個人金融賬戶信息的法律界定

作者簡介："尹華容（1973—），男，湖南洞口人，博士，湘潭大學法學院副教授，碩士生導師，研究方向：行政法學。

摘"要：《個人信息保護法》將金融賬戶信息納入敏感個人信息的范圍，但未作出明確的界定。界定標準的不明確將導致權利主體權益易損、義務主體責任不明、司法裁判依據不清。考察域外立法例，同時結合我國有關立法現狀和實踐，宜采取“定義+列舉+排除”的界定模式，以“信息主體”“信息性質”和“信息處理”為定義的考量因素，從立法、實踐的綜合角度進行列舉，并排除通過間接識別才能確認的金融賬戶信息。基于此，我國出臺“金融賬戶信息”的司法解釋可側重四個方面，以實現個人信息的保護和社會信息利用的動態平衡。

關鍵詞： 個人信息保護法;金融賬戶;個人金融信息;敏感個人信息

中圖分類號：DF438；G2""文獻標識碼："A""""文章編號：1003.7217（2024）03.0154.07

一、引"言

2021年11月1日起，《中華人民共和國個人信息保護法》（以下簡稱《個保法》）正式施行，其中第二章第二節規定了敏感個人信息的處理規則，引起學界的普遍關注，這也是我國首次在法律層面對敏感個人信息進行界定。《個保法》將“金融賬戶”納入敏感個人信息，金融賬戶與信息主體的經濟、財產關系密切，一旦泄露、濫用，對信息主體將會造成嚴重的損害。相關數據統計報告顯示，2022年我國境內政府部門和金融貿易行業所遭受的高級持續性威脅（advanced persistent threat，APT）占比高達43%，其中全球金融商貿所遭受的APT達8%，我國境內金融商貿行業的ATP活動占比達14%，為我國境內受影響行業排名第二①。有關APT組織意圖竊取銀行、風投公司等金融機構的敏感信息，從而獲取大量非法經濟利益。

《個保法》雖有規定“金融賬戶”，但缺乏對其具體界定，實踐中出現一系列問題亟待解決：信息權利主體認識權益邊界不清晰，產生更高的致害風險；信息義務主體理解規范不準確，導致瑕疵的義務履行后果；裁判機構缺乏具體指引，影響案件審理的公正性、權威性。

在《個保法》發布以前，就金融賬戶信息而言，有關的規定散見于各類標準和規范之中，其中雖提出“個人金融信息”或“銀行賬戶”“金融賬戶”等概念，但都存在一些問題：在適用范圍上有限、界定模糊或者未界定、界定形式和內容多而雜亂。這意味著裁判機構可能在對“金融賬戶”進行認定時缺乏明確的法律依據。《個保法》頒布以后，學界對個人金融信息、金融賬戶信息的內涵與外延展開了激烈的討論，不斷做出探索，但現有研究未系統界定金融賬戶信息，多為論證個人金融信息的相關內容，對《個保法》第28條敏感個人信息中“金融賬戶”的內容針對性不強。伴隨著大數據時代的興起，支付App、互聯網銀行等新金融業態不斷涌現，個人金融賬戶信息受到侵害的風險也不斷增加。有必要對金融賬戶信息進行合理、明確界定，確定其保護范圍，從而為有關裁判機構在處理案件時提供指引，準確調取金融賬戶信息的法定范圍，并對信息義務主體服務機制進行嚴格管控，預防冤假錯案的發生；幫助解決信息主體與信息處理者之間的信息不平等問題，降低信息主體在金融法律關系中面臨的風險；信息義務主體能夠以此制定明確的服務規范，更好地保護信息主體的財產安全，平衡多方利益。為此，本文試圖通過梳理我國現有的“金融賬戶信息”及類似概念之界定，考察美國、歐洲地區、澳大利亞等相關立法例，為我國科學界定“金融賬戶信息”提供參考。

二、界定現狀及界定不明導致的問題

個人金融賬戶信息承載著個人金融經濟活動的記錄，是信息主體管理自身金融財產、進行金融交易活動的重要保障。我國法律規范中多為對個人金融信息的規定，且不同規范間概念不統一，保護的范圍也有所區別。

