数字人民币应用中个人金融信息的风险及其法律防范

‘齐齐哈尔大学学报“(哲学社会科学版)
2023年10月
Journal of Qiqihar University(Phi&Soc Sci)
Oct.2023　
收稿日期:2023-08-06
作者简介:王小丽(1980-),女,副教授,博士㊂主要从事金融法研究㊂
基金项目:教育部规划基金项目:经济应急法制研究(22YJA820002)
数字人民币应用中个人金融信息的风险及其法律防范
王小丽
(安徽财经大学法学院,安徽蚌埠233030)
摘　要:随着数字人民币应用场景的不断拓展和场景创新的不断提速,个人金融信息逐渐丰富,使用更加频繁,个人金融信息风险也相伴而生,主要表现为数字人民币应用中个人金融信息面临的技术风险㊁数字人民币指定运营机构对个人金融信息扩张性使用的风险以及中国人民银行 集中化”存储个人金融信息的风险等㊂尽管现阶段我国个人金融信息保护法律法规逐渐增多,成效明显,但是针对数字人民币应用中个人金融信息风险的法律防范还存在一些问题,如立法规制的分散性㊁监管机制的滞后性㊁救济机制的单一性以及指定运营金融机构对个人金融信息授权使用自律的欠缺性等㊂因此,亟需通过健全数字人民币个人金融信息保护的立法体系㊁完善数字人民币个人金融信息风险的监管机制㊁建立多元化的救济机制以及强化指定运营金融机构对个人金融信息授权使用的自律义务等措施,以完善数字人民币应用中个人金融信息风险的法律防范㊂关键词:数字人民币;个人金融信息;应用风险;法律防范
中图分类号:D922.282 文献标识码:A 文章编号:1008-2638(2023)10-0111-06
The Risk of Personal Financial Information and Its Legal Prevention in the Application of E -CNY
WANG Xiao -li
(School of Law,Anhui University of Finance and Economics,Bengbu Anhui 233030,China)
Abstract :With the continuous expansion of E-CNY application scenarios and the continuous acceleration of scene innovation,
personal financial information is gradually enriched and used more frequently,and personal financial information risks are also accompa⁃
nied.The main manifestations are the technical risks faced by personal financial information in the application of E-CNY,the risks of the expanded use of personal financial information by the designated operating institutions of E-CNY,and the risks of centralized”
storage of personal financial information by the People's Bank of China.Although laws and regulations on the protection of personal fi⁃nancial information are gradually increasing in China at this stage,and the effectiveness is obvious,there are still some problems in the legal prevention of personal financial information risks in the application of E-CNY,such as the decentralization of legislative regula⁃
tion,the lag of supervision mechanism,the single relief mechanism,and the lack of self-discipline of authorized use of personal financial information by designated operating financial institutions.Therefore,it is urgent to improve the legal prevention of personal financial in⁃
formation risks in the application of E-CNY by improving the legislative system for the protection of E-CNY personal financial informa⁃tion,improving the regulatory mechanism for E-CNY personal financial information risks,establishing a diversified relief mechanism,and strengthening the self-discipline obligation of designated operating financial institutions to authorize the use of personal financial in⁃
formation.
