试析银行业个人金融信息的法律保护

紫霞小仙子

　　论文摘要 侵犯银行个人金融信息的行为主要包括个人金融信息的泄漏、滥用和不正确记载。个人对银行个人金融信息不仅享有隐私权，还享有控制权。对侵犯银行个人金融信息而造成的精神损失和财产损失均应得到赔偿。建立银行个人金额信息保护体系的关键之处在对银行个人金融信息的定义和保护模式的选择。我国应该首先制定个人信息保护相关法律，将金融个人信息保护纳入该法律中，并成立金融消费者权益保护机构，为银行个人金融信息的保护提供健全的监管体系。

　　论文关键词 银行个人金融信息 侵权 金融消费者 权益保护机构

　　近年来，个人金融信息泄露事件时有发生，引起了社会的广泛关注。个人金融信息既是金融机构的宝贵财富，也关系到客户的隐私权和财产安全。为了规范金融市场，保护金融消费者的合法权益，我国应当建立、健全个人金融信息的法律保护体系。现代金融以银行为核心，因此，本文着眼于银行业个人金融信息的法律保护，以期对金融消费者权益保护制度的完善有所裨益。

　　一、侵害银行个人金融信息的情况分析

　　一般而言，个人金融信息就是银行在办理各种业务时输入、输出和处理的客户个人信息，这是银行在日常业务工作中积累的基础数据。银行是信息和数据流最多的行业之一，银行所获取的个人信息往往是非常敏感的，与个人的隐私和财产安全密切相关。由于这些信息是存储在银行内部，且能表现出一定的利用价值，在没有健全的监管体系的情况下，这些个人敏感信息将存在被侵害的危险，主要表现在以下几个方面：
　　1.银行滥用个人金融信息，作为交叉营销的手段。在没有取得客户事先同意的情况下，银行可以凭借客户提供的个人信息向客户营销其它金融产品，以达到扩大银行金融产品的影响力和覆盖面。这样就会对客户的个人安宁造成严重的影响。
　　2.银行向其他经济机构泄露或者出卖个人金融信息，使客户成为其他经济机构的营销对象。个人金融信息的商业价值很高，这些信息往往是其他金融机构和企业单位梦寐以求的。这些经济机构在获取了个人金融信息之后，就会通过各种形式向客户营销产品，突出的表现为海量的垃圾手机短信和纸质宣传材料，严重影响了人们正常的生活秩序。
　　3.个人金融信息缺乏准确性。个人金融信息是个人征信体系的主要组成部分，银行记录个人金融信息不正确，或者不全面，都会影响客户的社会信用评价，进而损害客户利益。
　　4.银行泄露个人金融信息，使客户成为犯罪分子的侵害目标。个人金融信息内容丰富，且涉及敏感领域，是犯罪分子进行电信诈骗的“最佳”作案工具。可以说，个人金融信息的泄露是电信诈骗的重要原因之一。同时，个人金融信息的泄露，也为违法犯罪分子冒用他人名义办理业务而盗取财物创造了有利条件。另外，个人金融信息还涉及个人金融交易习惯，如往常的大额取现的时间、取现地点等，它的泄露，为暴力犯罪创造了条件。
　　5.违法犯罪分子窃取银行个人金融信息。现代金融业早已进入网络时代，网络开放性和互交性的特点使得违法犯罪分子可以借助高科技手段获取个人金融信息，以达到违法犯罪的目的。