（一）我國個人金融賬戶信息的界定現狀

我國法律及司法解釋均未界定金融賬戶信息。法律層面，《中華人民共和國民法典》（以下簡稱《民法典》）第1034條規定了個人信息范圍，但“金融賬戶”并未納入其中。《個保法》第28條將“金融賬戶”納入敏感個人信息，但缺乏具體的界定。在司法解釋層面，2017年發布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）規定的公民個人信息雖包含“賬號密碼”“財產狀況”，但并不能將其推導視為“金融賬戶”，因此，《解釋》也未對金融賬戶信息作出規定[1]。

“個人金融信息”“個人賬戶信息”“金融賬戶信息”等概念散見于行政法規、部門規章、相關標準和規范性文件中，其中“個人金融信息”多有涉及。

2013年，中國人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》對個人金融信息進行了分類，但僅列舉了賬戶信息內容。2017年，《非居民金融賬戶涉稅信息盡職調查管理辦法》（以下簡稱《管理辦法》）中，只是對一些賬戶做出定義和列舉。2020年，《信息安全技術個人信息安全規范》（以下簡稱《安全規范》）在關于個人敏感信息的規定中，包含了銀行賬戶、個人財產信息，其指出個人財產信息又包括銀行賬戶、交易和消費記錄、虛擬財產等，未對“金融賬戶”概念單獨作出界定。《個人金融信息保護技術規范》（以下簡稱《技術規范》）和《中國人民銀行金融消費者權益保護實施辦法》（以下簡稱《實施辦法》）同為2020年出臺，兩者均對個人金融信息進行了定義。《技術規范》對個人金融信息進行了敏感層級分類，并將賬戶信息作為個人金融信息的一部分對其進行界定，但賬戶信息在不同敏感層級中均有表述，從而使得界定缺乏針對性；《實施辦法》規定賬戶類信息屬于消費者金融信息，未進一步作出界定。2023年，全國信息安全標準化技術委員會發布的《信息安全技術敏感個人信息處理安全要求》征求意見稿（以下簡稱《安全要求》）中對金融賬戶信息作出了初步界定，認為金融賬戶信息為與賬戶和交易相關的信息，該界定仍過于模糊，無法確定金融賬戶信息的保護范圍。

（二）界定不明導致的問題

由于我國法律及司法解釋均未界定金融賬戶信息，相關標準和規范性文件更多的是對其上位概念“個人金融信息”作出界定，因此，裁判機構在法律適用以及有關主體履行義務時面臨困境。

金融賬戶信息無明確界定，使我國司法在案件的處理上對與財產、賬戶有關的信息認定不具備統一標準。如在某民事糾紛案中，法院依據《個保法》認為銀行流水屬于敏感金融信息，而《個保法》關于敏感個人信息明確規定為“金融賬戶”，法院未對認定的金融信息作出相應解釋。在某刑事案件中，法院將銀行存款、理財產品明確歸為金融賬戶信息。此外，還有其他不同領域的案件，法院對其金融賬戶信息的認定標準無具體論證，對與財產、賬戶等具有關聯性的信息直接歸類于金融信息或者直接以金融信息表述，這種認定亂象產生的原因在于《個保法》雖然對金融賬戶信息有所提及，但未作出明確界定，使得法官在認定金融賬戶信息時自由裁判的空間過大，這明顯不利于保護信息主體的權益。

明確金融賬戶信息內涵與外延對義務主體及時、正確履行義務起到重要的指引作用。《個保法》中規定了“知情同意”的義務，要求義務主體在處理個人敏感信息時應當取得個人的明確同意，并且要告知其對處理敏感信息的方式、范圍和目的，在涉及個人財產有關的情況中，應通過隱私政策來征得信息主體的同意[2]"。如果信息的定義、范圍和種類缺失，“知情同意”義務的履行就會失去明確的指引。實踐中，互聯網企業于《個保法》生效后陸續更新了企業隱私政策，在金融賬戶信息界定缺失的情況下，這些互聯網企業考慮到自身業務的特殊性以及所要面臨的法律風險，在各自隱私規定的內容上存在著差異。如，支付寶《隱私權政策》將銀行賬戶信息和銀行預留手機號歸為敏感個人信息；美團《美團外賣隱私政策》將個人財產信息，包括銀行賬號、消費和交易記錄、信貸記錄及虛擬財產信息歸為敏感個人信息。具體來說，這些企業通過明確《個保法》中金融賬戶信息的具體種類，以較小的范圍和確定的范圍來要求自身，防止義務范圍過大而處于不利地位。互聯網企業這種通過列舉來縮小自身的責任范圍的行為，其實也在揭示目前金融賬戶信息的適用困境。

