吳丹丹郜新鑫陳立佳

（1.中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院，安徽 合肥 230026；2.新華通訊社，北京 100803）

一、引言

從余額寶問世到第三方支付、P2P網(wǎng)貸平臺的迅速發(fā)展，互聯(lián)網(wǎng)金融近年來得到廣泛關(guān)注，并首次進入了2014年的政府工作報告。在“移動互聯(lián)”、“云計算”、“物聯(lián)網(wǎng)”等技術(shù)的推動下，我國互聯(lián)網(wǎng)金融發(fā)展迅猛，在理念、技術(shù)、產(chǎn)品等方面不斷得到創(chuàng)新，在服務(wù)實體經(jīng)濟、推動普惠金融發(fā)展、便利居民生活、滿足投資需求等方面彌補了傳統(tǒng)金融體系的缺陷，發(fā)揮了無法替代的積極作用[1]。

然而，金融信息安全問題也隨之日益突顯。信息化的加速不可避免地增加了數(shù)據(jù)泄漏的風(fēng)險，再加上對一些敏感數(shù)據(jù)的使用權(quán)和所有權(quán)界定不明晰，過分依賴國外大數(shù)據(jù)分析技術(shù)等，容易導(dǎo)致民眾在享受互聯(lián)網(wǎng)金融帶來便利的同時，面臨著賬號被盜、資金被竊、交易欺詐以及財產(chǎn)損失等諸多潛在風(fēng)險。

金融信息安全是國家發(fā)展戰(zhàn)略的重要基石，信息安全問題目前已經(jīng)上升到國家戰(zhàn)略層面，很多發(fā)達國家視其為僅次于恐怖襲擊的重大安全問題[2]。本文在此背景下從法律制度層面出發(fā)，依據(jù)對我國金融信息保全立法現(xiàn)狀及其問題的剖析，針對性地提出健全金融信息保護立法體系的建議，具有重要的理論指導(dǎo)和實際應(yīng)用價值。

二、互聯(lián)網(wǎng)金融的內(nèi)涵及特征

Allen＆Gale(1997)[3]、Berger＆ Gleisner(2008)[4]、高漢(2014)[5]等學(xué)者認為，互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融的簡單結(jié)合，是借助云計算、搜索引擎、移動通信、社交網(wǎng)絡(luò)等一系列現(xiàn)代信息科技手段，實現(xiàn)資金融通等多項業(yè)務(wù)的新興金融服務(wù)模式。從概念層面可以將目前所有網(wǎng)絡(luò)金融形態(tài)劃分為互聯(lián)網(wǎng)金融和金融互聯(lián)網(wǎng)，前者指互聯(lián)網(wǎng)企業(yè)利用互聯(lián)網(wǎng)技術(shù)開展的金融業(yè)務(wù)，后者指金融機構(gòu)傳統(tǒng)業(yè)務(wù)的互聯(lián)網(wǎng)化，無論哪種，均離不開關(guān)鍵信息技術(shù)的運用[6]。

互聯(lián)網(wǎng)金融主要具有以下三點顯著特征：一是依托大數(shù)據(jù)、云計算、社交網(wǎng)絡(luò)和搜索引擎，通過互聯(lián)網(wǎng)技術(shù)與金融功能的融合，挖掘客戶信息并管理信用風(fēng)險；二是以點對點直接交易為基礎(chǔ)進行金融資源配置；三是融合互聯(lián)網(wǎng)并實現(xiàn)以第三方支付為依托的資金轉(zhuǎn)移。

三、我國金融信息保護立法概況

我國到目前為止仍然沒有制定出一部規(guī)范所有部門和行業(yè)的統(tǒng)一的金融信息保護法律，但關(guān)于金融信息保密義務(wù)等規(guī)定早已在一些法律中有所提及。

