（民商法学专业论文）论个人金融信息的法律保护.pdf

legal protection of personal financial information a thesis submitted to chongqing university in partial fulfillment of the requirement for the degree of master of law by xiong yuanyan supervisor: prof. qi aimin major: civil and commercial law college of law of chongqing university, chongqing, china april, 2008 重庆大学硕士学位论文 中文摘要 i 摘 要 在现代经济活动中，银行等金融机构掌握了大量的个人金融信息，这些信息 成为了一种重要的社会资源，而出于对自身利益的考虑这些金融机构往往怠于对 个人金融信息保密，甚至利用这些信息盈利，个人金融信息因此处于危险的边缘。 若是缺乏有效的法律规制就难免会出现个人金融信息被误用、滥用的情形，从而 使信息主体的利益受到损害。在我国学界，个人金融信息的保护问题较少被论及， 个人金融信息的概念、内容，个人金融信息保护的原则、信息主体的权利以及相 关法律责任等基本问题尚缺乏统一的认识。在个人金融信息对保护自然人人格利 益、促进信息流通、推进信息化发展等方面越来越重要的今天，研究个人金融信 息的基本理论和相关问题，对于构建个人金融信息保护制度，完善我国个人信息 立法都具有极其重要的意义。 本文主要分为 4 个部分。 第一部分是个人金融信息的概述。该部分首先分析了个人金融信息的内容、 特征。个人金融信息是信息主体在与银行的业务往来中为银行所知悉和掌握的个 人信息，其内容主要包括身份信息、交易信息、信用信息。个人金融信息具有识 别性且兼具人身属性与财产属性，其主体是个人。其次，分析了对个人金融信息 保护的必要性。保护个人金融信息是保护人权的需要，是促进信息共享与合作的 需要，也是促进我国电子商务发展和推进信息化的需要。 第二部分是各国家、地区的个人金融信息保护制度及其比较。他山之石，可 以攻玉，在研究我国如何保护个人金融信息时，可以以其它国家及地区的经验为 前鉴。本部分分析了美国、欧盟、日本、瑞士以及我国台湾、香港地区的个人金 融信息法律保护制度，总的可以概括为以美国为代表的分散性立法保护模式与欧 盟为代表的综合性立法保护模式，美国的分散式是指对不同领域中的个人资料分 别立法，而欧盟的综合模式是对所有行业的个人信息保护实行统一标准，并由一 个监管部门集中监管。 第三部分是个人金融信息保护与信息披露的冲突与制衡。本部分主要分析了 个人金融信息保护与信息披露冲突的形态，主要包括个人金融信息保护与信用征 信、反洗钱、跨国银行并表监管的冲突，并进一步分析了二者冲突的实质在于利 益与价值的冲突，要平衡二者之间的权益关系，协调其相互冲突的价值，应遵循 公共利益优先原则、个体利益相互协调原则以及信用信息流通原则。 第四部分是我国个人金融信息保护制度之构建。在本部分笔者分析了我国个 人金融信息保护的现状及缺陷，并综合前文的分析对我国个人金融信息保护制度 重庆大学硕士学位论文 中文摘要 ii 的建立与完善提出了建议。一是选择适合我国国情的保护模式，采用统一立法与 行业自律相结合的保护模式；二是确立我国对个人金融信息保护的基本原则，包 括个人金融信息完整正确原则、公开原则、限制利用原则、信息主体参与原则、 安全保障原则；三是明确个人金融信息保护的权利内容，主要包括信息决定权、 信息保密权、信息查询权、信息更正权、信息删除权以及信息损害赔偿请求权； 四是完善相关法律责任，补充民事法律责任的相关内容；最后是明确对个人金融 信息保护的例外情形。 关键词关键词：个人金融信息，信息披露，保护 重庆大学硕士学位论文 英文摘要 iii abstract in modern economic activities, personal financial information kept by financial organizations such as banks has become important social resource. however, these financial organizations always tend to pursue their own interests at the expense of the privacy of personal financial information and even to use the information to make benefits, leaving personal financial privacy at lurch. without effective legislation, the inevitable misuse and abuse of personal financial information will be certain to impair the interests of information objects. the protection of personal financial information is seldom touched in the academic circles of china. moreover, neither