雷麗清

隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的高速發(fā)展，金融行業(yè)信息化的趨勢(shì)越來(lái)越明顯，為普惠金融的發(fā)展提供了良好的契機(jī)。普惠金融降低了金融機(jī)構(gòu)和客戶的成本，使中低收入人群及小微企業(yè)享受到便利的金融服務(wù)。2019年《中國(guó)普惠金融發(fā)展情況報(bào)告》顯示，截至2019年6月，全國(guó)鄉(xiāng)鎮(zhèn)銀行業(yè)金融機(jī)構(gòu)覆蓋率為95.7%，行政村基礎(chǔ)金融服務(wù)覆蓋率99.2%，小微企業(yè)銀行貸款35.63萬(wàn)億元，其中普惠型小微企業(yè)貸款(單戶授信總額1 000萬(wàn)元及以下的小微企業(yè)貸款)余額10.7萬(wàn)億元。[1]然而，在普惠金融迅速發(fā)展的同時(shí)，金融機(jī)構(gòu)及其他機(jī)構(gòu)對(duì)于個(gè)人金融信息的不規(guī)范采集、不當(dāng)使用和泄露，嚴(yán)重侵犯了個(gè)人的信息安全，同時(shí)也破壞了金融管理秩序。如何保護(hù)個(gè)人的金融信息是我們亟須研究的問(wèn)題。

一、個(gè)人金融信息的含義

目前，我國(guó)法律法規(guī)對(duì)于個(gè)人金融信息尚未明確規(guī)定。只有中國(guó)人民銀行發(fā)布的部門(mén)規(guī)范性文件規(guī)定了個(gè)人金融信息的定義。2011年中國(guó)人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》(下文簡(jiǎn)稱(chēng)《通知》)指出，個(gè)人金融信息是指銀行業(yè)金融機(jī)構(gòu)在開(kāi)展業(yè)務(wù)時(shí)，或通過(guò)接入中國(guó)人民銀行征信系統(tǒng)、支付系統(tǒng)以及其他系統(tǒng)獲取、加工和保存的個(gè)人信息。學(xué)術(shù)研究領(lǐng)域，有學(xué)者認(rèn)為，個(gè)人金融信息是指與公民個(gè)人開(kāi)展金融活動(dòng)相關(guān)的信息，包括因交易、監(jiān)管、征信等活動(dòng)而產(chǎn)生、采集的金融交易信息等。[2]

金融監(jiān)管法律文件和學(xué)術(shù)研究對(duì)個(gè)人金融信息的界定是不一致的。其一，個(gè)人金融信息產(chǎn)生的領(lǐng)域不一致。《通知》界定的個(gè)人金融信息限于銀行業(yè)金融機(jī)構(gòu)掌握的信息，包括銀行業(yè)金融機(jī)構(gòu)通過(guò)自身開(kāi)展業(yè)務(wù)獲得的個(gè)人信息和銀行業(yè)金融機(jī)構(gòu)通過(guò)接入中國(guó)人民銀行的各種系統(tǒng)所獲得的個(gè)人信息。學(xué)術(shù)研究界定的個(gè)人金融信息則不限于銀行業(yè)金融機(jī)構(gòu)掌握的信息，任何機(jī)構(gòu)只要與公民個(gè)人開(kāi)展金融活動(dòng)，其所獲得的對(duì)方金融交易信息均屬于個(gè)人金融信息。其二，個(gè)人金融信息的范圍不一樣?！锻ㄖ方缍ǖ膫€(gè)人金融信息不僅包括個(gè)人金融交易信息，還包括個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人賬戶信息、個(gè)人信用信息、衍生信息及其他個(gè)人信息。學(xué)術(shù)研究界定的個(gè)人金融信息僅指?jìng)€(gè)人金融交易信息。

