算法社會下金融消費者信息權的法律治理研究

程雪軍

（同濟大學 法學院，上海 200092）

一、算法社會與金融消費者信息權

（一）算法社會的內涵與特征

隨著大數據與人工智能技術的發展，算法（algorithm）日益滲透傳統社會，人類社會逐步從傳統工業社會向算法社會邁進。關于算法，它最早來源于古希臘語arithmoós（αριθμó），指一個形式化的過程或一組依步驟行使的程序[1]。從數學角度來看，算法是通過一系列步驟，用輸入數據得出輸出結果的過程[2]，現代算法以智能終端為載體，以二進制為運算機制[3]，發展出了傅立葉算法、哈希算法等，被廣泛應用于匹配、加密等場景[4]。盡管目前并沒有統一的界定，但一般認為算法是對問題解決方案的步驟描述，其本質是用輸入數據得出輸出結果的程序[5]。至于算法社會，杰克·巴爾金將其定義為由算法、機器人和人工智能圍繞社會、經濟發展決策所組成的社會，并認為其具備三大法則：算法操作者是委托人與終端用戶的信息受托人、對公眾負有責任、負有不參與算法妨害的公共義務[6]。算法社會是人工智能技術所主導的智能化、可算化社會，它有自身內在的演化邏輯與運行法則，但同樣帶來了技術風險，需要加強法律治理。

首先，在人工智能技術背景下，算法社會的主要特征之一是智能化發展，它的風險類型將會突破“自然風險-社會風險”的局限，逐步歷經“自然風險—社會風險—技術風險”的演化過程。烏爾里希·貝克（Ulrich Beck）認為，在工業社會背景下社會處于文明的火山之上，風險社會所遇到的風險是一種大規模產品且系統地隨著全球化而加劇的現代化風險[7]，不過他所建構的風險社會理論基礎是工業化社會，而非人工智能技術基礎之上的算法社會，從而難以預判智能化發展下的技術風險。此時，由于社會發展與風險類型的變革，算法社會更加強調需要加強算法監管（algorithm supervision）[8]與法律治理。

其次，在算法社會中，社會主體將會日益多元化、新型化。其中，金融消費者是承接金融行業層面消費者責任的重要社會主體。對于金融消費者而言，其個人身份信息（PII）將會成為社會中重要的資產，因為PII 不論對于算法技術公司還是對于金融消費者自身而言，都具有重要的使用價值與價值。目前，各種金融科技平臺（如螞蟻集團、京東金融等）已經在市場營銷中運用復雜的定價算法，將金融消費者的個人信息、產品歡迎程度與競爭對手定價等因素納入算法公式，并配以相應的計算權重。隨著算法社會日益信息化、數據化以及智能化，金融消費者的個人信息包羅萬象，不僅包括傳統的個人信息，如姓名、地址、電話、性別、學歷等信息，而且包括其他個人信息（消費習慣、網站登錄頻率、歷史購買記錄以及其他行為數據）。對于擁有信息并強烈希望保護該信息不被濫用的金融消費者而言，對其信息權進行法律保護與治理具有必要性。

再次，算法社會負有對公眾的責任，法律需要對其進行回應。面對人工智能算法給社會經濟帶來的影響，建立金融消費者信任對于全球金融機構及其組織而言變得愈發重要。對于希望與金融消費者建立深入且可信的“數字伙伴”關系的金融機構而言，信息（尤其是隱私信息）保護至關重要，因為當前金融消費者對其數據保持隱私與安全的期望愈發升高，許多公開的數據濫用、漏洞以及身份盜竊給金融機構的信息保護設立了更高的標準，唯有高于普通數據保護標準，公司才會被視為值得信賴的數據保管方。對于旨在獲取金融消費者數據的金融機構而言，算法社會下的信任可以被稱為某種“數據貨幣”。申言之，算法社會的發展基礎是數據信息，唯有具有足夠多的海量數據，才可以通過深度學習、機器學習等方式實現社會可計算與可智能。但是，對公眾（尤其是金融消費者）數據的獲取，算法社會需要對公眾負有責任，有效保護每個數據信息的安全及其權益，而且各類金融機構在收集和處理金融消費者數據前需要獲其許可，并要求盡量保留金融消費者的許可記錄。

（二）算法社會對金融消費者信息權的沖擊

在算法社會中，人工智能算法技術與金融行業日益融合，無接觸、無現金的金融活動廣為流行。金融消費者可以無時間限制、無空間限制地進行金融交易，大力提升了金融交易的活躍度。一方面，基于人工智能算法技術而發展的算法社會，有利于提升金融行業的普惠性以及金融消費者的體驗性；另一方面，算法社會容易對現有的金融消費者信息權法律保護制度形成強有力的沖擊，可能導致他們的權益受保護的力度大為減弱。

