■周之田

一、個人金融信息保護(hù)中政府監(jiān)管權(quán)的內(nèi)涵

金融業(yè)務(wù)的財產(chǎn)屬性使金融業(yè)機(jī)構(gòu)在收集和使用個人金融信息方面具有天然的優(yōu)勢。在金融科技的推動下，一方面，金融與數(shù)據(jù)深度綁定，金融業(yè)機(jī)構(gòu)獲取、加工信息的能力與意愿大幅提升；另一方面，互聯(lián)網(wǎng)金融等業(yè)態(tài)的普及帶來了金融消費者數(shù)量的快速增長。二者的疊加使金融業(yè)機(jī)構(gòu)對個人信息的收集與利用行為日益泛化，信息的收集和利用活動與個人金融信息保護(hù)之間的關(guān)系愈發(fā)緊張，個人金融信息保護(hù)逐漸成為社會關(guān)注的熱點問題。其中，政府監(jiān)管作為個人金融信息保護(hù)的核心環(huán)節(jié)承擔(dān)起著愈發(fā)重要的職能，由此產(chǎn)生的個人金融信息保護(hù)中的政府監(jiān)管權(quán)問題，則具有了研究的理論與實踐意義。

個人金融信息是指自然人在辦理金融業(yè)務(wù)及享受金融服務(wù)中產(chǎn)生或留存的賬戶信息、財產(chǎn)信息、借貸信息、交易信息以及自愿和非自愿交由金融業(yè)機(jī)構(gòu)加工得到的衍生信息，包括了金融業(yè)機(jī)構(gòu)獲取、保存和加工的自然人個人金融信息的總和，是一個廣泛的范疇。

個人金融信息的保護(hù)是一項系統(tǒng)性工程，包括個人金融信息保護(hù)立法、法律實施以及權(quán)利侵害后的司法救濟(jì)等。法律實施概念下的政府監(jiān)管則在個人金融信息保護(hù)中具有銜接立法與司法的聯(lián)結(jié)作用。政府監(jiān)管承擔(dān)著實現(xiàn)個人金融信息保護(hù)立法和確保金融業(yè)機(jī)構(gòu)落實行為規(guī)范的任務(wù)，并保護(hù)信息主體享有的權(quán)利，對侵權(quán)行為進(jìn)行行政救濟(jì)。對個人金融信息保護(hù)中的政府監(jiān)管行為進(jìn)行權(quán)力化的提煉，即形成了個人金融信息保護(hù)中的政府監(jiān)管權(quán)概念，被作為行政事權(quán)的一種被確立下來。監(jiān)管權(quán)是行政機(jī)關(guān)依法享有的直接限制市場主體的權(quán)利或者增加其義務(wù)的權(quán)力（盛學(xué)軍，2006），是經(jīng)濟(jì)法語境下國家為解決市場失靈問題而進(jìn)行政府干預(yù)的手段的權(quán)力化和法定化。其授予由立法明確規(guī)定，行使程序受羈束性原則的制約。

個人金融信息保護(hù)中的政府監(jiān)管權(quán)可理解為在金融業(yè)機(jī)構(gòu)收集、利用個人金融信息的活動中，政府根據(jù)立法授權(quán)享有的并以社會公共利益為目的對市場主體開展直接約束和控制行為的權(quán)力。此外，就監(jiān)管權(quán)的內(nèi)容而言，根據(jù)行政法學(xué)的研究，政府監(jiān)管行為包括政府依法律授權(quán)而為的制定規(guī)章、設(shè)定許可、監(jiān)督檢查、行政處罰和行政裁決等行政處理行為（肖興志等，2006）。從權(quán)力形式看，實現(xiàn)上述監(jiān)管行為的監(jiān)管權(quán)可以總結(jié)為規(guī)章制定權(quán)、行政許可權(quán)、監(jiān)督檢查權(quán)、行政處罰權(quán)、行政裁決權(quán)及行政強(qiáng)制執(zhí)行權(quán)等六種。監(jiān)管權(quán)的行使主要通過上述六種權(quán)力對社會經(jīng)濟(jì)個體的行為進(jìn)行直接調(diào)整，實現(xiàn)監(jiān)管目標(biāo)。

需要注意的是，個人金融信息保護(hù)中監(jiān)管的客體應(yīng)按照信息收集、利用主體的不同分為兩類，一是針對金融機(jī)構(gòu)（法律意義上的金融機(jī)構(gòu)）收集、使用以及對外提供個人金融信息的行為進(jìn)行監(jiān)管；二是針對互聯(lián)網(wǎng)金融獲取、加工、轉(zhuǎn)讓與共享個人金融信息的行為進(jìn)行監(jiān)管。這兩種客體所屬行業(yè)有一定差別，對個人金融信息的收集、利用途徑區(qū)別較大，在監(jiān)管上應(yīng)予以區(qū)別對待。而個人金融信息保護(hù)中的政府監(jiān)管權(quán)在這兩類客體中既有共性也有差異，具體而言，其監(jiān)管權(quán)的邊界與內(nèi)容相同，但在行使主體與行使方式上各有特點。

