原創 邢會強 上海市法學會 東方法學 收錄於話題#法學136#核心期刊136#原創首發136#東方法學24
邢會強 中央財經大學法學院龍馬學者特聘教授、博士生導師。
內容摘要
個人金融信息具有多樣性、敏感性、精準性、高價值等特徵。大數據時代的個人金融信息保護需求對現行法律理論、相關制度與機制以及金融機構的個人信息保護管理能力都帶來了挑戰。在大數據時代,金融法需要被重新定義,即金融法實際上是包括企業信息和個人信息在內的數據管理、共享與利用之法。在大數據時代,個人金融信息保護法需要轉型升級。法律需要明確信息和數據的權屬,對個人金融信息實行特別保護,完善事中和事後保護機制,完善保密規則的例外情況。我國應發展數字信譽評分業務,推動數據開放共享。
關鍵詞:大數據 個人信息保護法 個人金融信息 金融隱私權 金融消費者 GDPR
近幾年來,我國金融監督管理部門高度重視個人金融信息保護工作。2016年發布的《中國人民銀行金融消費者權益保護實施辦法》(以下簡稱金消保辦法)對個人金融信息保護作了較為全面的規定。2019年年底,央行又擬對該辦法進行修訂並將其升格為部門規章。2018年,中國銀行保險監管管理委員會(以下簡稱銀保監會)發布《銀行業金融機構數據治理指引》。2019年10月,央行又起草了《個人金融信息(數據)保護試行辦法》(徵求意見稿)。個人金融信息的保護受到社會各界高度關注。因此,個人金融信息及其保護的特殊性需要深入研究。
一、個人金融信息的定義與特徵
(一)個人金融信息的定義
銀行對於個人金融信息的保護義務起源於英美法中銀行對於金融隱私權的保護。在英美法系國家,關於銀行對客戶金融隱私權的保護規則的著名判例是1924年英國的Tournier案,該案首開銀行對金融隱私權負有保護義務之先河。美國在1961年的Peterson案中確認了銀行對金融隱私權的保護是基於銀行與客戶之間契約的默示條款。
而英美法中銀行對於金融隱私權的保護範圍也一向較為寬泛。在1924年的Tournier案中,法官指出銀行對客戶隱私權的保護範圍不限於客戶的帳戶本身,還包括銀行因其與客戶關係的存在而獲得的任何信息。在1961年的Peterson案中,法院將銀行對金融隱私權的保護範圍限於兩方面:一是有關帳戶的信息,包括帳戶上所有存款項金額、資金來源和去向等信息;二是客戶的交易情況,包括交易當事人以及交易價格等信息。
基於法律概念的借鑑與移植,我國央行對於個人金融信息的定義也比較寬泛。2016年金消保辦法第27條規定:「本辦法所稱個人金融信息,是指金融機構通過開展業務或者其他渠道獲取、加工和保存的個人信息,包括個人身份信息、財產信息、帳戶信息、信用信息、金融交易信息及其他反映特定個人某些情況的信息。」其實,早在2013年,央行發布的《關於銀行業金融機構做好個人金融信息保護工作的通知》就對個人金融信息進行了分類:(1)個人身份信息;(2)個人財產信息;(3)個人帳戶信息;(3)個人信用信息;(5)個人金融交易信息;(6)衍生信息,包括個人消費習慣、投資意願等對原始信息進行處理、分析所形成的反映特定個人某些情況的信息;(7)在與個人建立業務關係過程中獲取、保存的其他個人信息。
但上述「分類」的種類太多,不夠精練和周延。與其說是分類,不如說是列舉,兜底條款的存在更是說明了這一點。此種列舉雖然便於金融機構掌握個人金融信息的範圍,但意義有限。筆者在這一分類的基礎上,結合關於個人信息分為基本個人信息、伴生個人信息和預測個人信息的分類,將個人金融信息重新分類如下,這一分類的權屬意義更為突出:
1.個人身份信息,主要包括個人標識型信息和個人屬性信息
個人標識型信息包括個人姓名、身份證件種類及號碼和有效期限、聯繫方式(尤其是手機號碼)、住所或工作單位、地址及照片等。這些信息大多可以直接識別到特定個人,或與其他信息簡單結合即可識別到特定個人。個人屬性信息包括性別、國籍、民族、職業、婚姻狀況、家庭狀況等反映個人特徵的信息。個人身份信息是個人主動提供的關於本人的特定信息,能夠單獨或相互參照從而很容易地識別到特定個人,因此屬於個人基本信息。
2.個人財務信息,包括個人的財產信息、帳戶信息、金融交易信息和信用信息等
個人財產信息包括個人收入狀況、擁有的不動產狀況、擁有的車輛狀況等反映個人財產狀況的信息。個人帳戶信息包括帳號、帳戶開立時間、開戶行等信息。個人信用信息包括信用卡還款情況、貸款償還情況,以及個人在經濟活動中形成的、能夠反映其信用狀況的其他信息。個人金融交易信息是指個人在接受金融機構的服務或購買金融機構提供的產品的過程中產生的交易信息等。這也是狹義上的個人金融信息,它是廣義上的個人金融信息的核心。
一部分個人財務信息是個人提交的,例如個人財產信息中擁有的不動產狀況、擁有的車輛狀況等信息;個人在辦理證券、保險業務過程中向證券公司、保險公司提交的個人帳戶信息等。在此意義上,它又屬於個人基本信息。但也有一些個人財產信息是金融機構在提供金融服務的過程中自然獲取、留存的,譬如商業銀行在代發工資、帳戶管理等業務過程中留存的個人收入信息。在此意義上,它又屬於「個人伴生信息」或「伴生個人信息」。「伴生個人信息」是個人在生活、交易或工作中形成並被信息企業記錄下來的關於個人的信息,它是個人活動的副產品。金融機構留存的金融交易信息、信用信息,以及開戶行留存的個人帳戶信息等,均屬於伴生個人信息。
