大數據時代我國保護金融隱私權的現狀與路徑

　　摘    要：　大數據背景下，本身具備一定財產屬性的金融隱私信息經常被金融機構、第三方機構等非法搜集、利用、公開，金融隱私權的法律保護面臨諸多時代挑戰。我國現行法律、行政法規針對金融隱私權的保護僅制定了原則性的條文，部門規章中的相關條文亦分布零散，金融隱私權的法律保護體系具備較大的完善空間。此外，金融機構內部信息管理機制尚不健全，消費者金融素養也仍待提高。為增強風險控制，促進金融行業健康發展，應當進一步明確金融機構的法律責任，明晰監管部門的職責范圍，適當提高金融隱私權的立法層級，增強消費者的金融素養，促進行業自律與政府干預有機結合，建立完善的金融隱私權制度保護體系。

　　關鍵詞：　大數據; 金融隱私權; 風險控制; 制度體系;

　　一、引言

　　近年來，大數據技術不斷應用于各領域，受到了政府部門以及社會公眾的廣泛關注。基于大數據所實施的技術，必然需要以海量數據作支撐，這些眾多的數據中包括了許多隱私數據，因此企業、社會機構等大數據資源掌控者在分析、利用數據時往往會有侵犯公民隱私之虞。IBM公司在深入分析2020年全球500多個組織的數據泄露事件后發現，有80%的事件發生后客戶個人信息被泄露1。金融領域是現代經濟社會的核心領域之一，在金融交易過程中，金融消費者會向金融機構提供其身份信息、個人財產信息等，金融機構掌握了大量的金融隱私數據。由于金融機構的故意或疏忽、金融隱私信息監管制度的不完善、金融消費者的差異性，金融隱私信息往往容易遭到侵犯。在大數據技術被廣泛應用于金融領域的時代背景下，完善金融隱私權制度保護體系具有重要意義。

　　二、金融隱私權的內涵界定與時代挑戰

　　（一）金融隱私權的理論解構與內涵界定

　　隱私權作為一項具體人格權，是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權。“隱私權”這一概念首次進入理論視野源于美國的沃倫和布蘭代斯在1890年12月發表于《哈佛法學評論》的《隱私權》一文，目前我國《中華人民共和國民法典》（以下簡稱《民法典》）規定自然人享有隱私權2，屬于具體人格權的一種。
 

 

　　金融隱私權屬于隱私權的一部分，目前學界沒有對金融隱私權的內涵界定達成完全一致的意見。張繼紅（2016年）認為金融隱私權的保護對象不是所有的個人金融信息，而是側重于保護金融消費者的敏感信息，對于隱私權的侵害主要表現為非法披露和騷擾。黎四奇和苗羽亭（2019年）認為金融隱私權是指個人對其所擁有的金融資產信息、信用信息所享有的控制支配權，是隱私權在金融領域的延伸和擴展。周坤琳（2019年）認為金融隱私權是指金融消費者在接受金融機構的服務或金融產品的過程中，向金融機構提供的個人金融信息，以及在此過程中產生的其他交易信息，消費者對該信息享有不受非法侵害、非法利用的權利。

　　綜上，金融隱私權是隱私權在金融領域的衍生權，是金融消費者在金融交易過程中向金融機構提供資產、信用、交易記錄等信息之后，對該信息享有不受非法侵擾、披露、知悉、搜集和利用的控制支配權。金融隱私權既具有人身權的特征，又兼具部分財產權的要素。金融隱私權的客體包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息等，此類信息受到隱私權、姓名權、肖像權等人格權的保護，侵犯了此類信息即侵犯了金融消費者的人格利益，因此金融隱私權具備人身權的基本特征。金融隱私權同時兼具財產屬性。一般情況下，隱私權是沒有交易價值的，但是金融機構、數據公司、中介機構等在業務擴張的過程中，為了精準營銷、充分挖掘潛在的消費者，會存在分析利用金融隱私數據牟利、買賣消費者信息等情形，此類獲利行為、買賣行為使金融隱私信息具備了交易價值，因此金融隱私權便擁有了一般人格權所不具備的財產屬性。

　　侵犯金融隱私權的類型主要有以下五種：(1)金融隱私信息被非法搜集，如金融機構基于格式條款變相強制搜集與業務無關的金融隱私信息；(2)金融隱私信息被非法二次利用，在金融消費者未明確授權的情況下被用以精準營銷等；(3)金融隱私信息受到非法侵擾，如黑客利用網絡技術攻擊金融信息系統以竊取金融隱私信息而牟利；(4)金融隱私信息被非法公開，以不合理的方式披露；(5)金融隱私信息被他人非法知悉，如在消費者未授權的情況下金融機構將數據傳輸至外包業務機構處。

　　金融消費者的隱私信息遭受侵犯之后，對于適用金融隱私權還是金融信息權的問題，目前學界尚無定論。金融信息權所指的“信息”包括在金融交易中發生的一切信息，大多信息屬于個人敏感信息，且這些信息不是靜態的集合體，而是隨著金融消費者的變化而不斷更新，其保護的權益范圍遠遠大于金融隱私權，除了金融隱私權所保護的隱私信息外，還有一部分信息是個人公開信息，個人公開信息并不在金融隱私權的保護范圍之內。因此支持適用金融信息權的學者認為，適用金融信息權更有利于保護金融消費者的權利。

