当前位置:首页 >  观点观察 >  规制非法利用个人金融信息行为的尺度

规制非法利用个人金融信息行为的尺度
时间:2018-07-16



李振林   华东政法大学法律学院副院长﹑副教授

随着金融交易日益信息化,金融信息这一新兴名词随之出现。个人金融信息是指与公民个人开展金融活动相关的信息,包括因交易、监管、征信等活动而产生、采集的金融交易信息等。相对于一般的个人信息,个人金融信息除了具有个人信息的一般特性外,还具有其自身的突出特性,如因发生在金融活动中而具有显著的经济性、具有相当的信用性等。因此,对个人金融信息的刑法保护实际上也有其自身的突出特点。有鉴于此,我们需要特别突出对个人金融信息的保护。

个人金融信息主要包括三方面的内容:一是身份信息,包括姓名、性别、出生年月日、家庭住址、电话号码、身份证号等,信用卡用户或与银行有信贷关系的用户的身份信息还包括职业、本人月收入、文化程度、其他联系人等个人信息;二是交易信息,是指在与银行交易的过程中形成的个人信息,包括存款账号、存款数额、银行卡账号、卡片有效期、交易金额、交易类型、特约商户编号、取款机POS号等;三是信用信息,是指与个人的借贷还款情况有关的信用状况。

金融信息化大大提高了相关机构或个人对金融信息的收集、处理、存储能力,并使得金融信息成为金融市场交易的物质和技术基础,个人金融信息安全与个人财产安全的关联度日益显现,个人金融信息安全也逐渐成为个人信息安全甚至是国家信息安全的重要方面。与此同时,不当泄漏、查阅、擅自篡改、损毁、出售、非法提供、非法使用、盗窃个人金融信息等非法利用个人金融信息现象频频发生,其不但严重侵害了公民的隐私权和财产权,也破坏了金融管理秩序甚至威胁到了国家安全。

对于近年来愈演愈烈之非法利用个人金融信息现象,我们在个案的推动和舆论的裹挟下,习惯性地遵循了从严从重从快打击某种“严重危害”社会现象的固有思维,无论是刑事立法抑或刑事司法,均对非法利用个人金融信息行为进行了较为严厉甚至严苛的规制。《刑法修正案(九)》明显加大了对非法利用个人金融信息行为的惩治力度:一是扩大了出售、非法提供公民个人信息行为的犯罪主体范围,将原来规定的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”特殊主体扩展为一般主体,并对这些履行职责或者提供服务的人实施该罪予以从重处罚;二是降低了出售、非法提供公民个人信息行为的入罪要求,将原先规定的“违反国家规定”修订为“违反国家有关规定”;三是降低了非法获取公民个人信息行为的入罪要求,将原先“情节严重”的入罪规定予以删除;四是提高了侵害公民个人信息犯罪的法定刑,将原先的法定最高刑由三年有期徒刑提高为七年有期徒刑。由此,加大了对非法利用个人金融信息行为的刑法规制力度。

然而,我们一味强调从严从重从快打击某种“严重危害”社会现象的行为,往往会忽视对刑法规制力度和广度的适当控制与把握,以至于可能阻滞某些社会经济活动的正常运转和发展,浇灭社会创新的星星之火,甚至剥夺公民的应有权利和自由。虽然规制非法利用个人金融信息行为的相关刑事立法已暂时尘埃落定,但问题不能就此终结。我们在动用刑法规制非法利用个人金融信息行为过程中,应当特别注意刑罚扩大化的趋势,注意把握好刑法规制之限度。

 

个人金融信息保护与信息披露的冲突与制衡

由于个人利益与国家利益、社会利益的不完全一致,因而出于对国家利益、社会利益等因素的考虑,各国在保护个人金融信息的同时,也确立了相关的例外规则,即信息披露原则。该原则实际上与个人金融信息的保护存在一定程度的冲突。在现代社会,个人金融信息作为信息社会的基本资源,不可避免要对其进行开发利用,故而在个人金融信息保护与信息流通之间就时常会出现冲突。个人金融信息保护与信息披露的冲突与制衡实际上决定了刑法对非法利用个人金融信息行为的规制限度。

个人金融信息保护与信息披露在社会生活的很多方面均存在着不同程度的冲突,其中最为剧烈也最为主要的冲突体现为以下三个方面。第一,个人金融信息保护与信用征信的冲突。个人信用信息是个人金融信息的重要组成部分。个人信用信息流动的过程就是收集、加工和处理个人信用信息的过程,而在此过程中,个人的信用信息一直处于被利用或披露的状态,也难免招致各种泄露。这种利用或披露并使信用信息招致泄露的过程实际上就与个人金融信息保护存在一定程度的冲突。第二,个人金融信息保护与反洗钱的冲突。金融机构反洗钱措施与个人金融信息保护的冲突主要体现在:对个人金融信息的保护要求银行履行其保密义务,不得随意披露客户的个人金融信息,但出于维护公共利益的考虑,又要求银行在客户的金融交易有可能涉及洗钱犯罪时对可疑的交易信息必须进行披露。由此就不可避免地产生了银行对个人金融信息保护义务与因反洗钱而产生的信息披露义务之间的冲突。第三,个人金融信息保护与跨国银行并表监管的冲突。在金融全球化、一体化、自由化和集团化的趋势下,为了避免对跨国银行监管漏洞危及整个国际金融体系的稳健,各国纷纷提出了并表监管原则。然而,在信息传输过程中,难免会泄露或披露银行客户的个人金融信息,由此也就难免会使得个人金融信息保护与跨国银行并表监管之间产生冲突。

