【大数据时代的个人金融信息法律保护探究12000字（论文）】

PAGE15PAGE14大数据时代的个人金融信息法律保护研究摘要大数据时代，互联网技术的应用为金融机构带来机遇与发展，也对个人金融信息保护提出挑战。因此，加强我国个人金融信息法律保护刻不容缓。就个人金融信息法律保护的研究，本文从以下四方面展开论述：第一部分是文章的绪论部分。着重论述金融业的快速发展过程中，个人金融信息侵权行为时有发生，长此以往将会影响到金融行业乃至国家经济的健康良好发展。从而笔者提出完善个人金融信息法律保护的命题。第二部分对个人金融信息相关概念进行定义，并对我国当前个人金融信息保护的现状予以分析。经分析得出，应当在个人信息保护的基础上对个人金融信息予以特殊保护。同时应当结合我国当前个人金融信息保护的现状分析，建立完整的个人金融信息法律保护体系。第三部分针对上述存在的问题，有针对性地对域外个人信息保护模式予以分析和借鉴。第四部分结合上文，从立法、监管和救济对我国在个人金融信息法律保护予以完善。关键词：金融机构个人金融信息法律保护目录TOC\o'1-3'\h\z\u摘要 I第1章绪论 11.1选题背景 11.2选题意义 1第2章大数据时代个人金融信息的现状及存在的问题 22.1个人金融信息的内涵 22.2个人金融信息的特性 22.3我国当前个人金融信息保护的现状分析 32.3.1个人金融信息立法保护现状分析 32.3.2个人金融信息监管现状分析 42.3.3个人金融信息救济机制现状分析 6第3章个人金融信息保护域外制度的概况和启示 73.1美国个人金融信息保护制度的概况 73.1.1分散立法 73.1.2行业自律 73.1.3经验分析 73.2欧盟个人金融信息保护制度的概况 83.2.1统一立法 83.2.2经验分析 83.3对我国个人金融信息保护制度的启示 9第4章个人金融信息法律保护的完善建议 104.1完善个人金融信息保护法律制度 104.2完善个人金融信息的监管机制 114.2.1完善行政监管体制 114.2.2建立个人金融信息保护行业自律模式 114.2.3健全金融机构对个人信息的管理机制 114.3优化消费者权利救济的方式 12结语 13参考文献 14第1章绪论1.1选题背景随着经济快速发展和金融不断深化，金融业不断发展壮大。金融机构在经营发展过程中积累了海量数据金矿，大量的个人金融信息为金融机构所收集。与此同时，个人金融信息所隐含的商业价值逐渐被金融机构发现和利用。然而在利益驱使下，金融机构将所获取的个人金融信息予以非法利用，导致个人金融信息安全事件时有发生，且个人金融信息侵权行为的破坏性常常呈几何形扩张，引起社会广泛关注。金融业的发展，不应以牺牲公民个人权益为代价。因而，如何平衡个人金融信息保护与金融信息的共享与流通之间的关系，是我国当前需要迫切解决的问题。本文在该背景下，对个人金融信息法律保护予以研究。1.2选题意义金融业是现代经济的核心，其作为数据密集型行业，信息便是驱动发展的关键生产要素。在大数据时代，个人金融信息的价值将日益凸显，其对金融机构的发展愈发重要。针对近来频频发生的个人金融信息安全事件，对个人金融信息法律保护进行研究，并对其予以补充与完善。有利于金融机构在保障信息主体权益的前提下，充分挖掘和利用个人金融信息的价值实现自身的发展。希望通过本论文能够为个人金融信息法律保护的完善提供一些启示。第2章大数据时代个人金融信息的现状及存在的问题2.1个人金融信息的内涵个人金融信息是金融机构开展业务过程中，通过各种渠道直接或间接获取的与自然人有关的信息。其主要包含以下内容：第一，个人身份信息，以个人基本信息和个人生物识别信息为主要内容。第二，金融交易信息，是个人金融信息主体在交易过程中产生的各种信息。第三，识别信息，以验证主体是否有权访问或使用权限的信息。第四，账户信息，账户及与账户相关信息。第五，资产信息，即金融机构在提供金融产品和服务时，所收集或生成的金融信息主体资产信息。第六，借贷信息，即个人金融信息主体与金融业机构发生借贷业务所产生的信息。