金融消费者个人信息立法保护研究
敖颜思文 王旭 中央民族大学法学院 基金项目:中央民族大学硕士研究生自主科研项目:政府数据开放中的个人信息保护研究 阶段性成果(编号:SSZZKY-2019016) 摘要:2018年,《个人信息保护法》被列入十三届全国人大常委会立法规划。在大数据和互联网金融蓬勃发展背景下,个人信息的财产权属性愈发凸显。尽管现有规范已确认了“个人信息自决权”和“同意规则”,但就个人金融信息而言,其信息交互的特点决定了“同意规则”既难以保障个人金融信息安全,也与互联网金融注重信息流通和使用的趋势相悖。因此金融消费者个人信息保护在立法保障模式上,应通过专门立法确认金融消费者作为利益主体的积极权利,突破人格权层面的信息保护,注重在金融信息保护与开发利用二者间实现良性博弈,以有效保障金融消费者个人信息权。 关键词:信息自决;金融信息;良性博弈 一、问题的提出 大数据语境下,金融消费者信息权除强调信息控制外,更重视信息的流通和使用价值。不同于广义上的个人信息,个人金融信息面临外部技术和内部交互的双重风险。一方面,互联网金融将收集到的海量金融信息作为互联网金融平台决策形成和服务推送的基础,信息保护的整体安全技术水平与信息总量并不匹配,信息泄露的风险极大,其造成的损失难以依赖信息技术弥合;另一方面,互联网平台在“同意规则”和“个人信息自决”的约束下,更多地通过用户协议、服务条款或隐私声明等形式要求用户点击同意,但实践中难以达到有效提醒的效果,金融消费者仍处于金融信息的不利地位,形成金融信息不对称导致的“柠檬市场”。基于此,应当在《个人信息保护法》立法过程中对金融消费者个人信息的保护予以关注。 二、金融消费者个人信息保护存在的问题 (一)个人信息保护价值倾向尚不统一 我国传统保障模式视信息的人身属性为“明显比较重要的利益”,对个人信息的财产权属性重视不足。《网络安全法》第76条以列举了个人信息的种类,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码,偏重于个人信息的人格权属性。《民法总则》仍将公民个人信息权置于人格权章节中。《民法总则》第111条和第127条将数据与信息分开规制,信息的财产权属性不明。《民法总则》第111条规定“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,偏重于个人信息的财产权属性。金融消费者个人信息作为个人信息的子概念,理应强调金融信息的财产权属性。现有立法规范对个人信息的保护价值倾向并不统一,不同法规范对个人信息的列举也不尽相同,个人信息的概念仍待确认。 (二)缺乏专门立法保障 按照类属式表达逻辑,金融消费者信息权应属公民个人信息权的子概念,金融消费者信息权的保障理应在延续公民个人信息权的保障模式下有所侧重。受个人信息的“人格权说”影响,目前我国金融信息保护立法模式表现为禁止他人侵权并赋予权利人妨害排除的消极权能的管制型立法,金融消费者信息权的保障主要散见于《中国人民银行金融消费者权益保护实施办法》 《个人信用信息基础数据库管理办法》等规范。金融消费者个人信息保护尚未构成完整体系,各部门间差异较大,有关金融消费者信息知情权和信息选择权等规制尚付阙如。当前金融消费者点击用户协议、服务条款或隐私声明等的方式难以达到信息保护目的。金融消费者往往出于使用便利需要,不假思索便选择点击同意,金融消费者由于技术劣势难以对互联网平台收集和开发金融信息的行为形成全流程有效监管。 (三)金融消费者救济渠道不足 目前,有关金融消费者个人信息的规范中,对于侵犯金融信息的法律责任以行政责任为主,具有较强的操作性。但民事和刑事责任规定的较为笼统。一方面受传统“人格权说”影响,民事责任仍认定为侵犯个人隐私,对金融消费者财产损失的赔偿责任规制不足;另一方面,金融机构主要以行政监管为主,实践中多要求互联网金融平台进行信息披露,被动式监管方式满意达到监管效果,监管机构能否在信息技术上对互联网金融机构进行有效监管尚且存疑。 三、金融消费者个人信息立法保护的域外考察 (一)域外金融信息立法保护立法现状 就世界范围来看,关于金融消费者个人信息保护主要有三种立法模式:一是综合保护立法模式。2018年欧盟《通用数据保护条例》制定使用个人数据的相关规则,通过高额罚款方式给数据收集方以震慑。《通用数据保护条例》不以属地管辖为限,与欧盟机构合作的企业均受其规制。 二是分业保护模式。以美国为例,美国将行业特征和信息保护相结合,美国建立了以个人救济为中心、以市场调节为主导的个人信息隐私保护机制的保障模式,力图在保障行业持续发展的前提下推进金融信息保护。美国《金融服务现代化法》《消费者金融隐私保护最终规则》确立了通知、选择、安全、市场公开、执行五大原则,并以表格的形式公布金融隐私保护政策范本,实现了保障金融消费者“同意权”的政策统一,注重金融消费者个人金融信息权益保障与金融机构金融信息开发利用之间的平衡。 三是分立保护模式,主要是把政府等公有机构与民间机构等私有机构区别开来,根据信息处理机关的不同性质,对信息处理活动给予不同规定。