互联网金融环境下个人信息保护的法律构建

明乐齐

(云南省公安厅，云南 昆明 650031)

随着互联网时代的到来，公民个人信息已经渗入网络生活的各个领域，特别是在网络金融环境下，公民个人信息的利用为互联网经济的发展带来了蓬勃生机。但是，公民个人信息泄露、被盗和被出售的现象也随之凸显，并逐步形成了一条集获取、加工、交易和犯罪的“黑灰产”链条，社会危害巨大。从2016年至2018年8月，全国公安机关查获公民个人信息泄露的数量超1400亿条，按全国14亿人口计算，每个人平均100多条。2016年破获侵犯公民个人信息案件1868起，到2017年上升至4911起，且案件数量逐年呈上升趋势[1]。网络金融中个人信息泄露案件高发，犯罪性质恶劣，社会危害严重，给人民群众的人身及财产安全造成了极大的威胁，严重影响社会治安稳定。

一、个人信息保护的法律内涵和界定

(一)个人信息

我国《网络安全法》第七章附则中第五条规定：个人信息，是指以电子或其他方式记录的，能够单独或与其他信息结合以识别个人身份的各种信息。包括姓名、出生日期、身份证号码、个人生物识别信息(如指纹、面部识别[2]、视网膜扫描)、地址、电话号码及其他相类似的个人资料等。尽管《网络安全法》对个人信息的概念进行了明确规定，但该法重点在于规范保护个人身份识别性的信息要素。因此，个人信息也可以是以电子或者其他方式记录的、能够单独或者与其他信息结合识别自然人个人身份的各种信息。

(二)当前我国网络金融个人信息保护的法律界定

在大数据时代和互联网金融环境下，信息社会的发展进入了新的历史飞跃，然而侵犯公民个人信息的犯罪行为也如雨后春笋般涌现。随着侵犯公民个人信息犯罪的频发，对侵犯公民个人信息行为的制裁方式与范围的规定也在作相应修订、调整和完善，更进一步确立了加强互联网金融中公民个人信息立法保护的重要地位。一是在《商业银行法》中首次以法律的形式建立了金融机构为存款人个人信息保密的法律原则；二是在《刑法修正案(七)》中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪；三是在《关于加强网络信息保护的决定》中规范和确立了公民个人电子信息的保护原则，明确了任何组织和个人不得窃取、出售或者非法提供公民个人信息；四是在《关于修改〈中华人民共和国消费者权益保护法〉的决定》中强调，消费者享有个人信息依法得到保护的权利，还规定了侵害消费者个人信息的责任追究制度；五是在《刑法修正案(九)》中，修改扩大了犯罪的主体范围，由犯罪的特殊主体改为一般主体，并增设了从重处罚的规定要求；六是在《网络安全法》中明确了网络运营者处理个人信息的规则；七是在《民法总则》中规定了个人信息受法律保护，确立了个人信息的独立民事权利地位；八是在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对侵害网络金融个人信息的定罪量刑标准和相关法律适用问题进行了规范；九是在《检察机关办理侵犯公民个人信息案件指引》中规定，在办理侵犯公民个人信息刑事案件时，应注意侵犯网络金融个人信息行为审查的要素[3]。

二、网络金融个人信息泄露的主要原因

近年来，互联网金融已成为泄露个人信息的重灾区，尤其是一些理财网站、网贷平台、催收公司等利用获取的个人信息从事违法活动，导致暴力威胁、绑架勒索、恐吓骚扰受害人的案事件屡见不鲜。据艾媒咨询(iiMedia Research)调查统计，2018年数据泄露事件持续高发，包括Facebook数据泄露事件、华住酒店集团数据泄露事件等，有近50亿条个人信息被泄露，我国超八成受访者曾遭遇个人信息泄露问题[4](见图1)。其中，互联网金融个人信息泄露比例达到三分之一以上，由个人信息泄露引发的网络诈骗、敲诈勒索和讨债绑架致人伤亡的案件与日俱增。互联网金融个人信息遭受侵犯的范围广、涉案种类多、信息量大，包括网民的家庭情况、网购记录、车房信息、住宿信息、购票信息、网银信息、贷款记录、个人简历以及网络注册账号、密码等，基本上是包罗万象、应有尽有(见图2)。

