魏炳華

（中國(guó)人民銀行朔州市中心支行，山西 朔州 036002）

一、我國(guó)個(gè)人金融信息保護(hù)現(xiàn)狀

（一）我國(guó)個(gè)人金融信息保護(hù)立法現(xiàn)狀

目前，在我國(guó)還沒有發(fā)布特定的法律條文以保護(hù)個(gè)人的金融信息，相關(guān)規(guī)定散見于各項(xiàng)有關(guān)法律、法規(guī)、行政規(guī)章和規(guī)范性文件當(dāng)中，如相關(guān)法律有《民法典》《商業(yè)銀行法》《證券法》《保險(xiǎn)法》《反洗錢法》《刑法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》；行政規(guī)章有《征信業(yè)管理?xiàng)l例》《個(gè)人信用信息基礎(chǔ)信息庫(kù)管理暫行辦法》《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》；規(guī)范性文件有2015年國(guó)務(wù)院辦公廳印發(fā)的《關(guān)于加強(qiáng)金融消費(fèi)者權(quán)益保護(hù)工作的指導(dǎo)意見》、2013年原銀監(jiān)會(huì)印發(fā)的《銀行業(yè)消費(fèi)者權(quán)益保護(hù)工作指引》、2017年原銀監(jiān)會(huì)印發(fā)的《網(wǎng)絡(luò)借貸資金存管業(yè)務(wù)指引》等。這些法律法規(guī)文件從不同層面規(guī)定了對(duì)金融消費(fèi)者個(gè)人信息保護(hù)的要求，但不能滿足系統(tǒng)法律的要求。

（二）我國(guó)個(gè)人金融信息保護(hù)技術(shù)規(guī)范

2020年2月，人總行正式發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（以下簡(jiǎn)稱《規(guī)范》）金融行業(yè)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)對(duì)個(gè)人金融信息的收集、存儲(chǔ)、使用、傳播、刪除、銷毀等環(huán)節(jié)，從安全技術(shù)和安全管理兩個(gè)方面出發(fā)，提出規(guī)范性要求。按信息的敏感程度進(jìn)行劃分，個(gè)人金融信息可以分為C3、C2、C1三類。其中，C3為用戶鑒別信息，敏感度、要求最高，在對(duì)C3類信息進(jìn)行未經(jīng)授權(quán)查看或變更的操作下，會(huì)使得個(gè)人金融信息主體的財(cái)產(chǎn)與信息安全產(chǎn)生嚴(yán)重威脅；C2信息的作用為對(duì)特定個(gè)人金融信息主體身份與金融狀況進(jìn)行識(shí)別，敏感度居中，在對(duì)C2類信息進(jìn)行未經(jīng)授權(quán)的操作下，會(huì)使得個(gè)人金融信息主體的財(cái)產(chǎn)與信息安全產(chǎn)生一定的威脅；C1為可識(shí)別特定個(gè)人金融信息主體身份與金融狀況的個(gè)人金融信息，敏感度最低，當(dāng)C1類信息遭到未經(jīng)授權(quán)的查看或變更時(shí)，會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定危害。該《規(guī)范》的出臺(tái)加強(qiáng)了個(gè)人金融信息安全管理，保障了個(gè)人金融信息主體合法權(quán)益，維護(hù)了金融市場(chǎng)穩(wěn)定。

（三）我國(guó)個(gè)人金融信息保護(hù)不足之處

我國(guó)個(gè)人金融信息保護(hù)不論是相關(guān)法律法規(guī)，還是技術(shù)規(guī)范，基本是從信息控制者方面進(jìn)行約束、規(guī)范、處罰，而對(duì)個(gè)人金融信息主體（個(gè)人金融信息所標(biāo)識(shí)的自然人）所享有對(duì)個(gè)人金融信息控制的權(quán)利，如信息可攜權(quán)、信息遺忘權(quán)、信息訪問權(quán)等權(quán)利很少有相關(guān)規(guī)定或標(biāo)準(zhǔn)，存在不足。