在分立保护模式下,信息保护的标准因信息处理机关的不同而有较大差异。随着大数据信息技术的逐步迭代,按照信息处理机关的性质划分全周期的信息流已失去现实意义,不利于金融信息的有效保护。 (二)对我国金融消费者个人信息立法保护的借鉴 一是明确金融消费者信息权的权属划分。金融消费者对其金融信息及其利益的利用与支配作为信息权益的核心,其财产权属在金融领域日益凸显。强化对金融消费者信息权在财产权方面的法律保护应当成为《个人信息法》的立法倾向。 二是注重金融信息保护与开发的协调。借鉴美国与欧盟达成的《安全港协定》相关经验,金融消费者既有选择“同意”的权利,同时也有拒绝信息被收集和利用的“选退”权利,通过民事赔偿和行政罚款等方式促进金融平台和金融消费者在信息使用方面的良性互动。 四、金融消费者信息权保障的立法完善 (一)金融消费者个人信息权概念厘清 当前我国立法未能在金融消费者信息权的基础概念上达成一致。《民法总则》《网络安全法》确立的公民个人信息权,与《中国人民银行金融消费者权益保护实施办法》确立的金融消费者信息权的概念并存。金融消费者信息权的具体概念应承接个人金融信息的概念规定,并在概念内涵中确立以网络金融交易信息和信用信息为核心、具有财产利益的信息内容。 同时,在确认金融消费者基础概念的同时,还应理顺公民个人信息权与金融消费者信息权的关系。应当在《民法总则》解释中明确信息与数据的关系,从而确认个人信息的财产权属性,以此形成以人身权属性为主,兼具财产权属性的公民个人信息权概念——金融立法中财产性与人身性并重的金融消费者信息权概念——专门立法中以财产利益为核心的金融消费者信息权基础概念。 (二)确立专门立法保护模式 人格权属性下的公民个人信息权无法涵盖金融消费者信息权的特性,应通过专门立法,在弥合现有概念释义和行业特征的基础上,确认金融消费者信息权的基础概念。相较于美国及欧盟成熟的金融业监管体制,我国“一委一行两会”的金融监管框架对金融信息保障保护重视不足,职责交叉重叠。我国当前金融消费者信息立法保护仍采取分散立法模式,既有分业保护立法的特点,同时也存在分立保护立法的弊端。出于金融行业风险高、更新快等特点,应当将《个人信息保护法》金融信息保障领域的基本法律规范,在基本规范的统御下结合互联网金融行业特征与实践需要,形成金融消费者个人信息权法律保障的进一步细化立法,强化金融行业监管可操作性和标准化。 “以控制为出发点的IT时代正在走向以激活生产力为目的的DT时代”因此在金融消费者信息权保障专门立法中,还应顺应金融行业信息财产化的特征,确立以财产利益为核心的P2P金融消费者信息权。 (三)完善金融消费者救济渠道 一方面,尽快明确金融隐私权民事法律责任,激励金融消费者在金融信息领域维权的动力和信心,充分保障金融消费者作为金融信息主体的积极权益,使金融消费者有权决定个人信息的使用范围、方式和期限,有权知悉信息被收集的渠道、使用的去向和保密的程度,并有权同意或否决经营者内部共享与外部第三方的使用。另一方面,还应扩展金融信息侵权的非诉救济途径,由于金融商品的复杂化和金融服务的专门化程度日益加深,传统司法救济途径周期长、成本高等弊端被进一步放大。可考虑在金融信息侵权领域引入ADR制度,由拥有信息技术的独立第三方进行调解或裁判,并将调节和裁判程序作为提起诉讼的前置程序,以此缓解金融信息保护与开发间的矛盾,从而实现公平与效率的平衡。 (四)强化监管机制 在我国金融消费者信息权屡遭侵害的背景下,我国应当采取相应措施,强化政府监管部门在金融消费者金融信息权保护中的责任,强化政府监管部门在金融消费者信息权保护中的责任,整合“一委一行两会”监管职能,明确跨界、交叉型互联网金融产品的“穿透式”的监管规则,提升执法深度与广度,实现穿透式监管,形成中央政府统一领导规划,各尽其职的严密监管体系,构建金融行业尤其在互联网金融领域的标准化监管方式和程序,实现金融信息领域个人信息保护行政监管与刑事司法保护无缝衔接。此外,强化监管机制必须充分利用大数据技术,加强对大数据信息的统一管理、监管,建立统一主管行政机关,构建准确、高效运营信息监管数据平台,同时在倾斜保护金融消费者信息权益的同时,也应当对金融机构的保密义务详细规定金融机构相应的减、免责事由。 五、结语 大数据背景下,金融信息的保护与开发需求愈发迫切。未来应在人格权保障框架下以特别法的形式制定专门的金融信息保障法,设定最基本的金融信息保障要求,以统御包括互联网金融行业。同时结合互联网金融各模式的实际需求,将行业信息保障规范与标准纳入立法框架,为互联网金融消费者信息权的法律保障提供合理预期。 参考文献: [1]姚佳.金融消费者”概念检讨——基于理论与实践的双重坐标[J].法学,2017(10). [2]张继红.论我国金融消费者信息权保护的立法完善——基于大数据时代金融信息流动的负面风险分析[J].法学论坛,2016(06). [3]郗攀峰.论我国金融消费者权益保护体系的完善[J].生产力研究,2012(10). [4]孔令杰.个人资料隐私的法律保护[M].武汉大学出版社,2009. [5]党玺.欧美金融隐私保护法律制度比较研究[J].国际经贸探索,2008(9). |