数据共享背景下的金融隐私保护
2017-03-14何颖
何颖
(华东政法大学经济法学院,上海200042)
数据共享背景下的金融隐私保护
何颖
(华东政法大学经济法学院,上海200042)
金融隐私权是隐私权理论在金融领域的延伸,金融消费者信息安全权以及金融机构对应的保密义务仅是金融隐私保护的内容之一。在互联网金融行业,个人信息数据日益显示出其商业利用价值,因此需要处理背后各方的利益冲突问题。良好的法律约束机制是平衡金融业经营者的信息共享需求与消费者的隐私权益冲突的有效手段。需借鉴欧美金融隐私保护制度经验,特别是欧盟《一般数据保护条例》的规制做法,在允许信息共享的同时保护消费者的基本隐私权利。
隐私权;金融隐私;信息隐私;信息共享;一般数据保护条例
2016年中国互联网金融行业市场规模约为17.8万亿,未来五年行业年均复合增长率约为24.67%,到2020年预计将达43万亿。而我国目前拥有超过1000万家传统金融机构覆盖不到的实体企业,互联网金融市场发展潜力巨大①互联网金融CEO说:“2016年中国互联网金融行业市场规模将达17.8万亿”,资料来源:http://mt.sohu.com/20160319/n441088124. shtml。。互联网技术的快速发展不断凸显“个人信息”的商业价值。对于互联网金融企业来说,个人信息具有更直接的经济意义,一方面,互联网金融企业需要获取潜在客户资料开拓、发展业务,另一方面,这些企业在提供金融服务同时取得的客户数据本身就是一笔关键财富。从而产生了一个十分重要的研究议题,即在基于大数据技术的互联网金融新业态迅速发展的背景下,法律应当如何保护个人隐私。
一、从金融业经营者的保密义务到金融隐私保护
2015年11月,国务院办公厅印发《关于加强金融消费者权益保护工作的指导意见》(下文简称《意见》),首次在法律文本中规定金融机构应当保护金融消费者的基本权利,其中包括“信息安全权”。为了保护金融消费者的信息安全权,《意见》进一步规定,金融机构应当采取有效措施加强对第三方合作机构的管理,明确双方权利义务关系,严格防控金融消费者信息泄露风险,保障金融消费者信息安全。此前,我国《消费者权益保护法》亦通过修订增加了第29条关于经营者对消费者个人信息的保护规则,其中规定经营者应采取措施保护消费者个人信息安全的规定,却并未明确任何权利。应当肯定的是,《意见》首次将对消费者个人信息的法律保护上升到了权利高度,为消费者维权提供了更明确的权利依据。《意见》的初衷是界定金融消费者的基本权利,用“信息安全权”等八项权利为金融消费者法律保护框架定下基调②例如,人民网:“金融消费者享财产安全权等八项权利研究建金融消费者权益保护特别法”资料来源:http://legal.people.com.cn/n/ 2015/1113/c188502-27814142.html。。
对此笔者认为,信息安全权这一概念具有明显的局限性,其在实质上并未突破现行金融立法对个人信息的保护水平,并且也不足以涵盖对金融消费者个人信息法律保护的方方面面。
首先,《意见》有关消费者“信息安全权”的规定尽管使用了新概念,在实质上并未超越现行金融立法有关金融机构保密义务的规则要求,即银行等金融业经营者对于经营活动中获得的客户个人信息承担着保密义务,除非有法律强制性规定,不得向任何第三人披露该个人信息。我国《商业银行法》第29条规定,商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款,商业银行有权拒绝任何单位或者个人的查询、冻结、扣划,但法律另有规定的除外。同样,《证券法》第38条规定,证券交易所、证券公司、证券登记结算机构必须依法为客户所开立的账户保密;《信托投资公司管理办法》第34条规定,信托投资公司应当为委托人、受益人以及处理信托事务的情况和资料保密。
