中央财经大学法学院教授 邓建鹏

个人金融信息安全面临的严峻挑战

在“数据为王”的当下，各类信息中，个人金融信息的经济价值日益凸显。金融机构大量收集个人金融信息，并运用大数据、云计算等技术进行分析，描绘出包括人口统计学特征、消费能力数据、兴趣数据、风险偏好等内容的客户画像。这些举措有利于金融机构进行身份认证、精准营销、加强风险管理与控制和优化运营等，虽为金融消费者的生活带来不少便利，但同时也造成了一些人借此机会非法收集他人的个人信息、甚至是滥用和泄露个人金融信息等问题。

在2020年上半年，一家知名银行分支机构在未经客户授权同意的情况下，向第三方提供客户的个人银行账户交易明细，此事引发社会广泛关注。事发后，银保监会及时对该银行启动了立案调查程序，认为银行分支机构违背了为存款人保密的规定，并且严重侵害了金融消费者的信息安全保障权益。针对该银行分支机构所犯的错误，该机构很可能因此面临严厉的监管处罚。另据统计，最近几年个人金融信息泄露事件的年增长率高达35%，这也显现出金融机构对于保障金融消费者的个人金融信息安全及相关权益面对前所未有的挑战。

个人金融信息保护的立法推进与反思

面对个人金融信息安全屡遭侵害的严峻形势，我国相继出台了众多相关法规，以此来加强对个人金融信息安全的保护。

《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号）首次明确规定了“个人金融信息”的概念及范围，并确立了个人金融信息的使用原则和基本保护框架。2015年《刑法修正案九》将“侵犯公民个人信息罪”作为现行《刑法》第二百五十三条之一，严重侵害个人金融信息的行为会受到刑事处罚。《中国人民银行金融消费者权益保护实施办法》（银发〔2016〕314号）拓展了金融机构的外延，相应扩大了“个人金融信息”的范围，同时在第三章对个人金融信息保护做出专门规定。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）明确了“个人信息”的概念以及侵犯公民个人信息罪的具体定罪量刑标准，进一步加强了对侵害个人金融信息安全犯罪行为的打击力度。将于2021年实施的《民法典》，对个人信息保护做出了详细规定，从定义、处理原则、条件和免责事由，到主体权利和与之对应的信息处理者的信息安全保障义务，再到公权力机关及其工作人员的保密义务，构建了一个较为完整的个人信息保护框架。另外，2020年2月央行发布了《个人金融信息保护技术规范》，为金融机构加强个人信息保护的合规建设和金融监管机构的监督、执法工作提供参考。

通过上述法律法规和规范文件可知，我国已构建了针对个人金融信息保护较详细的法律框架，但仍然存在诸多问题。

第一，个人金融信息保护的专门立法缺位，法律体系的整体协调性有所不足。我国对个人金融信息保护的法律规定比较分散，对其相关的问题缺乏统一规定，且大多数作为部门规章、规范性文件或推荐的技术标准，法律位阶和层次较低，难以满足当前金融消费者对个人金融信息安全保护的迫切需求。《民法典》与《刑法》的相关规定并非个人金融信息领域的专门立法，难以在金融机构开展具体业务及个人金融信息保护时提供有针对性的规范指导或参考依据。

第二，对于非持牌机构的金融关联业务，我国当前采取的法律规制和措施不够。相较于持牌金融机构，非持牌机构开展金融关联业务时，往往同样收集了大量个人金融相关信息，其收集范围甚至超过了必要的程度，这样就存在更多的信息安全隐患。不过，目前央行等金融监管机构已出台的法规主要针对银行、保险、证券或第三方支付等持牌金融机构，而对于涉足金融科技的非持牌机构（如移动电商与移动社交巨头）只有较少的个人金融相关信息保护的规定。

第三，针对个人金融信息的救济制度不完善。目前我国对个人金融信息的保护更侧重于行政、刑事救济，这使得权益因此受到侵犯的个人缺乏足够动力去监督、起诉违法者，从另一个方面来讲，这也负面影响到相关部门对个人金融信息的有力保护。

