金融机构的金融信息保护义务

金融机构的金融信息保护义务

宋会娟

上海海事大学

摘要：金融信息作为金融行业的核心竞争要素，实践中金融机构利用优势地位，掌握着种类丰富、数量庞大的金融信息，大数据时代，这类信息面临着被非法收集、储存、利用和过度挖掘等风险。金融信息价值巨大，直接关乎客户的人身、财产、信息安全，金融信息安全面临严峻形势，不容小觑。根据合同义务理论和金融机构在交易中所处的特殊地位，金融机构应当对金融信息负有安全保障义务。本文除结语之外分为三部分内容：第一部分介绍一下金融信息安全风险和金融机构的信息保护义务；第二部分论述一下金融机构违反信息保护义务的责任承担；第三部分则是讨论一些具体的金融信息保护路径。

关键词：金融机构，金融信息，保护义务

一、金融信息的安全风险及金融机构的金融信息保护义务

（一）金融信息的安全风险

大数据时代的金融信息包括了客户的基本信息、客户的账户及交易信息、信用信息、衍生信息以及金融机构与客户建立业务关系过程中获取或保存的其他信息。随着第三方专业机构广泛地介入金融业务，移动支付等新型金融业务模式的兴起，数据挖掘技术的发展等因素增加了金融信息被泄露、滥用、过度挖掘等风险。

尤其是随着金融行业数字化转型不断推进。线上化服务进程加速，“非接触式服务”在为人们带来便捷的同时，也伴随诸多信息安全问题。纵观以往发生的金融信息泄露事件可以看出，金融机构超范围采集个人隐私信息及过度索取用户信息，并在不同业务部门之间随意转移用户个人信息，甚至随意向第三方提供用户个人信息等情况，是个人信息遭泄露的重要隐患。在我们身边，因信息泄露给社会公众带来严重后果的情况最常见的就是遭遇电信网络诈骗、在不知情下“被贷款”等等。此类事件的发生，不仅会对社会公众产生不良后果，也会增加金融机构的诉讼风险，从而加大其运营成本，并影响社会声誉。

因此，金融机构在运用数据为用户提供服务的同时，更要强化个人信息安全的保护意识，尤其要严控和保护涉及个人隐私的信息。

（二）金融机构的金融信息保护义务

金融机构应当对客户的金融信息负担最主要的安全保护义务。金融机构是金融大数据产生的载体和存续的直接媒介，其对金融大数据进行收集、处理的过程中，能够获得大量有利于开展金融业务、扩大市场范围、增加营业利润的信息。因此，注重对客户信息的保护，不仅是金融机构长远营利的需要，也是其承担最基本的企业社会责任的要求，是其遵行诚实信用原则的体现。

金融机构的信息保护义务在法律法规中的体现如下所述。《个人信息保护法》的实施为保护个人信息权益提供了直接的法律依据。而《民法典》第 111 条规定了个人信息受法律保护的基本准则，并在第 1034 条至第 1039 条规定了个人信息保护的一般规定，为个人信息保护奠定了法源基础；还有其他散见在《网络安全法》《消费者权益保护法》《电子商务法》等法律当中。金融领域的信息保护立法则散见于部门规整和国家标准层面，2015年11月，国务院办公厅印发《关于加强金融消费者权益保护工作的指导意见》，拉开了金融机构保护金融消费者信息安全权的序幕。之后《中国人民银行金融消费者权益保护实施办法》以专章的形式规定了个人金融信息保护制度框架，随着《个人信息保护法》和《数据安全法》等上位法规的施行，金融领域信息保护法规会更加完善。

金融机构与消费者基于金融业务上的关系主要是合同关系，双方签订一定的合同来完成多样的金融业务，金融机构提供金融相关服务，而消费者接受金融服务并支付对价。故基于信息控制者的特殊地位，金融机构应当保障金融信息的安全，具体包括信息保密义务、信息披露义务、第三人的审慎选择义务以及金融客户的主要信息权利的保障义务等。

