互联网金融消费者个人信息权益法律保障研究

赵美玙

（首誉光控资产管理有限公司，北京 100034）

互联网金融是传统金融业与互联网从业机构依托互联网技术与信息技术而形成的新型金融业务模式。互联网金融在提高金融资源配置效率，实现资金支付、融通、投资等新型金融业务的同时，也对金融消费者信息权益保障带来挑战。在大数据和算法技术加持下，互联网金融业具有更强的隐匿性、复杂性和专业性。我国金融消费者权益屡屡被侵犯，[1]金融消费者信息安全面临着被非法收集、泄露、滥用的威胁。与金融消费者相比，互联网金融机构在资本、技术以及信息占有方面具有明显的优势地位。金融机构往往通过收集、处理金融消费者个人信息，生成能够反映消费者偏好的个人画像，并根据个人画像，分析、评估金融消费者的行为偏好、财产、经济状况等。在这个过程中极易发生过度收集、泄露、滥用金融消费者个人信息的安全风险。如何避免金融消费者个人信息被过度收集、滥用风险？如何完善金融消费者个人信息权益保障法律规范，如何健全金融消费者权益保障监管体制，如何加强互联网金融行业自律规则，成为亟待解决的议题。

互联网金融拓宽了金融市场发展空间，[2]金融业务范围愈加广阔，互联网金融机构与金融消费者间存在巨大信息鸿沟。由于金融消费者信息权益保障方面的法律不完善、金融监管体制不健全，金融机构侵害金融消费者个人信息权益事件频繁发生。

在法律法规层面，我国关于金融消费者信息权益保护的规范理据主要体现于《个人信息保护法》《消费者权益保护法》第14、26、50条以及其他金融领域中的相关规定，如《信托法》第22条、《商业银行法》第29条等。此外我国《宪法》《刑法》以及《民法典》中也有关于个人信息权益保护的规定，但缺乏有关金融消费者信息权益的专门规定。我国《宪法》第38条明确指出公民的人格尊严应受尊重。第40条规定公民享有通信自由与通信秘密权。《宪法》以间接方式保护公民的个人信息权益，是制定互联网消费者信息权益保护法的规范依据。我国《民法典》第一编总则第五章第111 条、第四编第六章第1034-1039 条以及第七编第三章第1194-1197条等是关于个人信息权益保障问题的规定。我国《刑法》第252条及《刑法修正案》（五）（七）（九）分别对非法获取、提供、泄露、侵犯公民信息权益的行为予以规制。在金融立法领域，关于金融信息保密的规定主要有《证券法》第41、137、147条，《消费者权益保护法》第14、29、39、50条，《个人信息保护法》以及《网络安全法》中关于个人信息安全的规定。

尽管相关部门发布了《个人信息安全规范》《关于促进互联网金融发展的指导意见》《关于加强消费者权益保护工作的指导意见》以及《金融消费者权益保护实施办法》等文件，其中也不乏有关于信息披露和金融消费者权益保障规则，但这些规范性文件的规定过于分散且效力层级太低，不具有法律上的强制性和可操作性。我国坚持分业经营、分业监管原则，该原则强调各监管部门间各司其职、相互协作，然而监管机构在履行职责过程中也极易产生互相推诿、相互扯皮现象。从金融监管手段上看，我国当前金融监管主要以传统行政监管为主，以间接经济调控手段为辅。随着互联网金融模式的创新及其金融业务的拓展，建立在传统金融模式上的行政监管手段难以适应新型互联网金融发展需求。尤其是传统金融监管在金融消费者信息权益方面具有滞后性。因此，加强互联网金融消费者信息权益保障尤为重要。

