金融消费者个人金融信息的法律保护

方芳 范钰洁

厦门大学嘉庚学院

大数据时代对金融消费者个人金融信息保护带来新的挑战。个人金融信息是金融业经营者①在与个人进行业务往来活动时获取、保存、使用、共享的信息以及在往来活动结束后销户处理阶段所涉及的信息，包括信息主体的长期的交易行为、交易内容、交易方式、交易习惯。中国人民银行于2019年12月27日发布《中国人民银行金融消费者权益保护实施办法（征求意见稿）》（简称《实施办法》）对近年来金融市场存在的乱象做出了针对性规制，然而2020年3月艺人池子在微博披露，中信银行违法向第三方笑果文化公司提供其个人银行账户交易明细，这一事件再次将金融信息泄露的风险推到大众面前。

一、我国当前个人金融信息面临的侵害类型

（一）个人金融信息的泄露

传统行业和互联网金融行业都存在金融工作人员缺乏责任感的情况，由于管理机制和追责机制不完善，部分金融机构及其工作人员在利益驱使下，利用自身职务便利在信息主体不知情、未经其允许的情况下将个人金融信息擅自出售。金融行业涉及领域广、金额大、人数多，个人金融信息的泄露会给信息主体的财产和人身安全带来危险，同时也会对市场运行带来不利影响。

（二）个人金融信息的非法利用

个人金融信息不仅与信息主体的财产有紧密的联系，互联网大数据时代下的金融信息被收集、分类、归纳后本就可以作为预测商机的重要资源，因此被人们需要和重视。金融机构的从业人员在未经信息主体的允许下，利用其金融信息进行授权范围之外的操作，这是明显的非法侵害行为。尽管各个行业的运营模式和经营内容存在不同程度的差异，线上线下业务和交易方式的多样化促使个人金融信息在各个行业间、机构间乃至线上线下的流转和共享，非法利用的情形层出不穷。

（三）个人金融信息的滥用

区别于个人金融的泄露和非法利用，这类行为不属于越权和无权，它符合信息主体和金融经营者的约定或协议。以 《蚂蚁金融隐私权政策》②为例，其约定内容与银行机构有本质区别。首先，其内容包括与第三方共享金融信息的情形，但并未明确具体的前提条件及共享内容的范围和限度。其次，关于联系欠款关系人的内容未明确具体违约条件、联系人范围，且欠款人未明确知情并同意。这无疑增加了其亲友的义务，也对其亲友之金融信息有侵权之嫌。因此，此类行为表面符合法律和协议，实则是对个人金融信息的滥用。

二、我国金融消费者个人金融信息法律保护的困境

（一）尚未形成完整的保护体系

我国金融业目前仍然实施分业经营、分业监管，虽然多个层次的规范性法律文件中都涉及到了对于金融消费者个人金融信息保护方面的规定，但是大多集中于对银行类金融机构的监管，缺乏对证券、保险、信托、私募基金等行业保密义务的规定，这与我国近年来大力提倡发展直接融资的趋势明显不匹配。

金融机构对个人金融信息的共享与披露在金融业中是最为常见的环节，《银行监督管理办法》③和《征信业管理条例》④虽也已针对共享和信息披露作出相关规定，但对于违反保护义务所承担的法律责任未作出详细规定。《信息安全技术 个人信息安全规范》（以下称《信息安全规范》）关于个人信息使用、共享和披露之操作的规定比较明确，但其并未专门规定个人金融信息。另外，《实施办法》强调了金融机构的保密义务，这对金融机构及其工作人员保护好金融信息有很大的督促作用。但这些并非法律性文件，只是监管机构、金融机构开展相关工作的指导文件，因此不具备强制性而难以适用。

由此可见，对于金融信息保护范围乃至保护义务，相关条文的零散分布使得不同金融机构在对待同种类型或相类似的事件可以做出不同的处理结果，加之各部门之间没有有效的协调机制以至于难以形成完整的保护体系。

（二）监管权限划分不明确

我国多年来的监管理念一直是机构监管，即依照机构属性来划分监管对象、明确监管主体，然而随着实践中混业的趋势化，该监管模式的不足益发明显，即使得对金融信息的利用、共享等流动的监管变得十分复杂。

首先，针对不同金融机构进行的同一类业务所涉及的相类似的金融信息在监管实施要求上可能出现不一致的情形。其次，不同监管机关可能所涉及的监管领域有所重叠，这使得同一金融信息可能被无意义的投入相同的监管资源，当在公共利益的驱使下，分金融信息要进行必要的公开共享时，可能需要经过繁琐而重复的流程，极大降低了工作效率。另外，在不同监管机构的管理下，可能会导致监管真空地带的出现，这无疑会使得本应被保密的金融信息暴露在公众视野下，脱离了对个人金融信息保护的初衷。最后，在我国金融业综合经营范围的日渐扩大下，银行业、证券业、保险业间的业务合作日益频繁，也带来了日益增多的交叉业务，这完全突破了原有的传统监管范围，个人金融信息直接在不同行业机构间进行共享，如果继续机构监管，可能导致金融信息的一次流动被不同监管机构多次采取监管措施，从监管活动的本质来看即是不合理的。

