互聯網金融背景下金融信息保護的法律監管研究

張偉鋒+李建霞

摘 要：本文在互聯網金融大背景下，全面梳理了當前我國金融信息保護的法律監管現狀，仔細分析了在金融信息保護領域存在的保護范圍、義務主體、責任追究和破產解散情形下的移交保存等法律監管困難與問題，并從法律法規視角提出了加強和改進金融信息保護的具體對策建議。

關鍵詞：互聯網金融；金融信息保護；法律監管

中圖分類號：F830.31 文獻標識碼：B 文章編號：1674-0017-2014（9）-0021-04

隨著第三方支付、P2P等互聯網金融類型逐漸被越來越多的人所接受和使用，與消費者相關的金融信息的搜集、保存、加工和使用，在主要依靠云技術、大數據和搜索引擎的互聯網金融中，發揮舉足輕重的作用。金融危機后，加強金融消費者權益保護日益成為世界主要發達國家、地區改進和加強金融監管的普遍共識，并被付諸實踐。因此，全面梳理當前我國消費者金融信息保護的法律監管現狀，深入分析其面臨的監管困難與問題，對促進金融創新、維護金融穩定具有重要意義。

一、法律監管現狀

（一）金融信息保護的基本框架已經形成。一是在法律層面上確立基本原則。1995年5月制定、2003年12月修訂的《商業銀行法》在第三章“對存款人的保護”中，明確規定：商業銀行辦理個人儲蓄存款業務，應當遵循存款自愿、取款自由、存款有息、為存款人保密的原則。這是我國首次以法律的形式建立了金融機構為存款人保密的法律原則，從法律原則和法律解釋上涵蓋了金融信息保護的義務和責任。2006年10月制定的《反洗錢法》在第四章“金融機構反洗錢義務”中，要求金融機構應當按照規定建立客戶身份資料和交易記錄保存制度，并對未按照規定保存客戶身份資料和交易記錄的或泄露有關信息的違法行為，規定了嚴格的懲處措施。這又一次以法律的形式對金融信息保護做出了更為明確具體的規定，并且為了督促保護金融信息的行為順利執行，明確了違法行為應當承擔的相應法律責任。二是在行政法規層面上建立基本規范。2013年3月15日起施行的《征信業管理條例》，以行政法規的形式，對企業、事業單位等組織的信用信息和個人的信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動進行了全面規范，并對違法收集、查詢、使用信用信息的行為規定了比較嚴厲的行政處罰。三是在部門規章層面上確立具體準則。2005年8月施行的《個人信用信息基礎數據庫管理暫行辦法》、2006年11月制定的《金融機構反洗錢規定》、2007年6月制定的《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》和2010年6月制定的《非金融機構支付服務管理辦法》均以部門規章的形式，規定了個人信用信息的報送整理、查詢、異議處理、安全管理和行政處罰，具體規定了客戶身份資料和交易記錄保存的防護管理措施、技術措施和保存期限等具體問題，并首次將金融信息保護的范圍擴展到第三方支付機構。四是在規范性文件層面對執行中出現的問題因情勢變更作出適當的安排和要求。2011年1月中國人民銀行制定的《關于銀行業金融機構做好個人金融信息保護工作的通知》、2012年3月中國人民銀行制定的《關于金融機構進一步做好客戶個人金融信息保護工作的通知》以及2012年12月中國人民銀行制定的《非金融機構支付服務管理辦法實施細則》均以規范性文件的形式對金融機構做好個人金融信息保護工作做出了更加明確的部署與安排。

（二）金融信息保護的基本范圍已經明確。一是以行政法規的形式框定了金融信息保護的基本范圍?！墩餍艠I管理條例》明確規定保護范圍是企業和個人的信用信息，禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息，并不得采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。二是以部門規章形式明確了金融信息保護的內容?！督鹑跈C構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》明確，金融機構應當保存的客戶身份資料包括：記載客戶身份信息、資料以及反映金融機構開展客戶身份識別工作情況的各種記錄和資料；金融機構應當保存的交易記錄：包括關于每筆交易的數據信息、業務憑證、賬簿以及有關規定要求的反映交易真實情況的合同、業務憑證、單據、業務函件和其他資料。三是以規范性文件的形式細化了個人金融信息保護的范圍?！蛾P于銀行業金融機構做好個人金融信息保護工作的通知》中，對個人金融信息的概念和種類首次做出了全面具體的規定。所謂個人金融信息，是指銀行業金融機構在開展業務時，或通過接入中國人民銀行征信系統、支付系統以及其他系統獲取、加工和保存的以下個人信息：包括個人身份信息，財產信息，賬戶信息，信用信息，金融交易信息，衍生信息以及在與個人監理業務關系過程中獲取、保存的其他個人信息。