　　金融信息與金融隱私應是整體與部分、包含與被包含的關系。雖然金融信息權所保護的范圍更廣，但是在隱私信息遭受侵犯之后，適用金融隱私權進行保護更具針對性。一方面，能夠將寶貴且稀缺的司法資源運用到最迫切需要的領域，保護對象更加精準化。另一方面，適用金融隱私權也較為符合我國當前的立法現狀，在《民法典》中，隱私權被列為一種具體人格權進行保護，而個人信息權則更多地表現為一種民事權益，并沒有被冠以“權利”的字眼。

　　（二）大數據背景下金融隱私的時代挑戰

　　隨著大數據技術在金融領域的加速應用，以及金融行業用戶數據的爆炸式增長，金融隱私權保護面臨諸多時代挑戰，具體表現為以下幾個方面：

　　1. 數據應用理念更迭

　　在紙質數據時代與網絡數據時代初期，受數據處理技術手段所限，金融機構等數據持有者并不具備深度挖掘、應用數據的能力。在此階段數據持有者對數據的應用主要是備案審查、機械式儲存、簡要分析等，數據應用水平較低，數據持有者主動挖掘、應用數據的意愿并不強。隨著大數據等新興技術不斷滲透到現代金融領域之中，數據持有者對金融消費者數據的應用理念產生了潛移默化的更迭，主要表現為憑借持有數據之優勢運用算法挖掘潛在消費者、分析金融市場行情趨勢、精準營銷適當的金融產品等。數據持有者應用數據的積極性更為強烈，數據應用理念產生了根本性變化。數據應用理念更迭、數據應用水平提升的同時，金融隱私權的保護也迎來了更加艱巨的時代挑戰。

　　2. 數據資源化

　　隨著大數據技術的應用成熟，大數據儼然已成為企業和社會關注的重要戰略資源，許多企業和政府也都成立了大數據中心積極搶占數據資源。由于人們在以往并不具備處理海量數據的能力，因此大量的數據在以前并沒有表現出財產價值。但是大數據背景下海量的數據已經是一種公認的寶貴資源，尤其是金融領域各類數據的財產屬性較為明顯。當數據成為一種資源之后，就更容易成為違法犯罪的對象，尤其是在法律缺位、違法成本較低之時。

　　3. 數據采集方式多樣化

　　隨著金融機構的業務網絡化、電子化程度普遍提高，金融消費者的絕大部分信息已實現電子化。因利益驅動或市場需要，金融隱私違法犯罪各方主體不斷發展數據采集技術，使得采集數據的途徑、方式增多。除了實時文件采集、基于ELK的日志采集等文件采集方式外，借助于網絡爬蟲或網站公開API獲取數據的方式也逐漸進入公眾視野。數據采集的方式增多，治理難度也隨之增大。

　　4. 數據儲存介質多元化

　　大數據背景下，數據儲存介質呈現出多元化的態勢，使得數據治理的難度更大。首先，云技術日趨完善，云空間為大數據提供了儲存空間，云處理過程也產生了部分大數據。其次，包括金融公司在內的眾多企業所采用的基于MPP架構的新型數據庫集群，具有高拓展性、低成本的特點，較之于傳統數據庫有著顯著的優越性。最后，基于Hadoop的技術擴展和封裝、大數據一體機等，解決了傳統關系型數據庫難以存儲和計算非結構化數據的難題，數據儲存更加便利。數據儲存介質的多元化使得數據的傳導路徑增多，導致數據泄露的可能性更大，任意一種儲存介質只要被攻破就會置數據于風險之中。大數據技術在從任意儲存介質中獲取數據時都會存在不同程度的泄露數據的可能性，數據治理的挑戰較以往更為艱巨。

　　5. 數據分析技術更先進

　　大數據技術出現之前，數據分析技術滯后使得數據無法發揮其功能，數據持有者即使擁有資源也缺乏運用能力。大數據技術出現之后，數據持有者分析數據不再限于抽樣調查的困局，已然具備了對所有數據進行分析處理的能力。成熟的可視化技術使得傳達和溝通信息更加便利，數據挖掘算法通過創建數據挖掘模型能夠對數據進行深度剖析。預測性分析技術將統計分析、實體分析等多種高級分析功能進行結合，能夠分析出金融消費者的投資偏好，從而不斷通過APP、網頁、短信等多種渠道向金融消費者發送其產品信息，使消費者陷入“信息繭房”之中，形成錯誤的投資決策，從而導致其財產損失。

　　三、金融隱私權法律保護制度的比較分析

　　（一）國外金融隱私權制度保護體系

　　金融隱私權保護問題不是我國獨有的，在大數據時代，國外金融消費者的金融隱私信息也屢遭侵犯。例如，2018年5月，加拿大蒙特利爾銀行和帝國商業銀行被網絡黑客攻擊，致使兩個銀行約9萬名金融消費者的個人信息被竊取。為強化風險控制，西方國家制定了諸多詳細的法律以保護金融隱私權，尤其是以英國和美國為代表的英美法系國家，其金融隱私權立法保護經驗對我國金融隱私權法律體系搭建具有一定的借鑒意義。