3.預測個人信息
對上述兩大類個人信息(尤其是個人財務信息)進行處理、分析所形成的反映特定個人某些情況的信息,包括個人消費習慣、風險偏好、風險承受能力、投資意願等。
(二)個人金融信息的特徵
個人金融信息除了具有所有信息的共同特徵——非排他性、非競爭性、經驗品、非物質性、不可分性、存在規模經濟問題等之外,還存在著不同於一般數據、一般個人信息的如下特徵:
第一,多元性與複雜性。與其他個人信息一樣,個人金融信息也包括基本個人信息、伴生個人信息和預測個人信息三大類,從而體現出個人金融信息的多元化和複雜性。個人金融信息中的個人標識信息和個人屬性信息,以及某些個人財產信息等基本個人信息,都是由個人提交的,個人的主動性、權屬意識很強。在此情況下,金融機構很難主張其合法收集和留存的這些基本個人信息的權屬屬於金融機構。如果金融機構如此主張,也勢必遭到個人的強烈反對。當然,也有很多個人金融信息屬於伴生個人信息,如金融交易信息、信用信息等,它們是伴隨著金融交易而產生的,但被金融機構留存。也有一些個人金融信息屬於預測個人信息。在個人基本信息中,還可能包括個人生物信息,甚至還會包括未成年人的信息。個人金融信息的多元化和複雜性決定了相應法律制度的複雜性。
第二,敏感性、精準性與高價值。在現代社會,人們的財務信息大部分掌握在金融機構手中。商業銀行、支付機構掌握了我們大部分的收入和支出,證券公司、期貨公司掌握了我們大部分的證券期貨資產,保險公司知道我們買了哪些保險。我們每個人在金融機構面前都是「財務透明人」。個人財務信息具有高度的敏感性,如果不當披露或洩露,輕則危害鄰裡和睦、社會和諧,重則危害個人的財產安全甚至人身安全。為客戶保密是商業銀行的一項傳統。「銀行對客戶信息資料負有金融隱私權保護之義務是在長期的業務實踐中所形成的一種慣例。」「儲蓄存款屬於個人的私有財產。人們因為種種原因,往往不願自己的財產狀況被他人知道。儲蓄機構應當尊重存款人的這一權利。同時,堅持這項原則也是為了保障存款的安全,防止存款被冒領或存款人支取後被盜的情況發生,保證存款人的財產權利不受侵犯。」因此,我國國家標準《信息安全技術個人信息安全規範》規定,「個人敏感信息」是指「一旦洩露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息」,並明確規定個人敏感信息包括銀行帳號、財產信息、徵信信息、交易信息等。《中華人民共和國個人信息保護法(草案)》(以下簡稱個保法草案)也作了類似規定。此外,個人財務信息不但包括正面信息,如存款信息,還包括負面信息,如債務拖欠、財產被扣押等。如果被不當利用,尤其是超出了初始目的,就有可能給信息主體帶來負面影響。例如,在國外,一些信用信息被徵信機構出售給僱主,導致了很多欠債人找不到工作。如果這些人找不到工作就更不可能償付其債務,這將導致惡性循環。個人金融信息中的個人身份信息能夠直接或間接識別到個人,具有精準性。個人的財務信息也具有很高的準確性,不像個人畫像等個人預測信息那樣具有蓋然性。正因為個人金融信息與金錢的高度相關性且能精準關聯到個人,因此它也具有較高的價值,為各方所覬覦。
第三,私人性與公共性。任何個人信息都具有私人性,也具有一定的公共性。「就個人信息而言,當信息用來標識、記錄、描述某個人時,並不因此而使該信息歸屬於該人,這些信息仍然可以用來標識、記錄、描述其他人。數據或信息的公共性、可共享性,決定了個人數據本身的公共性。」我們固然需要保護個人的隱私,但也應該保護社會公眾的識別權和知情權,這構成了對個人隱私權的限制。個人信息若不當呈現,在其他場景中所帶來的損害,總體上來講,遠不及在金融場景尤其是貸款場景中給貸款人造成的損害。如果一個人在不同的金融機構都有借款,而金融機構之間信息相互隔絕、不流通的話,金融機構就不能全面掌握借款人的所有欠債信息,就無法對其貸款安全進行全面準確的風險評估,金融業務就無法開展。在某種程度上,金融機構之間都是潛在的競爭對手,它們之間鮮有相互交換信息,必須有徵信機構充當「數據交換的樞紐」。也需要建立徵信體系,全面反映借款人在不同金融機構的借款信息。由於個人金融信息,尤其是一些負面信息,關涉其交易對手即金融機構的利益,而個人有強烈的動機隱藏這些負面信息。因此,法律不宜將個人金融信息(尤其是信用信息)的自決權或控制權完全賦予個人。也正因此,在一些國家,徵信具有強制性,即基於公共利益,通過立法強制,由政府力量——公共徵信機構進行徵信。此外,個人金融信息的公共性還包括:金融機構為完成法定義務,必須採集個人的相關信息,甚至可以不經個人同意而強制採集。這樣的法定義務比一般領域多,例如實名制要求、反洗錢義務、反客戶欺詐義務、投資者適當性義務等。
二、大數據時代個人金融信息保護需求的挑戰
(一)對現行法律理論和制度的挑戰
大數據時代給我國的金融法理論和制度帶來了挑戰。金融業歷來是一個重視客戶信息保密的行業。我國1995年商業銀行法也規定了對存款人保密的原則。但金融法不能一味地強調保密,還要強調個人信息收集、保存和處理的規範化,尊重個人的選擇權,更要強調數據的共享和開放。
