■ 唐娟娟

（中国人民银行绍兴市中心支行 浙江绍兴 312000）

一、我国个人金融信息保护概述

（一）我国个人金融信息概念

我国个人金融信息概念最早出现于2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》，即银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息。此后随着我国经济社会发展，我国个人金融信息的概念不断拓展。2020年2月人民银行发布的《个人金融信息保护技术规范》（JR/T 0171—2020）（以下简称技术规范）将个人金融信息定义为金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息，包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息以及其他反映特定个人某些情况的信息。

我国学术界对个人金融信息从属于个人信息并是其重要组成部分形成了较为一致的意见。2020年《民法典》第1034条规定个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。《个人信息保护法》（草案）将个人信息定义为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。结合个人信息和个人金融信息的定义，从广义来看，本文认为个人金融信息应为金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的识别特定个人及个人金融活动情况的各种信息，其中金融活动应该涵盖所有传统和新兴金融机构和金融业态，而从事相关金融活动的机构，包含持牌和非持牌金融业务关联机构均应纳入金融业机构范畴。

（二）我国个人金融信息特点

1.依赖于金融机构这个核心概念。我国主要以金融机构为主体判断个人金融信息，并随着科学技术和金融业迅猛发展，金融机构范围不断拓展，由最初的银行业金融机构拓展为银行业金融机构和提供跨市场、跨行业交叉性金融产品和服务的其他金融机构以及非银行支付机构，再拓展为更具广泛性的金融业机构。

2.覆盖各类个人金融信息获取渠道。随着大数据技术在金融领域的应用，金融机构获取个人信息渠道呈现多样化，主要来源有：一是客户在办理金融业务（存款、理财、房贷、车贷等）时主动流向金融机构的信息；二是金融机构为完成交易通过集团内部、信息平台等获取的个人信息；三是金融机构与第三方机构（外包公司、数据公司等）合作，利用大数据技术获取、加工、保存反映个人消费习惯、喜好、风险状况等信息和相关衍生信息。我国个人金融信息概念也随时代发展而变化，强调金融机构无论通过提供金融产品和服务或者其他渠道获取的均纳入个人金融信息涵盖范围之内。这与美国强调保护非公开渠道获得的个人金融信息有较大的差异。

3.突出个人金融信息“关联”性和“可识别性”。《中国人民银行金融消费者权益保护实施办法》首次在个人金融信息定义中提出了反映特定个人、消费者的概念。在此基础上，《技术规范》在个人金融信息范围中新增了个人识别信息（指纹、人脸、虹膜耳纹、掌纹、静脉、声纹等），这既是顺应时代变化所需，也与个人信息可识别性特征相一致，突出了个人金融信息必须与特定个人、消费者相关联，通过个人金融信息可识别到特定个人。

4.兼具人格性和财产性。个人金融信息有一般个人信息人格性特征，即侵犯个人信息就是侵犯个人尊严和自由，又与个人资产、财务、信用等高度关联，具有较高经济价值，既有可能表现为人格利益，也有可能表现为财产利益，甚至同时兼具两种利益。个人金融信息范围不仅仅包含了一般个人信息也涵盖财产、借贷、金融交易等财产性信息。

5.具有高度敏感性。个人金融信息一旦泄露不仅会对信息主体的财产安全造成巨大威胁，而且会增加金融机构诉讼、声誉风险，甚至引起系统性金融风险，进而影响国家经济安全和国家安全。因此，《技术规范》不仅新增了鉴别信息（密码、口令及密码提示问题答案等）、银行卡磁道数据（或芯片等效信息）等信息，而且按敏感程度将个人金融信息从高到低分为C3（用户鉴别信息）、C2（可识别信息主体身份与金融状况的个人金融信息））、C1（机构内部信息资产）三个类别，并实施不同级别的保护。

