摘要：大数据时代金融行业的发展离不开金融数据的流通，但是这对消费者金融信息的保护造成了很大的威胁。知情同意规则是消费者金融信息保护中的一项重要规则，但是当前的发展仍然面临着许多障碍，因此我们应当在现有规则的基础上寻找能够更加适应大数据时代的适用路径，通过将“强保护”模式转化为“弱保护”模式、简化隐私政策、加强惩罚力度以及完善权利救济的途径来完善知情同意规则的适用，从而健全对消费者金融信息保护的相关法律制度，更好地实现金融数据的利用。

关键词：知情同意规则；消费者金融信息保护；“弱同意”模式

1问题的提出

信息技术在不断的发展，随之带给我们的就是大数据时代的到来，大数据给我们带来了数字化、智能化的巨大便利的同时也产生了很大的负作用，即给消费者个人信息带来的威胁。历史上消费者信息遭到泄露的事件数不胜数，比如Facebook用户敏感数据泄露事件、雅虎账户遭遇入侵事件等都给消费者的个人信息权益带来了巨大的损失。而根据近些年的统计结果来看，消费者金融信息泄露的事件层出不穷，给消费者的权益带来了一些损害，也严重影响了金融行业的发展。

当前我国的金融行业也正处在快速发展的阶段，金融行业是信息和数据流最多的行业之一，金融机构在进行商品销售以及服务提供的过程当中对消费者的金融信息进行了大量的掌握，对这些信息进行进一步的加工和利用为金融机构带来了巨大的经济效益，但是这种行为大多数情况下是在消费者完全不知情的时候进行的，给消费者的信息权益带来了巨大的损失。消费者信息在金融行业的发展中至关重要，但当个人信息权益与经济利益产生矛盾时，由于消费者个人处于弱势地位，其金融信息很容易遭到泄露或者被非法利用，这会给消费者的金融信息权益带来非常大的损害，而处于弱势地位的消费者也很难为自身受到的侵害进行维权。同时，如果对消费者金融信息采取过于严格的保护方式，这便会对大数据时代数据的利用产生一定的阻碍，不利于大数据时代的发展。

因此，在大数据时代下应当如何在不阻碍金融数据的利用与共享的情况下来保证消费者的金融信息安全？

2大数据时代金融信息利用与知情同意规则适用的冲突

知情是指信息处理者所要履行的告知义务，告知要达到信息主体能够准确了解信息的收集者、处理者以及处理信息的目的和范围等。但是信息处理者的告知义务只要达到合理的程度即可，即以普通用户的标准予以判断，只要具有正常认知能力的人能够对信息处理行为的相关事项有所理解即可。而同意则是指信息主体对信息处理的相关事项进行了一定的了解之后，在认识能力范围内作出同意信息处理者对其信息进行处理的意思表示。

然而，如果将知情同意规则置于大数据时代之中，这项规则有时便显得苍白无力。许多学者已经提出知情同意规则不再适用于我国当前的发展现状，主张进行路径重构。范为提到传统的知情同意规则已经面临着十分严重的困境，不仅不能充分的保护好消费者的隐私信息，对企业的发展来说更是弊大于利，严重的影响了数据价值的开发以及大数据时代的发展。任龙龙也提出在大数据时代之下，信息处理者处理个人信息时能够保证未对消费者的信息进行滥用即可，已经不需要继续适用传统的个人信息保护方式进行规范了，因此对个人信息处理行为是否具有正当性的认定方面应当认为同意并不是对个人信息进行处理的正当性基础。吴泓认为大数据时代，信息主体面临着越来越多的困境，这些问题造成了信息主体与信息处理者之间的紧张对立关系，不利于信息社会的可持续发展，因此应当建立起两者之间的信赖机制，形成信赖社会。

