普惠金融下个人金融信息的刑法保护

雷丽清

随着大数据、云计算、移动互联网等技术的高速发展，金融行业信息化的趋势越来越明显，为普惠金融的发展提供了良好的契机。普惠金融降低了金融机构和客户的成本，使中低收入人群及小微企业享受到便利的金融服务。2019年《中国普惠金融发展情况报告》显示，截至2019年6月，全国乡镇银行业金融机构覆盖率为95.7%，行政村基础金融服务覆盖率99.2%，小微企业银行贷款35.63万亿元，其中普惠型小微企业贷款(单户授信总额1 000万元及以下的小微企业贷款)余额10.7万亿元。[1]然而，在普惠金融迅速发展的同时，金融机构及其他机构对于个人金融信息的不规范采集、不当使用和泄露，严重侵犯了个人的信息安全，同时也破坏了金融管理秩序。如何保护个人的金融信息是我们亟须研究的问题。

一、个人金融信息的含义

目前，我国法律法规对于个人金融信息尚未明确规定。只有中国人民银行发布的部门规范性文件规定了个人金融信息的定义。2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》(下文简称《通知》)指出，个人金融信息是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息。学术研究领域，有学者认为，个人金融信息是指与公民个人开展金融活动相关的信息，包括因交易、监管、征信等活动而产生、采集的金融交易信息等。[2]

金融监管法律文件和学术研究对个人金融信息的界定是不一致的。其一，个人金融信息产生的领域不一致。《通知》界定的个人金融信息限于银行业金融机构掌握的信息，包括银行业金融机构通过自身开展业务获得的个人信息和银行业金融机构通过接入中国人民银行的各种系统所获得的个人信息。学术研究界定的个人金融信息则不限于银行业金融机构掌握的信息，任何机构只要与公民个人开展金融活动，其所获得的对方金融交易信息均属于个人金融信息。其二，个人金融信息的范围不一样。《通知》界定的个人金融信息不仅包括个人金融交易信息，还包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、衍生信息及其他个人信息。学术研究界定的个人金融信息仅指个人金融交易信息。

笔者赞同学术界关于个人金融信息的观点，个人金融信息是指与公民个人开展金融活动相关的信息。理由在于：其一，除了银行业金融机构可以掌握个人金融信息，其他机构开展金融活动时所获得的个人信息也应当属于个人金融信息。如果将其他机构获得的个人金融信息排除在外，就会缩小个人金融信息的范围，不利于保护公民的合法权益。其二，《通知》规定的个人金融信息既包括个人金融交易信息，又包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、衍生信息及其他个人信息。这一规定混淆了个人信息与个人金融信息之间的关系。实际上，不是个人金融信息包括个人信息，而是个人信息包括个人金融信息，个人信息是上位概念，个人金融信息是下位概念，个人金融信息只是个人信息中的一个类型。

二、关于保护个人金融信息的现行刑法规定

我国现行刑法专门规制侵犯个人金融信息的罪名主要有两个：一个是《刑法》第一百七十七条之一第二款规定的窃取、收买、非法提供信用卡信息罪，一个是《刑法》第二百五十三条之一规定的侵犯公民个人信息罪。

(一)两罪名保护法益的界定

1.窃取、收买、非法提供信用卡信息罪的保护法益

关于窃取、收买、非法提供信用卡信息罪的保护法益的观点主要有下面三种观点：

第一种观点认为，该罪的保护法益是单一法益，为国家对信用卡资料的管理秩序。[3]407第二种观点认为，该罪的保护法益是复数法益，包括持卡人的合法利益和金融机构的信誉。[4]第三种观点认为，该罪的保护法益是复数法益，包括个人的信用卡信息安全和国家有关信用卡信息的管理秩序。[5]

第一种观点只注意到该罪侵犯了国家对信用卡资料的管理秩序，未注意到该罪会同时侵犯个人的信用卡信息安全法益。第二种观点过于抽象，未阐述清楚窃取、收买、非法提供信用卡信息的犯罪行为究竟侵犯了持卡人的何种合法利益。笔者赞同第三种观点，这种观点既关注到窃取、收买、非法提供信用卡信息的犯罪行为会侵犯个人法益，又关注到其会侵犯公共法益。由于窃取、收买、非法提供信用卡信息罪规定在《刑法》第三章第四节“破坏金融管理秩序罪”中，故该罪的主要保护法益是国家有关信用卡信息的管理秩序，次要保护法益是个人的信用卡信息安全。