三、域外金融賬戶信息界定的相關立法例

我國現有法律規范對個人金融賬戶信息未有明確界定，因此，可從比較法視角出發，對其他國家的有關法律制度進行分析和梳理，吸取其中可借鑒的做法。本文選擇美國、歐洲地區、澳大利亞等國家或地區為考察對象，有三個原因：一是這些國家或地區在早期即對個人數據保護領域立法進行了探索，并在長期實踐中積累了寶貴經驗，可供借鑒參考；二是這些國家或地區在具備較為強大的經濟實力的同時也注重維護公民的權利，這與我國依法保護人民合法權益的現實需求相符；三是考慮到我國科學技術的迅速發展和國際地位的提升，更深入地研究其他國家與地區的相關規范，有利于構建符合我國國家發展、社會穩定和人民利益的制度。

（一）美國相關立法例

美國相關立法中主要有“ financial account”“financial data”“bank account”等與金融財產有關的概念。這些概念均與信息主體的金融類有關信息存在密切聯系。

1.美國各州層面對金融賬戶信息的立法考察。

美國在州層面對于“金融賬戶”的界定散見于各州對消費者隱私的保護法案或相關隱私、數據保護法案，但大部分州的有關法案在認定個人敏感信息或者敏感數據時，少有將金融賬戶信息或者金融信息包括在內。弗吉尼亞州2021年《消費者數據保護法》（CDPA）關于敏感數據的定義中只包含了身份性個人數據、生物特征數據、兒童個人數據及地理位置數據，未納入金融有關信息。同樣，《華盛頓隱私法案》《田納西州信息保護法》等也未包含有關金融類信息。而2020年《加州隱私權法案》（CPRA）作為美國一個全面的隱私法案，其將“金融賬戶”納入敏感數據之中，同時納入的相關聯概念還有“賬戶登錄”“借記卡或者信用卡號碼”等，并規定訪問賬戶所必需的憑證，如安全或訪問代碼、密碼等也屬于敏感數據范疇[3]。

2.美國聯邦層面對金融賬戶信息的立法考察。

2021年《聯邦消費者在線隱私權法》（COPRA）中，對“金融賬戶”以“列舉”模式進行了界定。COPRA規定金融賬號、借記卡號、信用卡號以及允許訪問任何此類賬戶的憑據都屬于敏感涵蓋數據。2022年《美國數據和隱私保護法案》（ADDPA）對“金融賬戶”以“定義+列舉+排除”的模式作出了界定，定義部分包括能夠描述或者揭示個人收入水平或者銀行賬戶余額的信息，但并未對描述或揭示的方法作出解釋；列舉部分包括了賬戶號碼、借記卡號、信用卡號。此外，根據ADDPA第28條第八款的規定，賬戶或設備的登錄憑據以及賬戶或設備的安全、訪問代碼也屬于敏感涵蓋數據，這與COPRA的內容基本一致。排除部分針對信用卡和借記卡號，認為這兩類卡號碼的最后四位不應屬于敏感數據。

（二）歐洲地區相關立法例

歐盟《通用數據保護條例》（GDPR）沒有特別注重對金融賬戶的定義，其在特殊類別個人數據的處理中并未規定金融賬戶信息。在歐洲國家，如德國《聯邦數據保護法》、英國《數據保護法》、《法國數據保護法》等有關法律均依照GDPR的內容對特殊類別個人數據進行規定，不包含金融賬戶信息。

2007年，歐盟頒布的《支付服務指令》（ payment services directive，PSD）是關于內部市場支付服務指令的最初版本，PSD中對“支付賬戶”作出了定義，即以一個或多個支付服務用戶名義持有的用于執行支付交易的賬戶。此后，為了提升對金融領域數據的利用和保護，2015年出臺了《支付服務指令修正案》（PSD2），其主要目的是應對電子支付出現的安全風險，給支付市場的良好運轉提供安全、可靠的支付服務。PSD2規定了敏感支付數據條款，并以“定義+排除”的方式作出界定，認為其是一種可用于欺詐的個性化安全憑證數據，在排除方面規定支付發起服務提供商和賬戶信息服務提供商的活動中，賬戶所有者姓名和賬戶號碼不屬于敏感支付數據。

