金 朗

（浙江金融職業(yè)學(xué)院馬克思主義學(xué)院，浙江 杭州 310018）

近年來，金融機(jī)構(gòu)基于業(yè)務(wù)活動(dòng)需要收集和處理個(gè)人信息，實(shí)現(xiàn)風(fēng)險(xiǎn)控制、產(chǎn)品設(shè)計(jì)和精準(zhǔn)營銷，通過大數(shù)據(jù)賦能，給行業(yè)和個(gè)人生活帶來便利。但隨著過度收集、信息泄露、隱私侵權(quán)等風(fēng)險(xiǎn)事件的增多，從監(jiān)管層面，無論是中央還是地方，都相應(yīng)加大了對侵害數(shù)據(jù)安全和個(gè)人信息權(quán)益行為的懲治力度。商業(yè)銀行應(yīng)當(dāng)對個(gè)人信息保護(hù)問題給予充分重視，方能實(shí)現(xiàn)信息利用和保護(hù)間的平衡。

一、個(gè)人金融信息的內(nèi)涵與外延

個(gè)人金融信息作為個(gè)人信息的子概念，源于英美法中銀行對客戶金融隱私權(quán)的保護(hù)。在現(xiàn)行規(guī)范性法律文件中，這一概念最早可追溯至2011年《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》。在該文件中，“個(gè)人金融信息”被定義為：銀行業(yè)金融機(jī)構(gòu)開展業(yè)務(wù)或通過接入人民銀行征信、支付以及其他系統(tǒng)時(shí)獲取、加工和保存的個(gè)人信息；具體分為：個(gè)人身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息、衍生信息和其他信息等。

此后，在2016年《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（以下簡稱為《實(shí)施辦法》）中，“個(gè)人金融信息”被定義為：金融機(jī)構(gòu)通過開展業(yè)務(wù)或其他渠道獲取、加工和保存的個(gè)人信息；在其具體分類上刪除了“衍生信息”。該文件于2020年被廢止，由新的《實(shí)施辦法》取代，后者雖使用“消費(fèi)者金融信息”的提法，但表述與之前并無實(shí)質(zhì)差別。而在2020年2月中國人民銀行發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》中，基本沿襲了上述概念，但刪除了“信用信息”、增加了“鑒別信息”和“借貸信息”。

從規(guī)范視角，《中華人民共和國民法典》（以下簡稱《民法典》）所定義的“個(gè)人信息”①《民法典》第一千零三十四條，個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息。包含雙層構(gòu)成要素：實(shí)質(zhì)要素強(qiáng)調(diào)可識(shí)別性，形式要素強(qiáng)調(diào)記錄形態(tài)和記錄的可獲取性。個(gè)人金融信息作為個(gè)人信息在金融領(lǐng)域的擴(kuò)展與細(xì)化，亦可表述為：金融機(jī)構(gòu)通過業(yè)務(wù)活動(dòng)或其他渠道獲取、加工和保存的以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人的信息。此外，從文義解釋角度，因現(xiàn)有規(guī)范性法律文件并不能對“個(gè)人金融信息”的所有類型進(jìn)行精準(zhǔn)定位，故而立法者亦嘗試通過類型列舉和兜底條款來設(shè)置概念邊界。

二、個(gè)人金融信息保護(hù)現(xiàn)狀

（一）個(gè)人金融信息保護(hù)立法現(xiàn)狀

個(gè)人金融信息作為個(gè)人信息的子類概念，要先受個(gè)人信息保護(hù)法律、法規(guī)、規(guī)章等規(guī)范性法律文件的約束。我國涉及金融數(shù)據(jù)安全與個(gè)人信息保護(hù)的主要規(guī)范性文件包括：

1.法律：《中華人民共和國民法典》《中華人民共和國刑法修正案（七）》《中華人民共和國刑法修正案（九）》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》《中華人民共和國反洗錢法》。

2.行政法規(guī)：《征信業(yè)管理?xiàng)l例》《個(gè)人存款賬戶實(shí)名制規(guī)定》。

3.部門規(guī)章：《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《金融機(jī)構(gòu)客戶身份識(shí)別和客戶身份資料及交易記錄保存管理辦法》《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》《人民幣銀行結(jié)算賬戶管理》《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》。