(一)网络电商恶意泄露个人信息现象严重

近年来，随着互联网的快速兴起，网络购物方兴未艾，但是网购消费记录遭遇泄露事件日益突出，严重侵害消费者的利益。网购假客服诈骗手段五花八门，行骗时编造的理由，除了以产品有质量问题可退款外，还包括订单延迟交易、支付不成功，或误归为批发商、升级为白金客户会员需要退款等等。2016年8月，云南昆明吴先生的妻子接到一个以“189”开头、归属地为江苏无锡的电话，对方自称是某电商平台客服，询问其是否在7月19日购买过纸尿布，称这批产品存在荧光剂质量超标的问题，会引起宝宝不适，表示将要退货退款，随即引导吴太太按要求填写银行账号、验证码和密码等，结果导致吴太太银行卡里的8万多元被诱骗盗走。据21CN聚投诉平台统计，2018年全年，网络电商平台被指信息泄露致使用户受骗的投诉达51起，投诉人损失金额多的达56万元，消费者因网购导致个人信息泄露遭受的损失触目惊心[5]。

图1 2018年网民遭遇个人信息泄露占比统计

图2 2018年互联网金融个人信息泄露情况统计

(二)金融平台过度采集导致信息泄露严重

公民个人信息被网络理财等平台过度采集甚至诱惑采集的情况十分突出。公民个人信息一旦被售卖，就不再是原来简单地被用于各种经营性推广，而是更广泛地被用于网络诈骗、网络恐吓、暴力讨债、网络盗窃等各类网络违法犯罪活动中，社会危害性极大。尤其是当前比较活跃的P2P网贷平台，众多借款人手机相册相继被催收公司破解，借款人收到自己生活照片被P，更可怕的是，有的暴力催收公司不断群发孩子的生活照片，还把孩子的生活照P成淫秽图片群发。上述恶劣行径严重影响和骚扰了借款人，引起了全社会对个人信息的关注，互联网金融平台也因此变成众矢之的。在江苏南京某高校就读的大三学生小李，两年前曾经在消费金融平台“爱又米”上注册并进行小额借贷。暑假期间小李接到自称是“爱又米”客服的电话，要求他转4000元以清除先前的借款记录，否则会影响个人征信。当客服准确无误说出他的姓名、身份证号码、电话号码和QQ号时，小李就觉得自己的个人信息他们都知道，肯定没有问题，就这样被骗上当，遭遇诈骗[6]。

(三)黑客攻击窃取个人信息数据事件频发

黑客盗取公民个人信息，导致公民的生活、工作和个人利益受到严重影响。2018年初，犯罪嫌疑人付某利用购得的黑客软件攻击各系统漏洞，非法获取公民个人信息200多万条，在网上打包售卖，获利上千元。付某被抓后交代出了购买软件的线索，警方顺藤摸瓜，意外牵出一个更大的网络侵犯公民个人信息案。通过技术侦查，锁定了广东一名高三学生刘某。刘某通过自学计算机技术，掌握了独立编写软件程序的技能，把自己“修炼”成一个精通网络技术、盗窃公民个人信息的黑客。刚满18岁的刘某已经做了这辈子很多人都做不了的一件事情：在一个月之内，盗取了1亿条公民个人信息。等待这位“学生黑客”的将是法律的严惩。

(四)内鬼监守自盗导致个人信息泄露案事件暴增

在警方侦破的互联网金融信息泄露案件中，在相当一部分嫌疑人是涉及金融消费、理财网站、车辆保险等行业的企业内部员工，暴露出部分网络金融企业信息安全保护和内部管理存在诸多漏洞。在地下数据产业链中，黑客和金融公司、企业内部人员将公民个人信息窃取后进行出售，由中间买家或称“大数据公司”进行数据清洗、整合，形成精准数据，最后卖给市场上有相关数据需求的下游客户。2017年，全国公安机关在打击整治网络侵犯公民个人信息犯罪专项行动中，累计侦破网络侵犯公民个人信息案件4911起，抓获犯罪嫌疑人15463名，打掉涉案公司164个。其中抓获包括银行、教育、电信、快递、证券、航空、电商网站等行业利用工作之便窃取、泄露公民个人信息的各部门、各行业内部的涉案“内鬼”831名[7]。