二、個人金融信息保護(hù)中政府監(jiān)管權(quán)的邊界

（一）信息利用與權(quán)利保護(hù)之維

個人金融信息保護(hù)中政府監(jiān)管權(quán)的邊界首先為權(quán)利的邊界，該邊界由信息利用與權(quán)利保護(hù)之間的矛盾運(yùn)動決定。個人金融信息中的權(quán)利保護(hù)主要指自然人對金融數(shù)據(jù)享有的信息自決權(quán)與金融隱私權(quán)。信息自決權(quán)理論①1971年，德國內(nèi)政部委托起草的“聯(lián)邦個人信息保護(hù)法草案”說明中，提出了“個人信息自決權(quán)”的概念，這一概念在德國法院“人口普查案”中被引入一般人格權(quán)并寫入判決說理，確立了個人有權(quán)知曉信息收集者、信息種類、收集目的、收集條件的理念。該判例指出，如不能知曉前述信息，個人將不可避免的傾向于滿足數(shù)據(jù)控制者的潛在期望。因此，法律及監(jiān)管必須保證數(shù)據(jù)主體的個人信息自決權(quán)，這是保護(hù)人格權(quán)的需要。最早由德國提出，核心的權(quán)利束有修正權(quán)、刪除權(quán)、反對權(quán)、拒絕權(quán)等，該權(quán)利要求個人對自身的金融信息享有知情權(quán)，并在此基礎(chǔ)上決定信息收集的范圍以及利用方式、目的等，在一定情況下還可進(jìn)行修改與刪除。而金融隱私權(quán)則屬于隱私權(quán)的一種，是指個人對與其信用或交易相關(guān)的金融信息享有的不受他人非法知悉、利用和公開的權(quán)利（李銳，2012），對金融隱私權(quán)的保護(hù)主要要求知情者對信息主體不愿讓他人知曉的財產(chǎn)、信用等信息的“秘不外宣”。綜上可見，權(quán)益保護(hù)的主要手段為限制信息獲取的數(shù)量與信息利用的方式。

然而，對任何一種權(quán)利的保護(hù)都會產(chǎn)生相應(yīng)的成本。這種成本由權(quán)利保護(hù)的直接成本（執(zhí)法成本）與間接成本（社會成本）共同構(gòu)成。執(zhí)法成本能夠直接顯著的被觀察到，但更為重要的是由于對權(quán)利的保護(hù)減損了信息利用的效率，由此帶來的社會成本的增加。信息與數(shù)據(jù)是信息化社會的基礎(chǔ)性、戰(zhàn)略性資源，其整理與運(yùn)用對于許多行業(yè)尤其是數(shù)據(jù)產(chǎn)業(yè)、金融產(chǎn)業(yè)的發(fā)展具有先決性的意義，對信息的統(tǒng)計與分析亦成為社會管理不可或缺的手段。信息資源匱乏將影響經(jīng)濟(jì)效率，導(dǎo)致政府與個人之間的信息不對稱，出現(xiàn)政府失靈等結(jié)果。

由此可見，信息利用與權(quán)利保護(hù)的矛盾存在此消彼長的關(guān)系。由于信息利用與權(quán)利保護(hù)這兩種利益存在不一致性，在個人金融信息保護(hù)中任何設(shè)計都不可能完全符合這兩種利益，所以，對二者的權(quán)衡主要依據(jù)不同社會發(fā)展階段所追求的發(fā)展目標(biāo)，進(jìn)行不同的利益搭配，以使相關(guān)各方的利益在共存和相容的基礎(chǔ)上達(dá)到合理的優(yōu)化狀態(tài)。就我國個人金融信息保護(hù)現(xiàn)狀而言，信息利用與權(quán)利保護(hù)存在著較為嚴(yán)重的利益失衡，權(quán)利保護(hù)長期被邊緣化以便完成相關(guān)產(chǎn)業(yè)的資本積累。我國金融和數(shù)據(jù)的相關(guān)行業(yè)已進(jìn)入從“增量”轉(zhuǎn)向“提質(zhì)”發(fā)展的階段，應(yīng)加強(qiáng)服務(wù)意識與合規(guī)意識，做好個人金融信息保護(hù)工作，才能夠增強(qiáng)產(chǎn)業(yè)自身的競爭力，才能實現(xiàn)產(chǎn)業(yè)發(fā)展和信息利用的可持續(xù)化。