七是其他信息，对原始资料进行处理、分析后形成的，能够反映特定个人情况的信息。显然，金融机构所获取的个人金融信息来源广泛，信息量大，价值性和准确性极高。在金融机构面前，每个人都是“财务透明人”，金融机构可通过个人金融信息精准定位和划分客户群体，让基于消费习惯和行为习惯的客户成为精准营销的对象，从而为金融消费者提供随时随地、随心所欲的金融服务。2.2个人金融信息的特性个人金融信息是个人信息在金融领域的细化体现，其具有个人信息的一般属性。个人金融信息是个人身份信息与财务信息的结合，兼具人身和财产双重属性。身份信息可直接识别个人身份，财务信息可直接识别个人财产，二者的结合可以反映特定主体的金融图谱和财务状况，因此，个人金融信息成为金融机构获取特定主体财产的金钥匙。个人金融信息具有人身属性。个人金融信息是个人信息在金融领域的细化，是一切与个人相关的金融信息，它具有极强的人身依赖性与专属性。其次，个人金融信息具有可识别性，其可以直接或间接地识别信息主体。经过数据分析后，个人金融信息可以构成对一个人身份特征的临摹，反映出特定主体的人格，从而使信息具有可识别性。个人金融信息具有财产属性。大数据时代下，金融机构通过大数据分析，将碎片化、局部化的个人金融信息收集整合，从而了解特定主体的消费习惯、消费能力以及消费水平，并根据不同目的对其进行分析并加以商业化利用，为有相应需求的消费者提供“量身定制”的金融服务。这样，消费者得以享受快捷、有利的金融服务的同时，实现财富的增值，而金融机构则可以从中获得相应的经济利益，这直接体现了个人金融信息具有财产属性。由此可见，个人金融信息经过金融机构整合分析后，具有潜在的经济价值。一旦发生个人金融信息安全事件，将会危及信息主体的隐私安全和财产安全造成威胁。个人金融信息不仅具有个人信息的特性，还有着自身的独特性。第一，个人金融信息主体的广泛性。个人金融信息来源于不特定的广大金融消费者与相对固定的金融机构之间的业务往来，一旦个人金融信息安全发生泄漏，往往会危及众多信息主体的利益；第二，个人金融信息具有专业性。金融业作为数据密集型产业，以智力为主要生产要素，对员工的专业技能要求极高。金融机构依靠专业的团队对所收集的个人金融信息进行一系列整合分析，信息主体无从得知甚至无法理解其内在的原理和具体的操作方式，仅凭信息主体自身能力显然难以维护纷繁复杂的个人金融信息安全；第三，个人金融信息侵权纠纷的复杂性。大数据时代，金融机构借助科技的力量提高自身处理个人金融信息的能力，同时也使对个人金融信息的侵害变得更为隐蔽。对于信息主体而言，很难发现金融机构对个人金融信息的侵权行为，也难以识别侵权行为的来源和关键侵权证据的获取。在此情况下，信息主体很难通过现有的救济途径维护自身利益。基于以上分析，笔者认为应当在个人信息保护的基础之上对个人金融信息予以特别保护，既应当遵循个人信息保护的基本原则保护个人金融信息，还应当结合个人金融信息的独特性对其进行倾斜保护。2.3我国当前个人金融信息保护的现状分析2.3.1个人金融信息立法保护现状分析我国现行法律体系中，缺乏关于个人金融信息保护的专门法，关于个人金融信息保护的规定散见于以下法律法规中，笔者对其进行梳理如下：《中华人民共和国民法典》[《中华人民共和国民法典》111条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。]该规定对公民个人信息的保护作出具体规定，承认公民个人信息是一项民事权利，确认其法律地位以及性质，使得信息主体在权利受到侵害时能采取有效的救济措施。《中华人民共和国民法典》111条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《电子商务法》也对个人信息保护作出要求，将个人信息安全作为保护的客体。该法第5条为电子商务经营者关于个人信息保护设定义务；第23条、24条为电子商务经营者关于个人信息收集、存储和利用作出具体要求。