個人金融信息風險民事責任的實現

許 娟 黎浩田

內容提要《中華人民共和國個人信息保護法》構建起來的個人信息處理者義務性規范為侵權責任的實現提供了更為全面的法律保障。但就金融企業這類個人信息處理者而言，現有個人信息保護的民事責任體系仍然難以實現個人金融信息損害賠償的救濟，需要引入風險民事責任，進一步完善現有民事責任體系。一方面，可以在《個人信息保護法》適用中做出解釋：將金融企業市場特許經營許可設定為消費者格式合同的效力要件，將金融企業監管義務延伸至個人金融信息的民事責任認定之中。另一方面，可以對《個人信息保護法》進行創新性的研究：在豐富具體人格權權利內容的基礎上，增加金融消費者人格要素的賦權規范；明確金融企業行業管理的禁止性規則，課以金融企業個人金融信息安全管理義務和信息風險評估義務；在通知公義務中構建默認付費或默認罰款等財產權保護模式。

隨著數據利用行為所隱含的技術風險增長，包含個人信息的金融信息在技術迭代中被侵犯的事件也屢屢出現。2021年9月2日，時任中國建設銀行余姚城建支行行長的沈某在工作中侵犯金融消費者個人信息受到行政處罰一案[1]甬銀保監罰決字〔2021〕64號。，引起社會各界對金融消費者個人信息安全的熱切關注。早在2020年5月8日，中信銀行發布了因泄露個人金融信息致王越池的道歉信[2]《脫口秀演員池子交易流水遭泄露，中信銀行深夜致歉》，https://www.163.com/dy/article/GIVOSVJ50549B1FP.html。，隨后該行又被曝在2018年就因“未經同意查詢個人或企業信貸信息”遭受行政處罰；2018年支付寶“年度賬單”[3]深圳市法學會：《聚焦“支付寶年度賬單事件”》，https://www.sohu.com/a/219129029_100011665。事件曝光。此類事件中的金融消費者在維護金融信息權益時，面臨信息不對稱致使同意有效性降低等諸多問題，金融消費者在默示狀態下的同意逐漸成為金融信息控制者的免責條款。長期以來，金融企業作為信息持有者，事先制定收集信息的協議，形成默示同意的客觀事實，并憑借數據持有優勢運用算法技術發掘潛在消費者。而默示同意范圍不明、金融信息二次利用缺乏消費者同意以及金融企業共享信息不當等問題都潛藏著損害個人金融信息的風險?！吨腥A人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第28條將“金融賬戶”等重要信息歸類為敏感個人信息加以保護，推動個人信息保護邁入新階段，也給個人金融信息保護的司法實踐提供了新的視角。本文在個人信息權益保護的基礎上，嵌入風險民事責任，嘗試在金融消費者與金融企業利益平衡的基礎上探尋個人金融信息保護的有效路徑。

一、個人金融信息民事責任體系：基于現行法的檢視

個人金融信息是為信息主體提供金融產品或者服務所必需的個人信息[1]朱蕓陽：《個人金融信息保護的邏輯與規則展開》，《環球法律評論》2021年第6期?！，F行法對個人金融信息損害的風險規制一般采取原則性的規定，僅設置籠統的保密義務，未明確界定金融信息的保護邊界。在法律、法規和規章對金融消費者信息保護缺位的同時，下位的金融領域規范性文件對各類損害個人金融信息情形的民事責任追究也并不完備，這在規范層面形成了個人金融信息保護的結構性困境。

1.法律法規和規章對民事責任的規定并不完備

在金融企業信息侵權事件中缺乏對個人金融信息的有效保護，是因為該領域的基礎性法律——《個人信息保護法》及其他相關法律法規并未提供足夠的確定性，其中的授權性或原則性條款使適用缺乏可操作性，導致法律的實踐價值大打折扣。

（1）相關條文涵射中的敏感信息重疊難題

《中華人民共和國民法典》（以下簡稱《民法典》）第111條規定“自然人的個人信息受法律保護”，確立了金融企業“依法取得”和“確保信息安全”的宏觀義務，并以“不得非法買賣、提供和公開個人信息”等規定限制金融企業對金融信息的處理行為?！睹穹ǖ洹返?11條對信息保護的規定較為模糊，未進一步明確界分“個人信息”與“金融信息”這類敏感信息?！睹穹ǖ洹返?033條本質上是對信息的分類，列舉了信息權侵權行為，卻未對金融等特定領域作出規定?！睹穹ǖ洹返?034條再次強調個人信息受法律保護，并列舉了個人信息的類型，其中許多屬于金融活動過程中必定涉及的信息。根據該條，個人的私密信息適用有關信息權的規定，沒有規定的可以適用有關個人信息保護的規定。2021年8月20日全國人大常委會公布《個人信息保護法》，其中第28條將敏感個人信息定義為“容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”，該定義涵蓋了“金融賬戶”，確立了“特定目的”、“充分必要性”和“采取嚴格保護措施”為基準的敏感個人信息處理三要件，但仍需通過司法解釋進一步明確什么是金融信息以及信息保護的法律路徑。就《民法典》第1034條和《個人信息保護法》第28條而言，“私密”信息與“敏感”信息的范圍有所重疊，在金融信息案件的法條適用中難免陷入二選一的困境。

