数字经济系列|马上消费研究院:数字时代个人金融信息的法治保障

  摘要:《个人信息保护法》为个人金融信息处理提供了全面的法律保障,但在数字时代的个人金融信息保护需求对现行相关制度以及金融机构的个人金融信息保护管理能力都带来了挑战。马上消费研究院认为,在数字时代,个人金融信息保护需要转型升级,法律需要明确信息和数据的权属,对个人金融信息实行特别保护,完善事中和事后保护机制等。

  关键词:数字时代;个人金融信息;法治进路

  近年来,我国金融监督管理部门高度重视个人金融信息保护工作。2011年,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》首次明确规定了“个人金融信息”的概念及范围,并确立了个人金融信息的使用原则和基本保护框架。2016年,《中国人民银行金融消费者权益保护实施办法》对个人金融信息保护作了较为全面的规定。2018年,中国银行保险监管管理委员会发布了《银行业金融机构数据治理指引》。2019年,中国人民银行又起草了《个金融信息(数据)保护试行办法》(征求意见稿),使得个人金融信息的保护受到社会各界高度关注。2021年,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第28条将“金融账户”等重要信息归类为敏感个人信息加以保护,推动了个人金融信息保护迈入新阶段。个人金融信息一般是指个人在银行、证券公司、信托投资公司以及保险公司等金融机构有关交易记录以及因此提供的个人资料,包括个人的银行卡及信用卡账号、存取款情况、贷款和还款情况、信用消费和支付情况,以及证券交易账号、所持证券品种及交易记录,信托产品及交易记录,所投保险及保险费缴交情况、保险金额、保单价值等。 随着个人金融信息利用行为所隐含的技术风险增长,个人金融信息在技术迭代中被侵犯的事件也屡屡出现。同时,金融消费者在维护金融信息权益时,面临信息不对称致使同意有效性降低等诸多问题。

  一、数字时代个人金融信息法治保障新难题

  数字时代个人金融信息已成为关键生产要素和重要竞争手段,深刻改变着市场竞争的性质和方式,同时也带来了法治保障的新难题。

  (一)信息泄露、数据垄断与数据不正当竞争

  事实上,当人类社会逐渐进入信息化和数字化后,数据因其规模性、多样性特点,很容易被数据寡头利用从而垄断特定行业。数据垄断并不仅仅是对数据本身的垄断,多数情况下指的是“基于数据的垄断”,是通过对数据的收集、挖掘、使用等实现垄断市场、垄断消费者、垄断产品。从数据到信息之间,需要经过数据的收集、处理、存储、分析过程,提升数据集中度可提升数据生产效率,相关企业会在数据的总量、类型、处理分析能力、应用开发等层面展开激烈竞争,数据的集中将是行业发展的必然趋势。数据垄断的危害性主要体现在数据壁垒方面,表现为拥有数据及相关的算力和算法的企业可以产生市场力量,通过“使用者反馈”与“获利反馈”使企业数据收集能力不断自我增强,造成各数据收集者之间的数据鸿沟越来越大,而其他企业没有替代性的数据或者无法获得相关数据,从而形成一种市场壁垒。网络经济是一种典型的规模经济,互联网平台作为商业模式要追求规模,所以平台与平台之间的竞争是体系化的竞争。当实现以上目标,营销的精准化就会成为必然。营销的精准化包括两个层面,即推荐的精准化和定价的精准化。推荐的精准化对于不少消费者来说,可以带来便利,但是定价的精准化就变成“大数据杀熟”,或者说基于数据画像实施差别待遇。在数字时代,经营者基于自身掌握大量数据的优势而实施的市场行为,如果妨碍到市场竞争和社会福利,就可能被认定为垄断行为。

  (二)指纹、面部等生物认证信息被大量收集

  中国消费者协会发布的《100款APP个人信息收集与隐私政策测评报告》,显示测评的100款应用程序(APP)中,10款APP涉嫌过度收集个人生物特征信息。我国《网络安全法》规定了“谁收集、谁负责”的原则,并规定收集个人信息须经被收集者同意,其中包括个人生物特征信息。但对于收集相关信息主体需要提供何种程度的保护力量、如何评估与公开、公民个人敏感信息的保护层级、具体保护措施等关键问题,目前均尚未制定具强制力的法律规范。2018年5月,全国信息安全标准化技术委员会颁布实施《信息安全技术个人信息安全规范》,作为推荐性国家标准,其中将生物识别信息等明确归为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等”的个人敏感信息。如清华法学院教授劳东燕所说“人脸数据一旦泄露就是终身泄露”,因为人脸信息具有直接识别性、方便验证性、易采集性、独特性、难更改性。人脸信息不同于普通的数字信息,人脸信息是一种典型的个人生物信息,一旦泄露无法更改,而且造成的损失也是不可逆的,几乎没有补救措施。