其次,固然要看到当前金融领域个人信息安全问题比较突出,金融业经营者安全保障机制不到位,致使消费者个人信息频遭泄露和黑客窃取,加之经营者内部工作人员监守自盗屡屡见诸报端,使得如何保障金融消费者个人信息安全成为法律规制的重要议题。然而,金融消费者除了因为经营者对个人信息的保护不力致使信息泄露而遭受财务损失以外,更可能因为经营者对个人信息的不当收集、不当利用、不当共享而受损。譬如当前,银行等金融机构工作人员利用职务便利收集个人金融信息并出售给他人获利的相关案件报道层出不穷。个人征信报告、银行卡信息等本该属被严格保密的金融隐私,在这些银行工作人员手中,却被以一份十元到几十元的低廉价格大肆兜售。并且,经营者持有的个人信息内容有误或滞后等导致消费者信用或财务受损等事件也日益增多。
可见,无论是《意见》提出的消费者“信息安全权”还是现行金融法律中的“保密义务”规则,都只关注到了信息泄露导致对消费者权益造成侵害这一种情形。仅以“信息安全权”来概括对于消费者个人信息的权益保护可能会误导立法舆论,致使消费者大量应得到保护的个人信息权益领域处于空白之地。
金融业经营者为什么要向客户承担保密义务?理论依据何在?概括出来至少有三个来源:其一,基于隐私权保护及侵权责任理论。金融业作为典型的数据驱动行业,客户个人信息是金融企业赖以管理和控制风险、设计和营销相关金融商品与服务的重要依据。隐私的信息化在金融领域已相当普遍。个人因金融交易形成的个人信息属于隐私范畴,个人对此享有金融隐私权,金融业经营者则负有保密义务。金融业经营者未采取必要保护措施致其隐私遭到泄露或未经消费者同意披露其隐私即构成侵权。其二,源自合同法上的默示义务。金融业经营者与个人建立交易关系实质为合同关系。除了基于合同明确约定而产生的权利义务以外,英美法的司法实践中通过默示条款来补充合同约定之不足,其中就包括对客户信息保密等默示义务[1]4-8。其三,金融业经营者的保密义务还有部分源于信义义务理论。“信义”在英国早期衡平法上被用于泛指所有的衡平关系,其具体含义视特定法律关系而定,信义义务基于信义关系而产生。以银行业为例,当客户向银行寻求咨询服务时,或者银行向某交易双方分别提供金融服务时,银行与客户之间便存在信义关系。银行在此类交易中应当为客户利益而行事,不得使自己利益与客户利益相冲突,其中包括应当向客户披露业务中存在或可能存在的利益冲突信息。可见,信义义务理论仅对于存在利益冲突情形下的金融业经营者形成保密义务要求及例外规则,并不能涵盖诸如泄露或不当利用披露个人信息等常见情况,因此暂不作为本文讨论对象。
隐私侵权理论较之合同默示义务理论而言,优势显而易见:(1)基于隐私权理论的保密义务属于法定义务,金融业经营者的行为违反该法定义务造成损害后果即构成侵权,责任认定比较明确且有利于隐私权人;基于合同默示义务理论的保密义务则缺乏明确的法律依据,司法审判主观性较强,权利诉求和赔偿结果不确定。例如,美国法院虽然通过“彼特森”案确立了银行基于合同默示条款对客户的隐私权保护义务,但是在随后的“史蒂汶斯”案中,银行职员利用工作之便窃取了客户个人信息,法院却认为银行并非主动透露客户信息,因而没有违反默示的保密义务,进而驳回了被害人的诉讼请求[1]10-12。(2)隐私权理论及规范关注个人在侵权事件中的弱势地位,在立法中通过加重侵权人义务和责任给予个人倾斜保护。(3)侵权损害赔偿较之合同违约赔偿责任更为广泛,物质赔偿可能会适用惩罚性赔偿措施,并且还可能得到金钱以外的损失赔偿。
