論個人金融信息的內涵和外延

◆張昕喆

論個人金融信息的內涵和外延

◆張昕喆

（中國政法大學中歐法學院 北京 102249）

對于個人金融信息的內涵和外延的確定是一項開放的系統工程。本文通過文義解釋、擴張解釋、規范適用等方法確定了個人金融信息概念內核和應用邊界。在研究過程中，首先通過文義解釋來確定了個人金融信息所含意義的內核；其次通過個人金融信息的實踐表現確定了個人金融信息所含意義的外延；最后通過分析規范變動下內涵和外延的變動過程及發生原因揭示了個人金融信息內容的全貌。

個人金融信息；文義解釋；擴張解釋；規范適用

盡管對金融業的本質的話題還存在爭論，但“金融業是一個以信息為導向的產業”這一論斷已在各種理論中嶄露頭角，獲得廣泛業內人士的認同[1]。或許還有人對這一觀點不屑一顧，但其也不得不承認金融業為提升金融服務能力而對信息的采集、挖掘、開發和利用的行為正如火如荼地發生著。對于金融業的信息利用行為所帶來的整體性社會福祉提升，社會公眾也許報以贊許態度，但信息利用行為所帶來的社會信息風險卻是社會公眾不得不提防的現實問題。也因之如此，對于金融機構對個人信息利用所引發的信息風險的識別、控制和規避成為社會公眾賦予金融監管機構必須承擔的任務。由此，對個人金融信息進行保護成為金融監管機構提出的應對信息風險的重要實踐。

1 問題的提出

或許個人金融信息利用只是一個以實踐為導向的描述性事實，不必過多糾結個人金融信息內容是什么，只需將所獲得的個人金融信息類型盡可能地進行利用。但對于個人金融信息保護這一個規范性事實，首先要對“個人金融信息”這一復合詞語究竟指的是什么進行準確的認知和定義，才可使得個人金融信息保護這一規范行為存在明確的靶向。這也同時提出了個人金融信息保護這一任務的前提性工作：對個人金融信息的內涵和外延進行分析。

2 問題的分析

盡管在語素分析上，很容易分析出“個人金融信息”這一復合詞匯的核心是“信息”一詞，“個人”和“金融”都是對“信息”的限制和形容。由此認為，“個人金融信息”的內容其實就是“個人信息”和“金融信息”兩個詞匯所指內容集合的交集部分，因此只要確定了“個人信息”和“金融信息”的內容，“個人金融信息”的內容便昭然若揭。但是“個人金融信息”一詞在本文中不但是事實性概念，同樣也是規范性概念，“個人金融信息”的內涵不僅僅是通過在物質世界的客觀表現來確定，同樣依賴于法律對于個人金融信息的規范實踐，在規范效果的衡量下、在不同的實踐場景中，個人金融信息的內容都發生著變化，只有在不同規范場域下對其進行內容分析，才能在詞匯編織的“意義之網”中確定個人金融信息的真實意義。

通過分析，我們知道了“個人金融信息”的內涵并不僅僅是這一個復合詞匯依據詞語意義所能夠準確指出的，還要依據詞匯實踐所產生的規范關系來塑造。這揭示了我們接近這一詞匯內涵的路徑和方法：首先，應當通過文義解釋來確定個人金融信息這一詞匯所含意義的內核（文義解釋）；其次，分析個人金融信息的表現類型，來確定這一詞匯所含意義的邊界；最后，通過分析規范變動下內容的變動過程，揭示內容變動的原因，以達到對個人金融信息內容的全面理解。

3 問題的解決

3.1 內涵的確定

命名是對文義的定位，對于個人金融信息的概念內核的確定，需對個人金融信息進行文義解釋為基礎。通過對“個人”“金融”“信息”等零散語素意義的理解，構成了我們對于“個人金融信息”在語言之網上的位置的確認，形成了我們對于個人金融信息的初步認知。雖然經過語素的無窮追溯能夠給我們帶來最客觀的事物本質，但在規范意義的立場上，這種做法既無必要也無意義。