Key words :E-CNY;personal financial information;application risk;legal prevention
2023年以来,数字人民币试点应用场景不断丰富㊁拓
展,并取得显著成效:数字人民币 乘车码”应用场景开始运
行;数字人民币购买场外理财产品功能正式上线;社保卡加载数字人民币支付逐步探索等㊂具有法偿性㊁数字性和可控匿名性的数字人民币更注重与持有者之间的身份关联,因此记载了用户的大量个人金融信息㊂[1]个人金融信息是金融领域的个人信息,是个人信息的子概念㊂其不仅包括个人金融账户及账户内的交易信息,还包括与此关联的金融机构获取
的其他个人信息(如个人基本信息㊁生物识别信息㊁其他财产信息等)以及由此而衍生的新的个人信息(如客户画像等)㊂[2]目前,数字人民币正处于试点应用阶段,由于其便捷性㊁可离线性交易等优势,备受金融消费者的青睐,在数字人民币应用过程中个人金融信息也将更加丰富,个人金融信息使用也将会更加频繁,[3]而因个人金融信息而衍生的风险也会如影随形,与日俱增㊂因此,有必要在平衡数字人民币应用与个人金融信息保护利益视角下,探讨数字人民币应用中个人金融信息的风险及其法律防范问题,以防患于未然,推进数字人民币可持续发展进程,促进我国金融行业的数字化转型㊂
一、数字人民币应用中个人金融信息面临的主要风险
为保障数字人民在试点应用阶段的顺利进行和保护数字人民币用户的个人金融信息,监管部门采取了一系列信息严密控制方案,如采用 小额匿名㊁大额可溯”的可控匿名制度㊁电子钱包设计等㊂但是,数字经济时代下,金融科技的发展使得金融数据风险的来源具有多样性,风险贯穿于整个金融科技数据的生命周期㊂因此,在数字人民币应用中也将会存在着个人金融信息的安全隐患㊂
(一)数字人民币应用中个人金融信息面临的技术风险
随着数字技术的发展和金融互联网化的不断创新,以区块链㊁云计算等技术为基础的新型电子加密货币应运而生㊂作为一种以数据编码为表现载体㊁依托于网络技术系统的数字人民币会存在一定的技术风险,进而会导致数字人民币用户个人金融信息的安全受到一定影响㊂
1.黑客攻击的风险
一直以来,全球范围内的金融领域始终是黑客攻击的主要目标,黑客在攻击金融机构时个人金融信息也是其企图获取的重要内容㊂数字人民币是利用区块链分布式账本技术基础而产生的,在数字人民币财产信息中既包含用户的个人身份信息㊁资产信息等,也存储着仅为用户个人知悉的密码㊂当数字人民币系统中账户与密码信息验证一致时,个人用户就能进入自己的数字人民币账户进行交易操作㊂由于区块链技术分布式账本具有的不可篡改性和可追溯性等特性可能会出现区块链上个人金融信息公开㊁透明的情形,导致数字人民币用户个人金融信息被不法人员恶意利用;同时,网络高科技安全也会存在一定隐患,对于黑客而言,可能会极易攻破区块链分布式账本规则门槛,自由出入数字人民币账户系统,导致用户数字货币信息泄露的风险以及财产损失的严重后果㊂[4]
2.系统缺陷的风险
现在,云计算㊁区块链等科技充分运用到金融领域中,金融科技发展突飞猛进㊂但是,现阶段金融科技应用中的信息保护与其内在的风险等级并不是相一致的,金融科技应用中配套基础设施以及数据安全保护的实施滞后于当前区块链㊁云计算等业务功能的发展㊂当前,数字人民币试点应用如火似荼,数字人民币应用会与传统电子支付系统一起合作,进而使得数字钱包系统与传统电子支付系统产生交互情形,一方面,数字人民币的试点㊁推广及使用需要借鉴传统电子支付系统的先进经验和技术,但另一方面,由于这些电子系统的技术缺陷性,可能会导致数字人民币用户个人金融信息泄露与财产损失的风险㊂[5]在数字人民币试点应用阶段,其较弱的技术系统安全性将极易增大个人金融信息遭受侵害的风险㊂
