保護個人金融信息安全需要法律亮劍

我們所說的個人金融信息，是指銀行業金融機構在開展金融業務、提供金融服務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的財產信息、賬戶信息、信用信息、金融交易信息以及在這些信息基礎上整理加工所得的衍生信息等。

個人金融信息安全危機四伏

事實證明，保護個人金融信息安全，僅靠宣傳教育、道德約束、技術防范、自我保護等是遠遠不夠的，更需要法律層面的支持，以對侵害個人金融信息安全的違法犯罪分子嚴厲懲處，和對其有不良動機的人加以震懾，避免和減少類似案件的發生，使個人金融信息安全得到有效保障。但就目前我國關于個人金融信息保護的法律制度的建設來看，還存在著許多不盡人意的地方。

例如對信息主體享有權利的認識不夠到位、缺少對個人金融信息保護的專門法律、個人金融信息保護立法層級較低、個人金融信息保護的側重點存在位移現象、對保護個人金融信息的力度欠缺、未能形成對個人金融信息的有效保護等。由于缺乏個人金融信息保護方面的法律法規，導致當個人金融信息遭受非法侵犯后，多數獲得的僅僅是停止侵害、消除影響等名譽補償方式，經濟和精神賠償請求基本得不到司法部門支持。尤其是因個人金融信息泄露導致詐騙、資金被竊以及眾多垃圾信息滋擾等，除犯罪分子承擔刑事責任以外，民事主體難以獲得經濟賠償。

如今，我們已經進入了信息社會，尤其是隨著互聯網的迅猛發展和被廣泛運用，信息的傳播與獲取等更加便捷，而信息的泄漏與被盜取等也更加多發，從近幾年的司法實踐中可以發現，有不少的的侵犯個人信息案件緣起互聯網。2014年8月8日，備受境內外關注的漢弗萊、虞英曾非法獲取公民個人信息罪一案一審在上海市第一中級人民法院公開開庭審理。起訴書指控，2009年4月至2013年7月，被告人漢弗萊和其妻子虞英曾利用在上海注冊成立的攝連公司，接受境內外客戶委托，對多家公司或個人進行“背景調查”。兩名被告人按每條人民幣800元至2000元不等的價格，先后向周某某、劉某和蔡某某（均另案處理）購買公民的戶籍、出入境記錄、通話記錄等信息資料累計達256條，并在制作“調查報告”后賣給委托客戶。

除了非法向他人購買，還有五花八門的非法手段——在代號為“黑刺李”、“丑角”、“鵝”的一個個調查項目中，他們或使用跟蹤、監控等手段，或冒充公司員工、客戶、投資者甚至快遞員的身份秘密走訪、偷拍。漢弗萊、虞英曾的供述也顯示，其客戶主要為在華大型跨國公司，包括制造業企業、金融機構及其他機構，涉及美國、德國、英國、法國、瑞士、日本等16個國家。被告人漢弗萊、虞英曾因非法獲取公民個人信息罪，分別被判處有期徒刑2年6個月并處罰金人民幣20萬元及驅逐出境、有期徒刑2年并處罰金人民幣15萬元。這是中國審理的首起在華外國人非法獲取公民個人信息案件，也是首次對庭審進行微博直播的在華外國人犯罪案件。

個人金融信息需全方位保護

當下，因為移動商務類應用與消費者的關系更加緊密，手機游戲以及互聯網理財也成為表現搶眼的網絡應用，在這種新形勢下，保護個人金融信息安全，法律不但不能缺位，更需要加強。針對我國在個人金融信息安全方面所存在的問題，應當盡快建立健全個人金融信息的法律保護體系，出臺保護個人金融信息的專門法律，以完整的內容、完善的形式、完備的措施對個人金融信息實行全方位保護。

提升個人信息法律地位。要明確規定個人信息安全權利是個人獨立于隱私權的一項基本權利受到法律保護，以平衡各方當事人權利義務，提升社會各界對個人金融信息保護的重視程度;要明確個人金融信息的內涵與范圍，即銀行等金融機構為了開展和結算業務、防范和監控風險，向個人、國家機關和企事業單位等獲取的與個人存在直接聯系的個人信息以及衍生信息。

保障信息主體享有權利。信息主體至少應包括以下權利：知情權、選擇權、訪問權、異議權、索賠權。個人金融信息受害人有提起相關調查程序的權利，只要符合法定條件，受害人有權要求啟動相關調查程序，申請個人金融信息保護，要求侵權者停止侵權活動，銷毀非法占有的個人金融信息并交代其來源，進行自查并承擔相應責任，以求在源頭上避免個人金融信息的外泄;當個人金融信息跨境轉移時，只有當第三國確實能夠提供充分保護的情況下，管理個人金融信息的金融機構才可以向其轉移相應的個人金融信息，若第三國無法提供相應的充分保護，則只有在獲得信息主體的明確同意，為履行信息主體與信息管理者之間的契約義務或者基于公共利益的特殊需要等法定情況下才可以轉移相應個人金融信息;同時，鑒于金融機構的強勢地位和雙方信息的嚴重不對稱，應當適當降低個人提起相關訴訟的法定條件并將主要舉證責任轉移給金融企業，即在涉及個人金融信息糾紛案件的司法裁決中，當客戶遭到損失且無法證明損害是由銀行等金融機構泄露客戶個人金融信息導致的情況下，銀行方面需要承擔相應的舉證責任。

金融機構必須盡其責任。信息主體享有的權利，從另一方面來說，就是金融機構應盡的責任和義務。金融企業與客戶間發生業務，凡涉及到個人信息的，須雙方簽訂保密合同，以“默示條款”的形式確立金融企業的保密義務與泄密違約賠償責任;當金融企業需要將客戶的信息披露給第三方時，必須征得客戶的同意，否則即是違約;另外，鑒于個人金融信息受到的侵害多屬民事性質，當侵權者應當承擔的民事賠償責任時，所做出的相關規定要更具針對性，更精準細致，更具操作性。

法律監督機制需要強化。可以考慮通過立法的形式，在中國人民銀行、中國銀監會、中國證監會和中國保監會這4家金融管理和監督部門之外，另行設立一個專門的監察部門，負責對金融企業保護個人金融信息情況進行檢查，負責接收和解決當事人的投訴，并作為相關法律訴訟的前置程序，以降低個人的維權成本;并通過立法明確新聞媒體和作為第三方的網絡個人在實施個人金融信息保護方面權利與義務的法律邊界，更好地發揮社會公眾的監督作用。