規范論的視角不等同于事實本質的視角，規范視角下的詞匯意義是經過主觀價值調整的意義，與客觀的事物本質并不相同。以“信息”為例，在事實本質視角下，香農的信息論理論是現代信息理論的基石，他從概率論的角度對信息進行明確的定義，但這并不符合規范視角下社會公眾認為的信息。因此在本文中對于語素追溯的方向應從規范論的視角下進行，需要追溯到與目標詞匯直接鏈接的詞匯（一度詞匯）的規范意義，而二度詞匯會因為意義的喪失程度過高而無助于目標詞匯的意義形成。因此，回歸到本文對于“個人金融信息”內核確定的實踐上，需追溯到“個人信息”的規范意義，然后通過引申確定“個人金融信息”的規范意義。至于為何不從“金融信息”入手，這是因為在規范意義的研究體量上，個人信息比金融信息資料更為準確翔實。

在我國規范視角下，關于“個人信息”的規范概念，2017年兩高司法解釋中首次予以明確，即“公民個人信息”是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等[2]。“個人金融信息”是“個人信息”的子類概念，“個人金融信息”的特殊性在于其是自然人從事金融活動中所產生的個人信息[3]。在目前我國的相關文件中認為，個人金融信息是指金融機構通過開展業務或者其他渠道獲取、加工和保存的個人信息，包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息。

3.2 外延的確定

盡管官方對個人金融信息給出了較為明確的定義，但這也僅僅是從規范視角下的一個角度對于“個人金融信息”進行描述，并不能對“個人金融信息”的所有類型進行準確定位。因此，即使在官方解釋出臺的多年之后，仍有學者結合“兩高司法解釋”關于“個人信息”的定義，對“個人金融信息”的概念進行定義。其認為“個人金融信息”是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人從事金融活動情況的各種信息。姑且不論該定義是否更具有解釋力，但這至少指向了一個事實——如果不能將個人金融數據的類型窮舉，是無法準確找到“個人金融信息”的意義邊界的，也就無法確定哪一種定義是更恰當的。這也揭示了下一步的工作：通過窮舉不同規范視域下個人金融信息的實踐類型以確定“個人金融信息”的概念外延。

（1）中國

“個人金融信息”的概念首次出現在《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》(銀發〔2011〕17號)。該文件將個人金融信息定義為金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息[4]。2020年2月發布的《個人金融信息保護技術規范》中對于“個人金融信息”概念的定義也與之一致，包括個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息[5]。2020年9月《中國人民銀行金融消費者權益保護實施辦法》發布，其中消費者金融信息的定義是銀行、支付機構通過開展業務或者其他合法渠道處理的消費者信息，包括個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產品或者服務相關的信息[6]。這對“個人金融信息”的概念進行了拓展。根據相關學者的統計，“個人金融信息”的類型包括：（1）有關賬戶的信息，包括賬戶上所存款項、資金數額、收支情況、資金來源和去向、賬戶記錄、信用卡的情況；（2）有關客戶交易的信息，包括交易標的、種類、性質、內容、價格、當事人、時間等；（3）銀行因保管客戶的賬戶而獲得的與客戶有關的任何信息[7]。

（2）歐盟

2018年5月，歐盟發布的《通用數據保護條例》（GDPR）是目前關于個人信息保護最為嚴格和完整的一部法律，其以可識別性為標準定義了個人信息的進入門檻。在GDPR中，其認為個人金融信息是指與個人財產、財務活動、金融交易相關的各類信息。在信息種類上，GDPR介紹的個人金融信息類型非常細化。在保護力度上，GDPR未將個人金融信息（財務數據）納入敏感數據的范圍進行最嚴格的保護，但歐盟法律將金融信息同電子通信信息、就業信息、醫療信息和用于研究統計的信息一起，規定為“特殊種類信息”。特殊種類信息的處理需要經信息主體的明確同意，并適用于特殊的保護規則[8]。

（3）美國

美國1978年頒布的《金融隱私權法》，在法律層面將個人金融信息確定為隱私權范疇，后續的相關立法主要從金融隱私權（Financial Privacy）保護的角度出發。按照1999年出臺的《金融服務現代化法案》中的定義，金融隱私權保護主要指對金融消費者非公開個人信息（NPI）的保護。NPI是金融機構收集的有關其客戶的任何“可識別到個人的金融信息”，除非該信息是“公開可用的”并有其他獲取渠道。NPI包括個人為獲得金融產品或服務向金融機構提供的任何信息（例如姓名、地址、收入、社會安全號碼等）、個人金融交易信息（例如賬號、付款記錄、貸款或存款余額以及信用額度等）、金融機構通過其他渠道獲得的客戶個人信息（例如來自法院記錄或消費者報告的信息），不包括金融機構可以公開合法地獲取的個人信息（例如聯邦或者州法律要求公開的信息）[3]。

