APP下载

互联网金融信息风险的法律防控

2017-06-21王肃之

当代经济管理 2017年6期

王肃之

摘 要 随着互联网金融的崛起,信息风险已经成为影响其良性发展的重要问题,信息系统风险、账户信息风险、用户信息风险层出不穷。现有相关立法主要包括刑事立法、行政立法,但是存在框架不够细密、未能及时回应现实、缺乏对互联网金融消费者信息的保护等问题。应健全互联网金融信息安全立法体系,重视互联网金融企业的信息保护,并且严厉打击侵犯互联网金融消费者信息行为。

关键词 互联网金融;信息风险;法律分析;法律对策

[中图分类号]D922.28 [文献标识码]A [文章编号]1673-0461(2017)06-0081-05

在经历了农业社会、工业社会之后,人类社会不可避免地进入了网络社会。网络社会在极大地方便了人们生活的同时,也同时伴生着巨大风险,信息泄露、信息滥用等行为往往导致着各种各样的直接后果和间接后果。互联网金融的发展给经济发展注入了新的活力,但是其自身的信息网络属性也隐含着巨大的信息风险。市场经济是法治经济,网络空间是法治空间,现有立法在防控互联网金融信息风险过程中是否已然充足?未来互联网金融信息风险的法律防控又该走向何处?尚需进一步研究。

一、互联网金融发展的信息风险

根据CNNIC最新发布的《第38次中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民规模达7.10亿,全年共计新增网民2 132万人。在网民数字飞涨的背后,是互联网从根本上再构人们生活方式、再构整个社会结构的历史进程。互联网的普及极大地改变了人们的生产和生活方式,重塑了传统行业的发展模式,在“互联网+”时代,互联网与传统产业结合,催生了一大批新兴产业,互联网金融顺势而生。

谢平、邹传伟《互联网金融模式研究》正式提出互联网金融模式问题,并从支付方式、信息处理、资源配置[1]三个方面展开论述。之后,关于互联网金融的模式、种类界定林林总总:第一,三分法。中国人民银行金融稳定分析小组《中国金融稳定报告2014》认为,当前,业界和学术界对互联网金融尚无明确的、获得广泛认可的定义,但对互联网支付、P2P网贷、众筹融资等典型业态分类有比较统一的认识。第二,六分法:第三方支付、众筹、大数据金融、互联网金融门户以及金融机构信息化等[2]。第三,八分法:传统金融互联网化、移动支付和第三方支付、互联网货币、基于大数据的征信和网络贷款、基于大数据的保险、对等联网(P2P)、众筹、大数据在证券投资中的应用等。各种分类不一而足。

2015年《关于促进互联网金融健康发展的指导意见》出台,标志着我国互联网金融监管进入有规可循的时代,也明确了官方所认可的互联网金融主要形式。根据该意见,互联网金融主要包括互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等形式,从法律上确定了若干互联网金融类型。该意见的出台确实有利于推动互联网金融发展的规范化、正常化,然而其也未能全面解决互联网金融发展的信息风险问题。对于“信息披露、风险提示和合格投资者制度”与“消费者权益保护”的概括规定显然十分有限。2016年,国务院办公厅印发了《互联网金融风险专项整治工作实施方案的通知》,其规定的重点整治的工作有四項:第一,P2P网络借贷和股权众筹业务;第二,通过互联网开展资产管理及跨界从事金融业务;第三,第三方支付业务;第四,互联网金融领域广告等行为。但是该通知也未就互联网金融的信息风险问题作出专门规定。

在互联网环境下,信息数据在成为社会运转核心方式和关键资源的同时,也成为最大的危险来源。公私领域对于数据利用的需求比以往任何一个时代更加迫切。[3]民众享受互联网金融带来便利的同时,却面临着账号被盗、资金被窃、交易欺诈以及财产损失等诸多潜在的信息安全风险[4]。每年在全球范围内有大约十亿的信息数据泄露记录并且导致近六十亿美元的经济损失。[5]对于处于社会资源配置顶端的金融业更是首当其冲,信息风险严重危及互联网金融的良性发展。其主要包括以下几个方面:

