三、銀行個(gè)人金融信息保護(hù)體系的基礎(chǔ)分析和模式選擇
　　構(gòu)建個(gè)人金融信息保護(hù)體系的主要任務(wù)在于：一要明確個(gè)人金融信息的含義和范圍，以及銀行掌握個(gè)人金融信息的界限；二要明確侵害個(gè)人金融信息的行為性質(zhì)以及民事救濟(jì)途徑。前者為構(gòu)建個(gè)人金融信息保護(hù)的基礎(chǔ)，該問題仍是一個(gè)法律空白，這使得個(gè)人金融信息的維權(quán)行動成為無源之水。后者決定了個(gè)人金融信息的保護(hù)模式，是構(gòu)建個(gè)人金融信息保護(hù)體系的最終目標(biāo)。
　　（一）銀行個(gè)人金融信息含義和范圍的界定
　　雖然法律對個(gè)人金融信息沒有明確的概念，但是中國人民銀行于2011年1月21日發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（以下簡稱為個(gè)人金融信息保護(hù)通知）對個(gè)人金融信息做出了明確的定義。該通知將銀行個(gè)人金融信息定義為“銀行業(yè)金融機(jī)構(gòu)在開展業(yè)務(wù)時(shí)，或通過接入中國人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的個(gè)人信息”。該通知是從銀行業(yè)的角度對個(gè)人金融信息進(jìn)行定位，以來源作為界定個(gè)人金融信息的標(biāo)準(zhǔn)。銀行獲取個(gè)人信息的目的在辦理業(yè)務(wù)、審核結(jié)算、控制風(fēng)險(xiǎn)。隨著社會的發(fā)展，銀行的風(fēng)險(xiǎn)點(diǎn)會不斷地變換，銀行為了控制風(fēng)險(xiǎn)必然需要創(chuàng)新渠道去獲取與業(yè)務(wù)相關(guān)的信息。對個(gè)人金融信息的定義不應(yīng)該僅以來源來界定，還應(yīng)該結(jié)合個(gè)人金融信息的其它特征加以界定。從保護(hù)個(gè)人金融信息的角度來看，個(gè)人信息一旦為銀行所獲取，銀行就應(yīng)當(dāng)謹(jǐn)慎地履行保密義務(wù)，該保密義務(wù)不能因保存的介質(zhì)變化而轉(zhuǎn)變。而且，該保密義務(wù)應(yīng)當(dāng)延伸至信息的加工品，直至加工為與個(gè)人脫離直接聯(lián)系的抽象信息。因此，個(gè)人金融信息應(yīng)當(dāng)定義為銀行業(yè)金融機(jī)構(gòu)為了開展和結(jié)算業(yè)務(wù)、防范和監(jiān)控風(fēng)險(xiǎn)，向個(gè)人、國家機(jī)關(guān)和企事業(yè)單位等獲取的與個(gè)人存在直接聯(lián)系的個(gè)人信息以及衍生信息。
　　《個(gè)人金融信息保護(hù)通知》將銀行個(gè)人金融信息分為七個(gè)類別。該通知采取的是“分類列舉”的表達(dá)方式，對具體的工作起到了很好的指導(dǎo)作用。然而，法律是抽象和具體的統(tǒng)一體，即要有普適性，又能為具體的行為提供準(zhǔn)確、無歧義的指引。從草擬法律條文的角度來看，個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人賬戶信息等分類項(xiàng)目已經(jīng)包含了緊跟其后的舉例項(xiàng)目。同時(shí)，將具體的項(xiàng)目羅列出來難以囊括全部的個(gè)人金融信息，這就有可能造成某些新類型的個(gè)人金融信息得不到應(yīng)有的保障。例如，銀行卡內(nèi)嵌的磁道信息和銀行卡賬號是直接聯(lián)系的，磁道信息和密碼一起構(gòu)成了打開賬戶交易大門的“鑰匙”。銀行卡的磁道信息雖然不為客戶個(gè)人所知曉，但這些信息與個(gè)人緊密聯(lián)系，一旦泄露，會直接造成了個(gè)人的財(cái)產(chǎn)損失。然而，這類信息卻沒有出現(xiàn)在《個(gè)人金融信息保護(hù)通知》的列舉事項(xiàng)之中。所以，在法律規(guī)定中，個(gè)人金融信息的概念外延應(yīng)當(dāng)采用“個(gè)人的身份信息、財(cái)產(chǎn)信息、賬戶信息、金融交易信息等銀行在與個(gè)人建立業(yè)務(wù)關(guān)系過程中獲取、保存的個(gè)人信息，以及對個(gè)人的消費(fèi)習(xí)慣、投資意愿等原始信息進(jìn)行處理、分析所形成的反映特定個(gè)人某些情況的信息”。
