王長征

摘 要：本文通過對個人金融信息概念的探討、對我國個人金融信息保護立法情況的梳理和對歐美個人金融信息保護立法經(jīng)驗的研究，建議推動個人信息保護法盡快出臺，進一步構筑我國個人金融信息保護的法律體系。

關鍵詞：個人金融信息；保護；立法

中圖分類號：F840.4 文獻標識碼：B 文章編號：1674-0017-2018（2）-0093-05

一、個人金融信息的概念界定

（一）個人信息與個人隱私

《兩高關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（2017）第一款，刑法第二百五十三條之一規(guī)定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。

我國《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（2013）首次獨立界定了個人信息的內涵，并提煉出個人信息的核心法律特征——可識別性。根據(jù)《歐盟一般個人信息保護條例》（2016）對個人信息的定義，個人信息是指任何確定或可辨識自然人（信息主體）的信息?？杀孀R自然人是指，任何可以通過姓名、身份證號、位置信息、網(wǎng)上標簽，或者利用身體物質特征、生理特征、基因、精神、經(jīng)濟、文化、社會身份中一個或多個因素，以直接或間接方式辨識出特定自然人。井慧寶（2011）指出個人信息從語言學角度界定應理解為個人數(shù)據(jù)或個人資料，但從立法的角度考慮應持狹義的態(tài)度，“可辨識性”是立法要考慮的關鍵。

在很多國家，個人隱私一般是個人信息保護法律中的主要用語，如美國《隱私權法》（1974）、德國《聯(lián)邦數(shù)據(jù)保護法》（1977）、澳大利亞《隱私權法》（1988）、英國《數(shù)據(jù)保護法》（1998）中主要關注的都是個人隱私。Warren 和Brandeis在1890年發(fā)表《論隱私權》，使得隱私權作為一項獨立民事權利得到美國法律的保護。馬運全（2014）通過對英美立法中隱私權概念的總結，認為隱私權是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、收集、利用和公開的一種人格權。權利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權。

（二）個人金融信息與個人金融隱私信息

個人金融信息是特殊領域的個人信息，是信息主體在與金融機構的業(yè)務往來中為金融機構所掌握的個人信息。綜合不同學者對于個人金融信息范圍的各種看法，筆者認為，個人金融信息主要包含身份信息、財產(chǎn)信息、交易信息、衍生信息和其它信息等。

在美國相關立法中，提到過個人金融隱私信息和非公開個人金融信息的概念。美國的《金融服務現(xiàn)代化法案》（1999）將個人金融隱私信息定義為：非公開的、可確認為個人的金融信息。美國的《消費者個人金融隱私信息保護的最終規(guī)則》（2004）中，非公開個人金融信息涵蓋了所有不能從公開渠道獲得的個人金融信息。個人金融信息是個人信息的重要組成部分，個人金融隱私信息又是個人金融信息的最核心組成部分。邵朱勵（2016）對金融隱私權的概念進行梳理，認為金融隱私權是指自然人控制并排除他人干涉其本人在金融市場中產(chǎn)生的個人金融信息的能力，具有人格權和財產(chǎn)權雙重屬性。

二、我國個人金融信息保護立法的現(xiàn)狀

（一）相關法律法規(guī)梳理

《兩高關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（2017）對侵犯公民個人信息犯罪的定罪量刑標準和有關法律適用問題作了全面、系統(tǒng)的規(guī)定。違反法律、行政法規(guī)、部門規(guī)章有關公民個人信息保護規(guī)定的，應當認定為刑法第二百五十三條之一規(guī)定的“違反國家有關規(guī)定”；明確了涉及公民個人信息的“情節(jié)嚴重”的條款，加大了處罰力度。《中華人民共和國刑法修正案（七）》（2009）規(guī)定了出售、非法提供公民個人信息罪及非法獲取公民個人信息罪兩個罪名。

《中華人民共和國民法總則》（2017）第一百一十一條，“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。新民法總則首次承認了個人信息權，并將個人信息權確定為一種具體人格權，納入到民事權利中的人格權章節(jié)中。陳璐（2017）指出，在這一法條出現(xiàn)之前，個人信息被侵犯的受害者需依賴行政機關或檢察機關向侵權人追究行政或刑事責任。除非受害人能夠證明其名譽因個人信息被侵犯而受損，否則法院通常不會支持以個人信息被侵犯為由提出的民事訴訟。而現(xiàn)在隨著個人信息權被納入《民法總則》，發(fā)生民事侵權責任后，原被告雙方的舉證責任分配有所改變。不能苛求原告舉證個人信息處理者存在安全懈怠行為，相反的是要個人信息處理者必須舉證采取了法律規(guī)定的和必要審慎的個人信息保護措施，否則就應當承擔個人信息保護安全不規(guī)范的責任。