二、信息可攜權(quán)概念

2012年，歐盟委員會(huì)信息保護(hù)改革草案中提出信息可攜權(quán)，并于2016年4月通過的《一般數(shù)據(jù)保護(hù)條例》 （GDPR）中予以確定。GDPR中信息可攜權(quán)是歐盟數(shù)據(jù)保護(hù)改革中的重點(diǎn)之一，規(guī)定信息主體有權(quán)獲得其提供給控制者的相關(guān)個(gè)人信息，且其獲得個(gè)人信息應(yīng)當(dāng)是經(jīng)過整理的、普遍使用的和機(jī)器可讀的，信息主體有權(quán)無(wú)障礙地將此類信息從其提供給的控制者傳輸給另一個(gè)控制者。

三、信息可攜權(quán)內(nèi)容

（一）信息可攜權(quán)主體

信息可攜權(quán)的權(quán)利主體只有自然人，不包含法人及其他組織。GDPR自然人定義為：已被識(shí)別的自然人，或者可通過定位信息、姓名、身份證號(hào)、網(wǎng)絡(luò)標(biāo)記以及特定的身體、基因、心理、經(jīng)濟(jì)、文化等識(shí)別符進(jìn)行直接或間接識(shí)別的自然人。義務(wù)主體指信息控制者。信息控制者即單獨(dú)或者與他人共同確定個(gè)人信息處理目的和方式的自然人、公共權(quán)力機(jī)關(guān)、代理機(jī)構(gòu)等。

（二）信息可攜權(quán)的客體

信息可攜權(quán)的客體代表信息主體提供的個(gè)人信息。GDPR第三條定義說(shuō)明“定位信息、身份證、網(wǎng)絡(luò)標(biāo)記以及身體、心理、經(jīng)濟(jì)、文化、社會(huì)身份、精神狀態(tài)等特征”從屬個(gè)人信息。根據(jù) GDPR第20條規(guī)定，包含在信息可攜權(quán)范圍內(nèi)的信息需要滿足雙重條件：首先信息主體提供的；其次與信息主體有關(guān)的。下面兩種可以被認(rèn)為是“由信息主體提供”：一是信息主體主動(dòng)供給的信息，例如通訊單位、地址、賬號(hào)、年齡等；二是信息主體基于因特網(wǎng)服務(wù)或在線設(shè)備使用時(shí)生成的觀測(cè)信息，例如，關(guān)于信息主體的網(wǎng)頁(yè)瀏覽記錄、個(gè)人的上網(wǎng)本地終端緩存 cookies、遠(yuǎn)程服務(wù)器上的網(wǎng)絡(luò)交通信息、服務(wù)日志信息、位置信息或其他原始信息。

（三）信息可攜權(quán)的特征

GDPR第20條進(jìn)行了相應(yīng)規(guī)定：信息可攜權(quán)的特征主要包括兩方面，一是副本獲取權(quán)的權(quán)利特征，二是信息轉(zhuǎn)移權(quán)的權(quán)利特征，從而形成雙重權(quán)利特征。

1.副本獲取權(quán)

副本獲取權(quán)代表信息主體接收的有關(guān)其個(gè)人信息的子集并將這些信息儲(chǔ)存以供其進(jìn)一步利用的權(quán)利。這里的儲(chǔ)存代表信息主體可以將信息存儲(chǔ)在私有設(shè)備或私有云上，而無(wú)需將信息傳輸?shù)搅硪粋€(gè)信息控制者。但前提技術(shù)條件是這些信息應(yīng)以通用化、可讀格式接收。信息可攜權(quán)為信息主體管理與再利用自身個(gè)人信息提供了更便利的途徑，這也是其特點(diǎn)之一。根據(jù)GDPR第13條第2款b項(xiàng)的規(guī)定，信息控制者在獲得個(gè)人信息的同時(shí)，必須告知信息主體新的信息可攜權(quán)的存在。根據(jù)GDPR第14條第2款c項(xiàng)，當(dāng)信息控制者不是從信息主體處獲得個(gè)人信息時(shí)，則信息控制者必須在獲得個(gè)人信息的合理期間內(nèi)（不超一個(gè)月）告知信息主體其享有信息可攜權(quán)，同時(shí)此處的合理期間最晚不能超過向第三方披露這些個(gè)人信息或與信息主體通信的時(shí)間。

2.信息轉(zhuǎn)移權(quán)

