大數據背景下的金融消費者隱私權保護

朱 曦

中央財經大學法學院

大數據背景下的金融消費者隱私權保護

朱 曦

中央財經大學法學院

我國金融行業的不斷發展，金融消費逐漸普及，日益成為人們生活中的重要內容。以大數據為代表的新興技術發展，使得金融消費者個人信息、金融信息等常常遭到泄露，金融消費者隱私權侵權易發高發。鑒于此，有必要從法律層面對此加以審視。目前，我國金融消費者隱私權保護機制還存在諸多制度性缺失。為彌補其缺陷，應著力將立法完善、金融機構義務強化以及疏浚權利救濟途徑等有機結合起來。

大數據；金融消費者；隱私權；保護

20世紀中葉以后，以計算機、網絡等為基礎技術取得了長足發展，人們對信息存儲和處理能力顯著提升，人類社會逐步由傳統的低密度數據同期處理技術階段邁入依賴于網絡信息系統的“大數據(Big Data)時代”。一般認為，“大數據技術”是指基于海量、來源多樣化的數據集合，通過云計算的數據處理與應用模式，快速獲取、處理、分析等手段形成的智力資源和知識服務能力，大數據具有數據規模大(Volume)、數據種類多(Variet)、處理速度快(Velocity)、價值密度低(Value)等基本特征。①

近年來，出現幾起較大的金融服務機構泄密事件證券股民信息被泄露甚至被公幵叫賣事件。隨著我國以移動支付產業的發展，螞蟻金服，微信支付、百度金融及相關金融服務產業對于金融消費者消費數據及個人信息、賬戶情況等信息更為集中，信息暴露風險敞口急劇擴大。面對大數據技術進步帶來的沖擊，我國對金融消費者隱私權進行保護的法律制度架構尚處于萌芽階段，仍存有諸多尚可玩完善之處。由此，本文擬討論上述問題并提出因應之策，希冀能于完善金融消費者隱私權法律保護制度構建有一二之功用。

一、“金融消費者隱私權”概念之辯

(一)“金融消費者”概念的提出

盡管“消費者”一詞已為人們耳熟能詳，但金融消費者這一稱謂在我國仍屬新興名詞，為學術界所爭相討論的對象。②一般認為，金融消費者系指消費者于金融領域中之延伸，金融消費者接受金融市場服務商提供的金融類產品或服務，金融消費者與金融市場服務商比較而言，位于劣勢，有普通消費者的一般征象。然而金融消費者固非傳統消費者，金融市場中的購買行為自某種意義下當屬投資理財行為，其較一般消費者而言則具有一定的異征。

銀行業監督管理委員會于2006年頒布的《商業銀行金融創新指引》系我國首次于官方層面提及“金融消費者”這一概念。2008年以來，尤自2012年“券商創新大會”以來，金融創新引致的結構化設計、層次關系復雜化的理財產品和金融衍生品層出不窮，金融機構間的并購整合集團化進程，兩者相互促進共同推動我國金融零售市場廣泛形成。金融創新和金融混業地雙向深化導致投資者的身份發生轉變，由此，金融消費者這一定義由概念轉為現實。金融消費者的認定可以從廣義和狹義兩個角度進行把握，廣義而言，金融消費者的認定有如下關鍵：一系自然人，法人或其他組織不能成為金融消費者這一概念的指向主體；二是需購買金融商品或接受金融服務；三要求上述產品或服務地提供者為金融服務商，一般的民間借貸因其發生于民事合同領域，將其借款方歸入消費者進行保護存在天然地現實障礙。狹義而言，金融消費者系指從銀行、證券、保險及信托等金融服務商處購買金融產品或接受金融服務的自然人。③