（二）政府干預(yù)與市場自由之維

個人金融信息保護(hù)中政府監(jiān)管權(quán)的邊界其次為自由的邊界，也就是市場自由，該邊界由政府干預(yù)與市場自由之間的矛盾運(yùn)動決定。市場是一種自發(fā)秩序，在商業(yè)、工業(yè)等經(jīng)濟(jì)領(lǐng)域能夠通過價格進(jìn)行資源配置。但市場不是萬能的，“經(jīng)濟(jì)人”為市場配置資源帶來效率，但也是其非效率的根源，政府干預(yù)因此具有合理性，干預(yù)逐漸成為政府履行經(jīng)濟(jì)職能的重要表現(xiàn)。然而，干預(yù)會產(chǎn)生非生產(chǎn)性的資源耗費，增加企業(yè)的內(nèi)部控制及合規(guī)成本。正如學(xué)者指出的，個人金融信息保護(hù)制度是一種消極的保護(hù)制度，其主要是為了保護(hù)信息不被任意利用（李振林，2017）。這種保護(hù)制度不產(chǎn)生積極的經(jīng)濟(jì)效益，一定程度上限制了企業(yè)的經(jīng)營自由。理論上說，監(jiān)管當(dāng)局對數(shù)據(jù)保護(hù)的范圍和程度應(yīng)當(dāng)以監(jiān)管收益與成本的盈虧臨界點為限（劉倩，2019）。當(dāng)監(jiān)管行為給市場主體帶來的成本與預(yù)期收益的損失超過監(jiān)管獲利，導(dǎo)致市場主體積極性降低而保護(hù)利益并無顯著提升時，這種干預(yù)是不經(jīng)濟(jì)的，該種監(jiān)管超過了經(jīng)濟(jì)自主和國家統(tǒng)治的臨界點，侵犯了市場自由并降低了市場效率。

因此，企業(yè)的發(fā)展需要相對自由的市場環(huán)境，政府在微觀層面介入得越少，經(jīng)濟(jì)效率一般而言越高，所以政府監(jiān)管應(yīng)保持限度，以效率意識確定監(jiān)管范圍與強(qiáng)度。個人金融信息保護(hù)中，政府監(jiān)管權(quán)的確立與行使需注重保護(hù)市場自由，減少微觀介入，在“成本—收益分析”的框架下合理確定個人金融信息的保護(hù)邊界，并從程序上加強(qiáng)政府監(jiān)管權(quán)行使的羈束性。

（三）金融效率與金融安全之維

個人金融信息保護(hù)中政府監(jiān)管權(quán)的邊界最后為安全的邊界，該邊界由金融效率與金融安全之間的矛盾運(yùn)動決定。金融效率與金融安全二者皆為個人金融信息保護(hù)中政府監(jiān)管的實施目的，也是金融監(jiān)管中存在的一對永恒矛盾。從溯源角度看，金融監(jiān)管起源于國家對金融業(yè)無序發(fā)展而沖擊經(jīng)濟(jì)金融秩序的擔(dān)憂，本質(zhì)上屬于維護(hù)金融安全的手段。但是隨著金融監(jiān)管理論的進(jìn)一步成熟，人們逐漸認(rèn)識到維護(hù)秩序與創(chuàng)新發(fā)展是可以共存的。對金融安全與效率之爭不應(yīng)“一邊倒”，而應(yīng)統(tǒng)合二者的共融之處，通過改革監(jiān)管方式適應(yīng)“積極的金融創(chuàng)新”，將提升金融效率與維護(hù)金融安全凝聚為共促關(guān)系。針對適應(yīng)“積極的金融創(chuàng)新”而進(jìn)行的監(jiān)管適應(yīng)性變革，應(yīng)該注意如下三點：第一，個人金融信息保護(hù)中政府監(jiān)管應(yīng)保持對違反以下法律的零容忍：包括反行賄和反腐敗法律法規(guī)，反洗錢、反避稅法律法規(guī)以及國家安全及反恐怖活動的法律規(guī)范。第二，調(diào)和金融效率與金融安全矛盾的方法，不能夠以在較長期限中犧牲較多人的較重要個人利益為代價。第三，對金融安全的評估一定要堅持科學(xué)的方法，立足客觀實際，不能以維護(hù)金融安全為名代替政策手段的合法性、合理性審查，尤其應(yīng)注意保護(hù)市場主體在金融創(chuàng)新中的合法權(quán)利。

