吴丹丹++郜新鑫++陈立佳

【摘要】21世纪以来，互联网金融伴随着互联网技术和移动终端设备的迅速普及得到飞速发展，金融信息安全问题也开始成为人们最关注的话题。在对我国金融信息保全立法进行现状阐述和问题评析后，提出健全我国金融信息保护立法的若干对策建议，以期更好地推动我国互联网金融健康快速发展。

【关键词】互联网金融 金融信息安全 立法现状 对策

一、引言

从余额宝问世到第三方支付、P2P网贷平台的迅速发展，互联网金融近年来得到广泛关注，并首次进入了2014年的政府工作报告。在“移动互联”、“云计算”、“物联网”等技术的推动下，我国互联网金融发展迅猛，在理念、技术、产品等方面不断得到创新，在服务实体经济、推动普惠金融发展、便利居民生活、满足投资需求等方面弥补了传统金融体系的缺陷，发挥了无法替代的积极作用[1]。

然而，金融信息安全问题也随之日益突显。信息化的加速不可避免地增加了数据泄漏的风险，再加上对一些敏感数据的使用权和所有权界定不明晰，过分依赖国外大数据分析技术等，容易导致民众在享受互联网金融带来便利的同时，面临着账号被盗、资金被窃、交易欺诈以及财产损失等诸多潜在风险。

金融信息安全是国家发展战略的重要基石，信息安全问题目前已经上升到国家战略层面，很多发达国家视其为仅次于恐怖袭击的重大安全问题[2]。本文在此背景下从法律制度层面出发，依据对我国金融信息保全立法现状及其问题的剖析，针对性地提出健全金融信息保护立法体系的建议，具有重要的理论指导和实际应用价值。

二、互联网金融的内涵及特征

Allen &Gale（1997）[3]、Berger & Gleisner（2008）[4]、高汉（2014）[5]等学者认为，互联网金融不是互联网和金融的简单结合，是借助云计算、搜索引擎、移动通信、社交网络等一系列现代信息科技手段，实现资金融通等多项业务的新兴金融服务模式。从概念层面可以将目前所有网络金融形态划分为互联网金融和金融互联网，前者指互联网企业利用互联网技术开展的金融业务，后者指金融机构传统业务的互联网化，无论哪种，均离不开关键信息技术的运用[6]。

互联网金融主要具有以下三点显著特征：一是依托大数据、云计算、社交网络和搜索引擎，通过互联网技术与金融功能的融合，挖掘客户信息并管理信用风险；二是以点对点直接交易为基础进行金融资源配置；三是融合互联网并实现以第三方支付为依托的资金转移。

三、我国金融信息保护立法概况

我国到目前为止仍然没有制定出一部规范所有部门和行业的统一的金融信息保护法律，但关于金融信息保密义务等规定早已在一些法律中有所提及。

（一）概括性法律规定

《宪法》第十三条规定：“公民的合法私有财产不受侵犯。”第三十三条规定：“国家尊重和保障人权。”《民法通则》第一百零一条规定：“公民、法人享有名誉权，公民的人格尊严受到法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”《民通意见》第一百四十条规定：“以书面、口头形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”《刑法》修正案和《侵权责任法》中也对个人信息受侵犯做了保护性规定。上述原则性规定虽不涉及金融信息保护领域，但其实可以将我国有关隐私权、金融信息保护等法律的传统理念实实在在地反映出来，相信对于研究我国金融信息保护的立法缺失，以及具体制度构建等具有重要的顶层设计和指导价值。

（二）具体性法律规定

我国最早规定银行保密义务的法规是1992年的《储蓄管理条例》，其第五条规定“储蓄机构办理储蓄业务必须遵循为储户保密的原则”。《储蓄管理条例》对储户利益的保护精神体现在《商业银行法》中。该法第六条规定：“银行义务保障存款人权益不受侵犯。”第二十九条规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、存款自由、存款有息、为存款人保密原则；对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。”第五十三条规定：“商业银行的工作人员不得泄露其在任职期间知悉的国家秘密、商业秘密。”《电子银行业务管理办法》第三十八条规定：“金融机构应采用适当的加密技术和措施，保证电子交易数据传输的安全性与保密性，以及所传输交易数据的完整性、真实性和不可否认性。”《信托公司管理办法》第二十七条规定：“信托公司对委托人、受益人及所处理信托事务的情况和资料负有依法保密的义务，但法律法规另有规定或信托文件另有约定的除外。”