大數據對既有的法律體系提出了挑戰,即個人信息保護法、消費者權益保護法與金融消費者保護法之間的關係為何?金融消費者的定義究竟為何?這都需要做出理論和制度上的回答。關於金融消費者的定義,央行將購買、使用金融機構提供的金融產品和服務的自然人視為金融消費者。但問題是:(1)不少自然人實際上是個體工商戶,是以自然人名義出現的商主體,其購買、使用金融產品和服務的目的並不是「消費」而是「經營」。(2)即便「投資」可以擴張解釋為「消費」目的,但有的自然人資金實力雄厚,並不弱於機構投資者。(3)購買、使用非金融機構提供的金融產品和服務的自然人被排除在金融消費者之外。這就使得金融管理部門構築的金融消費者保護法律體系存在內在缺陷。至於個人信息保護法、消費者權益保護法與金融消費者保護法之間的關係,它們更是避而不答。
大數據對更為基礎的民法制度帶來了挑戰。尤其是,個人信息權屬不明凸顯了民法的滯後。如果將金融機構和徵信機構收集到的個人金融信息都歸屬於收集者,則會導致信息超出初始目的的過度使用。如果將個人金融信息都歸屬於個人,在當前嚴格的個人信息保護法律環境下,則會出現金融機構不敢將個人金融信息進行共享、流通和交易的現象。這將造成大數據資源閒置、浪費。
大數據時代還對個人信息的保護方法提出了挑戰。傳統的金融隱私權法律框架將金融隱私權視為一種消極性的防禦權利,其保護手段主要靠事後基於侵權法的民事訴訟救濟。但在大數據時代,消極性的防禦權利制度,使個人信息的財產價值無法發揮。個人信息被洩露、被用於下遊犯罪的話,個人因舉證難、損失計算難、成本高等問題而不願意提起訴訟,這將導致個人信息得不到有效保護。此外,後續損害應不應由信息洩露者承擔的問題,也存在著很大爭議。由於信息的收集、流動會經過多個環節,其中必然涉及多個責任主體,每個環節都可能存在信息洩露、非法使用的風險,不同主體之間的責任釐定絕非易事。由於因果關係過於遙遠,個人要想獲得賠償實屬不易。這無法全面地保護個人信息,發揮「大數據」的價值。
(二)對徵信體系的挑戰
在數字經濟時代,任何可收集可聚合的東西皆會被評分。人類已經進入「數字信譽時代」。而大數據分析預測的發展正在催生商業新模式——信譽經濟的崛起。行為即信用。個人的購買習慣、財務狀況、守信情況、身體健康狀況、工作勤勉情況、職場人脈關係和社交互動情況等都是信譽的自變量。
基於這種「數字信譽」的重要價值,市場上湧現出了諸如「螞蟻信用」「騰訊信用」等「數字信譽」評分機制。「這種信用評分名義上叫信用分,其實質上是消費積分。」也就是利用大數據對個人進行「畫像」。有學者認為,其不符合嚴格的徵信定義。但是,這些「數字信譽」或「畫像」的確可以被大科技公司用於信貸目的,甚至評分機構還可以向其他信貸機構出售這些評分,用以防範信用風險。這些機構還曾註冊為「徵信公司」,並被認定為「網際網路徵信試點企業」,只是試點期滿未能獲得徵信牌照,但有的還繼續以「信用分」的形式運行。這是否會被認為「非法從事徵信業務」從而受到處罰,不無疑問。它們如果被認定為「非法從事徵信業務」,就可能會扼殺大數據紅利價值的釋放。
(三)對現存金融監管體制和執法機制的挑戰
我國規範個人金融信息的金融法律法規,都是規範持牌金融機構的。非持牌金融機構目前游離於金融監管的範圍之外。目前,大科技公司正在全球金融業中崛起。大科技公司是指擁有廣泛的客戶網絡的大型技術公司。它們自己或通過子公司提供廣泛的金融服務。它們提供的金融服務涵蓋支付、信貸、保險、財富管理等領域。中國大科技公司提供金融服務的子公司,有的是金融機構(如網商銀行、微眾銀行、眾安保險、支付寶、財富通等),有的則沒有金融牌照而號稱自己是科技公司。這些非持牌而實際上從事金融服務的機構,目前無法直接適用專門的個人金融信息保護規則。
我國當前的分業經營金融體制對個人信息保護法也提出了挑戰。在歐洲的全能銀行制度下,一個法人主體可以從事不同種類的金融業務,個人信息可以在法人內部無障礙流動,被運用於不同的金融業務。但在分業經營情況下,銀行收集的個人信息,要想被同一個集團內部的保險公司、證券公司運用,可能需要經個人授權同意。我國《金融控股公司監督管理試行辦法》第23條第1款即採用該制度,這使得我國的金融機構與全能銀行相比沒有競爭優勢。
(四)對金融機構個人信息保護管理能力的挑戰
我國金融機構個人信息的保護意識不強,制度不完善,這主要表現為:我國金融機構缺乏統一的客戶信息保護政策;缺乏明確的客戶信息牽頭管理部門;缺乏獨立的客戶信息使用審批制度。商業銀行現有的個人金融信息保護的理念傳導、措施落實上還不夠到位。與第三方合作僅僅通過籤訂保密條款來劃分責任,對信息洩露缺乏監督檢查和制約措施。個別銀行在客戶信息保護方面存在明顯的操作風險,某些商業銀行的個保業務人員甚至非法出售和對外提供客戶信息。
三、金融法在大數據時代的重新定義
以前,人們是從資金融通的角度看金融,金融機構是融資中介,資金融通是傳統銀行業的核心功能,金融法被看成是融資之法。這實際上是金融發展的初級階段或銀行主導型金融體系階段的金融觀和金融法觀。「在簡單的發展狀態下,金融在社會經濟中最基本的功能是在貨幣資金的盈餘者與短缺者之間調劑餘缺,因此將金融的本質功能界定為對資金的融通。」
