首页 > 论文范文 > 社会科学论文 > 经济学论文 > 金融论文 > 关于个人金融信息保护的重要性

关于个人金融信息保护的重要性

2021-08-20 1239 上传者：管理员

摘要：当前,经济社会不断进步,人们对个人信息的重视程度越来越高,个人金融信息保护的形势也愈加严峻。通过从目前个人金融信息保护的形势着眼分析了制定个人金融信息保护试行办法的必要性,结合近年来对个人金融信息保护中存在的主要问题,有针对性地提出明确个人金融信息的边界、内涵及其外延,并对个人金融信息保护试行办法的进一步完善提出相关建议。

关键词：
个人金融信息
信息保护
数字信息
边界
加入收藏

2019年10月份，中国人民银行制定《个人金融信息保护试行办法》初稿（以下简称《办法》），并广泛向社会征求意见，是对个人金融信息的保护工作的进一步尝试，解决了很多目前存在的现实问题，本文就更好地实现对个人金融信息的保护进行了探讨。

一、个人金融信息保护的必要性

（一）个人金融信息处理中存在不规范行为

在个人金融信息的收集、存储环节，很多金融类APP条款，强制搜集与其提供的服务无关的个人信息，实际上也是非必要提供的个人信息。如，很多金融类App条款“不同意打开通讯录和位置权限，则拒绝提供所有业务功能”，如果想要办理此项业务，就必须同意打开通讯录和位置权限，才能进入“下一步”，而通讯录和位置权限与此业务毫无关联；在个人金融信息的使用方面，2019年被通报的光大银行，其APP条款包括“可能将通过某一项服务所收集的信息，以汇集信息或者个性化的方式，用于我们的其他服务”，而信息主体不了解“其他服务”包括哪些服务；在个人金融信息流通中，大部分信息主体的金融数据都被保留下来，甚至被一些大数据公司获取用于二次销售或处理，侵害信息主体权益。

个人金融信息的不对称，使得买卖金融隐私信息的市场需求大、收益丰厚，让不法分子有了可乘之机。近年来，金融隐私泄露事件每年大约以35%的速度增长，其中金融理财类居各类诈骗案件之首。当前移动互联网金融业务的发展，个人金融数据呈现爆炸性的增长，金融业迈入互联、共享的数字化时代，给金融信息保护带来了新挑战，而个人金融信息处理中的规范行为愈加显得突出和重要。

（二）个人金融信息保护缺少专门的法律规范

目前，我国《消费者权益保护法》《刑法》《商业银行法》《征信业管理条例》《民法典》等一些法律法规中都有关于个人金融信息保护相关规定，最新的《民法典》对个人信息保护的规定也仍然停留在概括性的层面，“个人信息处理需征得自然人或者其监护人同意”表述过于宽泛，而且已有的法律法规很多是原则性保护，以行政处罚为主，司法过程中不能够行之有效地解决问题，一旦发生泄漏事件对相关人员的裁决也缺少专门的法律依据。

（三）无明确的个人金融信息保护监管部门

当前，虽有部门规章或规范性文件对保护个人金融信息做了相关规定，但尚未明确个人金融信息保护的监管部门，没有明确一个较高级别监管机构来统筹监管个人金融信息保护工作，金融部门、行业协会等在各自领域对消费者金融信息进行监督和管理，存在监管交叉或监管真空现象，相互之间的协调工作机制也未成熟，难以形成监管合力，信息保护工作联动配合能力需加强。

（四）公众法律意识淡薄，个人金融信息保护意识不强

随着线上金融业务的普及，金融消费者对数字金融产品认知和使用越来越广泛，人们对手机App类产品也越来越依赖，但对于信息安全防护技能相关知识却知之甚少，必要的法律意识淡薄。部分信息主体轻易将身份信息、账户信息等敏感个人金融信息在电话中、网络上告知陌生人，很容易被骗上当，一旦造成经济损失，后期维权较为困难。信息主体法律意识淡薄，对自身金融信息保护意识不足的问题，是当前个人金融信息保护的主要难点之一。制定专门的个人金融信息保护法律法规，即可以让公众维权时有充分的法律依据，又有助于社会公众个人金融信息保护意识的提升。

