我国个人金融信息保护法律问题研究

时间：2024-04-25

朱伟彬

摘要：近年来，我国频繁发生个人金融信息泄露、贩卖事件，严重侵犯金融消费者的合法权益，加强个人金融信息保护已成为迫切需要解决的问题。本文通过研究美国、欧盟个人金融信息保护制度，指出我国个人金融信息保护面临法律制度不健全、监管职责不清晰、工作机制不完善等问题，并从明确个人金融信息保护的立法理念、赋予个人金融信息主体权利、明确监管部门及职权、完善救济途径等方面对我国加强个人金融信息保护提出建议。

关键词：个人金融信息；金融消费权益保护；金融消费者

2012年中央电视台“3.15”晚会曝光了多家商业银行员工向不法分子出售客户个人金融信息，犯罪分子利用这些个人信息筛选编排出最有可能的六位数密码，从而盗取银行客户银行卡内资金，导致大量客户总计3000余万元存款被盗的事件。这一事件是近年来发生的最严重的个人金融信息泄密事件，再次给我国个人金融信息保护工作敲响警钟。随着金融业的快速发展，个人金融信息所隐含的经济价值被激发，具有较大的商业市场价值。在经济利益的驱使下，少数商业机构采取各种不正当方式获取并使用他人金融信息，侵害了金融消费者的隐私权利，造成金融消费者的资金损失，给国家金融稳定带来巨大的隐患。因此，从法律层面加强对个人金融信息的保护，对维护个人权益、保证个人信息安全、维护个人权益和金融稳定具有重要意义。

一、个人金融信息保护概述

（一）个人金融信息的内涵与外延概念

对个人金融信息的界定，目前我国尚未作出明确的法律定义，理论界和实务界从不同的角度对个人金融信息进行不同的界定。中国人民银行在《关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）中从信息来源的角度对个人金融信息进行狭义的定义。1但1890年，美国的两位法学家布兰蒂斯和沃伦在哈佛大学《法学评论》上发表了一篇题为《论隐私权》的文章，首次提出“隐私权”的概念，在之后的一百年多年时间里，各国纷纷立法承认和保护个人的隐私权。

通常认为，隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的一种人格权，而且权利主体对他人在何种程度上可以介入自己的私生活，对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。根据隐私权理论，隐私权的特征有三方面：一是隐私权的主体是自然人；二是隐私权的客体包括个人活动、个人信息等；三是隐私权的保护范围受公共利益的限制。个人金融信息具备隐私权的三项特征，在本质上具有人格利益和财产利益，因此我们认为个人金融信息应该作为隐私权的保护内容。

在美国，“个人金融信息”叫作“financial privacy”，翻译成中文是“金融隐私权”，美国关于个人金融信息保护的法律制度也将个人金融信息表述为“financial privacy”。由此可见，在美国个人金融信息是隐私权的一种。把个人金融信息纳入隐私权的内容有两方面好处：一是丰富隐私权的内容；二是由于人们对隐私权比较敏感，把个人金融信息纳入隐私权的范畴可以提高人们对个人金融信息的重视程度，提高个人金融信息的保护力度。

从广义上来讲，个人金融信息不仅包括银行业机构掌握的信息，而且还包括证券与期货业机构、保险与保险中介机构等金融机构掌握的信息。因此，本文认为，个人金融信息是指银行业机构、证券业机构和保险业机构等金融机构在开展业务活动中获取、加工和保存的金融消费者的个人金融信息。包括：个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息及其他个人信息。

（二）个人金融信息保护的必要性

1、保护个人金融信息是保护人格尊严的具体体现。个人金融信息保护法律制度的根本价值，是维护主体在信息社会中的人格尊严。个人金融信息具有人格权利益和财产权利益，一旦发生个人金融信息侵权事件，不仅可能导致信息主体财产损失，更直接侵犯信息主体的人格权利。国际社会理论界和立法界已基本达成共识，确保本人对个人信息的自主支配与利用，就是对其人格尊严的保护。

2、保护个人金融信息是保护金融消费者权益的必然要求。2008年爆发的国际金融危机表明：金融消费者的合法权益受损，将伤害金融机构自身的发展，危及金融稳定。加强金融消费权益保护与宏观审慎管理、微观审慎监管已成为国际金融监管改革的三条主线。党中央、国务院高度重视金融消费权益保护工作，国务院批准的《金融业发展和改革“十二五”规划》明确我国“十二五”期间将加强金融消费者权益保护。

