金融消費(fèi)者個(gè)人金融信息的法律保護(hù)

方芳 范鈺潔

廈門大學(xué)嘉庚學(xué)院

大數(shù)據(jù)時(shí)代對(duì)金融消費(fèi)者個(gè)人金融信息保護(hù)帶來(lái)新的挑戰(zhàn)。個(gè)人金融信息是金融業(yè)經(jīng)營(yíng)者①在與個(gè)人進(jìn)行業(yè)務(wù)往來(lái)活動(dòng)時(shí)獲取、保存、使用、共享的信息以及在往來(lái)活動(dòng)結(jié)束后銷戶處理階段所涉及的信息，包括信息主體的長(zhǎng)期的交易行為、交易內(nèi)容、交易方式、交易習(xí)慣。中國(guó)人民銀行于2019年12月27日發(fā)布《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法（征求意見稿）》（簡(jiǎn)稱《實(shí)施辦法》）對(duì)近年來(lái)金融市場(chǎng)存在的亂象做出了針對(duì)性規(guī)制，然而2020年3月藝人池子在微博披露，中信銀行違法向第三方笑果文化公司提供其個(gè)人銀行賬戶交易明細(xì)，這一事件再次將金融信息泄露的風(fēng)險(xiǎn)推到大眾面前。

一、我國(guó)當(dāng)前個(gè)人金融信息面臨的侵害類型

（一）個(gè)人金融信息的泄露

傳統(tǒng)行業(yè)和互聯(lián)網(wǎng)金融行業(yè)都存在金融工作人員缺乏責(zé)任感的情況，由于管理機(jī)制和追責(zé)機(jī)制不完善，部分金融機(jī)構(gòu)及其工作人員在利益驅(qū)使下，利用自身職務(wù)便利在信息主體不知情、未經(jīng)其允許的情況下將個(gè)人金融信息擅自出售。金融行業(yè)涉及領(lǐng)域廣、金額大、人數(shù)多，個(gè)人金融信息的泄露會(huì)給信息主體的財(cái)產(chǎn)和人身安全帶來(lái)危險(xiǎn)，同時(shí)也會(huì)對(duì)市場(chǎng)運(yùn)行帶來(lái)不利影響。

（二）個(gè)人金融信息的非法利用

個(gè)人金融信息不僅與信息主體的財(cái)產(chǎn)有緊密的聯(lián)系，互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代下的金融信息被收集、分類、歸納后本就可以作為預(yù)測(cè)商機(jī)的重要資源，因此被人們需要和重視。金融機(jī)構(gòu)的從業(yè)人員在未經(jīng)信息主體的允許下，利用其金融信息進(jìn)行授權(quán)范圍之外的操作，這是明顯的非法侵害行為。盡管各個(gè)行業(yè)的運(yùn)營(yíng)模式和經(jīng)營(yíng)內(nèi)容存在不同程度的差異，線上線下業(yè)務(wù)和交易方式的多樣化促使個(gè)人金融信息在各個(gè)行業(yè)間、機(jī)構(gòu)間乃至線上線下的流轉(zhuǎn)和共享，非法利用的情形層出不窮。

（三）個(gè)人金融信息的濫用

區(qū)別于個(gè)人金融的泄露和非法利用，這類行為不屬于越權(quán)和無(wú)權(quán)，它符合信息主體和金融經(jīng)營(yíng)者的約定或協(xié)議。以 《螞蟻金融隱私權(quán)政策》②為例，其約定內(nèi)容與銀行機(jī)構(gòu)有本質(zhì)區(qū)別。首先，其內(nèi)容包括與第三方共享金融信息的情形，但并未明確具體的前提條件及共享內(nèi)容的范圍和限度。其次，關(guān)于聯(lián)系欠款關(guān)系人的內(nèi)容未明確具體違約條件、聯(lián)系人范圍，且欠款人未明確知情并同意。這無(wú)疑增加了其親友的義務(wù)，也對(duì)其親友之金融信息有侵權(quán)之嫌。因此，此類行為表面符合法律和協(xié)議，實(shí)則是對(duì)個(gè)人金融信息的濫用。

二、我國(guó)金融消費(fèi)者個(gè)人金融信息法律保護(hù)的困境

（一）尚未形成完整的保護(hù)體系

我國(guó)金融業(yè)目前仍然實(shí)施分業(yè)經(jīng)營(yíng)、分業(yè)監(jiān)管，雖然多個(gè)層次的規(guī)范性法律文件中都涉及到了對(duì)于金融消費(fèi)者個(gè)人金融信息保護(hù)方面的規(guī)定，但是大多集中于對(duì)銀行類金融機(jī)構(gòu)的監(jiān)管，缺乏對(duì)證券、保險(xiǎn)、信托、私募基金等行業(yè)保密義務(wù)的規(guī)定，這與我國(guó)近年來(lái)大力提倡發(fā)展直接融資的趨勢(shì)明顯不匹配。

