吳丹丹++郜新鑫++陳立佳

【摘要】21世紀以來，互聯(lián)網(wǎng)金融伴隨著互聯(lián)網(wǎng)技術和移動終端設備的迅速普及得到飛速發(fā)展，金融信息安全問題也開始成為人們最關注的話題。在對我國金融信息保全立法進行現(xiàn)狀闡述和問題評析后，提出健全我國金融信息保護立法的若干對策建議，以期更好地推動我國互聯(lián)網(wǎng)金融健康快速發(fā)展。

【關鍵詞】互聯(lián)網(wǎng)金融 金融信息安全 立法現(xiàn)狀 對策

一、引言

從余額寶問世到第三方支付、P2P網(wǎng)貸平臺的迅速發(fā)展，互聯(lián)網(wǎng)金融近年來得到廣泛關注，并首次進入了2014年的政府工作報告。在“移動互聯(lián)”、“云計算”、“物聯(lián)網(wǎng)”等技術的推動下，我國互聯(lián)網(wǎng)金融發(fā)展迅猛，在理念、技術、產(chǎn)品等方面不斷得到創(chuàng)新，在服務實體經(jīng)濟、推動普惠金融發(fā)展、便利居民生活、滿足投資需求等方面彌補了傳統(tǒng)金融體系的缺陷，發(fā)揮了無法替代的積極作用[1]。

然而，金融信息安全問題也隨之日益突顯。信息化的加速不可避免地增加了數(shù)據(jù)泄漏的風險，再加上對一些敏感數(shù)據(jù)的使用權和所有權界定不明晰，過分依賴國外大數(shù)據(jù)分析技術等，容易導致民眾在享受互聯(lián)網(wǎng)金融帶來便利的同時，面臨著賬號被盜、資金被竊、交易欺詐以及財產(chǎn)損失等諸多潛在風險。

金融信息安全是國家發(fā)展戰(zhàn)略的重要基石，信息安全問題目前已經(jīng)上升到國家戰(zhàn)略層面，很多發(fā)達國家視其為僅次于恐怖襲擊的重大安全問題[2]。本文在此背景下從法律制度層面出發(fā)，依據(jù)對我國金融信息保全立法現(xiàn)狀及其問題的剖析，針對性地提出健全金融信息保護立法體系的建議，具有重要的理論指導和實際應用價值。

二、互聯(lián)網(wǎng)金融的內涵及特征

Allen &Gale（1997）[3]、Berger & Gleisner（2008）[4]、高漢（2014）[5]等學者認為，互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融的簡單結合，是借助云計算、搜索引擎、移動通信、社交網(wǎng)絡等一系列現(xiàn)代信息科技手段，實現(xiàn)資金融通等多項業(yè)務的新興金融服務模式。從概念層面可以將目前所有網(wǎng)絡金融形態(tài)劃分為互聯(lián)網(wǎng)金融和金融互聯(lián)網(wǎng)，前者指互聯(lián)網(wǎng)企業(yè)利用互聯(lián)網(wǎng)技術開展的金融業(yè)務，后者指金融機構傳統(tǒng)業(yè)務的互聯(lián)網(wǎng)化，無論哪種，均離不開關鍵信息技術的運用[6]。

互聯(lián)網(wǎng)金融主要具有以下三點顯著特征：一是依托大數(shù)據(jù)、云計算、社交網(wǎng)絡和搜索引擎，通過互聯(lián)網(wǎng)技術與金融功能的融合，挖掘客戶信息并管理信用風險；二是以點對點直接交易為基礎進行金融資源配置；三是融合互聯(lián)網(wǎng)并實現(xiàn)以第三方支付為依托的資金轉移。

三、我國金融信息保護立法概況

我國到目前為止仍然沒有制定出一部規(guī)范所有部門和行業(yè)的統(tǒng)一的金融信息保護法律，但關于金融信息保密義務等規(guī)定早已在一些法律中有所提及。

