数据分析技术的发展推动了现代数字金融结构层级的复杂叠加及内容的丰富，这一方面有助于解决资金供需错配的难题、提升金融资源配置的效率，另一方面也催生了个人金融数据被违规收集、利用、流转甚至买卖的风险。数据因其内含的庞大价值而被视作新生产要素，个人金融数据更是涵盖交易信息、信用记录、资产状况等高价值信息，成为各方觊觎的关键资源。此背景下数据处理者之间、数据处理者与消费者之间产生了个人金融数据资源的争夺，金融机构或数据服务提供商违规处理消费者金融数据的问题泛滥，自身数据权益免受侵犯成为金融消费者的迫切需求。

当前，我国《中华人民共和国民法典》、《中华人民共和国个人信息保护法》（下简称《个人信息保护法》）、《中华人民共和国网络安全法》（下简称《网络安全法》）、《中华人民共和国数据安全法》（下简称《数据安全法》）等基本法对个人数据保护问题作出了一般性回应，却未在金融这一重要特殊场景作出专有规定。而《中国人民银行金融消费者权益保护实施办法》（下简称《金融消费者权益保护实施办法》）、《银行业金融机构数据治理指引》等文件虽对个人金融数据处理作出操作性规定，却存在效力层级偏低和过于分散的问题。学界相关研究亦大多关注个人数据安全保护这一普遍问题，鲜少聚焦金融数据处理环节，而本文则特别关注金融机构数据处理环节中消费者金融数据权益保护的问题。另外，现有个人数据安全保护研究大多延续知情控制模式，以赋予个人数据自决权、被遗忘权、免自动化决策权等权利的主体赋权思路展开研究，而本文则认为当前消费者个人金融数据权益频繁遭受侵犯的关键原因在于现有立法对金融机构数据处理行为的义务规制不到位，试图从行为规制路径的优化这一视角寻找强化消费者个人金融数据权益保护的新思路。

消费者金融数据权益保护模式乏力问题的根源

现有立法对金融机构数据处理行为的义务规制不完善是消费者金融数据权益保护模式乏力的根本原因，改进消费者金融数据权益保护工作还应从行为规制路径着手。

现有消费者金融数据权益保护模式

我国的个人数据保护立法起始便将用户知情同意设置为处理者获取和使用数据的前提条件，采取知情控制的保护模式，比如《网络安全法》第22条、《个人信息保护法》第13条将个人的知情同意作为数据处理的前提。我国消费者金融数据保护领域同样沿用知情控制模式，《金融消费者权益保护实施办法》第30条明确规定，金融机构通过格式条款获得个人金融数据使用授权或者同意的，应当在条款中列明收集个人金融数据的范围和具体情形，并明确向金融消费者提示该授权或者同意的可能后果。知情控制模式一方面赋予消费者对自身数据的被收集范围、用途、流向的知情权，另一方面通过数据使用同意权、删除权等权利的设计保障消费者对自身数据的控制权。与消费者的知情控制权相对应，我国还为机构处理消费者金融数据设置了征求个人同意、信息披露等附带义务，但配套义务的设计仍较为粗糙。

从监管视角观察，我国金融消费者权益保护职能于2024年6月被划归至国家金融监督管理总局，同时国家网信部门具有统筹协调网络数据保护和相关监督管理工作的职责，故国家金融监督管理总局和国家互联网信息办公室均为消费者金融数据安全保护工作的监管部门。

现有保护模式乏力源于金融数据处理行为规制的不完善

消费者在技术能力、专业知识等方面相对于金融机构处于明显弱势地位，这为金融机构架空消费者权利、制造消费者维权障碍创造契机。金融机构既可以在收集数据时利用专业优势将授权协议变得难以理解，达到仅在形式上履行征求消费者同意义务的目的；又可以基于技术优势在数据分析时增强所用算法的黑箱性，模糊掩盖其侵权行为与消费者数据权益受损结果之间的联系性，从而增加消费者寻求权利救济的难度和成本；还可以在提供服务时基于谈判优势以拒绝服务相威胁，迫使消费者放弃数据安全保护。总体而言，当前我国对个人金融数据的保护主要是在赋权进路上迈进，支持消费者通过行权阻止金融机构不当控制其数据。虽然现有立法也对金融机构处理个人数据的行为附加了义务要求，但数据处理义务的规定过于粗糙，现有义务体系既无法覆盖数据分析全过程，又缺乏义务履行的细化标准，还未针对第三方数据处理机构的行为做出必要规制。金融机构利用专业能力、技术等方面的优势获得缺乏制衡的数据权力，压迫性的强势地位使得其能够轻易应付现有义务体系带来的规制。金融机构在自身数据处理行为形式上达到合规要求的同时，不断压缩消费者权利行使的空间，导致现有保护模式的乏力。是故打破消费者数据权益保护模式乏力僵局的关键在于优化对金融机构数据处理行为的规制，将着力点从消费者一端变化为金融机构一端，通过增加金融机构一方的法定义务来规范数据处理行为，以义务配置纠正消费者与金融机构双方地位的失衡。