4.部門規(guī)范性文件：《金融信息服務(wù)管理規(guī)定》《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》《銀行業(yè)消費(fèi)者權(quán)益保護(hù)工作指引》《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等。

5.國家及行業(yè)標(biāo)準(zhǔn)：《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》（JR/T0197-2020）、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T0171-2020）、《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》（JR/T0223-2021）、《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》（JR/T0185-2020）、《移動(dòng)金融客戶端應(yīng)用軟件安全管理規(guī)范》（JR/T0092-2019）等。

而繼《民法典》在民事基本法層面規(guī)定了個(gè)人信息定義、個(gè)人信息處理原則、信息主體知情同意權(quán)、查閱復(fù)制權(quán)、更正權(quán)和刪除權(quán)等內(nèi)容后，聚焦數(shù)據(jù)安全的《中華人民共和國數(shù)據(jù)安全法》也已通過，今年9月1日起施行。但目前有關(guān)個(gè)人信息保護(hù)的專門法律《中華人民共和國個(gè)人信息保護(hù)法》尚在征求意見中，涉及個(gè)人金融信息保護(hù)的具體規(guī)定分散于不同效力級(jí)別文件的零星條款，且多為原則性規(guī)定。

目前為止，除《民法典》外，對個(gè)人金融信息保護(hù)規(guī)定最為詳盡的是2020年2月開始施行的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》，該規(guī)范將個(gè)人金融信息按照敏感程度以及泄露后將造成的危害，由高到低分為三個(gè)類別；同時(shí)，還從安全技術(shù)和安全管理角度，具體規(guī)定了個(gè)人金融信息在收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等生命周期各個(gè)流程的保護(hù)要求。在《個(gè)人信息保護(hù)法》尚未正式出臺(tái)前，此類國家標(biāo)準(zhǔn)發(fā)揮了重要作用，但主要是推薦性國家標(biāo)準(zhǔn)，不具有強(qiáng)制性；而實(shí)踐中，其仍有可能成為監(jiān)管部門開展執(zhí)法活動(dòng)的依據(jù)，故而對金融企業(yè)活動(dòng)仍有較強(qiáng)指導(dǎo)意義。［1］

（二）個(gè)人金融信息保護(hù)執(zhí)法現(xiàn)狀

自2019年以來，在中央和地方層面通過專項(xiàng)治理活動(dòng)，打擊危害數(shù)據(jù)安全和侵犯公民個(gè)人信息的行為，相關(guān)執(zhí)法活動(dòng)主要由人民銀行、工信部門、網(wǎng)信部門、公安部門以及市場監(jiān)督管理部門等組織實(shí)施。

人民銀行執(zhí)法活動(dòng)的主要依據(jù)是《反洗錢法》和《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》等，活動(dòng)具體包括：對金融機(jī)構(gòu)反洗錢信息保密制度執(zhí)行情況的監(jiān)管，對金融機(jī)構(gòu)超出必要限度收集、使用與非法存儲(chǔ)，甚至泄露消費(fèi)者金融信息行為的查處等。而根據(jù)《中國個(gè)人金融信息保護(hù)執(zhí)法白皮書2020》的統(tǒng)計(jì)，截至2020年10月25日，中國人民銀行及其分支機(jī)構(gòu)當(dāng)年涉及“個(gè)人金融信息”的行政處罰數(shù)量共計(jì)181件，合計(jì)處罰金額超過了1.8億元，處罰事項(xiàng)主要為：未按規(guī)定保存客戶身份資料和交易記錄、未經(jīng)授權(quán)查詢個(gè)人金融信息和侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利等。

公安部門在個(gè)人信息保護(hù)執(zhí)法活動(dòng)中的行政處罰權(quán)主要源于《網(wǎng)絡(luò)安全法》①第六十三條、第六十四條、第六十七條、第七十五條。的規(guī)定，執(zhí)法工作具體包括對貸款類電信網(wǎng)絡(luò)詐騙犯罪、侵犯公民個(gè)人信息的違法犯罪活動(dòng)的打擊，以及針對APP違法違規(guī)采集使用個(gè)人信息的專項(xiàng)整治。國家市場監(jiān)督管理總局也依據(jù)《消費(fèi)者權(quán)益保護(hù)法》，聚焦違法行為高發(fā)行業(yè)和領(lǐng)域，打擊侵害消費(fèi)者個(gè)人信息違法行為。工業(yè)和信息化部依據(jù)《網(wǎng)絡(luò)安全法》《電信條例》和《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等，通報(bào)侵害用戶權(quán)益行為APP，限期整改，依法處置。