　　1. 英國首開金融隱私權保護先河

　　金融隱私權這一概念進入公眾視野，始于1924年英國的“圖爾尼爾”案。原告圖爾尼爾在被告首開銀行設立了賬戶，后因未按時履行分期付款協議，被告告知了原告雇主此情況，導致雇主不愿與原告續簽勞務合同。最終，英國法院援用“默示條款”理論，認定被告首開銀行侵犯了原告的金融隱私權，應承擔責任。由此英國開啟了現代金融隱私權保護的先河。我國1992年才在《儲蓄管理條例》中規定金融機構的保密義務，比英國晚了半個多世紀。

　　英國的金融隱私權保護主要援引《數據保護法》和《消費信貸法》兩部法律。尤其是《數據保護法》，較為詳細地規定了機構獲取、應用客戶數據時應盡的義務。相較于我國，英國關于金融數據保護可援引的法律層級較高。我國目前仍缺乏法律層面的數據保護立法，金融數據保護主要依靠中國人民銀行、銀保監會、工業和信息化部、信息安全標準化技術委員會等發布的部門規章、國家標準等。由于立法層級較低，使得我國金融隱私權保護難以引起重視。

　　2. 美國專門立法保護

　　大數據技術在美國金融行業應用較為廣泛。花旗銀行利用IBM沃森電腦為其客戶推薦相關的產品，而這些推薦都是基于龐大的用戶數據測算得出，精準度不亞于銀行專業的理財師。摩根大通銀行運用大數據技術，在精準分析用戶畫像后，降低了不良貸款率、轉化了提前還款客戶，大數據技術在銀行發放貸款領域的應用，使得摩根大通在一年內贏得了6億美金的豐厚利潤。

　　大數據等新興技術在美國金融領域的廣泛應用增加了其保護金融隱私權的難度，為此美國頒布了《金融隱私權法》專門針對金融隱私信息進行保護，該法案立法層級較高、針對性強。我國的金融隱私權制度保護體系與美國相比，既有優勢也有劣勢。由于大數據、區塊鏈等新興技術的迅猛發展，為解決新技術帶來的新問題，緩解立法滯后的狀況，法律法規需要做出快速反應。在我國，相較于部門規章，法律的修訂過程更為復雜、耗時更長，更靈活的部門規章能夠針對新問題做出快速反應。但是部門規章層級較低、條文分散，亦產生了不易受到重視的問題。

　　3. 歐盟援引《通用數據保護條例》

　　歐盟的金融隱私權保護主要援引《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）。GDPR規定復雜、覆蓋面廣，管轄范圍較大，對數據跨境傳輸的管控環環相扣、嚴格限制，對數據的處理以數據主體“同意”為原則，數據主體有“撤回同意權”，偏重于保護用戶的數據。我國發布的部門規章、國家標準亦借鑒了GDPR的部分內容，如國家信息安全標準化技術委員會制定的《信息安全技術個人信息安全規范》，立足于中國實際的同時也結合歐盟的成功經驗。總體而言，GDPR管控范圍過寬，過分注重于保護“個人利益”而忽視“商事利益”，可能會抑制金融、互聯網等行業的發展，因此借鑒GDPR時仍需謹慎。

　　（二）我國金融隱私權的制度框架

　　我國當前的金融隱私權法律保護體系不甚完善，在法律、行政法規的條文中僅做出了原則性的規定，在部門規章中制定了相對較為詳細、零散分布的條文，金融隱私權保護的立法層級較低。

　　1. 法律、行政法規的原則性規定

　　我國的金融隱私權法律保護始于1992年國務院頒布的《儲蓄管理條例》，其條款“儲蓄機構及其工作人員對儲戶的儲蓄情況負有保密責任”，規定了金融機構的保密義務。其后頒布的多部法律和行政法規也為金融隱私權保護提供了原則性的制度支持3。此類原則性規定在實際適用過程中通常難以有效保護當事人的利益。

　　首先，原則性條款規定一般比較籠統、模糊。《民法典》中僅規定了隱私權，但針對個人信息保護層面僅規定“個人信息受法律保護”，沒有明文規定“個人信息權”或“金融隱私權”等權利。缺乏專門條文的明確規定，金融隱私信息保護很難引起金融機構、司法機關的重視。金融消費者提起訴訟請求時，也只能籠統地按照《民法典》提出停止損害、賠償損失等請求，但對于如何計算損失、損失包括何種款項卻無法可依。

　　其次，法律、行政法規的此類原則性規定主要確立了金融機構的保密義務，并未提及金融消費者的維權途徑、事后救濟機制。《網絡安全法》要求網絡經營者在用戶同意的基礎上承擔起維護用戶個人信息不受侵犯的義務4，然而互聯網金融消費者在簽訂電子合同時，通常不會仔細審查全部條款。當金融隱私信息遭受侵犯時，這些“授權同意”的格式條款往往會成為網絡經營者免責的借口，不利于金融隱私權的保護。事后救濟機制的法律缺位，將導致金融消費者維權之路面臨制度障礙。

