原文发表于《金融经济》, 2021年第1期。 作者简介:吉克克主,武汉大学法学院经济法专业硕士研究生,研究方向:金融法。 摘要:大数据背景下,本身具备一定财产属性的金融隐私信息经常被金融机构、第三方机构等非法搜集、利用、公开,金融隐私权的法律保护面临诸多时代挑战。我国现行法律、行政法规针对金融隐私权的保护仅制定了原则性的条文,部门规章中的相关条文亦分布零散,金融隐私权的法律保护体系具备较大的完善空间。此外,金融机构内部信息管理机制尚不健全,消费者金融素养也仍待提高。为增强风险控制,促进金融行业健康发展,应当进一步明确金融机构的法律责任,明晰监管部门的职责范围,适当提高金融隐私权的立法层级,增强消费者的金融素养,促进行业自律与政府干预有机结合,建立完善的金融隐私权制度保护体系。 关键词:大数据;金融隐私权;风险控制;制度体系 一、引言 近年来,大数据技术不断应用于各领域,受到了政府部门以及社会公众的广泛关注。基于大数据所实施的技术,必然需要以海量数据作支撑,这些众多的数据中包括了许多隐私数据,因此企业、社会机构等大数据资源掌控者在分析、利用数据时往往会有侵犯公民隐私之虞。IBM公司在深入分析2020年全球500多个组织的数据泄露事件后发现,有80%的事件发生后客户个人信息被泄露”。金融领域是现代经济社会的核心领域之一,在金融交易过程中,金融消费者会向金融机构提供其身份信息、个人财产信息等,金融机构掌握了大量的金融隐私数据。由于金融机构的故意或疏忽、金融隐私信息监管制度的不完善、金融消费者的差异性,金融隐私信息往往容易遭到侵犯。在大数据技术被广泛应用于金融领域的时代背景下,完善金融隐私权制度保护体系具有重要意义。 二、金融隐私权的内涵界定 与时代挑战 (一)金融隐私权的理论解构与内涵界定 隐私权作为一项具体人格权,是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。“隐私权”这一概念首次进入理论视野源于美国的沃伦和布兰代斯在1890年12月发表于《哈佛法学评论》的《隐私权》一文,目前我国《中华人民共和国民法典》(以下简称《民法典》)规定自然人享有隐私权,属于具体人格权的一种。 金融隐私权属于隐私权的一部分,目前学界没有对金融隐私权的内涵界定达成完全一致的意见。张继红(2016年)认为金融隐私权的保护对象不是所有的个人金融信息,而是侧重于保护金融消费者的敏感信息,对于隐私权的侵害主要表现为非法披露和骚扰。黎四奇和苗羽亭(2019年)认为金融隐私权是指个人对其所拥有的金融资产信息、信用信息所享有的控制支配权,是隐私权在金融领域的延伸和扩展。周坤琳(2019年)认为金融隐私权是指金融消费者在接受金融机构的服务或金融产品的过程中,向金融机构提供的个人金融信息,以及在此过程中产生的其他交易信息,消费者对该信息享有不受非法侵害、非法利用的权利。 综上,金融隐私权是隐私权在金融领域的衍生权,是金融消费者在金融交易过程中向金融机构提供资产、信用、交易记录等信息之后,对该信息享有不受非法侵扰、披露、知悉、搜集和利用的控制支配权。金融隐私权既具有人身权的特征,又兼具部分财产权的要素。金融隐私权的客体包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息等,此类信息受到隐私权、姓名权、肖像权等人格权的保护,侵犯了此类信息即侵犯了金融消费者的人格利益,因此金融隐私权具备人身权的基本特征。金融隐私权同时兼具财产属性。一般情况下,隐私权是没有交易价值的,但是金融机构、数据公司、中介机构等在业务扩张的过程中,为了精准营销、充分挖掘潜在的消费者,会存在分析利用金融隐私数据牟利、买卖消费者信息等情形,此类获利行为、买卖行为使金融隐私信息具备了交易价值,因此金融隐私权便拥有了一般人格权所不具备的财产属性。 侵犯金融隐私权的类型主要有以下五种:①金融隐私信息被非法搜集,如金融机构基于格式条款变相强制搜集与业务无关的金融隐私信息;②金融隐私信息被非法二次利用,在金融消费者未明确授权的情况下被用以精准营销等;③金融隐私信息受到非法侵扰,如黑客利用网络技术攻击金融信息系统以窃取金融隐私信息而牟利;④金融隐私信息被非法公开,以不合理的方式披露;⑤金融隐私信息被他人非法知悉,如在消费者未授权的情况下金融机构将数据传输至外包业务机构处。 金融消费者的隐私信息遭受侵犯之后,对于适用金融隐私权还是金融信息权的问题,目前学界尚无定论。金融信息权所指的“信息”包括在金融交易中发生的一切信息,大多信息属于个人敏感信息,且这些信息不是静态的集合体,而是随着金融消费者的变化而不断更新,其保护的权益范围远远大于金融隐私权,除了金融隐私权所保护的隐私信息外,还有一部分信息是个人公开信息,个人公开信息并不在金融隐私权的保护范围之内。因此支持适用金融信息权的学者认为,适用金融信息权更有利于保护金融消费者的权利。 金融信息与金融隐私应是整体与部分、包含与被包含的关系。虽然金融信息权所保护的范围更广,但是在隐私信息遭受侵犯之后,适用金融隐私权进行保护更具针对性。一方面,能够将宝贵且稀缺的司法资源运用到最迫切需要的领域,保护对象更加精准化。另一方面,适用金融隐私权也较为符合我国当前的立法现状,在《民法典》中,隐私权被列为一种具体人格权进行保护,而个人信息权则更多地表现为一种民事权益,并没有被冠以“权利”的字眼。 (二)大数据背景下金融隐私的时代挑战 随着大数据技术在金融领域的加速应用,以及金融行业用户数据的爆炸式增长,金融隐私权保护面临诸多时代挑战,具体表现为以下几个方面: 1.数据应用理念更迭 在纸质数据时代与网络数据时代初期,受数据处理技术手段所限,金融机构等数据持有者并不具备深度挖掘、应用数据的能力。在此阶段数据持有者对数据的应用主要是备案审查、机械式储存、简要分析等,数据应用水平较低,数据持有者主动挖掘、应用数据的意愿并不强。随着大数据等新兴技术不断渗透到现代金融领域之中,数据持有者对金融消费者数据的应用理念产生了潜移默化的更迭,主要表现为凭借持有数据之优势运用算法挖掘潜在消费者、分析金融市场行情趋势、精准营销适当的金融产品等。数据持有者应用数据的积极性更为强烈,数据应用理念产生了根本性变化。数据应用理念更迭、数据应用水平提升的同时,金融隐私权的保护也迎来了更加艰巨的时代挑战。 2.数据资源化 随着大数据技术的应用成熟,大数据俨然已成为企业和社会关注的重要战略资源,许多企业和政府也都成立了大数据中心积极抢占数据资源。由于人们在以往并不具备处理海量数据的能力,因此大量的数据在以前并没有表现出财产价值。但是大数据背景下海量的数据已经是一种公认的宝贵资源,尤其是金融领域各类数据的财产属性较为明显。当数据成为一种资源之后,就更容易成为违法犯罪的对象,尤其是在法律缺位、违法成本较低之时。 3.数据采集方式多样化 随着金融机构的业务网络化、电子化程度普遍提高,金融消费者的绝大部分信息已实现电子化。因利益驱动或市场需要,金融隐私违法犯罪各方主体不断发展数据采集技术,使得采集数据的途径、方式增多。除了实时文件采集、基于ELK的日志采集等文件采集方式外,借助于网络爬虫或网站公开API获取数据的方式也逐渐进入公众视野。数据采集的方式增多,治理难度也随之增大。 4.数据储存介质多元化 大数据背景下,数据储存介质呈现出多元化的态势,使得数据治理的难度更大。首先,云技术日趋完善,云空间为大数据提供了储存空间,云处理过程也产生了部分大数据。其次,包括金融公司在内的众多企业所采用的基于MPP架构的新型数据库集群,具有高拓展性、低成本的特点,较之于传统数据库有着显著的优越性。最后,基于Hadoop的技术扩展和封装、大数据一体机等,解决了传统关系型数据库难以存储和计算非结构化数据的难题,数据储存更加便利。数据储存介质的多元化使得数据的传导路径增多,导致数据泄露的可能性更大,任意一种储存介质只要被攻破就会置数据于风险之中。大数据技术在从任意储存介质中获取数据时都会存在不同程度的泄露数据的可能性,数据治理的挑战较以往更为艰巨。 5.数据分析技术更先进 大数据技术出现之前,数据分析技术滞后使得数据无法发挥其功能,数据持有者即使拥有资源也缺乏运用能力。