数字经济时代金融消费者信息保护的核心要素

杨东 顾雷

在数字经济时代，更好地保护金融消费者信息已成为金融机构和监管部门的重要任务。金融监管机构应充分尊重并保障金融消费者知情权、信息安全权、隐私权、同意使用权、追责求偿权、数据用益权，从产品设计、费用标准、信息披露、风险提示等多方面做到合法合规，提高消费金融产品和服务透明度，保护好金融消费者信息权益。

虽然金融消费者的信息安全应该受到尊重，但市场信息从初始状态起就不是完全对称的。金融机构基于金融监管的约束，会主动进行信息披露，但在金融风险较高时，金融机构可能会隐匿敏感消息、潜在风险等重要信息，而金融消费者大多是分散在市场各个角落，个体实力单薄，长期处于弱者地位，缺乏自我保护手段，整体上无法与金融机构相抗衡，可能会做出非理性的判断。因此，这就需要我们加强保护金融消费者信息安全。

世界范围对金融消费者信息保护

国外对金融消费者信息保护

近年来，二十国集团（G20）、世界银行（World Bank）、经合组织（OECD）、金融稳定委员会（Financial Stability Board，简称FSB）、金融包容联盟（Alliance for Financial Inclusion，简称AFI）都将金融消费者信息保护列为一项核心工作。经合组织下设的金融教育国际网络2009年5月发布了《金融教育和认知最佳实践》，不少篇幅涉及金融消费者信息保护内容。金融包容联盟自2009年成立以来，一直将金融消费者信息保护作为最重要工作之一。2011年9月，金融包容联盟成立了消费者扶持与市场准则工作组，形成了一套金融消费者信息保护的核心原则和工作流程。2011年10月，二十国集团巴黎峰会公布了经合组织牵头制定的《金融消费保护高级原则》。2011年10月金融稳定委员会发布的《重点涉及信贷的消费者金融保护》和《消费者金融报告》，以及2012年6月世界银行出台的《金融消费者保护的良好经验》都涉及金融消费者信息保护内容。目前，国际上正在研究成立一个金融消费者保护机构——金融消费者保护网络，更好促进国家间金融消费者信息保护经验交流以及保护规则形成。

我国的金融消费者信息保护

我国金融监管部门高度重视金融消费者信息保护。中国人民银行、中国银保监会、中国证监会均设立了相应的金融消费者保护部门。例如，2012年3月，中国人民银行设立金融消费权益保护局，主要职责就是研究我国金融消费者保护问题，拟订金融消费者保护政策法规草案，协调金融机构消费者信息保护工作。2012年4月，中国银监会获批设立银行业消费者权益保护局，主要职责之一就是为拟定金融消费者权益保护的政策法规，开展金融消费者信息保护体系建设，督促银行和从业人员加强信息披露、消费者风险提示，调查处理银行业消费者投诉以及开展银行业消费者公众教育。

多年来，“一行三会+四家消保机构”（后为“一行两会+三家消保机构”）模式积极推动金融消费者保护工作，共同构成了我国“分业监管模式”下的中央层面金融消费者信息保护机制。同时，我国各地工商行政管理部门、消费者协会、金融行业协会承担着地方层面金融消费者信息保护职责，减轻金融风险传递危害，提高我国金融体系稳定性和可持续性。

近年来，全国人大常委会《关于加强网络信息保护的决定》、工信部《电信与互联网用户个人信息保护规定》以及工商总局《网络交易管理办法》都对个人信息保护做了一定规范，加之《刑法》《侵权责任法》《网络安全法》以及“两高”（最高人民法院、最高人民检察院）发布的若干司法解释、指导意见等20多个规范性文件，出台的3个非强制性国家行业标准，初步建立了我国个人信息保护规则体系。

