楊 禧 廖水鳳 陳曉莉 廣東金融學(xué)院

個(gè)人金融信息是個(gè)人信息在金融領(lǐng)域圍繞賬戶信息、鑒別信息、金融交易信息、財(cái)產(chǎn)信息、借貸信息等方面的擴(kuò)展與細(xì)化，是個(gè)人隱私的重要內(nèi)容，也是金融機(jī)構(gòu)在提供金融產(chǎn)品和服務(wù)過程中積累的重要基礎(chǔ)數(shù)據(jù)（《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，2020）。日益頻發(fā)的個(gè)人金融信息泄露事件，助長了各方對個(gè)人金融信息保護(hù)的需求。從金融消費(fèi)者等信息主體角度來看，個(gè)人金融信息一旦泄露或被不當(dāng)使用，其生命健康、人格尊嚴(yán)或經(jīng)濟(jì)利益等極易遭受損害（謝琳、王漩，2020）。從金融機(jī)構(gòu)和以第三方支付平臺公司為代表的非持牌金融機(jī)構(gòu)等信息處理方角度來看，隨著國家日益重視個(gè)人信息權(quán)益的保護(hù)、關(guān)于個(gè)人信息保護(hù)法律法規(guī)的相繼出臺，金融機(jī)構(gòu)等信息處理方在信息泄露事件中面臨的民事賠償風(fēng)險(xiǎn)將愈發(fā)增加，且足以威脅到機(jī)構(gòu)的正常運(yùn)營。而與之相矛盾的是，個(gè)人金融信息的適度共享、披露又是金融市場克服信息不對稱的重要手段（邢會強(qiáng)，2021）。因此，順應(yīng)大數(shù)據(jù)時(shí)代的趨勢，在個(gè)人金融信息保護(hù)與利用方面尋求達(dá)成個(gè)人消費(fèi)者權(quán)益與金融機(jī)構(gòu)權(quán)益之間的均衡，應(yīng)對兩者沖突帶來的責(zé)任風(fēng)險(xiǎn)的方式，已成為一個(gè)亟待解決的問題。就目前情況來看，借鑒國內(nèi)外金融機(jī)構(gòu)的做法，由金融機(jī)構(gòu)等信息處理方主動投保個(gè)人金融信息泄露責(zé)任保險(xiǎn)，不失為處理客戶金融信息時(shí)有效均衡信息保護(hù)與利用之間沖突的方法，值得國內(nèi)業(yè)界對其發(fā)展給予更多的重視。

一、個(gè)人金融信息保護(hù)需求

（一）法律法規(guī)角度

自2021年11月1日起施行的《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）中關(guān)于個(gè)人信息保護(hù)職責(zé)的明確，以及自2021 年1 月已經(jīng)開始實(shí)施的《中華人民共和國民法典》（以下簡稱《民法典》）中對信息處理者民事責(zé)任的規(guī)范，一方面體現(xiàn)出對金融消費(fèi)者的權(quán)益保護(hù)，另一方面也對金融機(jī)構(gòu)個(gè)人信息保護(hù)管理能力提出新要求。除法律之外，近些年我國還出臺了一系列政策規(guī)定，如《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》（中國銀行保險(xiǎn)監(jiān)督管理委員會，2018年）、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（中國人民銀行，2020年2月，以下簡稱《規(guī)范》）、《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（中國人民銀行，2020 年9 月，以下簡稱《實(shí)施辦法》）等大量規(guī)范性文件都提及了個(gè)人金融信息保護(hù)。此外，在個(gè)人金融信息的收集過程中，大量金融機(jī)構(gòu)參與了對于數(shù)據(jù)的使用與處理。為此，2021年6月10日通過的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）在第一章總則中明確，該法旨在通過規(guī)范數(shù)據(jù)處理活動等，確保個(gè)人及組織合法權(quán)益的實(shí)現(xiàn)。這些法律法規(guī)在規(guī)范相關(guān)金融機(jī)構(gòu)和非持牌金融機(jī)構(gòu)的合法合規(guī)運(yùn)行、強(qiáng)化其對客戶個(gè)人金融信息的保護(hù)意識方面，提供了新的發(fā)展思路，這也意味著個(gè)人金融信息保護(hù)需求的日益增加。