大数据技术出现之后,数据持有者分析数据不再限于抽样调查的困局,已然具备了对所有数据进行分析处理的能力。成熟的可视化技术使得传达和沟通信息更加便利,数据挖掘算法通过创建数据挖掘模型能够对数据进行深度剖析。预测性分析技术将统计分析、实体分析等多种高级分析功能进行结合,能够分析出金融消费者的投资偏好,从而不断通过APP、网页、短信等多种渠道向金融消费者发送其产品信息使消费者陷入“信息茧房”之中,形成错误投资决策,从而导致其财产损失。 三、金融隐私权法律保护制度 的比较分析 (一)国外金融隐私权制度保护体系 金融隐私权保护问题不是我国独有的,在大数据时代,国外金融消费者的金融隐私信息也屡遭侵犯。例如,2018年5月,加拿大蒙特利尔银行和帝国商业银行被网络黑客攻击,致使两个银行约9万名金融消费者的个人信息被窃取。为强化风险控制,西方国家制定了诸多详细的法律以保护金融隐私权,尤其是以英国和美国为代表的英美法系国家,其金融隐私权立法保护经验对我国金融隐私权法律体系搭建具有一定的借鉴意义。 1.英国首开金融隐私权保护先河 金融隐私权这一概念进入公众视野,始于1924年英国的“图尔尼尔”案。原告图尔尼尔在被告首开银行设立了账户,后因未按时履行分期付款协议,被告告知了原告雇主此情况,导致雇主不愿与原告续签劳务合同。最终,英国法院援用“默示条款”理论,认定被告首开银行侵犯了原告的金融隐私权,应承担责任。由此英国开启了现代金融隐私权保护的先河。我国1992年才在《储蓄管理条例》中规定金融机构的保密义务,比英国晚了半个多世纪。 英国的金融隐私权保护主要援引《数据保护法》和《消费信贷法》两部法律。尤其是《数据保护法》,较为详细地规定了机构获取、应用客户数据时应尽的义务。相较于我国,英国关于金融数据保护可援引的法律层级较高。我国目前仍缺乏法律层面的数据保护立法,金融数据保护主要依靠中国人民银行、银保监会、工业和信息化部、信息安全标准化技术委员会等发布的部门规章、国家标准等。由于立法层级较低,使得我国金融隐私权保护难以引起重视。 2.美国专门立法保护 大数据技术在美国金融行业应用较为广泛。花旗银行利用IBM沃森电脑为其客户推荐相关的产品,而这些推荐都是基于庞大的用户数据测算得出,精准度不亚于银行专业的理财师。摩根大通银行运用大数据技术,在精准分析用户画像后,降低了不良贷款率、转化了提前还款客户,大数据技术在银行发放贷款领域的应用,使得摩根大通在一年内赢得了6亿美金的丰厚利润。 大数据等新兴技术在美国金融领域的广泛应用增加了其保护金融隐私权的难度,为此美国颁布了《金融隐私权法》专门针对金融隐私信息进行保护,该法案立法层级较高、针对性强。我国的金融隐私权制度保护体系与美国相比,既有优势也有劣势。由于大数据、区块链等新兴技术的迅猛发展,为解决新技术带来的新问题,缓解立法滞后的状况,法律法规需要做出快速反应。在我国,相较于部门规章,法律的修订过程更为复杂、耗时更长,更灵活的部门规章能够针对新问题做出快速反应。但是部门规章层级较低、条文分散,亦产生了不易受到重视的问题。 3. 欧盟援引《通用数据保护条例》 欧盟的金融隐私权保护主要援引《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)。GDPR 规定复杂、覆盖面广,管辖范围较大,对数据跨境传输的管控环环相扣、严格限制,对数据的处理以数据主体“同意”为原则,数据主体有“撤回同意权”,偏重于保护用户的数据。我国发布的部门规章、国家标准亦借鉴了GDPR 的部分内容,如国家信息安全标准化技术委员会制定的《信息安全技术个人信息安全规范》,立足于中国实际的同时也结合欧盟的成功经验。总体而言,GDPR 管控范围过宽,过分注重于保护“个人利益”而忽视“商事利益”,可能会抑制金融、互联网等行业的发展,因此借鉴 GDPR 时仍需谨慎。 (二)我国金融隐私权的制度框架 我国当前的金金融隐私权法律保护体系不甚完善,在法律、行政法规的条文中仅做出了原则性的规定,在部门规章中制定了相对较为详细、零散分布的条文,金融隐私权保护的立法层级较低。 1. 法律、行政法规的原则性规定 我国的金融隐私权法律保护始于 1992 年国务院颁布的《储蓄管理条例》,其条款“储蓄机构及其工作人员对储户的储蓄情况负有保密责任”,规定了金融机构的保密义务。其后颁布的多部法律和行政法规也为金融隐私权保护提供了原则性的制度支持。此类原则性规定在实际适用过程中通常难以有效保护当事人的利益。 首先,原则性条款规定一般比较笼统、模糊。《民法典》中仅规定了隐私权,但针对个人信息保护层面仅规定“个人信息受法律保护”,没有明文规定“个人信息权”或“金融隐私权”等权利。缺乏专门条文的明确规定,金融隐私信息保护很难引起金融机构、司法机关的重视。金融消费者提起诉讼请求时,也只能笼统地按照《民法典》提出停止损害、赔偿损失等请求,但对于如何计算损失、损失包括何种款项却无法可依。 其次,法律、行政法规的此类原则性规定主要确立了金融机构的保密义务,并未提及金融消费者的维权途径、事后救济机制。《网络安全法》要求网络经营者在用户同意的基础上承担起维护用户个人信息不受侵犯的义务,然而互联网金融消费者在签订电子合同时,通常不会仔细审查全部条款。当金融隐私信息遭受侵犯时,这些“授权同意”的格式条款往往会成为网络经营者免责的借口,不利于金融隐私权的保护。事后救济机制的法律缺位,将导致金融消费者维权之路面临制度障碍。 再次,法律、行政法规侧重于保护国家秘密和商业秘密,通常弱化对个人隐私信息的保护。《商业银行法》规定银行在职人员不得泄露国家秘密和商业秘密,但没有提及个人秘密。国家秘密涉及国家安全、国家利益,商业秘密具有重要商业价值,对两者做出倾向性保护无可厚非,但不应当因此而忽视对个人隐私信息的保护。若长期遵循此立法逻辑,个人隐私信息的保护将难以引起监管部门、金融机构甚至于金融消费者自身的重视。 最后,司法实践中,审判机关由于对法律、行政法规原则性规定的理解不完全一致,可能导致同案异判。在张威诉吉林银行侵权责任纠纷案和孙旭东诉平安银行隐私权纠纷案中,两案件均是原告诉被告侵犯其央行征信信用隐私,前者采用的民事案由是侵权责任纠纷,后者则是人格权纠纷。采取不同的民事案由,审判机关裁判时就可能会援引不同法律条款,从而导致同案异判,不利于保护金融隐私信息。 2. 部门规章的零散性规定 部门规章中有关金融隐私权保护的条文比法律、行政法规更加具体细致,在金融隐私权保护实践过程中发挥了主要的作用。我国专门规定金融消费者的信息保护始于 2016 年中国人民银行发布的《金融消费者权益保护实施办法》,此办法的发布标志着我国已经开始将金融消费者视为一个特别的保护群体,这对推动金融隐私权保护具有里程碑式的意义。此外,银保监会、工业和信息化部、国务院办公厅等部门发布的规章、指导意见中也包含部分金融隐私权保护的条款。然而,部门规章中保护金融隐私权的条文分布过于分散,金融隐私权保护仍待加强。 首先,由于我国金融监管模式为典型的分业监管,中国人民银行、银保监会、证监会等多个部门均对金融机构有监管职权,且工业和信息化部等部门也具备金融隐私信息监管职权,因此多个部门均能够制定部门规章规范金融隐私信息的保护。实践中,这些部门均制定了至少一部有关信息安全的部门规章。面对如此众多的部门规章,金融机构使用数据时、审判机关判案时以及金融消费者维权时应当如何适用规章成为了难题。多头监管的状况下,假如监管部门间相互推诿或者互相争权,亦会产生监管真空、监管重叠之现象。 其次,随着大数据等新兴技术的发展,制定部门规章时仍存在立法滞后的现象。相比于法律的制定,部门规章具有更强的灵活性,因此当新兴技术面世而法律缺位时,部门规章应当及时修改以调整失衡的法律关系。2020 年 9 月中国人民银行发布的《金融消费者权益保护实施办法》,在 2016 年版的基础上进一步整合了原本零散分布在各项法规中的条款,新增了金融消费者权利,填补了个人金融信息保护的制度空缺。虽然《金融消费者权益保护实施办法》对金融机构的责任规定仍不完善,但已经在较大程度上促进了金融隐私权的法律保护。 四、大数据背景下我国金融隐私权 保护现状及困境 大数据背景下,金融交易方式多样化、便捷化,借助网络平台兴起的互联网金融蓬勃发展,金融机构采集、利用金融消费者数据更加便利,致使金融隐私权保护陷入困境。 