3、保护个人金融信息是维护金融稳定的重要方面。个人金融信息频繁泄露最重要的原因是，其本身具有一定的经济价值，往往是金融机构工作人员通过非法出售向外提供的。大量的个人金融信息泄露或被非法利用，金融机构不仅要承担金融消费者的损失，还可能引发自身的经营风险。更为重要的是，如果不遏制非法转让个人金融信息的现象，将导致个人金融信息保护处于无序、混乱的状态，将会失去客户对金融机构的信任，产生系统性风险，危及金融稳定。个人金融信息的泄漏将造成金融系统的混乱，破坏金融系统的安全性和稳定性，给国家金融稳定带来巨大的隐患。

二、国外个人金融信息保护制度比较

（一）美国和欧盟个人金融信息保护的法律制度比较

1、美国个人金融信息保护法律制度。美国对个人金融信息保护采取分散的立法模式。自从1961年的彼特森案确立银行保密义务以来，美国陆续出台了许多单行法律法规对金融信息进行保护。1970年美国通过《银行保密法》（The Currency And Foreign Reporting Act），这部法律承认银行对客户信息的保密义务，但又给予政府获取这些信息的权力。由于给予政府的权力过大，因此饱受美国民众的诟病。在反对声中，美国国会于1978年制定了《金融隐私权法》（Right To Financial Privacy Act）。这部法律旨在保护金融消费者的隐私权，限制政府获取个人金融信息的权力。在这期间，美国在1974年制定了《隐私权法》（The Privacy Act），这是一部全面保护个人隐私权的专门立法，也是首次通过成文法的形式承认需要对个人金融方面的隐私和政府机构利用个人信息进行有效的平衡。其后，美国又于1976年颁布了《公平信用报告法》（Fair Credit Reporting Act），这部法律规定信用报告机构和利用机构的义务，要求它们确保提供信息的准确性，对消费者负有公开信息的义务。接下来，美国由于1999年制定了《金融服务现代法》（Gramm-Leach-Bliley Financial Services Modernization Act），这部法律关于隐私权的条款规定了对非公开的个人信息的保护。金融机构有尊重客户隐私的义务，并保护客户非公开个人信息的安全性和机密性。2000年6月，货币监理署、联邦储蓄保险公司和储蓄管理办公室共同制定了《消费者财务隐私保密最终规则》（Privacy of Consumer Financial Information， Final Rule），它要求银行、保险公司、投资公司和抵押公司等金融机构共同执行。具体内容包括该规则中受保护的主体、保护内容、银行应履行的义务、银行的免责事由以及信息再用问题。

2、欧盟个人金融信息保护法律制度。欧盟作为一个区域性国际组织，建立了数据保护法律框架，把包括个人金融信息在内的一切个人信息统称为个人数据（Personal Data），通过统一的立法加以保护。欧洲议会和欧盟理事会出台了《个人数据处理和自由流动保护指令》（Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data）（以下简称《数据保护指令》）、《与欧共体机构和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》、《电子通信领域个人数据处理和隐私保护的指令》、《个人数据自动化处理之个人保护公约》等一系列规定。欧盟各成员国根据欧盟指令和规章的精神，对个人数据保护进行了国内立法。例如，英国于1998年制定了《数据保护法》，法国对《个人数据处理的个人保护法》进行修改，于2004年颁布了《数据处理、数据文件及个人自由法》，德国于2003年通过了《德国联邦数据保护法》，瑞典、西班牙、匈牙利等过也相继制定了本国的个人数据保护法。

在上述法律中，发布时间最早、影响最深远的是《数据保护指令》，它是目前关于个人信息保护最为严格和完整的一部法律，它确立的原则和内容贯穿了以后的欧盟个人数据保护法律体系。

《数据保护指令》由欧洲议会和欧盟理事会于1995年10月共同发布，并于1998年10月正式生效。该指令的制定有两个基本目的：一是允许数据在欧盟范围内自由流动，禁止成员国以保护数据为由阻碍数据在欧盟内部流通；二是在全欧盟范围内实现数据保护最低限度制度。该指令共有34条，分为7章，分别是总则、关于个人数据处理合法性的一般规则、司法救济责任与制裁、向第三国传输个人数据规则、行为守则、监管机构和涉及个人数据处理时的工作组、实施措施。

