論文摘要 侵犯銀行個人金融信息的行為主要包括個人金融信息的泄漏、濫用和不正確記載。個人對銀行個人金融信息不僅享有隱私權，還享有控制權。對侵犯銀行個人金融信息而造成的精神損失和財產損失均應得到賠償。建立銀行個人金額信息保護體系的關鍵之處在對銀行個人金融信息的定義和保護模式的選擇。我國應該首先制定個人信息保護相關法律，將金融個人信息保護納入該法律中，并成立金融消費者權益保護機構，為銀行個人金融信息的保護提供健全的監管體系。

論文關鍵詞 銀行個人金融信息 侵權 金融消費者 權益保護機構

近年來，個人金融信息泄露事件時有發生，引起了社會的廣泛關注。個人金融信息既是金融機構的寶貴財富，也關系到客戶的隱私權和財產安全。為了規范金融市場，保護金融消費者的合法權益，我國應當建立、健全個人金融信息的法律保護體系。現代金融以銀行為核心，因此，本文著眼于銀行業個人金融信息的法律保護，以期對金融消費者權益保護制度的完善有所裨益。

一、侵害銀行個人金融信息的情況分析

一般而言，個人金融信息就是銀行在辦理各種業務時輸入、輸出和處理的客戶個人信息，這是銀行在日常業務工作中積累的基礎數據。銀行是信息和數據流最多的行業之一，銀行所獲取的個人信息往往是非常敏感的，與個人的隱私和財產安全密切相關。由于這些信息是存儲在銀行內部，且能表現出一定的利用價值，在沒有健全的監管體系的情況下，這些個人敏感信息將存在被侵害的危險，主要表現在以下幾個方面： 1.銀行濫用個人金融信息，作為交叉營銷的手段。在沒有取得客戶事先同意的情況下，銀行可以憑借客戶提供的個人信息向客戶營銷其它金融產品，以達到擴大銀行金融產品的影響力和覆蓋面。這樣就會對客戶的個人安寧造成嚴重的影響。 2.銀行向其他經濟機構泄露或者出賣個人金融信息，使客戶成為其他經濟機構的營銷對象。個人金融信息的商業價值很高，這些信息往往是其他金融機構和企業單位夢寐以求的。這些經濟機構在獲取了個人金融信息之后，就會通過各種形式向客戶營銷產品，突出的表現為海量的垃圾手機短信和紙質宣傳材料，嚴重影響了人們正常的生活秩序。 3.個人金融信息缺乏準確性。個人金融信息是個人征信體系的主要組成部分，銀行記錄個人金融信息不正確，或者不全面，都會影響客戶的社會信用評價，進而損害客戶利益。 4.銀行泄露個人金融信息，使客戶成為犯罪分子的侵害目標。個人金融信息內容豐富，且涉及敏感領域，是犯罪分子進行電信詐騙的“最佳”作案工具。可以說，個人金融信息的泄露是電信詐騙的重要原因之一。同時，個人金融信息的泄露，也為違法犯罪分子冒用他人名義辦理業務而盜取財物創造了有利條件。另外，個人金融信息還涉及個人金融交易習慣，如往常的大額取現的時間、取現地點等，它的泄露，為暴力犯罪創造了條件。 5.違法犯罪分子竊取銀行個人金融信息。現代金融業早已進入網絡時代，網絡開放性和互交性的特點使得違法犯罪分子可以借助高科技手段獲取個人金融信息，以達到違法犯罪的目的。

