◆張昕喆

論個人金融信息的內(nèi)涵和外延

◆張昕喆

（中國政法大學中歐法學院 北京 102249）

對于個人金融信息的內(nèi)涵和外延的確定是一項開放的系統(tǒng)工程。本文通過文義解釋、擴張解釋、規(guī)范適用等方法確定了個人金融信息概念內(nèi)核和應用邊界。在研究過程中，首先通過文義解釋來確定了個人金融信息所含意義的內(nèi)核；其次通過個人金融信息的實踐表現(xiàn)確定了個人金融信息所含意義的外延；最后通過分析規(guī)范變動下內(nèi)涵和外延的變動過程及發(fā)生原因揭示了個人金融信息內(nèi)容的全貌。

個人金融信息；文義解釋；擴張解釋；規(guī)范適用

盡管對金融業(yè)的本質(zhì)的話題還存在爭論，但“金融業(yè)是一個以信息為導向的產(chǎn)業(yè)”這一論斷已在各種理論中嶄露頭角，獲得廣泛業(yè)內(nèi)人士的認同[1]。或許還有人對這一觀點不屑一顧，但其也不得不承認金融業(yè)為提升金融服務能力而對信息的采集、挖掘、開發(fā)和利用的行為正如火如荼地發(fā)生著。對于金融業(yè)的信息利用行為所帶來的整體性社會福祉提升，社會公眾也許報以贊許態(tài)度，但信息利用行為所帶來的社會信息風險卻是社會公眾不得不提防的現(xiàn)實問題。也因之如此，對于金融機構(gòu)對個人信息利用所引發(fā)的信息風險的識別、控制和規(guī)避成為社會公眾賦予金融監(jiān)管機構(gòu)必須承擔的任務。由此，對個人金融信息進行保護成為金融監(jiān)管機構(gòu)提出的應對信息風險的重要實踐。

1 問題的提出

或許個人金融信息利用只是一個以實踐為導向的描述性事實，不必過多糾結(jié)個人金融信息內(nèi)容是什么，只需將所獲得的個人金融信息類型盡可能地進行利用。但對于個人金融信息保護這一個規(guī)范性事實，首先要對“個人金融信息”這一復合詞語究竟指的是什么進行準確的認知和定義，才可使得個人金融信息保護這一規(guī)范行為存在明確的靶向。這也同時提出了個人金融信息保護這一任務的前提性工作：對個人金融信息的內(nèi)涵和外延進行分析。

2 問題的分析

盡管在語素分析上，很容易分析出“個人金融信息”這一復合詞匯的核心是“信息”一詞，“個人”和“金融”都是對“信息”的限制和形容。由此認為，“個人金融信息”的內(nèi)容其實就是“個人信息”和“金融信息”兩個詞匯所指內(nèi)容集合的交集部分，因此只要確定了“個人信息”和“金融信息”的內(nèi)容，“個人金融信息”的內(nèi)容便昭然若揭。但是“個人金融信息”一詞在本文中不但是事實性概念，同樣也是規(guī)范性概念，“個人金融信息”的內(nèi)涵不僅僅是通過在物質(zhì)世界的客觀表現(xiàn)來確定，同樣依賴于法律對于個人金融信息的規(guī)范實踐，在規(guī)范效果的衡量下、在不同的實踐場景中，個人金融信息的內(nèi)容都發(fā)生著變化，只有在不同規(guī)范場域下對其進行內(nèi)容分析，才能在詞匯編織的“意義之網(wǎng)”中確定個人金融信息的真實意義。

通過分析，我們知道了“個人金融信息”的內(nèi)涵并不僅僅是這一個復合詞匯依據(jù)詞語意義所能夠準確指出的，還要依據(jù)詞匯實踐所產(chǎn)生的規(guī)范關(guān)系來塑造。這揭示了我們接近這一詞匯內(nèi)涵的路徑和方法：首先，應當通過文義解釋來確定個人金融信息這一詞匯所含意義的內(nèi)核（文義解釋）；其次，分析個人金融信息的表現(xiàn)類型，來確定這一詞匯所含意義的邊界；最后，通過分析規(guī)范變動下內(nèi)容的變動過程，揭示內(nèi)容變動的原因，以達到對個人金融信息內(nèi)容的全面理解。

