個人金融信息保護與信息可攜權研究

魏炳華

（中國人民銀行朔州市中心支行，山西 朔州 036002）

一、我國個人金融信息保護現狀

（一）我國個人金融信息保護立法現狀

目前，在我國還沒有發布特定的法律條文以保護個人的金融信息，相關規定散見于各項有關法律、法規、行政規章和規范性文件當中，如相關法律有《民法典》《商業銀行法》《證券法》《保險法》《反洗錢法》《刑法》《中華人民共和國網絡安全法》《消費者權益保護法》；行政規章有《征信業管理條例》《個人信用信息基礎信息庫管理暫行辦法》《中國人民銀行金融消費者權益保護實施辦法》；規范性文件有2015年國務院辦公廳印發的《關于加強金融消費者權益保護工作的指導意見》、2013年原銀監會印發的《銀行業消費者權益保護工作指引》、2017年原銀監會印發的《網絡借貸資金存管業務指引》等。這些法律法規文件從不同層面規定了對金融消費者個人信息保護的要求，但不能滿足系統法律的要求。

（二）我國個人金融信息保護技術規范

2020年2月，人總行正式發布《個人金融信息保護技術規范》（以下簡稱《規范》）金融行業標準，該標準對個人金融信息的收集、存儲、使用、傳播、刪除、銷毀等環節，從安全技術和安全管理兩個方面出發，提出規范性要求。按信息的敏感程度進行劃分，個人金融信息可以分為C3、C2、C1三類。其中，C3為用戶鑒別信息，敏感度、要求最高，在對C3類信息進行未經授權查看或變更的操作下，會使得個人金融信息主體的財產與信息安全產生嚴重威脅；C2信息的作用為對特定個人金融信息主體身份與金融狀況進行識別，敏感度居中，在對C2類信息進行未經授權的操作下，會使得個人金融信息主體的財產與信息安全產生一定的威脅；C1為可識別特定個人金融信息主體身份與金融狀況的個人金融信息，敏感度最低，當C1類信息遭到未經授權的查看或變更時，會對個人金融信息主體的信息安全與財產安全造成一定危害。該《規范》的出臺加強了個人金融信息安全管理，保障了個人金融信息主體合法權益，維護了金融市場穩定。

（三）我國個人金融信息保護不足之處

我國個人金融信息保護不論是相關法律法規，還是技術規范，基本是從信息控制者方面進行約束、規范、處罰，而對個人金融信息主體（個人金融信息所標識的自然人）所享有對個人金融信息控制的權利，如信息可攜權、信息遺忘權、信息訪問權等權利很少有相關規定或標準，存在不足。

二、信息可攜權概念

2012年，歐盟委員會信息保護改革草案中提出信息可攜權，并于2016年4月通過的《一般數據保護條例》 （GDPR）中予以確定。GDPR中信息可攜權是歐盟數據保護改革中的重點之一，規定信息主體有權獲得其提供給控制者的相關個人信息，且其獲得個人信息應當是經過整理的、普遍使用的和機器可讀的，信息主體有權無障礙地將此類信息從其提供給的控制者傳輸給另一個控制者。

三、信息可攜權內容

（一）信息可攜權主體

信息可攜權的權利主體只有自然人，不包含法人及其他組織。GDPR自然人定義為：已被識別的自然人，或者可通過定位信息、姓名、身份證號、網絡標記以及特定的身體、基因、心理、經濟、文化等識別符進行直接或間接識別的自然人。義務主體指信息控制者。信息控制者即單獨或者與他人共同確定個人信息處理目的和方式的自然人、公共權力機關、代理機構等。

（二）信息可攜權的客體

信息可攜權的客體代表信息主體提供的個人信息。GDPR第三條定義說明“定位信息、身份證、網絡標記以及身體、心理、經濟、文化、社會身份、精神狀態等特征”從屬個人信息。根據 GDPR第20條規定，包含在信息可攜權范圍內的信息需要滿足雙重條件：首先信息主體提供的；其次與信息主體有關的。下面兩種可以被認為是“由信息主體提供”：一是信息主體主動供給的信息，例如通訊單位、地址、賬號、年齡等；二是信息主體基于因特網服務或在線設備使用時生成的觀測信息，例如，關于信息主體的網頁瀏覽記錄、個人的上網本地終端緩存 cookies、遠程服務器上的網絡交通信息、服務日志信息、位置信息或其他原始信息。

（三）信息可攜權的特征

GDPR第20條進行了相應規定：信息可攜權的特征主要包括兩方面，一是副本獲取權的權利特征，二是信息轉移權的權利特征，從而形成雙重權利特征。

1.副本獲取權

副本獲取權代表信息主體接收的有關其個人信息的子集并將這些信息儲存以供其進一步利用的權利。這里的儲存代表信息主體可以將信息存儲在私有設備或私有云上，而無需將信息傳輸到另一個信息控制者。但前提技術條件是這些信息應以通用化、可讀格式接收。信息可攜權為信息主體管理與再利用自身個人信息提供了更便利的途徑，這也是其特點之一。根據GDPR第13條第2款b項的規定，信息控制者在獲得個人信息的同時，必須告知信息主體新的信息可攜權的存在。根據GDPR第14條第2款c項，當信息控制者不是從信息主體處獲得個人信息時，則信息控制者必須在獲得個人信息的合理期間內（不超一個月）告知信息主體其享有信息可攜權，同時此處的合理期間最晚不能超過向第三方披露這些個人信息或與信息主體通信的時間。