（一）概括性法律規(guī)定

《憲法》第十三條規(guī)定：“公民的合法私有財產(chǎn)不受侵犯?！钡谌龡l規(guī)定：“國家尊重和保障人權(quán)?！薄睹穹ㄍ▌t》第一百零一條規(guī)定：“公民、法人享有名譽權(quán)，公民的人格尊嚴受到法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽。”《民通意見》第一百四十條規(guī)定：“以書面、口頭形式宣揚他人的隱私，或者捏造事實公然丑化他人人格，以及用侮辱、誹謗等方式損害他人名譽，造成一定影響的，應(yīng)當(dāng)認定為侵害公民名譽權(quán)的行為?！薄缎谭ā沸拚负汀肚謾?quán)責(zé)任法》中也對個人信息受侵犯做了保護性規(guī)定。上述原則性規(guī)定雖不涉及金融信息保護領(lǐng)域，但其實可以將我國有關(guān)隱私權(quán)、金融信息保護等法律的傳統(tǒng)理念實實在在地反映出來，相信對于研究我國金融信息保護的立法缺失，以及具體制度構(gòu)建等具有重要的頂層設(shè)計和指導(dǎo)價值。

（二）具體性法律規(guī)定

我國最早規(guī)定銀行保密義務(wù)的法規(guī)是1992年的《儲蓄管理條例》，其第五條規(guī)定“儲蓄機構(gòu)辦理儲蓄業(yè)務(wù)必須遵循為儲戶保密的原則”?！秲π罟芾項l例》對儲戶利益的保護精神體現(xiàn)在《商業(yè)銀行法》中。該法第六條規(guī)定：“銀行義務(wù)保障存款人權(quán)益不受侵犯。”第二十九條規(guī)定：“商業(yè)銀行辦理個人儲蓄存款業(yè)務(wù)，應(yīng)當(dāng)遵循存款自愿、存款自由、存款有息、為存款人保密原則；對個人儲蓄存款，商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃，但法律另有規(guī)定的除外?！钡谖迨龡l規(guī)定：“商業(yè)銀行的工作人員不得泄露其在任職期間知悉的國家秘密、商業(yè)秘密?！薄峨娮鱼y行業(yè)務(wù)管理辦法》第三十八條規(guī)定：“金融機構(gòu)應(yīng)采用適當(dāng)?shù)募用芗夹g(shù)和措施，保證電子交易數(shù)據(jù)傳輸?shù)陌踩耘c保密性，以及所傳輸交易數(shù)據(jù)的完整性、真實性和不可否認性?！薄缎磐泄竟芾磙k法》第二十七條規(guī)定：“信托公司對委托人、受益人及所處理信托事務(wù)的情況和資料負有依法保密的義務(wù)，但法律法規(guī)另有規(guī)定或信托文件另有約定的除外。”

中國人民銀行通過發(fā)布《中國人民銀行法律事務(wù)工作規(guī)定》與《銀行業(yè)消費者權(quán)益保護工作指引》對個人金融信息保護做出原則性規(guī)定，禁止在個人未授權(quán)時對其個人金融信息進行披露。2011年下發(fā)《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》（2011年第17號文）以列舉方式界定了個人金融信息的范圍，在例外披露制度上做出兩種安排。第一，向第三人披露金融信息必須出于為被披露主體辦理業(yè)務(wù)所需要，同時需要被披露主體的明示同意，否則不能披露；第二，出于營銷的目的向本金融機構(gòu)內(nèi)其他部門或其他業(yè)務(wù)人員披露時，采取默示同意制度，即被披露主體提出反對時禁止披露，而被披露主體未聲明反對時擬制為默示許可，兩種安排都應(yīng)服從法律法規(guī)的另行規(guī)定。2012年“3·15”期間再次發(fā)出《關(guān)于金融機構(gòu)進一步做好客戶個人金融信息保護工作的通知》（2012年第80號文），重申2011年17號文對例外披露制度的嚴格執(zhí)行。

