互联网下个人金融信息现状

　　第 3 章 网络环境下个人金融信息现状
　　
　　在网络信息化的现代社会中，人们对信息的重视尤其突出。收集个人信息，对其加以利用成为常态。网络环境下，所有的信息一旦被输入计算机当中，这些信息便成为所有用户共享的资源。用户可以更好地使用这些信息，但也为不法分子的侵害提供了方便。个人金融信息又含有财产利益，具有开发利用的价值。目前而言，关于个人金融信息的法律规范不完善。法律保护理念的偏差，制度的不健全，导致司法实践中频发侵害现象。
　　
　　3.1 保护理念偏差
　　
　　法律条款的确定受到多种利益的影响，特别是保护理念的左右。在网络社会里，个人的信息资源是有限的，个人对其信息的控制与整个社会的共享是存在一定冲突的。个人对其信息控制能力越强，必然会给信息的流通与共享带来障碍，阻碍整个社会的信息获取与流动。当个人信息的控制权与信息自由流动成为逐渐分离的目标时，则意味着某一目标将受到限制。既要对其保护，也要保证其流通，两种价值不能都偏离。在私法领域中，要注重对个人权利的保护，而不是一直让步于公权力，平衡个人与国家之间的利益冲突。
　　
　　3.1.1 个人金融信息保护与征信的冲突
　　
　　个人金融信息权是一种绝对权，相关义务主体要如实履行保护义务。但是在信息共享的社会，它与义务主体的披露义务相冲突。因此，要作出立法调整，做到保护与披露的平衡。
　　
　　征信的形式主要包括个人信用和企业信用，这里主要讨论个人信用。个人信用是第三方中介机构把分散在金融机构以及其他社会方面的信息进行汇总，形成个人信息数据库，从而为金融机构及其他社会组织提供信用服务。它反映个人信用状况的各种信息，包括信贷交易信息及个人信用状况的相关信息。征信实质上是为信用市场提供信息流通、共享的机制，提高其利用价值，更好地配置信息资源。但是，第三方中介机构把个人金融信息与其他组织进行共享时，就与保护产生矛盾，金融消费者可能并不想把自己的个人信息进行共享和流通。信息的流通与共享可能会损害自身的利益，对其个人生活等方面造成影响。征信中介服务机构的收集、汇总个人的信用信息，并可以向社会提供个人信用信息的查询、报告、评估等多项信息服务，为全社会建立健全完善的信用体系，提供了组织保障。这就需要相关法律予以规范征信行为，调整征信的相关活动。如进行金融交易时，金融机构要征得金融消费者，关于征信、信息共享内容的明确同意，获取之后对其信息进行完整保护。
　　
　　3.1.2 国家利益与个人利益的冲突
　　
　　个人利益和国家利益尽管存在一定的共同目标，但是二者不会始终统一。当二者相悖时，法律需要作出抉择，对个人利益进行限制，以此保护国家利益。然而，对个人利益也不能一直进行限制。导致其在国家利益面前处于不利地位，尤其私法中，要考量个人利益的保护理念。
　　
　　危害金融秩序指违反国家对金融市场的监督管理的法律、法规，从事金融活动，破坏金融市场秩序的行为。其中最典型的就是洗钱，简而言之，就是把违法所得变成合法化的行为。洗钱等危害金融秩序的活动危害性极大，不仅对金融管理秩序带来不良影响，而且影响金融机构的信誉，甚至损害社会经济秩序，进而导致国家的经济利益受损。并且，通过洗钱，使许多犯罪活动获得了经济基础，导致了犯罪和金钱的恶性循环活动。在洗钱活动中，金融机构构成整个违法活动链条的关键一环。反洗钱措施会对个人金融信息中的账户信息、账户状态、交易记录等内容进行相关的限制。金融机构对账户信息必须承担保密义务，不得随意泄露。但是，为了惩治犯罪，维护国家利益，又不得不对金融消费者的信息进行披露。由此产生了个人金融信息保护义务与反洗钱活动的交易信息披露义务之间的冲突，也即个人利益与国家利益的冲突。
　　
　　由于国家利益和个人利益并不是完全一致的，因此，监管机关在对个人金融信息保护的同时，也作出了例外的规定，要求金融机构进行信息披露。该规定的确立必然引起保护与披露的矛盾。在网络社会中，加大个人金融信息资源的开发利用是大势所趋，对其保护也必不可少。因此，在个人金融信息的保护与披露之间就必然存在一定的利益矛盾。法律必须做出明确规定，严格限制金融机构能把个人金融信息对第三方进行披露的例外情况。
