來源：央行研究

摘要：黨的十九屆五中全會(huì)明确提出要加快數字化發(fā)展，保障國(guó)家數據安全，加強個人信息保護。大型互聯網平台是我國(guó)信息技術創新的重要力量，也是信息和數據的關鍵使用者，對(duì)推進(jìn)金融科技進(jìn)步和數字普惠金融發(fā)展發(fā)揮了積極作用。但現階段，大型互聯網平台消費者金融信息保護總體狀況不容樂觀，尤其是某些頭部互聯網平台在格式條款、信息收集和使用、營銷宣傳方面(miàn)存在一些問題和争議。建議綜合運用各種(zhǒng)監管手段，實現穿透性監管，督促大型互聯網平台樹立負責任金融的理念。在借鑒域外信息保護立法與監管經(jīng)驗的基礎上，從我國(guó)實際出發(fā)，依法將(jiāng)大型互聯網平台的金融業務全面(miàn)納入監管，增強業務信息披露全面(miàn)性和透明度，有效控制共債風險，不斷完善金融信用信息基礎設施建設，嚴格規範金融營銷宣傳行爲，切實保護金融消費者長(cháng)遠和根本利益。

信息和數據是“信息時代的石油”，是一種(zhǒng)重要的生産要素。在互聯網和大數據技術蓬勃發(fā)展的大背景下，信息在經(jīng)濟金融領域的重要性越發(fā)凸顯，信息利用場景呈現多元化、複雜化趨勢，信息保護已成(chéng)爲金融監管的全新課題。黨的十九屆五中全會(huì)審議通過(guò)的《中共中央關于制定國(guó)民經(jīng)濟和社會(huì)發(fā)展第十四個五年規劃和二〇三五年遠景目标的建議》強調要加快數字化發(fā)展，建立數據資源産權、交易流通等基礎制度和标準規範，保障國(guó)家數據安全，加強個人信息保護。

大型互聯網平台是我國(guó)信息技術創新的重要力量，也是信息和數據的關鍵使用者，對(duì)推進(jìn)金融科技進(jìn)步和數字普惠金融發(fā)展發(fā)揮了積極作用。但同時也要看到，就現階段而言，大型互聯網平台消費者信息保護總體狀況不容樂觀，尤其是某些頭部互聯網平台在格式條款、信息收集和使用、營銷宣傳方面(miàn)存在一些問題和争議，需要進(jìn)一步認真審視和對(duì)待。

一、大型互聯網平台在信息收集使用方面(miàn)多見概括性授權條款

大型互聯網平台獲取龐大信息源的關鍵一環，就是通過(guò)信息收集使用的概括性授權條款采集消費者個人信息，通過(guò)技術手段將(jiāng)消費者信息物化爲商品，弱化了消費者對(duì)個人信息的控制，使得消費者在大型互聯網平台面(miàn)前越來越成(chéng)爲“透明人”。

（一）信息收集使用的“知情-同意”原則被(bèi)弱化，金融消費者自主選擇權受到限制。在消費者個人信息收集使用方面(miàn)，《消費者權益保護法》與《網絡安全法》均規定信息收集者應“明示收集、使用信息的目的、方式和範圍，并經(jīng)消費者（被(bèi)收集者）同意”，最新公布的《個人信息保護法（草案）》也提出處理個人信息應取得個人的同意，并且這(zhè)種(zhǒng)同意應當是個人在充分知情的前提下，自願、明确作出的。這(zhè)一規則理論上被(bèi)稱爲“知情-同意”機制，但從實踐來看，大型互聯網平台往往通過(guò)概括性授權條款削弱了這(zhè)一機制。

