个人金融信息保护立法研究

王长征

摘 要：本文通过对个人金融信息概念的探讨、对我国个人金融信息保护立法情况的梳理和对欧美个人金融信息保护立法经验的研究，建议推动个人信息保护法尽快出台，进一步构筑我国个人金融信息保护的法律体系。

关键词：个人金融信息；保护；立法

中图分类号：F840.4 文献标识码：B 文章编号：1674-0017-2018（2）-0093-05

一、个人金融信息的概念界定

（一）个人信息与个人隐私

《两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017）第一款，刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

我国《电信和互联网用户个人信息保护规定》（2013）首次独立界定了个人信息的内涵，并提炼出个人信息的核心法律特征——可识别性。根据《欧盟一般个人信息保护条例》（2016）对个人信息的定义，个人信息是指任何确定或可辨识自然人（信息主体）的信息。可辨识自然人是指，任何可以通过姓名、身份证号、位置信息、网上标签，或者利用身体物质特征、生理特征、基因、精神、经济、文化、社会身份中一个或多个因素，以直接或间接方式辨识出特定自然人。井慧宝（2011）指出个人信息从语言学角度界定应理解为个人数据或个人资料，但从立法的角度考虑应持狭义的态度，“可辨识性”是立法要考虑的关键。

在很多国家，个人隐私一般是个人信息保护法律中的主要用语，如美国《隐私权法》（1974）、德国《联邦数据保护法》（1977）、澳大利亚《隐私权法》（1988）、英国《数据保护法》（1998）中主要关注的都是个人隐私。Warren 和Brandeis在1890年发表《论隐私权》，使得隐私权作为一项独立民事权利得到美国法律的保护。马运全（2014）通过对英美立法中隐私权概念的总结，认为隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权。权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。

（二）个人金融信息与个人金融隐私信息

个人金融信息是特殊领域的个人信息，是信息主体在与金融机构的业务往来中为金融机构所掌握的个人信息。综合不同学者对于个人金融信息范围的各种看法，笔者认为，个人金融信息主要包含身份信息、财产信息、交易信息、衍生信息和其它信息等。

在美国相关立法中，提到过个人金融隐私信息和非公开个人金融信息的概念。美国的《金融服务现代化法案》（1999）将个人金融隐私信息定义为：非公开的、可确认为个人的金融信息。美国的《消费者个人金融隐私信息保护的最终规则》（2004）中，非公开个人金融信息涵盖了所有不能从公开渠道获得的个人金融信息。个人金融信息是个人信息的重要组成部分，个人金融隐私信息又是个人金融信息的最核心组成部分。邵朱励（2016）对金融隐私权的概念进行梳理，认为金融隐私权是指自然人控制并排除他人干涉其本人在金融市场中产生的个人金融信息的能力，具有人格权和财产权双重属性。

二、我国个人金融信息保护立法的现状

（一）相关法律法规梳理

《两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017）对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。违反法律、行政法规、部门规章有关公民个人信息保护规定的，应当认定为刑法第二百五十三条之一規定的“违反国家有关规定”；明确了涉及公民个人信息的“情节严重”的条款，加大了处罚力度。《中华人民共和国刑法修正案（七）》（2009）规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。

《中华人民共和国民法总则》（2017）第一百一十一条，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。新民法总则首次承认了个人信息权，并将个人信息权确定为一种具体人格权，纳入到民事权利中的人格权章节中。陈璐（2017）指出，在这一法条出现之前，个人信息被侵犯的受害者需依赖行政机关或检察机关向侵权人追究行政或刑事责任。除非受害人能够证明其名誉因个人信息被侵犯而受损，否则法院通常不会支持以个人信息被侵犯为由提出的民事诉讼。而现在随着个人信息权被纳入《民法总则》，发生民事侵权责任后，原被告双方的举证责任分配有所改变。不能苛求原告举证个人信息处理者存在安全懈怠行为，相反的是要个人信息处理者必须举证采取了法律规定的和必要审慎的个人信息保护措施，否则就应当承担个人信息保护安全不规范的责任。

《中华人民共和国网络安全法》（2016）对涉及网络空间的个人信息保护做了较为全面的规定：收集和使用个人信息时应遵守“合法性”“合理性”和“必要性”三个原则，应获得个人明确的知情同意；信息管理者必须采取充分的保护措施，确保个人信息安全；加强了个人信息保护力度，特别明确了个人信息保护的主体责任。

综合以上对我国法律的梳理，笔者认为，可以主要概括为以下几方面：①个人信息受到法律保护，涉及个人信息的犯罪处罚力度在加强，涉及网络空间的个人信息由于新出台的《网络安全法》受到比较全面的保护。②金融机构及相关工作人员对于客户个人金融信息有保密义务，违反保密义务后面临行政处罚措施。③个人对个人金融信息采集和使用的知情权、同意权及提起诉讼权利。④个人的金融信息有一定的披露义务。