我国与金融隐私权紧密联系的各方主体间关系如图一所示,由全国人大、国务院、各监管部门制定法律、行政法规、部门规章,指导金融机构与金融消费者进行金融交易,中国人民银行、银保监会等监管部门同时担任金融交易过程中监管者的角色。金融交易过程中,金融机构为金融消费者提供金融服务,金融消费者则向金融机构提供个人信息。此外,金融机构还可能由于业务外包等因素,向第三方机构提供金融隐私信息。 图1 金融隐私权相关各主体间关系图 在金融隐私信息流动过程中,图1中的任意一方主体若在金融隐私信息管理过程中未尽职责、义务,则金融隐私权就容易受到侵犯。在金融隐私权保护实践过程中,因金融机构信息管理不当、立法者和监管者制定的监管规则不完善、金融消费者自身保护意识弱等因素,往往致使金融隐私权保护陷入困境。 (一)金融机构内部信息管理存在风险 金融机构在金融隐私信息流动的各主体间位于聚焦点,是大数据等新兴技术的直接应用者,许多侵犯金融隐私权的行为都是因金融机构未严格遵守法律规范、内部信息管理不当引起的。大数据背景下,金融机构的内部管理风险主要体现为不正当二次利用消费者金融隐私信息、缺乏严格的保密机制、业务外包导致信息泄露、职工保密意识弱。 1. 金融隐私信息的二次利用 二次利用隐私信息指金融机构在采集、保存消费者信息后,为精准营销其金融产品、催收金融债务,在未经消费者授权或者通过电子格式条款等获得“授权”后,不适当地深度挖掘、利用消费者隐私信息的行为。 在大数据背景下,二次利用金融隐私信息的情形屡见不鲜。在 2020 年的微信公开课上,腾讯公司微信事业群总裁张小龙就提到精准广告和用户隐私是相矛盾的,消费者在获取便利性的同时也缩小了自己的隐私范围。精准广告、精准营销背后的大数据技术,常常侵犯到消费者隐私,致使消费者被大数据“杀熟”。 2019 年 10 月 21 日,中国最大的线上信用卡管理平台——51 信用卡因涉嫌暴力催收而被警方调查,51 信用卡获得用户“授权”后,利用大数据技术爬取消费者通讯录,用于贷后催收。若 51信用卡在未取得银行和消费者的授权的情况下,利用爬虫技术获取金融消费者隐私通讯录,就有触犯非法侵入计算机系统罪的风险,同时也会构成侵犯公民个人信息罪。 2. 缺乏严格的保密机制 金融机构在处理数据的过程中缺乏严格的保密机制。在中国裁判文书网 2017 年发布的徐世勤诉中国工商银行股份有限公司长春开发区支行储蓄存款合同纠纷一案中,因被告未能妥善保管客户的隐私信息,未尽到资金安全保障义务,导致客户信息泄露,致使原告卡内资金损失。最终,法院判决工商银行对徐世勤被盗刷的银行卡数额及此数额产生的银行存款利息承担全部返还责任。2008 年林某出售个人信息案件中,被告人作为银行内部信息技术管理员工,利用能够轻松接触到金融消费者数据的便利,非法提取、复制了 850万条银行的内部存款信息,以及 85 万条电子银行客户信息。通过上述两个案件可以看出,银行等金融机构并没有实施严格的保密机制,所以内部管理人员往往可以快速地收集到用户的账户信息、交易信息。受利益驱动,内部管理人员常常铤而走险,利用在分析数据、维护数据时的工作便利复制、提取出大量的消费者隐私数据。大数据背景下,成千上万条信息能够在数十秒之内被轻易复制,如果缺乏严格的保密机制,只要金融机构保管信息过程的某个环节出现了纰漏,就很容易导致大量的用户信息泄露。 3. 部分业务外包导致信息泄露 近年来,金融行业竞争日趋激烈,金融机构运营成本逐渐上升。在此形势下,金融外包应运而生。金融外包主要包括信息技术外包(ITO)、业务流程外包(BPO)和知识流程外包(KPO)三种方式。信息技术外包使金融机构降低了对IT系统的投入成本,但同时也大大提高了金融消费者数据泄露的风险。系统的掌控权在某种程度上已经转移至系统提供者,金融机构对系统信息的控制力度弱化。业务流程外包后,金融机构必然向第三方提供金融消费者的信息,但是第三方机构质量参差不齐,很难确保金融隐私信息到达第三方后能够得到妥善的保管。知识流程外包即聘请专业人士帮助金融机构进行决策等,现代社会人才流动较快,当专业人士跳槽后,存在诱发道德风险的可能性,金融机构也很难保证其不会利用消费者隐私信息牟利。 4. 职工保密意识不足 银行等金融机构职工的保密意识有待加强,因职工工作疏忽而泄露储户隐私的情况时有发生。2016 年,广州市某公司职员离职后与用人单位产生劳动争议纠纷,用人单位遂要求银行提供该职员在银行三年内的工资入账明细,银行却将三年内该职员账号的全部交易明细(入账、出账)提供给了用人单位。该职员认为银行此举侵犯了其隐私权,遂起诉到法院。最终,广州市南沙区法院判决银行向该职员书面道歉并赔偿 100 元。通过此案可以看出金融机构职工的保密意识并不强。在大数据时代,若金融机构一次性将大量金融隐私数据提供给第三方,第三方就能掌握金融消费者的资产状况、银行流水、资金流向,然后利用数据分析技术推送金融产品,甚至在营销过程中利用掌握的详细信息骗取金融消费者的信任,致使其财产损失。 (二)金融隐私权配套法律不完善 金融交易过程中,立法机构制定的法律、行政法规和部门规章是金融隐私权相关各主体行为的依据,因此完善的制度保护体系是保证金融机构正当进行金融交易、监管部门有序履行职责、金融消费者权益得到有效保护的前提。我国目前尚未形成完善的金融隐私权保护法律体系,各条文零散分布,缺乏事前的预防机制,事后的救济机制也不尽完善,监管部门的职责边界亦不明晰,存在监管重叠、监管真空的现象。 1. 缺乏专门的法律法规 我国将隐私权笼统地作为人格权的一部分进行保护,在一定程度上削弱了对公民隐私权的保护力度,而金融隐私权作为隐私权的一部分,其受到的法律层面的保护则显得更加笼统。我国关于金融隐私权的法律法规条文零散地分布于各法律、行政法规、部门规章之中,虽然在一些部门规章之中规定相对较为细致,但就法律、行政法规层面的立法而言,全国人大及其常委会、国务院并没有出台相配套的法律、行政法规,这与我国目前蓬勃发展的金融行业以及日益严重的金融消费者数据泄露状况是不相适应的。缺乏专门的法律法规,金融隐私权就很难引起重视。 2. 缺乏事前预防机制 纵观我国的金融隐私权立法,仍缺乏事前预防机制来约束金融机构不正当采集、储存消费者金融隐私信息的行为。由于金融隐私信息具有财产属性,其所衍生出的商业价值往往会驱动不法分子非法获取金融隐私信息。在金融隐私信息的收集、加工处理、分析运用、运用完毕后归档等一系列过程中,尚需严格明确金融隐私数据信息的处理办法,形成一套行之有效的事前预防机制,以加强风险控制。 3. 事后救济机制不完善 事后救济机制不完善是我国目前金融隐私权保护的一块重要短板。“无救济即无权利”,若缺乏完善的事后救济机制,则很难保证金融隐私权受到侵犯后消费者权利可以得到有效保护。目前金融隐私权被侵犯后的救济途径只能零散地见于《民法典》等法律中较为模糊的原则性规定,如排除妨害、赔偿损失等,但对于损失的计算方式、赔偿方式等都没有制定细致的条款。在中国人民银行颁布的《金融消费者权益保护实施办法》等部门规章中,事后救济机制也较为笼统而不具体。“排除妨害”“赔偿损失”“予以更正”等法律条文,或许可以解决非金融领域的纠纷,但金融纠纷一般较为复杂,简陋的条文放大了法院的自由裁量权,无法公平、高效地解决金融侵权纠纷,难以让金融消费者在金融隐私纠纷案件中真正感受到公平正义。 4. 监管职责不明晰 我国的法律法规确立了中国人民银行、银保监会、工业和信息化部等的金融隐私信息监管主体地位,但各部门的监管职责仍不明晰,监管重叠、监管真空的现象依旧存在。当金融消费者隐私信息遭受侵犯之后,人民银行、银保监会、工业和信息化部以及地方政府部门等金融监管主体依照现有的法律法规均有监管职责,表面上似乎能够多重保障金融隐私权,实则容易导致各部门间职责分散、职责界定不明晰,金融消费者的利益无法得到实质性的保障。 (三)金融消费者风险意识弱 金融隐私权屡遭侵犯,与金融消费者风险意识较弱也存在一定的关联。我国金融消费者众多,其金融素养、维权意识参差不齐,许多消费者对自身金融隐私信息的保护意识并不强。