《中華人民共和國網(wǎng)絡安全法》（2016）對涉及網(wǎng)絡空間的個人信息保護做了較為全面的規(guī)定：收集和使用個人信息時應遵守“合法性”“合理性”和“必要性”三個原則，應獲得個人明確的知情同意；信息管理者必須采取充分的保護措施，確保個人信息安全；加強了個人信息保護力度，特別明確了個人信息保護的主體責任。

綜合以上對我國法律的梳理，筆者認為，可以主要概括為以下幾方面：①個人信息受到法律保護，涉及個人信息的犯罪處罰力度在加強，涉及網(wǎng)絡空間的個人信息由于新出臺的《網(wǎng)絡安全法》受到比較全面的保護。②金融機構及相關工作人員對于客戶個人金融信息有保密義務，違反保密義務后面臨行政處罰措施。③個人對個人金融信息采集和使用的知情權、同意權及提起訴訟權利。④個人的金融信息有一定的披露義務。

（二）我國個人金融信息保護面臨的問題

1.法律制度不健全，立法效力層級低、涵蓋面窄、缺乏操作性

自2003年起，學界主張制定統(tǒng)一的《個人信息保護法》，但由于個人信息的內涵及法律屬性還存在較大爭議，這項立法建議一直未能進入正式的立法程序，轉而制定了一系列的原則性立法及單行規(guī)定。隨著《兩高司法解釋》、新《民法總則》和《網(wǎng)絡安全法》的頒布，個人信息得到了更多的保護，但個人金融信息的保護依然比較散亂。第一，我國個人金融信息保護的相關法規(guī)效力層級較低。相關規(guī)定以行政法規(guī)、部門規(guī)章為主，沒有主要針對個人信息保護和個人金融信息保護的法律。第二，我國個人金融信息保護涵蓋面較窄。相關規(guī)定主要是銀行業(yè)和征信業(yè)的規(guī)定，《兩高司法解釋》的出臺能夠解決個人金融信息的犯罪問題，《網(wǎng)絡安全法》的出臺能夠保護網(wǎng)絡金融信息，但對于這幾方面無法覆蓋到的個人金融信息的保護僅僅局限于簡單的保密義務，責任不明確，救濟方式很有限，個人金融信息保護力度弱。第三，相關法規(guī)缺乏操作性。陳永（2003）指出，個人金融信息保護相關法規(guī)中對概念的具體界定過于籠統(tǒng)，缺乏操作性，如法律條文中將權利主體籠統(tǒng)規(guī)定為“存款人”、將保密義務主體規(guī)定為“銀行及銀行工作人員”等等。周學東（2011）提出，實踐中有些方面還比較模糊，比如銀行掌握的客戶信息是否可以用于理財產(chǎn)品的營銷和跨境提供等等。

2.保護手段少，違法成本低，監(jiān)管不明確

一方面，相關法規(guī)對個人金融信息的保護手段較少，對于個人金融信息的違法成本較低?！秲筛咚痉ń忉尅纺軌驊椭蝹€人信息犯罪情節(jié)嚴重的問題，《網(wǎng)絡安全法》能夠懲治網(wǎng)絡詐騙的問題，但如果個人金融信息不是在網(wǎng)絡框架下、且沒有達到情節(jié)嚴重的犯罪情況下，對違法機構的法律追究機制就不夠健全，打擊力度明細不足。盡管新民法總則降低了民事責任方面的要求，但民法、刑法和侵權責任法和行政法規(guī)等共同構成的責任追究體系依然不足以覆蓋現(xiàn)實中個人金融信息被侵犯導致的主要問題，且缺乏明確的標準和依據(jù)。王寶剛（2012）指出，對于侵犯銀行客戶個人信息但尚未構成犯罪的行為，沒有規(guī)定直接適用的罰則，監(jiān)管部門也缺乏對金融機構違規(guī)泄漏客戶信息進行處罰的直接依據(jù)。張瑞懷等（2013）認為，在金融機構侵權的情況下，計算受害人損失缺乏科學的標準，由此給金融機構侵權帶來的收益遠大于成本的付出，反而激勵了違法行為的發(fā)生。朱偉彬等（2014）提出，由于缺乏基礎性制度支持，金融監(jiān)管部門執(zhí)法時，依據(jù)原則性很強的基本法律，對違法行為的認定和處理時很難處理，只能運用通報、約見談話等懲戒性不強的手段，不能對違法機構產(chǎn)生威懾力。

