个人金融信息保护问题研究

龙源期刊网个人金融信息保护问题研究作者：来源：《金融经济·学术版》2014年第01期引言在金融业信息化程度不断提升的现代社会，个人金融信息安全与财产安全的关联度日益提升。作为个人金融信息最主要的收集和使用者以及公民财产重要的贮藏和代管者，金融机构有责任和义务成为保护个人金融信息安全的“排头兵”。若是缺乏有效的法律规制难免会出现个人金融信息被误用、滥用的情形，损害信息主体的利益。近年来频频发生个人金融信息泄漏事件，让公众震惊和忧虑，个人金融信息保护工作亟待加强。一、个人金融信息保护概述（一）个人金融信息的内涵和外延个人金融信息是指与公民个人开展金融活动相关，在借贷交易、监管、征信等活动中产生、采集的公民个人身份信息、金融交易信息以及衍生信息。一般应包括：1、个人身份信息，如个人姓名、身份证件种类和号码等；2、个人财产信息，如个人收入状况、不动产状况等；3、个人账户信息，如账号、开户时间、开户行等；4、个人信用信息，如信用卡还款情况、贷款偿还情况等；5、个人金融交易信息，如银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息；6、衍生信息，如个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；7、个人其他信息。（二）隐私权和个人金融信息1890年，美国学者沃伦和布兰代斯发表了《论隐私权》一文，标志着隐私权概念的产生，自此隐私权逐渐走入各国立法的视野。美国最高法院将隐私权划分为三类：私事决定隐私权、身体隐私权和信息隐私权。信息隐私权是个人对自身可识别信息的收集、披露和使用的控制权。个人金融信息作为个人信息的重要组成部分，与个人隐私有非常密切的联系。一方面，个人金融信息往往具有私密性，另一方面，侵害个人金融信息的行为一般表现为非法披露个人金融信息资料。然而，保护隐私权的主旨在于保护权利人免受外界的非法干扰，维护个人私密的空间，具有一定的被动性。个人金融信息的保护除了不应被他人非法披露之外，还包括信息主体对个人金融信息的控制权。同时，个人金融信息也不仅仅是私密的信息，部分个人金融信息资料因为涉及公共利益必须在一定范围内公开。对于侵害个人金融信息的救济，除了精神损害赔偿之外，还应当包含财产损失赔偿。可见，虽然隐私权和个人金融信息具有交叉关系，但是二者无论是从权利内容上还是权利救济途径上看都有一定区别。龙源期刊网（三）个人金融信息保护的必要性1.保护个人金融信息是对个人隐私权的尊重隐私权是人的自然权利，它使人成为独立的个体，获得独立的人格，自由支配自己的生活，其重要性不言而喻。对建立在隐私权基础上的个人金融信息权的保护也是对其根基隐私权的保障。个人金融信息中的许多信息是不愿被公开的私人隐秘领域或者是期望排除他人干涉的领域。对于这些信息的侵犯不仅会使个人的财产蒙受损失，而且会使个人的精神受到打击。2.保护个人金融信息是信息分享的前提金融机构通过获取大量个人金融信息，并且对其进行开发利用，能够产生可观的经济价值。但对个人金融信息的分享是以个人金融信息获得充分保护为前提的。如果一个国家的个人金融信息保护处于无序、混乱的状态，个人将会对金融机构和当局失去信任，从而不愿意提供这些信息，个人金融信息分享也就成为空谈。3.保护个人金融信息是国家金融和信息安全的题中之意个人金融信息保护关系到国家金融和信息体系的稳定和安全，个人金融信息的泄露将造成金融系统的混乱，破坏金融系统的稳定性和安全性。我国网络购物用户规模占网民的41.6%，远低于发达国家水平，一大原因就是我国网民对通过网络提供个人金融数据的担忧，主要体现在担心被诈骗、信息被泄露或盗取以及个人信息被非法利用。目前，我国金融机构已出现个人金融信息泄露的迹象，而美国信用卡泄露事件更足以让我国提高对个人金融信息保护的重视程度，在该事件中有8660名中国客户受到牵连。二、主要国家和地区个人金融信息保护制度概述及比较（一）国际上个人金融信息保护的法律制度比较1.