日本乱码伦视频_99re热久久_青青青爽国产在线视频_午夜理伦三级在线观看 - 国产高清精品久久久久久久

摘要：《個人信息保護法》為個人金融信息處理提供了全面的法律保障，但在數字時代的個人金融信息保護需求對現行相關制度以及金融機構的個人金融信息保護管理能力都帶來了挑戰。馬上消費研究院認為，在數字時代，個人金融信息保護需要轉型升級，法律需要明確信息和數據的權屬，對個人金融信息實行特別保護，完善事中和事后保護機制等。

　　關鍵詞：數字時代；個人金融信息；法治進路

　　近年來，我國金融監督管理部門高度重視個人金融信息保護工作。2011年，《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》首次明確規定了“個人金融信息”的概念及范圍，并確立了個人金融信息的使用原則和基本保護框架。2016年，《中國人民銀行金融消費者權益保護實施辦法》對個人金融信息保護作了較為全面的規定。2018年，中國銀行保險監管管理委員會發布了《銀行業金融機構數據治理指引》。2019年，中國人民銀行又起草了《個金融信息（數據）保護試行辦法》（征求意見稿），使得個人金融信息的保護受到社會各界高度關注。2021年，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第28條將“金融賬戶”等重要信息歸類為敏感個人信息加以保護，推動了個人金融信息保護邁入新階段。個人金融信息一般是指個人在銀行、證券公司、信托投資公司以及保險公司等金融機構有關交易記錄以及因此提供的個人資料，包括個人的銀行卡及信用卡賬號、存取款情況、貸款和還款情況、信用消費和支付情況，以及證券交易賬號、所持證券品種及交易記錄，信托產品及交易記錄，所投保險及保險費繳交情況、保險金額、保單價值等。 隨著個人金融信息利用行為所隱含的技術風險增長，個人金融信息在技術迭代中被侵犯的事件也屢屢出現。同時，金融消費者在維護金融信息權益時，面臨信息不對稱致使同意有效性降低等諸多問題。

　　一、數字時代個人金融信息法治保障新難題

　　數字時代個人金融信息已成為關鍵生產要素和重要競爭手段，深刻改變著市場競爭的性質和方式，同時也帶來了法治保障的新難題。

　　（一）信息泄露、數據壟斷與數據不正當競爭

　　事實上，當人類社會逐漸進入信息化和數字化后，數據因其規模性、多樣性特點，很容易被數據寡頭利用從而壟斷特定行業。數據壟斷并不僅僅是對數據本身的壟斷，多數情況下指的是“基于數據的壟斷”，是通過對數據的收集、挖掘、使用等實現壟斷市場、壟斷消費者、壟斷產品。從數據到信息之間，需要經過數據的收集、處理、存儲、分析過程，提升數據集中度可提升數據生產效率，相關企業會在數據的總量、類型、處理分析能力、應用開發等層面展開激烈競爭，數據的集中將是行業發展的必然趨勢。數據壟斷的危害性主要體現在數據壁壘方面，表現為擁有數據及相關的算力和算法的企業可以產生市場力量，通過“使用者反饋”與“獲利反饋”使企業數據收集能力不斷自我增強，造成各數據收集者之間的數據鴻溝越來越大，而其他企業沒有替代性的數據或者無法獲得相關數據，從而形成一種市場壁壘。網絡經濟是一種典型的規模經濟，互聯網平臺作為商業模式要追求規模，所以平臺與平臺之間的競爭是體系化的競爭。當實現以上目標，營銷的精準化就會成為必然。營銷的精準化包括兩個層面，即推薦的精準化和定價的精準化。推薦的精準化對于不少消費者來說，可以帶來便利，但是定價的精準化就變成“大數據殺熟”，或者說基于數據畫像實施差別待遇。在數字時代，經營者基于自身掌握大量數據的優勢而實施的市場行為，如果妨礙到市場競爭和社會福利，就可能被認定為壟斷行為。

　　（二）指紋、面部等生物認證信息被大量收集

　　中國消費者協會發布的《100款APP個人信息收集與隱私政策測評報告》，顯示測評的100款應用程序（APP）中，10款APP涉嫌過度收集個人生物特征信息。我國《網絡安全法》規定了“誰收集、誰負責”的原則，并規定收集個人信息須經被收集者同意，其中包括個人生物特征信息。但對于收集相關信息主體需要提供何種程度的保護力量、如何評估與公開、公民個人敏感信息的保護層級、具體保護措施等關鍵問題，目前均尚未制定具強制力的法律規范。2018年5月，全國信息安全標準化技術委員會頒布實施《信息安全技術個人信息安全規范》，作為推薦性國家標準，其中將生物識別信息等明確歸為“一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等”的個人敏感信息。如清華法學院教授勞東燕所說“人臉數據一旦泄露就是終身泄露”，因為人臉信息具有直接識別性、方便驗證性、易采集性、獨特性、難更改性。人臉信息不同于普通的數字信息，人臉信息是一種典型的個人生物信息，一旦泄露無法更改，而且造成的損失也是不可逆的，幾乎沒有補救措施。