三、网络金融中个人信息立法保护的困境

在互联网金融环境下，随着网络金融业务的蓬勃发展，个人金融信息被窃取和滥用的现象层出不穷。而政府相关部门过多关注前信息时代的理论借鉴，加上立法保护滞后、刑法保护被动和民事司法救济缺失等，导致法律保护实践困难重重。

(一)立法保护的相关法律法规不健全

1.网络金融个人信息无定义。我国的现行立法中至今没有对网络金融个人信息给出一个完整的定义和解释，因此，对什么是网络金融个人信息，其内涵与外延分别是什么，还没有法律依据可言可查。试想连基本的定义都没有，就更谈不上对不同的网络金融个人信息进行分类法律保护和指导了[8]。

2.立法保护的法律体系欠缺。我国还没有形成一个完整、系统、条理清晰的法律体系来对互联网金融消费者的个人信息进行保护规定，存在个人信息的法律要素界定不清、法律救济机制不完善等问题。在网络安全日益成为各国关注焦点的金融信息新时代，有必要构建具有充分保护价值的网络金融个人信息法律保护体系。

3.缺乏相互间的协调和统一性。当前，我国对网络金融中公民个人信息保护的规定散见于众多规范性法律文件中，内容缺乏统一性，相互缺乏衔接性，对各种权利的界定不明确[9]。

4.法律的效力和层次不高。特别是类似于网络借贷催收中因个人信息泄露引发的暴力伤亡案件，仅靠国家行政法规和部门规章来规制约束是远远不够的，缺乏强有力的法律专门制裁手段对此加以约束、管控和打击。

5.事后救助的机制不健全。我国现行法律规定对侵犯公民个人信息的犯罪是以惩罚为主的，对受害者的救济与补偿法律并没有明确要求。由于缺乏有效的救济机制,导致网络金融领域因个人信息泄露遭受侵害的受害者无法得到侵权人的明确责任补偿，使得现行所有的相关法律法规成了空洞许诺。

(二)网络金融平台的管控措施不完善

在现行法律体系下，无论是传统网络金融展业，还是新型的网络金融平台，在公民个人信息保护方面基本上都是放任自流的。

1.网金平台依靠政府倾向明显。当前，我国众多的互联网金融平台在现实运行中都存在对公民个人信息流失、泄露视而不见的现象，没有严格的保护制度和措施，基本上是政府职能部门和司法机关冲在前面。

2.网金平台主体责任不落实。当网络金融消费者遭遇个人信息泄露等不法侵害后，经常遇到的问题是投诉无门，网络金融机构和平台不管不问，不落实主体责任。

3.网金平台证据“保全”不足。由于侵犯个人信息的行为不属于《最高人民法院关于民事诉讼证据的若干规定》第四条规定的举证责任倒置的情形，仍然遵循“谁主张，谁举证”的一般原则，因此，在互联网金融领域，由于信息的严重不对称，网络金融消费者个人往往难以举证，甚至对其个人信息有所控制的互联网金融机构可能不止一家，用户虽然发现自己的个人信息被泄露，因网络金融平台、理财公司对证据不重视，受害人无法确定被告而难以启动诉讼程序[10]。

4.平台机构救助的机制缺失。网络金融平台、理财公司缺乏相应的救济补偿制度与措施支撑，公民个人信息遭遇泄露之后，如何对金融平台或机构进行追责、索赔，甚至追究连带责任等，法律法规并没有明确要求。因此，消费者维护自己权益任重道远。

(三)网络金融监管的防范保护不到位

1.监管缺位。在公民个人信息的监管保护体制中，政府各级职能部门、互联网金融机构等主动承担监管责任方面做得不到位，主管部门不明确、不清晰，现有的配合监管的部门职责不统一，沟通不畅，监管无序，打乱仗现象比较明显。

2.权责不明。当今，互联网金融、大数据、人工智能迅猛发展，但在银保监会、证监会、人民银行等赋有金融监管职能的机构内部之间信息共享程序复杂，分头监管的模式无法对互联网金融中出现的新情况、新业态加以协调规制，分业监管的权责不确定、不明晰。

