浅谈个人金融信息保护工作实践探索

余婷婷

（100020 北京市华泰律师事务所 北京）

浅谈个人金融信息保护工作实践探索

余婷婷

（100020 北京市华泰律师事务所 北京）

随着全球金融业信息化和网络化不断发展，个人金融信息侵权行为不断增加，这不但会侵害客户合法权益，也会增加金融机构诉讼风险和运营成本，进而影响地区金融生态环境和金融安全稳定。本文立足于基层在个人金融信息保护工作方面的具体实践，深入分析当前个人金融保护工作面临问题，在借鉴国外先进经验基础上，提出完善和加强个人金融信息保护工作的建议。

个人金融信息保护；国外经验；实践探索

一、引言

在当前金融业虚拟化和网络化程度不断提升的背景下，个人金融信息蕴含的商业价值被深度开发，出现了一些不当和非法使用个人金融信息谋利的行为，在对个人财产、名誉、信息等权益造成侵害的同时，也对正常的金融秩序带来了冲击和负面影响。本文立足于基层在个人金融信息保护工作方面的具体实践，深入分析当前个人金融保护工作面临突出问题，在借鉴国外先进经验基础上，提出完善和加强个人金融信息保护工作的建议。

二、个人金融信息保护工作国外经验

个人金融信息是个人在进行金融交易时向金融机构提供的个人资料以及在金融机构内储存的相关金融交易记录。个人金融信息体现的是一般人格利益、隐私利益，是一项基本人权，一旦泄露或失实就会损害个人信息主体的基本权利和自由，个人金融信息可能成为电信诈骗的“原材料”，也为冒名办理信用卡套现、复制银行卡盗取资金提供了便利，滋生的大量垃圾信息也打扰了个人的正常生活，对消费者的信用、财产安全和正常生活的权利造成了极大损害。当前世界各国普遍形成了把个人金融信息保护权利作为人权理念中的重要内容加以保护的共识，个人金融信息保护已成为金融领域保障公民基本人权的需要和具体体现，各国依据本国的社会价值观和立法理念逐步形成了各具特色的个人金融信息保护做法和经验。

1.采取统一立法对客户信息进行综合保护

欧盟通过制定统一的《个人数据处理和自由流动保护指令》数据保护法来保护个人资料的安全，把包括个人金融信息在内的一切信息统称为个人数据，明确个人数据处理的一般原则、数据主体权利、向第三国传输个人数据规则、司法救济和监管机构，通过统一立法，旨在实现全盟范围内数据的最低限度保护和数据流通。欧洲各国普遍注重对个人金融信息的保护。如英国规定收集个人信息只能经个人同意，不得采取欺骗手段获得，采集的个人信息只能用于合法目的，使用与披露个人信息应与本人无利害冲突，对于遗失、毁损或未经许可透露用户信息的，数据拥有主体有权要求赔偿；法国规定了保密信息的种类及披露责任，持有人约束与信息分享人约束，金融机构不得向代理人、客户继承人主张职业保密，并主张以惯例为依据。

2.分行业分领域对客户隐私权进行专门保护

美国将金融隐私权作为一项独立的法定权利而存在，按照不同行业对金融隐私权分别予以保护，银行业主要是以联邦法律保护隐私权，而保险业主要是以州法律保护隐私权。美国就个人金融信息保护陆续推出了《银行保密法》、《金融隐私权法》、《金融服务现代化法》、《公平正确信用交易法》和《消费者财务隐私保密最终规则》等大量法律。当金融隐私权与政府知情权发生冲突时，美国法律以公共利益优先、权利协调以及最大限度保护人格尊严为原则。同时美国对于信息的二次使用明确了“选择退出”的规定，即获取消费者信用报告的金融机构可以用信用文件中的信息作为主动提供新产品或发送服务广告的依据，但消费者只要通过简单程序要求金融机构将自己的资料从有关名单中删除，以后金融机构就不能再寄送广告。这一制度使信息共享与隐私权保护的矛盾得以平衡，实现了个人隐私权保护下最大限度的信息共享。

3.采取基本法+特别法+行业自律的综合保护模式

日本现行的个人信息保护制度，形式上接近与欧盟的立法模式。其出台的《个人信息保护法》是个人信息保护领域的基本法，该法对公共机构及非公共机构采取统一的立法模式。而在该基本法的框架下，日本对个人金融信息的保护又制定了相应的特别法。同时，还鼓励金融行业的行业自律，并引进了各种民间性的纠纷解决机制。总体上看，日本对个人信息保护的立法模式主要试图在保护个人信息权益与保障信息流通之间寻求平衡。

三、我国个人金融信息保护工作现状及实践

1.工作现状

我国1992年出台的《储蓄管理条例》最早规定了银行的保密义务，随后颁布的《商业银行法》、《个人存款账户实名制规定》、《反洗钱法》、《人民币银行结算账户管理办法》、《个人信用信息基础数据库管理暂行办法》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等法律规章也对银行履行保密义务进行了明确，2009年颁布的《刑法修正案(七)》增加了出售、非法提供公民个人信息罪的规定，将包括个人金融信息在内的个人信息置于刑法的保护之下；2011年中国人民银行下发的《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)，统一明确了个人金融信息的定义，并对个人金融信息收集、使用、加工、保存、提供、救济等方面做出了规定，初步构建了银行业个人金融信息保护的法律框架。

总体上看，我国现行保护模式只是把信息保护权利作为个人名誉权进行间接保护，保护法规零散、笼统，覆盖面较窄，缺乏具体的可操作性，立法层级也偏低，以行政法规和部门规章保护为主，缺乏基本法层面的保护，权威性不高，相关主体在个人金融信息收集、处理、传递、使用、销毁以及救济等方面无明确操作标准可依，个人金融信息保护工作与发达国家相比还存在较大差距。

2.基层实践

近年来，辖区基层金融机构把个人金融信息保护工作作为依法经营、风险防范的重要内容，围绕构建有效的制衡机制、加强环节流程管控、强化技术防控措施、加强员工保密安全教育等方面，结合各自优势采取行之有效的措施，切实防范和杜绝个人金融信息泄露和不当使用的行为，取得了积极效果。

[1]史强.论我国互联网消费中个人金融信息的刑法保[J].《南方金融》，2015年7期.