金融消费者信息权的法律内涵

一、金融消费者信息权的法律内涵1980年代起，世界兴起了保护个人信息的潮流，然而我国并未跟随世界的脚步开启对个人信息的保护。我国直至2018年的《民法总则》问世，才真正将个人信息纳入法律保护。对个人信息权的界定，不同学者看法不同。根据杨立新教授的观点杨立新.个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛,2018,33(01):34-45.，个人信息权应为一项具体人格权，并非个人信息权益。因此作为其法律系统下属的权利——金融信息权，对其概念进行界定也应当符合该特征。其次，金融信息权实质是对金融消费者信息进行保护，其以金融信息这一人格权利要素单独作为权利客体，因此应当作为一项独立的具体权利进行界定。杨立新.个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛,2018,33(01):34-45.（一）主体金融消费者信息权的主体是金融消费者。我国的法律体系中并没有任何一部法律对“金融消费者”这一概念进行界定。2015年国务院在全国范围内发布了中国第一个关于保护金融消费者的规章——《国务院办公厅关于加强金融消费者权益保护工作的指导意见》，该部法律也未阐明金融消费者的含义。我国的《消费者权益保护法》对消费者做出了定义《中华人民共和国消费者权益保护法》第二条规定，消费者为生活消费需要购买、使用商品或者接受服务，其权益受本法保护；本法未作规定的，受其他有关法律、法规保护。。有学者提出金融消费者是一般消费者概念的延伸，但笔者认为此作不妥：其一，将金融活动解释为生活消费需要的活动难免有些牵扯；其二，随着科学技术的发展，金融消费者面对的是日益复杂的金融产品，想要真正了解掌握金融产品的属性、收益风险等需要拥有专业的金融知识。并且金融机构掌握大量行业信息，与金融消费者之间形成严重的信息不对等关系，相对比一般消费者，金融消费者需要更加细致的法律保护。因此，笔者认为应当将金融消费者作为一个独立的概念进行规制。首先，金融消费者的主体具有特定性，只能是自然人。由于金融机构与金融消费者之间力量悬殊过大，金融消费者信息权的设置目的是倾向保护处于弱势地位的金融消费者，因此应当排除能与金融机构进行对抗的其他团体。其次，金融消费者的行为具有专向性，即进行金融消费行为——购买、使用金融产品或是接受金融服务。只有明确了金融消费者信息权的概念，才能建立一套完善的金融消费者信息保护体系。《中华人民共和国消费者权益保护法》第二条规定，消费者为生活消费需要购买、使用商品或者接受服务，其权益受本法保护；本法未作规定的，受其他有关法律、法规保护。（二）客体金融消费者信息权的客体是个人金融信息。《民法总则》中规定的个人信息权，其权利客体是指个人信息。根据2017年的《网络安全法》《网络安全法》第76条第5款，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《网络安全法》第76条第5款，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。（三）权利内容金融消费者信息权的内容包括决定权、知情权、保密权、纠正权以及删除权。决定权是指金融消费者有权利决定是否授予金融机构采录、查看、处理、披露消费者的个人信息的权利。知情权是指金融消费者有权获悉金融机构对其个人信息进行使用的情况。保密权是指金融消费者有权利要求金融机构对其个人信息进行保密。