3.立法缺失。现有的法律仅就监管部门的职责提出高屋建瓴的规定，操作起来困难重重。尤其是网络金融监管部分受“法无明文规定不可行”原则的约束，不能随意滥用行政执法权。目前我国金融监管部门在网络金融消费者个人信息保护方面无法可依，导致能处理互联网金融机构侵犯个人信息的行政手段比较少。尽管法律对金融机构泄露金融消费者个人信息的行为规定了处罚要求，但处罚的手段大多仍然是以约谈、通报为主，这些行政处罚手段对网络金融机构来说惩戒力度较弱，缺乏对违法使用行为进行有效的约束[11]。

4.创新不够。面对日新月异的互联网金融新业态，特别是金融业大数据的应用，如何防范各种挑战，真正有效保护公民个人信息是值得深入思考的问题。而我国目前的多功能网络金融监管队伍动能不足，现有的监管部门无法完全覆盖互联网金融的新业态、新变化，导致网络金融消费者更多碎片化的个人信息被不法分子搜集、贩卖和利用。而传统的金融监管方式对网络金融个人信息保护又束手无策。

5.监管困难。随着网络金融、跨国网络金融机构的兴起，国际大数据中心和网络国际服务中心的出现，网络金融机构的服务范围由本地扩展到全国甚至全球，使国内金融市场与国际金融市场连成一体、无缝衔接，网络金融活动突破国界限制，形成金融产品、服务对象全球化的无国界金融，网络金融无国界的影响与日俱增。由此，网络金融个人信息和隐私权的保护已不仅是国内问题，而且上升到国际问题[12]，监管难度可想而知。

(四)消费者个人信息保护意识不强

在互联网金融时代，网络与公民的生活息息相关，已成为不可或缺的一部分，可是公民的个人信息却处于“裸奔”的状态。

1.疏忽大意。在扫码流行的新时代，也许公民的个人信息泄露就在扫码得礼品的一瞬间。尤其是在微信朋友圈里，有很多链接是不能随便点开的，因为它们很有可能是一个骗局，一不小心自己的个人信息就会被不法分子窃取。

2.毫无防范。多数网民缺乏防范意识，在网吧、购物网站、理财网站、P2P平台等登录时不假思索地填写自己的真实信息，对个人信息是否会泄露，信息泄露后怎么办，不管不顾、不理不睬。由此可见，很多网民尤其是年青网民保护个人信息的意识淡薄，没有丝毫防范意识。

四、加强网络金融个人信息立法保护的构想

(一)建议出台《公民个人信息保护法》

1.加强公民个人信息立法保护彰显前瞻性。我国于2009年通过的《刑法修正案(七)》、2015年修订的《刑法修正案(九)》中，在先行增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪的基础上，重新整合为侵犯公民个人信息罪；2017年施行的《网络安全法》又对网络侵害公民个人信息的行为进行了规范和统一。可以说刑法先于其他部门法明确了侵犯公民个人信息犯罪的界限，通过刑法积极预防和遏制了侵犯公民个人信息违法犯罪快速蔓延的势头，为系统治理和打击网络金融个人信息的侵权行为奠定了基础。毋庸置疑，刑法的积极适用是不得已而为之的举措，并非上策。单从立法完善的角度而言，应当尽快推进《公民个人信息保护法》的制定，完善公民个人信息保护的民事和行政法律法规，有效克服“刑法先行”的现象。

2.实施公民个人信息立法保护与时代接轨。由于我国相关法律规定比较分散杂乱，致使对网络金融个人信息的保护处于相对比较松软的状态且在较低位水平运行。为了尽快与国际接轨，与网络金融新时代同步，达到对网络金融个人信息保护的国际一流标准，必须专门制定一部位阶高、效力层次高的“双高”法律，在立法中凸显网络金融个人信息保护的重要地位。为网络金融个人信息在收集、存储、处理、使用和披露等环节制定出一套完整有序的法律规范性宝典，全力保障公民个人信息安全，保护权利人的合法权益，进而保障国家的信息安全，促进网络金融经济的健康有序发展。

