钱玉文:论消费者金融信息安全的规制路径
- 来源:《中国政法大学学报》2024年第1期
- 作者:钱玉文,江南大学法学院教授、硕士生导师。
【引用来源】钱玉文:《论消费者金融信息安全的规制路径》,载《中国政法大学学报》2024年第1期,第5-18页。
一、 引言
近年来,大数据、云计算等新兴技术快速发展,一方面,极大地助推了互联网金融业的发展;但另一方面,其也造成对消费者金融信息安全的侵害。如 2013 年美国 Target 数据泄露、2014 年eBay 客户信息泄密等事件,这些事件背后是传统金融信息保护的模式日益受到严峻的挑战。与此同时,消费者金融信息权保护研究也逐渐成为学术热点。程啸认为《民法典》与《个人信息保护法》是我国个人信息保护法律体系中最重要、最基本的法律,它们均试图保护个人信息权益,并平衡个人信息的合理利用需求。张新宝认为可以根据“本权权益”与“保护本权权益的权利”的划分,构建个人信息权益的内部框架。个人信息权益之“本权权益”主要包括人格尊严、通信自由和秘密等,但不包括财产利益;保护“本权权益”的权利主要包括同意(或拒绝)的权利以及知情、复制、查阅、转移、补充、更正、删除等权利。王锡锌认为国家应当履行积极保护义务,个人信息权利束的本质是政府通过制度保障对个人进行赋权;就功能而言,一方面,个人信息权利束是个人制衡信息处理者的工具;另一方面,其也是国家对数据处理者的规制策略。吕炳斌认为,《个人信息保护法》相较于《民法典》在调整对象上差异较小,但在保护方式上存在递增,其通过公法手段保护的个人权利仍然具有私权属性。该项专门法律属于领域立法,兼具公法和私法属性。综上,当前我国学术界关于消费者金融信息权保护的研究主要集中于公共规制和私人规制两大维度,但缺乏对于两者合作路径的研究。此外,对于消费者金融信息权益的性质和归属等基础性问题,亦缺乏共识。为有效保障消费者金融信息权,本文从公私合作规制视角探讨消费者金融信息权的法律保护。
二、消费者金融信息的规制现状
(一)消费者金融信息保护的规范体系
笔者梳理了消费者金融信息保护的相关规范,可以发现,我国关于消费者金融信息保护的业务领域是逐渐扩大的,从最初的银行业到整个金融业,随后扩展至征信业,最终通过《个人信息保护法》将涉及个人信息处理的全部个人或组织纳入规制范畴。 在法律法规层面,2009 年《刑法修正案(七)》、2015 年《刑法修正案(九)》及相关司法解释共同编织了个人信息犯罪体系,为个人信息侵害行为提供了刑法规制手段。但是个人信息犯罪亦属于典型的行政犯,对于侵犯金融消费者个人信息行为,犯罪构成中的“非法”“违反国家规定”仍需具体领域立法予以确定。2017 年《网络安全法》主要是从网络系统角度来保护消费者个人金融信息安全。2020 年,《民法典》人格权编第六章“隐私权和个人信息保护”较为详细地界定了个人信息及侵害责任。2021年 11月正式实施的《个人信息保护法》关于个人信息的定义基本沿袭了《民法典》相关规定,并将匿名化处理后的信息排除在外。此外,《个人信息保护法》还对个人信息的处理规则与权利义务分配等事项作出了规定,其中,对金融账户等敏感信息必须采取严格保护措施。 在规章层面,2020 年,中国人民银行颁布的《个人金融信息保护技术规范》根据信息敏感程度,将个人金融信息分为“C3、C2、C1”三个类别;此外,其还规定了个人金融信息处理各环节的安全防护要求。根据上述法律及规章中关于个人信息与个人金融信息的范围描述可知,个人金融信息更具敏感性、精准性与高价值性。