數字經濟時代金融消費者信息保護的核心要素

楊東 顧雷

在數字經濟時代，更好地保護金融消費者信息已成為金融機構和監管部門的重要任務。金融監管機構應充分尊重并保障金融消費者知情權、信息安全權、隱私權、同意使用權、追責求償權、數據用益權，從產品設計、費用標準、信息披露、風險提示等多方面做到合法合規，提高消費金融產品和服務透明度，保護好金融消費者信息權益。

雖然金融消費者的信息安全應該受到尊重，但市場信息從初始狀態起就不是完全對稱的。金融機構基于金融監管的約束，會主動進行信息披露，但在金融風險較高時，金融機構可能會隱匿敏感消息、潛在風險等重要信息，而金融消費者大多是分散在市場各個角落，個體實力單薄，長期處于弱者地位，缺乏自我保護手段，整體上無法與金融機構相抗衡，可能會做出非理性的判斷。因此，這就需要我們加強保護金融消費者信息安全。

世界范圍對金融消費者信息保護

國外對金融消費者信息保護

近年來，二十國集團（G20）、世界銀行（World Bank）、經合組織（OECD）、金融穩定委員會（Financial Stability Board，簡稱FSB）、金融包容聯盟（Alliance for Financial Inclusion，簡稱AFI）都將金融消費者信息保護列為一項核心工作。經合組織下設的金融教育國際網絡2009年5月發布了《金融教育和認知最佳實踐》，不少篇幅涉及金融消費者信息保護內容。金融包容聯盟自2009年成立以來，一直將金融消費者信息保護作為最重要工作之一。2011年9月，金融包容聯盟成立了消費者扶持與市場準則工作組，形成了一套金融消費者信息保護的核心原則和工作流程。2011年10月，二十國集團巴黎峰會公布了經合組織牽頭制定的《金融消費保護高級原則》。2011年10月金融穩定委員會發布的《重點涉及信貸的消費者金融保護》和《消費者金融報告》，以及2012年6月世界銀行出臺的《金融消費者保護的良好經驗》都涉及金融消費者信息保護內容。目前，國際上正在研究成立一個金融消費者保護機構——金融消費者保護網絡，更好促進國家間金融消費者信息保護經驗交流以及保護規則形成。

我國的金融消費者信息保護

我國金融監管部門高度重視金融消費者信息保護。中國人民銀行、中國銀保監會、中國證監會均設立了相應的金融消費者保護部門。例如，2012年3月，中國人民銀行設立金融消費權益保護局，主要職責就是研究我國金融消費者保護問題，擬訂金融消費者保護政策法規草案，協調金融機構消費者信息保護工作。2012年4月，中國銀監會獲批設立銀行業消費者權益保護局，主要職責之一就是為擬定金融消費者權益保護的政策法規，開展金融消費者信息保護體系建設，督促銀行和從業人員加強信息披露、消費者風險提示，調查處理銀行業消費者投訴以及開展銀行業消費者公眾教育。

多年來，“一行三會+四家消保機構”（后為“一行兩會+三家消保機構”）模式積極推動金融消費者保護工作，共同構成了我國“分業監管模式”下的中央層面金融消費者信息保護機制。同時，我國各地工商行政管理部門、消費者協會、金融行業協會承擔著地方層面金融消費者信息保護職責，減輕金融風險傳遞危害，提高我國金融體系穩定性和可持續性。

近年來，全國人大常委會《關于加強網絡信息保護的決定》、工信部《電信與互聯網用戶個人信息保護規定》以及工商總局《網絡交易管理辦法》都對個人信息保護做了一定規范，加之《刑法》《侵權責任法》《網絡安全法》以及“兩高”（最高人民法院、最高人民檢察院）發布的若干司法解釋、指導意見等20多個規范性文件，出臺的3個非強制性國家行業標準，初步建立了我國個人信息保護規則體系。