後來,人們又從風險定價與管理的角度看金融,金融法是企業風險定價和管理之法。因為傳統銀行在存貸款業務的過程中,同時履行了信息、監控和風險管理等功能。但是,隨著金融市場和非銀行金融中介的發展,傳統銀行在資金融通中的優勢逐漸喪失,銀行通過表外業務和資產證券化創新,試圖改變原來主要依靠存貸匯兌業務來盈利的經營模式,開始轉變成經營綜合金融業務的「百貨公司」,它們日益轉變成為純粹提供信息、監控和風險管理服務的「服務中介」。「金融業務最本質的是全面風險管理。」金融機構的本質是經營風險,為風險定價,風險是回報的源泉。在這一觀念下,金融法既要充分揭示融資方的各種風險,為風險定價,又要管理和防範好資金提供方的各種風險。金融法強調投資者和金融消費者保護,其實就是為了防範他們的各種風險。這是在金融綜合經營階段或市場主導型金融體系階段的金融觀和金融法觀。
現在,在大數據時代,我們需要從信息的角度看金融。其實,自古以來,沒有信息交換的市場是不存在的。任何經濟交易的第一步都是信息的交換。若不如此,市場參與者之間就不會相互信任,交易就不會發生。這無論是在原始的集貿市場,還是在複雜的現代證券市場,都是如此。由於金融產品和服務的無形性,信息在金融市場中的作用比在一般有形產品市場上的作用更重要。
信貸市場需要收集借款人的相關信息。在此過程中,徵信信息尤為重要。信用報告是經濟生活的「第二身份證」。保險市場需要收集被保險人的相關信息。為了防止被保險人不如實告知,保險法發展出最大誠信原則來解決信息不對稱問題。證券法上的信息披露制度則是證券法的基石。發行人為了融資成功,必須向投資者披露其自身的相關信息。證券法為解決信息不對稱問題,發展出了強制性信息披露制度。一部證券法的發展史,就是信息披露不斷擴張的歷史。信息披露還被引入銀行法和保險法等領域。銀行和保險公司等金融機構即便不上市也應公開披露其財務信息,以便客戶能夠「用腳投票」,對金融機構進行市場約束。
為了督促證券發行人及時、準確、完整地披露信息,法律對證券發行人的中介機構課加了勤勉盡責義務。如果這些中介機構未履行好勤勉盡責義務,極有可能會導致證券發行人披露的信息出現虛假陳述,監管機構就會對這些中介機構作出行政處罰,投資者也可以要求這些中介機構承擔民事賠償責任。中介機構勤勉盡責與否,關鍵是看信息的調查收集、加工處理與對外披露的水平。
金融產品的銷售,關鍵是看信息的分析與挖掘。承銷商通過宏觀經濟信息、行業信息以及本企業信息的全面收集、整理與分析、挖掘,為企業進行估值定價。華爾街上有句名言:「沒有賣不出去的股票,只要價格合適。」它揭示了定價對於股票發售的重要性。但定價需要信息分析與挖掘。不但股票如此,其他金融產品的銷售也應如此。
金融機構客戶適當性義務的履行也要靠信息。金融機構對其客戶,則既要「了解你的產品」,也要「了解你的客戶」,並進行適當性匹配。為了「了解你的產品」,金融機構必須收集發行人及其產品的相關信息以便對產品進行風險評級。為了「了解你的客戶」,金融機構必須收集投資人的相關信息以便進行風險承受能力測評。
但是,以上金融法律制度所處的時代,數據是分散的,數據產生的速度較慢,數據記錄和分析依靠手工,個人信息保護的問題不突出,數據的價值難以得到充分挖掘。而目前已經處於大數據時代,一切都將被重新定義,包括金融業和金融法。
「金融業是高度信息化的行業。從技術角度看,當前各類金融產品和服務都可以視為信息集合的產物。金融機構能夠不斷推出創新產品和服務,很重要的一點取決於對各類金融信息挖掘、分析和運用的能力,網際網路技術由於金融業務的不斷融合,使得個人金融隱私信息的收集更加便利。」周小川也說:「金融業本質上就是信息產業。」客戶與金融機構的每一次互動,都會產生數據。金融機構對這些數據進行收集和處理後,在下一次與客戶互動時,能夠優化響應。利用大數據,金融機構進行傳統業務的創新發展,數字在重塑金融業務。我們需要「重新定義金融服務如何融合融入使用這些服務的消費者、企業和組織的生活」。數據、技術與金融業務深度融合,日益使金融機構走向「智慧導向型」金融機構。未來的金融機構都將是基於數據的提供24小時金融服務的金融科技公司,金融機構本質上就是大科技公司。如果金融機構不改變自己,大科技公司就會改變金融機構。「雖然大銀行認為自己是政府許可的,覺得自己還有用處,但到了2025年,有能力連接銀行與客戶的將不會是執照,而是數據」,「我們必須在客戶需要這些服務的時間與地點,將服務嵌入他們的生活中。……銀行服務將變得無所不在,但都不是發生在銀行裡」。大科技公司正在重塑金融行業。
不但金融服務是基於數據的,金融監管也是基於數據的,後者被稱為「監管科技」。依靠監管科技,監管機構可以採取基於風險和數據的監管,直接獲取被監管者的數據,更充分地利用和分析數據,更有效地監管各類金融市場主體。美國證監會在2008年金融危機後就開始在證券監管中探索運用人工智慧手段,並於2010年在執法部門內部設立了「市場情報辦公室」,以更好地運用數據進行監管。澳大利亞證券投資委員會建立的MAI系統,提供市場異常監測和實時報警。英國金融行為監管局利用機器學習工具對每天接收到的兩千多萬筆市場交易信息進行大數據處理,以發現市場濫用行為。在我國的證券執法前端,證監會通過電子預警、統計分析、數據挖掘等數據分析系統,實現交易行為與交易數據的實時監控和市場主體精準畫像,使證券欺詐等違法違規行為無處遁形。中國證監會於2018年印發的《監管科技總體建設方案》擬通過大數據、雲計算、人工智慧等科技手段對市場運行狀態進行實時監測,及早發現和及時處置違法違規行為。
