参与解决协调，促进纠纷解决。原因有二：一者是便利司法，节省司法资源；二者则是因为此种模式在国内一般消费者场合适用多年，有着较为成熟的实践经验。具体操作上，参照消费者权益保护协会的纠纷解决模式，先由金融消费者与金融服务商自主协商，协商无果的，金融消费者权益保护委员会支持其提起诉讼。该委员会还可以针对各金融服务商的不良行为进行信用评价，向社会公众公开，借以约束各金融服务商的行为。此外，还可以赋予金融监管机构一定的权限，使其对金融服务商履行义务做出监督，并可对金融服务商的侵害行为做出处罚。

2、完善司法救济途径

经济人的理论假设前提，使得金融消费者在面对自身权益遭受侵害时需要对维权成本进行权衡，金融交易讲求效率。诉讼作为最终的纠纷解决工具，其本身的经济性是金融消费者在侵害发生后是否会选择的关键原因。程序上的复杂性、举证责任的分配均需认真

下转(第4 8页)