　　二、侵害银行个人金融信息的保护现状

　　侵害个人金融信息的行为可以总结为个人金融信息的泄露、滥用和不正确记载。首先，对于个人金融信息记载不正确的情况，中国人民银行颁布的《个人信用信息基础数据库管理暂行办法》（下称征信办法）规定了异议程序，个人认为本人的信用信息存在错漏，可以向所在地中国人民银行征信管理部门或直接向征信服务中心提出书面异议申请，征信管理部门应当依程序纠正。但是，个人征信异议申请需要由所在地的中国人民银行征信管理部门层层转交至征信服务中心，再由征信服务中心转至商业银行核查，异议处理流程耗时长，且对于客户提交的书面申请，需要邮寄转交，容易丢失、遗漏，这必然会造成个人的损失。而且，对于因个人金融信息登记的错误处理，《征信办法》仅规定行政责任，对于因此而产生的财产损失，尚缺乏有针对性的法律救济途径。
　　其次，对于因个人金融信息的泄露而引起的财产损失，则认定为侵害物权，权利人可以依照民事侵权或者合同违约的相关规定要求侵权人或者银行承担责任。为客户保密个人金融信息，既是合同义务，也是法定义务。银行没有采取措施保障个人金融信息的安全，致使客户的财产遭受损失，银行应当承担相应的责任。然而，对于个人而言，不知道是谁泄露了自己的个人金融信息，维权成本高，只能依赖于公安机关，个人的财产损失难以及时补救。
　　再次，个人金融信息的泄露和滥用的行为主要存在于商业机构的营销上，相对上述两种情况而言，这种情况更为普遍和泛滥，更应该得到法律的救济。在信息时代，对信息的汇总、分析和加工可以大幅降低交易成本，也可以使消费者更便捷地获得针对性服务。但是，过分的泄露个人信息则会导致个人生活安宁遭受影响，是一种侵害个人隐私权的行为。根据《侵权责任法》规定，侵害他人隐私权的，应当承担侵权责任。然而，我国民事法律没有关于隐私权的详细规定，隐私权仍是一个抽象的概念。什么是个人的隐私，侵犯隐私权的程度如何衡量，赔偿标准如何确定，这些问题都取决于法官的自由裁量权。在个人金融信息泄露和滥用的情况下，什么样的个人金融信息属于隐私权的保护范围更是一个值得深入探讨的问题。
　　最后，在现有的法律体系中，保护个人金融信息的规定散见于《人民银行法》、《商业银行法》和《反洗钱法》等法律规定中，尚无法对个人金融信息给予全面保护。例如，《商业银行法》仅规定了银行为存款人保密的义务，储蓄仅仅是商业银行的日常业务之一，该规定难以涵盖全部个人金融信息。而且，对于银行非法查询个人存款或者向外人提供查询结果的行为，只有在发生财产损失的情况下，始能要求银行承担民事责任，无法涵盖侵犯隐私权的情况。根据《民事诉讼法》、《刑事诉讼法》等法律的相关规定，有权机关依照法定程序查询的一般是个人金融资产信息，不包括身份信息、信用信息和衍生信息等。可见，《商业银行法》的保密义务主要对抗的是公权力对个人财产的侵害，而忽略了银行对个人金融信息的泄露和滥用问题。