  (三)个人信息保护与数字金融发展的难衡平

  《个人信息保护法》第1条开宗明义地规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”这一规定既表明了该法的立法依据,同时指明了这部法律的立法目的,即通过规范个人信息处理活动,达致保护个人信息权益;同时促进个人信息的合理利用,也是该法的重要目的之一。法律对于个人信息和隐私保护的立场完全不同,《个人信息保护法》虽然被称为保护法,但对个人信息的保护并非如同对隐私的保护。隐私是要保护人的私密空间、私密活动、私密信息等私人生活的安宁不被破坏,强调维护隐私的“私密性”;个人信息的主要价值在于社会交往的可识别性,其功能定位于正常社会活动和社会交往的基础,个人信息在社会交往中发挥着个人与他人及社会的媒介作用。简单地讲,信息不是为了保护而存于世间的,相反恰恰是为了利用。个人信息数据的经济价值和公共价值日益凸显,成为数字经济发展的重要原料。与此同时,受利益驱使,利用数字技术随意收集、违法获取、过度使用、非法买卖个人信息,甚至利用个人信息侵害人民群众生活安宁、生命健康和财产安全等问题日益突出。虽然近年来我国个人信息保护力度不断加大,但与实践需求相比,此前法律规定比较分散、针对性不强,仍有较大完善空间。系统应对数字经济发展带来的新挑战,切实统筹个人信息保护与利用,成为个人信息保护法立法的重要任务。

  (四)金融消费者存在信息与专业知识的双重劣势

  部分金融消费者由于金融专业知识不足、信息不对称、风险承受能力有限等原因,在金融活动中处于相对弱势地位。互联网金融野蛮生长,部分网贷打着金融创新的旗号,侵犯金融消费者权益。因此,加强金融消费者权益保护,是维护金融稳定和社会稳定的内在需求,也是金融业健康长远发展的坚实基石。相比一些行业领域,金融的专业性、复杂性更强,金融消费者权益保护工作具有一定特殊性。为此,我国出台了有关金融消费者权益保护办法等,提高违法违规成本,提升金融消费者权益保护有效性。但应看到,金融科技快速发展给金融消费者保护带来新的挑战,发展日新月异在一定程度上导致金融欺诈行为更具隐蔽性。因此,应进一步加强监管,通过完善制度设计和执行,进一步做好消费者权益保护。一方面,应该通过修改完善制度细则、发布窗口指导和风险提示等,支持金融机构良性创新,提升金融服务效率和能力;另一方面,也应加大监管力度,督促金融机构、互联网平台严格按照法律规定开展业务,妥善保护好金融消费者合法权益。

  二、数字时代个人金融信息保护的规范掣肘

  (一)个人金融信息规范体系的缺陷

  总体而言,有关个人金融信息保护的法律规范存在明显不足。《民法典》第111条规定“自然人的个人信息受法律保护”,确立了金融企业“依法取得”和“确保信息安全”的宏观义务,并以“不得非法买卖、提供和公开个人信息”等规定限制金融企业对金融信息的处理行为。《民法典》第111条对信息保护的规定较为模糊,未进一步明确界分“个人信息”与“金融信息”这类敏感信息。《民法典》第1033条本质上是对信息的分类,列举了信息权侵权行为,却未对金融等特定领域作出规定。《民法典》第1034条再次强调个人信息受法律保护,并列举了个人信息的类型,其中许多属于金融活动过程中必定涉及的信息。根据该条,个人的私密信息适用有关信息权的规定,没有规定的可以适用有关个人金融信息保护的规定。2021年8 月20日全国人大常委会公布《个人信息保护法》,其中第28条将敏感个人信息定义为“容易导致自然 人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,该定义涵盖了“金融账户”,确立了 “特定目的”、“充分必要性”和“采取严格保护措施”为基准的敏感个人信息处理三要件,但仍需通过司法解释进一步明确什么是金融信息以及信息保护的法律路径。此外,《个人信息保护法》《商业银行法》《反洗钱法》《银行业监督管理法》《消费者权益保护法》等有关个人金融信息的法律虽然都有对个人金融信息保护的相关规定,但是这些规定却也存在着对个人金融信息保护的具体化不足及目标性不明确等问题,难以为个人金融信息提供严密的保护。