尽管学者们的观点否定了知情同意规则存在的必要性，但是我国法律仍然对其保持了肯定的态度，承认其存在的合理性。原因在于，金融机构通过对大量消费者金融信息的收集、利用和共享从而获得了巨大的经济利益，而金融机构对消费者金融信息的获取及利用大多是在消费者不知情的情况下完成的，这就导致了消费者在完全不知情的状态下将自身的金融信息全部公开透明于金融机构之下，并且对消费者金融信息的利用也尚未告知消费者，没有尽到充分告知的义务，也未经过消费者的明确同意，这是对消费者金融信息的不当利用，严重损害了消费者的金融信息权益，对消费者产生了非常不利的后果，也严重影响金融行业的持续健康发展。

我国至今尚未在法律层面对消费者金融信息的概念进行界定，只有在个别文件中有所涉及。中国人民银行发布的《个人金融信息保护技术规范》中将“个人金融信息”规定为“金融机构提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。主要包括账户信息、鉴别信息、金融交易信息、个人身份信息等信息以及其他能够反映特定个人情况的信息。”而《中国人民银行金融消费者权益保护实施办法》（以下简称“金消保办法”）在第三章中对消费者金融信息保护的内容进行了相应的规定，其中第28条规定了消费者金融信息的概念：“是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息，主要包括个人身份信息、财产信息、账户信息等以及其他与消费者购买、使用金融产品或者服务相关的信息。”就其特征来讲，首先是消费者金融信息的高度财产关联性，消费者金融信息中的个人身份信息基本可以精准地识别到个人，而个人财务信息便可以了解到个人的财务状况，不仅包括正面信息，比如存款状况，还包括负面信息，如债务欠款、扣押财产等。消费者金融信息在金融机构面前几乎无隐私可言，信息一旦遭到泄露或者非法利用，带来的财产损失以及人身侵害将是不可估量的。其次是消费者的金融信息兼顾了私益性和公益性，在私益性方面，金融信息是一般个人信息衍化的结果，是对某个特定人的标识和描述，是私人领域的产物，归属于某个特定的个人，具有私益属性；从公益性上看，金融信息是公共的、是可以共享的。尽管我们应当保护金融信息的私密性，但也应当保障社会公众的知情权，比如在进行借款时充分了解借款人的贷款情况、信用情况以及偿还能力等信息，也是对出借人相关权益的保障。而金融机构之间的信息共享也是存在一定的合理性的，如果金融机构之间是相互隔绝的，那么他们就不能完全掌握借款人所有的欠款信息，就无法对贷款安全进行全面准确的风险评估，金融业务开展就会存在困难。因此，金融信息的公共性和共享性是十分重要的。

综上所述，我们不能否认过度的信息保护会阻碍金融机构对数据的利用，影响大数据时代的发展，但我们也不能一味的为了追求经济利益而忽视对消费者金融信息权益的保护，因此，在不阻碍甚至促进金融数据利用以及共享的基础上实现对消费者金融信息的法律保护至关重要。

3知情同意规则在金融领域的立法现状及适用困境

我国在相关立法中已经对消费者金融信息保护中的知情同意规则进行了一些相应的规定，但是尚不完善。在当下的大数据时代，随着信息的批量处理、多方共享等行为加大了获取有效同意的难度，并且过于严格的保护方式也限制了数据时代的发展，知情同意规则陷入了发展的困境之中。

3.1立法现状

《民法典》第1035条对信息处理者在处理个人信息时应当遵循的基本原则进行了相应的规定。并创新性地提出了处理个人信息要取得自然人或者监护人的同意这一规定，这一规定，使得“同意”不再是一种过于抽象的原则，而变成了一种更为具体的适用规则，《个人信息保护法》中对于“同意”规则作出了更为具体的规定，第13条规定了个人信息处理者处理个人信息时要取得信息主体的同意，14条又规定了该同意是在信息主体充分知情的前提下自愿的、明确的做出的，这一系列的规定都在强调信息主体进行同意的重要性。