　　再次，法律、行政法規側重于保護國家秘密和商業秘密，通常弱化對個人隱私信息的保護。《商業銀行法》規定銀行在職人員不得泄露國家秘密和商業秘密，但沒有提及個人秘密5。國家秘密涉及國家安全、國家利益，商業秘密具有重要商業價值，對兩者做出傾向性保護無可厚非，但不應當因此而忽視對個人隱私信息的保護。若長期遵循此立法邏輯，個人隱私信息的保護將難以引起監管部門、金融機構甚至于金融消費者自身的重視。

　　最后，司法實踐中，審判機關由于對法律、行政法規原則性規定的理解不完全一致，可能導致同案異判。在張威訴吉林銀行侵權責任糾紛案6和孫旭東訴平安銀行隱私權糾紛案7中，兩案件均是原告訴被告侵犯其央行征信信用隱私，前者采用的民事案由是侵權責任糾紛，后者則是人格權糾紛。采取不同的民事案由，審判機關裁判時就可能會援引不同法律條款，從而導致同案異判，不利于保護金融隱私信息。

　　2. 部門規章的零散性規定

　　部門規章中有關金融隱私權保護的條文比法律、行政法規更加具體細致，在金融隱私權保護實踐過程中發揮了主要的作用。我國專門規定金融消費者的信息保護始于2016年中國人民銀行發布的《金融消費者權益保護實施辦法》，此辦法的發布標志著我國已經開始將金融消費者視為一個特別的保護群體，這對推動金融隱私權保護具有里程碑式的意義。此外，銀保監會、工業和信息化部、國務院辦公廳等部門發布的規章、指導意見中也包含部分金融隱私權保護的條款8。然而，部門規章中保護金融隱私權的條文分布過于分散，金融隱私權保護仍待加強。

　　首先，由于我國金融監管模式為典型的分業監管，中國人民銀行、銀保監會、證監會等多個部門均對金融機構有監管職權，且工業和信息化部等部門也具備金融隱私信息監管職權，因此多個部門均能夠制定部門規章規范金融隱私信息的保護。實踐中，這些部門均制定了至少一部有關信息安全的部門規章。面對如此眾多的部門規章，金融機構使用數據時、審判機關判案時以及金融消費者維權時應當如何適用規章成為了難題。多頭監管的狀況下，假如監管部門間相互推諉或者互相爭權，亦會產生監管真空、監管重疊之現象。

　　其次，隨著大數據等新興技術的發展，制定部門規章時仍存在立法滯后的現象。相比于法律的制定，部門規章具有更強的靈活性，因此當新興技術面世而法律缺位時，部門規章應當及時修改以調整失衡的法律關系。2020年9月中國人民銀行發布的《金融消費者權益保護實施辦法》，在2016年版的基礎上進一步整合了原本零散分布在各項法規中的條款，新增了金融消費者權利，填補了個人金融信息保護的制度空缺。雖然《金融消費者權益保護實施辦法》對金融機構的責任規定仍不完善，但已經在較大程度上促進了金融隱私權的法律保護。

　　四、大數據背景下我國金融隱私權保護現狀及困境

　　大數據背景下，金融交易方式多樣化、便捷化，借助網絡平臺興起的互聯網金融蓬勃發展，金融機構采集、利用金融消費者數據更加便利，致使金融隱私權保護陷入困境。

　　我國與金融隱私權緊密聯系的各方主體間關系如圖一所示，由全國人大、國務院、各監管部門制定法律、行政法規、部門規章，指導金融機構與金融消費者進行金融交易，中國人民銀行、銀保監會等監管部門同時擔任金融交易過程中監管者的角色。金融交易過程中，金融機構為金融消費者提供金融服務，金融消費者則向金融機構提供個人信息。此外，金融機構還可能由于業務外包等因素，向第三方機構提供金融隱私信息。

　　圖1 金融隱私權相關各主體間關系圖

　　在金融隱私信息流動過程中，圖1中的任意一方主體若在金融隱私信息管理過程中未盡職責、義務，則金融隱私權就容易受到侵犯。在金融隱私權保護實踐過程中，因金融機構信息管理不當、立法者和監管者制定的監管規則不完善、金融消費者自身保護意識弱等因素，往往致使金融隱私權保護陷入困境。

　　（一）金融機構內部信息管理存在風險

　　金融機構在金融隱私信息流動的各主體間位于聚焦點，是大數據等新興技術的直接應用者，許多侵犯金融隱私權的行為都是因金融機構未嚴格遵守法律規范、內部信息管理不當引起的。大數據背景下，金融機構的內部管理風險主要體現為不正當二次利用消費者金融隱私信息、缺乏嚴格的保密機制、業務外包導致信息泄露、職工保密意識弱。

　　1. 金融隱私信息的二次利用

　　二次利用隱私信息指金融機構在采集、保存消費者信息后，為精準營銷其金融產品、催收金融債務，在未經消費者授權或者通過電子格式條款等獲得“授權”后，不適當地深度挖掘、利用消費者隱私信息的行為。

　　在大數據背景下，二次利用金融隱私信息的情形屢見不鮮。在2020年的微信公開課上，騰訊公司微信事業群總裁張小龍就提到精準廣告和用戶隱私是相矛盾的，消費者在獲取便利性的同時也縮小了自己的隱私范圍。精準廣告、精準營銷背后的大數據技術，常常侵犯到消費者隱私，致使消費者被大數據“殺熟”。

