數字時代商業銀行個人金融信息利用問題的法律研究

吳迪 何林華

〔內容提要〕數字經濟時代，信息商業化利用裹挾的巨大經濟價值正猛烈沖擊著個人金融信息利用與保護間的脆弱天平，個人數字信息的利用合規問題亟待解決。在商業銀行個人金融信息的利用方面，我國國內一直缺少體系化的制度構建，更無法達到個人金融信息在利用與保護之間的平衡狀態。本文嘗試利用海倫的“場景完整性”理論分析來界定個人金融信息利用外延的限度或邊界，與此同時，在演進路徑方面探索以個人金融信息利用流程作為平衡限度的前端錨定、以信息知情控制權作為平衡限度的后端錨定的機制。在監管方面，提出了行業規范與社會保護組織等第三方力量介入、個人金融信息分級利用體系完善、個人金融信息的多峰監管與遞進式救濟三大建議。

〔關鍵詞〕金融隱私；個人信息利用；商業銀行；數字經濟

一、問題提出

隨著大數據時代的到來，信息科技化利用手段不斷發展，各金融機構獲取、利用、分析、加工、再創造信息數據的能力不斷增強，相比于個人的一般信息，個人金融信息展現出更優的利用機制和更強的商業價值。一方面，客戶的個人信息需要完善的保護體系屏障，另一方面，金融機構也需要更明晰的新時代數據價值利用指南，增強行業的競爭力。商業銀行作為金融機構中的重要角色，處于整個金融體系運轉的核心地位，直面最廣大的基礎金融消費者。因此，商業銀行客戶的個人信息保護近年來得到了金融監督管理部門的高度重視，先后出臺的《中國人民銀行金融消費者權益保護實施辦法》《銀行業金融機構數據治理指引》《個人金融信息保護實行辦法》《個人信息保護法》等有關文件都對商業銀行領域內的個人金融信息保護需求提供了制度設計方向。但在個人金融信息的利用方面，我國國內卻一直缺少體系化的制度構建，更無法達到個人金融信息在利用與保護之間的平衡狀態。

二、個人金融信息利用的現實基礎

（一）數字時代個人金融信息利用的新特點

個人金融信息作為個人信息數據的子概念，一般指包括金融服務機構收集的客戶個人信息（包括個人生物信息、個人社會信息、個人財產信息等）和個人金融賬戶在運轉過程中產生的交易信息兩部分及其后續的衍生數據。隨著理論界與實務界對信息數據保護問題的重要性形成一致共識，個人金融信息保護的必要性無須多論。相比于普通的個人信息，個人金融信息由于兼具人格與財產的雙重屬性，往往呈現出多元性與復雜性并存，敏感性、精準性與高價值性共生，私人性與公共性交織等特征。而在大數據高速發展的現代信息數字社會，個人金融信息的重要性和價值性再次提升，數字經濟以數據為關鍵要素。正如法經濟學代表人物科斯認為，作為市場上除了勞動和資本以外的重要資源，信息也是交易成本的要素。個人金融信息的收集、分析與再利用的能力往往成為衡量現代金融服務行業競爭力的重要組成部分，無獨有偶，以個人金融信息為基礎而構建形成的行業評級系統、國家征信體系也更加印證了：大數據時代是信息開放與共享的時代。

聚焦于金融體系內最具代表性的商業銀行領域，個人金融信息的特點尤為明顯。一方面，金融科技的不斷發展提高了銀行收集與獲取客戶個人信息的效率，電子化、信息化、智能化手段的發展使得金融個人信息的傳播擺脫了傳統紙質信息流通的桎梏，進而大幅降低了商業銀行獲取和保護大量個人金融信息的成本。另一方面，基于業已掌握的海量個人金融信息，通過“客戶畫像”、群體消費習慣分析等技術手段，商業銀行等金融機構可以更加準確地識別特定時間段內的客戶消費需求，更加了解客戶個人的經濟狀況，提高項目風險的可識別性。對于個人金融信息處理分析后的無明顯個人身份特征的數據利用，正為商業銀行的日常運營帶來極大的便利性與極高的收益率。然而，以2020年5月爆出的中信銀行個人信息泄露事件為代表，目前，我國金融行業個人金融信息被不正當收集、濫用以及被竊取和泄露等安全問題日益凸顯，諸如個人信貸類多流程業務多環節的信息滯留、業務外包過程中的第三方機構信息泄密、形式化的客戶信息授權許可流程與無計劃的客戶資料清理善后等問題屢見不鮮。信息商業化利用裹挾的巨大經濟價值正猛烈沖擊著個人金融信息利用與保護間的脆弱天平。