1.信息不對稱加劇

在傳統金融環境下，由于金融機構和金融消費者之間資源稟賦與要素的差異性，兩者就存在信息不對等的強弱對比情況。在算法社會環境下，人工智能算法技術使得金融機構掌握的金融消費者數據信息成倍增加，加劇了雙方信息不對稱的強弱對比關系。

然而，金融消費者具有資源稟賦稀缺性以及有限理性。其一，金融消費者并不可能完全知曉其個人數據信息將被金融機構如何獲取、如何使用。其二，相較于金融機構尤其是算法技術驅動下的金融科技機構而言，金融消費者在所占有的信息資源、技術資源、能力資源等層面明顯處于劣勢地位，從而導致金融消費者在簽訂金融交易或服務合同時議價能力明顯不足，而金融產品或服務在某種程度上具有“準公共產品”的特性，金融消費者幾乎沒有太多的自由選擇空間，面對復雜形勢難以做出于己有利的決策，只能將其信息權交予金融機構。

2.從金融隱私權到信息權的變遷

人工智能算法對社會生活中的金融消費者帶來諸多改變，其中最顯著的轉變在于數據融合而導致的金融隱私權衰落。在傳統工業社會環境下，隱私權是指將某些個人信息保持秘密或者隔絕狀態的權利。然而，隨著人工智能算法技術的影響，金融隱私權的概念逐漸被弱化，但這并不意味著數據信息主體（金融消費者）對其信息不再享有相關權利，而是不再局限于金融隱私權下的私密性。因為在算法社會背景下，如果將金融隱私權局限在秘密或隱瞞狀態，將會限制金融消費者信息的流轉以及利用價值，所以應當將金融隱私權的概念逐步拓寬為金融信息權，可以將其解釋為在金融消費者信息脫離自身的排他性獨占后，對于他人利用該信息的控制。

在這樣的社會與技術轉變的背景下，金融信息權日益崛起，它所涵蓋的范圍將比金融隱私權更為廣泛，不再局限于金融信息的保密與隱藏層面，而是更多地體現為金融消費者對其信息的交流、利用與共享。從法律權利的內容上看，金融隱私權側重于隱藏金融消費者私生活信息，而金融信息權包括涉及金融消費者全部的個人金融信息（如從事行業、金融交易記錄、投資偏好等），金融機構通過人工智能算法技術對金融消費者信息進行收集、整理和分析，從中推斷出其具象信息，勾畫出“千人千面”的金融消費者畫像，助力金融機構的智能化決策以及為金融消費者精準推送相關的金融產品與服務。申言之，算法社會推動金融隱私權向金融信息權變遷，相較于金融隱私權強調的私密性，經過算法技術處理的金融消費者信息更具有公開性，金融信息權更加強調控制性、安全性及實用性，這對金融消費者信息權的法律治理帶來了變革的內在要求。

3.傳統法律治理失靈

算法社會給金融消費者信息權帶來較為重大的沖擊，其主要原因之一在于傳統法律對金融消費者信息權的法律治理失靈（legal governance failure），具體表現為“去身份化”手段失靈以及“告知-同意”保護方式失靈，致使金融消費者的個人金融信息脫離本人的控制，可能給金融消費者信息權帶來較為明顯的侵害。

一方面，“去身份化”手段失靈。在傳統金融環境下，傳統法律治理通常要求金融機構采取“去身份化”“去標簽化”手段獲取金融消費者的個人信息，其目的在于最大限度地保護金融消費者的個人信息、減少信息價值的損失。然而，人工智能算法技術的廣泛運用，使得彼此分散、割裂的結構化與非結構化數據被有機結合，從技術層面可以實現金融消費者身份標識的復原[9]。換言之，盡管金融消費者的個人信息已經被金融機構“去身份化”“去標簽化”，但是其個人信息在不經意的數據共享與二次利用中被人工智能算法技術完整還原，致使“去身份化”手段失靈，從而可能導致金融消費者的信息泄露問題。