（2）相關條文空缺情形下的信息自決短板

《民法典》第127條設置了參照其他相關法律規定的接口，第1030條也同樣設置了適用其他法律、行政法規規定的接口，但是目前的相關法律、行政法規體系尚未健全到能夠與其對接的地步?！渡虡I銀行法》《儲蓄銀行管理法》《反洗錢法》《銀行業監督管理法》《消費者權益保護法》等有關金融信息的法律雖然都有對銀行客戶金融信息權保護的相關規定，但是這些規定卻也存在著對金融信息保護的具體化不足及目標性不明確等問題，難以對金融消費者信息提供嚴密的保護。譬如現行《商業銀行法》第29條規定了商業銀行為存款人保密的原則，《證券法》第38條也規定了證券交易所、證券公司和證券登記結算機構對于客戶賬戶的保密義務。但在金融交易中雙方的交易信息一直存在不對等的狀態，即在交易過程中一方擁有某種資料信息，而另外一方不擁有對等的相關資料信息[1]易濤：《金融隱私權法律保護問題探析》，《科技與法律》2016年第1期。。因此，這些法規的有效性因為消費者和金融企業之間知識和權力的巨大的不對稱而被消解。金融消費者做出知情的理性決策的實際能力遠未達到《民法典》和《個人信息保護法》所預設的程度?！睹穹ǖ洹返?35條[2]《民法典》第135條：“民事法律行為可以采取書面形式、口頭形式或者其他形式”。對民事行為形式相關規定承認默示形式，第140條[3]《民法典》第140條：“行為人可以明示或者默示作出意思表示。沉默只有在有法律規定、當事人約定或者符合當事人之間的交易習慣時，才可以視為意思表示”。蘊含默示同意要素并構建了“法律規定”、“當事人約定”或“交易習慣”三種類型。現行部門法大都也只提到了同意制度并以明示同意作為重點，如《消費者權益保護法》關于“明示”“同意”的規定[4]《消費者權益保護法》第29條：“經營者收集、使用消費者個人信息，應當……明示收集、使用信息的目的、方式和范圍，并經消費者同意?！?；《網絡安全法》則要求“明示并取得同意”[5]《網絡安全法》第22條第3款：“網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意?！??！断M者權益保護法》第29條[6]《消費者權益保護法》第29條：“經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息?！币幎ń洜I者應采取措施保護消費者個人信息安全。從《消費者權益保護法》和《網絡安全法》都規定的基于同意規則的信息保護模型來看，以“同意”作為核心的信息保護模式不注重強調“默示”與“明示”的明確區分，未能意識到默示條款的價值與重要性，在個人金融信息保護這一特殊領域容易造成風險擴散的嚴重后果。如《網絡安全法》要求網絡經營者在用戶同意的基礎上承擔起維護用戶個人信息不受侵犯的義務，但互聯網金融消費者在簽訂電子合同時，“授權同意”的格式條款會成為網絡經營者免責的依據。2019年12月，國家計算機病毒應急處理中心通報多家銀行手機APP存在“未向用戶明示申請的全部隱私權限，涉嫌隱私信息不合規”的問題，這些問題往往被技術中立的外衣掩蓋，甚至被算法等操作系統黑箱化。個人金融信息處理行為本質上具有智能科技活動的性質，必須約束金融企業憑借技術外力形成的任性，精確保護個人金融信息。而界分兩類同意的條款空缺正使金融消費者日益喪失對個人信息的自主控制權，因此，對個人金融信息的保護還需對如何定義有效同意、獲取同意的方式等予以明確。

3.相關條文無法應對司法實踐的保護需求

基于《個人信息保護法》第14條，金融消費者同意處理個人金融信息的，該同意應當由個人在充分知情的前提下自愿、明確做出，并且法律、行政法規對取得單獨同意或者書面同意另有規定的應遵從其規定。同時，《民法典》第1038條設置了信息處理者兩個“不得”的禁止性條款，但現實生活以其復雜性消解了該條的理想化設定，一系列具有隱蔽性強、成功率高、作案時間長、涉案金額大等特點的金融大案背后都或多或少涉及對個人金融信息的侵害。當消費者因個人信息被侵犯提起訴訟請求時，還往往面臨財產損失計算無法可依的困境。例如游某訴徽商銀行成都金牛支行案中，金融消費者基于對銀行的信任而概括函授同意，提供了U盾和個人信息，支行行長伙同其他銀行工作人員將其金融賬戶與其他客戶的賬號信息進行混淆造成理財回款的假象，蒙蔽游某繼續在徽商銀行儲蓄、理財，最終使其遭到巨額資金損失，但其財產損失難以得到有效賠償[7]成都市中級人民法院〔2021〕川01民初9707號判決書。。

2.規范性文件對民事責任的保護對象規定不一致

當新興技術面世而法律缺位時，具有更強靈活性的規范性文件在調整失衡的法律關系中就會起到重要作用。作為個人信息的子概念[1]朱蕓陽：《個人金融信息保護的邏輯與規則展開》，《環球法律評論》2021年第6期。，個人金融信息范圍的界定并不清晰，僅中國人民銀行制定過的《人民幣銀行結算賬戶管理辦法》《關于銀行業金融機構做好個人金融信息保護工作的通知》《非銀行支付機構網絡支付業務管理辦法》《金融控股公司監督管理試行辦法》《金融消費者權益保護實施辦法》《個人金融信息保護技術規范》等數部規范性文件，就使用過“銀行結算賬戶信息”“客戶信息”“敏感信息”“個人金融信息”“消費者金融信息”等名稱，涵蓋個人身份、財產、賬戶、信用、金融交易、借貸以及衍生信息等多個概念。同時，上述規范性文件與銀保監會制定的《銀行業金融機構數據治理指引》，國家市場監督管理總局、國家標準化管理委員會發布的《信息安全技術個人信息安全規范》中對金融信息保護對象的規定也不一致。即使這些規范性文件規定了金融企業的保密義務，但就如最新的《金融消費者權益保護實施辦法》（2020年版）新增了“金融消費者權利”，雖然一定程度上填補了個人金融信息保護的制度空缺，但對金融企業的民事責任規定仍不完善。