3 問題的解決

3.1 內(nèi)涵的確定

命名是對文義的定位，對于個人金融信息的概念內(nèi)核的確定，需對個人金融信息進行文義解釋為基礎(chǔ)。通過對“個人”“金融”“信息”等零散語素意義的理解，構(gòu)成了我們對于“個人金融信息”在語言之網(wǎng)上的位置的確認，形成了我們對于個人金融信息的初步認知。雖然經(jīng)過語素的無窮追溯能夠給我們帶來最客觀的事物本質(zhì)，但在規(guī)范意義的立場上，這種做法既無必要也無意義。

規(guī)范論的視角不等同于事實本質(zhì)的視角，規(guī)范視角下的詞匯意義是經(jīng)過主觀價值調(diào)整的意義，與客觀的事物本質(zhì)并不相同。以“信息”為例，在事實本質(zhì)視角下，香農(nóng)的信息論理論是現(xiàn)代信息理論的基石，他從概率論的角度對信息進行明確的定義，但這并不符合規(guī)范視角下社會公眾認為的信息。因此在本文中對于語素追溯的方向應從規(guī)范論的視角下進行，需要追溯到與目標詞匯直接鏈接的詞匯（一度詞匯）的規(guī)范意義，而二度詞匯會因為意義的喪失程度過高而無助于目標詞匯的意義形成。因此，回歸到本文對于“個人金融信息”內(nèi)核確定的實踐上，需追溯到“個人信息”的規(guī)范意義，然后通過引申確定“個人金融信息”的規(guī)范意義。至于為何不從“金融信息”入手，這是因為在規(guī)范意義的研究體量上，個人信息比金融信息資料更為準確翔實。

在我國規(guī)范視角下，關(guān)于“個人信息”的規(guī)范概念，2017年兩高司法解釋中首次予以明確，即“公民個人信息”是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等[2]?！皞€人金融信息”是“個人信息”的子類概念，“個人金融信息”的特殊性在于其是自然人從事金融活動中所產(chǎn)生的個人信息[3]。在目前我國的相關(guān)文件中認為，個人金融信息是指金融機構(gòu)通過開展業(yè)務或者其他渠道獲取、加工和保存的個人信息，包括個人身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息。

3.2 外延的確定

盡管官方對個人金融信息給出了較為明確的定義，但這也僅僅是從規(guī)范視角下的一個角度對于“個人金融信息”進行描述，并不能對“個人金融信息”的所有類型進行準確定位。因此，即使在官方解釋出臺的多年之后，仍有學者結(jié)合“兩高司法解釋”關(guān)于“個人信息”的定義，對“個人金融信息”的概念進行定義。其認為“個人金融信息”是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人從事金融活動情況的各種信息。姑且不論該定義是否更具有解釋力，但這至少指向了一個事實——如果不能將個人金融數(shù)據(jù)的類型窮舉，是無法準確找到“個人金融信息”的意義邊界的，也就無法確定哪一種定義是更恰當?shù)?。這也揭示了下一步的工作：通過窮舉不同規(guī)范視域下個人金融信息的實踐類型以確定“個人金融信息”的概念外延。

（1）中國

“個人金融信息”的概念首次出現(xiàn)在《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》(銀發(fā)〔2011〕17號)。該文件將個人金融信息定義為金融業(yè)機構(gòu)通過提供金融產(chǎn)品和服務或者其他渠道獲取、加工和保存的個人信息[4]。2020年2月發(fā)布的《個人金融信息保護技術(shù)規(guī)范》中對于“個人金融信息”概念的定義也與之一致，包括個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息[5]。2020年9月《中國人民銀行金融消費者權(quán)益保護實施辦法》發(fā)布，其中消費者金融信息的定義是銀行、支付機構(gòu)通過開展業(yè)務或者其他合法渠道處理的消費者信息，包括個人身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息及其他與特定消費者購買、使用金融產(chǎn)品或者服務相關(guān)的信息[6]。這對“個人金融信息”的概念進行了拓展。根據(jù)相關(guān)學者的統(tǒng)計，“個人金融信息”的類型包括：（1）有關(guān)賬戶的信息，包括賬戶上所存款項、資金數(shù)額、收支情況、資金來源和去向、賬戶記錄、信用卡的情況；（2）有關(guān)客戶交易的信息，包括交易標的、種類、性質(zhì)、內(nèi)容、價格、當事人、時間等；（3）銀行因保管客戶的賬戶而獲得的與客戶有關(guān)的任何信息[7]。