筆者贊同學(xué)術(shù)界關(guān)于個(gè)人金融信息的觀點(diǎn)，個(gè)人金融信息是指與公民個(gè)人開(kāi)展金融活動(dòng)相關(guān)的信息。理由在于：其一，除了銀行業(yè)金融機(jī)構(gòu)可以掌握個(gè)人金融信息，其他機(jī)構(gòu)開(kāi)展金融活動(dòng)時(shí)所獲得的個(gè)人信息也應(yīng)當(dāng)屬于個(gè)人金融信息。如果將其他機(jī)構(gòu)獲得的個(gè)人金融信息排除在外，就會(huì)縮小個(gè)人金融信息的范圍，不利于保護(hù)公民的合法權(quán)益。其二，《通知》規(guī)定的個(gè)人金融信息既包括個(gè)人金融交易信息，又包括個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人賬戶信息、個(gè)人信用信息、衍生信息及其他個(gè)人信息。這一規(guī)定混淆了個(gè)人信息與個(gè)人金融信息之間的關(guān)系。實(shí)際上，不是個(gè)人金融信息包括個(gè)人信息，而是個(gè)人信息包括個(gè)人金融信息，個(gè)人信息是上位概念，個(gè)人金融信息是下位概念，個(gè)人金融信息只是個(gè)人信息中的一個(gè)類(lèi)型。

二、關(guān)于保護(hù)個(gè)人金融信息的現(xiàn)行刑法規(guī)定

我國(guó)現(xiàn)行刑法專(zhuān)門(mén)規(guī)制侵犯?jìng)€(gè)人金融信息的罪名主要有兩個(gè)：一個(gè)是《刑法》第一百七十七條之一第二款規(guī)定的竊取、收買(mǎi)、非法提供信用卡信息罪，一個(gè)是《刑法》第二百五十三條之一規(guī)定的侵犯公民個(gè)人信息罪。

(一)兩罪名保護(hù)法益的界定

1.竊取、收買(mǎi)、非法提供信用卡信息罪的保護(hù)法益

關(guān)于竊取、收買(mǎi)、非法提供信用卡信息罪的保護(hù)法益的觀點(diǎn)主要有下面三種觀點(diǎn)：

第一種觀點(diǎn)認(rèn)為，該罪的保護(hù)法益是單一法益，為國(guó)家對(duì)信用卡資料的管理秩序。[3]407第二種觀點(diǎn)認(rèn)為，該罪的保護(hù)法益是復(fù)數(shù)法益，包括持卡人的合法利益和金融機(jī)構(gòu)的信譽(yù)。[4]第三種觀點(diǎn)認(rèn)為，該罪的保護(hù)法益是復(fù)數(shù)法益，包括個(gè)人的信用卡信息安全和國(guó)家有關(guān)信用卡信息的管理秩序。[5]

第一種觀點(diǎn)只注意到該罪侵犯了國(guó)家對(duì)信用卡資料的管理秩序，未注意到該罪會(huì)同時(shí)侵犯?jìng)€(gè)人的信用卡信息安全法益。第二種觀點(diǎn)過(guò)于抽象，未闡述清楚竊取、收買(mǎi)、非法提供信用卡信息的犯罪行為究竟侵犯了持卡人的何種合法利益。筆者贊同第三種觀點(diǎn)，這種觀點(diǎn)既關(guān)注到竊取、收買(mǎi)、非法提供信用卡信息的犯罪行為會(huì)侵犯?jìng)€(gè)人法益，又關(guān)注到其會(huì)侵犯公共法益。由于竊取、收買(mǎi)、非法提供信用卡信息罪規(guī)定在《刑法》第三章第四節(jié)“破壞金融管理秩序罪”中，故該罪的主要保護(hù)法益是國(guó)家有關(guān)信用卡信息的管理秩序，次要保護(hù)法益是個(gè)人的信用卡信息安全。