2017年全國金融工作會議明確提出“把金融消費者權益保護放在更加突出位置，加強金融消費者教育”。2020年2月央行發布了《個人金融信息保護技術規范》，為金融機構加強個人信息保護和監管機構執法工作提供技術標準參考，2020年11月央行實施的《金融消費者權益保護實施辦法》，規定金融機構在使用、轉移和存儲個人信息時必須履行本地化保護的要求。中國人民銀行正在制定《個人金融信息保護暫行辦法》，也加大對金融市場個人信息保護的監管強度，強化金融機構合規意識。總之，數字經濟時代，加強“負責任的金融”理念，更好保護金融消費者信息，已經成為金融機構和監管部門的重要任務，對于提振金融消費者信心、維護我國金融市場穩定和可持續發展具有重要意義。

金融消費者信息保護的核心要素

基礎性信息權益

知情權

知情權是指金融消費者有權知悉其購買的金融產品或服務的全部、真實、準確信息。金融消費者依法享有對金融產品或服務的價格、類型、服務態度等涉及自身權益的相關情況知曉權利，對金融機構不恰當的信息保護行為有權提出批評。這符合國際慣例，與歐盟《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）、美國加州《消費者隱私權法案》（California Consumer Protection Act，簡稱CCPA）基本類同。也就是說，金融機構有義務披露所提供金融產品或服務的真實情況，收集、流通、使用、刪除等過程都需要履行“告知-同意”義務，幫助金融消費者信息知情與處理可控，最大限度保護個人信息安全。

隱私權

隱私權指金融消費者的個人信息、賬戶信息、交易信息等依法受到保護的權利。金融機構不得不當儲存、過度收集、私自披露金融消費者的個人信息，更不能借此謀取不當利益。

在英美法系，一切與人有關的權益保護均屬于“隱私”（Privacy）范疇，個人信息保護也納入隱私保護，受到專門法律保護。例如，歐洲委員會1981年通過了世界上第一部個人信息保護的國際公約《個人數據自動化處理中的個人保護公約》，第一條就明確規定其目的在于保護個人權利和信息安全。歐盟1995年《數據保護指令》及2016年《統一數據保護條例》也都將保護自然人基本權利和信息安全作為其立法基本宗旨，尤其是加強個人隱私權保護，尤其體現在使用個人數據不泄露或公開個人數據的規范上，個人數據和隱私權保護已經成為歐洲各國個人信息保護最重要的內容之一。

延展性信息權益

信息安全權

信息安全權是金融消費者信息保護的首要延展性權利，即金融機構應當依法保障金融消費者在購買金融產品和接受金融服務中的信息安全。在西方國家，個人信息被認為是人權的一種延伸權利。《歐盟基本人權憲章》第8條明確將“個人數據保護權”作為一項獨立的基本權利加以保護：“每個人有權保護涉及自身的個人數據”。歐盟《數據保護指令》以及《統一數據保護條例》（GDPR）都一直堅持將個人數據處理的安全性原則作為個人數據處理的法律依據，處理個人信息的前提應當尊重個人的選擇或意思表示。

這種理念應該得到延續，應該在未來金融消費者信息保護中得到體現。這就意味著，金融機構不得利用科技技術優勢在格式合同中讓金融消費者對信息產生不明確認知，不得加劇信息不對稱，不得加劇導致金融消費者無法了解或者知曉金融信息的可能性。由此，我們建立個人信息內部安全管理制度，不僅要強化個人信息在收集、轉移、使用、借用、刪除、向第三方提供、跨境告知方面的權利，而且要讓金融消費者具有控制個人信息的收集、使用、刪除或出售的能力，例如采取清晰易懂的語言向個人告知金融信息;當變更處理方式時，還須重新告知，以期達到金融個人消費者的知情與可控，嚴格保護金融消費者信息安全。

同意使用權

在數字經濟時代，金融消費者往往處于被動地位，不提供個人信息往往無法使用對方的產品或服務。由此，監管機構要求金融信息使用機構必須基于信息主體同意表述后才能使用信息。也就是說，知情同意成為個人信息的接受方（信息收集者）保有或使用該個人信息的依據，信息收集者必須要求信息主體作出同意表示。否則，任何在沒有信息主體同意情況下的信息使用、收集或轉讓都不具備法律正當性。因此，筆者認為，“同意使用權”應該成為數字時代金融消費者信息保護的一項重要原則。對于金融消費者而言，遵循“同意使用權”是強調個人口頭或者書面同意的明示權利。對金融機構而言，遵循“同意使用權”則是強調金融機構在處理數據之前的“通知”義務。