另一方面，“告知-同意”保護方式失靈。目前，最普遍使用的金融消費者個人信息的保護手段是“告知-同意”方式，但這種傳統手段將金融信息權的保護責任施加給金融機構及消費者個人，在面對算法技術時顯得捉襟見肘。當金融消費者去購買金融產品時，他們并不能預知自己的購買行為以及瀏覽網站產品信息將會引發金融機構的算法技術分析，從而預測出他們是不是特定人群，這便可能導致傳統法律治理的困境，即到底在哪個時間點需要取得金融消費者同意或告知相關信息是恰當的。此外，盡管金融消費者是數據信息的創造者，但是在原生性數據信息的利用層面，他們難以對數據信息形成有效控制。甚至于，金融消費者在創造這些數據信息時，都未清醒地意識到數據信息的存在，倘若這些數據信息被金融機構收集、利用及其處理，那么在這種極端的信息不對稱情形下完成“告知-同意”幾乎是不可能的[10]。在算法社會背景下，金融消費者的信息利用方式層出不窮，如果在每一次利用或者二次利用之前都要遵守“告知-同意”的保護方式，那么這不僅會使金融機構的告知成本顯著增加，而且會由于數據信息處理的動態性和不可預知性而帶來算法社會難以承擔的經濟成本。

二、我國金融消費者信息權的法律治理現狀和問題

（一）我國金融消費者信息權的法律治理現狀

算法社會對金融消費者信息權帶來了較大的沖擊，對各國的法律治理形成了發展挑戰。為有效應對這種發展挑戰，我國從基礎法律、行政法規、部門規章以及其他法律規范層面，初步構建了金融消費者信息權的法律治理體系（如表1所示）。

表1 我國關于金融消費者信息權的法律治理現狀

在基礎法律層面，我國2009 年頒布《刑法修正案（七）》，首次從刑法角度將金融機構及其工作人員出售或非法提供公民個人信息作為犯罪論處。2013 年，《消費者權益保護法》增加了“保護消費者個人信息的義務”條款，從經濟法角度明確規定了經營者收集、使用消費者個人信息的原則，強調了“消費者同意”作為信息收集、使用的前提條件。我國在2020年頒布了首部法典（《民法典》），以法典的形式明確了個人信息的法律規制，分別提出了個人信息的界定、處理原則和條件、免責事由、個人信息主體的權利、信息處理者的安全保障義務。金融消費者信息作為個人信息的下位概念，同樣適用于《民法典》的相關規定。隨著算法技術的發展，算法對金融消費者信息權的挑戰顯著加劇，我國陸續頒布了“信息安全三法”：一是2016 年頒布了《網絡安全法》，強調網絡安全的重要性，該法明確了個人信息概念，從網絡運行、關鍵信息基礎設施以及網絡信息安全等維度對網絡運營者提出了諸多要求，旨在實現個人信息保護的立法目標；二是2021年頒布了《個人信息保護法》，該法明確提出“國家建立健全個人信息保護制度”，重視包括金融消費者在內的個人信息保護；三是在2021 年通過了《數據安全法》，該法提出“開展數據處理活動……不得損害個人、組織的合法權益”。總之，《個人信息保護法》《數據安全法》的出臺，標志著我國對金融消費者信息主體權益的維護以及信息流動之間關系的推行進入新時期。

在行政法規層面，我國于2012 年頒布《征信業管理條例》（以下簡稱《管理條例》），首次就征信業務及其相關活動作出規定。對于征信主體的權利以及征信機構的義務作了規定，《管理條例》基本涵蓋個人信息保護的一般內容，如合法使用、按約定用途使用、風險提示，重點指出信息主體享有知情權、查詢權以及投訴權等。不僅如此，《管理條例》還構建了侵害信用信息行為的責任倒追機制，旨在規范信用信息的處理秩序、維護信息主體的相關權益。不僅如此，我國還于2021 年頒布了《關鍵信息基礎設施安全保護條例》，明確規定“專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作……履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度”。

在部門規章層面，中國人民銀行于2020年正式出臺《金融消費者權益保護實施辦法》（以下簡稱《實施辦法》）。《實施辦法》專門設立了“消費者金融信息保護”專章，對“消費者金融信息”的內涵進行了明確，還對金融機構采集消費者金融信息應當遵守的原則、保障措施和信息安全規定等作了限制。不過，在金融信息侵權的救濟上，《實施辦法》在第四章“金融消費糾紛解決”部分，對金融消費領域產生的信息侵權問題作了明確規定。《實施辦法》明顯側重于金融信息侵權的非訴訟糾紛解決機制，鼓勵金融消費者優先向金融機構或監管部門進行投訴，將法律訴訟途徑置于最后。總體而言，《實施辦法》更側重于從金融監管角度設定金融機構的信息保護義務，保護金融消費者信息權。

（二）現行金融消費者信息權法律治理存在的問題

在算法技術的驅動下，近年各種創新型金融活動發展速度很快，金融消費者可以從金融創新中實現金融可得性與惠及性。但是，人工智能算法技術同樣對金融消費者信息權帶來實然沖擊，從而給現行金融消費者信息權的法律治理衍生諸多問題。