（五）现有法规无法应对个人金融信息安全面临的严峻挑战

一是新科技在金融领域的应用，使得数据流通的环节增多，数据处理场景呈多样化，个人金融信息保护新挑战增加。二是目前诸多法规监管对象主要为银行、支付机构等，不利于改善移动互联网、大数据风控等领域个人金融信息不当采集、使用等对信息主体金融信息的侵害。三是法规实际履行效力缺乏实质保障，如目前具有较为详尽规定的《中国人民银行金融消费者权益保护实施办法》明确“银行、支付机构收集消费者金融信息用于营销、用户体验改进或者市场调查的，应当以适当方式供金融消费者自主选择是否同意”，但缺少对告知语言、时点以及何为适当的方式等的实质性规定。

二、个人金融信息保护方面存在的问题

（一）内控不严，操作违规

案例：2019年11月，淮安公安局查处七家涉嫌侵犯公民个人信息的公司，其中，考拉征信涉嫌非法提供身份证返照查询九千多万次，获利近四千万元，在公司服务器中查获并收缴被非法获取、存储的公民姓名、身份证号、照片近一亿条。

考拉征信作为知名征信机构，却涉嫌非法窃取公民隐私用于牟利。事件虽还未有处置结果，但已曝露出某些机构在保护信息主体信息上存在漏洞，甚至存在某些“潜规则”。同样2020年中信银行泄露客户账户流水一事曾引发市场关注，暴露出个人金融信息持有机构存在执行操作规范不力、监督不严而导致信息泄漏的问题。

根据《中国个人金融信息保护执法白皮书（2020）》，人民银行行政处罚公示的违法行为显示，个人金融信息违法行为易发生在存储、查询、使用等环节，其中表现最严重的是未按规定妥善保存客户身份资料或交易记录，占比超过30%。由此可见，金融机构缺乏有效的执行保障机制确保其内控制度的执行。

（二）“同意”条款被滥用

案例：2017年12月，警方打击了一家广州某叶科技网络有限公司，该公司虚构贷款产品“无限贷”，通过网络进行推广，吸引被害人注册登记，以此获得包括被害人个人信息，包含姓名、地址、手机号码、紧急联系人、芝麻积分、通讯录等，将其储存至后台数据库中，出售给陈某等人实施“套路贷”违法活动。庭审中被告却主张在采集用户信息时已经获得用户的“同意”授权来为自身做辩护，曝露出目前个人金融信息保护中的“同意权”这一基本原则在实现上存在不足。

1.同意条款的繁杂性削弱同意权的有效性。

由于对数据的处理与使用的条款晦涩难懂、冗长繁琐，信息主体经常难以理解或者不愿意花费时间去了解，轻易做出了流于形式的同意。

2.“一揽子授权模式”的同意规则存在缺陷。

国内很多金融业务的同意授权中往往包含信息收集、传输、处理使用、共享、转授权、对外提供等多个方面，“同意”在事先就包含了对后续数据再利用、处理情形。如上文提到光大银行在个人信息的使用方面，条款“可能将通过某一项服务所收集的信息，以汇集信息或者个性化的方式，用于我们的其他服务”，信息主体在做出同意表示时，实际并不明了后续是何机构对自身信息作何利用。

（三）金融信息技术保护滞后于金融科技应用

案例：2019年2月，网友“阿木”在微博上发布了一段视频，视频中展示了京东金融窃取用户的手机图片，即当京东金融在手机后台运行时，用户使用其他手机APP应用时的屏幕截图以及使用其他手机APP拍摄的照片，都会被京东金融缓存。

京东金融APP漏洞隐蔽收集用户信息，氪信利用SDK插件搜集数据而不告知客户，涉金融现金贷类APP已成为重灾区。当下金融机构普遍通过开放应用程序接口或软件开发工具包SDK等方式与第三方合作建立数据的链接与共享，新技术应用到金融业务中，却缺乏用科技手段提升客户金融信息保护的意识与能力。