二、我国个人金融信息保护立法现状

我国尚无个人金融信息保护专门立法。本文着重就近年来个人信息和个人金融信息保护相关重要立法及《民典法》对个人金融信息保护的影响进行了梳理分析。

（一）相关重要立法综述

2013年《征信业管理条例》规范了个人征信业务规则、明确了禁止和限制征信机构采集个人信息事项、个人对本人信息享有查询、异议和投诉等权利，严格了法律责任，是我国规范征信业发展的主体法。2014年《消费者权益保护法》规定金融机构应当建立健全个人金融信息保护机制和金融消费者投诉受理、处理机制，明确了个人金融信息保护内容，要求金融机构定期排查个人金融信息安全隐患，对信息的收集、存储、保管、调取、使用进行规定，保障金融消费者的异议和投诉权利。2016年《网络安全法》对涉及网络空间的个人信息保护做了较为全面的规定，明确了国家网信部门负责统筹协调网络环境下个人信息安全工作,其最早以法律形式确认了自然人对其个人信息的“删除权” 与“更正权”。2017年新《刑法》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为“侵犯公民个人信息罪”，并扩大了犯罪主体和侵犯个人信息行为的范围。2020年2月，中国人民银行颁布实施《个人金融信息保护技术规范》，从安全技术要求和安全管理两个维度，对收集、传输、使用、存储、共享、删除、销毁等个人金融信息全生命周期各环节中的保护工作提出规范性要求，是目前个人金融信息保护最为详尽的规定。2020年5月，《民典法》从私权利保护角度在第四编“人格权编”对个人信息保护范围、原则、条件、免责事由等进行规定。2020年7月《数据安全法》（草案）公开征求意见，将数据定义为任何以电子或者非电子形式对信息的记录， 规定对数据实行分级分类保护。2020年10月，我国《个人信息保护法》（草案）公开征求意见，对个人信息处理、跨境提供、相关权利义务、履职部门、法律责任等进行了规定，这是我国首部个人信息保护的法律，出台后将成为个人信息保护领域的“基本法”。2021年1月，人民银行公布《征信业务管理办法(征求意见稿)》（以下简称《办法》），对信用信息范围、采集、整理、保存、加工、提供、使用、安全、跨境流动和业务监督管理进行了规定，清晰界定了信用信息，并强调要加强个人和企业信息主体权益保护。

（二）《民法典》对个人金融信息保护影响

2020年5月28日，十三届全国人大三次会议表决通过《民典法》，成为新中国第一部以法典命名的法律。《民典法》作为调整所有民事关系的基本法，其对个人信息保护的规定，对未来个人金融信息保护立法提供了法律依据和指引。

1.确定了个人信息保护权益层级和属性。《民法典》并未规定个人信息权，而是将个人信息保护作为了一项民事权益，同时将个人信息保护纳入人格权编，明确了个人信息权益在性质上属于人格权益，即信息主体对个人信息具有支配性，但由于仅是权益，而非权利，反映了个人信息权益的弱支配性，这也为大数据时代个人信息及个人金融信息的合理开发和利用打开了窗口。

2.明晰了隐私信息、个人信息保护的关系。《民法典》之前，法律实践中往往将个人信息保护与隐私权相混淆，《民法典》第1034条规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”明确了个人信息与隐私信息既区别又有交叉，同时在属性上个人信息权具有人格权和财产权的双重属性，但个人隐私信息权益只有人格权属性，为个人信息及个人金融信息保护法律适用指明了方向。

3.提供了个人信息及个人金融信息保护边界指引。《民法典》第1034条明确了个人信息边界范围。根据隐私信息与个人信息，个人信息与个人金融信息之间的关系，本文认为，个人金融信息的边界应在个人信息范围之内，并与隐私信息相重叠，如图1所示。

图1 隐私信息、个人信息、个人金融信息边界关系图

4.明确了个人信息处理原则和免责条款。《民法典》第1035条规定处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合相应的条件规定。同时，第1036条对处理个人信息进行了三类免责规定。通过明确个人信息处理的原则、条件和免责条款，既为个人信息处理划定了红线，也进一步为信息开发利用提供了法律依据，只要符合法定条件就可以对个人信息进行处理，并规定“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等”，涵盖个人信息全生命周期。

