個人金融信息的格式化侵權亟需規制

易森

摘 ? 要：本文通過分析17家金融機構公開發布的50份格式合同，發現在我國相關立法不完善的背景下，金融機構通過格式合同，違反個人金融信息保護的通行原則，在個人金融信息收集、加工、披露等多個環節，侵害信息主體的自主選擇權、保密權、知情權、安寧權和管理權等多項權利的現象時有發生。對此本文提出了規制個人金融信息化的政策建議。

關鍵詞：個人金融信息;格式化;金融消費者保護

中圖分類號：F830.31 ? ? ? ? ? ? ? ? ?文獻標識碼：B ? ? ? ? ? ? ? ? ? ? 文章編號：1674-0017-2015（10）-0024-05

隨著我國經濟發展和金融深化，金融服務已為社會公眾日常生活所必需。少數金融機構通過金融交易掌握大量的客戶個人金融信息，并任意使用和處理，特別是隨意對外提供，給客戶造成困擾甚至財產損失，更為惡劣的是為謀私利批量出售。中國人民銀行于2011年和2012年連續兩年印發了做好個人金融信息保護工作的通知，對銀行業金融機構收集、使用和對外提供個人金融信息行為進行了規范，并于2012年在全國范圍內對銀行業金融機構開展了專項檢查，發現諸多問題，典型問題之一就是金融機構采取格式合同的形式侵權，嚴重侵害了客戶的個人金融信息保護權。

一、個人金融信息的格式化侵權概況

本文分析的對象是各家金融機構通過官方網頁發布的格式合同或制度，涉及商業銀行17家、格式合同或制度50份，其中國有商業銀行4家、股份制商業銀行8家、外資銀行中國分支機構3家、地方法人機構2家;借記卡章程2份，信用卡章程10份、領用合約9份、申領表7份，電子銀行協議6份，住房貸款合同12份、個人消費借款合同2份，銀行業務外包合同2份。個人金融信息保護如此重要，對于金融機構應該在格式合同中做合法明確而詳細的約定，在格式合同中使用違法的規定、概括性的規定以及完全不做規定都不符合對信息主體的保護。調查結果顯示：50份格式合同中41份有規定，占82%，9份完全無規定，占比18%;而在有規定的41份格式合同中，有涉嫌格式侵權條款的多達38份，比例高達92.68%。

雖然按照《合同法》和《消費者權益保護法》的規定，提供格式條款的一方免除自己責任、加重對方責任、排除對方主要權利時，該條款無效，但這種認定通常極為困難，而且僅會由法院或消費者保護部門在受理訴訟或舉報時進行個案認定，這對于運用如此廣泛、影響大眾群體的金融格式合同而言遠遠不夠，需要從源頭進行控制。

二、個人金融信息格式化侵權的表現形式

金融機構對個人金融信息的格式化侵權，違反了個人金融信息保護的通行原則，發生于收集、貯存、加工、對外提供、披露、銷毀等多個環節，侵害信息主體的多重權利，從不同角度分析有不同的表現形式。

（一）所違反的基本原則

1、國外的通行原則

國外對個人金融信息保護非常重視，很早就以立法形式加以保護，其中“歐盟綜合性立法和美國分行業立法是當今個人金融信息保護的兩種主要立法模式，世界其它國家和地區的立法均不同程度受到這兩種模式的影響。”美國1999年通過的《金融服務現代化法案》確立的基本原則包括通知原則、選擇原則、安全原則、市場公開原則和執行原則。1995年歐盟《關于在個人數據處理過程中保護當事人及此類數據自由流通的指令》規定了合法、目的性、透明、妥當性、控制、特殊信息豁免、國際數據流通限制以及安全保密八項原則。此外，亞太經合組織也規定了收集限制、數據質量、列明目的、安全保護、使用限制、公開、個人參與和責任等八項原則。

