张新宝：个人金融账户信息的强化保护

文/张新宝  中国人民大学法学院教授、网络信息法中心主任，《个人信息保护法》参予起草专家

本文载于《中国银行业》杂志2021年第11期

导语：个人金融账户信息作为敏感个人信息，是“两头强化”中“强化保护”的一头，“强化利用”的目标则劣后。在理解与适用《个人信息保护法》这一法律为个人金融账户信息提供保护时，既要兼顾个人与社会公共利益，又要以实践为舵、理论为帆，并针对具体行业，因地制宜，如此方得正道。

《中共中央关于制定国民经济和社会发展第十四个五年规划和二○三五年远景目标的建议》指出，要“加快数字化发展”“推动数据资源开发利用”，同时也要“建立交易流通、跨境传输和安全保护等基础制度和标准规范”“保障国家数据安全，加强个人信息保护”。近年来，大数据与互联网赋能下的金融业，在第三方快捷支付、普惠金融、缩短资金供需链条等方面取得长足发展，但海量的数据处理提高了非法收集、非法使用与泄露数据的风险，进而损害到个人人身与财产权益、降低了客户对金融机构的信任、甚至影响到了金融系统的安全。《中华人民共和国个人信息保护法》第二十八条第一款规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”该条法律将个人金融账户信息纳入敏感个人信息的范畴并加以强化保护，本文主要研讨相关的理解和适用问题。

个人金融账户信息的界定

对于个人金融账户信息的理解，应区分为如下三个层次：首先，个人金融账户信息属于个人金融信息，应在该种属关系下讨论金融账户信息的具体类别。金融机构是指由金融监管部门监督管理的持牌金融机构，包括银行、信托公司、证券公司以及保险公司等机构，由此个人金融账户至少涵盖银行账户、证券账户、保险账户以及期货账户。此外，个人的社保、医疗、住房公积金账户以及其他具有金融存储和支付功能的账户，比如微信账户、支付宝账户等也应当被认为是个人金融账户。

其次，《个人金融信息保护技术规范》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》进一步划定了个人金融账户信息的外延，即包括但不限于支付账号、银行卡磁道数据（或芯片等效信息）、银行卡有效期、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。

最后，个人金融账户信息属于敏感个人信息，但敏感个人信息的外延并非封闭的体系，《个人信息保护法》第二十八条第一款采用等外之“等”不仅适应了敏感个人信息的场景性与时代性特征，更可以包容其他敏感程度高、对个人权益影响大的个人信息种类。需要指出的是，在个人金融信息中，鉴别信息的重要程度不亚于个人金融账户信息，因为其借助账户密码、短信验证码、个人生物识别信息等验证主体资格，是控制账户访问权限的真正锁钥。比如，《个人金融信息保护技术规范》将个人金融信息的敏感程度按照C3、C2、C1从高到低排列时，用户鉴别信息居于首位。因此，除个人金融账户信息外，鉴别信息也应被纳入敏感信息范围，适用敏感个人信息的相关保护规则。

保护个人金融账户信息的特殊意义

其他国家和地区鲜有将金融账户界定为敏感个人信息的，比如欧盟《通用数据保护条例》（GDPR）第9条中的特殊类别信息仅包括种族、民族、政治观点、宗教或哲学信仰、工会成员的个人数据、遗传数据、唯一标识某自然人的生物特征数据、关于健康或关于自然人的性生活或性倾向等数据。我国《个人信息保护法》立足基本国情与法律实践，对个人金融账户作出专门规定，具有如下意义：

维护自然人的合法财产权益。个人金融账户信息本身的财产性价值并不大，但它是通往银行债权、公司股权等权利的入口，在网络快捷支付、代扣支付中，账户信息与姓名、身份证号、预留手机号等相结合，便能证明第三方的主体地位，并使之取得支配账户内财产的权利。《中华人民共和国宪法》第十三条指出，公民的合法私有财产不受侵犯。国家依照法律规定保护公民的私有财产权和继承权。《宪法》作为我国根本大法，对私有财产保护的公开承诺应落实为法律保障与制度构建，而《个人信息保护法》正是国家机关履行立法职责以强化保护金融类敏感个人信息的结果。

打击非法牟利行为，肃清不良社会风气。实践中，直接造成账户财产被非法窃取的场景一般存在三种情况：一是金融机构内部人员非法访问、向第三人提供客户信息；二是金融机构存在软件漏洞或黑客入侵；三是作案人员利用钓鱼网站或非法链接引诱自然人提供账户信息。无论是向他人非法提供信息以谋取利润或直接窃取信息以入侵金融账户，都是为社会所不能容忍的“发家致富”的手段。早在洛克的自然法理论中，合法财产权利的取得需以辛勤的劳动为基础便已被强调，若不法获利行为未得到有效规制，一则减损公众对金融机构的信任，二则挫败了个人通过合法手段创造财富的积极性，三则助长了侵权人的嚣张气焰，四则影响国家经济秩序与金融安全。基于此，《个人信息保护法》强化了个人金融账户信息处理的同意要件、赋予金融机构和其他信息处理者采取安全保障措施与风险防范义务，并配置严格的法律责任，对个人金融账户信息从收集到存储的数据处理全周期进行充分保护。

