文 / 中央财经大学法学院 邓建鹏 周和平
个人金融信息,又称消费者金融信息,是自然人从事金融活动形成的个人信息。在数字化时代,数据已然成为继农地、劳动力、资本、技术以后的关键生产要素,而个人金融信息是大数据时代下的重要数据来源之一,极具商业价值,往往为一些商业机构或个人所垂涎,因此造成各类风险亦层出不穷。
中央财经大学法学院院长 邓建鹏
个人金融信息安全面临的严峻挑战
在“数据为王”的当下,各类信息中,个人金融信息的经济价值愈发彰显。金融机构大量搜集个人金融信息,并运用大数据、云计算等技术进行剖析,描绘出包括人口统计学特点、消费能力数据、兴趣数据、风险偏好等内容的顾客画像。这些措施有利于金融机构进行身分认证、精准营销、加强风险管理与控制和优化营运等,虽为金融消费者的生活带来不少便利,但同时也导致了一些人借此机会非法搜集别人的个人信息、甚至是滥用和泄漏个人金融信息等问题。
在2020年上半年,一家著名建行分支机构在未经顾客授权同意的情况下,向第三方提供顾客的个人建行帐户交易明细,此事引起社会广泛关注。事发后,银保监会及时对该建行启动了结案调查程序,认为建行分支机构违反了为存款人保密的规定,并且严重侵犯了金融消费者的信息安全保障权益。针对该建行分支机构所犯的错误,该机构很可能因而面临严厉的监管处罚。另据统计,最近几年个人金融信息泄漏风波的年增长率高达35%,这也突显出金融机构对于保障金融消费者的个人金融信息安全及相关权益面对前所未有的挑战。
个人金融信息保护的立法推动与反省
面对个人金融信息安全遭到侵犯的严峻形势,我国陆续颁布了诸多相关法规,以此来强化对个人金融信息安全的保护。
《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)首次明晰规定了“个人金融信息”的概念及范围,并确立了个人金融信息的使用原则和基本保护框架。2015年《刑法修正案九》将“侵犯公民个人信息罪”作为现行《刑法》第二百五十三条之一,严重侵犯个人金融信息的行为会遭到民事处罚。《中国人民银行金融消费者权益保护施行办法》(银发〔2016〕314号)拓展了金融机构的外延,相应扩大了“个人金融信息”的范围,同时在第三章对个人金融信息保护作出专门规定。《最高人民法院、最高人民检察院关于代办侵害公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)明确了“个人信息”的概念以及侵害公民个人信息罪的具体量刑定罪标准,进一步强化了对侵犯个人金融信息安全犯罪行为的严打力度。将于2021年施行的《民法典》,对个人信息保护作出了详尽规定,从定义、处理原则、条件和免责事由,到主体权力和与之对应的信息处理者的信息安全保障义务,再到公权力机关及其工作人员的保密义务,构建了一个较为完整的个人信息保护框架。另外,2020年2月央行发布了《个人金融信息保护技术规范》,为金融机构强化个人信息保护的合规建设和金融监管机构的监督、执法工作提供参考。
通过上述法律法规和规范文件可知,我国已建立了针对个人金融信息保护较详尽的法律框架,但依然存在众多问题。
第一,个人金融信息保护的专门立法缺失,法律体系的整体协调性有所不足。我国对个人金融信息保护的法律规定比较分散,对其相关的问题欠缺统一规定,且大多数作为部门规章、规范性文件或推荐的技术标准,法律位阶和层次较低,难以满足当前金融消费者对个人金融信息安全保护的急切需求。《民法典》与《刑法》的相关规定并非个人金融信息领域的专门立法,难以在金融机构举办具体业务及个人金融信息保护时提供有针对性的规范指导或参考根据。
第二,对于非持牌机构的金融关联业务,我国当前采取的法律规制和举措不够。相较于持牌金融机构,非持牌机构举办金融关联业务时,往往同样搜集了大量个人金融相关信息,其搜集范围甚至超过了必要的程度,这样就存在更多的信息安全隐患。不过,目前央行等金融监管机构已颁布的法规主要针对建行、保险、证券或第三方支付等持牌金融机构,而对于进军金融科技的非持牌机构(如联通电商与移动社交大鳄)只有较少的个人金融相关信息保护的规定。