由于歐洲地區各國家同我國社會歷史、性質和成員的組成有著較大的差異，它們在敏感個人信息的認定上，對種族（民族）血統、政治觀點、工會身份以及性生活或性取向更為重視，這與我國《個保法》的敏感個人信息保護范圍有區別。

（三）澳大利亞相關立法例

澳大利亞1988年《隱私法》在敏感信息的規定中，不包含“金融賬戶”“個人金融信息”的有關內容，同歐洲國家的對敏感信息立法相近，但《隱私法》中還規定了“信用信息” “支付信息”“還款信息”等，以此為金融領域秩序的穩定提供重要作用，并對消費者的有關權益作出保護。

澳大利亞2006年的《反洗錢和反恐融資法》中有著對賬戶的規定，以“舉例＋排除”模式認定賬戶包含信用卡賬戶、貸款賬戶、單位形式持有的貨幣賬戶，排除了賬戶為零以及與賬戶相關的任何交易。當然，該規定最終適用的范圍以該法案為限，在其他領域能否發揮具體作用還有待考察。

（四） 對域外立法的考察和梳理

在對域外有關金融信息、金融賬戶信息立法觀察中，發現部分國家對其的規定碎片化或者無具體規定，但也有如美國、歐盟等以數據、信息的視角對其做出界定，以完善對個人隱私、個人信息的保護。

根據梳理發現，各國對涉及“金融賬戶”“金融信息”的有關定義有以下界定方式：“單純列舉”“定義+列舉”“定義+列舉+排除”“定義+排除”“舉例+排除”。即對歐盟、美國、澳大利、日本等國家和地區關于“金融賬戶信息”或類似概念界定模式的經驗考察歸納如下：（1）美國聯邦的ADDPA所采取的“定義+列舉+排除”的界定模式，在盡可能明確多種類型的同時，又考慮了一定的排除范圍，能夠更好地指導司法適用。

（2）美國加利福尼亞州的CPRA、歐盟PSD2采用的“密碼”“訪問憑證”等，更能體現出“金融賬戶”若作為敏感個人信息所強調的隱私、私密屬性。（3）美國ADDPA、歐盟PSD2及澳大利亞《反洗錢和反恐融資法》中，對一些可供公開或者非必要性內容都認定為可排除信息。美國認為一些號碼的后四位可排除；歐盟認為只要名義持有即可，而賬戶者的姓名、號碼為非必要信息；澳大利亞認為金額為零的賬戶以及賬戶交易不屬于賬戶類別。

四、我國金融賬戶信息的界定構想

我國對個人金融賬戶信息界定可采取“定義+列舉+排除”的模式，以“信息主體”“信息性質”和“信息處理”為考量因素，基于社會實踐與公眾普遍認可度來列舉，從“信息識別”的角度確定排除范圍。

（一）我國金融賬戶信息界定適用模式

1．“定義式”。即僅單純地給出金融賬戶信息的概念，無法直接對某種信息是否屬于金融賬戶信息作出判斷，在此情況下會增加對其適用的難度。

2．“列舉式”。即直接逐項列舉金融賬戶信息的種類，如單純采用這種模式界定，法律所要保護的對象將被具體為特定的類型，并且概念定義的缺乏還將進一步限制個人信息適用的范圍。金融賬戶信息的種類會隨著社會資源的更新迭代而不斷增加，且類型難以逐一列舉。因而，這種方式不宜用于界定金融賬戶信息。

3．“定義+列舉”。即在說明金融賬戶信息抽象概念的同時列舉金融賬戶信息的種類。此種界定方式能夠在一定程度上彌補單純定義式的不確定性和單純列舉的滯后性，這也是我國立法常采取的界定模式。如《中華人民共和國行政訴訟法》對證據的規定，即是“定義+列舉”的模式。前述國外立法中加利福尼亞州CPRA與美國ADDPA就是采用該界定模式。但對于金融賬戶信息的界定模式還應當考慮“排除”所發揮的作用，“排除”部分屬于應當豁免的信息。《個保法》在對敏感個人信息界定時，已經劃定了具體的范圍，但金融賬戶信息作為下級具體分類，與個人金融財產密切相關，應當考慮無法直接識別財產的“低敏感性”信息、“可脫敏性”信息等在不同情形下所產生的影響。因此，為使金融賬戶信息的界定更加清晰，有必要將“排除”部分納入金融賬戶信息界定模式的范圍中，采取“定義+列舉+排除”的模式來嘗試對“金融賬戶”這一敏感個人信息作出界定。