中国人民银行通过发布《中国人民银行法律事务工作规定》与《银行业消费者权益保护工作指引》对个人金融信息保护做出原则性规定，禁止在个人未授权时对其个人金融信息进行披露。2011年下发《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（2011年第17号文）以列举方式界定了个人金融信息的范围，在例外披露制度上做出两种安排。第一，向第三人披露金融信息必须出于为被披露主体办理业务所需要，同时需要被披露主体的明示同意，否则不能披露；第二，出于营销的目的向本金融机构内其他部门或其他业务人员披露时，采取默示同意制度，即被披露主体提出反对时禁止披露，而被披露主体未声明反对时拟制为默示许可，两种安排都应服从法律法规的另行规定。2012年“3·15”期间再次发出《关于金融机构进一步做好客户个人金融信息保护工作的通知》（2012年第80号文），重申2011年17号文对例外披露制度的严格执行。

此外，我国《反洗钱法》、《中华人民共和国证券法》、《个人存款账户实名制规定》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》等法律、法规、规章中也对金融信息保护有零星规定。如，《中华人民共和国证券法》第四十四条规定：“证券交易所、证券公司、证券登记结算机构必须依法为客户开立的账户保密。”《银行业监督管理法》第六条规定银监机构应与人民银行、其他金融监管机构建立信息共享平台；第四十三条规定违反规定查询、披露个人金融信息的行政责任[7]。

四、我国金融信息保全立法存在的问题

虽然现阶段我国已对金融信息数据保护做出了不少立法规定，从趋势上对个人金融信息例外披露的规则也逐渐细化，但我国立法规定笼统零散，在实践中的作用有限，仍存在诸多问题，主要包括：

（一）立法零散、缺乏系统性、可操作性差

阅读国内有关金融信息保护的法律规定可知，整个国家没有一部主体法律来确定金融信息保护的基本原则和目标，也没有明确将金融信息保护作为一项法律意义上的权利进行保护，在规定内容上也未涵盖个人金融信息保护的全部范围。与此同时，目前大多数关于金融信息保护的法律条文仅为保密义务的简单重复，多为原则性强的指示性规定，缺乏具体的实体内容，实践中可操作性较差。如《民法通则》将隐私权置于名誉权下来保护，规定过于笼统导致较难判断侵权行为构成，从而真正追究有关人员侵权责任便很难落实。

（二）立法内容不周延，范围界定不清晰

我国现行金融信息保护法律对客户金融隐私范围界定狭窄，存在不少空白。从国内分业监管看，各层级的规范多数仅就单一监管范围内的主体进行规定，在同一监管领域内的主体界定上，也语焉不详。比如《商业银行法》虽明确规定银行需为储户保密，却可又不区分个人和单位储户的利益；虽规定银行保密义务，却仅限于商业秘密。这意味着除金融机构不够重视外，有关金融信息权保护的整个思路也不正确。

（三）立法层级偏低，缺乏应有的权威性

我国现行关于金融信息数据保全的一系列规定皆缺少了基本法层面的保护，大多都是以行政法、部门规章或规范性文件等为主体，无法将金融隐私权上升为法律意义上的权利。当然，除银行业外，其他金融机构也都对客户金融信息保护有着自身的一系列规定，如《反洗钱法》、《保险法》、《证券法》等法律中关于金融信息保护的内容相互重复或冲突、层次不一。我国金融信息保护法制建设的滞后在很大程度上不利于对客户金融隐私权展开有效保护，在金融信息保护和信息披露存在冲突时，使得被违规披露个人金融信息的主体无法获得有效的直接救济。

（四）法律救济渠道不足，重行轻民

“无救济即无权利”，我国现行金融隐私保护法律很大一部分在于满足行政和司法机关的履职需要，金融机构有配合的义务，侧重于公共机构获得个人信息的权利，而有关法律救济手段与路径的规定却大大缺乏。目前我国对信息所有人的法律救济手段偏重于行政责任方式，行政责任内容较完善，可操作性，但行政处罚并不能给遭受侵权损失的权利主体以有效的权利救济。而在被侵权的民事救济方面，仅仅在原则上做笼统规定，并没有实质和具体的内容，导致受害者难以寻求并行使法律救济权。

