互联网金融消费者隐私保护探析

杜 宏

(内蒙古财经大学 计算机信息管理学院，内蒙古 呼和浩特 010070)

互联网金融凭借方便、快捷、省时、省力等优势，迅速走进人们的生活。在利用网络为广大消费者提供便利的金融服务过程中，互联网金融机构由于开展业务的需要，必然会积攒大量消费者的姓名、联系方式、家庭住址、网络金融账号、财产数额以及所购买的金融产品和所使用的金融服务等各种个人信息。由于这些信息能够带来较高的商业价值，在利益的诱惑下，一些不法企业和个人就会利用这种便利条件侵害消费者的隐私。互联网金融环境下，能否有效解决消费者隐私的保护问题已经严重地影响到互联网金融的健康发展。

一、互联网金融消费者隐私保护现状

随着我国“互联网+”政策的稳步推进，互联网金融异军突起，极大地促进了我国金融业的发展。国家互联网金融风险分析技术平台监测结果显示，截至2016年12月20日，我国互联网金融消费群体达6.27亿人，互联网借贷平台总数为5879家，网络借贷交易总额突破3万亿；网络支付总额为44万亿，网络众筹总额为400亿。互联网金融高速迅猛发展的同时，也给消费者信息保护带来了前所未有的挑战。中国支付清算协会课题组2016年11月进行的相关调查也充分显示，对互联网金融的安全性心存忧虑的受调查对象占比高达70.6%。国家互联网金融风险分析技术平台统计数据表明，2420家互联网金融网站涉嫌违规，系统预警过的高危网站达381家，网页漏洞950个，APP漏洞约为150多个，发现互联网金融网站攻击75.8万次，互联网金融仿冒网页4.32个，受害用户人数更是高达7.5万人次。中国互联网信息中心发布的第39次《中国互联网络发展状况统计报告》也显示，2016年，遭遇过网络安全事件的网民占比为70．5%，其中39．1%的网民都曾遭遇过网络诈骗问题。截止到2016年12月，360安全中心和腾讯安全统计结果显示，被安卓手机用户标记的骚扰诈骗类短信高达183．8亿条，其中诈骗短信就多达6．1亿条；被安卓手机用户标记的电话记录将近391．2亿次，其中诈骗电话记录数为48．9亿次。在众多的用户信息泄露事件中，即使是大型互联网金融企业也未能幸免。2013年，一名任职于支付宝的职员私自下载支付宝客户信息20G用以换取个人私利；2015年，9000名芝麻金融高端客户信息被外泄；2016年，60万铜掌柜平台的客户资料也惨遭外泄。

二、互联网金融消费者隐私被侵害的形式

(一)擅自收集消费者的隐私信息

虽然我国法律中已经明确列出不得擅自收集消费者隐私信息的相关规定，但在实际工作当中，一些互联网金融机构往往会出于商业目的的考量，在消费者不知情的情况下，使用各种手段超范围地获取消费者的个人隐私信息。在获取互联网金融服务之前，消费者通常需要在线填写相关的个人信息进行注册申请。互联网金融机构收到消费者提交的申请后，对消费者提交的个人信息进行审核验证。审核通过后，消费者就获得了该机构的消费资格。根据《中华人民共和国网络安全法》规定，网络运营者收集和使用消费者信息应遵循最少、必须原则，不得收集与其业务无关的消费者信息，互联网金融机构也不例外。但是，有很多互联网金融机构，在用户注册时，除了要求用户填写姓名、身份证号电话号码等必须的个人信息外，还要求用户填写收入范围、工作单位、职务等额外、与互联网金融服务无关的个人信息，甚至还有的互联网金融机构会要求填写相关亲属的个人信息。而且，在消费者安装一些互联网金融机构APP的过程中，还会被强迫要求同意机构获取你的通讯录信息、同意机构获取你的通话记录、同意机构获取你的微信记录等无理要求。消费者如果选择不同意，要么不能安装，要么安装了之后不能正常使用。