（二）商業銀行個人信息監管的實務現狀

個人金融信息因其突出的交易面向與鮮明的公共屬性，一直以來都是各國政府數據利用與保護體系的監管焦點。從域外各國的立法來看，美國的《金融服務現代化法案》等法規在立足于金融信息共享的前提下，加強個人數據權利的保護。因此，美國立法對個人金融信息的主要規制路線集中于如何實現金融機構與其他機構的高效共享信息模式，以規范化數據信息的利用流程為核心，融入信息安全保證規則和隱私保護規則應對未來可能面臨的個人金融信息濫用危機。美式的個人信息監管邏輯更加強調現代社會信息流通共享所帶來的巨大經濟價值，而對于天平的另一端——個人信息的保護則主要圍繞“泛化的隱私權”來進行保護，將個人金融信息予以金融消費者保護法化對待。

而作為個人信息保護領域統一立法的代表，歐盟雖也通過修訂《支付服務指令修正案》加強了金融機構間的信息共享，以“開放銀行”為新思路成功引領了全球銀行業的新一輪變革，但其金融機構對于個人金融信息的利用仍受到《通用數據保護條例》這一基本法的限制。與美國將個人信息進行財產法上私權保障的立法模式不同，歐盟對于數據信息的再利用采取了強勢的知情控制模式，憲法程度的規范輻射配合非常完善的全流程個人信息利用監管細則，在個人金融信息的天平上更加傾斜于保護的一側。

隨著科技金融行業的高速發展，金融行業的信息高效共享必須得到保證，在這一點上各國已經達成了普遍的共識。在我國當前的立法實踐中，對于個人金融信息利用與保護問題的回應分散于各單行的法律法規之中。就一般性規定而言，《商業銀行法》規定了銀行對客戶信息保密的一般原則；《個人信息保護法》提供個人信息利用的一般性規范，正式將金融賬戶信息納入敏感信息范疇進行特殊保護；《網絡安全法》則又以網絡科技平臺的不同視角針對信息收集利用行為做出綱領性規定。而對于聚焦于個人金融信息領域的特別規范而言，則大致由以“三辦法”為主體的監管細則和其他法律法規的補充性規定組成。其中，“知情+同意”規則為個人金融信息保護規范的主干條款，而自動化決策下的使用保障透明規則、強化個人自主權的單獨同意、個人金融信息數據分類分級以便于差異化保護等其他條款，均針對金融行業領域內的突出熱點問題進行了制度化的回應。

（三）我國個人金融信息利用的實踐困局

個人金融信息利用與保護的問題作為一個復雜的多領域綜合性問題，往往可以從不同的領域立法視角對此進行規制。這種分散型立法模式的好處在于法律的涉及面極廣，針對新問題的立法動態轉變較快，但弊端在于零散籠統的法律規定、立法層次不高的規章性文件始終無法形成真正的系統性制度設計，而失去整體性的規制視角就很難形成信息收集、匯總、分析、保存、銷毀等全方位的健全制度，個人金融信息出現違規利用的事后責任問題也與信息的整體利用流程徹底割裂。除此之外，金融科技單方面的高速發展加劇了客戶面對商業銀行時本就處于的弱勢地位，協商、調解、仲裁、訴訟等傳統的糾紛解決方式中對于證據收集、因果關系舉證的嚴苛要求，往往使得普通客戶舉步維艱，從而難以得到最基本的救濟保證。可以說，在個人金融信息問題利用與保護的兩端均存在大量值得繼續完善的空間，金融機構對于個人金融信息的利用一直未形成體系性的操作規范群，且金融客戶對自身金融信息的保護又存在著制度繼續完善的需求。