二、金融机构违反信息保护义务的责任承担

信息安全保护义务的违反可能导致违约和侵权两种责任。

合同存续期间，信息泄露、信息错误、信息被非法收集等情况，或不履行、不适当地履行信息披露义务，亦或对信息主体合法的权利诉求不予保障，客户便可请求金融机构承担违约责任。而这种追责并非只是对恶意行为的惩罚或追偿，还包含了防止损失扩大和防止损害危险出现的期待，所以在违约责任承担形式的选择上以继续履行和采取补救措施为主。

因为信息安全保护义务的违反包括消极不作为（如不提供安全保护措施）和积极作为（如非法泄露、出售金融信息），所以可能出现作为与不作为两种类型的信息侵权。在作为侵权责任的认定上，因大数据时代侵权救济的紧迫性，在责任认定时采用由责任形式逆向推理主观归责原则的方式：对停止侵害、排除妨碍和消除危险这三种防控责任的认定采无过错的归责原则，对于损害赔偿责任认定需采过错归责原则，而对消除影响、赔礼道歉和恢复名誉等补偿类责任形式采用过错推定原则。金融机构不作为信息侵权的核心在于不作为违法性的认定，需结合具体情况加以判断，难以统一标准，一概而论。第三人信息侵权时若金融机构未尽安全保护义务，需承担相应的补充责任。

三、金融信息保护的路径

（一）明确金融信息安全保护义务主体及内容

金融机构处于控制风险的最有利地位，其最有能力控制金融信息风险。但是除了金融机构，大数据技术提供商、金融管理部门和其他接触到金融大数据的主体也应当承担金融信息安全保护义务。金融大数据置于金融机构管理、控制之后，信息提供方实际上已经丧失了对其进行保护的能力，技术提供商、金融中介组织、社会媒体等也往往是通过与金融机构之间的合同安排而接触和使用金融大数据的。首先，有合法收集信息义务。对于金融机构违犯法律规定或者违背客户意志收集个人金融信息的，构成对客户权利的侵犯。其次，有告知或说明义务。在大数据时代，由于数据的价值很大一部分体现在二级用途上，法律应当要求金融机构明确告知客户其收集数据的目的和用途，并且规定履行告知或说明义务不能 成为免责事由。第三，有妥善管理数据义务。金融机构应当对金融信息采取适当的数据保密措施，如进行加密处理、数据脱敏等，对于外来风险金融机构应当完善防火墙等技术措施加以防范。第四，有隐私保护义务。金融机构对于金融大数据中涉及客户非公开信息的内容应当予以保护，不能擅自泄露给第三方或者公众。第五，有及时删除义务。对已经失去占有正当性的金融信息，相关主体应当及时予以删除，不能永久占有、使用。

（二）金融机构需探索更为严格的分级管理措施

北京金融法院丁宇翔表示，金融机构需要探索更为精细或者说更为严格的个人金融信息的分级管理措施。《个人信息保护法》将个人信息分为敏感个人信息和非敏感个人信息，而金融行业实际上划分的更为精细。他提及，2020 年，中国人民银行出台过一个行业标准，即个人金融信息保护技术规范，这个标准将个人金融信息按照敏感程度分为三个等级，针对每个等级，金融机构需要实施的保护举措是不一样的。

“分级管理是一个大的方向，我预期所有的金融机构会在个人金融信息分级管理措施上有更进一步的跟进举措。”丁宇翔说，下一步，金融机构也需要针对不同等级不同敏感程度的个人金融信息，遵循不同的处理规则。

（三）金融机构的自纠自查

在具体工作过程中，相关金融机构应严格遵循行业规范标准要求，建立长效个人信息保护制度体系；明确工作职责，规范工作流程，设计并实施覆盖个人信息全生命周期的安全保护策略；加强从业人员合规教育管理，严格查询操作用户准入管理；压实信息安全管理主体责任，还要做好日常管理和风险排查。

1、加强员工教育。人是信息安全环节中最薄弱的一环，金融机构应通过相关法律法规培训、案例培训提升员工的法律素养和职业修养，使员工认识到客户信息保密的重要性，以及泄露客户信息可能承担的法律责任，增强员工的守法意识和保密自觉性。

