一、问题的提出

当下，互联网金融方兴未艾，相比于传统金融业，互联网自身存在的风险和安全隐患，如各种病毒、木马、钓鱼和网络攻击，势必会增加个人信息被窃取、滥用和泄露的风险，互联网金融消费者个人信息保护工作的形势更加严峻。在如今的大数据时代，互联网金融平台记录了大量人们在网络生活中留下的数据痕迹，如个人姓名、身份证号码、住址、联系方式、银行卡账号，以及在交易过程中产生的信用记录、消费行为和投融资情况等基础数据。一旦这些个人信息遭到窃取、滥用和泄露，用户的隐私和资金安全都会受到威胁。要保障互联网金融消费者的权益，加强互联网金融中的个人信息保护势在必行。

二、现行法律体系下互联网金融中的个人信息保护状况

(一)“个人信息”的法律内涵界定不清

对“个人信息”法律内涵，学术界观点不一，而现有法律中也没有统一标准。2011年的《规范互联网信息服务市场秩序若干规定》、2013年的《电信和互联网用户个人信息保护规定》、2017年的《网络安全法》均采取“身份识别”标准作为个人信息的保护边界，如《网络安全法》第七十六条指出：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”但2012年全国人大常委会《关于加强网络信息保护的决定》中规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”，并未区分“个人信息”和“个人隐私”。2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，没有规定“身份识别”标准，而2017年两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，除了规定“身份识别”标准，还将个人信息的范围扩大到“反映特定自然人活动情况的各种信息”。可见目前我国的不同法律部门对“个人信息”的保护范围不同，对“个人隐私”“个人信息”和“与个人有关的信息” 的法律内涵尚未厘清。

(二)缺乏个人信息保护的统一立法

目前，我国有关互联网金融中的个人信息保护的法律规范在数量上已经形成一定规模，但这些法律规范较为零碎，层次不一，规则笼统，部分内容重复或冲突，尚无个人信息保护的专门立法进行统一。其中，金融业监管中涉及个人信息保护的法律规范，如《储蓄管理条例》《商业银行法》《证券法》《保险法》，多是原则性立法，缺乏具体条款，可操作性不强，对于侵害个人金融信息的行为缺乏明确的认定规则和惩罚措施。2011 年中国人民银发布的《关于银行业金融机构做好个人金融信息保护工作的通知》虽然规定了银行业收集、保存、使用和对外提供的基本规则，但它不能覆盖全部的金融机构。而2013 年国务院发布的《征信业管理条例》中规定的征信机构的业务规则，仅针对个人信用信息，尚未扩及个人的全部金融信息。并且金融监管中的个人信息保护的规范多为部门规章、规范性文件，效力层次较低。2017年3月通过的《民法总则》第111条首次将个人信息权明确列为公民人格权，为个人信息权提供了最高民事法律保障，具有里程碑意义，但《民法总则》也并未规定“个人信息”的法律内涵。而2017年6月实施的《网络安全法》，虽整合了已经实施的法律法规中对于个人信息保护的规定，但作为我国首部网络安全专门性法律，其侧重点仍然在网络安全上，也同样缺乏对个人信息保护的系统性规定。

W只与选取测试参量有关,当这些参量取通常值时:B=1 Hz,θ=0.9,ppd=1 mW,计算出陀螺灵敏度与腔体直径D和品质因数Q值的关系(图1)。所以,制备一种大直径、高Q值的谐振腔,通过提高DQ乘积的形式,可以有效的提高陀螺的灵敏度。