（二）金融消費(fèi)者角度

金融機(jī)構(gòu)在為客戶辦理業(yè)務(wù)或提供服務(wù)的過程中，會不可避免地收集大量個(gè)人隱私信息，由于存儲不當(dāng)或信息系統(tǒng)遭受攻擊等諸多因素，金融行業(yè)成為泄露個(gè)人信息的“重災(zāi)區(qū)”之一，損害了金融消費(fèi)者的權(quán)益。個(gè)人金融信息泄露事件通常具體表現(xiàn)為以短信、電話等形式對當(dāng)事人進(jìn)行騷擾，泄露內(nèi)容往往包括但不限于金融消費(fèi)者的真實(shí)姓名、家庭住址、收入狀況、近期資金需求等，隱私信息的高度透明化讓人不寒而栗的同時(shí)，也給金融消費(fèi)者帶來精神上的困擾。通常來說，個(gè)人金融信息會包含身份證、財(cái)產(chǎn)、賬戶、交易等方面的重要信息，這些隱私信息若被泄露，可能對金融消費(fèi)者造成財(cái)產(chǎn)上的重大損失。除此之外，更有不法分子通過違規(guī)交易個(gè)人信息的平臺（如社交群聊、網(wǎng)站等），將其非法收集而來的個(gè)人隱私信息明碼標(biāo)價(jià)，造成進(jìn)一步泄露。若不法分子以獲得的金融消費(fèi)者個(gè)人信息實(shí)施違法犯罪活動，將其所實(shí)施的犯罪事由均歸咎于毫不知情的金融消費(fèi)者，也會造成對金融消費(fèi)者個(gè)人名譽(yù)的損害。由此可見，從信息主體的角度出發(fā)，對個(gè)人金融信息的保護(hù)刻不容緩。

（三）金融機(jī)構(gòu)角度

除了金融消費(fèi)者的合法權(quán)益遭到侵犯，個(gè)人金融信息的泄露也會給金融機(jī)構(gòu)帶來一定的損害賠償責(zé)任。目前，因未深刻意識到對金融消費(fèi)者合法權(quán)益保護(hù)問題的重要性，已有部分金融機(jī)構(gòu)受到相關(guān)監(jiān)管部門的嚴(yán)厲處罰。2020年10月，中國人民銀行甚至開出十分罕見的千萬元級罰單，處罰對象涉及3 家國有大型銀行的6 家分支機(jī)構(gòu)，罰金超過4000 萬元，所涉內(nèi)容均為“侵犯金融消費(fèi)者金融信息安全”（21 世紀(jì)經(jīng)濟(jì)報(bào)道，2021）?！睹穹ǖ洹返谒木幍诹掠嘘P(guān)隱私權(quán)和個(gè)人信息保護(hù)的內(nèi)容，首次對個(gè)人信息保護(hù)進(jìn)行了相對完整的法律規(guī)定，隨著其正式實(shí)施貫徹，個(gè)人信息保護(hù)問題已提升至一個(gè)新的高度（任自力，2020）；《數(shù)據(jù)安全法》第六章“法律責(zé)任”中提出了對信息處理者的行政處罰辦法，例如針對開展數(shù)據(jù)處理活動的組織，若違反數(shù)據(jù)安全保護(hù)義務(wù)，可處以5萬元以上50 萬元以下罰款，若情節(jié)嚴(yán)重的，罰款上限或?qū)⑦_(dá)到200萬元?！秱€(gè)人信息保護(hù)法》則進(jìn)一步將信息保護(hù)的責(zé)任落實(shí)到機(jī)構(gòu)及其負(fù)責(zé)人，當(dāng)發(fā)現(xiàn)個(gè)人信息活動存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件時(shí)，監(jiān)管部門會對個(gè)人信息處理方的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談，或者直接罰款。不難發(fā)現(xiàn)，監(jiān)管部門正一改以往對于金融機(jī)構(gòu)少則幾千元、多則幾萬元的處罰作風(fēng)，持續(xù)加大其對泄露消費(fèi)者金融信息的懲戒力度。日趨嚴(yán)格的懲戒機(jī)制使金融機(jī)構(gòu)面臨巨大的賠償壓力，影響其經(jīng)營穩(wěn)定性，由此也產(chǎn)生了轉(zhuǎn)嫁此類民事賠償責(zé)任風(fēng)險(xiǎn)的相關(guān)需求。