　　（二）個(gè)人金融信息的保護(hù)模式
　　個(gè)人信息資料與個(gè)人隱私有非常密切的聯(lián)系，一方面?zhèn)€人信息資料往往具有私密性，另一方面，侵害個(gè)人信息資料的行為一般表現(xiàn)為非法披露個(gè)人信息資料。國內(nèi)學(xué)者一般認(rèn)為，個(gè)人信息資料的保護(hù)可以納入隱私權(quán)的范疇。同時(shí)，不少國家也是將個(gè)人信息資料按照個(gè)人隱私來對待，如美國和德國等。然而，保護(hù)隱私權(quán)的主旨在于保護(hù)權(quán)利人免受外界的非法干擾，維護(hù)個(gè)人私密的空間，具有一定的被動性。個(gè)人對個(gè)人信息資料除了不應(yīng)被他人非法披露之外，還包括對個(gè)人信息資料的控制權(quán)，如權(quán)利人有權(quán)糾正已公開或者由他人占有的個(gè)人信息資料，以及有權(quán)拒絕他人超出原定目的使用個(gè)人信息資料。同時(shí)，個(gè)人信息資料也不僅僅是私密的信息，部分個(gè)人信息資料因?yàn)樯婕肮怖姹仨氃谝欢ǚ秶鷥?nèi)公開，例如個(gè)人的姓名、性別、公民身份號碼等信息。對于已經(jīng)公開的信息，權(quán)利人也享有控制權(quán)，也屬于個(gè)人信息資料的權(quán)利內(nèi)容。對于侵害個(gè)人信息資料的救濟(jì)，除了精神損害賠償之外，還應(yīng)當(dāng)包含財(cái)產(chǎn)損失賠償?？梢姡m然隱私權(quán)和個(gè)人信息資料具有交叉關(guān)系，但是對個(gè)人信息資料的保護(hù)無論是從權(quán)利內(nèi)容上還是從救濟(jì)途徑上都寬于隱私權(quán)。因此，個(gè)人信息資料應(yīng)當(dāng)作為一項(xiàng)獨(dú)立的權(quán)利加以保護(hù)，其救濟(jì)方式可以參照《侵權(quán)責(zé)任法》的規(guī)定。
　　個(gè)人金融信息與一般的個(gè)人信息資料類似，個(gè)人金融信息同樣不能單純按隱私權(quán)來保護(hù)。個(gè)人金融信息與一般的個(gè)人信息資料相比，其與個(gè)人財(cái)產(chǎn)安全的聯(lián)系更加緊密。對個(gè)人金融信息的侵害更容易造成個(gè)人的財(cái)產(chǎn)損失。而且，銀行獲取個(gè)人信息的范圍非常廣，遠(yuǎn)遠(yuǎn)超出其他企業(yè)所獲取的個(gè)人信息范圍。所以，銀行個(gè)人金融信息應(yīng)該在保護(hù)個(gè)人信息資料的基礎(chǔ)上，謀求更多的法律保護(hù)。例如，為了體現(xiàn)個(gè)人對個(gè)人金融信息的控制權(quán)，對于銀行逾期不修改錯誤的個(gè)人金融信息的，個(gè)人可以要求銀行承擔(dān)精神和財(cái)產(chǎn)損失。
　　四、銀行個(gè)人金融信息的保護(hù)措施
　　（一）制定專門法規(guī)，為保護(hù)個(gè)人金融信息提供法律依據(jù)
　　目前，個(gè)人信息保護(hù)只存在于各行各業(yè)的內(nèi)部規(guī)范之中，但是，制定規(guī)則的主體往往是交易的優(yōu)勢方，這必然會出現(xiàn)不公平的情況。而且，個(gè)人信息資料的保護(hù)和控制權(quán)限的界定往往是通過商業(yè)合同來確定的。由于沒有上升到法律層面，個(gè)人信息資料往往得不到很好的保護(hù)。因此，通過法律的形式保護(hù)個(gè)人信息資料具有相當(dāng)?shù)默F(xiàn)實(shí)意義。目前，我國的《個(gè)人信息保護(hù)法》已在起草階段，而我國的行業(yè)執(zhí)法權(quán)比較分散，立法者需要協(xié)調(diào)各個(gè)部門之間的意見，該法律的出臺仍沒有具體的時(shí)間表。然而，個(gè)人信息資料侵權(quán)問題已經(jīng)成為一個(gè)社會問題，隨著人們權(quán)利意識的逐漸增強(qiáng)，社會問題必然會演化為法律問題。面對即將到來的執(zhí)法、司法難題，《個(gè)人信息保護(hù)法》應(yīng)當(dāng)盡早制定。