2、我國的基本原則

我國目前尚無個人信息保護法，更談不上專門的個人金融信息保護立法。2005年有學者提出知情同意、目的明確、限制利用、完整正確和安全等五項基本原則。2011年國家質量監督檢驗檢疫總局、國家標準化管理委員會發布的《信息安全技術個人信息保護指南》提出了目的明確、公開透明、質量保證、安全保障、合理處置、知情同意和責任落實七項原則。正式實施的首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》提出了目的明確、最少夠用、公開告知、個人同意、質量保證、安全保障、誠信履行和責任明確八項基本原則。就個人金融信息而言，上述基本原則均有其合理性，但最重要的原則應該包括合法原則、合適原則、透明原則和責任原則。

3、個人金融信息格式化侵權所違反的原則

（1）合法原則。收集、使用、對外提供個人金融信息必須符合法律的規定，不得以非法的形式為之，特別是對外提供必須合法。如《商業銀行法》規定，“對個人儲蓄存款，商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃，但法律另有規定的除外”;《個人存款賬戶實名制規定》要求：“除法律法規另有規定以外，金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況”，其以保密為原則，以法律、行政法規另有規定為例外。而個人金融信息格式化侵權的做法是任意擴大例外的范圍，在格式合同中規定出現以下情形時金融機構不再履行保密義務，包括規章另有規定的，司法、行政機構等有權機構要求的，金融監管機構另有規定的，出于公共利益的，僅在金融機構內部使用的等。

（2）合適原則。只應收集和處理與業務相關的最少信息，不得收集與業務無關的信息，特別是揭示個人種族、宗教信仰、基因、指紋的信息，或與健康狀況、性生活有關的信息。但金融機構的格式合同中，特別是信用卡申領表，明確要求申請人“必填”的內容卻包含了很多不該收集的信息，如申請人母親姓氏、畢業小學名稱、個人昵稱、英文名等。

（3）透明原則。收集和處理信息之前，應明確向信息主體告知收集、處理信息的目的、內容、使用范圍及相關事項，不得做模糊、籠統的表述。而金融機構格式合同中卻有規定在任何其認為需要的時候，可將任何與客戶或任何信用卡交易或信用卡賬戶或客戶任何其它開立的賬戶有關的信息披露予任何金融機構根據其絕對的酌定權認為合適的第三方。

（4）責任原則。應在格式合同中明確個人信息收集、處理的責任，并采取必要的措施落實相關責任。這是對金融機構自身的約束，金融機構集體選擇避而不談，50份格式合同中均無此類表述。

（二）所侵犯的權利內容

1、國外規定個人信息主體享有的權利

國外對于個人信息高度重視，注重主體應有的權利，特別是作為個人信息保護立法典范的美國和歐盟。美國1974年《隱私法案》規定了決定權、訪問權、修改權和民事救濟權。歐盟《關于在個人數據處理過程中保護當事人及此類數據自由流通的指令》則規定了知情權、進入權、反對權和不受約束權。

2、國內學者的觀點

在國外立法和國內近來個人金融信息侵權事件頻發的影響下，國內學者紛紛強調個人信息主體應享有的權利。學者普遍認為信息主體享有的權利包括消極性權利和積極性權利，包括“隱瞞、利用、支配、以及維護的權利”，有學者認為包括信息決定權、信息保密權、信息查詢權、信息更正權、信息封鎖權、信息刪除權和報酬請求權，有站在征信信息的角度提出同意權、知情權、提出異議權、個人信息保密權、個人信息更正權、個人信息維護權、個人信息權益救濟權和個人信用利益支配權，2011年《信息安全技術個人信息保護指南》規定有保密權、知情權、選擇權、更正權和禁止權，周學東則針對個人金融信息提出知情權、選擇權、訪問權、異議權、索賠權。從更好地保護信息主體的角度出發，應明確賦予個人金融信息主體自主選擇權、保密權、知情權、安寧權、管理權和救濟權。

