淺議P2P網絡借貸中的個人信息法律保護

蔡定坤

西北大學法學院，陜西 西安 710127

一、P2P網絡借貸個人信息概述

（一）P2P網絡借貸的含義

P2P網絡借貸指個人與個人之間借助網絡平臺直接實現的無擔保貸款，英文原稱為“peer to peer lending”，主要由貸款主體、借款主體以及網絡借貸平臺三方組成。《網絡借貸信息中介機構業務活動管理暫行辦法》以網絡借貸平臺提供借貸信息為主要職能，將平臺定性為“網絡借貸信息中介機構”。相較于傳統商業銀行貸款，P2P網貸少了一道金融中介機構在借貸過程中進行信用評估與風險管理的程序，因而具有范圍廣、門檻低及風險高的特點。

（二）P2P網絡借貸中的個人信息界定

目前我國《個人信息保護法》尚在制定過程中，依據我國《民法典》、《網絡安全法》的規定及部分學者的觀點，“個人信息”指的是與特定個人密切相關的、反映其特性，且具有可辨別性的符號集合，包括個人身份、工作、家庭、財產、健康等各方面的信息。①還有學者認為僅從靜態層面分析“可識別”特征無法涵蓋個人信息的完整內涵，還需以動態化的視角來對個人信息的內涵加以界定，即從個人信息處理的不同階段評估其存在的風險，具有主觀傷害風險或者客觀傷害風險的個人信息才是法律上界定的個人信息。②故筆者認為應以“可識別性”作為對“個人信息”概念界定的基礎，動態性分析只能作為對信息主體受侵害可能性及程度的補充，需要結合案件的具體情況進行分析，因為若對每一項個人信息都要從主客觀上進行風險評估的話，會增加法律上對個人信息的界定難度和成本。

二、我國P2P網貸個人信息保護存在的問題

（一）法律規范較為松散缺乏統一性

在目前尚未制定《個人信息保護法》的情形下，相關法律規制呈現出針對某些領域集中但法規分散的情形，缺乏統一性。從個人信息保護在金融業監管中的相關法律規范可以看出，如《證券法》、《儲蓄管理條例》、《個人金融信息保護技術規范》等，其中既有法律、行政法規，也有部門規章，這些規范較為零碎，層次不一，規則籠統，部分內容重復或沖突，無法形成系統化的規制模式。另一方面，從效力層級來說，我國目前適用個人信息保護的法律文件，雖然在《民法典》、《侵權責任法》和《刑法修正案<九>》的個別條款中都有所體現，但大部分還是以行政法規和部門規章為主，在基本法律至地方政府規章之間尚未形成統一的規范體系，因而無法對網貸用戶的信息權益起到實質性的保護。

（二）網貸平臺自律監管不到位

根據《網貸辦法》監督管理一章節中的規定，對網絡借貸信息中介機構進行監管的主體主要有：中國銀行業監督管理委員會、各地方地金融監管部門以及互聯網金融協會，從而形成了自上而下的多層次監管結構。但是對于網貸平臺的自身監管上還存在不足，其中第三十六條、三十七條規定，只有當發生了重大經營風險、重大違法違規行為或被查處和起訴等情形時，網貸平臺才須向有關部門進行報告，其實質為一種事后監管，當重大事件真實發生后，再采取緊急措施和向上級報備可能為時已晚。并且考慮到此類重大事件發生的起因大多是由網絡借貸平臺自身管理缺失或者故意造成的，比如擅自收集和利用消費者個人信息，進行分析和處理用作其他用途等，妨礙了公民對個人信息的支配和自主決定的權利。

（三）法律救濟機制不完善

在現行的法律體系下，無論是傳統金融業監管，還是網絡安全監管中對個人信息的保護，都存在重行政、刑事處罰，輕民事歸責和救濟，重事后懲戒，輕事前預防的傾向。③在責任認定上，P2P網貸用戶可以依據《民法典》人格權編所明確的個人信息受法律保護，以個人信息未經同意被侵犯為由提起民事訴訟，但因為互聯網金融領域的信息不對稱性和侵權行為的隱蔽性，等到權利人發現個人信息受到侵害時，就很難確定誰是侵權責任人了，用戶往往難以舉證，在侵權責任的認定上仍然存在困難。在尋求救濟方面，由于P2P網絡借貸中存在著多重法律關系，當發生侵害事件時，會出現多次立案，群體訴訟以及刑民案件交叉審理的情況，大部分受害者又經常會遇到投訴無門、執法推諉的問題。