　　相比而言，銀行個(gè)人金融信息保護(hù)問題尤為突出，一方面是因?yàn)殂y行業(yè)競爭越來越激烈，銀行需要積極營銷方能占據(jù)市場地位，另一方面，隨著科技的進(jìn)步和經(jīng)濟(jì)的繁榮，銀行的發(fā)展成本也逐漸增加，銀行沒有很好地權(quán)衡利潤和再生產(chǎn)的關(guān)系，使得安全問題頻發(fā)。為此，銀行的個(gè)人金融信息保護(hù)工作走在了前列。金融業(yè)，特別是銀行業(yè)，在國民經(jīng)濟(jì)中占據(jù)了獨(dú)特的地位，其在交易中優(yōu)勢地位更加明顯。在《個(gè)人信息保護(hù)法》的基礎(chǔ)上再制定專門保護(hù)個(gè)人金融信息的規(guī)則是很有必要的。其中，首先要明確個(gè)人金融信息的定義，明確銀行收集個(gè)人金融信息的目的和范圍；其次，規(guī)定銀行保護(hù)、使用個(gè)人金融信息的法定義務(wù)，即要求銀行必須按照法定的方式、途徑收集、保存和使用個(gè)人金融信息，并履行一定的告知義務(wù)；再次就是侵害個(gè)人金融信息的認(rèn)定辦法和救濟(jì)途徑。
　　個(gè)人金融信息保護(hù)的規(guī)則應(yīng)當(dāng)納入《個(gè)人信息保護(hù)法》中，作為該部法律的一個(gè)章節(jié)，即《個(gè)人信息保護(hù)法》采用“總則與分則”的行文模式，先制定個(gè)人信息保護(hù)的一般規(guī)則，然后根據(jù)行政機(jī)構(gòu)、事業(yè)單位和企業(yè)等順序，分別規(guī)定不同主體、不同行業(yè)的個(gè)人信息保護(hù)規(guī)則。對于具有特殊性的行業(yè)，例如金融業(yè)、通訊業(yè)等，可以專門制定一個(gè)章節(jié)。
　?。ǘ┙€(gè)人金融信息的維權(quán)機(jī)構(gòu)，減少個(gè)人的維權(quán)成本
　　在銀行業(yè)個(gè)人金融信息的維權(quán)行動中，個(gè)人往往需要面對兩個(gè)問題，一是維權(quán)成本，二是證據(jù)的獲取。因此，個(gè)人維護(hù)個(gè)人金融信息安全困難重重。德國著名法學(xué)家耶林在《為權(quán)利而斗爭》一書中說，“為權(quán)利而斗爭，是對個(gè)人、社會和國家的義務(wù)”。個(gè)人權(quán)利的普遍缺失，應(yīng)當(dāng)成為社會共同應(yīng)對的問題。對于個(gè)人金融信息的保護(hù)問題，以及金融消費(fèi)者保護(hù)問題，應(yīng)當(dāng)建立專門的金融消費(fèi)者權(quán)益保護(hù)機(jī)構(gòu)。傳統(tǒng)的消費(fèi)者協(xié)會，限于專業(yè)知識的缺乏，難以勝任金融消費(fèi)者的保護(hù)工作。而單獨(dú)將銀行業(yè)劃出來，成立專門的銀行業(yè)消費(fèi)者權(quán)益保護(hù)機(jī)構(gòu)又會面臨機(jī)構(gòu)過小而喪失生命力。金融業(yè)存在互通性，而且目前存在眾多金融產(chǎn)品集中銷售的情況，金融業(yè)應(yīng)當(dāng)作為一個(gè)整體建立專門的金融消費(fèi)者權(quán)益保護(hù)機(jī)構(gòu)。目前金融業(yè)面臨著央行、證監(jiān)會、銀監(jiān)會、保監(jiān)會多個(gè)監(jiān)管機(jī)構(gòu)分業(yè)管理的局面，在金融消費(fèi)者權(quán)益的保護(hù)問題上，特別是跨行業(yè)的問題，難以形成合力。如果能建立一個(gè)金融消費(fèi)者權(quán)益保護(hù)機(jī)構(gòu)，將能起到引導(dǎo)金融消費(fèi)者維權(quán)、與各個(gè)部門的協(xié)調(diào)作用，更好地維護(hù)金融消費(fèi)者權(quán)益，促進(jìn)金融市場的健康發(fā)展。就目前情況下，金融消費(fèi)者權(quán)利保護(hù)機(jī)構(gòu)應(yīng)該設(shè)置在央行之下，由央行主辦成立。
