雷麗清

隨著大數據、云計算、移動互聯網等技術的高速發(fā)展，金融行業(yè)信息化的趨勢越來越明顯，為普惠金融的發(fā)展提供了良好的契機。普惠金融降低了金融機構和客戶的成本，使中低收入人群及小微企業(yè)享受到便利的金融服務。2019年《中國普惠金融發(fā)展情況報告》顯示，截至2019年6月，全國鄉(xiāng)鎮(zhèn)銀行業(yè)金融機構覆蓋率為95.7%，行政村基礎金融服務覆蓋率99.2%，小微企業(yè)銀行貸款35.63萬億元，其中普惠型小微企業(yè)貸款(單戶授信總額1 000萬元及以下的小微企業(yè)貸款)余額10.7萬億元。[1]然而，在普惠金融迅速發(fā)展的同時，金融機構及其他機構對于個人金融信息的不規(guī)范采集、不當使用和泄露，嚴重侵犯了個人的信息安全，同時也破壞了金融管理秩序。如何保護個人的金融信息是我們亟須研究的問題。

一、個人金融信息的含義

目前，我國法律法規(guī)對于個人金融信息尚未明確規(guī)定。只有中國人民銀行發(fā)布的部門規(guī)范性文件規(guī)定了個人金融信息的定義。2011年中國人民銀行發(fā)布的《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》(下文簡稱《通知》)指出，個人金融信息是指銀行業(yè)金融機構在開展業(yè)務時，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的個人信息。學術研究領域，有學者認為，個人金融信息是指與公民個人開展金融活動相關的信息，包括因交易、監(jiān)管、征信等活動而產生、采集的金融交易信息等。[2]

金融監(jiān)管法律文件和學術研究對個人金融信息的界定是不一致的。其一，個人金融信息產生的領域不一致?！锻ㄖ方缍ǖ膫€人金融信息限于銀行業(yè)金融機構掌握的信息，包括銀行業(yè)金融機構通過自身開展業(yè)務獲得的個人信息和銀行業(yè)金融機構通過接入中國人民銀行的各種系統(tǒng)所獲得的個人信息。學術研究界定的個人金融信息則不限于銀行業(yè)金融機構掌握的信息，任何機構只要與公民個人開展金融活動，其所獲得的對方金融交易信息均屬于個人金融信息。其二，個人金融信息的范圍不一樣。《通知》界定的個人金融信息不僅包括個人金融交易信息，還包括個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、衍生信息及其他個人信息。學術研究界定的個人金融信息僅指個人金融交易信息。

筆者贊同學術界關于個人金融信息的觀點，個人金融信息是指與公民個人開展金融活動相關的信息。理由在于：其一，除了銀行業(yè)金融機構可以掌握個人金融信息，其他機構開展金融活動時所獲得的個人信息也應當屬于個人金融信息。如果將其他機構獲得的個人金融信息排除在外，就會縮小個人金融信息的范圍，不利于保護公民的合法權益。其二，《通知》規(guī)定的個人金融信息既包括個人金融交易信息，又包括個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、衍生信息及其他個人信息。這一規(guī)定混淆了個人信息與個人金融信息之間的關系。實際上，不是個人金融信息包括個人信息，而是個人信息包括個人金融信息，個人信息是上位概念，個人金融信息是下位概念，個人金融信息只是個人信息中的一個類型。

二、關于保護個人金融信息的現行刑法規(guī)定

我國現行刑法專門規(guī)制侵犯個人金融信息的罪名主要有兩個：一個是《刑法》第一百七十七條之一第二款規(guī)定的竊取、收買、非法提供信用卡信息罪，一個是《刑法》第二百五十三條之一規(guī)定的侵犯公民個人信息罪。

(一)兩罪名保護法益的界定

1.竊取、收買、非法提供信用卡信息罪的保護法益

關于竊取、收買、非法提供信用卡信息罪的保護法益的觀點主要有下面三種觀點：

第一種觀點認為，該罪的保護法益是單一法益，為國家對信用卡資料的管理秩序。[3]407第二種觀點認為，該罪的保護法益是復數法益，包括持卡人的合法利益和金融機構的信譽。[4]第三種觀點認為，該罪的保護法益是復數法益，包括個人的信用卡信息安全和國家有關信用卡信息的管理秩序。[5]