　　
　　个人金融信息的法律规范，注重国家利益，而忽视了个人利益。其保护问题涉及到多方主体，在一定情况下，存在利益冲突。尤其个人利益与国家利益相悖时，冲突表现十分明显。由于，我国的法律究其本质都上国家利益高于个人利益，这就导致了私法保护的法益存在理念偏差。但是，从个人金融信息保护规范而言，主要要侧重于私权的维护。例外情况下允许披露，这是次要的。对其私法性质而言，应着重保护个人利益，而不是使用者的权益。现行规范中个人金融信息保护规定十分简单粗犷，而关于国家机关获取个人金融信息的条款却异常繁琐。《民事诉讼法》等程序性法律都赋予相关机关在特殊情况下，可以查询、冻结金融消费者个人金融信息的权力。这样的规定，在很大程度上保护了国家利益、公共利益。但是对金融消费者的权利却置若罔闻，忽视了对其权利的保护，对金融行业的发展是不利的。这也不符合私法对个体权利保护的基本要求，造成了对国家利益保护与个人利益保护之间的失衡状态，形成了私权保护中长期以来不正确的保护理念。
　　
　　3.2 法律制度不健全
　　
　　目前的法律条款，关于网络个人金融信息的规范并不完备。法律条款分散在不同的法律中，难以实现应有的法律效果。法律制度的不健全，造成现行法律可操作性不强，救济途径单一。网络个人金融信息的法律制度，没有及时反映现实中的呼声，亟需进行完善。
　　
　　3.2.1 立法现状
　　
　　个人金融信息的保护关系到个人的人身财产利益，也对金融业的发展有重要影响。所以，只有分析当前个人金融信息保护的立法现状与不足，才能提出更好的制度构建。我国对个人金融信息的保护，没有完整的法律体系，也没有专门的法律。对于个人金融信息的法律保护条款，主要散见在部门法中。而且对个人金融信息进行保护的同时，也要考虑到例外情况下的披露，达到保护与披露的利益平衡。
　　
　　最早关于个人金融信息的规定是 1992 年的《储蓄管理条例》，确立了为储户保密的原则，保障其合法权益。1995 年《商业银行法》规定了为存款人保密的原则，同时规定了泄露商业秘密的法律责任。2013 年《中华人民共和国证券法》规定为客户所开立的帐户保密。也规定了，相关机构有权查询当事人的各种账户。2015 年修订的《保险法》对金融消费者的保密义务作出而规定，保险公司等不得泄露。这些条款都是关于个人金融信息规定，效力等级相对较高。另外，金融信息的保护规定也体现在一些效力等级相对较低的部门规章当中。2003 年的《人民币银行结算账户管理办法》规定了，为存款人账户信息保密。
　　
　　随着对金融犯罪的打击力度的加大，许多法律条款都对个人金融信息的披露做出了规定。2003 年《商业银行法》规定，可以对个人存款采取查询等限制措施。以法律的形式，总体上规定了可以披露个人金融信息的例外情况。此后，2007年的《反洗钱法》建立了一系列制度，对个人金融信息披露予以规范。《海关法》、《价格法》、《中华人民共和国税收征收管理法》等法律，规定了可以查询个人金融信息，冻结个人存款等内容。在诉讼法中，如 2013 年《民事诉讼法》、《行政诉讼法》等程序法，也规定人民法院等机关可以收集、查询、冻结个人金融信息。这些法律条款，在一定程度上对金融信息的披露做出了规范。
　　
　　对个人金融信息比较全面的规范，当属《消费者权益保护法》。该条款首次明确规定了经营者收集个人信息的原则、目的、范围，并且对收集到的个人信息采取保密措施，防止个人信息的泄露，对消费者的信息做到了原则性的保护。
　　
　　刑法作为保护法益最严厉的手段，在修正案当中，增设“出售、非法提供公民个人信息罪”以及“非法获取公民个人信息罪”两个罪名，来保护公民的个人金融信息。但是该罪的犯罪主体仅限于金融等单位本身以及单位的工作人员，对一般主体的打击力度不够。该条款在个人信息保护方面具有开拓性意义，首次以刑法的手段保护个人信息，也更好地保护了个人金融信息。该刑种规定的刑事处罚不是很重，但是足以看到刑法对个人金融信息的重视。
　　