金融机构数据处理行为对消费者金融数据权益保护的挑战

配套规制有所欠缺的金融机构数据处理行为在数据收集和分析两个环节为消费者金融数据权益保护带来不同挑战。

金融机构数据收集环节征求授权义务的履行流于形式

数据收集环节知情控制机制作用的发挥以消费者能够理性作出是否授权的决策为前提，且需要金融机构为消费者提供可行、完善的知情拒绝机制，保证消费者在拒绝数据被使用时其应有利益也能免受损害。但实践中，金融机构会利用自身专业能力相对较强、消费者难以寻求替代性服务等优势，不断压缩消费者理性决策的空间，仅于形式上达到获得消费者数据授权的合规要求。其一，消费者理性有限，其难以理解金融机构或科技公司所提供的数据处理规则或数据保护政策，且金融领域专业性强，文本内容更加复杂。再加上金融机构为获得更多的数据使用授权并承担更低的合同责任，往往会利用其专业优势，通过设计复杂冗长的告知内容、使用晦涩难懂的专业词汇来掩盖隐私协议中的概括性授权条款和免责条款。消费者无法在有限时间内阅读和理解巨细靡遗的授权协议，大多选择盲目勾选同意选项，忽视其中的数据安全风险，做出失真判断。其二，金融机构在数据收集环节征求消费者同意时，会将获取数据与提供服务刚性绑定。若消费者在理解协议内容后选择拒绝授权，则会面临无法享受机构服务，又难以寻求同质化的金融服务作为替代的难题。消费者相对于金融机构处于谈判弱势地位，常常陷入被迫同意授权的境地，对自身数据的控制趋于弱化。

数据分析所用算法黑箱性的增强为消费者维权制造障碍

数据分析环节金融机构多运用大量自动化算法，当前我国为数据处理机构设置的信息披露义务仅集中于数据收集环节，多数金融机构不会于数据分析环节持续性地披露算法信息。而现代自动化算法具备高成长性和多变性，算法解释信息更新的相对停滞加大了消费者触及算法运行逻辑的难度，甚至部分金融机构为掩盖自身数据侵权行为，会刻意提升技术黑箱性。在对算法缺乏基本认知的情况下，消费者无法及时获知数据泄露情况，难以识别侵权主体，且在算法黑箱的遮蔽下消费者难以对数据侵权行为造成损失的因果关系链条加以证明，最终形成消费者怠于寻求权利救济的局面。

个人金融数据处理行为规制的优化路径

我国金融数据处理行为规制的优化可从金融机构全周期数据安全保护义务的强化、第三方服务提供者行为规制的针对性设计以及自律合规软法规制的优化三个层次入手。

强化全周期的金融机构数据安全保护义务

习总书记指出数字经济发展需要“实现事前事中事后全链条全领域监管”。现有金融数据处理行为的规制主要从事前数据收集环节着手，存在明显不足，应强化金融机构数据处理全周期的保护义务。具体而言，事前数据收集环节告知义务的履行在遵循现有规定的基础上，有必要于告知内容中纳入可能后果。此外应增加金融机构使用非己方收集数据时的普遍注意义务，要求其审查数据来源的合法性。若金融机构误用其他机构非法破译而来的数据，也应承担侵权赔偿责任。

事中环节应强化金融机构的持续信息披露义务，要求其定期评估数据安全风险，并持续披露较前次通知发生变化的数据处理方式、潜在风险，金融机构还需披露数据共享或流转情形下第三方机构的数据使用情况。针对过于频繁的信息披露可能打扰客户生活的问题，应要求金融机构建设披露信息查询系统，给予客户自主选择披露详细程度、频次和方式的权限，并附带制作信息披露简报以方便消费者理解。

在数据安全风险发生后的事后环节，我国现有立法概括规定了数据处理者采取补救措施并通知用户的义务，但在通知时间、方式等方面欠缺细节设计，并在处理者主观认为可通过采取措施避免损失且主管部门认同的情形下允许处理者豁免履行通知义务。对此，应将风险事件发生后的通知时间限定为“立即”，并要求金融机构以电话、短信等方式确认客户已查收信息以保障通知的有效性。另外，为保障消费者的知情自由，笔者认为应删除通知义务例外情形的规定。