同樣的情況還存在于國務院發布的規范性文件中，如《個人存款賬戶實名制規定》第9條所規定的保密義務的對象為存款人，卻不包括金融交易中其他金融主體如貸款人、保證人等。在個人金融信息保護方面，立法的滯后直接致使金融企業獲取客戶個人金融信息被肆意侵犯，損害金融消費者的合法權益。即使國務院發布的《關于加強金融消費者權益保護工作的指導意見》將消費者個人信息的法律保護設定為金融消費者的信息安全權，但并未超越現行金融立法有關金融企業保密義務的規則要求，這些位階較低的辦法、通知等規范性文件雖明確了保密義務的范圍和個人金融信息的范圍，卻因其自身效力在實踐中不具有強制力，仍無法起到有效的保護作用。

二、從傳統民事責任到風險民事責任：化解風險的新方案

《個人信息保護法》構建了以“告知—同意”為核心的個人信息處理規則，保障了金融消費者等個體在個人信息處理活動中的各項權利，強化了金融企業等個人信息處理者的義務。從近年來官方通報的典型事例來看，金融行業在金融消費者個人信息保護上存在的風險漏洞不僅具有系統性，也愈發顯現復雜性，即在法律規制的系統性漏洞中蘊含著個人金融信息泄露、擴散的可能性。在國外，涌現出個人金融信息及其財產性利益被默示讓渡給銀行的案例，如“圖爾尼爾案”[2]英國“圖爾尼爾”案中法院援用“默示條款”理論作為認定銀行承擔金融隱私信息權保護義務的理論基礎，認為該銀行違反了對客戶的金融隱私信息保護義務，應承擔賠償責任；銀行對金融隱私信息權保護的范圍包括銀行因其與客戶關系的存在而獲得的任何信息，且金融隱私信息權保護義務不因客戶結清賬戶或停止使用賬戶而終止。和“彼特森案”[3]美國“彼特森”案中，法院將銀行對金融隱私信息權的保護范圍限于有關賬戶的信息和客戶的交易情況兩個方面。該案開啟法院認可銀行未經客戶許可而透露其信息時，客戶得以銀行違反了與客戶的契約間的默示條款為由起訴銀行的先河。，這些案例推動司法裁判在責任認定方面向前邁進了很大一步。在國內，劉某某訴工商銀行上海分行侵犯隱私權案[4]參見上海市高級人民法院〔2016〕滬民申2161號判決書。和郭某訴民生銀行南京分行案[5]趙興武、徐高純、邵小波：《未經許可查詢客戶信用信息 南京一銀行被判書面賠禮道歉》，《人民法院報》2012年3月23日。等個人金融信息權益被默示讓渡的案件亟待引起立法部門的重視和回應。隨著金融消費者信息完成從公共物到風險物的客體性變遷，構建風險民事責任就成為保護金融消費者信息的必然選擇。

1.金融行業的復雜性風險必然導致引入風險民事責任

大數據時代數據量巨大且商業價值高，損害個人金融信息的破壞性將產生杠桿效應，對個人金融信息安全構成嚴峻考驗。防范系統性金融風險不僅是對金融行業的要求，對于整個經濟社會發展也有重要意義。金融風險伴隨著互聯網全覆蓋，不確定性彌散后使得原來有形世界逐漸掙脫傳統良善機制的捆綁，傳統法律機制對此卻難以控制。在前述游某訴徽商銀行成都金牛支行一案中，銀行行長等人在利用金融消費者個人信息時，不僅侵犯了客戶的個人信息權益[1]金融隱私信息權是由隱私信息權引申出來的下位概念，實質是傳統隱私信息權在金融領域的一種延伸，也是隱私信息權由消極被動的權利向積極主動的權利的一種轉變。金融隱私信息權，是指權利主體積極主動地支配控制與自身的財產、交易相關或其他能夠反映個人信用狀況的信息的權利。具體參見談李榮：《金融隱私信息權與信用開放的博弈》，法律出版社2008年版，第1頁。，而且還篡改金融消費者信用信息進行欺詐，騙取客戶的巨額財產。個人金融信息一旦泄露或者被非法使用，極易導致自然人的人格尊嚴受到侵害，人身、財產安全受到危害，因此，對處理敏感個人信息的活動應當作出更加嚴格的限制。面對違法形態復雜性的挑戰，金融企業必須按照“風險最小化，收益最大化”[2]〔美〕赫伯特·西蒙：《管理決策新科學》，李柱流等譯，中國社會科學出版社1982年版，第33頁。的風險民事責任給自身設定義務，為金融消費者設定權利。個人金融信息的風險責任是金融企業違反風險義務所應承擔的不利法律后果。個人金融信息風險責任的復雜性表明：責任形態既包括個人責任，也包括組織責任；既包括危險責任，也包括后果責任；既存在客觀責任，也存在主觀責任；既存在間接責任，也存在直接責任。總的來說，金融復雜性風險是線性規律和非線性規律、單向度規律和互補性規律、被組織規律和自組織規律共存的風險形態，其中各種規律分別運轉于各自有效的范圍之內。復雜性方法把系統性方法作為一種特殊的極限情況包括在自身之中，這構成真正的復雜性方法和觀點[3]陳一壯：《包納簡單性方法的復雜性方法》，《哲學研究》2010年第8期。，傳統的單一主體行使方式不能有效解決個人金融信息本身的復雜性和共識達成過程的復雜性問題，加上個人金融信息本身的高度復雜性和利益敏感性，對風險擴散的因果認定只能從對確定性的追求轉向對不確定性的分析[4]〔比〕伊利亞·普利高津：《確定性的終結：時間、混沌與新自然法》，湛敏譯，上海科技教育出版社1998年版，第146頁。。