（四）非持牌金融機(jī)構(gòu)角度

在以往，個(gè)人金融信息的來源渠道主要是央行征信中心和傳統(tǒng)的金融機(jī)構(gòu)，而現(xiàn)今，在金融科技及大數(shù)據(jù)快速發(fā)展的時(shí)代背景下，眾多機(jī)構(gòu)擁有了廣泛收集個(gè)人金融信息的權(quán)限。由此，個(gè)人金融信息的泄露責(zé)任將不再僅歸咎于金融機(jī)構(gòu)的內(nèi)部問題，其也可能來源于相關(guān)的非持牌金融機(jī)構(gòu)。非持牌金融機(jī)構(gòu)又被稱為“類金融機(jī)構(gòu)”，指小貸公司、融資租賃公司、互聯(lián)網(wǎng)金融、第三方支付平臺等企業(yè)。這類非持牌金融機(jī)構(gòu)同樣掌握了大量的客戶個(gè)人金融信息，由于國家并沒有制定專門針對非持牌金融機(jī)構(gòu)的行業(yè)規(guī)范標(biāo)準(zhǔn)，后者違規(guī)使用收集到的個(gè)人信息的行為屢次發(fā)生（見表1），也會造成相應(yīng)的損失賠償責(zé)任（薛小飛，2021）。

?表1 部分非持牌金融機(jī)構(gòu)侵害用戶個(gè)人金融信息行為情況（2021年）

因此，針對個(gè)人金融信息保護(hù)，相關(guān)非持牌金融機(jī)構(gòu)也面臨由于非法泄露個(gè)人金融信息而帶來的經(jīng)濟(jì)損害賠償責(zé)任，同時(shí)需規(guī)避由此帶來的民事賠償責(zé)任風(fēng)險(xiǎn)。

二、個(gè)人金融信息泄露責(zé)任保險(xiǎn)發(fā)展現(xiàn)狀

責(zé)任保險(xiǎn)的規(guī)范依賴于法律法規(guī)的不斷完善，這也是責(zé)任保險(xiǎn)自身蓬勃發(fā)展的動力。商業(yè)責(zé)任保險(xiǎn)具有的社會管理功能，不僅體現(xiàn)在事后可以有效地消除被保險(xiǎn)人承擔(dān)的經(jīng)濟(jì)損失風(fēng)險(xiǎn)，也體現(xiàn)在可充分保障受害人的合法權(quán)益，這不失為一種具有前瞻性、補(bǔ)償性的金融信息泄露風(fēng)險(xiǎn)管理手段。面對各方日益增長的個(gè)人金融信息保護(hù)需求，由金融機(jī)構(gòu)、非持牌金融機(jī)構(gòu)等信息處理方主動投保的個(gè)人金融信息泄露責(zé)任保險(xiǎn)，是其在處理客戶金融信息時(shí)，均衡信息保護(hù)與利用之間沖突的有效應(yīng)對手段。在成熟的集體訴訟機(jī)制下，以美國為代表的歐美國家的保險(xiǎn)公司，推行以企業(yè)機(jī)構(gòu)等信息處理方為被保險(xiǎn)人的信息泄露責(zé)任保險(xiǎn)，且發(fā)展逐步呈多樣化，但國內(nèi)市場尚未重視該險(xiǎn)種在個(gè)人金融信息泄露事件中發(fā)揮的作用。

（一）國外個(gè)人金融信息泄露責(zé)任保險(xiǎn)的發(fā)展

在美國，對于個(gè)人信息保護(hù)的立法，一般采取的是具有行業(yè)特征的監(jiān)管制度和手段（周登憲、王志華、喬麗華，2014），例如最早期的《公平信用報(bào)告法》（FCRA），以及于2020 年1 月1 日正式生效的被稱為美國“最嚴(yán)厲、最全面的個(gè)人隱私保護(hù)法案”——《加利福利亞消費(fèi)者隱私法案》，其采用民事訴訟加政府訴訟雙軌制來執(zhí)行懲罰機(jī)制。近年來，以美國為代表的歐美國家信息業(yè)發(fā)展迅速，信息數(shù)據(jù)泄露事件頻發(fā)，因而不乏企業(yè)因泄露用戶信息而面臨巨額賠款的案例。例如，2017 年9 月，美國征信巨頭Equifax 在承認(rèn)1.45 億美國居民個(gè)人隱私信息泄露后，面臨用戶集體訴訟的約合4500億美元賠償，最終該公司同意拿出最高4.25億美元用以賠償受影響用戶。2018年12月，萬豪國際酒店旗下的喜達(dá)屋酒店（Starwood Hotel）因泄露約5 億顧客的信息遭遇集體訴訟，索賠金額高達(dá)125億美元。