一、金融消费者个人信息权益保障的法律省思

（一）金融消费者信息权益保障的立法供给不足

我国在法律层面尚未对金融消费者个人信息权概念作出清晰界定。尽管我国《消费者权益保护法》对消费者概念作出清晰界定，但与普通消费者相比，互联网金融消费者概念有明显不同。2020年央行在其发布的《金融消费者权益保护实施办法》第三章第28条中对何为消费者金融信息作出界定： “消费者金融信息是指金融机构在开展业务或通过合法渠道获得的与特定消费者相关的信息，包括但不限于金融消费者身份信息、财产、账户、信用、金融交易等与购买或使用金融产品或金融服务相关的信息。” 我国全国人大常务委员会发布的《关于加强网络信息保护的决定》以及我国工业和信息化部发布的《电信和互联网用户个人信息保护规定》第4条明确了互联网个人信息的概念，同样未明确互联网金融消费者的概念。

我国关于金融消费者权益保护尚未有统一的法律规定。现有的关于金融消费者信息权益保护的规定过于分散。尽管近年来，国务院以及我国金融监管部门陆续出台了一系列规范性文件，但这些文件中除央行发布的《金融消费者权益保障实施办法》外，专门针对金融消费者信息权益予以保护的规范寥寥无几。面对频频发生的侵犯金融消费者信息权益事件，由于相关规则的滞后、不完备，金融消费者难以寻求有效的法律救济。随着互联网金融业迅猛发展，规制传统金融行业的法律法规与行业自律规则，无法预见互联网金融消费者信息权益保护这一特殊问题。因此我国互联网金融消费者信息权益保障工作任重而道远。

（二）金融消费者信息权益保护的监管体制困境

我国传统金融监管机构主要由 “一行三会” 构成，即央行、银监会证监会与保监会（2018 年版为 “一行两会” ）。在互联网金融模式下，传统金融监管体制显得捉襟见肘，互联网金融信息安全存在监管风险。[3]尽管我国金融监管机构内部分别增设消费者权益保护部门，但监管机构间职责分工不清。如我国《个人信息保护法》第60条规定国家网信办与法律法规规定的其他部门统称为个人信息保护职责部门，并负责有关个人信息保护的投诉、举报工作。而央行在《金融消费者权益保护实施办法》第35条、第37-53条及其第六章第60条规定 “一行两会” 、银行、支付机构等金融机构都有权处理互联网金融交易过程中产生的金融争议。当在金融交易中发生金融消费者个人信息权益侵害事件，个人信息保护部门与金融监管部门以及互联网金融机构都有管辖权时，就容易产生监管错位、互相扯皮现象。在分业监管理念下，我国不仅缺乏标准化金融消费者信息监管机构，而且各监管机构对侵犯金融消费者信息权益的案件处罚规范也不统一。以银行监管为例，我国监管部门更强调以静态监管指标为重点的审慎监管，此种监管理念难以适应以资金自由流通为目标的动态金融模式。

我国金融监管体制无法有效应对金融消费者个人信息流通可能引发的风险，亟待加强金融科技监管法制建设。[4]由于金融消费者信息处理活动具有跨地区、跨行业特征，各金融机构遵循分业经营模式。金融监管机构在执行监管职责活动中，沟通协作能力有限。面对互联网金融信息收集、处理、共享、流通的多层次与跨行业性，金融监管部门在规范金融机构信息处理行为中往往出现监管边界不明晰、监管主体缺位等问题。互联网金融出现混合经营趋势，我国金融监管如何从分业监管向未来统合监管过渡，是金融监管体制改革的重要方向。金融消费者投资种类、金融消费需求趋于多元化，得益于互联网金融模式的创新，互联网金融极大地满足了消费者的投资和消费需求。但随之而来的金融消费者个人信息权益被侵害事件急剧增长，金融消费者信息权益保障面临侵权责任归责困难问题。互联网金融机构经营业务已突破传统金融行业间的限制，而以分业经营、分业监管理念为指导的传统金融管理体制难以应对互联网金融消费者信息权益保障需求。因此，为保障金融消费者个人信息权益，结合互联网金融发展特征，需要进一步完善我国互联网金融监管体制建设。