(二)“金融消費者隱私權”的內涵

隱私權(right to privacy)一詞肇源自美國，系由沃倫(Warren)和布蘭迪斯(Brandeis)兩位學者于《哈佛大學法律評論》1890年第4期共同發表的論文“The R ight to Privacy”中首倡，二者認為“隱私權是個人在通常情況下決定他的思想、觀點和情感在多大程度上與別人交流的權利，在任何情況下，每一個人都有被賦予決定自己所有的事情不公之于眾的權利，都有不受他人干涉攪擾的權利。”

逾百年過去，社會經濟不斷發展、人們觀念也發生著深刻地轉變，隱私權的內涵愈為豐富，其權利邊界不斷擴張，出現了“金融消費者隱私權”的概念。一般認為，金融消費者隱私權系指金融消費者所享有的、與公共利益無關的個人金融賬戶資料、金融交易數據以及因金融消費行為所提供的其他信息等依法受到保護，不為他人非法侵害的權利。④其與傳統隱私權的區別在于，金融消費者隱私權的權利客體集中指向含有財產利益的各類金融信息，可細化分為：設立金融賬戶的有關信息，如消費者本人和金融賬戶地指向關系，金融賬戶的交易情況、資金或金融財產數量等;金融賬戶交易的有關信息，如賬戶交易的對手方、數量、價格及交易時間等信息;金融服務商因開設立金融賬戶或賬戶交易而知悉的關于金融消費者的任何信息。

二、大數據背景下金融消費者隱私權保護的困境

(一)金融消費者隱私權保護的立法缺失

1、概念缺失

金融消費者隱私權作為一項新興的民事權利，其上位權利“隱私權”在美國和歐洲一些國家憲法中得到明確承認，形成了以最高法的形式確立保護的制度基礎。邁入大數據時代，為因應金融消費者隱私權保護這一新課題，域外各國和地區立法都作出很大的努力并取得了一定的進步。相關立法例情況如下：

時間 國家或地區 立法例1978年 美國 《金融隱私權法》1986年 美國 《聯邦電子通訊隱私權法案》2003年 日本 《個人信息保護法》2010年 臺灣地區 修訂《個人數據保護法》

然而，我國憲法并沒有對隱私權加保護加以確認，單是以列舉了幾項具體情形下的保護原則。2009年新頒布的《侵權責任法》系我國首次從法律實質層面上提出“隱私權”這一概念，然而該法亦僅于第二條中提及隱私權這一名詞，我國現行立法并未以以法律的形式確定隱私權的實質、具體內涵。“隱私權”之規定尚且如此粗糙，遑論“金融消費者隱私權”這一下位權利。

2、相關法律法規原則性強，規定不完備

美國于1974年頒布《隱私權法》、1978年頒布《金融消費者隱私保護法》，這兩個法案構筑起美國金融消費者隱私保護的基礎屏障。此外，美國聯邦政府和各州政府以兩個法案為藍本為金融消費者隱私權保護設定了詳實的實施細則，針對金融消費者隱私權保護從侵害防范、保護規則執行、侵害救濟等層級均細致設計，實現了對金融消費者隱私權的多方位、全過程的完整保護鏈條。反觀我國，目前存續的相關法律法規原則性強，操作性缺失。以我國《儲蓄管理條例》第5條和《商業銀行法》第29條為例⑤，此二者均僅原則性地規定商業銀行負有的針對儲戶的保密義務，從實際實施的方面來看，缺乏義務人的具體范圍和保密義務的實施準則。另外，法條規定亦不是十分完備，凡舉一例，《商業銀行法》第53條規定“商業銀行的工作人員不得泄露其在任職期間知悉的國家秘密、商業秘密”，此即使得金融消費者的個人隱私信息排斥在保護范圍之外，再者工作人員的規定不夠明確，僅限制工作人員，范圍亦過于狹隘。