一方面(miàn)，在互聯網環境下，“知情-同意”機制通常表現爲大型互聯網平台以格式合同的形式發(fā)布相關條款及隐私權政策聲明，消費者在手機客戶端上點擊“同意”，視爲同意授權。然而格式合同内容繁多複雜，大多數消費者少有耐心通讀全部條款，甚至根本不會(huì)點開(kāi)協議文本。即便全文閱讀，消費者也很可能(néng)無法完全理解合同中使用的專業術語所表達的實際含義，所以點擊同意時往往對(duì)于自己授權的具體範圍并不清楚。目前人民銀行正在制定的金融行業标準《資産管理産品介紹要素》中明确要求，相關産品合同應以具體格式將(jiāng)核心内容限定在相對(duì)固定的篇幅内，就是緻力于緩解金融消費者閱讀意願低，保證金融消費者知情權的一個有益嘗試。另一方面(miàn)，即使消費者完整閱讀了合同中所規定的授權範圍，也不存在與大型互聯網平台“讨價還(hái)價”的餘地。消費者即使不同意自己的某些信息被(bèi)收集、使用，也無法在合同上進(jìn)行勾選，隻能(néng)做出“二選一”（即“全部接受”或者“全部不接受”）的決定。由于“全部不接受”意味著(zhe)無法獲得相關服務，消費者往往隻能(néng)全盤接受合同條款。因此，在消費者缺乏議價能(néng)力的情況下，大型互聯網平台收集了大量消費者信息，而消費者對(duì)此也許并不真正“知情”，也并不真正“同意”。

除此之外，部分大型互聯網平台的協議和合同文本隻能(néng)在手機客戶端查看，無法複制和下載保存。有的協議文本甚至嵌套隐藏在另一個協議的某一條款中，需要再次點擊鏈接跳轉到另一界面(miàn)才能(néng)呈現相關内容。這(zhè)些均不利于金融消費者反複閱讀、全面(miàn)理解、自行留存與其個人信息權利有關的合同文本。同時，由于大型互聯網平台出于各種(zhǒng)原因，會(huì)較爲頻繁地修改電子合同文本内容，導緻發(fā)生糾紛時，金融消費者難以查閱簽訂合同時的原始文本。

（二）收集的“必要信息”範圍過(guò)寬，大型互聯網平台對(duì)信息收集範圍掌握絕對(duì)“話語權”。在消費者金融信息收集、使用範圍方面(miàn)，《消費者權益保護法》與《網絡安全法》都(dōu)規定了“收集、使用（消費者）個人信息，應當遵循合法、正當、必要的原則”，目的是要求經(jīng)營者在最小範圍内收集消費者個人信息，避免過(guò)度收集行爲危害消費者個人信息安全。

但在實際執行過(guò)程中，大型互聯網平台往往使用“收集與本服務相關的必要信息”“在本服務相關的必要範圍内對(duì)您的信息進(jìn)行共享”“您同意我們將(jiāng)您的必要信息共享至以下主體”等表述，強調信息收集的必要性。然而其中所稱的“必要信息”，全方位覆蓋了身份信息、交易信息、資産負債信息、訴訟信息、履約信息及履約能(néng)力判斷信息等。其中履約能(néng)力判斷信息可能(néng)包含金融消費者在同屬一個平台下的其他非金融信息，比如消費者的購物信息、浏覽和搜索信息、消費水平信息等。此類信息是否屬于開(kāi)展所必須，尚無具體衡量标準。這(zhè)反映出信息收集的“最少、必須”原則沒(méi)有明确邊界，在實踐中均由機構端進(jìn)行“自由裁量”，大型互聯網平台傾向(xiàng)于盡可能(néng)多地將(jiāng)消費者各類信息認定爲必要信息。

深化數據運用是金融科技發(fā)展的必然趨勢，但消費者個人信息保護也是不容忽視的重要方面(miàn)。2020年10月31日召開(kāi)的國(guó)務院金融穩定發(fā)展委員會(huì)專題會(huì)議明确，要建立數據資源産權、交易流通等基礎制度和标準規範，加強個人信息保護。因此，應當督促大型互聯網平台樹立起(qǐ)尊重消費者數據主體權利的意識，區分不同數據對(duì)于業務開(kāi)展的必要性，不能(néng)片面(miàn)認爲信息一旦收集到手就“理所當然”地變成(chéng)了平台的私有财産。

二、歐盟等主要經(jīng)濟體信息保護監管标準趨嚴，國(guó)内的信息保護監管力度也將(jiāng)進(jìn)一步提升，大型互聯網平台應成(chéng)爲重點關注對(duì)象

