刍议银行业个人金融信息的法律保护

摘 要：侵犯银行个人金融信息的行为主要包括个人金融信息的泄漏、滥用和不正确记载。个人对银行个人金融信息不仅享有隐私权，还享有控制权。对侵犯银行个人金融信息而造成的精神损失和财产损失均应得到赔偿。建立银行个人金额信息保护体系的关键之处在对银行个人金融信息的定义和保护模式的选择。我国应该首先制定个人信息保护相关法律，将金融个人信息保护纳入该法律中，并成立金融消费者权益保护机构，为银行个人金融信息的保护提供健全的监管体系。

关键词：银行个人金融信息；侵权金融消费者；权益保护机构

一、银行个人金融信息保护体系的基础分析和模式选择

构建个人金融信息保护体系的主要任务在于：一要明确个人金融信息的含义和范围，以及银行掌握个人金融信息的界限；二要明确侵害个人金融信息的行为性质以及民事救济途径。前者为构建个人金融信息保护的基础，该问题仍是一个法律空白，这使得个人金融信息的维权行动成为无源之水。后者决定了个人金融信息的保护模式，是构建个人金融信息保护体系的最终目标。

（一）银行个人金融信息含义和范围的界定。虽然法律对个人金融信息没有明确的概念，但是中国人民银行于2011年1月21日的《关于银行业金融机构做好个人金融信息保护工作的通知》（以下简称为个人金融信息保护通知）对个人金融信息做出了明确的定义。该通知将银行个人金融信息定义为“银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息”。该通知是从银行业的角度对个人金融信息进行定位，以来源作为界定个人金融信息的标准。银行获取个人信息的目的在办理业务、审核结算、控制风险。随着社会的发展，银行的风险点会不断地变换，银行为了控制风险必然需要创新渠道去获取与业务相关的信息。对个人金融信息的定义不应该仅以来源来界定，还应该结合个人金融信息的其它特征加以界定。从保护个人金融信息的角度来看，个人信息一旦为银行所获取，银行就应当谨慎地履行保密义务，该保密义务不能因保存的介质变化而转变。而且，该保密义务应当延伸至信息的加工品，直至加工为与个人脱离直接联系的抽象信息。因此，个人金融信息应当定义为银行业金融机构为了开展和结算业务、防范和监控风险，向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。

（二）个人金融信息的保护模式。个人信息资料与个人隐私有非常密切的联系，一方面个人信息资料往往具有私密性，另一方面，侵害个人信息资料的行为一般表现为非法披露个人信息资料。国内学者一般认为，个人信息资料的保护可以纳入隐私权的范畴。同时，不少国家也是将个人信息资料按照个人隐私来对待，如美国和德国等。然而，保护隐私权的主旨在于保护权利人免受外界的非法干扰，维护个人私密的空间，具有一定的被动性。个人对个人信息资料除了不应被他人非法披露之外，还包括对个人信息资料的控制权，如权利人有权纠正已公开或者由他人占有的个人信息资料，以及有权拒绝他人超出原定目的使用个人信息资料。同时，个人信息资料也不仅仅是私密的信息，部分个人信息资料因为涉及公共利益必须在一定范围内公开，例如个人的姓名、性别、公民身份号码等信息。对于已经公开的信息，权利人也享有控制权，也属于个人信息资料的权利内容。对于侵害个人信息资料的救济，除了精神损害赔偿之外，还应当包含财产损失赔偿。可见，虽然隐私权和个人信息资料具有交叉关系，但是对个人信息资料的保护无论是从权利内容上还是从救济途径上都宽于隐私权。因此，个人信息资料应当作为一项独立的权利加以保护，其救济方式可以参照《侵权责任法》的规定。

