三、金融大数据运用下的隐私权保护

虽然金融大数据的运用对于金融市场的参与主体都有着重要意义，但同时，我们也不能忽视大数据运用与生俱来存在的最大难题，即如何平衡大数据运用与隐私权保护的边界。

　　大数据广泛涉及、渗透个人隐私

隐私权是指与公众无关的、私人的事情，不为其他人所知所用的权利。在我国现行法律中，只有《侵权责任法》第二条明确提出隐私权并将其确定为民事权益。从《宪法》到《刑法》等其他单行法律、法规，虽然也都有与隐私权相关内容的表述，但都没有直接援引隐私权的概念。

隐私权作为一项民事权利，具有民事权利的权能。隐私权人对其本人的隐私依法享有占有、使用、收益、处分的权利。从法律意义上来讲，他人未经隐私权人同意，对其隐私进行收集、控制、运用、收益的行为都是侵权的。

而在大数据时代，信息抓取技术的运用使得人们在进行网络活动时，身份信息、手机号码、地址、网络搜索痕迹、手机软件的实时定位、社交动态等，在不知不觉中成为大数据的一部分，继而被数据化存储于数据库中。隐私权人逐渐对其个人隐私失去占有、控制。占有、控制这些大数据资源的机构通过对个人数据的筛选、分析、重排后，可以获得个人画像。比如，金融大数据运用下，金融机构通过收集、抓取获取个人信息，可以通过个人的基本信息、投资经历、交易数据、信用数据等，对个人进行多维度的判断。可见，在大数据运用时代，个人在数据库中将是一个“透明人”，个人隐私呈现透明状态，隐私不再是隐私。

　　大数据无序应用致侵犯个人隐私案件频发

由于技术的局限性和个人隐私数据的价值性，个人隐私数据泄露、倒卖的事件更是时有发生。

2015年2月，汇丰银行大量秘密银行账户文件被曝光，涉及约3万个账户，这些账户总计持有约1200亿美元资产，堪称史上最大规模银行泄密。

2015年6月，工行快捷支付被曝存在严重漏洞，多位北京地区的工行储户遭遇存款被盗事件，犯罪分子借助非法途径截获短信验证码，轻而易举盗窃存款。

2015年10月，支付宝用户的实名认证信息下多出了5个未知账户，而且用户没收到任何形式的确认或是告知信息，不论是短信、邮件，或者是登陆后的站内信息都没有。此种类型的个人数据信息泄露的事件不胜枚举。拥有巨量个人数据信息的金融行业是数据泄露的重灾区。

2016年9月23日，雅虎至少5亿用户账户信息被黑客盗取除了电邮、出生日期等常规信息外，密保问题的答案，乃至一些个人专门开设的、毫无规律可循的二次加密密码也被盗取。

2016年4月，土耳其爆发重大数据泄露事件，直接导致近5000万土耳其公民的个人信息遭到威胁，其中包括姓名、身份证号、父母名字、住址等敏感信息。这些数据之后被黑客打包放在芬兰某IP地址下，人们可通过P2P任意下载他们感兴趣的数据。

　　四、建议：健全法规 加强监管

　　健全完善的隐私权保护法律体系

隐私权作为一项民事权利，对其保护的基本方法有两种,即预防和救济。预防来自于立法保护，救济来自于司法保护。

从立法保护来看，除了散见于《宪法》《刑法》等法律规定中的原则性规定外，2017年6月1日起施行的《网络安全法》是我国网络领域的基础性法律，明确了加强对个人信息保护。《网络安全法》规定，网络运营者应当建立健全用户信息保护制度；应遵循公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意；不得泄露、窜改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息；不得非法出售或者非法向他人提供个人信息。

《网络安全法》的实施是个人信息安全保护的一个巨大进步，但是，从保护隐私权的角度来看还是不够的。对于隐私权的界定、隐私权的使用和处置、隐私权的救济方式等内容，还应当制定专门的法律如《隐私权保护法》等进行规定。对个人隐私权的保护，应当形成以《宪法》《网络安全法》《隐私权保护法》为基础，以《刑法》及其他单行法律为支撑的完整的法律保障体系。

从司法保护来看，在当前很多司法案件中，公民的合法隐私权益屡被侵犯，并被媒体或网络无限放大，但由于互联网的开放性、全球性、不完善性，以及隐私权侵权案件在侦查、起诉、取证、审判等方面存在诸多客观困难，导致隐私权通过司法救济的难度非常大。在司法保护方面，针对侵犯个人隐私案件取证难、举证难的问题，可适用过错推定原则，由数据控制者承担证明其自身不存在过错的责任。数据控制者本身在处理、使用数据时就须履行必要的注意义务，且其在取证、举证方面拥有技术与资金的支持，相较个人而言更具可执行性。

　　加强对金融大数据运用的监管

加强对大数据运用的监管，一方面要加强行政监管，另一方面要加强行业自律管理。

加强行政监管是指主管金融机构的行政监督管理部门，应为金融大数据的运用和客户隐私信息的保护提供行政监管保障，一方面，通过规定，明确金融机构获取客户信息的告知、采集客户信息的范围，对客户信息的保密、客户信息使用的范围，以及金融机构承担的责任等做出明确规定。另一方面，将客户隐私信息保护明确作为金融机构风险管理的重点内容。同时，监管部门应通过监管检查等多种方式对金融机构落实保护客户隐私信息进行监督。

2017年5月，中国人民银行成立金融科技(FinTech)委员会，旨在加强金融科技工作的研究规划和统筹协调。通过该举措，可以看到监管部门一方面更加强化监管科技(RegTech)的应用实践，积极利用大数据、人工智能、云计算等技术丰富金融监管手段，提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。另一方面在强化金融科技创新管理机制的同时，也充分考虑到处理安全与发展的关系。

同时，还应加强行业自律管理。行业自律管理组织可以根据监管部门的行政规定，因地制宜，因时制宜，结合行业特征，制定行业关于大数据运用及客户隐私信息保护的指引，建立《隐私权保护公约》，提供隐私权声明等文本，以充分发挥行业自律管理的作用，推动行业大数据运用的标准化，以及隐私权保护的有效性。

　　提高经营机构及个人的隐私权保护意识

由于受到历史传统、风俗习惯、文化背景、生活方式等多维因素的影响，我国的经营机构和公民的隐私意识相对来讲比较弱。因而，从根源来看，要加强对隐私权的保护，必须提高金融机构和公民的隐私权意识。

金融机构应当建立完善保密机制。一方面，增强员工法律意识，加强保密教育，与员工签订保密责任书。另一方面，加强对保密要害部门、要害部位和涉密工作人员的内控管理。此外，还要加强对业务外包单位及合作单位工作人员管理，及时消除风险隐患。

金融机构应当提高技术能力，加强金融系统信息技术的科技含量，运用先进的防火墙、身份识别与认证、数据加密、数字签名、第三方认证以及网络安全监控等技术并及时更新，确保信息及信息系统安全。

金融机构应当强化宣传教育，强化共同保护个人信息及隐私的意识。通过宣传教育，使公民明白保护其自身个人信息及隐私的权利和渠道。公民发现其个人身份信息、个人隐私被泄露、散布、滥用、买卖等，有权要求个人信息收集使用单位采取其他必要措施予以制止，并有权向有关部门举报、控告，直至依法提起诉讼。

(责任编辑：安博涛)