（三）金融信息保護的責任追究制度已經建立。為保護客戶隱私，維護金融穩定，目前監管法律法規對違規收集、使用、對外提供金融信息的行為，已規定了相對明確的處罰措施?！渡虡I銀行法》對金融機構非法查詢個人儲蓄存款和單位存款的行為，規定由國務院銀行業監督管理機構責令改正，并根據違法所得金額，給予不同額度的行政處罰。對金融機構未按照規定保存客戶身份資料和交易記錄的行為，違反保密規定、泄露有關信息的行為，《反洗錢法》規定情節嚴重的，處二十萬元以上五十萬元以下罰款，并對直接負責的董事、高級管理人員和其他直接責任人員，處一萬元以上五萬元以下罰款?！墩餍艠I管理條例》規定向金融信用信息基礎數據庫提供或者查詢信息的機構，違法提供或者出售信息、因過失泄露信息等違法行為，由對單位處5萬元以上50萬元以下的罰款；對直接負責的主管人員和其他直接責任人員處1萬元以上10萬元以下的罰款。此外，對非金融機構未按照規定保管相關資料的行為，《非金融機構支付服務管理辦法》規定由中國人民銀行分支機構責令其限期改正，并給予警告或處1萬元以上3萬元以下罰款。

二、存在問題

（一）對金融信息保護范圍缺乏統一、具體的規定，且法律效力層級較低。在《商業銀行法》中，根據確立的“為存款人保密”的基本原則，金融信息保護對象僅為存款人。顯然對貸款人、中間業務參與者等非存款人的金融信息，金融機構是否負有保密責任與義務，法律并沒有給出明確規定。即便是存款人的金融信息保護，針對個人存款和單位存款，法律在保護程度的規定上也不盡相同，對個人儲蓄存款給予了更嚴格、更審慎的保密義務。如：對個人儲蓄存款，只有法律規定可以查詢的，金融機構才履行查詢義務，除此之外有權拒絕任何單位或者個人查詢等行為；但對單位存款，除法律之外，行政法規規定可以查詢的，商業銀行也應當履行查詢義務。但是對存款人的哪些信息應當保護，法律并未作出具體規定。從《反洗錢法》的規定來看，信息保護范圍為：客戶身份資料和交易記錄，前者包括記載客戶身份信息、資料以及反映金融機構開展客戶身份識別工作情況的各種記錄和資料；后者包括關于每筆交易的數據信息、業務憑證、賬簿以及有關規定要求的反映交易真實情況的合同、業務憑證、單據、業務函件和其他資料。從《征信業管理條例》規定來看，金融信息保護范圍限定為企業或個人的信用信息。如果說，《商業銀行法》對保護范圍僅僅做出了一個概括性的、原則性的規定，后來制定的《反洗錢法》則對保護范圍了首次明確，包括客戶身份資料和交易記錄。在2011年《關于銀行業金融機構做好個人金融信息保護工作的通知》中，對個人金融信息保護的范圍進行了全面細致的規定。明確個人信息的范圍，除了法律規定的身份資料和交易記錄之外，還包括財產信息，賬戶信息，信用信息，衍生信息以及在與個人建立業務關系過程中獲取、保存的其他個人信息。特別是將個人消費習慣、投資意愿等對原始信息進行處理、分析所形成的反映特定個人某些情況的衍生信息，納入金融信息保護的范圍。即使如此，仍然存在兩個方面的問題，一是從法律形式上而言，后者既不是行政法規、也非部門規章，僅是人民銀行制定的規范性文件。因為行政法規由國務院組織制定，部門規章由人民銀行行長簽署中國人民銀行令予以公布。所以在法律效力上，后者對個人金融信息范圍的界定，不構成對前者的法律解釋，只是一個行政性的業務說明，因為根據立法法的規定，對法律的解釋權屬于全國人民代表大會常務委員會。顯然，在金融信息保護戶范圍的界定上，該規范性文件雖然是最全面具體的，但在法律效力層級上的卻是最低的，這勢必給金融信息保護的具體執行帶來剛性不足、依據偏弱的先天缺陷。二是從涉及內容上看，后者僅是對個人即自然人金融信息的明確和細化，尚未涉及法人、其他組織和個體工商戶（統稱“企業”）的保護范圍。這將使得對企業金融信息的保護，除客戶身份資料和交易記錄之外，面對互聯網金融的迅速發展，衍生信息等金融信息違法收集、使用、對外提供的法律風險將更加突出。