（一）概括性法律規(guī)定

《憲法》第十三條規(guī)定：“公民的合法私有財產(chǎn)不受侵犯。”第三十三條規(guī)定：“國家尊重和保障人權?！薄睹穹ㄍ▌t》第一百零一條規(guī)定：“公民、法人享有名譽權，公民的人格尊嚴受到法律保護，禁止用侮辱、誹謗等方式損害公民、法人的名譽?！薄睹裢ㄒ庖姟返谝话偎氖畻l規(guī)定：“以書面、口頭形式宣揚他人的隱私，或者捏造事實公然丑化他人人格，以及用侮辱、誹謗等方式損害他人名譽，造成一定影響的，應當認定為侵害公民名譽權的行為。”《刑法》修正案和《侵權責任法》中也對個人信息受侵犯做了保護性規(guī)定。上述原則性規(guī)定雖不涉及金融信息保護領域，但其實可以將我國有關隱私權、金融信息保護等法律的傳統(tǒng)理念實實在在地反映出來，相信對于研究我國金融信息保護的立法缺失，以及具體制度構建等具有重要的頂層設計和指導價值。

（二）具體性法律規(guī)定

我國最早規(guī)定銀行保密義務的法規(guī)是1992年的《儲蓄管理條例》，其第五條規(guī)定“儲蓄機構辦理儲蓄業(yè)務必須遵循為儲戶保密的原則”?！秲π罟芾項l例》對儲戶利益的保護精神體現(xiàn)在《商業(yè)銀行法》中。該法第六條規(guī)定：“銀行義務保障存款人權益不受侵犯?！钡诙艞l規(guī)定：“商業(yè)銀行辦理個人儲蓄存款業(yè)務，應當遵循存款自愿、存款自由、存款有息、為存款人保密原則；對個人儲蓄存款，商業(yè)銀行有權拒絕任何單位或者個人查詢、凍結、扣劃，但法律另有規(guī)定的除外。”第五十三條規(guī)定：“商業(yè)銀行的工作人員不得泄露其在任職期間知悉的國家秘密、商業(yè)秘密。”《電子銀行業(yè)務管理辦法》第三十八條規(guī)定：“金融機構應采用適當?shù)募用芗夹g和措施，保證電子交易數(shù)據(jù)傳輸?shù)陌踩耘c保密性，以及所傳輸交易數(shù)據(jù)的完整性、真實性和不可否認性?！薄缎磐泄竟芾磙k法》第二十七條規(guī)定：“信托公司對委托人、受益人及所處理信托事務的情況和資料負有依法保密的義務，但法律法規(guī)另有規(guī)定或信托文件另有約定的除外。”

中國人民銀行通過發(fā)布《中國人民銀行法律事務工作規(guī)定》與《銀行業(yè)消費者權益保護工作指引》對個人金融信息保護做出原則性規(guī)定，禁止在個人未授權時對其個人金融信息進行披露。2011年下發(fā)《中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》（2011年第17號文）以列舉方式界定了個人金融信息的范圍，在例外披露制度上做出兩種安排。第一，向第三人披露金融信息必須出于為被披露主體辦理業(yè)務所需要，同時需要被披露主體的明示同意，否則不能披露；第二，出于營銷的目的向本金融機構內其他部門或其他業(yè)務人員披露時，采取默示同意制度，即被披露主體提出反對時禁止披露，而被披露主體未聲明反對時擬制為默示許可，兩種安排都應服從法律法規(guī)的另行規(guī)定。2012年“3·15”期間再次發(fā)出《關于金融機構進一步做好客戶個人金融信息保護工作的通知》（2012年第80號文），重申2011年17號文對例外披露制度的嚴格執(zhí)行。

此外，我國《反洗錢法》、《中華人民共和國證券法》、《個人存款賬戶實名制規(guī)定》、《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》等法律、法規(guī)、規(guī)章中也對金融信息保護有零星規(guī)定。如，《中華人民共和國證券法》第四十四條規(guī)定：“證券交易所、證券公司、證券登記結算機構必須依法為客戶開立的賬戶保密。”《銀行業(yè)監(jiān)督管理法》第六條規(guī)定銀監(jiān)機構應與人民銀行、其他金融監(jiān)管機構建立信息共享平臺；第四十三條規(guī)定違反規(guī)定查詢、披露個人金融信息的行政責任[7]。

四、我國金融信息保全立法存在的問題

雖然現(xiàn)階段我國已對金融信息數(shù)據(jù)保護做出了不少立法規(guī)定，從趨勢上對個人金融信息例外披露的規(guī)則也逐漸細化，但我國立法規(guī)定籠統(tǒng)零散，在實踐中的作用有限，仍存在諸多問題，主要包括：