　　2019年10月21日，中國最大的線上信用卡管理平臺——51信用卡因涉嫌暴力催收而被警方調查，51信用卡獲得用戶“授權”后，利用大數據技術爬取消費者通訊錄，用于貸后催收。若51信用卡在未取得銀行和消費者的授權的情況下，利用爬蟲技術獲取金融消費者隱私通訊錄，就有觸犯非法侵入計算機系統罪的風險，同時也會構成侵犯公民個人信息罪。

　　2. 缺乏嚴格的保密機制

　　金融機構在處理數據的過程中缺乏嚴格的保密機制。在中國裁判文書網2017年發布的徐世勤訴中國工商銀行股份有限公司長春開發區支行儲蓄存款合同糾紛一案中，因被告未能妥善保管客戶的隱私信息，未盡到資金安全保障義務，導致客戶信息泄露，致使原告卡內資金損失。最終，法院判決工商銀行對徐世勤被盜刷的銀行卡數額及此數額產生的銀行存款利息承擔全部返還責任。2008年林某出售個人信息案件中，被告人作為銀行內部信息技術管理員工，利用能夠輕松接觸到金融消費者數據的便利，非法提取、復制了850萬條銀行的內部存款信息，以及85萬條電子銀行客戶信息。通過上述兩個案件可以看出，銀行等金融機構并沒有實施嚴格的保密機制，所以內部管理人員往往可以快速地收集到用戶的賬戶信息、交易信息。受利益驅動，內部管理人員常常鋌而走險，利用在分析數據、維護數據時的工作便利復制、提取出大量的消費者隱私數據。大數據背景下，成千上萬條信息能夠在數十秒之內被輕易復制，如果缺乏嚴格的保密機制，只要金融機構保管信息過程的某個環節出現了紕漏，就很容易導致大量的用戶信息泄露。

　　3. 部分業務外包導致信息泄露

　　近年來，金融行業競爭日趨激烈，金融機構運營成本逐漸上升。在此形勢下，金融外包應運而生。金融外包主要包括信息技術外包（ITO）、業務流程外包（BPO）和知識流程外包（KPO）三種方式。信息技術外包使金融機構降低了對IT系統的投入成本，但同時也大大提高了金融消費者數據泄露的風險。系統的掌控權在某種程度上已經轉移至系統提供者，金融機構對系統信息的控制力度弱化。業務流程外包后，金融機構必然向第三方提供金融消費者的信息，但是第三方機構質量參差不齊，很難確保金融隱私信息到達第三方后能夠得到妥善的保管。知識流程外包即聘請專業人士幫助金融機構進行決策等，現代社會人才流動較快，當專業人士跳槽后，存在誘發道德風險的可能性，金融機構也很難保證其不會利用消費者隱私信息牟利。

　　4. 職工保密意識不足

　　銀行等金融機構職工的保密意識有待加強，因職工工作疏忽而泄露儲戶隱私的情況時有發生。2016年，廣州市某公司職員離職后與用人單位產生勞動爭議糾紛，用人單位遂要求銀行提供該職員在銀行三年內的工資入賬明細，銀行卻將三年內該職員賬號的全部交易明細（入賬、出賬）提供給了用人單位。該職員認為銀行此舉侵犯了其隱私權，遂起訴到法院。最終，廣州市南沙區法院判決銀行向該職員書面道歉并賠償100元9。通過此案可以看出金融機構職工的保密意識并不強。在大數據時代，若金融機構一次性將大量金融隱私數據提供給第三方，第三方就能掌握金融消費者的資產狀況、銀行流水、資金流向，然后利用數據分析技術推送金融產品，甚至在營銷過程中利用掌握的詳細信息騙取金融消費者的信任，致使其財產損失。

　　（二）金融隱私權配套法律不完善

　　金融交易過程中，立法機構制定的法律、行政法規和部門規章是金融隱私權相關各主體行為的依據，因此完善的制度保護體系是保證金融機構正當進行金融交易、監管部門有序履行職責、金融消費者權益得到有效保護的前提。我國目前尚未形成完善的金融隱私權保護法律體系，各條文零散分布，缺乏事前的預防機制，事后的救濟機制也不盡完善，監管部門的職責邊界亦不明晰，存在監管重疊、監管真空的現象。

　　1. 缺乏專門的法律法規

　　我國將隱私權籠統地作為人格權的一部分進行保護，在一定程度上削弱了對公民隱私權的保護力度，而金融隱私權作為隱私權的一部分，其受到的法律層面的保護則顯得更加籠統。我國關于金融隱私權的法律法規條文零散地分布于各法律、行政法規、部門規章之中，雖然在一些部門規章之中規定相對較為細致，但就法律、行政法規層面的立法而言，全國人大及其常委會、國務院并沒有出臺相配套的法律、行政法規，這與我國目前蓬勃發展的金融行業以及日益嚴重的金融消費者數據泄露狀況是不相適應的。缺乏專門的法律法規，金融隱私權就很難引起重視。