另一方面，相關部門規(guī)章較多，但監(jiān)管手段欠缺，監(jiān)管力度較弱，針對個人金融信息保護特點的糾紛解決機制、即對個人金融信息權益的投訴問題沒有明確規(guī)范。王志強（2013）認為，個人金融信息保護的監(jiān)督部門管理不明確，一行三會在各自領域開展工作，缺乏明確的職責分工范圍和協(xié)調機制，多頭監(jiān)管、監(jiān)管真空、效率低下。

三、美國、歐盟與日本個人金融信息保護立法的情況

（一）立法模式

1.美國相關立法模式

美國個人金融信息保護的法律體系目前主要由《金融服務現(xiàn)代化法案》（1999）、《消費者個人金融隱私信息保護的最終規(guī)則》（2000）、《公平信用報告法》（2003）、《客戶信息維護標準》（2003）、《消費者報告中信息與記錄的處理規(guī)則》（2005）和《多德弗蘭克法案》（2010）構成，相關法律體系形成相對較早。

邵朱勵（2016）指出，美國模式的保護理念是事前預防，即預防損害而不是保證個人信息控制權為原則。美國通過分散立法和行業(yè)自律結合的方式保護金融隱私權，在個人金融信息保護上，體現(xiàn)了美國聯(lián)邦制的顯著特點。對于銀行業(yè)金融信息保護依據(jù)的主要是聯(lián)邦法律，對于保險業(yè)的金融信息保護則依據(jù)各州自己制定的法律，證券業(yè)方面以聯(lián)邦監(jiān)管機構制定的規(guī)則為主、以行業(yè)自律為輔。

2.歐盟相關立法模式

歐盟作為國際組織，創(chuàng)立并運用總和方法保護個人信息保護制度，并設立了比較完善的監(jiān)管機構。個人信息保護法主要來自發(fā)布的指令，并在各國逐步推進對應法律法規(guī)的跟進。歐盟將個人金融信息納入個人信息保護立法的范圍內，從1980年至2016年逐步完善個人信息保護相關規(guī)定，從而保護個人金融信息?！稓W盟一般個人信息保護條例》（2016）和《刑事犯罪領域個人信息保護指令》（2016）是歐盟個人金融信息保護法律體系目前的主要規(guī)定。

3.日本相關立法模式

自1987 年起，日本相關機構先后制定了《辦理關于金融機構保護個人資訊指南》、《關于民間部門保護個人信息指導方針》、《個人信息保護法》、《金融領域個人信息保護方針》與《金融領域個人信息保護方針的安全管理措施實務指南》等法律文件，《個人信息保護法》（2005）目前是日本個人金融信息保護的重要依據(jù)。

這一法律體系本質上是美國立法與歐盟立法相折衷的模式，即基本法、特別法與行業(yè)自律綜合的保護模式。張苑（2006）指出，日本相關立法實際效果有限，行業(yè)自律占據(jù)主導地位。

（二）主要內容

1.美國相關立法主要內容

鄭圣明（2016）提出，美國相關立法中保護的個人金融隱私信息權利主要可以總結為支配控制權、參與權、知情權、保密權、修改請求權、損害賠償請求。金融機構保護客戶隱私權具有4項義務：隱私權通知義務、禁止披露消費者非公開個人信息的義務、信息二次使用的限制義務、為營銷目的共享消費者賬號信息的限制義務。隱私權通知義務必須包括以下內容：本機構收集哪些非公開個人信息、向非關聯(lián)方披露哪些非公開個人信息、將向哪些機構進行此類披露及本機構保障消費者非公開個人信息的秘密性與安全性的政策與措施，并且應著重強調，若消費者不同意金融機構向第三方披露自己的非公開個人信息，應如何行使禁止權。隱私權通知需要達到一定的要求，即用盡可能清楚簡潔的語句表達，要求能夠吸引客戶的注意力。根據(jù)《客戶信息維護標準》（2003），金融機構必須建立一整套信息安全系統(tǒng)以保護客戶信息的安全與秘密，包括設立專門雇員總體協(xié)調、對可能產(chǎn)生的客戶信息風險進行評價、建立風險防范措施、監(jiān)督合作的服務提供商。