有学者将个人金融信息分为如下三类:个人身份信息主要包括可识别到个人的标识型信息;个人财务信息系金融行为的伴生信息;预测个人信息是信息企业通过大数据处理分析后形成的预测特定个人消费习惯、投资意愿、风险偏好等的属性型信息。2018 年,银保监会发布的《银行业金融机构数据治理指引》明确了数据监管机构的监管责任、方式和要求。《银行保险机构消费者权益保护管理办法》第 42条规定,银行保险机构在处理个人信息时,应当坚持合法、正当、必要、诚信原则;其第 43 条规定,银行保险机构应当遵循告知同意规则,并且不得采取变相强制等不正当方式收集个人信息。 (二)消费者金融信息保护的困境 在概念范围方面,《民法典》第 1034 条将“个人信息”界定为以电子等方式记录的能够单独、或与其他信息结合识别特定自然人的信息。《网络安全法》第 76 条与《民法典》第 1034 条类似。以上概念都从“身份识别性”角度对个人(金融)信息进行了界定,且并未明确区分“数据”与“信息”的概念。在现实生活中,人们也常常把数据与信息的概念混同起来。而《数据安全法》则对“数据”和“信息”进行了区别,该法第 3 条将数据界定为“任何以电子或者其他方式对信息的记录”,即数据是信息的具体表现形式,信息经过记录才成为数据。与信息和数据二者相关的还有“隐私”的概念,即个人信息中不愿为他人知晓的信息属于隐私的范畴,二者既有交集又有各自独特的内涵。无论是隐私还是信息,经过数字转化记录下来,都成为数据。明确区分个人信息、隐私、数据三者的概念,有助于明确其所保护的法律利益,划分其权益归属,从而最终明确不同的保护模式。 从金融交易主体的角度出发,消费者金融信息可以作如下理解:对于金融消费者而言,消费者金融信息是指在金融交易活动中产生的与自身存在关联的各种静态与动态的信息集合;就金融机构而言,消费者金融信息是指其基于特殊主体或交易相对方的地位与客户在交易往来过程中采集、使用、储存、加工的与客户相关的信息。消费者金融信息较一般个人信息具有较强的财产属性,一旦被泄露、滥用、非授权披露或被更改,将对消费者金融信息主体信息安全与财产安全造成严重危害。当前消费者金融信息保护实践中存在的主要问题有:消费者金融信息主体知情同意权保障不充分、消费者金融信息采集范围标准不统一、消费者金融信息保护机制不完善。例如许多平台、企业甚至国家机关在处理个人信息时都容易忽略个人的知情同意权,告知同意机制演变成“点击同意”而流于形式。2022 年某地政府为制止村镇银行储户来当地取款,对相关储户实行健康码赋红码,该行为既未征得储户同意,也不是为社会公共利益或为履行正当职责所需,不符合健康码平台的使用管理规则,属于非法处理储户个人信息。 金融信息对于金融机构的积极价值则体现在营销、用户体验改进或者市场调查;对于其的消极安全价值则体现在获取用户信息便于金融风险管控。金融机构总是不遗余力地获取、想方设法地“分享”消费者金融信息。良好的信用记录便于金融消费者开展经济活动,这是金融信息对于消费者的积极财产价值,而消极的安全价值则体现在金融信息的泄露通常是金融诈骗、盗刷、冒名等活动的前奏。但是在信息的提供阶段,消费者为了便利或者为了获取更优惠的产品、服务,其提供信息往往是获取金融产品、服务的必要条件,消费者往往也没有动机拒绝提供或针对此专门提起投诉;在信息的保护阶段,由于对于泄密渠道的查明,以及对于泄密造成损失数额的证明及其因果关系的证明存在困难,因此私人提起诉讼、投诉的手段并不充分、获得赔偿的预期也不高。 三、消费者金融信息的权益归属
(一)消费者金融信息包含多元利益