1.金融消費者的信息權立法規制不足

我國關于金融消費者信息權保護的法律規范數量較少，大多分散于各個不同法律領域之中，沒有形成統一完整的法律保護體系。而且，法律規范對于金融機構收集、使用與處理金融消費者信息的約束不夠明確。如《個人信息保護法》第二十八條至第三十二條明確規定了敏感個人信息的處理規則，但是現有法律規范關于個人信息保護非常依賴于“本人同意”的授權。

在金融市場實踐中，市場經營者通常利用格式合同或者自身優勢地位強迫金融消費者對其所接受的金融產品或服務進行“一攬子”授權，這可能直接導致金融消費者的信息采集往往在“本人同意”的幌子下進行，甚至導致金融消費者的信息使用或轉移至第三方基本也不太會受到相關的法律限制。針對這些問題，雖有現行部分立法①作出了規定，但是如何落實金融消費者的信息保護仍然是個難題。

2.金融機構未盡到全面保護職責

當前，各類金融機構一般未將金融消費者的信息保護作為風險管理的重點并納入自身整體風險管理框架中。而且，它們對于金融消費者的信息保護采取“多頭管理”，大多沒有成立專門的信息風險管理機構對金融消費者信息提供全面的保護。

在人工智能算法技術的驅動下，金融機構與其他金融機構及其服務機構的合作陡然增多，對于金融消費者的信息共享需求顯著增加。然而，大多數金融機構并未充分落實對其合作機構的制約以及擔責制度，現有金融機構的流程制約、監督檢查難以覆蓋到金融消費者的信息使用全過程，突出表現為合同中金融消費者保密條款的約束力較弱，對其他合作機構人員行為與金融消費者信息保護的控制明顯缺乏剛性。

3.金融監管機構的監管有待加強

在當前的金融發展背景下，“分業監管”模式仍然是我國金融行業的主要監管模式，其按照不同的金融機構進行機構監管。然而，在算法社會背景下，人工智能算法技術與金融行業深度融合，促進各種金融形態“混業發展”，此時傳統“分業監管”的監管弊端日益顯現。因為在各自為政的“分業監管”模式下，容易出現多個金融監管機構對某類監管對象重復監管，或者多個金融監管機構對某類監管對象存在監管真空，導致被監管機構的“監管套利”。

具體而言，我國對于金融消費者信息權的保護呈現出多部門的分散性，中國人民銀行、銀保監會、證監會等金融監管機構都在本機構設置了金融消費者保護部門，但是我國至今沒有一個專門的監管機構對金融機構的金融消費者信息處理行為進行統一的監督管理。此外，基礎性立法文件的缺失，使得各金融監管機構在金融消費者信息保護方面的權責劃分不明、處罰標準各異、有效協調不足。在算法社會環境下，現代金融行業的信息交流與共享已然超越了傳統金融行業與領域界限，超出了現有“分業經營”的業務界限，其金融消費者的信息可以無空間限制、無時間限制地流轉。

4.法律救濟制度存在明顯偏差

對金融消費者信息侵權行為的傳統法律救濟機制，通常采用事后的“填補式”救濟模式，即有此損害必生相同分量之賠償。但是現實法律實踐中金融消費者所得到的法律賠償，可能難以填補其實際損失。整體而言，我國對于金融消費者信息權保護主要存在兩大方面的問題：

首先，金融消費者信息侵權行為的法律救濟途徑不足。當前，我國對于金融消費者信息的法律救濟途徑主要在以下層面有待提升：一是在非訴訟救濟層面，投訴處理機制是金融消費者最先適用的途徑，但由于金融監管機構對金融消費者的信息權投訴處理程序與維護金融消費者的信息主體權益的專業知識相對欠缺，而且常常出現金融機構既當裁判又當運動員的情形，對投訴處理的結果可能欠缺公平性與合理性；對于另一種解決糾紛的途徑——金融仲裁，由于金融仲裁的前置程序需要雙方達成仲裁協議，而金融消費者在算法社會下的金融交易中常常處于弱勢地位，很難與強勢的金融機構平等地達成仲裁協議，致使金融仲裁的法律救濟效果不佳。二是在訴訟救濟層面，由于司法裁判具有既判力和執行力，金融消費者往往傾向于尋求司法救濟。盡管2019 年最高人民法院通過《九民會議紀要》，明確要求金融機構對其收集的金融消費者信息承擔舉證責任，但是金融機構是否會基于信息優勢與道德風險而不完全舉證，這是個比較突出的問題。除此之外，還存在維權成本高的難題[11]。