當然，同意使用權也不是絕對的。基于公共利益或國家利益的個人信息收集、利用和流通無須經過信息主體的同意，但必須具有明確的法律規定。例如基于《統計法》的專項統計調查，必須具有公共利益性質的信息，否則就不能直接采集。

追責求償權

金融消費者在購買金融產品和接受金融服務過程后，發現其信息安全受到侵犯和遭受損失，有權追究法律責任，要求有關機構進行賠償。在歐盟，GDPR設計了諸如警告、訓斥等處罰機制，罰款也可高達2，000萬歐元。在美國，監管機構試圖用嚴厲的事后罰款來倒逼企業實現對個人信息的全面保護，如“劍橋分析案”中，美國聯邦貿易委員會（Federal Trade Commission，簡稱FTC）對“臉書”的處罰高達50億美元。

顯然，在金融信息保護方面，強監管和嚴責任是世界監管的一個潮流。我國金融信息保護方面應該加大懲處力度，建立追責機制，除刑事與行政處罰外，應完善個人信息民事賠償制度，諸如歸責原則、損害計算以及支持起訴等，阻斷金融機構利用互聯網技術優勢限制或阻礙金融消費者尋求法律賠償的可能性。

確保金融消費者信息保護的核心監管建議

第一，遵循數字信息“最小夠用”原則。

“最小夠用”就是所有信息采集和使用必須都在最小范圍內進行。歐盟《一般數據保護條例》及美國《消費者隱私權法案》無不采納這一原則，不收集與所提供服務無關的個人信息。數字經濟時代，越來越多的應用程序（Application，簡稱App）在用戶不提供個人信息或者因用戶不同意收集非必要個人信息或打開非必要權限時就無法使用，還有一些互金平臺收集的個人信息與現有業務功能無關，這些都是違反了“最小夠用”原則，實際上構成了對用戶信息的“勒索”。

為此，2017年6月生效的《網絡安全法》規定：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。這就是對“最小夠用”原則最好的詮釋。以金融消費場景為例，采集、轉讓時，僅向客戶申請業務流程必要的信息授權，保障金融消費者的選擇權。使用時，僅向用戶收集金融消費必須使用的信息，保障金融消費者知情權。結束時，僅留存后期金融監管所必需的用戶信息，保存期限屆滿后及時刪除、停止利用用戶個人信息，保障金融消費者的處置權。這就是“最小夠用”原則的范例，不僅可以確保消費者即時便捷地享受到消費金融服務，還可以避免金融消費者個人信息的過度采集。我國本輪對疫情患者的信息采集正是遵循“最小夠用”原則，取得了較好的社會效果。但是，如何妥善使用“最小夠用”原則并得到社會一致認可，這將成為數字經濟時代金融消費者權益保護一個重要課題。

第二，建立金融信息保護的專門監管機構。

現階段，金融消費者權益保護法律法規較為分散，且立法層級較低，缺乏統一的金融消費者保護法律框架。例如，現行《消費者權益保護法》是與消費者個人信息保護最直接相關的法律法規，雖然規定消費者在購買、使用商品和接受服務時，享有個人信息依法得到保護的權利，未經消費者同意不得發送商業性信息等。但現行《消費者權益保護法》只對一般商品和服務的消費者提供保護，沒有將金融消費者納入“消費者”的行列，從保護金融消費者權益角度看尚不充分，難以起到統合作用。