2.侵犯公民个人信息罪的保护法益

关于侵犯公民个人信息罪的保护法益的观点主要包括以下三种观点：

第一种观点认为，侵犯公民个人信息罪的保护法益是公民的人格权。[6]第二种观点认为，侵犯公民个人信息罪的保护法益是公共信息安全。[7]第三种观点认为，侵犯公民个人信息罪的保护法益是个人法益，同时兼顾超个人法益。[8]

笔者同意第三种观点。侵犯公民个人信息罪规定在《刑法》第四章“侵犯公民人身权利、民主权利罪”中，故该罪的主要保护法益为公民的人身权利、公民个人的信息安全，次要保护法益是公民的财产安全、公共信息安全。原因在于：

第一，个人信息既涉及个人的人身法益，又涉及个人的财产法益。不管是立法者还是司法机关均注意到个人信息既涉及个人的人身法益，又涉及个人的财产法益。《关于〈中华人民共和国刑法修正案(七)(草案)〉的说明》明确指出：“一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露的情况时有发生，对公民的人身、财产安全和个人隐私构成严重威胁。”[9]《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)在其第五条第一款第四项规定:“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响公民人身安全、财产安全的重要信息。”司法实践中，个人信息遭到泄露，犯罪分子经常非法利用其掌握的个人信息实施侵犯被害人人身安全和财产安全的犯罪行为，导致被害人的人身和财产遭受重大损害。最为典型的就是徐玉玉案，犯罪分子非法获取徐玉玉的个人信息，不仅骗取其钱财，而且导致其死亡。

第二，个人信息既具有个人属性，又具有公共属性。一方面，个人信息与个人法益相关联。个人信息与个人的人身、财产安全等重大法益相联系。另一方面，个人信息与公共安全相关联。近年来，随着互联网和大数据的发展，侵犯公民个人信息犯罪案件的数量呈大幅递增的趋势，涉案个人信息的数量少则几百条，多则几亿条。侵犯公民个人信息的犯罪行为对于公共安全的侵害性显而易见。比如，2017年5月9日最高人民法院发布的七个侵犯公民个人信息犯罪典型案例涉及的信息数量最多的达到2 000万条(丁亚光侵犯公民个人信息案)，最少的也有1万余条(肖凡、周浩等侵犯公民个人信息案)。[10]

(二)两罪名行为对象的厘清

1.窃取、收买、非法提供信用卡信息罪的行为对象

窃取、收买、非法提供信用卡信息罪的行为对象是个人的信用卡信息资料。按照2000年中国人民银行的《银行卡磁条信息格式和使用规范》，主账号、发卡机构标识号码、个人账户标识、校验位及个人标识代码属于信用卡信息资料的具体内容。

这里的信用卡信息资料是指信用卡上所有的信息，还是仅指信用卡磁条上的信息？有观点认为，信用卡信息就是指信用卡磁条上的信息。[11]有观点认为，信用卡信息是指信用卡上的所有信息。[5]笔者赞同第一种观点，因为信用卡磁条上的信息既包括金融机构的信息，也包括持卡人的信息。信用卡磁条上的信息完全可以体现该罪的保护法益，即国家有关信用卡信息的管理秩序和个人的信用卡信息安全。

2.侵犯公民个人信息罪的行为对象

侵犯公民个人信息罪的行为对象是公民个人信息。对于“公民个人信息”的定义，我国《刑法》《刑法修正案(七)》《刑法修正案(九)》均未规定。2013年最高人民法院、最高人民检察院、公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称“三部门《通知》”)、2016年通过的《网络安全法》及2017年最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于“公民个人信息”做出了具体的规定。

