第三方支付金融科技领域金融消费者个人信息保护研究

金志华

(腾讯集团，广东 深圳 518057)

互联网行业及金融科技的快速发展促进了第三方支付模式的兴起和发展，其依托于便捷高效的支付方式和适用于多元场景的特性，逐渐改变了现代消费者的支付习惯并成为我国主流的支付方式之一。目前第三方支付服务的受众及业务规模均已达到亿级，根据中国互联网络信息中心及中国人民银行发布的统计数据，截至2022年12月末我国手机网络支付用户规模达到9.11亿[1]，2022年单年度非银行支付机构处理网络支付业务笔数达到10241.81亿笔[2]。

伴随着第三方支付业务的兴起与第三方支付模式的广泛应用，第三方支付行业亦出现了侵害金融消费者(以下亦称“用户”)个人信息的情形，如支付机构过度收集用户个人信息、支付机构或支付机构员工非法泄露或买卖用户个人信息、支付机构未经授权非法对外提供用户个人信息等侵害金融消费者信息安全的风险事件，并对金融消费者个人信息安全及财产安全造成严重影响。

在第三方支付行业及金融科技信息化、智能化高速发展的当下，如何提升支付机构金融消费者个人信息处理和保护能力，平衡方便快捷支付与金融消费者信息安全保护之间的关系，成为支付机构提升展业合规性、落实金融消费者保护义务、切实履行社会责任的重要课题。

1 第三方支付机构金融消费者个人信息保护的重要性

1.1 第三方支付机构掌握海量、高敏感的用户个人信息

得益于第三方支付行业的快速发展，第三方支付机构的用户规模逐渐扩大并达到亿级规模，其依托于为用户提供第三方支付服务的场景，获取和收集了海量的用户个人信息；同时，支付业务的属性决定了第三方支付机构所收集和处理的信息，涵盖了用户实名身份信息、金融账户信息、支付交易行为信息等敏感程度极高的个人信息，该等信息一旦被泄露或者非法使用，极有可能导致针对用户的欺诈、风险事件的发生，并可能给用户带来人身、财产上的巨大损失[3]。

由于支付机构掌握了海量的、敏感程度极高的用户个人信息，若其不具备完备的信息处理能力、信息安全保障能力或者在内部控制制度和风险管控上疏于防范，极可能导致用户信息及用户敏感个人信息泄露、滥用等风险并严重损害用户权益。

1.2 第三方支付机构侵害用户个人信息权益的事件屡禁不绝

第三方支付机构在为用户提供支付服务的场景下，其在为用户开立支付账户、为用户提供交易验证及开展用户营销等环节，均会密集地涉及用户个人信息收集、验证、加工、存储等信息处理活动；与之相对的，受限于“针对新兴发展的第三方支付行业缺乏系统的个人信息处理监管规则”“支付机构的内部控制制度及机制不健全”“支付机构及其员工的信息安全意识不到位”“支付机构业务系统存在漏洞或管控不严”等现实情况[4]，侵犯用户个人信息权益的风险事件频发并屡禁不绝，对用户的信息安全及财产安全造成严重的影响和威胁，例如，支付机构超出必要范围收集处理用户个人信息、支付机构利用优势地位扩大个人信息处理范围、支付机构违规收集和对外提供个人信息、信息管理系统漏洞或管理缺陷导致信息泄露、支付机构的内控机制不健全导致的员工或者外包服务机构泄露信息。

据此，在用户个人信息日益重要及用户个人信息价值日益凸显的现实情况下[5]，亟须明确第三方支付领域的相关机构所需履行的用户个人信息保护义务，要求第三方机构严格按照《个人信息保护法》(以下称《个保法》)及相关法律法规的要求规范相应业务及系统流程，确保用户个人信息的获取、处理、存储和使用等符合监管要求，并对处于相对弱势地位的金融消费者予以适当的倾斜保护。