除此之外，《个人信息保护法》还在《民法典》的基础之上更加详细的对个人信息的相关内容进行了规定，主要包括了处理个人信息应当遵循的相关规则、个人信息处理者的义务以及侵害个人信息权益应当承担的法律责任等。其中的一大亮点就是创造性的提出了“敏感个人信息”的概念，并将生物识别、医疗健康、金融账户等信息规定为“敏感个人信息”，“敏感个人信息”是相对于一般个人信息而言更重要、更容易受到侵害且损害不可逆的重要个人信息，将金融账户列入到“敏感个人信息”中，突出了金融信息对于个人的重要性，也是我国首次在立法中对消费者金融信息的保护进行了明文规定，并在28、29、30条规定了处理“敏感个人信息”的相关规则。但不足之处在于，仅仅规定了金融信息属于“敏感个人信息”，但是没有对金融信息进行专项的保护，仍然属于原则性的规定，与其他“敏感个人信息”进行统一化的保护，并没有达到我们对消费者的金融信息进行特殊保护的目的。

中国人民银行发布的“金消保办法”，对消费者金融信息的保护提出了更为详细的规定，主要包括了金融机构的行为规范、消费者金融信息的知情权和自主选择权、金融消费争议解决、金融机构监督与管理机制以及侵犯消费者金融信息权益应当承担的法律责任等问题，特别强调了银行、支付机构处理消费者金融信息时，应当经过金融消费者或者监护人的同意，并且该同意应当是明示的，在其他法律、行政法规中进行了另外规定的除外，并在31条中规定了银行、支付机构应当履行《消费者权益保护法》中规定的明示收集的义务，提出如果消费者取得同意是通过格式条款进行的，那么应当在格式条款中对消费者信息收集的各种相关信息进行明确，并在条款中以明显的方式尽可能通俗易懂地向金融消费者展示该同意的可能后果。这些条款采用了“强同意”的模式对知情同意的规则进行了相应的规定，但又留有例外空间，与《个人信息保护法》中的规定类似，即对知情同意规则的界定采取了从“强同意”模式向“弱同意”模式转变的趋势，并对格式条款中的同意规则进行了一定的创新和完善，“金消保办法”是对消费者金融信息中知情同意规则在法律条文中的首次明确规定，具有非常重大的意义。

另外，中国人民银行颁布的《金融控股公司监督管理试行办法》也是对金融机构的行为进行的相应规范，保护了消费者的金融信息权益。该办法首次在法律条文中规定了对客户信息的合法共享行为，但同时要求要保护好客户的信息权益，并在条文中规定了“强同意”模式的知情同意规则，表示金融控股机构在进行金融服务时应当充分尊重客户的知情权和选择权。该办法的相关规定既能够保证金融控股公司能够更好地利用各类信息，又能够充分保障客户的金融信息权益，是我们进行消费者金融信息保护中的一个重大进步。

3.2现实困境

（1）“强同意”的保护模式不适应大数据时代的发展

大数据是信息社会得以发展的重要因素，然而过于严格的知情同意规则可能会阻碍信息时代的发展进步。原则上讲，只要没有获得同意，金融机构擅自处理消费者金融信息的行为就是违法的。尽管采取这样严格的保护方式能够为消费者带来一定的法律保障，但由于信息时代的信息处理存在收集密集、处理频繁且多方共享的特征，要求金融机构对于每一次的信息利用都要事先获得消费者的同意，这样的做法会大大降低信息利用的效率，导致金融机构很难在信息时代获得较快的发展，这与我们实现大数据时代的发展进步的目标不相契合。

（2）知情同意规则的形式化

我们一般会把网络对于用户隐私信息保护的相关规定称之为“隐私政策”，而大多数情况下知情同意规则则是隐私政策的主要内容，知情同意规则的形式化在隐私政策的使用方面体现的淋漓尽致，在金融领域更是体现明显。

