我國銀行業個人金融信息保護機制構建研究

金 朗

（浙江金融職業學院馬克思主義學院，浙江 杭州 310018）

近年來，金融機構基于業務活動需要收集和處理個人信息，實現風險控制、產品設計和精準營銷，通過大數據賦能，給行業和個人生活帶來便利。但隨著過度收集、信息泄露、隱私侵權等風險事件的增多，從監管層面，無論是中央還是地方，都相應加大了對侵害數據安全和個人信息權益行為的懲治力度。商業銀行應當對個人信息保護問題給予充分重視，方能實現信息利用和保護間的平衡。

一、個人金融信息的內涵與外延

個人金融信息作為個人信息的子概念，源于英美法中銀行對客戶金融隱私權的保護。在現行規范性法律文件中，這一概念最早可追溯至2011年《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》。在該文件中，“個人金融信息”被定義為：銀行業金融機構開展業務或通過接入人民銀行征信、支付以及其他系統時獲取、加工和保存的個人信息；具體分為：個人身份信息、財產信息、賬戶信息、信用信息、金融交易信息、衍生信息和其他信息等。

此后，在2016年《中國人民銀行金融消費者權益保護實施辦法》（以下簡稱為《實施辦法》）中，“個人金融信息”被定義為：金融機構通過開展業務或其他渠道獲取、加工和保存的個人信息；在其具體分類上刪除了“衍生信息”。該文件于2020年被廢止，由新的《實施辦法》取代，后者雖使用“消費者金融信息”的提法，但表述與之前并無實質差別。而在2020年2月中國人民銀行發布的《個人金融信息保護技術規范》中，基本沿襲了上述概念，但刪除了“信用信息”、增加了“鑒別信息”和“借貸信息”。

從規范視角，《中華人民共和國民法典》（以下簡稱《民法典》）所定義的“個人信息”①《民法典》第一千零三十四條，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息。包含雙層構成要素：實質要素強調可識別性，形式要素強調記錄形態和記錄的可獲取性。個人金融信息作為個人信息在金融領域的擴展與細化，亦可表述為：金融機構通過業務活動或其他渠道獲取、加工和保存的以電子或其他方式記錄的能夠單獨或與其他信息結合識別特定自然人的信息。此外，從文義解釋角度，因現有規范性法律文件并不能對“個人金融信息”的所有類型進行精準定位，故而立法者亦嘗試通過類型列舉和兜底條款來設置概念邊界。

二、個人金融信息保護現狀

（一）個人金融信息保護立法現狀

個人金融信息作為個人信息的子類概念，要先受個人信息保護法律、法規、規章等規范性法律文件的約束。我國涉及金融數據安全與個人信息保護的主要規范性文件包括：

1.法律：《中華人民共和國民法典》《中華人民共和國刑法修正案（七）》《中華人民共和國刑法修正案（九）》《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國消費者權益保護法》《中華人民共和國反洗錢法》。

2.行政法規：《征信業管理條例》《個人存款賬戶實名制規定》。

3.部門規章：《中國人民銀行金融消費者權益保護實施辦法》《商業銀行互聯網貸款管理暫行辦法》《電信和互聯網用戶個人信息保護規定》《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《個人信用信息基礎數據庫管理暫行辦法》《人民幣銀行結算賬戶管理》《金融消費者權益保護實施辦法》。

4.部門規范性文件：《金融信息服務管理規定》《銀行業金融機構數據治理指引》《銀行業消費者權益保護工作指引》《APP違法違規收集使用個人信息行為認定方法》等。

5.國家及行業標準：《金融數據安全數據安全分級指南》（JR/T0197-2020）、《個人金融信息保護技術規范》（JR/T0171-2020）、《金融數據安全數據生命周期安全規范》（JR/T0223-2021）、《商業銀行應用程序接口安全管理規范》（JR/T0185-2020）、《移動金融客戶端應用軟件安全管理規范》（JR/T0092-2019）等。

