守好你的个人金融信息：五个“雷”和四个“招”

2011年，中国人民银行（以下简称央行）对“个人金融信息”作出相对宽泛的界定，分为七大类，包括个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息以及在与个人建立业务关系过程中获取、保存的其他个人信息。

2016年，央行在具体分类上删除了“衍生信息”，修改为“其他反映特定个人某些情况的信息”。该文件于2020年被废止。

2020年2月，央行发布《个人金融信息保护技术规范》，基本沿袭了上述概念，但删除了“信用信息”，增加了“鉴别信息”和“借贷信息”，并将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别，对三个级别提出了不同的安全管理要求。

从监管部门对个人金融信息的定义和范围描述，不难看出：

首先，个人金融信息涵盖的内容越来越广。随着个人金融业务种类更多，金融产品更丰富，个人金融信息是个人信息在金融领域围绕身份信息、账户信息、交易信息、财产信息等方面的细化，金融机构收集个人金融信息的类型和规模更加广泛。

其次，收集和存储个人金融信息的金融机构主体也在不断增加且多元化。在互联网经济和平台经济的大力发展下，很多所谓大数据公司、助贷平台、金融信息服务机构等不具有金融牌照的机构也会收集和处理个人金融信息。

第三，随着网络和信息环境愈加复杂，结合《个人信息保护法》以及央行发布的技术标准可以看出，对个人金融信息也将进行分级分类管理，不同类型个人信息的安全技术规范也将有更明确的要求。

最后，除消费者身份信息、资产状况、交易明细等静态信息之外，客户交易习惯、购买意愿、兴趣爱好、风险偏好等动态信息也会成为金融机构收集和分析的重点，个人金融信息的保护也应当考虑纳入该类动态信息。

结合笔者对相关案例的梳理，可能侵犯个人金融信息权益的情形主要有以下五类：

第一，违规收集个人金融信息。

在收集环节最典型的违规行为就是对个人信息的收集范围超过“必要性”，收集与产品和服务不相关的个人信息。

部分金融机构在通过金融App收集个人信息的时候常采取“概括授权”的方式，即一次性取得关于用户对所收集信息内容方式的同意，这会导致后台将收集一些与用户所需产品弱关、无关的个人信息。

根据国家网信办下发的《常见类型移动互联网应用程序（App）必要个人信息范围》中，金融类App必要个人信息的收集范围未包括通讯录、位置信息及相机等。

因此，金融消费者在使用金融App过程中，可以留意金融机构所公示的《隐私政策》中所披露的个人信息收集范围，审阅收集范围是否超过自己享用该服务或购买该产品所必需。

第二，违规查询、存储、传输和使用个人客户信息。

个人信息一旦被收集后，对于金融消费者来说就已经属于失控状态，而收集者为了实现商业价值，可能会不断利用收集的个人信息，从而产生违规查询、存储、传输和使用个人客户信息的行为，近年来类似案例时有发生。

第三，违法违规购买或出售消费者个人金融信息。

购买或出售消费者个人金融信息的行为一直是执法部门的打击重点。

在上述两个案件中，前者是出于营销目的购买个人信息，后者则是将其收集的个人信息非法卖出。

第四，违规向第三方提供客户个人金融信息。

除了上述案例，在违规向第三方提供个人信息行为中往往伴随着的是银行内部员工的违法行为，银行员工利用职务之便，查询公民个人信息（如征信报告等）并出售的情况并非个案。

如本溪银行员工李某利用职务之便查询公民个人征信报告非法获利23.23万元[案号：（2021）辽0502刑初323号]。

在这类案件中，银行员工本身可能涉嫌侵犯公民个人信息罪的，同时，金融机构也可能因为内部管理制度不完善遭到行政处罚。

这也为金融机构内控制度敲响警钟，随着金融消费者法律意识和维权意识的加强，金融机构将会面临更高的合规要求，除了监管惩处以外，还可能承担更大的声誉风险。

第五，违规进行“用户画像”。

用户画像在金融行业有着广泛的应用，但也会给金融消费者权益保护带来新的问题，如：

尽管上述违法违规行为严重侵犯消费者权利，但也具有一定隐蔽性，导致金融消费者并无法马上知悉自己的信息安全权已经被侵犯，因此监管部门对于金融机构的内控及合规制度的建立格外重视，同时也加大了外部的惩治力度。