《网络安全法》对个人信息的保护体现在采集、使用到管理的环节，明确责任主体的责任和义务。主要分为五大方面。一是数字信息的采集和使用，明确了合法、正当和必要的“三原则”和信息征集要求，以及两项禁止性规定。不能泄露、篡改、损毁收集的个人信息，未经同意不得提供他人信息。《电信和互联网用户个人信息保护规定》进一步完善和明确电信业和互联网行业对个人信息收集和使用的安全保护措施。以下为各类规范文件对个人金融信息保护相关规定：2011年《中国人民银行业金融机构做好个人金融信息保护工作的通知》中，首次对个人金融信息的概念与范围予以明确。同时针对金融机构收集、存储、使用、流转个人金融信息等过程行为进行规范和约束，以更好地保护个人金融信息安全。2012年全国人大常务委会发布《关于加强网络信息保护的决定》，该《决定》围绕网络服务提供者与不同主体的业务往来为公民电子信息保护划定边界，并且根据业务行为的不同，对网络服务提供者作出更为细致的要求。2018年发布的《银行业金融机构数据治理指引》，该《治理指引》旨在加强金融机构对数据的治理，对数据治理框架予以构建，对金融机构管理的数据进行细致规定，从而提高金融机构治理数据的质量的同时，实现数据的经济价值。2019年发布的《金融消费者权益保护实施办法》中，为个人金融信息主体增设了多项权利，有利于规范金融机构收集、使用、分析个人金融信息行为，也有利于个人金融信息保护制度的完善。2020年中国人民银行发布《个人金融信息保护技术规范》，该规范从技术手段和管理手段两个方面，对个人金融信息保护作出细致要求。为金融机构加强个人信息保护的合规建设和金融监管机构的监督、执法工作提供参考。从上文对个人金融信息法律保护的立法脉络的梳理可以看出，很多法律法规从多个角度和层次地对个人信息保护作出规范和引导。但遗憾的是，我国尚未形成系统性保护框架，立法上的缺失，以及现有的法规零散且内容极不完善，难以满足大数据时代下个人金融信息所面临的风险需求。首先，我国缺乏专门的个人信息保护法。现有关于个人金融信息的法律多为的部门规章和行业规范位阶较低，效力层次不高；其次，各方主体权利义务不明确。现有的法律多为原则性规定，缺乏可操作性，信息主体所享有的权利以及承担的义务均未作明确界定，导致公民个人金融信息被非法侵害时，缺乏相应法律依据，难以有针对性地解决个人金融信息的保护问题；此外，现行法律对个人金融信息的范围界定不清。大数据时代，个人金融信息的内容日渐繁杂，现行法规对个人金融信息的界定尚不足以全面地保护个人金融信息权益；最后，法律责任规定不明，救济机制缺失以及侵权惩罚规定不清。关于相关责任主体的责任划分，责任划分后结果的承担，以及具体明确的惩罚及救济的方式和标准等方面也缺乏明确的法律规定。这使得实务工作中个人金融信息难以得到切实有效的保护。2.3.2个人金融信息监管现状分析回顾我国金融监管体制历史发展进程，可将其划分为三个阶段：图2-1“一行一委两会”的监管体制下，中国人民银行履行宏观审慎监管职能，加强顶层设计与统筹指导，完善监管基本规则体系。证监会和银保监会履行微观审慎监管，依据各自业务属性分别设立金融消费者保护机构，负责金融交易行为的相关监管工作。金融消费者保护机构负责实施具体的监督管理措施，监督金融机构履行保障信息主体金融信息安全的义务，切实维护金融信息主体的权益。同时，金稳会的职能还在于加强宏观审慎管理和微观审慎监管的统筹协调，即在监管过程中监管机构之间出现难以决断的利益问题时，金稳会对其予以协调和平衡，从而增强金融监管的统一性和协调性。但总体而言，我国的监管体制仍存在瑕疵，主要体现为以下几方面：第一，缺乏关于相应职责权限与管理范围的法律规定。由于各监管机构的职责不明确，难以调动各监管机构履行责任的积极性。第二，监管混乱，分业监管痕迹犹存。分业监管体制下，不同的监管部门之间存在监管重叠，缺乏有效的信息交流机制。此前我国三会内部分别成立保护金融消费者的专门机构，在各机构内部形成金融消费者保护工作的部门，而不同监管部门难以实现和完善跨领域、跨专业的监管，各部门在开展监管工作时畏首畏尾、效率低下，行政管制措施僵硬、单一，进而对金融机构的侵权行为无法有效规制。