据澎湃新闻等媒体报道，2020年4月23日，浙江舟山银保监分局披露的罚单显示，浙江岱山农商银行因违规泄露客户信息，被罚款30万元。在落实机构与人员双罚制方面，银行内部职员王某某对岱山农商银行违规泄露客户信息负有主要责任，被禁止从事银行业工作3年。处罚之重足以彰显银保监会高度重视个人信息的保护工作。事实上，近年来，银保监会印发了一系列的监管政策文件，要求银行保险机构建立或完善个人信息保护的各项制度。

毋庸置疑，大数据时代下，政府部门已经察觉到以数据为载体的个人信息的商业价值、社会治理功能与日俱增。与此同时，侵害个人信息权益的范围与规模也日益扩大，个人信息保护制度的完善已刻不容缓，但如何才能建立行之有效的保护制度，目前争议很大，尚无定论。学界主流观点是完善各项规章制度，用严格的惩罚措施规范个人信息适用的过程，杜绝违法行为。但囿于网络时空不确定性和金融个人信息的高度商业性，纯粹靠“硬法”，即政府部门制定的具有强制性的各项规定，不仅执法成本高，而且这种“一罚了之”的处理模式也难以完全消除违法带来的负面影响。因此，还需重视金融业内部各项运作流程的规范，即“软法”的建设，从内部源头杜绝侵害个人信息行为的发生。具体而言，“软法”在个人信息保护方面，可以发挥以下作用：

首先，弥补“硬法”之治的结构性功能。硬法的创制应当严格遵循法定程序，通常刚性十足，对现实的需要也显得较迟钝。与之形成对照的是，软法的创制和实施过程更注重实践需要，其所推崇的是柔性治理。当然软法的创制不应当违背最低程序正义要求，不能违背法定程序、违背程序正当原则。在保护“个人信息权”方面，虽然硬法的功能是结构性的，软法起补充作用，但是我们绝对不能将软法的功能视作可有可无。一方面，软法可以起到填补硬法空白的作用。软法不但能够弥补硬法空白，而且还能作为试验性立法来为硬法的创制积累经验，具有规则试错意义；另一方面，软法可以更好地保护公民在金融商业网络空间中享有的经济利益，而硬法的主要功能在于为“个人信息权”保护确定一个刚性范畴，不能伸手过长，否则会阻碍正常的信息交流活动。

其次，提升“个人信息权”保护的强度。在一个充满不确定性、多元利益关系冲突的金融网络空间，仅仅依靠硬法是不足以满足人们对规则的依赖、对“个人信息权”保护的渴望。在“个人信息权”保护中，软法能提升保护的强度主要通过两种方式：一方面体现在规则形成过程中的共识。相当部分的软法源于实践中的约定俗成，是相关主体自愿、主动认可的规则。同时，在规则制定过程中，参与各方的利益诉求已得到表达并得到回应。另一方面体现在规则实施过程中的共识。软法的实施并不依靠国家强制力来保证，它主要依靠社会强制和自愿服从机制，比如某家公司私自泄露客户的个人信息，破坏行业内部规则，行业协会可以通过调低其信誉等级的方式予以惩戒。

最后，降低保护“个人信息权”的社会成本。行为人通过“硬法”为自己的行为提供较为确定的预期，知道哪些行为可行，哪些不可行。但通常行为后果由规制制定机关单方设定，而为达到震慑效果，惩罚通常较严厉。这种规范方式通常不会得到行为人的积极配合，执法成本大。但若重视软法治理，社会管理成本或许能大幅度降低：其一，在软法调整的网络空间范围内，因其规制制定过程的回应性、实施方式的温和性等，能够以较低的创制、实施和遵守成本，促使金融网络空间的参与者共同保护客户的“个人信息权”；其二，硬法依靠软法的补充与引导，能够朝着创制过程更重协商、公正和实施更高效的方向发展，减少对抗和摩擦，这无疑降低了执法成本。

（作者系西南政法大学行政法学院程序法治研究中心研究员）