（三）金融消费者信息权益救济机制不畅通

我国现有的金融消费者信息权益救济机制还有待完善。我国《消费者权益保护法》第39条规定了五种消费者争议解决途径：与经营者和解、由消费者协会主持调解、向行政部门投诉、申请仲裁以及向法院起诉。《个人信息保护法》第28条将金融账户列为个人敏感信息。针对侵犯个人信息权益的争议处理，该法第66条至71条分别规定行政处罚、信用档案、民事责任、治安管理处罚以及刑事责任的救济机制。央行在其发布的《金融消费者权益保护实施办法》第8条和第35条中规定金融消费者权益保护争议处理鼓励金融消费者先向金融机构投诉，以协商和解方式化解纠纷。如果通过投诉协商途径未能化解纠纷，金融消费者还可以通过调解、仲裁、诉讼等途径寻求救济方案。

当前金融消费信息权益多元纠纷解释机制不畅通。以投诉协商和解路径为例：互联网金融机构与金融消费者之间存在巨大的信息鸿沟。由于互联网金融的高度复杂性，消费者在参与金融交易过程中，金融机构在金融消费者还未完全知情的前提下，过度收集、存储、处理与消费者身份、财产、信用状况等密切相关的个人信息，其侵犯金融消费者信息权益的手段也具有隐秘性。面对拥有强大资本、技术、专业优势的金融机构，处于劣势地位的金融消费者针对互联网金融侵权问题，难以在不对等语境下进行平等协商。当金融消费者信息权益遭受侵害，互联网金融机构往往采用消极处理方式，推卸其应向消费者履行的有关金融商品或服务的说明义务。金融消费者由于欠缺信息，在维护自身权利、收集证据时举步维艰，难以承担相应的举证责任。在互联网金融交易中，消费者在购买或接受金融商品和金融服务中，面临诸多潜在风险，如P2P网络借贷、网络支付以及网络众筹等新型金融业务潜藏巨大金融风险。由于我国互联网金融多元纠纷化解机制尚未建立，导致信息权益受到侵害时金融消费者难以获得客观公正、及时有效的救济。

（四）互联网金融机构内控制度待健全

内控制度的建立与完善是防范金融机构经营风险，提高企业管理能力的重要举措。金融消费者权益保障内控制度内容包括但不限于金融消费者投诉处理、教育和金融知识普及、金融信息保护、风险等级评估、权益保护考评、金融产品或服务查询、披露制度以及内部监督与责任追究等。尽管我国《个人信息保护法》第51条要求个人信息处理者应提供技术和制度管理上的信息安全保障措施，央行发布的《金融消费者权益保障实施办法》中也要求金融机构建立健全内控制度，但由于金融机构内部尚未形成完备的个人金融信息管理规范，加之，金融机构内部业务纷繁复杂，机构内部各部门之间的权责界分不明晰，金融消费者信息保护机制难以覆盖信息处理的整个生态系统。由此，在金融机构内控制度不完备前提下，金融消费者信息权益保障工作举步维艰。

新兴信息科技在革新传统金融行业、提高金融效率的同时，也加剧互联网金融的经营风险。若金融机构仍严格遵循传统金融内控制度应对新型互联网金融业务带来的风险，如网络支付交易引发的金融消费者信息泄露、信息滥用风险，则易产生风险预警指标含混、决策失误等后果。当前我国互联网金融内控信息平台建设不充分，尤其欠缺覆盖金融消费者信息处理全流程的风险预警、事中管控、风险评估的信息平台。金融机构内部欠缺金融消费者信息监督与管理部门，个人金融信息流转不及时、不畅通，这对金融消费者信息权益保障产生消极影响。健全互联网金融内控制度，明晰金融机构内部各部门间的权责，营造良好的金融内控制度运行环境，是有效规避互联网金融交易风险，保障金融消费者信息权益的重要机制。