全球發(fā)達經(jīng)濟體對(duì)消費者金融信息保護的力度，一直在不斷加強。典型代表爲歐盟2016年通過(guò)的《一般數據保護條例》，該條例意味著(zhe)歐盟對(duì)個人信息保護及其監管達到了前所未有的高度，堪稱史上最嚴格的數據保護條例。2019年，英國(guó)航空公司就因爲違反《一般數據保護條例》被(bèi)罰1.8339億英鎊（約合15.8億元人民币）。美國(guó)對(duì)個人信息保護的力度之大相比歐盟也毫不遜色。例如美國(guó)聯邦貿易委員會(huì)（FTC）在2019年7月對(duì)臉書開(kāi)出高達50億美元的罰單，就是因爲這(zhè)家社交網站對(duì)用戶個人信息處理不當，導緻了信息洩露并被(bèi)用于不正當用途。根據英國(guó)《衛報》報道(dào)，英國(guó)將(jiāng)在競争及市場管理局（CMA）之下新設立數字市場部門，旨在集中監管大型科技公司，通過(guò)設立限制，讓更多小型科技公司擁有發(fā)展空間，确保消費者、小企業等不會(huì)因科技巨頭的行爲而處于不利地位。在監管新規之下，大型科技公司須在使用用戶數據方面(miàn)保持公開(kāi)透明。此外，數字市場部門將(jiāng)有權暫停、阻止和推翻大型科技公司的決策，并采取措施令大型科技公司遵從監管新規。如果大型科技公司違反新規或不聽從數字市場部門的命令，將(jiāng)面(miàn)臨罰款。

我國(guó)《個人信息保護法（草案）》已完成(chéng)向(xiàng)社會(huì)公開(kāi)征求意見。可以預見，未來随著(zhe)我國(guó)個人信息保護立法的逐步完善，監管力度必將(jiāng)進(jìn)一步提升。在此趨勢下，大型互聯網平台更應未雨綢缪、主動布局，正視發(fā)展過(guò)程中的信息保護和消費者保護漏洞和短闆，切實擔負起(qǐ)與自身體量和影響力相當的社會(huì)責任。市場終究要交給消費者來“投票”，消費者要看自己的信息權利到底有沒(méi)有得到應有的保護，有沒(méi)有受到不應有的侵害。大型互聯網平台的信息保護應當加強加強再加強，不能(néng)爲了單純追求經(jīng)營的擴張而短視地選擇一些所謂的“捷徑”。

三、基于數據挖掘下的“精準營銷”，容易誘導更多資信脆弱人群掉進(jìn)超前負債消費的陷阱

數字經(jīng)濟繁榮發(fā)展背景下，個人信息作爲生産要素在精準營銷方面(miàn)發(fā)揮了關鍵作用。正如前文提及的臉書被(bèi)罰案例，就是與臉書合作的第三方公司向(xiàng)劍橋分析公司洩露了用戶的個人信息，這(zhè)些個人信息最終被(bèi)劍橋分析公司用于精準投送使人們對(duì)某個參選人産生好(hǎo)感和信任的信息，以左右他們手中的選票。劍橋分析公司号稱其參與了世界各國(guó)超過(guò)200場競選，并利用同樣(yàng)的數據挖掘手段屢屢得手。這(zhè)些商業機構在營銷宣傳方面(miàn)對(duì)數據挖掘、滲透和控制的程度可見一斑。