　　我国法律关于个人金融信息进行了调整，规范了个人金融信息的处理、收集等阶段性行为。相关主体的保密义务，法律责任等有所体现。但是不成体系的保护模式，零散的法律条款难以发挥应有的法律效果。
　　
　　3.2.2 立法不完善
　　
　　由于金融消费者相关理论在我国研究较晚，导致个人金融信息多归结于个人信息。而且没有一部专门的法律，个人金融信息保护的法律条款较少，且比较分散。法律上对个人金融信息缺乏明确的概念性规定，只有在中国人民银行的部门规章方面，进行定义。其属于法律层次等级较低的临时性规范文件，而且相关文件关于相关概念的使用并不统一。现有法律中，对个人金融信息处理的整个完整阶段保护欠缺，只对获取、收集等部分处理行为进行规范。刑法修正案新增的相关罪名，也只是针对出售、获取等方面，对于信息处理、使用、存储传输等阶段并未涉及。此罪名只是对个人信息的部分处理行为进行规制，而且保护力度不大，约束力有限。《商业银行法》以及《证券法》规定了保密原则，但是又仅仅局限于存款和账号，保护范围十分狭小，程度不高。
　　
　　3.2.3 操作性不强
　　
　　我国法律中规定了金融机构的保密义务，其中散见于《商业银行法》、《保险法》等法律。但是对于金融消费者、个人金融信息等基本概念的界定均处于模糊状态，银行业中对于金融消费者在不同的法律中出现了储户、存款人等不同的称谓，缺乏清晰地界定，对于一些条款也缺乏操作性。例如《中华人民共和国证券法》第四十四条规定，金融服务机构必须依法为客户开立的账户保密。由于上位概念个人金融信息的缺失，对于账户信息法律没有规定，金融机构和金融消费者也无从知道其保护范围与保护程度。金融机构对个人金融信息的处理、共享是不可避免的，但是由于上述原则性条款的存在，其流通与保护的范围就无从知晓，这样的原则性条款也失去了存在的意义。例如，《储蓄管理条例》第三十四条规定金融机构非法泄露个人金融信息，可以处以罚款。情节严重的，追究刑事责任。
　　
　　此处构成犯罪可依据《刑法修正案（七）》进行刑事处罚，但是对于民事责任的规定过于抽象，不具有可操作性。这就导致在个人金融信息保护的具体实践中，权利主体在合法权利遭到侵害时缺乏具体的救济条款，处于无法可依的不利局面。对于这些原则性条款的存在，一方面无法给与个人金融信息提供有效的保护。
　　
　　另一方面又使金融机构对相关规定视而不见，进而滥用个人金融信息，侵害相关权利。也使司法机关的自由裁量权处于不可控状态，不能有效实施。操作性不强的条款，难以落实到具体的司法实践中。加剧了金融交易主体的信任危机，影响金融行业的健康发展。
　　
　　3.2.4 救济途径单一
　　
　　目前关于个人金融信息的法律规范集中于获取等阶段，对其受到侵害后的权利救济途径则比较缺乏。而且在法律责任上的承担方式上，主要是刑事责任与行政责任，对于民事责任的规定相对空白，这使个人金融信息的权利人在受到侵害时，难以获得有效、完善的救济。对于个人金融信息的救济措施，首要的赔偿受害人的经济及精神损失，这是受害人最为关心的责任。
　　
　　但是，纵观刑法修正案关于个人金融信息的罪名。可以看出，现行的法律对侵害个人金融信息的行为进行刑事处罚称为常态的救济方式，而相应的民事侵权责任则没有规定。《商业银行法》规定，侵害个人金融信息应当承担相应的民事责任。可以看出，虽然相关机构可以采取罚款等处罚，进行救济。但是对金融消费者的民事赔偿并没有规定，此条款增加了权利主体寻求民事法律救济途径的难度。对权利主体的保护不足，且局限于存款人和其他客户，对于其它个人金融信息的主体则尚未提及。
　　
　　然而，侵害个人金融信息最直接的损失就是经济或者精神损害。对权利人的救济，规定相关主体的民事责任，赔偿经济损失或者精神损害，也是最为有效的途径。只是简单粗暴的施以刑罚处罚，并不能弥补权利人的损失，而且权利人更加注重的可能是自身的赔偿问题。但在我国对于侵害个人金融信息的行为，对其进行民事处罚却没有相关的立法规定，增加了权利人寻求法律救济的难度。
　　
　　3.3 实践问题频发

        保护理念的偏差以及法律制度的不完善，由此带来实践中个人金融信息问题频发。司法实践中，金融机构保护义务不足，金融消费者自我保护意识不强，网络攻击严重。这些原因的叠加，造成个人金融信息案件多发。