三、出台《个人金融信息保护试行办法》的建议

《个人金融信息保护试行办法》应明确个人金融信息的定义，并明确其内涵、外延等。

（一）提升违法成本，加强个人金融信息保护力度

2020年中国人民银行总行及各地分支行开出的行政处罚罚单中涉及“个人金融信息”的共181张，侵害信息主体金融信息事件屡禁不止，甚至屡罚不改。目前个人金融信息侵权民事救济侧重弥补信息主体实际损失，对故意侵权者在法律上的约束效力弱。监管部门对金融业机构的措施多为约见谈话、要求整改、同业通报等，监管力度不够，惩处力度也不足。建议《办法》中一是要对个人金融信息侵害案件设定最低赔偿金额，最低赔偿金额建议是违法成本的倍数，加大惩罚力度，提高违法成本。二是增加并细化泄露客户个人金融信息的具体责任条款，让违法者在付出高额经济赔偿的同时负有其他连带责任。

（二）优化“知情同意权”设置，明细告知规则

目前我国在同意规则中普遍使用“概括授权”规则，虽然简单、直接和明确，但实际削弱了信息主体对自身金融信息的控制权。本文建议《办法》对以下方面作出规定：一是金融机构通过格式条款取得个人金融信息书面使用授权的，应该在协议的醒目位置，采用通俗易懂的语言明确向信息主体告知该授权的可能后果；二是事先的同意协议不得包含后续的使用、共享、转授权、对外提供等多个环节，使用目的完成后，应对后续使用再次获得信息主体的“同意”授权；三是细化“同意”权的告知规则，加强对告知语言、时点以及何为适当的方式等实质性规定，同时可配合个人金融信息利用的普遍场景，配套制定行业指导规则。

（三）强化制度执行，加强合规管理

《办法》应对金融机构的内部管理制度和操作做出要求，金融机构因违规造成的个人金融信息泄露，要对金融机构和相关责任人明确处罚标准，严厉打击银行员工利用职务之便侵犯公民信息的行为，对违规泄露客户信息的员工，不仅受到法律惩处还应终身禁业；要求金融业机构加强和第三方合作公司在个人金融信息采集、传输、维护、留痕等过程中的合作与管理，并对利用本机构客户信息或者接入本机构平台的第三方机构明确数据安全要求和责任；《办法》可赋予金融业机构法定的监督义务，监督与自身合作的第三方应用运营者，促使其履行数据安全管理的责任，如果监督督促不力，在一定情形下需要承担责任。

（四）“法律+技术”相结合，提升保护防护力

一是《办法》应明确各类手机金融类应用程序App，包括银行类、消费类、支付类、理财类、证券类等，应以“最小必要”范围获取权限的原则，不得收集、存储业务需要外的用户信息；二是《办法》应明确金融科技加快应用的背景下，金融信息持有者应用科技手段提升客户金融信息保护能力，强化技术防护措施的义务。相应的技术防护措施要涵盖金融信息数据的收集、传输、存储、使用、删除、销毁等各个环节。对外提供的金融产品和服务，应该按照“告知目的、明确同意、最小够用、确保安全”的原则，设计实施金融隐私数据的技术安全防护策略，不断探索金融隐私保护的技术手段，使信息主体的个人金融信息得到技术上的保障。

参考文献:

[1]中国人民银行金融消费者权益保护实施办法[R].中国人民银行令(2020)第5号,第三章第二十八条.

[2]齐爱民.信息法原论[M],武汉:武汉大学出版社,2010:58-60.

[3]任龙龙.论同意权不是个人信息处理的正当性基础[J].政治与法律,2016(1):126-134.

[4]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5):92-115.

文章来源：倪凤玥,李俊芹,陈烨.关于个人金融信息保护的建议[J].河北金融,2021(08):63-65.