金融消费者可通过以下四条途径展开维权与权利救济。

第一，与相关金融机构协商解决

笔者认为，与金融机构协商沟通应该是每个个人信息主体维权的第一步。此前对金融消费者个人信息权益侧重于消极保护，确保信息的安全，防止信息泄露。

但在《个人信息保护法》出台后，更突出金融消费者的主动权利和救济性权利，比如明确规定了个人享有个人信息处理活动中的各项权利，包括对个人信息的查询权、复制权、更正权、删除权等，金融机构也负有更全面的信息保护义务。

随着我国个人信息保护执法的完善，很多金融机构内部已经设置了金融消费者权益保护的相关专门部门，且《个人信息保护法》明确规定个人信息处理者应以显著方式清晰易懂的语言告知其名称和联系方式，这也使得金融消费者的维权更为直接、便捷和快速。

第二，向有关监管部门投诉

如央行金融消费权益保护局、中国银保监消费权益保护局、中国证监会投资者保护局等监管部门均负有金融消费者受侵害权益的救济职责，涉及相关金融机构的个人金融信息的维权和投诉可通过上述渠道进行。

除金融行业监管部门之外，《个人信息保护法》第66条、67条规定了个人信息保护职责部门的执法权，如市场监督管理局、国家网信办及工信部均对于个人信息保护负有执法权利以及监管责任。

第三，请求消协调解

目前很多地方已经成立了金融消费权益保护协会，如早在2014年就成立的广东省金融消费权益保护联合会，建立了金融消费纠纷调处机制、体系；近期云南省和河南省两家省级金融消费权益保护协会也获批成立。随着金融消费者权益保护协会的成立，能够进一步搭建金融消费者、金融机构和金融监管部门之间的桥梁和纽带，为个人金融权益的纠纷提供更多元的解决方式。

第四，民事救济

《民法典》设立单章专门规定了隐私权和个人信息保护的内容，《个人信息保护法》也对个人信息保护问题进行系统规制，为个人金融信息的保护奠定了法律层面的基础。

2021年1月1日生效的《最高人民法院关于修改〈民事案件案由规定〉的决定》（法〔2020〕346号），新增“个人信息保护纠纷案由”，使其成为能够单独适用的民事案由。而在此之前，多数个人信息侵害案件以名誉权、姓名权或者隐私权等其他人格权侵害作为案由。

笔者对“民事-个人信息保护纠纷”案由进行检索，共检索到135个案例结果³，围绕个人信息保护的纠纷主要包括：违法违规收集、处理个人信息，非法提供或转移个人信息，取得他人信息后发送垃圾短信，未经同意向中国人民银行提供他人征信信息等情形。

尽管个人信息民事司法保护还面临着诸多需要理论和实践探索论证的问题，包括：是否属于个人信息、是否存在侵权行为、如何分配证明责任、承担何种侵权责任等，但该案由的设立以及逐渐积累的判例经验无疑为个人金融信息的维权提供了一个更为明确和直接的方式。

个人金融信息具有多样性、敏感性、精准性以及高价值等特征。

从目前的立法及执法角度来看，对个人信息主体的保护不能单纯的是被动消极的严格保密，而更应该是对个人信息全生命周期的管理和全方位的保护。

这一方面要求金融机构建立全面严格的信息管理体系及金融消费者权益保护体系，另一方面，个人信息主体也应当培养信息保护意识，提高维权意识，积极参与金融信息安全的相关教育和培训。

金融消费者信息保护不是金融机构对大数据利用的制约，与金融创新发展并不矛盾，它限制的不是对信息的利用和流通，而是对个人金融信息的滥用。

只有有效保护好个人金融信息，才能更好地推动金融数据共享和开放。