金融业机构在加强个人金融信息保护上的法律定位改革及规范
——基于法技术学的分析

迪丽努尔·努尔买买提

一、问题的提出

近年来，随着大数据技术的变革和数字经济的发展，数据成为社会重要的生产要素，经济社会面出现较为普遍的数据化特征，对金融行业的发展产生深远影响。经济社会数字化驱动发展对融资模式和金融服务技术提出新需求，金融行业本身的数据优势又促进了新需求的增长。因此，牢牢掌握作为数据基础的个人金融信息对于金融行业来说至关重要。一方面，金融业机构需要通过一定的手段与程序获取更多的个人金融信息，实现金融业机构与个人金融信息的结合增值。另一方面，金融业机构需要对个人金融信息等数据进行资产化管理，实现数据资产的流动和增值。正是这种大数据时代特征，个人金融信息安全和数据保护面临巨大挑战，个人金融信息和金融数据安全正在承受巨大的风险。

作为对时代特征与社会矛盾的回应，2016年国家立法通过《网络安全法》，2018和2019年发布《银行业金融机构数据治理指引》《个人金融信息（数据）保护试行办法（初稿）》《移动金融客户端应用软件安全管理规范》等部门规章，2020年审议通过并施行《中国人民银行金融消费者权益保护实施办法》《商业银行互联网贷款管理暂行办法》，2021年开始施行《数据安全法》《个人信息保护法》等，表明国家对个人金融信息保护的监管思路正在拓宽，监管力度正在加强。

在这些逐渐确立“个人金融信息权利”的法律法规中，金融业机构的法律定位逐渐显现并得到完善，在未来个人金融信息保护的法律格局中，金融业机构将发挥极为重要的作用，而这种法律责任的设定并非空穴来风。从移动支付网发布的《中国个人金融信息保护执法白皮书（2020）》来看，据不完全统计，央行在2020年开出的行政处罚罚单中，案由涉及“个人金融信息”的共181张，涉罚金额合计超1.8亿元人民币，处罚对象包括银行、证券公司、支付机构、消费金融公司等金融业机构[1]。这种金融乱象充分说明，对金融业机构在个人金融信息方面的法律治理力度进一步加强。

二、金融业机构在个人金融信息保护上的既有法律定位及不足

（一）基于技术安全信仰的金融业机构法律定位

金融业机构保护个人金融信息的法律法规在我国已有较长时间，可以从三个重要时间节点来观察其发展变化。第一个是1992年发布的《储蓄管理条例》，该条例明确规定“储蓄机构及其工作人员对储户的储蓄情况负有保密责任”。尽管没有出现“个人金融信息”的法律概念，但实际上存在对个人金融信息的国家保护。第二个是2011年中国人民银行发布的《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》，该通知第一次明确“个人金融信息”的概念。在此之前的2009年，《刑法修正案（七）》已为金融领域个人信息的刑法保护提供法律依据。在此之后的2012年，《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。第三个是2021年开始施行的《个人信息保护法》和《数据安全法》，国家立法制定个人信息领域的根本大法。

从1992年至今，尤其在前二十年的时间里，立法更倾向认为个人金融信息保护是一个技术性问题，以应急防灾思维指导金融业机构通过内部控制解决好个人金融信息的泄露、篡改、破坏等问题，这一治理思维虽维护了社会宏观利益，却忽略了个人权益的主张。如此的弊端在于，一旦金融业机构发生个人金融信息安全问题，往往对提升技术安全的需求更加强烈，但个人金融信息安全最直接的关系者——拥有个人金融信息的个人被置于事外，个人金融信息安全问题中的“个人”话语权比较薄弱。在这种思路下，个人金融信息保护的法律责任机制也显现出术特征，并逐步推动个人金融信息进入刑事范围。这种基于技术安全的金融业机构法律定位，将金融业机构设定为金融信息技术的控制者，实际上大大简化了金融业机构需要承担的社会责任与法律责任，模糊了技术与法律的界限，使法律成为技术的附属品，也在秩序话语中使“个人失语”，以至于在面对日益庞大复杂的个人金融信息保护问题时，法律逐渐显得力不从心。在近十年的时间里，这种趋势愈发明显：金融业机构保护个人金融信息的压力猛增，与之相对应的，个人与社会对个人金融信息安全问题的不满也在猛增。究其实质，单纯的技术升级不足以解决个人金融信息保护背后的社会问题，金融近乎天然的不安全生产和金融资源分配不公正，对社会和个人都产生了严重影响，甚至出现技术越升级却越遮掩实质的问题，出现技术信仰下金融风险不减反增的恶性循环。