在互联网时代的信息融合与高速流转背景下,金融消费者通过向金融机构提供身份、住址、电话等基础个人信息用于身份确认,从而获得金融商品与服务。借助线上“汇、兑、融系统”,资金高效流转的同时,金融消费者也在金融机构、监管部门以及其他金融活动参与者处留下了大量金活动痕迹,其中就包括消费者金融信息。金融机构收集、加工消费者金融信息,然后通过数据挖掘对金融消费者进行用户画像,达到风险控制、偏好预测、客户划分、提供个性化服务等目的。监管部门通过监控信息数据得以实现金融风险预警、金融犯罪监测等。金融机构对消费者金融信息的分析与共享降低了信息获取成本,提高了金融机构运行效率,但数据与信息的流转和挖掘也产生了消费者金融信息保护的许多隐患。首先,金融机构内部人员管理疏漏、金融信息系统漏洞、以及外部网络攻击都可能导致消费者金融信息泄露。其次,金融机构信息挖掘在涉及到具体个人数据时,可能会获得用户不愿让金融机构知晓的个人私密信息甚至是敏感信息。同时,消费者金融信息在各种公私机构的传播与利用下,人们私生活秘密及安宁的保护变得愈发困难,隐私面对公开化、透明化的威胁。再次,海量消费者金融信息汇聚成的金融大数据还可以反映出国家宏观经济状况与微观运行情况,在跨境流动过程中可能造成国家机密的泄露,从而损害社会公共利益、危害国家安全。 在大数据时代,隐私、个人信息、数据的互动本质上体现的是其背后个人、企业、政府与国家的多元利益,即个人利益、企业利益、国家利益和公共利益的平衡。隐私权在性质上属于人格权,这已经是学界的共识,它体现出严格意义上的人格利益,不具有财产属性;而从个人信息到个人信息数据,信息敏感性、私密性逐渐降低,从而体现出更为复杂的属性。具体而言,随着“私密性”与“身份识别性”的淡化,信息与数据上负载的人格利益也随之减少,非敏感消费者金融信息与数据经过收集流通、加工分析后其财产属性不断强化,体现出更多的商业价值与公共价值。数据逐渐成为与劳动、资本、土地一样重要的生产要素,以互联网为依托,以信息数据为新型生产资料,新型金融机构、互联网企业发展出“互联网 +”背景下新的商业模式,信息数据的收集与分析能力成为企业的核心竞争力,信息的价值日益凸显,这也使得信息数据溢出了私人权益的范畴,进入了市场范畴,可以被合理地商业化利用。个人信息保护法律关系中存在多元利益主体,涉及不同立场、不同诉求,这不仅是技术问题和法律问题,还关涉经济发展和商业模式,故需要在个人信息安全与促进社会经济发展之间取得平衡。
(二)消费者金融信息权益归属划定
对消费者金融信息权益的保护起源于对金融隐私权的保护。隐私权具有的人格利益决定了其保护方式单方面地强调“个体许可”而非“利用共享”。在对消费者金融信息权益归属划定的过程中,隐私权仍然是个人绝对的人格权,需要企业与政府严格遵守“知情同意”规则,禁止他人非法侵入及公开。但是如若对消费者金融信息采用隐私权式保护方法,将可能会阻碍金融机构对信息数据的应用与共享,导致数据流通受限,造成信息数据的闲置和浪费。 在法律经济学领域,科斯在《社会成本问题》一文中提出了著名的科斯定理:如果产权是明确的且交易成本很小(甚至为零),则产权的初始配置无关紧要,市场均衡的最终结果都能够实现资源配置的帕累托最优。但是现实生活中的交易成本可能是巨大的,故想要明确消费者金融信息与数据的保护方式,首先要明确数据与信息的产权归属,以追求治理成本的最小化。对数据与信息的使用主要包括三种形式:一是基础、直接的使用,即简单的读取与了解;二是聚合式使用,即以数据库的形式查询匹配;三是加工分析式使用,通过对信息的统计、分类、加工,从而得出数据之外的其他关联与预测信息。