第一,信息系统风险。随着信息技术的发展,在计算机信息系统不断方便人们生活的同时,其信息系统的辐射网络也在日益膨胀,甚至于信息系统已经逐渐脱离于具体的计算机,而成为与社会成千上万人休戚相关的巨大系统。就互联网金融而言,信息系统也成为了互联网上资金周转的根本路径,也自然成为了网络攻击的重点对象。早在2013年1月9日,拍拍贷就遭到了黑客的恶意流量攻击。此后,人人贷、融信网、网贷之家、双乾支付等互联网金融平台屡屡受到攻击。比特币等虚拟货币也未能逃过一劫,比特币平台Gatecoin表示,发生在2016年5月9日到12日之间的攻击最终导致了185 000枚以太币和250枚比特币的损失,总价值200万美元,占平台总资产的15%。

第二,账户信息风险。在信息化、数据化的浪潮之中,用户的资金也愈发电子化。在互联网金融平台上流动着无数的用户资金,账户密码代替了存折、银行卡成为互联网资金的“钥匙”。然而,在互联网金融不断发展的同时,用户的账号也频频遭受信息风险。2014年,央视就曝光犯罪嫌疑人在网络上以2元钱一个的价格向别人购买支付宝账号和密码,使用亲友的身份证号、银行卡号,注册了大量支付宝账户,在十天时间里转走了32万元。其他领域的所谓“盗号”时间也屡屡发生。

第三,用户信息风险。在互联网金融蓬勃发展的同时,互联网金融用户的群体也逐渐壮大起来。在互联网环境下,无论与人身有关的个人信息,还是与行为有关的个人信息,都成为“商品”被随意买卖,互联网金融用户由于身份与金钱有关,更成为重点受害群体。早在2013年,央视“3.15”晚会就曝光,众多不法互联网广告商、网络搜索企业,均通过Cookies暗中跟踪用户的上网行为和用户隐私信息。在有的案件中个人信息倒卖十分猖獗,一个电话号码可能被卖五次,手机定位信息的买卖也司空见惯。

与互联网金融信息风险的一再蔓延相对照,现有立法却显得较为滞后。这些新的机会和风险正对我们的法律制度构成新挑战。[6]法律由于其稳定性,往往自我调整周期较长。无论是信息时代还是网络金融,便捷性、变化性均是其显著特征,这就与传统的金融立法特别是信息金融立法出现了方向性差距。然而,市场经济归根到底是法治经济,互联网金融的良性发展归根到底需要在法律的规范、引导下有序进行,否则2015年由互联网金融野蛮生长诱发的股灾还会到来,互联网金融的信息风险呼唤着立法的修正和更新。

二、防控互联网金融信息风险的立法分析

(一)现有立法概况

互联网金融信息风险多与犯罪行为、行政违法行为相关联,一般不属于平等主体之间的民商事法律关系,与传统经济金融领域的风险不同,其更多地规定在刑法、行政法之中:

第一,刑事立法现状。由于我国刑事立法一直以来采用单一的刑法典模式,有关互联网金融信息风险的犯罪行为也多通过刑法修正案的形式纳入刑法典的规定之中。经过《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》,目前主要包括以下罪名:其一,窃取、收买、非法提供信用卡信息罪。该罪由《刑法修正案(五)》于《刑法》第三章“破坏社会主义市场经济秩序罪”中增设第一百七十七条之一,规制“窃取、收买或者非法提供他人信用卡信息资料”的行为。其二,侵犯公民个人信息罪。该罪由《刑法修正案(七)》于《刑法》第四章“侵犯公民人身权利、民主权利罪”中增设第二百五十三条之一,规制“违反国家有关规定向他人出售或者提供公民个人信息”与“窃取或者以其他方法非法获取公民个人信息的”两种行为,并且对于在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的从重处罚。其三,非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪。非法侵入计算机信息系统罪在现行刑法出台时即有规定,只不过当时适用范围仅限于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”,《刑法修正案(七)》将其扩大到一般计算机信息系统。另两个罪名由《刑法修正案(七)》于《刑法》第六章“妨害社会管理秩序罪”中增设第二百八十五条第二款。第二百八十五条对于侵入计算机信息系统、获取计算机信息系统数据、非法控制计算机信息系统数据的行为予以全面规制。其四,破坏计算机信息系统罪。该罪由《刑法》第六章“妨害社会管理秩序罪”中的第二百八十六条规定,规制对计算机信息系统及其存储、处理或者传输的数据和应用程序删改等破坏性行为,以及故意制作、传播计算机病毒等破坏性程序的行为。