其次，金融消費者信息保護的懲罰性賠償規定缺失。當前，金融消費者信息侵權存在較為嚴重的法律救濟困難，主要原因在于侵權責任承擔模糊、罰則立法不明、損害賠償不足。尤為重要的是，我國目前沒有專門規定金融消費者信息保護的具體法律規范，金融消費者的信息侵權是否成立、法律救濟如何選擇，這些都需要依靠法律推定。而且，金融消費者遭受金融機構對其信息權侵害后，侵權人（金融機構）通常被要求承擔行政處罰和刑事責任，少有民事方面的法律救濟。盡管2019 年《九民會議紀要》明確提出金融機構“應當賠償金融消費者所受的實際損失（損失的本金和利息）”，但是法律實踐中并非完全如此，我國金融消費者在遭遇信息權侵害時，往往得不到實質性補償[12]。

三、域外算法社會下金融消費者信息權的法律治理鏡鑒

算法技術可以無縫銜接現有的金融消費者信息權的法律治理嗎？本杰明·卡多佐大法官指出，“新一代問題需要新規則來解決。這些新規則可用舊規則作藍本，但必須要適應未來的需求、適應未來的正義”[13]。相較于過去的互聯網技術，人工智能算法技術對傳統的法律規則帶來了更大的沖擊，對金融消費者信息權帶來了更多的挑戰。對此，歐盟與美國都基于各自的法律基礎、要素稟賦以及金融消費者信息保護情況，加強算法社會下金融消費者信息權的法律治理，以適應未來的法治發展需求與正義。

（一）歐盟對金融消費者信息權的法律治理

1995 年出臺的《歐盟指令》確立了個人信息保護制度的基本框架及主要內容，成為歐洲數據保護立法進程中的標志性規范。然而，由于《歐盟指令》部分內容的滯后，各成員國的執行狀況不一，同時內部缺乏協調性，導致《歐盟指令》對于個人信息保護并非十分理想。在算法、深度學習等技術日益滲透到社會生活的背景下，智能算法的作用日益凸顯，歐盟數據保護監督局（以下稱“EDPS”）2015 年的調研表明算法已經可以做到翻譯各種語言、識別影像、撰寫文章、分析各種金融數據等[14]。基于此，歐盟于2016 年正式通過《通用數據保護條例》（GDPR），GDPR是一項保護歐盟成員國公民個人隱私和數據（包括金融消費者數據）的法律，它的法律適用范圍既涉及歐盟成員國境內企業的個人數據，也涉及歐盟成員國境外企業處理歐盟公民的個人數據。

關于個人數據尤其是金融消費者數據保護，GDPR 主要從以下層面進行：其一，修改并擴大“個人數據”的范圍。GDPR明確將位置數據、在線識別標識以及基因數據納入個人數據的保護范疇之內。其二，對數據主體的“同意”作了具體規定。“同意”必須以書面聲明或明確的肯定性行為作出，沉默、不作為或任何被動的默許都不構成有效同意。其三，賦予數據主體廣泛的權利。GDPR 非常重視數據主體的權利保護，強化了個人數據的控制權，此時金融消費者對其個人信息與數據具有更多的控制權。其四，加重數據控制者和處理者的義務和責任。數據控制者應當從一開始就將數據保護措施融入產品以及服務，建立隱私友好型的默認機制[15]。其五，在監管機制方面，GDPR 進一步強化了監管機構的獨立地位及權力。具言之，GDPR 建構了“歐盟數據保護理事會—成員國數據監管機構—數據保護專員”的三層數據保護機構：最高一層是歐盟數據保護理事會，統籌歐盟范圍內的個人數據宏觀保護；中間一層是各成員國的數據監管機構，主要負責歐盟成員國范圍內的個人數據微觀監管；最下面一層是數據控制者及處理者（即公共機構和私營機構）內部的數據保護專員。

（二）美國對金融消費者信息權的法律治理

美國整體上比較重視公民的個人權利，將公民的隱私權保護擺在突出位置。具體而言，美國把公民的隱私權保護細化到各行各業的法律規范中，通過分散的立法模式對公民隱私權進行全面保護。同時，美國把金融消費者信息權歸入隱私權的保護當中，注重金融行業的自我監督及其約束。

