个人金融信息保护立法相关问题研究

蔡芊  张青媛¹（中国人民银行银川中心支行，宁夏 银川 750001）

摘要：近年来，个人金融信息安全保护问题成为全社会关注的焦点，通过梳理国外个人金融信息保护问题，发现建立系统的法律制度体系是保护个人金融信息安全的必要且有效的手段与方法。文章通过对比国内外个人金融信息保护立法研究现状，发现我国个人金融信息保护立法过程中存在着缺乏基本法层面的系统保护、现行法律规定可操作性较差、个人金融信息保护的权利救济不完善、监管部门不明确等问题。从而提出了构建完备的个人金融信息保护法律框架，建立系统化、可操作性强的个人金融信息保护制度体系，建立以民事责任为主的个人金融信息安全责任追究制度，完善个人金融信息权益救济手段，明确监管部门及信息披露原则等对策建议。

关键词：个人金融信息；信息主体；立法；权益救济

中图分类号：F830.31     文献标识码：A     文章编号：

2017年9月美国征信机构伊奎法克斯（Equifax）被曝出1.4亿用户个人信息泄露事件，2017年10月雅虎母公司称雅虎所有30亿用户的个人信息被泄露，2018年6月圆通10亿条用户个人信息被圆通内部人士批量出售，2018年11月万豪酒店旗下喜达屋酒店5亿人次的客户个人信息遭泄露，其中包括姓名、地址、电话、信用卡等核心信息。个人信息泄露问题再次引起社会公众的广泛关注与深刻思考。近年来，我国非法买卖个人金融信息、银行卡盗刷、冒名办理信用卡恶意透支、电信诈骗等侵犯金融信息主体权益的案件呈高发态势，个人金融信息安全成为一个全社会高度关注的问题，迫切需要构建一个系统、完整的法律体系来保护公民的个人金融信息安全。

一、个人金融信息的概念及范围

个人金融信息的概念是从隐私权衍生而来，逐渐被各国重视并进行立法保护。此后，“金融隐私权”（Financial Privacy）随之应运而生。从广义的角度来讲，个人金融信息包括：银行业机构、证券与期货业机构、保险与保险中介机构等金融机构在与客户办理业务过程中，所知悉、收集的个人身份、财产、信用、交易等其他个人信息^[1]。2011年中国人民银行将个人金融信息保护范围具体为身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息及其他信息七类^[2]。

二、国内外个人金融信息保护立法研究现状

（一）国外个人金融信息保护立法研究

二十世纪八十年代，世界经济合作与发展组织通过《隐私保护和个人数据跨国流动指导原则》^[3]提出了八项国际通用的基本原则，用来保护个人信息安全，被世界各国认可并沿用。

在美国，个人金融信息保护立法众多。除了1974年制定的保护隐私的基本法律《隐私权法》外，美国相继通过了《银行保密法》、《金融隐私权法案》、《公平信用报告法》、《金融服务现代化法》、《规章V》^[5]等法律规定，采取分散立法方式从多方面保护金融隐私，禁止未经授权使用或披露金融信息，防止侵害个人金融信息行为的发生。此外，美国各州制定的州法、金融行业自律规则、行为规则和市场机制等也在金融机构保护消费者个人金融信息的进程中发挥重要作用。

相对于美国的分散立法，欧盟作为一个区域性国际组织，建立了统一的数据保护法律框架，把包括个人金融信息在内的一切个人信息统称为个人数据（Personal Data）。出台了《个人数据处理和自由流动保护指令》^[6]。欧洲各国也采取立法方式保护个人金融信息安全。在法国，个人金融信息保护是以立法的形式予以确认的。法国《民法典》第九条概括地规定了对个人隐私的保护，在《隐私保护法》、《信息、档案和个人权利法》^[7]中对个人金融信息的收集、处理、使用进行了比较详尽的规定。在法国的法律中，金融机构对客户信息的保护义务是其职业保密义务而不是一般的审慎义务，受到刑法的规制。英国作为英美法系的奠基人，在《消费信用法》和《个人数据保护法》^[8]中对个人信息权益保护做出了具体规定，例如：收集个人信息必须通过个人同意，个人信息只能用于合法目的，对于遗失、损毁或未经许可泄露个人信息的，信息主体有权要求赔偿等。

在亚洲，个人金融信息保护立法方面做得比较成熟的，要数日本与韩国。日本采取“基本法+特殊法+行业自律”的方式，构建个人金融信息保护法律框架，以《个人信息保护法》为个人信息保护方面的基本法，在个人金融信息领域制定特殊法，并鼓励金融行业开展行业自律。韩国通过《个人信息保护法》、《位置信息保护法》等专门立法形式，建立身份确认制度和个人信息保护管理体系，此外还建立了个人信息国家认证资格制度、个人信息团体诉讼制度^[9]等一系列制度，构成了完整的个人信息保护制度体系。

