金融消費者個人金融信息的法律保護

方芳 范鈺潔

廈門大學嘉庚學院

大數(shù)據(jù)時代對金融消費者個人金融信息保護帶來新的挑戰(zhàn)。個人金融信息是金融業(yè)經(jīng)營者①在與個人進行業(yè)務往來活動時獲取、保存、使用、共享的信息以及在往來活動結束后銷戶處理階段所涉及的信息，包括信息主體的長期的交易行為、交易內容、交易方式、交易習慣。中國人民銀行于2019年12月27日發(fā)布《中國人民銀行金融消費者權益保護實施辦法（征求意見稿）》（簡稱《實施辦法》）對近年來金融市場存在的亂象做出了針對性規(guī)制，然而2020年3月藝人池子在微博披露，中信銀行違法向第三方笑果文化公司提供其個人銀行賬戶交易明細，這一事件再次將金融信息泄露的風險推到大眾面前。

一、我國當前個人金融信息面臨的侵害類型

（一）個人金融信息的泄露

傳統(tǒng)行業(yè)和互聯(lián)網(wǎng)金融行業(yè)都存在金融工作人員缺乏責任感的情況，由于管理機制和追責機制不完善，部分金融機構及其工作人員在利益驅使下，利用自身職務便利在信息主體不知情、未經(jīng)其允許的情況下將個人金融信息擅自出售。金融行業(yè)涉及領域廣、金額大、人數(shù)多，個人金融信息的泄露會給信息主體的財產(chǎn)和人身安全帶來危險，同時也會對市場運行帶來不利影響。

（二）個人金融信息的非法利用

個人金融信息不僅與信息主體的財產(chǎn)有緊密的聯(lián)系，互聯(lián)網(wǎng)大數(shù)據(jù)時代下的金融信息被收集、分類、歸納后本就可以作為預測商機的重要資源，因此被人們需要和重視。金融機構的從業(yè)人員在未經(jīng)信息主體的允許下，利用其金融信息進行授權范圍之外的操作，這是明顯的非法侵害行為。盡管各個行業(yè)的運營模式和經(jīng)營內容存在不同程度的差異，線上線下業(yè)務和交易方式的多樣化促使個人金融信息在各個行業(yè)間、機構間乃至線上線下的流轉和共享，非法利用的情形層出不窮。

（三）個人金融信息的濫用

區(qū)別于個人金融的泄露和非法利用，這類行為不屬于越權和無權，它符合信息主體和金融經(jīng)營者的約定或協(xié)議。以 《螞蟻金融隱私權政策》②為例，其約定內容與銀行機構有本質區(qū)別。首先，其內容包括與第三方共享金融信息的情形，但并未明確具體的前提條件及共享內容的范圍和限度。其次，關于聯(lián)系欠款關系人的內容未明確具體違約條件、聯(lián)系人范圍，且欠款人未明確知情并同意。這無疑增加了其親友的義務，也對其親友之金融信息有侵權之嫌。因此，此類行為表面符合法律和協(xié)議，實則是對個人金融信息的濫用。

二、我國金融消費者個人金融信息法律保護的困境

（一）尚未形成完整的保護體系

我國金融業(yè)目前仍然實施分業(yè)經(jīng)營、分業(yè)監(jiān)管，雖然多個層次的規(guī)范性法律文件中都涉及到了對于金融消費者個人金融信息保護方面的規(guī)定，但是大多集中于對銀行類金融機構的監(jiān)管，缺乏對證券、保險、信托、私募基金等行業(yè)保密義務的規(guī)定，這與我國近年來大力提倡發(fā)展直接融資的趨勢明顯不匹配。

金融機構對個人金融信息的共享與披露在金融業(yè)中是最為常見的環(huán)節(jié)，《銀行監(jiān)督管理辦法》③和《征信業(yè)管理條例》④雖也已針對共享和信息披露作出相關規(guī)定，但對于違反保護義務所承擔的法律責任未作出詳細規(guī)定。《信息安全技術 個人信息安全規(guī)范》（以下稱《信息安全規(guī)范》）關于個人信息使用、共享和披露之操作的規(guī)定比較明確，但其并未專門規(guī)定個人金融信息。另外，《實施辦法》強調了金融機構的保密義務，這對金融機構及其工作人員保護好金融信息有很大的督促作用。但這些并非法律性文件，只是監(jiān)管機構、金融機構開展相關工作的指導文件，因此不具備強制性而難以適用。