第三，对金融机构经营行为的监管力度不足。当前我国金融市场存在众多侵犯金融消费者利益的行为，如金融机构私自出售、泄露或非法使用消费者的个人金融信息。第四，我国目前处于转型时期，金融系统被赋予过多的政治职能，且缺乏完全独立的金融消费者保护机构，在这样的现实环境下，金融监管制度整体上偏向于保障金融机构和金融体系的安全，金融消费者的合法权益难以得到切实保障。2.3.3个人金融信息救济机制现状分析基于当前金融纠纷的解决现状，我国已初步构建起一套多元化的金融纠纷解决机制。在个人金融信息纠纷中，我国主要采取以下方式解决个人金融信息争议：一是与金融机构协商；二是向有关监管部门申诉；三是请求消费者协会协调；四是根据此前达成的仲裁协议提请仲裁机构仲裁；五是向人民法院提起诉讼。然而实践中，公民个人金融信息救济面临困境。第一，金融机构与信息主体都倾向于争取各自的利益，内部协商往往无法给公民带来满意的结果。第二，目前我国监管模式存在多头监管、职责交叉或重叠的情况，缺乏统一得投诉和纠纷解决机制，增加了投诉协调的难度，存在相互推诿的现象。第三，金融信息纠纷具有专业性强，情况复杂。消费者协会受限于专业人员缺乏、资金来源等现实因素，所以在实践中消费者协会大多不能解决。第四，事实上，许多信息主体和金融机构对仲裁缺乏一定的了解和认识，信息主体往往会通过诉诸法院寻求权威的解决方式来解决侵权纠纷。再者，金融机构可能会利用格式条款规避信息主体的仲裁意愿，从而动摇以当事人合意为基石的仲裁协议的效力。最后，司法诉讼是消费者在不得已的情况下选择的一种救济方式，但通过此种方式维权面临举证难、时间和费用成本高等问题。第3章个人金融信息保护域外制度的概况和启示上文对我国当前个人金融信息保护的现状进行分析。主要存在以下问题：在立法方面，我国尚未形成系统性的法律保护框架；在监管方面，我国对金融业的监管主要依靠“一行一委两会”，但现阶段该监管体系并未对个人金融信息形成有效监管；由于立法的缺失和监管的不到位，信息主体通过现有的救济途径维护自身利益的效果欠佳。对于个人金融信息保护问题，欧美发达国家也进行了大量探索与研究。笔者认为，针对我国当前个人金融信息保护存在的问题，有必要对域外个人金融信息保护制度予以分析研究，针对性地对域外个人金融信息保护制度予以借鉴，以探寻适合我国的个人金融信息保护制度。因此，笔者选择以下具有代表性的域外个人金融信息保护制度进行经验分析，以寻求启示：3.1美国个人金融信息保护制度的概况对于个人金融信息的保护，美国采用的是分散立法的模式。在公共领域，个人金融信息保护采取分散立法保护，由政府负责收集、处理和利用个人信息；而在非公共领域，个人金融信息的保护采用行业自律模式，由行业规范引导和实现信息自由流通。这些零散的法律以分类保护为原则，发挥监管部门职责作用，形成一套完整的法律体系，对个人金融信息进行全覆盖地保护。3.1.1分散立法美国于1974年颁布《隐私权法》，该法案以个人信息保护为中心，具体规定了公民对个人信息享有的权利以及救济方式。同时也对政府机构如何依法收集、储存和利用个人信息作出细致规定。该法是保护信息隐私的根本大法，为后续个人信息相关立法奠定基础。1999年制定的《金融服务现代法》通过规定金融机构处理个人私密信息的方式，明确了对非公开个人信息的保密性和安全性。2003年《公平和正确信用交易法》进一步细化个人金融信息保护措施，强化信息主体的权利，同时也细化机构保障个人金融信息安全的义务。2012年《消费者隐私权利法案》，该法案加深对互联网领域的金融消费者隐私安全的保护，同时强化政府的监管职责，为金融消费者的信息安全提供强有力保障。3.1.2行业自律除了上述零散的个人金融信息保护法律法规之外，美国还倾向于采取行业自律政策保护个人金融信息。美国的行业协会发展成熟，行业协会通过制定行业规范约束和管理企业。行业自律模式下，政府对金融机构采取相对宽松的态度，减少行政干预和过度的法律限制，通过行业协会的监督和企业的自律，保障个人金融信息的安全，实现金融业平稳有序发展。