　　（三）個人信息保護與數字金融發展的難衡平

　　《個人信息保護法》第1條開宗明義地規定：“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用，根據憲法，制定本法。”這一規定既表明了該法的立法依據，同時指明了這部法律的立法目的，即通過規范個人信息處理活動，達致保護個人信息權益；同時促進個人信息的合理利用，也是該法的重要目的之一。法律對于個人信息和隱私保護的立場完全不同，《個人信息保護法》雖然被稱為保護法，但對個人信息的保護并非如同對隱私的保護。隱私是要保護人的私密空間、私密活動、私密信息等私人生活的安寧不被破壞，強調維護隱私的“私密性”；個人信息的主要價值在于社會交往的可識別性，其功能定位于正常社會活動和社會交往的基礎，個人信息在社會交往中發揮著個人與他人及社會的媒介作用。簡單地講，信息不是為了保護而存于世間的，相反恰恰是為了利用。個人信息數據的經濟價值和公共價值日益凸顯，成為數字經濟發展的重要原料。與此同時，受利益驅使，利用數字技術隨意收集、違法獲取、過度使用、非法買賣個人信息，甚至利用個人信息侵害人民群眾生活安寧、生命健康和財產安全等問題日益突出。雖然近年來我國個人信息保護力度不斷加大，但與實踐需求相比，此前法律規定比較分散、針對性不強，仍有較大完善空間。系統應對數字經濟發展帶來的新挑戰，切實統籌個人信息保護與利用，成為個人信息保護法立法的重要任務。

　　（四）金融消費者存在信息與專業知識的雙重劣勢

　　部分金融消費者由于金融專業知識不足、信息不對稱、風險承受能力有限等原因，在金融活動中處于相對弱勢地位。互聯網金融野蠻生長，部分網貸打著金融創新的旗號，侵犯金融消費者權益。因此，加強金融消費者權益保護，是維護金融穩定和社會穩定的內在需求，也是金融業健康長遠發展的堅實基石。相比一些行業領域，金融的專業性、復雜性更強，金融消費者權益保護工作具有一定特殊性。為此，我國出臺了有關金融消費者權益保護辦法等，提高違法違規成本，提升金融消費者權益保護有效性。但應看到，金融科技快速發展給金融消費者保護帶來新的挑戰，發展日新月異在一定程度上導致金融欺詐行為更具隱蔽性。因此，應進一步加強監管，通過完善制度設計和執行，進一步做好消費者權益保護。一方面，應該通過修改完善制度細則、發布窗口指導和風險提示等，支持金融機構良性創新，提升金融服務效率和能力；另一方面，也應加大監管力度，督促金融機構、互聯網平臺嚴格按照法律規定開展業務，妥善保護好金融消費者合法權益。

　　二、數字時代個人金融信息保護的規范掣肘

　　（一）個人金融信息規范體系的缺陷

　　總體而言，有關個人金融信息保護的法律規范存在明顯不足。《民法典》第111條規定“自然人的個人信息受法律保護”，確立了金融企業“依法取得”和“確保信息安全”的宏觀義務，并以“不得非法買賣、提供和公開個人信息”等規定限制金融企業對金融信息的處理行為。《民法典》第111條對信息保護的規定較為模糊，未進一步明確界分“個人信息”與“金融信息”這類敏感信息。《民法典》第1033條本質上是對信息的分類，列舉了信息權侵權行為，卻未對金融等特定領域作出規定。《民法典》第1034條再次強調個人信息受法律保護，并列舉了個人信息的類型，其中許多屬于金融活動過程中必定涉及的信息。根據該條，個人的私密信息適用有關信息權的規定，沒有規定的可以適用有關個人金融信息保護的規定。2021年8 月20日全國人大常委會公布《個人信息保護法》，其中第28條將敏感個人信息定義為“容易導致自然 人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”，該定義涵蓋了“金融賬戶”，確立了 “特定目的”、“充分必要性”和“采取嚴格保護措施”為基準的敏感個人信息處理三要件，但仍需通過司法解釋進一步明確什么是金融信息以及信息保護的法律路徑。此外，《個人信息保護法》《商業銀行法》《反洗錢法》《銀行業監督管理法》《消費者權益保護法》等有關個人金融信息的法律雖然都有對個人金融信息保護的相關規定，但是這些規定卻也存在著對個人金融信息保護的具體化不足及目標性不明確等問題，難以為個人金融信息提供嚴密的保護。