  (二)个人金融信息监管机制的失灵

  目前,我国没有明确的个人金融信息保护监管部门,虽然一些部门规章或规范性文件对保护个人金融信息做了一些规定,但个人金融信息保护层面依然缺乏足够的重视,存在监管交叉或监管真空的情况,为中下游的不少乱象提供了土壤。更关键的是,我国没有较高层级监管机构来统一监管个人金融信息保护工作,金融监管部门、司法机构与行业协会各自开展监督和管理工作,相互之间的协调机制尚未成熟,没有形成监管合力,监管效率低下,信息共享和工作联动配合有待进一步加强。我国规范个人金融信息的金融法律法规,都是规范持牌金融机构的。非持牌金融机构目前游离于金融监管的范围之外。非持牌而实际上从事金融服务的机构,目前无法直接适用专门的个人金融信息保护规则,对我国当前的分业经营金融体制下个人金融信息的保护也提出了挑战。

  (三)个人信息主体救济机制的缺位

  基于《个人信息保护法》第14条,金融消费者同意处理个人金融信息的,该同意应当由个人在充分知情的前提下自愿、明确做出,并且法律、行政法规对取得单独同意或者书面同意另有规定的应遵从其规定。同时,《民法典》第1038条设置了信息处理者两个“不得”的禁止性条款,但现实生活以其复杂性消解了该条的理想化设定,一系列具有隐蔽性强、成功率高、作案时间长、涉案金额大等特点的金融大案背后都或多或少涉及对个人金融信息的侵害。当消费者因个人信息被侵犯提起诉讼请求时,还往往面临财产损失计算无法可依的困境。作为个人信息的子概念,个人金融信息范围的界定并不清晰,仅中国人民银行制定过的《人民币银行结算账户管理办法》《关于银行业金融机构做好个人金融信息保护工作的通知》《非银行支付机构网络支付业务管理办法》《金融控股公司监督管理试行办法》《金融消费者权益保护实施办法》《个人金融信息保护技术规范》等数部规范性文件,就使用过“银行结算账户信息”“客户信息”“敏感信息”“个人金融信息”“消费者金融信息”等名称,涵盖个人身份、财产、账户、信用、金融交易、借贷以及衍生信息等多个概念。同时,上述规范性文件与银保监会制定的《银行业金融机构数据治理指引》,国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息安全规范》中对金融信息保护对象的规定也不一致。立法的滞后直接致使金融企业获取客户个人金融信息被肆意侵犯,损害金融消费者的合法权益,却难以实现有效救济。

  (四)个人金融信息共享机制的不足

  数据天生有流动的需求,数据在流动中增值。数据不仅仅需要在金融集团内部共享、流动,也需要对外开放、共享、交易、流动。在对个人金融信息能够做到切实、有效、严格保护的基础上,方可放开包括个人金融信息在内的数据的开放、共享甚至交易。个人金融信息中的财务信息以及身份信息,要么高度敏感,要么是个人直接提交的,因此,对个人财务信息的采集与开放、共享、交易,应该采取最严格的授权规则,即纸面方式选择进入规则。当然,由于个人身份信息是个人主动提交的,提交行为本身可以视为一种采集授权。对个人身份信息的开放、共享、交易,也应采取纸面选择进入规则,但对于个人金融信息中的预测信息的开放、共享、交易,则可以采取电子方式选择退出规则。

  三、数字时代个人金融信息保护的法治路径

  随着个人金融信息完成从公共物到风险物的客体性变迁,构建保护个人金融信息的法律制度成为必然选择。例如,《个人信息保护法》构建了以“告知—同意”为核心的个人信息处理规则,保障了个人金融信息主体在信息处理活动中的各项权利,强化了金融企业等个人信息处理者的义务,但仍需进一步完善。