（2）歐盟

2018年5月，歐盟發(fā)布的《通用數(shù)據(jù)保護條例》（GDPR）是目前關(guān)于個人信息保護最為嚴格和完整的一部法律，其以可識別性為標準定義了個人信息的進入門檻。在GDPR中，其認為個人金融信息是指與個人財產(chǎn)、財務活動、金融交易相關(guān)的各類信息。在信息種類上，GDPR介紹的個人金融信息類型非常細化。在保護力度上，GDPR未將個人金融信息（財務數(shù)據(jù)）納入敏感數(shù)據(jù)的范圍進行最嚴格的保護，但歐盟法律將金融信息同電子通信信息、就業(yè)信息、醫(yī)療信息和用于研究統(tǒng)計的信息一起，規(guī)定為“特殊種類信息”。特殊種類信息的處理需要經(jīng)信息主體的明確同意，并適用于特殊的保護規(guī)則[8]。

（3）美國

美國1978年頒布的《金融隱私權(quán)法》，在法律層面將個人金融信息確定為隱私權(quán)范疇，后續(xù)的相關(guān)立法主要從金融隱私權(quán)（Financial Privacy）保護的角度出發(fā)。按照1999年出臺的《金融服務現(xiàn)代化法案》中的定義，金融隱私權(quán)保護主要指對金融消費者非公開個人信息（NPI）的保護。NPI是金融機構(gòu)收集的有關(guān)其客戶的任何“可識別到個人的金融信息”，除非該信息是“公開可用的”并有其他獲取渠道。NPI包括個人為獲得金融產(chǎn)品或服務向金融機構(gòu)提供的任何信息（例如姓名、地址、收入、社會安全號碼等）、個人金融交易信息（例如賬號、付款記錄、貸款或存款余額以及信用額度等）、金融機構(gòu)通過其他渠道獲得的客戶個人信息（例如來自法院記錄或消費者報告的信息），不包括金融機構(gòu)可以公開合法地獲取的個人信息（例如聯(lián)邦或者州法律要求公開的信息）[3]。

3.3 內(nèi)容的變動分析

雖然上文分析了規(guī)范視角下的個人金融信息的內(nèi)在特征（內(nèi)涵）和表現(xiàn)形式（外延），但這并不能構(gòu)成對于個人金融信息的全部意義。個人金融信息并不是由內(nèi)核和邊界兩部分構(gòu)成的僵硬機械結(jié)構(gòu)，而是在規(guī)范場域下內(nèi)核和邊界交流互動的動態(tài)體系。經(jīng)過細致的對比分析可以發(fā)現(xiàn)，我國的個人金融信息和歐盟、美國的類型并不完全重疊，從歐盟的個人金融信息的范圍以“指向性”為基礎(chǔ)，涵蓋了個人在從事金融活動中所產(chǎn)生的所有個人金融信息；相對于歐盟規(guī)定復雜覆蓋面廣，美國規(guī)定簡練聚焦重點，結(jié)合抽象定義與不完全列舉兩種方式，一方面通過抽象定義對個人信息的管轄范圍劃定邊界，另一方面通過具體列舉為企業(yè)提供了相對明確的判定指引[9]。而目前我國個人金融信息僅限于金融機構(gòu)的范圍[3]。不同規(guī)范域下的個人金融信息不僅在內(nèi)容定義上存在差別，在權(quán)利類型上也存在較大差異。在歐盟GDPR賦予個人對個人金融信息的知情權(quán)、訪問權(quán)、糾錯更正權(quán)、反對權(quán)、投訴權(quán)、刪除/被遺忘權(quán)、數(shù)據(jù)可攜帶權(quán)、反對非法畫像的權(quán)利等權(quán)利。而我國只賦予了個人同意權(quán)、知情權(quán)、異議糾錯權(quán)、投訴權(quán)、司法救濟權(quán)等權(quán)利[10]。

