大數據背景下金融隱私權保護問題及對策

王 輝

（新疆財經大學金融學院，烏魯木齊830012）

大數據技術的出現，使得互聯網與信息化更有效的結合。截止到2020年底，我國互聯網用戶已有8.9億，數據不論從種類還是規模上，都有了爆發式的增長。公民隱私權的客體范圍也擴大到公民的健康數據、輸入法記錄、網上購物記錄、搜索引擎記錄及個人行程記錄等網絡信息，隱私逐漸產生出可以量化的巨大的商業價值。由于金融消費者和金融機構在地位和權責上的差異性，導致金融隱私極易受到侵犯，且舉證和追責較為困難。因此，完善金融隱私權保護體系的重要性不言而喻。

一、金融隱私權的界定與我國金融隱私泄露亂象

（一）金融隱私權的界定

我國對金融隱私權并沒有一個公認的定義。鄭啟福（2012）認為，金融隱私權是指金融消費者所享有的金融賬戶信息、交易信息依法受到保護，不受侵犯、干涉的權利，主要包括保密權、使用權、知情權和維護權。[1]潘建珊（2007）認為，金融隱私權是個人對于本人金融資料所享有的隱私權利，是一種特殊的個人資料權，指的是個人控制收集、揭露和使用關于其本人金融交易或事務的權利。[2]王寶剛、張立先（2013）認為，金融隱私權的概念是隱私權不斷擴展的結果。金融隱私權是指自然人控制并排除他人干涉其本人在金融市場中產生的個人金融信息的能力，具有人格權和財產權雙重屬性。主要包括社會保障號碼、住址、從事行業等。[3]綜上所述，金融隱私權可以認為是金融消費者對其個人的各種金融信息具有自由支配和控制的權利，任何人都不得干涉金融消費者個人的這項權利。

（二）我國金融隱私泄露亂象

分析《2020中國個人信息安全和隱私保護報告》可以看出：將近70%的受訪者都認為信息泄露情況嚴重，36%的人表示曾接到過詐騙或銷售電話，確定個人信息遭到泄露、販賣的調研者達到18%。而在被問到如何應對信息泄露行為時，僅有兩成受訪者選擇了積極的應對措施。

2016年湖南犯罪嫌疑人聯合某銀行前行長、保安，非法盜竊257萬條銀行個人信息，個人征信報告120余萬份。這些信息的泄露，給銀行客戶帶了諸多不便，甚至還騷擾到了客戶家人。2020年5月6日，脫口秀演員王越池公開指責中信銀行在未獲得自身允許的情況下向笑果文化公司提供其個人賬戶流水。根據《2020年數據金融APP安全觀測報告》可看出，我國金融類APP存在諸多問題，超9成金融類APP存在不同程度的安全漏洞，有問題的APP占測評APP總數的90.12%，且高、中、低各等級安全漏洞占比均有明顯增長。證券、外匯、保險、銀行及股票類的APP存在高危漏洞的比例高達90%以上。隨著科學技術的發展，違法獲取金融隱私的現象屢禁不止，國內的法律法規也未能及時有效的提供保護，法律沒有對金融從業人員和金融機構形成足夠的威懾力，對犯罪人員的處罰也不足以讓他們刻骨銘心。

二、金融隱私權保護制度的比較分析

（一）國外金融隱私權制度保護體系

1.英國率先對金融隱私權進行保護。1924年英國的“圖爾尼爾”案首次實現了對金融隱私權的保護。英國法院最終認定保密是合同中隱含的條款，被告銀行侵犯了原告的金融隱私權，應承擔相應責任。此后，經過多年發展，英國對金融隱私權的保護更進一步，于1998年制定了《數據保護法》，并于2017年8月7日發布了一份《新的數據保護法案：我們的改革》的報告，旨在更新和加強對個人數據的保護。

2.美國專門立法保護。美國是最早研究和應用大數據技術的國家，大數據技術在美國金融領域的廣泛應用，雖然推動了金融業的發展，但也增加了金融隱私權泄露風險，為了保護金融隱私，美國于1996年通過《消費者信用報告法》，2003年頒布了《公平準確信用交易法》，此后因1970年頒布的《銀行保密法》屢遭侵犯金融隱私權而受到譴責，1976年的“米勒”案更是震驚全美，于是美國在1978年通過了《金融隱私權法》，旨在對金融隱私進行更有效的保護。1999年，美國銀行被爆出盜賣客戶資料，美國國會更加堅定地通過了《金融服務現代化法》，其中明確規定了金融機構有義務為客戶的隱私權進行保護。2000年11月更是聯合眾多機構共同簽訂了《消費者隱私保護最終規則》，規定所有金融機構務必向客戶提供金融隱私保密政策。2010年又發布了《多德弗蘭克法案》，增設專門的消費者金融保護局。至此，美國對金融隱私權的保護基本形成了完善的體系。