（一）立法零散、缺乏系統(tǒng)性、可操作性差

閱讀國內有關金融信息保護的法律規(guī)定可知，整個國家沒有一部主體法律來確定金融信息保護的基本原則和目標，也沒有明確將金融信息保護作為一項法律意義上的權利進行保護，在規(guī)定內容上也未涵蓋個人金融信息保護的全部范圍。與此同時，目前大多數(shù)關于金融信息保護的法律條文僅為保密義務的簡單重復，多為原則性強的指示性規(guī)定，缺乏具體的實體內容，實踐中可操作性較差。如《民法通則》將隱私權置于名譽權下來保護，規(guī)定過于籠統(tǒng)導致較難判斷侵權行為構成，從而真正追究有關人員侵權責任便很難落實。

（二）立法內容不周延，范圍界定不清晰

我國現(xiàn)行金融信息保護法律對客戶金融隱私范圍界定狹窄，存在不少空白。從國內分業(yè)監(jiān)管看，各層級的規(guī)范多數(shù)僅就單一監(jiān)管范圍內的主體進行規(guī)定，在同一監(jiān)管領域內的主體界定上，也語焉不詳。比如《商業(yè)銀行法》雖明確規(guī)定銀行需為儲戶保密，卻可又不區(qū)分個人和單位儲戶的利益；雖規(guī)定銀行保密義務，卻僅限于商業(yè)秘密。這意味著除金融機構不夠重視外，有關金融信息權保護的整個思路也不正確。

（三）立法層級偏低，缺乏應有的權威性

我國現(xiàn)行關于金融信息數(shù)據(jù)保全的一系列規(guī)定皆缺少了基本法層面的保護，大多都是以行政法、部門規(guī)章或規(guī)范性文件等為主體，無法將金融隱私權上升為法律意義上的權利。當然，除銀行業(yè)外，其他金融機構也都對客戶金融信息保護有著自身的一系列規(guī)定，如《反洗錢法》、《保險法》、《證券法》等法律中關于金融信息保護的內容相互重復或沖突、層次不一。我國金融信息保護法制建設的滯后在很大程度上不利于對客戶金融隱私權展開有效保護，在金融信息保護和信息披露存在沖突時，使得被違規(guī)披露個人金融信息的主體無法獲得有效的直接救濟。

（四）法律救濟渠道不足，重行輕民

“無救濟即無權利”，我國現(xiàn)行金融隱私保護法律很大一部分在于滿足行政和司法機關的履職需要，金融機構有配合的義務，側重于公共機構獲得個人信息的權利，而有關法律救濟手段與路徑的規(guī)定卻大大缺乏。目前我國對信息所有人的法律救濟手段偏重于行政責任方式，行政責任內容較完善，可操作性，但行政處罰并不能給遭受侵權損失的權利主體以有效的權利救濟。而在被侵權的民事救濟方面，僅僅在原則上做籠統(tǒng)規(guī)定，并沒有實質和具體的內容，導致受害者難以尋求并行使法律救濟權。

五、互聯(lián)網(wǎng)時代下健全中國金融信息保護的立法建議

金融信息安全不僅關系著金融業(yè)的持續(xù)發(fā)展，也與整個國家的經(jīng)濟社會安全息息相關，特別是在互聯(lián)網(wǎng)金融時代背景下[8]。健全的法律體系是個人金融信息數(shù)據(jù)權得以保障和實施的基本前提。因此，健全國內的金融信息保護制度，做好個人金融信息的保護工作，必須從立法入手，明確個人金融信息權利，加強監(jiān)管，正確處理個人金融信息保護和信息披露平衡等問題。

（一）樹立大數(shù)據(jù)理念

數(shù)據(jù)是重要資產(chǎn)在金融業(yè)已達成共識。十八屆三中全會通過的《中共中央關于全面深化改革若干重大問題的決定》中指出“借助大數(shù)據(jù)理念與技術的支持，構建穩(wěn)定均衡的大金融體系”。因此，我國金融機構應當樹立大數(shù)據(jù)的概念，在戰(zhàn)略原面上對包括金融隱私在內的金融數(shù)掘進行規(guī)劃，建立數(shù)據(jù)驅動型發(fā)展方式；建立適應時代要求的IT基礎架構，保證基礎設施的可控性、安全性，優(yōu)化服務器、存儲和網(wǎng)絡資源；培養(yǎng)一支具備多學科知識、多層次專業(yè)素質、嫻熟學習和駕馭新技術能力的精英團隊[9]。