（二）金融信息保護義務尚未覆蓋到互聯網新型金融主體，存在監管真空?！渡虡I銀行法》適用對象為銀行業金融機構，《反洗錢法》將適用對象擴展到金融機構，指依法設立的從事金融業務的政策性銀行、商業銀行、信用合作社、郵政儲匯機構、信托投資公司、證券公司、期貨經紀公司、保險公司以及國務院反洗錢行政主管部門確定并公布的從事金融業務的其他機構。顯然，除銀行業金融機構之外，證券業、保險業、期貨業、信托業均覆蓋其中?！督鹑跈C構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》增加規定，要求從事匯兌業務、支付清算業務和基金銷售業務的機構也應按照規定履行客戶身份識別、客戶身份資料和交易記錄保存義務?！斗墙鹑跈C構支付服務管理辦法》將在收付款人之間作為中介機構，即第三方支付機構，提供部分或全部貨幣資金轉移服務的非金融機構納入監管范圍，明確其也應履行金融信息保護義務。從上述監管法律法規來看，盡管信息保護的具體范圍寬窄不盡相同，但履行金融信息保護義務的主體范圍在不斷擴大，已從最初的主要集中于銀行業金融機構，逐漸向銀行、證券、保險金融機構甚至第三方支付機構拓展。不容回避的是，在互聯網金融迅猛發展的大背景下，面對P2P網絡借貸平臺、眾籌融資、網絡小額貸款等互聯網金融新的類型和業態的不斷涌現，若仍然將金融信息保護的主體范圍限定于既有的金融業主體，將互聯網金融新型主體不愿或不能及時納入監管范圍，必將存在監管真空和漏洞，為金融信息的違規收集、使用和對外提供留下網絡施展空間，更加容易導致金融信息的泄露、濫用，引發訴訟風險，給金融穩定帶來隱患。因此，2007年制定《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》，將從事匯兌業務、支付清算業務、基金銷售業務的機構納入金融信息保護的主體范圍，很好地體現了監管規則的前瞻性和指導性。但歷時7年之后，互聯網金融領域信息保護規定的空白，一定程度上反映了監管理念的滯后。

（三）金融信息違法行為的處罰標準不盡統一，處罰額度差異較大。以行政處罰規定為例，《商業銀行法》對違規對外提供金融信息的行為，比如非法查詢行為，規定責令改正，有違法所得的，沒收違法所得，違法所得五萬元以上的，并處違法所得一倍以上五倍以下罰款；沒有違法所得或者違法所得不足五萬元的，處五萬元以上五十萬元以下罰款?！斗聪村X法》對違規使用金融信息的行為，如未按規定保存客戶身份資料和交易記錄，違反規定泄露有關信息的行為，責令限期改正；情節嚴重的，處二十萬元以上五十萬元以下罰款，并對直接負責的董事、高級管理人員和其他直接責任人員，處一萬元以上五萬元以下罰款?！斗墙鹑跈C構支付服務管理辦法》對違規保存使用金融信息的行為，如：未按規定保管相關資料或保守客戶商業秘密，責令其限期改正，并給予警告或處1萬元以上3萬元以下罰款。從上述規定可以看出，一是在違規使用金融信息行為嚴重程度的判定上，采取了“有無違法所得”和“情節是否嚴重”兩個衡量標準，一個是從違規行為獲利的角度出發，一個是從對金融秩序造成損害的角度出發，兩者在立法意圖、立法技術等方面存在顯著差異。二是從某種角度而言，是否有違法所得也應視為情節嚴重與否的應有之義，換言之，情節標準涵蓋了是否獲利的情形，兩種不同表述在現實中存在相互交叉、重疊的可能，但給予不同種類、幅度的行政處罰，使得金融信息保護行為的執法實踐難度加大。三是與給予金融機構的行政處罰相比，針對非金融機構即支付機構的行政處罰，種類單一、額度較低。如對支付機構僅給予1-3萬人民幣行政罰款。盡管較低額度的行政處罰與立法法、行政處罰法對部門規章設置行政處罰的權限和范圍有關，但是在執法實踐中，容易造成相同違法違規行為，對金融機構和非金融機構給予不盡相同的行政處罰，暫且不論是否有違法律面前人人平等的基本法律原則，僅從較小的行政處罰成本而言，勢必帶給第三方支付機構甚至其他互聯網金融新類型違法預期的增強，弱化行政處罰的威懾和效果。