(二)数字人民币指定运营机构对个人金融信息扩张性使用的风险
1.个人金融信息过度收集的风险
在大数据时代,用户的数据信息作为金融机构的重要资源,一般被称为 数据时代的石油”㊂数字人民币在试点应用中是采用双层运营模式,首先,由央行向商业银行等指定运营机构发行数字人民币;然后,再由商业银行㊁第三方支付平台等指定运营机构向金融消费者提供数字人民币具体的各种金融服务㊂在数字人民币应用过程中用户主要通过数字人民币钱包载体来使用数字人民币,作为商业银行等指定运营机构具有办理数字人民币钱包的法定资质,是能够接触数字人民币用户金融信息的主要中介㊂指定运营金融机构会根据数字人民币消费者个人金融信息识别的程度不同,为其办理不同级别数字人民币钱包,使用额度也会有所差别㊂当数字人民币消费者向商业银行等指定运营机构提交的个人金融信息量越多,其数字人民币钱包级别可能会越高,相应地可供使用的数字人民币额度也会越大㊂在此情形下,商业银行等指定运营机构会在追求更多经济利益驱使下,可能最大限度地去收集数字人民币用户的个人金融信息,以用于企业的商业化运营㊂这些扩张性使用个人金融信息的问题通常会表现为缺乏个人信息隐私协议㊁超范围和非必要采集个人金融信息以及采集使用个人金融信息的范围界定模糊等情形㊂在目前数字人民币试点中,就存在一些过度收集数字人民币用户个人身份信息的现象㊂例如,在办理 翼支付APP”数字人民币线上业务时不仅需要用户的手机号码和账号信息,同时还需要个人的身份号码等信息,不然就不予开立数字人民币电子钱包账户㊂显然,这种过度收集数字人民币用户个人身份信息的行为与数字人民币运行中的 可控匿名”原则是不相符合的㊂
2.强制数字人民币用户授权的风险
在数字人民币应用中,商业银行等指定运营机构迫切需要社会公众的数据资源,加之大数据共享与挖掘技术的发展,使得个人金融信息共享将会成为一种趋势㊂在此情形下,数字人民币用户与商业银行等指定运营机构之间的信息明显是不对称的,后者可能就会利用 一揽子授权”㊁ 霸王条款”等方式取得数字人民币用户的授权,个人用户在接受数字人民币支付金融服务时就会失去自主选择权,要么全盘接受,要么完全退出㊂另外,商业银行等指定运营机构在共享个人金融信息时拥有更多的解释权限,使得数字人民币用户丧失对其个人金融信息的自控权,而且,隐私协议中对数字人民币用户 告知-同意”的保护模式也将会逐渐被架空,从而违背保护金融消费者的初衷,
(三)中国人民银行 集中化”存储个人金融信息的风险
在数字人民币双层运营体系中,中国人民银行拥有数字人民币的唯一发行权,对数字人民币系统实施中心化管理,处于主导地位㊂中国人民银行发行库存储数字人民币的发行量和流通量,而央行具体负责管理数字人民币的是三个中
211齐齐哈尔大学学报(哲学社会科学版)　
心,包括登记中心㊁认证中心和大数据分析中心㊂其中,登记中心负责对数字人民币发行㊁流通等全过程进行登记,记录保留数字人民币用户的交易信息,以保证中国人民银行和商业银行的数字人民币权属信息保持一致;认证中心则负责记录和存储数字人民币指定运营机构和持有用户的账户㊁身份及其他资料信息,是维护系统安全和匿名设计的关键环节;[6]大数据分析中心则主要通过对上述信息进行指标分析以监测是否存在反洗钱㊁违法支付交易等行为,承担数据分析与监控等职能㊂因此,在数字人民币运营系统中中国人民银行是最大的个人金融信息存储者,对数字人民币用户大量的个人金融信息进行 集中化”的收集㊁保存㊁使用和处理㊂在这种集中化存储模式下,一旦遭遇数字人民币系统内部自身缺陷㊁外部黑客攻击或者相关工作人员泄密等情形时,就有可能出现数字人民币用户个人金融信息大规模泄露的风险,不仅会侵害数字人民币用户个人的隐私和财产权益,还可能会加剧金融系统的安全隐患,对社会经济秩序和公共利益产生严重影响㊂因此,在数字人民币应用过程中,中国人民银行不仅需要重视数字人民币用户个人金融信息的利用与监管之间的平衡,还要重视数字人民用户个人金融信息权益保护和公共安全维护之间的平衡㊂