has any agreement been reached on the basic issues of the conception and contents of personal financial information, nor is there any common understanding as for the principles of personal financial information protection, the rights and interests of information objects as well as the relevant legal liabilities. given that today personal financial information is playing a growing important role in protecting natural persons human rights, promoting information circulation and facilitating the information development, the research on the basic theories and other major issues has significant meaning on building a personal financial information protection system (pfips) and improving the personal information legislation in china. the present paper falls into 4 parts: part 1 is an overview of personal financial information, beginning with the analysis of its contents and characteristics. personal financial information is the information about individual persons acquired by banks in the business intercourse between the information objects and banks. it includes identity information, business information and credit information, and it is characterized by identification, human rights and property. its objects are individual persons. besides, the necessity of protecting personal financial information is also discussed. protecting personal financial information is the need for protecting human rights, for enhancing information share and cooperation and for promoting the development of information and e-business in our country. part 2 is about the comparison between personal financial information protection systems (pfips) in different countries and regions. as the famous chinese proverb going “rocks of other mountains can crack jade”, experience of other countries and regions can be borrowed when researching the way to protecting personal financial 重庆大学硕士学位论文 英文摘要 iv information. the protection systems in the us, european union, japan, swiss, and taiwan are examined in this part, which can be generalized into two categories: one is separate legislation protection mode represented by the us, the other is comprehensive legislation protection mode represented by the european union. the former refers to a protection mode in which the personal information in different fields is legislated separately, while the latter points to