（二）造成法律定位模糊与不适的主要原因

赋予金融业机构基于技术控制以解决社会问题的法律定位，不是主观的自由选择，而是改革开放的必然产物和过程产物，主要原因在于：第一，中国社会没有类似西方社会那种自资产阶级革命以来重视个人权利的长期历史环境，而是通过集体力量进行革命战争开启的工业化进程和社会建设，个人权利的分类与体系需要重新立法探索，造成了包括金融领域在内的隐私权建设在历史上存有空窗期。第二，中国社会自改革开放以来进入剧烈变动的转型转轨期，在“让一部分人先富起来”的社会主题下，技术与法律问题双双居高不下，而法治建设时间较短的现实条件将化解社会矛盾的重要责任向技术变革倾斜。第三，近现代金融是资本主义经济（从历史上看最初是货币经济）发展的产物，强金融业机构与弱个人、弱一般群体的对比局面没有得到根本性改变。第四，中国需要站在人民利益的角度建设自己的法治国家、法治社会、法治政府，而不是照搬西方法治精神继续推进社会理念，因此需要在社会矛盾得到充分暴露的成熟之际完成立法。

同时，也需注意到近三十年是技术大变革的时代，互联网、大数据技术等将个人金融信息安全问题提到前所未有的高度，这在以往任何社会中是从未发生过的。作为响应社会问题的法律，在对个人金融信息的种类、范围、定义尚未充分确定的情况下，对金融业机构作出较为严格的规范也许不是一件十分轻松的事情。当然，这并不意味着个人金融信息安全问题可以搁置一旁。正如马克思所言，“立法者并不创立法律，他只是在揭示和表述法律”[2]。陈彦晶指出，“新型权利的研究应当是一个发现的过程，而非一个创造的过程”[3]。

（三）既有法律定位的不足与危险

大数据信息高风险、高价值和普遍存在的特征，决定了个人金融信息保护是一个重大的系统性工程，需要从技术与组织（也就是法的关系，即法律制度规范）两个方面加以解决。而金融业机构既有法律定位上重技术控制轻法律权利的设置，无法满足个人金融信息保护的需求。

一方面，从经验上看，在金融业机构普遍规模大、掌握个人信息多的形势下，金融业机构利用技术优势进行自由竞争，对个人金融信息进行过度开发利用，一旦发生安全问题，既有法律定位往往为金融业机构有意无意侵害金融消费者个人信息安全与资金安全提供免责或较轻处罚的依据，而代之以技术漏洞找补，实际上违背了安全生产的要求。在技术信仰和利润驱使下，金融业机构还存在或独立或与个人合谋，通过个人金融信息集成金融大数据刻画群体图像，以此有偏好地分配金融资源，造成不公正低效率金融配置，甚至卷入洗钱和其他金融犯罪的可能。

另一方面，这种金融业机构既有法律定位的不足与危险，往往会在社会中持续发酵，刺激公众神经。在权利意识已经觉醒和贫富差距依然较大的当代社会，金融业机构容易成为权利主张的试验场，如果不能完善金融领域的权利分配和金融业机构法律责任的设置，其所引发的社会矛盾在大数据时代和推进金融市场化背景下可能会被进一步放大，造成严重的社会稳定问题。

三、金融业机构对个人金融信息保护法律定位的重置

在全面依法治国、共同富裕、强化金融安全与服务实体新发展的背景下，需要改革金融业机构在个人金融信息保护上的法律定位，推动立法从技术安全信仰向社会安全和全面法治信仰的转变。要坚持人民利益至上，显示个人在金融活动的自主权利，把金融业机构定位成技术相对控制者和社会责任承担者的结合。通过金融业机构、金融消费者、国家法律监管者之间的三组关系，重新定位金融业机构保护个人金融信息的法定权利义务。