美國于1970年頒布《公平信用報告法》（以下稱“FCRA”），這是美國聯邦層面首部規范消費者金融隱私的法律規范，它明確規定金融消費者對于其個人信息的使用行為具有知情權[16]。1996 年，美國對FCRA 進行全面修訂，明確規定金融消費者報告機構應當向消費者履行披露義務，同時各會員可以彼此共享消費者的信用信息，FCRA 還賦予消費者選擇退出權以拒絕上述信息的分享。1970 年頒布的《銀行保密法》（以下稱“BSA”）規定金融機構對其金融消費者（客戶）的部分交易應當保留賬戶記錄，以便政府調查人員調閱相關的賬戶記錄，并協助政府調查人員（比如警察等）開展犯罪偵查活動。不過，BSA的矛盾之處在于它規定金融機構向政府披露金融消費者信息的要求與銀行對金融消費者的保密義務有一定的沖突。因此，美國在重新審視和評估政府向金融機構索取金融消費者信息的正當性之后，于1978 年正式通過《金融隱私權法案》（以下稱“RFPA”）。該法案強調金融消費者儲存于金融機構的銀行賬戶信息在合理范圍內免受聯邦政府的監視。RFPA的核心規定在于兩個方面：一是金融消費者對于自身信息享有權利，倘若聯邦政府需要使用金融消費者的信息，那么聯邦政府需要履行通知義務；二是金融機構有義務保護金融消費者的信息安全，不能隨意提供金融消費者的信息給聯邦政府，除非聯邦政府可以出具相關的證明，并確保得到信息權人（比如金融消費者）的授權[17]。

美國于1999年頒布《金融服務現代化法案》（以下稱“FSMA”），專設金融機構的隱私保護政策，適用于所有金融機構。具言之，FSMA 所建立的金融隱私保護法制可以歸納為五個方面：其一，通知金融消費者。金融機構對其自身的隱私政策及相關規定，應當向金融消費者作出明確且清晰的披露。其二，給予金融消費者選擇退出權。在金融消費者信息可能會被非關聯第三方使用前，金融機構應當給予金融消費者選擇退出權。其三，完善的市場披露機制。FSMA禁止金融機構將其金融消費者資料提供給非關聯第三方供其銷售金融產品，金融機構需要具備完善的信息披露機制。其四，保護金融消費者的信息安全。FSMA規定金融機構有義務采取管理、技術以及組織上的安全防控措施，確保消費者非公開信息的安全性和秘密性。其五，聯邦機構負責執行。在此次立法中，FSMA依靠8個聯邦機構負責隱私條款的執行，它們在各自的監管權限范圍內承擔保護金融消費者隱私的職責。

2015 年2 月，美國公布了《消費者隱私權法案（草案）》，旨在為消費者提供全局性的隱私保障，并對商業活動中消費者信息處理行為進行規范，例如禁用JavaScript和在瀏覽器中創建Cookie。同時，為了促進數據的開發與利用，該草案也確保了充分的靈活性[18]。美國加利福尼亞州于2018 年6 月通過《加州消費者隱私法案》（以下稱“CCPA”），它被稱為美國最嚴厲、最全面的消費者隱私保護法，因為它嚴厲禁止各類機構對消費者過度收集數據。按照CCPA 的規定，如果營利性企業收集加州居民的消費者信息，并滿足以下任何一條，就必須充分滿足合規性：年營業額超過2500萬美元；購買、獲取與銷售不少于5 萬個消費者、家庭和設備的信息；超過50%的年度營收由銷售消費者個人信息獲得。由此可知，CCPA 保護金融消費者具有的告知企業不要共享或出售其個人信息的權利，保護金融消費者對其被收集到的個人信息具有的控制權，并要求企業負責保護金融消費者的信息安全。

四、完善我國金融消費者信息權的法律治理路徑

對于金融消費者信息權的法律治理而言，歐盟GDPR以及美國CCPA的頒布，反映了主要發達國家對金融消費者信息權法律治理的邏輯與趨勢，當今越來越多的國家重視金融消費者信息權的法律治理。盡管我國已經初步構建了包括信息安全層面“三法一條例”的法律治理體系，但是與發達國家的法律治理對比而言，還存在一定差距。基于此，我國可以借鑒歐盟與美國的法律治理經驗，積極構建本土化金融消費者信息權的法律治理路徑。

（一）加強金融消費者信息權的立法規制

無規矩，則難以成方圓；無法律，則難以成制度。完善我國金融消費者信息權的法律治理路徑，首先應加強金融消費者信息權的立法規制。

第一，通過加強立法，逐步完善金融消費者信息權的權能。金融消費者作為信息權的當然主體以及所有者，應當具備四項完整的所有權權能，即對自身信息的占有、使用、收益以及處分的權能。其中，金融消費者信息權的處分權能應當而且只能歸屬于金融消費者。一方面，因為金融消費者對其信息享有最終的處分權能，故而他們應當自始至終對其信息具有控制權，這種控制權不是對金融信息的形式控制權，而是對金融信息全流程（收集、分析、使用與處理）的實際控制權。另一方面，對于金融機構而言，倘若它通過人工智能算法技術對金融信息分析與加工，使得金融信息價值升高，那么它應該有權分享金融信息帶來的收益。簡言之，金融消費者作為信息權的法律主體，享有信息的最終控制權；金融機構可以在一定范圍內基于人工智能算法技術，對金融消費者的信息進行優化從而分享信息增值所帶來的收益，進而有效提升金融消費者信息的開發及使用價值。