　　（二）個人金融信息監管機制的失靈

　　目前，我國沒有明確的個人金融信息保護監管部門，雖然一些部門規章或規范性文件對保護個人金融信息做了一些規定，但個人金融信息保護層面依然缺乏足夠的重視，存在監管交叉或監管真空的情況，為中下游的不少亂象提供了土壤。更關鍵的是，我國沒有較高層級監管機構來統一監管個人金融信息保護工作，金融監管部門、司法機構與行業協會各自開展監督和管理工作，相互之間的協調機制尚未成熟，沒有形成監管合力，監管效率低下，信息共享和工作聯動配合有待進一步加強。我國規范個人金融信息的金融法律法規，都是規范持牌金融機構的。非持牌金融機構目前游離于金融監管的范圍之外。非持牌而實際上從事金融服務的機構，目前無法直接適用專門的個人金融信息保護規則，對我國當前的分業經營金融體制下個人金融信息的保護也提出了挑戰。

　　（三）個人信息主體救濟機制的缺位

　　基于《個人信息保護法》第14條，金融消費者同意處理個人金融信息的，該同意應當由個人在充分知情的前提下自愿、明確做出，并且法律、行政法規對取得單獨同意或者書面同意另有規定的應遵從其規定。同時，《民法典》第1038條設置了信息處理者兩個“不得”的禁止性條款，但現實生活以其復雜性消解了該條的理想化設定，一系列具有隱蔽性強、成功率高、作案時間長、涉案金額大等特點的金融大案背后都或多或少涉及對個人金融信息的侵害。當消費者因個人信息被侵犯提起訴訟請求時，還往往面臨財產損失計算無法可依的困境。作為個人信息的子概念，個人金融信息范圍的界定并不清晰，僅中國人民銀行制定過的《人民幣銀行結算賬戶管理辦法》《關于銀行業金融機構做好個人金融信息保護工作的通知》《非銀行支付機構網絡支付業務管理辦法》《金融控股公司監督管理試行辦法》《金融消費者權益保護實施辦法》《個人金融信息保護技術規范》等數部規范性文件，就使用過“銀行結算賬戶信息”“客戶信息”“敏感信息”“個人金融信息”“消費者金融信息”等名稱，涵蓋個人身份、財產、賬戶、信用、金融交易、借貸以及衍生信息等多個概念。同時，上述規范性文件與銀保監會制定的《銀行業金融機構數據治理指引》，國家市場監督管理總局、國家標準化管理委員會發布的《信息安全技術個人信息安全規范》中對金融信息保護對象的規定也不一致。立法的滯后直接致使金融企業獲取客戶個人金融信息被肆意侵犯，損害金融消費者的合法權益，卻難以實現有效救濟。

　　（四）個人金融信息共享機制的不足

　　數據天生有流動的需求，數據在流動中增值。數據不僅僅需要在金融集團內部共享、流動，也需要對外開放、共享、交易、流動。在對個人金融信息能夠做到切實、有效、嚴格保護的基礎上，方可放開包括個人金融信息在內的數據的開放、共享甚至交易。個人金融信息中的財務信息以及身份信息，要么高度敏感，要么是個人直接提交的，因此，對個人財務信息的采集與開放、共享、交易，應該采取最嚴格的授權規則，即紙面方式選擇進入規則。當然，由于個人身份信息是個人主動提交的，提交行為本身可以視為一種采集授權。對個人身份信息的開放、共享、交易，也應采取紙面選擇進入規則，但對于個人金融信息中的預測信息的開放、共享、交易，則可以采取電子方式選擇退出規則。

　　三、數字時代個人金融信息保護的法治路徑

　　隨著個人金融信息完成從公共物到風險物的客體性變遷，構建保護個人金融信息的法律制度成為必然選擇。例如，《個人信息保護法》構建了以“告知—同意”為核心的個人信息處理規則，保障了個人金融信息主體在信息處理活動中的各項權利，強化了金融企業等個人信息處理者的義務，但仍需進一步完善。