第一種觀點只注意到該罪侵犯了國家對信用卡資料的管理秩序，未注意到該罪會同時侵犯個人的信用卡信息安全法益。第二種觀點過于抽象，未闡述清楚竊取、收買、非法提供信用卡信息的犯罪行為究竟侵犯了持卡人的何種合法利益。筆者贊同第三種觀點，這種觀點既關注到竊取、收買、非法提供信用卡信息的犯罪行為會侵犯個人法益，又關注到其會侵犯公共法益。由于竊取、收買、非法提供信用卡信息罪規(guī)定在《刑法》第三章第四節(jié)“破壞金融管理秩序罪”中，故該罪的主要保護法益是國家有關信用卡信息的管理秩序，次要保護法益是個人的信用卡信息安全。

2.侵犯公民個人信息罪的保護法益

關于侵犯公民個人信息罪的保護法益的觀點主要包括以下三種觀點：

第一種觀點認為，侵犯公民個人信息罪的保護法益是公民的人格權。[6]第二種觀點認為，侵犯公民個人信息罪的保護法益是公共信息安全。[7]第三種觀點認為，侵犯公民個人信息罪的保護法益是個人法益，同時兼顧超個人法益。[8]

筆者同意第三種觀點。侵犯公民個人信息罪規(guī)定在《刑法》第四章“侵犯公民人身權利、民主權利罪”中，故該罪的主要保護法益為公民的人身權利、公民個人的信息安全，次要保護法益是公民的財產安全、公共信息安全。原因在于：

第一，個人信息既涉及個人的人身法益，又涉及個人的財產法益。不管是立法者還是司法機關均注意到個人信息既涉及個人的人身法益，又涉及個人的財產法益。《關于〈中華人民共和國刑法修正案(七)(草案)〉的說明》明確指出：“一些國家機關和電信、金融等單位在履行公務或提供服務活動中獲得的公民個人信息被非法泄露的情況時有發(fā)生，對公民的人身、財產安全和個人隱私構成嚴重威脅?！盵9]《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)在其第五條第一款第四項規(guī)定:“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響公民人身安全、財產安全的重要信息?！彼痉▽嵺`中，個人信息遭到泄露，犯罪分子經常非法利用其掌握的個人信息實施侵犯被害人人身安全和財產安全的犯罪行為，導致被害人的人身和財產遭受重大損害。最為典型的就是徐玉玉案，犯罪分子非法獲取徐玉玉的個人信息，不僅騙取其錢財，而且導致其死亡。

第二，個人信息既具有個人屬性，又具有公共屬性。一方面，個人信息與個人法益相關聯。個人信息與個人的人身、財產安全等重大法益相聯系。另一方面，個人信息與公共安全相關聯。近年來，隨著互聯網和大數據的發(fā)展，侵犯公民個人信息犯罪案件的數量呈大幅遞增的趨勢，涉案個人信息的數量少則幾百條，多則幾億條。侵犯公民個人信息的犯罪行為對于公共安全的侵害性顯而易見。比如，2017年5月9日最高人民法院發(fā)布的七個侵犯公民個人信息犯罪典型案例涉及的信息數量最多的達到2 000萬條(丁亞光侵犯公民個人信息案)，最少的也有1萬余條(肖凡、周浩等侵犯公民個人信息案)。[10]

(二)兩罪名行為對象的厘清

1.竊取、收買、非法提供信用卡信息罪的行為對象

竊取、收買、非法提供信用卡信息罪的行為對象是個人的信用卡信息資料。按照2000年中國人民銀行的《銀行卡磁條信息格式和使用規(guī)范》，主賬號、發(fā)卡機構標識號碼、個人賬戶標識、校驗位及個人標識代碼屬于信用卡信息資料的具體內容。

這里的信用卡信息資料是指信用卡上所有的信息，還是僅指信用卡磁條上的信息？有觀點認為，信用卡信息就是指信用卡磁條上的信息。[11]有觀點認為，信用卡信息是指信用卡上的所有信息。[5]筆者贊同第一種觀點，因為信用卡磁條上的信息既包括金融機構的信息，也包括持卡人的信息。信用卡磁條上的信息完全可以體現該罪的保護法益，即國家有關信用卡信息的管理秩序和個人的信用卡信息安全。

2.侵犯公民個人信息罪的行為對象

侵犯公民個人信息罪的行為對象是公民個人信息。對于“公民個人信息”的定義，我國《刑法》《刑法修正案(七)》《刑法修正案(九)》均未規(guī)定。2013年最高人民法院、最高人民檢察院、公安部發(fā)布的《關于依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱“三部門《通知》”)、2016年通過的《網絡安全法》及2017年最高人民法院、最高人民檢察院發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對于“公民個人信息”做出了具體的規(guī)定。