（二）国内个人金融信息保护立法研究

1.法律层面的相关规定。目前，我国关于个人金融信息保护立法有关的规定散见于一些法律条文中。《商业银行法》原则性规定了为存款人保密的原则^[10]。《刑法修正案（七）》和《刑法修正案（九）》^[11]为我国确立了“侵犯公民个人信息罪”并规定了刑罚。2014年新修订的《消费者权益保护法》^[12]新增了个人信息保护内容，规定了经营者收集、使用个人信息须经消费者同意，并严格保密，确保信息安全等。2017年的《网络安全法》为网络运营者规定了一系列的信息保护义务，例如：在合法、正当、必要的原则下采集、使用个人信息，明示信息的目的、方式和范围，不得未经授权向他人提供个人信息，不得泄露、篡改、损毁收集的个人信息，应采取相应的技术手段确保个人信息安全。《民法总则》第五章规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或公开他人个人信息。2017年《最高人民法院、最高人民检查院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》^[13]出台，进一步明确了侵犯公民个人信息的标准、量刑及使用规则，筑起个人信息安全防火墙。

2.法规层面的有关规定。《个人存款账户实名制规定》第八条规定了金融机构及其工作人员对个人存款账户负有保密责任^[14]。《征信业管理条例》（中华人民共和国国务院令第631号）作为我国个人信用信息保护的首部法规，从信息采集、提供、查询、管理等过程对个人信息保护进行明确，例如：从事征信业务不得侵犯商业秘密和个人隐私，采集、查询个人信息须经信息主体同意，提供个人不良信息须事先告知信息主体，监管部门及人员对信息主体信息依法保密等等。

3.部门规章的有关规定。《个人信用信息基础数据库管理暂行办法》是对保护个人金融信息安全具有里程碑意义的部门规章，从采集、整理、保存、查询、安全管理等方面对保护个人信用信息做出了系统性地规定，同时，提出了异议处理这种权益救济方式的具体操作流程。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》规定了金融机构负有防止客户身份信息和交易信息泄露的责任^[15]。

三、我国个人金融信息保护立法中存在的问题

（一）缺乏基本法层面的系统保护。我国现有的个人金融信息保护法律法规较为零散，分散于层次不同的多部法律法规及部门规章中；相关条款或规定较为简单、笼统，甚至部分内容相互重复或冲突，权威性不高；基本法欠缺，法律制度体系不完善，导致在法律适用上存在困难。此外，由于缺乏基础的、完整的个人金融信息保护法律体系，对金融信息主体应享有的权利尚无明确规定，信息主体对自身权利不明确，维权意识与维权手段欠缺。

（二）现行法律规定可操作性较差。有关个人金融信息保护的规定并不是为了保护个人金融信息而制定的，而是出于其他立法目的而制定的。大部分条文只有金融机构的原则性规定，缺乏具体的实体内容。个人金融信息的收集、传递、使用、保存、销毁^[16]以及信息主体权益救济等方面无明确标准，也没有要求金融机构的细节性操作规程、保密范围、保密标准、责任后果、免责条款等，对于出现金融信息主体权益侵害时，金融机构或侵权方应承担的责任和赔偿义务也不明确， 从而导致金融机构权利与责任不对等，侵权成本低，金融机构会有不尽职保护金融信息安全的情况出现。

（三）个人金融信息保护的权利救济不完善。尽管《最高人民法院、最高人民检查院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于侵犯公民个人信息的情况给予了一定的解释说明，但均从涉案信息总条数、涉案金额等违法犯罪分子角度量罪，针对单个被侵犯的信息主体的法律诉求，刑法难以适用。同时，对侵犯个人金融信息的责任主体缺乏明确的行政责任和行政处罚规定，而民事赔偿方面的规定又过于抽象。在举证方面，信息主体依然处于弱势地位，按照“谁主张，谁举证”的证据规则，被侵权的信息主体具有举证义务，但个人金融信息泄露源头难以查找，信息主体维权举证难度很大。

（四）监管部门不明确。现有的法律法规对于个人金融信息保护工作的监管部门未进行明确，这也是个人金融信息基础法滞后、有关法律法规零散的主要原因。人民银行、银监会、证监会、保监会等监管部门在各自领域制定监管制度，现行的监管制度在储蓄存款、电子银行、信用卡、征信业务等领域做出了信息保护的规定，未覆盖所有金融业务，并且规定过于原则，缺乏系统性和可操作性。