(二)擅自泄露消费者的隐私信息

互联网金融机构通常都会在其系统内部建立一个数据库，专门用于存放其通过各种手段获取的消费者个人信息，以便于日后的业务和管理中使用这些数据。正常情况下，互联网金融机构应该遵循事情约定，在消费者许可的分为内使用。但是，现实中却存在一些不按约定办事的互联网金融机构，为了能够获取非法利益，会在消费者不知情的情况下，暗中将消费者个人信息非法转让给其他利益相关方，或者公开披露，甚至可能会进行恶意传播。比如，有些保险公司为了进行“嫁接”销售，会主动联系互联网金融公司购买消费者的个人信息；而有的互联网金融公司为利益所诱，就会将消费者的个人信息悄悄出售。有些互联网金融网络平台没有设置较强的技术安全保护措施，从而为黑客制造了成功入侵的机会。黑客会通过技术手段潜入计算机系统中，窃取消费者的账号、密码、身份信息等隐私数据，然后利用这些信息损害消费者的利益。有时黑客也会出于其他目的，将得到的这些信息在互联网上进行公开展示，供人们随意浏览和下载。

(三)跟踪消费者的网站浏览记录

有些互联网金融机构为了深入挖掘每个消费者(无论是否是本机构的消费者)的消费意向和消费潜力，以便能够有针对性地销售其所提供的各种金融服务，常常会利用先进计算机工具，在消费者不知情的情况下，暗中对消费者进行网络跟踪。消费者在网络上浏览了哪些网站、在每一个网站上进行了什么操作、在不同的网页上停留了多长时间、在网站留存的个人信息等相关信息都会被悄悄地记录下来。互联网金融机构通过数据挖掘技术，对这些记录进行深层次的挖掘和分析，就可以准确地刻画出每个消费者的消费倾向、消费偏好以及消费潜力等信息，以便能够顺利地进行精准营销，有针对性地为每一个消费者推荐量身定制的互联网金融服务，从而迅速提高其在互联网金融市场中的竞争力。

三、互联网金融消费者隐私保护存在的问题

(一)法律体系不够完善

目前，我国尚未制定单独的关于个人隐私保护的法律，对于个人隐私的法律保护的主要依据是《宪法》、《民法》、《刑法》、《侵权责任法》等相关法律中罗列的一些条款，有关隐私权的法律规定是片面而零散的，不具有针对性。随着社会的快速发展，尤其是互联网的出现，原有的法律规定在解决当今社会面临的个人隐私侵害问题时，由于缺乏针对性，在隐私权的定性、损害程度、处罚形式等方面都没有统一、明确的规定，常常会使司法机关很难依照现行法律做出公正的裁决。法官在审理隐私权案件时，往往只能是参照类似法条和司法解释，将隐私权案件视为名誉权案件进行处理，互联网金融消费者在隐私受到不法侵害时，往往很难利用法律武器来捍卫自己应有的权益。维护互联网金融消费者的隐私权益进行，有时也会依据地方制定的区域性法律文件以及相关部门制定的部门规章。地方法规和部门规章制定主体多种多样，法规、规章位阶较低，保护力度不够。尽管2017年6月1日我国颁布并开始实施《中华人民共和国网络安全法》中，对网络运营商采集、应用用户信息的行为进行了相关阐释，其中也涉及维护互联网金融消费者隐私的问题，但是这些法律条款的表述都不够清晰，缺乏明确的标准,不便于实际操作，还有待进一步完善和细化。

(二)互联网金融机构内部管理不规范

在提供互联网金融服务的过程中，由于严重的“信息不对称”，一些金融机构为了自身的利益，违背信息收集的“最少必须”原则，擅自扩大信息收集范围，强制要求消费者填写非金融服务必须的隐私信息。有些金融机构没有设立专门的消费者个人信息保护的专职部门和专职工作人员，或者没有对相关部门和人员进行明确的职责和权限的划分；没有制订专门的操作规程、检查制度、责任追究制度及防控预案。在对消费者个人信息的使用过程中，缺乏必要的审批规范和责任制度，没有对内部工作人员进行消费者个人信息的操作权限设置，工作人员可以随意调用、查阅消费者的相关资料。还有些金融机构没有开展合理的网络和计算机系统风险测评，没有设立应有的安全技术防护措施，没有制定必要的网络安全风险防控预案。