纠正权是指金融机构应当允许消费者根据其实际情况对储存在金融机构的个人信息进行更新或更正。删除权是指金融消费者有权对其储存在金融机构对个人信息进行全部或者部分删除的权利。二、我国金融消费者信息权保护的现状考察（一）我国金融消费者信息权受到侵害的现状随着科技创新和产业结构转化，互联网金融行业逐渐壮大并入侵传统金融市场，因此带来大量金融消费者信息被侵犯的事件。由于我国法律法规对个人信息保护体系并不健全，金融消费者信息被侵犯问题日渐加重。纵观我国各种金融消费者信息泄漏情况，笔者归结如下：1.系统因素导致金融消费者信息泄露部分金融机构由于科技核心技术不成熟，或者内部系统不断升级，导致系统不稳定，再加之黑客技术精湛，经常发生黑客入侵窃取客户信息的事件。2016年黑客组织Anonymous（匿名者）针对全球的银行组织进行一次短期性的网络攻击黑客组织匿名者针对银行发起攻击[J].中国信息安全,2017(07):59.黑客组织匿名者针对银行发起攻击[J].中国信息安全,2017(07):59.2.金融机构主动泄露金融消费者个人信息金融消费者信息具有巨大商业价值，加之大量金融机构过分追求利益，金融机构主动泄露金融消费者信息的情况严重。近几年的银行外包催债事件就是一个典型的例子。传统银行通常存在信用卡逾期的客户，由于其额度小、零散、失联等特征，出于成本考虑，银行通常将该部分业务委托给有资质的律师事务所。但近年来由于缺乏监管或者监管不严，逐渐出现“人人追”等催收共享平台，大多数平台的内部结构混乱，催收人员不具备资质。银行将催收信用卡逾期客户的业务委托给平台，一旦平台接收业务，银行开始批量发出客户信息，平台通过银行提供的信息给客户及其亲朋好友通过打电话、发短信等方式进行催债，导致大量金融消费者个人信息泄露。3.金融机构过度收集客户信息金融机构需要通过分析研究消费者信息才能进行产品升级，优化业务的配置或者开展新业务。不同机构之间经常运用各种方式共享客户信息，如大家耳熟能详的阿里巴巴集团与蚂蚁金服集团，其仅存在业务关系，但其通过消费者同意协议进行信息共享。《蚂蚁金融隐私权政策》中存在条款规定蚂蚁金服有权对客户信息进行利用与共享，其范围不仅指蚂蚁金服内部，包括第三方，即阿里巴巴集团旗下的公司等。也就意味着消费者只要使用过阿里巴巴相关产品如支付宝、淘宝等，其用户信息、消费记录、消费爱好等个人信息就会被整理、打包，提供给其他相关机构使用。在此情况下，金融消费者其个人信息在其不知情状态下便“被授权”给各大集团、公司或平台使用，长此以往，金融消费者的同意权将如同虚设，不利于保护金融消费者的信息安全。（二）我国金融消费者信息权受到侵害的原因分析1.我国相关法律法规不健全根据张继红教授提出的立法轨迹路径张继红教授提出：信息保护的立法轨迹应当遵循“基本法权利保护—民法框架保护—专门法律保护—分领域具体权利保护”的基本路径。张继红教授提出：信息保护的立法轨迹应当遵循“基本法权利保护—民法框架保护—专门法律保护—分领域具体权利保护”的基本路径。综上所述，我国目前对金融消费者信息权保护的相关立法呈现分散混乱、不成体系的特点。部门法之间相互联系不紧密，可操作性不强，无法形成有效机制。另外，由于法律未对金融消费者信息权进行特殊保护，导致不法分子利用法律的空缺侵犯金融消费者的信息权。2.监管体系不完善我国的金融监管体系并不完善。首先体现在，我国的金融监管模式不适应金融市场的发展速度。我国自2003年确定“一行三会”的金融分业监管模式，由中国人民银行、银监会、证监会、保监会负责相关监督工作。