上述個人金融信息的內(nèi)容差異顯示了各規(guī)范域?qū)π畔a(chǎn)業(yè)發(fā)展的態(tài)度，各規(guī)范領(lǐng)域都在依據(jù)自身的信息技術(shù)能力采取不同的“數(shù)據(jù)權(quán)利保護和數(shù)據(jù)自由流通的平衡模式”，以促進自身信息產(chǎn)業(yè)發(fā)展的利益最大化。美國以其強大的信息技術(shù)能力為后盾，利用信息技術(shù)領(lǐng)域的技術(shù)標準制定權(quán)為核心優(yōu)勢，通過長臂管轄規(guī)則對其他規(guī)范域進行控制，以CCPA(《加利福尼亞州消費者隱私法案》)和CLOUD（《澄清域外合法使用數(shù)據(jù)法》）為例，采取“自由式市場+強監(jiān)管”為基礎(chǔ)的模式，極力促進“數(shù)據(jù)自由流通”一方，謀求自身數(shù)字經(jīng)濟的發(fā)展。歐盟因信息技術(shù)產(chǎn)業(yè)相對落后，只能以其為廣闊的信息消費市場作為利益制衡點，通過GDPR(《通用數(shù)據(jù)保護條例》)選擇以“數(shù)據(jù)基本權(quán)利”為基礎(chǔ)的發(fā)展模式，以維護公民的數(shù)據(jù)基本權(quán)利為內(nèi)容來爭奪在信息技術(shù)產(chǎn)業(yè)中的話語權(quán)[9]。中國與美國類似，其信息產(chǎn)業(yè)規(guī)模和技術(shù)能力的強大促使其在國際上擁有信息流通規(guī)則和技術(shù)標準的制定權(quán)，故中國采取“數(shù)據(jù)主權(quán)+精細監(jiān)管”的數(shù)字經(jīng)濟促進模式，但囿于立法技術(shù)及擔憂阻礙產(chǎn)業(yè)發(fā)展，故在立法上對以個人金融信息為代表的個人信息的內(nèi)容采用狹義界定模式。

4 結(jié)束語

本文通過文義解釋、擴張解釋、規(guī)范適用等方法確定了個人金融信息的內(nèi)涵和外延，并比較了中國、歐盟和美國對個人金融信息的定義。本文旨在厘清個人金融信息的概念，這是保護的第一步，同時明確保護范圍，也是保護個人金融信息的關(guān)鍵。

[1]美國財政部貨幣監(jiān)理署官員霍克（John Hawke）在國會聽證會時所言：“整個金融服務業(yè)領(lǐng)域就是個信息導向的企業(yè)，以信息交換方式提供有利于消費者和金融機構(gòu)是重要的市場功能，可以促進信用卡、投資保險或其他的金融交易”.

[2]最高人民法院，最高人民檢察院.關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋[Z]. 2017.

[3]張慧卿，倪海鷺，高道遠.我國個人金融信息保護立法研究[J].金融縱橫，2019.

[4]中國人民銀行.中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知[Z]. 2011.

[5]中國人民銀行.個人金融信息保護技術(shù)規(guī)范[Z].2020.

[6]中國人民銀行.中國人民銀行金融消費者權(quán)益保護實施辦法[Z].2020.

[7]許可.個人金融信息的三重法律保護[J].中國銀行業(yè)，2019.

[8]the general data protection regulation what financial institutions need to know.[EB/OL].http://www.ll.mit.edu/ideval/data/2000data.html. https://www.slaughterandmay.com/media/2535649/the-general-data-protection-regulation-what-financial-institutions-need-to-know.pdf.

[9]何淵：中國數(shù)據(jù)立法，該參考歐盟模式還是美國模式？[EB/OL].http://m.thepaper.cn/kuaibao_detail.jsp?contid=5410417&from=kuaibao.

[10]文舒.歐盟個人金融信息保護立法經(jīng)驗及啟示[J].金融縱橫，2019.