2017年全国金融工作会议明确提出“把金融消费者权益保护放在更加突出位置，加强金融消费者教育”。2020年2月央行发布了《个人金融信息保护技术规范》，为金融机构加强个人信息保护和监管机构执法工作提供技术标准参考，2020年11月央行实施的《金融消费者权益保护实施办法》，规定金融机构在使用、转移和存储个人信息时必须履行本地化保护的要求。中国人民银行正在制定《个人金融信息保护暂行办法》，也加大对金融市场个人信息保护的监管强度，强化金融机构合规意识。总之，数字经济时代，加强“负责任的金融”理念，更好保护金融消费者信息，已经成为金融机构和监管部门的重要任务，对于提振金融消费者信心、维护我国金融市场稳定和可持续发展具有重要意义。

金融消费者信息保护的核心要素

基础性信息权益

知情权

知情权是指金融消费者有权知悉其购买的金融产品或服务的全部、真实、准确信息。金融消费者依法享有对金融产品或服务的价格、类型、服务态度等涉及自身权益的相关情况知晓权利，对金融机构不恰当的信息保护行为有权提出批评。这符合国际惯例，与欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）、美国加州《消费者隐私权法案》（California Consumer Protection Act，简称CCPA）基本類同。也就是说，金融机构有义务披露所提供金融产品或服务的真实情况，收集、流通、使用、删除等过程都需要履行“告知-同意”义务，帮助金融消费者信息知情与处理可控，最大限度保护个人信息安全。

隐私权

隐私权指金融消费者的个人信息、账户信息、交易信息等依法受到保护的权利。金融机构不得不当储存、过度收集、私自披露金融消费者的个人信息，更不能借此谋取不当利益。

在英美法系，一切与人有关的权益保护均属于“隐私”（Privacy）范畴，个人信息保护也纳入隐私保护，受到专门法律保护。例如，欧洲委员会1981年通过了世界上第一部个人信息保护的国际公约《个人数据自动化处理中的个人保护公约》，第一条就明确规定其目的在于保护个人权利和信息安全。欧盟1995年《数据保护指令》及2016年《统一数据保护条例》也都将保护自然人基本权利和信息安全作为其立法基本宗旨，尤其是加强个人隐私权保护，尤其体现在使用个人数据不泄露或公开个人数据的规范上，个人数据和隐私权保护已经成为欧洲各国个人信息保护最重要的内容之一。

延展性信息权益

信息安全权

信息安全权是金融消费者信息保护的首要延展性权利，即金融机构应当依法保障金融消费者在购买金融产品和接受金融服务中的信息安全。在西方国家，个人信息被认为是人权的一种延伸权利。《欧盟基本人权宪章》第8条明确将“个人数据保护权”作为一项独立的基本权利加以保护：“每个人有权保护涉及自身的个人数据”。欧盟《数据保护指令》以及《统一数据保护条例》（GDPR）都一直坚持将个人数据处理的安全性原则作为个人数据处理的法律依据，处理个人信息的前提应当尊重个人的选择或意思表示。

这种理念应该得到延续，应该在未来金融消费者信息保护中得到体现。这就意味着，金融机构不得利用科技技术优势在格式合同中让金融消费者对信息产生不明确认知，不得加剧信息不对称，不得加剧导致金融消费者无法了解或者知晓金融信息的可能性。由此，我们建立个人信息内部安全管理制度，不仅要强化个人信息在收集、转移、使用、借用、删除、向第三方提供、跨境告知方面的权利，而且要让金融消费者具有控制个人信息的收集、使用、删除或出售的能力，例如采取清晰易懂的语言向个人告知金融信息;当变更处理方式时，还须重新告知，以期达到金融个人消费者的知情与可控，严格保护金融消费者信息安全。

同意使用权

在数字经济时代，金融消费者往往处于被动地位，不提供个人信息往往无法使用对方的产品或服务。由此，监管机构要求金融信息使用机构必须基于信息主体同意表述后才能使用信息。也就是说，知情同意成为个人信息的接受方（信息收集者）保有或使用该个人信息的依据，信息收集者必须要求信息主体作出同意表示。否则，任何在没有信息主体同意情况下的信息使用、收集或转让都不具备法律正当性。因此，笔者认为，“同意使用权”应该成为数字时代金融消费者信息保护的一项重要原则。对于金融消费者而言，遵循“同意使用权”是强调个人口头或者书面同意的明示权利。对金融机构而言，遵循“同意使用权”则是强调金融机构在处理数据之前的“通知”义务。