5.平衡了信息保护、开发利用和社会管理的关系。《民典法》1037条赋予自然人个人信息查询复制权、异议更正权、请求删除权。同时，第1038条规定信息处理者不得泄露或者篡改其收集、存储的个人信息、未经同意，不得向他人非法提供其个人信息、应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全、发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。第1039条规定国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息，应当予以保密，不得泄露或者向他人非法提供。通过强调自然人个人信息权利，信息处理者和国家机关及工作人员义务的方式，进一步强化了对个人信息的保护，弥补了个人信息弱支配性和弱势地位，实现了信息保护、开发利用和社会管理三方平衡。

三、我国个人金融信息保护立法存在的问题

（一）个人金融信息保护缺乏专项立法

目前，《个人信息保护法》（草案二次审议稿）已完成公开征求意见，《数据安全法》将于2021年9月1日起正式施行。《个人金融信息（数据）保护试行办法》也纳入人民银行规章制定工作计划，我国个人金融信息保护相关立法进程不断加快，但从总体来看，我国个人金融信息保护法律规范较为分散，且多为原则性规定，可操作性不足，同时，法规之间缺乏有效衔接和统筹，缺乏专项个人金融信息保护立法和统一的法律框架。此外，我国针对个人金融信息明确定义范围、信息主体权利、信息保护规定的规范多为部门规章和规范性文件，法律效力层级较低，在实际执行中，相关规定和处罚得不到上位法支持，难以有效落实或起到约束作用，如《个人金融信息保护技术规范》仅为国家推荐标准，不具有强制性，虽然涵盖的金融业机构包括涉及个人金融信息处理的相关机构，但根据《中华人民共和国立法法》规定，对于没有明确上位法依据的，无法有效适用于相关机构。

（二）个人金融信息概念有待完善

目前，我国个人金融信息局限于金融机构，在实践中存在三个问题：一是新兴金融机构不断推陈出新，很难将其及时纳入其中；二是对于金融机构涵盖范围往往存在争议，如：对于《技术规范》中的“金融业机构—国家金融管理部门监督管理的持牌金融机构，以及涉及个人金融信息处理的相关机构”，有的认为个人金融信息的认定需要结合业务场景才能确定，任何参与个人金融信息全生命周期全过程参与的机构，都可能被认定为金融业机构，有的认为不宜对金融业机构作此类扩大解释，但可通过监管部门对持牌金融机构或征信机构等的监管执法，将合规压力传导至相关行业和机构，进而对整个行业造成巨大影响；三是不同监管部门出于不同监管职责和需求，对金融机构范围进行了不同规定，尽管有些规定中金融机构范围涵盖广泛，但受制于监管权限，对监管权以外的机构难以有效监管和适用。

（三）个人金融信息保护监管部门和职责不明确

近年来，监管部门加大对征信乱象治理、金融科技应用风险专项摸排、征信信息安全风险检查等工作，并密集出台了新的规范制度及标准，保护个人金融信息。《个人信息保护法》（草案二次审议稿）明确国家网信部门负责个人信息保护工作统筹协调，并与国务院有关部门一同在职责范围内负责个人信息保护和监督管理工作。目前个人金融信息保护尚未明确具体统筹协调部门及职责，各监管部门立足监管职责和领域开展工作，存在重复交叉、多头监管和监管真空并存等问题，如出台相关个人金融信息保护法规主要针对持牌金融机构，对于在开展金融关联业务时同样收集了大量个人金融相关信息的非持牌机构个人金融相关信息保护的规定较少，也缺乏有效约束力。个人金融信息保护需进一步明确统筹协调部门及职责，加强统筹协调、工作联动及行业协会协调配合力度。

（四）个人金融信息侵权责任认定难，打击力度不足

我国现行立法对个人金融信息保护多集中在规范相关机构行为，对个人金融信息主体遭受侵害后相关机构如何承担责任规定较少。同时，随着大量新科技手段应用到金融领域，个人金融信息侵权类型日益呈现隐蔽化、多样化、复杂化特点，由于涉及环节多、主体多，发生个人金融信息侵权时，信息主体往往无法得知哪个环节泄露了信息，无法证明信息处理者主观存在过错，侵权责任归责难，由此也导致因无法归责而逃避法律制裁。此外，在我国个人金融信息保护相关法规罚则中，法定责任适用程序多为原则概括，侵权责任赔偿缺乏科学标准，处罚金额较少，这在一定程度上也助长了侵权行为的发生。