　　
　　3.3.1 金融机构保护义务不足
　　
　　个人在与金融机构交易的过程中产生了个人金融信息，但是金融机构为了自身的目的，侵害个人金融信息的现象时常发生。主要是过度收集、非法收集、不当保管、任意推销和非法买卖等形式。
　　
　　由于网络个人金融信息是在金融交易的过程中产生的，因此，交易相对方的金融机构掌握了大量的个人金融信息。网络中，某些客户信息在每个金融机构中很常见，客户的名称、地址和电话号码通常都是金融信息。在金融消费领域，为获得金融机构提供的产品或者服务，在金融交易的同时，需要提供家庭住址、信用状况等信息。而且，金融机构掌握的个人金融信息主要是与个人财产信息相关。通过分析个人的信用等级、投资偏好资产状况，为金融机构的经营决策提供数据支持，经济价值大。
　　
　　近两年互联网金融业务在我国迅速发展，作为金融业务的重要组成部分，已经成为人们日常生活中不可或缺的环节。网络技术的应用使互联网金融业务呈现出一些新的特点，金融交易有效地减少了人工操作的环节，只需在网络环境下，瞬间即可完成。互联网金融技术高、涉及范围广、透明度低等特点，对个人金融信息造成了极大的侵害和冲击。金融消费者为了获取互联网金融服务，在线提交个人信息的瞬间，就失去了对个人金融信息的控制。一旦信息“存在”在互联网上，是很困难的，甚至不可能控制[39].金融机构借助网络对其信息进行同步交换和共享，也使得侵权的范围和速度更加惊人。
　　
　　网络技术的推广运用，使金融机构能大规模地获取个人信息。单个的个人金融信息对于金融机构而言，价值可能微乎其微。但是金融机构将大量信息进行处理，运用分类、建模等方式，建立起的数据库，蕴涵极大的商业价值。可以分析出某些群体的投资倾向等，提高了金融资源的配置能力，开展更加适合的金融服务，提升单个信息价值。然而，规模庞大的数据库，足以影响金融消费者的个人生活，若是受到泄露，负面影响难以衡量。金融机构通过规模化处理信息，使金融市场的信息管理趋于一体化，也加剧了个人金融信息的风险。主要表现在以下几个方面：
　　
　　3.3.1.1 过度收集
　　
　　金融机构为了深度挖掘个人金融信息，扩展自身的网络营销业务，经常超出其服务范围进行收集个人信息。金融交易时，需要填写个人信息，常见形式就是填写各种表格。有些个人信息是金融消费者和金融机构履行服务合同的必备条款，金融机构必须知悉这些个人金融信息，这些个人金融信息的收集有其合理之处。除此之外，金融机构为了销售金融产品、改善金融服务，要求交易人提供额外信息。金融消费者此时处于不利地位，只能被迫提供更多个人信息。由于这些信息并非履行合同所必须的资料，收集这些信息，完全是另有企图，侵犯个人金融信息权。
　　
　　3.3.1.2 非法收集
　　
　　金融机构在提供服务的同时，时常未经金融消费者同意而收集其信息。尤其网络科技的发展既带来了便利，也对个人金融信息保护带来挑战[40].金融消费者在网络上进行金融交易时，金融机构会跟踪其浏览记录、消费倾向等信息。而这些内容的收集都是未经金融消费者的同意下悄然进行的，其无法知晓具体情况，更不会征得其同意。这些浏览记录依然属于金融消费者的个人信息，受法律的保护。理论上讲，金融消费者退出浏览网页时，金融机构就应当及时删除浏览记录。但是，多数情况下，金融机构会保存这些浏览记录，并进行分析。即使金融机构为了更好地提供服务而分析这些获得的信息，在未经过权利人许可的情况下，仍然会侵犯个人金融信息权利。
　　
　　3.3.1.3 不当保管
　　
　　金融机构在收集个人金融信息时，往往会承诺保障其安全。但是在网络环境下，金融机构对自身收集或者业务往来中获得的个人金融信息的存储、控制，不完善，缺乏严格的规范机制。金融机构在业务拓展过程中，会积累大量个人信息。
　　
　　例如银行收集的信用卡信息系统，存取款信息系统和住房公积金系统，这样的分类方式也决定了这些个人金融信息在短时间内不可能形成一个统一的个人金融信息系统。而且会造成信息的不对称，甚至由于分类复杂，网络存储的个人金融信息，时常因为网络系统漏洞、病毒入侵等原因，造成个人金融信息的泄露，给个人生活带来不必要的困扰。