one under which the protection of information in all fields adopts a uniform standard and is supervised by the same regulation department. the conflicts and checkmates between protection and exposure of personal financial information are discussed in part 3 with an emphasis put on the forms of conflicts, for instance, the conflicts between personal financial information protection and credit investigation, campaigns of anti-money laundry as well as the consolidated supervision of transnational banks. in addition, a further analysis indicates that the essence of these conflicts is the conflicts in interests and values. efforts should be made to balance the rights and interests and coordinate the values by following the principles that public interests should always be the top priority while personal interests should be well coordinated and that the credit information ought to be circulated. in view of the shortcomings of the present pfips in our country, the writer tries to construct a new system for protecting personal financial information in the last part based on the earlier discussion. suggestions for building and improving pfips are proposed: firstly, a protection mode suitable for chinas national conditions should be adopted, which combines uniform legislation for all fields and self-regulation for different fields; secondly, it is necessary to set up the basic principles of personal financial information protection, including integration and accuracy principle, opening principle, limited use principle, information object participation principle and security principle; thirdly, the rights and interests concerning personal financial information protection should be made clearer, which mainly include information deciding right, information privatizing right, information inquiring right, information correcting right, information deleting right and the right to ask for compensation for violated information; forth, the relevant legal liabilities need to be perfected, especially the liabilities of civil law; last but not least, the exceptional case relating to personal financial information protection is suggested to be clarified. keywords: personal financial, information, protection, principles of information exposure 重庆大学硕士学位论文 目 录 v 目 录 中文摘要中文摘要 . i 英文摘要英文摘要 . iii 1 引引 言言 . 1 2 个人金融信息概述个人金融信息概述 . 