（一）从社会安全价值角度全面认识金融消费者（客户）在法律体系中的合法权益

金融消费者是一个法律概念，可以从定义、范围、种类等方面进行法律上的思考。关于金融消费者的定义，央行将购买、使用金融机构提供的金融产品和服务的自然人视为金融消费者①参见《中国人民银行金融消费者权益保护实施办法》第2条。。但问题是：1.不少自然人实际上是个体工商户，是以自然人名义出现的商主体，其购买、使用金融产品和服务的目的并不是“消费”而是“经营”。2.即便“投资”可以扩张解释为“消费”目的，但有的自然人资金实力雄厚，并不弱于机构投资者。3.购买、使用非金融机构提供的金融产品和服务的自然人被排除在金融消费者之外，这使得金融管理部门构筑的金融消费者保护法律体系存在内在缺陷[4]。但这并不妨碍从社会学角度来观察这一法律概念的现实面目：金融消费者在社会学意义上是日常社交语言中的“客户”，是个“人”，即不是纯粹的交易者、假设的理性经济人、原子，而是活生生的老百姓，是金融业机构的客户。金融业机构如果做出对客户不利的事情，客户不必思考法律规定就可以投票淘汰或处置，这会对金融业机构的声誉与生意造成损失。因此，金融业机构要注重经济效益与社会效益的均衡，要从法律体系全面认识并承认客户的合法权益。相较于狭义地理解“金融消费者”合法权益，更应该较广义地理解“客户”的合理合法需求。

以个人金融信息保护为例，从客户来看其实质是金融消费者的个人金融信息与金融业机构的结合或分离。结合是指金融业机构依法合规地收集获取、查看变更、转让共享、公开披露个人金融信息等内容，金融消费者拥有知情权、同意权、变更权等权利。分离是指金融消费者可以主动要求清除、转移或者被动遗忘在该金融业机构的个人金融信息，享有信息数据注销权、信息数据可携转权、信息数据遗忘权等权利。

（二）从维护金融秩序的角度配合依法行政与依法监管

对于公权力机关而言，个人金融信息的发展是一把双刃剑，虽为公权力机关打击或监管金融违规和犯罪提供抓手，但也为公权力机关提出“如何打击或监管”难题。公权力机关不是个人金融信息发生与结合的场所，通常也就不是个人金融信息存储的对象。实际上，承担存储个人金融信息社会职能的主体是金融业机构。由于公权力机关与金融业机构的异质性，以及公权力机关自身的职能分工，需要对公权力机关介入或监管金融业机构掌握的个人金融信息提出合理性与合法性要求。这就需要金融业机构认识到，行政监管与司法管理是维护金融秩序不可或缺的组成部分。而作为金融秩序的主体建设者和受益者，金融业机构在发展自身业务的同时，也要依法配合好行政司法管理及专门监管工作。这里的行政司法管理主要是指反洗钱和打击其他金融犯罪，需要金融业机构依法合规履行安全报告制度和配合调查，保证调查内容的真实性、可诉性，不能以“保护金融消费者个人金融信息”为由拒绝国家机关的介入与监管，也不能以“国家机关介入与监管的命令”来侵害金融消费者合法权益。

（三）从促进社会主义市场经济和金融市场理性繁荣角度建设行业规范

在大数据时代，得数据者得天下，数据的价值体现在金融业机构的业务发展需要优质数据的支撑。因此，金融业机构需要通过市场竞争接触更多的金融消费者客户和掌握更多的个人金融信息。在自由竞争的市场环境中，金融业机构之间的个人金融信息掌握权争夺是常态，同时以金融业机构之间的合谋作为补充形式。如果没有良好健康的金融行业环境，金融业机构之间的自由竞争往往会伤害到金融消费者的合法权益，也容易造成金融行业“劣币驱逐良币”的恶劣局面。这就需要金融业机构在建设好内部管理制度的同时，还要推动金融行业向更高标准发展，金融业机构之间要达成赚取“健康利润”共识并建设相互监督机制，实现在个人金融信息保护上的行业自律规范。