在上述对信息与数据使用的过程中,提供者是信息与数据价值的最直接来源,收集者与加工者是信息与数据价值的增值来源。从信息产出到信息收集与加工的两个阶段,由两个不同的主体完成,赋予了信息不同的价值,因此若持一元的权属模式立场,在理论上存在两种主要观点。第一种观点认为,个人对信息与数据具有绝对的权利,因为信息源于个人,体现个人识别特征,因此无论消费者金融信息如何流转或者以何种形式存在,都理所当然地归属于个人所有。第二种观点则认为,大数据时代信息数据的主要价值来源于收集者收集的海量信息资源与加工者通过信息与数据处理手段赋予信息的增值价值,故金融消费者个人信息数据依据“谁处理、谁所有”的理念,归属于金融机构所有。 上述两种方式都有其合理性,但也存在明显弊端。强调个人对信息数据拥有绝对的权利,权利的支配性与排他性将会导致金融机构对信息数据合理的商业利用受到严格的限制,大幅提高数据采集成本,数据价值难以充分发挥。而单纯强调金融机构对信息数据的权益,忽略信息主体权益,将会弱化消费者参与个人信息治理的积极性,导致信息处理者对信息的滥用。 有学者提出对信息数据的权益由信息提供者与信息采集者、加工者共享的解决方案,不同信息类型下安排不同的占比份额:在个人财务信息中,个人的份额大于金融机构的份额;在预测个人信息中,金融机构的份额大于个人的份额。此外,由市场决定最终的具体份额安排。这种观点颇具启发性,金融机构可以通过数据脱敏降低数据中个人信息的可识别性,以此占据更大的权益比重。个人金融数据同时也是信息加工与分析的主要素材。个人信息侧重于内容,强调对其中所蕴含的人格权的保护;个人金融数据侧重于形式,强调对数据的分析与加工,以及对数据增值部分的持有、使用、收益权。在区分使用消费者金融信息与金融数据的语境下,因此可以提出这样一种权益分配方式:对消费者金融信息,允许金融机构在合法处理的基础上合理利用,在保护方式上注重个人的自我控制;对于个人金融数据,由收集、加工的金融机构取得数据持有、使用、处分的权利,消费者享有一定比例的收益权。在明晰权益归属的基础上,鼓励金融机构间、金融机构与监管部门间的数据共享,建立相应共享机制,通过金融数据的高效利用,以个性化、专业化服务回馈金融消费者,共享数据红利。 四、消费者金融信息保护的既有框架
(一)金融消费领域告知同意规则的失灵 《民法典》与《个人信息保护法》都确立了告知同意规则,即除非法律、行政法规另有规定,数据处理者要想合法合规地处理个人信息,必须事先告知信息主体并征得其同意。告知同意规则不仅为个人信息处理者提供了明确的行为预期,也为相关机构查处违法处理个人信息行为、人民法院认定信息处理者侵权责任提供了明确的标准。 但大数据环境下消费者金融信息保护面临的困境不仅包括调整规则的缺位,还有调整方式的失灵。面对海量数据、专业化金融术语、多样化的信息利用方式,金融消费者对消费者金融信息仍然试图全面控制只能成为不切实际的愿景。欧盟议会于 2016年 4月 14日通过了《通用数据保护条例》(下文简称 GDPR)。GDPR 对“有效同意”规定了四个要件:1. 自由做出的;2. 具体的;3. 被告知的;4. 明确的。实践中,金融机构往往把收集非必需的个人信息作为提供产品或服务的前提条件,尤其是在 APP 应用程序中最为常见。此时,金融消费者若想拒绝个人信息被采集,只能停止使用产品与服务。这种“强迫同意”的现象普遍存在,金融消费者在高度数字化、信息化的信息处理者的包围下,很难有能力拒绝或者阻止个人信息被收集,而且市场上往往不存在同类同质的金融产品与服务作为替换选择。 (二)“特定目的 + 单独同意”规则 消费者金融信息与个人信息相比,几乎都具有敏感性,我国国家标准《信息安全技术个人信息安全规范》明确规定,个人敏感信息包括银行账号、财产信息、征信信息、交易信息等,均以金融类个人信息为主。如前所述,个人对信息的全面控制已无可能,也无必要,相对控制模式下对敏感个人信息应采用“特定目的 + 单独同意”规则,根据《个人信息保护法》第 28 条第 2 款的规定,处理敏感信息首先要具有特定目的,其次需要有充分的必要性。敏感个人金融信息涉及个人的秘密空间与安宁,信息暴露可能伤及人格尊严、人格自由和财产安全。《个人信息保护法》第 29 条也确立了处理敏感个人信息的单独同意规则。 在此基础上,金融消费者的信息控制主要体现在:第一,敏感金融信息落入隐私权的规范射程,其上附着的人格权利具有对世性、排他性,未经权利人允许,金融机构不得侵入,任何不经同意、许可的采集加工与利用行为都是对隐私权的侵犯。第二,对第三方获取和使用信息的控制,金融消费者在提供信息时往往仅针对特定的金融机构,金融消费者与该金融机构实际上构成了一种“信赖关系”,而当消费者金融信息转移至第三方时,这种信赖基础便不再存在,这导致个人信息完全脱离所有者的掌控。但对于已经“去身份识别化”的个人数据,不仅其处分收益权已经归金融机构所有,而且上面所附着的人格利益也通过信息脱敏而淡化,过分强调个人控制反而会影响数据流通效率。第三,对金融机构在初始目的外使用和披露信息的行为,“合目的性”是金融消费者提供消费者金融信息的基础,目的缺失自然也将导致金融机构的信息利用失去正当性。 五、 消费者金融信息安全的规制路径 “个人信息受法律保护”的法理基础源自宪法,即“人格尊严不受侵犯”,其进一步延伸至私法领域,则表现为个体的人格权益、安全利益等方面。宪法上“个人信息受保护权”的具体权能体现为两个方面:积极地寻求国家保护的权利与消极的不受侵犯的权利。与之对应的,在个人信息规制领域同样存在公法上国家对个人信息积极保护的义务,与私法上个人信息权益不受他人侵害,并在遭受损害时可寻求救济的权利。因此,在法律体系的层级关系上,以刑法、行政法为代表的公法和以民法为代表的私法,以及以经济法为代表的社会法,都统领在宪法对个人信息的保护规范之下。 笔者以“金融”与“个人信息”为关键词检索了 2019—2022 年各级人民法院的判决文书,以及2019—2022 年中国银行保险监督管理委员会官方网站公布的中国银保监会与上海银保监局的行政处罚信息公开表,筛选出与消费者金融信息相关的案例共 24 件,其中行政处罚 11 件,刑事判决 7 件,民事判决 6 件。 行政处罚所涉案例中,消费者金融信息的风险主要来源于第三方平台不能有效管控金融信息、银行内部信息数据存储方式失当、信息系统存在漏洞、从业人员对个人信息保护不敏感、未依法合规使用客户信息等。主要处罚方式包括警告、责令整改、罚款以及对主要责任人的从业禁止。
在刑事案件中,所涉罪名主要有侵犯公民个人信息罪、收买、非法提供信用卡信息罪、贷款诈骗罪、盗窃罪等多个罪名,刑罚主刑以有期徒刑为主,附加刑以并处罚金为主,行为人均构成共同犯罪,涉案犯罪嫌疑人众多。