2.歐盟相關立法主要內容

《歐盟一般個人信息保護條例》（2016）關于控制者和處理者的定義繼承了《個人信息保護指令》（1995）的內容，規(guī)定： 控制者是指獨立或者與他人共同決定個人信息處理目的、方式的自然人、法人、公共機構、代理機構或者其他組織，控制者的具體認定標準可以由歐盟法或者成員國法另行規(guī)定；處理者是指代替控制者處理個人信息的自然人、法人、公共機構、代理機構或者其他組織。為了避免個人信息被濫用，在不同領域分別擴大了信息控制者、處理者的義務，包括對高風險活動進行影響評估等等?！稓W盟一般個人信息保護條例》（2016）規(guī)定了個人的十余項信息權利，包括積極權利： 信息收集時的知情權、個人信息處理情況的查詢權、個人信息使用時的許可權、個人信息轉移權、錯誤個人信息的修改權、個人信息擦除權、個人信息泄露時的知情權等，還有拒絕或限制個人信息被各種形式利用的消極權利： 限制控制者的信息使用范圍、拒絕個人信息被非公益科研或統(tǒng)計活動利用的權利、拒絕個人信息被商業(yè)利用的權利等。《歐盟一般個人信息保護條例》（2016）具有法律約束力，對于簽署的成員國不僅是指導性價值，而且是國內立法必須體現(xiàn)的剛性要求。

3.日本相關立法主要內容

張苑（2006）將日本《個人信息保護法》（2005）概括為三個部分：一是關于個人信息保護的基本理念及方針。對個人信息進行收集或引用時，務求慎重與合法。責令政府應制定保護個人信息的相關政策，以使對個人信息的保護更為全面。二是規(guī)定了五項個人信息收集者的義務：利用目的之特定、正當獲取的義務、確保個人信息正確性義務、確保安全性義務、確保個人信息透明性。三是其他規(guī)定及罰則。

（三）監(jiān)管制度設計

1.美國監(jiān)管制度設計

《美國金融服務現(xiàn)代化法案》（1999）規(guī)定由貨幣監(jiān)理署、聯(lián)儲理事會、聯(lián)邦存款保險公司、儲蓄機構監(jiān)管委員會、全美信貸聯(lián)盟管委會、證交會、州保險機構和聯(lián)邦交易委員會等八個部門負責各自管轄權限下相關細則的制定以保證實施。美國州政府主要負責對保險行業(yè)及其從業(yè)人員的監(jiān)督，聯(lián)邦貿(mào)易委員會與其他七大聯(lián)邦監(jiān)督機構在各自管轄范圍內開展工作。《多德弗蘭克法案》（2010）設立了新的消費者金融保護局，賦予其超越監(jiān)管機構的權力，全面保護消費者合法權益。

2.歐盟監(jiān)管制度設計

歐盟相關規(guī)定設置了專門的個人信息保護研究機構和行政機構。設立歐洲信息保護監(jiān)督局，是專門負責個人信息保護事務的歐盟獨立行政機構，歐盟公民的個人信息受保護權利被侵害時可以直接向其投訴，它可以對有關情況進行聽證和調查處理。設立歐洲信息保護委員會，其成員由各成員國個人信息保護行政機構首腦或者其代表和歐洲信息保護監(jiān)督局首腦或其代表組成，委員會的秘書處由歐洲信息保護局擔任。設置歐洲委員會信息保護官，是在歐盟各組成機構中任職的獨立信息保護專員。要求各會員國應該規(guī)定一個或多個機關來負責監(jiān)督在其領土內該指令的執(zhí)行情況，并建立具有顧問性質的對個人資料處理的個人予以保護的工作組。各成員國針對性地設立了信息保護局，屬于歐盟個人信息保護法的各區(qū)域執(zhí)法機構。《歐盟一般個人信息保護條例》（2016）將個人信息處理活動的風險劃分為較高風險、一般風險、較低風險三類。對于高風險，要求信息控制者開展此類活動前做影響評估、向信息保護局咨詢，并在較高風險損害的信息泄露時報告和通知信息保護局和每一個信息主體。