五、互联网时代下健全中国金融信息保护的立法建议

金融信息安全不仅关系着金融业的持续发展，也与整个国家的经济社会安全息息相关，特别是在互联网金融时代背景下[8]。健全的法律体系是个人金融信息数据权得以保障和实施的基本前提。因此，健全国内的金融信息保护制度，做好个人金融信息的保护工作，必须从立法入手，明确个人金融信息权利，加强监管，正确处理个人金融信息保护和信息披露平衡等问题。

（一）树立大数据理念

数据是重要资产在金融业已达成共识。十八届三中全会通过的《中共中央关于全面深化改革若干重大问题的决定》中指出“借助大数据理念与技术的支持，构建稳定均衡的大金融体系”。因此，我国金融机构应当树立大数据的概念，在战略原面上对包括金融隐私在内的金融数掘进行规划，建立数据驱动型发展方式；建立适应时代要求的IT基础架构，保证基础设施的可控性、安全性，优化服务器、存储和网络资源；培养一支具备多学科知识、多层次专业素质、娴熟学习和驾驭新技术能力的精英团队[9]。

（二）科学选择立法模式

我国应当在充分考量经济发展和社会现实的需求，以及认真分析具体国情的前提下，来选择金融信息保护立法模式。我国在个人信息保护领域的立法起步较迟、经验欠缺，在现阶段的实际情形下，想直接达到欧盟一体化的高保护水平是很难的。为尽可能避免分散立法导致信息保护缺漏这一情况的发生，一部统一法律的制定是十分必要的。鉴于此，结合我国法律体系主要属于成文法系的基本特征，在模式上可以美国模式为基础分散立法，结合实际逐步探索，循序渐进地提高金融隐私保护水平，走向欧盟统一立法模式。

（三）逐步建立并完善金融信息法律体系

第一，完善部门规章为主体的金融隐私保护制度体系。考虑立法程序复杂和时间成本等问题，应首先从强化监管部门行政管理权入手，近期目标是以部门规章和规范性文件为核心，初步建立起科学的制度体系；远期目标是通过行政管理为推进手段，逐步建立专门法律为核心、涵盖各层面相关法律法规为辅助，通过部门规章和规范性文件具体实施的金融隐私保护法律体系。第二，加快推进个人信息保护立法。应当将个人信息保护工作通过效力层次较高的法律进行规范，以体现个人信息保护的重要性。《民法通则》等基本法律应当对金融隐私保护做出制度性安排，如适用直接保护原则，将隐私权作为一项独立的人格权加以保护，同时对隐私权权属进行界定，明确其财产属性，为金融隐私权法律制度的全方位构建奠定立法基础。与此同时，还应逐步完善个人信息保护的立法技术手段，保证其法律保护的全面性。

（四）加大监管力度，将法律落实到位

首先，明确好监管部门。综合考虑到中国人民银行的宏观管理地位，以及其可以通过征信系统、支付清算体系等方式非常便利地对金融机构资金流动和管理个人信息等情况随时予以监控，建议由人民银行做好牵头协调与兜底保护等主要工作，并需要结合实际情况对金融机构保护客户信息工作展开专项检查、评估，将金融隐私保护纳入对金融机构总体风险监管框架中。其次，依法履行金融隐私保护监管职责。监管部门要监督金融机构客户金融信息数据库营销管理，督促银行业强化内控建设，引入先进技术，防止信息泄露和滥用。同时，需自觉履行法律规定的对个人信息的保密义务，对现场、非现场监管过程中获得的个人金融信息严格保密，切实防范泄密现象发生。最后，借助第三方力量开展监管。在个人金融信息数据保护的行政执法中，监管部门可以考虑依托标准化委员会，通过第三方技术专家即信息保护中介机构的引入，来对金融机构的个人信息安全情况进行共同判断、评价并采取相应的处理，从而促进全行业构建金融隐私保护体系。