一方面，金融用户的知情权逐渐形式化。金融用户在签订隐私政策之前无法准确得知个人信息的实际去处，很难真正的了解到个人的信息具体被应用到何处。而知情规则不仅包括用户的知情权，更多的体现在金融机构的告知义务。在实践过程中，金融机构往往利用其技术、经济优势，将知情规则变为其通过隐私政策落实格式化条款的告知义务，而忽视了用户的有效知情的权利。因此，金融用户并没有真正的享有知情权，导致知情权的行使流于形式。

另一方面，金融用户的同意权也逐渐形式化。知情同意规则的初衷是将信息的处理决定权交由个人掌握，但是在实际情况中，知情同意权很难真正地发挥作用，当面对冗长的隐私政策时，用户很难真正地认真阅读条款，即使阅读也无法真正的理解，因此，更多的用户选择盲目的点击隐私政策的“同意”选项，而不会关注条款中的具体内容，这就会造成同意权的形式化，同意的作用被虚化和弱化，无法真正发挥其效果。而这事实上也成为了信息处理者在法律上免责的手段，将其收集个人信息的行为合法化。

（3）惩罚力度较轻

我国对于金融机构侵害消费者金融信息权益的行为进行的惩罚大多较轻，主要以民事责任和行政责任为主。《个人信息保护法》规定了侵害个人信息权益的信息处理者应当承担的损害赔偿责任，主要是按照个人受到的损失或者信息处理者获得的利益来进行确定的。但是，大多数的金融机构是以消费者的信息数据来得以发展，通过信息的利用与共享来获取经济利益，因此金融机构宁愿因为通过不合法的途径来获取以及利用消费者的金融信息而受到一些微不足道的惩罚，也要进行一些违法的行为，究其根源还是违法成本低，对金融机构的惩罚力度不够。

（4）权利救济存在障碍

互联网金融所涉及到的数据的处理过程一般会在计算机系统内部进行，普通消费者很难了解到数据处理的方式和程序，且大部分能够证明的信息都在金融机构手中，当损害结果发生前，个人很难察觉到自己的个人信息被不当利用，即使发生了损害后果，个人也很难对信息处理者与信息不当利用之间的因果关系进行举证，因此想要举证证明自身的个人信息权益受到侵害存在很大的困难，这便对处于弱势地位的信息主体造成了非常不利的影响，很难对个人金融信息权利进行充分的保护。

《消费者权益保护法》中规定了消费者争议解决的途径包括：与相关经营者进行自主和解、由消费者协会或者其他相关组织进行调解、向有关的行政部门进行投诉、向仲裁机构申请仲裁以及向法院提起诉讼。《个人信息保护法》第66条至71条也规定了行政处罚、民事责任、治安管理处罚以及刑事责任等的救济途径。但是，在当前大数据时代的影响下，互联网金融存在一定的复杂性，大多数的信息收集、存储、处理行为是在消费者完全不知情、毫无察觉的情况下发生的，而金融机构大多处于优势地位，当消费者的个人权益受到侵害时，很难举证证明自身受到的实际损害，维权之路面临着非常多的困难。

4知情同意规则适用的完善建议

有的学者认为知情同意不再是个人信息处理的正当性基础，主张以路径重构取而代之。但是《个人信息保护法》中的规定已经肯定了知情同意规则存在的必要性，因此革新而非完全地放弃知情同意规则，才是我国法律应对大数据挑战、进行消费者金融信息保护的正确之举。

4.1“强同意”模式向“弱同意”模式转型

知情同意中的“同意”是消费者作出的一种意思表示，主要包括明示同意以及默示同意，但是我们在进行个人信息保护中的知情同意规则的适用时大多不承认默示同意的存在，个人信息保护中的“同意”规则一般强调的是明示同意，明示同意是指信息处理者在对信息主体的信息进行处理时，必须履行充分告知的义务，必须在取得信息主体的明示同意的前提下才能对信息进行收集和利用。虽然“强同意”模式强调了对个人信息的严格保护，但这样的操作无疑会降低信息利用的效率，难以适应当下大数据时代对信息利用的要求。