(三)个人信息被侵害的法律救济机制不完善

在现行的法律体系下，无论是传统金融业监管，还是网络安全监管中对个人信息的保护，都存在重行政、刑事处罚，轻民事归责和救济，重事后惩戒，轻事前预防的倾向。个人信息被侵犯的受害者往往需要依赖于行政机关或检察机关向侵权人追究行政、刑事责任。在发生信息泄露、滥用用户个人信息等信息安全事件后，用户又经常遇到投诉无门、监管部门之间推诿扯皮的问题；在遇到网络安全问题后，用户不知该向哪个行政部门举报和投诉，即使举报了也往往不予处理或者没有结果。而刑法的定罪门槛较高，对于大多数人而言，其个人信息被侵害并不会带来侵权人刑事责任的承担。在民事维权上，虽然在《民法总则》正式确立个人信息权后，受害人可以直接以个人信息被侵犯为由提起民事诉讼，但侵权责任的认定仍然存在困难。侵犯个人信息不属于《最高人民法院关于民事诉讼证据的若干规定》第四条规定的举证责任倒置的情形，仍然遵循“谁主张，谁举证”的一般原则，但在互联网金融领域，由于信息的严重不对称，用户往往难以举证。甚至，由于对其个人信息有所控制的互联网金融机构可能不止一家，用户虽然发现自己的个人信息被泄露，也无法确定被告而难以启动诉讼程序。而且我国还未形成完善的侵犯公民个人信息的民事救济机制，对于个人信息侵权主体的责任承担方式，司法实践中个人信息受害者多数情况下只能得到停止侵害、消除影响等名誉性补偿，经济赔偿和精神损害赔偿方面的请求往往得不到司法机关支持。

三、互联网金融中的个人信息保护法律体系构建

(一)对“个人信息”的界定

互联网金融中的个人信息保护作为金融消费者权益保护的重要内容，应属于“一行三会”下的金融消费者权益保护机构的职责范围。从“硬件”条件来说，对于互联网金融平台运营过程中涉及个人信息的技术环节，应制定统一的最低标准，并将这种最低标准作为从事互联网金融业务的准入条件，促使互联网金融机构切实提升技术安全水平；从“软件”条件来说，应要求互联网金融机构依法建立有效的内控制度，包括但不限于：制定个人信息安全控制流程，明确各岗位人员信息管理的职责和权限，对个人信息的录入、查询、转移实行严格管理等。此外，对违法收集、使用、泄露个人信息的互联网金融机构及其工作人员，金融消费者保护机构应建立有效的追责机制，依法采取相应的行政处罚措施。

(二)立法模式的选择

同时，还应该发挥好行业自律组织的功能。中国互联网金融协会应建立行业消费者个人信息受侵犯的投诉处理机制，依法对会员展开调查，对违反协会章程、自律公约、技术标准的会员实施惩戒，将行业组织的监督作用落到实处。

然而由于互联网金融的特殊性，在统一的个人信息保护法之外，还需要进行专门的法律规制，要对互联网金融中的个人信息保护进行全流程的设计，包括事前的防预、事中的有效监督、事后救济和处罚。因此，我国的金融管理部门应该与电信主管部门合作，制定具体的实施细则以配合《个人信息保护法》在互联网金融领域的施行，形成以个人信息保护的基本法律为核心，其他法律法规相配合，通过部门规章、规范性文件具体实施的互联网金融中的个人信息保护法律体系。

果蔬在发酵过程中，受化学物质、微生物以及酶等相关因素的影响，导致质地变软，硬度降低，是影响消费者对制品食用品质满意度的重要因素之一。

由于美国的分行业立法模式，是以充分发挥金融业自律组织的协调和示范功能为前提的，这与当前我国金融业自律组织发展刚刚起步的现状不一致，在我国缺乏相关法律环境和实践经验的情况下，采用美国模式是相对缺乏效率的。而欧盟的统一立法模式，与我国偏向于大陆法系的立法传统相一致。因此，我国应该制定统一的《个人信息保护法》，全面地规定个人信息保护的相关定义、个人信息处理的基本原则、数据主体的权利、控制者和处理者的义务、安全保障措施、信息转移的规则、监管机构、救济途径、责任承担方式、处罚措施等。

然而，网络技术的日新月异导致监管的频率也必须提高，相应的资源投入也会上升。最为理想的解决办法是通过中介机构进行强制性信息安全审计，这是一项能够有效减少监管成本的辅助监管措施。由金融消费者保护机构对符合条件的第三方中介机构发放相应资质证书，要求互联网金融机构定期提交有资质的中介机构依据《个人信息安全规范》国家标准出具的信息安全报告。