2 第三方支付领域金融消费者个人信息保护的困境

2.1 《个保法》在第三方支付领域适用落实有待进一步明确

《个保法》作为我国个人信息保护领域的“宪法”，填补了我国个人信息保护在立法上的空白，并与《网络安全法》《数据安全法》共同构建了我国网络安全和个人数据保护方面的顶层设计，为包括第三方支付行业在内的各行业机构及主体落实个人信息保护要求提供了基本的依据及指导。

但相较于一般的市场主体而言，第三方支付机构处理的用户个人信息通常为用户的敏感个人信息，且其在处理用户个人信息时除需要考虑如何保障用户个人信息权益和安全外，还需要妥善平衡“用户信息权益保障”“支付交易安全维护”以及“包容支持金融创新”之间的关系。第三方支付机构应如何切实有效落实《个保法》项下的合规要求，尤其是如何区分基于履行法定义务(如反洗钱义务)处理信息与基于用户同意处理信息的边界、如何平衡最小必要原则与知情同意规范的关系、如何平衡基于交易安全维护及交易争议处理等目的产生的信息留存需要与用户信息删除权的关系等，均是第三方支付机构面临的现实的合规抉择问题，也是未来第三方支付行业用户个人信息处理与保护制度需慎重考虑的问题[6]。

由此可见，前述偏向于顶层架构的法律不能有效满足第三方支付业务的特殊需要，仍需结合第三方支付行业的具体情况，明确《个保法》在第三方支付领域的适用及落实要求，并构建更为详细、具有可操作性、适用于第三方支付行业的个人信息保护监管规则体系。

2.2 第三方支付领域的个人信息保护监管规则体系有待厘清

在《个保法》施行前，我国已通过行政法规、部门规章以及规范性文件等形式对第三方支付行业用户个人信息保护事宜作出了零散的规定，例如在《中国人民银行金融消费者权益保护实施办法》《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》等法律规范中均提出了支付机构处理用户个人信息时所需遵守的合规要求，但此类要求散见于零散的或者法律层级相对较低的文件[7]，并可能存在与《个人信息保护法》相冲突、不同部门或层级的规范之间互相冲突的情况。

前述现行第三方支付业务相关监管规则中与个人信息保护相关的规则制定时间较早且较为零散，并未形成系统协调的监管规则体系，无法有效承担规范第三方支付领域个人信息处理活动的功能；且规则之间的冲突性可能影响第三方支付机构有效地理解和落实用户个人信息保护的合规要求。因此，亟须厘清第三方支付领域用户个人信息保护的相关规则，解决既存的冲突性规定，并构建自洽的个人信息保护监管规则体系。

2.3 第三方支付领域的个人信息保护的监管执法有待进一步完善

目前，我国在个人信息保护领域的行政执法，呈现出市场监督、工信、网信、行业主管部门等多头分散执法的现状，分散的监管可能导致监管空白或者监管套利[8]。就第三方支付行业而言，受限于业务复杂性和金融专业门槛，工信及市场监督等部门往往难以有效地对支付机构开展用户个人信息处理活动相关监管，实践中主要由中国人民银行及其分支机构对第三方支付机构的个人信息处理活动进行监管，但是人行及其分支机构在开展监管执法活动时，主要依据其制定并适用于支付机构的金融监管规范中与个人信息保护相关的规范，如散见于征信业务法规、支付结算法规、反洗钱规则、信息科技管理规则等法规中与个人信息保护相关的规定，并未涵盖个人信息收集、使用、存储等个人信息处理全流程合规要求。

现阶段，基于前述分散监管的现状，会使得第三方支付机构应对多头监管并增加合规成本，且可能导致第三方支付领域个人信息保护监管有效性降低。笔者认为，确有必要进一步厘清第三方支付领域个人信息处理活动合规监管的职权归属及监管执法依据，从而提升第三方支付机构履行合规义务及监管执法的有效性。