2.風險民事責任的引入順應風險物客體性變遷所產生的合理性需求

無論從實踐還是從法律目的上看，個人金融信息在公共領域是非共享不能帶來巨大便利，因此，充分考慮個人信息保護的公共性背景或社群背景，承認個人金融信息具有公共性對于當代金融生活有重要意義。個人金融信息符合經濟學上的“公共品”核心特征，即非競爭性和非排他性。信息公共物品帶給金融消費者與金融企業的不只是便利，也有無處不在的風險。金融企業會利用該行業的特質和個人金融信息進行經營活動。在互聯網發達時期，金融企業的盈利方式已不僅局限于傳統的金融方式，更多的是互聯網信息數據流量方式，因而這種情況下就意味著本來就處于弱勢地位的消費者因為技術等原因變得更加容易被利用與侵犯。例如銀保監會公布的處罰決定事由中，有中信銀行對客戶敏感信息管理不善致其流出至互聯網[5]銀保監罰決字〔2021〕5號。，支付寶（中國）網絡技術有限公司對個人金融信息收集不符合最少與必需原則、對個人金融信息使用不當等[6]杭銀處罰字〔2018〕23號。。金融消費者的個人金融信息是需要一定程度的社會控制來構建和保護的公共物品，在風險社會中消費者經過告知—同意框架讓渡個人信息，而《個人金融信息保護技術規范》中的技術規范覆蓋了風險規范，出現了風險規范缺失的制度困境。在這種情況下，單純用民事法律關系保護公共物品存在極大的私法困境。因此，企業法人組織不僅要加大公共物品的管理性規范，更要及時構建契合風險防范的法律要素。在公法上，個人金融信息具有信息流通的價值，在流通增值收益的同時，難以控制的信息風險從流通環節外溢極大地危害著金融消費者的利益，嚴重地破壞了金融行業固有的法律秩序，更直觀地破壞和抹殺了金融消費者的個體意志自由。盡管個人金融信息在定義上幾乎被視為公共領域的組成部分，是可以廣泛獲得和使用的，但信息風險一旦掙脫了正義的捆綁，脫去了法律的繩索，就呈現風險物的特性。從個人信息權益保護的角度來看，期望通過個體自我決定、自我主宰以保護自己信息權利的意思主義民法學說，對個人信息權益保護的思考不免陷入過于簡單的桎梏，我們有必要通過對現行法律規定的檢視與反思來探尋有效的個人金融信息法律保護路徑。

3.風險民事責任契合個人金融信息的規則填補空間

隨著互聯網金融產品的迭代，金融領域默示同意個人身份信息的法律保護已經難以應對個人金融信息風險的復雜性。為了預防潛在風險，其一，在個人金融信息保護場景，企業應當設置風險行為規則，即類似于合同的附隨義務，例如消費者報告義務，即借鑒美國FCRA這類響應計算機化和數字記錄的信息法，提供“消費者報告”機制，由消費者報告代理機構進行對任何針對消費者信用價值或個人特征的通信，用于建立消費者的信用資格。同時，詳細規定在什么情況下可以向另一方提供消費者報告，以及將這些報告用于執法或聘用等目的的法律限制。其二，將一部分特定風險信息從信息目錄中獨立出來進行保護，將金融消費者記錄定義為“金融企業在系統或合同中‘維護’的‘與金融消費者直接相關的信息’”。其三，設置公平信息慣例的法定義務，作為默示同意信息利用的前置條件。將金融消費者個人信息的存在與遵循公平信息慣例的義務聯系起來，對處理金融消費者信息的組織規定義務，禁止金融信息運營商未事先征得訂戶的書面或電子同意情況下收集任何與訂戶有關的默示同意個人身份信息。

三、風險民事責任與民事責任體系的銜接：塑造結構性賦權機制

在金融信息保護領域，對與《個人信息保護法》相關的現行法律、法規和規范性文件進行及時更新，才能確保該法順利實施，更好地推動個人金融信息保護與信息流通利用制度健康發展。為了穩定公共秩序與私權保護，在現行安全保障義務的基礎上，對作為私權主體的金融企業利用個人金融信息應當提出進一步的風險預防要求[1]Edward J.Janger,Paul M.Schwartz,"The Gramm-Leach-Bliley Act,Information Privacy,and the Limits of Default Rules",Minnesota Law Review,2002(86),pp.1249-1261.。面對現行法存在的系統性規范缺失，明確金融企業的風險民事責任，賦予金融消費者人格權，在金融信息保密義務的基礎上，增加金融企業信息安全管理義務和信息風險評估義務并靈活增減義務規則，以保障個人金融信息的安全性，更好地保護金融消費者個人信息權益。