二、银行个人金融信息的保护措施

（一）制定专门法规，为保护个人金融信息提供法律依据。目前，个人信息保护只存在于各行各业的内部规范之中，但是，制定规则的主体往往是交易的优势方，这必然会出现不公平的情况。而且，个人信息资料的保护和控制权限的界定往往是通过商业合同来确定的。由于没有上升到法律层面，个人信息资料往往得不到很好的保护。因此，通过法律的形式保护个人信息资料具有相当的现实意义。目前，我国的《个人信息保护法》已在起草阶段，而我国的行业执法权比较分散，立法者需要协调各个部门之间的意见，该法律的出台仍没有具体的时间表。然而，个人信息资料侵权问题已经成为一个社会问题，随着人们权利意识的逐渐增强，社会问题必然会演化为法律问题。面对即将到来的执法、司法难题，《个人信息保护法》应当尽早制定。相比而言，银行个人金融信息保护问题尤为突出，一方面是因为银行业竞争越来越激烈，银行需要积极营销方能占据市场地位，另一方面，随着科技的进步和经济的繁荣，银行的发展成本也逐渐增加，银行没有很好地权衡利润和再生产的关系，使得安全问题频发。为此，银行的个人金融信息保护工作走在了前列。金融业，特别是银行业，在国民经济中占据了独特的地位，其在交易中优势地位更加明显。在《个人信息保护法》的基础上再制定专门保护个人金融信息的规则是很有必要的。其中，首先要明确个人金融信息的定义，明确银行收集个人金融信息的目的和范围；其次，规定银行保护、使用个人金融信息的法定义务，即要求银行必须按照法定的方式、途径收集、保存和使用个人金融信息，并履行一定的告知义务；再次就是侵害个人金融信息的认定办法和救济途径。

（二）建立个人金融信息的维权机构，减少个人的维权成本。在银行业个人金融信息的维权行动中，个人往往需要面对两个问题，一是维权成本，二是证据的获取。因此，个人维护个人金融信息安全困难重重。德国著名法学家耶林在《为权利而斗争》一书中说，“为权利而斗争，是对个人、社会和国家的义务”。个人权利的普遍缺失，应当成为社会共同应对的问题。对于个人金融信息的保护问题，以及金融消费者保护问题，应当建立专门的金融消费者权益保护机构。传统的消费者协会，限于专业知识的缺乏，难以胜任金融消费者的保护工作。而单独将银行业划出来，成立专门的银行业消费者权益保护机构又会面临机构过小而丧失生命力。金融业存在互通性，而且目前存在众多金融产品集中销售的情况，金融业应当作为一个整体建立专门的金融消费者权益保护机构。目前金融业面临着央行、证监会、银监会、保监会多个监管机构分业管理的局面，在金融消费者权益的保护问题上，特别是跨行业的问题，难以形成合力。如果能建立一个金融消费者权益保护机构，将能起到引导金融消费者维权、与各个部门的协调作用，更好地维护金融消费者权益，促进金融市场的健康发展。就目前情况下，金融消费者权利保护机构应该设置在央行之下，由央行主办成立。

（三）完善商业银行法律制度，建立完善的监管体制。央行和银监会应当督促银行建立个人金融信息查询、修改和使用的登记、审批制度，对于超出个人所申请办理的业务范围的查询、修改和使用个人金融信息的应当做好登记和审批工作，审批程序应当足以达到对非法查询、修改和使用个人金融信息的行为进行监管的目的。对于没有登记和审批的查询、修改和使用个人金融信息的行为，并且超出个人所申请办理的义务范围，应当由银行承担相应的行政和民事责任。

对于个人金融信息的修改问题，央行应当修改《征信办法》，明确征信异议申请流转的具体程序、时间限制和责任分担等问题。对违规操作的人员给予相应的纪律处分，对造成损失的，应当赔偿。对银行违规登记个人金融信息，或者不按时删除、更新个人金融信息的，银行承担相应的行政责任和民事责任。

银行还应当投入适当的经费，维护、升级银行风险防控系统，防止个人金融信息被他人盗取。对于银行委托外包服务商，银行除了与外包服务商签订保密协议外，还应当尽到最谨慎的监管义务，保证个人金融信息不被非法转存、查询、修改和使用。