3、監督機制混亂，監管失靈

從現行的體制安排上，我國對金融市場的監督管理的權責賦予給了“一行三會”。這即使得多龍治水的局面發生，因監管思路的不同，金融消費者隱私權的保障機制變得紛繁迥異，不同金融產品的消費者因此所受到的保障措施不同。與此同時，金融創新正使得金融產品的層次變得復雜，同一個金融產品的結構中可能包含有信托計劃、資產管理計劃等，此時該產品將面臨較為籠統的混合監管，金融消費者隱私權的保護更顯復雜，監管失靈的情形極易發生。

(二)金融消費者隱私權救濟途徑不完善

“無救濟，無權利。”由此，構筑金融消費者隱私權保護機制制度的關鍵一環即是為金融消費者在權利遭受侵害時提供適切的糾紛解決機制，疏浚司法救濟途徑。2013年修正的《消費者權益保護法》擴張了消費者的概念，將金融消費者歸入一般消費者進行保護，有效改觀了以前金融消費者保護“法無依據”的局面，實是一種進步，值得肯定。然而，在救濟途徑的套用上我國現行保護機制還有很多欠缺，主要體現在以下兩點。

1、缺乏對金融消費者權益保護的專門機構

金融消費者作為消費者群體中的一部分，固然有其本身的特殊性，但其與金融服務商相對比，在隱私權遭受侵害的場合，其自身議價能力較弱，處于劣勢，此種情形與普通消費者之境遇無異。固其自身權利的保護中應當有類消費者協會的組織監督，此種監督，一來避免金融服務商對金融消費者隱私權益的侵害，二者，可以為金融消費者在維護自身合法的隱私權益提供支持。針對金融消費者保護法律制度的特殊性，英美兩國設立專門的金融消費者保護局單獨對其進行保護。縱觀我國金融領域的機構設置，尚未有專門的機構或組織對金融消費者的權益進行保護。一方面是日益增長的金融消費者群體及其維權訴求，另一方面是監管人缺位的尷尬事實，不得不說金融消費者權益保護任重而道遠。

2、法律責任分配模糊，訴訟救濟成本較高

“司法救濟是權益保護的最后一道防線。”在金融消費者權利遭受侵害，請求救濟的場合，因其金融服務商的法律關系認定為一般的合同關系。其裁判規則和舉證責任的分配大抵是按照合同案件來進行劃分，使得本已處于相對劣勢的單個金融消費者維權成本更為加重。此外，訴訟作為糾紛解決機制中的最后一環，其周期相對較長，成本較高，會使得遭受侵權的普通金融消費者選擇息訴不爭，矛盾郁結。短期看，固可維持安平祥和的金融市場局面，長期而言，卻會金融消費者在交易時更為謹慎，甚至壓抑交易動機，增加社會的溝通成本和金融效率。

三、金融消費者隱私權保護的制度架構

一項法律制度的架構是從無到有，逐步完善的過程，我國目前關于金融消費者隱私權保護與現實的需求相比，存在著規定不完善，內容不切當，重復規定或者互相沖突等問題。解決好這些問題的關鍵應在于做好金融消費者隱私權保護制度架構的頂層設計，歷史的經驗告訴我們，金融市場除卻是一個交易雙方市場外，也是一個由國家緊密關切，需要著重監管的市場。這也就意味著，這一市場中的重要參與者金融消費者的權益保護不能僅靠私法領域的意思自治，還應在必要的時候允許國家行政力量的介入。同時，金融消費者隱私權保護制度的落地還應著力借力于金融行業自律，多元的糾紛解決機制的建構。

(一)立法完善：公私法整合的路徑主線

金融消費者隱私具有橫跨“公私兩域”復合性⑥之特征，此即表明在“大數據時代”，附著于“金融消費”這一行為上“私人”和“公益”兩種屬性聯系、交叉得更為密切。“大數據時代”技術革新促使金融消費者隱私權保護訴求不斷增加。此時，檢視私法對隱私權的保護措施和成效，推動公法審慎介入，構筑切合時代要求的金融消費者隱私權保護制度意義重大。