2 2.1 个人金融信息的概念及特征个人金融信息的概念及特征 . 2 2.2 个人金融信息概念的定位个人金融信息概念的定位 . 3 2.3 保护个人金融信息的必要性保护个人金融信息的必要性 . 3 3 各国家、地区的个人金融信息保护制度及其比各国家、地区的个人金融信息保护制度及其比较较 . 6 3.1 美国美国 . 6 3.2 欧盟欧盟 . 8 3.3 日本日本 . 9 3.4 瑞士瑞士 . 10 3.5 我国港台地区我国港台地区 . 11 3.6 上述制度的比较、分析上述制度的比较、分析 . 12 4 个人金融信息保护与信息披露的冲突与制衡个人金融信息保护与信息披露的冲突与制衡 . 14 4.1 问题的提出问题的提出 . 14 4.2 个人金融信息保护与信息披露冲突的形态个人金融信息保护与信息披露冲突的形态 . 14 4.2.1 个人金融信息保护与信用征信的冲突 . 14 4.2.2 个人金融信息保护与反洗钱的冲突 . 16 4.2.3 个人金融信息保护与跨国银行并表监管的冲突 . 19 4.3 个人金融信息保护与信息披露冲突的实质个人金融信息保护与信息披露冲突的实质 . 20 4.3.1 利益的冲突 . 21 4.3.2 价值的冲突 . 21 4.4 个人金融信息保护与信息披露的制衡个人金融信息保护与信息披露的制衡 . 21 4.4.1 公共利益优先原则 . 21 4.4.2 个体利益相互协调原则 . 22 4.4.3 信用信息流通原则 . 22 5 我国个人金融信息保护制度之构建我国个人金融信息保护制度之构建 . 24 5.1 我国对个人金融信息保护的现状及缺陷我国对个人金融信息保护的现状及缺陷 . 24 5.1.1 我国法律对个人金融信息保护的现状 . 24 5.1.2 我国法律对个人金融信息披露的规定 . 24 重庆大学硕士学位论文 目 录 vi 5.1.3 我国个人金融信息保护制度的缺陷 . 25 5.2 我国个人金融信息保护制度的建立与完善我国个人金融信息保护制度的建立与完善 . 26 5.2.1 立法模式的选择 . 26 5.2.2 我国对个人金融信息保护的基本原则 . 27 5.2.3 个人金融信息保护的权利内容 . 28 5.2.4 完善相关法律责任 . 29 5.2.5 明确信息披露原则 . 30 6 结结 语语 . 33 致致 谢谢 . 34 参考文献参考文献 . 35 附附 录录 . 38 重庆大学硕士学位论文 1 引 言 1 1 引 言 随着人类进入信息社会，个人信息也成为了一种重要的社会资源。对个人信 息的收集与利用，作为一个崭新的、全球性的法律问题，日渐受到关注。对个人 信息的保护近年来逐渐为学者所重视，而对个人金融信息的保护问题却较少被论 及。然而，个人金融信息在保护自然人人格利益、促进电子商务发展、推进信息 化发展等方面的重要性是不言而喻的。个人金融信息包括个人身份信息、交易信 息、信用信息等，若对它缺乏有效保护，就可能会使信息主体的人格利益或财产 利益受到不法侵害。随着计算机信息技术的发展与互联网普及，对个人金融信息 的收集、储存、传输、处理和利用都变得易如反掌，也使得个人金融信息更容易 受到侵害。2005 年 6 月，美国爆发了大规模客户个人金融信息泄露事件，4000 多 万信用卡客户资料被黑客盗取，并导致 6.8 万信用卡用户被盗刷。12006 年 8 月 27 日德州杨小姐在农业银行的网上银行账户被盗 8 万元，使其遭到了重大损失。 22007 年 6 月 21 日中国青年报报道了姚先生因银行记录错误而使其无故被纳入银 行“黑名单”而致使他的住房贷款申请、 信用卡申请、 购车贷款申请都屡屡遭到拒绝。 3个人金融信息遭受侵害事件的频频发生使得对个人金融信息保护的法律问题日 益突出，要求制定相关法律制度的呼声也越来越高。而我国在个人金融信息保护 方面研究的薄弱以及法律的空白不仅会给信息主体带来心理上的不安及生活上的 不便，也不利于金融交易的发展。加强对个人金融信息保护的研究，明确个人金 融信息的内容、特征、保护原则、保护模式、法律责任，制定相关个人金融信息 保护法律制度刻不容缓。此外，在探讨对个人金融信息保护的同时，出于对国家 安全、公共利益保障等因素的考虑也应重视个人金融信息保护与信息披露之平衡 问题。鉴于金融机构众多，本文以最有代表性的银行为切入点对个人金融信息保 护问题进行探讨。 重庆大学硕士学位论文 2 个人金融信息概述 2 2 个人金融信息概述 2.1 个人金融信息的概念及特征 个人金融信息的概念 个人信息是一切可以识别本人信息的总和，这些信息包括了一个人在生理的、 心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。根据不 同的标准，个人信息可以划分为不同的类别：1）以能否识别本人为标准，个人信 息可以分为直接个人信息和间接个人信息；2）以个人信息是否涉及个人隐私为标 准，个人信息可以分为敏感个人信息和琐细个人信息；3）以个人信息的处理技术 为标准，可以将个人信息划分为电脑处理个人信息与非电脑处理个人信息；4）以 个人信息是否公开为标准，可以分为公开个人信息和隐秘个人信息。 4个人信息所 体现的是自然人的一般人格利益，个人信息的收集、处理与利用都直接关系到信 息主体的人格尊严。 个人金融信息是信息主体在与银行的业务往来中为银行所知悉和掌握的个人 信息，是特殊领域的个人信息，其主要包括三方面的内容：一是身份信息。身份 信息包括姓名、性别、出生年月日、家庭住址、电话号码、身份证件名称及号码 等。