三、個人金融信息保護(hù)中政府監(jiān)管權(quán)的現(xiàn)實難題：規(guī)范和實踐的審視

（一）個人金融信息保護(hù)中政府監(jiān)管權(quán)的行權(quán)機(jī)制缺陷

1.監(jiān)管主體與行權(quán)手段錯配

在個人金融信息保護(hù)政府監(jiān)管權(quán)的行使中，具有某種程度上“監(jiān)管者無權(quán)力，有權(quán)者非監(jiān)管”的困境，該困境在互聯(lián)網(wǎng)金融監(jiān)管中表現(xiàn)最為突出。以2019年國務(wù)院網(wǎng)站發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》為例，該辦法系統(tǒng)的對數(shù)據(jù)收集、存儲、傳輸、處理、使用等活動進(jìn)行了規(guī)制，生效后即成為網(wǎng)絡(luò)空間個人金融信息保護(hù)的重要規(guī)范。根據(jù)我國《行政處罰法》的規(guī)定，行政機(jī)關(guān)的行政處罰權(quán)需要來自法律和行政法規(guī)的授權(quán)，而根據(jù)《網(wǎng)絡(luò)安全法》第六章的規(guī)定，并未對網(wǎng)信部門明示授權(quán)。在《數(shù)據(jù)安全管理辦法（征求意見稿）》中只授權(quán)了網(wǎng)信部門約談運(yùn)營者的權(quán)力，同時規(guī)定由有關(guān)部門依照法律和行政法規(guī)的規(guī)定作出停業(yè)整頓、吊銷執(zhí)照等行政處罰。結(jié)合上述規(guī)定可以得出，網(wǎng)信部門在監(jiān)管個人信息活動的過程中，僅有約談的權(quán)力，而實質(zhì)性的行政處罰則要借助行業(yè)主管部門進(jìn)行。具體到金融業(yè)，其行業(yè)主管部門為“一行兩會”?！峨娦藕突ヂ?lián)網(wǎng)用戶個人信息保護(hù)》中也存在這種情況，作為監(jiān)管者的電信管理機(jī)構(gòu)最高處罰權(quán)限為三萬元以下罰款，處罰權(quán)限遠(yuǎn)不及金融行業(yè)主管部門。在這種情況下，網(wǎng)信部門與電信管理機(jī)構(gòu)缺乏行業(yè)管理職權(quán)與適當(dāng)?shù)奶幜P權(quán)，導(dǎo)致其監(jiān)管效果乏力，而互聯(lián)網(wǎng)金融的行業(yè)主管部門則重點關(guān)注其金融業(yè)務(wù)的風(fēng)險與防范，幾乎沒有針對個人金融信息保護(hù)領(lǐng)域行使處罰權(quán)的實踐。這就形成了一定程度上的“監(jiān)管者無權(quán)力，有權(quán)者非監(jiān)管”困境，這種監(jiān)管主體與監(jiān)管手段的錯配降低了監(jiān)管行為的強(qiáng)制性與威信，減損了監(jiān)管權(quán)行使的效果。

2.行權(quán)手段有效性不足

行權(quán)手段有效性不足，主要指監(jiān)管機(jī)構(gòu)在行使監(jiān)管權(quán)規(guī)范個人金融信息收集、利用行為時的效果不理想，表現(xiàn)為對違法行為發(fā)生前的預(yù)防性、發(fā)生中的停止性、發(fā)生后的懲治性不足。從傳統(tǒng)金融機(jī)構(gòu)的監(jiān)管情況來看，有相對完整的個人金融信息收集、利用行為規(guī)范，但違反監(jiān)管規(guī)則的法律責(zé)任偏輕，行政處罰種類少、力度小，導(dǎo)致違法成本相較于違法收益的偏低，預(yù)防性與懲治性效果不佳，行權(quán)手段有效性不足。從互聯(lián)網(wǎng)金融的監(jiān)管看，《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》的條文抽象且原則性強(qiáng)，具有宣示性的特點，側(cè)重通過增加企業(yè)的內(nèi)部控制義務(wù)來加強(qiáng)對個人信息的保護(hù)，法律責(zé)任方面僅規(guī)定了限期改正、警告與至多三萬元的罰款。因此，自2013年該規(guī)定頒布以來，個人金融信息的不當(dāng)利用行為并未得到有效遏制，電信部門的監(jiān)管權(quán)也未得到充分使用。此外，吸收了國家標(biāo)準(zhǔn)、借鑒了歐盟國家數(shù)據(jù)保護(hù)規(guī)則的《數(shù)據(jù)安全管理辦法（征求意見稿）》盡管對現(xiàn)行數(shù)據(jù)安全規(guī)范體系進(jìn)行了創(chuàng)新和補(bǔ)強(qiáng)，但該辦法在預(yù)防性、停止性與懲治性上仍有缺陷。該辦法重點規(guī)定數(shù)據(jù)收集方面的規(guī)則公開與信息主體同意的取得，但是在我國隱私政策、數(shù)據(jù)收集的授權(quán)與基礎(chǔ)服務(wù)的提供沒有嚴(yán)格區(qū)分的情況下，拒絕授權(quán)意味著無法接受服務(wù)，導(dǎo)致公布規(guī)則、征得同意往往流于形式，很難發(fā)揮給予用戶事先選擇權(quán)的功能。同時，在數(shù)據(jù)處理與使用方面，該辦法關(guān)于查詢、更正和刪除的規(guī)則籠統(tǒng)且抽象，尚不能回答用戶可以查詢、更正、刪除何種信息，在什么樣的情況下通過什么途徑可以行使上述權(quán)利等問題，現(xiàn)實中可操作性低。加之前文述及的法律責(zé)任欠缺，使網(wǎng)信部門監(jiān)管權(quán)的行權(quán)效果受到了較大限制。