随着互联网崛起，消费行为的改变导致消费者需求多元化发展，为了适应时代潮流，金融行业开始创新调整，出现金融混业经营模式。一个金融控股集团内部经营银行、证券、保险等业务，金融资金雄厚，内部层次结构复杂。在分业监管模式下，不同子公司、业务部门分归不同监管机构管理，监督标准不统一、监管手段不相同、重点打击力度不同步等问题导致监管容易出现空缺点，监管信息的差异性给予了不法分子可乘之机。尽管银监会和保监会合并成为银保监会，但目前还是分业监管模式，监管标准、程度、手段无法统一，分工不明、覆盖范围不全都会导致我国金融消费者个人信息泄露。其次，我国监管机构监管方式存在不足。第一，我国对金融消费者信息保护意识不强，没有设置专门保护金融消费者信息权的部门。党的十九大报告提出要深化金融改革，维护金融稳定运行。在互联网时代，消费者个人信息具有潜在价值，已经成为金融机构互相争夺的重要资源，不对金融消费者信息进行专门保护，金融行业就无法实现稳定发展。尽管现有信息维护部门，其目的保护金融机构系统稳定，提高业务效率，并非专门保护金融消费者信息权的机构。第二，我国的监管方式缺乏技术性。上文提及金融机构科技核心技术不成熟，黑客攻击金融机构系统导致大量金融消费者信息泄露，我国监管机构也存在同样的问题。互联网金融发展迅速，金融产品五花八门，形式新颖，科技含量高涨，我国监管机构监管手段跟不上潮流变换，无法轻松应对各种风险。3.金融消费者救济途径不通畅保护金融消费者权益的最后一道防线就是提供全方位有效的救济途径。而我国由于保护意识不强、法律缺位、力量悬殊差距明显，金融消费者信息权遭受犯时消费者经常无法获得满意的解决结果。解决纠纷途径有协商、信访、诉讼等几种方式。金融消费者使用协商方式成功解决侵权问题的案例很少，金融消费者面对的是强大的金融机构，其拥有强大的知识和资源储备，而消费者通常架势单力薄，缺乏金融专业知识和法律知识，很难与金融机构进行公平博弈。同时，最近几年“一行三会”引进了信访制度，但我国信访普遍存在缺乏法治、体制不明确等问题，上访的群众得不到妥善的解决方案。诉讼是当今社会最常用有效的维权方式，然而对金融消费者却不太起效。一方面，我国的相关法律体系不完整，消费者只能利用分散的法律规定提起诉讼，很难达到维权目的。另一方面，金融机构善于利用互联网技术处理、转移、消除消费者的个人信息，从而毁灭、隐藏证据，导致消费者举证困难，法院难以认定金融机构的侵权行为。三、国外金融消费者消息权保护制度的借鉴（一）国外金融消费者信息权保护制度1.美国的分散模式美国历来重视对公民信息的保护，其对个人信息保护体现在各个领域、各个行业的法律法规中，呈现分散立法保护形式。早在20世纪60年代，彼特森案推动了美国以法律形式对金融消费者信息进行保护，确认金融机构具有保护金融消费者个人信息的义务。之后1970年美国出台《银行保密法》，该法规定银行组织对金融消费者信息负有保密义务。1976年美国通过《公平信用报告法案》，规定消费者信用报告机构采集、储存消费者信息要公正、准确，并且消费者拥有提出访问、纠正、公开的权利。1999年的《金融服务现代化法案》是在金融全球化的背景下颁布的，其将保护消费者隐私权提升到空前重要的地位，要求每个金融机构都必须重视和保护消费者的隐私权。美国除了出台各种法案保护公民信息安全之外，其分散立法保护模式还体现在采取行业自律方式和加固监管模式上。美国2010年出台的《多德—弗兰克法》杨利华.美国《多德-弗兰克华尔街改革和消费者保护法》评述[J].甘肃金融,2012(11):18-20.进行金融监管改革，设立美国金融消费者保护局，赋予其超越监管机构的监管权利，强化对消费者权益的保护。