信用卡用户或与银行有信贷关系的用户的身份信息还包括职业、本人月收入、 文化程度、其他联系人等个人信息。二是交易信息。交易信息是在与银行交易的 过程中形成的个人信息，包括存款账号、存款数额、银行卡账号、卡片有效期、 交易金额、交易类型、特约商户编号、取款机 pos 号等等。三是信用信息。信用 信息是指与个人的借贷还款情况有关的信用状况。 个人金融信息的特征 1）个人金融信息的主体是个人。个人金融信息是关于个人的信息，这里的个 人仅指基于“出生”的法律事实而取得民事主体资格的自然人。 它不包括同样作为银 行客户的公司、企业等法人或其他组织。 2）个人金融信息可以直接或间接识别主体。一切与个人有关的金融信息，只 要其能够构成对主体的识别，都是个人金融信息的内容。强调识别性，意义在于 若该信息缺乏识别性，则信息无法与特定主体相关联，信息保护法所保护的主体 将无法确定，法律的存在将失去意义。 3）个人金融信息兼具人身属性与财产属性。民法上的客体通常可以被区分为 人身属性的客体、财产属性的客体、兼具人身属性与财产属性的客体，身体、人 格是典型的具有人身属性的客体，一般的物通常都是具有财产属性的客体，某些 特殊的客体如作品兼具人身属性与财产属性。个人金融信息与作品一样，也兼具 重庆大学硕士学位论文 2 个人金融信息概述 3 了人身属性与财产属性，其人身属性表现为其与特定的主体紧密不可分割，体现 特定主体的精神利益；其财产属性表现为特定情况下可以用于、参与市场交易， 成为市场中的商品。 2.2 个人金融信息概念的定位 从我国理论界来看，个人金融信息并未有一个统一的称谓，有的学者将其称 之为金融隐私、有的学者称为客户金融信息。作为一个法律词汇，隐私出现只有 一百年多一点的时间。而在我国，将“隐私”作为一个具有严格法学意义的词汇，不 过是近十年的事情。 5不同国家、不同民族和种族、不同地区往往依当地的传统和 习惯有不同的隐私观念，对隐私的认识很难达成一致。法律上对隐私的界定也往 往难以令人满意。 6在美国的法律中，隐私权具有极其重要的意义，它所保护的范 围从亲密私事到个人信息无所不包。美国最高法院将隐私权划分为三类：私事决 定隐私权、身体隐私权和信息隐私权。私事决定隐私权包含自主决定和不受干涉 两个方面。身体隐私权保证个人免于不合理的搜查和逮捕。信息隐私权是个人对 自身可识别信息的收集、披露和使用的控制权。认为隐私是个人不愿为他人所知 和干涉的私人生活，其内容应包括三个方面：个人信息的保密、个人生活的不受 干扰和个人私事决定的自由。 7在美国法律中所采用的金融隐私的概念，则是涵盖 了银行客户在与银行交往的过程中为银行所知晓的所有与客户有关的信息。笔者 认为，我国隐私的概念并不能与美国等同，该概念更重要的是强调“隐”和“私”，并 不能包含个人信息的全部外延，隐私主要是指当事人不愿或不便他人干涉的私事， 或者当事人不愿或不便他人侵入的领域。虽然个人信息与隐私在内容范围有重合 之处，一些个人信息是隐私，同时一些隐私也属于个人信息，但二者仍然是不同 的概念，只有敏感个人信息才涉及个人隐私。此外，个人信息保护与隐私保护的 立法价值取向不同，个人信息保护的立法价值取向同时涉及人格尊严与信息自由 流通，而隐私权制度的立法价值取向通常仅涉及人格尊严。 8在金融领域内，法律 所要保护客户的个人信息是包括了如姓名、性别、家庭住址等在内的为银行所掌 握的所有的信息，并不限于客户不愿为人所知的隐私内容。而且随着信用征信系 统的建立，也强调了个人信用信息流通的价值。因而，笔者认为，在我国金融隐 私这一概念并不足以囊括法律所应保护的全部内容，金融隐私与个人金融信息之 间在逻辑上只是交叉关系，交集是以个人金融信息形式存在的金融隐私信息。我 国应采用个人金融信息这一概念为银行客户提供全面的保护，也以此强调信息自 由流通的价值。 2.3 保护个人金融信息的必要性 保护个人金融信息是信息时代保护个人权利的需要。在人类社会步入信息 重庆大学硕士学位论文 2 个人金融信息概述 4 时代以前，金融机构对于客户个人金融信息的保护只需要进行物理和人员上的必 要管制，就能杜绝个人信息被非法收集、处理和利用，保护信息主体的合法权益。 所以，在很长时期内，个人金融信息保护并没有引起关注。然而在进入信息社会 以后，随着银行的电子化及网络技术的普遍应用，对个人金融信息的收集、利用 都变得越来越容易，常常使得信息主体对自己哪些信息被收集、被收集的信息与 实际情况是否相符都无从得知。因而，为了保护信息主体的个人权利，应给予个 人金融信息必要的保护。 保护个人金融信息是促进信息共享与合作的需要。在信息时代，信息已经 成为了一种重要的资源，具有了重要的经济价值及社会价值。对个人金融信息而 言，一方面需要加强保护，同时，另一方面，又不能阻碍信息的正常流动，其自 由流动具有重要的基础性意义。如果对个人金融信息的保护走入极端，势必使每 一个人都成为信息孤岛，全社会成为一盘散沙。因此，如何协调好个人金融信息 保护与促进信息自由流动的关系就成为了各国在立法中所必须考虑到的一对核心 价值。目前我国在全社会范围内的个人征信系统尚未建立起来，各部门之间因对 信息进行封锁而缺乏有效的信息共享，形成这些情况的最主要原因之一就是对个 人信息缺乏有效的保护。 保护个人金融信息是促进我国电子商务发展的需要。