强化保护个人金融账户信息的方式

《个人信息保护法》出台之前，对个人金融账户信息的规定与行业标准主要包括《网络安全法》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等，未来如何结合这些规则来理解并实施《个人信息保护法》是需要重点探讨的问题。

同意规则。《个人信息保护法》第二十九条规定：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”敏感个人信息的同意规则贯穿于个人金融账户信息的收集、使用、提供与公开、跨境传输等信息处理阶段，目的在于保障个人发挥私法自治，自主支配其个人信息权益，具有极强的实践价值。

处理个人金融信息原则上需获得个人的单独同意。“单独同意”是指个人在充分知情的前提下作出自愿、明确与其他信息处理事宜独立的表示，它强调一个“同意”应针对一个具体的目的，且在独立界面展示。但一个具体的目的项下可能涉及多种个人信息类型，而逐项“同意”则进一步拆分了具体目的之下的多种个人信息，此种情况下，一个“同意”针对的是一个具体的信息。需要强调的是，有特别规定时，处理个人金融账户信息应当取得个人的“书面同意”。比如，《征信业管理条例》第十四条第二款规定，“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是，征信机构明确告知信息主体提供该信息可能产生的不利后果，并取得其书面同意的除外。”

“同意”在性质上属于受害人承诺，有学者提出其构成需满足内容明确具体、同意真实自愿、受害人具有同意能力、加害人充分告知说明、不违反法律行政法规禁止性规定与公序良俗等要件。但实践中，侵权人通常利用钓鱼网站或非法链接引诱个人提供账户信息并植入手机木马窃取短信验证码，以达到修改银行账户密码、转移财产的目的，此时个人的“同意”因不符合“真实自愿”的标准而无效。在此场景下，由于《个人信息保护法》第二十九条前句确定了行为人需要遵循的特定行为模式，后句为法律参引规则，该条文一则在实体法上缺乏相应的法律后果，不能充当请求权基础，二则在程序上因侵权人锁定困难而降低法律实效。为此，一方面，《个人信息保护法》在第七章配置法律责任震慑侵权人，预防不法行为发生。其中，第六十六条与第六十九条分别规定了行政责任与侵权损害赔偿责任，而第六十七条与第七十一条则转引至信用惩戒与治安管理处罚、刑事责任。另一方面，中国人民银行与公安部联合出台《对买卖银行卡或账户的个人实施惩戒的通知》，打击非法出租、出卖、购买银行卡行为，防止侵权人借助他人银行卡号接收转账款，逃避公安机关与银行的溯源调查。此时，真实权利人对他人使用账户信息的同意因违反公序良俗而无效，实名制的要求降低了定位具体行为人难度。由此可见，为整治第三方恶意收集银行账户信息，《个人信息保护法》第二十九条不仅划定合法行为边界，与法律责任章节的条款结合构成完全法条，还收紧了行为人脱逃法律制裁的对策，作用显著。

告知规则。根据《个人信息保护法》第十七条与第三十条规定个人信息处理者处理个人金融账户信息应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知：个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；个人行使本法规定权利的方式和程序；处理敏感个人信息的必要性；对个人权益的影响。

“告知”的适用范围与“同意”不同，只要个人金融账户信息处理行为是以《个人信息保护法》第十三条第一款中的情形为合法性基础，处理者便需履行告知义务。但存在如下三项的例外：第一，法律、行政法规规定应当保密的；第二，不需要告知的；第三，告知将妨碍国家机关履行法定职责的。较为典型的例外情况为金融机构履行反洗钱监管职责或国家机关调查犯罪活动，根据《中华人民共和国反洗钱法》的规定，金融机构应当保密。

严格保护措施。《个人信息保护法》第二十八条第二款指出采取严格的保护措施是处理个人金融账户信息的必要条件，保护措施通常分为技术手段与安全管理两类。法律为个人信息处理者确定低限度的保护标准，让过错责任具有客观的评判依据，有利于在黑客入侵等金融账户信息泄露案件中合理分配涉案主体责任，并激励信息处理者积极履行作为义务。同时，这也是社会效益最大化的方式，一味让金融从业者潜心研发新技术、提升监管力度以保证信息安全，会消耗过高的社会成本，反而抑制行业的发展。