三、我國P2P網絡借貸個人信息保護的應對措施

（一）健全P2P網貸個人信息保護規范

結合當前立法現狀，本文認為在立法時采用寬泛與具體的模式更為適合。首先，我國《民法典》在第四編第六章對隱私權和個人信息保護作出了較民法總則更為詳細的規定，但仍屬原則性規定，對于下一步《中華人民共和國個人信息保護法》的制定和頒布上，須進一步明確對個人信息侵權行為的法律救濟及責任承擔。其次，網貸平臺獲取的大量個人信息多具有復雜性和敏感性特征，涉及到用戶的人格權益和財產權益，因此需對其進行專門的法律規制。另外基于不同行業或不同地域之間對信息的獲取程度也存在著差異，由政府“因地制宜”地單獨予以規制也十分必要。因而在個人信息的具體立法過程中，應當有針對性地建立健全相關的具體規則，預防個人信息侵權行為的發生，保護信息主體的正當權益。

（二）完善P2P網貸平臺自律監管體制

基于經營者的逐利性，個人信息泄露主要來源于網貸平臺，主要存在以下兩種情形：其一，平臺管理者為謀取私利不當利用用戶的個人信息；其二，平臺信息保密技術措施存在漏洞，易被外界侵入。通常經營者內部的工作人員都可以隨意查詢消費者的個人信息，這種情況下難免會出現消費者個人信息泄露的情況發生，并且這種情況下難以對具體個人進行追責。④因此，平臺自身應當完善保密技術措施，采用外包形式的應當征得用戶的同意，并與用戶簽訂保密協議；同時平臺內部可設立監督檢查部門，對于平臺工作人員違法違規處理用戶個人信息的行為進行應對和處理；P2P網貸平臺已造成信息泄露等情形的，應當采取相應補救措施并及時告知用戶以及向監管部門報備；平臺應定期檢測相關系統以及對工作人員進行風險防控培訓，提高信息保密意識，進而切實有效的保護對用戶的信息權益。

（三）健全P2P網貸個人信息法律救濟制度

針對用戶個人信息權益被侵害問題，應建立多層次寬領域的法律救濟機制。在民事責任認定上，針對P2P網貸行業中對消費者的信息侵權行為，在具體歸責方式上，本文認為可以借鑒產品責任之訴關于責任人的相關規定，當信息權利主體受到侵害且無法查清侵權行為人時，被侵權人無需明確實際侵權人所作行為與自己所受損害是否存在直接因果關系，可直接以信息接收方、網貸平臺管理者等潛在的侵權實施人作為被告，以降低維權難度。在對所造成的侵害進行認定時，不能僅將財產損失作為考慮對象，也可能因信息泄露而對用戶的名譽權等造成負面影響，因此賠禮道歉、消除影響等措施也應作為救濟手段，共同對用戶的個人信息權益進行完整的保護。在行政救濟上，對于部門之間權責不清、推諉扯皮、效率低下的情形，應由專門機關統一進行部署，建立監管部門協作執法體系，統籌安排各部門權責界限以及職能作用，并設立相應的投訴與意見反映渠道，使公民可以以多種方式尋求法律救濟以維護自身權益。

（四）完善P2P網貸平臺備案登記管理制度

P2P網絡借貸平臺備案登記管理制度從類型上來說是一種行政許可類備案，在實施與完善的過程中，應以促進網貸行業健康發展為中心，及時了解平臺的訴求和行業動向，加強行業自律，以行政法規的模式來制定全國統一的備案登記制度，規范其合法性及有效性；與第三方專業機構建立合作機制，比如以招標、投標方式確定合作的會計師事務所、律師事務所等；建立科學、有效的P2P網貸平臺退出機制，由各地方金融辦加強對網貸平臺的退出的引導和管理，建立自主申報退出機制與經營者終身追責制度，形成網貸平臺退出的有序化、科學化、人性化、穩定化，進而穩定P2P網絡借貸的持續發展。

四、結語

P2P網貸的產生與發展以互聯網中的信息互通為基礎，近年來個人信息保護也愈加受到人們的重視，針對實踐中因P2P網貸而導致的個人信息侵害問題，體現出當前對于網貸平臺的監管以及對用戶的救濟仍然存在著不足；針對此類問題應以P2P網絡借貸自身靈活性和高度信息性的特點為基礎，結合歷來學界對于個人信息保護問題的研究，從立法、執法層面予以完善，共同探尋出一條合理化的P2P網絡借貸個人信息保護路徑。

注釋：

①王利明．論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J]．現代法學，2013，35（04）：62-72．

②陽雪雅．論個人信息的界定、分類及流通體系——兼評《民法總則》第111條[J]．東方法學，2019（04）：33-42．

③劉靜怡．互聯網金融中的個人信息保護法律問題研究[J]．金融經濟，2018（08）：19-21．

④薛薛妮．互聯網金融風險的特殊性分析與監管對策探究[J]．西部法學評論，2017（05）：70-78．