封立

摘要：个人金融信息是金融机构日常开展业务所形成的一类关键数据，也是消费者隐私的重要组成部分。近些年来，我国频发个人信息泄露事件，严重侵犯了消费者的合法权益，也加大了金融机构的运营风险，引起了社会的高度关注。本课题在对比分析美国、欧盟、日本个人金融信息保护体系的基础上，指出我国在个人金融信息保护领域存在的不足，并从国家、监管部门、金融机构和消费者四个层面对改进我国个人金融信息保护工作提出相关建议。

关键词：金融机构 消费者 个人金融信息

一、个人金融信息概述

目前，我国尚无相关法律法规对个人金融信息这一概念进行明确界定。通常认为，个人金融信息是指金融机构在开展业务过程中所掌握的客户信息，主要包括：身份信息、账户信息、财产信息、金融交易信息、信用信息等。

个人金融信息兼具人格权利益和财产权利益。对于信息主体而言，信息泄露可能威胁自身的财产安全，影响正常生活。对于金融机构来说，如果个人金融信息大量泄漏，其不仅要承担相应的赔偿责任，还可能引发经营风险。因此，加强个人金融信息保护工作刻不容缓。

二、国外个人金融信息保护法律制度比较

当前，个人金融信息保护已成为人权保护在金融领域的重要体现。大多数国家形成了强化个人金融信息保护的共识，并依据本国的价值导向逐渐形成了各具特色的经验和做法。

（一）美国

1.实行区别行业保护。在金融信息保护方面，美国银行业将联邦法律作为依据，保险业将各州法律作为依据，而证券业则将联邦监管规则作为依据，辅之以行业自律。主要法律依据有：1966年《信息公开法》、1978年《金融隐私权法》、1999年的《金融服务现代化法》和2010年《多德-弗兰克法案》等。

2.明确公益优先原则。当个人金融隐私权与公共利益发生冲突时，国家有权力要求金融机构提供相关信息，但法律也对国家这一权力进行了必要限制，用于平衡政府、客户、金融机构等主体的关系。

3.特别重视行业自律。

（二）欧盟

与美国的分散立法不同，欧盟在金融信息保护上采取统一的立法模式。其1995 年通过的《关于个人资料处理及自由流通个人保护指令》（简称《指令》）对所有行业的个人信息保护标准进行了统一。

1.体系完整全面。《指令》基本涵盖了所有部门，明确了数据主体的基本权利、向第三国传输个人数据时的相关规则以及司法救济程序，内容全面、广泛，成为欧盟各国的立法依据。

2.保护力度强。除了一般原则，《指令》还确定了数据主体对个人信息的访问权、拒绝权、损害救济权等权利。同时，为了强化国家监督，《指令》也赋予了监管机构相关调查权、干预权、警告、劝诫和处罚等权力。

3.监管机构与职责明确。为确保实施，《指令》规定，欧盟各成员国应至少设立一个公共机构来履行监督职能。这些监管机构负责处理因保护《指令》所规定的数据主体权利和自由产生的投诉问题，提供相关咨询服务。

（三）日本

1.法律体系相对完善。在立法模式上，日本参照了欧盟的做法，于1987年以来先后制定了《个人信息保护法》、《金融领域个人信息保护方针》（简称《保护方针》）与《金融领域个人信息保护方针的安全管理措施实务指南》（简称《实务指南》）等法律法规，作为保护个人信息的重要法律依据，并在此基础上形成了相对完善的个人信息保护体系。

2.法律规范和行业自律有机结合。在保护机制上，日本则参照了美国的“行业自律”模式，将政府立法与行业自律相结合，实现对个人信息的综合保护。在《个人信息保护法》制定后，金融业界参照该法修订了自律规范。日本全国银行协会也参照监管部门发布了个人资料保护指南，用以指导金融机构做好个人信息保护工作。

三、我国个人金融信息保护工作存在的不足

（一）法律体系不够完善

当前，我国对个人信息保护的民事法律依据主要是《民法总则》第111条的规定，刑事法律依据主要是《刑法》第253条的规定，对于那些侵犯个人信息的一般违法行为无法规制，消费者的信息安全得不到全面保护。金融领域法律如《商业银行法》、《保险法》等仅原则性规定了金融机构应履行的保密义务，缺乏具体内容。《征信业管理条例》中有将近一半的条款涉及个人金融信息保护，但该条例的保护对象仅局限于个人信用信息。《关于银行业金融机构做好个人金融信息保护工作的通知》对银行机构收集、使用、保管客户信息等进行了全面而详细的规定，但属于规范性文件，效力层级过低，且调整对象仅为银行机构，对于证券机构、保险机构无法适用。基础立法的缺失，导致我国个人金融信息保护工作难以有章可循。

