李 想

1.甘肅政法大學(xué)法學(xué)院，甘肅 蘭州 730070；

2.中南財經(jīng)政法大學(xué)法學(xué)院，湖北 武漢 430073

一、個人金融信息概況

依照《中國人民銀行金融消費者權(quán)益保護實施辦法》第二十七條的規(guī)定，個人金融信息，是指金融機構(gòu)通過開展業(yè)務(wù)或者其他渠道獲取、加工和保存的個人信息。所以，個人金融信息是包括個人身份信息、財產(chǎn)信息以及交易記錄等在內(nèi)的綜合信息，應(yīng)與個人密不可分，是與個人隱私和個人信息存在區(qū)別和聯(lián)系的一種特殊的綜合信息，是人格權(quán)和財產(chǎn)權(quán)的有機統(tǒng)一體。

（一）個人金融信息的保護范圍

依照2017年6月實施的《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。中國人民銀行2016年5月實施的《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第十四條規(guī)定交易信息包括但不限于：交易渠道、交易類型、交易終端和接口、交易金額、交易時間、商戶名稱、收付款客戶名稱、開戶行和賬號、身份驗證和交易授權(quán)信息等信息?！吨袊嗣胥y行金融消費者權(quán)益保護實施辦法》將個人金融信息范圍劃定為個人身份信息和財產(chǎn)信息、賬戶信息、信用信息和交易信息等。中國證監(jiān)會2017年7月起正式實施的《證券期貨投資者適當性管理辦法》第六條中規(guī)定，證券機構(gòu)向投資者提供服務(wù)時，應(yīng)當了解投資者的有關(guān)信息，除包括前述個人信息以外，還有風(fēng)險偏好、誠信記錄等。

依據(jù)以上規(guī)定，可以將個人金融信息大致分為四個方面，一是身份信息；二是財產(chǎn)信息；三是信用信息；四是交易信息。

（二）個人金融信息受到侵害的現(xiàn)狀

中國近年來的網(wǎng)絡(luò)爆炸式的增長，僅2016年“雙十一”淘寶網(wǎng)旗下天貓銷售平臺一天銷售額即達到1207億人民幣（相較2009年的500萬增長了24000倍），2018年11月11日，這一數(shù)字又攀升至2135億，同日京東公司銷售額也達到了1598億。在網(wǎng)絡(luò)經(jīng)濟已經(jīng)遠超實體經(jīng)濟的現(xiàn)狀下，隨之而來的盜竊、詐騙等犯罪形式也開始從線下延伸至線上。2015年1-9月，獵網(wǎng)平臺共接到全國網(wǎng)民舉報網(wǎng)絡(luò)詐騙案件20086起，涉案金額高達8901萬元，人均損失4431元。2016年，中國互聯(lián)網(wǎng)協(xié)會報告顯示，78.2%的網(wǎng)民個人身份信息被泄露過，63.4%的網(wǎng)民個人網(wǎng)上活動信息被泄露過，網(wǎng)民因個人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致總體損失約805億元。中國的個人信息泄露是非常普遍的現(xiàn)狀，主要的侵害方式有四種，包括金融消費者個人金融信息泄露（包括交易第三方），銀行及其他金融機構(gòu)和非銀行業(yè)支付機構(gòu)以及互聯(lián)網(wǎng)金融機構(gòu)金融消費者個人金融信息泄露，因撞庫等其他系統(tǒng)漏洞造成的個人金融信息泄露，以及支付機構(gòu)違規(guī)格式條款和霸王條款的頻出。

二、我國在個人金融信息保護方面存在的問題

并未統(tǒng)一個人金融信息保護的概念和保護范圍。我國目前立法關(guān)于個人信息和個人隱私的規(guī)定并未明確區(qū)分，在同時存在多個定義均涉及金融信息安全的情況下，在實際司法實踐中，容易造成適用法律的多面性，很難適用統(tǒng)一規(guī)則，這無疑會造成維權(quán)困難，訴求無法實現(xiàn)。

立法層級多，機構(gòu)多。我國目前涉及金融消費者保護的法律法規(guī)不下十數(shù)種，涉及的保護金融消費者個人信息的相關(guān)規(guī)定，定義不同，范圍不同，處罰力度不同，這對于司法實踐操作非常不利，很難保證執(zhí)法的一致性和公平性。

普遍法律位階低。我國目前關(guān)于金融消費者保護的法律大多僅限于中國人民銀行、銀監(jiān)會、證監(jiān)會和保監(jiān)會發(fā)布的一些規(guī)定、意見和辦法等，在民法總則和消費者權(quán)益保護法中都沒有明確的規(guī)定，也沒有專門的金融消費者保護法出臺，這些現(xiàn)行法規(guī)普遍法律位階低，如果糾紛涉及域外因素時，法律適用會更顯尷尬。

沒有互聯(lián)網(wǎng)金融機構(gòu)其他金融業(yè)務(wù)的相關(guān)法律規(guī)制。我國現(xiàn)行規(guī)定中雖然已有《非金融機構(gòu)支付服務(wù)管理辦法》、《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》對非銀行業(yè)金融機構(gòu)的支付業(yè)務(wù)進行了規(guī)定，但并未專門對互聯(lián)網(wǎng)金融機構(gòu)的其他行為進行規(guī)定，在FINTECH時代，這種規(guī)制已經(jīng)是迫在眉睫的問題。