（二）個人金融信息保護(hù)中政府監(jiān)管權(quán)的多頭執(zhí)法問題

近年來，我國立法機(jī)關(guān)和行政機(jī)關(guān)逐漸認(rèn)識到個人金融信息保護(hù)的重要性，在多部法律、法規(guī)及規(guī)章中對個人金融信息的保護(hù)進(jìn)行了規(guī)定，取得了積極的立法進(jìn)展。如我國《民法典》第一百一十一條規(guī)定了個人信息權(quán)利；《商業(yè)銀行法》第二十九條規(guī)定了對存款人的保密原則；《網(wǎng)絡(luò)安全法》專設(shè)“網(wǎng)絡(luò)信息安全”一章，對通過網(wǎng)絡(luò)收集、使用個人信息的行為進(jìn)行了直接約束。此外，國務(wù)院及相關(guān)部委還制定了《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》《人民銀行關(guān)于金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》《數(shù)據(jù)安全管理辦法（征求意見稿）》《個人金融信息保護(hù)技術(shù)規(guī)范》（JR/T0171-2020）等法規(guī)、規(guī)章及標(biāo)準(zhǔn)。但在實踐中，個人金融信息侵權(quán)行為仍然屢禁不止、呈現(xiàn)泛化趨勢，所以其原因不在于法律規(guī)定的缺乏，而是因為法律執(zhí)行的不到位，監(jiān)管權(quán)行使中的多頭執(zhí)法是造成這一困局的主因。

從網(wǎng)絡(luò)空間（主要為互聯(lián)網(wǎng)金融）的個人金融信息保護(hù)監(jiān)管授權(quán)來看，我國《網(wǎng)絡(luò)安全法》第五十條規(guī)定由網(wǎng)信部門承擔(dān)該法規(guī)定的網(wǎng)絡(luò)信息安全的執(zhí)法工作?！峨娦藕突ヂ?lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第三條將電信管理機(jī)構(gòu)設(shè)定為互聯(lián)網(wǎng)個人信息的執(zhí)法機(jī)構(gòu)，而《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》第三條第十七項更是將人民銀行、銀保監(jiān)會等七個部門列為監(jiān)管機(jī)關(guān)，“分別負(fù)責(zé)對相關(guān)從業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)與信息安全保障進(jìn)行監(jiān)管”。從傳統(tǒng)金融機(jī)構(gòu)的個人金融信息活動監(jiān)管情況來看，網(wǎng)信部門和電信管理機(jī)構(gòu)在金融機(jī)構(gòu)涉及網(wǎng)絡(luò)數(shù)據(jù)的活動中均有一定職權(quán)，“一行兩會”在金融監(jiān)管中對金融業(yè)的數(shù)據(jù)和信息活動也具有法定的行業(yè)管理職權(quán)。如《人民銀行關(guān)于金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》中明確由人民銀行行使監(jiān)督處罰權(quán)；《征信業(yè)管理條例》中確定征信業(yè)監(jiān)管部門承擔(dān)金融業(yè)機(jī)構(gòu)征信業(yè)務(wù)的監(jiān)管職責(zé)；金融機(jī)構(gòu)發(fā)生個人信息泄露等違反內(nèi)部控制要求的行為可由銀行業(yè)監(jiān)管機(jī)構(gòu)進(jìn)行處罰等。上述規(guī)范性文件的相異規(guī)定導(dǎo)致在金融業(yè)的個人信息保護(hù)中存在多個執(zhí)法機(jī)構(gòu)，沒能理順監(jiān)管主體以及對應(yīng)的法律權(quán)責(zé)，職責(zé)落實不到位導(dǎo)致主體責(zé)任不清，監(jiān)管范圍與職責(zé)存在交叉并適用不同的法律法規(guī)，使得法律規(guī)范中對個人金融信息保護(hù)的規(guī)定難以貫徹落實，監(jiān)管存在一定的混亂局面。

