【摘要】个人金融信息是与公民个人开展金融活动相关而产生、采集的金融交易信息及公民个人身份信息，关联到公民个人人格、财产等诸多权益，是个人信息重要而特殊的领域。现实中对个人金融信息的侵犯行为日益频繁和严重，亟待刑法保护。侵犯个人金融信息行为类型较多，需要全面而针对地规制，既要完善现有罪名、增设专门罪名，更要加强个人信息保护相关制度建设，方为治本之策。

【关键词】个人金融信息;刑法保护;隐私权

【写作年份】2010年

【正文】

近年来，保护公民个人金融信息的重要性及具体制度路径为金融管理机构及从业机构所重视， 行政、民事制度上采取了不少有效的应对措施，取得了一定的效果。但是，刑事法上对保护公民个人金融信息的探讨还不多，作为应对及控制风险有效手段的刑事措施的缺失，无疑无法构建出保护公民个人金融信息的严密防护网，有必要认真探讨。

一、个人金融信息概念

对个人金融信息概念，目前没有权威和统一的定义，学界对此探讨的也不多，有论者认为，“个人金融信息是指个人在银行、证券公司、信托投资公司以及保险公司等金融机构中有关交易记录以及因此提供的个人资料, 包括个人的银行及信用卡账号、存取款情况、贷款及还款情况、信用消费及支付情况, 证券交易账号、所持证券品种及证券交易记录, 信托产品及交易记录, 所投保险及保险费缴交情况、保险金额、保单价值等。”再如：“金融信息是指金融机构在业务活动中知悉和掌握的包括个人的身份、各类金融资产状况和交易情况在内的所有信息和资料。大致为：个人身份信息；个人交易信息；个人主观信息。”

上述定义指出了金融信息是个人与金融机构开展业务所形成的个人信息，这是个人金融信息产生的源头，并详细列举了具体种类，具有一定的概括性和形象性，但不全面。全面界定个人金融信息是完善个人金融信息保护的前提。我们知道,个人金融信息不仅存在个人与金融机构开展金融业务的场合，还存在于金融监管机构的保管下，也可因征信机构的收集而产生。因此，笔者认为，个人金融信息是指，与公民个人开展金融活动相关，包括交易、监管、征信等活动，而产生、采集的金融交易信息及公民个人身份信息。对比个人信息与个人金融信息概念，可以看出后者自身的特性：发生在金融活动中；具有显著的经济性；具有相当的信用性；等等。因而，对个人金融信息的刑法保护也有自身的特点。

二、刑法法益保护：隐私权、抑或信息控制权

界定侵犯个人金融信息行为及刑法对该类进行规制首要的就是明确个人金融信息背后的法益。在个人信息传播、利用还不是十分广泛，人类社会没有进入信息社会时，传统理论将个人信息纳入隐私权保障的范围。现代意义上的隐私权最早产生于美国。1890 年哈佛大学法学院的教授路易斯·布兰迪斯和塞缪尔·沃伦在当年第4 期的《哈佛法学评论》(Harvard Law Review)上发表了一篇被称为"开拓性"的名为《隐私权》( The Right to Privacy) 的论文。并指出“在任何情况下，一个人都被赋予决定自己所有的信息是否公之于众的权利。”国际上通常认为隐私权包括四个方面内容：“信息隐私权；身体隐私权；通讯隐私权；地域隐私权”。可见，隐私权大致被认为是一种排除他人干扰的权利，是一种消极防御性的权利与自由。而随着信息技术的发展， 信息的收集更加便利、迅捷和广泛。特别是在网络的环境下，人更像是一个“玻璃人”或“透明人”，个人信息随时随地就可能受到侵害。并且这种侵害往往难以察觉和排除。传统隐私权被动地排除侵害已难以适应现代社会对个人信息保护的要求和维护个人的合法权益，有些情况也是传统隐私权所不能涵盖的——如要求更正错误的个人信息，将个人信息用于商业交易等。“因此，个人数据的集中管理其本身就大大提高了侵犯隐私的可能性。