二、互联网金融消费者信息权益保障困难纾解之策

（一）制定金融消费者《个人金融信息保护法》

个人金融信息关系到金融消费者的人身权益和财产权，其内容包含金融消费者的个人身份信息、财产信息、交易信息、账户信息、验证信息以及其他与接受或购买金融产品或金融服务关联的信息，个人金融信息保护法亟待转型升级。[5]金融消费者信息一旦泄露，不仅会对消费者合法权益造成重大损害，而且会对互联网金融带来系统性风险。央行于2020年推出《个人金融信息保护技术规范》，该规范从金融安全技术与金融管理视角，提出对个人金融信息处理活动全生命周期安全保护的规范性要求。尽管该规范为保障金融消费者信息安全提供了专业、系统化的技术架构，但该规范只具有行业指导性质，对规范互联网金融机构信息处理行为不具有法律上的强制力。当然，无可否认，该技术规范为我国未来制定金融消费者《个人金融信息保护法》提供了重要标尺。

以《个人金融信息保护技术规范》为参考，我国《个人金融信息保护法》应以立法目的、适用范围、个人金融信息基本原则、个人金融信息敏感程度、处理环节、安全技术要求以及安全管理为重点内容。该法立法以保障金融消费者信息安全为旨归。个人金融信息安全保障的立法原则，在遵循一般《个人信息保护法》基本原则基础上，更加强调金融信息安全保障原则。同时金融消费者信息保护立法还应按照金融信息属性、信息的敏感程度以及该信息泄露对金融消费者其他权益可能产生的后果进行分级分类管理。未来制定《个人金融信息保护法》还应按照金融信息的收集、存储、传输、使用、公开披露等处理环节，从安全技术要求与管理要求两个方面分别规范金融机构信息处理行为，为金融消费者建立全生命周期的金融信息安全保障体系。

（二）完善金融消费者信息权益保护监管机制

互联网经营呈现混业经营趋势，构建统一的金融监管机制势在必行。传统金融监管遵循分业监管模式，金融监管部门间存在职权交叠、监管套利弊端。随着互联网金融混业经营特征凸显，[6]金融机构提供的金融产品或服务趋于多样化，互联网经营模式逐渐由分业经营向混业经营转变。如我国互联网金融机构一般兼营网络借贷、网络支付、资金融通、网络信托、网络基金、网络众筹、网络消费金等。传统的 “一行两会” 金融监管机制难以应对互联网金融产品或服务带来的挑战，难以保障金融消费者个人信息权益，难以满足金融消费者多元化投资需求。

完善现有的金融监管机制，需要从以下方面展开：一是转变金融监管理念。金融监管需由被动型金融监管向主动型金融监管转变，由分业监管向综合金融监管模式转变。互联网金融呈现跨区域、混业经营特点。革新金融监管理念需要加强各金融监管机构间的协商互动，设置专门的消费者金融信息保护部门，并由该部门对不同金融模块予以专门指导，以实现保障金融消费者权益保护的目标。二是需要明晰金融监管机构间的权责界限，并督促其勤勉忠实履行金融监管义务。结合互联网金融行业特性，制定《金融监管法》，通过完善金融监管信息共享、案件移送机制，明确国务院及其各部委和金融监管机构在新型金融领域中的主体地位，推进各金融监管机构间的协同与衔接。三是完善消费者个人金融信息管理制度方面，金融监管机构需要明确金融消费者信息权益保护方针、目标、原则、准则，制定金融信息生命周期管理、分类授权管理、分级分类管理脱敏管理、安全影响评估等制度，同时还应明确上述各项制度的实施细则或具体操作流程。

（三）构建多元化金融消费者信息权保障救济机制

互联网金融将传统金融业务移动到线上平台，虚拟性特点突出。金融消费者与金融机构在金融交易中因信息处理行为产生的纠纷，往往很难以面对面方式化解，法律对金融消费者权益保护责无旁贷。[7]由此，构建高效的线上纠纷解决方式尤为重要。线上纠纷解决方式主要有线上和解、调解与仲裁。面对金融消费者信息权益侵害事件，多元金融纠纷救济机制有益于保护金融消费者权益。[8]金融消费者可以从中选择一种或多种纠纷化解机制，既可以选择与金融机构协商和解，也可以通过在线平台予以调解或仲裁。金融消费者信息权益线上纠纷解决方式利用互联网信息技术高效、专业的优势，不仅可以及时保障金融消费者信息权益，还可以弥补传统金融监管体制的弊端。