（二）我国个人金融信息保护面临的问题

1.法律制度不健全，立法效力層级低、涵盖面窄、缺乏操作性

自2003年起，学界主张制定统一的《个人信息保护法》，但由于个人信息的内涵及法律属性还存在较大争议，这项立法建议一直未能进入正式的立法程序，转而制定了一系列的原则性立法及单行规定。随着《两高司法解释》、新《民法总则》和《网络安全法》的颁布，个人信息得到了更多的保护，但个人金融信息的保护依然比较散乱。第一，我国个人金融信息保护的相关法规效力层级较低。相关规定以行政法规、部门规章为主，没有主要针对个人信息保护和个人金融信息保护的法律。第二，我国个人金融信息保护涵盖面较窄。相关规定主要是银行业和征信业的规定，《两高司法解释》的出台能够解决个人金融信息的犯罪问题，《网络安全法》的出台能够保护网络金融信息，但对于这几方面无法覆盖到的个人金融信息的保护仅仅局限于简单的保密义务，责任不明确，救济方式很有限，个人金融信息保护力度弱。第三，相关法规缺乏操作性。陈永（2003）指出，个人金融信息保护相关法规中对概念的具体界定过于笼统，缺乏操作性，如法律条文中将权利主体笼统规定为“存款人”、将保密义务主体规定为“银行及银行工作人员”等等。周学东（2011）提出，实践中有些方面还比较模糊，比如银行掌握的客户信息是否可以用于理财产品的营销和跨境提供等等。

2.保护手段少，违法成本低，监管不明确

一方面，相关法规对个人金融信息的保护手段较少，对于个人金融信息的违法成本较低。《两高司法解释》能够惩治个人信息犯罪情节严重的问题，《网络安全法》能够惩治网络诈骗的问题，但如果个人金融信息不是在网络框架下、且没有达到情节严重的犯罪情况下，对违法机构的法律追究机制就不够健全，打击力度明细不足。尽管新民法总则降低了民事责任方面的要求，但民法、刑法和侵权责任法和行政法规等共同构成的责任追究体系依然不足以覆盖现实中个人金融信息被侵犯导致的主要问题，且缺乏明确的标准和依据。王宝刚（2012）指出，对于侵犯银行客户个人信息但尚未构成犯罪的行为，没有规定直接适用的罚则，监管部门也缺乏对金融机构违规泄漏客户信息进行处罚的直接依据。张瑞怀等（2013）认为，在金融机构侵权的情况下，计算受害人损失缺乏科学的标准，由此给金融机构侵权带来的收益远大于成本的付出，反而激励了违法行为的发生。朱伟彬等（2014）提出，由于缺乏基础性制度支持，金融监管部门执法时，依据原则性很强的基本法律，对违法行为的认定和处理时很难处理，只能运用通报、约见谈话等惩戒性不强的手段，不能对违法机构产生威慑力。

另一方面，相关部门规章较多，但监管手段欠缺，监管力度较弱，针对个人金融信息保护特点的纠纷解决机制、即对个人金融信息权益的投诉问题没有明确规范。王志强（2013）认为，个人金融信息保护的监督部门管理不明确，一行三会在各自领域开展工作，缺乏明确的职责分工范围和协调机制，多头监管、监管真空、效率低下。

三、美国、欧盟与日本个人金融信息保护立法的情况

（一）立法模式

1.美国相关立法模式

美国个人金融信息保护的法律体系目前主要由《金融服务现代化法案》（1999）、《消费者个人金融隐私信息保护的最终规则》（2000）、《公平信用报告法》（2003）、《客户信息维护标准》（2003）、《消费者报告中信息与记录的处理规则》（2005）和《多德弗兰克法案》（2010）构成，相关法律体系形成相对较早。

邵朱励（2016）指出，美国模式的保护理念是事前预防，即预防损害而不是保证个人信息控制权为原则。美国通过分散立法和行业自律结合的方式保护金融隐私权，在个人金融信息保护上，体现了美国联邦制的显著特点。对于银行业金融信息保护依据的主要是联邦法律，对于保险业的金融信息保护则依据各州自己制定的法律，证券业方面以联邦监管机构制定的规则为主、以行业自律为辅。

2.欧盟相关立法模式

欧盟作为国际组织，创立并运用总和方法保护个人信息保护制度，并设立了比较完善的监管机构。个人信息保护法主要来自发布的指令，并在各国逐步推进对应法律法规的跟进。欧盟将个人金融信息纳入个人信息保护立法的范围内，从1980年至2016年逐步完善个人信息保护相关规定，从而保护个人金融信息。《欧盟一般个人信息保护条例》（2016）和《刑事犯罪领域个人信息保护指令》（2016）是欧盟个人金融信息保护法律体系目前的主要规定。

3.日本相关立法模式

自1987 年起，日本相关机构先后制定了《办理关于金融机构保护个人资讯指南》、《关于民间部门保护个人信息指导方针》、《个人信息保护法》、《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件，《个人信息保护法》（2005）目前是日本个人金融信息保护的重要依据。