3.1.3经验分析分散立法保护的模式下，国家针对不同领域的特点予以不同的立法保护，可以精准有效地覆盖社会生活各个层面。行业自律模式可以对日新月异的客观情势作出迅速反映，及时调整行业行为规则、规范和标准，从而规避立法的滞后性。美国崇尚市场自由，以市场导向原则，在非公共领域采用行业自律模式，既保障个人信息安全的，并且实现金融信息的流动。这一模式对鼓励和推动信息密集型的金融业具有积极作用，对我国个人金融信息法律保护制度的完善具有借鉴意义。3.2欧盟个人金融信息保护制度的概况在个人金融信息保护方面，欧盟及其成员国采用统一立法模式，在OECD的指导原则下，各成员国通过本国相关立法对个人金融信息的各个领域进行系统而全面地规制。3.2.1统一立法1995年，欧盟制定了OECD指南创立了一系列数据控制者在处理个人数据时应当遵循的八大原则，确定个人信息保护的最低限度标准，是一部奠基石式的条约文本。该原则对各成员国具有普遍约束力，成员国在OECD的基础上对本国内个人信息保护法进行相应的修订。限制收集原则（collectionlimitation）：个人数据的收集应受到限制，数据应当通过合法、公平的方式获取，适当时，应当在个人知晓和同意的情况下进行；质量原则（dataquality）：个人数据应当与其使用目的相关、并在目的范围内保持完整、准确和及时更新；目的明确原则（purposespecification）：个人数据的用途必须在收集之前指明，使用数据的行为都必须符合该用途或是不相符的目的应在每次变更时予以说明。限制使用原则（uselimitation）：数据披露应当遵循所指明的目的，除非已得到个人的同意或者是数据控制者有合法授权；安全保障原则（securitysafeguards）：采取合理的安全措施防止数据的丢失或被未经授权地获取、销毁、使用、修改和披露。公开原则（openness）：出具处理数据的相关政策，内容包含使用数据的目的、数据控制者的身份等信息；个人参与原则（individualparticipation）：个人有权从数据控制者处基于自己的请求，获得关于自己数据的信息；问责制（accountability）：数据控制者有责任保证处理数据遵循原则。这一指令建立起较为完善的个人信息保护体系。于是，欧盟各国的个人信息保护法的基本框架得以统一。2018年《通用数据保护条例》取代1995年的《数据保护指令条例》，成为欧盟统一的个人信息保护规则。该《保护条例》扩大适用地域范围，将所有成员国纳入规制范围。并且只要经传输、处理和管理的数据涉及欧盟境内成员都必须遵守该条例；赋予公民更多的权利。对于自身的数据，赋予用户更多的处理权；规定了企业在对用户的数据收集、存储、保护和使用时新的标准；赋予了欧盟和成员国监管当局进行矫正性处罚和行政罚款的职权，从而加大其对侵害个人信息的违法行为的惩罚力度；创设统一而复杂监管模式，以实现对个人信息保护的集中高效监管。3.2.2经验分析统一立法模式下，欧盟侧重保护信息主体的权利。国家通过法律增设金融机构的义务以此约束其收集、存储和利用个人金融信息的行为，同时设立监管机构监督金融机构履行自身义务，引导其有序发展。3.3对我国个人金融信息保护制度的启示在个人金融信息保护立法上，美国与欧盟采用两种不同的立法模式，两种立法模式各有侧重。统一立法的模式下建立一套完整的法律规范，能够有效平衡和协调个人利益、国家利益和社会公共利益三者间的关系。使公民有法可循，也让对个人金融信息的侵害行为的处罚和救济有法可依。法律固有的强制力、执行力和震慑力能够保障法律规则的贯彻执行，严惩违反法律的行为。分散立法的模式以发挥金融行业协会和行业联盟等自律组织的作用为前提，体现较强的灵活性，能够根据市场的变化和高新技术的发展，采取较为灵活的政策，适时调整行业规则，以应对大数据时代所带来的对个人金融信息安全的调整，从而促进金融业的发展。就个人金融信息立法保护，美国与欧盟对我国个人金融信息立法保护模式均有借鉴意义。