立法實踐未形成統一制度的現象往往折射出學理界本身存在較大的對立與爭議，尚未形成共識。就最為基礎的個人金融數據的權屬而言，個人自身金融數據的權益歸屬本就存在較大的爭議，基于個人基礎數據分析處理后的無特征金融衍生數據的權益更是歸屬不明，歷來飽受學術界的反復探討。但從司法與執法實踐真正的需求出發，業界對于個人信息金融領域的期待一直僅僅是清晰明確的利用流程與保護邊界，只有擁有一整套聚焦于日常問題的、全階段的個人金融信息利用參照范例，才能促使各商業銀行的基層分支機構也能恪守客戶金融信息收集與利用的底線。個人金融信息作為一種多維的數據產物，經過大數據時代的更新改造后，本身已不再完全局限于已有的法律框架內，基于數據時代共享開放利用的基本定位，學者們也嘗試以“數據束”“所有權共享”等多種新思路解構個人信息的真正內涵。事實上，作為新時代的公共屬性事物，其內核的權屬問題本身已經演化成現代社會對該事物利用邊界的錨定，即對于個人金融信息在公共屬性與私人屬性進行多元剖析后，分階段辨明多部分內容利用與保護的平衡。

三、個人金融信息利用外延的理論演進路徑

個人金融信息領域的核心問題是個人金融信息利用與保護的平衡問題或者稱之為限度問題，事實上，關于個人金融信息的利用外延一直是同一個問題的一體兩面，而繼續推動這個問題發展的關鍵仍然在于限度或邊界的標識。從一實例出發，將“場景完整性”理論視角融入現行的知情控制規則中，探究構建個人金融信息邊界確定的一般性方法，并以此為基礎分析后續更加具體的完善路徑。

（一）以商業銀行履行適當性義務場景為例

試想一普通消費者在商業銀行購買理財產品的場景：商業銀行的服務人員為了履行適當性義務的相關規定，往往需要收集客戶的基本財務狀況以便于對投資者的風險承擔能力做出相應的評估，借此判斷該投資者是否適合購買某款理財產品。在對于消費者個人信息收集的過程中，商業銀行往往會要求客戶提供相關的個人基本金融信息（如年齡、家庭狀況、工作性質、固定收入、資產狀況等）并完成一定的風險測試（了解風險承受能力，如風險偏好以及對待風險的態度等）。在這樣一個具體的場景之中，消費者主動向商業銀行提供自身的個人金融信息，其目的在于滿足商業銀行的基本審查要求，從而獲得購買某款理財產品的資格。若無其他明確的約定，客戶對于此次個人信息的分享不再有其他任何目的與使用期待。而商業銀行事實上在取得該部分客戶信息之后，對于信息數據的后續利用和分析則具備無限的可能性，商業銀行可以選擇以此個人金融信息為基礎對客戶的個人經濟情況、消費習慣等進行客戶個人屬性分析，從而在之后的交易中為該客戶提供適合的金融產品，亦可以選擇將該部分客戶信息整合進后臺的客戶總體信息數據庫，在之后運用大數據分析處理后形成客戶群特點的整體性特征分析，為自身帶來豐厚的經濟回報，更可以選擇將其提交由公權力建立的征信系統或共享于利益相關的其他金融機構，進行信息數據的多次利用。

由此可見，當客戶將個人金融信息的內容轉交給商業銀行后，事實上，其數據的后續利用已經完全不處于該客戶的任何控制之中，客戶在首次主動提供相關信息時對個人金融數據的授權可能被擴大化使用甚至濫用。這也正是初期的同意控制規則未能轄制的無規則地帶，而“場景完整性”理論的補充就可以為此后商業銀行對于數據后續利用的邊界做出一定清晰的判斷。首先，回到客戶在提供自身信息的起始點預期，客戶僅僅是為了滿足購買某種理財產品的需求，對除此之外任何的場景應用均無任何預期。商業銀行對于這部分數據后續的所有應用都不符合客戶個人意志，應當視為對個人信息利用邊界的越界行為。但基于個人金融數據本身存在一定的公共屬性，如若是公權力在合法合規的前提下收集、征用這部分個人信息（如建立征信體系），此時客戶的個人意志并不能成為唯一的最高價值，應當過渡權益于更上位的社會價值需求，即“場景完整性”理論適用的例外。