（二）欧美个人金融信息保护法律制度评述

美国和欧盟对个人金融信息保护的两种做法分别代表了当今世界对个人信息保护的两种立法模式，一种是统一的立法模式，一种是分散、单行的立法模式。通观各国个人金融信息保护的立法实践，我国可以参照欧盟的做法。理由在于以下几方面：

第一，在立法模式上，欧盟选择的是统一法典的立法模式，将包括个人金融信息在内的一切个人信息的主要保护制度统一规定在一部法典内，这种做法与我国偏向于大陆法系的立法传统相一致，符合我国民众的法律思维，便于法律的执行；美国选择的是分散的、单行的立法模式。这也是由美国的普通法传统决定的，美国以判例法为主，在此之外再辅以单行条例作为立法补充，由于缺乏普通法传统，美国的立法模式不适合于中国。

第二，在保护力度上，欧盟的《数据保护指令》是目前关于个人信息保护最为严格和完整的一部法律。它除了规定个人信息处理的一般原则，还规定了信息主体享有访问权、决绝权、自主决定权、损害救济权等权利，同时也赋予监管机构调查权、干预权、出台销毁信息的禁令、警告、劝诫、移交司法部门和处罚等权力。可以说，《数据保护指令》基本涵盖了所有部门和所有类型的信息数据处理，是当今世界上第一个采用综合方法保护隐私和个人信息数据的法律制度。而美国的立法是循序渐进的，呈现一种“查漏补缺”、“填补空白”的特点，而且美国立法讲究的是个人信息保护和政府知情权之间的平衡，在个人金融信息保护力度上弱于欧洲的立法。

第三，在内容体系上，欧盟的《数据保护指令》体系更加完整、内容更加全面。该指令规定个人信息处理要遵循合法、终极、透明、合适、保密和安全、监控六项原则。在主体权利上，赋予了个人享有信息处理权利，包括访问权、拒绝权、自主决定权和损害救济权。在向第三国传输数据时，只有当第三国确保能够提供充分的保护时，才能向第三国转让正在处理或转让后将要被处理的个人数据。在救济方面，该指令规定，当个人遭受因非法数据操作或因一国法令的规定与指令要求不符合而带来的损害时，成员国赋予受害方获得因遭受损害而向数据控制方进行索赔的资格；除非数据控制方能证明自己没有过错，否则将承担赔偿责任。该指令还要求各成员国设立一个以上的公共机构负责指令的监督实施，并赋予该机构调查权、干预权、出台命令消除或销毁数据的权力，警告、劝诫，或将情况告知国家议会或其他决策机构、提起诉讼等多项权力。

可以说，《数据保护指令》基本涵盖了所有部门和所有类型的信息数据处理，是当今世界上第一个采用综合方法保护隐私和个人信息数据的法律制度，规范了个人数据的有序流动，增强了对消费者的个人信息的保护。

三、我国个人金融信息保护立法及监管现状

目前我国并没有专门的个人金融信息保护立法，有关的规定散见于一些法律条文中，见表1。我国早在2003年就开始起草《个人信息保护法》，2005年已完成起草。这是一部保护公民所有个人信息的法律，当然也包括个人金融信息。但截止目前这部法律还没有正式出台。我国个人金融信息保护立法的滞后，导致目前个人金融信息保护存在诸多问题。

（一）缺乏个人金融信息保护的专门法律法规

这样的立法现状存在以下问题：一是法律规定层次不一，体系不完整，协调性不强，部分内容存在重复或者冲突，导致在法律适用上存在困难；二是有关个人金融信息保护的规定并不是为了保护个人金融信息而制定的，而是出于其他立法目的而制定的，如反洗钱，这种对个人金融信息的附带性保护并不能产生良好的效果；三是原则性强，可操作性差，大部分条文只规定金融机构的保密义务，并没有要求金融机构的操作规程、保密范围、保密标准、责任后果、免责条款等，缺乏具体的实体内容。

