FINTECH时代个人金融信息保护法律问题初探

李 想

1.甘肃政法大学法学院，甘肃 兰州 730070；

2.中南财经政法大学法学院，湖北 武汉 430073

一、个人金融信息概况

依照《中国人民银行金融消费者权益保护实施办法》第二十七条的规定，个人金融信息，是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息。所以，个人金融信息是包括个人身份信息、财产信息以及交易记录等在内的综合信息，应与个人密不可分，是与个人隐私和个人信息存在区别和联系的一种特殊的综合信息，是人格权和财产权的有机统一体。

（一）个人金融信息的保护范围

依照2017年6月实施的《中华人民共和国网络安全法》的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。中国人民银行2016年5月实施的《非银行支付机构网络支付业务管理办法》第十四条规定交易信息包括但不限于：交易渠道、交易类型、交易终端和接口、交易金额、交易时间、商户名称、收付款客户名称、开户行和账号、身份验证和交易授权信息等信息。《中国人民银行金融消费者权益保护实施办法》将个人金融信息范围划定为个人身份信息和财产信息、账户信息、信用信息和交易信息等。中国证监会2017年7月起正式实施的《证券期货投资者适当性管理办法》第六条中规定，证券机构向投资者提供服务时，应当了解投资者的有关信息，除包括前述个人信息以外，还有风险偏好、诚信记录等。

依据以上规定，可以将个人金融信息大致分为四个方面，一是身份信息；二是财产信息；三是信用信息；四是交易信息。

（二）个人金融信息受到侵害的现状

中国近年来的网络爆炸式的增长，仅2016年“双十一”淘宝网旗下天猫销售平台一天销售额即达到1207亿人民币（相较2009年的500万增长了24000倍），2018年11月11日，这一数字又攀升至2135亿，同日京东公司销售额也达到了1598亿。在网络经济已经远超实体经济的现状下，随之而来的盗窃、诈骗等犯罪形式也开始从线下延伸至线上。2015年1-9月，猎网平台共接到全国网民举报网络诈骗案件20086起，涉案金额高达8901万元，人均损失4431元。2016年，中国互联网协会报告显示，78.2%的网民个人身份信息被泄露过，63.4%的网民个人网上活动信息被泄露过，网民因个人信息泄露、垃圾信息、诈骗信息等现象导致总体损失约805亿元。中国的个人信息泄露是非常普遍的现状，主要的侵害方式有四种，包括金融消费者个人金融信息泄露（包括交易第三方），银行及其他金融机构和非银行业支付机构以及互联网金融机构金融消费者个人金融信息泄露，因撞库等其他系统漏洞造成的个人金融信息泄露，以及支付机构违规格式条款和霸王条款的频出。

二、我国在个人金融信息保护方面存在的问题

并未统一个人金融信息保护的概念和保护范围。我国目前立法关于个人信息和个人隐私的规定并未明确区分，在同时存在多个定义均涉及金融信息安全的情况下，在实际司法实践中，容易造成适用法律的多面性，很难适用统一规则，这无疑会造成维权困难，诉求无法实现。

立法层级多，机构多。我国目前涉及金融消费者保护的法律法规不下十数种，涉及的保护金融消费者个人信息的相关规定，定义不同，范围不同，处罚力度不同，这对于司法实践操作非常不利，很难保证执法的一致性和公平性。

普遍法律位阶低。我国目前关于金融消费者保护的法律大多仅限于中国人民银行、银监会、证监会和保监会发布的一些规定、意见和办法等，在民法总则和消费者权益保护法中都没有明确的规定，也没有专门的金融消费者保护法出台，这些现行法规普遍法律位阶低，如果纠纷涉及域外因素时，法律适用会更显尴尬。

没有互联网金融机构其他金融业务的相关法律规制。我国现行规定中虽然已有《非金融机构支付服务管理办法》、《非银行支付机构网络支付业务管理办法》对非银行业金融机构的支付业务进行了规定，但并未专门对互联网金融机构的其他行为进行规定，在FINTECH时代，这种规制已经是迫在眉睫的问题。

三、对于我国个人金融信息保护的立法建议

（一）建立健全统一监管机制、投诉机制

针对监管机构不统一的问题，金融消费者权益保护局应该发挥更为重要的功能，不仅在其职能上要更为健全，更要提高其地位，如果仅作为中国人民银行下设机构，其投诉和处理纠纷的通道就极为有限，可以借鉴英国的FCA监管模式，将宏观审慎和微观审慎的职能区分开来，金融消费者权益保护局和“一行两会”分别作为金融消费者保护微观审慎机构和金融行业宏观审慎机构。个人金融信息的泄露，造成的危害和财产损失不仅涉及个人银行账户的资金安全、FINTECH的发展，同时银行账户、证券交易账户和个人网络金融账户的密切关联，在提高操作使用的便利的同时，也会带来联动的风险，所以一方信息泄露，就容易造成个人财产账户的“一损俱损”。在这样的情况下，投诉机构的单一性就显得更为重要，一旦出现个人金融信息泄露，由金融消费者权益保护局逐一排查与金融消费者进行交易相关的各个金融机构，寻找信息泄露源头，追究相关责任人的责任，这比让金融消费者自己查找信息泄露的原因和过程更为直接有效，而且降低了个人的维权成本。

（二）制定个人金融信息保护法律规范

笔者建议，应当在提高金融消费者权益保护局地位和作用的同时，制定专门的个人金融信息保护方面的法律规定。现行法律法规对于金融消费和个人金融信息安全权的规定已经相对完善，但是缺乏统一的系统的规定，由于散见于各种规定之中，在法律适用过程中难免出现问题，在实际司法操作中也会出现不知道应该适用哪一方法律规定的问题。如果在消法修改过程中明确加入金融消费者个人金融信息权的定义和范围，同时对于这一权利保护做出专门的规定，要求金融这一敏感行业经营者采取加密措施收集、处理和储存个人金融信息，明确外包服务责任，以及明确信息泄露的惩罚措施，对于金融消费者个人金融信息保护的作用将是十分有利的。

同时，应当参考两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步细化对于单位负责人以及单位侵害个人金融信息行为的规定，明确单位负责人承担刑事责任的量刑标准，以及对于单位处以罚金的额度。

（三）加强FINTECH金融机构法律规制

现阶段，在FINTECH领域的立法是我国和其他各国目前均属相对空白的领域，金融行业发展至线上是一种必然趋势，但其爆炸式的变化是始料未及的，在互联网支付机构规定刚刚推出不久的情势下，FINTECH金融已经逐渐发展成为涵盖借贷、分期、信用支付、理财产品各领域的综合性金融交易平台，有一些公司还将自身的业务扩展至保险和高风险投资领域，这些变化更加要求监管部门在未来的新规中规范这些互联网金融机构的交易行为。现行的网络金融机构管理领域尚属立法空白，应当在未来的立法过程中，明确经营互联网信贷、融资、理财、信托等业务的金融机构在经营过程中应当遵守保护金融消费者个人金融信息安全的要求，包括对数据加密传输的技术要求；在获取个人金融信息时，及时向金融消费者说明权利义务和信息安全风险；在需要向交易第三方提供个人金融信息时，需获取金融消费者授权书，并在授权书中明确使用目的和范围；对于互联网经营除支付以外其他金融业务的金融机构，应向主管机关汇报明确的经营范围并通过审核后方可经营，不得超出其申请的业务范围进行交易；需明确各经营环节的安全义务，出现信息泄露风险或发生个人金融信息泄露时，明确惩罚措施，加大惩罚力度。