在這一背景下的金融法,則是(包括企業信息和個人信息在內的)數據管理、共享與利用之法。信息之於金融市場非常重要,但信息不可濫用。在存貸款以及其他金融交易中,銀行獲取了客戶的有關信息,而客戶的這些信息其實就是其個人的一個縮影。這些信息的安全性備受客戶關注。銀行對客戶信息負有金融隱私權保護義務是長期以來形成的慣例。現在,銀行對金融隱私權的保護義務已成為各國金融法的一項基本要求,是世界各國銀行業務法的重要組成部分。
但是,由於金融法誕生於工業經濟社會,它對個人信息的保護只是嚴苛而已,談不上系統和科學。「金融隱私保護固然重要。但適度的共享、披露是金融市場克服信息不對稱的重要手段。在金融市場上,金融隱私披露或者說消費者對自身金融隱私的讓渡是金融契約得以建立的前提。過於嚴苛的隱私保護會加劇信息不對稱,不利於金融市場的健康發展。同時強調對金融隱私的絕對保護也不利於打擊腐敗、洗錢等違法犯罪行為。」信息社會的到來,計算機大規模使用的普遍化,大數據和人工智慧在金融業中的廣泛使用,凸顯了數據開放和共享的重要性。「未來的『銀行』將由數據驅動。……我們該做的不是停止分享,而是建立稽查系統和權限,讓分享數據變得更有效、安全。」
數據開放、共享甚至交易是大數據時代的必然要求。金融市場的運作依賴於信息,要求信息透明。而從另外一個角度看,金融隱私保護法和個人信息保護法實際上是在對抗、克制信息的透明。或者說是限制信息透明的邊界,劃定信息的收集、處理、保存、流動、共享的邊界,以實現個人利益、金融企業利益與社會公共利益的均衡。整部金融法,既是促進信息透明,克服信息不對稱之法,也是克制信息透明,為信息處理劃定邊界之法。金融法就是在這兩方面的約束與互動中處理信息問題的。這就是信息視角下的金融法。
四、大數據時代的個人金融信息保護法的轉型升級
傳統的金融隱私權保護法已然落後於時代,需要轉型升級到大數據時代的個人金融信息保護法。在大數據時代,個人金融信息保護法需要體現以下幾個方面的轉變:
(一)從隱私(權)單純嚴格保密到個人信息(權)全周期全方位保護
一方面,隱私權應進化為個人信息權。個人信息權這一概念遠遠超出了隱私權的範疇。個人信息權在客體範圍、權利性質、權利內容等方面遠遠超過了隱私權。我國正在區分個人信息權和隱私權的基礎上,制定專門的個人信息保護法。
另一方面,對信息主體的保護,不能單純是嚴格保密,而應該是數據全生命周期管理和全方位保護。數據全生命周期管理要求信息企業應根據數據流轉的全生命周期,在各環節採取有差異性的安全控制措施。例如,2012年澳大利亞對隱私法中的隱私原則進行了修訂,規定了個人信息從採集、存儲、安全、使用、發布到銷毀的全生命周期管理。全方位保護意味著賦予信息主體更豐富的權能。例如,歐盟一般數據保護條例(以下簡稱GDPR)確定數據訪問權,修改、刪除與限制處理信息權,拒絕權與免受自動化決策限制權,數據可攜帶權,被遺忘權等。我國個保法草案規定的個人信息權能也較為豐富。對個人金融信息保護,正在由「銀行義務本位」轉向「客戶權利本位」。
(二)從強調保密一端到保護與利用並重
傳統金融法只強調對個人金融隱私的保密,但大數據時代的金融法需要保護與利用並重。從美國金融隱私權保護法的發展歷程看,就經歷了一個從單純保密到保護與利用並重的過程。除了美國判例法對銀行客戶信息的保密之外,在制定法層面上,1978年的金融隱私法對銀行僱員披露金融記錄、聯邦立法機構獲取個人金融記錄的方式作出了限制。但1999年金融服務現代化法卻有了較大改進,該法規定了金融機構在處理消費者及客戶的非公開個人信息時,應遵守數據安全保護規則和隱私保護規則,允許金融機構將消費者信息與關聯機構分享,但金融機構需要履行通知義務並為消費者提供選出權。
我國也是如此。20世紀90年代我國制定的商業銀行法、證券法、保險法都規定了金融機構對客戶信息的保密制度,只強調保護一端。2016年的《金消保辦法》第三章專門規定了個人金融信息的保護,雖然仍是保護重於利用,但畢竟規定了個人金融信息使用管理和跨境流動制度等。未來我國的個人金融信息保護法應更加注重數據的利用。
(三)保護重點從事前到事中與事後
傳統的個人信息保護法注重從收集環節著手來保護信息主體。但這是遠遠不夠的。大數據時代的個人信息保護法,包括個人金融信息保護法,應將對個人信息進行保護的重點從事前轉移到事中、事後。在事中,個人要有權隨時行使個人信息權利,以對抗信息企業的不當處理。在事中,信息企業要進行隱私風險評估,在相應場景中具體地評估數據處理行為的風險,根據風險等級採取相應程度的管理措施。在個人信息資料庫出現洩露或被盜時,進行通知和報告。在事後,應該使受害的個人願意拿起法律的武器,起訴侵害個人信息權的當事人,並且要使真正的受害人能夠勝訴。
(四)從數據封閉到數據開放
由於保密制度的嚴格要求,以前金融機構的數據都是封閉的,至多在本金融集團內部共享。徵信制度的建立,使得徵信信息匯聚於徵信機構這一樞紐,但不同的金融機構之間不能直連,金融機構更不會與第三方的非金融機構共享信息。
但是,2018年以來,一場名為「開放銀行」的金融變革引爆全球。開放銀行其實就是開放數據。開放銀行賦予了用戶發起數據共享的權利,其源於「數據可攜帶權」。2018年的歐盟《第二代支付服務法令》要求銀行向第三方機構開放支付接口。賦予用戶對其帳戶信息的控制權,銀行應在用戶要求時,向第三方開放用戶數據的訪問權限,即使該第三方與銀行並不存在任何合同關係。