（二）金融賬戶信息的明確定義

1.金融賬戶信息的明確定義界定，可采取“定義+列舉+排除”的模式。對“金融賬戶信息”的定義目前也存在著不同的觀點：如“金融賬戶信息”也即“個人金融信息”[4]，未對兩者明確作出區分，并且認為《實施辦法》對消費者金融信息的界定即為對“金融賬戶”的界定；個人金融賬戶信息屬于個人金融信息，在討論金融賬戶信息時，應該將其置于種屬關系下來進行[5]。故此，有必要對二者進行區分和解釋。

個人金融信息不應等同于金融賬戶信息，個人金融信息雖和信息主體有著緊密聯系，但并不意味一切個人金融信息都屬于敏感信息，《個保法》中也僅將“金融賬戶”作為敏感個人信息進行規定，并未將所有金融信息作為一個整體納入敏感信息的范疇。因此，應將金融賬戶信息獨立于個人金融信息之外來作出定義[6]。

界定金融賬戶信息應充分考慮其所蘊含的敏感性價值。但金融賬戶信息包含的內容并非全部具有敏感性，如金融賬戶的號碼、信息主體的身份證號碼、電話號碼等，這些信息本身并不具備敏感性的致害風險。因此，對金融賬戶進行定義時可以參考場景理論，某些信息在特定的場景下會呈現出敏感特征，同時在特定以外的場景下又不具備敏感性，場景可以對信息的性質產生重要影響。場景隱私理論出自尼森鮑姆教授提出的經典隱私理論，在尼森鮑姆教授的研究中，將場景因素分為五個要素，即信息主體、信息發送者、信息接收者、信息性質及信息傳輸原則[7]。也有學者根據該理論再結合《個保法》第51條中規定的個人信息處理的規范要素，將場景變量歸納為信息主體要素、信息處理要素、第三方要素、信息性質及處理目的。本文借鑒以上理論對金融賬戶信息的隱私、敏感性進行討論，即根據信息利用的處境、目的綜合判斷該金融賬戶信息是否敏感，將金融賬戶信息的定義以“信息主體”“信息性質”“信息處理”作為考量因素。

首先是“信息主體”要素。金融賬戶信息主體的認定強調“可識別性”，即能夠識別出享有和掌握金融賬戶信息的特定人。這與其他敏感個人信息的認定有著相似之處，如對行蹤軌跡信息的認定時，是基于真實地理位置，能準確識別個人及其所處的位置；對生物識別信息的認定，強調對人的生物特征進行識別。如今，在互聯網金融管理與服務、生物支付（如指紋、刷臉）等互聯網業務興起的背景下，客戶、消費者等金融賬戶信息主體的交易、消費習慣與偏好具有極高的精確性以及潛在的價值[8]，掌握這些信息意味著掌握了金融活動的主動權，識別到特定的人就成為關鍵環節，因此在金融活動中，認定金融賬戶信息，須具備可識別性以識別到具體的信息主體。

其次是“信息性質”要素。在具有可識別性的基礎上，還需要繼續探明是否具備作為敏感個人信息的屬性。金融賬戶信息：第一，其應具備敏感性。根據敏感個人信息的內涵，金融賬戶信息的敏感性體現在兩方面：一是“自然人財產受到危害”的致害風險，二在于該風險具有極易發生的可能性[9]。第二，其特有的與個人財產密切相關財產屬性。這里的財產應作限縮解釋，不能將個人一切財產都納入金融賬戶財產屬性的范疇中，該財產應是可以作為電子數據來被記錄和被識別的財產。第三，金融賬戶信息往往需要一個載體。金融賬戶信息是個人在銀行、證券公司等金融機構開設的賬戶相關信息，通常作為賬戶的內容來幫助信息主體進行相應的金融活動，對載體有著較強的依賴性，需要借助賬戶這一載體發揮其功能。