縱觀三部門《通知》、《網絡安全法》、《解釋》對于“公民個人信息”的定義，三者均采取了識別型和混合型相結合的定義方式，即同時采用識別、概括和列舉的方式對個人信息進行界定；均將“能夠單獨識別”作為個人信息的特征，即個人信息要具有識別性；均列舉“姓名”“身份證件號碼”“電話號碼”“住址”等個人信息種類。但三者對于“公民個人信息”的定義也有很多不同。第一，相較于三部門《通知》中對于“公民個人信息”的定義，《網絡安全法》刪去了三部門《通知》中 “公民個人隱私”的規(guī)定，不再將 “隱私性”作為公民個人信息的特征。第二，《網絡安全法》將“能夠單獨識別”的信息擴大到“能夠單獨或者與其他信息結合識別”的信息。[12]第三，相較于《網絡安全法》，《解釋》增加規(guī)定了“自然人活動情況的信息”，擴大了個人信息的范圍。第四，相較于三部門《通知》和《網絡安全法》，《解釋》增加了“賬號密碼”“財產狀況”“行蹤軌跡”三種類型的個人信息。

三、個人金融信息現行刑法規(guī)定的局限及完善建議

雖然我國現行《刑法》規(guī)定了竊取、收買、非法提供信用卡信息罪和侵犯公民個人信息罪，但單靠這兩個罪名無法規(guī)制實踐中復雜多樣的侵犯個人金融信息的犯罪行為。

關于個人金融信息的刑法規(guī)定模式，大陸法系國家采用刑法典的規(guī)定模式。如德國《刑法》第十五章 “侵害私人生活和秘密”規(guī)定了一些與個人信息犯罪相關的罪名。英美法系國家多采用附屬刑法的規(guī)定模式，如美國在《金融隱私權法》《公平信用報告》《金融服務現代化法》《公平正確信用交易法》中制定了針對侵犯個人金融信息的刑法條文。我國《刑法》關于個人金融信息的規(guī)定模式，可以借鑒其他國家的刑法規(guī)定模式，采取刑法典和附屬刑法相結合的模式。

筆者建議在《刑法》第三章第四節(jié)“破壞金融管理秩序罪”中增設“侵犯個人金融信息罪”，具體條文可設計為：“非法提供、非法獲取或者非法使用個人金融信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處罰金。情節(jié)特別嚴重的，處三年以上有期徒刑，并處罰金。金融機構的工作人員犯前款罪的，依照第一款規(guī)定從重處罰?！辈⒃谙鄳慕洕芍幸?guī)定刑法規(guī)范。理由在于：

其一，我國現行《刑法》規(guī)定的竊取、收買、非法提供信用卡信息罪，無法有效規(guī)制侵犯其他個人金融信息的犯罪行為。因為竊取、收買、非法提供信用卡信息罪的行為對象是信用卡信息資料，信用卡信息資料屬于個人金融信息的一種，個人金融信息除了信用卡信息資料，還包括金融交易中的其他金融信息，如保險公司、證券公司、基金管理公司、網貸公司、擔保公司等掌握的個人金融信息。對于竊取或者以其他方法非法獲取保險公司、證券公司、基金管理公司、網貸公司、擔保公司等所掌握的個人金融信息的行為，我國現行《刑法》沒有規(guī)定，但是，這種行為的社會危害性與竊取或者以其他方法非法獲取他人的信用卡信息資料的社會危害性是一樣的，故有必要通過增設“侵犯個人金融信息罪”對這種行為進行刑法規(guī)制。

其二，我國現行《刑法》規(guī)定的侵犯公民個人信息罪，同樣無法有效規(guī)制侵犯其他個人金融信息的犯罪行為。雖然個人金融信息屬于個人信息，個人金融信息是個人信息的下位概念，但是個人金融信息又不同于個人信息，個人金融信息具有自身特征。個人金融信息必須是發(fā)生在金融活動中的信息，而個人信息不需要發(fā)生在金融活動中。個人金融信息的安全不僅關系個人信息，也關系金融管理秩序。然而，侵犯公民個人信息罪的主要保護法益是公民的人身權利、公民個人的信息安全，次要保護法益是公民的財產安全、公共信息安全，該罪的保護法益不包括金融管理秩序。隨著移動互聯網的快速發(fā)展，個人金融信息更加容易被獲取，侵犯個人金融信息的行為方式也越來越多樣化，然而許多行為是侵犯公民個人信息罪所無法規(guī)制的，如對于合法獲取他人金融信息后再非法使用的行為，就無法按照侵犯公民個人信息罪予以定罪量刑。[13]因此，有必要通過增設“侵犯個人金融信息罪”對復雜多樣的侵犯個人金融信息行為進行刑法規(guī)制。