因此，有学者提出将个人信息保护中的“强同意”模式转为“弱同意”模式，即在一些特定的情形下信息处理者对信息主体的信息进行合法处理时可以不经过信息主体的同意，来降低“强同意”模式带来的弊端，一定程度上限制明示同意的适用。我国《网络安全保护法》采取的是“强同意”的模式，《民法典》第140条规定了默示可以作为意思表示，但是规定了相关的限制性条件，为“弱同意”模式的发展留有了一定的空间，而《个人信息保护法》第13条第2款以及“金消保办法”中也都规定了信息处理者可以不需要取得信息主体同意的例外情形，很大程度上削弱了“强同意”模式的影响程度，是“强同意”模式向“弱同意”模式转变的积极实践。

1.2简化隐私政策

如今大多数的隐私政策都存在冗长复杂的情况，用户很难真正地了解到隐私政策中的具体内容，也很难真正地保护到用户的信息权益，因此，将隐私政策进行简化总结，将最重要、最核心的部分进行重点展示，并以通俗易懂的表述来告知用户，减轻金融用户的阅读成本，提高阅读效率，以达到真正让用户知情，并在用户知情的情况下获得其同意，真正地发挥知情权和同意权的作用。

可以借鉴欧盟在《通用数据保护条例》（以下简称“GDPR”）中的相关规定，GDPR明确要求信息主体的“无歧义”（unambiguous）或“清晰”（explicit）的同意，要求企业在向信息主体要求同意时，必须以一种清晰且可注意到的方式，一种可以理解的方便的格式，并采取清楚直白的语言，在信息主体作出同意之前，必须确保信息主体清楚全部的相关信息。类似的规定在我国的“金消保办法”中也有所体现：“在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果”。这一系列的规定都旨在为消费者提供更加简洁明了的隐私政策，能够更好的保障消费者的知情同意的权益。

4.3加大惩罚力度

当消费者金融信息被不当收集、利用时，受到侵害的消费者有权对实施侵权行为的组织或者个人向法院提起民事诉讼，请求赔偿损失。由于大数据时代的特殊性，信息传播速度极快，且作为信息收集者和控制者的金融机构通常在侵权案件中处于优势地位，消费者很难证明自身受到的实际损害，此时应当规定消费者不必遭受实际损失，便可以到法院控诉自身信息权利受到侵害。

但是对于消费者金融信息的侵权行为造成的损害进行举证确实存在一定的困难，因此可以规定一定数额的法定赔偿金，当损害无法确定时，可以申请法定赔偿金，如果消费者受到的损害小于该法定赔偿金的，可以直接主张法定赔偿金。此外，由于消费者的金融信息不同于一般的个人信息，其具有人身和财产的双重属性，使得该信息一旦被泄露或者不当利用，造成的后果将是不可逆转的，因此，除赔偿实际损失或法定赔偿金外，还应当适当地引入惩罚性赔偿机制。此前，欧盟的GDPR之所以被称为最严格的数据保护法案，很重要的一方面在于它高昂的罚金。GDPR的罚金标准仅仅区分了两档，针对不同的违法行为：处以1000万欧元或者上一年度全球营收的2%，两者取其高；处以2000万欧元或者企业上一年度全球营收的4%，两者取其高。从条款中可以看出，GDPR并没有设置具体的罚金等级，只有最高金额的限制，当然，最高罚金只有在严重的违法行为下可以适用，在轻微侵权的情况下，也可以通过警告、申戒，要求控制者、处理者对个人数据进行更正或擦除等。我国的立法可以借鉴GDPR中的规定，引入高额的罚金机制，加大对金融机构的惩罚力度，在预防侵权方面对金融机构起到一定的威慑作用。