此外，我國《反洗錢法》、《中華人民共和國證券法》、《個人存款賬戶實名制規(guī)定》、《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》等法律、法規(guī)、規(guī)章中也對金融信息保護有零星規(guī)定。如，《中華人民共和國證券法》第四十四條規(guī)定：“證券交易所、證券公司、證券登記結(jié)算機構(gòu)必須依法為客戶開立的賬戶保密。”《銀行業(yè)監(jiān)督管理法》第六條規(guī)定銀監(jiān)機構(gòu)應(yīng)與人民銀行、其他金融監(jiān)管機構(gòu)建立信息共享平臺；第四十三條規(guī)定違反規(guī)定查詢、披露個人金融信息的行政責(zé)任[7]。

四、我國金融信息保全立法存在的問題

雖然現(xiàn)階段我國已對金融信息數(shù)據(jù)保護做出了不少立法規(guī)定，從趨勢上對個人金融信息例外披露的規(guī)則也逐漸細化，但我國立法規(guī)定籠統(tǒng)零散，在實踐中的作用有限，仍存在諸多問題，主要包括：

（一）立法零散、缺乏系統(tǒng)性、可操作性差

閱讀國內(nèi)有關(guān)金融信息保護的法律規(guī)定可知，整個國家沒有一部主體法律來確定金融信息保護的基本原則和目標(biāo)，也沒有明確將金融信息保護作為一項法律意義上的權(quán)利進行保護，在規(guī)定內(nèi)容上也未涵蓋個人金融信息保護的全部范圍。與此同時，目前大多數(shù)關(guān)于金融信息保護的法律條文僅為保密義務(wù)的簡單重復(fù)，多為原則性強的指示性規(guī)定，缺乏具體的實體內(nèi)容，實踐中可操作性較差。如《民法通則》將隱私權(quán)置于名譽權(quán)下來保護，規(guī)定過于籠統(tǒng)導(dǎo)致較難判斷侵權(quán)行為構(gòu)成，從而真正追究有關(guān)人員侵權(quán)責(zé)任便很難落實。

（二）立法內(nèi)容不周延，范圍界定不清晰

我國現(xiàn)行金融信息保護法律對客戶金融隱私范圍界定狹窄，存在不少空白。從國內(nèi)分業(yè)監(jiān)管看，各層級的規(guī)范多數(shù)僅就單一監(jiān)管范圍內(nèi)的主體進行規(guī)定，在同一監(jiān)管領(lǐng)域內(nèi)的主體界定上，也語焉不詳。比如《商業(yè)銀行法》雖明確規(guī)定銀行需為儲戶保密，卻可又不區(qū)分個人和單位儲戶的利益；雖規(guī)定銀行保密義務(wù)，卻僅限于商業(yè)秘密。這意味著除金融機構(gòu)不夠重視外，有關(guān)金融信息權(quán)保護的整個思路也不正確。

（三）立法層級偏低，缺乏應(yīng)有的權(quán)威性

我國現(xiàn)行關(guān)于金融信息數(shù)據(jù)保全的一系列規(guī)定皆缺少了基本法層面的保護，大多都是以行政法、部門規(guī)章或規(guī)范性文件等為主體，無法將金融隱私權(quán)上升為法律意義上的權(quán)利。當(dāng)然，除銀行業(yè)外，其他金融機構(gòu)也都對客戶金融信息保護有著自身的一系列規(guī)定，如《反洗錢法》、《保險法》、《證券法》等法律中關(guān)于金融信息保護的內(nèi)容相互重復(fù)或沖突、層次不一。我國金融信息保護法制建設(shè)的滯后在很大程度上不利于對客戶金融隱私權(quán)展開有效保護，在金融信息保護和信息披露存在沖突時，使得被違規(guī)披露個人金融信息的主體無法獲得有效的直接救濟。