2.侵犯公民個(gè)人信息罪的保護(hù)法益

關(guān)于侵犯公民個(gè)人信息罪的保護(hù)法益的觀點(diǎn)主要包括以下三種觀點(diǎn)：

第一種觀點(diǎn)認(rèn)為，侵犯公民個(gè)人信息罪的保護(hù)法益是公民的人格權(quán)。[6]第二種觀點(diǎn)認(rèn)為，侵犯公民個(gè)人信息罪的保護(hù)法益是公共信息安全。[7]第三種觀點(diǎn)認(rèn)為，侵犯公民個(gè)人信息罪的保護(hù)法益是個(gè)人法益，同時(shí)兼顧超個(gè)人法益。[8]

筆者同意第三種觀點(diǎn)。侵犯公民個(gè)人信息罪規(guī)定在《刑法》第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”中，故該罪的主要保護(hù)法益為公民的人身權(quán)利、公民個(gè)人的信息安全，次要保護(hù)法益是公民的財(cái)產(chǎn)安全、公共信息安全。原因在于：

第一，個(gè)人信息既涉及個(gè)人的人身法益，又涉及個(gè)人的財(cái)產(chǎn)法益。不管是立法者還是司法機(jī)關(guān)均注意到個(gè)人信息既涉及個(gè)人的人身法益，又涉及個(gè)人的財(cái)產(chǎn)法益?！蛾P(guān)于〈中華人民共和國(guó)刑法修正案(七)(草案)〉的說(shuō)明》明確指出：“一些國(guó)家機(jī)關(guān)和電信、金融等單位在履行公務(wù)或提供服務(wù)活動(dòng)中獲得的公民個(gè)人信息被非法泄露的情況時(shí)有發(fā)生，對(duì)公民的人身、財(cái)產(chǎn)安全和個(gè)人隱私構(gòu)成嚴(yán)重威脅?！盵9]《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱(chēng)《解釋》)在其第五條第一款第四項(xiàng)規(guī)定:“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響公民人身安全、財(cái)產(chǎn)安全的重要信息?！彼痉▽?shí)踐中，個(gè)人信息遭到泄露，犯罪分子經(jīng)常非法利用其掌握的個(gè)人信息實(shí)施侵犯被害人人身安全和財(cái)產(chǎn)安全的犯罪行為，導(dǎo)致被害人的人身和財(cái)產(chǎn)遭受重大損害。最為典型的就是徐玉玉案，犯罪分子非法獲取徐玉玉的個(gè)人信息，不僅騙取其錢(qián)財(cái)，而且導(dǎo)致其死亡。

第二，個(gè)人信息既具有個(gè)人屬性，又具有公共屬性。一方面，個(gè)人信息與個(gè)人法益相關(guān)聯(lián)。個(gè)人信息與個(gè)人的人身、財(cái)產(chǎn)安全等重大法益相聯(lián)系。另一方面，個(gè)人信息與公共安全相關(guān)聯(lián)。近年來(lái)，隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的發(fā)展，侵犯公民個(gè)人信息犯罪案件的數(shù)量呈大幅遞增的趨勢(shì)，涉案?jìng)€(gè)人信息的數(shù)量少則幾百條，多則幾億條。侵犯公民個(gè)人信息的犯罪行為對(duì)于公共安全的侵害性顯而易見(jiàn)。比如，2017年5月9日最高人民法院發(fā)布的七個(gè)侵犯公民個(gè)人信息犯罪典型案例涉及的信息數(shù)量最多的達(dá)到2 000萬(wàn)條(丁亞光侵犯公民個(gè)人信息案)，最少的也有1萬(wàn)余條(肖凡、周浩等侵犯公民個(gè)人信息案)。[10]

(二)兩罪名行為對(duì)象的厘清

1.竊取、收買(mǎi)、非法提供信用卡信息罪的行為對(duì)象

竊取、收買(mǎi)、非法提供信用卡信息罪的行為對(duì)象是個(gè)人的信用卡信息資料。按照2000年中國(guó)人民銀行的《銀行卡磁條信息格式和使用規(guī)范》，主賬號(hào)、發(fā)卡機(jī)構(gòu)標(biāo)識(shí)號(hào)碼、個(gè)人賬戶標(biāo)識(shí)、校驗(yàn)位及個(gè)人標(biāo)識(shí)代碼屬于信用卡信息資料的具體內(nèi)容。