事实上,当前世界主要组织和国家的隐私法律文本,都已把对个人信息的保护作为隐私权保护的核心内容。亚太经合组织《隐私保护框架》(APEC Privacy Framework)、经济合作与发展组织《关于隐私保护与个人资料跨国流通的指针的建议》、美加会计师协会的《公认隐私保护准则》以及欧盟2016年《关于在个人数据处理方面对自然人保护和此类数据自由流动的第2016/679号条例》(简称《一般数据保护条例》),都在文本中明确将隐私保护规范的保护对象界定为“个人信息(personal in⁃formation)”或“个人数据(personal data)”,即指所有与可识别的个人有关的信息。包括任何能够连接到个人或者是能够直接或间接识别出个人的信息。
人类社会在近100年里已从电气时代进入了信息时代,信息取代了物质和能源成为主要社会资源。信息不仅成为具有经济价值的企业财富,也成为政府努力收集和占有的公共资源。个人的隐私权作为法律概念,其内涵和外延也在随之扩张。个人信息开始纳入隐私保护范围,隐私权的内涵除了强调私人的生活秘密,还包含私人相关信息的私密性,以及由此发展出的“自己支配自己资讯资料之作成、贮存与利用”的权利[2]。对此,英国内阁信息委员会办公室的《隐私影响评估手册》解释得十分清楚:从广义上讲,隐私是关于个人独处的权利。隐私的表现形式主要有两类:一是物理隐私,二是信息隐私。物理隐私是指个人保持物理空间或独处的能力。对物理隐私的侵犯表现为对个人家庭或财产不受欢迎的搜索、搜身或其他侵犯,以及监控或提取生物信息行为。信息隐私是指个人控制、编辑、管理和删除个人信息,以及决定个人信息披露方式和披露程度的能力。对信息隐私的侵犯表现为,对个人信息的过度收集,未经同意披露或滥用个人信息。通过在公开场合或私人空间对个人进行监控而收集信息,或者监控邮寄、电话、在线等方式下发送方或接收方记录、信息内容①英国内阁强制要求所有政府部门在处理涉及到个人信息的数据时都要根据《隐私影响评估手册》执行个人隐私影响评估工作。。
具体到金融领域,金融隐私权实质即是隐私权理论在金融领域的延伸。在信息时代,信息隐私较之物理隐私而言已经成为隐私权保护的主要对象,隐私权的内容也由围绕个人信息相关利益的一组权利组成。金融隐私权包括参与金融活动的消费者控制、编辑、管理和删除个人信息,以及决定个人信息披露方式和披露程度的各类能力,具体包括个人对个人信息的收益权、知情权、变更权、删除权、求偿权等权利。又由于金融交易活动的特殊性,金融隐私的具体内容“是具有财产利益的信息,以信用信息为核心,包括信息所有人经济与财产交易状况方面的信息,如信息持有者财产状况及其财产流向的信息。”[1]63例如,我国人民银行在2011年发出的《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)中首次使用了“个人金融信息”的概念,“个人金融信息是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:个人身份信息、个人财产信息、个人账户信息、个人信用信息、个人金融交易信息、衍生信息以及在于个人简历业务关系过程中获取、保存的其他个人信息”。