其次，美国采取行业自律机制加强信息安全管理，要求每个行业组织应当建立行业行为准则对侵犯消费者信息权益行为进行规范，加强技术监管，并且出台相关措施防范个人信息泄漏。同时自律组织的活动接受政府机关的监管，政府监管牵制、平衡自律监管，两者结合形成稳定监管体系。杨利华.美国《多德-弗兰克华尔街改革和消费者保护法》评述[J].甘肃金融,2012(11):18-20.2.欧盟的统一模式欧盟作为欧洲政府之间的政治和经济共同体，采取了与美国截然不同保护形式，即通过颁布实施专门的个人信息保护法典来保护各成员国公民的信息安全。1995年欧盟颁布了《个人数据保护指令》，其对“个人数据”进行定义，确立了应该在指定的、合法和明确的目的范围内使用公民信息等多项原则，为欧盟之后颁布相关法令奠定了基础。之后2016年投票通过的《欧盟一般数据保护条例》取代了《个人数据保护指令》，规定了公民十多项信息权利，更加全面的保护公民信息，形成了统一的个人信息保护体系。3.日本的综合模式日本均衡了美国的“分散式”和欧盟的“统一式”，确立了综合保护模式。2005年日本颁布作为基本法的《个人信息保护法》，规定了基本理念、政府实施的基本方针、个人信息保护措施的基本原则等内容。2015年随着互联网的迅速崛起，为了适应信息技术的发展，日本对该法进行了大幅度修改，使其个人信息保护法律体系更加系统化、全面化，成为了日本保护个人信息的最新立法成果。在该基本法的基础上日本还出台了部门单元法，作为辅助性的法律规定对个人信息进行全面的保护。同时，日本还学习美国的行业自律机制，将其作为维护金融行业稳定发展的重要手段。自此，日本建立了以基本法、部门法、行业自律等多种形式相结合的综合性立法保护形式。（二）国外金融消费者信息权保护制度对我国的启示无论是美国的分散立法模式还是欧盟的统一立法模式，都不是绝对的完美模式，借鉴他国的制度应当从我国的实际国情出发，取其精华，弃其糟粕，通过不断研究、实验，形成最适合我国的保护模式。1.确立统一的立法模式笔者认为我国可以借鉴欧盟的统一立法模式建立专门的个人信息保护体系。从我国目前的法治环境来看，我国民法至今还未将个人金融信息作为一项独立的民事权利进行保护，并未形成专门的金融消费者信息保护体系。美国属于典型的英美法系，判例体系致使美国的成文法具有分散的特点，分散的法律条文与判例体制相结合，形成了有效的保护机制。但我国与英美法系国家的体制不同，分散立法形式更多会导致执法主体相互推诿或者重叠执法的现象。因此笔者认为我国应当出台统一的个人信息保护法，对个人信息的内涵与外延进行界定，赋予信息主体多项信息民事权利，全面规定信息控制者、使用者的基本义务，对侵权处罚措施、监管机构管理体制、救济途径等多方面内容进行规定。再辅之专门的金融信息保护法律规定、相关部门法规等，形成系统的信息保护法律体系，对公民个人信息进行全面有效的保护。2.建立行业自律机制近年来我国互联网金融产品种类繁多，金融创新发展迅速，在金融混业经营背景下，法律更新的滞后性逐渐突显，仅通过传统的法律制裁手段无法维护金融市场的稳定。我国可以适当借鉴美国、日本的行业自律相关规定，鼓励提倡金融行业组织建立行为准则用以规制金融机构、信息控制者的侵权行为，建立相应的惩戒机制，如适当限制侵权人的金融活动，在法律范围内予以罚款等。金融行业自律机制可以弥补现今存在的法律空缺、监管不到位等缺陷，营造良好的金融发展环境。无论是美国、欧盟还是日本，都详尽规定了侵权后的救济途径与惩罚措施，建立了民事责任、行政责任、刑事责任并重、科学合理的责任承担体制。