解决权利冲突、明晰权利边界的过程其实就是一个价值选择的过程,同时也是一个对存在冲突的利益进行制衡的过程。笔者认为,为了实现个人金融信息的保护与信息披露之间权益关系的制衡,协调其相互冲突的价值,至少应当遵循以下两个原则。第一,利益相互协调原则,即当个人金融信息利益与其他利益发生冲突时,应综合考虑、衡量各方主体利益,根据利益的大小决定权利的配置。第二,信用信息流通原则,即我们在保护个人金融信息的同时,必须秉持信用信息流通原则,尽可能地避免阻碍信用信息的共享和流通。

 

非法利用个人金融信息行为之刑法规制原则

个人金融信息保护与信息披露的冲突与制衡实际上要求对非法利用个人金融信息行为的刑法规制不能肆意而为,而必须保持一定的限度﹑遵循一定的原则,如此方能实现个人金融信息保护与经济社会发展的协调。具体而言,笔者认为,非法利用个人金融信息行为的刑法规制应遵循以下两个原则。

第一,不得侵犯公民个人合法权益。国家对个人金融信息的利用必然会在某种程度上对个人的权益造成损害,但为经济发展和社会进步考虑,个人的权益也必须在某种程度上作出牺牲。当然,这种牺牲也是有一定限度的,在这种牺牲以法律的形式予以固定之后,司法中就不再允许以维护国家利益或公共利益为由,肆意侵犯公民个人合法权益。对公民个人金融信息的刑法保护亦应如此。因此,我们在动用刑法对非法利用个人金融信息行为进行规制时,应严格遵循不能侵犯公民个人合法权益的原则。具体而言,遵循不能侵犯公民合法权益的原则需注意以下两个方面。一是不能将合理利用金融信息的行为认定为犯罪。例如,在信息主体明确同意披露的对象、范围和内容的情况下,利用个人金融信息就属于合理利用。只要在此限度内利用个人金融信息,就绝对不能用刑法加以规制,否则即可能侵害个人合法权益。二是不能将利用金融信息的民事侵权或行政违法行为均认定为犯罪。使用个人金融信息的个人和机构违法获取个人金融信息,或者非法使用个人金融信息及未采用合理金融信息保密措施给他人造成损失的,并不一定就要承担刑事责任。如果仅有很小的社会危害性,如对金融信息所有人造成的影响较小、没有引起社会秩序的混乱等,那么就仅需承担民事赔偿责任或行政违法责任。只有当非法利用个人金融信息行为具有严重社会危害性的情况下,方可追究其刑事责任。

第二,不能阻滞金融信息的合理使用与传播。对个人金融信息刑法保护必须考虑的问题是如何既能实现对个人金融信息的适度保护,又能充分发挥金融信息流动对金融市场的积极作用。笔者认为,遵循不能阻滞金融信息的合理使用与传播的刑法规制规则,应注重平衡个人金融信息保护与信息披露制度的关系,对个人金融信息的合理使用与传播范围应考虑法律授权、目的正当、客户同意、过程适当等因素。

 

非法利用个人金融信息行为刑法规制具体标准的限定

根据上述规则的要求,应对非法利用个人金融信息行为的刑法规制进行限制,在规制这类行为时应注意把握好行为和情节这两个方面的标准。对这两个标准的限定,决定了非法利用个人金融信息行为的刑法规制限度。只有当非法利用个人金融信息行为同时符合这两个标准时,方可将其纳入刑法规制范畴。正如前述,现行刑法当中能够规制非法利用个人金融信息行为的罪名主要是《刑法》第253条之一规定的侵犯公民个人信息罪。因此,对非法利用个人金融信息行为刑法规制具体标准的限定,主要落实到对侵犯公民个人信息罪的具体适用标准的限定上。

第一,对行为标准的限定。并非所有非法利用个人金融信息行为均是犯罪行为,非法利用个人金融信息行为构成犯罪,首先应具有一个行为标准方面的要求,即这里的“非法利用”有其独特的内涵和外延。对此内涵和外延的界定,就决定了非法利用个人金融信息犯罪的边界。笔者认为,非法利用个人金融信息行为中的“非法利用”,是指在“信息收集→信息传输→信息利用”的全部过程中实施的未经他人许可,对他人金融信息进行不当使用的行为,包括出售、提供给他人或自己使用等行为。对于“出售”的限定,应注意《刑法》第253条之一规定的侵犯公民个人信息罪仅将“违反国家有关规定”的“出售”行为纳入刑法规制范畴。因此,应将合法出售公民个人金融信息的行为排除于“非法利用”行为中的“出售”。在对非法“提供”行为进行认定时,应从公民个人私益的角度出发,以是否严重侵犯公民个人信息权来进行认定。

第二,对情节标准的限定。基于我国法律体系的特殊性,相同的行为类型既可以是犯罪行为也可以是违法行为,故而需要通过行为程度来区分罪与非罪,而判断行为程度的重要标准之一即为情节。“情节严重”的限定或设置对于非法利用个人金融信息行为刑法规制的限定具有不可忽视的积极意义。笔者认为,在限定非法利用个人金融信息犯罪中的“情节严重”时,可以从行为次数、行为手段、信息数量、损坏结果、主观内容等方面进行。