3.3 內容的變動分析

雖然上文分析了規范視角下的個人金融信息的內在特征（內涵）和表現形式（外延），但這并不能構成對于個人金融信息的全部意義。個人金融信息并不是由內核和邊界兩部分構成的僵硬機械結構，而是在規范場域下內核和邊界交流互動的動態體系。經過細致的對比分析可以發現，我國的個人金融信息和歐盟、美國的類型并不完全重疊，從歐盟的個人金融信息的范圍以“指向性”為基礎，涵蓋了個人在從事金融活動中所產生的所有個人金融信息；相對于歐盟規定復雜覆蓋面廣，美國規定簡練聚焦重點，結合抽象定義與不完全列舉兩種方式，一方面通過抽象定義對個人信息的管轄范圍劃定邊界，另一方面通過具體列舉為企業提供了相對明確的判定指引[9]。而目前我國個人金融信息僅限于金融機構的范圍[3]。不同規范域下的個人金融信息不僅在內容定義上存在差別，在權利類型上也存在較大差異。在歐盟GDPR賦予個人對個人金融信息的知情權、訪問權、糾錯更正權、反對權、投訴權、刪除/被遺忘權、數據可攜帶權、反對非法畫像的權利等權利。而我國只賦予了個人同意權、知情權、異議糾錯權、投訴權、司法救濟權等權利[10]。

上述個人金融信息的內容差異顯示了各規范域對信息產業發展的態度，各規范領域都在依據自身的信息技術能力采取不同的“數據權利保護和數據自由流通的平衡模式”，以促進自身信息產業發展的利益最大化。美國以其強大的信息技術能力為后盾，利用信息技術領域的技術標準制定權為核心優勢，通過長臂管轄規則對其他規范域進行控制，以CCPA(《加利福尼亞州消費者隱私法案》)和CLOUD（《澄清域外合法使用數據法》）為例，采取“自由式市場+強監管”為基礎的模式，極力促進“數據自由流通”一方，謀求自身數字經濟的發展。歐盟因信息技術產業相對落后，只能以其為廣闊的信息消費市場作為利益制衡點，通過GDPR(《通用數據保護條例》)選擇以“數據基本權利”為基礎的發展模式，以維護公民的數據基本權利為內容來爭奪在信息技術產業中的話語權[9]。中國與美國類似，其信息產業規模和技術能力的強大促使其在國際上擁有信息流通規則和技術標準的制定權，故中國采取“數據主權+精細監管”的數字經濟促進模式，但囿于立法技術及擔憂阻礙產業發展，故在立法上對以個人金融信息為代表的個人信息的內容采用狹義界定模式。

4 結束語

本文通過文義解釋、擴張解釋、規范適用等方法確定了個人金融信息的內涵和外延，并比較了中國、歐盟和美國對個人金融信息的定義。本文旨在厘清個人金融信息的概念，這是保護的第一步，同時明確保護范圍，也是保護個人金融信息的關鍵。

[1]美國財政部貨幣監理署官員霍克（John Hawke）在國會聽證會時所言：“整個金融服務業領域就是個信息導向的企業，以信息交換方式提供有利于消費者和金融機構是重要的市場功能，可以促進信用卡、投資保險或其他的金融交易”.

[2]最高人民法院，最高人民檢察院.關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋[Z]. 2017.

[3]張慧卿，倪海鷺，高道遠.我國個人金融信息保護立法研究[J].金融縱橫，2019.

[4]中國人民銀行.中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知[Z]. 2011.

[5]中國人民銀行.個人金融信息保護技術規范[Z].2020.

[6]中國人民銀行.中國人民銀行金融消費者權益保護實施辦法[Z].2020.

[7]許可.個人金融信息的三重法律保護[J].中國銀行業，2019.

[8]the general data protection regulation what financial institutions need to know.[EB/OL].http://www.ll.mit.edu/ideval/data/2000data.html. https://www.slaughterandmay.com/media/2535649/the-general-data-protection-regulation-what-financial-institutions-need-to-know.pdf.

[9]何淵：中國數據立法，該參考歐盟模式還是美國模式？[EB/OL].http://m.thepaper.cn/kuaibao_detail.jsp?contid=5410417&from=kuaibao.

[10]文舒.歐盟個人金融信息保護立法經驗及啟示[J].金融縱橫，2019.