（二）科學選擇立法模式

我國應當在充分考量經(jīng)濟發(fā)展和社會現(xiàn)實的需求，以及認真分析具體國情的前提下，來選擇金融信息保護立法模式。我國在個人信息保護領域的立法起步較遲、經(jīng)驗欠缺，在現(xiàn)階段的實際情形下，想直接達到歐盟一體化的高保護水平是很難的。為盡可能避免分散立法導致信息保護缺漏這一情況的發(fā)生，一部統(tǒng)一法律的制定是十分必要的。鑒于此，結合我國法律體系主要屬于成文法系的基本特征，在模式上可以美國模式為基礎分散立法，結合實際逐步探索，循序漸進地提高金融隱私保護水平，走向歐盟統(tǒng)一立法模式。

（三）逐步建立并完善金融信息法律體系

第一，完善部門規(guī)章為主體的金融隱私保護制度體系?？紤]立法程序復雜和時間成本等問題，應首先從強化監(jiān)管部門行政管理權入手，近期目標是以部門規(guī)章和規(guī)范性文件為核心，初步建立起科學的制度體系；遠期目標是通過行政管理為推進手段，逐步建立專門法律為核心、涵蓋各層面相關法律法規(guī)為輔助，通過部門規(guī)章和規(guī)范性文件具體實施的金融隱私保護法律體系。第二，加快推進個人信息保護立法。應當將個人信息保護工作通過效力層次較高的法律進行規(guī)范，以體現(xiàn)個人信息保護的重要性?！睹穹ㄍ▌t》等基本法律應當對金融隱私保護做出制度性安排，如適用直接保護原則，將隱私權作為一項獨立的人格權加以保護，同時對隱私權權屬進行界定，明確其財產(chǎn)屬性，為金融隱私權法律制度的全方位構建奠定立法基礎。與此同時，還應逐步完善個人信息保護的立法技術手段，保證其法律保護的全面性。

（四）加大監(jiān)管力度，將法律落實到位

首先，明確好監(jiān)管部門。綜合考慮到中國人民銀行的宏觀管理地位，以及其可以通過征信系統(tǒng)、支付清算體系等方式非常便利地對金融機構資金流動和管理個人信息等情況隨時予以監(jiān)控，建議由人民銀行做好牽頭協(xié)調與兜底保護等主要工作，并需要結合實際情況對金融機構保護客戶信息工作展開專項檢查、評估，將金融隱私保護納入對金融機構總體風險監(jiān)管框架中。其次，依法履行金融隱私保護監(jiān)管職責。監(jiān)管部門要監(jiān)督金融機構客戶金融信息數(shù)據(jù)庫營銷管理，督促銀行業(yè)強化內控建設，引入先進技術，防止信息泄露和濫用。同時，需自覺履行法律規(guī)定的對個人信息的保密義務，對現(xiàn)場、非現(xiàn)場監(jiān)管過程中獲得的個人金融信息嚴格保密，切實防范泄密現(xiàn)象發(fā)生。最后，借助第三方力量開展監(jiān)管。在個人金融信息數(shù)據(jù)保護的行政執(zhí)法中，監(jiān)管部門可以考慮依托標準化委員會，通過第三方技術專家即信息保護中介機構的引入，來對金融機構的個人信息安全情況進行共同判斷、評價并采取相應的處理，從而促進全行業(yè)構建金融隱私保護體系。

（五）健全金融機構管理制度建設

第一，強化金融隱私保護內控建設。金融機構要完善客戶個人信息管理各項規(guī)章制度，健全各業(yè)務條線相關操作規(guī)程，參照人民銀行及有關監(jiān)管部門工作要求，加強個人金融信息全流程管理；重點推進內控制度建設，合理劃分保密崗位職責和權限；嚴格審批涉及個人信息數(shù)據(jù)的查詢、復制。加大內部監(jiān)督檢查工作頻率，展系統(tǒng)安全性評估、審計，防范各類風險和漏洞。第二，加強建設與管理業(yè)務信息系統(tǒng)。按照分類管理、等級管理為原則推進金融機構重要信息系統(tǒng)建設，通過崗位職責和系統(tǒng)操作員權限控制，對相關人員權限、等級進行詳細界定。定期組織第三方獨立機構評估審計本機構有關信息系統(tǒng)，評價抵御各類風險的水平狀況，采取數(shù)字證書、防火墻等技術手段全面加強系統(tǒng)風險管理。同時建立相關應急處置工作機制，重點加強和防范網(wǎng)絡攻擊等外部風險，確保相關信息系統(tǒng)的安全運行。第三，重點加強金融從業(yè)人員管理。目前，金融機構因內部員工操作不當造成的個人信息泄露案件不斷發(fā)生，加強員工保密教育十分必要。要通過保密承諾書、責任書等方式，進一步強化對日常能夠接觸個人金融信息關鍵部門和崗位的管理與控制，消除風險隱患。