作为‘信息控制权’的个人隐私未必与‘私生活的公开’、‘隐匿性’相关。不如说是作为‘对与自身存在相关的信息可以选择其公开范围的权利(佐藤幸治)’，应该认识到，即使不是普通人想隐匿的信息，且无论是否是正面评价的信息， 只要是与自身相关的信息，自己就有权决定其以何种形式、在何处传送和存放。”目前，将隐私权延伸至信息控制权的理论与立法实践日益成为国际主流观念。笔者认为， 就个人金融信息保护的实际来看，作为积极权利概念的信息控制权的使用是合适的，作为个人隐私是个人金融信息属性的一面， 但也有作为“经济人”个人信用、财益信息的另一面，公民更应被赋予控制个人金融信息的积极权利去实现金融交易的经济与效益最大化。我国学界也逐步接受积极性的个人信息控制权的观念，并成为个人信息保护立法的基础概念。

但是否个人信息控制权即能完全涵盖个人金融信息的全部呢？ 笔者认为，个人金融信息虽然属于个人信息的概念，但有着自身的特性，最为突出的就是成为个人信用的评判因子(特别是个人征信信息)和自身就具有显著的财益性(不是通过贩卖信息而获得财物)。个人金融信息还对应着公民个人的信用权和信息财产性利益。

吴汉东教授在国内最早提出了信用权的概念：“信用权是民事主体对其所具有的偿债能力在社会上获得的相应信赖与评价而享有的利用、保有和维护的权利。该项权利的客体即信用利益属于一种无形财产。在民事权利体系中，信用权是受到法律保护的资信利益，是一种与所有权、债权、知识产权与人身权相区别的无形财产权。”笔者赞同吴汉东教授对信用权性质的定位。可见，信用权是公民对其享有的资讯利益的排他性权利，是一种外在于公民主观感受的客观评价，具有直接的经济利益性；这与个人信息权人格权属性，侧重保护公民主体尊严与自由，一般不直接关联财益有所不同。例如，恶意提供、采集、处理个人金融信息， 虽然也能纳入个人信息权保护的范围，但缺少了对公民个人信用侵害的揭示，不完整；再如，恶意散布公民虚假、错误个人金融信息的行为，也是个人信息权刑法保护所不能对应的，而这亦属于对个人金融信息的侵犯。

信息财产权是近年来引起学界思考和争议的概念，但某些个人信息特别是个人金融信息本身或处理后的形态具有财产利益性是不能否认的现实。如银行卡卡号、密码；网银账户、密码；电子支票；具有知识产权属性的个人金融信息库；等等。侵犯某些具有财益性的个人金融信息时，如果刑法仅按照个人信息权的思路去保护，则是不完善的，甚至存在漏洞。例如，盗窃他人电子支票，很难从人格角度说对被害人的侵犯有多么严重， 这里最明显侵犯的是被害人的经济利益；再如，侵犯个人金融信息往往需要侵犯大量个人金融信息才能认定严重危害，而单个个人金融信息即具有财产利益上的重要性，如果仅按个人信息权来保护，可能会脱漏犯罪。最后还需指出是， 为保护公民个人信息权益，有关部门陆续制定了专门的法律、法规、规章等规范性文件，构筑了相关的个人信息保护制度，因此，有些不当侵犯个人金融信息行为还会侵犯国家相关的个人信息保护制度。

综上所述，本文认为，个人信息权、信用权、信息财产利益、国家个人信息保护制度，都是刑法针对侵犯个人金融信息行为所要保护的法益，某个侵犯个人金融信息行为侵犯了何种法益须要具体考量，可能是四者中的一种，或者是几种；当然，个人信息权是所有侵犯个人金融信息行为都侵犯的法益，是侵犯个人金融信息罪名的犯罪客体。

三、现行刑法对个人金融信息保护的分析及完善

（一）侵犯个人金融信息的行为类型

根据上文分析，笔者在此将侵犯个人金融信息的行为类型归纳为以下十条：一是不当泄漏个人金融信息行为；二是不当查阅个人金融信息行为；三是不当采集、处理、篡改、毁损个人金融信息行为；四是不当使用个人金融信息行为；五是拒绝更正虚假、错误的个人金融信息行为；六是不当提供、散播虚假、错误的个人金融信息行为； 七是个人金融信息骚扰行为；八是盗窃个人金融信息行为；九是非法设立个人征信机构行为；十是不当提供、拒绝提供个人信用报告行为。

（二）现有刑法罪名规制

对刑法条文进行梳理，主要有以下几类罪名予以规制：

1、可以适用侵犯个人金融信息行为的普通罪名：破坏通信自由罪；私自开拆、隐匿、毁弃邮件、电报罪；非法获取国家秘密罪；非法持有国家绝密、机密文件资料、物品罪；侵犯商业秘密罪；非法侵入计算机信息系统罪；破坏计算机信息系统罪；提供虚假证明文件罪；出具证明文件重大失实罪；滥用职权罪、玩忽职守罪；故意、过失泄漏国家秘密罪；等等。