信息轉(zhuǎn)移權(quán)指信息主體能夠不受限制地把個(gè)人信息從一方信息控制者處傳輸?shù)搅硪环叫畔⒖刂浦黧w處的權(quán)利，且該情形下一些可行的技術(shù)條件應(yīng)當(dāng)被提供用于支持。所以，為了能使用戶無(wú)縫地實(shí)現(xiàn)平臺(tái)間信息傳輸，GDPR 鼓勵(lì)信息控制者開發(fā)與創(chuàng)造信息可攜權(quán)的可互操作的格式，禁止信息控制者對(duì)信息傳輸設(shè)置壁壘。傳輸信息的格式是信息控制者需要特別關(guān)注的地方，這可以保證信息主體或其他信息控制者能夠便捷地實(shí)現(xiàn)信息再利用。信息可攜權(quán)在這一層次的內(nèi)涵使得信息主體不僅能夠獲取并多次利用其信息，還能將其信息傳輸給其他服務(wù)的提供者，這些提供者可處于同一服務(wù)提供商的部門或者不同跨提供商內(nèi)部。信息可攜權(quán)有助于推動(dòng)個(gè)人信息在金融與數(shù)字信息服務(wù)之間進(jìn)行傳輸與多次利用，以推動(dòng)組織與組織間個(gè)人金融信息的有限共享與控制，在保障安全的前提下增值服務(wù)、提升客戶的體驗(yàn)感。

（四）信息可攜權(quán)限制

GDPR第20條規(guī)定了信息可攜權(quán)行使的前提條件：一是必須在“信息主體同意”的基礎(chǔ)上，或者是 “履行合同所必需”而處理的個(gè)人信息，這一點(diǎn)再第六條或第九條中有所體現(xiàn)；二是個(gè)人信息的處置要求是通過計(jì)算機(jī)自動(dòng)化手段所進(jìn)行的。數(shù)據(jù)保護(hù)條例的第六條也提出了合法進(jìn)行個(gè)人信息處理的六項(xiàng)基礎(chǔ)，包括為履行法定義務(wù)、為保護(hù)公共利益等進(jìn)行信息處理。第九條第二款第一項(xiàng)闡明，在信息主體給予授權(quán)的前提下，信息控制者方有權(quán)利進(jìn)行關(guān)于反映民族起源、宗教信仰、生物特征信息、基因信息、性取向等敏感信息的處理。從而，在適用的領(lǐng)域上，行使信息可攜權(quán)，需要是在“信息主體本人同意”或者“為履行合同所必需”的前提下，對(duì)個(gè)人信息進(jìn)行處理，不包括第六條中的合法進(jìn)行個(gè)人信息處理六項(xiàng)基礎(chǔ)。在信息處理的方式上，只針對(duì)通過自動(dòng)化方式處置的信息，而不包括人工處理的信息。

（五）信息可攜權(quán)產(chǎn)生的影響

1.對(duì)信息主體的影響

數(shù)據(jù)保護(hù)條例第20條提出，信息可攜權(quán)的主體為所有基于自動(dòng)化手段處理個(gè)人信息的信息控制者。比如對(duì)于云存儲(chǔ)服務(wù)的使用者所上傳的資料，通過行使信息可攜權(quán)，服務(wù)使用者可以將其信息資料無(wú)縫移動(dòng)到競(jìng)爭(zhēng)的云存儲(chǔ)服務(wù)，而無(wú)需先將這些資料下載到本地設(shè)備，而后再上傳至新的云服務(wù)，這無(wú)疑極大地方便了信息主體對(duì)其信息的控制，同時(shí)信息控制者與個(gè)人間的關(guān)系也將被改變。通過諸如直接下載工具等媒介，個(gè)人能夠?qū)崿F(xiàn)信息的跨平臺(tái)管理。