（六）完善信息侵權救濟手段

首先，確立公益訴訟制度，賦予消費者訴訟資格，明確金融隱私訴訟個案對同類業(yè)務的普遍約束力。公民可以向行政司法機關、致力于金融隱私保護的社會團體等請求依法受到保護；金融機構等應積極推進預警體系于訴求處理平臺的構建，及專職部門、人員的成立和組成；鼓勵完善行業(yè)自律規(guī)范，將行業(yè)組織的監(jiān)督作用落到實處。其次，需進一步強化隱私侵權的法律責任。金融機構在侵犯客戶信息數(shù)據(jù)時，必須依法承擔相應的法律責任。必要時還可通過懲罰力度的加大，使金融機構的違法成本也隨之增加，充分保障金融隱私救濟權。

此外，應明確信息披露的具體細節(jié)和操作流程。披露必須依據(jù)法律的明文規(guī)定和程序，法律應當嚴格限制公共利益和國家、公共安全的定義，防止公權力的自由裁量和對該原則的濫用，否則確立金融隱私權保護將失去大部分意義。

六、結語

在互聯(lián)網(wǎng)金融時代下，金融信息數(shù)據(jù)不僅具有人格屬性，是個人的一項財富，也是金融機構的重要資產(chǎn)，更是國家和企業(yè)參與世界競爭的戰(zhàn)略資源[10]。所以要從制度和法的理念出發(fā)，多方外建立和完善我國現(xiàn)有的金融信息安全立法體系，如此才能在信息安全管理中獲得主動權、占據(jù)制高點，從而有效地規(guī)避互聯(lián)網(wǎng)金融帶來的信息安全風險，更好地促進互聯(lián)網(wǎng)金融持續(xù)、健康、穩(wěn)步發(fā)展，更好地服務實體經(jīng)濟。

參考文獻

[1]胡劍波，宋帥，石峰.互聯(lián)網(wǎng)金融信息安全風險及其防范[J].征信，2015（4）：13-17.

[2]安青松.金融信息安全是國家發(fā)展戰(zhàn)略的重要基石[N].證券時報， 2013-03-01（12）.

[3]Allen & Gale. Financial Markets， Intermediaries and Inter-temporal Smoothing [J]. Journal of Political Economy， 1997（3）：523-546.

[4]Berger & Gleisner. Emergence of Financial Intermediaries on Electronic Markets： The Case of Online P2P Lending [Z]. Working Paper， University of Frankfurt， 2008.

[5]高漢.互聯(lián)網(wǎng)金融的發(fā)展及其法制監(jiān)管[J].中州學刊，2014（2）：57-61.

[6]黃瀏祥.互聯(lián)網(wǎng)金融信息安全風險的應對之策[J].中國農(nóng)村金融，2015（15）：43-45.

[7]萬玲.金融隱私權保護公權干預制度探析[J].行政與法，2012（12）：87-90.

[8]趙立志，朱建明.互聯(lián)網(wǎng)金融信息安全問題與對策[J].信息安全，2014（12）：36-37.

[9]白運全.大數(shù)據(jù)時代的金融信息安全[J].網(wǎng)絡安全技術與應用，2014（11）：101-103.

[10]張秉兵.互聯(lián)網(wǎng)金融時代金融信息安全對策研究[J].金融科技時代，2015（7）：66-68.

基金項目：“新華08” 金融信息數(shù)據(jù)保全的法規(guī)框架與策略研究（TC123B5K/07）。

作者簡介：吳丹丹（1991-），女，漢族，安徽六安人，畢業(yè)于中國科學技術大學，研究方向：科技政策與創(chuàng)新管理；郜新鑫（1984-），男，漢族，甘肅人，任職于新華通訊社，研究方向：經(jīng)濟數(shù)據(jù)分析及可視化；陳立佳（1981-），女，漢族，北京人，任職于新華通訊社，研究方向：信息安全與網(wǎng)絡優(yōu)化。