当然，同意使用权也不是绝对的。基于公共利益或国家利益的个人信息收集、利用和流通无须经过信息主体的同意，但必须具有明确的法律规定。例如基于《统计法》的专项统计调查，必须具有公共利益性质的信息，否则就不能直接采集。

追责求偿权

金融消费者在购买金融产品和接受金融服务过程后，发现其信息安全受到侵犯和遭受损失，有权追究法律责任，要求有关机构进行赔偿。在欧盟，GDPR设计了诸如警告、训斥等处罚机制，罚款也可高达2，000万欧元。在美国，监管机构试图用严厉的事后罚款来倒逼企业实现对个人信息的全面保护，如“剑桥分析案”中，美国联邦贸易委员会（Federal Trade Commission，简称FTC）对“脸书”的处罚高达50亿美元。

显然，在金融信息保护方面，强监管和严责任是世界监管的一个潮流。我国金融信息保护方面应该加大惩处力度，建立追责机制，除刑事与行政处罚外，应完善个人信息民事赔偿制度，诸如归责原则、损害计算以及支持起诉等，阻断金融机构利用互联网技术优势限制或阻碍金融消费者寻求法律赔偿的可能性。

确保金融消费者信息保护的核心监管建议

第一，遵循数字信息“最小够用”原则。

“最小够用”就是所有信息采集和使用必须都在最小范围内进行。欧盟《一般数据保护条例》及美国《消费者隐私权法案》无不采纳这一原则，不收集与所提供服务无关的个人信息。数字经济时代，越来越多的应用程序（Application，简称App）在用户不提供个人信息或者因用户不同意收集非必要个人信息或打开非必要权限时就无法使用，还有一些互金平台收集的个人信息与现有业务功能无关，这些都是违反了“最小够用”原则，实际上构成了对用户信息的“勒索”。

为此，2017年6月生效的《网络安全法》规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。这就是对“最小够用”原则最好的诠释。以金融消费场景为例，采集、转让时，仅向客户申请业务流程必要的信息授权，保障金融消费者的选择权。使用时，仅向用户收集金融消费必须使用的信息，保障金融消费者知情权。结束时，仅留存后期金融监管所必需的用户信息，保存期限届满后及时删除、停止利用用户个人信息，保障金融消费者的处置权。这就是“最小够用”原则的范例，不仅可以确保消费者即时便捷地享受到消费金融服务，还可以避免金融消费者个人信息的过度采集。我国本轮对疫情患者的信息采集正是遵循“最小够用”原则，取得了较好的社会效果。但是，如何妥善使用“最小够用”原则并得到社会一致认可，这将成为数字经济时代金融消费者权益保护一个重要课题。

第二，建立金融信息保护的专门监管机构。

现阶段，金融消费者权益保护法律法规较为分散，且立法层级较低，缺乏统一的金融消费者保护法律框架。例如，现行《消费者权益保护法》是与消费者个人信息保护最直接相关的法律法规，虽然规定消费者在购买、使用商品和接受服务时，享有个人信息依法得到保护的权利，未经消费者同意不得发送商业性信息等。但现行《消费者权益保护法》只对一般商品和服务的消费者提供保护，没有将金融消费者纳入“消费者”的行列，从保护金融消费者权益角度看尚不充分，难以起到统合作用。