我国可以将两种模式结合。统一立法模式为主,建立一套完整的法律规范为指导。法律具有高度的权威性和普遍的拘束力，其权威性是行业自律政策无法比拟的。我国作为一个发展中国家，而且还是人口大国，国民素质参差不齐，选择统一立法更能有效和全面地保护个人金融信息。分散立法为辅，针对不同领域的特点，对个人金融信息保护问题作出更有针对性的详细规定。同时行业行为规范可以对日新月异的客观情况作出迅速反映，及时调整，从而规避立法的滞后性。从而形成系统性的法律保护框架。就个人金融信息监管，我国对金融业的监管除了依靠“一行一委两会”外，还可以借助行业协会的力量。行业协会通过科学的内部管理以及行业规范履行对金融机构的监督职能，以实现对公民个人金融信息安全的保护。就个人金融信息救济机制，美国与欧盟对我国个人金融信息救济机制的完善均有借鉴意义。统一立法模式下，完善的个人信息保护体系明确了信息主体的权利，注重保护信息主体的权利；设置了专门的执法机构，对金融机构的违法行为进行严厉的惩戒，为公民个人金融信息主体的权益予以强有力的保护；与此同时监管机构还负责处理信息主体的投诉问题，并为信息主体提供相关咨询服务。行业自律模式下，行业协会指导消费者协会投诉、和解和调解机制，以公正、高效、便捷处理金融信息权纠纷。第4章个人金融信息法律保护的完善建议如前所述，结合我国个人金融信息保护制度的现状及存在的问题以及域外制度的概况和启示，笔者对建立一套适合我国国情的个人信息保护制度提出以下建议。4.1完善个人金融信息保护法律制度根据整体上统一立法，内容上分类保护的思路，构建统一的个人信息法律保护体系。首先，我国缺乏专门的《个人信息保护法》，应当加快《个人信息保护法》的制定。在《个人信息保护法》中应当纳入个人金融信息保护的规定，作为该部法律的一个章节，既能为信息主体提供法律依据，也能提高国民对个人金融信息的重视程度。其次，鉴于大数据时代下，个人金融信息极具的专业性与复杂性，补充和完善个人金融信息保护的相关法规尤为必要，从而形成”统一法+部门法“的法律保护体系。从而在《个人信息保护法》的框架之下，建立配套的个人金融信息保护法律体系，对个人金融信息保护问题作出更有针对性、更为明确的详细规定，从而解决个人金融信息保护立法零散、缺乏操作性的问题。在立法进程中，可以从以下几点完善《个人信息保护法》：第一，划分个人信息的类别，并对个人金融信息的概念予以界定。不同行业对个人信息的定义不同，与其他行业所涉及的个人信息相比，个人金融信息具有高度的敏感性，一旦发生泄露，将造成极大危害。因此，相较于一般个人信息，个人金融信息需要进行特别界定，并确定个人金融信息的内涵和外延。第二，明确个人信息主体权利。个人信息主体有权按照自己的意思支配、和控制自己的信息，并有权排除他人的侵害。个人金融信息作为个人信息的一种，金融信息主体也应当对其享有充分的权利。信息主体有权按照自己的意思支配和控制自身的金融信息。当个人金融信息受到金融机构侵害时，信息主体有权请求金融机构停止侵害并予以补偿。在立法进程中，可以从以下几点完善部门法：第一，确定金融机构作为义务主体的地位，并细化义务内容。个人金融信息为金融机构直接或间接收集和控制，因此金融机构应作为保护个人信息的主要义务主体。在大数据时代背景下，个人金融信息传播范围不断扩大，互联网提供商、金融服务商等主体也需要承担相应的保护义务。具体义务如下：告知明示义务。金融机构应当以合理方式提前告知信息主体其收集个人金融信息的目的，并充分告知信息主体其存储和利用个人金融信息的范围；合法收集义务。未经信息主体同意的情形下，金融机构无权对个人金融信息予以收集。取得信息主体授权后，金融机构也应当在合理范围内予以存储和利用；安全保护义务，金融机构应当严格规范自我，并优化机构内部管理机制，以确保个人金融信息安全。第二，明确法律责任。大数据背景下，个人金融信息使用过程可追溯性差。因而，应当明确相关主体的责任划分，以及责任划分后结果的承担，具体明确处罚及赔偿的方式和标准。