3 加强第三方支付领域金融消费者个人信息保护的对策建议

3.1 衔接《个保法》，明确支付机构保护用户个人信息的义务

作为个人信息保护的核心上位法，《个保法》从个人信息的界定、处理个人信息的合法性基础、全生命周期合规管理、个人信息主体的权利行使与响应机制以及企业的内控合规要求等多个角度明确了监管标准。针对第三方支付业务活动中涉及的用户个人信息收集和处理活动，需遵循“原则上适用，例外时调整，必要时细化”的原则落实《个保法》的要求。具体而言，笔者认为可以从包括但不限于以下方面实现支付业务法规与《个人信息保护法》的全面接轨，明确支付机构收集处理用户个人信息的各个业务流程及环节的合规要求[9]。

(1)原则上适用：如对标《个保法》丰富支付机构处理用户个人信息的合法性基础。与《民法典》《网络安全法》等法律项下以“用户同意”作为单一的处理个人信息合法性基础不同，《个保法》第13条在结合社会实践情况的基础上丰富了处理个人信息的合法性基础，构建了用户授权同意及其他法定无须授权同意的处理个人信息合法性基础，如加入了“履行合同义务所必需”“履行法定义务所必需”等可替代“个人同意”的情形[10]。

但在适用于支付机构的相关法规中，目前仍沿用早前的“以同意为单一合法基础”的规制思路，例如《中国人民银行金融消费者权益保护实施办法》第29条“银行、支付机构处理消费者金融信息，应当遵循合法、正当、必要原则，经金融消费者或者其监护人明示同意，但是法律、行政法规另有规定的除外”，此类规定可以考虑根据《个保法》的规定进行调整，并对标《个保法》确立处理用户个人信息的多元合法性基础。

(2)例外时调整：适配行业特征，明确支付机构响应个人信息主体权利的实现方式。《个保法》对个人在个人信息处理活动中的权利进行了规定，总体而言，规定了个人信息主体享有知情权、决定权、拒绝权、删除权等权利，并要求个人信息处理者建立个人行使权利的申请受理和处理机制，拒绝个人行使权利的请求的应当说明理由，支付机构在处理用户个人信息时，也应当保护信息主体的各项法定权利。

但是，考虑到支付机构在处理用户个人信息时，需要审慎平衡“用户个人信息权益保障”及“支付交易安全及秩序维护”之间的关系，如无限制地允许个人行使知情权、决定权、拒绝权、删除权等权利，可能影响或者危害支付交易结算的安全与秩序。因此，笔者认为针对第三方支付行业的法规立法中，可以对支付机构响应个人信息主体权限的边界进行必要的限制，例如，对于删除权而言，可以通过第三方支付行业法规立法的形式，明确支付机构有权拒绝用户提出的删除支付交易信息的请求，并在保存一定年限后才进行删除处理；对于知情权而言，在出于维护支付安全、防范电信网络诈骗风险等目的对用户支付账户采取账户限制措施或者其他管控措施时，支付机构可以不主动告知或者通知用户相关情形。

(3)必要时细化：明确支付业务项下信息收集处理的最小必要范围。《个保法》第6条要求个人信息处理者限于实现处理目的的最小必要范围收集个人信息、不得过度收集个人信息，但是并未对“最小”和“必要”作出说明和界定；第三方支付业务相关的监管规则、金融行业规范中亦未明确哪些类型及字段的信息属于提供支付服务所必要的信息，这使得支付机构在确定用户个人信息收集及处理范围时，主要依赖于自身的合规尺度及监管机关的监管力度，并可能导致“超出必要范围收集信息”“超出最小必要范围索取用户权限”等侵害用户信息权益的情形频发。

为此，笔者建议通过行业法规、规范或者行业自律监管规则的方式，明确支付机构在提供支付服务场景下的“最少信息范围”“最小权限范围”，以降低和防范支付机构超范围收集信息、索要权限的违法违规情形。

(4)必要时细化：明确支付机构内控合规义务实施细则。《个保法》要求个人信息处理者建立完善的个人信息保护内控制度及机制，《中国人民银行金融消费者权益保护实施办法》亦要求支付机构建立金融信息保护制度。支付机构作为收集处理了海量、高敏感用户个人信息的机构，应当严格遵守前述法律法规项下的内控合规要求，建立相应的内控管理制度及机制以保障个人信息处理活动的合法合规性及安全性。