第二，規定金融消費者信息保護的例外情形。對于金融消費者的信息處理，在信息保護與信息公開的價值衡量中，通常信息保護占據優先位置，不過在特定情況下出于對公共利益保護等層面的考量，應當進行信息披露。信息披露機制作為金融消費者信息權的例外情形，法律治理應當對信息披露適用的情況作出具體規定，防止因規定不明而導致的自由裁量權擴大。按照現行法律治理的規定，金融消費者的信息披露只限于法律強制性規定、保護公共利益以及《征信業管理條例》中的信息提供要求，這些信息披露情形廣泛地分散于不同的法律規范中，給法律治理帶來了較大的困難。基于我國當前的信息披露機制實踐，充分借鑒歐美地區的法律治理經驗，本文認為可以在以下情況下明確金融消費者的信息披露：一是法律規范中強制規定需要進行信息披露的情況。二是出于保護國家利益以及公共利益的需要。比如，在社會征信制度建設與金融消費者信息保護之間存在沖突時，應當以建設社會征信制度為優先。三是基于金融消費者的同意，通過完善“同意-授權”的機制，金融機構可以向有關主體披露金融消費者的金融信息。

（二）強化金融機構的自律以及保護職能

在歐美國家對金融消費者信息權的法律治理上，美國《消費者隱私權保護法》非常重視金融消費者的信息主體地位，強化金融機構的義務與責任。金融消費者是信息權的當然主體，但是金融消費者與金融經營者（主要是金融機構）相比，兩者之間存在較為明顯的信息強弱與地位差距。基于此，我國在法律治理上有必要保護弱勢群體（金融消費者），加強對強勢群體（金融機構）的信息保護義務及責任的規制。

首先，在收集和使用金融消費者個人信息方面，我國法律規范應當明確金融機構必須遵循合法、合理與必要的原則。在金融行業與算法技術深度融合的背景下，金融機構應當向金融消費者告知其網頁或客戶端所利用的Cookies技術，由金融消費者決定是否同意金融機構以此種方式對其個人信息進行收集。

其次，在金融機構內部信息保護方面，應加強對金融機構信息治理體系的建設。金融機構作為具有優勢地位的經營者，其自身的信息治理體系的完善對金融消費者信息權的保護至關重要。強化金融機構的自律和保護職能，需要金融機構積極落實法律規范，尤其是有關金融消費者權益保護的相關規定。金融機構應當制定內部的金融消費者信息管理制度：一是在內部機構設置上，可以設立金融消費者信息主管部門，統一負責金融消費者信息保護工作；二是細化金融機構內部環節的信息保護任務，對金融消費者的信息收集、存儲、分析、利用與銷毀的全流程，應當制定具體的操作規范，并由信息主管部門統一監督。

再次，推動金融機構完善金融消費者信息的事前、事中與事后保護機制。在事前保護機制層面，需要提升金融機構的信息保障技術，定期排查金融機構的服務平臺與軟件技術風險，加大信息保護力度，確保金融交易活動的安全。在事中保護機制層面，金融機構在對所收集與存儲的信息進行二次利用或信息共享時，應當獲得金融消費者二次授權[19]，并與第三方簽訂信息保護協議。在事后保護機制層面，金融機構應當對收集與存儲的金融消費者信息加強管理，避免信息泄露與隱私侵犯。倘若發生金融消費者的信息泄露與隱私侵犯，金融機構需要采取有效的補救措施，將損害降至最低。此外，金融機構需要積極配合金融消費者信息權利的行使。如果金融消費者在完成金融交易之后，要求金融機構刪除收集與存儲的個人信息，金融機構應當積極回應并及時刪除。

（三）健全金融消費者信息權的功能監管制度

在人工智能算法技術的驅動下，算法與金融行業的融合程度日益加深，促使金融“混業經營”更為普遍，金融消費者信息保護形勢嚴峻。在強化金融機構信息保護義務時，金融監管機構應當發揮對金融機構的外部監管作用，建立健全對金融消費者信息權的功能監管。