而《金融消费者权益保护实施办法》《中国人民银行法》《商业银行法》《证券法》《保险法》《征信业管理条例》《个人信用信息基础数据库管理暂行办法》等法律、法规和规章制度，虽然也有对市场禁止性规定以及金融机构的规范性规定，但覆盖面窄，操作性不强，真正针对金融消费者保护性条款并不多见，主要规范的是金融机构的运行秩序。中国人民银行制定的《关于银行业金融机构做好个人金融信息保护工作的通知》《关于金融机构进一步做好客户个人金融信息保护工作的通知》因缺乏足够法律效力，执行效力相对较弱，惩戒面较小，民事赔偿不足。同时，金融消费者信息保护机构较多，部分監管职责并不清晰，金融消费权益保护协调机构多头管理现状明显，容易造成多头监管局面。

纵观当今世界金融发达国家，诸如加拿大、英国都有主要的机构履行金融消费者保护职责，美国设立了消费者金融保护局（Consumer Financial Protection Bureau，简称CFPB），统一履行散布于不同联邦机构的金融消费者保护职能。为此，笔者建议我国应建立专门的金融消费者权益保护机构，加强中国人民银行、中国银保监会、中国证监会之间的协调和合作，处理跨市场、跨行业金融产品与服务所涉及的金融消费者保护问题，对现有三家金融消费者权益保护机构进行整合，组建全国独立的、统一的金融消费者保护局，为金融消费者信息保护提供高效、完善的组织保障和功能保障，建立一套覆盖存款、贷款、银行卡、征信、银行理财等主要金融消费领域的信息保护制度，形成金融消费者信息保护合力。

全国独立的、统一的金融消费者保护局应隶属于中国人民银行，其主要职责之一就是金融消费者信息保护，主要包括：一是拟定金融消费权益信息保护政策法规和规章制度;二是开展对银行业、保险业和证券业消费者信息保护工作的指导和协调，彻底改变金融消费者信息保护的多头局面，节约监管成本;三是监督侵犯金融消费者信息保护的违法行为;四是组织开展金融消费者信息保护教育和咨询服务;五是加强与工商行政管理部门、消费者协会、各金融行业协会协调，共同开展金融消费者权益保护工作;六是开展对外交流，参与制定国际金融消费者信息保护规则，加强金融消费者信息保护的国际合作。

第三，以数字化信息披露作为金融信息保护的核心要素。

现阶段，数字经济时代大量运用大数据、人工智能、区块链、云服务的技术优势处理金融消费者信息。很多数字平台参与到个人信息采集、汇总、分析和共享等多个环节中，为利用数字经济实现“弯道超车”，不可避免地会对个人信息隐私权造成侵害，出现诸如数据泄露、丢失、造假、滥用等情况;出现了金融服务平台利用信息优势欺诈消费者并威胁金融安全情况，但对平台的监管存在漏洞，出现了金融消费领域“灯下黑”现象。

因此，我们必须充分重视数字经济时代相关信息和数据的合法利用问题，通过大数据、云计算、人工智能（AI）、区块链等技术手段对金融消费者信息进行创新保护，强化建立信息披露机制、风险提示、冷静期设置，充分利用好官方网站、公众号及时传递政策信息，推动金融数字信息传播，要求金融机构用金融消费者可以理解的语言，详尽、公开、全面披露金融产品或服务细节，特别是对消费者权利义务产生重大影响的核心内容，以“共票”（共，凝聚共识，共筹共智，是能够真正共享的股票;票，流通、支付、权益、分配的票证）推动实现数据共享，以不同机构提供的数据质量和数量为标准回馈“共票”，及时获取信息防患于未然。在“共票”理论指导下，将区块链作为底层技术，形成可记录、可追溯、可确权、隐私保护等技术约束，不仅为政策制定者、市场监管者、行业实践者提供信息获取渠道，更要为金融消费者提供信息保护渠道，运用信息安全防火墙、入侵检测设备、系统漏洞扫描、第三方认证等新技术加强金融消费者信息防护力度，有效防范非法侵入信息系统、网银信息被盗、信息篡改流失风险，提升金融消费者信息安全防范能力。