1.概括賦予金融消費者人格權

個人金融信息利用行為規則并不能取代信息權利的保護路徑，信息權利保護應當順應信息風險的復雜性。個人金融信息歸屬于人格權法，可以通過《民法典·人格權篇》為信息技術的未來發展留下解釋空間[2]張新寶：《民法典為AI立法留下空間》，https://www.sohu.com/a/396790633_114988。。針對金融消費者信息保護的私法缺位，可以借助《民法典》第799條[3]《民法典》第799條：“任何組織或者個人不得以丑化、污損，或者利用信息技術手段偽造等方式侵害他人的肖像權。未經肖像權人同意，不得制作、使用、公開肖像權人的肖像，但是法律另有規定的除外?！弊屜M者的人格權在個人金融信息保護中得以具體化。針對個人金融信息的內涵、搜集范圍和手段、處理方式、侵權形式等正在發生巨大變化，金融企業存在產品宣傳引人誤解[1]杭銀處罰字〔2018〕23號。、系統權限管理漏洞、外包機構管理缺陷等諸多風險[2]銀保監罰決字〔2021〕5號。的情況，在金融消費者人格權益私法保障不足的背景下，需要增加金融消費者民法人格權的公法要素。在國外，《加州消費者信息法案》（2018）通過增加消費者反歧視權，賦予消費者訴訟權利以獲取賠償，并設立“消費者信息基金”，通過金融市場普遍非歧視的服務保障金融消費者的個人信息，確立了消費者信息的憲法基本權利保護和社會法保護模式。在國內，《民法典》頒布之后，互聯網信息領域中的司法解釋將面臨極大挑戰，民法人格權條文或許能夠提供金融消費者基本權利保障的賦權入口[3]人格權與基本權利及其他公法上權利之間的曖昧關系也引發了我國學者對人格權的規范品質的反思。具體參見姚輝：《從立法論邁向解釋論的人格權編》，《清華法學》2020年第3期。。同時，從廣州互聯網法院審理的王女士在某銀行“被刷臉”一案[4]廣州互聯網法院：《銀行不能證明辦卡及貸款者為其本人，駁回全部訴請》，《人民法院報》，2021年8月19日。來看，增加對金融消費者生物特征的有效識別，是避免個人生物特征信息利用超過必要限度的關鍵措施。針對消費者金融信息人格所蘊含的財產性利益保護，未來可以根據《個人信息保護法》第70條和最高人民法院有關個人信息保護的司法解釋[5]賀榮：《國務院新聞辦公室舉行司法審判服務保障全面建成小康社會新聞發布會答記者問》，國新網，http://www.scio.gov.cn/xwfbh/xwbfbh/wqfbh/44687/46962/index.htm。，對于用AI變臉等深度偽造技術對金融消費者群體的信息權益造成的傷害，制定由消費者組織或由國家網信部門確定的組織提起民事公益訴訟的具體規范指引，以此補位人格權侵權保護之不足。

2.具體課以附隨義務：個人金融信息安全管理義務和風險評估義務

《個人信息保護法》第9條和第59條分別確定了個人信息處理者和個人信息處理的受托人對個人信息處理活動采取必要安全措施的義務，在第51條[6]《個人信息保護法》第51條：“個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：（一）制定內部管理制度和操作規程；（二）對個人信息實行分類管理；（三）采取相應的加密、去標識化等安全技術措施；（四）合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；（五）制定并組織實施個人信息安全事件應急預案；（六）法律、行政法規規定的其他措施?！焙?5條[7]《個人信息保護法》第55條：“有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權益有重大影響的個人信息處理活動。”也具體闡述了個人信息處理者采取措施防范安全風險和影響評估等義務。由于技術的發展，風險民事責任具體化中內嵌的義務性規范也應當不斷細化明確，尤其在金融領域，需要通過具體的司法解釋課以金融企業信息安全管理義務和信息風險評估義務兩項義務。金融產品是信息的組合，由于構成原理復雜，即使在信息適量的情況下，普通消費者也很難完全理解信息的內容從而對產品有全面認知。專業化復雜化的金融合同使消費者處于不利地位，他們難以依常識判斷金融產品是否存在瑕疵。正是由于金融消費合同的特殊性，因此法律對金融企業予以一定程度的規制，金融企業除應提供合法合規的金融產品和服務，還應對風險警示等重要事項予以充分適當的說明[8]黃莉萍、潘晟：《金融消費合同中的品質擔保責任問題探究》，《行政與法》2017年第6期。。在伊某與中國工商銀行盤錦分行儲蓄存款合同糾紛再審案件中[9]最高人民法院〔2017〕最高法民再174號判決書。，最高人民法院明確銀行在為自然人辦理業務時應盡到最大的注意和風險提示義務。需要強調的是，面向消費者的金融產品通常具有復雜性和不可理解的特點，有必要在司法解釋中細化金融企業的信息安全管理義務和信息風險評估義務等附隨義務，要求金融企業引入內部程序和機制，以確保消費者對產品的正確理解，從而降低個人和社會成本，增加消費者對金融企業的信任。

