个人金融信息的三重法律保护

文/许可 法学博士，对外经济贸易大学数字经济与法律创新研究中心执行主任

数月来，魔蝎科技、新颜科技等多家与现金贷相关的数据公司接连被查处，包括有盾、聚信立、白骑士等在内的多家知名数据风控公司相继停止了与爬虫相关的个人数据业务。这场针对金融领域的个人信息执法风暴，源于监管机构主导的现金贷溯源性整肃，以及公安机关全国范围内开展的扫黑除恶行动，旨在打掉“套路贷”和暴力催收的数据源头。然而，“飘风不终朝，暴雨不终日”，金融个人信息的保护绝非一日之功，其最终依赖于体系化的理论回应和长效化的制度设计。本文试图溯本求源，厘清个人金融信息保护的多元化脉络，希冀对《个人金融信息（数据）保护试行办法》以及《个人信息保护法》的制定有所助益。

重要性日益彰显的个人金融信息私法保护

个人金融信息保护始于金融隐私权规则。银行为客户保密的义务源远流长，不论是英国1924年的“图尔尼尔”案，还是美国1961年的“皮特森”案，法院都明确判决：不容侵犯地对金融隐私权保护是银行与客户关系中的内在根本原则，未经客户的明示或默示同意，银行不得向任何第三方披露其信息。在相关案件中，法院运用合同法中“默示条款”的技术，认为尽管双方没有明确的约定，但保护客户金融隐私仍构成依照惯例而成立的默示条款，其原因有三：首先，银行业务是一种社会公众服务，为简化手续，银行与客户不会就所有内容巨细靡遗地订立明示合同；其次，客户缺乏相应的知识和能力，与银行建立关系时通常并不注意或提出金融隐私权保护问题；最后，即便客户没有提出金融隐私权保护的要求，银行作为公共信用机构，不应辜负客户对银行的信任，应基于公众的信赖为客户保密。

在后续案例发展中，客户金融隐私权的范围进一步得以明确。受保护的个人信息包括：（1）有关账户的信息，包括账户上所存款项、资金数额、收支情况、资金来源和去向、账户记录、信用卡的情况；（2）有关客户交易的信息，包括交易标的、种类、性质、内容、价格、当事人、时间等；（3）银行因保管客户的账户而获得的与客户有关的任何信息。但上述对金融隐私的保护存在下列例外：（1）法律有要求银行披露客户账户信息的强制性规定；（2）为了公共利益的需要而应当披露客户账户信息；（3）为了银行自身的利益而披露有关客户账户的信息；（4）在客户明示或默示同意的前提下披露客户账户的信息。

为了进一步强化金融隐私权，美国1970年颁布的《公平信用报告法》（FCRA）将客户对金融隐私的被动防御权向主动性权利拓展，将知情权赋予客户，即客户有权知悉个人信息的使用情况，特别是政府在未经其同意下，收集信用资料及传输其他信息。1978年，为了平息1970年《银行保密法》对政府授权过大的担忧，美国专门出台了《金融隐私权法案》，强调客户对于金融机构所保管的涉及自身利益的隐私信息享有控制权，金融机构有义务保护客户信息安全。

当前，在隐私转向个人信息的变迁中，我国金融个人信息的私法保护将形成“权利基本法+特别法”的二元格局。一方面，我国正在制定的《民法典人格权编（草案）》已经把隐私和个人信息作为重要的人格权益列入其中，客户可以诉诸侵权法或合同法，以维护对自身金融个人信息的保护。另一方面，金融机构传统保密义务也继续延续，这体现在《个人存款账户实名制规定》第八条、《人民币银行结算账户管理办法》第九条、《商业银行法》第二十九条、《信托法》第三十三条、《证券法》第四十四条、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第三条、《个人信用信息基础数据库管理暂行办法》第五条等条款中。

日趋严格的个人金融信息公法保护

随着信息技术的迅猛发展，金融隐私的私法保护已显得捉襟见肘。1999年，美国《金融服务现代化法》（GLBA）出台，其第五章就金融机构如何收集、保护金融个人信息作出专项规定，从而开启了个人金融信息公法保护的大门。根据该法，联邦储备理事会、货币监理署、储贷监理署（OTS）、存款保险公司、证券交易维护员会、全国信用合作社管理局、联邦贸易委员会以及商品期货贸易委员会等八家联邦机构负责相关监管规则的执行。随后上述监管机构制定了《消费者金融信息隐私P条例》及“客户信息安全与机密保护标准”规定：（1）对于可能造成客户信息威胁的风险应进行辨识、评估；（2）针对相关风险的管理与控制应制定具体的计划，包括风险管理政策及程序；（3）切实执行并定期检查该计划；（4）持续依据下列指标检视及调整该计划：信息科技进步、消费者信息的重要性、信息成本的内部及外部风险。

上述相关法规所具有的全面性、操作性和执行强度，使得美国金融机构对个人金融信息的保护水平大幅提升。有研究显示，为应对GLBA，美国银行业对内部信息系统的安全现状和存在问题进行了综合评价，根据要求修改规程并完善系统，成效显著。2005年，面对金融领域日益猖獗的“身份盗窃”案，参议员科茨尼提出“金融隐私保护法案”,强调金融机构的安全保障义务，建立了个人信息安全保护系统，并定期更新。虽然该法案和之前的“金融机构隐私保护法草案”一样，并未获得最终通过，却彰显出美国对个人金融信息公法保护的重视。