在责任主体认定难以确认时，可以规定适用共同侵权的连带责任，从而有利于信息主体主张损害赔偿的实现。引入惩罚性赔偿机制，处罚标准范围更加明确，加大处罚力度，使消费者能获得更多的赔偿，使其权益得到更好的保障。第三，法律应当明确监管机构的监管职责。通过规定监管机构的监管责任与义务，从而达到对金融机构有效监管的目的。4.2完善个人金融信息的监管机制4.2.1完善行政监管体制“一行一委两行”行政监管体制职责不清、权限交叉，造成监管上的混乱，难以有效保护个人金融信息安全。因此，应当对个人金融信息保护的行政监管体制予以完善，笔者建议从以下几方面予以完善：第一，完善相关部门规章，将各监管机构的职责明确化、具体化。如：明确监管边界，以适当的监管边界行使适度的监管手段确保金融业的发展和个人金融信息的安全。第二，各监管部门之间应当加强信息交流共享机制，为各监管机构及时调取所需信息提供便利，实现信息交流与共享。第三，成立专门的个人金融信息保护机构，由该机构专门和统筹负责个人金融信息保护工作，为个人金融信息的保护提供强有力的机构保障。第四，明确监管机构的执法标准，同时加大监管机构的执法力度。监管机构严格执法才能对金融机构产生震慑力，进而规范金融机构的行为，以保障个人金融信息的安全。4.2.2建立个人金融信息保护行业自律模式大数据时代下，高速发展的金融业客观情势不断变化，使得个人金融信息安全具有不确定性，行业协会自律保护模式具有更高的灵活性和更快的时效性，能够及时、快速的应对变化的客观情况，弥补法律法规和行政监管的滞后性。我国目前缺乏专门的个人信息保护协会，结合我国国情，本文对建立行业协会自律模式提出以下建议：第一，明确行业协会的法律地位及合法性。行业协会具有相对于政府的独立性、自主性和自治性，可以在法律规定的范围内自主活动。第二，建立完善的行业自律机制及认证制度。明确协会成员的权利义务及惩戒程序。第三，建立详细的行业自律标准和程序。制定不低于法律法规要求的个人金融信息的收集、存储、使用标准的规范和标准。第四，引入第三方评议和监管机制，充分听取成员的意见建议。防范话语权较重的金融企业为自身发展利益而左右自律标准，从而出现垄断情形，妨碍个人金融信息的保护。4.2.3健全金融机构对个人信息的管理机制金融机构应当自觉接受监管部门的监管，并在监管部门的指导下制定统一的客户个人信息管理规章制度，规范各业务环节的操作规程。第一，对金融企业收集、存储、利用个人信息流程制定实操性强的标准和规范；第二，对个人金融信息实行分级授权管理制度。规定本机构员工调取信息的范围、程序和权限，加强对各个环节的风险监控，明确保密岗位职责和权限，严格审批涉及个人金融信息的查询和复制。对因个人管理原因导致的信息泄露，根据后果的严重程度，予以相应程度的处罚；第三，加大对信息保护的监督检查力度，强化问责制度。金融机构内部信息管理部门负责监督金融机构各个环节个人信息使用情况，及时发现和纠正工作中的风险，并采取措施修复和整改。4.3优化消费者权利救济的方式第一，优化金融机构与信息主体之间的协商处理机制。金融机构应当以积极姿态与信息主体协商，尽可能满足信息主体的合理需求，及时对个人金融信息侵权行为予以处理。此外，金融机构应当建立合理的处理机制，针对个人金融信息侵权行为的发生及时调整和完善自身业务，得以从源头化解矛盾，节约社会资源。第二，提升消协的专业性。大数据时代下，个人金融信息安全问题具有复杂性和隐蔽性，给消费者协会提出新的要求。消协应当加强与金融行业协会、金融监管部门的交流和协作。在行业协会的指导下提高消协工作人员专业知识，提升消费者协会专业化解决个人金融信息纠纷的效能。第三，发挥仲裁的作用。应当发挥仲裁对个人金融信息的保护作用。我国金融仲裁机构设置较为完善，具有私密性强、一裁终局和程序便捷的特点。信息主体应当转变固有观念，积极选择和接受仲裁方式维权。金融机构也应当支持和推广仲裁制度，在格式条款中将仲裁作为解决纠纷的方式之一。同时仲裁机构也应当进行针对性的调整，设立专门的个人金融信息纠纷仲裁程序并缩