◆张昕喆

论个人金融信息的内涵和外延

◆张昕喆

（中国政法大学中欧法学院 北京 102249）

对于个人金融信息的内涵和外延的确定是一项开放的系统工程。本文通过文义解释、扩张解释、规范适用等方法确定了个人金融信息概念内核和应用边界。在研究过程中，首先通过文义解释来确定了个人金融信息所含意义的内核；其次通过个人金融信息的实践表现确定了个人金融信息所含意义的外延；最后通过分析规范变动下内涵和外延的变动过程及发生原因揭示了个人金融信息内容的全貌。

个人金融信息；文义解释；扩张解释；规范适用

尽管对金融业的本质的话题还存在争论，但“金融业是一个以信息为导向的产业”这一论断已在各种理论中崭露头角，获得广泛业内人士的认同[1]。或许还有人对这一观点不屑一顾，但其也不得不承认金融业为提升金融服务能力而对信息的采集、挖掘、开发和利用的行为正如火如荼地发生着。对于金融业的信息利用行为所带来的整体性社会福祉提升，社会公众也许报以赞许态度，但信息利用行为所带来的社会信息风险却是社会公众不得不提防的现实问题。也因之如此，对于金融机构对个人信息利用所引发的信息风险的识别、控制和规避成为社会公众赋予金融监管机构必须承担的任务。由此，对个人金融信息进行保护成为金融监管机构提出的应对信息风险的重要实践。

1 问题的提出

或许个人金融信息利用只是一个以实践为导向的描述性事实，不必过多纠结个人金融信息内容是什么，只需将所获得的个人金融信息类型尽可能地进行利用。但对于个人金融信息保护这一个规范性事实，首先要对“个人金融信息”这一复合词语究竟指的是什么进行准确的认知和定义，才可使得个人金融信息保护这一规范行为存在明确的靶向。这也同时提出了个人金融信息保护这一任务的前提性工作：对个人金融信息的内涵和外延进行分析。

2 问题的分析

尽管在语素分析上，很容易分析出“个人金融信息”这一复合词汇的核心是“信息”一词，“个人”和“金融”都是对“信息”的限制和形容。由此认为，“个人金融信息”的内容其实就是“个人信息”和“金融信息”两个词汇所指内容集合的交集部分，因此只要确定了“个人信息”和“金融信息”的内容，“个人金融信息”的内容便昭然若揭。但是“个人金融信息”一词在本文中不但是事实性概念，同样也是规范性概念，“个人金融信息”的内涵不仅仅是通过在物质世界的客观表现来确定，同样依赖于法律对于个人金融信息的规范实践，在规范效果的衡量下、在不同的实践场景中，个人金融信息的内容都发生着变化，只有在不同规范场域下对其进行内容分析，才能在词汇编织的“意义之网”中确定个人金融信息的真实意义。

通过分析，我们知道了“个人金融信息”的内涵并不仅仅是这一个复合词汇依据词语意义所能够准确指出的，还要依据词汇实践所产生的规范关系来塑造。这揭示了我们接近这一词汇内涵的路径和方法：首先，应当通过文义解释来确定个人金融信息这一词汇所含意义的内核（文义解释）；其次，分析个人金融信息的表现类型，来确定这一词汇所含意义的边界；最后，通过分析规范变动下内容的变动过程，揭示内容变动的原因，以达到对个人金融信息内容的全面理解。

3 问题的解决

3.1 内涵的确定

命名是对文义的定位，对于个人金融信息的概念内核的确定，需对个人金融信息进行文义解释为基础。通过对“个人”“金融”“信息”等零散语素意义的理解，构成了我们对于“个人金融信息”在语言之网上的位置的确认，形成了我们对于个人金融信息的初步认知。虽然经过语素的无穷追溯能够给我们带来最客观的事物本质，但在规范意义的立场上，这种做法既无必要也无意义。