  (一)健全制度规范

  2021年实施的《民法典》,对个人信息保护做出了详细规定,从定义、处理原则、条件和免责事由,到主体权利和与之对应的信息处理者的信息安全保障义务,再到公权力机关及其工作人员的保密义务,构建了一个较为完整的个人信息保护框架。另外,2020年2月央行发布了《个人金融信息保护技术规范》,为金融机构加强个人信息保护的合规建设和金融监管机构的监督、执法工作提供参考。长远地看,个人金融信息保护法律制度应单独制定。一般法律仅规定个人信息保护是商业银行的一项义务,而将个人信息纳入个人隐私权、人格权范畴进行充分必要的立法保护各国都经历了较长时间。如美国1978年在《金融隐私权利法》中将金融个人隐私信息确立为信息主体的 法定权利,并围绕该项权利在其后1999年《金融服务现代化法》和2000年《消费者财务隐私保密最终规则》等一系列法律中进行扩充,实现金融信息全面保护。2010年美国颁布了被称为史上最严监管法规的《多德—弗兰克华尔街改革和消费者保护法》,形成了完整的消费者权益保护体系,并随后在对美国银行、花旗银行、德意志银行屡创新高的天价罚单事件中体现出震慑力。2018年在欧盟生效的《一般数据保护条例》致力于构建个人信息保护新秩序,具有个人信息保护里程碑意义。因此,我国迫切需要制定符合我国国情和数字时代特征的个人金融信息保护规制,确定个人金融信息保护的立法宗旨和原则,对于个人金融信息内涵外延、信息主体权利、责任义务主体、信息管理环节、违法行为惩戒等做出明确规定。应尽快联动修改《中国人民银行法》《商业银行法》《证券法》《保险法》等,明确金融机构保护个人金融信息的义务和法律责任,金融机构更要加强部门内规章立法建设,由此形成以专门法律为核心、其他法律法规相配合、部门规章制度为补充的个人金融信息保护法律体系。

  (二)革新监管理念

  个人金融信息监管机制应当坚持保护与利用协同的理念。传统金融法只强调对个人金融隐私的保密,但数字时代的金融法需要保护与利用并重。从美国金融隐私权保护法的发展历程看,就经历了一个从单纯保密到保护与利用并重的过程。除了美国判例法对银行客户信息的保密之外,在制定法层面上,1978年的金融隐私法对银行雇员披露金融记录、联邦立法机构获取个人金融记录的方式作出了限制。但1999年金融服务现代化法却有了较大改进,该法规定了金融机构在处理消费者及客户的非公开个人信息时,应遵守数据安全保护规则和隐私保护规则,允许金融机构将消费者信息与关联机构分享,但金融机构需要履行通知义务并为消 费者提供选出权。未来我国的个人金融信息保护法应更加注重数据的利用。需要确定监管牵头部门及相应的监管职责,制定统一的监管规程,赋予监管机构必要的法律授权,明确监管标准,采取多种灵活的方式对商业银行机构在个人金融信息保护工作方面进行经常性的指导和提示,不仅要提高对个人金融信息的有效监管,强化金融信息主管部门的监管职能,而且对金融机构违规泄露个人金融信息可采取行政处罚或其他监管措施。细化管理职责,杜绝空白地带和“踢皮球”现象,进一步完善监管体系,促进互联网金融健康有序发展。要建立监管规范和统一的监管标准、业务规范,加强信息披露、非现场监管,加强资金流量管控。

  (三)完善救济机制

  要完善个人金融信息的救济机制。公法救济方面如行政和刑事处罚,它们可以有力地保护个人金融信息安全,能够作为个人金融信息保护的有力救济手段。例如,新《消法》规定侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照相关规定执行;未做规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照;处罚机关还应当记入信用档案,向社会公布。此外,完善相应的民事救济和赔偿机制也是个人金融信息救济机制的重要方面。具体来说,可以设立个人金融信息领域的过错推定责任制度、公益诉讼制度、精神损害赔偿制度,还可规定由金融机构承担有关个人金融信息泄露案件的举证责任。

  (四)重视行业自律

  可以根据个人金融信息的敏感程度建立分级的共享制度,同时强调敏感个人信息的保护,强化各行业金融机构的内部合规控制。金融机构应重点关注以下四个方面:一是加强对相关工作人员的法规知识教育与培训,强化其对个人金融信息的安全意识。组织接触个人金融信息的员工学习关于个人信息保护的法律法规;相关人员在上岗前必须接受培训,并签署对个人金融信息保密的承诺书。二是设置接触个人金融信息的专岗和访问权限,并注重对访问的网络留痕,比如以留存访问记录的方式,对个人金融信息的接收者、变更者以及中间经手人员留下详细的数字化记录,以便为将来出现风险事件后的查询与问责提供证据。三是完善内部的监督和惩罚机制。在金融机构内部,设置个人金融信息安全监督机制,定期进行自查,及时填补危及个人金融信息安全的漏洞;对违反国家、行业和机构内部关于个人金融信息保护相关规定的人员进行严厉处罚,如予以降级或开除等;当员工严重侵害个人金融信息安全时,还应移交司法机构,追究其刑事责任。四是完善技术防护体系,提升个人金融信息的保护能力,比如设置双重密码认证、进行系统监控和实时监测等。

关键词阅读:数字经济系列 马上消费研究院 数字时代

责任编辑:申雪娇 RF13056
精彩推荐
加载更多
全部评论
金融界App
金融界微博
金融界公众号