互聯網金融時代金融信息安全立法現狀及對策研究

吳丹丹郜新鑫陳立佳

（1.中國科學技術大學公共事務學院，安徽 合肥 230026；2.新華通訊社，北京 100803）

一、引言

從余額寶問世到第三方支付、P2P網貸平臺的迅速發展，互聯網金融近年來得到廣泛關注，并首次進入了2014年的政府工作報告。在“移動互聯”、“云計算”、“物聯網”等技術的推動下，我國互聯網金融發展迅猛，在理念、技術、產品等方面不斷得到創新，在服務實體經濟、推動普惠金融發展、便利居民生活、滿足投資需求等方面彌補了傳統金融體系的缺陷，發揮了無法替代的積極作用[1]。

然而，金融信息安全問題也隨之日益突顯。信息化的加速不可避免地增加了數據泄漏的風險，再加上對一些敏感數據的使用權和所有權界定不明晰，過分依賴國外大數據分析技術等，容易導致民眾在享受互聯網金融帶來便利的同時，面臨著賬號被盜、資金被竊、交易欺詐以及財產損失等諸多潛在風險。

金融信息安全是國家發展戰略的重要基石，信息安全問題目前已經上升到國家戰略層面，很多發達國家視其為僅次于恐怖襲擊的重大安全問題[2]。本文在此背景下從法律制度層面出發，依據對我國金融信息保全立法現狀及其問題的剖析，針對性地提出健全金融信息保護立法體系的建議，具有重要的理論指導和實際應用價值。

二、互聯網金融的內涵及特征

Allen＆Gale(1997)[3]、Berger＆ Gleisner(2008)[4]、高漢(2014)[5]等學者認為，互聯網金融不是互聯網和金融的簡單結合，是借助云計算、搜索引擎、移動通信、社交網絡等一系列現代信息科技手段，實現資金融通等多項業務的新興金融服務模式。從概念層面可以將目前所有網絡金融形態劃分為互聯網金融和金融互聯網，前者指互聯網企業利用互聯網技術開展的金融業務，后者指金融機構傳統業務的互聯網化，無論哪種，均離不開關鍵信息技術的運用[6]。

互聯網金融主要具有以下三點顯著特征：一是依托大數據、云計算、社交網絡和搜索引擎，通過互聯網技術與金融功能的融合，挖掘客戶信息并管理信用風險；二是以點對點直接交易為基礎進行金融資源配置；三是融合互聯網并實現以第三方支付為依托的資金轉移。

三、我國金融信息保護立法概況

我國到目前為止仍然沒有制定出一部規范所有部門和行業的統一的金融信息保護法律，但關于金融信息保密義務等規定早已在一些法律中有所提及。

（一）概括性法律規定

《憲法》第十三條規定：“公民的合法私有財產不受侵犯。”第三十三條規定：“國家尊重和保障人權。”《民法通則》第一百零一條規定：“公民、法人享有名譽權，公民的人格尊嚴受到法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽。”《民通意見》第一百四十條規定：“以書面、口頭形式宣揚他人的隱私，或者捏造事實公然丑化他人人格，以及用侮辱、誹謗等方式損害他人名譽，造成一定影響的，應當認定為侵害公民名譽權的行為。”《刑法》修正案和《侵權責任法》中也對個人信息受侵犯做了保護性規定。上述原則性規定雖不涉及金融信息保護領域，但其實可以將我國有關隱私權、金融信息保護等法律的傳統理念實實在在地反映出來，相信對于研究我國金融信息保護的立法缺失，以及具體制度構建等具有重要的頂層設計和指導價值。

（二）具體性法律規定

我國最早規定銀行保密義務的法規是1992年的《儲蓄管理條例》，其第五條規定“儲蓄機構辦理儲蓄業務必須遵循為儲戶保密的原則”。《儲蓄管理條例》對儲戶利益的保護精神體現在《商業銀行法》中。該法第六條規定：“銀行義務保障存款人權益不受侵犯。”第二十九條規定：“商業銀行辦理個人儲蓄存款業務，應當遵循存款自愿、存款自由、存款有息、為存款人保密原則；對個人儲蓄存款，商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃，但法律另有規定的除外。”第五十三條規定：“商業銀行的工作人員不得泄露其在任職期間知悉的國家秘密、商業秘密。”《電子銀行業務管理辦法》第三十八條規定：“金融機構應采用適當的加密技術和措施，保證電子交易數據傳輸的安全性與保密性，以及所傳輸交易數據的完整性、真實性和不可否認性。”《信托公司管理辦法》第二十七條規定：“信托公司對委托人、受益人及所處理信托事務的情況和資料負有依法保密的義務，但法律法規另有規定或信托文件另有約定的除外。”