美国美国在对个人信息保护总体上采取自律模式，主要通过行业性自律规范对个人信息进行保护，而在医疗、金融等领域则通过制定特别法对个人信息予以保护。美国的个人金融信息保护具有以下特点：（1）实行区别行业保护。对于银行业金融信息保护依据的主要是联邦法律，对于保险业的金融信息保护则依据各州自己制定的法律。在证券业方面，以联邦监管机构制定的规则为主，以行业自律为辅。主要法律依据有：1966年《信息公开法》、1971年《公平信用报告法》、1974年《隐私权法》、1978年《金融隐私权法》、1999年的《金融服务现代化法》、2003年《公平正确信用交易法》和2010年《多德—弗兰克法案》等。龙源期刊网（2）确立了权利协调和公益优先原则。如果金融机构严格执行保密义务，不允许向外披露，很可能会放纵违法犯罪行为的发生，因此有必要对个人金融信息权利加以适当的限制。由此，美国确立了协调和公益优先的原则。当一项消费者信息涉及公共利益时，法律规定国家有权力要求金融机构向其披露消费者信息。但同时，这种权力的行使必须限制在一定范围内，由此确立了政府、客户、金融机构、法院四方主体共同构成的金融信息平衡关系。（3）特别重视行业自律的管理模式。作为以市场为导向的国家，美国特别重视运用行业自律的模式管理金融领域。除个别领域外，金融行业协会制定的自律规范成为金融机构保护个人金融信息的重要基础性依据。2.欧盟欧盟则并不区分领域，采取统一保护的模式，对各类数据实行同一水平的保护。1995年欧盟通过了《关于个人资料处理及自由流通个人保护指令》，该指令一出台即成为了欧盟最重要的个人信息保护法律，其为所有行业的个人信息保护提供了统一的标准，该指令主要规定以下内容：（1）保护的数据类型。指令对保护的数据类型规定非常广泛，任何与一个被证实的或可以证实的自然人有关的信息均纳入保护的类型中。（2）信息主体的主要权利。包括：数据主体对个人信息的存取权、获得信息权和拒绝权。数据控制者必须向数据主体提供身份、数据处理目的等信息。数据主体有权随时拒绝关于本人的数据处理，有权拒绝为直接营销目的而进行的处理，或者在个人数据被使用前有权知悉。（3）信息处理的合法性基础。指令规定在以下情形下可处理个人信息：一是数据主体明确同意。二是为履行约束数据控制者的义务有必要处理时。三是当涉及税收、反洗钱等公共利益时。3.日本日本主要是通过法律与自律规范的紧密结合来对个人金融信息进行保护。（1）建立了相对完善的保护法律体系。自1987年起，日本相关机构先后制定了《办理关于金融机构保护个人资讯指南》、《关于民间部门保护个人信息指导方针》、《个人信息保护法》、《金融领域个人信息保护方针》与《金融领域个人信息保护方针的安全管理措施实务指南》等法律文件，是日本个人金融信息保护的重要依据。（2）依靠法律规范和自律规则做好保护工作。主要是通过成文法律与行业性自律规则建立对个人金融信息保护的制度体系。日本全国银行协会参照监管部门发布的个人资料保护指南，制定了行业内的自律性规则，用以指导金融机构做好个人信息保护工作。龙源期刊网（二）国际个人金融信息保护法律制度的评述综观各国对个人信息的保护制度，具有以下特点：1.个人金融信息保护皆有法可依，制度相对完善。美欧日等发达国家或地区大都制定了包括个人金融信息在内的保护法律规范，法律体系相对完善，在保护个人信息安全的理念上具有一致性。2.基于法律文化差异等原因，个人金融信息保护的模式选择不尽相同。美国是判例法国家，金融监管体制不同于其他国家和地区，采取银行、证券和保险行业分别保护的模式。欧盟作为主权国家的联盟性机构，考虑各国的不同情况，只能制定涵盖范围广泛的保护规定，因此，采取了全面性保护模式。3.均规定了信息的来源渠道和收集手段合法。金融机构首次获得信息必须基于建立业务关系的初次契约中，契约的生效也就包含了消费者同意或授权的意思表示。在信息的收集上，必须坚持“最少必需”的原则。在信息流出金融机构时，区别不同的信息类型，决定是否需要获得消费者的明确意思授权。