第二,行政立法现状。有关互联网金融信息风险的行政违法行为之前主要规定在《治安管理处罚法》中,新进出台的《网络安全法》对此也有规定。其一,《治安管理处罚法》的规定。《治安管理处罚法》第二十九条规定,在违反国家规定的情况下,实施下列行为且造成特定危害的,予以行政处罚:侵入计算机信息系统;对计算机信息系统功能进行删除、修改、增加、干扰;对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;故意制作、传播计算机病毒等破坏性程序。其二,《网络安全法》。2016年11月出台的《网络安全法》从网络信息安全的角度作出规定。《网络安全法》第四十一条至第四十三条对于个人信息搜集与保管利用提出了具体的要求,并在第四十四条明确指出任何个人和组织不得非法获取、非法出售、非法提供个人信息,第四十五条还对有关部门及其人员对于个人信息的保管提出了具体要求。上述规定构建了相对完整的了个人信息的收集、使用和保管规则体系。此外,《网络安全法》第六十四条规定了侵犯个人信息的行政处罚,对于违反个人信息的收集、使用和保管规则的行为可处警告、没收违法所得、罚款、停业整顿、吊销营业执照等处罚。第六十四条第二款中也在具体的行政处罚之前作出“尚不构成犯罪”的规定。

(二)现有立法分析

总体来看,我国已经初步形成了互联网金融信息风险法律防控体系,但是也存在一定的不足,分述如下:

第一,基本立法框架尚且不够细密。目前,经过《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》的不断修正,有关互联网金融信息风险的犯罪行为规定已经较为全面;同时,继《治安管理处罚法》后,《网络安全法》的出台特别是其中有关信息安全的条款适用,客观上对于互联网金融用户的信息安全保护也具有重要意义。鉴于我国采取的是刑法典式的一元刑事立法模式,《网络安全法》第六十四条第二款的衔接规定也有利于其与《刑法》的有关规定相协调。在这个意义上看,可以认为有关互联网金融信息风险的立法框架已经初具规模。

但是,现有立法的不足也是明显的。在《刑法修正案(九)》修正侵犯公民个人信息罪等犯罪后,2005年出台《治安管理处罚法》中的原有规定就显得十分不足。即对该类行为中较为轻微的行为,或者科以过重的刑事处罚,或者放任其一再蔓延,不利于有效地打击侵犯互联网金融用户等公民个人信息的行为。更为重要的是,目前缺乏与互联网金融信息风险直接相关的具体规定。《网络安全法》等法律中有关的条款虽然可以间接适用,但是其针对性、有效性都会大打折扣。《电子商务法》虽然已经形成草案,但是尚未出台,而且一些规定也有待于进一步完善。

第二,对于互联网金融信息风险有关双方的变化未能及时回应。一方面,现有立法对于可能遭受风险的主体扩张未能及时回应,互联网金融企业用户信息权的保护存在问题。随着互联网金融的发展,其用户范围也不仅仅局限于公民个人,而是在事实上包括了企业用户。就企业而言,传统意义上其基本法人权利可以通过《公司法》、《合伙企业法》等法律予以保护,而对于其商业秘密则可以通过《反不正当竞争法》等法律予以保护,这样的保护体系在传统社会中已然较为充足,但是在信息社会则难以面对其信息保护的问题。比如企业用户的法定代表人姓名、银行账户等信息在交易中很容易被获取,这些信息无法通过前述的保护方法予以保护,但是一旦被泄露和非法利用,很容易对于互联网金融企业的经济利润、商业声誉施加不利影响。另一方面,现有立法对于可能引起风险的主体扩张未能及时回應。不仅传统意义上恶意实施的非法侵入、破坏计算机信息系统的行为存在,“善意”的非法侵入行为也已经成为事实。比如,“白帽子”(也称“道德黑客”)的问题。“白帽子”通过向相关平台或者厂家反馈、发布漏洞,以敦促厂家在漏洞被黑客攻击利用之前将其修复完善,维护计算机和互联网安全。但是,这样一种行为很可能给企业带来客观的风险。2015年12月,袁某通过安全测试软件(自带缓存功能,会自动将测试信息存储到本地隐藏文件夹)发现某社交网站存在安全漏洞。为验证漏洞确实存在,袁某通过其发现的漏洞浏览了该社交网站的部分数据。随后,袁某将上述漏洞提交至其所属的某互联网漏洞报告平台(以下简称“漏洞平台”),漏洞平台遂向社交网站通知了漏洞信息,使网站漏洞得以及时修复。但在漏洞修复过程中,社交平台发现有九百余条有效数据被网站攻击者获取。对于这样“善意”带来的风险如何防控则是需要研究的新命题。