2、可以适用侵犯个人金融信息行为的金融犯罪罪名：泄漏内幕信息罪；编造并传播证券交易虚假信息罪；诱骗投资者买卖证券罪；等等。

3、适用侵犯个人信息或个人金融信息行为的专门罪名：窃取、收买、非法提供信用卡信息罪；刑法修正案（七） 在刑法第二百八十五条中增加的第二款规制的非法获取计算机数据行为；刑法修正案(七)在刑法第二百五十三条中增加的第二款规制的侵犯个人信息行为；等等。

（三）刑法对个人金融信息保护之分析

结合前文的探讨，我们可以发现目前我国刑法对个人信息保护还有很大的不足，表现在：

1、刑法规制范围过于狭窄，不能适应保障公民权益的需要。从现有刑法罪名来看，很多侵犯个人金融信息的行为还不能予以规制， 刑事法网漏洞很大，亟待完善。

2、专门适用侵犯个人信息或个人金融信息的专门罪名不多。虽然近年来刑法修正案对于侵犯信用卡信息及泄漏、窃取个人信息的行为作出了专门规定，但保护范围上还很狭窄，未能涵盖相当类型的侵犯个人信息的行为。

3、不能与个人信息保护的现行法规、规章相衔接。中国人民银行及省级地方政府已经颁布实施了不少个人信息保护及个人征信方面的法规、规章，其中规定了不少对侵犯个人金融信息行为的处罚原则，很多情况下还规定情节严重的要追究刑事责任或移送司法机关处理， 而刑法却没有与之相对应的罪名，是很大的不足。如中国人民银行《个人信用信息基础数据库管理暂行办法》第三十九条：“商业银行有下列情形之一的,由中国人民银行责令改正,并处一万元以上三万元以下罚款； 涉嫌犯罪的, 依法移交司法机关处理：(一)违反本办法规定,未准确、完整、及时报送个人信用信息的；(二)违反本办法第七条规定的；(三)越权查询个人信用数据库的；(四) 将查询结果用于本办法规定之外的其他目的的；(五) 违反异议处理规定的；(六)违反本办法安全管理要求的。”现行刑法对其中大多数行为没有规定相应的罪名。

4、对侵犯个人信息及个人金融信息行为所侵犯法益的定位还不明晰。就适用侵犯个人信息或个人金融信息行为的专门罪名来看， 或放在破坏社会主义市场经济秩序罪之破坏金融管理秩序罪章节；或放在妨害社会管理秩序罪之扰乱公共秩序罪章节；或放在侵犯公民人身权利、民主权利罪一章（从罪名法条位置、罪状来分析，所针对的法益还是传统隐私权）。可见，对侵犯个人信息及个人金融信息行为所侵犯法益的定位还未明晰， 没有凸显出个人信息权的主导地位。

（四）刑法完善的若干方面

笔者认为，可以从以下几个方面来完善刑法对个人金融信息的保护：

1、继续加强个人信息保护理论研究，明确侵犯个人信息行为的法益定位，以更好地指导立法及司法活动。特别是，侵犯个人信息行为类型多样，如何详尽而精要地规制，在立法技术上必须认真探讨。

2、完善现有的或增加专门个人信息保护罪名；例如，刑法修正案（七）所规制的侵犯个人信息行为，犯罪主体应扩大， 不局限在特定单位及其工作人员，信息来源也限定为因工作便利而获得个人信息，范围狭小，等等；再如，将经个人信息主体提出异议后，有关机构及工作人员拒绝更正错误、虚假个人信息；篡改、损毁个人信息，个人信息骚扰行为，等等，纳入刑法规制的范围。

3、完善并增加专门罪名规制侵犯个人金融信息行为。如前文分析，个人金融信息有其特性，且在市民社会经济往来中发挥重要作用，有必要增设专门罪名规制。例如非法设立征信机构罪。

4、完善个人金融信息保护制度建设。刑法是社会正义的最后防线，社会正义是由宪法、民法、行政法等诸多部门法构成的法秩序所共同维护的。只有个人信息包括个人金融信息在宪法、民法、行政法中的性质、地位明确，才能给刑法规制予以指引和参照，方为治本之策。同时，金融监管机构、金融机构、征信机构等也要把内部制度的完善、严格遵守放到重要位置，并时刻警醒自身从业人员个人金融信息保护的意识。