当代世界上大多数国家和地区,皆将对个人隐私的保护扩大至金融领域,隐私权理论和制度开始延伸适用至金融领域,保护金融消费者隐私权已成为世界主要国家和地区的共识。例如,经济合作与发展组织(OECD)2011年发布的《金融消费者保护的高级原则》,其中一项原则即是“消费者数据和隐私的保护”。根据该原则,成员国应建立合适的控制和保护机制来确保消费者的财务和个人信息的安全。这些机制应明确消费者相关数据的收集、处理、保持、使用和披露的目的,并赋予消费者拥有数据的共享、获取、及时纠正、删除不正确数据、不合法收集或处理数据的知情权。2016年4月,欧盟正式通过了《一般数据保护条例》(General Data Protection Regulation,GDPR),并将从2018年5月25日起正式实施。条例由11章共99条组成,这部具有里程碑意义的法规旨在加强对自然人的数据保护,并一统此前欧盟内零散的个人数据保护规则,同时降低企业的合规成本。该条例规定了个人信息保护的7条原则,并统一适用于金融领域②根据欧盟《一般数据保护条例》的规定,“该条例适用于有关个人数据的基本权利和自由的所有领域。”据此,除了远程金融服务仍适用欧盟2002年《远程金融服务指令》关于个人信息保护的规则以外,其他所有金融活动皆应适用该新条例的保护规则。。而美国1999年《金融服务现代化法案》则用第五章专门规定有关金融隐私(Financial Privacy)保护的问题,该隐私条款适用于所有金融机构。
二、金融隐私保护与信息共享的冲突
近年来随着人类技术创新和数字设备的普及,大量的数据从各种各样的数据源头通过不同渠道快速产生,海量数据增长逐步衍生出一个新概念——大数据(big data)。大数据不仅强调数据巨量,更强调从海量数据中快速获得有价值信息和知识的能力。个人信息经过转化成为电子数据,海量个人信息的收集和利用变得易如反掌,信息共享和开放成为常态。企业尤其是金融等服务型企业,通过分析个人信息的大数据资源可以为人们提供更贴心、更个性化的服务。金融企业对数据资源的迫切需求,加之各种大数据共享网络以及数据挖掘技术的发展,使得数据共享、数据开放成为趋势,个人信息的第三方共享、交易和传递在金融领域成为普遍现象。与此同时,信息共享与金融隐私保护之间的确存在利益冲突也日益突显出来,个人隐私的泄露和信息滥用问题渐受重视,金融业经营者的保密义务是否足以保护消费者隐私权益开始受到质疑。
蚂蚁花呗是由浙江蚂蚁小微金融服务集团有限公司(简称“蚂蚁金服”)下属的两家全资子公司推出的一款消费贷款业务,蚂蚁金服同时又与淘宝网、天猫商城皆隶属于阿里巴巴集团。蚂蚁花呗向用户提供一定信用额度内的透支消费服务,对于到期未清偿欠款的用户也有类似信用卡的逾期罚息规则,其实质相当于信用卡业务,并且淘宝网、天猫商城的用户可以在购物时选择使用花呗付款。2015年9月,有用户使用蚂蚁花呗的赊账消费功能后逾期未还款,花呗的催收人员在该欠款人支付宝的记录上发现,欠款人给第三方送过粽子,收货人信息留有该第三方的联系电话。由于通过用户的绑定手机一直无法联系到用户本人,花呗工作人员就电话联系到了这个第三方,要求其协助联系欠款人。后者进而在知乎上发帖质疑蚂蚁花呗此举“侵犯了个人隐私”[3]。本案中,蚂蚁金服集团下属蚂蚁花呗利用同属集团内企业的淘宝网个人用户大数据信息以追讨债务,被用户质疑涉嫌侵犯隐私。
上述事件中,蚂蚁花呗的用户交易记录信息来自于阿里巴巴的大数据生态链条。也就是说,只要使用过阿里巴巴的服务,如淘宝、支付宝、天猫等,个人数据就会被阿里巴巴收集并整理。对此,蚂蚁金服集团在其《蚂蚁金融隐私权政策》明确规定,“为了向您提供或推荐服务、产品,或为了向您提供更完善的服务,或者为了让您拥有更广泛的社交体验,我们会在蚂蚁金服内部以及与包括阿里巴巴集团旗下公司在内的第三方共享您的相关信息。”并且还规定,“为维护蚂蚁金服及阿里巴巴集团旗下公司和其他蚂蚁金服用户的合法权益”,蚂蚁金服有权共享用户信息。