所以，考慮到美國集體訴訟機(jī)制，當(dāng)涉及眾多消費(fèi)者時(shí)，損害賠償數(shù)字將十分巨大，而金融信息泄露事件具有廣泛性的特征。面對嚴(yán)苛的處罰先例，美國等國家的企業(yè)和機(jī)構(gòu)產(chǎn)生了轉(zhuǎn)移因信息泄露帶來經(jīng)濟(jì)賠償責(zé)任風(fēng)險(xiǎn)的需求。因此，美國保險(xiǎn)行業(yè)推出的針對信息泄露事件之民事賠償責(zé)任風(fēng)險(xiǎn)的保險(xiǎn)并不罕見，最著名的莫過于1999年，專門針對由于感染病毒、非法入侵等導(dǎo)致業(yè)務(wù)陷入癱瘓并給企業(yè)帶來巨大經(jīng)濟(jì)損失的情形，由蘇黎世北美保險(xiǎn)公司推出的“E-Risk保險(xiǎn)”。截至2018年，美國本土已有30 多家保險(xiǎn)公司針對個(gè)人信息保護(hù)提供網(wǎng)絡(luò)保險(xiǎn)產(chǎn)品服務(wù)，旨在轉(zhuǎn)移不同行業(yè)的企業(yè)因信息泄露事件帶來的民事賠償責(zé)任風(fēng)險(xiǎn)，規(guī)模與數(shù)量為全球國家與地區(qū)之最。

（二）國內(nèi)個(gè)人金融信息泄露責(zé)任保險(xiǎn)的發(fā)展

國內(nèi)市場目前針對個(gè)人信息或個(gè)人金融信息泄露引發(fā)的民事賠償責(zé)任的保險(xiǎn)產(chǎn)品數(shù)量少，且保險(xiǎn)責(zé)任范圍覆蓋不全。2017年6 月，中國人民財(cái)產(chǎn)保險(xiǎn)股份有限公司與韓國三星火災(zāi)保險(xiǎn)公司聯(lián)合開發(fā)了個(gè)人信息泄露責(zé)任保險(xiǎn)，該產(chǎn)品承保企業(yè)由于網(wǎng)絡(luò)黑客攻擊等原因，發(fā)生投保企業(yè)所管理的客戶信息泄露事故而引發(fā)的相關(guān)賠償責(zé)任，是中國市場首款承保個(gè)人信息泄露風(fēng)險(xiǎn)的保險(xiǎn)產(chǎn)品，開創(chuàng)了行業(yè)之先。但是，該產(chǎn)品僅僅以附加險(xiǎn)的形式出現(xiàn)，且沒有專門針對個(gè)人金融信息這一特殊標(biāo)的作出具體的理賠規(guī)范。

就個(gè)人金融信息保護(hù)方面，盡管國家相繼出臺了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，但從目前的責(zé)任保障機(jī)制來看，法律法規(guī)都屬于事后救濟(jì)（羅頂，2019）。在信息時(shí)代，金融機(jī)構(gòu)處理個(gè)人金融信息時(shí)，單單依靠法律法規(guī)的事后救濟(jì)，還不能直接防范金融信息泄露事件發(fā)生的風(fēng)險(xiǎn)，也難以在金融信息泄露事件發(fā)生之前施加有效的管理與控制措施，例如必要的風(fēng)險(xiǎn)提示、人員監(jiān)管等配套設(shè)施都有所缺乏，以至于金融機(jī)構(gòu)、金融消費(fèi)者在信息泄露事件中過于被動。

三、個(gè)人金融信息泄露責(zé)任保險(xiǎn)發(fā)展困境

由于個(gè)人金融信息泄露事件本身的特殊性，以及金融機(jī)構(gòu)等信息處理方的風(fēng)險(xiǎn)意識有限，國內(nèi)針對個(gè)人金融信息泄露責(zé)任保險(xiǎn)的發(fā)展面臨困境。