同时强调了基本理念和基本原则的重要性，注重维护社会公共利益，保护人格尊严。我国在立法过程中可以适当提取域外法律的优质理念，经过研究分析、实践检验，结合我国的实际国情，建立配套完善的信息法律保护体系。四、完善我国金融消费者信息权的法律机制（一）完善金融消费者信息权保护立法1、建立统一的立法体系根据上文关于域外立法保护模式的探讨，笔者更加倾向于欧盟的统一立法模式，通过出台统一的《个人信息保护法》，配套详细、完善的部门法律法规，建立一套系统性的金融信息保护法律体系：第一，应当颁发基本法，奠定基本法的主导地位。我国立法机关应当尽快制作出台关于保护金融消费者个人信息的基本法，对金融消费者、金融信息等概念进行界定，引入基本原则和保护理念，体现保护价值倾向，明确权利义务以及侵权责任。第二，在基本法的指导下出台相关法律法规、行业准则，实现全面保障。针对互联网金融的迅速发展问题出台互联网金融信息保护法，实现专门领域专门保护目标，细化金融消费者权利内容和信息控制者、管理者的义务内容，强调互联网金融平台信息存档的安全性，加强技术改造，增设网站定期维护义务。健全法律体系需要多方组织机构协调促进，相互配合，不断完善法律制度。2、明细侵权形式及力度根据侵权程度的不同，对侵权责任做出层次性规定，明细侵权责任承担形式以及力度。研读域外的信息保护相关规定可以发现，域外对于侵权行为后果不止设立一种责任模式，大多数是“刑法-行政-民法”相结合模式。事实上，单一的责任模式并无法覆盖形式多样的侵权行为，我国应当均衡刑法、行政法、民法的侵权责任承担形式，并相互配合，形成多层保护形式。首先是刑事责任，我国的刑法修正案七增加了保护公民个人信息的两项罪名，即“非法获取公民个人信息罪”和“出售、非法提供个人信息罪”，将严重侵犯公民个人信息的行为提升到了刑法保护的层面是非常有必要的。当然，仅设这两项罪名还不够，其所纳入的犯罪主体不够全面，侵权行为范围狭小，有待进一步完善。第二是行政责任。从目前的部门规章制度可以看出，我国金融消费者侵权行为的行政惩罚手段空缺，笔者认为《治安管理处罚法》等相关法规应该将侵犯消费者信息权行为纳入管理对象。三是民事责任。由于金融消费者的信息权具有人格权属性和财产权属性，在民事责任上财产性责任（主要指损害赔偿）和非财产性责任（包括停止侵害、消除影响、恢复名誉、赔礼道歉）应当并用。并且考虑到侵权成本较低是个人金融信息屡受侵犯的一个重要原因，所以应该明确细化规定侵犯金融消费者信息权所要承担的民事责任，加重惩罚力度，从而减少侵犯金融消费者信息权的现象。（二）强化对互联网金融行业的监督管理1.继续加强监管转型工作我国自金融市场建立以来长期保持分业监管模式。近年来，互联网金融逐渐取代传统金融成为金融市场的主力军，分业监管模式已经无法满足市场需求，分业监管转型为统一监管的呼声也越来越强烈。有学者提出建立统一的“金融监管委员会”，但我国中央选择了一条由浅入深、稳妥适当的改革道路，即在分业监管总体格局未变的情况下成立金融稳定发展委员会，同时将银监会和保监会合并，组建中国银行保险监督管理委员会，共同管理银行业和保险业。笔者赞成决策者谨慎考虑选择的改革方案，中国的监管体制发展时间短暂，不够成熟稳定，一旦大动作调整容易因为根基不牢而垮掉。并且，我国近年来推行简政放权，建立“权力清单”，此时建立统一的监管机构不利于中央实行权力制约政策，容易造成行政贪污腐化、加重官僚主义等问题。当然，“一委一行两会”模式依旧是在金融分业监管格局下，为了弱化分业监管的弊端，我国应当避免形式上的联合监管，重点强化功能性监管和行为监管，尽快落实金融稳定发展委员会的监管机制。