（三）现有救济机制效果受限

现阶段个人金融信息被侵害时，实践中大多采取调解为主、诉讼为辅的处理方式，且即便通过民事诉讼进行救济，作为资金和技术都处于弱势一方的金融信息主体很难实现维权效果。

首先，受害人不能以金融信息主体的身份提起诉讼，欲寻求民事救济只能依据《侵权责任法》中关于侵害隐私的一般规定，对侵权主体提起包括排除侵害、请求赔偿等要求在内的诉讼，这种迂回的、间接的保护效果往往差强人意[6]。且对侵权行为人课加的几乎都是行政责任与刑事责任，鲜有民事方面的救济，金融信息主体的损失得不到实质性补偿。

其次，金融信息主体和金融机构交易过程中产生、储存的金融信息大多以电子化形式保留在金融机构的业务系统中，如果金融机构确实违法利用个人金融信息或保存不当造成信息泄露，金融信息主体是很难取证的。如果金融机构的工作人员违反职业道德私下泄露金融信息，考虑到影响金融机构内部管理和外部声誉，则该金融机构不会主动在有关的诉讼中对此进行解释。金融信息主体更不可能取得相应的证据，没有证据便无法赢得诉讼。

三、完善我国个人金融信息法律保护的建议

（一）构建完整的保护体系

互联网商品经济已经渗透到社会的方方面面，互联网中的个人金融信息更需要被纳入监管和保护范围中，与传统金融监管形成完整的金融信息保护体系以适应未来金融行业的发展。传统的金融信息保护范围主要保护交易期间消费者的金融信息不被泄露和使用，然而在磋商阶段及交易完成后，也有个人金融信息被侵犯的风险。因此，在未来的立法中，应进一步完善关于金融交易发生前后阶段对个人金融信息的保护。

金融业经营者在对金融信息进行授权范围外的操作前，必须告知并获得金融信息主体的同意。为避免频繁“告知”带来效率低下的问题，可以对金融业经营者收集、利用、共享金融信息的行为中设置禁止性情形。针对违法收集、泄露、损毁个人金融信息的行为，应当从违法程度和造成损失的不同方面进行法律责任的划分，同时提高侵犯金融信息行为的违法成本，做到对非法处理金融信息行为的惩治有法可依。

（二）明确个人金融信息监管权限

对个人金融信息的监管涉及实体金融领域和互联网金融领域，分别存在不同的监管机构，比如互联网领域有网信办，而金融领域则存在一行两会，因而会出现金融监管交叉或重叠的情况，这就需要遵从一致性机制。一致性机制由信息管理部门的最高级别机构设置，其余机构都应当遵从该机制制定不同领域具体的监管细则。机制中除了一般性规定，也需要规定在不同领域监管机构必要时进行合作时所需要遵从的职能划分原则和发生冲突时的解决办法。在一行两会的监管模式下，中国人民银行的统筹监管特性的愈加突出，对于一些涉及重大项目的个人金融信息，可由其进行协调统一监管。

（三）对金融消费者实行倾斜保护的原则

金融消费者在信息收集能力、专业知识储备、经济能力等方面处于弱势地位，尤其是在举证时，除了侵害后果，在侵权行为、侵权行为与损害后果之间的因果关系、主观过错这三项待证事实中，很难从行政机关、金融机构等强势主体方调取金融信息被泄露的证据。因此，相关立法有必要明确金融管理机构及其工作人员的责任承担形式以及个人金融信息受到了侵害时的解决方式。为了切实维护金融消费者的权益，有过错的金融机构及其责任人首先应承担民事责任；同时，以行政责任和刑事责任为补充，充分发挥法律的震慑作用。除此之外，也有必要简化侵权主体的民事责任构成要件，以达到减轻金融消费者举证责任的特别要求。

结论：金融消费者既是金融市场中资金的源头，也是金融服务的终点，能否切实保护金融消费者，关系到我国金融市场的健康可持续发展。今年4月17日，中国人民银行网站发布的《2020年规章制定工作计划》中包括了个人金融信息（数据）保护试行办法、征信业务管理办法、中国人民银行金融消费者权益保护实施办法等，我国对于金融消费者个人金融信息的法律保护已经取得了实质性进展，进一步夯实了金融市场的基础。

注释：

①金融业经营者是包括银行业金融机构、非银行业金融机构以及第三方支付平台，其业务信息接入中国人民银行各个系统（征信、支付等系统）中的机构的经营者。

②《蚂蚁金融隐私权政策》：“我们（蚂蚁金服）对您的信息承担保密义务，但我们有权在下列情况下将您的信息与第三方共享……根据格式条款，蚂蚁花呗可以在用户违约时向您（用户）传达信息的亲戚朋友、联系人等披露您（用户）的违约信息”。

③《银行业监督管理法》：“第11条 银行业监督管理机构工作人员，应当依法保守国家秘密，并有责任为其监督管理的银行业金融机构及当事人保守秘密。国务院银行业监督管理机构同其他国家或者地区的银行业监督管理机构交流监督管理信息，应当就信息保密作出安排。……第43条 第四十三条擅自设立银行业金融机构或者非法从事银行业金融机构的业务活动的，由国务院银行业监督管理机构予以取缔;构成犯罪的，依法追究刑事责任;尚不构成犯罪的，由国务院银行业监督管理机构没收违法所得，违法所得五十万元以上的，并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五十万元的，处五十万元以上二百万元以下罚款。”

④《征信业管理条例》：“第14条 禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。”