在金融消費者信息權的監管制度方面，美國采取功能監管，建立了統一的消費者金融保護局（CFPB），有效保證了金融消費者信息權的實現。對此，我國可以有選擇地借鑒美國的成熟經驗，按照功能監管的理念，將當前分別隸屬于中國人民銀行、證監會與銀保監會的金融消費者保護機構進行統一協調，甚至可以考慮在以后某個階段統一合并為金融消費者保護局，并賦予其相應的行政執法權，從而改變現有“分業監管”的弊端[20]。與此同時，我國可以在立法上明確金融消費者保護機構的法律地位、職責及其權限，細化此類保護機構的具體法定職責：一是督促金融機構落實金融消費者信息保護規定。金融消費者保護機構應當對金融機構執行金融消費者信息保護工作加強監管，確保金融機構在內部建立健全金融消費者信息保護機制，定期督促金融機構提交有關金融消費者信息保護的內部管理報告，審查評估金融機構的信息保護工作。二是開展對金融機構信息保護工作的監督與檢查，加強金融機構對金融消費者信息的收集、存儲、利用與銷毀等方面的指導與監督。三是承擔金融消費者信息權保護教育的職責。對于金融消費者信息權意識比較淡薄，尤其是信息安全意識相對匱乏的問題，金融消費者保護機構應當加強對金融消費者的教育、培訓工作，全面提升金融消費者的信息權利意識，以更好地維護個人信息權益，減少信息安全糾紛的產生。

（四）構建金融消費者信息權的多元化救濟途徑

算法社會下金融消費者信息權益的糾紛日益增多，針對當前金融消費者信息權的法律救濟途徑有限的問題，我國應當構建多元的法律救濟途徑，確保金融行業的穩健發展以及金融消費者信息權的有效保護。

在非訴訟救濟機制層面，我國需要構建完善的糾紛處理機制以及仲裁機制。一方面，在建立健全糾紛處理機制層面，我國需要建立金融機構內部的糾紛處理機制。作為金融產品和服務的重要提供者，金融機構與金融消費者具有非常密切的聯系性，它們在解決金融法治糾紛時有獨特的優勢和作用。具體來說，金融機構應當基于公司內部流程與金融消費者投訴需求完善信息投訴制度，建立健全相應的在線糾紛投訴處理平臺，及時解決在交易過程中發生的金融消費者信息安全爭議。同時，我國需要完善金融行業自律組織層面的糾紛處理機制。相較于國家公權力的介入，金融行業協會等自律組織的社會公權力介入交易糾紛，不僅可以充分發揮自律組織的專業優勢，而且可以基于第三方中立地位發揮其客觀的調解作用[21]。另一方面，我國需要充分發揮仲裁在金融消費者信息權爭議處理中的作用，提高糾紛解決的高效性與專業性。不同于法律訴訟，仲裁在爭議解決中具有高效、快捷以及低成本等優勢，可以提升非訴訟救濟的多樣化與效益性。不僅如此，仲裁裁決所具有的執行力可以保障仲裁結果的實現[22]，有效保證仲裁結果的公正性和權威性。

在訴訟救濟機制層面，我國應當不斷完善金融消費者信息權的訴訟機制。在解決金融消費者信息權糾紛時，司法適用中通常采取一般過錯責任原則，但是該原則的適用不能周延救濟金融消費者信息權遭受侵害的情形。由于金融消費者信息的控制者和主體之間存在較大的信息與技術等差距，讓主體承擔舉證責任，證明信息控制者存在過錯具有較大難度。盡管最高人民法院在2019年通過的《九民會議紀要》明確了舉證責任倒置，即“賣方機構對其是否履行了適當性義務承擔舉證責任”，換言之，金融機構（信息控制者）對其收集的金融消費者（信息主體）的信息承擔舉證責任；但是這并不能否定法律實踐中更為常見的金融消費者（信息主體）的舉證責任，亦不能縮小金融機構和金融消費者之間的實際差距。基于此，我國有必要堅持《九民會議紀要》中賣方機構履行適當性義務時的舉證責任倒置原則，強調金融機構存在侵犯金融消費者信息行為時適用過錯推定。同時，對于侵害金融消費者信息權的違法行為，可以擴大民事賠償責任的范圍，從法律上明確民事賠償責任不僅包括財產責任，還可以視情況引入精神損害賠償責任。屆時，通過明確賠償標準提升金融消費者信息權的實質損害賠償，甚至可以考慮超越傳統民商法的“填補式”賠償，引入“懲罰性”賠償責任。

注釋：

①如《金融消費者權益保護實施辦法》第二十九條規定，銀行、支付機構不得收集與業務無關的消費者金融信息……不得以金融消費者不同意處理其金融信息為由拒絕提供金融產品或服務……