　　2. 缺乏事前預防機制

　　縱觀我國的金融隱私權立法，仍缺乏事前預防機制來約束金融機構不正當采集、儲存消費者金融隱私信息的行為。由于金融隱私信息具有財產屬性，其所衍生出的商業價值往往會驅動不法分子非法獲取金融隱私信息。在金融隱私信息的收集、加工處理、分析運用、運用完畢后歸檔等一系列過程中，尚需嚴格明確金融隱私數據信息的處理辦法，形成一套行之有效的事前預防機制，以加強風險控制。

　　3. 事后救濟機制不完善

　　事后救濟機制不完善是我國目前金融隱私權保護的一塊重要短板。“無救濟即無權利”，若缺乏完善的事后救濟機制，則很難保證金融隱私權受到侵犯后消費者權利可以得到有效保護。目前金融隱私權被侵犯后的救濟途徑只能零散地見于《民法典》等法律中較為模糊的原則性規定，如排除妨害、賠償損失等，但對于損失的計算方式、賠償方式等都沒有制定細致的條款。在中國人民銀行頒布的《金融消費者權益保護實施辦法》等部門規章中，事后救濟機制也較為籠統而不具體。“排除妨害”“賠償損失”“予以更正”等法律條文，或許可以解決非金融領域的糾紛，但金融糾紛一般較為復雜，簡陋的條文放大了法院的自由裁量權，無法公平、高效地解決金融侵權糾紛，難以讓金融消費者在金融隱私糾紛案件中真正感受到公平正義。

　　4. 監管職責不明晰

　　我國的法律法規確立了中國人民銀行、銀保監會、工業和信息化部等的金融隱私信息監管主體地位，但各部門的監管職責仍不明晰，監管重疊、監管真空的現象依舊存在。當金融消費者隱私信息遭受侵犯之后，人民銀行、銀保監會、工業和信息化部以及地方政府部門等金融監管主體依照現有的法律法規均有監管職責，表面上似乎能夠多重保障金融隱私權，實則容易導致各部門間職責分散、職責界定不明晰，金融消費者的利益無法得到實質性的保障。

　　（三）金融消費者風險意識弱

　　金融隱私權屢遭侵犯，與金融消費者風險意識較弱也存在一定的關聯。我國金融消費者眾多，其金融素養、維權意識參差不齊，許多消費者對自身金融隱私信息的保護意識并不強。2019年7月，App專項治理工作組（受中央網信辦、工信部、公安部、市場監管總局委托）發布的存在“無隱私政策”問題的App中包括中國銀行手機銀行。盡管中國銀行App存在無隱私政策的問題，但是大量的中國銀行App用戶并沒有意識到此漏洞的存在，而是盲目授信給中國銀行，致使個人信息處于風險之中。在簽訂金融合同尤其是電子合同的過程中，金融消費者常常盲目信任金融機構，不會仔細審查合同內容或者沒有意識到合同內容的含義，導致其隨意授予金融機構過分使用金融隱私信息的權利。在后續的維權過程中，用戶的“授權”往往會成為金融機構免責的借口，不利于金融消費者維權。

　　五、大數據背景下金融隱私權保護的路徑選擇

　　大數據背景下，完善金融隱私權保護的關鍵在于約束、規制金融機構及與其密切聯系的第三方機構不正當使用金融隱私信息的行為，規范現有的監管機制，促進行業自律與政府適度干預有機結合。

　　（一）完善制度保護體系

　　1. 明確金融機構的法律責任

　　當前的法律、行政法規和部門規章中，雖然都規定了金融機構的部分權利義務，但卻沒有完整規定金融機構的法律責任。《商業銀行法》規定“商業銀行辦理個人儲蓄存款業務，應當遵循存款自愿、取款自由、存款有息、為存款人保密的原則。”10條文中提及了金融機構應承擔的義務，但是未說明不履行此種義務后所應承擔的法律責任。只有在后續條文中明確規定金融機構不履行法律義務后的法律責任，才能對金融機構形成法律層面的震懾力，金融消費者才能依法維權，審判機構在裁判時才能有法可依。

　　2. 整合制定專門配套的法律法規

　　現有金融隱私權保護的法律、行政法規、部門規章內容較為分散，并且現有的法律、行政法規也沒有專章規定金融隱私權的保護。目前仍缺乏一部專門保護金融隱私權的法律、行政法規。整合現有條文，并考慮大數據等新興技術所產生的法律問題，制定立法層級較高的法律、行政法規或在其中專章規定對金融隱私權的保護，能夠提高監管部門、金融機構的重視度，提高金融消費者的維權意識，促進金融隱私權的保護。整合現有的條文時應當明確其中存在沖突法條的具體應用方式，明確大數據等新興技術產生法律問題后的救濟機制，明確金融機構不履行法律義務所應承擔的法律責任，以切實控制風險，解決當前金融領域監管處罰重行政責任而輕民事責任的問題。

　　3. 建立事后糾紛解決機制

　　我國現有的制度體系缺乏切實可行的事后糾紛解決機制，金融消費者的利益遭受侵犯之后，救濟途徑過窄。首先，金融機構應當完善內部投訴處理機制。民事法律關系高度尊重當事人意思自治，如果金融消費者能夠通過內部投訴與金融機構協商解決糾紛，不僅能夠節省司法資源，更能提高金融效率。其次，雖然《消費者保護法》等法律法規賦予了金融消費者諸多占據優勢的權利，但是在實際的金融交易過程中金融消費者仍然處于劣勢地位，后續立法應對金融消費者進行傾斜性保護。最后，可以建立金融隱私信息泄露的應急預案制度。爬蟲、數據挖掘算法等大數據技術被廣泛應用的背景下，金融隱私信息泄露風險劇增，因此應當結合網絡攻擊、大數據等的特點，出臺應急預案制度。