让我们把视线转向大西洋彼岸。2018年生效的欧盟《一般数据保护条例》（GDPR）为个人金融信息的公法保护奠定了坚实基础。作为对个人信息保护最严格的法律，GDPR首先通过宣称落实《欧洲人权公约》第8条、《欧盟基本权利宪章》第7条项下的“个人数据获得保护的基本权利”，将个人信息权利上升到“人权”的高度。正如欧盟委员会前副主席芮丁女士所言，“个人数据保护对于欧洲人而言是一项基本权利”，欧洲一直将“其视为一种建立在基本人权之上的政治要求”。其次，个人信息基本权利的定位，要求政府机构首当其冲承担起保护责任。为此，GDPR确立了统一的个人信息保护机构——数据保护局（DPO），并从两个方面扩张了权力：一方面，从事后处罚权向“警告、申诫、要求数据控制者、处理者改正、要求对个人数据予以更正或删除”等事中矫正权拓展；另一方面，将罚款额度上调到了史无前例的2000万欧元或全球营收入的4%（两者取其高）。最后，GDPR以“General”一词作为其首要限定，表明其通用性与广泛适用性，从而将包括金融机构在内的所有数据控制者均纳入管辖范围。

较之美国和欧盟，我国对个人金融信息保护有着更强的公法色彩。2009年，《刑法修正案（七）》首次将金融机构及其工作人员出售或非法提供公民个人信息作为犯罪行为加以规制。2011年，中国人民银行和原银监会相继出台了《关于银行业金融机构做好个人金融信息保护工作的通知》和《关于加强电子银行客户信息管理工作的通知》。其中，《关于银行业金融机构做好个人金融信息保护工作的通知》强调指出：对个人金融信息的保护是银行业金融机构的一项法定义务，银行业金融机构收集、使用和对外提供个人金融信息行为，应严格遵循法律规定，采取有效措施加强对个人金融信息保护，确保信息安全，保护金融消费者合法权益，维护金融稳定。《关于加强电子银行客户信息管理工作的通知》则就加强商业银行电子银行资金转移与支付环境的客户信息管理工作提出要求，要求其不断加强客户信息安全的内部控制与管理，未经客户授权，不得直接或间接将客户敏感信息提供给第三方，同时，应加强对合作商户、第三方合作方的准入管理，明确信息共享的权利义务，防范套现与欺诈。值得一提的是，2017年颁布的《网络安全法》是我国个人信息公法保护的集大成者。其在《国家安全法》的框架下，开创性地将“个人信息安全”纳入到“网络安全”的范畴之内，通过确立“合法、正当、必要”三原则以及“保密性、完整性、可用性”标准，辅以金融、来源等关键信息基础设施的数据本地化制度，《网络安全法》在某种意义上成为了中国版本的“个人信息保护法”。

另辟蹊径的消费者权益法保护

通过公法保护个人金融信息固然有力，但也面临着执法成本过高、过度干预企业经营的指责，在此背景下，作为公法和私法的混合法，消费者权益法成为保护个人金融信息的又一选择。美国是个人信息消费者权益保护的先行者。2015年，奥巴马政府颁布了《消费者隐私权利法案（草案）》。

顾名思义，该法案从“消费者”这一基本概念出发，将“消费者有权期望机构以和消费者提供数据的语境相一致的方式来收集、使用和披露个人数据”作为法案的核心。区别于公法保护，消费者权益保护更加强调企业自我监管，要求企业就其处理消费者个人信息的行为，包括如何收集、使用和分享数据，制定自身的行为准则。同样，有异于私法保护，该法案明确规定了个人信息保护的七项基本原则，即透明度、个人控制、尊重情景、集中收集和负责使用、安全性、访问与准确性、责任性。2018年出台并将在2020年生效的《加州消费者隐私法案》，进一步推进了消费者权益保护路径，赋予消费者以知情权、删除权、反对数据歧视权等多项权利。为支持法案的执行，州总检察长要对消费者权利保障承担职责，并设立“消费者隐私基金”。此外，该法案还赋予消费者诉讼权利，以应对未经授权的访问和泄露、盗窃或披露消费者“未加密或未编辑处理的”个人信息等特定行为。

个人信息的消费者权益保护也已成为我国的立法选择。2013年《消费者权益保护法》修订，为消费者增设“个人信息依法得到保护的权利”，明确经营者收集、使用消费者个人信息的“合法、正当、必要”原则，同时规定了经营者及其工作人员所负有的保密、信息安全、泄露补救等义务。在此基础上，原银监会下发《关于印发银行业消费者权益保护工作指引的通知》（银监发〔2013〕38号），其第十二条首次提出“银行业消费者的个人金融信息安全权”。2015年，《国务院办公厅关于加强金融消费者权益保护工作的指导意见》（国办发〔2015〕81号）重申这一权利，要求金融机构采取有效措施加强对第三方合作机构的管理，严格防控金融消费者信息泄露风险。2016年，《中国人民银行金融消费者权益保护实施办法》出台，单辟一章“个人金融信息保护”，特别规定：（1）金融机构不得以概括授权的方式，索取与金融产品和服务无关的个人金融信息使用授权或者同意；（2）金融机构不得将金融消费者授权或者同意其将个人金融信息用于营销、对外提供等作为与金融消费者建立业务关系的先决条件，但该业务关系的性质决定需要预先做出相关授权或者同意的除外；（3）在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行；（4）金融机构保护消费者个人金融信息安全的义务不因其与外包服务供应商合作而转移、减免。

在传统金融向数字金融转型的背景下，个人金融信息不但事关每个人的切身权益，也事关我国数字经济发展的大局。在未来的立法中，有必要综合考量私法保护、公法保护和消费者权益保护的制度优劣，通过精细化的规则设计，在个人金融信息保护与利用之间寻求中庸之道。

本文原载于《中国银行业》杂志2019年第11期。

声明：本文来自中国银行业杂志，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。