就技术手段而言，一方面，应当保证信息在传输过程中的保密性、完整性和可用性，比如，《个人金融信息保护技术规范》列举了安全通道、数据加密等技术措施。另一方面，应当确保信息存储安全，明确何种情况下不应当储存、何时储存匿名化信息或去标识化信息以及必要的储存期限。比如，目前实践中采用的聚合支付平台延长了支付链条，并在后台残留大量金融信息，这些信息应当在交易完成后及时予以清除，防范信息被不当利用与泄露。

就安全管理而言，《个人信息保护法》第五十五条与第五十六条确立了个人信息保护影响评估制度，第五十七条规定了重大事件应急制度，第五十二条要求处理个人信息达到国家网信部门规定数量的个人信息处理者指定个人信息保护负责人，负责监督事宜。此外，对于个人金融账户信息应特别注重对外包服务机构或其他委托机构的评估与监管，加强内部人员管理与组织规则制定，设置信息处理规范与访问权限。这些旨在应对机构内部成员非法查询、提供账户信息、金融机构外包核心业务等重点问题。不过，个人对其金融账户信息享有的安全权益有时会受到公共利益的限制，比如，出于维护金融管理秩序的目的，《中华人民共和国反洗钱法》第十九条第三款规定，“客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年。”因此，账户信息本身的隐私性与公共性也影响到安全管理措施的设计。

泄露或非法提供个人金融账户信息的法律责任。实践中侵害个人金融账户信息的方式与形态众多，但最为典型的是个人信息处理者泄露或非法提供给他人。个人信息处理者对合法获取的个人金融账户信息负有保密义务，这源于个人信息主体对其个人信息所享有的支配利益，也即若无其他法律依据，非经个人同意，任何人不得向第三人公开、提供个人信息。而过去理论界与实务界因对个人信息权益的认知不足，通常认为保密义务是从诚实信用原则延伸出的合同附随义务，如“广东省清远市清城区人民法院（2009）城法民初第1206号民事判决书”便持这种观点。该旧有理论基础的缺陷在于只能规制与个人具有直接业务与合同关系的个人信息处理者，而对于以其他合法方式如履行职责获取个人金融账户信息的主体却束手无策。

在《个人信息保护法》与《民法典》时代，就与个人建立业务关系的金融机构、为提供服务而获取个人金融信息的经营者、在履行职责过程收集个人金融信息的国家机关和承担行政职能的法定机构，消极意义上的保密为不得向第三人非法提供，积极意义上的则为采取相应的防范措施；违反相关规定，将触发《个人信息保护法》第六十九条的损害赔偿责任、第六十六条的行政责任以及《刑法》第二百五十三条之一的侵犯公民个人信息罪。

当泄露个人金融账户信息的主体为工作人员时，我国立法趋于高压态势，以应对此类案件频发的现状。1995年《商业银行法》第八十四条规定，商业银行工作人员泄露在任职期间知悉的国家秘密、商业秘密的，应当给予纪律处分；构成犯罪的，依法追究刑事责任。该条文仅适用于商业银行工作人员，且个人金融账户信息既不属于国家秘密，也难谓商业秘密。不过一般金融机构内部成员可能会根据内部规则受到纪律处分。2009年《刑法修正案（七）》增设第二百五十三条之一，确定了金融单位工作人员的刑罚制度，其构成不考虑个人金融信息泄露行为是否发生于在职期间，只要该信息为履行职责或者提供服务过程中所获取即可。但该条文不能适用于除国家机关或者金融、电信、交通、教育、医疗等单位以外的主体，其他服务或产品提供者亦存在收集并储存个人金融账户信息的需求，同样面临工作人员非法查询、访问并出售信息的风险。2015年《刑法修正案（九）》修改了前述规定，全面扩张适用范围。2020年《民法典》第一千零三十九条再次强调了国家机关、承担行政职能的法定机构及其工作人员等特殊主体的保密义务，并重申不得泄露或者向他人非法提供的规则；同时，第一千一百九十一条规定用人单位应对工作人员在职期间的侵权行为承担无过错替代责任，认可了用人单位的追偿权，由此，工作人员因故意出售、泄露个人金融信息的，应承担终局责任。自此，《个人信息保护法》《民法典》与《刑法》为防止职工非法泄露个人信息而编织了严密的法律责任之网。

个人金融账户信息作为敏感个人信息，是“两头强化”中“强化保护”的一头，“强化利用”的目标则劣后。在理解与适用《个人信息保护法》这一法律为个人金融账户信息提供保护时，既要兼顾个人与社会公共利益，又要以实践为舵、理论为帆，并针对具体行业，因地制宜，如此方得正道。

（原载于《中国银行业》杂志2021年第11期）

本文首发于微信公众号：中国银行业杂志。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。