　　（二）規范監督管理機制

　　在立法、監管過程中，應當明確金融交易各環節所對應的監管主體及其職責，完善金融信息監管機制，強化對金融外包業務的監管，從而形成規范的監督管理機制。

　　1. 明確監管主體及其職責

　　若金融交易過程中金融隱私信息傳遞的任意環節監督主體不明，則容易造成監管真空、監管重疊。我國目前存在中國人民銀行、銀保監會、工業和信息化部、消費者協會等多個金融隱私信息侵權的監管主體，各主體間職責不甚明晰。立法機構應當明確金融機構在收集、處理、保存數據過程中對應的監管主體，明確各監管主體的具體職責，避免出現某一環節因監管主體不明確而造成維權困難的情形。同時可以促進監管部門信息公開，讓其他監管部門、金融機構、金融消費者知悉各部門對應的監管職責，使得各部門間職責明晰，便于金融機構知悉自身義務及法律責任，便于消費者尋求權利救濟。

　　2. 完善金融信息監管機制

　　應當建立有中國特色的金融信息監管體制。借鑒國外金融隱私權保護經驗可以發現，GDPR（歐盟《通用數據保護條例》）由于過分注重用戶數據保護，制約了經濟的發展；CCPA（美國《加州消費者隱私法案》）側重商事利益，對個人信息保護力度尚需加強。在我國金融隱私權保護監管體制不健全的狀況下，可以權衡歐美數據保護法案當中的利弊，取其精華去其糟粕，進行適當的借鑒。同時，針對我國目前大數據技術廣泛應用、互聯網金融逐步發展之現狀，改進金融信息監管體制更應當立足于中國實際，督促監管主體積極履行監管職責，促進各監管部門間積極協調配合。

　　3. 強化對金融外包業務的監管

　　金融機構間競爭日趨激烈，運營成本逐步上升，促使金融外包行業誕生，而外包機構管理水平參差不齊，易造成金融消費者權益損害，因此金融外包業務的監管亟待加強。各監管主體在制定規章時，應當對金融機構向第三方機構提供金融隱私信息的過程做出嚴格的限定，明確金融機構不應當提供不必要的金融隱私信息，確有必要提供如信用信息等重要金融隱私信息時，應注意審查第三方機構的信息保護機制是否完善。

　　（三）提高金融消費者風險意識

　　我國金融消費者眾多、文化水平參差不齊、區域金融素養水平不均衡的現象嚴重，金融消費者防風險意識亟待提高。2019年，我國消費者金融素養指數平均分僅為64.77，城鎮居民與農村常住居民在金融知識、技能等方面的表現存在較大差距，金融素養水平在年齡上也依然存在駝峰效應。

　　在金融產品不斷向大眾普及的時代，應當關注重點人群和區域的金融素養水平，積極應對大數據等新興技術帶來的時代挑戰。監管部門和金融機構可以結合群體特性開展適宜的金融教育活動，通過各類途徑宣傳金融隱私權保護的法律法規，提升消費者金融素養，提高其風險識別能力、防范風險意識和維權意識，引導金融消費者通過法定途徑尋求權利救濟。在金融交易過程中，金融機構應當履行信息泄露風險提示義務，使消費者清楚金融隱私信息存在的風險，加強金融消費者對金融隱私信息泄露風險的認識。金融消費者簽訂合同時，金融機構應當主動告知金融隱私信息的使用范圍，不得騙取金融消費者的盲目授權。

　　（四）行業自律與政府干預有機結合

　　加強行政部門監管的同時，也應當適度引入社會監管力量，重視發揮行業自律的作用，政府公權力的適度介入與行業自律的有機結合是解決金融隱私權保護困境的有效路徑之一。

　　行業自律具備許多天然優勢，如成本較低、具備較強的制度彈性、更有利于培養金融交易主體的誠信意識等。因此，行業自律有助于促進業內合作交流、推動市場發展。同時行業自律也存在信息缺乏透明度、摻雜私利等不足之處，所以需要同政府適度干預有機結合，從而發揮其積極作用。部分行業已經出臺了相關自律公約，如中國互聯網協會發布的《中國互聯網行業自律公約》，但是此公約并沒有涉及消費者個人信息保護。在各行業自律公約的修訂和完善過程中，應當適當增加消費者個人信息保護的條文。

　　六、結語

　　大數據技術的發展為金融隱私權保護帶來了諸多時代挑戰，為強化風險控制、促進金融行業健康發展，金融隱私權相關各主體均應積極應對挑戰。首先，應當進一步明確金融機構的法律責任、監管部門的職責范圍，整合現有的金融隱私權保護的法律條文，制定配套的法律、行政法規或在其中專章規定金融隱私權的保護，提高金融隱私權立法層級。其次，應當注重提高消費者的金融素養，強化金融消費者的防風險意識。最后，應當注重發揮行業自律的作用，促進行業自律與政府適度干預有機結合。囿于行文篇幅，本文僅就金融隱私權保護進行了初步探討。金融隱私權是現代經濟社會中的重要權利，積極構建完善的金融隱私權制度保護體系是保護消費者權益、促進金融行業健康發展、維護金融公平的應有之義。金融隱私權保護之路道阻且長，需各方主體共同發力，方能構建完善的金融隱私權制度保護體系。