金融消费者信息权益保障线上纠纷解决机制，具体而言需要从以下几个方面予以细化。首先，金融经营者在其网络平台内部设立投诉协商部门，专门在线处理侵犯金融消费者信息权益案件。金融经营者须向金融消费者公开纠纷和解协商规则，提供客服介入选择框和投诉协商链接。其次，构建线上调解平台需要充分利用网络交流软件、电子邮箱、短视频等技术，畅通信息传输与流通渠道，以便于调解员与金融交易当事人双方沟通和交流。此外，提高调解员化解纠纷的能力和素养，线上调解平台应选择既具有计算机专业背景，又具有金融知识和法律知识素养的高素质人才担任线上纠纷调解员。最后，为高效、便捷地化解金融纠纷，需要引入线上仲裁。线上仲裁将侵犯金融消费者信息权益的争议移入互联网平台，充分利用互联网金融行业发展优势。目前，我国部分发达城市已建立少量线上仲裁庭，专门负责处理网络金融纠纷。随着互联网金融业务规模的扩展，互联网金融消费者信息权益保障愈加紧迫。为发挥线上仲裁金融纠纷解决优势，一方面应拓宽线上仲裁处理金融消费者信息侵权案件的适用途径，另一方面应加强线上仲裁人员培训，提高线上仲裁人员的知识素养与业务水平。

（四）健全互联网金融消费者信息权益保障内控制度

良好的内控制度是有效规避金融机构内部风险的重要保障。金融风险一般被分为金融机构内部风险与金融机构面临的外部风险。防范金融机构内控风险是推动金融业高质量发展的基础。[9]互联网金融信息权益保障内控制度有益于保障金融消费者信息处理的整个生命周期安全，即该内控制度旨在规避金融机构在信息收集、信息传输、信息存储、信息删除以及信息销毁等信息处理环节产生的金融风险。金融消费者信息权益保障内控制度需要按照信息处理的整个生命周期构建。金融机构应设置专门的消费者金融信息权益保障部门，要求其在内控制度规定的职责范围内严格遵循操作流程尽职尽责、忠实勤勉履行义务。

根据信息处理关键流程，互联网金融消费者信息权益保障内控制度的完善，一是在金融消费者信息收集环节，内控制度应要求金融机构履行告知义务，并经金融消费者明确同意后才能实行信息收集行为。同时金融机构应对收集到的消费者金融信息进行分级分类、分级授权、加密保护管理，防止第三方未经授权的访问、窃取金融消费者生物识别、财产、支付等敏感信息。二是在信息传输环节，金融消费者信息权益保障内控制度应建立系统完善的信息传输安全规程与策略。信息传输安全规程包括预先身份鉴定、信息分级分类安全保障传输、信息分级加密传输。信息传输安全策略包括对传输的金融消费者信息进行安全监控、审核与优化，以保障消费者金融信息传输的安全性、可靠性。三是在信息存储环节，内控制度应禁止金融机构存储金融消费者的账户交易密码、生物识别信息等敏感鉴别类信息。金融机构应采取匿名化技术或去识别化技术，防止该类信息识别到具体的金融消费者。此外金融机构应分级分类存储金融消费者信息。当金融机构停止运营时，该机构应妥善管理其存储的信息。四是在信息使用环节，内控制度的健全要求金融机构在信息展示、公开披露、共享转让、加工和委托处理、汇聚融合开发测试中分别采取有针对性的信息安全风险管控措施。如在信息披露、共享转让中，金融机构应实施信息安全影响评估、脱敏处理、防泄漏、信息审计、移转过程防控以及信息输出过程审核与记录措施。在信息删除与销毁环节，金融机构一方面应保障信息删除后不可以被重新识别、访问与检索；另一方面，当消费者金融信息被销毁后，金融机构应采取无法复原的销毁存储介质，严格执行云端数据清除规则，并保留有关销毁过程的记录。