4.4完善权利救济途径

消费者金融信息的侵权者大多为金融机构，其对信息的处理大多存在隐蔽性，加之消费者自身对个人信息的保护并不擅长，因此个人很难察觉到个人信息被非法处理的行为，即使发现，也很难进行举证，因此如果要求个人对自身金融信息的保护和权利救济像一般侵权行为一样采用过错原则，是非常不公平的，要证明信息控制者与信息不当利用之间存在因果关系对信息主体来说是非常困难的。《个人信息保护法》则实现了对个人信息的侵权采取过错推定原则，实行举证责任倒置，这一规定能够更均衡地分配举证责任，相比过错责任而言对信息主体更为公平。

对于侵害众多消费者金融信息权益，导致众多消费者的金融信息被过度收集和利用的，可以引入公益诉讼机制。跟一般的个人信息相比，消费者金融信息更容易被大量地获取和利用，而消费者却很难察觉到，也很难举证证明，如果可以引入公益诉讼的机制，有相关组织进行协助，在讼诉程序、获取证据等方面会给消费者提供很大的帮助，为消费者的维权提供更加完善的救济途径。

《民法典》人格权编中将侵害人格权的行为赋予了被侵权者申请禁令的权利，消费者的信息权益也属于人格权的范围，当消费者的金融信息权益正在或者即将遭受金融机构的侵害，不及时进行制止将会造成无法挽回的后果的，消费者可以及时向法院申请禁令，要求金融机构停止侵犯其金融信息权益的行为。

5结语

大数据时代的到来，随之而来的是信息和数据成为了发展过程中必不可少的要素，金融领域亦是如此。消费者的金融信息权益保护与金融行业的信息利用之间的冲突是当前金融领域发展过程中的一大障碍，主要表现为知情同意规则的更新适用。尽管如今智能化、数字化、网络化十分发达的大环境下离不开信息的共享，但信息共享也需要有一定的限度，不能以牺牲消费者的金融信息来换取行业的发展，亦不能为了过度的保护消费者的金融信息权益而阻碍大数据时代金融行业的发展。

知情同意规则意味着既要保证消费者的知情权，即金融机构应当尽到充分告知的义务，又要保证消费者的同意权，在消费者完全知情的情况下同意金融机构对其信息进行相应的收集和利用。在传统的个人信息保护框架之下，知情同意是一项非常重要的规则，但是在大数据时代的冲击下，似乎逐渐失灵了，对消费者金融信息的保护产生了一些威胁，使得知情同意规则的必要性遭到了质疑，部分学者开始主张以路径重构来对消费者的信息权益进行相应的保护，但是这并非合理的，针对我国当前的发展现状，知情同意规则有其存在的必要性，并可以通过将“强同意”模式逐渐转变为“弱同意”模式、简化隐私政策、加大对金融机构的惩罚力度以及完善消费者的权利救济途径的方式，来对当前存在缺陷的知情同意规则进行创新，从而对消费者金融信息进行更加完善健全的法律保护，亦能在大数据时代实现对金融数据的利用，实现金融行业的充分发展。

参考文献：

[1]王利明：《民法典》人格权编的立法亮点、特色与适用[J].法律适用.2020年第17期，第1-5页.

[2]于柏华：处理个人信息行为的合法性判准——从《民法典》第111条的规范目的出发[J]，华东政法大学学报，2020年第3期，第90页.

[3]范为：大数据时代个人信息保护的路径重构[J]，环球法律评论，2016年第5期.

[4]任龙龙：论同意不是个人信息处理的正当性基础[J]，政治与法律，2016年第1期.

[5]吴泓：信赖理念下的个人信息与保护[J]，华东政法大学学报，2018年第1期，第31-36页.

[6]陈科宇：知情同意原则在网络隐私政策中的适用路径[J]，黑龙江生态工程职业学院学报，2023年5月第36卷第3期，第95页.

[7]黄怡帆：个人信息保护中知情同意的困境及重构[J]，东南大学学报，2022年6月第24卷，第112-114页.

[8]齐爱民：信息法原论[M]，武汉大学出版社2010年版，第58页.

作者简介：杨童舒（1999-），女，汉族，籍贯：山东省潍坊市，硕士研究生在读，主要从事经济法研究，单位：兰州财经大学。