而繼《民法典》在民事基本法層面規定了個人信息定義、個人信息處理原則、信息主體知情同意權、查閱復制權、更正權和刪除權等內容后，聚焦數據安全的《中華人民共和國數據安全法》也已通過，今年9月1日起施行。但目前有關個人信息保護的專門法律《中華人民共和國個人信息保護法》尚在征求意見中，涉及個人金融信息保護的具體規定分散于不同效力級別文件的零星條款，且多為原則性規定。

目前為止，除《民法典》外，對個人金融信息保護規定最為詳盡的是2020年2月開始施行的《個人金融信息保護技術規范》，該規范將個人金融信息按照敏感程度以及泄露后將造成的危害，由高到低分為三個類別；同時，還從安全技術和安全管理角度，具體規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各個流程的保護要求。在《個人信息保護法》尚未正式出臺前，此類國家標準發揮了重要作用，但主要是推薦性國家標準，不具有強制性；而實踐中，其仍有可能成為監管部門開展執法活動的依據，故而對金融企業活動仍有較強指導意義。［1］

（二）個人金融信息保護執法現狀

自2019年以來，在中央和地方層面通過專項治理活動，打擊危害數據安全和侵犯公民個人信息的行為，相關執法活動主要由人民銀行、工信部門、網信部門、公安部門以及市場監督管理部門等組織實施。

人民銀行執法活動的主要依據是《反洗錢法》和《中國人民銀行金融消費者權益保護實施辦法》等，活動具體包括：對金融機構反洗錢信息保密制度執行情況的監管，對金融機構超出必要限度收集、使用與非法存儲，甚至泄露消費者金融信息行為的查處等。而根據《中國個人金融信息保護執法白皮書2020》的統計，截至2020年10月25日，中國人民銀行及其分支機構當年涉及“個人金融信息”的行政處罰數量共計181件，合計處罰金額超過了1.8億元，處罰事項主要為：未按規定保存客戶身份資料和交易記錄、未經授權查詢個人金融信息和侵害消費者個人信息依法得到保護的權利等。

公安部門在個人信息保護執法活動中的行政處罰權主要源于《網絡安全法》①第六十三條、第六十四條、第六十七條、第七十五條。的規定，執法工作具體包括對貸款類電信網絡詐騙犯罪、侵犯公民個人信息的違法犯罪活動的打擊，以及針對APP違法違規采集使用個人信息的專項整治。國家市場監督管理總局也依據《消費者權益保護法》，聚焦違法行為高發行業和領域，打擊侵害消費者個人信息違法行為。工業和信息化部依據《網絡安全法》《電信條例》和《電信和互聯網用戶個人信息保護規定》等，通報侵害用戶權益行為APP，限期整改，依法處置。

此外，以上各部門也經常協作，采用聯合執法的形式開展工作。雖然不同部門各有權限，執法對象也各有側重，但執法中仍會遇到問題。如多頭管理，不同部門可能會就同一事項重復檢查卻標準不一，額外增加金融機構負擔；在發生個人金融信息泄露或者被侵害事件后，消費者也可能遇到推諉執法的情形，導致效率低下。

（三）個人金融信息保護司法現狀

在中國裁判文書網以“銀行”“個人信息”等為關鍵詞，檢索獲得的民事裁判文書中，具體糾紛類型包括：他人冒領信用卡逾期導致個人產生不良征信信息、銀行報送錯誤征信信息導致個人信用受損、銀行違規查詢個人信用報告等。案由分布于銀行卡糾紛、侵權責任糾紛、人格權糾紛、名譽權糾紛、隱私權、個人信息保護糾紛。法律依據主要是原《侵權責任法》第二條、第六條、第十五條、第二十二條，《征信業管理條例》第二十五條、第二十六條等。責任承擔形式主要包括：更正、消除征信不良記錄、賠償損失、書面道歉、恢復原狀、消除影響等。

《民法典》雖明確了個人信息與隱私權的邊界，將個人信息中的私密信息劃歸隱私權保護范疇，但實踐中由于個人金融信息類型多樣，案由分布也呈多樣化。雖然隨著公眾個人信息保護意識的增強，此類糾紛數量逐年增多。但目前仍集中于“信用信息”被侵犯的情形，且絕大部分在出現直接經濟損失的情況下，信息主體才會通過訴訟解決。