（四）法律救濟渠道不足，重行輕民

“無救濟即無權(quán)利”，我國現(xiàn)行金融隱私保護法律很大一部分在于滿足行政和司法機關(guān)的履職需要，金融機構(gòu)有配合的義務(wù)，側(cè)重于公共機構(gòu)獲得個人信息的權(quán)利，而有關(guān)法律救濟手段與路徑的規(guī)定卻大大缺乏。目前我國對信息所有人的法律救濟手段偏重于行政責(zé)任方式，行政責(zé)任內(nèi)容較完善，可操作性，但行政處罰并不能給遭受侵權(quán)損失的權(quán)利主體以有效的權(quán)利救濟。而在被侵權(quán)的民事救濟方面，僅僅在原則上做籠統(tǒng)規(guī)定，并沒有實質(zhì)和具體的內(nèi)容，導(dǎo)致受害者難以尋求并行使法律救濟權(quán)。

五、互聯(lián)網(wǎng)時代下健全中國金融信息保護的立法建議

金融信息安全不僅關(guān)系著金融業(yè)的持續(xù)發(fā)展，也與整個國家的經(jīng)濟社會安全息息相關(guān)，特別是在互聯(lián)網(wǎng)金融時代背景下[8]。健全的法律體系是個人金融信息數(shù)據(jù)權(quán)得以保障和實施的基本前提。因此，健全國內(nèi)的金融信息保護制度，做好個人金融信息的保護工作，必須從立法入手，明確個人金融信息權(quán)利，加強監(jiān)管，正確處理個人金融信息保護和信息披露平衡等問題。

（一）樹立大數(shù)據(jù)理念

數(shù)據(jù)是重要資產(chǎn)在金融業(yè)已達成共識。十八屆三中全會通過的《中共中央關(guān)于全面深化改革若干重大問題的決定》中指出“借助大數(shù)據(jù)理念與技術(shù)的支持，構(gòu)建穩(wěn)定均衡的大金融體系”。因此，我國金融機構(gòu)應(yīng)當(dāng)樹立大數(shù)據(jù)的概念，在戰(zhàn)略原面上對包括金融隱私在內(nèi)的金融數(shù)掘進行規(guī)劃，建立數(shù)據(jù)驅(qū)動型發(fā)展方式；建立適應(yīng)時代要求的IT基礎(chǔ)架構(gòu)，保證基礎(chǔ)設(shè)施的可控性、安全性，優(yōu)化服務(wù)器、存儲和網(wǎng)絡(luò)資源；培養(yǎng)一支具備多學(xué)科知識、多層次專業(yè)素質(zhì)、嫻熟學(xué)習(xí)和駕馭新技術(shù)能力的精英團隊[9]。

（二）科學(xué)選擇立法模式

我國應(yīng)當(dāng)在充分考量經(jīng)濟發(fā)展和社會現(xiàn)實的需求，以及認真分析具體國情的前提下，來選擇金融信息保護立法模式。我國在個人信息保護領(lǐng)域的立法起步較遲、經(jīng)驗欠缺，在現(xiàn)階段的實際情形下，想直接達到歐盟一體化的高保護水平是很難的。為盡可能避免分散立法導(dǎo)致信息保護缺漏這一情況的發(fā)生，一部統(tǒng)一法律的制定是十分必要的。鑒于此，結(jié)合我國法律體系主要屬于成文法系的基本特征，在模式上可以美國模式為基礎(chǔ)分散立法，結(jié)合實際逐步探索，循序漸進地提高金融隱私保護水平，走向歐盟統(tǒng)一立法模式。