考察金融业务实践可知,金融业经营者对客户信息的内部共享甚至与外部第三方共享的确有其合理诉求:(1)金融综合经营和集团化经营趋势使得客户的个人信息资源共享成为必然。随着我国《商业银行法》《证券法》等金融立法陆续修订正式结束了金融分业经营时代,各金融控股公司利用集团化优势开展综合经营成为常态[4]。个人信息已成为金融企业的财富和重要资源,集团内部共享可以降低经营成本和风险管理成本。实践中,金融集团出于降低交易成本、防范风险、业务发展等的经营需要,往往在集团内部甚至与外部第三方共享用户个人信息资料,通过统一制定的隐私政策尽可能扩张己方权限,并取得用户授权。实践中,金融集团内部各企业之间共享用户个人信息的现象十分普遍。金融集团往往在控股公司层面制定统一适用于整个集团的隐私政策,并在其中规定用户将个人信息授权给集团内部所有企业甚至面向外部第三方进行共享。例如,《蚂蚁金融隐私权政策》规定,“我们(蚂蚁金服)对您的信息承担保密义务,但我们有权在下列情况下将您的信息与第三方共享……”(2)新兴的各类互联网金融产业通过用户信息的外部共享,可以有效地防范经营风险。例如,我国目前P2P平台数量已超过1400家,但是“信息孤岛”现象一直是困扰P2P网贷行业发展的瓶颈:一方面由于缺乏权威的信用查询平台,使得各家P2P企业的信贷审查成本居高不下;另外一方面,由于缺乏有效的信用信息共享机制,P2P平台对于借款人是否在其他平台发布同样用途的借款项目根本无法查证,因此产生的“一人多贷”问题致使积累大量信贷风险。2015年9月,中国支付清算协会互联网金融风险信息共享系统正式上线。该系统可将多个互联网金融平台分散的数据有机整合起来,形成借款人用户信息共享机制,有效避免“一人多贷”等不良现象发生[5]。金融创新对于用户信用信息的数据共享的迫切需求,催生了互联网征信产业的迅速发展。互联网征信使得用户信用信息在金融市场上得以共享,授信人在从事赊销、信贷等活动中能够较为充分地获知被授信人的资信状况,进而做出理性的金融决策[6]。并且,征信系统可以披露、记录相关人的不良征信信息,进而可以巩固交易双方的交易关系,增加交易安全。(3)互联网大数据和传统金融机构的数据分享融合后,能产生全新的投资价值,创造新的金融业态和市场。例如,众安保险是由由阿里、腾讯和平安集团联合出资成立的互联网保险公司,其基本业务模式就是通过与电子商务公司合作,基于用户在网络交易场景下产生的各种数据资源开发出相应的保险新品种。在2015年“双11”期间,众安保险销售的“退货运费险”“物流破损险”“手机意外险”等新险种近2亿保单,保费收入超过1.28亿元。
但是,金融业经营者在实现信息共享诉求的同时仍然承担着对消费者隐私的保护义务。如果处理不好,金融业经营者出于自己利益需求极易可能滥用信息共享机会,进而侵害隐私权益。实践中,经营者往往会利用格式条款的“要么同意,要么走人”的缔约特点扩张自己利益,减损对方权益。在互联网金融业务中,经营者为了在个人信息的收集和共享上获得尽可能的自由和利益,往往在格式条款中要求消费者给予最大限度的授权①例如:平安集团在其《隐私保密声明》中这样规定:“平安集团会对通过本网站收集的个人信息保密,但平安集团可能会把该等数据提供给下述各方作第(b)段列出的用途:i.任何代理人、承包人、或向平安集团提供行政、电讯、计算机、付款或证券结算或其它与平安集团业务运作有关服务的第三方供应者;ii.任何对平安集团有保密责任的人士,包括已承诺为该资料保密的平安集团的关联企业及其分支机构;iii.平安集团包括所有分支机构有法律义务对之披露的任何人士;iv.平安集团的任何实际或建议承让人或平安集团对客户的权利的参与人或附属参与人或受让人。”。