而《金融消費者權益保護實施辦法》《中國人民銀行法》《商業銀行法》《證券法》《保險法》《征信業管理條例》《個人信用信息基礎數據庫管理暫行辦法》等法律、法規和規章制度，雖然也有對市場禁止性規定以及金融機構的規范性規定，但覆蓋面窄，操作性不強，真正針對金融消費者保護性條款并不多見，主要規范的是金融機構的運行秩序。中國人民銀行制定的《關于銀行業金融機構做好個人金融信息保護工作的通知》《關于金融機構進一步做好客戶個人金融信息保護工作的通知》因缺乏足夠法律效力，執行效力相對較弱，懲戒面較小，民事賠償不足。同時，金融消費者信息保護機構較多，部分監管職責并不清晰，金融消費權益保護協調機構多頭管理現狀明顯，容易造成多頭監管局面。

縱觀當今世界金融發達國家，諸如加拿大、英國都有主要的機構履行金融消費者保護職責，美國設立了消費者金融保護局（Consumer Financial Protection Bureau，簡稱CFPB），統一履行散布于不同聯邦機構的金融消費者保護職能。為此，筆者建議我國應建立專門的金融消費者權益保護機構，加強中國人民銀行、中國銀保監會、中國證監會之間的協調和合作，處理跨市場、跨行業金融產品與服務所涉及的金融消費者保護問題，對現有三家金融消費者權益保護機構進行整合，組建全國獨立的、統一的金融消費者保護局，為金融消費者信息保護提供高效、完善的組織保障和功能保障，建立一套覆蓋存款、貸款、銀行卡、征信、銀行理財等主要金融消費領域的信息保護制度，形成金融消費者信息保護合力。

全國獨立的、統一的金融消費者保護局應隸屬于中國人民銀行，其主要職責之一就是金融消費者信息保護，主要包括：一是擬定金融消費權益信息保護政策法規和規章制度;二是開展對銀行業、保險業和證券業消費者信息保護工作的指導和協調，徹底改變金融消費者信息保護的多頭局面，節約監管成本;三是監督侵犯金融消費者信息保護的違法行為;四是組織開展金融消費者信息保護教育和咨詢服務;五是加強與工商行政管理部門、消費者協會、各金融行業協會協調，共同開展金融消費者權益保護工作;六是開展對外交流，參與制定國際金融消費者信息保護規則，加強金融消費者信息保護的國際合作。

第三，以數字化信息披露作為金融信息保護的核心要素。

現階段，數字經濟時代大量運用大數據、人工智能、區塊鏈、云服務的技術優勢處理金融消費者信息。很多數字平臺參與到個人信息采集、匯總、分析和共享等多個環節中，為利用數字經濟實現“彎道超車”，不可避免地會對個人信息隱私權造成侵害，出現諸如數據泄露、丟失、造假、濫用等情況;出現了金融服務平臺利用信息優勢欺詐消費者并威脅金融安全情況，但對平臺的監管存在漏洞，出現了金融消費領域“燈下黑”現象。

因此，我們必須充分重視數字經濟時代相關信息和數據的合法利用問題，通過大數據、云計算、人工智能（AI）、區塊鏈等技術手段對金融消費者信息進行創新保護，強化建立信息披露機制、風險提示、冷靜期設置，充分利用好官方網站、公眾號及時傳遞政策信息，推動金融數字信息傳播，要求金融機構用金融消費者可以理解的語言，詳盡、公開、全面披露金融產品或服務細節，特別是對消費者權利義務產生重大影響的核心內容，以“共票”（共，凝聚共識，共籌共智，是能夠真正共享的股票;票，流通、支付、權益、分配的票證）推動實現數據共享，以不同機構提供的數據質量和數量為標準回饋“共票”，及時獲取信息防患于未然。在“共票”理論指導下，將區塊鏈作為底層技術，形成可記錄、可追溯、可確權、隱私保護等技術約束，不僅為政策制定者、市場監管者、行業實踐者提供信息獲取渠道，更要為金融消費者提供信息保護渠道，運用信息安全防火墻、入侵檢測設備、系統漏洞掃描、第三方認證等新技術加強金融消費者信息防護力度，有效防范非法侵入信息系統、網銀信息被盜、信息篡改流失風險，提升金融消費者信息安全防范能力。