二、数字人民币应用中个人金融信息风险法律防范的现状与问题
(一)数字人民币应用中个人金融信息风险法律防范的现状
随着数字经济深入发展,个人信息日益成为公民人格权的重要组成部分,个人信息保护的法律体系也逐渐建立健全㊂我国不仅在‘民法典“㊁‘网络安全法“及‘数据安全法“等基本法律中规定了相关个人信息保护制度,还专门出台
‘个人信息保护法“,从而构建起我国个人信息法律保护的完整框架㊂在现行‘中国人民银行法“㊁‘商业银行法“㊁‘证券法“㊁‘保险法“㊁‘反洗钱法“等专门金融法律中就不乏有针对个人金融信息保护的相关条款㊂另外,有关个人金融信息保护的行政法规㊁部门规章随着数字金融的推进也逐渐增多,法律保护也更具有针对性㊂如国务院制定的‘征信业管理条例“就对征信业务及其相关行为进行了规定㊁中国人民银行制定的‘金融消费者权益保护实施办法“则对 个人金融信息保护”予以专门规定㊁前银保监会出台的‘银行业金融机构数据治理指引“更是明确了监管机构在金融数据治理方面的监管理念㊁监管方式和监管标准等㊂此外,‘个人金融信息保护技术规范“‘金融数据安全分级指南“等规范性文件则对个人金融信息提出了更细致㊁可操作性强的规范性要求㊂涉及个人金融信息保护条款的部门规章还包括‘个人存款账户实名制规定“‘关于银行业金融机构做好个人金融信息保护工作的通知“等㊂
综上,就我国目前法律法规㊁部门规章等规范性文件而言,关于个人金融信息保护的法律内容逐渐增多,从早期的银行业和征信业逐步扩展到整个金融机构㊂同时,有关个人金融信息保护的法律框架逐渐体系化,为金融监管机构加强个人金融信息保护㊁防范打击侵害个人金融信息行为提供了较完备的法律依据㊂但是,不可否认在金融科技快速发展背景下保障个人金融信息安全的法律制度依然存在较多问题,尤其在数字人民币应用发展中个人金融信息风险法律防范机制更有待完善㊂
(二)数字人民币应用中个人金融信息风险法律防范存在的主要问题
1.立法规制的分散性
随着金融科技的发展,近些年我国才逐渐注重对个人金融信息的法律保护㊂其中,有的法律法规出台时间较迟,有的法律规定并不全面,欠缺可操作性㊂整体而言,个人金融信息监管的立法规范相对分散,立法位阶较低,尚未形成有效的个人金融信息保护的法律体系㊂例如,2021年出台的‘个人信息保护法“无疑是我国个人信息保护立法的一大进步之举,但是这部法律主要规范个人信息,并未对个人金融信息进行明确的具体规范;针对性相对较强的‘个人金融信息保护技术规范“只是中国人民银行规定的一个推荐性工作标准,强制性有限,执行力较弱;而一些监管机构出台的个人金融信息保护规范性文件,对于监管主体的职责权限㊁处罚方式标准等内容规定的较少,很难成为监管机构认定和处罚侵犯个人金融信息违法行为的有效依据㊂总之,目前分散于不同法律法规和部门规章中的个人金融信息立法难以有效规制随数字金融发展而不断引发的个人金融信息侵权行为,尤其对数字人民币应用中个人金融信息保护更将困难重重㊂
2.监管机制的滞后性