四、金融业机构在个人金融信息保护上的规范表达与建设

（一）依法合理配置权利义务，推动体制改革完善

个人金融信息保护涉及多方主体、多方利益，包括个人、金融业机构、公权力机关和其他个人金融信息依法使用市场主体。依法合理配置权利义务关键在于确立个人金融信息权和围绕个人金融信息权展开的个人、金融业机构、公权力机关权利义务设置，改革金融业机构在法律主体结构中的定位和完善金融法治格局，防止出现金融业机构“一家独大、一权独大”的局面。个人金融信息权是个人必要不充分权利，《个人信息保护法》的出台为个人金融信息权提供了更为明确的法律基础，对于证明其必要性具有重大意义。但个人金融信息权不是纯粹个人权利，而是在金融活动中产生的产物，必然涉及多方关系。因此，需要通过金融数据确权来实现个人金融信息权对个人金融信息的充分保护。金融数据确权是以个人金融信息（客观经济事实）和个人金融信息权（法制）为基础的精细化设计，主要涉及个人、国家、金融业机构之间的权利义务分配与监督。个人可以通过个人金融信息权介入金融数据确权，并对个人的利益提出法律保护。金融业机构通过金融数据确权为经营业务解决合法性问题，降低制度成本与违法风险。公权力机关通过监督金融数据确权与保护个人金融信息介入审查金融数据。而关于其他个人金融信息依法使用市场主体的问题，要根据市场经济的客观发展与法律的完善程度具体展开。但在目前情况下，一律从严是较为合适的。

（二）建设完善、畅通、协调的金融业机构接投诉程序、行政监管程序、司法程序

关于个人金融信息保护的程序，既要注意事前规制和预防，又要注意事后的利益弥补和责任划分，因此，需要建立从金融业机构内部控制到行政监管再到司法的全过程覆盖，其中要以充分发挥金融业机构的专业优势与主观能动性为起点，加大金融业机构的法律责任承担。金融业机构履行的程序可以划分为涉法处理部分和不涉法处理的接受投诉与整改机制，涉法部分又可以划分为行政监管程序与司法程序。上述多个部分不存在难以逾越的层次障碍，应该按照“各司其职、通力合作”原则畅通协调，保证不同程序之间的合理转换。

金融业机构内部控制面对个人的主要内容是金融业机构接投诉程序。个人有权利对认为侵害个人金融信息权以及相关利益的行为进行投诉，金融业机构应该保证这种接投诉机制的正常运行，完善金融业机构自身的纪律约束和社会矛盾分流，通过提高服务质量来实现业务的高质量发展。行政监管程序主要要求金融业机构依法主动配合接受行政监管，一是刑法下的反洗钱和打击其他金融犯罪，二是国家安全下的国家监管金融活动。这就需要金融业机构为这种国家合法行动留足相关部门在个人金融信息上的活动空间，同时还要明确行政监督、行政诉讼机制。司法程序则是个人通过司法程序维护个人金融信息权及相关利益，以寻求公平正义的最后防线，司法程序需要为金融消费者个人提供最后的救济方式。

（三）民法、金融法、刑法多元多层次法律责任

为金融业机构配置法律责任，是维护个人金融信息安全的必要条件与有效办法。在现实生活中，个人金融信息安全问题不能一概而论，有从低到高的不同严重程度的表现，这就需要为金融业机构配置与之对应的法律责任。从现有法律体系看，民法责任、金融法责任、刑法责任可以为金融业机构提供较好的配置途径。

金融业机构的民法责任，一般是为解决金融业机构与金融消费者个人之间的法律纠纷提供法律依据，对金融消费者个人的损失与人格伤害进行民事赔偿。这种法律责任是处理个人金融信息安全问题不可或缺的机制，在一定程度上既为金融消费者个人提供了保护手段，也为法律纠纷的和解指明了出路。事实上，配置民法责任是个人感受最为直接的方式。金融业机构的金融法责任则主要是对因金融业机构的不法行为对金融秩序造成影响而进行专门的监管追责。金融行业不能没有监管机制，这是民法与刑法思路不能取代的，是对已经高度专业化的金融领域的专门知识构造。金融业机构的刑法责任，往往是对重大不法行为进行严厉打击的结论。不可否认，刑法责任配置依然是管理社会的有效手段，金融行业也不例外。三种法律责任配置结合，对金融业机构的个人金融信息安全义务设计了既重均衡性又重现实性的格局，符合宽严相济的法律理念。