此外，以上各部門也經(jīng)常協(xié)作，采用聯(lián)合執(zhí)法的形式開展工作。雖然不同部門各有權(quán)限，執(zhí)法對象也各有側(cè)重，但執(zhí)法中仍會(huì)遇到問題。如多頭管理，不同部門可能會(huì)就同一事項(xiàng)重復(fù)檢查卻標(biāo)準(zhǔn)不一，額外增加金融機(jī)構(gòu)負(fù)擔(dān)；在發(fā)生個(gè)人金融信息泄露或者被侵害事件后，消費(fèi)者也可能遇到推諉執(zhí)法的情形，導(dǎo)致效率低下。

（三）個(gè)人金融信息保護(hù)司法現(xiàn)狀

在中國裁判文書網(wǎng)以“銀行”“個(gè)人信息”等為關(guān)鍵詞，檢索獲得的民事裁判文書中，具體糾紛類型包括：他人冒領(lǐng)信用卡逾期導(dǎo)致個(gè)人產(chǎn)生不良征信信息、銀行報(bào)送錯(cuò)誤征信信息導(dǎo)致個(gè)人信用受損、銀行違規(guī)查詢個(gè)人信用報(bào)告等。案由分布于銀行卡糾紛、侵權(quán)責(zé)任糾紛、人格權(quán)糾紛、名譽(yù)權(quán)糾紛、隱私權(quán)、個(gè)人信息保護(hù)糾紛。法律依據(jù)主要是原《侵權(quán)責(zé)任法》第二條、第六條、第十五條、第二十二條，《征信業(yè)管理?xiàng)l例》第二十五條、第二十六條等。責(zé)任承擔(dān)形式主要包括：更正、消除征信不良記錄、賠償損失、書面道歉、恢復(fù)原狀、消除影響等。

《民法典》雖明確了個(gè)人信息與隱私權(quán)的邊界，將個(gè)人信息中的私密信息劃歸隱私權(quán)保護(hù)范疇，但實(shí)踐中由于個(gè)人金融信息類型多樣，案由分布也呈多樣化。雖然隨著公眾個(gè)人信息保護(hù)意識(shí)的增強(qiáng)，此類糾紛數(shù)量逐年增多。但目前仍集中于“信用信息”被侵犯的情形，且絕大部分在出現(xiàn)直接經(jīng)濟(jì)損失的情況下，信息主體才會(huì)通過訴訟解決。

《刑法》中有關(guān)個(gè)人信息保護(hù)的罪名主要包括：侵犯公民個(gè)人信息罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪、非法利用信息網(wǎng)絡(luò)罪等。以相關(guān)案由檢索中國裁判文書網(wǎng)，截至2021年6月25日，涉及以上罪名的已公布一審判決書數(shù)量最多的為幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪，合計(jì)8520件，其次是侵犯公民個(gè)人信息罪，合計(jì)7804件。其中，幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪近年數(shù)量激增，僅2021年公布一審判決書已達(dá)5514件，最主要原因是相關(guān)部門在打擊治理電信網(wǎng)絡(luò)新型違法犯罪中加大了對提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)等技術(shù)支持，以及支付結(jié)算、廣告推廣等幫助行為的懲處力度。而侵犯公民個(gè)人信息罪對于保護(hù)個(gè)人金融信息具備很強(qiáng)針對性，已公布的裁判文書中包含大量出售或非法提供個(gè)人金融信息的案例，亦有銀行工作人員涉案。［2］

三、大數(shù)據(jù)時(shí)代個(gè)人金融信息保護(hù)機(jī)制的建構(gòu)

（一）個(gè)人金融信息保護(hù)法的轉(zhuǎn)型升級(jí)