3、個人金融信息格式化侵權所侵害的權利

（1）自主選擇權。這是個人金融信息格式化侵權所侵害的最嚴重和最普遍的權利，因為其與格式合同的本質屬性相關。客戶應有權自主選擇是否接受金融機構對其個人金融信息的收集、對外提供與披露等，特別是有權拒絕金融機構將其放棄應有權利作為向其提供金融服務的先決條件。但格式合同的本質屬性之一就是客戶只有同意權或拒絕權，無修改或變更權，而行使拒絕權實質就是放棄獲得金融服務，在金融機構占據強勢地位的當前，放棄獲得金融服務完全背離了客戶的目的，從而客觀上造成客戶放棄權利才能獲得金融服務，本質上是剝奪了信息主體的自主選擇權。

（2）保密權。該權利應該是個人金融信息主體享有的核心權利，其應有權拒絕金融機構擅自提供信息給第三方、擅自通過媒體等渠道公告違約信息，特別是有權拒絕金融機構非法出售等。金融機構則通過格式合同剝奪該項權利，規定金融機構有權將所有信息主體的相關信息提供給任何金融機構認為合適的第三人，出現逾期還款等情形時有權公開借款人的違約信息，向有關部門或者單位予以通報、通過新聞媒體公告等。

（3）知情權。這是個人金融信息主體應享有的最基本權利，即有權知曉金融機構收集、使用、披露、轉移個人金融信息等的目的、范圍以及具體的使用情況，即使法律明確規定不需要信息主體同意的使用，也應該在使用后及時采取各種方式讓信息主體知曉。而實際上，金融機構通過格式合同僅要求信息主體簽字授權金融機構使用信息即可，至于該類信息如何使用、在哪里使用等等，信息主體均無權知曉。

（4）安寧權。這其實是個人金融信息主體應享有的最關鍵的權利，即除非信息主體明確表示同意，其有權拒絕金融機構利用已掌握的個人金融信息采取任何方式對其進行其申請業務以外的營銷、廣告等行為，以維護自身的生活安寧。因為除非信息主體主動要求或者明確同意，信息主體向金融機構申請或購買某項金融服務，其只希望就該業務與金融機構產生關系，金融機構卻通過格式合同要求信息主體授權金融機構將信息用于金融機構其他產品和服務的交叉銷售，這勢必讓信息主體經常處于金融機構所謂新產品、新服務的轟炸當中，生活安寧經常收到騷擾。

（5）管理權。這實際上是個人金融信息主體多重權利的合稱，包括查詢、異議、更正、刪除權，即信息主體有權查詢其個人金融信息被金融機構保存、對外提供以及披露的情況;對于與事實不符的個人金融信息，有權提出異議，并要求金融機構做相應的更改和刪除。這些權利金融機構應在收集信息時就明確提出，但事實是所有格式合同中均未明確信息主體享有這些權利。

（6）救濟權。救濟權是所有權利的保障，個人金融信息保護權也是如此。信息主體應享有索賠權和舉報權，對于侵害個人金融信息的行為，有權向侵權金融機構、相關第三方組織等提出索賠，也有權向公安機關、金融監管部門等舉報。該權利在格式合同中也從未出現。

（三）個人金融信息格式化侵權的具體表現形式

個人金融信息格式化侵權在不同金融機構的不同格式合同中有不同的表現形式，具體包括：

1、明示性違反

有關法律、法規、規章及規范性文件明確要求不該為的，格式合同公然為之。如規定不得收集與業務無關的信息，格式合同中有些與業務無關的信息卻設置為必填項;不得將信息主體授權或同意其將個人信息用于營銷、對外提供等作為先決條件，格式合同卻規定只有信息主體授權金融機構向其認為必要的其他機構或個人提供所有有關借款人的信息和資料才可獲得金融服務。