關于個人金融信息安全管理義務，依據《個人信息保護法》第38條和第40條，只有關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的信息處理者，在向境外提供數據時才需要通過國家網信部門組織的安全評估?！秱€人信息保護法》已給出信息分級保護問題的法定方案，即區分一般個人信息的處理和敏感個人信息的處理，第51條還對個人信息進行了橫向的切分。設置金融企業信息安全管理義務，旨在促使金融企業采取符合法律法規、國家標準的安全措施，妥善保管所收集的個人金融信息，防止信息遺失、毀損、泄露或者篡改。在監管條例中應當明確金融企業在沒有盡到信息保護義務時應當承擔的法律責任，不僅是行政責任，還包括相應的民事責任和刑事責任；要制定更加詳細的處罰措施，加大處罰力度，增加違法成本，充分保障金融消費者的個人信息權益[1]黎四奇、苗羽亭：《大數據背景下金融隱私權的保護》，《財經理論與實踐》2019年第4期。。2019年上海金融法院在丁某訴甲銀行儲蓄存款合同糾紛案[2]參見上海金融法院〔2019〕滬74民終200號判決書。的判決書中就指出，銀行負有妥善保管金融消費者銀行卡卡號、密碼的義務，對網上銀行業務客戶資料負有安全保障義務。另外，為保障個人金融信息安全，金融企業需建立良好的數據存儲空間，保障其安全，并構建個人金融信息更新機制，保證信息的及時性、準確性和有效性。需要說明的是，金融企業保護消費者個人金融信息安全的義務不因其與外包服務供應商合作而轉移、減免。

《個人信息保護法》第56條羅列了個人信息保護影響評估的內容，包括單方處理敏感個人信息、利用個人信息進行自動化決策、個人信息流轉（包括委托、提供和公開）、向境外提供以及其他對個人有重大影響的五類場景。風險評估可分為自身風險評估和外包機構風險評估。金融企業自身的風險評估應當由金融監管機構進行，內容包括對金融企業保護措施的評估，如內部機制的完善、自身履行職責的狀況與能力等。金融企業應當充分審查、評估外包服務供應商保護個人金融信息的能力，在相關協議中明確外包服務供應商保護個人金融信息的職責和保密義務，并采取必要措施保證外包服務供應商履行上述職責和義務[3]例如建立外包服務供應商的競爭機制，嚴格審核其資格，提高準入門檻；通過簽訂合同等方式對相關事項予以明確規定并嚴格履行個人金融信息等資料交接登記手續，保證職責范圍內的責任清楚劃分，明確資料交接相關查驗程序；完善資料交接及銷毀制度；外包服務期結束之后嚴格要求該公司及相關人員將金融信息及資料等退回或者銷毀，并派專人予以監督。參見楊為程、張金金：《互聯網金融信息中的隱私權保護》，《新疆教育學院學報》2017年第4期。。

3.增設默認付費和默認罰款的財產權保護機制

《個人信息保護法》第44條明確個人對其個人信息的處理享有知情權、決定權。由于在金融交易中存在交易雙方信息披露不對稱的情況，因此對金融消費者知情權的保護尤為必要。為了保持金融消費者與金融企業的利益平衡，應在通知義務等普遍的公法義務保護模式中增加市場平等服務協議中的私法保護模式，即“默認付費”和“默認罰款”。

（1）以默認付費模式賦予金融企業信息開發權

對于金融企業與金融消費者之間的信息利用關系，學理上存在兩種解釋：一種是認為信息從金融消費者提交給金融企業開始就已完成所有權的轉移，從此信息歸屬于金融企業，金融消費者對其再無權利[4]United States.Miller，425U.S.at442-43&443(1976);Smithv.Maryland，442U.S.735，736-37(1979).；另一種則認為金融企業和金融消費者之間是“保管”關系，金融消費者為了享有金融產品及服務而提供自身的信息，金融企業只是將這些信息作為加密手段或是金融產品的附屬品予以保存[5]Joseph Jerome，"Big Data:Catalyst for a Privacy Conversation"，Indiana Law Review，2014，pp.1-30.。需要說明的是，個人金融信息同時具有流轉價值與安全價值，實現上述價值的平衡需賦予金融企業部分信息權以開發信息價值[1]何穎：《數據共享背景下的金融隱私保護》，《東南大學學報（哲學社會科學版）》2017年第1期。，同時應規定相應的義務，保障金融消費者權利。純粹的保管關系無法滿足這一要求，因為保管合同關系屬于靜止法律關系，即金融企業作為信息的保管人對于信息履行保管義務，但過嚴的信息保護會抑制金融創新的動力。金融企業與消費者之間建立的交易關系實質為金融消費合同關系，金融企業對個人金融信息合理利用及保密是金融消費合同中的附隨義務?，F存普遍免費模式[2]網絡服務提供者通過普遍免費模式實現初期擴張，往往會因過分索取用戶的個人信息作為經營的戰略資源或用于進行交易的數據財產而損壞用戶的個人信息權益，并且免費的實質是以數據支付為對價，網絡服務提供者免費獲得了最有價值的資源——用戶的注意力，并將消費者和更多的注意力轉化為市場份額，以實現營利的目的。存在虛化“同意原則”[3]方禹：《個人信息保護中的“用戶同意”規則：問題與解決》，《網絡信息法學研究》2018年第1期。、降低網絡服務提供者責任等問題，在此情形下，現實中網絡信息消費者在特定領域下會更加重視個人信息的利用與信息保護，且寧愿支付對價以獲得網絡信息產品和服務，對于該人群的合理需求，法律應當提供相應的制度供給滿足其需求，由此構建金融消費者在金融領域中個人信息的財產權保護制度——默認付費。