　　三、银行个人金融信息保护体系的基础分析和模式选择

　　构建个人金融信息保护体系的主要任务在于：一要明确个人金融信息的含义和范围，以及银行掌握个人金融信息的界限；二要明确侵害个人金融信息的行为性质以及民事救济途径。前者为构建个人金融信息保护的基础，该问题仍是一个法律空白，这使得个人金融信息的维权行动成为无源之水。后者决定了个人金融信息的保护模式，是构建个人金融信息保护体系的最终目标。
　　（一）银行个人金融信息含义和范围的界定
　　虽然法律对个人金融信息没有明确的概念，但是中国人民银行于2011年1月21日发布的《关于银行业金融机构做好个人金融信息保护工作的通知》（以下简称为个人金融信息保护通知）对个人金融信息做出了明确的定义。该通知将银行个人金融信息定义为“银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息”。该通知是从银行业的角度对个人金融信息进行定位，以来源作为界定个人金融信息的标准。银行获取个人信息的目的在办理业务、审核结算、控制风险。随着社会的发展，银行的风险点会不断地变换，银行为了控制风险必然需要创新渠道去获取与业务相关的信息。对个人金融信息的定义不应该仅以来源来界定，还应该结合个人金融信息的其它特征加以界定。从保护个人金融信息的角度来看，个人信息一旦为银行所获取，银行就应当谨慎地履行保密义务，该保密义务不能因保存的介质变化而转变。而且，该保密义务应当延伸至信息的加工品，直至加工为与个人脱离直接联系的抽象信息。因此，个人金融信息应当定义为银行业金融机构为了开展和结算业务、防范和监控风险，向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。
　　《个人金融信息保护通知》将银行个人金融信息分为七个类别。该通知采取的是“分类列举”的表达方式，对具体的工作起到了很好的指导作用。然而，法律是抽象和具体的统一体，即要有普适性，又能为具体的行为提供准确、无歧义的指引。从草拟法律条文的角度来看，个人身份信息、个人财产信息、个人账户信息等分类项目已经包含了紧跟其后的举例项目。同时，将具体的项目罗列出来难以囊括全部的个人金融信息，这就有可能造成某些新类型的个人金融信息得不到应有的保障。例如，银行卡内嵌的磁道信息和银行卡账号是直接联系的，磁道信息和密码一起构成了打开账户交易大门的“钥匙”。银行卡的磁道信息虽然不为客户个人所知晓，但这些信息与个人紧密联系，一旦泄露，会直接造成了个人的财产损失。然而，这类信息却没有出现在《个人金融信息保护通知》的列举事项之中。所以，在法律规定中，个人金融信息的概念外延应当采用“个人的身份信息、财产信息、账户信息、金融交易信息等银行在与个人建立业务关系过程中获取、保存的个人信息，以及对个人的消费习惯、投资意愿等原始信息进行处理、分析所形成的反映特定个人某些情况的信息”。
　　（二）个人金融信息的保护模式
　　个人信息资料与个人隐私有非常密切的联系，一方面个人信息资料往往具有私密性，另一方面，侵害个人信息资料的行为一般表现为非法披露个人信息资料。国内学者一般认为，个人信息资料的保护可以纳入隐私权的范畴。同时，不少国家也是将个人信息资料按照个人隐私来对待，如美国和德国等。然而，保护隐私权的主旨在于保护权利人免受外界的非法干扰，维护个人私密的空间，具有一定的被动性。个人对个人信息资料除了不应被他人非法披露之外，还包括对个人信息资料的控制权，如权利人有权纠正已公开或者由他人占有的个人信息资料，以及有权拒绝他人超出原定目的使用个人信息资料。同时，个人信息资料也不仅仅是私密的信息，部分个人信息资料因为涉及公共利益必须在一定范围内公开，例如个人的姓名、性别、公民身份号码等信息。对于已经公开的信息，权利人也享有控制权，也属于个人信息资料的权利内容。对于侵害个人信息资料的救济，除了精神损害赔偿之外，还应当包含财产损失赔偿。可见，虽然隐私权和个人信息资料具有交叉关系，但是对个人信息资料的保护无论是从权利内容上还是从救济途径上都宽于隐私权。因此，个人信息资料应当作为一项独立的权利加以保护，其救济方式可以参照《侵权责任法》的规定。
　　个人金融信息与一般的个人信息资料类似，个人金融信息同样不能单纯按隐私权来保护。个人金融信息与一般的个人信息资料相比，其与个人财产安全的联系更加紧密。对个人金融信息的侵害更容易造成个人的财产损失。而且，银行获取个人信息的范围非常广，远远超出其他企业所获取的个人信息范围。所以，银行个人金融信息应该在保护个人信息资料的基础上，谋求更多的法律保护。例如，为了体现个人对个人金融信息的控制权，对于银行逾期不修改错误的个人金融信息的，个人可以要求银行承担精神和财产损失。
　　四、银行个人金融信息的保护措施

　　（一）制定专门法规，为保护个人金融信息提供法律依据
　　目前，个人信息保护只存在于各行各业的内部规范之中，但是，制定规则的主体往往是交易的优势方，这必然会出现不公平的情况。而且，个人信息资料的保护和控制权限的界定往往是通过商业合同来确定的。由于没有上升到法律层面，个人信息资料往往得不到很好的保护。因此，通过法律的形式保护个人信息资料具有相当的现实意义。目前，我国的《个人信息保护法》已在起草阶段，而我国的行业执法权比较分散，立法者需要协调各个部门之间的意见，该法律的出台仍没有具体的时间表。然而，个人信息资料侵权问题已经成为一个社会问题，随着人们权利意识的逐渐增强，社会问题必然会演化为法律问题。面对即将到来的执法、司法难题，《个人信息保护法》应当尽早制定。
　　相比而言，银行个人金融信息保护问题尤为突出，一方面是因为银行业竞争越来越激烈，银行需要积极营销方能占据市场地位，另一方面，随着科技的进步和经济的繁荣，银行的发展成本也逐渐增加，银行没有很好地权衡利润和再生产的关系，使得安全问题频发。为此，银行的个人金融信息保护工作走在了前列。金融业，特别是银行业，在国民经济中占据了独特的地位，其在交易中优势地位更加明显。在《个人信息保护法》的基础上再制定专门保护个人金融信息的规则是很有必要的。其中，首先要明确个人金融信息的定义，明确银行收集个人金融信息的目的和范围；其次，规定银行保护、使用个人金融信息的法定义务，即要求银行必须按照法定的方式、途径收集、保存和使用个人金融信息，并履行一定的告知义务；再次就是侵害个人金融信息的认定办法和救济途径。