金融機(jī)構(gòu)對(duì)個(gè)人金融信息的共享與披露在金融業(yè)中是最為常見的環(huán)節(jié)，《銀行監(jiān)督管理辦法》③和《征信業(yè)管理?xiàng)l例》④雖也已針對(duì)共享和信息披露作出相關(guān)規(guī)定，但對(duì)于違反保護(hù)義務(wù)所承擔(dān)的法律責(zé)任未作出詳細(xì)規(guī)定?！缎畔踩夹g(shù) 個(gè)人信息安全規(guī)范》（以下稱《信息安全規(guī)范》）關(guān)于個(gè)人信息使用、共享和披露之操作的規(guī)定比較明確，但其并未專門規(guī)定個(gè)人金融信息。另外，《實(shí)施辦法》強(qiáng)調(diào)了金融機(jī)構(gòu)的保密義務(wù)，這對(duì)金融機(jī)構(gòu)及其工作人員保護(hù)好金融信息有很大的督促作用。但這些并非法律性文件，只是監(jiān)管機(jī)構(gòu)、金融機(jī)構(gòu)開展相關(guān)工作的指導(dǎo)文件，因此不具備強(qiáng)制性而難以適用。

由此可見，對(duì)于金融信息保護(hù)范圍乃至保護(hù)義務(wù)，相關(guān)條文的零散分布使得不同金融機(jī)構(gòu)在對(duì)待同種類型或相類似的事件可以做出不同的處理結(jié)果，加之各部門之間沒有有效的協(xié)調(diào)機(jī)制以至于難以形成完整的保護(hù)體系。

（二）監(jiān)管權(quán)限劃分不明確

我國(guó)多年來(lái)的監(jiān)管理念一直是機(jī)構(gòu)監(jiān)管，即依照機(jī)構(gòu)屬性來(lái)劃分監(jiān)管對(duì)象、明確監(jiān)管主體，然而隨著實(shí)踐中混業(yè)的趨勢(shì)化，該監(jiān)管模式的不足益發(fā)明顯，即使得對(duì)金融信息的利用、共享等流動(dòng)的監(jiān)管變得十分復(fù)雜。

首先，針對(duì)不同金融機(jī)構(gòu)進(jìn)行的同一類業(yè)務(wù)所涉及的相類似的金融信息在監(jiān)管實(shí)施要求上可能出現(xiàn)不一致的情形。其次，不同監(jiān)管機(jī)關(guān)可能所涉及的監(jiān)管領(lǐng)域有所重疊，這使得同一金融信息可能被無(wú)意義的投入相同的監(jiān)管資源，當(dāng)在公共利益的驅(qū)使下，分金融信息要進(jìn)行必要的公開共享時(shí)，可能需要經(jīng)過(guò)繁瑣而重復(fù)的流程，極大降低了工作效率。另外，在不同監(jiān)管機(jī)構(gòu)的管理下，可能會(huì)導(dǎo)致監(jiān)管真空地帶的出現(xiàn)，這無(wú)疑會(huì)使得本應(yīng)被保密的金融信息暴露在公眾視野下，脫離了對(duì)個(gè)人金融信息保護(hù)的初衷。最后，在我國(guó)金融業(yè)綜合經(jīng)營(yíng)范圍的日漸擴(kuò)大下，銀行業(yè)、證券業(yè)、保險(xiǎn)業(yè)間的業(yè)務(wù)合作日益頻繁，也帶來(lái)了日益增多的交叉業(yè)務(wù)，這完全突破了原有的傳統(tǒng)監(jiān)管范圍，個(gè)人金融信息直接在不同行業(yè)機(jī)構(gòu)間進(jìn)行共享，如果繼續(xù)機(jī)構(gòu)監(jiān)管，可能導(dǎo)致金融信息的一次流動(dòng)被不同監(jiān)管機(jī)構(gòu)多次采取監(jiān)管措施，從監(jiān)管活動(dòng)的本質(zhì)來(lái)看即是不合理的。

（三）現(xiàn)有救濟(jì)機(jī)制效果受限

現(xiàn)階段個(gè)人金融信息被侵害時(shí)，實(shí)踐中大多采取調(diào)解為主、訴訟為輔的處理方式，且即便通過(guò)民事訴訟進(jìn)行救濟(jì)，作為資金和技術(shù)都處于弱勢(shì)一方的金融信息主體很難實(shí)現(xiàn)維權(quán)效果。