《民法典》明確了“個(gè)人信息”的定義，確立了個(gè)人信息保護(hù)的一般規(guī)則以及信息主體的基本權(quán)利；而未來《個(gè)人信息保護(hù)法》若得以通過和實(shí)施，將進(jìn)一步擴(kuò)充個(gè)人信息保護(hù)規(guī)則。高位階法律規(guī)范從頂層設(shè)計(jì)角度已給予個(gè)人金融信息保護(hù)價(jià)值導(dǎo)向，未來低位階規(guī)范除繼續(xù)關(guān)注個(gè)人金融信息的應(yīng)用場景、技術(shù)要求及各方主體現(xiàn)實(shí)利益外，亦應(yīng)逐步轉(zhuǎn)型升級(jí)：從單純的隱私權(quán)保護(hù)向個(gè)人信息生命周期全方位保護(hù)角度轉(zhuǎn)化，從單純強(qiáng)調(diào)保密向保護(hù)與利用并重，從停留在事前保護(hù)向事中和事后延伸，以促進(jìn)信息保護(hù)與流動(dòng)及以此為基礎(chǔ)的數(shù)字經(jīng)濟(jì)發(fā)展之間的平衡。而在具體實(shí)踐中，亦可通過司法解釋或典型案例，嘗試引入舉證責(zé)任倒置規(guī)則，削弱技術(shù)和地位不對等的情況下，主體在個(gè)人金融信息權(quán)益受損時(shí)的舉證難度。此外，可參考《消費(fèi)者權(quán)益保護(hù)法》第五十五條，經(jīng)營者提供商品或服務(wù)有欺詐行為時(shí)的法定賠償金規(guī)則，在個(gè)人出現(xiàn)金融信息被泄露、非法使用而實(shí)際損失難以證明時(shí)，適用最低法定賠償金標(biāo)準(zhǔn)。目前涉及個(gè)人金融信息保護(hù)的低位階規(guī)范主要是推薦性國家標(biāo)準(zhǔn)，未來也可將其中部分重要規(guī)則吸收升級(jí)為強(qiáng)制性國家標(biāo)準(zhǔn)或者規(guī)章，以促進(jìn)個(gè)人金融信息的保護(hù)與利用。

（二）金融機(jī)構(gòu)信息合規(guī)體系的建設(shè)運(yùn)行

銀行業(yè)金融機(jī)構(gòu)應(yīng)當(dāng)依據(jù)《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等規(guī)范性文件具體要求，全面建設(shè)金融信息處理合規(guī)體系。

1.建立個(gè)人金融信息保護(hù)評估制度

立足個(gè)人金融信息生命周期全過程，建立安全影響評估制度，檢查處理活動(dòng)的合法合規(guī)程度，判斷對主體合法權(quán)益可能造成的損害與風(fēng)險(xiǎn)，以及保護(hù)措施的有效性，每年至少評估一次。

2.建立個(gè)人金融信息保護(hù)內(nèi)控制度

個(gè)人金融信息保護(hù)內(nèi)控制度具體應(yīng)包括：（1）明確內(nèi)部個(gè)人金融信息保護(hù)責(zé)任部門及責(zé)任人、制定信息保護(hù)基本制度、設(shè)置崗位、統(tǒng)籌事務(wù)管理；（2）制定包括但不限于個(gè)人金融信息分類、分級(jí)、授權(quán)、脫敏管理等內(nèi)容的具體規(guī)則；（3）充分審查、評估外包服務(wù)供應(yīng)商的資質(zhì)，通過協(xié)議明確其職責(zé)和義務(wù)，并采取必要措施監(jiān)督其履行；（4）建立個(gè)人金融信息安全事件應(yīng)急處置機(jī)制、個(gè)人金融信息投訴處理機(jī)制等。

四、增強(qiáng)金融消費(fèi)者安全意識(shí)與理性

金融消費(fèi)者在享受金融服務(wù)的過程中，對于產(chǎn)品和服務(wù)定價(jià)存在認(rèn)識(shí)誤區(qū)，忽視“無成本”服務(wù)或產(chǎn)品實(shí)質(zhì)為個(gè)體讓渡部分權(quán)利而獲得的對價(jià)。個(gè)體應(yīng)理性分析自身與金融機(jī)構(gòu)的法律關(guān)系，正視在金融活動(dòng)中將要承擔(dān)的風(fēng)險(xiǎn)、成本和責(zé)任；妥善保管身份證件、賬戶等，不向他人透露個(gè)人信息、財(cái)產(chǎn)狀況，盡量親自辦理業(yè)務(wù)，并及時(shí)銷毀作廢金融單據(jù)，不斷提高風(fēng)險(xiǎn)防控能力。