(三)金融监管部门监管力度不足

目前，金融机构监管的主要目的是维护金融业健康发展，减少金融业的风险，消费者的隐私保护问题未被纳入重点监管范围之列。而且对于互联网金融机构没有设立严格的市场准入审批规则和法定程序，也没有相关的注册登记备案制度，这自然就会形成对互联网金融监管的缺失。2015年发布的《关于促进互联网金融健康发展的指导意见》虽然对互联网金融的监管职责做出了具体划分，但是由于互联网金融是互联网行业和金融行业跨界交叉的新兴产物，业务内容所触及的范围广泛而杂乱，致使各监管部门难以清晰地划分各自的权力和责任，经常会出现多个部门相互推诿、扯皮，甚至出现监管真空的现象。当消费者隐私权益受到侵害时，由于业务的复杂性，常常很难确定应该找哪个部门进行维权，至于平时应该由哪个部门依据什么法律法规对侵害消费者隐私问题进行监管更是难以明晰。此外，金融监管队伍中技术人才不足、监管技术手段落后，也使得监管机构难以及时发现和规避互联网金融消费者隐私遭受侵害的问题。为了能够更加规范金融机构在经营过程中的相关行为，有效保护金融消费者的合法权益，中国人民银行起草了《中国人民银行金融消费者权益保护实施办法(征求意见稿)》，于2019年12月27日开始向全社会征集意见。在“征求意见稿”中，对金融机构的监管问题也做出了相关规定(详见第五十六条)。但是这样的调查监管明显的带有“民不举、官不究”的被动色彩，缺乏监管的主动性。

(四)消费者个人隐私保护意识薄弱

我国公民的隐私保护意识普遍不强，在日常生活当中，很少有人关注个人隐私是否受到侵犯，还有很多人在个人隐私遭受侵犯时不知道该如何去维护自己的权益。互联网金融作为一种全新的金融运作方式走进人们的生活，绝大多数消费者对它的认知基本限于“新颖”和“方便”，至于它是否会侵害消费者的隐私、怎样侵害消费者的隐私，消费者基本上是一无所知。一些金融机构利用消费者对互联网金融侵犯隐私“无动于衷”这一弱点，通过完善个人信息获取高额积分或抽取大额奖品等方式，诱惑消费者在平台上填写并提交各类个人信息。有时还会设计类似“算卦”和“求签”的活动，只要消费者在网页上填写一系列个人信息后，就会得出来年的运势、未来的发展、一生的财富等对消费者具有一定诱惑力的结果。在这些活动中，本身不具备专业知识、风险评估能力欠缺、隐私保护意识较差的互联网金融消费者抱着“贪小便宜”和“玩一玩无所谓”的心态，将个人隐私自觉自愿地呈献给了这些金融机构。互联网金融机构就可以根据商业目的的需要，对获取的这些隐私信息进行加工、分析和利用。

四、保护互联网金融消费者隐私的对策与建议

(一)完善互联网金融消费者隐私保护的法律体系

由于现有法律法规滞后于互联网的发展，因此，一定要针对现实中已经普遍发生而法律中尚无明确规范的问题及时对相关的法律法规进行修改和完善。要通过立法程序确立隐私权在司法实践中的独立法律地位。同时，还要加快进度研究并制订维护互联网金融消费者隐私权益的法律规范，对互联网金融交易中消费者隐私的安全问题，要以法律形式做出明确规定。要明确规范互联网金融机构对消费者隐私信息可以采集和应用的权限，以及互联网金融消费者对个人隐私拥有的权益。制订维护互联网金融消费者隐私权益的法律过程中，可以借鉴其他国家的立法实践，结合我国具体的司法环境，对隐私信息的内涵和外延、保护的具体内容以及索赔形式等进行明确规定。此外，还要规范消费者信息在传输和存储中的安全保护制度，限制个人隐私的使用范围和使用场合，以保证互联网金融实施过程中消费者隐私基于法律层面的安全性。

(二)提升互联网金融机构内部管理水平

互联网金融机构在进行消费者个人信息收集的过程中，一定要在坚持“最少必须”原则的基础上，创建安全、规范的工作流程，设立周密、严格的内部管理制度。要将消费者个人信息的安全保密工作与工作人员的考核晋级密切联系起来，对于在消费者个人信息保护方面未尽到责任的员工，一定要给以严厉的惩罚，甚至交由司法机关处理。对于消费者个人信息的查询和使用，不能随意而为，一定要建立严格的审批和登记制度，确保消费者个人信息在使用过程中的安全性。对互联网金融机构的内部工作人员，有关消费者个人资料的操作一定要设置不同等级的权限，避免由于不同工作性质的内部人员随意查阅或者下载消费者个人资料而给消费者增添不必要的危害。此外，还要完善互联网金融机构的网络平台建设，加强系统的安全防护措施，避免由于网络和系统存在的安全漏洞给消费者造成不必要的损失。