3.突出公民个人信息立法保护的整体性。在《公民个人信息保护法》的立法中，要进一步明确网络金融个人信息概念的内外延等，并对个人在网络金融活动中享有的权利、信息保护相关主体的义务以及侵犯公民个人信息权利的责任承担与救济途径等问题作出明确规定，以保证整个法律体系的系统性和完整性。

4.立法保护与社会经济发展相适应。在保护网络金融消费者个人信息的同时，必须兼顾社会经济效率，不能因设置过度严格的条款而影响和限制大数据时代网络创新金融的应用与发展。特别是在网络信息技术发展一日千里的情况下，要对侵犯网络金融个人信息犯罪条款不断进行完善创新，积极探索更新侵犯网络金融个人信息犯罪的法益，及时修订出台侵犯公民个人信息犯罪的司法解释，明晰侵犯公民个人信息犯罪与其他犯罪之间的界限。要通过实践中对法律与现实认识的不断加强，运用行之有效的司法手段，不断创新理论与实践的新结合，在保障经济社会发展的大前提下，促使对侵犯公民个人信息犯罪的定罪与量刑更加与时俱进。

(二)整合现行相关法律法规

整合完善目前所有关于公民个人信息保护的法律法规，建立一整套符合我国国情的系统化、多层次的个人信息保护法律法规，是当务之急。

1.突出金融机构在网络金融监管中的法律地位。针对当前网络金融监管执法中的突出问题，要着重强化金融机构的法定责任义务，可借鉴欧盟对个人信息保护的责任制度要求，明确金融机构对网络金融中个人信息侵权行为民事责任的法律依据，从而实现民事责任、行政责任与刑事责任的协调管制。要赋予金融机构更多的责权义务，在对金融消费者个人信息侵权事实的证明上，应当实行举证责任倒置，由金融机构对网络金融未侵害消费者个人信息安全权的事实进行举证，并承担举证不能的法律后果。在责任承担上，要建立问责追究制度，根据具体情况适用无过错责任与过错责任原则，扩大金融机构的责任范围。此外，法律法规中对侵害网络金融消费者个人信息的行为要明确设定多元化救助渠道，减轻网络金融消费者的损失，最大化地保护网络金融消费者的个人权益。

2.整合现有法律法规中对互联网金融个人信息保护的相关条款。针对当前网络金融中个人信息保护的政策走向和监管模式较为凌乱的现象，建议由国家立法机关统一规范整合全国性的专门法律法规，持续加大对网络金融中公民个人信息的立法保护力度，不断形成打击惩处的铁力，坚决维护网络金融消费者的合法权益。特别是针对当前网络金融中个人信息保护严重缺位的情况，可由国务院指导“一行两会”尽快研究出台《网络金融个人信息保护条例》等具有可操作性的制度规定，明确界定网络金融个人信息的概念和保护范围，可采用分类列举法和概括式的兜底条款来规范网络金融个人信息法律保护的责权义务，使广大消费者维权有据，执法机关确权有依。这样还有助于在一定程度上克服法律的滞后性，全面有效地把因技术发展而新生的网络金融个人信息涵盖在法律的保护范围之内，充分体现法律法规的前瞻性。

3.在法律法规中明确对网络金融个人消费者内涵与外延的界定。首先，无论是大学生、农民、下岗职工或者是退休人员等，都应视为个人消费者，其个人信息应同等享有法律保护；其次，要将网络金融机构在法律法规中进行扩大释放，尤其要将当下问题较多的P2P网络借贷平台作为立法和打击的重点，在立法上重点加强对此类金融活动中个人信息保护的明确界定。如在P2P平台这种特定的商业模式下，在整个借贷过程中，其收集公民的个人信息最多、最全，泄露风险也最大，个人信息就更难得到有效的法律保护。

4.建立互联网金融个人信息的专门保护机构。由于互联网金融个人信息保护的复杂性，尤其是出借人与借款人在个人信息等方面严重不对称(例如，出借人完全掌握借款人的个人信息、借款人却并不了解出借人的信息)，因此，建议在国家层面设立专门的互联网金融个人信息保护机构(不能等同于互联网金融协会)，制定符合互联网金融个人信息保护特点的工作规范，更好地满足互联网金融消费者个人信息保护的迫切需要[13]。