除英國、美國外，幾乎所有金融行業發達的國家或地區如歐盟、瑞士和我國香港地區等均制定了專門的保護金融隱私的法律法規。

（二）國內金融隱私權制度保護體系

在法律條文方面，《中華人民共和國憲法》第38、39、40條明確規定了對隱私權的保護;《侵權責任法》第2條的民事權益的范圍明確包含隱私權;《消費者權益保護法》第29條和第50條、《民法總則》第111條、《網絡安全法》第41條以及《關于加強網絡信息保護的決定》第1條都有對個人信息采集、使用等行為的規范。《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《國務院辦公廳關于加強金融消費者權益保護工作的指導意見》等法律法規也在加強對金融隱私權的保護。

在部門規章方面，我國也出臺了《商業銀行信用卡業務監督管理辦法》《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《個人信用信息基礎數據庫管理暫行辦法》《電子銀行業務管理辦法》《電信和互聯網用戶個人信息保護規定》以及《關于加強網絡信息保護的決定》《電信與互聯網用戶個人信息保護規定》等。

從上述法律法規既可以看出我國在推動金融隱私保護的努力，也可以看出我國目前并沒有對金融隱私權形成足夠的保護，法規缺乏整體性和相關性，執行上存在彈性，使得我國金融隱私權的保護難以起到十分有效的作用。

三、金融隱私權保護的必要性

（一）金融隱私面臨來自互聯網的外生性風險

在大數據時代，金融消費者如果想要消費金融產品，就勢必會與互聯網產生交集，這一點也體現了大數據時代鮮明的網絡化和復雜化的特點，大量的個人金融信息需要由金融消費者自身去提交給金融機構或第三方中介機構，而這些信息在產生、收集和使用的過程中就存在著風險。無論是虛假APP騙取用戶資金或是機構服務器受到攻擊，這些情況都是司空見慣，由于網絡技術的日新月異，而防御系統的更新卻需要很長的周期，導致技術漏洞被攻擊的案件屢見不鮮。公司為了保護自身利益會雇傭白客，但來自世界各地的黑客讓保護金融隱私的難度直線上升。這種技術性風險事先難以預防，而且由于法律穩定性和滯后性，法律也很難對這些風險造成的損失作出及時有效的反應。不同于現實生活，在網絡世界確定侵權行為人是十分困難的事，在侵權行為發生后，很難通過法律手段對侵權行為人進行追責，要求其承擔刑事或民事責任，即使能夠確定，被侵權人正當權益的保護也會受到時效性的影響。

（二）金融消費者金融隱私面臨的內生性風險

內生性風險存在于金融機構以及第三方機構在對金融消費者金融信息的分析利用過程中。隱私權和信息權具有絕對私人性和相對公共性。從隱私權和信息權的絕對私人性方面來說，金融機構對金融消費者的金融隱私應當嚴格遵循保密義務。但是在大數據時代，擁有更多的數據和信息就相當于掌握主動，數據就是財富。在金融市場上，信息的不對稱優勢使得金融機構對信息具有強烈的占有欲，以人身保險為例，如果保險公司了解到了客戶的身體健康數據，對于某些險種進行拒保或收取高額的保費，這對保險公司來說絕對有益，卻損害了保險消費者的利益；又如金融機構或第三方中介機構等過度收集金融隱私信息，通過售賣、互換等方式為自己獲取利益。這種數據帶來的利益會讓金融機構難以拒絕，對于數據的占有欲望無疑是懸在金融消費者頭頂的達摩克利斯之劍。

（三）金融隱私數據存在被二次利用的風險

在大數據的時代背景下，金融機構從金融消費者處獲得個人信息后，由于金融隱私的精準性和高價值性，金融機構對這些信息的使用不會僅僅是確認消費者身份、保護消費者權益，消費者的金融隱私還存在被二次利用的風險，金融機構通過對數據的綜合分析來設計更為高效的商業運營模式，更為合理地調整自身資源配置，或者創新盈利渠道等，從商業角度來說金融機構這么做無可厚非，但這些對數據的應用行為并沒有得到金融消費者的許可。金融消費者在行使保護金融隱私的權利時困難重重，不論是在實體金融機構或是金融機構APP進行業務操作時，面對紙質合同或是電子化格式合同，金融消費者并沒有多少的選擇去保護自己的隱私，如果想享受服務，只能將個人信息詳盡地登記于經營者的信息庫中，消費者對于自己的金融隱私數據的保護能力幾乎不存在，只能被動地接受最終的法律結果。而且，我國金融消費者對于金融合同和相關的金融法律法規的了解還是相對較少，如果想要完全了解金融機構所有數據的利用條款的真實意思，對于金融消費者而言不僅極為消耗精力，同時維權成本也會提高。因此，用戶的金融隱私信息在二次使用過程中很容易失控。