首先，受害人不能以金融信息主體的身份提起訴訟，欲尋求民事救濟(jì)只能依據(jù)《侵權(quán)責(zé)任法》中關(guān)于侵害隱私的一般規(guī)定，對(duì)侵權(quán)主體提起包括排除侵害、請(qǐng)求賠償?shù)纫笤趦?nèi)的訴訟，這種迂回的、間接的保護(hù)效果往往差強(qiáng)人意[6]。且對(duì)侵權(quán)行為人課加的幾乎都是行政責(zé)任與刑事責(zé)任，鮮有民事方面的救濟(jì)，金融信息主體的損失得不到實(shí)質(zhì)性補(bǔ)償。

其次，金融信息主體和金融機(jī)構(gòu)交易過(guò)程中產(chǎn)生、儲(chǔ)存的金融信息大多以電子化形式保留在金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)中，如果金融機(jī)構(gòu)確實(shí)違法利用個(gè)人金融信息或保存不當(dāng)造成信息泄露，金融信息主體是很難取證的。如果金融機(jī)構(gòu)的工作人員違反職業(yè)道德私下泄露金融信息，考慮到影響金融機(jī)構(gòu)內(nèi)部管理和外部聲譽(yù)，則該金融機(jī)構(gòu)不會(huì)主動(dòng)在有關(guān)的訴訟中對(duì)此進(jìn)行解釋。金融信息主體更不可能取得相應(yīng)的證據(jù)，沒有證據(jù)便無(wú)法贏得訴訟。

三、完善我國(guó)個(gè)人金融信息法律保護(hù)的建議

（一）構(gòu)建完整的保護(hù)體系

互聯(lián)網(wǎng)商品經(jīng)濟(jì)已經(jīng)滲透到社會(huì)的方方面面，互聯(lián)網(wǎng)中的個(gè)人金融信息更需要被納入監(jiān)管和保護(hù)范圍中，與傳統(tǒng)金融監(jiān)管形成完整的金融信息保護(hù)體系以適應(yīng)未來(lái)金融行業(yè)的發(fā)展。傳統(tǒng)的金融信息保護(hù)范圍主要保護(hù)交易期間消費(fèi)者的金融信息不被泄露和使用，然而在磋商階段及交易完成后，也有個(gè)人金融信息被侵犯的風(fēng)險(xiǎn)。因此，在未來(lái)的立法中，應(yīng)進(jìn)一步完善關(guān)于金融交易發(fā)生前后階段對(duì)個(gè)人金融信息的保護(hù)。

金融業(yè)經(jīng)營(yíng)者在對(duì)金融信息進(jìn)行授權(quán)范圍外的操作前，必須告知并獲得金融信息主體的同意。為避免頻繁“告知”帶來(lái)效率低下的問題，可以對(duì)金融業(yè)經(jīng)營(yíng)者收集、利用、共享金融信息的行為中設(shè)置禁止性情形。針對(duì)違法收集、泄露、損毀個(gè)人金融信息的行為，應(yīng)當(dāng)從違法程度和造成損失的不同方面進(jìn)行法律責(zé)任的劃分，同時(shí)提高侵犯金融信息行為的違法成本，做到對(duì)非法處理金融信息行為的懲治有法可依。

（二）明確個(gè)人金融信息監(jiān)管權(quán)限

對(duì)個(gè)人金融信息的監(jiān)管涉及實(shí)體金融領(lǐng)域和互聯(lián)網(wǎng)金融領(lǐng)域，分別存在不同的監(jiān)管機(jī)構(gòu)，比如互聯(lián)網(wǎng)領(lǐng)域有網(wǎng)信辦，而金融領(lǐng)域則存在一行兩會(huì)，因而會(huì)出現(xiàn)金融監(jiān)管交叉或重疊的情況，這就需要遵從一致性機(jī)制。一致性機(jī)制由信息管理部門的最高級(jí)別機(jī)構(gòu)設(shè)置，其余機(jī)構(gòu)都應(yīng)當(dāng)遵從該機(jī)制制定不同領(lǐng)域具體的監(jiān)管細(xì)則。機(jī)制中除了一般性規(guī)定，也需要規(guī)定在不同領(lǐng)域監(jiān)管機(jī)構(gòu)必要時(shí)進(jìn)行合作時(shí)所需要遵從的職能劃分原則和發(fā)生沖突時(shí)的解決辦法。在一行兩會(huì)的監(jiān)管模式下，中國(guó)人民銀行的統(tǒng)籌監(jiān)管特性的愈加突出，對(duì)于一些涉及重大項(xiàng)目的個(gè)人金融信息，可由其進(jìn)行協(xié)調(diào)統(tǒng)一監(jiān)管。