　　對于銀行個(gè)人金融信息保護(hù)問題，以及其他金融消費(fèi)者的權(quán)利保護(hù)問題，如何收集證據(jù)是權(quán)利人難以回避的難題。在此類糾紛中，不宜適用舉證倒置的規(guī)則，即不應(yīng)當(dāng)由銀行承擔(dān)不存在侵權(quán)行為的舉證責(zé)任。首先，舉證倒置會促使銀行更加謹(jǐn)慎的保留業(yè)務(wù)操作的相關(guān)資料，增加銀行的運(yùn)行成本，不利于國民經(jīng)濟(jì)的快速發(fā)展。其次，舉證倒置促使訴訟激增，不但銀行無法應(yīng)對，就連司法機(jī)關(guān)也難以承擔(dān)如此大的工作量。再次，消費(fèi)者可以通過央行、銀監(jiān)會和司法機(jī)關(guān)等機(jī)構(gòu)獲取與銀行的相關(guān)證據(jù)，如向公安機(jī)關(guān)報(bào)案，可以申請公安機(jī)關(guān)調(diào)取銀行留存的文檔和視頻資料。所以，個(gè)人金融信息糾紛不宜適用舉證倒置規(guī)則具有一定的現(xiàn)實(shí)意義。但是，這樣就會造成個(gè)人獲取證據(jù)的成本過大，很多人會因受侵害的權(quán)益普遍不大而主動放棄了維權(quán)的機(jī)會。在這種情況下，建立一個(gè)專門的維護(hù)金融消費(fèi)者權(quán)益機(jī)構(gòu)是相當(dāng)必要的，它既可以引導(dǎo)個(gè)人獲取證據(jù)，提供法律咨詢，也可以組織集體訴訟，降低個(gè)人的維權(quán)成本，促使銀行業(yè)重視所存在的問題，同時(shí)還能協(xié)調(diào)各個(gè)部門，減少行業(yè)沖突。
　?。ㄈ┩晟粕虡I(yè)銀行法律制度，建立完善的監(jiān)管體制
　　央行和銀監(jiān)會應(yīng)當(dāng)督促銀行建立個(gè)人金融信息查詢、修改和使用的登記、審批制度，對于超出個(gè)人所申請辦理的業(yè)務(wù)范圍的查詢、修改和使用個(gè)人金融信息的應(yīng)當(dāng)做好登記和審批工作，審批程序應(yīng)當(dāng)足以達(dá)到對非法查詢、修改和使用個(gè)人金融信息的行為進(jìn)行監(jiān)管的目的。對于沒有登記和審批的查詢、修改和使用個(gè)人金融信息的行為，并且超出個(gè)人所申請辦理的義務(wù)范圍，應(yīng)當(dāng)由銀行承擔(dān)相應(yīng)的行政和民事責(zé)任。
　　對于個(gè)人金融信息的修改問題，央行應(yīng)當(dāng)修改《征信辦法》，明確征信異議申請流轉(zhuǎn)的具體程序、時(shí)間限制和責(zé)任分擔(dān)等問題。對違規(guī)操作的人員給予相應(yīng)的紀(jì)律處分，對造成損失的，應(yīng)當(dāng)賠償。對銀行違規(guī)登記個(gè)人金融信息，或者不按時(shí)刪除、更新個(gè)人金融信息的，銀行承擔(dān)相應(yīng)的行政責(zé)任和民事責(zé)任。
　　銀行還應(yīng)當(dāng)投入適當(dāng)?shù)慕?jīng)費(fèi)，維護(hù)、升級銀行風(fēng)險(xiǎn)防控系統(tǒng)，防止個(gè)人金融信息被他人盜取。對于銀行委托外包服務(wù)商，銀行除了與外包服務(wù)商簽訂保密協(xié)議外，還應(yīng)當(dāng)盡到最謹(jǐn)慎的監(jiān)管義務(wù)，保證個(gè)人金融信息不被非法轉(zhuǎn)存、查詢、修改和使用。