(三)强化网络金融行业的自律建设

1.尽快制定和完善网络金融行业的自律机制。在大数据时代，网络金融个人信息被侵害的手段和形式越来越多样化，仅依靠制定专门的法律法规这一单一的手段很难有效控制和根除这种乱象。因此，在保护网络金融个人信息方面，除了进行立法保护和机构全力监管之外，还需要以行业自律为辅助，充分发挥行业内部的积极作用。当前，在《公民个人信息保护法》或《网络金融个人信息保护条例》尚未出台的情形下，必须紧紧依靠行业自律组织来保护公民的网络金融个人信息安全。

2.组建国家级的网络金融行业联盟。要积极引导和推动网络金融机构、网络金融平台和网络服务提供组织等机构组建行业协会或行业联盟。可借鉴参照美国的在线隐私联盟和TRUSTe 网络认证组织等成功做法，不断壮大我国网络金融行业的自律队伍，为保护网络金融个人信息安全制定出一套比较完整的保护细则和行业标准，适时指导并规范行业成员对网络金融个人信息的收集、使用和管理行为。

3.激发和调动行业组织的自律意识。网络金融行业组织要不定时地抽查行业成员的自律行为，适时对网络金融个人信息的保护情况进行督导检查，对不合格成员单位要给予行业惩戒。同时还要积极组织行业成员开展网络金融个人信息保护的相关培训和宣传教育活动，不断提高从业人员的自律意识和行业管理水平，明确保护个人信息的责任和义务。

4.积极推动行业组织的技术开发与应用。网络金融行业组织和联盟要积极主动研究和开发有关网络金融个人信息保护的专业技术，防止因技术漏洞而导致公民个人信息遭受侵害或泄露事件的发生。要建立网络金融个人信息保护的意见反馈平台和评估机制，全面掌握广大网民对网络金融个人信息保护的反馈意见，及时对现行的行业细则和标准进行评定，适时根据新形势、新任务、新发展，不断推进网络金融行业组织和联盟的发展壮大。

(四)制定事后赔偿救助的规范机制

1.完善网络金融个人信息保护的民事救济措施。目前，我国在网络金融个人信息保护上，民事救济的责任和义务基本上是一片空白。因此，在《公民个人信息保护法》或者新修订的《网络金融个人信息保护条例》中，必须增加民事救济的章节。也可在《民法通则》中增加明晰的网络金融个人信息民事责任承担和赔偿救济的内容。在制定救济细则时，要结合网络金融个人信息兼具人格属性和财产属性的特点，将人格损害、财产损失、人格与财产双重侵害等情形纳入被侵害赔偿救济的范畴，尤其要重点涵盖精神损害赔偿和财产损害赔偿的情形。

2.着重突出过错责任追究的赔偿原则。在网络金融个人信息侵害赔偿中，要重点加入过错责任追究的推定原则，即网络服务提供商和网络金融机构、金融平台等组织，只有证明自己在收集、存储、处理、使用和披露网民个人金融信息时无过错，才可以免责，否则应承担侵权损害赔偿的连带责任。如果网络金融消费者的个人信息因“互联网+银行”等网络金融机构、金融平台非法操作或其他违反个人信息保护的不当行为等受到侵害，则公民个人有权要求对信息使用方予以追责赔偿(赔偿不限于直接损害赔偿、精神损害赔偿、惩罚性赔偿等)[14]，除应承担民事责任之外，应视行为情节严重与否以及造成损失大小等情况予以行政责任和刑事责任的双重处罚。

3.强力引入惩罚性赔偿的机制建设。目前，我国《民法总则》和《侵权责任法》等对侵犯公民个人信息行为确定的民事责任承担方式主要是以停止侵害、赔礼道歉、赔偿损失、恢复名誉等为主，事后救助赔偿的效果不太明显。对一些性质恶劣，且造成十分严重后果的侵犯网络金融个人信息的犯罪行为，缺乏惩罚性的赔偿措施，导致此类犯罪行为日益猖獗。特别是网络金融经营者在提供金融产品和网络服务过程中的强势地位，使得网络金融个人消费者往往居于弱势地位，基本上是被动地接受对方的格式合同和条款要求，从而不得不提供个人信息。因此，在责任的承担和赔偿上，法律法规应当明确惩罚性损失赔偿的规定和标准，对侵犯网络金融消费者个人信息的主体不断加大惩罚力度，切实增加侵权主体的违法成本。