(三)加强互联网金融行业的自律管理

中国互联网行业协会以及全国性、地方性的互联网金融行业组织的建立，能够在一定程度上营造有利于互联网金融健康发展的良好环境，并能够实时监测和解决互联网金融行业产生的问题。合理有效的互联网金融行业规范不仅能够强化各互联网金融机构的社会责任，也能增强各互联网金融机构在开展服务过程中的职业道德。因此，要鼓励各互联网金融行业组织不断创新和完善行业制度和规章，加强行业内部的自我约束管理能力。各互联网金融协会等行业自律组织除了制订章程、规范等规则约束加入的相关机构的经营行为外，还要制定具有较强约束力的行业公约，规范互联网机构采集和使用消费者隐私信息的具体流程，明确互联网金融机构内部人员保护消费者隐私信息的法律责任。对于互联网金融机构和内部人员违法采集和使用消费者隐私信息的行为，互联网金融行业自律组织应予以严厉的处分，并通过各类媒体进行广泛曝光。各互联网金融行业自律组织在行业服务质量评价标准中，应加入消费者隐私信息保护的内容，定期收集消费者有关隐私保护的评价记录，并以此作为测评参考值，进行行业服务质量等级评定。这样不仅可以提高互联网金融机构对消费者隐私信息保护的重视程度，而且还可以为消费者自行选择安全可靠的互联网金融机构提供具有较强说服力的客观依据。

(四)加大金融机构监管力度

在2019年12月新起草的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》进行修改时，应加入主动监管内容。由于普通金融消费者本身隐私保护意识薄弱，加之目前互联网和信息技术带有很强的隐蔽性，即使是隐私权遭遇侵犯，消费者也意识不到。因此，还应通过技术手段及定期检查和不定期抽查对金融机构进行主动监管。为了避免在监管过程中出现不同的监管部门相互推诿、扯皮现象的发生，首先要确立负责互联网金融信息的监管责任单位。可以考虑在“一委一行两会”的金融监管体系下，单独组建一个具有较强计算机专业知识的互联网金融信息监管中心，这样可以顺利解决多家机构协调不畅引发的重复监管和监管缺失等现实困境。该监管中心不仅负责制订严密的互联网金融信息保护规则，消除互联网金融信息存在的潜在隐患，还要收集相关信息、处理消费者投诉，以便及时发现问题，提出相应的解决措施。同时，还必须赋予该监管中心一定的检查权和执法权，这样才能够保证消费者隐私信息遭受不法侵害时，监管中心有权对涉事互联网金融机构进行调查取证并给予应有的处罚。该监管中心之所以要由具有计算机专业知识的人员组成，还有一个目的就是要积极开发先进的系统，以便实时监控互联网金融机构对消费者隐私信息的不当操作行为，并及时通过技术手段予以制止，避免消费者遭受不必要的损害。此外，监管中心还应开通电话、邮箱、微信、公众号等投诉渠道，以便于互联网金融消费者隐私遭受侵害时，能够通过这些渠道捍卫自己的权利。

(五)提高互联网金融消费者隐私保护意识

在个人信息被泄露和盗用的案件中，有许多都是由于消费者个人缺乏相关的网络知识以及对网络中存在的危害认识不清而造成的。针对消费者不具有互联网的相关知识、缺乏防范网络危害意识的问题，政府相关部门及互联网金融机构应广泛应用互联网平台、纸质媒体、数字媒体的传播优势，加大宣传力度，进行互联网金融知识和互联网信息安全知识的普及工作，通过专题宣传、公益广告、知识讲座等形式，争取让每一个消费者都能够深刻地认识到隐私信息的重要性以及隐私信息的泄露可能会给消费者带来的严重危害，提高网络安全防范意识。通过定期曝光一些侵害消费者隐私信息的案例，让消费者充分了解不法分子侵害消费者隐私的手段和途径，帮助消费者掌握保护个人隐私的方法和技巧。同时，还要明确告知消费者，在接受互联网金融服务的过程中一旦发现个人隐私信息遭受损害的情况，应该如何利用法律武器维护个人的合法权益。