2019年7月,App 专项治理工作组(受中央网信办、工信部、公安部、市场监管总局委托)发布的存在“无隐私政策”问题的 App 中包括中国银行手机银行。尽管中国银行 App 存在无隐私政策的问题,但是大量的中国银行 App 用户并没有意识到此漏洞的存在,而是盲目授信给中国银行,致使个人信息处于风险之中。在签订金融合同尤其是电子合同的过程中,金融消费者常常盲目信任金融机构,不会仔细审查合同内容或者没有意识到合同内容的含义,导致其随意授予金融机构过分使用金融隐私信息的权利。在后续的维权过程中,用户的“授权”往往会成为金融机构免责的借口,不利于金融消费者维权。 五、大数据背景下金融隐私权保护 的路径选择 大数据背景下,完善金融隐私权保护的关键在于约束、规制金融机构及与其密切联系的第三方机构不正当使用金融隐私信息的行为,规范现有的监管机制,促进行业自律与政府适度干预有机结合。 (一)完善制度保护体系 1. 明确金融机构的法律责任 当前的法律、行政法规和部门规章中,虽然都规定了金融机构的部分权利义务,但却没有完整规定金融机构的法律责任。《商业银行法》规定“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。”条文中提及了金融机构应承担的义务,但是未说明不履行此种义务后所应承担的法律责任。只有在后续条文中明确规定金融机构不履行法律义务后的法律责任,才能对金融机构形成法律层面的震慑力,金融消费者才能依法维权,审判机构在裁判时才能有法可依。 2. 整合制定专门配套的法律法规 现有金融隐私权保护的法律、行政法规、部门规章内容较为分散,并且现有的法律、行政法规也没有专章规定金融隐私权的保护。目前仍缺乏一部专门保护金融隐私权的法律、行政法规。整合现有条文,并考虑大数据等新兴技术所产生的法律问题,制定立法层级较高的法律、行政法规或在其中专章规定对金融隐私权的保护,能够提高监管部门、金融机构的重视度,提高金融消费者的维权意识,促进金融隐私权的保护。整合现有的条文时应当明确其中存在冲突法条的具体应用方式,明确大数据等新兴技术产生法律问题后的救济机制,明确金融机构不履行法律义务所应承担的法律责任,以切实控制风险,解决当前金融领域监管处罚重行政责任而轻民事责任的问题。 3. 建立事后纠纷解决机制 我国现有的制度体系缺乏切实可行的事后纠纷解决机制,金融消费者的利益遭受侵犯之后,救济途径过窄。首先,金融机构应当完善内部投诉处理机制。民事法律关系高度尊重当事人意思自治,如果金融消费者能够通过内部投诉与金融机构协商解决纠纷,不仅能够节省司法资源,更能提高金融效率。其次,虽然《消费者保护法》等法律法规赋予了金融消费者诸多占据优势的权利,但是在实际的金融交易过程中金融消费者仍然处于劣势地位,后续立法应对金融消费者进行倾斜性保护。最后,可以建立金融隐私信息泄露的应急预案制度。爬虫、数据挖掘算法等大数据技术被广泛应用的背景下,金融隐私信息泄露风险剧增,因此应当结合网络攻击、大数据等的特点,出台应急预案制度。 (二)规范监督管理机制 在立法、监管过程中,应当明确金融交易各环节所对应的监管主体及其职责,完善金融信息监管机制,强化对金融外包业务的监管,从而形成规范的监督管理机制。 1. 明确监管主体及其职责 若金融交易过程中金融隐私信息传递的任意环节监督主体不明,则容易造成监管真空、监管重叠。我国目前存在中国人民银行、银保监会、工业和信息化部、消费者协会等多个金融隐私信息侵权的监管主体,各主体间职责不甚明晰。立法机构应当明确金融机构在收集、处理、保存数据过程中对应的监管主体,明确各监管主体的具体职责,避免出现某一环节因监管主体不明确而造成维权困难的情形。同时可以促进监管部门信息公开,让其他监管部门、金融机构、金融消费者知悉各部门对应的监管职责,使得各部门间职责明晰,便于金融机构知悉自身义务及法律责任,便于消费者寻求权利救济。 2. 完善金融信息监管机制 应当建立有中国特色的金融信息监管体制。借鉴国外金融隐私权保护经验可以发现,GDPR(欧盟《通用数据保护条例》)由于过分注重用户数据保护,制约了经济的发展;CCPA(美国《加州消费者隐私法案》)侧重商事利益,对个人信息保护力度尚需加强。在我国金融隐私权保护监管体制不健全的状况下,可以权衡欧美数据保护法案当中的利弊,取其精华去其糟粕,进行适当的借鉴。同时,针对我国目前大数据技术广泛应用、互联网金融逐步发展之现状,改进金融信息监管体制更应当立足于中国实际,督促监管主体积极履行监管职责,促进各监管部门间积极协调配合。 3. 强化对金融外包业务的监管 金融机构间竞争日趋激烈,运营成本逐步上升,促使金融外包行业诞生,而外包机构管理水平参差不齐,易造成金融消费者权益损害,因此金融外包业务的监管亟待加强。各监管主体在制定规章时,应当对金融机构向第三方机构提供金融隐私信息的过程做出严格的限定,明确金融机构不应当提供不必要的金融隐私信息,确有必要提供如信用信息等重要金融隐私信息时,应注意审查第三方机构的信息保护机制是否完善。 (三)提高金融消费者风险意识 我国金融消费者众多、文化水平参差不齐、区域金融素养水平不均衡的现象严重,金融消费者防风险意识亟待提高。2019 年,我国消费者金融素养指数平均分仅为 64.77,城镇居民与农村常住居民在金融知识、技能等方面的表现存在较大差距,金融素养水平在年龄上也依然存在驼峰效应。 在金融产品不断向大众普及的时代,应当关注重点人群和区域的金融素养水平,积极应对大数据等新兴技术带来的时代挑战。监管部门和金融机构可以结合群体特性开展适宜的金融教育活动,通过各类途径宣传金融隐私权保护的法律法规,提升消费者金融素养,提高其风险识别能力、防范风险意识和维权意识,引导金融消费者通过法定途径寻求权利救济。在金融交易过程中,金融机构应当履行信息泄露风险提示义务,使消费者清楚金融隐私信息存在的风险,加强金融消费者对金融隐私信息泄露风险的认识。金融消费者签订合同时,金融机构应当主动告知金融隐私信息的使用范围,不得骗取金融消费者的盲目授权。 (四)行业自律与政府干预有机结合 加强行政部门监管的同时,也应当适度引入社会监管力量,重视发挥行业自律的作用,政府公权力的适度介入与行业自律的有机结合是解决金融隐私权保护困境的有效路径之一。 行业自律具备许多天然优势,如成本较低、具备较强的制度弹性、更有利于培养金融交易主体的诚信意识等。因此,行业自律有助于促进业内合作交流、推动市场发展。同时行业自律也存在信息缺乏透明度、掺杂私利等不足之处,所以需要同政府适度干预有机结合,从而发挥其积极作用。部分行业已经出台了相关自律公约,如中国互联网协会发布的《中国互联网行业自律公约》,但是此公约并没有涉及消费者个人信息保护。在各行业自律公约的修订和完善过程中,应当适当增加消费者个人信息保护的条文。 六、结语 大数据技术的发展为金融隐私权保护带来了诸多时代挑战,为强化风险控制、促进金融行业健康发展,金融隐私权相关各主体均应积极应对挑战。首先,应当进一步明确金融机构的法律责任、监管部门的职责范围,整合现有的金融隐私权保护的法律条文,制定配套的法律、行政法规或在其中专章规定金融隐私权的保护,提高金融隐私权立法层级。其次,应当注重提高消费者的金融素养,强化金融消费者的防风险意识。最后,应当注重发挥行业自律的作用,促进行业自律与政府适度干预有机结合。囿于行文篇幅,本文仅就金融隐私权保护进行了初步探讨。金融隐私权是现代经济社会中的重要权利,积极构建完善的金融隐私权制度保护体系是保护消费者权益、促进金融行业健康发展、维护金融公平的应有之义。金融隐私权保护之路道阻且长,需各方主体共同发力,方能构建完善的金融隐私权制度保护体系。 免责声明: 上文内容仅供天风证券股份有限公司(以下简称“本公司”)的客户使用。本公司不会因为任何机构或个人接收到上文而视其为本公司的当然客户。上文基于已公开的资料或信息撰写,但本公司不保证该等信息及资料的完整性、准确性。客户不应将上文为作出其投资决策的唯一参考因素,亦不应认为上文可以取代客户自身的投资判断与决策。客户应自主作出投资决策并自行承担投资风险。在任何情况下,上文中的信息或所表述的意见均不构成对任何人的投资建议。在任何情况下,本公司不对任何人因使用本文中的任何内容所引致的任何损失负任何责任。市场有风险,投资需谨慎。