（二）以個人金融信息利用流程作為平衡限度的前端錨定

對個人金融信息利用與保護平衡的把握，首先應當訴諸一套相對完善的個人金融信息的利用流程，以此作為相關業務實踐細則的基本指引，在領域發生的前端形成規范的利用指南效應，初步勾勒出個人金融信息利用的邊界。

將上述情景進行普適性的擴展，界定個人金融信息獲取與利用的邊界，往往需要經歷以下幾個階段的判斷流程。由于“場景完整理論”起源于對個人隱私權的保護，其并不能天然地對抗合法公權力與公共利益的要求。因此，首先是對于個人金融信息內容與用途的區分，此步驟最大的區分意義在于分離個人金融信息的公共屬性部分，由此確定可以使用“場景完整理論”進行判斷的前提。其次，區分個人金融信息中帶有明顯身份特征的個人信息與一般性的財務數據信息，前者的數據權利由客戶獨有，對其利用需要清晰的授權，而后者所代表的數據權益一般需經歷后期的數據分析與加工，往往更適合被用于共享從而提高社會的信息利用效率。在二次區分之后，商業銀行等金融機構可以大致規劃出利用相應個人金融信息的具體邊界。邊界的確定基于客戶主動或被動提供相應信息時的預想使用場景，當個人金融信息來自客戶主動提供，在未有其他示明的前提下，應只能將該客戶信息應用于當前場景，而個人金融信息若來自商業銀行的主動收集，在收集相應的個人信息時應向客戶明確之后可能使用該個人信息的所有場景，并征得相對人的同意。最后，當收集儲存后個人數據信息的應用場景發生轉變，或對于該信息的定位認識發生轉變時，應當再次向該信息的提供者提供使用變更說明，如有必要，需獲得重新使用授權。

（三）以“知情控制規則”作為平衡限度問題后端的再次校準

一套完整的規則群應考慮不同時間點下規則的前后適配性，除卻對于個人金融信息利用的前端指引，也應在商業銀行侵害個人金融信息權益時配套相應的處置制度。具體到立法實踐中，則主要表現為“知情+同意”規則的不斷演進。

“知情+同意”規則的立法理念最早出現于《儲蓄管理條例》《商業銀行法》中籠統提出的“為儲戶保密”的要求，當時的立法者僅僅意識到商業銀行等金融機構應有此保護義務，但并不夠深入。此后《關于金融機構進一步做好客戶個人金融信息保護工作的通知》進一步擴充了個人金融信息的具體內容，2013年和2016年原銀監會和人民銀行分別發布了《銀行業消費者權益保護工作指引》和《中國人民銀行金融消費者權益保護實施辦法》正式確立了“同意規則”。

起初“知情+同意”規則發展的重點落腳于金融消費者視角，更加關注規則中的知情部分，即體現為金融消費者的知情權在個人金融信息領域的運用更加重視客戶在面對收集信息時知情權的保障，要求金融機構不僅僅是形式化的通知，更要確保客戶真正明晰條款之真意。但隨著該條款內涵的進一步發展，在知情權得到充分保障的前提下，其制度內部更加聚焦于“同意”權的保障，要求保證同意權行使時是出于客戶的個人真實意志。而“場景理論”也為此提出了新的發展方向，如《個人信息保護法》所確立的“單獨同意規則”：“單獨同意”要求個人信息處理者將需要“單獨同意”的場景與其他場景區分開來，做到“單獨場景—單獨告知—獲取同意”，避免出現一攬子授權、過度索權以及隨意收集等違法違規情形。與此同時，還需通過增強告知或即時提示等方式，單獨向個人信息主體告知處理個人信息的目的、方式和范圍，還有存儲時間、安全措施等。

“知情+同意”規則作為處理具體個人金融信息案件時依據的核心條款，是該領域重要的補充與兜底力量，需要不斷地演進與完善，從而成為整個個人金融信息領域內維持數據利用和保護平衡的后端控制。