在民事案件中,侵害方式以非法收集公民个人信息进行金融广告推销为主,还有案例涉及金融机构对个人征信信息登记错误的情形。消费者金融信息涉及多元主体的利益平衡,横跨公法和私法两大法域,在具体治理路径上也需要借助政府、司法机关、企业、消费者之间的沟通、协商与合作。故需要在消费者金融领域,引入公私合作规制理念,打通部门法之间的壁垒,构建跨法域的金融信息安全治理框架。 (一)公共规制 在现代市场经济环境下,公共规制被认为是克服市场失灵、保障市场主体权益的重要路径。一方面,从公权力视角出发,公共规制往往以可证成且可实现的公共利益为其目标;另一方面,对于公共利益的判断也应落实到具体的人身上,即普通个人是否能从公共规制中获益,否则公共利益就可能沦为一个无法证明的虚无概念。如上文所述,在消费者金融信息安全领域,由于对金融和数据处理相关知识的匮乏,消费者仅靠自身难以充分保障其信息安全。此外,金融信息不仅关乎消费者个人利益,更涉及金融稳定乃至国家安全等公共利益。因此,需要以金融信息蕴含的社会公共利益为出发点,充分发挥政府监管的主导作用,平衡消费者金融信息保护与利用的矛盾需求,才能更好地保护金融信息权益。《个人信息保护法》的制度实践,需要打破私法规制的路径依赖,进一步融合公共规制。《个人信息保护法》具有强烈的“国家保护”理念,应当落实国家的规制理性,建构多方式、多层次的个人信息保护法律体系。其第 6 章专章规定了“履行个人信息保护职责的部门”,内容包括其定义、职责、工作内容、履行职责可以采取的措施等;其第 7 章明确规定了违反《个人信息保护法》及相关规定的,除了承担民事责任,还可能承担行政、刑事责任。国家市场监督管理总局的《侵害消费者权益行为处罚办法》(2020)第 11 条、第 14 条也规定了经营者处理消费者个人信息所需遵循的原则、消费者知情同意规则等行政规制措施。 目前,我国尚未设立专门的消费者金融信息保护机构,故可以由“一行一局一会”按照事前预防、事中监督和事后控制的思路,针对各自行政领域内的金融信息处理行为进行监管。第一,统一金融信息保护的规范和标准,构建涵盖数据采集、存储、传输等方面的规范体系。一方面,这能够为金融机构处理数据提供行为指引,增强数据市场信心;另一方面,这也为监管机构统一执法提供了依据。第二,建立定期、常态化监管机制,审查、监督金融机构的信息保护政策以及具体执行情况。第三,加大执法力度,引入信息化监管手段,保障监管质效,提高金融机构的违法成本。第四,通过普法教育等措施,强化消费者保护自身金融信息安全的意识。第五,依法处理相关纠纷,通过侵权行为的过错、违法性等要件,在民事诉讼中转介消费者金融信息保护的公法规范,切实保护金融消费者的个人信息权益。 (二)私人规制 1. 金融机构信息保护义务 消费者金融信息的数据化利用主要包括三个阶段:信息采集、信息加工、信息利用。在信息采集阶段,金融消费者的“知情同意”非常重要,而金融消费者“不同意”往往意味着其“不能使用相应产品或服务”,加之专业化提示与告知义务对消费者而言存在理解的壁垒,金融消费者“知情同意权”已经被一定程度地架空了,在信息采集阶段做出信息控制难有实效。信息加工阶段主要取决于商业需要,由于加工目的日新月异、加工方式创新性强,技术性信息管理规范难以与变动不居的现实匹配,反而会面临落后的信息规制模式限制数字商业创新的情形。而结果导向模式的信息规制通过规范个人信息处理流程,明确金融机构个人信息利用义务,成为既满足现实需要又具时效性的解决方式。 目前,以强化金融机构信息利用义务为主要方式的结果性导向的信息保护立法,正在成为日后改革的主要方向。金融消费者作为金融信息提供主体,与金融机构数据相比控制能力悬殊,对提供个人信息、信息利用方式等选择可能产生的后果往往茫然无知。