原文发表于《金融经济》, 2021年第1期。 作者简介:吉克克主,武汉大学法学院经济法专业硕士研究生,研究方向:金融法。 摘要:大数据背景下,本身具备一定财产属性的金融隐私信息经常被金融机构、第三方机构等非法搜集、利用、公开,金融隐私权的法律保护面临诸多时代挑战。我国现行法律、行政法规针对金融隐私权的保护仅制定了原则性的条文,部门规章中的相关条文亦分布零散,金融隐私权的法律保护体系具备较大的完善空间。此外,金融机构内部信息管理机制尚不健全,消费者金融素养也仍待提高。为增强风险控制,促进金融行业健康发展,应当进一步明确金融机构的法律责任,明晰监管部门的职责范围,适当提高金融隐私权的立法层级,增强消费者的金融素养,促进行业自律与政府干预有机结合,建立完善的金融隐私权制度保护体系。 关键词:大数据;金融隐私权;风险控制;制度体系 一、引言 近年来,大数据技术不断应用于各领域,受到了政府部门以及社会公众的广泛关注。基于大数据所实施的技术,必然需要以海量数据作支撑,这些众多的数据中包括了许多隐私数据,因此企业、社会机构等大数据资源掌控者在分析、利用数据时往往会有侵犯公民隐私之虞。IBM公司在深入分析2020年全球500多个组织的数据泄露事件后发现,有80%的事件发生后客户个人信息被泄露”。金融领域是现代经济社会的核心领域之一,在金融交易过程中,金融消费者会向金融机构提供其身份信息、个人财产信息等,金融机构掌握了大量的金融隐私数据。由于金融机构的故意或疏忽、金融隐私信息监管制度的不完善、金融消费者的差异性,金融隐私信息往往容易遭到侵犯。在大数据技术被广泛应用于金融领域的时代背景下,完善金融隐私权制度保护体系具有重要意义。 二、金融隐私权的内涵界定 与时代挑战 (一)金融隐私权的理论解构与内涵界定 隐私权作为一项具体人格权,是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。“隐私权”这一概念首次进入理论视野源于美国的沃伦和布兰代斯在1890年12月发表于《哈佛法学评论》的《隐私权》一文,目前我国《中华人民共和国民法典》(以下简称《民法典》)规定自然人享有隐私权,属于具体人格权的一种。 金融隐私权属于隐私权的一部分,目前学界没有对金融隐私权的内涵界定达成完全一致的意见。张继红(2016年)认为金融隐私权的保护对象不是所有的个人金融信息,而是侧重于保护金融消费者的敏感信息,对于隐私权的侵害主要表现为非法披露和骚扰。黎四奇和苗羽亭(2019年)认为金融隐私权是指个人对其所拥有的金融资产信息、信用信息所享有的控制支配权,是隐私权在金融领域的延伸和扩展。周坤琳(2019年)认为金融隐私权是指金融消费者在接受金融机构的服务或金融产品的过程中,向金融机构提供的个人金融信息,以及在此过程中产生的其他交易信息,消费者对该信息享有不受非法侵害、非法利用的权利。 综上,金融隐私权是隐私权在金融领域的衍生权,是金融消费者在金融交易过程中向金融机构提供资产、信用、交易记录等信息之后,对该信息享有不受非法侵扰、披露、知悉、搜集和利用的控制支配权。金融隐私权既具有人身权的特征,又兼具部分财产权的要素。金融隐私权的客体包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息等,此类信息受到隐私权、姓名权、肖像权等人格权的保护,侵犯了此类信息即侵犯了金融消费者的人格利益,因此金融隐私权具备人身权的基本特征。金融隐私权同时兼具财产属性。一般情况下,隐私权是没有交易价值的,但是金融机构、数据公司、中介机构等在业务扩张的过程中,为了精准营销、充分挖掘潜在的消费者,会存在分析利用金融隐私数据牟利、买卖消费者信息等情形,此类获利行为、买卖行为使金融隐私信息具备了交易价值,因此金融隐私权便拥有了一般人格权所不具备的财产属性。 侵犯金融隐私权的类型主要有以下五种:①金融隐私信息被非法搜集,如金融机构基于格式条款变相强制搜集与业务无关的金融隐私信息;②金融隐私信息被非法二次利用,在金融消费者未明确授权的情况下被用以精准营销等;③金融隐私信息受到非法侵扰,如黑客利用网络技术攻击金融信息系统以窃取金融隐私信息而牟利;④金融隐私信息被非法公开,以不合理的方式披露;⑤金融隐私信息被他人非法知悉,如在消费者未授权的情况下金融机构将数据传输至外包业务机构处。 金融消费者的隐私信息遭受侵犯之后,对于适用金融隐私权还是金融信息权的问题,目前学界尚无定论。金融信息权所指的“信息”包括在金融交易中发生的一切信息,大多信息属于个人敏感信息,且这些信息不是静态的集合体,而是随着金融消费者的变化而不断更新,其保护的权益范围远远大于金融隐私权,除了金融隐私权所保护的隐私信息外,还有一部分信息是个人公开信息,个人公开信息并不在金融隐私权的保护范围之内。因此支持适用金融信息权的学者认为,适用金融信息权更有利于保护金融消费者的权利。 金融信息与金融隐私应是整体与部分、包含与被包含的关系。虽然金融信息权所保护的范围更广,但是在隐私信息遭受侵犯之后,适用金融隐私权进行保护更具针对性。一方面,能够将宝贵且稀缺的司法资源运用到最迫切需要的领域,保护对象更加精准化。另一方面,适用金融隐私权也较为符合我国当前的立法现状,在《民法典》中,隐私权被列为一种具体人格权进行保护,而个人信息权则更多地表现为一种民事权益,并没有被冠以“权利”的字眼。 (二)大数据背景下金融隐私的时代挑战 随着大数据技术在金融领域的加速应用,以及金融行业用户数据的爆炸式增长,金融隐私权保护面临诸多时代挑战,具体表现为以下几个方面: 1.数据应用理念更迭 在纸质数据时代与网络数据时代初期,受数据处理技术手段所限,金融机构等数据持有者并不具备深度挖掘、应用数据的能力。在此阶段数据持有者对数据的应用主要是备案审查、机械式储存、简要分析等,数据应用水平较低,数据持有者主动挖掘、应用数据的意愿并不强。随着大数据等新兴技术不断渗透到现代金融领域之中,数据持有者对金融消费者数据的应用理念产生了潜移默化的更迭,主要表现为凭借持有数据之优势运用算法挖掘潜在消费者、分析金融市场行情趋势、精准营销适当的金融产品等。数据持有者应用数据的积极性更为强烈,数据应用理念产生了根本性变化。数据应用理念更迭、数据应用水平提升的同时,金融隐私权的保护也迎来了更加艰巨的时代挑战。 2.数据资源化 随着大数据技术的应用成熟,大数据俨然已成为企业和社会关注的重要战略资源,许多企业和政府也都成立了大数据中心积极抢占数据资源。由于人们在以往并不具备处理海量数据的能力,因此大量的数据在以前并没有表现出财产价值。但是大数据背景下海量的数据已经是一种公认的宝贵资源,尤其是金融领域各类数据的财产属性较为明显。当数据成为一种资源之后,就更容易成为违法犯罪的对象,尤其是在法律缺位、违法成本较低之时。 3.数据采集方式多样化 随着金融机构的业务网络化、电子化程度普遍提高,金融消费者的绝大部分信息已实现电子化。因利益驱动或市场需要,金融隐私违法犯罪各方主体不断发展数据采集技术,使得采集数据的途径、方式增多。除了实时文件采集、基于ELK的日志采集等文件采集方式外,借助于网络爬虫或网站公开API获取数据的方式也逐渐进入公众视野。数据采集的方式增多,治理难度也随之增大。 4.数据储存介质多元化 大数据背景下,数据储存介质呈现出多元化的态势,使得数据治理的难度更大。首先,云技术日趋完善,云空间为大数据提供了储存空间,云处理过程也产生了部分大数据。其次,包括金融公司在内的众多企业所采用的基于MPP架构的新型数据库集群,具有高拓展性、低成本的特点,较之于传统数据库有着显著的优越性。最后,基于Hadoop的技术扩展和封装、大数据一体机等,解决了传统关系型数据库难以存储和计算非结构化数据的难题,数据储存更加便利。数据储存介质的多元化使得数据的传导路径增多,导致数据泄露的可能性更大,任意一种储存介质只要被攻破就会置数据于风险之中。大数据技术在从任意储存介质中获取数据时都会存在不同程度的泄露数据的可能性,数据治理的挑战较以往更为艰巨。 5.数据分析技术更先进 大数据技术出现之前,数据分析技术滞后使得数据无法发挥其功能,数据持有者即使拥有资源也缺乏运用能力。