（一）保險(xiǎn)責(zé)任范圍不全面

目前在國內(nèi)外保險(xiǎn)市場上，個(gè)人信息泄露責(zé)任險(xiǎn)條款中的保險(xiǎn)責(zé)任范圍大多僅限于網(wǎng)絡(luò)安全事件導(dǎo)致的個(gè)人信息泄露，而在實(shí)務(wù)當(dāng)中，金融機(jī)構(gòu)泄露客戶個(gè)人金融信息的途徑并不僅僅局限于網(wǎng)絡(luò)安全事件。這表明了現(xiàn)有的相關(guān)產(chǎn)品保險(xiǎn)責(zé)任覆蓋范圍不全面，難以與金融機(jī)構(gòu)面臨的實(shí)際風(fēng)險(xiǎn)進(jìn)行有效匹配。例如，金融消費(fèi)者在面臨個(gè)人金融信息泄露時(shí)，往往會遭受精神困擾。隨著個(gè)人維權(quán)意識的增強(qiáng)，金融機(jī)構(gòu)等信息處理方可能面臨更高的精神損害賠償責(zé)任風(fēng)險(xiǎn)，而已有的個(gè)人信息泄露責(zé)任保險(xiǎn)產(chǎn)品對此并未涉及。因此，對于我國個(gè)人金融信息泄露責(zé)任保險(xiǎn)，其在險(xiǎn)種創(chuàng)新和責(zé)任設(shè)計(jì)方面仍有很大的進(jìn)步空間，若不能對此加以改進(jìn)，個(gè)人金融信息泄露責(zé)任保險(xiǎn)發(fā)展將受到一定的限制。

（二）金融信息泄露事件主體責(zé)任難以厘清

個(gè)人金融信息的收集會經(jīng)過多個(gè)環(huán)節(jié)，涉及多個(gè)責(zé)任主體。在每個(gè)環(huán)節(jié)里，都有信息泄露、信息非法使用的風(fēng)險(xiǎn)存在，但難以界定是哪個(gè)環(huán)節(jié)出現(xiàn)問題。加之信息泄露事件本身的特殊性，保險(xiǎn)人難以測定其可能的理賠范圍，這無疑將對保險(xiǎn)公司的財(cái)務(wù)造成巨大的潛在風(fēng)險(xiǎn)，影響保險(xiǎn)利益共同體的安全。個(gè)人金融信息泄露事件在不同主體之間的責(zé)任厘清方面存在困難，給保險(xiǎn)責(zé)任的明確帶來了操作難度，一定程度上阻礙了該險(xiǎn)種的發(fā)展。

（三）金融信息泄露事件事后舉證難

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2019年中國網(wǎng)民信息安全狀況研究報(bào)告》，有88.2%的網(wǎng)民表示對于個(gè)人信息泄露“沒有任何辦法處理”，信息安全所引起的直接經(jīng)濟(jì)損失規(guī)模已接近200億元。絕大多數(shù)金融消費(fèi)者在此類信息泄露事件當(dāng)中，即使選擇維權(quán)，依民事訴訟法“誰主張，誰舉證”的原則，也會被要求進(jìn)行舉證。然而，事后的舉證需要大量的證據(jù)收集工作，由于技術(shù)的不對等、主體權(quán)責(zé)的不對等，當(dāng)金融消費(fèi)者的個(gè)人信息權(quán)受到侵犯時(shí)，證據(jù)收集工作往往難以進(jìn)行。因此，個(gè)人由于無法或難以自行承擔(dān)舉證責(zé)任，便選擇不了了之。在這種情況下，個(gè)人對自身金融信息的保護(hù)意識會逐漸隨著此類事件的屢次發(fā)生而減弱，對于客戶金融信息泄露難辭其咎的信息處理方——金融機(jī)構(gòu)，便一次次地逃脫其應(yīng)承擔(dān)的相關(guān)賠償責(zé)任。

（四）信息處理方責(zé)任意識不強(qiáng)

我國因金融消費(fèi)者個(gè)人信息泄露而引發(fā)的財(cái)產(chǎn)安全事件屢見不鮮，其中不乏金融機(jī)構(gòu)內(nèi)部人員通過買賣客戶銀行卡信息、賬戶信息、征信信息等實(shí)施電信詐騙的案件，導(dǎo)致金融消費(fèi)者遭受經(jīng)濟(jì)損失。這表明了銀行等金融機(jī)構(gòu)在保護(hù)客戶個(gè)人隱私信息方面的意識薄弱，甚至存在著制度漏洞，在制度的貫徹和落實(shí)上仍存在短板，過度采集客戶信息、通過不正當(dāng)手段與第三方共享客戶信息等監(jiān)管交叉或監(jiān)管真空的情況難以規(guī)避。另外，信息處理方在對金融消費(fèi)者的個(gè)人信息數(shù)據(jù)存儲和使用上，也存在著大量不規(guī)范行為，例如，服務(wù)結(jié)束后未及時(shí)刪除數(shù)據(jù)、將業(yè)務(wù)終止的客戶資料直接當(dāng)廢紙作丟棄處理等。這些行為均表明信息處理方的責(zé)任意識不強(qiáng)，不僅加大了個(gè)人金融信息泄露的風(fēng)險(xiǎn)，同時(shí)也限制了個(gè)人金融信息泄露責(zé)任保險(xiǎn)的發(fā)展。