同时,在信息侵权发生最为普遍的利用阶段,数据利用与收益的所有者——金融机构,有责任也最有能力实现对个人金融数据的保护,从而确保更小的法律规制成本。金融机构追求经济效益最大化是消费者金融信息收集和利用的根本动力,也是其侵犯消费者金融信息安全的根源,因此个人金融数据信息的收集者与加工者需要谨慎处理用户数据,将信息处理者的忠实义务置于效益之上的核心位置。对这种自我合规和规制,应当予以激励,从而更好、更充分地发挥行业协会的自律作用。 2. 司法规制 梳理侵害消费者金融信息民事案件的基本情况、裁判依据与判决结果,不难发现,同样是以短信、电话等方式多次推销金融产品与服务,裁判结果并不相同。在“郭某与东方黑马资本管理(北京)有限公司个人信息保护纠纷案”中,法院认可了被告公司的侵权行为;而在类似的案件中,法院却认为发送信息的公司不存在侵犯原告个人信息的行为。郭长城向人民法院提起的数起短信推销的案件中,部分法院认为依据《民法典》第 1032 条,该推销行为侵犯的是金融消费者隐私权,另一部分案例中法院依据《民法典》110 条认为可能侵犯的是某项具体人格权。可见,在消费者金融信息的司法保护中,同案不同判的现象凸显,需要通过体系化梳理,为司法裁判提供明确的法律指引。 作为保护对象的消费者金融信息,关于其性质,学界仍存在诸多分歧,作为个人信息的下位概念,消费者金融信息保护的学说分歧同样体现为个人信息保护的理论争议,主要有隐私权说、新型具体人格权说、一般人格权说、民事利益说、公法权利说等,不过虽众说纷纭,但共识仍存。综合来看,各个学说的主要分歧点集中在两个方面:一是消费者金融信息的保护属于公法上的权利(权益)还是私法上的权利(权益);二是消费者金融信息保护属于民事权利还是民事利益。 第一个方面的分歧中,公法权利支持者认为个人信息不仅体现为私人利益,还体现为国家利益与公共利益,单独赋予其私法保护属性使得公共规制失去正当性。此外,私法权利所强调的排他性、绝对性、对世性将影响消费者金融信息的收集与利用,抹杀了消费者金融信息的流通价值。私法权利(权益)支持者为了化解上述诘问,强调法律部门间的合作规制,提出消费者金融信息权利(权益)并非不受限制,而自有其适用边界,仍需要适度让步于公共利益,譬如美国个人信息保护即受到具备更高法律层级的信息自由的限制。两方观点虽然在具体保护路径上有所差异,但均认可消费者金融信息的保护需要兼顾信息自决与信息自由,亦需要公私法的合作规制。从《个人信息保护法》等现有立法来看,消费者金融信息的保护亦非单纯的公法保护或私法保护,而是二者的结合,属于市场规制法的保护领域。《民法典》中对个人信息保护的规定是宪法“个人信息受保护权”在私法领域的具体体现。 第二个分歧则是私法框架中的内部分歧。《民法典》与《个人信息保护法》都没有明确个人信息保护的客体,究竟是自然人的个人信息权利还是个人信息利益。民事利益说认为个人信息权益与其他人格权利存在交叉重合,不符合民事权利客体特定明确的要求。此外,从法律体系解释上来看,《民法典》与《个人信息保护法》并未将个人信息权益明确为个人信息权,因此将其认为是民事权利于法无据。反对者则以现有人格权保护范围无法涵盖个人信息保护为由,主要以新型人格权予以保护。两方的共识在于都不否认对个人信息的私法保护。 (三)合作规制 《民法典》与《个人信息保护法》对“个人信息”的概念定义一致,故两者在调整对象上基本相同。但从内容上看,《个人信息保护法》除私法规范外,还增加了国家机关为履行法定职责而处理个人信息的行为以及完整的信息处理规则。从保护方式上看,《个人信息保护法》在私法保护之外,增加了很多行政监管和执法方面的保护措施。