　　
　　3.3.1.4 任意推销
　　
　　第一，当今金融机构的业务混同现象十分普遍，一个金融集团可能会兼营银行、证券或者保险业务。此集团内部获得的个人金融信息可能会共享、流通，从而向特定目标主体进行推销金融产品。比如，集团内部的保险机构，获得了保险消费者的信息之后，根据投保人的保险金额，与银行、基金公司共享信息，使得银行、基金公司向其推销理财产品。第二，金融机构可以对个人金融信息进行再次开发处理。金融机构根据自身掌握的个人金融信息，建立起庞大的数据库，然后对信息进行加工、挖掘，分析出具有商业价值的信息，从而完善其营销战略。
　　
　　3.3.1.5 非法买卖
　　
　　我国对个人金融信息的盗取已经泛滥成灾，形成了完整的产业链。个人金融信息包含财产信息等内容，更加具有经济价值，市场需求量大。金融机构掌基于对利益的追求，会非法买卖个人金融信息，直接影响了权利人的个人生活。
　　
　　3.3.2 金融消费者自我保护意识不强
　　
　　金融消费者个人受金融教育程度较低，不熟悉自己的个人金融信息内容，自我防护意识欠缺，也是其受到侵害的重要原因之一。
　　
　　3.3.2.1 安全保障意识不足
　　
　　我国金融消费者对个人金融信息的重要性缺乏相关的了解，自我保护意识较低，风险防范能力较差。金融消费者在接受金融服务的过程中，要注重自身权益的保护，对于虚假网站要加以识别，对于金融机构侵害个人金融信息的行为，要用法律武器进行维权。有些金融消费者肆意打开钓鱼网站，或者为了小恩小惠下载客户端，从而导致了个人金融信息的泄露。
　　
　　3.3.2.2 权利意识淡薄
　　
　　金融消费者个人不知道权利内容，甚至不了解个人金融信息。最好的保护就是教育，在金融消费领域最为恰当不过。金融消费者要提高权利意识，在受到侵害后才能运用法律进行救济。金融消费者如果对自身的权利漠不关心，则是对侵害者侵权行为的纵容。要继续进行金融消费者教育，增强维护自我权利意识。
　　
　　3.3.2.3 依法结社权欠缺
　　
　　与金融机构庞大的资金、雄厚的实力等相比较而言，单一的个人明显处于劣势地位。但是，金融消费者是一个群体，而不是单一的个体。每个金融消费者的利益都是息息相关的，为自己的权利进行斗争，就是为集体权利的发展做贡献。
　　
　　金融消费者要联合起来，行使自己的结社权，通过代表自身权利的组织与金融机构进行抗衡，维护自身权利。
　　
　　3.3.3 网络攻击严重
　　
　　金融机构借助网络迅速发展的同时，也增加了个人金融信息受到网络侵害的风险，其中主要包括各种形式的网络攻击。
　　
　　除了上述主体之外，金融消费者个人信息还会受到黑客等不法分子的网络攻击。他们通过网络技术，肆意侵入信息系统，获取个人金融信息。比较常规的攻击手段包括木马攻击等方式，大规模进行实施。黑客通过网络攻击，进入金融机构的金融消费者信息数据库，非法借用金融消费者身份，盗取其财产。或者获得金融消费者的精确信息，直接掌握金融消费者的行踪。极易造成个人金融信息在网络上的扩散，干扰金融消费者的私人生活，对个人造成威胁。
　　
　　3.4 本章小结
　　
　　上一章分析了个人金融信息的基本问题，本章主要对其进行更深层次的研究。探析网络个人金融信息的现状，其保护理念的偏差，法律规定的不完善，以及实践中问题频发。此现状的造成，又是层次递进关系。正是由于法律保护理念存在偏差，导致了法律的不健全及实践中出现的种种问题。网络社会中，金融机构对自身的保护义务怠于履行，个人保护意识不足，网络攻击严重等原因，加剧了对其侵害。而法律的操作性不强，救济途径单一，又使其难以获得及时有效的救济，不能较好地保护个人金融信息。在私权领域，保护理念的选择尤为重要，直接影响权利主体的权益实现。保护理念的偏差，则会直接侵害另一方主体的权利。因此，要注重个人利益与国家利益、征信之间的利益冲突，以此更好地保护个人金融信息。也要不断地完善法律法规，使个人金融信息的保护与时俱进，回应司法实践中的案例。