同时不断创新监管方式，向转型统一监管的终极目标靠近，实现到金融监管的全覆盖和时效性。2.构建金融监管和金融监察“双管齐下”模式金融监察作为国家监察体制的组成成分，其对金融机构和金融监管部门展开管理和监督，促进金融市场稳定运行和金融监管工作健康有序开展。金融监管和金融监察存在一定的职能交叉杨嵩涛.域外金融监察制度对我国金融领域治理的启示[J].现代管理科学,2017(10):51-53.：第一，监察机关对金融监管机构及其工作人员履职行为和利用职权暗箱操作等不合法行为进行监督；第二，金融监察机关依法监管金融消费者与金融机构纠纷案件，维护群众利益。因此，探索金融监管和金融监察相结合模式对于强化金融监督，维护金融消费者权益具有重要作用。我国正在进行国家监察体制改革，笔者认为我国可以尝试建立金融监察制度，强化其监督金融监管机构和协助消费者维权的职能，成为金融消费者维护自身权利的强大后盾，制约金融监管机构的不作为、乱作为现象，同时也能协助金融机构开展监管工作。杨嵩涛.域外金融监察制度对我国金融领域治理的启示[J].现代管理科学,2017(10):51-53.3.重视行业自律组织的监管作用随着科技发展，金融行业创新发展能力快速提升，金融产品五花八门，仅靠监管机构不利于对金融行业实现监管全覆盖，适当利用行业自律组织和社会组织的力量有助于填补监管遗漏点，实现对金融消费者的全面保护。借鉴美国的行业自律机制，首先应当鼓励行业自律组织完善行业规范，增强其维护金融秩序的社会责任感。其次，严格赋予金融自律组织对侵权行为进行“警告、罚款”的权力，加重金融机构违法违规成本，使其不敢肆意妄为。同时，行业自律组织可以尝试将侵犯金融消费者信息权行为作为金融机构等级评估的内容，引导金融消费者在选择金融产品时可以根据等级评估自由作出选择。（三）优化金融消费者信息权纠纷的多元化解决机制上文提及我国为金融消费者提供的维权途径并不通畅，近年来我国金融消费者遭受侵权的事件频繁发生，健全、优化金融消费者信息权纠纷的多元化解决机制势在必行。探索公力救济与私力救济双重保障，建立诉讼方式与非方式机制相结合的解决机制，是目前实现全面保护金融消费者权益最有效的途径。1.健全金融纠纷诉讼制度只有保证司法程序独立、公正和高效，才能维护公民利益。如上文所述，金融消费者和金融机构之间力量悬殊，严重的信息不对称导致金融消费者存在举证难的问题。我国目前对于金融消费者纠纷案件还是实行“谁主张，谁举证”的原则。金融机构强大的人才队伍、技术实力，一旦隐匿、销毁证据，金融消费者将因为缺乏证据而败诉。因此，笔者认为应当对消费者适当倾斜保护，对于金融机构侵权案件可以尝试适用过错责任推定原则，增加金融机构的举证责任，降低消费者诉讼的门槛。当然，适用责任倒置要受到严格的限制，责任倒置制度是为了均衡对抗双方的力量，因此适用对象应当排除侵权人为自然人的情形。如若消费者故意提供虚假信息或者具有非法目的提供不准确信息导致相关侵权后果的，消费者应该依法承担责任。同时，引入公益诉讼可以高效的解决集体性的侵犯金融消费者权益案件。我国《民事诉讼法》第五十五条规定对环境污染、侵犯众多消费者权益的案件可以适用公益诉讼制度。金融消费者信息权侵权案例也属于公益诉讼的范围，但由于相关法律的欠缺，我国目前对侵犯金融消费者信息提起公益诉讼的案例极少。基于互联网时代，侵犯个人信息情形越发严重，建立专门的信息公益诉讼是十分有必要的。公益组织无论是地位、理论知识、思维能力都要远远强于普通消费者，能与强大金融机构抗衡，提高全社会的维权率。所以，完