（三）對(duì)金融消費(fèi)者實(shí)行傾斜保護(hù)的原則

金融消費(fèi)者在信息收集能力、專業(yè)知識(shí)儲(chǔ)備、經(jīng)濟(jì)能力等方面處于弱勢(shì)地位，尤其是在舉證時(shí)，除了侵害后果，在侵權(quán)行為、侵權(quán)行為與損害后果之間的因果關(guān)系、主觀過(guò)錯(cuò)這三項(xiàng)待證事實(shí)中，很難從行政機(jī)關(guān)、金融機(jī)構(gòu)等強(qiáng)勢(shì)主體方調(diào)取金融信息被泄露的證據(jù)。因此，相關(guān)立法有必要明確金融管理機(jī)構(gòu)及其工作人員的責(zé)任承擔(dān)形式以及個(gè)人金融信息受到了侵害時(shí)的解決方式。為了切實(shí)維護(hù)金融消費(fèi)者的權(quán)益，有過(guò)錯(cuò)的金融機(jī)構(gòu)及其責(zé)任人首先應(yīng)承擔(dān)民事責(zé)任；同時(shí)，以行政責(zé)任和刑事責(zé)任為補(bǔ)充，充分發(fā)揮法律的震懾作用。除此之外，也有必要簡(jiǎn)化侵權(quán)主體的民事責(zé)任構(gòu)成要件，以達(dá)到減輕金融消費(fèi)者舉證責(zé)任的特別要求。

結(jié)論：金融消費(fèi)者既是金融市場(chǎng)中資金的源頭，也是金融服務(wù)的終點(diǎn)，能否切實(shí)保護(hù)金融消費(fèi)者，關(guān)系到我國(guó)金融市場(chǎng)的健康可持續(xù)發(fā)展。今年4月17日，中國(guó)人民銀行網(wǎng)站發(fā)布的《2020年規(guī)章制定工作計(jì)劃》中包括了個(gè)人金融信息（數(shù)據(jù)）保護(hù)試行辦法、征信業(yè)務(wù)管理辦法、中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法等，我國(guó)對(duì)于金融消費(fèi)者個(gè)人金融信息的法律保護(hù)已經(jīng)取得了實(shí)質(zhì)性進(jìn)展，進(jìn)一步夯實(shí)了金融市場(chǎng)的基礎(chǔ)。

注釋：

①金融業(yè)經(jīng)營(yíng)者是包括銀行業(yè)金融機(jī)構(gòu)、非銀行業(yè)金融機(jī)構(gòu)以及第三方支付平臺(tái)，其業(yè)務(wù)信息接入中國(guó)人民銀行各個(gè)系統(tǒng)（征信、支付等系統(tǒng)）中的機(jī)構(gòu)的經(jīng)營(yíng)者。

②《螞蟻金融隱私權(quán)政策》：“我們（螞蟻金服）對(duì)您的信息承擔(dān)保密義務(wù)，但我們有權(quán)在下列情況下將您的信息與第三方共享……根據(jù)格式條款，螞蟻花唄可以在用戶違約時(shí)向您（用戶）傳達(dá)信息的親戚朋友、聯(lián)系人等披露您（用戶）的違約信息”。

③《銀行業(yè)監(jiān)督管理法》：“第11條 銀行業(yè)監(jiān)督管理機(jī)構(gòu)工作人員，應(yīng)當(dāng)依法保守國(guó)家秘密，并有責(zé)任為其監(jiān)督管理的銀行業(yè)金融機(jī)構(gòu)及當(dāng)事人保守秘密。國(guó)務(wù)院銀行業(yè)監(jiān)督管理機(jī)構(gòu)同其他國(guó)家或者地區(qū)的銀行業(yè)監(jiān)督管理機(jī)構(gòu)交流監(jiān)督管理信息，應(yīng)當(dāng)就信息保密作出安排?！?3條 第四十三條擅自設(shè)立銀行業(yè)金融機(jī)構(gòu)或者非法從事銀行業(yè)金融機(jī)構(gòu)的業(yè)務(wù)活動(dòng)的，由國(guó)務(wù)院銀行業(yè)監(jiān)督管理機(jī)構(gòu)予以取締;構(gòu)成犯罪的，依法追究刑事責(zé)任;尚不構(gòu)成犯罪的，由國(guó)務(wù)院銀行業(yè)監(jiān)督管理機(jī)構(gòu)沒收違法所得，違法所得五十萬(wàn)元以上的，并處違法所得一倍以上五倍以下罰款;沒有違法所得或者違法所得不足五十萬(wàn)元的，處五十萬(wàn)元以上二百萬(wàn)元以下罰款?！?/p>

④《征信業(yè)管理?xiàng)l例》：“第14條 禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息。征信機(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息。但是，征信機(jī)構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意的除外?！?/p>