2、默示性違反

有關法律、法規、規章及規范性文件明確要求該為的，格式合同卻不為。如明確要求金融機構應規定信息主體授權后愿意承擔的可能后果，格式合同則只規定信息主體愿意承擔授權金融機構使用其金融信息產生的一切后果，但不明確可能的后果;明確規定金融機構通過外包開展業務的，應要求外包服務供應商在外包業務終止后，及時銷毀因外包業務而獲得的個人金融信息，但格式合同中僅要求外包服務供應商協議期滿后繼續保密，未要求銷毀信息。

3、模糊性表示

比較常見的一種方式，在格式合同中只有一句，金融機構對信息主體的信息負有保密的義務，再無任何具體詳實的義務內容和不履行義務的處置措施。

4、無任何表示

對金融機構而言，這是一種看起來比較穩妥實際上比較狡猾的方式，金融機構知道在格式合同中，無論是規定明示性違反條款還是默示性違反條款都可能受到監管部門的查處，所以干脆不做任何規定，既避免監管部門的檢查，又因為對信息主體沒有任何承諾而不用擔心信息主體的糾纏。

三、個人金融信息的制度性侵權的法律規制

金融是現代經濟的核心，金融資產是個人最重要的資產之一，個人金融信息的重要性無需贅述。金融消費者權益保護已經成為全世界的共識，個人金融信息的保護刻不容緩，金融機構通過格式合同進行大范圍的侵權，確實需要法律的規制。

（一）循序漸進的立法方式

毫無疑問，我國需要制定統一的《個人信息保護法》，并在該法中專設個人金融信息保護一章，明確界定個人金融信息的概念、信息主體信息保護權的種類及其內容、金融機構履行個人金融信息保護的義務等等。但在當前宜采取循序漸進的方式，可先行推動國務院制定《個人金融信息保護條例》，明確個人金融信息保護的基本原則、內容范圍、主體權利、法律責任、監督管理等主要內容。當然這也可能有難度。在專門的《個人金融信息保護條例》出臺之前，有必要在《銀行卡條例》等相關行政法規中設專章規定個人金融信息保護，既探索不同法規范疇內個人金融信息保護的方式，也為最終的專門立法積累經驗。無論哪一級立法，均應專門規定金融機構通過格式合同訂立協議的有效規則。

（二）事前預防為主的規制原則

個人金融信息格式化侵權的載體是各金融機構的格式合同，具有單方性、對世性和強制性，鑒于金融機構的強勢地位和信息主體的弱勢地位，信息主體不具備自我保護的能力，且事后的維權與救濟只能個案化和不經濟化，需要做好源頭性控制，以事前預防為主、事后處置為輔。金融機構的格式合同有必要先行報人民銀行等監管機關備案，在一定時限內監管部門未提出格式化侵權的決定或相應的整改意見才能正式實施，這樣既能切實維護信息主體的合法權益，又有事半功倍之效。

（三）一頭多管的監管模式

一般說來，設立獨立的機構專門負責個人金融信息保護的監管應該最有效率，但在我國現有金融業分業經營、分業監管的前提下反而難以實現。個人金融信息保護實際上是金融消費權益保護的一部分，在一行三會都有相關監管職能的情況下，最好的方式是維持分業監管的模式，并明確人民銀行的組織或者牽頭地位。銀監會、證監會、保監會負責各自監管領域內的個人金融信息保護，人民銀行作為牽頭單位，擁有組織召開聯席會議、會商重大疑難問題或群體性事件的權利，各監管機構也應有權對金融機構個人金融信息保護工作開展非現場監測和現場檢查，視侵權事件的實際情形實施行政處罰或其他監管措施。在格式化侵權的監管中，屬于人民銀行履職范圍內的格式合同，由人民銀行自行審查;非人民銀行履職范圍、但可能影響金融穩定的，由銀監、證監、保監部門負責審查，同時將審查情況抄報人民銀行;在市、縣以下，證監、保監沒有分支機構，可采取合作或授權的形式，由當地人民銀行代行證監、保監的審查職權。