据此，笔者建议在支付行业相关法规或者自律规范中，应当考虑适配《个保法》及相关法规的要求，明确支付机构应当建立和完善的内控管理制度及制度实施细则。

3.2 提升第三方支付领域个人信息保护的监管有效性

行之有效的监管体系对压实第三方支付机构用户个人信息保护主体责任、督促第三方支付机构切实有效地履行用户个人信息保护义务具有重要的意义，这也是保障第三方支付行业行稳致远及健康发展的关键。结合我国当前对第三方支付领域个人信息保护监管的现状，笔者认为可以从以下方面入手提升监管有效性。

(1)进一步完善监管体系及监管职权划分。如上文所述，我国目前对于个人信息保护的监管系多头分散监管，容易导致监管空白或者监管洼地，因此可以进一步完善监管体系和监管职权划分，防范监管套利行为。2023年，国家金融监管架构发生了重大调整，应当借此契机进一步理顺对第三方支付行业的监管规范。具体而言，一是建议可以明确多头监管架构下各个监管机关的职责及权限，防范多头重复监管导致的监管资源浪费及支付机构应对合规监管的成本浪费，同时也可以防范监管真空和监管洼地；二是建议尽可能适当拉平各个监管机关的监管执法依据及执法口径，适度控制监管执法裁量空间，防范由于执法口径及标准差异导致的监管套利的情形。

(2)适应行业发展更新监管方式与手段。我国第三方支付业务的发展速度、技术手段和规模均走在世界前列，新兴的支付业务、技术应用乃至智能化的设备不断涌现，诸如刷脸支付、刷掌支付等新兴支付技术手段不断运用于实践和各种支付场景，并为用户提供了更加便利的支付服务。对此，笔者认为，监管机关需积极适应第三方支付行业的发展，进一步更新监管方式和监管手段，积极利用大数据、云计算等技术手段，从规范行业发展和技术应用的角度，进一步改善监管执法的技术水平，最大程度提升监管执法的有效性[11]。

3.3 提升用户个人信息保护的意识和水平

值得重视的是，尽管第三方支付服务的受众群体已非常广泛，但相关受众群体在个人信息保护方面的意识相对较弱，对于个人信息的保护意识以及个人信息泄露后的维权意识不强，维权的手段和方式也相对单一，这已成为金融消费者权益保障最为突出的问题，毕竟金融消费者权益维护是否充分、有效在很大程度上取决于消费者自身的意识是否到位。

为提升用户个人信息保护的有效性，需致力于提升个人信息主体的保护意识和认知水平，加大个人信息保护的宣传与教育力度，引导和教育支付用户妥善保管支付账户及密码等信息、在安全的网络环境中使用支付服务、在发生信息泄露风险事件时及时维权，更好地保护自身的信息安全及财产安全[12]。因此，建议金融监管机构加大对第三方支付机构在金融宣教方面的政策保障，将履行宣教作为对第三方支付机构考评的重要指标之一。同时，尽可能动员更多的社会资源致力于提升金融消费者自我维权的意识和水平。

4 结语

在数字经济时代，第三方支付及金融科技领域的迅速发展是时代背景下的主潮流。值得肯定的是，第三方支付给金融消费者带来了便捷的支付服务与体验，但不容忽视的是，也衍生了金融消费者权利尤其是信息权利的行业乱象及风险事件，诸如非法收集、非法使用、泄露用户个人信息的行为屡见不鲜，且往往只是侵权行为的开端，相关信息一旦被非法泄露或者使用，用户的信息权益、人格权益及财产权益将持续性的处于被威胁状态且很难恢复原状。

第三方支付机构作为第三方支付领域中个人信息安全的“守门员”，在收集、使用用户个人信息时，需严格遵守相关法律法规制度，加强金融监管、行业自律及机构内部的监督审计，筑牢第三方支付机构在个人信息保护方面的合规底线，在数字经济及金融科技发展如火如荼的当下为使用支付服务的用户披上盔甲。