“大數據時代”，金融消費者隱私侵害情形既發生在私法空間，也發生在公有領域，作為整個金融市場的監管樞紐和中心，有權機關其對于市場運行及市場行為參與者的信息把控能力最為強大。因此，為防范有權機關的違法侵害，金融消費者隱私權的行政法保護顯得尤為重要。請讀者注意的是，公法介入金融消費者隱私權保護，并不意味著否定傳統的“私法保護”模式，只是在部分例外場合下，給予受侵害的金融消費者更多的救濟途徑。“私法保護”模式注重在侵權視角下對金融消費者進行保護；“公法保護模式”則具有一定程度上的約束功能，限制公權力機關對于金融消費者隱私權的非法侵害。唯有將此兩種保護模式良好地鏈接在一起，才能形成有效地金融消費者保護制度。

(二)強化金融服務商的義務及責任承擔

金融市場中，金融消費者的隱私信息總是被動掌握在處于信息優勢地位的金融服務商手中，這也是金融消費者隱私權屢遭侵害不可避免的主要原因。因此，通過立法強化金融服務商保護金融消費者隱私的法定義務及相應的責任承擔是保護金融消費者隱私權的客觀要求。

金融服務商在金融消費者隱私權的保護中應強化的義務有如下幾種：(1)保密義務。除非有法律上的依據或者經過金融消費者的明確同意，否則金融服務商不得將自己掌握的與金融消費者有關的隱私信息向任意第三人披露。(2)通知義務。美國《個人信息保護法》在其第五部分規定：“金融服務商在與消費者建立業務關系之初及其后至少每年一次，應以書面或電子形式向消費者提供一份清晰、醒目的有關本機構隱私政策與慣例的通知。”此即意味著金融服務商在與金融消費者建立合同關系之后，負有定期向金融消費者告知其所掌握的金融消費者隱私信息的保密情況。(3)信息安全保障義務。在提供商品或服務過程中獲取的金融消費者的私人信息金融服務商除應當保密之外，還需采取相應的技術措施和其他必要措施以保證信息安全;(4)信息再使用的限制義務。金融服務商不得將己獲取的金融消費者隱私信息再次使用，除非法律上的規定或為金融消費者本人的需要。

“民事權利和民事義務只有與民事責任相結合，權利才能受到責任關系的保護。”唯有立法明確規定金融服務商在違反上述義務時因應承擔的法律責任，才有助于金融服務商履行其法定義務，從而保障金融消費者隱私權全面保護這一目標的實現。

(三)救濟途徑完善：訴與非訴并舉

1、優化非訴糾紛解決機制

目前我國實際情況看，在一般性的侵權場合，金融消費者通過訴訟維權的積極性不高，蓋因訴訟周期較長，侵權舉證較難，因隱私權侵害引致的法律糾紛更是如此。實踐中可引入類似消費者協會(為方便稱呼，文中稱之為“金融消費者權益保護協會”)參與解決協調，促進糾紛解決。原因有二：一者是便利司法，節省司法資源；二者則是因為此種模式在國內一般消費者場合適用多年，有著較為成熟的實踐經驗。具體操作上，參照消費者權益保護協會的糾紛解決模式，先由金融消費者與金融服務商自主協商，協商無果的，金融消費者權益保護委員會支持其提起訴訟。該委員會還可以針對各金融服務商的不良行為進行信用評價，向社會公眾公開，借以約束各金融服務商的行為。此外，還可以賦予金融監管機構一定的權限，使其對金融服務商履行義務做出監督，并可對金融服務商的侵害行為做出處罰。

2、完善司法救濟途徑

經濟人的理論假設前提，使得金融消費者在面對自身權益遭受侵害時需要對維權成本進行權衡，金融交易講求效率。訴訟作為最終的糾紛解決工具，其本身的經濟性是金融消費者在侵害發生后是否會選擇的關鍵原因。程序上的復雜性、舉證責任的分配均需認真

下轉(第4 8頁)