（三）逐步建立并完善金融信息法律體系

第一，完善部門規(guī)章為主體的金融隱私保護制度體系?？紤]立法程序復(fù)雜和時間成本等問題，應(yīng)首先從強化監(jiān)管部門行政管理權(quán)入手，近期目標(biāo)是以部門規(guī)章和規(guī)范性文件為核心，初步建立起科學(xué)的制度體系；遠期目標(biāo)是通過行政管理為推進手段，逐步建立專門法律為核心、涵蓋各層面相關(guān)法律法規(guī)為輔助，通過部門規(guī)章和規(guī)范性文件具體實施的金融隱私保護法律體系。第二，加快推進個人信息保護立法。應(yīng)當(dāng)將個人信息保護工作通過效力層次較高的法律進行規(guī)范，以體現(xiàn)個人信息保護的重要性。《民法通則》等基本法律應(yīng)當(dāng)對金融隱私保護做出制度性安排，如適用直接保護原則，將隱私權(quán)作為一項獨立的人格權(quán)加以保護，同時對隱私權(quán)權(quán)屬進行界定，明確其財產(chǎn)屬性，為金融隱私權(quán)法律制度的全方位構(gòu)建奠定立法基礎(chǔ)。與此同時，還應(yīng)逐步完善個人信息保護的立法技術(shù)手段，保證其法律保護的全面性。

（四）加大監(jiān)管力度，將法律落實到位

首先，明確好監(jiān)管部門。綜合考慮到中國人民銀行的宏觀管理地位，以及其可以通過征信系統(tǒng)、支付清算體系等方式非常便利地對金融機構(gòu)資金流動和管理個人信息等情況隨時予以監(jiān)控，建議由人民銀行做好牽頭協(xié)調(diào)與兜底保護等主要工作，并需要結(jié)合實際情況對金融機構(gòu)保護客戶信息工作展開專項檢查、評估，將金融隱私保護納入對金融機構(gòu)總體風(fēng)險監(jiān)管框架中。其次，依法履行金融隱私保護監(jiān)管職責(zé)。監(jiān)管部門要監(jiān)督金融機構(gòu)客戶金融信息數(shù)據(jù)庫營銷管理，督促銀行業(yè)強化內(nèi)控建設(shè)，引入先進技術(shù)，防止信息泄露和濫用。同時，需自覺履行法律規(guī)定的對個人信息的保密義務(wù)，對現(xiàn)場、非現(xiàn)場監(jiān)管過程中獲得的個人金融信息嚴格保密，切實防范泄密現(xiàn)象發(fā)生。最后，借助第三方力量開展監(jiān)管。在個人金融信息數(shù)據(jù)保護的行政執(zhí)法中，監(jiān)管部門可以考慮依托標(biāo)準(zhǔn)化委員會，通過第三方技術(shù)專家即信息保護中介機構(gòu)的引入，來對金融機構(gòu)的個人信息安全情況進行共同判斷、評價并采取相應(yīng)的處理，從而促進全行業(yè)構(gòu)建金融隱私保護體系。

（五）健全金融機構(gòu)管理制度建設(shè)

第一，強化金融隱私保護內(nèi)控建設(shè)。金融機構(gòu)要完善客戶個人信息管理各項規(guī)章制度，健全各業(yè)務(wù)條線相關(guān)操作規(guī)程，參照人民銀行及有關(guān)監(jiān)管部門工作要求，加強個人金融信息全流程管理；重點推進內(nèi)控制度建設(shè)，合理劃分保密崗位職責(zé)和權(quán)限；嚴格審批涉及個人信息數(shù)據(jù)的查詢、復(fù)制。加大內(nèi)部監(jiān)督檢查工作頻率，展系統(tǒng)安全性評估、審計，防范各類風(fēng)險和漏洞。第二，加強建設(shè)與管理業(yè)務(wù)信息系統(tǒng)。按照分類管理、等級管理為原則推進金融機構(gòu)重要信息系統(tǒng)建設(shè)，通過崗位職責(zé)和系統(tǒng)操作員權(quán)限控制，對相關(guān)人員權(quán)限、等級進行詳細界定。定期組織第三方獨立機構(gòu)評估審計本機構(gòu)有關(guān)信息系統(tǒng)，評價抵御各類風(fēng)險的水平狀況，采取數(shù)字證書、防火墻等技術(shù)手段全面加強系統(tǒng)風(fēng)險管理。同時建立相關(guān)應(yīng)急處置工作機制，重點加強和防范網(wǎng)絡(luò)攻擊等外部風(fēng)險，確保相關(guān)信息系統(tǒng)的安全運行。第三，重點加強金融從業(yè)人員管理。目前，金融機構(gòu)因內(nèi)部員工操作不當(dāng)造成的個人信息泄露案件不斷發(fā)生，加強員工保密教育十分必要。要通過保密承諾書、責(zé)任書等方式，進一步強化對日常能夠接觸個人金融信息關(guān)鍵部門和崗位的管理與控制，消除風(fēng)險隱患。