四、個(gè)人金融信息泄露責(zé)任保險(xiǎn)發(fā)展建議

（一）擴(kuò)大個(gè)人金融信息泄露責(zé)任保險(xiǎn)的責(zé)任范圍

責(zé)任保險(xiǎn)產(chǎn)生和發(fā)展的基礎(chǔ)是健全的法律制度。關(guān)于個(gè)人信息泄露責(zé)任險(xiǎn)保險(xiǎn)責(zé)任和相關(guān)損失賠償?shù)脑O(shè)計(jì)，應(yīng)具有一定的時(shí)代性、先進(jìn)性。保險(xiǎn)公司在構(gòu)思個(gè)人金融信息泄露責(zé)任保險(xiǎn)的保險(xiǎn)責(zé)任范圍時(shí)，應(yīng)基于《民法典》中對信息處理方民事責(zé)任的規(guī)范之法律精神，以及將《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《實(shí)施辦法》中關(guān)于個(gè)人信息泄露問題的相關(guān)規(guī)定作為法律依據(jù)，降低該類產(chǎn)品的推行難度（張彤，2020）。例如將保險(xiǎn)責(zé)任盡可能覆蓋金融機(jī)構(gòu)面臨的個(gè)人金融信息泄露責(zé)任風(fēng)險(xiǎn)，同時(shí)根據(jù)個(gè)人金融信息泄露事件具有廣泛性的特征，適當(dāng)調(diào)整除外責(zé)任的范圍，以降低保險(xiǎn)人的承保風(fēng)險(xiǎn)，具體措施如下：

1.適當(dāng)擴(kuò)大保險(xiǎn)責(zé)任的范圍

保險(xiǎn)責(zé)任應(yīng)從金融機(jī)構(gòu)及其產(chǎn)品或服務(wù)消費(fèi)者的利益出發(fā)，著眼于覆蓋個(gè)人消費(fèi)者金融信息泄露的責(zé)任風(fēng)險(xiǎn)。其中，該風(fēng)險(xiǎn)包括因網(wǎng)絡(luò)安全事件、被保險(xiǎn)人雇員不忠誠行為所致的第三者（金融產(chǎn)品或服務(wù)消費(fèi)者）個(gè)人金融數(shù)據(jù)泄露風(fēng)險(xiǎn)，以及被保險(xiǎn)人在法律上應(yīng)負(fù)的民事?lián)p害賠償責(zé)任。所以，首要的保險(xiǎn)責(zé)任，應(yīng)為由于發(fā)生個(gè)人金融信息泄露造成“第三者”（客戶）在保險(xiǎn)期間首次向被保險(xiǎn)人提出損害賠償請求、依法應(yīng)由被保險(xiǎn)人承擔(dān)的經(jīng)濟(jì)賠償責(zé)任。

此外，因信息泄露事件具有相當(dāng)?shù)纳鐣绊懶耘c持續(xù)性，往往會對金融機(jī)構(gòu)的形象產(chǎn)生較大的不利影響，不妨將金融機(jī)構(gòu)在發(fā)生泄露第三者（客戶）個(gè)人金融信息事件后為恢復(fù)或防止毀壞自身機(jī)構(gòu)形象所產(chǎn)生的在責(zé)任限額內(nèi)的損失和費(fèi)用列為保險(xiǎn)責(zé)任，例如：通過新聞或電視等大眾媒體說明事故發(fā)生狀況、對應(yīng)方式或表示歉意所需的公關(guān)費(fèi)用；為預(yù)防事故再次發(fā)生而產(chǎn)生的系統(tǒng)升級費(fèi)用、專家咨詢費(fèi)用；被保險(xiǎn)人為恢復(fù)企業(yè)形象支付給信息主體的費(fèi)用等。這樣更能滿足金融機(jī)構(gòu)轉(zhuǎn)嫁風(fēng)險(xiǎn)的需求。