(五)明确职能部门的监督管控职责

1.设立专门的网络金融个人信息监督机构。在当今互联网金融个人信息保护严重缺失，网络金融乱象丛生的恶劣环境下，设立专门的网络金融个人信息监督保护机构，有利于监督相关法律法规的落实情况，有利于督促相关职能部门和组织真正履职尽责，不断完善专业的技术措施，强化公民个人信息的管理，切实保护公民在网络金融活动中个人信息的安全，防止因技术漏洞或人为因素使信息泄露或遭到窃取。为此，可借鉴美国和欧盟等国家或地区的做法，在制定独立的法律法规或相关的网络金融个人信息保护条例时，设立或指定专门的监督机构并规定其监督职责，避免法律规定的虚设，保障网络金融个人信息在大数据时代的安全与应用[15]。除此之外，为了使监督机构能够有效发挥职能，法律法规需要对其在相关方面或领域授予一定的权力，如类似于银保监会对金融机构的现场检查和非现场监督等权力，使其有权要求相关部门提交网络金融个人信息安全报告，并有权对违反法律规定造成网络金融个人信息泄露的单位采取督导措施或行政处罚措施等。

2.充分发挥“一行两会”的监督职能作用。在目前我国还没有专门的、专业的网络金融个人信息监管机构和部门之前，人民银行、银保监会和证监会“一行两会”要充分发挥行业监管的职能作用，结合自身监管的特点，针对网络金融中出现公民个人信息泄露和数据被盗的乱象，群策群力，加大监督力度。特别是针对网络金融活动的新兴产物——第三方支付网络平台的不断涌现，人民银行要加强监督管控，全力确保公民在网络金融活动中的个人信息安全。

3.建立互联网金融个人信息的监管体系。从互联网金融的体量看，目前监管的核心不是其系统性风险，而是金融消费者个人信息的合法保护。网络金融监管部门要强化对金融机构公民个人信息保护系统的建设，通过强有力的监督管理机制，不断强化对网络金融个人信息保护情况的监督、检查。针对网络金融平台上的“套路贷”行为、非正规借贷金融机构和P2P非法融资平台良莠不齐、混业经营的状态，单纯地以分行业准入监管的形式对金融机构进行监管，难以适应迅速发展的网络金融市场的需求。因此，应当创新监管机制，以网络金融消费者个人信息保护为核心，建立一整套保护网络金融消费者个人权益的监管保护体系。要重点建立健全包括互联网金融个人信息的监管保护、相关数据的保存与保护、个人信息披露制度、个人信息侵犯的事后救济和赔偿机制等在内的一整套个人信息权益保护体系。

4.强化对网络金融监管机构的责任追究。我国目前还没有专门针对网络金融监管机构因失职、失策导致公民个人信息受到侵犯、隐私遭遇泄露应承担责任追究的法律规定，公民在网络金融活动中个人信息受到侵犯后，基本是网络金融平台和网络融资机构承担赔偿责任，而如何追究网络金融监管机构的连带责任，还缺乏行之有效的法律规定和明确要求。因此，必须在法律中明确规定，由于网络金融监管机构的故意或疏忽大意，造成公民个人信息受到侵害的，应该由网络金融监管机构承担侵害损失的连带追究责任。同时还要严格责任追究和问责倒查，确保网络金融监管部门切实履行主体责任。

(六)增强消费者个人信息保护意识

在互联网金融环境下，面对形形色色的网络诈骗等犯罪行为，广大网民一定要提高保护个人信息的意识和能力。特别是在大数据时代，公民个人信息的产生、存储、转移和使用都不受用户个人意志的控制，在纷繁复杂的网络金融平台面前，个人似乎显得束手无策。但是，公民个人在办理互联网金融理财、网络贷款等新型网络金融业务时，一定要防止个人信息被悄无声息地“掠夺”。一旦个人信息遭受不法侵害，要坚决拿起法律的武器，积极捍卫个人的合法利益。