2.信息轉移權

信息轉移權指信息主體能夠不受限制地把個人信息從一方信息控制者處傳輸到另一方信息控制主體處的權利，且該情形下一些可行的技術條件應當被提供用于支持。所以，為了能使用戶無縫地實現平臺間信息傳輸，GDPR 鼓勵信息控制者開發與創造信息可攜權的可互操作的格式，禁止信息控制者對信息傳輸設置壁壘。傳輸信息的格式是信息控制者需要特別關注的地方，這可以保證信息主體或其他信息控制者能夠便捷地實現信息再利用。信息可攜權在這一層次的內涵使得信息主體不僅能夠獲取并多次利用其信息，還能將其信息傳輸給其他服務的提供者，這些提供者可處于同一服務提供商的部門或者不同跨提供商內部。信息可攜權有助于推動個人信息在金融與數字信息服務之間進行傳輸與多次利用，以推動組織與組織間個人金融信息的有限共享與控制，在保障安全的前提下增值服務、提升客戶的體驗感。

（四）信息可攜權限制

GDPR第20條規定了信息可攜權行使的前提條件：一是必須在“信息主體同意”的基礎上，或者是 “履行合同所必需”而處理的個人信息，這一點再第六條或第九條中有所體現；二是個人信息的處置要求是通過計算機自動化手段所進行的。數據保護條例的第六條也提出了合法進行個人信息處理的六項基礎，包括為履行法定義務、為保護公共利益等進行信息處理。第九條第二款第一項闡明，在信息主體給予授權的前提下，信息控制者方有權利進行關于反映民族起源、宗教信仰、生物特征信息、基因信息、性取向等敏感信息的處理。從而，在適用的領域上，行使信息可攜權，需要是在“信息主體本人同意”或者“為履行合同所必需”的前提下，對個人信息進行處理，不包括第六條中的合法進行個人信息處理六項基礎。在信息處理的方式上，只針對通過自動化方式處置的信息，而不包括人工處理的信息。

（五）信息可攜權產生的影響

1.對信息主體的影響

數據保護條例第20條提出，信息可攜權的主體為所有基于自動化手段處理個人信息的信息控制者。比如對于云存儲服務的使用者所上傳的資料，通過行使信息可攜權，服務使用者可以將其信息資料無縫移動到競爭的云存儲服務，而無需先將這些資料下載到本地設備，而后再上傳至新的云服務，這無疑極大地方便了信息主體對其信息的控制，同時信息控制者與個人間的關系也將被改變。通過諸如直接下載工具等媒介，個人能夠實現信息的跨平臺管理。

2.對信息控制者的影響

行使信息可攜權，就要求信息控制者構建 “導出——導入”系統，使得來自信息主體或其他信息控制者的信息能夠被輕松“導入”，同時能把自身處理的信息“導出”到其他服務或設施。這種“導出——導入” 的過程既可以通過手動的方式實現，也可以基于自動化方式實現，從而以某種手段處理信息主體的信息可攜權請求。另外，遵守信息可攜權的在線請求可能會提升計算的時間復雜度，并且將提高系統的建設運營成本，從而給信息控制者帶來一定的成本提升。同時，信息可攜權使得信息主體與信息控制者之間的關系發生變化，因此其還可能促進信息控制者之間產生競爭。例如用戶廣泛使用的平臺會接收所有個人信息。而根據要求，其他服務提供商有義務將信息傳輸給競爭對手，并可以要求競爭者將收集的個人信息進行刪除，從而加劇信息控制者間競爭。

四、信息可攜權對我國個人金融信息保護立法啟示

（一）我國關于“信息可攜權”探索實踐

2017年3月，全國人大代表、全國人大常委等在兩會提交《關于制定〈中華人民共和國個人信息保護法〉的議案》和《中華人民共和國個人信息保護法（草案） 》。其中第二章給出了完整的個人信息保護權力辦法，其中第十六條則是關于信息可攜權的規定，規定具體與 GDPR 信息可攜權的內容基本一致。草案中只對信息可攜權進行了簡單介紹，并沒有規定權利實施的主客體與內容，但這已經是我國在個人信息保護權利立法方面的重要舉措。2018年5月1日生效的國家標準《信息技術安全 個人信息安全規范》中雖未使用信息可攜權的概念，但7.9 條中有“個人信息主體獲取個人信息副本”的規定。2020年5月召開第十三屆全國人大次會議，審議通過了中國首部《民法典》，其中第四編“人格權”中第六章“隱私權和個人信息保護”中規定“自然人可以依法向信息處理者依法查閱或者復制個人信息；發現信息有錯誤的，有權提出異議并請求及時采取更正等必要措施……”《民法典》這一編中并未提及個人信息可攜權，但在將來的司法解釋對“復制個人信息”這一點可以就復制個人信息的范圍，手段、途徑，復制個人信息是否與獲取個人信息副本相通，再如個人信息主體通過網絡手段復制個人信息后能否轉移給另一個信息控制者做出解釋。

（二）個人金融信息保護立法引入“信息可攜權”應符合國情

央行于2020年11月1日出臺實施的《中國人民銀行金融消費者權益保護實施辦法》未對金融信息可攜權做出規定。將信息從一個控制者完全刪除并轉移到另一個控制者，對技術標準的要求較高，尤其是當兩個控制者所屬不同國家時更是如此。信息可攜權的權利要求信息控制者能夠提供并轉移其管理的個人信息，對于中小企業（如城商行、村鎮銀行）而言，這將是一筆龐大的開支。從而，對于中國的金融信息開展的保護立法工作，直接照搬歐盟的條文是行不通的，而應對國外的經驗進行轉化與重構，從我國現實情況出發，合理適當地引入歐盟的信息可攜權。