2.限制可保的金融信息泄露途徑

為了切合市場需求，在考量個(gè)人金融信息泄露責(zé)任保險(xiǎn)的保險(xiǎn)責(zé)任時(shí)，應(yīng)該同時(shí)關(guān)注金融機(jī)構(gòu)客戶信息泄露的兩種可能：一是金融機(jī)構(gòu)自身的計(jì)算機(jī)系統(tǒng)遭遇網(wǎng)絡(luò)安全事件，二是金融機(jī)構(gòu)高級管理人員或雇員的不忠誠行為。該類復(fù)合型的個(gè)人金融信息泄露責(zé)任保險(xiǎn)可以彌補(bǔ)以金融機(jī)構(gòu)內(nèi)部人員利用職務(wù)便利泄露客戶個(gè)人金融信息為保障范圍的保險(xiǎn)市場空白，將會有較好的市場前景。同時(shí)，為了降低保險(xiǎn)公司承保風(fēng)險(xiǎn)，應(yīng)將個(gè)人金融信息泄露的途徑限于兩種情形：（1）因網(wǎng)絡(luò)安全事件造成的個(gè)人金融信息泄露；（2）被保險(xiǎn)人的高級管理人員或雇員在處理業(yè)務(wù)時(shí)利用職務(wù)便利單獨(dú)或與他人共同實(shí)施不忠誠行為造成的第三者（客戶）個(gè)人金融信息泄露事件。以上兩種情形依法均應(yīng)由被保險(xiǎn)人承擔(dān)經(jīng)濟(jì)賠償責(zé)任。

3.將精神損害賠償列為保險(xiǎn)責(zé)任

消費(fèi)者個(gè)人信息泄露事件大多數(shù)會造成相關(guān)人員精神上受到困擾和損害。然而，由于精神損害的界定難以商榷，大多數(shù)保險(xiǎn)產(chǎn)品將精神損害置于除外責(zé)任范疇，這導(dǎo)致金融產(chǎn)品或服務(wù)的消費(fèi)者權(quán)益不能得到充分保障。基于《民法典》侵權(quán)責(zé)任編對精神損害賠償責(zé)任的完善，將“因發(fā)生第三者（客戶）個(gè)人金融信息泄露造成其嚴(yán)重精神損害，依法應(yīng)由被保險(xiǎn)人承擔(dān)的損害賠償責(zé)任”列為保險(xiǎn)責(zé)任，無疑為金融消費(fèi)者注入了強(qiáng)心劑，有利于金融機(jī)構(gòu)產(chǎn)品或服務(wù)的優(yōu)化。

（二）建立統(tǒng)一的個(gè)人金融信息界定標(biāo)準(zhǔn)

由于個(gè)人信息泄露責(zé)任保險(xiǎn)發(fā)展的滯后性，以及專門針對個(gè)人金融信息泄露的責(zé)任保險(xiǎn)的創(chuàng)新性，保險(xiǎn)業(yè)內(nèi)尚未建立該險(xiǎn)種中對于“個(gè)人金融信息”界定的統(tǒng)一標(biāo)準(zhǔn)，更多依賴于其他法律法規(guī)對個(gè)人金融信息的釋義，這將十分不利于該險(xiǎn)種的規(guī)范與監(jiān)督。而個(gè)人金融信息的界定關(guān)乎保險(xiǎn)標(biāo)的的明確，是個(gè)人金融信息泄露責(zé)任保險(xiǎn)設(shè)計(jì)的關(guān)鍵（顧雷，2020）。所以，從長遠(yuǎn)來看，保險(xiǎn)業(yè)內(nèi)針對個(gè)人信息泄露責(zé)任保險(xiǎn)建立統(tǒng)一的個(gè)人信息范圍界定標(biāo)準(zhǔn)，是必要之舉。這不僅有助于有關(guān)部門對該類保險(xiǎn)產(chǎn)品監(jiān)督管理工作的開展，也有利于該險(xiǎn)種的持續(xù)健康發(fā)展。

由于個(gè)人金融信息具有廣泛性的特點(diǎn)，保險(xiǎn)公司不妨直接引用某一條例的釋義。例如，可以參考2020年2月13日中國人民銀行正式發(fā)布的《規(guī)范》，其將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1的三個(gè)類別（寧宣鳳等，2020），可以此為參考，作為個(gè)人金融信息泄露責(zé)任保險(xiǎn)中對個(gè)人金融信息的釋義。