在前述案件中,消费者在网上如果点击了“开通蚂蚁花呗”的确认键,即被认为是“同意《蚂蚁花呗用户服务合同》,《芝麻信用服务协议及授权》”。这些合同中包含有这样一条合同条款——“当您违反本协议约定时,为维护服务商的合法权益,向与服务商合作的律师事务所、催收公司,及服务商认为可向您传达信息的亲戚朋友、联系人等披露您的违约信息”(蚂蚁花呗页面),这也正是蚂蚁花呗据此向第三人进行催债的依据。应当承认,本案中该用户的确有欠款逾期未还的违约行为在先,蚂蚁花呗据此主张,“提醒还款的目的除了避免坏账,保障蚂蚁花呗服务的长期运营之外,更是为了避免客户因为非主观原因忘记还款导致的逾期利息和信用记录受损,这是信贷行业的常规做法。”关系人催收的确是银行等信贷服务业者的一种通用做法。以银行卡为例,欠款人逾期不还超过规定期限的,银行一般会以短信、语音、人工电话等方式提醒用户。如果用户仍不还账,或者遇到欠款人失联等情况,银行会开始施压性催收,方式包括联系关系人等催收方式,严重的甚至会采取法律手段。但是对于关系人的指定和联系的可能性等信息,银行会在与个人签订贷款合同时即予以告知并由借款人指定。也即,向提供关系人信息用于银行的贷款管理是借款人明知并明示同意的。并且,关系人的数量也是确定且有限的,一般为一至二名。
通过对比可知,蚂蚁花呗是将用户的欠款违约信息披露给后者社交圈中的第三人,想借第三人的言行实现债务的催收,这较之行业通常的关系人催收做法存在本质区别。首先,这一做法是对个人信息的过度利用,已经对用户以及其亲朋等的个人私生活造成了侵入和损害。根据格式条款,蚂蚁花呗可以在用户违约时“向您(用户)传达信息的亲戚朋友、联系人等披露您(用户)的违约信息”。使用“传达信息”来界定违约信息的披露对象令蚂蚁花呗的催债范围急剧扩大,其实质效果相当于将用户的整个社交圈都变成了这笔信用贷款业务的关系人。不仅用户的社交网络完全暴露在经营者面前,并且这些亲朋或联系人因为偶然地接受了用户发出的信息,也要因此受到经营者的审查,以及承担督促用户还款的义务。其二,蚂蚁花呗的做法使得消费者的权利与义务之间差距过于悬殊,从根本上并不利于相关业务的良性发展。这种做法将债务关系人或联系人的范围无限扩大,用户所能获得的信贷服务质量与可能承担的违约风险明显不均衡,用户一旦违约将可能导致在其整个社交圈的声誉减损。试想,消费者如果事先知晓蚂蚁花呗的这个规定,那极可能会放弃使用该项金融服务,这样看来最终受害的还是经营者自身。
综上可知,个人信息的披露与共享对于金融业而言已是必然的趋势不可逆转,但是如果对此不加以必要的规则约束,信息共享将对个人隐私的保护造成极大威胁。
三、平衡金融隐私保护与信息共享的法律逻辑
信息共享与隐私保护也并非不可调和,通过一定的技术手段和必要的法律规制,数据公开与隐私保护应该能够实现相容,从而构建一个支持隐私保护的数据开放与挖掘的金融市场,实现金融业的良性发展。
技术手段保护个人隐私,最主要的做法是对涉及个人隐私的大数据进行“匿名化”处理。最早被广泛认同的此类技术是Samarati和Sweeney提出的K-匿名模型。K-匿名模型要求发布的数据中每一条记录都要与其他至少k-1条记录不可区分(称为一个等价类)。当攻击者获得K-匿名处理后的数据时,将至少得到k个不同人的记录,进而无法做出准确的判断。参数k表示隐私保护的强度,k值越大,隐私保护的强度越强,但丢失的信息更多,数据的可用性越低。此后,随着外部攻击方法的的变化,诸如差分隐私(Differential Privacy)模型等新的隐私保护手段也不断推陈出新[7]。这些数据共享中的隐私保护技术,通过对原始数据进行加工处理,就可以得到能够隐私保护效果的新数据并提供给访问者进行无限制的自由访问和共享使用。