2.對(duì)信息控制者的影響

行使信息可攜權(quán)，就要求信息控制者構(gòu)建 “導(dǎo)出——導(dǎo)入”系統(tǒng)，使得來(lái)自信息主體或其他信息控制者的信息能夠被輕松“導(dǎo)入”，同時(shí)能把自身處理的信息“導(dǎo)出”到其他服務(wù)或設(shè)施。這種“導(dǎo)出——導(dǎo)入” 的過程既可以通過手動(dòng)的方式實(shí)現(xiàn)，也可以基于自動(dòng)化方式實(shí)現(xiàn)，從而以某種手段處理信息主體的信息可攜權(quán)請(qǐng)求。另外，遵守信息可攜權(quán)的在線請(qǐng)求可能會(huì)提升計(jì)算的時(shí)間復(fù)雜度，并且將提高系統(tǒng)的建設(shè)運(yùn)營(yíng)成本，從而給信息控制者帶來(lái)一定的成本提升。同時(shí)，信息可攜權(quán)使得信息主體與信息控制者之間的關(guān)系發(fā)生變化，因此其還可能促進(jìn)信息控制者之間產(chǎn)生競(jìng)爭(zhēng)。例如用戶廣泛使用的平臺(tái)會(huì)接收所有個(gè)人信息。而根據(jù)要求，其他服務(wù)提供商有義務(wù)將信息傳輸給競(jìng)爭(zhēng)對(duì)手，并可以要求競(jìng)爭(zhēng)者將收集的個(gè)人信息進(jìn)行刪除，從而加劇信息控制者間競(jìng)爭(zhēng)。

四、信息可攜權(quán)對(duì)我國(guó)個(gè)人金融信息保護(hù)立法啟示

（一）我國(guó)關(guān)于“信息可攜權(quán)”探索實(shí)踐

2017年3月，全國(guó)人大代表、全國(guó)人大常委等在兩會(huì)提交《關(guān)于制定〈中華人民共和國(guó)個(gè)人信息保護(hù)法〉的議案》和《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案） 》。其中第二章給出了完整的個(gè)人信息保護(hù)權(quán)力辦法，其中第十六條則是關(guān)于信息可攜權(quán)的規(guī)定，規(guī)定具體與 GDPR 信息可攜權(quán)的內(nèi)容基本一致。草案中只對(duì)信息可攜權(quán)進(jìn)行了簡(jiǎn)單介紹，并沒有規(guī)定權(quán)利實(shí)施的主客體與內(nèi)容，但這已經(jīng)是我國(guó)在個(gè)人信息保護(hù)權(quán)利立法方面的重要舉措。2018年5月1日生效的國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全 個(gè)人信息安全規(guī)范》中雖未使用信息可攜權(quán)的概念，但7.9 條中有“個(gè)人信息主體獲取個(gè)人信息副本”的規(guī)定。2020年5月召開第十三屆全國(guó)人大次會(huì)議，審議通過了中國(guó)首部《民法典》，其中第四編“人格權(quán)”中第六章“隱私權(quán)和個(gè)人信息保護(hù)”中規(guī)定“自然人可以依法向信息處理者依法查閱或者復(fù)制個(gè)人信息；發(fā)現(xiàn)信息有錯(cuò)誤的，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施……”《民法典》這一編中并未提及個(gè)人信息可攜權(quán)，但在將來(lái)的司法解釋對(duì)“復(fù)制個(gè)人信息”這一點(diǎn)可以就復(fù)制個(gè)人信息的范圍，手段、途徑，復(fù)制個(gè)人信息是否與獲取個(gè)人信息副本相通，再如個(gè)人信息主體通過網(wǎng)絡(luò)手段復(fù)制個(gè)人信息后能否轉(zhuǎn)移給另一個(gè)信息控制者做出解釋。

（二）個(gè)人金融信息保護(hù)立法引入“信息可攜權(quán)”應(yīng)符合國(guó)情

央行于2020年11月1日出臺(tái)實(shí)施的《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》未對(duì)金融信息可攜權(quán)做出規(guī)定。將信息從一個(gè)控制者完全刪除并轉(zhuǎn)移到另一個(gè)控制者，對(duì)技術(shù)標(biāo)準(zhǔn)的要求較高，尤其是當(dāng)兩個(gè)控制者所屬不同國(guó)家時(shí)更是如此。信息可攜權(quán)的權(quán)利要求信息控制者能夠提供并轉(zhuǎn)移其管理的個(gè)人信息，對(duì)于中小企業(yè)（如城商行、村鎮(zhèn)銀行）而言，這將是一筆龐大的開支。從而，對(duì)于中國(guó)的金融信息開展的保護(hù)立法工作，直接照搬歐盟的條文是行不通的，而應(yīng)對(duì)國(guó)外的經(jīng)驗(yàn)進(jìn)行轉(zhuǎn)化與重構(gòu)，從我國(guó)現(xiàn)實(shí)情況出發(fā)，合理適當(dāng)?shù)匾霘W盟的信息可攜權(quán)。