第三,针对个人金融信息的救济制度不健全。目前我国对个人金融信息的保护更注重于行政、刑事救济,这促使权益因而遭到侵害的个人缺少足够动力去监督、起诉违法者,从另一个方面来讲,这也负面影响到相关部门对个人金融信息的有力保护。
个人金融信息保护的路径
针对个人金融信息保护领域的严峻挑战和存在的问题,我们觉得,加强个人金融信息的保护,亟待立法部门、金融机构和金融监管部门等产生多方合力,从立法、金融机构内部合规控制和监管执法三个层面进行综合审视和制度设计。
1.逐步建立个人金融信息立法。首先,要推动促进个人金融信息保护的专项立法进程,制定一部系统性的个人金融信息保护法。在具体操作层面,可借鉴当前《个人金融信息保护技术规范》,将个人金融信息根据敏感程度从高到低进行分类,针对不同级别的信息采取对应层次的更有针对性的保护举措;还可采取“分步走”的形式逐渐加快,央行将《个人金融信息(数据)保护试行办法》列入2019年度规章拟定计划当中,在落实实行该《办法》、梳理整合个人金融信息保护的相关法律规定的基础上,制定一部个人金融信息保护法,对其要素,如概念及范围、保护原则、各方主体权责、救济举措与刑事赔付等各方面加以全面规定。其次,要加大对非持牌金融业务关联机构的法律规制,将其列入到个人金融信息保护的法律体系内。最后,要建立个人金融信息的救济机制。公法救济方面,如行政和民事处罚,它们尚且可以有力地保护个人金融信息安全,但其执法成本高,而且民事处罚的适用条件较为严格,在大多数情况下,这并不适宜拿来作为个人金融信息保护的日常救济手段。因此,完善相应的刑事救济和赔付机制便成为了相关立法的必然选择。具体来说,可以筹建个人金融信息领域的过失推定责任制度、公益诉讼制度、精神损害赔付制度,还可规定由金融机构承当有关个人金融信息泄漏案件的举证责任。
2.强化金融机构的内部合规控制。据Verizon发布的《2019年数据泄漏调查报告》显示,36%的数据泄漏是由机构内部人员引起的,因此,金融机构“内鬼”逐渐成为数据泄漏的重要诱因。我们觉得,金融机构应重点关注以下四个方面:一是加大对相关工作人员的法规知识教育与培训,强化其对个人金融信息的安全意识。组织接触个人金融信息的职工学习关于个人信息保护的法律法规;相关人员在上岗前必须接受培训,并签订对个人金融信息保密的承诺书。二是设置接触个人金融信息的专岗和访问权限,并重视对访问的网路留痕,比如以存留访问记录的形式,对个人金融信息的接收者、变更者以及中间经手人员留下详尽的数字化记录,以便为将来出现风险事件后的查询与问责提供证据。三是建立内部的监督和惩罚机制。在金融机构内部,设置个人金融信息安全监督机制,定期进行自查,及时弥补殃及个人金融信息安全的漏洞;对违犯国家、行业和机构内部关于个人金融信息保护相关规定的人员进行严厉处罚,如给以降级或解雇等;当职工严重侵犯个人金融信息安全时,还应移交司法机构,追究其刑事责任。四是建立技术防护体系,提升个人金融信息的保护能力,比如设置双重密码认证、进行系统监控和实时检测等。
3.强化对个人金融信息的监管力度。信息安全权是金融消费者的一项重要权力,保护个人金融信息安全是保护金融消费者的应有之义。我们觉得监管部门可从以下几点入手:第一,金融监管部门可参考《个人金融信息保护技术规范》,制定明晰的个人金融信息保护的监管标准,开展经常性的工作指导和风险提示;同时重视监管合作,破除数据壁垒,切断借助个人金融信息犯罪的产业链。第二,金融监管部门要强化对非持牌金融业务关联机构的指导和监管力度,指导其制订保护个人金融信息安全的内部管理制度;同时,由于金融风险的传导性,可考虑将其等同于持牌金融机构进行监管。第三,要严格执法,完善公示惩治机制,加大对侵犯个人金融信息安全行为的严打力度,并借此来提升违规成本。第四,推动和落实金融机构对权益遭到侵犯的消费者的刑事赔付,激励金融消费者的外部监督作用。