二、侵害銀行個人金融信息的保護現狀

侵害個人金融信息的行為可以總結為個人金融信息的泄露、濫用和不正確記載。首先，對于個人金融信息記載不正確的情況，中國人民銀行頒布的《個人信用信息基礎數據庫管理暫行辦法》（下稱征信辦法）規定了異議程序，個人認為本人的信用信息存在錯漏，可以向所在地中國人民銀行征信管理部門或直接向征信服務中心提出書面異議申請，征信管理部門應當依程序糾正。但是，個人征信異議申請需要由所在地的中國人民銀行征信管理部門層層轉交至征信服務中心，再由征信服務中心轉至商業銀行核查，異議處理流程耗時長，且對于客戶提交的書面申請，需要郵寄轉交，容易丟失、遺漏，這必然會造成個人的損失。而且，對于因個人金融信息登記的錯誤處理，《征信辦法》僅規定行政責任，對于因此而產生的財產損失，尚缺乏有針對性的法律救濟途徑。 其次，對于因個人金融信息的泄露而引起的財產損失，則認定為侵害物權，權利人可以依照民事侵權或者合同違約的相關規定要求侵權人或者銀行承擔責任。為客戶保密個人金融信息，既是合同義務，也是法定義務。銀行沒有采取措施保障個人金融信息的安全，致使客戶的財產遭受損失，銀行應當承擔相應的責任。然而，對于個人而言，不知道是誰泄露了自己的個人金融信息，維權成本高，只能依賴于公安機關，個人的財產損失難以及時補救。 再次，個人金融信息的泄露和濫用的行為主要存在于商業機構的營銷上，相對上述兩種情況而言，這種情況更為普遍和泛濫，更應該得到法律的救濟。在信息時代，對信息的匯總、分析和加工可以大幅降低交易成本，也可以使消費者更便捷地獲得針對性服務。但是，過分的泄露個人信息則會導致個人生活安寧遭受影響，是一種侵害個人隱私權的行為。根據《侵權責任法》規定，侵害他人隱私權的，應當承擔侵權責任。然而，我國民事法律沒有關于隱私權的詳細規定，隱私權仍是一個抽象的概念。什么是個人的隱私，侵犯隱私權的程度如何衡量，賠償標準如何確定，這些問題都取決于法官的自由裁量權。在個人金融信息泄露和濫用的情況下，什么樣的個人金融信息屬于隱私權的保護范圍更是一個值得深入探討的問題。 最后，在現有的法律體系中，保護個人金融信息的規定散見于《人民銀行法》、《商業銀行法》和《反洗錢法》等法律規定中，尚無法對個人金融信息給予全面保護。例如，《商業銀行法》僅規定了銀行為存款人保密的義務，儲蓄僅僅是商業銀行的日常業務之一，該規定難以涵蓋全部個人金融信息。而且，對于銀行非法查詢個人存款或者向外人提供查詢結果的行為，只有在發生財產損失的情況下，始能要求銀行承擔民事責任，無法涵蓋侵犯隱私權的情況。根據《民事訴訟法》、《刑事訴訟法》等法律的相關規定，有權機關依照法定程序查詢的一般是個人金融資產信息，不包括身份信息、信用信息和衍生信息等。可見，《商業銀行法》的保密義務主要對抗的是公權力對個人財產的侵害，而忽略了銀行對個人金融信息的泄露和濫用問題。