三、對于我國個人金融信息保護的立法建議

（一）建立健全統(tǒng)一監(jiān)管機制、投訴機制

針對監(jiān)管機構(gòu)不統(tǒng)一的問題，金融消費者權(quán)益保護局應(yīng)該發(fā)揮更為重要的功能，不僅在其職能上要更為健全，更要提高其地位，如果僅作為中國人民銀行下設(shè)機構(gòu)，其投訴和處理糾紛的通道就極為有限，可以借鑒英國的FCA監(jiān)管模式，將宏觀審慎和微觀審慎的職能區(qū)分開來，金融消費者權(quán)益保護局和“一行兩會”分別作為金融消費者保護微觀審慎機構(gòu)和金融行業(yè)宏觀審慎機構(gòu)。個人金融信息的泄露，造成的危害和財產(chǎn)損失不僅涉及個人銀行賬戶的資金安全、FINTECH的發(fā)展，同時銀行賬戶、證券交易賬戶和個人網(wǎng)絡(luò)金融賬戶的密切關(guān)聯(lián)，在提高操作使用的便利的同時，也會帶來聯(lián)動的風(fēng)險，所以一方信息泄露，就容易造成個人財產(chǎn)賬戶的“一損俱損”。在這樣的情況下，投訴機構(gòu)的單一性就顯得更為重要，一旦出現(xiàn)個人金融信息泄露，由金融消費者權(quán)益保護局逐一排查與金融消費者進行交易相關(guān)的各個金融機構(gòu)，尋找信息泄露源頭，追究相關(guān)責(zé)任人的責(zé)任，這比讓金融消費者自己查找信息泄露的原因和過程更為直接有效，而且降低了個人的維權(quán)成本。

（二）制定個人金融信息保護法律規(guī)范

筆者建議，應(yīng)當在提高金融消費者權(quán)益保護局地位和作用的同時，制定專門的個人金融信息保護方面的法律規(guī)定。現(xiàn)行法律法規(guī)對于金融消費和個人金融信息安全權(quán)的規(guī)定已經(jīng)相對完善，但是缺乏統(tǒng)一的系統(tǒng)的規(guī)定，由于散見于各種規(guī)定之中，在法律適用過程中難免出現(xiàn)問題，在實際司法操作中也會出現(xiàn)不知道應(yīng)該適用哪一方法律規(guī)定的問題。如果在消法修改過程中明確加入金融消費者個人金融信息權(quán)的定義和范圍，同時對于這一權(quán)利保護做出專門的規(guī)定，要求金融這一敏感行業(yè)經(jīng)營者采取加密措施收集、處理和儲存?zhèn)€人金融信息，明確外包服務(wù)責(zé)任，以及明確信息泄露的懲罰措施，對于金融消費者個人金融信息保護的作用將是十分有利的。

同時，應(yīng)當參考兩高發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，進一步細化對于單位負責(zé)人以及單位侵害個人金融信息行為的規(guī)定，明確單位負責(zé)人承擔(dān)刑事責(zé)任的量刑標準，以及對于單位處以罰金的額度。

（三）加強FINTECH金融機構(gòu)法律規(guī)制

現(xiàn)階段，在FINTECH領(lǐng)域的立法是我國和其他各國目前均屬相對空白的領(lǐng)域，金融行業(yè)發(fā)展至線上是一種必然趨勢，但其爆炸式的變化是始料未及的，在互聯(lián)網(wǎng)支付機構(gòu)規(guī)定剛剛推出不久的情勢下，F(xiàn)INTECH金融已經(jīng)逐漸發(fā)展成為涵蓋借貸、分期、信用支付、理財產(chǎn)品各領(lǐng)域的綜合性金融交易平臺，有一些公司還將自身的業(yè)務(wù)擴展至保險和高風(fēng)險投資領(lǐng)域，這些變化更加要求監(jiān)管部門在未來的新規(guī)中規(guī)范這些互聯(lián)網(wǎng)金融機構(gòu)的交易行為?，F(xiàn)行的網(wǎng)絡(luò)金融機構(gòu)管理領(lǐng)域尚屬立法空白，應(yīng)當在未來的立法過程中，明確經(jīng)營互聯(lián)網(wǎng)信貸、融資、理財、信托等業(yè)務(wù)的金融機構(gòu)在經(jīng)營過程中應(yīng)當遵守保護金融消費者個人金融信息安全的要求，包括對數(shù)據(jù)加密傳輸?shù)募夹g(shù)要求；在獲取個人金融信息時，及時向金融消費者說明權(quán)利義務(wù)和信息安全風(fēng)險；在需要向交易第三方提供個人金融信息時，需獲取金融消費者授權(quán)書，并在授權(quán)書中明確使用目的和范圍；對于互聯(lián)網(wǎng)經(jīng)營除支付以外其他金融業(yè)務(wù)的金融機構(gòu)，應(yīng)向主管機關(guān)匯報明確的經(jīng)營范圍并通過審核后方可經(jīng)營，不得超出其申請的業(yè)務(wù)范圍進行交易；需明確各經(jīng)營環(huán)節(jié)的安全義務(wù)，出現(xiàn)信息泄露風(fēng)險或發(fā)生個人金融信息泄露時，明確懲罰措施，加大懲罰力度。