　　參考文獻

　　[1]王利明.隱私權概念的再界定[J].法學家,2012(01):108-120+178.
　　[2]張繼紅.論我國金融消費者信息權保護的立法完善——基于大數據時代金融信息流動的負面風險分析[J].法學論壇,2016,31(06):92-102.
　　[3]黎四奇,苗羽亭.大數據背景下金融隱私權的保護[J].財經理論與實踐,2019,40(04):151-155.
　　[4]周坤琳.金融信息權與金融隱私權差異性研究——基于維權利弊之視角[J].金融經濟,2019(16):83-85.
　　[5][英]維克托·邁爾·舍恩伯格,[英]肯尼斯·庫克耶.周濤譯.大數據時代[M].浙江:浙江人民出版社,2013.
　　[6] 外媒:網絡黑客盜取加拿大兩家銀行數萬名客戶信息[EB/OL]. http://www.chinairn.com.forest.naihes.cn/hyzx/20180530/171713816.shtml.
　　[7] IBM超級計算機沃森到華爾街就業[EB/OL].http://tech.163.com.forest.naihes.cn/12/0307/02/7RV7CRL6000915BD.html
　　[8]許可.個人金融信息的三重法律保護[J].中國銀行業,2019(11):32-34.
　　[9]鄭啟福.金融消費者隱私權的法律保護研究[J].西北大學學報(哲學社會科學版),2012,42(02):76-80.
　　[10] 大數據在金融行業的應用[EB/OL]. http://h-s.blog.csdn.net.forest.naihes.cn/dsdaasaaa/article/details/94763757.
　　[11]邱思萍,鄭啟福.人工智能環境下金融隱私權的法律救濟研究[J].重慶科技學院學報(社會科學版),2019(05):21-26+51.
　　[12] 張小龍缺席的2020微信公開課Pro交出這樣一份答卷[EB/OL]. http://www.stdaily.com.forest.naihes.cn/index/kejixinwen/2020-01/09/content_852127.shtml.
　　[13] 51信用卡遭警方調查[EB/OL].http://topic.eastmoney.com.forest.naihes.cn/51XYKYZTC/.
　　[14] 張斌.金融消費者保護理論與判例研究[M].北京:法律出版社,2015:194-196.
　　[15]王芳.關于金融外包業務侵害個人金融信息隱私權的思考[J].時代金融,2018(23):41+52.
　　[16]謝智菲.大數據背景下金融消費者隱私權的保護與分析[J].甘肅金融,2019(07):42-45.
　　[17] 中國銀行等30款App存在無隱私政策等問題[EB/OL]. http://pip.tc260.org.cn.forest.naihes.cn/jbxt/privacy/detail/20190711102856596642.
　　[18]黃勝.隱私權的立法現狀與立法保護建議——以金融領域為例[J].杭州金融研修學院學報,2019(06):60-62.
　　[19] 2019年消費者金融素養調查簡要報告[EB/OL].http://www.pbc.gov.cn.forest.naihes.cn/goutongjiaoliu/113456/113469/3868040/index.html.
　　[20]袁康.社會監管理念下金融科技算法黑箱的制度因應[J].華中科技大學學報(社會科學版),2020,34(01):102-110.
　　[21]張繼紅.大數據時代個人信息保護行業自律的困境與出路[J].財經法學,2018(06):57-70.

　　注釋

　　1國際商業機器公司（IBM):《2020年全球數據泄露成本研究》。
　　2參見《民法典》第110條。
　　3參見《刑法》第161、177、253條，《消費者權益保護法》第28-29條，《民法典》，《關于加強網絡信息保護的決定》，《證券法》，《商業銀行法》，《保險法》，《銀行業監督管理法》，《個人存款賬戶實名制規定》等法律、行政法規。
　　4參見《網絡安全法》第40-45條。
　　5參見《商業銀行法》第53條。
　　6參見張威訴吉林銀行侵權責任糾紛案，吉林省松原市乾安縣人民法院（2015）乾民初字第453號民事判決書。
　　7參見孫旭東訴平安銀行隱私權糾紛案，廣東省深圳市福田區人民法院（2016）粵0304民初24741號民事判決書。
　　8參見銀保監會《銀行業金融機構數據治理指引》，工業和信息化部《電信和互聯網用戶個人信息保護規定》，信息安全標準化技術委員會《信息安全技術個人信息安全規范》，國務院辦公廳《關于加強金融消費者權益保護工作的指導意見》，中國人民銀行《人民幣銀行結算賬戶管理辦法》等部門規章、指導意見。
　　9婁允暢與工行廣州南沙金嶺路支行隱私權糾紛案，廣東省廣州市南沙區人民法院（2016）粵0115民初463號一審民事判決書。
　　10參見《商業銀行法》第29條。