最后是“信息處理”要素。該要素是運用場景理論定義金融賬戶信息最重要的環節，這里分為“信息處理者”和“信息處理目的”來討論。（1）“信息處理者”。在不同的場景下的金融賬戶信息處理者及其目的是不同的。在我國《實施辦法》中，“信息處理者”被認為是銀行、支付機構，它們能通過開展業務或其他合法渠道來處理消費者信息；《技術規范》認為信息的處理者是金融業機構，即國家金融管理部門監督管理的持牌金融機構，以及涉及個人金融信息處理的相關機構。歐盟PSD和PSD2中關于對支付賬戶的處理者包括支付機構、支付發起服務提供商、賬戶信息服務提供商。支付機構是指歐盟授權范圍內提供和執行支付服務的法人，該規定未將信息處理者限定在金融機構，要求獲得支付機構資格即可提供相應的服務。澳大利亞的《反洗錢和反恐融資法》中規定，對有關賬戶信息的處理者包括金融機構、經批準的第三方賬單支付系統、信用卡報告機構等。從我國有關標準和國外的立法例可以看出，金融機構是大部分國家和地區普遍規定的信息處理者。結合我國實際，信息處理者可以認定為以銀行為代表的金融機構，但不限于此，實踐中普遍出現的非金融機構也應可作為一項認定因素。2022年支付寶、美團等五家機構通過“個人金融信息保護能力”認證，這些機構在個人金融信息的收集、存儲、傳輸、處理、分類分級等方面的處理能力符合相關標準，能對風險實時發現和處理，從而實現用戶個人金融信息的全方位保護[10]。因此，可以將“信息處理者”認定為：以銀行為代表的國家金融機構以及經授權符合國家關于金融賬戶信息處理標準的非金融機構。（2）“信息處理目的”。信息處理要求遵循目的特定原則，這是處理敏感個人信息的必要前提，處理目的缺乏合法性、正當性，個人信息的致害風險也將升高[11]。《技術規范》中金融業機構處理用戶的有關金融信息，其處理目的是向其提供金融產品和服務；《實施辦法》中是以消費者購買、使用金融產品或者服務意圖為依據處理信息。美國ADDPA對“處理目的”作出解釋，即實體或服務提供商收集、處理或傳輸涵蓋的數據的原因；歐盟PSD2要求支付機構的處理目的為實現用戶的支付交易，保障交易秩序。信息主體不論是通過提供個人信息以獲取金融機構、非授權金融機構等的金融產品和服務，還是對第三方主體作出的支付、收款等商業活動，都可能被有關的收集者、傳輸者以及儲存者利用，并作出一定的處理，形成“主體處理者第三方/金融機構”的流程[12]。金融賬戶信息在這個過程中受到處理的最終目的，就是完成相關交易活動。因此，金融賬戶信息的處理目的可以定義為：給信息主體提供金融有關服務以及記錄信息主體運用金融賬戶進行金融交易、支付交易等交易活動而作出的處理。

通過對“信息主體”“信息性質”“信息處理”三方要素的討論，對金融賬戶信息定義可以總結為：金融機構、經授權的非金融機構以提供金融服務、交易服務并作出活動記錄為目的所處理的，可以識別到特定用戶并能夠通過賬戶記載的財產信息。

（三）我國金融賬戶信息的列舉種類

“列舉式”模式包括窮盡式與非窮盡式。以窮盡式列舉界定金融賬戶信息時，能夠確定其種類和范圍，在一定程度上提升了司法效率。但如今金融賬戶信息的種類趨于多元化，窮盡式列舉其特有的滯后性將令其無法跟上新技術發展的步伐。若采取非窮盡列舉，則更能靈活地面對科技發展的新局面[13]。因此，在對金融賬戶信息列舉方面，采用的是非窮盡式列舉。

在前述法院對相關案件的審理中，有著多種理解。譬如法院直接將銀行存款、理財產品、信用卡信息歸為金融賬戶信息，將銀行流水認為是敏感金融信息。不論是在刑事案件中，還是在民事案件中，兩者保護的都是個人金融賬戶信息所承載的個人財產權益。但僅根據對案件的審理來確定金融賬戶信息的類型，難以在個人信息流轉過程中平衡個人信息權利與社會信息之間的關系。故列舉金融賬戶信息應結合實踐、相關標準、規定以及立法例綜合考量。