這里的信用卡信息資料是指信用卡上所有的信息，還是僅指信用卡磁條上的信息？有觀點(diǎn)認(rèn)為，信用卡信息就是指信用卡磁條上的信息。[11]有觀點(diǎn)認(rèn)為，信用卡信息是指信用卡上的所有信息。[5]筆者贊同第一種觀點(diǎn)，因?yàn)樾庞每ù艞l上的信息既包括金融機(jī)構(gòu)的信息，也包括持卡人的信息。信用卡磁條上的信息完全可以體現(xiàn)該罪的保護(hù)法益，即國(guó)家有關(guān)信用卡信息的管理秩序和個(gè)人的信用卡信息安全。

2.侵犯公民個(gè)人信息罪的行為對(duì)象

侵犯公民個(gè)人信息罪的行為對(duì)象是公民個(gè)人信息。對(duì)于“公民個(gè)人信息”的定義，我國(guó)《刑法》《刑法修正案(七)》《刑法修正案(九)》均未規(guī)定。2013年最高人民法院、最高人民檢察院、公安部發(fā)布的《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》(以下簡(jiǎn)稱(chēng)“三部門(mén)《通知》”)、2016年通過(guò)的《網(wǎng)絡(luò)安全法》及2017年最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》對(duì)于“公民個(gè)人信息”做出了具體的規(guī)定。

縱觀三部門(mén)《通知》、《網(wǎng)絡(luò)安全法》、《解釋》對(duì)于“公民個(gè)人信息”的定義，三者均采取了識(shí)別型和混合型相結(jié)合的定義方式，即同時(shí)采用識(shí)別、概括和列舉的方式對(duì)個(gè)人信息進(jìn)行界定；均將“能夠單獨(dú)識(shí)別”作為個(gè)人信息的特征，即個(gè)人信息要具有識(shí)別性；均列舉“姓名”“身份證件號(hào)碼”“電話號(hào)碼”“住址”等個(gè)人信息種類(lèi)。但三者對(duì)于“公民個(gè)人信息”的定義也有很多不同。第一，相較于三部門(mén)《通知》中對(duì)于“公民個(gè)人信息”的定義，《網(wǎng)絡(luò)安全法》刪去了三部門(mén)《通知》中 “公民個(gè)人隱私”的規(guī)定，不再將 “隱私性”作為公民個(gè)人信息的特征。第二，《網(wǎng)絡(luò)安全法》將“能夠單獨(dú)識(shí)別”的信息擴(kuò)大到“能夠單獨(dú)或者與其他信息結(jié)合識(shí)別”的信息。[12]第三，相較于《網(wǎng)絡(luò)安全法》，《解釋》增加規(guī)定了“自然人活動(dòng)情況的信息”，擴(kuò)大了個(gè)人信息的范圍。第四，相較于三部門(mén)《通知》和《網(wǎng)絡(luò)安全法》，《解釋》增加了“賬號(hào)密碼”“財(cái)產(chǎn)狀況”“行蹤軌跡”三種類(lèi)型的個(gè)人信息。

三、個(gè)人金融信息現(xiàn)行刑法規(guī)定的局限及完善建議

雖然我國(guó)現(xiàn)行《刑法》規(guī)定了竊取、收買(mǎi)、非法提供信用卡信息罪和侵犯公民個(gè)人信息罪，但單靠這兩個(gè)罪名無(wú)法規(guī)制實(shí)踐中復(fù)雜多樣的侵犯?jìng)€(gè)人金融信息的犯罪行為。

關(guān)于個(gè)人金融信息的刑法規(guī)定模式，大陸法系國(guó)家采用刑法典的規(guī)定模式。如德國(guó)《刑法》第十五章 “侵害私人生活和秘密”規(guī)定了一些與個(gè)人信息犯罪相關(guān)的罪名。英美法系國(guó)家多采用附屬刑法的規(guī)定模式，如美國(guó)在《金融隱私權(quán)法》《公平信用報(bào)告》《金融服務(wù)現(xiàn)代化法》《公平正確信用交易法》中制定了針對(duì)侵犯?jìng)€(gè)人金融信息的刑法條文。我國(guó)《刑法》關(guān)于個(gè)人金融信息的規(guī)定模式，可以借鑒其他國(guó)家的刑法規(guī)定模式，采取刑法典和附屬刑法相結(jié)合的模式。