个人金融信息保护的路径

针对个人金融信息保护领域的严峻挑战和存在的问题，我们认为，加强个人金融信息的保护，亟待立法部门、金融机构和金融监管部门等形成多方合力，从立法、金融机构内部合规控制和监管执法三个层面进行综合考量和制度设计。

1.逐步完善个人金融信息立法。首先，要加快推动个人金融信息保护的专项立法进程，制定一部系统性的个人金融信息保护法。在具体操作层面，可借鉴当前《个人金融信息保护技术规范》，将个人金融信息按照敏感程度从高到低进行分类，针对不同级别的信息采取对应层次的更有针对性的保护措施；还可采取“分步走”的方式逐步推进，央行将《个人金融信息(数据)保护试行办法》列入2019年度规章制定计划当中，在落实推行该《办法》、梳理整合个人金融信息保护的相关法律规定的基础上，制定一部个人金融信息保护法，对其要素，如概念及范围、保护原则、各方主体权责、救济措施与民事赔偿等各方面加以全面规定。其次，要加强对非持牌金融业务关联机构的法律规制，将其纳入到个人金融信息保护的法律体系内。最后，要完善个人金融信息的救济机制。公法救济方面，如行政和刑事处罚，它们固然可以有力地保护个人金融信息安全，但其执法成本高，而且刑事处罚的适用条件较为严格，在大多数情况下，这并不适宜用来作为个人金融信息保护的日常救济手段。因此，完善相应的民事救济和赔偿机制便成为了相关立法的必然选择。具体来说，可以设立个人金融信息领域的过错推定责任制度、公益诉讼制度、精神损害赔偿制度，还可规定由金融机构承担有关个人金融信息泄露案件的举证责任。

2.强化金融机构的内部合规控制。据Verizon发布的《2019年数据泄露调查报告》显示，36%的数据泄露是由机构内部人员造成的，因此，金融机构“内鬼”逐渐成为数据泄露的重要原因。我们认为，金融机构应重点关注以下四个方面：一是加强对相关工作人员的法规知识教育与培训，强化其对个人金融信息的安全意识。组织接触个人金融信息的员工学习关于个人信息保护的法律法规；相关人员在上岗前必须接受培训，并签署对个人金融信息保密的承诺书。二是设置接触个人金融信息的专岗和访问权限，并注重对访问的网络留痕，比如以留存访问记录的方式，对个人金融信息的接收者、变更者以及中间经手人员留下详细的数字化记录，以便为将来出现风险事件后的查询与问责提供证据。三是完善内部的监督和惩罚机制。在金融机构内部，设置个人金融信息安全监督机制，定期进行自查，及时填补危及个人金融信息安全的漏洞；对违反国家、行业和机构内部关于个人金融信息保护相关规定的人员进行严厉处罚，如予以降级或开除等；当员工严重侵害个人金融信息安全时，还应移交司法机构，追究其刑事责任。四是完善技术防护体系，提升个人金融信息的保护能力，比如设置双重密码认证、进行系统监控和实时监测等。

3.加强对个人金融信息的监管力度。信息安全权是金融消费者的一项重要权利，保护个人金融信息安全是保护金融消费者的应有之义。我们认为监管部门可从以下几点入手：第一，金融监管部门可参考《个人金融信息保护技术规范》，制定明确的个人金融信息保护的监管标准，开展经常性的工作指导和风险提示；同时注重监管合作，破除数据壁垒，切断利用个人金融信息犯罪的产业链。第二，金融监管部门要加强对非持牌金融业务关联机构的指导和监管力度，指导其制定保护个人金融信息安全的内部管理制度；同时，由于金融风险的传导性，可考虑将其等同于持牌金融机构进行监管。第三，要严格执法，完善公示惩处机制，加大对侵害个人金融信息安全行为的打击力度，并以此来提高违法成本。第四，推动和落实金融机构对权益受到侵害的消费者的民事赔偿，激励金融消费者的外部监督作用。