第三,互联网金融消费者信息安全的法律保护仍显不足。虽然现有刑事立法与行政立法对于包括互联网金融消费者在内的个人信息保护力度一再加强,但是目前仍然存在以下两个不足:一方面,缺乏对于互联网金融消费者信息安全的特别保护。无论《刑法》还是《网络安全法》,均是以“个人信息”为对象进行保护,但是金融领域的信息安全有其特殊性与重要性。2011年公布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对此已有认识,其规定获取“支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”即构成犯罪,而其他“身份认证信息五百组以上的”才构成犯罪。现有立法中却缺乏对于互联网金融消费者信息安全的特别保护规定。另一方面,缺乏对于非法利用互联网金融消费者信息行为的独立规制。大数据技术的发展特别是数据挖掘利用技术的提升,互联网金融消费者个人信息利用的利益也越来越大,非法利用行为已经在事实上重构了侵犯个人信息行为的体系。这些行为活动不是出售、非法提供而是非法使用公民个人信息。[7]非法利用行为不但成为体系中的重要行为之一,而且成为该体系的核心行为,成为非法获取、非法提供行为的目的和前提。比如前文所述的对于支付宝账户的利用行为,如果说直接的支付行为尚可以納入传统的盗窃罪、诈骗罪等犯罪予以处罚,那么对于其账户本身信用、个人资料等信息的非法利用则存在入罪的障碍,不利于有效保护互联网金融消费者信息安全。因而需要重新考虑侵犯个人信息犯罪行为的体系,以有效地规制非法利用互联网金融消费者信息个人信息的行为。

三、防控互联网金融信息风险的法律对策

(一)健全互联网金融信息安全立法体系

通过法律手段有效防控互联网金融信息风险最为根本的途径就是健全完善互联网金融信息安全立法体系,使互联网金融信息风险的防控全面纳入法治的轨道。在现有的立法框架与状况下,应侧重从以下两个方面予以完善:

第一,出台专门立法与规定。信息风险防控是互联网金融与传统金融风险防控相比最为突出的新问题,传统金融相关立法在调整其信息风险过程中难以完全适用,而与信息网络有关的刑事法、行政法则多是从网络信息安全的一般层面规定,现有的诸如《关于促进互联网金融健康发展的指导意见》、《关于印发互联网金融风险专项整治工作实施方案的通知》等文件不但立法层级有限而且缺乏义务与责任的规定,应及时在立法层面制定专门的互联网金融信息风险防控立法或者规定。目前《电子商务法》正在起草过程中,其草案正向社会征求意见,然而值得玩味的是,草案第三条规定“涉及金融类产品和服务、利用信息网络播放音视频节目以及网络出版等内容方面的服务,不适用本法”。但是草案第三章“电子商务交易与服务”第二节“电子支付”从第三十一条到第三十七条却对于电子支付服务者作了极为详尽的规定,前后条文让人颇感费解。既作为互联网时代电子商务的重要形式,又作为信息社会金融业务的延伸,支付宝等第三方支付平台的双重属性为如何对其恰当立法提出了挑战。笔者认为,应当就互联网金融问题出台专门的法律或者行政法规,并且在其中以一章的篇幅规定互联网金融信息安全问题,且指明第三方支付平台的金融行为依照本法律或者行政法规的规定,以规范和指导互联网金融信息风险的防控。