1.不断提高公民个人信息保护的意识和能力。一方面，要对社会公众普及网络金融知识，同时使他们充分认识到个人信息的价值，养成良好的自我保护习惯，不要将自己的身份证件、银行卡等随意转借给他人使用，在日常生活中不向陌生人透露自己的个人金融信息、财产状况等基本信息，不随意在网络上留下个人金融信息，尽量亲自办理网络金融业务，不随意丢弃个人网络金融业务单据，不轻信来历不明的电话号码、手机短信和邮件等。另一方面，网络金融机构在提供金融服务时，应明确告知消费者享有的权利和金融机构在对其个人信息的收集、处理方面应承担的责任，以及发生争议后的纠纷解决渠道和维权途径，切实保障消费者的信息安全权免受侵害[16]。

2.要注重防范在先，避免个人遭受损失。广大网民在网上使用身份信息、网络账号和密码等个人信息数据时必须小心谨慎，养成良好的上网习惯，避免遭遇个人信息泄露。首先，要做到“三个不乱”：(1)小单不乱扔。各种购物刷单小票、汽车票、火车票、银行单据等不要随意乱丢乱扔，以防犯罪分子“变废为宝”。(2)网站不乱点。对朋友圈、网络交互栏目、微信和QQ 等发来的不明网站链接不要随意点开，以防中毒后个人信息被套取，遭到欺诈。(3)信息不乱发。容易暴露个人地址、单位或兴趣爱好等与个人生活息息相关的信息不乱发，以防被不法分子利用。其次，要始终牢记“六句谨言”：(1)网络交友，安全第一。(2)投资理财，商量才买。(3)寻爱路上，避开陷阱。(4)网络金融，三思再买。(5)网购中奖，没有馅饼。(6)网络荐股，骗的是你。最后，要认真执行“八个切记”：(1)切记要给自己的电脑和手机安装杀毒软件，养成定期杀毒的良好习惯。(2)切记进行网银、支付宝操作时，确保使用安全的浏览器和登录正确的网址。(3)切记在网上购物时要选择正规的、大型的电商平台，同时要设置一些复杂的拼音加数字的支付密码，并做到定期更换，最好是选择“密码+校验码”的双重验证模式。(4)切记在网站注册账号时，只填带*号的必填项，尽量少提供个人信息。(5)切记不要随意添加陌生人的微信、QQ，尤其是那些中奖、退款等微信或QQ 群组。(6)切记不要随意连接公共 WiFi 和扫描不明的二维码，以防被不法分子通过手机木马病毒获取个人信息。(7)切记不要把个人照片、银行卡号、身份证号等数据上传到网上，以防犯罪分子顺手牵羊。(8)切记尽可能少在网上公开自己的姓名、电话号码和家庭住址等信息，以防犯罪分子图谋不轨[17]。

3.运用法律武器维护自己的合法权益。一旦网络金融个人信息遭到侵害和泄露，公民可以通过维权方式，维护自身的合法权益。首先，根据《关于加强网络信息保护的决定》，遭遇信息泄露和侵害的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。其次，遭遇信息泄露和侵害的个人可向公安、网信、市场监管、金融监管、消协和行业管理部门进行投诉举报。最后，网络金融消费者还可依据《网络安全法》《侵权责任法》《消费者权益保护法》和《刑法修正案(九)》等相关条款，通过法律手段进一步维护自己的合法权益，要求侵权人赔礼道歉、消除影响、恢复名誉、赔偿损失和司法救助等，直至追究一切侵权者的责任。

互联网金融环境下，大数据已然是时代发展的趋势与潮流，公民个人信息泄露的风险日益增大，加强对网络金融中公民个人信息的立法保护刻不容缓。因此，要立足于我国国情、法律体系和网络金融发展的新趋势，积极吸收域外一些国家和地区的宝贵经验，不断在立法、行政、司法等各个层面完善法律保护体系，重点要在受侵害的赔偿和救助方面有所改善。要勇于创新、加强监管、大胆突破，全力促进网络金融产业的健康发展，为实现“网络强国”的战略目标努力奋斗。