大数据技术出现之后,数据持有者分析数据不再限于抽样调查的困局,已然具备了对所有数据进行分析处理的能力。成熟的可视化技术使得传达和沟通信息更加便利,数据挖掘算法通过创建数据挖掘模型能够对数据进行深度剖析。预测性分析技术将统计分析、实体分析等多种高级分析功能进行结合,能够分析出金融消费者的投资偏好,从而不断通过APP、网页、短信等多种渠道向金融消费者发送其产品信息使消费者陷入“信息茧房”之中,形成错误投资决策,从而导致其财产损失。 三、金融隐私权法律保护制度 的比较分析 (一)国外金融隐私权制度保护体系 金融隐私权保护问题不是我国独有的,在大数据时代,国外金融消费者的金融隐私信息也屡遭侵犯。例如,2018年5月,加拿大蒙特利尔银行和帝国商业银行被网络黑客攻击,致使两个银行约9万名金融消费者的个人信息被窃取。为强化风险控制,西方国家制定了诸多详细的法律以保护金融隐私权,尤其是以英国和美国为代表的英美法系国家,其金融隐私权立法保护经验对我国金融隐私权法律体系搭建具有一定的借鉴意义。 1.英国首开金融隐私权保护先河 金融隐私权这一概念进入公众视野,始于1924年英国的“图尔尼尔”案。原告图尔尼尔在被告首开银行设立了账户,后因未按时履行分期付款协议,被告告知了原告雇主此情况,导致雇主不愿与原告续签劳务合同。最终,英国法院援用“默示条款”理论,认定被告首开银行侵犯了原告的金融隐私权,应承担责任。由此英国开启了现代金融隐私权保护的先河。我国1992年才在《储蓄管理条例》中规定金融机构的保密义务,比英国晚了半个多世纪。 英国的金融隐私权保护主要援引《数据保护法》和《消费信贷法》两部法律。尤其是《数据保护法》,较为详细地规定了机构获取、应用客户数据时应尽的义务。相较于我国,英国关于金融数据保护可援引的法律层级较高。我国目前仍缺乏法律层面的数据保护立法,金融数据保护主要依靠中国人民银行、银保监会、工业和信息化部、信息安全标准化技术委员会等发布的部门规章、国家标准等。由于立法层级较低,使得我国金融隐私权保护难以引起重视。 2.美国专门立法保护 大数据技术在美国金融行业应用较为广泛。花旗银行利用IBM沃森电脑为其客户推荐相关的产品,而这些推荐都是基于庞大的用户数据测算得出,精准度不亚于银行专业的理财师。摩根大通银行运用大数据技术,在精准分析用户画像后,降低了不良贷款率、转化了提前还款客户,大数据技术在银行发放贷款领域的应用,使得摩根大通在一年内赢得了6亿美金的丰厚利润。 大数据等新兴技术在美国金融领域的广泛应用增加了其保护金融隐私权的难度,为此美国颁布了《金融隐私权法》专门针对金融隐私信息进行保护,该法案立法层级较高、针对性强。我国的金融隐私权制度保护体系与美国相比,既有优势也有劣势。由于大数据、区块链等新兴技术的迅猛发展,为解决新技术带来的新问题,缓解立法滞后的状况,法律法规需要做出快速反应。在我国,相较于部门规章,法律的修订过程更为复杂、耗时更长,更灵活的部门规章能够针对新问题做出快速反应。但是部门规章层级较低、条文分散,亦产生了不易受到重视的问题。 3. 欧盟援引《通用数据保护条例》 欧盟的金融隐私权保护主要援引《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)。GDPR 规定复杂、覆盖面广,管辖范围较大,对数据跨境传输的管控环环相扣、严格限制,对数据的处理以数据主体“同意”为原则,数据主体有“撤回同意权”,偏重于保护用户的数据。我国发布的部门规章、国家标准亦借鉴了GDPR 的部分内容,如国家信息安全标准化技术委员会制定的《信息安全技术个人信息安全规范》,立足于中国实际的同时也结合欧盟的成功经验。总体而言,GDPR 管控范围过宽,过分注重于保护“个人利益”而忽视“商事利益”,可能会抑制金融、互联网等行业的发展,因此借鉴 GDPR 时仍需谨慎。 (二)我国金融隐私权的制度框架 我国当前的金金融隐私权法律保护体系不甚完善,在法律、行政法规的条文中仅做出了原则性的规定,在部门规章中制定了相对较为详细、零散分布的条文,金融隐私权保护的立法层级较低。 1. 法律、行政法规的原则性规定 我国的金融隐私权法律保护始于 1992 年国务院颁布的《储蓄管理条例》,其条款“储蓄机构及其工作人员对储户的储蓄情况负有保密责任”,规定了金融机构的保密义务。其后颁布的多部法律和行政法规也为金融隐私权保护提供了原则性的制度支持。此类原则性规定在实际适用过程中通常难以有效保护当事人的利益。 首先,原则性条款规定一般比较笼统、模糊。《民法典》中仅规定了隐私权,但针对个人信息保护层面仅规定“个人信息受法律保护”,没有明文规定“个人信息权”或“金融隐私权”等权利。缺乏专门条文的明确规定,金融隐私信息保护很难引起金融机构、司法机关的重视。金融消费者提起诉讼请求时,也只能笼统地按照《民法典》提出停止损害、赔偿损失等请求,但对于如何计算损失、损失包括何种款项却无法可依。 其次,法律、行政法规的此类原则性规定主要确立了金融机构的保密义务,并未提及金融消费者的维权途径、事后救济机制。《网络安全法》要求网络经营者在用户同意的基础上承担起维护用户个人信息不受侵犯的义务,然而互联网金融消费者在签订电子合同时,通常不会仔细审查全部条款。当金融隐私信息遭受侵犯时,这些“授权同意”的格式条款往往会成为网络经营者免责的借口,不利于金融隐私权的保护。事后救济机制的法律缺位,将导致金融消费者维权之路面临制度障碍。 再次,法律、行政法规侧重于保护国家秘密和商业秘密,通常弱化对个人隐私信息的保护。《商业银行法》规定银行在职人员不得泄露国家秘密和商业秘密,但没有提及个人秘密。国家秘密涉及国家安全、国家利益,商业秘密具有重要商业价值,对两者做出倾向性保护无可厚非,但不应当因此而忽视对个人隐私信息的保护。若长期遵循此立法逻辑,个人隐私信息的保护将难以引起监管部门、金融机构甚至于金融消费者自身的重视。 最后,司法实践中,审判机关由于对法律、行政法规原则性规定的理解不完全一致,可能导致同案异判。在张威诉吉林银行侵权责任纠纷案和孙旭东诉平安银行隐私权纠纷案中,两案件均是原告诉被告侵犯其央行征信信用隐私,前者采用的民事案由是侵权责任纠纷,后者则是人格权纠纷。采取不同的民事案由,审判机关裁判时就可能会援引不同法律条款,从而导致同案异判,不利于保护金融隐私信息。 2. 部门规章的零散性规定 部门规章中有关金融隐私权保护的条文比法律、行政法规更加具体细致,在金融隐私权保护实践过程中发挥了主要的作用。我国专门规定金融消费者的信息保护始于 2016 年中国人民银行发布的《金融消费者权益保护实施办法》,此办法的发布标志着我国已经开始将金融消费者视为一个特别的保护群体,这对推动金融隐私权保护具有里程碑式的意义。此外,银保监会、工业和信息化部、国务院办公厅等部门发布的规章、指导意见中也包含部分金融隐私权保护的条款。然而,部门规章中保护金融隐私权的条文分布过于分散,金融隐私权保护仍待加强。 首先,由于我国金融监管模式为典型的分业监管,中国人民银行、银保监会、证监会等多个部门均对金融机构有监管职权,且工业和信息化部等部门也具备金融隐私信息监管职权,因此多个部门均能够制定部门规章规范金融隐私信息的保护。实践中,这些部门均制定了至少一部有关信息安全的部门规章。面对如此众多的部门规章,金融机构使用数据时、审判机关判案时以及金融消费者维权时应当如何适用规章成为了难题。多头监管的状况下,假如监管部门间相互推诿或者互相争权,亦会产生监管真空、监管重叠之现象。 其次,随着大数据等新兴技术的发展,制定部门规章时仍存在立法滞后的现象。相比于法律的制定,部门规章具有更强的灵活性,因此当新兴技术面世而法律缺位时,部门规章应当及时修改以调整失衡的法律关系。2020 年 9 月中国人民银行发布的《金融消费者权益保护实施办法》,在 2016 年版的基础上进一步整合了原本零散分布在各项法规中的条款,新增了金融消费者权利,填补了个人金融信息保护的制度空缺。虽然《金融消费者权益保护实施办法》对金融机构的责任规定仍不完善,但已经在较大程度上促进了金融隐私权的法律保护。 四、大数据背景下我国金融隐私权 保护现状及困境 大数据背景下,金融交易方式多样化、便捷化,借助网络平台兴起的互联网金融蓬勃发展,金融机构采集、利用金融消费者数据更加便利,致使金融隐私权保护陷入困境。 