第四，立足與我國現行法律法規相匹配。

當今我們既需要借鑒國際經驗，更需要立足中國國情。世界范圍個人信息保護立法大多是以歐盟《通用數據保護條例》（GDPR）為范本。但是，GDPR與西方法律文化、社會習慣以及市場經濟發展水平密切相關，我國在個人信息保護立法時并不能全盤照搬，還要考慮我國不同于西方發達國家的經濟發展水平和社會文化背景，不僅要和我國法律文化、社會風俗以及互聯網市場發展相關聯，更要與《民法典》《網絡安全法》及金融監管法規相配套，整合現有的立法、司法、執法體制資源，構建一個以金融消費者保護為中心、囊括金融產品和服務的統合立法體系。

同時，應當在金融消費糾紛大膽運用和解、調解、仲裁等非訴訟方式，發揮其快捷、靈活、簡便特點處理金融消費者個人信息濫用或侵權糾紛，構建以金融消費者保護為核心的多元化金融糾紛解決機制的統合體系，構建一個金融商品、金融服務統合立法體系，建立一個多元化、全方位、無縫隙的金融消費者保護立法體系。

從功能主義角度看，我們必須平衡好金融消費者信息保護與數字經濟發展的關系，維護信息保護法律政策的權威性。《個人信息保護法》《民法典》《個人金融信息保護暫行辦法》以及《網絡安全法》都是個人信息安全的核心法律法規，聚焦個人信息權利保護，關注數據流動、數據利用以及侵權賠償等問題，共同構建了數據保護和數據利用的整體性法律框架。同時，依法依規打擊以大數據公司、大數據征信名義非法買賣個人信息的行為，對泄露個人信息，甚至違規倒賣客戶數據的金融機構、征信機構以及相關責任人嚴懲不貸，維護好個人信息和公共安全的關系。

第五，啟用數字用益權保護信息安全。

當下，以區塊鏈等為代表的新一代信息技術正在推動著實現從監管轉向治理的思維轉變，“共票”是區塊鏈上集投資者、消費者與管理者于一體的共享分配機制，它是吸引系統外資源投入后給予的回報，這種回報通過區塊鏈系統的運行實現價值。每一個價值創造者都可以獲得共票，進行直接流通，并獲得相應的回報。也就是說，數據權益帶來的利益必須及時返回金融消費者，保障金融消費者財富收益。我們要讓金融消費者成為數字經濟時代主導者，而不僅僅是遠離財富的被保護者。如果監管機構只談論金融消費者權益保護原則或偉大意義，最后金融消費者并沒有得到實惠，恐怕并不是真正意義上的金融消費者權益保護。在解決金融消費者個人數據保護的問題上，可以借助區塊鏈技術實現對個人數據與信息進行加密、脫敏處理，然后進行數據的共享、開放和交易。

在數字經濟時代，存在金融消費者數據權利與互金平臺沖突的情況，也存在數據競爭、數據壁壘、數據劫持、數據爬取等問題。引入用益權可以解決數據權屬問題，不僅能夠實現用戶和企業之間的權限分配，還能調和不同數據企業之間的利益沖突。

為此，筆者提倡金融消費者金融數字用益權，不僅是對金融消費者數據所有權的尊重，也是對數據采集、使用、加工和獲益的互聯網機構（平臺）的尊重。只有承認數據用益權，才可以合法有效地對數據進行處理、控制、研發、許可乃至轉讓;只有尊重金融消費者數據價值，才能認可互金平臺對金融消費者的數據支配權。否則，保護好金融消費者權益就成為一句空話。

總之，在數字經濟時代，金融監管機構應該充分尊重并保障金融消費者知情權、隱私權、信息安全權、同意使用權、追責求償權、數據用益權，從產品設計、信息披露、費用標準、風險提示等多方面做到合法合規，提高消費金融產品和服務透明度，增強數字化監管能力，利用監管科技加強金融消費者個人隱私保護，確保信息采集、提供、存儲和交易的合法性，真正踐行社會主義核心價值觀。

（楊東為中國人民大學國家發展與戰略研究院研究員、未來法治研究院研究員，顧雷為中國人民大學中國普惠金融研究院研究員。本文編輯/王曄君）