规范论的视角不等同于事实本质的视角，规范视角下的词汇意义是经过主观价值调整的意义，与客观的事物本质并不相同。以“信息”为例，在事实本质视角下，香农的信息论理论是现代信息理论的基石，他从概率论的角度对信息进行明确的定义，但这并不符合规范视角下社会公众认为的信息。因此在本文中对于语素追溯的方向应从规范论的视角下进行，需要追溯到与目标词汇直接链接的词汇（一度词汇）的规范意义，而二度词汇会因为意义的丧失程度过高而无助于目标词汇的意义形成。因此，回归到本文对于“个人金融信息”内核确定的实践上，需追溯到“个人信息”的规范意义，然后通过引申确定“个人金融信息”的规范意义。至于为何不从“金融信息”入手，这是因为在规范意义的研究体量上，个人信息比金融信息资料更为准确翔实。

在我国规范视角下，关于“个人信息”的规范概念，2017年两高司法解释中首次予以明确，即“公民个人信息”是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等[2]。“个人金融信息”是“个人信息”的子类概念，“个人金融信息”的特殊性在于其是自然人从事金融活动中所产生的个人信息[3]。在目前我国的相关文件中认为，个人金融信息是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。

3.2 外延的确定

尽管官方对个人金融信息给出了较为明确的定义，但这也仅仅是从规范视角下的一个角度对于“个人金融信息”进行描述，并不能对“个人金融信息”的所有类型进行准确定位。因此，即使在官方解释出台的多年之后，仍有学者结合“两高司法解释”关于“个人信息”的定义，对“个人金融信息”的概念进行定义。其认为“个人金融信息”是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人从事金融活动情况的各种信息。姑且不论该定义是否更具有解释力，但这至少指向了一个事实——如果不能将个人金融数据的类型穷举，是无法准确找到“个人金融信息”的意义边界的，也就无法确定哪一种定义是更恰当的。这也揭示了下一步的工作：通过穷举不同规范视域下个人金融信息的实践类型以确定“个人金融信息”的概念外延。

（1）中国

“个人金融信息”的概念首次出现在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)。该文件将个人金融信息定义为金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息[4]。2020年2月发布的《个人金融信息保护技术规范》中对于“个人金融信息”概念的定义也与之一致，包括个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息[5]。2020年9月《中国人民银行金融消费者权益保护实施办法》发布，其中消费者金融信息的定义是银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息[6]。这对“个人金融信息”的概念进行了拓展。根据相关学者的统计，“个人金融信息”的类型包括：（1）有关账户的信息，包括账户上所存款项、资金数额、收支情况、资金来源和去向、账户记录、信用卡的情况；（2）有关客户交易的信息，包括交易标的、种类、性质、内容、价格、当事人、时间等；（3）银行因保管客户的账户而获得的与客户有关的任何信息[7]。

（2）欧盟

2018年5月，欧盟发布的《通用数据保护条例》（GDPR）是目前关于个人信息保护最为严格和完整的一部法律，其以可识别性为标准定义了个人信息的进入门槛。在GDPR中，其认为个人金融信息是指与个人财产、财务活动、金融交易相关的各类信息。在信息种类上，GDPR介绍的个人金融信息类型非常细化。在保护力度上，GDPR未将个人金融信息（财务数据）纳入敏感数据的范围进行最严格的保护，但欧盟法律将金融信息同电子通信信息、就业信息、医疗信息和用于研究统计的信息一起，规定为“特殊种类信息”。特殊种类信息的处理需要经信息主体的明确同意，并适用于特殊的保护规则[8]。

（3）美国

美国1978年颁布的《金融隐私权法》，在法律层面将个人金融信息确定为隐私权范畴，后续的相关立法主要从金融隐私权（Financial Privacy）保护的角度出发。按照1999年出台的《金融服务现代化法案》中的定义，金融隐私权保护主要指对金融消费者非公开个人信息（NPI）的保护。NPI是金融机构收集的有关其客户的任何“可识别到个人的金融信息”，除非该信息是“公开可用的”并有其他获取渠道。NPI包括个人为获得金融产品或服务向金融机构提供的任何信息（例如姓名、地址、收入、社会安全号码等）、个人金融交易信息（例如账号、付款记录、贷款或存款余额以及信用额度等）、金融机构通过其他渠道获得的客户个人信息（例如来自法院记录或消费者报告的信息），不包括金融机构可以公开合法地获取的个人信息（例如联邦或者州法律要求公开的信息）[3]。