（四）全系統的審查權限

金融消費權益保護是維護金融穩定、保護群眾利益的舉措，一行三會為此均設立了獨立的保護機構，個人金融信息保護也是其中應有之義。總體來說，相對于城市，縣以下的基層，信息主體的信息保護意識明顯不足，遭遇侵權時的維權能力更為欠缺，所以格式化侵權的監管不應僅僅是監管部門總部對金融機構總部，必須加強基層監管機關對格式化侵權的監管。基層金融機構不得以格式合同為其總部所擬為由拒絕當地監管機關的監督和整改要求，監管機關的分支機構有權對所轄金融機構的格式合同進行監管，并有權向金融機構的上級機構提出書面意見，并內部層層上報監管機構總部，最終在監管機關總部和金融機構總部層面實現全面完整、自上而下的解決。

（五）多樣化的救濟途徑

個人金融信息雖然只屬于個人，但實踐中金融機構很少只侵害某個個人的金融信息，而是侵犯一類人、一個群體的個人金融信息。一旦如此，很容易引發群體性事件，既廣泛地損害群體利益，又影響金融業的整體形象，甚至影響金融穩定。為此救濟必不可少，且正由于個人金融信息侵權的特殊性，需要多樣化的救濟途徑，訴訟、舉報、調解、協商、仲裁等均應作為救濟途徑。特別是在金融消費權益保護深入人心的今天，更加要突出行政機關的地位，更加注重發揮行政調解機制的作用。

參考文獻

[1]黨璽.歐美金融隱私保護法律制度比較研究[J].國際經貿探索，2008，（9）：44-49。

[2]廖昱棨.論金融隱私權保護之法律問題——以美國金融服務現代化法為視角[D].上海：上海交通大學，2008。

[3]齊愛民.法學前沿問題探討個人信息法律保護問題研究專論（一組）[J].蘇州大學學報：哲學社會科學版，2005，（2）：30-35。

[4]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2005，（6）：2-5。

[5]單飛.國外關于個人信息保護的立法狀況（一）及《兒童網上隱私保護法》[EB/OL].中國法院網，

http：//old.chinacourt.org/html/article/200803/13/291513.shtml，2008-3-13。

[6]孫亞，陳傳江，唐友偉.征信過程中信息主體的權益及其保障制度研究[J].中國房地產金融，2009，（10）：39-42。

[7]唐蓉.金融消費者知情權與隱私權保護研究[D].湖南：中南大學，2011。

[8]王麓.我國個人信息的法律保護研究[D].甘肅：蘭州大學，2009。

[9]汪全勝，方利平.個人敏感信息的法律規制探析[J].現代情報，2010，（5）：24-27。

[10]楊帆.個人信息保護立法若干問題比較研究[EB/OL].中國法學網，http：//www.iolaw.org.cn/showNews.asp？id=15915。

[11]周學東.關于完善個人金融信息保護法律體系的思考[N].金融時報，2013-03-18（010）。

[12]周學東.盡快完善個人金融信息保護法律體系[EB/OL].

財新網，http：//finance.caixin.com/2013-03-04/100496845.html，2013-03-04。

The Urgent Need in Regulating the Infringement of Personal Financial Information through Formatted Contract

YI Sen

（Yancheng Municpal Sub-branch PBC， Yancheng Jiangsu，224001）

Abstract：Through analyzing 50 formatted contracts published by 17 financial institutions， the paper finds that under the background that the legislation in China is not perfect， financial institutions take advantage of the formatted contract in violation of the common principle of personal financial information protection， infringe upon rights of information owners like independent option， confidentiality， knowledge， tranquility and management， etc. during many links such as disclosing， collecting and processing personal financial information and so on. Finally， the paper puts forward the policy suggestions on regulating personal financial information.

Keywords： personal financial information; formatted; financial consumer protection

責任編輯、校對：張德進