（2）以默認罰款模式實現金融消費者權益保障

前述默認付費作為義務性規范是基于消費者對個人金融信息的敏感程度，通過金融企業提供付費服務的方式實現消費者個人金融信息的保護，即金融企業應當遵守具體的規則，否則應當承擔“罰款”責任。金融企業無論是根據其法定義務還是合同義務，都應該對個人金融信息負有保密義務，這是對金融消費者信息權和財產權的保護。金融消費者與金融企業簽訂客戶服務協議（金融消費合同），金融企業基于該合同收集相應服務所需的客戶個人數據，并且作為數據控制者同時需要承擔數據安全保障的義務（如采取加密、匿名處理等技術手段），在法律允許和客戶授權范圍內合理使用數據并履行信息披露義務[4]趙吟：《開放銀行模式下個人數據共享的法律規制》，《現代法學》2020年第3期。。在大數據背景下，金融企業掌握大量數據信息，與金融消費者在議價能力方面存在較大優勢，前面論證的金融企業與金融消費者之間建立的合同關系中，因其違反約定義務的成本較低，金融企業往往不會對個人金融信息盡到合理利用與保密義務[5]金融機構與金融監管機關之間成立的是垂直的行政監管關系，法國隱私監管機構根據通用數據保護條例（GDPR），對谷歌處以5700萬美元罰款，原因是谷歌在設立賬戶時，以廣告為目的迫使人們“同意”對其數據進行處理。具體參見Ceresearch：《由谷歌高額罰單案再談金融消費者信息安全權》，https://mp.weixin.qq.com/s/aTJydeRq2a177QfDsl_tnw。，金融消費者權益的有效保障難以實現。

“默認罰款”旨在督促合同強勢一方履行安全保障義務，并通過在軟件系統中設置信息強制默認罰款來實現。提高企業不履行義務的費用負擔，可以提高消費者作為合同弱勢一方的議價能力。根據“默認罰款”監管部門可以直接懲罰不履行合同義務的締約一方，以使合同相對方具有相等的議價能力。信息的默認強制設置（包括默認罰款設置）將不利于提供更多信息的一方，也有可能虛化了告知移除規則，但是這些默認規則在定義上是非多數主義的，會由于罰款議價能力的改變而改變，如果不能有效地保證履行安全保障義務，合同相對方將頻繁地改變默認。軟件執法的靈活性在于將安全保障義務與經濟上的可負擔性進行合理計費，這種隨時改變算法的個人金融信息保護也是一種金融市場交易的產權化機制。

四、個人金融信息風險民事責任的承擔路徑

在個人金融信息損害救濟方面，《個人信息保護法》等相關法律必須有對應的條文對接風險民事責任，使個人金融信息風險民事責任落到實處。從構成要件層面來看，將風險民事責任架設至民事責任體系的主要問題在于，因果關系等核心概念與傳統體系中的含義并不完全一致。為實現個人金融信息的損害救濟，可以將金融企業市場特許經營許可架設入格式合同的效力要件，在一定范圍內放寬因果關系推定標準并施行嚴格的歸責原則。

1.金融企業市場特許經營架設至金融領域格式合同的效力要件

在金融領域，個人金融信息處理者與消費者之間往往簽訂格式合同，前者利用在市場的優勢地位，通過預設的格式條款使消費者處于不利地位。鑒于此，有必要將金融企業市場特許經營架設至金融領域格式合同的效力要件之中?！睹穹ǖ洹返?53條第一款明確規定“違反法律、行政法規的強制性規定的”為民事法律行為無效情形之一。根據通說，法律、行政法規中的強制性規范屬于“效力性強制規范”的包括兩類：一類是“明定無效型”，即法律、行政法規明文規定違反強制規定的法律行為無效的情形；另一類是“危害公序型”，即違反該強制規定即損害公共秩序的情形。金融企業市場特許經營是由政府有關部門許可授予的，具有很強的行政管理特征。在金融企業的經營方式和經營范圍上，行政機關對金融從業機構進行行政許可審批，并頒發市場主體資格和經營資格證照。即使是僅限制一方當事人市場進入（準入）資格或資質條件的“資質限制類”強制性規范，若損害社會公共秩序（主要情形為損害公眾安全）的，則也屬于效力性強制規范。

2.金融企業監管義務架設至個人金融信息的風險民事責任認定

由于金融消費者合同的設立及其履行一定程度上依賴金融企業的誠信，為尋求合同相對方履約的法律基礎，必須建立履行協議的空間和范圍。公義務架設至私義務可以通過私法訴訟中私法規范的公法要素來實現，當消費者以金融企業作為被告不履行合同義務而提起訴訟的時候，舉證規則應當納入行政監管認定的結論（如金融企業內部管理失職的行政處罰決定書）。