第四，立足与我国现行法律法规相匹配。

当今我们既需要借鉴国际经验，更需要立足中国国情。世界范围个人信息保护立法大多是以欧盟《通用数据保护条例》（GDPR）为范本。但是，GDPR与西方法律文化、社会习惯以及市场经济发展水平密切相关，我国在个人信息保护立法时并不能全盘照搬，还要考虑我国不同于西方发达国家的经济发展水平和社会文化背景，不仅要和我国法律文化、社会风俗以及互联网市场发展相关联，更要与《民法典》《网络安全法》及金融监管法规相配套，整合现有的立法、司法、执法体制资源，构建一个以金融消费者保护为中心、囊括金融产品和服务的统合立法体系。

同时，应当在金融消费纠纷大胆运用和解、调解、仲裁等非诉讼方式，发挥其快捷、灵活、简便特点处理金融消费者个人信息滥用或侵权纠纷，构建以金融消费者保护为核心的多元化金融纠纷解决机制的统合体系，构建一个金融商品、金融服务统合立法体系，建立一个多元化、全方位、无缝隙的金融消费者保护立法体系。

从功能主义角度看，我们必须平衡好金融消费者信息保护与数字经济发展的关系，维护信息保护法律政策的权威性。《个人信息保护法》《民法典》《个人金融信息保护暂行办法》以及《网络安全法》都是个人信息安全的核心法律法规，聚焦个人信息权利保护，关注数据流动、数据利用以及侵权赔偿等问题，共同构建了数据保护和数据利用的整体性法律框架。同时，依法依规打击以大数据公司、大数据征信名义非法买卖个人信息的行为，对泄露个人信息，甚至违规倒卖客户数据的金融机构、征信机构以及相关责任人严惩不贷，维护好个人信息和公共安全的关系。

第五，启用数字用益权保护信息安全。

当下，以区块链等为代表的新一代信息技术正在推动着实现从监管转向治理的思维转变，“共票”是区块链上集投资者、消费者与管理者于一体的共享分配机制，它是吸引系统外资源投入后给予的回报，这种回报通过区块链系统的运行实现价值。每一个价值创造者都可以获得共票，进行直接流通，并获得相应的回报。也就是说，数据权益带来的利益必须及时返回金融消费者，保障金融消费者财富收益。我们要让金融消费者成为数字经济时代主导者，而不仅仅是远离财富的被保护者。如果监管机构只谈论金融消费者权益保护原则或伟大意义，最后金融消费者并没有得到实惠，恐怕并不是真正意义上的金融消费者权益保护。在解决金融消费者个人数据保护的问题上，可以借助区块链技术实现对个人数据与信息进行加密、脱敏处理，然后进行数据的共享、开放和交易。

在数字经济时代，存在金融消费者数据权利与互金平台冲突的情况，也存在数据竞争、数据壁垒、数据劫持、数据爬取等问题。引入用益权可以解决数据权属问题，不仅能够实现用户和企业之间的权限分配，还能调和不同数据企业之间的利益冲突。

为此，笔者提倡金融消费者金融数字用益权，不仅是对金融消费者数据所有权的尊重，也是对数据采集、使用、加工和获益的互联网机构（平台）的尊重。只有承认数据用益权，才可以合法有效地对数据进行处理、控制、研发、许可乃至转让;只有尊重金融消费者数据价值，才能认可互金平台对金融消费者的数据支配权。否则，保护好金融消费者权益就成为一句空话。

总之，在数字经济时代，金融监管机构应该充分尊重并保障金融消费者知情权、隐私权、信息安全权、同意使用权、追责求偿权、数据用益权，从产品设计、信息披露、费用标准、风险提示等多方面做到合法合规，提高消费金融产品和服务透明度，增强数字化监管能力，利用监管科技加强金融消费者个人隐私保护，确保信息采集、提供、存储和交易的合法性，真正践行社会主义核心价值观。

（杨东为中国人民大学国家发展与战略研究院研究員、未来法治研究院研究员，顾雷为中国人民大学中国普惠金融研究院研究员。本文编辑/王晔君）