四、个人金融信息保护立法优化的对策和建议

（一）构建完备的个人金融信息保护法律框架。一是尽快出台基本法——《个人信息保护法》，在该法中设专门章节规定个人金融信息保护，明确个人金融信息保护的原则、业务内容、权利义务、权益救济、法律责任、监管部门等。同时，研究制定个人金融信息保护的部门规章，系统、全面、可操作地规定个人金融信息的采集、加工、使用、保存、销毁等各环节。形成“基本法+部门规章”的个人金融信息保护法律框架。二是明确信息主体的权利，参考国际上现有的个人金融信息保护立法，明确规定个人金融信息主体应享有的知情权、决定权、救济权等。三是提升社会公众的个人金融信息保护意识。加强宣传教育，丰富教育形式，形成个人金融信息保护宣传教育长效机制，使社会公众知道自身的个人金融信息的价值与权益有哪些、如何保护、遭到侵权有哪些救济措施等，培养良好的金融消费习惯，提高社会公众信息保护意识和风险防范意识。

（二）建立系统化、可操作性强的个人金融信息保护制度体系。将个人信息保护工作法制化，例如：建立个人金融信息采集、传递、加工、使用、保存、销毁以及信息主体权益救济等方面的标准，从严规定侵权方应承担的责任和赔偿义务，要求金融机构建立个人金融信息保护的细节性操作规程、保密范围、保密标准、责任后果、安全管理系统等制度，此外，监管部门还应当建立行业监管机制、权益救济制度等配套制度。

（三）完善个人金融信息权益救济手段。根据外国立法经验及法律操作实践来看，侵犯个人金融信息后，有精神损失赔偿和财产损失赔偿两种赔偿责任，均可以由侵权主体给予一定的金钱作为补偿。在责任追究方面，从赔偿角度考虑，应以民事责任为主，以行政责任和刑事责任为辅^[17]，同时，民事、行政、刑事责任并列进行。在细化民事赔偿规定的同时，完善行政处罚和刑事处罚规定。在举证责任上，如果侵权方无法证明自己无过错，就应承担侵权责任。

（四）明确监管部门。在现行的管理体制下，建议明确一个监管部门负责对个人金融信息进行统筹监管，推动个人金融信息保护法的尽快出台，建立统一的个人金融信息保护规范与标准，制定配套的个人金融信息保护制度及规定，明确个人金融信息保护监管部门的监管职责范围，协调其他监管部门发挥监管合力，提升监管手段的有效性。

（五）明确信息披露原则。信息保护是相对于信息披露而言的，个人金融信息保护也不是一味地进行保护而完全不披露。而是在全面的信息保护与适当的信息披露之间寻求平衡，进而达到有利于国家和社会公共利益、促进经济社会发展的目的。因此，个人金融信息披露可分为三个层面：根据法律规定或出于公共利益考虑的信息公开或披露，基于征信业务或金融机构自身业务需要的信息交流与合理披露，经客户同意的信息公开。

参考文献：

[1]王宝刚,张立先,马运全,荆伟,陈晨.个人金融信息保护法律问题研究[J].金融理论与实践,2013(2):74-79.

[2]彭志贞,林庆管.商业银行个人金融信息保护机制构建[J].金融管理与研究,2012(10):74-77.

[3]高克州,王娟.国内外个人数据保护的比较研究——以《征信业管理条例》为视角[J].征信,2013(10):45-47.

[4]沈淡叶.信息化时代个人信息的法律保护[D].上海社会科学院,2014.

[5]朱伟彬.我国个人金融信息保护法律问题研究[J].西部金融,2014(10):23-27.

[6]完善我国个人金融信息保护的法律构想——以欧盟模式为例[J].金融发展评论,2012(5):101-106.

[7]李秀珍.金融消费者隐私权保护法律制度研究[D].暨南大学,2011.

[8]王晓红.互联网金融消费者个人信息安全权法律保护问题探讨[J].北方金融,2017(2):63-66.

[9]夏建邦.日韩个人金融信息保护措施及其借鉴[J].中国信用卡,2017(10):45-47.

[10]刘渠景,宋立志.个人金融信息保护的国际经验借鉴与启示[J].中国信用卡,2016(4):61-63.

[11]中国人民银行长沙中心支行课题组.个人金融信息保护问题研究[J].金融经济,2014(1):3-6.

[12]钱诗华.我国网络商品交易中消费者权益保护问题研究[D].西南政法大学,2014.

[13]唐建,漆世濠.征信领域个人信息泄露的防范与救济制度研究[J].征信,2017(11):48-53.

[14]霍清楠.论银行个人客户信息的法律保护[D].西南政法大学,2014.

[15]杨传华.财富管理中的消费者保护研究[D].上海交通大学,2014.

[16]刘广,马勇虎.个人金融信息保护工作实践与探索[J].西部金融,2015(6):54-57.

[17]骆君彦.完善我国个人金融信息安全保护的立法建议[J].金融与经济,2012(5):81-82.