（六）完善信息侵權(quán)救濟手段

首先，確立公益訴訟制度，賦予消費者訴訟資格，明確金融隱私訴訟個案對同類業(yè)務(wù)的普遍約束力。公民可以向行政司法機關(guān)、致力于金融隱私保護的社會團體等請求依法受到保護；金融機構(gòu)等應(yīng)積極推進預(yù)警體系于訴求處理平臺的構(gòu)建，及專職部門、人員的成立和組成；鼓勵完善行業(yè)自律規(guī)范，將行業(yè)組織的監(jiān)督作用落到實處。其次，需進一步強化隱私侵權(quán)的法律責(zé)任。金融機構(gòu)在侵犯客戶信息數(shù)據(jù)時，必須依法承擔(dān)相應(yīng)的法律責(zé)任。必要時還可通過懲罰力度的加大，使金融機構(gòu)的違法成本也隨之增加，充分保障金融隱私救濟權(quán)。

此外，應(yīng)明確信息披露的具體細節(jié)和操作流程。披露必須依據(jù)法律的明文規(guī)定和程序，法律應(yīng)當(dāng)嚴格限制公共利益和國家、公共安全的定義，防止公權(quán)力的自由裁量和對該原則的濫用，否則確立金融隱私權(quán)保護將失去大部分意義。

六、結(jié)語

在互聯(lián)網(wǎng)金融時代下，金融信息數(shù)據(jù)不僅具有人格屬性，是個人的一項財富，也是金融機構(gòu)的重要資產(chǎn)，更是國家和企業(yè)參與世界競爭的戰(zhàn)略資源[10]。所以要從制度和法的理念出發(fā)，多方外建立和完善我國現(xiàn)有的金融信息安全立法體系，如此才能在信息安全管理中獲得主動權(quán)、占據(jù)制高點，從而有效地規(guī)避互聯(lián)網(wǎng)金融帶來的信息安全風(fēng)險，更好地促進互聯(lián)網(wǎng)金融持續(xù)、健康、穩(wěn)步發(fā)展，更好地服務(wù)實體經(jīng)濟。

[1]胡劍波，宋帥，石峰.互聯(lián)網(wǎng)金融信息安全風(fēng)險及其防范[J].征信，2015(4):13-17.

[2]安青松.金融信息安全是國家發(fā)展戰(zhàn)略的重要基石[N].證券時報，2013-03-01(12).

[3]Allen&Gale.Financial Markets，Intermediaries and Inter-temporal Smoothing[J].Journal of Political Economy，1997(3):523-546.

[4]Berger&Gleisner.Emergence of Financial Intermediaries on Electronic Markets:The Case of Online P2P Lending[Z].Working Paper，University of Frankfurt，2008.

[5]高漢.互聯(lián)網(wǎng)金融的發(fā)展及其法制監(jiān)管[J].中州學(xué)刊，2014(2):57-61.

[6]黃瀏祥.互聯(lián)網(wǎng)金融信息安全風(fēng)險的應(yīng)對之策[J].中國農(nóng)村金融，2015(15):43-45.

[7]萬玲.金融隱私權(quán)保護公權(quán)干預(yù)制度探析[J].行政與法，2012(12):87-90.

[8]趙立志，朱建明.互聯(lián)網(wǎng)金融信息安全問題與對策[J].信息安全，2014(12):36-37.

[9]白運全.大數(shù)據(jù)時代的金融信息安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014(11):101-103.

[10]張秉兵.互聯(lián)網(wǎng)金融時代金融信息安全對策研究[J].金融科技時代，2015(7):66-68.