從銀行服務提供方式的角度看,銀行發展至今經歷了四個階段:銀行1.0,網點服務階段;銀行2.0,自助銀行階段;銀行3.0,基於網際網路的銀行服務階段;銀行4.0,銀行即服務階段。即在銀行4.0階段,銀行成為服務平臺,通過技術,隨客戶所需,即時提供內嵌的、無所不在的銀行服務。人們可以通過自己的授權讓第三方自由使用自己的金融數據,創造了讓自己享受更全面更優質金融服務的可能性。在銀行4.0階段,銀行服務是完整的,背後由哪家銀行提供不再是重點,而是由銀行或第三方來提供無所不在的銀行服務,即跨越時間和媒介的銀行服務。法律打破了銀行對數據的壟斷,雖然對於銀行短期不利,但也是銀行正視競爭的開始,或許是未來銀行的起點。在我國,有的銀行已經覺察到開放銀行帶來的新契機,開始嘗試數據開放,但掣肘於技術、組織和法律的滯後。
(五)從財產利益獨享到財產利益共享
無論是主張個人信息的財產利益歸個人所享有,還是主張歸收集者即信息企業所享有,都是一種獨享機制。主張個人信息的財產利益歸個人所享有的觀點,正確地看到了個人對其信息所享有的原初的財產利益,有利於發揮個人開放、共享其個人信息的積極性,但卻忽略了信息企業的利益,忽略了信息企業對個人信息收集和加工所付出的勞動。主張個人信息的財產利益歸收集者即信息企業所享有的觀點,正確地看到了信息企業所付出的勞動,有利於發揮信息企業收集、處理個人信息的積極性,但卻忽略了廣大信息貢獻者——個人——的利益,忽略了個人對其信息的產生所付出的勞動。未來的出路應該是共享機制,既應承認和保護個人對其個人信息所享有的財產權益,也應承認和保護信息企業因其收集、保存和加工、處理所付出的勞動而對個人信息所享有的財產權益。
當然,金融信息除了個人金融信息之外,還有企業金融信息。企業金融信息可以分為公開的企業金融信息和未公開的企業金融信息,前者如上市公司對外披露的信息,後者如還處於保密狀態的企業信息。對於非公開的企業金融信息,符合商業秘密條件的,可以作為商業秘密予以保護。對於公開的企業金融信息,可以視為披露方已經放棄了商業秘密,不再作為商業秘密予以保護。
個人金融信息保護法是個人信息保護法的特別法,它具有一般個人信息保護法的一般特徵,但也具有金融行業的特殊性,這一特殊性是根據個人金融信息的特殊性而產生的。
五、大數據時代個人金融信息法律保護的回應
(一)明確信息和數據的權屬
黨的十四屆四中全會決議指出,要「健全勞動、資本、土地、知識、技術、管理、數據等生產要素由市場評價貢獻、按貢獻決定報酬的機制」。而要由市場評價數據的貢獻,讓數據參與報酬的分配,則需要明確數據的權屬。
金融個人信息的形成是多主體交易活動動態積累的結果。基礎信息源於客戶的最初金融交易和日常消費活動,金融機構有可能對這些信息運行收集、保存、分類、整理、聚合、挖掘,使之變成更高價值的數據產品。因此,個人與金融機構的利益都應該得到承認。「將金融隱私信息的產權僅僅界定給消費者或金融機構一方,並不是最優的選擇,而由其兩者共同享有能夠帶來社會福利最大化的結果。」
筆者認為,應該根據個人信息的不同種類分別配置不同的產權。具體到個人金融信息而言,其中的個人身份信息和個人財產信息由於是客戶個人自己整理、提交的,因此其財產權益完全歸屬於個人。大部分個人財務信息(客戶個人自己整理、提交的財產信息除外)和預測個人金融信息的財產權益為個人與金融機構所共享。在前述個人財務信息中,個人的份額大於金融機構的份額。在預測個人金融信息中,金融機構的份額大於個人的份額。至於具體比例為何,則交由市場決定,即金融機構在合同中提出一個分配比例,個人有權通過選出或選入權的行使表示接受或不接受。
(二)明確相關法律之間的關係
個人信息保護法、消費者權益保護法、金融消費者保護法與個人金融信息保護法之間的關係應該是:金融消費者保護法是消費者權益保護法的特別法,兩者對(金融)消費者的傾斜保護遵從同一邏輯。個人金融信息保護法是個人信息保護法的特別法,兩者對個人(金融)信息的保護遵從同一邏輯。個人信息保護法與消費者權益保護法儘管有交叉,但基本邏輯並不相同。個人信息權與消費者權利有重合、交叉,但個人信息權並不是消費者的新型權利,個人信息權的保護並不以存在消費關係為前提。政府部門、公益事業單位等所有單位所收集的個人信息同樣需要遵守個人信息保護法。個人金融信息是個人信息的種類之一。金融機構對個人信息的保護也並不以存在消費關係為前提。因此,個人金融信息保護法並不從屬於金融消費者保護法,在金融消費者保護法中規定個人金融信息的保護僅僅是權宜之計。長遠地看,個人金融消費保護法律制度應單獨制定。個體工商戶作為中國特有的概念之一,在性質上屬於商個人,為了對商主體進行一體保護,既然企業(金融)信息不適用個人(金融)信息保護法,那麼個體工商戶的(金融)信息也不應適用個人(金融)信息保護法。此外,不以個人(金融)信息保護法保護個體工商戶的(金融)信息,不提供如此高強度的保護,也有利於保護其競爭者和交易對手(尤其是消費者)的利益,因為個體工商戶的信息比個人信息的公共性強。
(三)發展數字信譽評分業務