（五）个人金融信息权责不明，保护救济措施不健全

目前，我国金融消费者投诉维权只能适用于金融消费主体，对于超范围投诉无法受理解决。同时，在法律层面，根据相关学者对“北大法宝”数据库中2009年~2018年侵犯个人信息刑事、民事案件数据进行统计分析，我国目前对个人信息的司法保护主要还是刑事的保护，民事领域因维权成本高、因果关系证明困难、赔偿数额低等原因导致救济保护较少，相关经济和精神赔偿也往往得不到法律支持，但《刑法》也无法适用于一般性的个人金融信息侵犯行为。由于缺乏完善的救济措施，一方面打击了个人金融信息主体维权积极性，另一方面也影响了相关部门对个人金融信息的有力保护。

四、相关建议

（一）构建个人金融信息保护综合立法体系

国际上，美国建立了以联邦及各州层面根据不同行业制定独立法律保护个人金融信息的“分散立法模式”，欧盟建立了以《通用数据保护条例》（以下简称GDPR）为统领的“专项立法模式”，日本则建立了以《个人信息保护法》为纲领，对特定领域进行特别立法，同时注重行业自律的“综合立法模式”。立足我国实际，在《民法典》等法律法规出台背景下，应梳理整合相关法律法规，逐步构建“法律一般性规定保护—个人信息专项立法保护—个人金融信息特别立法保护—各领域个人金融信息分散立法保护”的多层次个人金融信息保护综合立法框架和体系，其中，在法律一般性规定保护层面，细化《民法典》等法律法规原则性条款司法解释和法律适用，整合修订《商业银行法》《征信业管理条例》等已有法律制度，强化法律法规之间的制度衔接和协同。在个人信息专项立法层面，加快《个人信息保护法》立法进程。在个人金融信息特殊立法保护层面，《个人金融信息(数据)保护试行办法》正在制定当中，建议在梳理整合相关法律规范基础上，逐步推动出台个人金融信息保护特别立法，对个人金融信息概念、范围、立法原则、信息主体权利、相关主体信息保护义务、监管部门及职责、救济措施与赔偿等各方面加以全面规定。同时，强化部委规章、地方性法规和规章对个人金融信息的分散保护，逐步形成个人金融信息保护综合立法体系。

（二）完善个人金融信息的概念和原则

个人金融信息的规定直接关系到金融消费者的权利能否得到保护以及如何主张。国外个人金融信息立法主要以金融活动来判定个人金融信息，如美国将个人金融信息定义为金融消费者非公开个人信息，并明确非公开个人信息是金融机构收集的有关客户的任何可识别到个人的金融信息，任何显著从事金融活动的机构均是金融机构。我国则是以金融机构为主体定义个人金融信息，建议在我国个人金融信息保护立法中进一步明确个人金融信息的概念，拓展个人金融信息内涵和外延，同时，按照“相关性”“可识别性”特征，明确个人金融信息保护的范围。此外，个人金融信息保护原则规定，与《民法典》《网络安全法》等法律法规相呼应，在合法、正当、必要原则基础上，进一步完善确立知情同意、明确用途、限制利用、完整安全、问责等原则。