《安全規范》中將個人財產信息認定為敏感個人信息，其中有銀行賬號、鑒別信息、存款信息、交易和消費記錄以及虛擬財產信息等表述；《實施辦法》有財產信息、賬戶信息、信用信息、金融交易信息等表述；《安全要求》界定金融賬戶信息為銀行、證券賬戶以及相應的交易信息；《技術規范》中規定了C1、C2、C3三級敏感程度并分別舉例。實踐中各大互聯網企業的規定也值得參考，支付寶《隱私權政策》中的銀行賬戶信息和銀行預留手機號；美團《美團外賣隱私政策》中的個人財產信息，包括銀行賬號、消費和交易記錄、信貸記錄以及虛擬財產信息等是各企業在與消費者、客戶間進行有關交易活動中所確定的敏感信息。綜合法院案例，銀行賬戶信息、信用卡信息、交易信息等為高頻出現信息，在實踐中較為契合公眾的認識度，并且能在社會中得到廣泛引用，可以作為金融賬戶信息的列舉種類。

美國ADDPA規定將借記卡號、信用卡號列為與金融賬戶同等的敏感數據；COPRA除ADDPA列舉的信息外，還明確將賬戶登錄信息與前述信息置于同一行列。值得注意的是，在ADDPA、COPRA和CPRA中，都將“密碼”以及可以訪問所列賬戶的“訪問憑證”認定為敏感涵蓋數據。歐盟PSD2也規定了一種“個性化安全憑證”，認為其易被用于實施欺詐，具備高風險性，因此屬于敏感支付數據。我國《技術規范》在個人金融信息敏感級別劃分中，將賬戶的登錄密碼、交易密碼及查詢密碼劃入最高敏感級C3；中等敏感級C2中劃入動態口令、短信驗證碼、密碼提示問題答案、動態聲紋密碼等用戶輔助鑒別信息，且規定若能夠與賬戶結合并完成識別，則屬于最高級C3。基于一般公眾認識，普通的銀行賬戶或者有關支付賬戶的泄露并不會對信息主體造成直接損失，而如果通過技術手段破解其密碼等鑒別信息，則將在可預見的范圍內產生較高的損害可能性[14]。這類“鑒別信息”與美國、歐盟等地的“訪問憑證”類似，皆用于驗證信息主體是否具備訪問和使用賬戶的權限，雖然不在金融賬戶之內，但一般能認定具有較高致害風險性，可以作為金融賬戶信息的列舉種類。

（四）我國金融賬戶信息的排除范圍

個人信息的可識別性包括直接識別和間接識別。在個人金融賬戶信息中，可以將間接識別的信息予以排除。間接識別信息包括：通過與其他信息結合才能識別到特定人財產的信息、通過與其他信息結合產生高致害風險的信息。前者是指一般不能直接識別到特定人金融賬戶的信息，這類信息在敏感個人信息這一上級分類中已經進行了排除；后者指一些信息單獨存在屬于無致害風險或者低致害風險的敏感層級，但若與其他信息相關聯結合后具備了高度致害風險性，實現了敏感層級的跨越。例如，個人身份證信息和手機號碼一般情況下敏感程度低，但當與金融賬戶賬號、用戶鑒別信息結合時，在特定服務場景中可以直接識別到特定人的賬戶財產信息，從而達到高敏感程度[15]。在這里，歐盟與美國立法例的發展值得我們學習：歐盟PSD2將賬戶所有者姓名和賬戶號碼排除于敏感支付數據之外；美國ADDPA強調賬號號碼的最后四位不應屬于敏感數據，都根據本國情況將這類“低敏感性”信息予以排除。因此，排除此類信息有助于進一步劃定金融賬戶信息保護范圍的邊界，增強法律規定的明確性。

我國《技術規范》特別規定了信息屏蔽內容，即對某些敏感信息通過既定規則屏蔽全部或者部分內容，通過這種方法使信息本身在不失去其識別作用的同時降低風險等級。例如，銀行卡卡號信息僅顯示前六位與后四位，其余部分予以屏蔽，這類信息具備可脫敏性。而對于金融賬戶信息性質要求應該具備敏感性而不包含可脫敏性，所以，予以排除將更有助于明確金融賬戶信息的范圍。

綜上所述，通過間接與其他有關信息結合而產生的敏感性信息不宜構成金融賬戶信息的一部分，金融賬戶信息應該指直接識別到個人金融賬戶財產的信息，并且可脫敏性的相關信息也應予以排除，以避免金融賬戶信息保護范圍的無限擴張。