部分大型互聯網平台在商業利益驅使下，過(guò)分追蹤與收集用戶“數字足迹”，不當使用數據驅動式營銷策略，侵占用戶私人空間，引起(qǐ)消費者反感與不适。用戶諸多“數字足迹”中，最具含金量的就是各類金融信息，包括賬戶信息、交易信息、信用信息等，這(zhè)些信息可以構建起(qǐ)大型互聯網平台的“信用”支柱。他們通過(guò)挖掘用戶的金融行爲，分析用戶金融行爲特征，大量推送金融營銷廣告，使“超前消費”“過(guò)度消費”“負債消費”的理念越來越被(bèi)資信脆弱人群所接受。例如，某些大型互聯網平台旗下的小貸公司、助貸公司發(fā)布的消費貸款廣告經(jīng)常設計一些廣告劇情，將(jiāng)大學(xué)生攀比奢侈消費美化爲“追求高品質生活”，宣傳青年女性使用醫療美容整形就能(néng)“逆襲白富美”等。精準營銷的另一大特點是誘導性極強，比如某互聯網平台經(jīng)常根據消費者的過(guò)往購物習慣，精準推送消費者曾經(jīng)浏覽或者關注過(guò)的商品，并标注“X期免息”和“XXX元起(qǐ)/月”。此外，部分小貸産品給消費者展示的基本是日利率，換算爲年化利率後(hòu)，息費均高于銀行信用卡業務。當更多的高風險、低淨值人群被(bèi)吸引進(jìn)入“無抵押消費貸陷阱”時，金融風險也就悄悄開(kāi)始醞釀。

基于數據挖掘技術而生的精準營銷幾乎發(fā)生在我們生活中的每時每刻。大型互聯網平台每天都(dōu)會(huì)根據用戶支付行爲數據，向(xiàng)用戶精準推送各類營銷宣傳信息。且其推送的營銷信息絕大部分與平台旗下的其他關聯公司相關，其餘則爲收取相關服務費用之後(hòu)，爲平台以外的合作第三方企業推送信息。最終導緻用戶時常處于被(bèi)五花八門的營銷信息“轟炸”的狀态，難得安甯。雖然部分平台的APP客戶端内設置了所謂關閉接收營銷信息的功能(néng)，但往往無法實現簡單快捷的“一鍵關閉”，用戶必須對(duì)每個關注過(guò)的對(duì)象進(jìn)行逐一操作才可以取消關注。這(zhè)種(zhǒng)通過(guò)技術手段幹擾消費者營銷信息退訂權的手段屢見不鮮，說其是強制營銷也并不爲過(guò)。

對(duì)此我們應該高度警惕，務必要督促大型互聯網平台樹立正确的信息觀、消費觀，在合法、合規、合情、合理、适度的前提下挖掘信息價值，促進(jìn)消費升級。而不是薅信息“羊毛”，更不能(néng)是殺雞取卵、竭澤而漁。要知道(dào)，信息的根本價值在于服務廣大消費者、服務實體經(jīng)濟，而不應成(chéng)爲某些機構攫取超級利潤的剪刀。

四、數字普惠金融發(fā)展不能(néng)脫離消費者保護和個人金融信息保護的根基

2016年，二十國(guó)集團（G20）領導人在杭州峰會(huì)上核準了《G20數字普惠金融高級原則》，其中第5條原則就強調“采取負責任的數字金融措施保護消費者，創立一種(zhǒng)綜合性的消費者和數據保護方法，重點關注與數字金融服務相關的具體問題。”同時對(duì)數據保護提出了4條具體的行動建議：一是明确“個人數據”的定義，該定義需考慮綜合各類信息進(jìn)行個體識别的能(néng)力；二是确保接受數字金融服務的消費者，能(néng)夠對(duì)個人數據進(jìn)行有意識的選擇和控制；三是禁止以不公平、歧視性方式使用數字金融服務相關數據；四是制定指引以保障數據的準确性和安全性。2020年，G20财長(cháng)和央行行長(cháng)會(huì)議發(fā)布的《G20應對(duì)新冠肺炎疫情行動計劃》中，明确將(jiāng)“在确保金融消費者權益得到保護的同時，采用常規和可靠的數字手段，持續提供可獲得和可負擔的金融産品和服務，促進(jìn)普惠金融發(fā)展”作爲行動和承諾的一部分。在實踐中，各國(guó)尤其重視加強數據安全和個人信息保護，讓老百姓充分信任數字普惠金融服務，可以真正放心地使用數字普惠金融服務。