（三）明确个人金融信息保护主体权利义务

欧盟将个人信息视为基本人权，美国提出了信息隐私权概念，而我国目前尚未提出个人信息权的概念，《民法典》和《个人信息保护法（草案）》均将个人信息保护视为权益而非权利，一定程度上弱化了信息主体对个人信息的支配，建议在相关立法中，增强信息主体权利，强化保护力度。同时，在信息主体权利分类上，美国赋予信息主体知情权、异议纠错权、可选择可撤销权、损害赔偿请求权等，欧盟GDPR除明确数据主体的知情权、访问权、纠错更正权、反对权、损害救济权等一般权利外，创新引入被遗忘权、可携带权和随时撤回同意权。我国《征信业管理条例》赋予信息主体同意权、知情权、异议权、司法救济权等，《民法典》赋予自然人个人信息查询复制权、异议更正权、请求删除权，《个人信息保护法》（草案）赋予个人知情权、决定权、查阅复制权、更正补充权、请求删除权、规则说明权等。建议借鉴欧美立法做法，增加遗忘权、可携带权等权利。对于个人金融信息处理机构，应强化其合法处理、告知说明、数据安全、隐私保护、异议删除等义务，同此，通过设立免责条款、制定规则等，加强个人金融信息合理开发利用和共享流动，达到信息保护与利用之间的平衡。

（四）建立个人金融信息保护协同监管体系

一是明确个人金融信息保护协调管理机构及职责。建议构建以人民银行为主导、银保监会、工信部和公安部等其他相关监管部门共同参与的协同监管体系，赋予人民银行制定规范标准和统筹协调的职责，以单独或联合立法方式制定相关规范政策和监管标准，完善各部门职责分工、信息共享、工作联动等机制，实现个人金融信息全产业链监管。二是加大对金融机构通过采购、合作等方式从第三方机构流入的个人金融信息和通过合同外包、信息共享等方式流出的个人金融信息监管力度，借鉴参考《个人金融信息技术规范》等要求，细化和强化安全要求、惩处机制，加大个人金融信息违法违规行为监管惩戒力度。三是探索人工智能、大数据、区块链等技术在监管领域的应用，持续深入开展个人金融信息保护监管检查、乱象治理等工作，不断提高个人金融信息保护监管效能。四是平衡我国参与双边或多边国际协议发展数字市场和保护个人金融信息的关系。《个人信息保护法》（草案）对跨境个人信息提供制定了规则，建议在此基础上，积极借鉴欧盟数据保护约束做法，在个人金融信息立法中，设计信息处境规则和权责义务，加强信息跨境流动管理。

（五）强化个人金融信息法律责任和救济惩处力度

《个人信息保护法》（草案二次审议稿）将个人信息侵权的归责原则确定为过错推定责任，由个人信息处理者承担举证责任，建议个人金融信息侵权归责参照建立举证倒置制度。对于信息的二次使用等问题，建议明确多个信息处理者对外如何承担责任。同时，在协同监管体系下，建立健全协同联动的金融消费者投诉处理机制，进一步完善相应的调解、仲裁、诉讼等民事救济制度和相应的赔偿机制，建立个人金融信息侵权救济渠道，强化个人金融信息侵权救济。此外，欧美国家都对个人信息侵权违规行为设定较重处罚，如欧盟GDPR规定，对于违法行为最高罚款上限是2000万欧元或前一年全球营业收入的4%，两值中取大者。我国《个人信息保护法》（草案二次审议稿）将违法行为处罚上限提至5000万元或者上一年度营业额5%以下罚款，加大了违法行为处罚力度，建议在个人金融信息专项立法及相关规范制定中，参照国外做法加大违规行为惩处力度，提升违规成本。

（六）推进机构自治和行业自律

进一步推进相关从业机构健全制度、明确职责、强化内控和责任追究机制，建立覆盖个人金融信息处理生命周期各环节的个人金融信息保护框架。不断完善从业机构信息系统功能，加强移动端个人金融信息保护管理，探索应用数据脱敏、同态加密等技术，加大个人金融信息泄露安全防护。建立动态风险监测和安全合规评估机制，加强员工培训，不断提高个人金融信息保护水平。同时，有效发挥银行业同业协会、互联网金融同业协会等组织行业自律作用，搭建同业机构交流平台，共同研究行业个人金融信息保护存在的问题，积极基于行业发展特点制定相关管理规定，规范个人金融信息的管理和使用等，如将个人金融信息保护纳入行业机构和从业人员基本行为准则和业务规范，并监督会员遵守。对违规者，按情节轻重，对机构会员和个人会员实行警告、通报批评和公开谴责等惩戒措施，有效约束行业会员的违规行为。