（四）破產解散情形下金融信息監管存在空缺，為金融違法犯罪留下滋生空間?；ヂ摼W金融在迅猛發展的同時，也存在著良莠不齊的現象，難免魚龍混雜，網絡借貸平臺卷錢跑路的情況時有發生。這就使得破產解散后客戶金融信息的保護問題迅速浮出水面?！渡虡I銀行法》在金融機構解散、被撤銷和被宣告破產后，重點關注了銀行債權債務分配和償還問題，對客戶金融信息保護的問題未作規定?！斗聪村X法》對此種情形首次做出了規定，要求金融機構破產和解散時，應當將客戶身份資料和交易記錄信息移交國務院有關部門指定的機構。但是這樣的規定顯然還比較原則和模糊，國務院有關部門、具體移交機構，移交范圍，期限固定等等都不具體和清楚?！督鹑跈C構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》規定：金融機構破產或者解散時，應當將客戶身份資料和交易記錄移交中國銀行業監督管理委員會、中國證券監督管理委員會或者中國保險監督管理委員會指定的機構。至此，雖然明確了金融信息移交管理部門，但是這僅局限于金融機構。對包括第三方支付在內的非金融機構甚至互聯網金融機構解散、破產后的信息保護，包括金融信息移交、保管問題未作出明確規定。因為《非金融機構支付服務管理辦法》僅僅規定：支付機構因解散、依法被撤銷或被宣告破產而終止的，其清算事宜按照國家有關法律規定辦理。綜上，新型互聯網金融機構解散、破產后的金融信息保護方面的監管空白，將給時有發生的網絡借貸平臺跑路和網上銀行、手機銀行金融詐騙犯罪留下了賴以滋生的土壤和生長環境。

三、對策建議

（一）以相對較高的法律位階和規范形式，統一明確金融信息保護的范圍。一是建議消費者金融信息按照主體的不同，參照《反洗錢法》等相關法律法規，結合金融實踐活動，分為自然人金融信息和法人、其他組織和個體工商戶金融信息兩大類，在此基礎上再按照內容不同分為身份信息、財產信息、賬戶信息、信用信息、交易信息、衍生信息、不良信息和其他信息。二是建議采取廣義金融信息的概念和范圍，將互聯網金融涉及的金融信息也納入監管范圍，增強監管規則的前瞻性和覆蓋面，形成金融信息保護的整體一致框架，為將來不斷出現的新型金融信息類型留下監管空間。三是參照《商業銀行法》、《金融機構反洗錢規定》等法律法規展現出來的金融信息保護原則，繼續堅持對自然人與對法人、其他組織和個體工商戶程度不同的保護原則，在違規金融信息收集、保存、對外提供行為的界定上，違規行為給予行政處罰的種類和幅度設定上，突出對自然人金融信息的更高程度保護，更加嚴格的法律限制。四是在形式表現上，建議首先選取制定消費者金融信息保護單行法律的具體形式，對信息保護范圍通過法律條文或法律解釋的方式，統一明確加以規定。顧及到提請制定法律的嚴格程序要求，目前也可以考慮通過行政法規的形式來統一明確金融信息保護范圍，以改變當前部門規章和規范性文件在效力層次上的低下，解決在執法實踐中對碰到的概念表述不一、范圍寬窄不同、理解處置迥異的棘手問題。