当然,通过技术手段保护隐私还得靠人来操作和实现,如果行为人执行不力甚至监守自盗,那么再好的技术也不能保护好隐私。退一步讲,即使技术手段能够发挥作用,也需要依赖法律规范的约束和监督,毕竟实施对隐私的技术保护措施是有经济成本的。概言之,金融业经营者与信息主体的消费者之间严重的信息不对称,加之交易力量悬殊。消费者只有依赖法律规范给予其倾斜保护,才能够与占据技术和信息优势金融业经营者平等对话,使后者尽到应有的隐私保护义务,并承担可能产生的损害赔偿责任。
通过法律手段协调金融业经营者的信息共享与用户的个人隐私保护之间的冲突,正确处理二者的关系应当遵循以下原则:在坚持保护个人隐私基本权利的前提下促进数据开放与信息共享。也即,保护个人隐私,坚守人格尊严、生活安全、公平待遇等基本法律底线不动摇。同时,避免隐私保护的泛化,顺应信息时代大数据运用的必然趋势,为增进人类社会共同福祉进行数据开放与信息共享。正如美国总统执行办公室在2014年发布的大数据白皮书《大数据:把握机遇,守护价值》中所强调的,“大数据正在改变世界。但是它并没有改变美国人对于保护个人隐私、确保公平或是防止歧视的坚定信仰。”[8]无独有偶,欧盟在2015年发布的《金融服务监管中的数据保护指南》(Guidelines on Data Protection in EU Financial Services Regulation)将保护宗旨表述为,“数据保护规则和原则旨在实现信息(在欧盟内部)的自由流动,与此同时给予个人权利和权益应有的保护①为了确保将欧盟统一数据保护规则整合到欧盟金融政策与规范制定进程当中,2015年欧盟发布了《金融服务监管中的数据保护指南》。。在立法层面,美国与欧盟关于金融隐私在内的个人信息保护制度始终是各国借鉴的典范。美国除了有《隐私权法》等隐私权一般规范以外,还颁布了《银行保密法》《公平信用报告法》《金融服务现代化法》等一系列行业立法就金融隐私保护进行了专门规定。欧盟如前文所及,其刚刚通过的《一般数据保护条例》全面适用于金融领域,而该条例被称作当今全球“个人信息保护”领域最为严格、管辖范围最宽、处罚最严厉、以及立法水平最高的一部法律。
具体到金融领域个人信息的共享问题,美国1999年《金融服务现代化法》以及欧盟2016年《一般数据保护条例》也有着基本共识:企业应当向个人明确告知信息共享的具体情形,取得个人同意或基于其他法定依据才能处理个人信息,否则构成侵权。但是,美国《金融服务现代化法》相对于后者而言规则略显宽松,更有利于企业经营者一方的信息流通与共享,而在个人金融隐私的保护方面反映出一定的限制妥协和限制。具体表现为:其一,对于个人在信息共享问题上的选择权限采取了不同的规制态度①《金融服务现代化法》,关联关系是指一家公司受一家公司的直接控制或一般控制关系。又根据欧盟《一般数据条例》的定义,第三方不包括信息控制者直接控制的法人或自然人。可见,美国《金融现代化法》所指“关联关系”相当于《一般数据条例》规定的“企业集团”关系。向有关联关系的第三方披露个人信息即指企业集团内部对个人信息的共享情形,而向无关联关系的第三方披露个人信息即为欧盟GDPR所指的“第三方”。。根据美国《金融服务现代化法案》第508条的规定,消费者有选择拒绝金融机构将其非公开个人信息与非关联第三方分享的权力,或拒绝部分非公开个人信息与关联机构分享。也就是说,消费者对于向无关联关系的第三方的信息共享可以行使选退的权利(opt-out),即所谓“未明确反对即视为同意”。并且,该法并不限制个人信息在集团内部关联企业之间的信息共享。还通过“共同营销行为例外原则”允许一家金融机构为了从事共同营销而与无关联关系的非分支金融机构共享信息。