随着信息化的不断发 展，电子商务已经成为越来越为人们所熟悉的交易方式，根据艾瑞市场咨询报告， 截止至 2006 年年底，我国 b2c 和 c2c 总体交易额分别达到 82 亿元和 230 亿元， 虽然较之有了蓬勃的发展，但根据 cnnic 发布第 20 次中国互联网络发展状况 统计报告显示在我国的 1.62 亿网民中，仅有 25.5%的网民使用网络购物，而在 美国，网络购物则是一个普遍现象，我国网民参与网络购物人数较低的一个重要 原因就在于对互联网缺乏信任，在使用网上银行时担心自己的账户及密码被泄漏， 在参与购物时担心自己的个人信息被购物网站非法收集、利用，从而造成经济上 的损失以及生活上的困扰，这在很大程度上制约了我国电子商务的进一步发展。 因此，加强个人金融信息保护也是促进我国电子商务发展的一项基础性工程。 保护个人金融信息是推进信息化发展的需要。信息化是当今世界经济和社 会发展的大趋势，信息化水平已经成为衡量一个国家和地区现代化水平的重要标 志。目前，许多国家都在加快信息化建设步伐。抓住世界信息技术革命和信息化 发展带来的机遇，大力推进国民经济和社会信息化，是我国加快实现工业化和现 代化的必然选择，是促进生产力跨越式发展、增强综合国力和国际竞争力，维护 国家安全的关键环节。要全面推进信息化，加强对信息的法律保护是一项基础性 的工作。加强对个人金融信息的法律保护也是推进信息化进程的一个重要环节。 在中共中央办公厅、国务院办公厅印发的2006-2020 年国家信息化发展战略中 重庆大学硕士学位论文 2 个人金融信息概述 5 提出了加强全社会信息资源管理，规范对生产、流通、金融、人口流动以及生态 环境等领域的信息采集和标准制定，加强对信息资产的严格管理，促进信息资源 的优化配置，并进一步将推进信息化法制建设放到了重要地位，提出了“加快推进 信息化法制建设，妥善处理相关法律法规制定、修改、废止之间的关系，制定和 完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息 保护等方面的法律法规，创造信息化发展的良好法制环境。”9 重庆大学硕士学位论文 3 各国家、地区的个人金融信息保护制度及其比较 6 3 各国家、地区的个人金融信息保护制度及其比较 目前，许多国家或地区在个人金融信息保护的理论和实践方面的研究都卓有 成效，他山之石，可以攻玉，因此，在研究我国如何保护个人金融信息时，可以 以其它国家及地区的经验为前鉴。 3.1 美国 一般来说，美国这个国家的传统，是尽可能多地依靠市场的力量来解决所有 问题，在涉及美国政治、经济和社会的各个方面，美国民众一贯倾向于不立法， 强调限制政府组织和功能，通过市场来解决一切问题。10美国在对个人信息保护 方面也遵循了此传统，美国联邦政府总体上主张采取自律模式，主要通过行业性 自律规范对个人信息进行保护，而在医疗、金融等领域则是通过制定特别法对个 人信息予以保护。而与美国的隐私权理论及其法律传统紧密相关的是，美国有关 个人信息保护的立法都存在于形式多样的部门性隐私权法案中。相应地，对个人 金融信息的保护也是依其社会经济之各个发展阶段而出台相关的金融隐私权保护 法规，美国对个人金融信息的保护主要体现在以下法案中。 公平信用报告法。1970 年美国国会通过的公平信用报告法 （fair credit reporting act，简称 fcra）开创了对个人金融信息保护的先河。 公平信用报告 法的内容涉及到消费者信用评价、信用状况、信用能力以及个人消费特点、性 格、生活方式等方面。它主要规定了消费者个人有了解资信报告的权利，并规范 了消费者资信调查机构对于资信调查报告的传播范围。该法规定，消费者有权充 分了解任何一家信用局对自己信用状况的评价及依据，消费者对不实负面信息的 申诉权利，也确立了信用机构收集及储存消费者信用及其他资料的标准，并对消 费者信用机构公开消费者信用信息作出了限制，仅限于在特定的许可目的范围内 进行资料的传输。 此后， 1996 年的 消费者公平信用报告法 （the consumer credit reporting act 1996，简称 ccra)对 fcra 做了重大的修改，主要表现在：1）扩大 了“消费者报告”范围之外的金融信息， 这样就便于同一机构的内部各分支机构间能 更多地共享商业交易信息，因为这不属于该法规定的消费者报告机构的行为；2） 对于信用报告机构在何种情况下可以提供信用报告或调查性报告进行了新的限 制；3）针对招揽客户的信用报告的事前审查，确立了新的规则；4）赋予商家和 贷方新的义务，以确保他们向消费者报告机构提供信息的准确性；5）提高了民事 和刑事惩罚力度。11 隐私权法。1974 年制定的隐私权法是一部全面保护个人信息的专门立法， 重庆大学硕士学位论文 3 各国家、地区的个人金融信息保护制度及其比较 7 也是美国隐私及资讯政策的重要基础。该法对不同的数据用户对属于隐私范围的 个人数据的收集、保存及取用，对政府机构对个人信息的采集、使用、公开和保 密问题作出了详细规定，以此规范联邦政府处理个人信息的行为，平衡公共利益 与个人隐私权之间的矛盾。12该法规定了信息主体享有决定是否公开自己信息的 权利、访问自身个人信息的权利和修改个人信息的权利。也确立了禁止公开的原 则，即行政机关在尚未取得公民的书面许可前，不得公开关于此人的纪录。行政 机关也只能在执行职务相关和必要的范围内保存个人纪录，并要求保证所保存记 录的准确性、适时性和完整性。 应当指出的是，美国 1974 年隐私法案只适用于联邦部会以上的机构，而 不及于部会以下的机构或州政府的各级行政机构，更不及于民间企业机构。由于 其规范对象受到过多的限制，无形中大大降低了该法的功能。另外，该法没有关 于设立常设的独立机构来监督该法的实施，使得个人信息保护有落空的危险。6 银行保密法。 1970 年的 银行