（五） 最終界定

在綜合考慮金融賬戶信息的界定方式和“信息主體”“信息性質”“信息處理”等要素，以及確定列舉和排除的范圍后，可對金融賬戶信息作如下界定：金融賬戶信息是指金融機構、經授權的非金融機構以提供金融服務、交易服務并作出活動記錄為目的所處理的、可以識別到特定用戶并通過賬戶記載的財產信息。其包括銀行賬戶、信用卡賬戶、賬戶交易及用于訪問賬戶的鑒別憑證等信息，不包括需結合其他信息才可識別個人金融賬戶財產的信息和可脫敏性信息。

五、結"語

本文針對我國法律對“金融賬戶信息”這一法律概念未作界定，在相關規范的認定以及實踐中也存在著認定標準不統一的問題，通過對這一敏感個人信息進行總結和完善，并借鑒國外立法例及結合我國實際情況進行分析，認為司法解釋的制定可側重以下幾個部分：第一，從信息主體上來看，金融賬戶信息應是可以識別到個人金融賬戶財產的信息，無法直接和單獨識別的不屬于金融賬戶信息。第二，從信息性質上來看，金融賬戶信息是用于金融、商業活動等業務的信息，其以賬戶作為載體，包括銀行賬戶、信用卡賬戶等，同時以訪問賬戶的密碼、驗證碼等敏感鑒別信息作為保障賬戶安全的憑證。第三，從信息處理上來看，金融賬戶信息是以金融機構、授權非金融機構等具備國家認可資質的主體為處理者，包括但不限于銀行、保險公司、金融公司及其他具備資質和能力的處理者，以服務信息主體為處理目的。第四，金融賬戶信息排除了需要與其他信息識別才具備高致害風險的信息，同時排除了可脫敏性質的信息，更加明確金融賬戶信息的保護范圍，避免保護的無限擴張。

注釋：

① 數據參見奇安信威脅情報中心：《全球高級持續性威脅（APT）2022年度報告》，https：//www.qianxin.com/threat/reportdetail？report_id=292。

參考文獻：

［1］"胡文濤.我國個人敏感信息界定之構想[J].中國法學，2018（5）：235-254.

[2] 孫清白.敏感個人信息保護的特殊制度邏輯及其規制策略[J].行政法學研究，2022（1）：119-130.

[3] 丁道勤，姜文，等.國外數據保護法律選編[M].北京：中國法制出版社，2021：19.

[4] 程嘯.個人信息保護法理解與適用[M].北京：中國法制出版社，2021：263.

[5] 張新寶.個人金融賬戶信息的強化保護[J].中國銀行業，2021，95（11）：26-29.

[6] 韓旭至.敏感個人信息的界定及其處理前提——以《個人信息保護法》第28條為中心[J].求是學刊，2022，49（5）：132-145.

[7] Helen Nissenbaum. Privacy in context：technology， policy，and the integrity of social life[M]. Redwood City：Stanford University Press，2010：140-147.

[8] 邢會強.大數據時代個人金融信息的保護與利用[J].東方法學，2021（1）：47-60.

[9] 寧園.敏感個人信息的法律基準與范疇界定——以《個人信息保護法》第28條第1款為中心[J].比較法研究，2021（5）：33-49.

[10]支付寶等5家機構首批通過“個人金融信息保護能力”認證[EB/OL].新華網，http：//www.xinhuanet.com/tech/20221122/3452a998efbb4e916168417de8eaodb5/c.html.

[11]王苑.敏感個人信息的概念界定與要素判斷——以《個人信息保護法》第28條為中心[J].環球法律評論，2022，44（2）：85-99.

[12]李東方，李耕坤.數字經濟時代個人金融信息的經濟法分析與對策——從“立法碎片化”到《個人金融信息保護法》[J].中國政法大學學報，2023，93（1）：201-215.

[13]文進寶，肖冬梅.我國行蹤軌跡信息保護范圍認定困境與出路[J].圖書館論壇，2022，42（7）：55-64.

[14]謝琳，王漩.我國個人敏感信息的內涵與外延[J].電子知識產權，2020（9）：4-16.

[15]朱蕓陽.個人金融信息保護的邏輯與規則展開[J].環球法律評論，2021，43（6）：56-73.

（責任編輯：鐵青）