我国与金融隐私权紧密联系的各方主体间关系如图一所示,由全国人大、国务院、各监管部门制定法律、行政法规、部门规章,指导金融机构与金融消费者进行金融交易,中国人民银行、银保监会等监管部门同时担任金融交易过程中监管者的角色。金融交易过程中,金融机构为金融消费者提供金融服务,金融消费者则向金融机构提供个人信息。此外,金融机构还可能由于业务外包等因素,向第三方机构提供金融隐私信息。 图1 金融隐私权相关各主体间关系图 在金融隐私信息流动过程中,图1中的任意一方主体若在金融隐私信息管理过程中未尽职责、义务,则金融隐私权就容易受到侵犯。在金融隐私权保护实践过程中,因金融机构信息管理不当、立法者和监管者制定的监管规则不完善、金融消费者自身保护意识弱等因素,往往致使金融隐私权保护陷入困境。 (一)金融机构内部信息管理存在风险 金融机构在金融隐私信息流动的各主体间位于聚焦点,是大数据等新兴技术的直接应用者,许多侵犯金融隐私权的行为都是因金融机构未严格遵守法律规范、内部信息管理不当引起的。大数据背景下,金融机构的内部管理风险主要体现为不正当二次利用消费者金融隐私信息、缺乏严格的保密机制、业务外包导致信息泄露、职工保密意识弱。 1. 金融隐私信息的二次利用 二次利用隐私信息指金融机构在采集、保存消费者信息后,为精准营销其金融产品、催收金融债务,在未经消费者授权或者通过电子格式条款等获得“授权”后,不适当地深度挖掘、利用消费者隐私信息的行为。 在大数据背景下,二次利用金融隐私信息的情形屡见不鲜。在 2020 年的微信公开课上,腾讯公司微信事业群总裁张小龙就提到精准广告和用户隐私是相矛盾的,消费者在获取便利性的同时也缩小了自己的隐私范围。精准广告、精准营销背后的大数据技术,常常侵犯到消费者隐私,致使消费者被大数据“杀熟”。 2019 年 10 月 21 日,中国最大的线上信用卡管理平台——51 信用卡因涉嫌暴力催收而被警方调查,51 信用卡获得用户“授权”后,利用大数据技术爬取消费者通讯录,用于贷后催收。若 51信用卡在未取得银行和消费者的授权的情况下,利用爬虫技术获取金融消费者隐私通讯录,就有触犯非法侵入计算机系统罪的风险,同时也会构成侵犯公民个人信息罪。 2. 缺乏严格的保密机制 金融机构在处理数据的过程中缺乏严格的保密机制。在中国裁判文书网 2017 年发布的徐世勤诉中国工商银行股份有限公司长春开发区支行储蓄存款合同纠纷一案中,因被告未能妥善保管客户的隐私信息,未尽到资金安全保障义务,导致客户信息泄露,致使原告卡内资金损失。最终,法院判决工商银行对徐世勤被盗刷的银行卡数额及此数额产生的银行存款利息承担全部返还责任。2008 年林某出售个人信息案件中,被告人作为银行内部信息技术管理员工,利用能够轻松接触到金融消费者数据的便利,非法提取、复制了 850万条银行的内部存款信息,以及 85 万条电子银行客户信息。通过上述两个案件可以看出,银行等金融机构并没有实施严格的保密机制,所以内部管理人员往往可以快速地收集到用户的账户信息、交易信息。受利益驱动,内部管理人员常常铤而走险,利用在分析数据、维护数据时的工作便利复制、提取出大量的消费者隐私数据。大数据背景下,成千上万条信息能够在数十秒之内被轻易复制,如果缺乏严格的保密机制,只要金融机构保管信息过程的某个环节出现了纰漏,就很容易导致大量的用户信息泄露。 3. 部分业务外包导致信息泄露 近年来,金融行业竞争日趋激烈,金融机构运营成本逐渐上升。在此形势下,金融外包应运而生。金融外包主要包括信息技术外包(ITO)、业务流程外包(BPO)和知识流程外包(KPO)三种方式。信息技术外包使金融机构降低了对IT系统的投入成本,但同时也大大提高了金融消费者数据泄露的风险。系统的掌控权在某种程度上已经转移至系统提供者,金融机构对系统信息的控制力度弱化。业务流程外包后,金融机构必然向第三方提供金融消费者的信息,但是第三方机构质量参差不齐,很难确保金融隐私信息到达第三方后能够得到妥善的保管。知识流程外包即聘请专业人士帮助金融机构进行决策等,现代社会人才流动较快,当专业人士跳槽后,存在诱发道德风险的可能性,金融机构也很难保证其不会利用消费者隐私信息牟利。 4. 职工保密意识不足 银行等金融机构职工的保密意识有待加强,因职工工作疏忽而泄露储户隐私的情况时有发生。2016 年,广州市某公司职员离职后与用人单位产生劳动争议纠纷,用人单位遂要求银行提供该职员在银行三年内的工资入账明细,银行却将三年内该职员账号的全部交易明细(入账、出账)提供给了用人单位。该职员认为银行此举侵犯了其隐私权,遂起诉到法院。最终,广州市南沙区法院判决银行向该职员书面道歉并赔偿 100 元。通过此案可以看出金融机构职工的保密意识并不强。在大数据时代,若金融机构一次性将大量金融隐私数据提供给第三方,第三方就能掌握金融消费者的资产状况、银行流水、资金流向,然后利用数据分析技术推送金融产品,甚至在营销过程中利用掌握的详细信息骗取金融消费者的信任,致使其财产损失。 (二)金融隐私权配套法律不完善 金融交易过程中,立法机构制定的法律、行政法规和部门规章是金融隐私权相关各主体行为的依据,因此完善的制度保护体系是保证金融机构正当进行金融交易、监管部门有序履行职责、金融消费者权益得到有效保护的前提。我国目前尚未形成完善的金融隐私权保护法律体系,各条文零散分布,缺乏事前的预防机制,事后的救济机制也不尽完善,监管部门的职责边界亦不明晰,存在监管重叠、监管真空的现象。 1. 缺乏专门的法律法规 我国将隐私权笼统地作为人格权的一部分进行保护,在一定程度上削弱了对公民隐私权的保护力度,而金融隐私权作为隐私权的一部分,其受到的法律层面的保护则显得更加笼统。我国关于金融隐私权的法律法规条文零散地分布于各法律、行政法规、部门规章之中,虽然在一些部门规章之中规定相对较为细致,但就法律、行政法规层面的立法而言,全国人大及其常委会、国务院并没有出台相配套的法律、行政法规,这与我国目前蓬勃发展的金融行业以及日益严重的金融消费者数据泄露状况是不相适应的。缺乏专门的法律法规,金融隐私权就很难引起重视。 2. 缺乏事前预防机制 纵观我国的金融隐私权立法,仍缺乏事前预防机制来约束金融机构不正当采集、储存消费者金融隐私信息的行为。由于金融隐私信息具有财产属性,其所衍生出的商业价值往往会驱动不法分子非法获取金融隐私信息。在金融隐私信息的收集、加工处理、分析运用、运用完毕后归档等一系列过程中,尚需严格明确金融隐私数据信息的处理办法,形成一套行之有效的事前预防机制,以加强风险控制。 3. 事后救济机制不完善 事后救济机制不完善是我国目前金融隐私权保护的一块重要短板。“无救济即无权利”,若缺乏完善的事后救济机制,则很难保证金融隐私权受到侵犯后消费者权利可以得到有效保护。目前金融隐私权被侵犯后的救济途径只能零散地见于《民法典》等法律中较为模糊的原则性规定,如排除妨害、赔偿损失等,但对于损失的计算方式、赔偿方式等都没有制定细致的条款。在中国人民银行颁布的《金融消费者权益保护实施办法》等部门规章中,事后救济机制也较为笼统而不具体。“排除妨害”“赔偿损失”“予以更正”等法律条文,或许可以解决非金融领域的纠纷,但金融纠纷一般较为复杂,简陋的条文放大了法院的自由裁量权,无法公平、高效地解决金融侵权纠纷,难以让金融消费者在金融隐私纠纷案件中真正感受到公平正义。 4. 监管职责不明晰 我国的法律法规确立了中国人民银行、银保监会、工业和信息化部等的金融隐私信息监管主体地位,但各部门的监管职责仍不明晰,监管重叠、监管真空的现象依旧存在。当金融消费者隐私信息遭受侵犯之后,人民银行、银保监会、工业和信息化部以及地方政府部门等金融监管主体依照现有的法律法规均有监管职责,表面上似乎能够多重保障金融隐私权,实则容易导致各部门间职责分散、职责界定不明晰,金融消费者的利益无法得到实质性的保障。 (三)金融消费者风险意识弱 金融隐私权屡遭侵犯,与金融消费者风险意识较弱也存在一定的关联。我国金融消费者众多,其金融素养、维权意识参差不齐,许多消费者对自身金融隐私信息的保护意识并不强。