此外，還有學(xué)者指出一些國家和地區(qū)的個人數(shù)據(jù)保護(hù)法似乎存在一種趨勢，一方面對數(shù)據(jù)保護(hù)的責(zé)任規(guī)定非常嚴(yán)格，另一方面在執(zhí)法上采取寬松標(biāo)準(zhǔn)（郭瑜，2012）。政府基于促進(jìn)相關(guān)產(chǎn)業(yè)發(fā)展，以及加強(qiáng)社會管理能力等考慮，對個人金融信息保護(hù)的監(jiān)管力度沒能與其在隱私權(quán)和財產(chǎn)權(quán)意義上的重要性匹配起來，沒能對個人金融信息與一般數(shù)據(jù)進(jìn)行有效區(qū)分，并根據(jù)其特點進(jìn)行強(qiáng)監(jiān)管。這種“執(zhí)法不嚴(yán)”的情況，加劇了個人金融信息領(lǐng)域侵權(quán)行為的發(fā)生，而多頭執(zhí)法又在客觀上為這種做法留下了空間。

四、個人金融信息保護(hù)中政府監(jiān)管權(quán)的完善

（一）監(jiān)管權(quán)的配置：個人金融信息保護(hù)中政府監(jiān)管權(quán)的劃分

對個人金融信息保護(hù)中政府監(jiān)管權(quán)的合理劃分，能夠明確監(jiān)管主體職能分工、提高監(jiān)管權(quán)效率，也是進(jìn)一步賦予行權(quán)手段的基礎(chǔ)。筆者認(rèn)為，個人金融信息保護(hù)中政府監(jiān)管權(quán)的劃分，應(yīng)區(qū)分金融機(jī)構(gòu)與互聯(lián)網(wǎng)金融兩類客體，分別由中國人民銀行與網(wǎng)信部門行使個人金融信息保護(hù)的監(jiān)管權(quán)。這種“一分為二”的劃分方式是完善我國監(jiān)管權(quán)配置的理想路徑。

對于監(jiān)管權(quán)的配置應(yīng)以效率性與獨立性為理論框架進(jìn)行解釋與劃分。就效率性而言，不同的分配狀況會影響權(quán)力的行使效率，由不同的機(jī)構(gòu)行使會有不同的監(jiān)管成本以及不同的監(jiān)管收益，而權(quán)力的最優(yōu)配置應(yīng)是效率的最大化。從我國金融監(jiān)管的現(xiàn)狀來看，人民銀行對傳統(tǒng)金融機(jī)構(gòu)的監(jiān)管已具有較為系統(tǒng)且成熟的模式，將金融機(jī)構(gòu)的個人金融信息收集、利用等行為納入金融監(jiān)管之中，邊際成本低且監(jiān)管收益高。且人民銀行內(nèi)已設(shè)有金融消費權(quán)益保護(hù)局和征信管理局對個人金融信息利用行為進(jìn)行規(guī)制，具有良好的保護(hù)基礎(chǔ)，監(jiān)管機(jī)構(gòu)的建立成本較小。下一步，人民銀行應(yīng)整合資源、擴(kuò)大金融消費權(quán)益保護(hù)局的職能和規(guī)模，融合對金融業(yè)的監(jiān)管經(jīng)驗，承擔(dān)起金融機(jī)構(gòu)個人金融信息保護(hù)的職責(zé)。就互聯(lián)網(wǎng)金融而言，《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》中將對互聯(lián)網(wǎng)金融信息安全的監(jiān)管權(quán)分配給了7個部門，在業(yè)務(wù)混合發(fā)展的當(dāng)下，其監(jiān)管效率嚴(yán)重受限。金融監(jiān)管機(jī)構(gòu)對科技賦能的互聯(lián)網(wǎng)金融的監(jiān)管一直存在某種程度上的監(jiān)管失靈，缺乏足夠的監(jiān)管手段。而電信管理部門作為全國工業(yè)、通信業(yè)、航天及原子能工業(yè)等的主管機(jī)關(guān)，個人金融信息保護(hù)只是其相對邊緣化的派生職能，監(jiān)管資源投放少且缺乏專業(yè)性。因此，相比較而言，統(tǒng)管全國信息與數(shù)據(jù)保護(hù)工作的網(wǎng)信部門則具有比較優(yōu)勢，其作為網(wǎng)絡(luò)領(lǐng)域的專職監(jiān)管機(jī)關(guān)，擁有充足的監(jiān)管資源以及科學(xué)的監(jiān)管架構(gòu)，而專業(yè)性的監(jiān)管手段也有利于提高對網(wǎng)絡(luò)行為的監(jiān)管效率。