央行有關官員不承認數字信譽評分為徵信業務,並認為「大數據不可直接用於徵信」。但他們也承認:「大數據可用於風控。數據公司通過數據挖掘、數據加工、應用程式開發、數據產品開發,為信貸機構或其他機構提供風險管理等服務,對企業的管理水平有重大影響,對徵信具有一定的輔助作用。」
既然如此,就不宜將大數據評分和「畫像」認定為「徵信業務」,建議在正式的法律法規或規範性文件中明確大數據評分和「畫像」與「徵信業務」的界限,即只要大數據評分和「畫像」不涉及信貸類數據的採集,就不構成徵信業務。同時,鼓勵數字信譽評分業務的發展,通過制定專門的規範,引導其沿著正確的軌道發展。
(四)克服金融體制的不利影響
無論是個人信息保護法,還是金融管理部門制定的專門的個人金融信息規範,均應對金融機構和非金融機構提出一體要求。在美國,金融現代化法對個人金融信息的界定主要依賴「金融活動」這一概念。任何顯著從事金融活動的機構,無論是否持牌,均是金融機構。這些機構在從事金融活動過程中提供的任何產品或服務,都是金融產品或服務。個人金融信息主要是指,這些金融機構要求消費者提供的或與消費者互動過程中產生的非公開個人信息。目前,在我國的機構監管理念之下,很難鬆動「金融機構」的定義,但可以通過對「金融業務」的擴大解釋,擴大個人金融信息專門規範的管轄範圍。非金融機構也可能會從事金融業務,而只要其從事了金融業務,其收集的個人信息就屬於「個人金融信息」,就必須適用個人金融信息保護的專門規範,金融監督管理部門就可以以功能監管和穿透式監管原則,對非金融機構違法收集和處理個人金融信息的行為進行執法和處罰。
為了避免與全能銀行競爭的劣勢地位,美國1999年金融服務現代化法規定了客戶信息在金融控股公司內部的關聯企業之間的共享,客戶不享有選擇退出的權利。韓國也步其後塵,允許金融控股公司內部可不經客戶同意而進行數據共享。我國也可採取美國式的做法允許集團內部自由共享客戶信息,但既然金融集團之間享有全能銀行制下的權利,也應盡全能銀行制下的義務,即金融控股公司及其子公司應為個人金融信息的侵權承擔連帶賠償責任。
(五)對個人金融信息中的財務信息實施特別保護
各國對於敏感信息的範圍界定並不完全一致,「重疊共識」的前十大敏感信息依次是:健康信息、宗教信仰、政治觀點和黨派、性生活或性取向、民族或種族、工會身份、哲學或道德信仰、犯罪記錄或行政訴訟、基因信息、生物特徵。但有一些國家和地區將金融財務信息認定為敏感信息,例如英國、美國和日本。
有學者通過對200個數據洩露案例進行的統計分析表明,財務信息被洩露、盜取的最多,被侵犯的概率最高。換言之,犯罪分子最感興趣的其實是個人財務信息,而不是健康信息、宗教政治信息等。法律應該將個人財務信息視為敏感信息,對它的保護力度不能低於對健康信息、基因信息等的保護力度。
我國國家標準《信息安全技術個人信息安全規範》的做法是正確的。該標準不但規定個人金融信息屬於個人敏感信息,而且還規定收集個人敏感信息時應遵循的嚴格要求。該推薦性標準中的有益規定已經被個保法草案所採納,即將上升為具有強制性的法律制度。
為了切實保護個人敏感信息的安全,還有必要規定,非法收集的信息不得使用。明知是非法收集的信息而使用的,構成非法使用個人信息的違法行為。數據處理者應對外採的第三方數據的合法性盡普通注意義務,要對第三方採集數據的合法性進行必要的審查。「毒樹」之果不可食。
此外,金融機構對其收集的含個人財務信息的數據對外流動時,除了遵守知情同意原則之外,還應對數據接收方處理該等數據的合法性盡注意義務和承擔連帶責任。金融機構不能確保接收方處理該等數據的合法性的,或不願意承擔連帶責任的,就不要向其傳輸該等數據。
除了金融機構掌握個人的財務信息之外,稅務部門、財產登記部門、單位的財務部門也掌握了個人的財務信息。個人信息保護法應將所有的財務信息進行同等強度的保護,而不論其掌握在誰的手中。
(六)完善事中和事後保護機制
第一,承認個人信息權,規定個人信息權的諸項權能。應承認個人信息是一項權利。GDPR規定了個人信息的諸項權利(權能),我國為何不承認個人信息是一項權利呢?不承認個人信息是一種權利而僅僅是一種利益的觀點,其實是在侵權法(尤其是在德國侵權法)的語境中進行探討的。跳出侵權法,站在整體民事權利的視角看,既然民法總則規定了自然人的個人信息受法律保護,並規定了相關義務人的義務,而且承認「權利是法律保護的利益」,則個人信息權是可以成立的。
第二,引入個人信息風險評估制度。隱私風險評估是一種貫穿數據處理生命周期全程的動態控制,以便將隱私風險控制在可接受範圍內。GDPR也規定了數據保護影響評估制度。我國應規定金融機構對個人金融信息進行大規模處理的,應進行隱私風險評估,並採取相應的保護措施。
第三,引入經設計的隱私理念。域外不少個人信息保護法都規定了經設計的隱私理念,如GDPR第25條以及韓國的個人信息保護法。經設計的隱私理念強調事先積極預防,主張從一開始就將個人信息保護的需求通過設計嵌入系統之中,成為系統核心功能的一部分,成為商業實踐的默認規則,給予個人信息全生命周期的保護。
第四,完善法定賠償制度。法律應該規定,如果信息企業收集的個人信息出現洩露、被盜、非法出售、非法使用、非法提供等情形,從而給個人信息主體造成損失的,收集者應對受害人受到的實際損失承擔連帶賠償責任。如果受害人的實際損失難以證明,則應對每個受害人至少賠償一定數額(如2000元人民幣)的法定賠償金。受害人受到的實際損失小於該法定賠償金的,受害人可直接主張法定賠償金。