由此可見，數字普惠金融服務的重要前提是“采用常規和可靠的數字手段”，目标是“持續提供可獲得和可負擔的金融産品和服務”。雖然大型互聯網平台提供的信貸産品極大地提高了“可獲得性”，但是卻未能(néng)保證“可負擔性”，對(duì)資信脆弱人群形成(chéng)了更大的誘惑，甚至是風險。如果任其放大和擴散風險，給消費者造成(chéng)損失，迫使消費者進(jìn)入非正規融資渠道(dào)，加上數字鴻溝的存在，可能(néng)出現“金融再排斥”，使得普惠金融出現倒退。事(shì)實上，國(guó)内大型互聯網平台當前的利潤不少是來源于互聯網消費貸款業務。與經(jīng)營性貸款不同，消費貸款不會(huì)直接産生未來現金流，因此沒(méi)有直接還(hái)款來源，容易産生過(guò)度負債問題。從國(guó)際上看，突破“可負擔性”的數字普惠金融終將(jiāng)失去根基。其中最爲深刻的例子莫過(guò)于美國(guó)次貸危機：在美國(guó)次貸危機爆發(fā)前，大量家庭和小微企業都(dōu)可以輕易獲得信貸，信貸普及率極高，配套的保險服務和證券化産品也很齊全。看似實現了高水平的普惠金融，但其缺失的最大一塊就是金融消費者保護，讓消費者承受了過(guò)高的風險，最終損害了整個宏觀經(jīng)濟，消費者損失慘重，機構本身也不能(néng)幸免。

爲此，國(guó)際社會(huì)提出了“負責任金融（Responsible Finance）”的理念，要求對(duì)消費者的風險承受能(néng)力開(kāi)展盡職調查，而不是盲目擴張金融服務。相關經(jīng)驗教訓說明，我國(guó)大型互聯網平台亟須樹立“負責任金融”的理念，而不是脫離信息保護和消費者權益空談數字普惠金融，更不應將(jiāng)二者對(duì)立起(qǐ)來。

五、相關建議

總的來說，對(duì)大型互聯網平台監管的當務之急是綜合運用各種(zhǒng)監管手段，實現穿透性監管，令其樹立起(qǐ)“負責任金融”的理念。建議從我國(guó)實際出發(fā)，依法將(jiāng)金融業務全面(miàn)納入監管，根據同一金融業務，同一監管标準的要求，加強對(duì)大型互聯網平台的監管，尤其是增強業務信息披露全面(miàn)性和透明度，切實保護金融消費者長(cháng)遠和根本利益。

一是督促大型互聯網平台樹立“負責任金融”理念，切實履行消費者保護主體責任。在技術驅動金融創新、推進(jìn)數字普惠金融發(fā)展的大背景下，建議高度警惕大型互聯網平台過(guò)度逐利行爲，尤其要注意其對(duì)低淨值人群過(guò)度負債的誘惑，以及就此引發(fā)的風險。督促大型互聯網平台恪守“負責任金融”理念，使其經(jīng)營活動真正服務于實體經(jīng)濟發(fā)展。建立和完善消費者權益保護内控制度和工作機制，強化全流程管控，規範信息披露、信息保護、營銷宣傳等各類經(jīng)營行爲，切實履行消費者保護主體責任。

二是加強消費者金融信息保護相關立法保障和标準化建設。黨的十九屆五中全會(huì)明确提出要保障國(guó)家數據安全，加強個人信息保護，強化消費者權益保護。建議盡快出台《個人信息保護法》等相關法律法規。通過(guò)立法對(duì)數據權屬認定加以明晰，制定數據資源确權、開(kāi)放、流通、交易相關制度，完善數據産權保護制度、數據分類分級安全保護制度、數據隐私保護和安全審查制度；進(jìn)一步明确規定個人信息收集使用的“知情-同意”“最少、必須”原則，推動大型互聯網平台建立健全消費者金融信息保護機制。建議加強消費者金融信息保護相關标準化建設。完善數據基礎通用标準和關鍵技術标準，建立國(guó)家數據資源目錄體系，提高數據質量和規範性。推動《資産管理産品介紹要素》等金融行業标準的出台和嚴格落實，提高大型互聯網平台提供金融産品和服務時的信息披露規範性，有效矯正金融消費者不願閱讀冗長(cháng)合同協議文本的行爲偏差。建議強化消費者金融信息保護。逐項列明信息收集與共享的内容、目的及範圍，進(jìn)一步細化“知情-同意”機制的執行要求，在保證效率的前提下，供金融消費者自主選擇其信息是否能(néng)夠被(bèi)用于營銷、用戶體驗改進(jìn)與市場調查等特定目的，确保遵循消費者真實意願。