2、严格纪律约束。一方面，要求员工在拓展客户的过程中，一定要遵守法律法规以及银行个人金融信息保护规定，通过合法合规的途径获取客户信息，并且要合法合规地使用这些信息，不得违法向第三人提供上述信息。另一方面，应要求员工无论入职、在职、离职，都要严格遵守保密纪律和保密协议，履行保密义务。对违反者应依法依规进行责任追究。

3、健全管理机制。从登记、传递、分发、使用等环节对客户信息数据流转及其对应的业务流程进行梳理，明确各环节数据保护责任人，建立相应的控制措施和问责机制。同时，依据最小化原则建立分级授权制度，对于不同类型的客户信息实行分级管理，合理控制客户信息的知悉和使用范围，降低客户信息泄漏的机率。

4、实行分类管理。根据不同业务、不同岗位分别制定不同的客户信息保密规范。如在存款业务中，要保护客户的身份证件号码、账号、账户余额、交易情况等信息，除依法协助有权机关查询外，未经客户书面同意，不得以任何形式向第三方透露；在贷款业务中，要注意欠款催收方式，谨慎使用公告方式进行催收，并在催收中注意保护客户身份证号码等公民信息；在理财等中间业务中，应当事先告知客户并取得客户书面同意或在协议有约定的情况下，才能将客户信息告知约定的第三方，并要求第三方保护其所掌握的客户信息。

5、加强技术防范。利用技术手段控制客户信息的接触范围。对前台客户经理，应严格控制涉密客户资料的批量查询、复制、打印和导出。对后台运维人员，应对其操作进行实时监控，防止其违规操作泄漏客户信息。

6、建立企业信息安全文化。目前有效保护信息安全的最大障碍，是企业员工普遍缺乏信息安全意识。人的观念与意识支配着人的行为，在企业内部建立信息安全文化是深化员工信息安全保护意识、加强企业信息安全保护工作的长效机制。

（四）技术加持，常态化周期防护

技术给个人信息隐私保护增加了一层“保护外套”。据了解，《个人信息保护法》《数据安全法》给金融机构在信息获取和使用、数据处理等方面提出了更高要求，不少机构当前正在根据新规进行相应调整。

平安银行相关负责人表示，今年伊始，该行成立了平安银行个人信息保护委员会，委员会包含了风险、业务、科技、合规、消保、人力资源管理等各领域专家，统筹管理全行个人信息保护相关工作。同时，该行不断提升技术防护能力，保障数据全生命周期安全。技术防护能力逐步优化，强化物理安全、网络安全、系统安全、应用安全、数据安全技术防护措施的同时，也在积极探索新型技术防护手段，确保个人信息数据收集、传输、存储、使用、删除及销毁的全生命周期 安全。

而就浦发银行而言，其根据《个人信息保护法》《数据安全法》等法律法规和监管要求，正持续提升数据安全防护能力，着力打造全覆盖体系化网络安全防护体系，持续强化数据安全和客户隐私保护力度，建立全周期多层次数据安全保障体系，从治理、管理、技术三个层面，实施数据采集、传输、存储、使用、删除销毁等全生命周期安全控制，防护数据安全。

（五）保护重点从事前到事中与事后

传统的个人信息保护法注重从收集环节着手来保护信息主体。但这是远远不够的。大数据时代的个人信息保护法，包括个人金融信息保护法，应将对个人信息进行保护的重点从事前转移到事中、事后。在事中，个人要有权随时行使个人信息权利，以对抗信息企业的不当处理。在事中，信息企业要进行隐私风险评估，在相应场景中具体地评估数据处理行为的风险，根据风险等级采取相应程度的管理措施。在个人信息数据库出现泄露或被盗时，进行通知和报告。在事后，应该使受害的个人愿意拿起法律的武器，起诉侵害个人信息权的当事人，并且要使真正的受害人能够胜诉。

结论

个人金融信息是金融机构在日常业务中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容，直接关系到用户财产安全，应受到严格保护。而金融机构则是处于防控和保护的最有利的位置，因此应在强化和提高社会公众对个人金融信息保护意识的同时，相关政府部门加强监管，督促金融机构严格遵守相关法律规定，谨慎规范、合规合法收集、使用和对外提供用户个人信息，对不当行为坚决说不，保护金融消费者合法权益。进而在充分保护个人信息安全的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，以激发市场主体活力和科技创新能力。