（二）以適當形式將金融信息保護覆蓋到互聯網金融的新型主體。一是建議將互聯網金融的新業態和種類納入監管范圍，雖然目前監管規則已對第三方支付等支付機構賦予了金融信息的保護義務，但是P2P網絡借貸平臺、網絡小額貸款公司、眾籌融資等互聯網金融主體對金融信息保護也負有義不容辭的義務和責任，出于降低法律訴訟風險，維護金融穩定監管要求的考量，應當要求其像銀行業金融機構一樣，依法依規收集、保存、加工和使用金融信息。二是在具體表現形式上：一種建議是考慮到有關部門正在制定或計劃制定針對P2P網絡借貸平臺、網絡小額貸款公司、眾籌融資等互聯網金融主體的業務監管辦法，建議將金融信息保護內容一并納入其中，做到金融信息保護與業務監管相統一。另一種建議是參照前述統一明確金融信息保護范圍的做法，在制定統一專門的金融信息保護方面的單行法律或行政法規中，一并將這些新型金融主體納入其中。

（三）以情節輕重為標準、種類幅度相當為原則，補充修改違反金融信息保護行為的行政處罰條款。一是對違法收集、保存、加工、使用金融信息的行為，統一以情節輕重為標準衡量違法行為的嚴重程度，將是否有利益所得納入情節輕重考量的具體情節，并對自然人客戶和法人、其他組織、個體工商戶客戶的違法行為，設定不同的認定標準，突出對前者金融信息違法行為較低、較寬的認定門檻，較高、較嚴的行政處罰力度。二是參照《商業銀行法》、《反洗錢法》和《征信業管理條例》對違反金融信息保護行為的認定和處罰情形，以適當形式對金融信息保護的其他部門規章、規范性文件相關內容作出修改或補充，使得對不同機構的相同行為，在處罰種類和處罰幅度上保持基本相當，避免在金融信息違法行為責任追究上適用依據差異較大、尺度把握不盡統一的現實困難，同時也有助于提高非金融機構的違法行為成本，一定程度上遏制金融信息違法行為的發生。三是參照前述在金融信息保護方面制定統一的單行法律或行政法規的情形，將P2P網絡借貸平臺、網絡小額貸款公司、眾籌融資等互聯網新型金融主體也納入其中，對違法行為和法律責任追究，明確處以與金融機構、第三方支付基本相同的行政處罰，以做到行政處罰條款的全領域覆蓋。

（四）根據業務監管原則，明確和細化破產解散后金融信息的移交保管制度。一是參照《反洗錢法》等相關法規，明確第三方支付機構解散、破產和被撤銷時的金融信息移交保管問題，由履行支付業務許可證頒發與管理的中國人民銀行作為移交和管理機構，承擔此類金融信息保護義務。二是對互聯網新型金融主體，建議將其解散、破產和被撤銷時的金融信息移交保管，按照正在制定或計劃制定的業務管理辦法要求，移交到與其業務監管相適應的監管機構或地方政府部門負責保存管理。三是在移交保存的技術層面，參照《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》有關規定，建議對金融信息的保存期限、特殊情況下的保存時間，同一介質、同一信息不同介質的保存等具體問題，盡可能作出一致統一的具體規定，以體現金融信息全面、依法保護的規范性、完整性和嚴肅性。

參考文獻

[1]廖凡.理論突破與機制創新：英國金融消費者保護的發展及其啟示[J].社會科學，2013，（8）：95-100。

[2]吳盛光.金融消費者保護：后危機時代金融監管的新主題[J].上海金融學院學報，2011，（1）：85-90。

[3]中國人民銀行條法司案例編寫組.中國人民銀行執法與訴訟案例評析[M].北京：中國金融出版社，2009。

[4]中國人民銀行金融穩定分析小組.中國金融穩定報告（2014）[M].北京：中國金融出版社，2014。

[5]中國人民銀行西安分行課題組.金融消費者保護：理論研究與實踐探索[M].北京：經濟科學出版社，2011。

The Study on the Legal Supervision on Financial Information Protection under the Background of the Internet Finance

ZHANG Weifeng1 LI Jianxia2

（1 Baoji Municipal Sub-branch PBC， 2 Baoji University of Arts and Science， Baoji Shaanxi 721000 ）

Abstract：The paper reviews the current legal supervision on financial information protection in China under the background of the internet finance， carefully analyses the difficulties and problems in legal supervision on financial information protection such as the scope of protection， the subject of obligation， the legal responsibility， the transfer and preservation after the dissolution or the bankruptcy. Finally， the paper puts forward some specific suggestions on strengthening and improving financial information protection from the legal perspective.

Keywords： internet finance； financial information protection； legal supervision

責任編輯、校對：李東旭