就獨立性而言，要求監(jiān)管機(jī)構(gòu)的職能與其他政府機(jī)構(gòu)的職能區(qū)分開來（至少是不相沖突）。判斷一個經(jīng)濟(jì)規(guī)制機(jī)構(gòu)的獨立性，關(guān)鍵是看相關(guān)的法律是否對機(jī)構(gòu)成員的職務(wù)活動給予了特定的法律保護(hù)（Berger，2000）。人民銀行在金融監(jiān)管領(lǐng)域具有監(jiān)督管理的法定授權(quán)，其監(jiān)管行為不受干涉，且與個人金融信息密切相關(guān)的征信業(yè)屬于央行的監(jiān)管范圍。而在網(wǎng)絡(luò)領(lǐng)域，《網(wǎng)絡(luò)安全法》等法律規(guī)定由網(wǎng)信部門承擔(dān)網(wǎng)絡(luò)信息安全的執(zhí)法工作，對其職務(wù)行為進(jìn)行了充分的授權(quán)與保護(hù)。而查閱金融監(jiān)管機(jī)構(gòu)的三定方案與代議機(jī)關(guān)立法，并無網(wǎng)絡(luò)領(lǐng)域的法定授權(quán)，其監(jiān)管更多來源于行業(yè)監(jiān)管的權(quán)力。至于電信管理機(jī)構(gòu)，其主要職能在于促進(jìn)和引導(dǎo)工業(yè)、電信等行業(yè)發(fā)展，個人金融信息保護(hù)職能與其主要職能在價值理念上存在一定齟齬，獨立性可能受到影響。因此，結(jié)合效率性與獨立性的分析，金融監(jiān)管機(jī)構(gòu)及電信管理機(jī)構(gòu)應(yīng)將互聯(lián)網(wǎng)金融領(lǐng)域的個人金融信息監(jiān)管權(quán)移交給網(wǎng)信部門，逐步退出個人信息監(jiān)管領(lǐng)域。形成由人民銀行對金融機(jī)構(gòu)的個人金融信息收集、利用行為進(jìn)行專有監(jiān)管，由網(wǎng)信部門對互聯(lián)網(wǎng)金融的信息行為進(jìn)行獨立專有監(jiān)管的格局。

（二）監(jiān)管權(quán)的行使：個人金融信息保護(hù)中的分類規(guī)制

1.以分級罰款為核心的法律責(zé)任

個人數(shù)據(jù)具有人格自由和人格尊嚴(yán)價值、商業(yè)價值和公共管理等多重價值（程嘯，2018），個人金融信息更是直接關(guān)涉信息主體生活安寧與財產(chǎn)安全，因此應(yīng)得到更高程度的保護(hù)。而我國行使監(jiān)管權(quán)手段的預(yù)防性、停止性與懲戒性不足，導(dǎo)致監(jiān)管效果不及預(yù)期，亟需得到加強(qiáng)。而無論是金融機(jī)構(gòu)抑或互聯(lián)網(wǎng)金融機(jī)構(gòu)，對個人金融信息的收集、利用都旨在獲得商業(yè)收益，故罰金處罰可以使信息利用的相關(guān)主體得不償失，具有比較直接的“報復(fù)性”，因此預(yù)防性與懲治性效果較佳，是程度上比較合適的行政處罰。如歐盟的《一般數(shù)據(jù)保護(hù)條例》就建立了兩級罰款機(jī)制，其將違反數(shù)據(jù)保護(hù)規(guī)則的情況分為兩類進(jìn)行規(guī)制：在第一層級，處以1000萬歐元以下或企業(yè)上一年度全球營業(yè)額2%以下的罰款，適用情形主要為違反數(shù)據(jù)控制、處理者所應(yīng)承擔(dān)的義務(wù)。在第二層級，處以2000萬歐元以下或企業(yè)上一年度全球營業(yè)額4%以下的罰款，適用情形主要為違背處理數(shù)據(jù)的基本原則以及侵害數(shù)據(jù)主體的主要權(quán)利。歐盟在全球個人信息保護(hù)領(lǐng)域具有先進(jìn)性，而我國數(shù)據(jù)科技發(fā)展已具有較高水平，具備借鑒歐盟先進(jìn)權(quán)利保護(hù)經(jīng)驗的基礎(chǔ)。故我國可以效仿這一制度設(shè)計，將違反個人金融信息保護(hù)規(guī)范和侵犯信息主體權(quán)利的情況分類規(guī)制。