三、銀行個人金融信息保護體系的基礎分析和模式選擇

構建個人金融信息保護體系的主要任務在于：一要明確個人金融信息的含義和范圍，以及銀行掌握個人金融信息的界限；二要明確侵害個人金融信息的行為性質以及民事救濟途徑。前者為構建個人金融信息保護的基礎，該問題仍是一個法律空白，這使得個人金融信息的維權行動成為無源之水。后者決定了個人金融信息的保護模式，是構建個人金融信息保護體系的最終目標。 （一）銀行個人金融信息含義和范圍的界定 雖然法律對個人金融信息沒有明確的概念，但是中國人民銀行于2011年1月21日發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》（以下簡稱為個人金融信息保護通知）對個人金融信息做出了明確的定義。該通知將銀行個人金融信息定義為“銀行業金融機構在開展業務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的個人信息”。該通知是從銀行業的角度對個人金融信息進行定位，以來源作為界定個人金融信息的標準。銀行獲取個人信息的目的在辦理業務、審核結算、控制風險。隨著社會的發展，銀行的風險點會不斷地變換，銀行為了控制風險必然需要創新渠道去獲取與業務相關的信息。對個人金融信息的定義不應該僅以來源來界定，還應該結合個人金融信息的其它特征加以界定。從保護個人金融信息的角度來看，個人信息一旦為銀行所獲取，銀行就應當謹慎地履行保密義務，該保密義務不能因保存的介質變化而轉變。而且，該保密義務應當延伸至信息的加工品，直至加工為與個人脫離直接聯系的抽象信息。因此，個人金融信息應當定義為銀行業金融機構為了開展和結算業務、防范和監控風險，向個人、國家機關和企事業單位等獲取的與個人存在直接聯系的個人信息以及衍生信息。 《個人金融信息保護通知》將銀行個人金融信息分為七個類別。該通知采取的是“分類列舉”的表達方式，對具體的工作起到了很好的指導作用。然而，法律是抽象和具體的統一體，即要有普適性，又能為具體的行為提供準確、無歧義的指引。從草擬法律條文的角度來看，個人身份信息、個人財產信息、個人賬戶信息等分類項目已經包含了緊跟其后的舉例項目。同時，將具體的項目羅列出來難以囊括全部的個人金融信息，這就有可能造成某些新類型的個人金融信息得不到應有的保障。例如，銀行卡內嵌的磁道信息和銀行卡賬號是直接聯系的，磁道信息和密碼一起構成了打開賬戶交易大門的“鑰匙”。銀行卡的磁道信息雖然不為客戶個人所知曉，但這些信息與個人緊密聯系，一旦泄露，會直接造成了個人的財產損失。然而，這類信息卻沒有出現在《個人金融信息保護通知》的列舉事項之中。所以，在法律規定中，個人金融信息的概念外延應當采用“個人的身份信息、財產信息、賬戶信息、金融交易信息等銀行在與個人建立業務關系過程中獲取、保存的個人信息，以及對個人的消費習慣、投資意愿等原始信息進行處理、分析所形成的反映特定個人某些情況的信息”。

四、銀行個人金融信息的保護措施

（一）制定專門法規，為保護個人金融信息提供法律依據 目前，個人信息保護只存在于各行各業的內部規范之中，但是，制定規則的主體往往是交易的優勢方，這必然會出現不公平的情況。而且，個人信息資料的保護和控制權限的界定往往是通過商業合同來確定的。由于沒有上升到法律層面，個人信息資料往往得不到很好的保護。因此，通過法律的形式保護個人信息資料具有相當的現實意義。目前，我國的《個人信息保護法》已在起草階段，而我國的行業執法權比較分散，立法者需要協調各個部門之間的意見，該法律的出臺仍沒有具體的時間表。然而，個人信息資料侵權問題已經成為一個社會問題，隨著人們權利意識的逐漸增強，社會問題必然會演化為法律問題。面對即將到來的執法、司法難題，《個人信息保護法》應當盡早制定。 相比而言，銀行個人金融信息保護問題尤為突出，一方面是因為銀行業競爭越來越激烈，銀行需要積極營銷方能占據市場地位，另一方面，隨著科技的進步和經濟的繁榮，銀行的發展成本也逐漸增加，銀行沒有很好地權衡利潤和再生產的關系，使得安全問題頻發。為此，銀行的個人金融信息保護工作走在了前列。金融業，特別是銀行業，在國民經濟中占據了獨特的地位，其在交易中優勢地位更加明顯。在《個人信息保護法》的基礎上再制定專門保護個人金融信息的規則是很有必要的。其中，首先要明確個人金融信息的定義，明確銀行收集個人金融信息的目的和范圍；其次，規定銀行保護、使用個人金融信息的法定義務，即要求銀行必須按照法定的方式、途徑收集、保存和使用個人金融信息，并履行一定的告知義務；再次就是侵害個人金融信息的認定辦法和救濟途徑。