（三）建立事后舉證責(zé)任倒置機(jī)制

由于社會公眾有關(guān)金融信息的安全意識較為薄弱，缺乏警惕性，加之地位的不對等，大多數(shù)金融消費(fèi)者在個(gè)人信息權(quán)受到侵犯時(shí)往往由于舉證困難而無法有效保護(hù)自己的權(quán)益。因此，為保持平衡，在相關(guān)信息泄露事件的訴訟中，不妨將舉證責(zé)任倒置，要求信息處理方，即金融機(jī)構(gòu)主張不存在侵權(quán)事實(shí)（蔡大順，2019）。

在這種情況下，由于舉證責(zé)任倒置機(jī)制在國內(nèi)外金融信息泄露訴訟事件中缺乏相關(guān)先例作為參考，擁有相關(guān)資源的保險(xiǎn)公司不妨嘗試與不同類型金融機(jī)構(gòu)進(jìn)行試點(diǎn)合作。通過承保個(gè)人金融信息泄露責(zé)任保險(xiǎn)，保險(xiǎn)公司在事后主導(dǎo)或協(xié)助金融機(jī)構(gòu)（被保險(xiǎn)人）開展事后的舉證工作。此舉一方面可以有效地降低金融機(jī)構(gòu)（被保險(xiǎn)人）因金融信息泄露而導(dǎo)致的經(jīng)濟(jì)損失；另一方面，保險(xiǎn)公司也能在舉證工作中不斷積累實(shí)踐經(jīng)驗(yàn)，用于個(gè)人金融信息泄露責(zé)任保險(xiǎn)產(chǎn)品的服務(wù)，形成良性循環(huán)。

（四）探索專門針對非持牌金融機(jī)構(gòu)的個(gè)人金融信息泄露責(zé)任保險(xiǎn)

與主流的理解不同的是，在《規(guī)范》中，關(guān)于金融機(jī)構(gòu)的定義，除了專指由國家金融管理部門監(jiān)督管理的持牌金融機(jī)構(gòu)，另一類是涉及個(gè)人金融信息處理的相關(guān)機(jī)構(gòu)，即為持牌金融機(jī)構(gòu)業(yè)務(wù)提供基礎(chǔ)支持服務(wù)而需要處理個(gè)人金融信息的企業(yè)，例如電信服務(wù)商等（謝秀紅等，2016）。除此之外，近年來，我國部分互聯(lián)網(wǎng)科技公司也紛紛加入了金融業(yè)，為金融行業(yè)提供廣泛的金融服務(wù)，盼望分得一杯羹。然而，我國目前尚未出臺一部直接適用于所謂“非持牌金融機(jī)構(gòu)”的法律，以及權(quán)威的相關(guān)信用評級，這使得保險(xiǎn)公司承保非持牌金融機(jī)構(gòu)的個(gè)人信息泄露責(zé)任保險(xiǎn)時(shí)，難于估量產(chǎn)品成本，面臨更大的賠付風(fēng)險(xiǎn)。

面對日益增加的“非持牌金融機(jī)構(gòu)”，保險(xiǎn)公司應(yīng)積極將挑戰(zhàn)轉(zhuǎn)化為機(jī)遇，在探索個(gè)人金融信息泄露責(zé)任保險(xiǎn)等產(chǎn)品時(shí)，不妨先從業(yè)務(wù)較為單一的機(jī)構(gòu)入手。如面對為金融機(jī)構(gòu)提供身份驗(yàn)證服務(wù)的電信服務(wù)商，出于業(yè)務(wù)需要，能接觸到大量金融消費(fèi)者的個(gè)人電話、賬戶余額等信息，同樣面臨金融信息泄露的民事賠償責(zé)任風(fēng)險(xiǎn)。保險(xiǎn)公司可根據(jù)實(shí)際業(yè)務(wù)需求，為該類電信服務(wù)商制定合適的費(fèi)率，提供具有定制化條款的個(gè)人金融信息泄露責(zé)任保險(xiǎn)。待承保、理賠、事后反饋等流程和機(jī)制成熟后，保險(xiǎn)公司再向從事復(fù)合業(yè)務(wù)的非持牌金融機(jī)構(gòu)領(lǐng)域進(jìn)一步探索。