這種分類是以違法行為造成損失的外化程度為標(biāo)準(zhǔn)的。如果個人金融信息控制者違反法律規(guī)范對其設(shè)定的內(nèi)部管理性義務(wù)，則鑒于其負(fù)效應(yīng)并未外化可對其處以較輕處罰。具體而言，第一級罰款主要針對：違反金融業(yè)機(jī)構(gòu)內(nèi)部控制要求，包括安全制度體系的建立與發(fā)布、訪問控制，安全監(jiān)測與風(fēng)險評估，安全事件處置體系以及違反個人金融信息利用技術(shù)要求，包括違反收集、儲存、傳輸、轉(zhuǎn)讓以及委托處理中的技術(shù)要求，未履行相關(guān)義務(wù)或技術(shù)安全性不達(dá)標(biāo)等。第二級罰款主要針對：侵犯個人金融信息主體法律權(quán)利和違反監(jiān)管規(guī)則所設(shè)定的原則規(guī)定造成嚴(yán)重后果的。侵犯信息主體法律權(quán)利主要指現(xiàn)行法律文本中設(shè)定的民事權(quán)利，主要為侵犯金融隱私權(quán)。而違反監(jiān)管規(guī)則所設(shè)定的原則規(guī)定，造成嚴(yán)重后果主要指大規(guī)模買賣個人金融數(shù)據(jù)，擅自從事征信業(yè)務(wù)以及嚴(yán)重的信息泄露等情況。出現(xiàn)上述情況，監(jiān)管機(jī)構(gòu)有權(quán)視嚴(yán)重程度處以較高數(shù)額的罰款。最后，關(guān)于罰款數(shù)額的確定。筆者認(rèn)為，監(jiān)管機(jī)構(gòu)對具體罰款數(shù)額的確定應(yīng)以金融業(yè)機(jī)構(gòu)的相關(guān)業(yè)務(wù)規(guī)模（營業(yè)額）為核心，結(jié)合其合規(guī)能力、行為目的，被侵權(quán)人的廣泛性、損害水平以及事后的補(bǔ)救措施等因素綜合考慮。

2.對個人金融信息征信化利用的持牌監(jiān)管

在個人金融信息的利用行為中，有一類行為具有監(jiān)管上的特殊性，應(yīng)將其與一般的信息利用行為予以區(qū)分，即互聯(lián)網(wǎng)金融對個人金融信息的征信化利用行為。部分互聯(lián)網(wǎng)金融企業(yè)利用其在提供服務(wù)的過程中所保存的金融交易信息、財產(chǎn)信息及借貸信息，經(jīng)過分析處理逐漸形成旨在對相關(guān)個人的財務(wù)狀況及信用狀況進(jìn)行評價的數(shù)據(jù)庫，除為自身關(guān)聯(lián)企業(yè)提供信息支持外，還以盈利為目的向其他機(jī)構(gòu)提供自然人的信用查詢服務(wù)，這種行為實質(zhì)上屬于個人征信業(yè)務(wù)。筆者認(rèn)為，針對個人金融信息利用行為的復(fù)雜現(xiàn)狀，在監(jiān)管權(quán)的行使中應(yīng)將征信化利用與其他個人金融信息的商業(yè)利用行為區(qū)分開來，采取分類規(guī)制的策略。

在現(xiàn)代社會中，信用是一種戰(zhàn)略資源。生成與運(yùn)用對于社會運(yùn)轉(zhuǎn)具有重要意義，加之信用信息的高度敏感性和重要性，因此征信業(yè)一直堅持嚴(yán)格的持牌監(jiān)管?；ヂ?lián)網(wǎng)金融企業(yè)對個人金融信息的征信化利用行為實質(zhì)上違反了《征信業(yè)管理條例》的規(guī)定，未經(jīng)征信監(jiān)管部門批準(zhǔn)即從事征信查詢業(yè)務(wù)，使得征信行為泛化，違反金融秩序并且侵犯個人金融隱私權(quán)。筆者認(rèn)為，互聯(lián)網(wǎng)金融企業(yè)向其他機(jī)構(gòu)或個人提供自然人的信用查詢服務(wù)屬于征信業(yè)務(wù)，超越了內(nèi)部利用的限制，應(yīng)由持牌金融機(jī)構(gòu)提供。部分互聯(lián)網(wǎng)金融企業(yè)此舉屬違法行為，故在個人金融信息保護(hù)的監(jiān)管中應(yīng)堅持征信業(yè)務(wù)的持牌監(jiān)管，對無牌照的個人金融信息征信化利用行為予以禁止。