三是加強對(duì)大型互聯網平台的監管。鑒于大型互聯網平台數據具有公共産品屬性，建議將(jiāng)其納入宏觀審慎管理，按照公共産品提供者實施相應監管。對(duì)涉及金融業務或構成(chéng)金融控股公司的機構實施準入管理，對(duì)具有系統重要性的機構實施嚴格監管，防範系統性金融風險。結合宏觀審慎監管和功能(néng)監管措施，通過(guò)接入征信系統、設定居民債務收入比等多種(zhǒng)手段控制共債風險。同時，由于大型互聯網平台廣泛覆蓋多個業務領域，在金融領域之外，又通過(guò)其關聯企業涉獵電商、物流、營銷等領域，涵蓋了購物、出行、住宿、支付轉賬、投資理财、生活、公益等數以百計的場景。若電商交易與金融場景結合，對(duì)信息交互環節的監管就會(huì)因監管領域的轉變而被(bèi)切斷，使得監管部門難以掌握信息共享和使用的全貌。因此，建議加強信息共享，探索監管執法合作機制。充分發(fā)揮社會(huì)監督力量，及時發(fā)現大型互聯網平台存在的問題和風險隐患，提升監管效能(néng)。

四是加強對(duì)大型互聯網平台企業的反壟斷審查。建議完善平台企業壟斷認定方面(miàn)的法律規範，將(jiāng)利用算法實施價格共謀、濫用市場支配地位不當收集和支配數據等行爲納入反壟斷規制範圍。完善大型互聯網平台企業的并購審查制度，制定符合數字經(jīng)濟特點的營業額标準，增加交易價格相關标準，避免其通過(guò)高價收購競争對(duì)手達成(chéng)壟斷目的。同時，將(jiāng)隐私作爲非價格競争的重要參數予以考慮，評估并購是否對(duì)高隐私偏好(hǎo)消費者的福利産生影響。

五是完善金融信用信息基礎設施建設。建議進(jìn)一步拓寬金融信用信息基礎數據庫接入機構範圍，將(jiāng)全部從事(shì)放貸業務的機構接入數據庫，全量報送借貸業務數據。加強對(duì)金融信用信息基礎數據庫接入機構的監管，從制度、業務、人員和技術等方面(miàn)建立健全内控合規制度和問責機制。同時，引導并規範大型互聯網平台的信息服務業務。重點關注大型互聯網平台利用從集團内、外部獲取的消費者金融信息開(kāi)展個人評分、畫像等業務，以及其爲金融機構風控等提供信息服務的行爲。按照“疏堵結合，先疏後(hòu)堵”的思路，將(jiāng)有影響力的大型互聯網平台的壟斷信息予以整合，有序納入征信服務和征信監管，變數據壟斷爲數據依法共享。依法加強對(duì)個人征信機構信息主體權益保護、信息合規使用、數據安全等方面(miàn)的監管。

六是規範大型互聯網平台金融營銷宣傳行爲。大型互聯網平台應當進(jìn)一步貫徹落實《關于進(jìn)一步規範金融營銷宣傳行爲的通知》要求，規範金融營銷宣傳行爲，構建金融營銷宣傳内控機制，強化對(duì)金融營銷宣傳的審核，不得做出勸誘低淨值人群超前消費、過(guò)度消費等存在嚴重價值觀導向(xiàng)問題的金融營銷宣傳。同時，爲消費者提供簡單便捷的營銷宣傳推送信息“一鍵關閉”功能(néng)，避免出現用戶必須對(duì)每個關注商戶/功能(néng)進(jìn)行逐一操作才可以取消推送的情況。建議相關管理部門借鑒國(guó)際經(jīng)驗，進(jìn)一步優化、細化金融營銷宣傳監管規則，綜合運用制定行爲規範、構建行業标準、推動行業自律等方式，強化對(duì)大型互聯網平台金融營銷宣傳行爲的監測追蹤，對(duì)違反相關法律法規的行爲依法嚴肅查處。