中國人民銀行通過發布《中國人民銀行法律事務工作規定》與《銀行業消費者權益保護工作指引》對個人金融信息保護做出原則性規定，禁止在個人未授權時對其個人金融信息進行披露。2011年下發《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》（2011年第17號文）以列舉方式界定了個人金融信息的范圍，在例外披露制度上做出兩種安排。第一，向第三人披露金融信息必須出于為被披露主體辦理業務所需要，同時需要被披露主體的明示同意，否則不能披露；第二，出于營銷的目的向本金融機構內其他部門或其他業務人員披露時，采取默示同意制度，即被披露主體提出反對時禁止披露，而被披露主體未聲明反對時擬制為默示許可，兩種安排都應服從法律法規的另行規定。2012年“3·15”期間再次發出《關于金融機構進一步做好客戶個人金融信息保護工作的通知》（2012年第80號文），重申2011年17號文對例外披露制度的嚴格執行。

此外，我國《反洗錢法》、《中華人民共和國證券法》、《個人存款賬戶實名制規定》、《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》等法律、法規、規章中也對金融信息保護有零星規定。如，《中華人民共和國證券法》第四十四條規定：“證券交易所、證券公司、證券登記結算機構必須依法為客戶開立的賬戶保密。”《銀行業監督管理法》第六條規定銀監機構應與人民銀行、其他金融監管機構建立信息共享平臺；第四十三條規定違反規定查詢、披露個人金融信息的行政責任[7]。

四、我國金融信息保全立法存在的問題

雖然現階段我國已對金融信息數據保護做出了不少立法規定，從趨勢上對個人金融信息例外披露的規則也逐漸細化，但我國立法規定籠統零散，在實踐中的作用有限，仍存在諸多問題，主要包括：

（一）立法零散、缺乏系統性、可操作性差

閱讀國內有關金融信息保護的法律規定可知，整個國家沒有一部主體法律來確定金融信息保護的基本原則和目標，也沒有明確將金融信息保護作為一項法律意義上的權利進行保護，在規定內容上也未涵蓋個人金融信息保護的全部范圍。與此同時，目前大多數關于金融信息保護的法律條文僅為保密義務的簡單重復，多為原則性強的指示性規定，缺乏具體的實體內容，實踐中可操作性較差。如《民法通則》將隱私權置于名譽權下來保護，規定過于籠統導致較難判斷侵權行為構成，從而真正追究有關人員侵權責任便很難落實。

（二）立法內容不周延，范圍界定不清晰

我國現行金融信息保護法律對客戶金融隱私范圍界定狹窄，存在不少空白。從國內分業監管看，各層級的規范多數僅就單一監管范圍內的主體進行規定，在同一監管領域內的主體界定上，也語焉不詳。比如《商業銀行法》雖明確規定銀行需為儲戶保密，卻可又不區分個人和單位儲戶的利益；雖規定銀行保密義務，卻僅限于商業秘密。這意味著除金融機構不夠重視外，有關金融信息權保護的整個思路也不正確。

（三）立法層級偏低，缺乏應有的權威性

我國現行關于金融信息數據保全的一系列規定皆缺少了基本法層面的保護，大多都是以行政法、部門規章或規范性文件等為主體，無法將金融隱私權上升為法律意義上的權利。當然，除銀行業外，其他金融機構也都對客戶金融信息保護有著自身的一系列規定，如《反洗錢法》、《保險法》、《證券法》等法律中關于金融信息保護的內容相互重復或沖突、層次不一。我國金融信息保護法制建設的滯后在很大程度上不利于對客戶金融隱私權展開有效保護，在金融信息保護和信息披露存在沖突時，使得被違規披露個人金融信息的主體無法獲得有效的直接救濟。