四、商業銀行個人金融信息利用與保護的實踐出路

（一）行業規范與社會保護組織等第三方力量的介入

當一個復雜的領域問題不能完全達到既定的最優解狀態時，引入多方利益主體往往更加有利于推進該問題形成實質的有效平衡。社會力量作為大數據時代除公權、私權之外的重要第三級，理應在復雜的個人金融信息領域發揮更大的作用，體現更大的價值。有學者提出觀點認為，我國應當借鑒美國的立法保護方向，將個人金融信息的保護“消費者法化”，理由在于《個人信息保護法》與《消費者保護法》二者在很多使用場景中表現出極高的契合性，我國消費者保護領域尤其是金融消費者領域在近年的發展中已經形成了一定的社會實踐規模，具備更積極的實際價值，若以此為核心架構承擔一定比例的社會監督任務，可以實現更優的監管效率而減少不必要的社會成本。

筆者認為，更重要的原因可能在于社會力量一直承擔著公權與私權交界地帶的“潤滑劑”作用，其本身的適配性往往可以填補足夠的公權空白，僅僅依靠強制的公權力很難完成一套制度體系中的所有細節建設，大量的操作規范流程需要通過社會力量和實踐反饋進行補充。一方面，如銀行業協會等行業自律組織本身最接近金融實踐的第一線業務，對個人金融信息保護的流程有全面的了解，如準許其每年更新全流程的信息收集利用指引，以此為主體形成可操作的細節化規定。而相關的公權力監管機構只需保留最終決定權，只負責對行業自律組織擬定的自律流程進行書面審查，提出改進意見，并對個別金融機構信息保護利用的實際業務進行類商品合格化的抽查即可，形成完善的抽樣監督機制。以社會力量監管為主，以公權力監管為輔進行兜底，如此一來，可以極大地提高整個信息利用保護業務的建設效率，同時又并不過分地占用公共監管力量。另一方面，如消費者保護協會等公益組織可以在個人信息保護方面起到有效力量的補充作用。鑒于商業銀行等金融機構與普通金融消費者之間在信息上存在的巨大不對稱，有關個人金融信息的相關案件往往很難由消費者個人發起并最終解決，即使是在訴訟流程中設定傾向性保護的舉證義務規則，也很難形成實質上的幫助。而中介機構與社會組織在發現信息保護漏洞并獲取初步證據方面是具備一定的天然優勢的，其具備足夠的專業技能與充足人手能夠給予普通消費者足夠的法律求償手段支持，除此之外，個人金融信息類案件的利益受損方往往數量較大，能滿足相關公益訴訟的提起條件，以消費者保護協會牽頭更有利于解決此類群體性糾紛，避免訴訟資源的重復浪費。

（二）個人金融信息分級利用體系繼續完善

現行的個人金融信息保護操作指南，在吸納個人金融信息的分時段分類保護理念的基礎上已經產生了相應的立法成果。如《個人金融信息保護技術規范》中明確說明：一方面，個人金融信息主體因業務需要（如貸款）主動提供的有關家庭成員信息（如身份證號碼、手機號碼、財產信息等），應依據C3、C2、C1敏感程度類別進行分類，并實施有針對性的保護措施；另一方面，兩種或兩種以上的低敏感程度類別信息經過組合、關聯和分析后可能產生高敏感程度的信息，同一信息在不同的服務場景中可能處于不同的類別，應依據服務場景以及該信息在其中的作用對信息的類別進行識別；同時，在信息流轉的不同周期，也會對應不同的規范標準。但這對于體系化差別化的個人信息利用體系的建設而言，是遠遠不夠的。