一是监管模式的滞后㊂由于数字人民币交易的便捷性㊁可控匿名性等属性符合社会大众的支付需求,其试点应用规模和场景不断拓展,因此在数字人民币应用场景中个人金融信息会成为数据金融中基础的生产要素之一,金融机构也会通过利用个人金融信息以提高金融服务的有效性和精准性㊂显然,金融科技背景下数字人民币应用中这种 技术化”的利用使得侵害个人金融信息的风险更加具有隐蔽性和系统性,显著区别于我国传统人民币使用中侵害个人金融信息的风险㊂因此,传统静态的金融监管理念和模式就具有一定的滞后性,不能及时适应数字人民币应用中个人金融信息风险的应对㊂我国传统金融监管模式主要是一种静态监管, 通过事先制定规则要求金融机构等遵守规则,一旦金融机构等违法,监管机构就会发出监管指令,轻则警告,重则彻底查封㊂”[7]随着金融科技手段的日益更新,风险形式也会随之演变㊂金融科技背景下数字人民币的应用使得监管者和被监管者之间存在着掌握技术与个人金融信息的不对称性,若依赖传统金融监管模式,通过金融机构报送材料㊁现场检查等方式则很难实现监管的有效性㊂因此,在数字人民币应用中,通过事先既定的法律规则并不能及时有效防范个人金融信息风险的动态性变化,监管模式的滞后性极易产生监管真空或监管套利的问题㊂
二是监管主体的困境㊂产生于金融科技基础之上的法定数字货币具有传统货币无法比拟的优势,其交易的便捷性㊁可控匿名性等特征越来越受到广大公众的青睐㊂随着数字人民币试点规模与场景的不断拓展,数字人民币用户也在不断增加,数字人民币个人金融信息也在逐渐积累汇集㊂目前我国金融监管机构中尚未设有真正意义上的专门的个人金融信息监管部门㊂央行负责发行数字人民币,由其实施数
311
　第10期数字人民币应用中个人金融信息的风险及其法律防范
字人民币用户交易资格的实名认证,并向其发布交易密钥,同时负责对数字人民币交易平台及交易㊁流通等行为进行密切监控㊂由于数字人民币是依托于区块链技术基础而产生的一种数字货币,其交易行为一般需要通过分布式记账技术以及点对点的方式才能完成,显然此种交易的数字性和匿名性给我国现行人民币监管体系带来严峻的挑战㊂现行金融监管主体体系滞后于数字人民币的应用与发展趋势,并不能实现对数字人民币的有效监管,不利于个人金融信息风险的法律防范㊂
3.救济机制的单一性
金融科技时代,随着数字人民币试点应用场景的不断深入和拓展,个人金融信息风险的来源将逐渐增多,这些风险也更具复杂性和隐蔽性㊂个人金融信息遭受侵害的风险并不会固定地出现在数字人民币发行㊁流通或结算中的某个环节,而可能贯穿于整个数字人民币的运行过程,在金融机构和监管部门对个人金融信息的进行采集㊁存储㊁共享㊁统计以及传输等各个环节,都有可能会引发个人金融信息泄露㊁盗用以及财产损失等系列风险㊂当个人金融信息一旦被相关主体采集,就如同进入了浩瀚的大数据海洋,在数字经济时代背景下,个人金融信息的共享和流转过程会涉及多方主体㊂至于个人金融信息具体在什么环节出现了风险㊁侵权的主体是谁等问题,作为金融消费者仅凭个人的力量是很难识别甚至是无法认知到,更别说对这些侵权行为进行技术上或者法律上的认定㊂目前,如果金融消费者的个人金融信息被侵害,有的会向金融机构的监管部门或者其负责人进行投诉,有的会直接提起诉讼㊂由于个人金融信息一般由金融机构保管,金融消费者在诉讼过程中会面临着举证的困境,而且传统诉讼程序中审限较长,时间成本也比较高㊂因此,在数字人民币应用场景下,即使用户知晓其在数字人民币使用中存在遭受侵犯信息权益的行为,但是在提起侵权之诉时,对于如何举证㊁如何明确因果关系乃至如何确定损失赔偿范围等问题时也会举步维艰㊂[14]可见,目前由于我国实体法律对于个人金融信息主体的保护不足,程序法律中也没有做特别规定,导致无论在诉讼程序还是在裁判结果层面,都不能充分体现出对个人金融信息主体的倾斜保护,从而使金融消费者在维权时面临救济机制不足的困境㊂
4.指定运营金融机构对个人金融信息授权使用自律的欠缺性