它确立了完整的个人信息权利公法保护体系,在个人信息保护问题上和《民法典》一起形成了公私法共同协力的进路,即公私合作规制的路径。综上,《民法典》为个人信息保护确立了基础与核心规范,而《个人信息保护法》在此基础上作出了更为详细的规定。在司法实务中,个人(金融)信息保护侵权责任的请求权基础应当落实到《个人信息保护法》的具体条款中去。一方面,《个人信息保护法》相较于《民法典》存在特殊法与一般法的关系;另一方面,《民法典》中的个人信息保护规定较为抽象,而对于个人信息侵权等具体情形的判断,还有赖于《个人信息保护法》中的具体规则。例如,《个人信息保护法》第 69 条第 1 款明确了个人信息侵权归责原则采过错推定责任,侵害个人金融信息的侵权行为在没有消费者金融信息保护专门立法的背景下,应当以该条作为请求权基础,而只有该条适用范围难以覆盖时,才可以援引《民法典》中的一般人格权保护规范或者侵权责任的一般条款。值得注意的是,当侵害个人(金融)信息行为同时侵害隐私权或名誉权、姓名权等具体人格权时,二者发生竞合,权利人可择一行使。 在私人规制层面,对于金融机构不当利用、泄露消费者金融信息的行为应当规定法定最低赔偿额度,以此对金融机构上传错误不良征信信息造成消费者交易机会损失情形严重的,以及泄露金融信息造成消费者账户安全损失的行为进行有效遏制。但是金融消费者的个人信息纠纷特点体现为分散、多发、无直接财产损失的特点,短期内仍需要重点发挥政府规制的作用。在政府规制层面可以实现的手段是,通过监管部门统一行动,通过实施技术标准,对金融机构发布、更新金融消费软件APP 进行审批,确保其业务办理流程符合金融信息保护规范;并且对金融机构信息存储、处理系统进行指导升级,完善内控机制,实现将金融机构收集、查询、对外提供消费者金融信息行为全程记录。而由于同一金融机构、同一业务在办理过程中的金融信息违规行为往往具有同质性,针对消费者发起的相关投诉举报,经核实的应当转入监管部门业务督导、整改程序,统一改正违法行为。 六、结语
大数据时代,金融的运行形态已经逐渐数据化,消费者金融信息权益已然超越一般民事权益的范畴,越来越体现其整体特性,具备公共利益的属性。从私益性上看,消费者金融信息权益由个人信息权益演化而来,是后者的下位概念,其自然内涵私权属性,强调保护个体人格利益和财产利益。但是,消费者金融信息权益并不是纯粹的私人利益,还有着公共利益的属性。私人可以放弃其个人权利,但全体消费者的权益不可放弃。因此,消费者金融信息权益与一般的民事权利有着本质的区别,其意在矫正金融机构与金融消费者之间的不平等地位,进而重新实现双方的利益均衡。消费者金融信息权益保护应立足于公共利益,发挥政府监管的主导作用,通过重塑权利和义务配置、倾斜保护弱势的金融消费者,以实现信息控制者、信息所有者和信息管理者三者之间的再平衡。在金融消费者个人信息权益保护方面,需实现从单一的私益保护到公私合作规制,从静态权利保护到动态监管保护,从事后救济转化为事先预防、事中监管、事后救济的全过程保护模式。私人诉讼主要着眼于消费者个体权益保护,而公益诉讼着眼于风险管控和公共利益保护,我国现行《消费者权益保护法》《民事诉讼法》已经确立起有中国特色的消费者公益诉讼制度。公益诉讼制度使人民检察院以及法律规定的组织有权代表金融消费者群体进行诉讼,能够有效促进消费者金融信息的保护;公益诉讼打破了审判程序中结果归责相对性的原则,其判决效力的扩张也将有效打击侵害金融消费者权益的行为。限于篇幅,关于消费者金融信息安全的公益诉讼留待后文再叙。
暂无数据