（五）健全金融机构管理制度建设

第一，强化金融隐私保护内控建设。金融机构要完善客户个人信息管理各项规章制度，健全各业务条线相关操作规程，参照人民银行及有关监管部门工作要求，加强个人金融信息全流程管理；重点推进内控制度建设，合理划分保密岗位职责和权限；严格审批涉及个人信息数据的查询、复制。加大内部监督检查工作频率，展系统安全性评估、审计，防范各类风险和漏洞。第二，加强建设与管理业务信息系统。按照分类管理、等级管理为原则推进金融机构重要信息系统建设，通过岗位职责和系统操作员权限控制，对相关人员权限、等级进行详细界定。定期组织第三方独立机构评估审计本机构有关信息系统，评价抵御各类风险的水平状况，采取数字证书、防火墙等技术手段全面加强系统风险管理。同时建立相关应急处置工作机制，重点加强和防范网络攻击等外部风险，确保相关信息系统的安全运行。第三，重点加强金融从业人员管理。目前，金融机构因内部员工操作不当造成的个人信息泄露案件不断发生，加强员工保密教育十分必要。要通过保密承诺书、责任书等方式，进一步强化对日常能够接触个人金融信息关键部门和岗位的管理与控制，消除风险隐患。

（六）完善信息侵权救济手段

首先，确立公益诉讼制度，赋予消费者诉讼资格，明确金融隐私诉讼个案对同类业务的普遍约束力。公民可以向行政司法机关、致力于金融隐私保护的社会团体等请求依法受到保护；金融机构等应积极推进预警体系于诉求处理平台的构建，及专职部门、人员的成立和组成；鼓励完善行业自律规范，将行业组织的监督作用落到实处。其次，需进一步强化隐私侵权的法律责任。金融机构在侵犯客户信息数据时，必须依法承担相应的法律责任。必要时还可通过惩罚力度的加大，使金融机构的违法成本也随之增加，充分保障金融隐私救济权。

此外，应明确信息披露的具体细节和操作流程。披露必须依据法律的明文规定和程序，法律应当严格限制公共利益和国家、公共安全的定义，防止公权力的自由裁量和对该原则的滥用，否则确立金融隐私权保护将失去大部分意义。

六、结语

在互联网金融时代下，金融信息数据不仅具有人格属性，是个人的一项财富，也是金融机构的重要资产，更是国家和企业参与世界竞争的战略资源[10]。所以要从制度和法的理念出发，多方外建立和完善我国现有的金融信息安全立法体系，如此才能在信息安全管理中获得主动权、占据制高点，从而有效地规避互联网金融带来的信息安全风险，更好地促进互联网金融持续、健康、稳步发展，更好地服务实体经济。

参考文献

[1]胡剑波，宋帅，石峰.互联网金融信息安全风险及其防范[J].征信，2015（4）：13-17.

[2]安青松.金融信息安全是国家发展战略的重要基石[N].证券时报， 2013-03-01（12）.

[3]Allen & Gale. Financial Markets， Intermediaries and Inter-temporal Smoothing [J]. Journal of Political Economy， 1997（3）：523-546.

[4]Berger & Gleisner. Emergence of Financial Intermediaries on Electronic Markets： The Case of Online P2P Lending [Z]. Working Paper， University of Frankfurt， 2008.

[5]高汉.互联网金融的发展及其法制监管[J].中州学刊，2014（2）：57-61.

[6]黄浏祥.互联网金融信息安全风险的应对之策[J].中国农村金融，2015（15）：43-45.

[7]万玲.金融隐私权保护公权干预制度探析[J].行政与法，2012（12）：87-90.

[8]赵立志，朱建明.互联网金融信息安全问题与对策[J].信息安全，2014（12）：36-37.

[9]白运全.大数据时代的金融信息安全[J].网络安全技术与应用，2014（11）：101-103.

[10]张秉兵.互联网金融时代金融信息安全对策研究[J].金融科技时代，2015（7）：66-68.

基金项目：“新华08” 金融信息数据保全的法规框架与策略研究（TC123B5K/07）。

作者简介：吴丹丹（1991-），女，汉族，安徽六安人，毕业于中国科学技术大学，研究方向：科技政策与创新管理；郜新鑫（1984-），男，汉族，甘肃人，任职于新华通讯社，研究方向：经济数据分析及可视化；陈立佳（1981-），女，汉族，北京人，任职于新华通讯社，研究方向：信息安全与网络优化。