我国数字人民币试点应用模式依然遵循传统的 中央银行-商业银行”双层运营体系㊂‘数字人民币研发进展白皮书“中指出由中国人民银行负责数字人民币的发行㊁注销㊁跨机构互联互通和钱包生态管理等工作,而指定运营金融机构则根据客户身份识别制度为其开立不同类别的数字人民币钱包等工作㊂基于此,中国人民银行对数字人民币个人金融信息拥有监管权力,能够授权第三方即运营机构获取相应的数字人民币个人金融信息㊂同时,指定运营机构基于管理的需要则负责数字人民币个人金融信息的收集㊁记录等行为㊂在数字人民币具体应用场景中,指定的商业银行运营机构主要负责具体的数字人民币业务的实施㊂对于匿名化的数字钱包,商业银行只需要记录相应的交易,而对于非匿名化㊁大额的数字人民币钱包,商业银行还需要收集用户相应的身份信息,作为开立非匿名数字钱包㊁进行数字人民币钱
包业务的基本依据㊂ 知情-同意”原则是我国个人信息法
律保护的基本框架,但是在我国浩瀚数据的金融领域,有些
运营金融机构对个人金融信息保护并没有充分尽到遵守 知情-同意”原则的义务㊂数字时代背景下,数据资源往往被认为是数字经济发展的重要引擎,得数据者得天下,而个
人金融信息更因其丰富的财产要素内涵而逐渐成为各金融
机构竞相争夺的重要资源之一㊂个人金融信息的价值主要
体现为可以为金融机构的业务发展提供优质数据的支撑,因
此,很多金融机构会通过市场竞争获取更多的金融消费者客
户和掌握更多的个人金融信息㊂而个人金融信息使用中 知
情-同意”原则的保护方式,对指定运营金融机构而言会增
加其运营成本,限制其个人金融信息的收集㊂因此,有的金
融机构会加大投入隐私公告的合规成本,认为只要金融消费
者同意,金融机构就可以合理规避个人金融信息使用的法律
风险,而忽视个人金融信息在收集环节后续的共享㊁流转等
处理行为中所涉及的泄露㊁滥用等风险㊂近年来,由于部分
金融业机构信息内控机制不健全㊁个人信息保护职责不到位
等问题,导致侵害金融消费者个人金融信息权益的违法违规
行为时有发生㊂
三、数字人民币应用中个人金融信息风险法律防范的完
善
(一)健全数字人民币个人金融信息保护的立法体系
完备金融市场基础设施建设的核心要素离不开明确㊁健
全和可执行的法律依据㊂[9]因此,需要对现行货币法律规范体系予以完善,以有效规制数字人民币的应用,对数字人民币应用中个人金融信息安全提供法律保障,防止数字人民币试点运营及未来普及推广过程中产生的个人金融信息风险㊂尽管金融科技背景下数字人民币应用是大势所趋,不过就现行货币体系下金融立法体例来说,并没有必要单独制定专门的‘法定数字货币法“,应统筹金融法律体系的完整性和协调性,在现行货币法律规范体系基础上进行修改或补充相关内容,例如可以明确规定法定数字货币的法律属性㊁权力配置和职责承担;可以明确法定数字货币的权利流转规则㊁救济方式等以保护数字人民币用户的合法权益㊂[10]在完善法定数字货币法律规范体系的同时还应健全数字人民币应用中个人金融信息保护的法律规范,例如可以明确金融信息和金融数据的权属;可以加大对侵犯个人金融信息违法行为的处罚等,进而能够结合个人金融信息的特殊性对其予以特别保护,防范数字金融发展下不断涌现的个人金融信息风险㊂一方面,在现行‘个人信息保护法“基础上,可以构建我国动态化㊁系统化的个人金融信息保护法律规范体系㊂针对个人金融信息的特殊性,可以以数字人民币应用场景为规制范畴构建动态化㊁系统化的个人金融信息保护规范,[11]进一步细化金融机构严格按照法律法规的要求收集㊁保存㊁使用㊁销毁等处理个人金融信息的权责,以防止数字人民币应用中个人金融信息的风险㊂
另一方面,由于金融科技背景下法定数字货币应用不断
推进和拓展,因此应不断转型升级个人金融信息保护的法律
法规㊂首先,需要从注重对金融隐私的严格保密转变为对个
411齐齐哈尔大学学报(哲学社会科学版)　。