纵观三部门《通知》、《网络安全法》、《解释》对于“公民个人信息”的定义，三者均采取了识别型和混合型相结合的定义方式，即同时采用识别、概括和列举的方式对个人信息进行界定；均将“能够单独识别”作为个人信息的特征，即个人信息要具有识别性；均列举“姓名”“身份证件号码”“电话号码”“住址”等个人信息种类。但三者对于“公民个人信息”的定义也有很多不同。第一，相较于三部门《通知》中对于“公民个人信息”的定义，《网络安全法》删去了三部门《通知》中 “公民个人隐私”的规定，不再将 “隐私性”作为公民个人信息的特征。第二，《网络安全法》将“能够单独识别”的信息扩大到“能够单独或者与其他信息结合识别”的信息。[12]第三，相较于《网络安全法》，《解释》增加规定了“自然人活动情况的信息”，扩大了个人信息的范围。第四，相较于三部门《通知》和《网络安全法》，《解释》增加了“账号密码”“财产状况”“行踪轨迹”三种类型的个人信息。

三、个人金融信息现行刑法规定的局限及完善建议

虽然我国现行《刑法》规定了窃取、收买、非法提供信用卡信息罪和侵犯公民个人信息罪，但单靠这两个罪名无法规制实践中复杂多样的侵犯个人金融信息的犯罪行为。

关于个人金融信息的刑法规定模式，大陆法系国家采用刑法典的规定模式。如德国《刑法》第十五章 “侵害私人生活和秘密”规定了一些与个人信息犯罪相关的罪名。英美法系国家多采用附属刑法的规定模式，如美国在《金融隐私权法》《公平信用报告》《金融服务现代化法》《公平正确信用交易法》中制定了针对侵犯个人金融信息的刑法条文。我国《刑法》关于个人金融信息的规定模式，可以借鉴其他国家的刑法规定模式，采取刑法典和附属刑法相结合的模式。

笔者建议在《刑法》第三章第四节“破坏金融管理秩序罪”中增设“侵犯个人金融信息罪”，具体条文可设计为：“非法提供、非法获取或者非法使用个人金融信息，情节严重的，处三年以下有期徒刑或者拘役，并处罚金。情节特别严重的，处三年以上有期徒刑，并处罚金。金融机构的工作人员犯前款罪的，依照第一款规定从重处罚。”并在相应的经济法律中规定刑法规范。理由在于：

其一，我国现行《刑法》规定的窃取、收买、非法提供信用卡信息罪，无法有效规制侵犯其他个人金融信息的犯罪行为。因为窃取、收买、非法提供信用卡信息罪的行为对象是信用卡信息资料，信用卡信息资料属于个人金融信息的一种，个人金融信息除了信用卡信息资料，还包括金融交易中的其他金融信息，如保险公司、证券公司、基金管理公司、网贷公司、担保公司等掌握的个人金融信息。对于窃取或者以其他方法非法获取保险公司、证券公司、基金管理公司、网贷公司、担保公司等所掌握的个人金融信息的行为，我国现行《刑法》没有规定，但是，这种行为的社会危害性与窃取或者以其他方法非法获取他人的信用卡信息资料的社会危害性是一样的，故有必要通过增设“侵犯个人金融信息罪”对这种行为进行刑法规制。

其二，我国现行《刑法》规定的侵犯公民个人信息罪，同样无法有效规制侵犯其他个人金融信息的犯罪行为。虽然个人金融信息属于个人信息，个人金融信息是个人信息的下位概念，但是个人金融信息又不同于个人信息，个人金融信息具有自身特征。个人金融信息必须是发生在金融活动中的信息，而个人信息不需要发生在金融活动中。个人金融信息的安全不仅关系个人信息，也关系金融管理秩序。然而，侵犯公民个人信息罪的主要保护法益是公民的人身权利、公民个人的信息安全，次要保护法益是公民的财产安全、公共信息安全，该罪的保护法益不包括金融管理秩序。随着移动互联网的快速发展，个人金融信息更加容易被获取，侵犯个人金融信息的行为方式也越来越多样化，然而许多行为是侵犯公民个人信息罪所无法规制的，如对于合法获取他人金融信息后再非法使用的行为，就无法按照侵犯公民个人信息罪予以定罪量刑。[13]因此，有必要通过增设“侵犯个人金融信息罪”对复杂多样的侵犯个人金融信息行为进行刑法规制。