首先是對個人信息的差異化分類保護方面，應當進一步遵循分業、分時段的差異化定位，不同場景內收集到的個人金融信息不應適用統一的利用標準。不同領域內個人金融信息的敏感程度其側重點并不相同，分類、分別處理的作用在于真正精確化地識別個人金融信息類型。其次是在商業銀行內部，應當形成有力的管理架構。為了確保個人金融信息保護的內控合規制度被貫徹實施，商業銀行需要建立專門的個人金融信息保護處理部門。《個人信息安全規范》第十一條對于個人信息控制者的責任部門與人員做出了具體要求：一是應明確領導責任，提高個人金融信息安全保護意識和力度；二是應根據實際情況設立個人信息保護專門部門或專職負責人，作為個人金融信息保護工作開展的歸口，負責統籌實施、督促跟蹤相關工作；三是應為個人信息保護負責人和個人信息保護工作機構提供必要的資源，保障其獨立履行職責。只有完善專門事物的組織架構設計才能完成相應法律法規的期待。最后是加強全生命周期的保護制度設計，并落實金融信息保護審計。金融機構應建立個人金融信息全生命周期保護機制，對信息的收集、傳輸、存儲、使用、刪除及銷毀等各環節實施全面保護。制定保護策略、訪問控制等管理措施，部署管理系統、信息加密等技術措施，結合管理和技術要求，筑起全方位的安全保護屏障。商業銀行等金融機構應在完善個人金融信息保護制度的基礎上，定期開展個人金融信息保護的合規審計。審計內容包括但不限于個人金融信息的安全策略、訪問控制、安全監測與風險評估、安全事件處置、安全管理要求、安全技術要求等方面。

（三）個人金融信息的多峰監管與遞進式救濟體系

對于個人金融信息的救濟往往集中于侵害個人信息權益的事后，而忽略了事中與事前有效監管的介入。其中，監管權的相關配置問題成為有效監管的核心。個人金融信息是一個復雜的多領域綜合概念，對其監管往往不能僅僅依賴于單一的職權部門，除了商業銀行內部的自我監管部門外，公權力監管的體系應從兩個維度進行展開。一方面為最高監管權限的分享，金融主管部門與信息主管部門都應成為該業務的實際監管者，二者的監管對象互有補充、互有促進，確保多視角下的個人金融信息的合規利用。另一方面，基于現行的分業金融體系，各行業的主要金融監管機關并不相同，但個人金融信息的價值往往體現在跨金融部門的流通和共享。各行業主要監管部門應只負責集中于本行業內的重要金融信息的流通，同時聯合設立專門的針對個人金融信息監管的綜合部門，處理有關投訴、訴訟，對于跨行業或特別重大的個人金融信息保護案件，雙重的監管體系既可避免破壞原監管機構完整的監管權，也能適應新時代數據的高速流通與發展下滿足個人金融數據復雜綜合處理的需要。

對于個人金融信息的保護其實是另一層次完善個人金融信息的合規利用。和解、調解、仲裁、訴訟等清單列舉式的糾紛解決機制，看上去似乎為金融消費者的權益救濟提供了多元化的保護方案，但其所體現出的保護力度是遠遠不夠的。考慮到各項救濟手段的經濟成本，真正將糾紛解決作為矯正個人信息利用的一種常態化手段，就必須落實具備可行性的個人金融信息處理路徑。厘清各項救濟選擇的順位關系，將更多的制度建設力量投入于最優的糾紛解決機制。從法經濟學的視角來看，任何糾紛的最優解決途徑永遠是私人的協商。具體到個人金融信息領域，我國不妨效仿英國面向“開放銀行”實施機構專門設置了爭議管理系統并定型化的實踐準則。在救濟的方案選擇中，首先要求商業銀行等金融機構設立專門的糾紛解決部門，優先引導客戶通過商業銀行內部爭議解決機制實現權益救濟。若依據該渠道無法解決相關問題，客戶再向消費者保護機構要求幫助、進行對話，以此解決糾紛。若仍未取得最終滿意的結果，消費者此時才向有關的監管機構投訴或提起有關的民事訴訟和公益訴訟，尋求公權力的介入與幫助。最后，以刑事司法手段作為客戶個人信息保護的兜底途徑。同時，在整個遞進式的救濟過程中，全程將個人信息受到損害的舉證責任倒置于商業銀行等金融機構，以此尋求建立社會成本損耗最小的個人金融信息保護救濟流程，形成有限救濟力量的最大化利用。

（作者單位：華東政法大學經濟法學院）