第五,引入舉證責任倒置規則。由於技術的不對等,個人信息權受到侵犯,個人也難以舉證證明,大多數受害者只能聽之任之。因此,在法律制度層面就需要對此加以平衡。要降低信息主體的舉證責任,要求信息處理者證明自己沒有不法行為。《德國聯邦數據保護法》第7條第2款規定了舉證責任的倒置,由被告來證明其行為並不具有故意或者過失。GDPR第82條也規定了舉證責任倒置規則:因違反本條例而受到物質上的或非物質上的損害的任何人,都享有從控制者或處理者處獲得賠償的權利;涉及數據處理的任何控制者對因進行違反本條例的數據處理而導致的損害負有賠償責任,而處理者僅在沒有遵守本條例具體指示給處理者的義務時,或者其行為已經完全脫離或違背控制者的合法指令時才對因數據處理產生的損害負有賠償責任;數據控制者或處理者若能證明無論如何其都不應對引發損害的事件負時,則可免除其賠償責任。我國也應該採取舉證責任倒置規則。
(七)完善保密規則的例外情況
我國商業銀行法規定了銀行對客戶的保密義務。當然,銀行的保密義務並不是絕對的。在英國銀行法中,在特定情況下,銀行的保密義務可以暫時解除。在我國,法律另有規定的,有關機關可以查詢個人儲蓄帳戶。比如,民事訴訟法第242條、刑事訴訟法第144條、海關法第6條、稅收徵收管理法第54條都有例外規定。美國金融服務現代化法第502條規定,依據公平信用報告法向信用報告機構披露信息的,銀行不必向消費者提供選出權。新加坡2012年個人數據保護法規定,個人數據是由徵信機構從其成員處收集用於製作信用報告的,或為了機構向他人行使債權清償債務而收集數據的,可以不經個人同意而收集、使用、披露其信息。英國2017年數據保護法(草案)則規定,在保險合同中,如果數據控制者無法合理期待獲得數據主體的同意時,可以未經數據主體同意而合理處理個人信息。
從我國的立法實踐來看,民法總則、網絡安全法等相關法律均未規定不經本人同意即可收集個人信息的情形。《信息安全技術個人信息安全規範》彌補了上述法律的不足,它規定在若干情形中,個人信息控制者收集、使用個人信息無需徵得個人信息主體的授權同意。我國應在法律中規定,個人金融信息中的違約信息和借貸敞口信息,可以不經個人同意,而由經金融監管部門依法批准的徵信機構或與個人發生交易的金融機構強制收集、使用和披露,或由金融、稅務、工商、海關、法院等部門直接將行政處罰信息、裁判及執行信息與金融機構、徵信系統共享。
(八)推動數據開放共享
在對個人金融信息能夠做到切實、有效、嚴格保護的基礎上,方可放開包括個人金融信息在內的數據的開放、共享甚至交易。數據天生有流動的需求,數據在流動中增值。數據不僅僅需要在金融集團內部共享、流動,也需要對外開放、共享、交易、流動。開放銀行建設就肩負著這一使命。
個人金融信息中的財務信息以及身份信息,要麼高度敏感,要麼是個人直接提交的,因此,對個人財務信息的採集與開放、共享、交易,應該採取最嚴格的授權規則,即紙面方式選擇進入規則。當然,由於個人身份信息是個人主動提交的,提交行為本身可以視為一種採集授權。對個人身份信息的開放、共享、交易,也應採取紙面選擇進入規則,但對於個人金融信息中的預測信息的開放、共享、交易,則可以採取電子方式選擇退出規則。
既然個人身份信息的財產權益為個人所獨享,則其開放、共享、交易所帶來的收益,信息企業可以在扣除必要的成本、費用後分配給個人。既然個人財務信息、預測個人信息為個人信息主體與信息企業所共享,但兩類主體的具體份額有別,則其開放、共享、交易所帶來的收益,在扣除必要的成本、費用後,也應該為兩類主體按份額進行分配。當然,鑑於單個的個人信息價值還比較微小的特點,在個人信息的分配上,還可以採取基金機制,信息企業應將在大數據開放、共享、交易中個人應得的部分繳付於「個人信息分配基金」,當個人收益超過分配成本時分配給相關個人,當個人收益小於分配成本時暫不分配或者在個人同意的前提下用於個人信息保護等公益目的。總之,未來的大數據時代,合作共贏才是王道。
微
博
抽
獎
接下來我們將贈書6本,由上海市第一中級人民法院行政庭庭長周峰所贈的《建設工程施工合同糾紛裁判精要》。
該書立足審判實踐,從建設工程施工合同的法律性質、建設工程施工合同糾紛案件的特徵入手,總結出該類案件的審理要點,然後從實務角度出發,具體分析了建設工程施工合同的效力、建設工程施工合同的履行、建設工程價款結算、建設工程施工合同中的違約責任、建設工程價款優先受償權制度以及司法鑑定制度在實踐中的正確運用等問題。
請各位讀者朋友關註上海市法學會官方微博,轉發+關注,參與此次抽獎,我們將於1月11日上午9:30微博公布抽獎結果。如中獎,請在微博平臺及時與我們取得聯繫。#微博學法律#,#分享有好運#!
打開微博
掃描右側
二維碼
參與抽獎
上海市法學會歡迎您的投稿
fxhgzh@vip.163.com
相關連結
《東方法學》2021年第1期目錄張文顯:習近平法治思想的基本精神和核心要義黃文藝:習近平法治思想中的未來法治建設思想研究來源:《東方法學》2021年第1期(總第79期)。轉引轉載請註明出處。
原標題:《邢會強:大數據時代個人金融信息的保護與利用》
閱讀原文