(三)多层次、全方位风险治理体系的构建

在构建个人信息保护法律体系时，首先应该明确个人信息的定义，从而确定其保护边界。从世界各国的立法实践以及我国学界的主流观点来看，一般以“身份识别性”作为个人信息的认定标准，即个人信息是指单独或与其他信息对照可以识别特定的个人的信息。这是因为个人信息保护的重点在于信息与信息主体之间的相连与识别性，而非单纯信息本身，与个人脱钩之信息，也就称不上个人信息。至于符合识别性标准的信息，既可能是直接识别个人信息，如姓名、肖像或形象、声音等，又可能是间接识别个人信息。其中，间接识别个人信息是通过与其他信息关联方才符合识别性标准的。例如中国人民银行2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》中规定，“衍生信息”指个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息，就可以理解为采取了“间接识别”标准。而在大数据时代，为了处理好信息的自由流动、大数据的开放和应用与个人信息保护之间的平衡，由于间接识别个人信息和主体身份之间的关联较弱，可以对其采取弱于直接识别个人信息的保护。比如欧盟的《一般数据保护条例》规定将个人信息“假名化”以后，数据控制者可以将数据用于收集该数据时所确定目的之外的其他目的。

(4)道路周边状况，除以上三个反映区域生态环境的重要指标外，马拉松运动对城市道路以及沿途条件有一些独特要求。因为城市马拉松对城市形象的展示与城市文化的传播具有积极的作用。所以，马拉松线路应涉及该城市区域内能反映城市历史、城市风貌与城市精神的主要景点，沿途秀丽的风景中既要有历史遗址的厚重文化，又要有日新月异的时代风貌。

高频抗原是指发生频率高于90%的抗原[1]，高频抗原对应的同种抗体，即高频抗原抗体，发生率很低。在不规则抗体鉴定试验中，高频抗原抗体常表现为谱细胞全阳性且凝集强度基本一致，而自身对照为阴性，给抗体鉴定带来一定的困难。本文总结国内外报道的大多数高频抗原抗体的特点，并分析其鉴定方法和输血策略，指导临床更安全、有效地输血。

在这个例子中，译文中添加一个前端指代词(it)和指示词（of which）。所添加的指代词的原因之一是与中文语法系统更好保持一致。这一翻译使得时态更为清晰。

纵观现在世界各国有关“金融隐私”和“个人信息”保护的立法，以美国的分行业模式和欧盟的综合性模式为代表。简单来说，美国的模式就是由不同行业的监管部门制定相关法律，结合行业自律规则，对个人信息进行有针对性的保护。而欧盟在2016年4月通过了商讨近四年的《一般数据保护条例》(General Data Protection Regulation，GDPR)，通过统一的立法对个人信息加以保护。

总之，一方面应从外部建立多层次的监管体系，由行政监管部门、有资质的第三方评估机构、行业自律协会共同监督互联网金融企业的个人信息保护情况，另一方面，应从互联网金融企业内部建立有效的个人信息安全保护系统，对安防技术和内控制度加以要求。

四、结语

个人信息保护与网络安全、国家数据主权都密不可分，日益成为各国立法关注的焦点。随着信息化、数字化在全球的深入发展，谁先提高自身个人信息保护的水平，谁就必然会在未来的国际竞争中占据优势。而互联网金融的发展在我国的“网络强国”战略中具有重要地位，个人信息在互联网金融中的风险更加的多样化、复杂化，因此我国应积极抓住大数据时代的历史机遇，借鉴欧美国家的立法经验，发展与互联网金融发展相适应的个人信息法律保护体系，争取发挥后发优势，助力我国“网络强国”的建设。

(华东政法大学国际金融法律学院，上海 201620)

参考文献：

[1] 全国人民代表大会常务委员会：《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》，中国人民代表大会网，2017年12月24日.

[2] 刘斌：《大数据时代金融信息保护的法律制度建构》，载《中州学刊》2015年第3期.

[3] 任龙龙：《大数据时代的个人信息民法保护》，对外经济贸易大学博士学位论文，2017年.

[4] 洪海林：《个人信息的民法保护研究》，法律出版社 2010 年 8 月版.

[5] 王融：《<欧盟数据保护通用条例>详解》，载《大数据》2016年第4期.

[6] 侯小锋：《欧美国家金融隐私保护制度比较及对我国的启示》，载《金融发展评论》2012年第10期.

[7] 毛玲玲：《发展中的互联网金融法律监管》，载华东政法大学学报2014年第5期.

[8] 王锐：《云时代的消费者金融信息安全监管模式探讨——美国个人金融信息隐私权保护机制借鉴》.

[9] 按照国家标准化管理委员会2017年第32号中国国家标准公告，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》于2017年12月29日正式发布，于2018年5月1日实施。