　　个人金融信息保护的规则应当纳入《个人信息保护法》中，作为该部法律的一个章节，即《个人信息保护法》采用“总则与分则”的行文模式，先制定个人信息保护的一般规则，然后根据行政机构、事业单位和企业等顺序，分别规定不同主体、不同行业的个人信息保护规则。对于具有特殊性的行业，例如金融业、通讯业等，可以专门制定一个章节。
　　（二）建立个人金融信息的维权机构，减少个人的维权成本
　　在银行业个人金融信息的维权行动中，个人往往需要面对两个问题，一是维权成本，二是证据的获取。因此，个人维护个人金融信息安全困难重重。德国著名法学家耶林在《为权利而斗争》一书中说，“为权利而斗争，是对个人、社会和国家的义务”。个人权利的普遍缺失，应当成为社会共同应对的问题。对于个人金融信息的保护问题，以及金融消费者保护问题，应当建立专门的金融消费者权益保护机构。传统的消费者协会，限于专业知识的缺乏，难以胜任金融消费者的保护工作。而单独将银行业划出来，成立专门的银行业消费者权益保护机构又会面临机构过小而丧失生命力。金融业存在互通性，而且目前存在众多金融产品集中销售的情况，金融业应当作为一个整体建立专门的金融消费者权益保护机构。目前金融业面临着央行、证监会、银监会、保监会多个监管机构分业管理的局面，在金融消费者权益的保护问题上，特别是跨行业的问题，难以形成合力。如果能建立一个金融消费者权益保护机构，将能起到引导金融消费者维权、与各个部门的协调作用，更好地维护金融消费者权益，促进金融市场的健康发展。就目前情况下，金融消费者权利保护机构应该设置在央行之下，由央行主办成立。
　　对于银行个人金融信息保护问题，以及其他金融消费者的权利保护问题，如何收集证据是权利人难以回避的难题。在此类纠纷中，不宜适用举证倒置的规则，即不应当由银行承担不存在侵权行为的举证责任。首先，举证倒置会促使银行更加谨慎的保留业务操作的相关资料，增加银行的运行成本，不利于国民经济的快速发展。其次，举证倒置促使诉讼激增，不但银行无法应对，就连司法机关也难以承担如此大的工作量。再次，消费者可以通过央行、银监会和司法机关等机构获取与银行的相关证据，如向公安机关报案，可以申请公安机关调取银行留存的文档和视频资料。所以，个人金融信息纠纷不宜适用举证倒置规则具有一定的现实意义。但是，这样就会造成个人获取证据的成本过大，很多人会因受侵害的权益普遍不大而主动放弃了维权的机会。在这种情况下，建立一个专门的维护金融消费者权益机构是相当必要的，它既可以引导个人获取证据，提供法律咨询，也可以组织集体诉讼，降低个人的维权成本，促使银行业重视所存在的问题，同时还能协调各个部门，减少行业冲突。
　　（三）完善商业银行法律制度，建立完善的监管体制
　　央行和银监会应当督促银行建立个人金融信息查询、修改和使用的登记、审批制度，对于超出个人所申请办理的业务范围的查询、修改和使用个人金融信息的应当做好登记和审批工作，审批程序应当足以达到对非法查询、修改和使用个人金融信息的行为进行监管的目的。对于没有登记和审批的查询、修改和使用个人金融信息的行为，并且超出个人所申请办理的义务范围，应当由银行承担相应的行政和民事责任。
　　对于个人金融信息的修改问题，央行应当修改《征信办法》，明确征信异议申请流转的具体程序、时间限制和责任分担等问题。对违规操作的人员给予相应的纪律处分，对造成损失的，应当赔偿。对银行违规登记个人金融信息，或者不按时删除、更新个人金融信息的，银行承担相应的行政责任和民事责任。
　　银行还应当投入适当的经费，维护、升级银行风险防控系统，防止个人金融信息被他人盗取。对于银行委托外包服务商，银行除了与外包服务商签订保密协议外，还应当尽到最谨慎的监管义务，保证个人金融信息不被非法转存、查询、修改和使用。