3.3 内容的变动分析

虽然上文分析了规范视角下的个人金融信息的内在特征（内涵）和表现形式（外延），但这并不能构成对于个人金融信息的全部意义。个人金融信息并不是由内核和边界两部分构成的僵硬机械结构，而是在规范场域下内核和边界交流互动的动态体系。经过细致的对比分析可以发现，我国的个人金融信息和欧盟、美国的类型并不完全重叠，从欧盟的个人金融信息的范围以“指向性”为基础，涵盖了个人在从事金融活动中所产生的所有个人金融信息；相对于欧盟规定复杂覆盖面广，美国规定简练聚焦重点，结合抽象定义与不完全列举两种方式，一方面通过抽象定义对个人信息的管辖范围划定边界，另一方面通过具体列举为企业提供了相对明确的判定指引[9]。而目前我国个人金融信息仅限于金融机构的范围[3]。不同规范域下的个人金融信息不仅在内容定义上存在差别，在权利类型上也存在较大差异。在欧盟GDPR赋予个人对个人金融信息的知情权、访问权、纠错更正权、反对权、投诉权、删除/被遗忘权、数据可携带权、反对非法画像的权利等权利。而我国只赋予了个人同意权、知情权、异议纠错权、投诉权、司法救济权等权利[10]。

上述个人金融信息的内容差异显示了各规范域对信息产业发展的态度，各规范领域都在依据自身的信息技术能力采取不同的“数据权利保护和数据自由流通的平衡模式”，以促进自身信息产业发展的利益最大化。美国以其强大的信息技术能力为后盾，利用信息技术领域的技术标准制定权为核心优势，通过长臂管辖规则对其他规范域进行控制，以CCPA(《加利福尼亚州消费者隐私法案》)和CLOUD（《澄清域外合法使用数据法》）为例，采取“自由式市场+强监管”为基础的模式，极力促进“数据自由流通”一方，谋求自身数字经济的发展。欧盟因信息技术产业相对落后，只能以其为广阔的信息消费市场作为利益制衡点，通过GDPR(《通用数据保护条例》)选择以“数据基本权利”为基础的发展模式，以维护公民的数据基本权利为内容来争夺在信息技术产业中的话语权[9]。中国与美国类似，其信息产业规模和技术能力的强大促使其在国际上拥有信息流通规则和技术标准的制定权，故中国采取“数据主权+精细监管”的数字经济促进模式，但囿于立法技术及担忧阻碍产业发展，故在立法上对以个人金融信息为代表的个人信息的内容采用狭义界定模式。

4 结束语

本文通过文义解释、扩张解释、规范适用等方法确定了个人金融信息的内涵和外延，并比较了中国、欧盟和美国对个人金融信息的定义。本文旨在厘清个人金融信息的概念，这是保护的第一步，同时明确保护范围，也是保护个人金融信息的关键。

[1]美国财政部货币监理署官员霍克（John Hawke）在国会听证会时所言：“整个金融服务业领域就是个信息导向的企业，以信息交换方式提供有利于消费者和金融机构是重要的市场功能，可以促进信用卡、投资保险或其他的金融交易”.

[2]最高人民法院，最高人民检察院.关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释[Z]. 2017.

[3]张慧卿，倪海鹭，高道远.我国个人金融信息保护立法研究[J].金融纵横，2019.

[4]中国人民银行.中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知[Z]. 2011.

[5]中国人民银行.个人金融信息保护技术规范[Z].2020.

[6]中国人民银行.中国人民银行金融消费者权益保护实施办法[Z].2020.

[7]许可.个人金融信息的三重法律保护[J].中国银行业，2019.

[8]the general data protection regulation what financial institutions need to know.[EB/OL].http://www.ll.mit.edu/ideval/data/2000data.html. https://www.slaughterandmay.com/media/2535649/the-general-data-protection-regulation-what-financial-institutions-need-to-know.pdf.

[9]何渊：中国数据立法，该参考欧盟模式还是美国模式？[EB/OL].http://m.thepaper.cn/kuaibao_detail.jsp?contid=5410417&from=kuaibao.

[10]文舒.欧盟个人金融信息保护立法经验及启示[J].金融纵横，2019.