筆者建議在《刑法》第三章第四節(jié)“破壞金融管理秩序罪”中增設(shè)“侵犯?jìng)€(gè)人金融信息罪”，具體條文可設(shè)計(jì)為：“非法提供、非法獲取或者非法使用個(gè)人金融信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處罰金。情節(jié)特別嚴(yán)重的，處三年以上有期徒刑，并處罰金。金融機(jī)構(gòu)的工作人員犯前款罪的，依照第一款規(guī)定從重處罰?！辈⒃谙鄳?yīng)的經(jīng)濟(jì)法律中規(guī)定刑法規(guī)范。理由在于：

其一，我國(guó)現(xiàn)行《刑法》規(guī)定的竊取、收買(mǎi)、非法提供信用卡信息罪，無(wú)法有效規(guī)制侵犯其他個(gè)人金融信息的犯罪行為。因?yàn)楦`取、收買(mǎi)、非法提供信用卡信息罪的行為對(duì)象是信用卡信息資料，信用卡信息資料屬于個(gè)人金融信息的一種，個(gè)人金融信息除了信用卡信息資料，還包括金融交易中的其他金融信息，如保險(xiǎn)公司、證券公司、基金管理公司、網(wǎng)貸公司、擔(dān)保公司等掌握的個(gè)人金融信息。對(duì)于竊取或者以其他方法非法獲取保險(xiǎn)公司、證券公司、基金管理公司、網(wǎng)貸公司、擔(dān)保公司等所掌握的個(gè)人金融信息的行為，我國(guó)現(xiàn)行《刑法》沒(méi)有規(guī)定，但是，這種行為的社會(huì)危害性與竊取或者以其他方法非法獲取他人的信用卡信息資料的社會(huì)危害性是一樣的，故有必要通過(guò)增設(shè)“侵犯?jìng)€(gè)人金融信息罪”對(duì)這種行為進(jìn)行刑法規(guī)制。

其二，我國(guó)現(xiàn)行《刑法》規(guī)定的侵犯公民個(gè)人信息罪，同樣無(wú)法有效規(guī)制侵犯其他個(gè)人金融信息的犯罪行為。雖然個(gè)人金融信息屬于個(gè)人信息，個(gè)人金融信息是個(gè)人信息的下位概念，但是個(gè)人金融信息又不同于個(gè)人信息，個(gè)人金融信息具有自身特征。個(gè)人金融信息必須是發(fā)生在金融活動(dòng)中的信息，而個(gè)人信息不需要發(fā)生在金融活動(dòng)中。個(gè)人金融信息的安全不僅關(guān)系個(gè)人信息，也關(guān)系金融管理秩序。然而，侵犯公民個(gè)人信息罪的主要保護(hù)法益是公民的人身權(quán)利、公民個(gè)人的信息安全，次要保護(hù)法益是公民的財(cái)產(chǎn)安全、公共信息安全，該罪的保護(hù)法益不包括金融管理秩序。隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，個(gè)人金融信息更加容易被獲取，侵犯?jìng)€(gè)人金融信息的行為方式也越來(lái)越多樣化，然而許多行為是侵犯公民個(gè)人信息罪所無(wú)法規(guī)制的，如對(duì)于合法獲取他人金融信息后再非法使用的行為，就無(wú)法按照侵犯公民個(gè)人信息罪予以定罪量刑。[13]因此，有必要通過(guò)增設(shè)“侵犯?jìng)€(gè)人金融信息罪”對(duì)復(fù)雜多樣的侵犯?jìng)€(gè)人金融信息行為進(jìn)行刑法規(guī)制。