4.均规定了金融信息保护的例外内容。为合理平衡个人金融信息保护和信息披露之间的关系，保证金融业务的正常开展，在规定金融机构保密义务和客户权利的同时，一些例外规定应运而生。这些例外情况逐渐发展并渗透在以后的有关金融信息保护的法律中，对于解决金融信息权益保护与其他相关规定的冲突起到了一定的平衡作用。三、我国个人金融信息保护立法及监管情况（一）现行法律中关于个人金融信息保护的规定目前，我国个人金融信息保护的制度尚不完善，对个人金融信息的保护主要体现在以下法律法规和规范性文件中。1.法律层面。我国《民法通则》、《刑法》和《商业银行法》有部分条款直接或间接涉及个人信息的保护。《民法通则》第99-101条分别对公民的姓名权、肖像权和名誉权作出保护规定。《刑法修正案（七）》规定了出售、非法提供公民个人信息罪及非法获取公民个人信息罪两个罪名。《商业银行法》第二十九条规定了商业银行应当遵循为存款人保密的原则、有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款（但法律另有规定的除外）。2.行政法规层面。1992年的《储蓄管理条例》（国务院令第107号）第五条规定“储蓄机构办理储蓄业务，必须遵循……为储户保密的原则”。2000年的《个人存款账户实名制规定》（国务院令第285号）第八条也规定了金融机构为储户保密的义务。2013年3月15日起施行的《征信业管理条例》（国务院令第631号）是我国个人金融信息保护工作上的一个里程碑，条例共47个条款，有将近一半直接涉及个人金融信息保护。其中关于个人金融信息保护的主龙源期刊网要制度设计包括：尽可能地扩大履行个人金融信息保护职责的机构范围、提高征信机构的准入门槛、规范信息的采集和使用、保障信息主体的知情权、设立个人信息纠错机制、严格法律责任等。3.部门规章层面。人民银行、银监会等在其部门规章中针对电子银行、反洗钱及信用卡业务等方面对银行客户个人信息的保护作出了相关规定。如中国人民银行2005年制定了《个人信用信息基础数据库管理暂行办法》（中国人民银行令〔2005〕第3号），对个人信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面进行了规范。其中第十三条要求商业银行获取个人信用信息必须取得当事人的同意，使其享有知情权。此外，罚则部分对征信机关、商业银行违反保护规定，泄露个人信用信息行为制定了相应的处罚措施。该暂行办法是我国颁布的第一个专门针对个人信用信息保护的规章。《电子银行业务管理办法》（银监会令2006年第5号）第五十二条规定：“金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定”。人民银行、银监会、证监会和保监会联合颁布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》（中国人民银行令〔2007〕第2号）第二十八条规定：“金融机构应采取必要管理措施和技术措施，防止客户身份资料和交易记录的缺失、损毁，防止泄漏客户身份信息和交易信息”。《商业银行信用卡业务监督管理办法》（银监会令2011年第2号）第三条规定：“商业银行经营信用卡业务，应当依法保护客户合法权益和相关信息安全。未经客户授权，不得将相关信息用于本行信用卡业务以外的其他用途”。4.规范性文件层面。人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）第2条规定：“银行业金融机构在收集、保存、使用、对外提供个人金融信息时，应当严格遵守法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，防止信息泄露和滥用”。（二）个人金融信息保护现状分析目前，我国对个人金融信息的保护已在相关立法上有所体现，但也应该看到，与其它国家或地区相比，我国在个人金融信息保护方面仍然存在较大的缺陷，主要表现在以下几个方