这一法律体系本质上是美国立法与欧盟立法相折衷的模式，即基本法、特别法与行业自律综合的保护模式。张苑（2006）指出，日本相关立法实际效果有限，行业自律占据主导地位。

（二）主要内容

1.美国相关立法主要内容

郑圣明（2016）提出，美国相关立法中保护的个人金融隐私信息权利主要可以总结为支配控制权、参与权、知情权、保密权、修改请求权、损害赔偿请求。金融机构保护客户隐私权具有4项义务：隐私权通知义务、禁止披露消费者非公开个人信息的义务、信息二次使用的限制义务、为营销目的共享消费者账号信息的限制义务。隐私权通知义务必须包括以下内容：本机构收集哪些非公开个人信息、向非关联方披露哪些非公开个人信息、将向哪些机构进行此类披露及本机构保障消费者非公开个人信息的秘密性与安全性的政策与措施，并且应着重强调，若消费者不同意金融机构向第三方披露自己的非公开个人信息，应如何行使禁止权。隐私权通知需要达到一定的要求，即用尽可能清楚简洁的语句表达，要求能够吸引客户的注意力。根据《客户信息维护标准》（2003），金融机构必须建立一整套信息安全系统以保护客户信息的安全与秘密，包括设立专门雇员总体协调、对可能产生的客户信息风险进行评价、建立风险防范措施、监督合作的服务提供商。

2.歐盟相关立法主要内容

《欧盟一般个人信息保护条例》（2016）关于控制者和处理者的定义继承了《个人信息保护指令》（1995）的内容，规定： 控制者是指独立或者与他人共同决定个人信息处理目的、方式的自然人、法人、公共机构、代理机构或者其他组织，控制者的具体认定标准可以由欧盟法或者成员国法另行规定；处理者是指代替控制者处理个人信息的自然人、法人、公共机构、代理机构或者其他组织。为了避免个人信息被滥用，在不同领域分别扩大了信息控制者、处理者的义务，包括对高风险活动进行影响评估等等。《欧盟一般个人信息保护条例》（2016）规定了个人的十余项信息权利，包括积极权利： 信息收集时的知情权、个人信息处理情况的查询权、个人信息使用时的许可权、个人信息转移权、错误个人信息的修改权、个人信息擦除权、个人信息泄露时的知情权等，还有拒绝或限制个人信息被各种形式利用的消极权利： 限制控制者的信息使用范围、拒绝个人信息被非公益科研或统计活动利用的权利、拒绝个人信息被商业利用的权利等。《欧盟一般个人信息保护条例》（2016）具有法律约束力，对于签署的成员国不仅是指导性价值，而且是国内立法必须体现的刚性要求。

3.日本相关立法主要内容

张苑（2006）将日本《个人信息保护法》（2005）概括为三个部分：一是关于个人信息保护的基本理念及方针。对个人信息进行收集或引用时，务求慎重与合法。责令政府应制定保护个人信息的相关政策，以使对个人信息的保护更为全面。二是规定了五项个人信息收集者的义务：利用目的之特定、正当获取的义务、确保个人信息正确性义务、确保安全性义务、确保个人信息透明性。三是其他规定及罚则。

（三）监管制度设计

1.美国监管制度设计

《美国金融服务现代化法案》（1999）规定由货币监理署、联储理事会、联邦存款保险公司、储蓄机构监管委员会、全美信贷联盟管委会、证交会、州保险机构和联邦交易委员会等八个部门负责各自管辖权限下相关细则的制定以保证实施。美国州政府主要负责对保险行业及其从业人员的监督，联邦贸易委员会与其他七大联邦监督机构在各自管辖范围内开展工作。《多德弗兰克法案》（2010）设立了新的消费者金融保护局，赋予其超越监管机构的权力，全面保护消费者合法权益。

2.欧盟监管制度设计

欧盟相关规定设置了专门的个人信息保护研究机构和行政机构。设立欧洲信息保护监督局，是专门负责个人信息保护事务的欧盟独立行政机构，欧盟公民的个人信息受保护权利被侵害时可以直接向其投诉，它可以对有关情况进行听证和调查处理。设立欧洲信息保护委员会，其成员由各成员国个人信息保护行政机构首脑或者其代表和欧洲信息保护监督局首脑或其代表组成，委员会的秘书处由欧洲信息保护局担任。设置欧洲委员会信息保护官，是在欧盟各组成机构中任职的独立信息保护专员。要求各会员国应该规定一个或多个机关来负责监督在其领土内该指令的执行情况，并建立具有顾问性质的对个人资料处理的个人予以保护的工作组。各成员国针对性地设立了信息保护局，属于欧盟个人信息保护法的各区域执法机构。《欧盟一般个人信息保护条例》（2016）将个人信息处理活动的风险划分为较高风险、一般风险、较低风险三类。对于高风险，要求信息控制者开展此类活动前做影响评估、向信息保护局咨询，并在较高风险损害的信息泄露时报告和通知信息保护局和每一个信息主体。