（四）法律救濟渠道不足，重行輕民

“無救濟即無權利”，我國現行金融隱私保護法律很大一部分在于滿足行政和司法機關的履職需要，金融機構有配合的義務，側重于公共機構獲得個人信息的權利，而有關法律救濟手段與路徑的規定卻大大缺乏。目前我國對信息所有人的法律救濟手段偏重于行政責任方式，行政責任內容較完善，可操作性，但行政處罰并不能給遭受侵權損失的權利主體以有效的權利救濟。而在被侵權的民事救濟方面，僅僅在原則上做籠統規定，并沒有實質和具體的內容，導致受害者難以尋求并行使法律救濟權。

五、互聯網時代下健全中國金融信息保護的立法建議

金融信息安全不僅關系著金融業的持續發展，也與整個國家的經濟社會安全息息相關，特別是在互聯網金融時代背景下[8]。健全的法律體系是個人金融信息數據權得以保障和實施的基本前提。因此，健全國內的金融信息保護制度，做好個人金融信息的保護工作，必須從立法入手，明確個人金融信息權利，加強監管，正確處理個人金融信息保護和信息披露平衡等問題。

（一）樹立大數據理念

數據是重要資產在金融業已達成共識。十八屆三中全會通過的《中共中央關于全面深化改革若干重大問題的決定》中指出“借助大數據理念與技術的支持，構建穩定均衡的大金融體系”。因此，我國金融機構應當樹立大數據的概念，在戰略原面上對包括金融隱私在內的金融數掘進行規劃，建立數據驅動型發展方式；建立適應時代要求的IT基礎架構，保證基礎設施的可控性、安全性，優化服務器、存儲和網絡資源；培養一支具備多學科知識、多層次專業素質、嫻熟學習和駕馭新技術能力的精英團隊[9]。

（二）科學選擇立法模式

我國應當在充分考量經濟發展和社會現實的需求，以及認真分析具體國情的前提下，來選擇金融信息保護立法模式。我國在個人信息保護領域的立法起步較遲、經驗欠缺，在現階段的實際情形下，想直接達到歐盟一體化的高保護水平是很難的。為盡可能避免分散立法導致信息保護缺漏這一情況的發生，一部統一法律的制定是十分必要的。鑒于此，結合我國法律體系主要屬于成文法系的基本特征，在模式上可以美國模式為基礎分散立法，結合實際逐步探索，循序漸進地提高金融隱私保護水平，走向歐盟統一立法模式。

（三）逐步建立并完善金融信息法律體系

第一，完善部門規章為主體的金融隱私保護制度體系。考慮立法程序復雜和時間成本等問題，應首先從強化監管部門行政管理權入手，近期目標是以部門規章和規范性文件為核心，初步建立起科學的制度體系；遠期目標是通過行政管理為推進手段，逐步建立專門法律為核心、涵蓋各層面相關法律法規為輔助，通過部門規章和規范性文件具體實施的金融隱私保護法律體系。第二，加快推進個人信息保護立法。應當將個人信息保護工作通過效力層次較高的法律進行規范，以體現個人信息保護的重要性。《民法通則》等基本法律應當對金融隱私保護做出制度性安排，如適用直接保護原則，將隱私權作為一項獨立的人格權加以保護，同時對隱私權權屬進行界定，明確其財產屬性，為金融隱私權法律制度的全方位構建奠定立法基礎。與此同時，還應逐步完善個人信息保護的立法技術手段，保證其法律保護的全面性。

（四）加大監管力度，將法律落實到位

首先，明確好監管部門。綜合考慮到中國人民銀行的宏觀管理地位，以及其可以通過征信系統、支付清算體系等方式非常便利地對金融機構資金流動和管理個人信息等情況隨時予以監控，建議由人民銀行做好牽頭協調與兜底保護等主要工作，并需要結合實際情況對金融機構保護客戶信息工作展開專項檢查、評估，將金融隱私保護納入對金融機構總體風險監管框架中。其次，依法履行金融隱私保護監管職責。監管部門要監督金融機構客戶金融信息數據庫營銷管理，督促銀行業強化內控建設，引入先進技術，防止信息泄露和濫用。同時，需自覺履行法律規定的對個人信息的保密義務，對現場、非現場監管過程中獲得的個人金融信息嚴格保密，切實防范泄密現象發生。最后，借助第三方力量開展監管。在個人金融信息數據保護的行政執法中，監管部門可以考慮依托標準化委員會，通過第三方技術專家即信息保護中介機構的引入，來對金融機構的個人信息安全情況進行共同判斷、評價并采取相應的處理，從而促進全行業構建金融隱私保護體系。