而欧盟《一般数据保护条例》明确规定了保护个人数据的七项基本原则,其中的“正当合法透明原则”要求“包括第三方在内的数据控制者处理个人数据应当有合法依据,并考虑数据主体基于与数据控制者的关系而产生的合理期待,以确保数据主体的基本权利与自由未受侵犯。”并且条例对企业集团内部信息共享同样规定了合法性要求:“作为核心企业的附属企业的信息控制人,为了内部管理需要在企业集团内部处理客户或雇员个人数据时,也应当有合法依据。”因此,无论企业之间是否有关联关系,皆应当取得个人的明确同意才能共享个人信息,否则“未明确同意即视为反对”。其二,金融机构就个人信息共享的政策进行告知的方式不同。美国《金融现代化法》规定,金融机构必须将隐私政策和操作注意事项告知消费者,其中包括将个人信息披露给无关联关系第三人以及关联企业的情形。并且,金融机构应当每年向消费者进行告知。然而,这些规则并不能够阻止金融机构利用隐私政策说明书和合同格式条款滥用信息共享权限的问题。而欧盟的《一般数据保护条例》明确规定:如果允许使用个人信息的“同意”是和对其他事项的认可一并作出的,那么要求收集和使用信息的一方在申请这种“同意”时,要将其明确、清晰的与其他事项区分开来。条例不认可任何形式的“缺省同意”。
既然在大数据技术等推动之下,互联网金融业经营者对消费者个人信息的广泛利用已成为必然趋势,那就需要法律加以必要的约束,确保消费者对个人信息“同意”的过程合理且公平。从比较中可知,欧盟《一般数据保护条例》对于保护金融隐私在内的个人信息隐私应当是更为全面和严格。
四、结语
个人信息的财产性质,极有可能令经营者滥用所获得的个人信息。即便是关联企业之间的信息共享,如果不加约束也可能对个人基本的隐私权益造成侵害。在蚂蚁花呗催债事件中,经营者通过合同约定取得了信息主体的“同意”,从而向第三方共享个人信息数据。花呗通过格式条款轻易取得了消费者的全面授权即是一个生动的脚注。这样看来,对信息共享采取比较谨慎和严格的态度并不为过。对此,欧盟《一般数据保护条例》有关信息共享的基本原则和规定值得借鉴。
[1]谈李荣.金融隐私权与信用开放的博弈[M].北京:法律出版社,2008.
[2]王利明.隐私权的新发展(上)[M]//转引自张新宝.隐私权的法律保护.北京:群众出版社,1998.
[3]吴彬彬.蚂蚁花呗催账侵犯用户隐私?[N].北京青年报,2015-9-20(A10).
[4]郭家轩.众安保险双11保单破2亿保费达1.28亿[DB/OL].http://www.ebrun.com/20151116/155722.shtml.
[5]刘丽.防范“一人多贷”互金风险信息共享系统受追捧”[DB/OL].http://jjckb.xinhuanet.com/2016-01/04/c_134977171.htm.
[6]李真.互联网金融征信模式:经济分析、应用研判与完善框架[J].宁夏社会科学,2015(1).
[7]丁丽萍.大数据环境下的隐私保护技术[DB/OL].中国网信网http://www.xjbs.com.cn/news/2015-06/03/cms1774159article.sht⁃ml?nodes=_3793_.
[8]Executive Office of the President:Big Data:Seizing Opportunities,May 2014.
(责任编辑 卢虎)
F820
A
]1671-511X(2017)01-0085-07
2016-09-20
国家社科基金青年项目(13CFX079)阶段性成果。
何颖(1979-),江苏宜兴人,法学博士,华东政法大学经济法学院副教授,研究方向:金融消费者保护法、金融市场行为监管法。