（二）个人金融信息监管部门职责不清，执法手段不足

目前对个人金融信息保护的基础立法不到位，哪个机构拥有个人金融信息监管职权尚未完全明确，“一行三会”等监管部门在各自领域开展相关工作，但由于缺乏明确的职责范围和协调机制，个人金融信息保护工作存在多头监管、监管真空、效率低下的状况。此外，由于缺乏基础性立法的支持，各监管部门行使监管、检查和处罚的法律依据不充分。法律仅对金融机构泄露个人金融信息的行为规定了罚则，如《反洗钱法》第32条规定对金融机构违反保密规定，泄露有关信息的行为予以处罚；《商业银行法》第72条规定对商业银行非法查询、冻结、划扣存款的行为予以处罚；《个人信用信息基础数据库管理暂行规定》对征信服务中心、商业银行违反规定，泄露个人信用信息制定了相应的处罚措施。这些规定都没有明确哪一个部门拥有处罚权，对处罚的标准也没有明确规定。而且也只是对非法泄露行为进行处罚，没有对非法收集、保存、使用的行为进行规制。

（三）对侵害个人金融信息行为的追究和打击力度不够

《刑法》虽然规定了相关罪名，但对于一般性的违法侵犯个人金融信息权益的案件无法适用，实际工作中对泄露个人金融信息的行为立案、判刑的先例也极少。在行政法上，对违法侵犯个人金融信息权益的机构和主要责任人缺乏明确的行政责任和行政处罚规定。在进行民事责任追究上，往往依据侵权行为法的有关规定处理，在计算受害者损失时缺乏科学的标准，没有惩罚性赔偿，金融机构侵权带来的收益远大于成本，不能起到遏制的作用。

四、加强我国个人金融信息保护的建议

从目前来讲，加强我国个人金融信息保护立法工作可以从两方面来完善：一是尽快出台《个人信息保护法》，在该法中设专门章节规定个人金融信息保护；二是推动制定《个人金融信息保护办法（条例）》。但无论采取哪种方式，规范个人金融信息保护必须明确以下问题，即个人金融信息保护的立法理念或原则，赋予个人金融信息主体的权利，监管部门及其职权，以及相关的救济措施。

（一）立法理念

1、保护金融消费者的合法权益。保护个人金融信息，维护金融消费者的合法权益，是金融业发展的必经阶段，也是促进金融业改善自身经营状况，维护金融稳定的要求。由于金融机构掌握金融消费者大量的个人金融信息，且两者处于不对等的地位，如果国家不出面规范金融机构的行为，那么金融机构很可能会非法使用自身掌握的信息，侵害金融消费者的利益。因此，在立法理念的确定上，必须强化对金融消费者权益的保护。在制度设计上，通过赋予金融消费者相关权利、要求金融机构建立相关的内控制度和信息保密措施、强化监管机构职能等方式落实保护金融消费者权益的理念。

2、维护个人金融信息保护与社会公共利益的平衡。保护个人金融信息有时会与维护社会公共利益相矛盾，过分强调个人金融信息的保护有可能导致社会公共利益的损失。在明确界定个人金融信息保护的同时，需要明确规定执法、司法等有权部门查询和调取个人金融信息的法定程序，平衡好个人金融信息保护与社会公共利益之间的关系。

（二）构建我国个人金融信息保护制度的具体建议

1、明确个人金融信息主体享有的权利。在个人金融信息保护的立法构建中，首先应当明确的是信息主体的权利，从另一方面来讲，这也是金融机构的义务。参照欧盟的立法规定，个人金融信息主体至少应享受以下权利：决定本人信息是否被金融机构收集、处理、使用的权利；查询本人在金融机构的金融信息处理情况及要求其修改、删除的权利；信息主体在遭受损害时的损害赔偿权。

2、健全金融机构个人金融信息保护机制。金融机构应当合法地收集和处理个人金融信息，并应当告知当事人有关信息处理的情况；金融机构应当采取相应技术手段和组织措施确保信息处理的保密性和安全性，并接受监管机构对信息处理的监控；金融机构对其持有的个人金融信息负有保密义务，在未经个人同意前不得公开其本人的金融信息。与此同时，出于对国家利益、社会公共利益等因素的考虑，也应当明确金融机构免除保密义务的具体情形，如：法律明确规定免除的、客户授权同意的、为了打击犯罪等公共利益等。

此外，在金融国际化的今天，个人金融信息在跨国金融集团内部甚至外部之间传输、流动已成为不可避免的趋势，必须加强管理。一方面要与有关国家和地区签订双边或多边协定，对缔约国的境内个人金融信息向境外流动做出约定；另一方面要建立对境内跨国金融集团及其分支机构对外输送个人金融信息的法律审查机制，防止其违法向境外机构传输个人金融信息。