（五）健全金融機構管理制度建設

第一，強化金融隱私保護內控建設。金融機構要完善客戶個人信息管理各項規章制度，健全各業務條線相關操作規程，參照人民銀行及有關監管部門工作要求，加強個人金融信息全流程管理；重點推進內控制度建設，合理劃分保密崗位職責和權限；嚴格審批涉及個人信息數據的查詢、復制。加大內部監督檢查工作頻率，展系統安全性評估、審計，防范各類風險和漏洞。第二，加強建設與管理業務信息系統。按照分類管理、等級管理為原則推進金融機構重要信息系統建設，通過崗位職責和系統操作員權限控制，對相關人員權限、等級進行詳細界定。定期組織第三方獨立機構評估審計本機構有關信息系統，評價抵御各類風險的水平狀況，采取數字證書、防火墻等技術手段全面加強系統風險管理。同時建立相關應急處置工作機制，重點加強和防范網絡攻擊等外部風險，確保相關信息系統的安全運行。第三，重點加強金融從業人員管理。目前，金融機構因內部員工操作不當造成的個人信息泄露案件不斷發生，加強員工保密教育十分必要。要通過保密承諾書、責任書等方式，進一步強化對日常能夠接觸個人金融信息關鍵部門和崗位的管理與控制，消除風險隱患。

（六）完善信息侵權救濟手段

首先，確立公益訴訟制度，賦予消費者訴訟資格，明確金融隱私訴訟個案對同類業務的普遍約束力。公民可以向行政司法機關、致力于金融隱私保護的社會團體等請求依法受到保護；金融機構等應積極推進預警體系于訴求處理平臺的構建，及專職部門、人員的成立和組成；鼓勵完善行業自律規范，將行業組織的監督作用落到實處。其次，需進一步強化隱私侵權的法律責任。金融機構在侵犯客戶信息數據時，必須依法承擔相應的法律責任。必要時還可通過懲罰力度的加大，使金融機構的違法成本也隨之增加，充分保障金融隱私救濟權。

此外，應明確信息披露的具體細節和操作流程。披露必須依據法律的明文規定和程序，法律應當嚴格限制公共利益和國家、公共安全的定義，防止公權力的自由裁量和對該原則的濫用，否則確立金融隱私權保護將失去大部分意義。

六、結語

在互聯網金融時代下，金融信息數據不僅具有人格屬性，是個人的一項財富，也是金融機構的重要資產，更是國家和企業參與世界競爭的戰略資源[10]。所以要從制度和法的理念出發，多方外建立和完善我國現有的金融信息安全立法體系，如此才能在信息安全管理中獲得主動權、占據制高點，從而有效地規避互聯網金融帶來的信息安全風險，更好地促進互聯網金融持續、健康、穩步發展，更好地服務實體經濟。

[1]胡劍波，宋帥，石峰.互聯網金融信息安全風險及其防范[J].征信，2015(4):13-17.

[2]安青松.金融信息安全是國家發展戰略的重要基石[N].證券時報，2013-03-01(12).

[3]Allen&Gale.Financial Markets，Intermediaries and Inter-temporal Smoothing[J].Journal of Political Economy，1997(3):523-546.

[4]Berger&Gleisner.Emergence of Financial Intermediaries on Electronic Markets:The Case of Online P2P Lending[Z].Working Paper，University of Frankfurt，2008.

[5]高漢.互聯網金融的發展及其法制監管[J].中州學刊，2014(2):57-61.

[6]黃瀏祥.互聯網金融信息安全風險的應對之策[J].中國農村金融，2015(15):43-45.

[7]萬玲.金融隱私權保護公權干預制度探析[J].行政與法，2012(12):87-90.

[8]趙立志，朱建明.互聯網金融信息安全問題與對策[J].信息安全，2014(12):36-37.

[9]白運全.大數據時代的金融信息安全[J].網絡安全技術與應用，2014(11):101-103.

[10]張秉兵.互聯網金融時代金融信息安全對策研究[J].金融科技時代，2015(7):66-68.