金融消費者金融隱私權還存在保護不周延的問題，即消費者隱私數據多源融合問題。金融隱私數據總體可分為元數據和主數據，元數據是對數據的屬性描述，是一種電子目錄式的數據，其本身不具有實質內容，對其進行針對性保護較為困難。更為關鍵的一點是，相對于主數據，元數據的收集難度相對很低，但它在實用性方面的價值非常高。將元數據與金融消費者的主數據進行多源融合之后，很容易完整還原消費者的個人信息，這樣一來，大大增加了消費者的金融隱私泄露的風險性。當前，對于元數據的保護幾乎處在真空狀態，這個漏洞對金融隱私的保護造成了極大的風險。

四、完善金融隱私權保護的建議

（一）加快完善金融隱私保護法律體系

從前文對國內金融隱私權制度保護體系的描述可以看出，我國對于保護金融隱私權的法律條文沒有形成體系，法律條款的解讀不夠清晰，缺乏一致性和協調性，仍有較大的完善空間，導致金融消費者在權益受損時維權困難。因此需加快推動《個人信息保護法》《數據安全法》的制定，明確金融隱私權的重要法律地位，在法律層面予以重視，提供堅實的法律基礎和行為依據。

通過立法形式，明確金融消費者和金融隱私權的定義，對于個人金融信息的所屬方和使用方進行清晰的權責界定，為我國實施個人金融信息的保護制度提供重要的法律前提。明確金融機構、金融中介等金融信息使用者對金融隱私的保護義務，同時建議以法律形式規定金融機構不得過度收集個人信息，不得以任何形式強迫金融消費者提供金融隱私信息，并推廣集體訴訟制度，拓寬維權渠道。借鑒國際上的先進模式，對金融機構和第三方機構等個人金融信息的收集者和使用者進行層級劃分，對不同類別和層級采取針對性地金融信息監管和保護的要求，對特定風險的個人信息的處理進行嚴格的審查，確保創建一個安全的金融信息使用環境。同時建立個人信息泄露預警機制和處理機制，包括發布個人信息泄露的通知，及時追查信息泄露的源頭，凍結信息傳輸的渠道等機制，最大限度地減少信息主體因個人信息泄露造成的損失。

除此之外，從法律層面明確違背金融信息所有人意圖的獲取、持有、買賣等行為的責任追究，在舉證方面，實行有利于群眾的舉證原則，降低金融消費者的金融隱私舉證成本和難度，并加大對違法人員或機構的處罰力度，可通過巨額罰款或重判等措施增加違法成本，形成有力威懾，維護法律的尊嚴。

（二）加強金融機構保密制度建設，塑造良好行業環境

行業協會應督促金融機構建立完備的金融隱私保護制度，制定完備的金融消費者的信息安全管理辦法，加強風險內控。金融信息存在于金融機構業務流程的各個環節當中，但金融機構對于金融信息的管理卻非常的籠統，無法保證金融信息收集、管理和使用等行為的合理性和規范性，金融隱私權的保護基本上只能依賴于法律法規對金融機構規定的信息保密義務。可借鑒國外成熟的保密體系，形成行業性的基本準則，除金融機構本身的合理使用和客戶明確的同意外，不得隨意泄露和濫用客戶的任何其他金融信息，建立起完善的追責制度。同時，積極培養金融從業人員對客戶隱私信息的保密意識，積極開展培訓工作，提升從業人員對金融隱私權的認知。

（三）做好金融機構技術防護

隨著金融行業的發展，機構本身的風險影響著社會的穩定，再加上科技的發展，金融機構全面迎來科技時代，實現無紙化辦公，金融機構的網絡安全問題越來越引發人們的關注。本文第一部分提到過，我國金融APP有90%都存在著漏洞，這說明金融機構對系統的安全防護不夠重視。因此為了保護金融隱私不被竊取，金融機構要定期對電子系統進行檢測和升級，時刻防范技術漏洞，提高系統的安全性。對信息泄露的風險在事前做好防范，對信息泄露的事故及時作出反應，盡可能減少損失，對信息泄露的損失做好補償和救濟，深刻反思錯誤。