個人金融信息保護的規則應當納入《個人信息保護法》中，作為該部法律的一個章節，即《個人信息保護法》采用“總則與分則”的行文模式，先制定個人信息保護的一般規則，然后根據行政機構、事業單位和企業等順序，分別規定不同主體、不同行業的個人信息保護規則。對于具有特殊性的行業，例如金融業、通訊業等，可以專門制定一個章節。 （二）建立個人金融信息的維權機構，減少個人的維權成本 在銀行業個人金融信息的維權行動中，個人往往需要面對兩個問題，一是維權成本，二是證據的獲取。因此，個人維護個人金融信息安全困難重重。德國著名法學家耶林在《為權利而斗爭》一書中說，“為權利而斗爭，是對個人、社會和國家的義務”。個人權利的普遍缺失，應當成為社會共同應對的問題。對于個人金融信息的保護問題，以及金融消費者保護問題，應當建立專門的金融消費者權益保護機構。傳統的消費者協會，限于專業知識的缺乏，難以勝任金融消費者的保護工作。而單獨將銀行業劃出來，成立專門的銀行業消費者權益保護機構又會面臨機構過小而喪失生命力。金融業存在互通性，而且目前存在眾多金融產品集中銷售的情況，金融業應當作為一個整體建立專門的金融消費者權益保護機構。目前金融業面臨著央行、證監會、銀監會、保監會多個監管機構分業管理的局面，在金融消費者權益的保護問題上，特別是跨行業的問題，難以形成合力。如果能建立一個金融消費者權益保護機構，將能起到引導金融消費者維權、與各個部門的協調作用，更好地維護金融消費者權益，促進金融市場的健康發展。就目前情況下，金融消費者權利保護機構應該設置在央行之下，由央行主辦成立。 對于銀行個人金融信息保護問題，以及其他金融消費者的權利保護問題，如何收集證據是權利人難以回避的難題。在此類糾紛中，不宜適用舉證倒置的規則，即不應當由銀行承擔不存在侵權行為的舉證責任。首先，舉證倒置會促使銀行更加謹慎的保留業務操作的相關資料，增加銀行的運行成本，不利于國民經濟的快速發展。其次，舉證倒置促使訴訟激增，不但銀行無法應對，就連司法機關也難以承擔如此大的工作量。再次，消費者可以通過央行、銀監會和司法機關等機構獲取與銀行的相關證據，如向公安機關報案，可以申請公安機關調取銀行留存的文檔和視頻資料。所以，個人金融信息糾紛不宜適用舉證倒置規則具有一定的現實意義。但是，這樣就會造成個人獲取證據的成本過大，很多人會因受侵害的權益普遍不大而主動放棄了維權的機會。在這種情況下，建立一個專門的維護金融消費者權益機構是相當必要的，它既可以引導個人獲取證據，提供法律咨詢，也可以組織集體訴訟，降低個人的維權成本，促使銀行業重視所存在的問題，同時還能協調各個部門，減少行業沖突。 （三）完善商業銀行法律制度，建立完善的監管體制 央行和銀監會應當督促銀行建立個人金融信息查詢、修改和使用的登記、審批制度，對于超出個人所申請辦理的業務范圍的查詢、修改和使用個人金融信息的應當做好登記和審批工作，審批程序應當足以達到對非法查詢、修改和使用個人金融信息的行為進行監管的目的。對于沒有登記和審批的查詢、修改和使用個人金融信息的行為，并且超出個人所申請辦理的義務范圍，應當由銀行承擔相應的行政和民事責任。 對于個人金融信息的修改問題，央行應當修改《征信辦法》，明確征信異議申請流轉的具體程序、時間限制和責任分擔等問題。對違規操作的人員給予相應的紀律處分，對造成損失的，應當賠償。對銀行違規登記個人金融信息，或者不按時刪除、更新個人金融信息的，銀行承擔相應的行政責任和民事責任。 銀行還應當投入適當的經費，維護、升級銀行風險防控系統，防止個人金融信息被他人盜取。對于銀行委托外包服務商，銀行除了與外包服務商簽訂保密協議外，還應當盡到最謹慎的監管義務，保證個人金融信息不被非法轉存、查詢、修改和使用。