3、明确监管部门和监管职责。在我国，金融消费权益保护作为金融监管部门的新职责，目前“一行三会”及其分支机构已经搭建起金融消费权益保护的工作机构，相关工作有序推进。个人金融信息保护作为金融消费权益保护的重要内容，应作为金融消费权益保护机构的职责之一。根据中编办对我国金融消费权益保护制度的安排，建议建立以人民银行牵头负责协调、其他监管部门分别负责各自监管领域内个人金融信息保护的监管机制。同时，明确金融消费权益保护机构在开展个人金融信息保护工作时的职责应包括：建立个人金融信息保护的规范和标准，促进金融机构建立个人金融信息保护的规范和标准，促进金融机构建立个人金融信息保护的体制和机构，对金融机构开展个人金融信息保护工作开展现场和非现场检查；督促金融机构加强信息系统安全管理，规范其个人信息数据库的管理，防止信息被滥用；对金融机构违规收集、处理、使用、泄露个人金融信息，造成客户损失或社会不良影响的，可以采取相应的监管措施。

4、完善侵权救济手段，明确法律责任。个人金融信息侵权行为侵害的是信息主体的人格利益和财产利益。因此，侵害个人金融信息的赔偿责任包括两种形式，一是精神损害赔偿，一是财产损害赔偿。财产损害赔偿主要是对信息主体财产利益损害的填补。精神损害赔偿是对信息主体精神利益侵害的补偿，应由侵权人给予一定的金钱作为补偿和精神抚慰。同时，在举证责任上，侵权的金融机构应当承担无过错责任，即除非金融机构能证明自己没有过错，如符合法律规定的特定情形，否则就应当承担侵权责任。

参考文献

[1]陈坚.论银行业个人金融信息的法律保护[J].法制与社会，2013，（5）：5-8。

[2]陈永明，吴蔚蓝等.基层银行机构金融消费者权益保护现状调查与思考[J].甘肃金融，2011，（3）：40-42。

[3]董龙训，基层央行开展金融消费权益保护工作的探索与思考[J].吉林金融研究，2013，（3）：1-6。

[4]郭炎兴.加快建立个人金融信息保护制度—访中国人民银行条法司司长周学东[J].中国金融家，2011，（8）：43-45。

[5]石佳友.网络环境下的个人信息保护立法[J].苏州大学学报，2012，（6）：85-96。

[6]王宝刚，张立先等.个人金融信息保护法律问题研究[J].金融理论与实践，2013，（2）：74-79。

[7]王华庆.完善金融消费权益保护机制[J].中国金融，2012，（22）：10-12。

[8]王锐.云时代的消费者金融信息安全监管模式探讨[J].金融与经济，2012，（6）：37-41。

[9]阳露昭，丁丽雪.美国的金融信息保护制度及其对我国的启示[J].浙江金融，2009，（5）：22-23。

[10]杨启庸.完善我国个人金融信息保护的法律构想—以欧盟模式为例[J].金融发展评论，2012，（5）：101-106。

[11]张志峰.个人金融信息法律保护的探讨[J].金融时报，2011，（7）：9-12。

[12]周悦丽.个人信用信息的法律保护研究[J].法学杂志，2007，（4）：158-160。

The Research on the Issues of Laws on Chinas

Personal Financial Information Protection

ZHU Weibin

（Guangzhou Branch PBC， Guangzhou 510120）

Abstract：In recent years， the disclosure and selling of personal financial information have happened frequently in China， which has seriously infringed the rights and interests of financial consumers， therefore， strengthening the protection of personal financial information has become an urgent issue needing to be solved. Through the research on American and European Unions personal financial information protection system， the paper points out that Chinas personal financial information protection is faced with such problems that the legal systems are not perfect， regulatory responsibilities are not clear and the working mechanisms are not complete. And the paper puts forward suggestions on strengthening Chinas personal financial information protection from such aspects as definituding legislative conceptions of personal financial information protection， granting the subject right of personal financial information， clarifying the regulatory departments and their powers and perfecting relief ways and so on.

Keywords： personal financial information； financial consumer rights and interests protection； financial consumer

责任编辑、校对：杨振峰