　　（一）健全制度規范

　　2021年實施的《民法典》，對個人信息保護做出了詳細規定，從定義、處理原則、條件和免責事由，到主體權利和與之對應的信息處理者的信息安全保障義務，再到公權力機關及其工作人員的保密義務，構建了一個較為完整的個人信息保護框架。另外，2020年2月央行發布了《個人金融信息保護技術規范》，為金融機構加強個人信息保護的合規建設和金融監管機構的監督、執法工作提供參考。長遠地看，個人金融信息保護法律制度應單獨制定。一般法律僅規定個人信息保護是商業銀行的一項義務，而將個人信息納入個人隱私權、人格權范疇進行充分必要的立法保護各國都經歷了較長時間。如美國1978年在《金融隱私權利法》中將金融個人隱私信息確立為信息主體的 法定權利，并圍繞該項權利在其后1999年《金融服務現代化法》和2000年《消費者財務隱私保密最終規則》等一系列法律中進行擴充，實現金融信息全面保護。2010年美國頒布了被稱為史上最嚴監管法規的《多德—弗蘭克華爾街改革和消費者保護法》，形成了完整的消費者權益保護體系，并隨后在對美國銀行、花旗銀行、德意志銀行屢創新高的天價罰單事件中體現出震懾力。2018年在歐盟生效的《一般數據保護條例》致力于構建個人信息保護新秩序，具有個人信息保護里程碑意義。因此，我國迫切需要制定符合我國國情和數字時代特征的個人金融信息保護規制，確定個人金融信息保護的立法宗旨和原則，對于個人金融信息內涵外延、信息主體權利、責任義務主體、信息管理環節、違法行為懲戒等做出明確規定。應盡快聯動修改《中國人民銀行法》《商業銀行法》《證券法》《保險法》等，明確金融機構保護個人金融信息的義務和法律責任，金融機構更要加強部門內規章立法建設，由此形成以專門法律為核心、其他法律法規相配合、部門規章制度為補充的個人金融信息保護法律體系。

　　（二）革新監管理念

　　個人金融信息監管機制應當堅持保護與利用協同的理念。傳統金融法只強調對個人金融隱私的保密，但數字時代的金融法需要保護與利用并重。從美國金融隱私權保護法的發展歷程看，就經歷了一個從單純保密到保護與利用并重的過程。除了美國判例法對銀行客戶信息的保密之外，在制定法層面上，1978年的金融隱私法對銀行雇員披露金融記錄、聯邦立法機構獲取個人金融記錄的方式作出了限制。但1999年金融服務現代化法卻有了較大改進，該法規定了金融機構在處理消費者及客戶的非公開個人信息時，應遵守數據安全保護規則和隱私保護規則，允許金融機構將消費者信息與關聯機構分享，但金融機構需要履行通知義務并為消 費者提供選出權。未來我國的個人金融信息保護法應更加注重數據的利用。需要確定監管牽頭部門及相應的監管職責，制定統一的監管規程，賦予監管機構必要的法律授權，明確監管標準，采取多種靈活的方式對商業銀行機構在個人金融信息保護工作方面進行經常性的指導和提示，不僅要提高對個人金融信息的有效監管，強化金融信息主管部門的監管職能，而且對金融機構違規泄露個人金融信息可采取行政處罰或其他監管措施。細化管理職責，杜絕空白地帶和“踢皮球”現象，進一步完善監管體系，促進互聯網金融健康有序發展。要建立監管規范和統一的監管標準、業務規范，加強信息披露、非現場監管，加強資金流量管控。

　　（三）完善救濟機制

　　要完善個人金融信息的救濟機制。公法救濟方面如行政和刑事處罰，它們可以有力地保護個人金融信息安全，能夠作為個人金融信息保護的有力救濟手段。例如，新《消法》規定侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。除承擔相應的民事責任外，其他有關法律、法規對處罰機關和處罰方式有規定的，依照相關規定執行；未做規定的，由工商行政管理部門或者其他有關行政部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照；處罰機關還應當記入信用檔案，向社會公布。此外，完善相應的民事救濟和賠償機制也是個人金融信息救濟機制的重要方面。具體來說，可以設立個人金融信息領域的過錯推定責任制度、公益訴訟制度、精神損害賠償制度，還可規定由金融機構承擔有關個人金融信息泄露案件的舉證責任。

　　（四）重視行業自律

　　可以根據個人金融信息的敏感程度建立分級的共享制度，同時強調敏感個人信息的保護，強化各行業金融機構的內部合規控制。金融機構應重點關注以下四個方面：一是加強對相關工作人員的法規知識教育與培訓，強化其對個人金融信息的安全意識。組織接觸個人金融信息的員工學習關于個人信息保護的法律法規；相關人員在上崗前必須接受培訓，并簽署對個人金融信息保密的承諾書。二是設置接觸個人金融信息的專崗和訪問權限，并注重對訪問的網絡留痕，比如以留存訪問記錄的方式，對個人金融信息的接收者、變更者以及中間經手人員留下詳細的數字化記錄，以便為將來出現風險事件后的查詢與問責提供證據。三是完善內部的監督和懲罰機制。在金融機構內部，設置個人金融信息安全監督機制，定期進行自查，及時填補危及個人金融信息安全的漏洞；對違反國家、行業和機構內部關于個人金融信息保護相關規定的人員進行嚴厲處罰，如予以降級或開除等；當員工嚴重侵害個人金融信息安全時，還應移交司法機構，追究其刑事責任。四是完善技術防護體系，提升個人金融信息的保護能力，比如設置雙重密碼認證、進行系統監控和實時監測等。