2019年7月,App 专项治理工作组(受中央网信办、工信部、公安部、市场监管总局委托)发布的存在“无隐私政策”问题的 App 中包括中国银行手机银行。尽管中国银行 App 存在无隐私政策的问题,但是大量的中国银行 App 用户并没有意识到此漏洞的存在,而是盲目授信给中国银行,致使个人信息处于风险之中。在签订金融合同尤其是电子合同的过程中,金融消费者常常盲目信任金融机构,不会仔细审查合同内容或者没有意识到合同内容的含义,导致其随意授予金融机构过分使用金融隐私信息的权利。在后续的维权过程中,用户的“授权”往往会成为金融机构免责的借口,不利于金融消费者维权。 五、大数据背景下金融隐私权保护 的路径选择 大数据背景下,完善金融隐私权保护的关键在于约束、规制金融机构及与其密切联系的第三方机构不正当使用金融隐私信息的行为,规范现有的监管机制,促进行业自律与政府适度干预有机结合。 (一)完善制度保护体系 1. 明确金融机构的法律责任 当前的法律、行政法规和部门规章中,虽然都规定了金融机构的部分权利义务,但却没有完整规定金融机构的法律责任。《商业银行法》规定“商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。”条文中提及了金融机构应承担的义务,但是未说明不履行此种义务后所应承担的法律责任。只有在后续条文中明确规定金融机构不履行法律义务后的法律责任,才能对金融机构形成法律层面的震慑力,金融消费者才能依法维权,审判机构在裁判时才能有法可依。 2. 整合制定专门配套的法律法规 现有金融隐私权保护的法律、行政法规、部门规章内容较为分散,并且现有的法律、行政法规也没有专章规定金融隐私权的保护。目前仍缺乏一部专门保护金融隐私权的法律、行政法规。整合现有条文,并考虑大数据等新兴技术所产生的法律问题,制定立法层级较高的法律、行政法规或在其中专章规定对金融隐私权的保护,能够提高监管部门、金融机构的重视度,提高金融消费者的维权意识,促进金融隐私权的保护。整合现有的条文时应当明确其中存在冲突法条的具体应用方式,明确大数据等新兴技术产生法律问题后的救济机制,明确金融机构不履行法律义务所应承担的法律责任,以切实控制风险,解决当前金融领域监管处罚重行政责任而轻民事责任的问题。 3. 建立事后纠纷解决机制 我国现有的制度体系缺乏切实可行的事后纠纷解决机制,金融消费者的利益遭受侵犯之后,救济途径过窄。首先,金融机构应当完善内部投诉处理机制。民事法律关系高度尊重当事人意思自治,如果金融消费者能够通过内部投诉与金融机构协商解决纠纷,不仅能够节省司法资源,更能提高金融效率。其次,虽然《消费者保护法》等法律法规赋予了金融消费者诸多占据优势的权利,但是在实际的金融交易过程中金融消费者仍然处于劣势地位,后续立法应对金融消费者进行倾斜性保护。最后,可以建立金融隐私信息泄露的应急预案制度。爬虫、数据挖掘算法等大数据技术被广泛应用的背景下,金融隐私信息泄露风险剧增,因此应当结合网络攻击、大数据等的特点,出台应急预案制度。 (二)规范监督管理机制 在立法、监管过程中,应当明确金融交易各环节所对应的监管主体及其职责,完善金融信息监管机制,强化对金融外包业务的监管,从而形成规范的监督管理机制。 1. 明确监管主体及其职责 若金融交易过程中金融隐私信息传递的任意环节监督主体不明,则容易造成监管真空、监管重叠。我国目前存在中国人民银行、银保监会、工业和信息化部、消费者协会等多个金融隐私信息侵权的监管主体,各主体间职责不甚明晰。立法机构应当明确金融机构在收集、处理、保存数据过程中对应的监管主体,明确各监管主体的具体职责,避免出现某一环节因监管主体不明确而造成维权困难的情形。同时可以促进监管部门信息公开,让其他监管部门、金融机构、金融消费者知悉各部门对应的监管职责,使得各部门间职责明晰,便于金融机构知悉自身义务及法律责任,便于消费者寻求权利救济。 2. 完善金融信息监管机制 应当建立有中国特色的金融信息监管体制。借鉴国外金融隐私权保护经验可以发现,GDPR(欧盟《通用数据保护条例》)由于过分注重用户数据保护,制约了经济的发展;CCPA(美国《加州消费者隐私法案》)侧重商事利益,对个人信息保护力度尚需加强。在我国金融隐私权保护监管体制不健全的状况下,可以权衡欧美数据保护法案当中的利弊,取其精华去其糟粕,进行适当的借鉴。同时,针对我国目前大数据技术广泛应用、互联网金融逐步发展之现状,改进金融信息监管体制更应当立足于中国实际,督促监管主体积极履行监管职责,促进各监管部门间积极协调配合。 3. 强化对金融外包业务的监管 金融机构间竞争日趋激烈,运营成本逐步上升,促使金融外包行业诞生,而外包机构管理水平参差不齐,易造成金融消费者权益损害,因此金融外包业务的监管亟待加强。各监管主体在制定规章时,应当对金融机构向第三方机构提供金融隐私信息的过程做出严格的限定,明确金融机构不应当提供不必要的金融隐私信息,确有必要提供如信用信息等重要金融隐私信息时,应注意审查第三方机构的信息保护机制是否完善。 (三)提高金融消费者风险意识 我国金融消费者众多、文化水平参差不齐、区域金融素养水平不均衡的现象严重,金融消费者防风险意识亟待提高。2019 年,我国消费者金融素养指数平均分仅为 64.77,城镇居民与农村常住居民在金融知识、技能等方面的表现存在较大差距,金融素养水平在年龄上也依然存在驼峰效应。 在金融产品不断向大众普及的时代,应当关注重点人群和区域的金融素养水平,积极应对大数据等新兴技术带来的时代挑战。监管部门和金融机构可以结合群体特性开展适宜的金融教育活动,通过各类途径宣传金融隐私权保护的法律法规,提升消费者金融素养,提高其风险识别能力、防范风险意识和维权意识,引导金融消费者通过法定途径寻求权利救济。在金融交易过程中,金融机构应当履行信息泄露风险提示义务,使消费者清楚金融隐私信息存在的风险,加强金融消费者对金融隐私信息泄露风险的认识。金融消费者签订合同时,金融机构应当主动告知金融隐私信息的使用范围,不得骗取金融消费者的盲目授权。 (四)行业自律与政府干预有机结合 加强行政部门监管的同时,也应当适度引入社会监管力量,重视发挥行业自律的作用,政府公权力的适度介入与行业自律的有机结合是解决金融隐私权保护困境的有效路径之一。 行业自律具备许多天然优势,如成本较低、具备较强的制度弹性、更有利于培养金融交易主体的诚信意识等。因此,行业自律有助于促进业内合作交流、推动市场发展。同时行业自律也存在信息缺乏透明度、掺杂私利等不足之处,所以需要同政府适度干预有机结合,从而发挥其积极作用。部分行业已经出台了相关自律公约,如中国互联网协会发布的《中国互联网行业自律公约》,但是此公约并没有涉及消费者个人信息保护。在各行业自律公约的修订和完善过程中,应当适当增加消费者个人信息保护的条文。 六、结语 大数据技术的发展为金融隐私权保护带来了诸多时代挑战,为强化风险控制、促进金融行业健康发展,金融隐私权相关各主体均应积极应对挑战。首先,应当进一步明确金融机构的法律责任、监管部门的职责范围,整合现有的金融隐私权保护的法律条文,制定配套的法律、行政法规或在其中专章规定金融隐私权的保护,提高金融隐私权立法层级。其次,应当注重提高消费者的金融素养,强化金融消费者的防风险意识。最后,应当注重发挥行业自律的作用,促进行业自律与政府适度干预有机结合。囿于行文篇幅,本文仅就金融隐私权保护进行了初步探讨。金融隐私权是现代经济社会中的重要权利,积极构建完善的金融隐私权制度保护体系是保护消费者权益、促进金融行业健康发展、维护金融公平的应有之义。金融隐私权保护之路道阻且长,需各方主体共同发力,方能构建完善的金融隐私权制度保护体系。 免责声明: 上文内容仅供天风证券股份有限公司(以下简称“本公司”)的客户使用。本公司不会因为任何机构或个人接收到上文而视其为本公司的当然客户。上文基于已公开的资料或信息撰写,但本公司不保证该等信息及资料的完整性、准确性。客户不应将上文为作出其投资决策的唯一参考因素,亦不应认为上文可以取代客户自身的投资判断与决策。客户应自主作出投资决策并自行承担投资风险。在任何情况下,上文中的信息或所表述的意见均不构成对任何人的投资建议。在任何情况下,本公司不对任何人因使用本文中的任何内容所引致的任何损失负任何责任。市场有风险,投资需谨慎。