由此可見，對于金融信息保護范圍乃至保護義務，相關條文的零散分布使得不同金融機構在對待同種類型或相類似的事件可以做出不同的處理結果，加之各部門之間沒有有效的協(xié)調機制以至于難以形成完整的保護體系。

（二）監(jiān)管權限劃分不明確

我國多年來的監(jiān)管理念一直是機構監(jiān)管，即依照機構屬性來劃分監(jiān)管對象、明確監(jiān)管主體，然而隨著實踐中混業(yè)的趨勢化，該監(jiān)管模式的不足益發(fā)明顯，即使得對金融信息的利用、共享等流動的監(jiān)管變得十分復雜。

首先，針對不同金融機構進行的同一類業(yè)務所涉及的相類似的金融信息在監(jiān)管實施要求上可能出現(xiàn)不一致的情形。其次，不同監(jiān)管機關可能所涉及的監(jiān)管領域有所重疊，這使得同一金融信息可能被無意義的投入相同的監(jiān)管資源，當在公共利益的驅使下，分金融信息要進行必要的公開共享時，可能需要經(jīng)過繁瑣而重復的流程，極大降低了工作效率。另外，在不同監(jiān)管機構的管理下，可能會導致監(jiān)管真空地帶的出現(xiàn)，這無疑會使得本應被保密的金融信息暴露在公眾視野下，脫離了對個人金融信息保護的初衷。最后，在我國金融業(yè)綜合經(jīng)營范圍的日漸擴大下，銀行業(yè)、證券業(yè)、保險業(yè)間的業(yè)務合作日益頻繁，也帶來了日益增多的交叉業(yè)務，這完全突破了原有的傳統(tǒng)監(jiān)管范圍，個人金融信息直接在不同行業(yè)機構間進行共享，如果繼續(xù)機構監(jiān)管，可能導致金融信息的一次流動被不同監(jiān)管機構多次采取監(jiān)管措施，從監(jiān)管活動的本質來看即是不合理的。

（三）現(xiàn)有救濟機制效果受限

現(xiàn)階段個人金融信息被侵害時，實踐中大多采取調解為主、訴訟為輔的處理方式，且即便通過民事訴訟進行救濟，作為資金和技術都處于弱勢一方的金融信息主體很難實現(xiàn)維權效果。

首先，受害人不能以金融信息主體的身份提起訴訟，欲尋求民事救濟只能依據(jù)《侵權責任法》中關于侵害隱私的一般規(guī)定，對侵權主體提起包括排除侵害、請求賠償?shù)纫笤趦鹊脑V訟，這種迂回的、間接的保護效果往往差強人意[6]。且對侵權行為人課加的幾乎都是行政責任與刑事責任，鮮有民事方面的救濟，金融信息主體的損失得不到實質性補償。

其次，金融信息主體和金融機構交易過程中產(chǎn)生、儲存的金融信息大多以電子化形式保留在金融機構的業(yè)務系統(tǒng)中，如果金融機構確實違法利用個人金融信息或保存不當造成信息泄露，金融信息主體是很難取證的。如果金融機構的工作人員違反職業(yè)道德私下泄露金融信息，考慮到影響金融機構內部管理和外部聲譽，則該金融機構不會主動在有關的訴訟中對此進行解釋。金融信息主體更不可能取得相應的證據(jù)，沒有證據(jù)便無法贏得訴訟。

三、完善我國個人金融信息法律保護的建議

（一）構建完整的保護體系

互聯(lián)網(wǎng)商品經(jīng)濟已經(jīng)滲透到社會的方方面面，互聯(lián)網(wǎng)中的個人金融信息更需要被納入監(jiān)管和保護范圍中，與傳統(tǒng)金融監(jiān)管形成完整的金融信息保護體系以適應未來金融行業(yè)的發(fā)展。傳統(tǒng)的金融信息保護范圍主要保護交易期間消費者的金融信息不被泄露和使用，然而在磋商階段及交易完成后，也有個人金融信息被侵犯的風險。因此，在未來的立法中，應進一步完善關于金融交易發(fā)生前后階段對個人金融信息的保護。

金融業(yè)經(jīng)營者在對金融信息進行授權范圍外的操作前，必須告知并獲得金融信息主體的同意。為避免頻繁“告知”帶來效率低下的問題，可以對金融業(yè)經(jīng)營者收集、利用、共享金融信息的行為中設置禁止性情形。針對違法收集、泄露、損毀個人金融信息的行為，應當從違法程度和造成損失的不同方面進行法律責任的劃分，同時提高侵犯金融信息行為的違法成本，做到對非法處理金融信息行為的懲治有法可依。