《刑法》中有關個人信息保護的罪名主要包括：侵犯公民個人信息罪、幫助信息網絡犯罪活動罪、拒不履行信息網絡安全管理義務罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪、非法利用信息網絡罪等。以相關案由檢索中國裁判文書網，截至2021年6月25日，涉及以上罪名的已公布一審判決書數量最多的為幫助信息網絡犯罪活動罪，合計8520件，其次是侵犯公民個人信息罪，合計7804件。其中，幫助信息網絡犯罪活動罪近年數量激增，僅2021年公布一審判決書已達5514件，最主要原因是相關部門在打擊治理電信網絡新型違法犯罪中加大了對提供互聯網接入、服務器托管、網絡存儲等技術支持，以及支付結算、廣告推廣等幫助行為的懲處力度。而侵犯公民個人信息罪對于保護個人金融信息具備很強針對性，已公布的裁判文書中包含大量出售或非法提供個人金融信息的案例，亦有銀行工作人員涉案。［2］

三、大數據時代個人金融信息保護機制的建構

（一）個人金融信息保護法的轉型升級

《民法典》明確了“個人信息”的定義，確立了個人信息保護的一般規則以及信息主體的基本權利；而未來《個人信息保護法》若得以通過和實施，將進一步擴充個人信息保護規則。高位階法律規范從頂層設計角度已給予個人金融信息保護價值導向，未來低位階規范除繼續關注個人金融信息的應用場景、技術要求及各方主體現實利益外，亦應逐步轉型升級：從單純的隱私權保護向個人信息生命周期全方位保護角度轉化，從單純強調保密向保護與利用并重，從停留在事前保護向事中和事后延伸，以促進信息保護與流動及以此為基礎的數字經濟發展之間的平衡。而在具體實踐中，亦可通過司法解釋或典型案例，嘗試引入舉證責任倒置規則，削弱技術和地位不對等的情況下，主體在個人金融信息權益受損時的舉證難度。此外，可參考《消費者權益保護法》第五十五條，經營者提供商品或服務有欺詐行為時的法定賠償金規則，在個人出現金融信息被泄露、非法使用而實際損失難以證明時，適用最低法定賠償金標準。目前涉及個人金融信息保護的低位階規范主要是推薦性國家標準，未來也可將其中部分重要規則吸收升級為強制性國家標準或者規章，以促進個人金融信息的保護與利用。

（二）金融機構信息合規體系的建設運行

銀行業金融機構應當依據《金融消費者權益保護實施辦法》《個人金融信息保護技術規范》《金融數據安全數據生命周期安全規范》等規范性文件具體要求，全面建設金融信息處理合規體系。

1.建立個人金融信息保護評估制度

立足個人金融信息生命周期全過程，建立安全影響評估制度，檢查處理活動的合法合規程度，判斷對主體合法權益可能造成的損害與風險，以及保護措施的有效性，每年至少評估一次。

2.建立個人金融信息保護內控制度

個人金融信息保護內控制度具體應包括：（1）明確內部個人金融信息保護責任部門及責任人、制定信息保護基本制度、設置崗位、統籌事務管理；（2）制定包括但不限于個人金融信息分類、分級、授權、脫敏管理等內容的具體規則；（3）充分審查、評估外包服務供應商的資質，通過協議明確其職責和義務，并采取必要措施監督其履行；（4）建立個人金融信息安全事件應急處置機制、個人金融信息投訴處理機制等。

四、增強金融消費者安全意識與理性

金融消費者在享受金融服務的過程中，對于產品和服務定價存在認識誤區，忽視“無成本”服務或產品實質為個體讓渡部分權利而獲得的對價。個體應理性分析自身與金融機構的法律關系，正視在金融活動中將要承擔的風險、成本和責任；妥善保管身份證件、賬戶等，不向他人透露個人信息、財產狀況，盡量親自辦理業務，并及時銷毀作廢金融單據，不斷提高風險防控能力。