（1）金融企業違約責任中架設公義務條款

金融企業與消費者以協議方式擬定相關的義務，該協議通常是行政機關以行政手段規制的格式合同[1]王瀚、張超漢：《格式合同的行政規制》，《科學經濟社會》2009年第4期?；蚪鹑谄髽I經過行政機關事前審查制定的合同，在該類合同中將安全保障義務作為金融企業違約責任架設入公義務中。此種安全保障義務不論是通過行政規定的方式，還是通過行政合同的方式制定，對于行政機關、金融企業和金融消費者而言都更加契合現行公共高效治理與私權保護的目的，也更體現公私法領域多維度立法融合的趨勢[2]通常而言，在經營者入駐平臺階段，平臺需要對其進行實名登記并審查相關主體的資質是否完備，同時在日常的運營階段還負有報告義務。對于網絡平臺內運營的經營者，網絡平臺不僅需要進行資格審查，還需督促應用程序提供者發布合法應用程序，尊重和保護應用程序提供者的知識產權。另外，網絡平臺在運營過程中也需要對用戶的個人信息安全承擔保障責任。參見Federal Trade Commission,"Privacy&Date Security Update:2018"，Federal Trade Commission and Staff Reports，https://www.ftc.gov/reports/privacy-data-security-update-2018。。而以上公法私法融合實現的一種有效形式就是契約方式，行政機關除了通過制定監管規則之外，更為方便的方式是通過行政合同與金融企業約定安全保障義務，通過這種由公法上誠實信用原則的附隨義務架設而形成的安全保障義務作為履行合同的基礎，只要金融企業有違反義務的行為，除了行政合同所具有的作為民事契約的歸責，還會受到行政合同因約定了安全保障義務而帶來的公法上的懲罰，即行政機關依據行政合同既可以追究違約責任也可以主張違反安全保障義務而進行行政處罰[3]王學輝、趙昕：《隱私權之公私法整合保護探索— —以“大數據時代”個人信息隱私為分析視點》，《河北法學》2015年第5期。。具體來看，此類行政合同要求金融企業和互聯網金融平臺通過與消費者用戶簽訂協議的方式來敦促雙方遵守法律法規以及互聯網相關公約[1]如《區塊鏈信息服務管理規定》第7條、《互聯網新聞信息服務管理規定》第14條、《互聯網論壇社區服務管理規定》第6條等。。實踐中，公權力的影響力已經慢慢滲入對金融企業與消費者簽訂的格式合同之中，這種行政監督的力量對于市場的整飭效果是立竿見影的。

（2）增加判斷金融企業侵權責任的公法要素

依據《個人信息保護法》第69條規定，金融企業侵害個人金融信息權益的侵權賠償責任適用過錯推定責任，即若金融企業不能證明自己沒有過錯的，就應當承擔損害賠償等侵權責任。但在司法實踐中，金融消費者一方在調查取證和舉證質證時面臨銀行等金融機構的壓倒性優勢，對于金融企業內部管理漏洞導致的個人金融信息損害難以查清事實[2]何沛蕓、呂新文：《千余畢業生莫名被開多張農行卡，當事人要了解真相》，https://m.thepaper.cn/baijiahao_15808648。，行政機關在進行行政監管時依據原來的單一公法監管規制也已失去效用。行政機關為了保護消費者個人金融信息，需要將風險民事責任納入金融企業與消費者民事協議的范圍，與金融企業的安全保障義務一起作為規制企業的方式，由此完成金融企業的嚴格過錯責任推定。金融企業在利用消費者信息提供產品和服務的過程中對于消費者信息造成的損害，不論是自身造成的還是基于第三人造成的，基于協議中金融企業應遵守的風險民事責任，對可能發生的損害消費者個人信息的行為直接推定企業承擔責任，此乃主觀要件客觀化處理的合理方式。

在網絡侵權領域，出現平臺侵犯個人信息利益時，因果關系的認定問題往往更為棘手。這不僅僅是因為大數據時代信息的海量性、傳播的即時性和復刻的便利性使得人們的交易模式發生了巨大的變化，企業普遍啟用的算法機制也使得責任溯源的路徑荊棘叢生[3]See Thomas Hemnes,"The Ownership and Exploitation of Personal Identity in the New Media Age",MarshallRev.Intell.Prop.L.，2012(1)，pp.1-39．。在金融網絡領域，追求明晰和單一化的因果關系鏈條，在某種程度上已經背離互聯網時空的復合性以及科技發展的規律。在金融企業侵犯消費者信息的案件中，法院往往基于高度蓋然性的標準，即當全案證據顯示待證事實存在的可能性大于其不存在的可能性，使得法院有理由相信事實很可能存在時，盡管還不能完全排除存在相反的可能性，也允許法院依據高度蓋然性標準認定待證事實，因而現實中往往是基于此來認定企業高度存在泄漏消費者個人金融信息的可能性[4]參見北京市朝陽區人民法院〔2018〕京0105民初36658號判決書。。但這種高度蓋然性的因果關系判斷更多的是基于法官的內心確信，是基于法官的知識體系及生活經驗做出的判斷，具有極大的不確定性與不嚴謹性。因此，在個人金融信息侵權訴訟中，舉證困難的一方，將行政監管機關做出的金融企業內部監管失職等相關文書作為證據，司法機關以此作為推定因果關系成立的綜合判斷指標的重要考量因素，不失為一種更為公平高效的方式[5]王曉錦：《人工智能對個人信息侵權法保護的挑戰與應對》，《海南大學學報（人文社會科學版）》2019年第5期。。