（二）明確個人金融信息監(jiān)管權限

對個人金融信息的監(jiān)管涉及實體金融領域和互聯(lián)網(wǎng)金融領域，分別存在不同的監(jiān)管機構，比如互聯(lián)網(wǎng)領域有網(wǎng)信辦，而金融領域則存在一行兩會，因而會出現(xiàn)金融監(jiān)管交叉或重疊的情況，這就需要遵從一致性機制。一致性機制由信息管理部門的最高級別機構設置，其余機構都應當遵從該機制制定不同領域具體的監(jiān)管細則。機制中除了一般性規(guī)定，也需要規(guī)定在不同領域監(jiān)管機構必要時進行合作時所需要遵從的職能劃分原則和發(fā)生沖突時的解決辦法。在一行兩會的監(jiān)管模式下，中國人民銀行的統(tǒng)籌監(jiān)管特性的愈加突出，對于一些涉及重大項目的個人金融信息，可由其進行協(xié)調統(tǒng)一監(jiān)管。

（三）對金融消費者實行傾斜保護的原則

金融消費者在信息收集能力、專業(yè)知識儲備、經(jīng)濟能力等方面處于弱勢地位，尤其是在舉證時，除了侵害后果，在侵權行為、侵權行為與損害后果之間的因果關系、主觀過錯這三項待證事實中，很難從行政機關、金融機構等強勢主體方調取金融信息被泄露的證據(jù)。因此，相關立法有必要明確金融管理機構及其工作人員的責任承擔形式以及個人金融信息受到了侵害時的解決方式。為了切實維護金融消費者的權益，有過錯的金融機構及其責任人首先應承擔民事責任；同時，以行政責任和刑事責任為補充，充分發(fā)揮法律的震懾作用。除此之外，也有必要簡化侵權主體的民事責任構成要件，以達到減輕金融消費者舉證責任的特別要求。

結論：金融消費者既是金融市場中資金的源頭，也是金融服務的終點，能否切實保護金融消費者，關系到我國金融市場的健康可持續(xù)發(fā)展。今年4月17日，中國人民銀行網(wǎng)站發(fā)布的《2020年規(guī)章制定工作計劃》中包括了個人金融信息（數(shù)據(jù)）保護試行辦法、征信業(yè)務管理辦法、中國人民銀行金融消費者權益保護實施辦法等，我國對于金融消費者個人金融信息的法律保護已經(jīng)取得了實質性進展，進一步夯實了金融市場的基礎。

注釋：

①金融業(yè)經(jīng)營者是包括銀行業(yè)金融機構、非銀行業(yè)金融機構以及第三方支付平臺，其業(yè)務信息接入中國人民銀行各個系統(tǒng)（征信、支付等系統(tǒng)）中的機構的經(jīng)營者。

②《螞蟻金融隱私權政策》：“我們（螞蟻金服）對您的信息承擔保密義務，但我們有權在下列情況下將您的信息與第三方共享……根據(jù)格式條款，螞蟻花唄可以在用戶違約時向您（用戶）傳達信息的親戚朋友、聯(lián)系人等披露您（用戶）的違約信息”。

③《銀行業(yè)監(jiān)督管理法》：“第11條 銀行業(yè)監(jiān)督管理機構工作人員，應當依法保守國家秘密，并有責任為其監(jiān)督管理的銀行業(yè)金融機構及當事人保守秘密。國務院銀行業(yè)監(jiān)督管理機構同其他國家或者地區(qū)的銀行業(yè)監(jiān)督管理機構交流監(jiān)督管理信息，應當就信息保密作出安排。……第43條 第四十三條擅自設立銀行業(yè)金融機構或者非法從事銀行業(yè)金融機構的業(yè)務活動的，由國務院銀行業(yè)監(jiān)督管理機構予以取締;構成犯罪的，依法追究刑事責任;尚不構成犯罪的，由國務院銀行業(yè)監(jiān)督管理機構沒收違法所得，違法所得五十萬元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五十萬元的，處五十萬元以上二百萬元以下罰款。”

④《征信業(yè)管理條例》：“第14條 禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。征信機構不得采集個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息。但是，征信機構明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外。”