（二）监管职责不够清晰

由于我国个人信息保护领域基础立法的缺失，尚未指定哪个金融监管机构拥有相应的监管权，中国人民银行、银保监会、证监会等在各自监管领域开展工作，沟通与协调不足，导致我国的个人金融信息保护工作存在多方监管、监管漏洞、监管重叠等问题。同时，即使在监管机构内部，也没有明确具体由哪个部门负责个人金融信息保护的监管工作。

（三）行业自律和个人保护意识有待加强

一方面，金融机构对个人信息的保护不够重视。在内部管控方面，相关业务规则落实不到位，没有组建专门的个人信息管理機构，导致各部门在个人信息保护领域杂乱无章，缺少统一管控;另一方面，金融消费者自我保护意识有待提高。调查显示，我国金融消费者的金融知识整体掌握程度并不高，没有充分认识到自身金融信息的重要性，风险防范意识比较薄弱。

四、加强我国个人金融信息保护工作的相关建议

（一）健全信息保护法律体系

尽快推动个人信息保护立法工作，条件成熟时可出台《个人信息保护法》，设立专门章节来规定对个人金融信息的保护，通过法律层面确定个人金融信息的重要地位。另外，加快修订《商业银行法》、《保险法》等金融领域法律，明确所有金融机构保护客户信息的责任与义务。同时，金融监管机构可据此制定部门规章，对个人金融信息的采集、保管、使用、保密及例外、监督处罚等做出详细规定。从而便可形成以专门立法为核心、其他金融领域法律相配合、部门规章为补充的信息保护法律体系。

（二）明确监管部门与监管职责

个人金融信息保护是金融消费者权益保护的重要领域，应当明确为金融监管机构的一项重要监管职责。鉴于人民银行承担了国务院金融稳定发展委员会办公室的职责，故建议由人民银行主要监管个人金融信息保护工作，协调银保监会、证监会等联合行动。在人民银行内部，应指定由专门的部门来牵头负责。同时，需明确具体的监管职责：制定个人金融信息保护领域的规章与规范性文件;指导金融机构组建专门的部门并设立相应的标准;督促金融机构加强信息安全管理，妥善保管個人信息;对金融机构个人信息保护工作开展现场检查与非现场评估;对违法收集、使用或泄露客户信息，造成损失或其他影响的，可采取一定监管措施，等等。

（三）强化金融机构的责任意识

个人金融信息保护的关键在于金融机构。因此，应明确金融机构的责任与义务，强化内部管理。一是加强内部控制。金融机构要树立事先预防的观念，根据监管部门的要求制定并完善个人金融信息管理制度，设立专门的部门来统筹信息保护工作，明确岗位职责;二是完善信息系统建设。运用先进的防火墙、数据加密、网络安全监控和第三方认证等技术手段并实时更新，有效防御外部攻击，保证信息系统的稳定与安全;三是强化工作人员管理。把保密知识作为工作人员培训的必学内容，定期开展相关教育培训，推动工作人员牢固树立“为客户保密”的意识;四是加强对业务外包单位相关人员的管理。采取一系列措施有效防范其利用工作便利接触消费者的个人信息，设置隔离栅栏，及时消除风险隐患。

（四）提升金融消费者的风险防范能力

一方面，金融机构要构建金融消费者宣传教育的长效机制，在日常业务办理过程中，主动向消费者提示可能存在的个人信息泄露风险，提醒消费者注意妥善保管自身信息;在对外金融知识普及中，加强对个人金融信息保护相关法律法规的宣传力度，提升广大金融消费者的风险防范能力。另一方面，金融消费者本人也要充分意识到自身金融信息的重要价值，在金融交易与金融消费过程中培养良好的习惯，谨慎使用银行卡，不向无关人员透漏个人信息，切实增强自我防范与保护能力。

参考文献：

[1]周汉华.个人信息保护前沿问题研究[M].北京：法律出版社，2006.

[2]王凌飞，陈亚楠，谢声时.欧盟金融隐私保护法律制度评价与启示[J].中国集体经济，2009，11.

[3]蒋坡.国际信息政策法律比较[M].北京：法律出版社，2001.

（作者单位：中国人民银行荆州市中心支行）