第二,协调现有立法与规定。目前刑事法和行政法的相关规定仍然存在不协调之处,突出表现在《治安管理处罚法》等法律过于滞后。目前《治安管理处罚法》正处在修订过程中,公布的修订草案也在一定程度上注重与《刑法》的协调,但是仍未能完全衔接。比如,修订草案第九十六条第一款、第二款规定,“明知他人利用信息网络实施违法犯罪,为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者广告推广、支付结算等帮助的,处五日以上十日以下拘留;情节较重的,处十日以上十五日以下拘留。设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的,依照前款规定从重处罚。”这两款规定了为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持或者广告推广、支付结算等帮助,以及设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的行为,但是未就与互联网金融信息风险有关的发布违法犯罪信息与为实施违法犯罪发布信息的行为作出规定。现实中,互联网金融领域的犯罪往往与大量资金相联系,一旦有关互联网金融犯罪的信息发布实际上具有更大的社会危害性,修订草案的规定未对此有所体现。建议将“设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台的”修改为“设立用于实施违法犯罪活动的网站、聊天室、论坛、通讯群组等网络平台,发布违法犯罪信息,以及为实施违法犯罪发布信息的”。此外,也应通过修订的形式将其他法律予以完善和协调,构建科学合理的立法体系。

(二)重视互联网金融企业的信息保护

随着互联网的发展,进入互联网的主体范围早已不仅仅是具体的网民和特定的IP地址,企业作为重要的主体介入互联网发展,互联网金融信息安全领域企业信息安全的保护也应受到立法的重视:

第一,应在立法上给予互联网金融企业信息权利必要的保护。纵观我国现有立法,均是针对个人信息安全保护所展开的,《网络安全法》中所采纳的概念是“个人信息”,《刑法》中创设的罪名是“侵犯公民个人信息罪”,《关于加强网络信息保护的决定》所保护的也主要是“公民个人电子信息”。学者之前给出的相关规定也是诸如“保护电子商务消费者个人信息安全以及其他合法权益”的表述[8]。这样以个人信息为唯一保护对象的模式显然不利于企业用户信息的法律保护。应在立法中肯定包括互联网金融企业在内的企业信息权利,比如,《电子商务法》草案第四十五条的规定就可以表述为:“本法所称用户信息,是指电子商务经营主体在电子商务活动中收集的能够单独或者与其他信息结合识别特定用户的信息,如自然人姓名、身份证件号码、住址、联系方式、位置信息、银行卡信息、交易记录、支付记录、快递物流记录等,单位名称、名誉等。”

第二,应重视通过立法引导互联网金融企业信息系统安全的保护。袁某一案中,互联网企业报警信息数据被获取反而让立法机关逮捕了“白帽子”袁某,从而引起了“白帽子”群体的反对,《刑法》在这一过程中反而起了反作用,如果类似案件发生在互联网金融企业那无疑会使大量的资金陷入信息安全风险之中。应通过立法引导多方主体共同参与互联网金融企业的信息安全保护:其一,应引导官方和民间网络安全力量共同维护互联网金融企业信息系统的安全,特别是积极引导“白帽子”等民间网络安全力量与互联网金融企业实现“联姻”。其二,应引导互联网金融企业自身注重信息安全的保护,在资质审核、定期检查中将信息安全作为重要的参考依据,使互联网金融的信息安全意识与能力得到有效提升。其三,应推动良性的社会信息安全平台建立并参与互联网金融信息安全维护。在袁某一案发生后,“乌云”漏洞平台被關闭,漏洞平台与互联网企业的紧张关系并未消弭,应以立法积极推动这一鸿沟的跨越。

(三)严厉打击侵犯互联网金融消费者信息行为

目前我国有关侵犯公民个人信息犯罪的规定围绕非法获取、非法提供行为展开,缺乏对于非法利用行为的规定,不利于保护互联网金融消费者的信息安全,对此应予补充。对此,我国台湾地区已有立法尝试。我国台湾地区《个人资料保护法》第四十一条规定,“意图为自己或第三人不法之利益或损害他人之利益,而违反第六条第一项、第十五条、第十六条、第十九条、第二十条第一项规定,或中央目的事业主管机关依第二十一条限制国际传输之命令或处分,足生损害于他人者,处五年以下有期徒刑,得并科新台币一百万元以下罚金。”而其第六条第一项的规定即为“有关病历、医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得搜集、处理或利用。”日本《个人信息保护法》第七十三条也规定,“违反第六十三条的规定,泄露秘密或者盗用的,处以两年以下惩役或者一百万日元以下的罚金。违反基于第三十四条第二项或第三项的规定所作出的命令的,处以六个月以下的惩役或三十万日元以下的罚金。”我国《刑法》中也应规定非法利用个人信息的行为入罪。

此外,金融领域特别是互联网金融领域的信息安全更加重要,应在立法中重点予以保护。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中对于金融有关认证信息的侧重保护是合理的。在日后修正《刑法》时,也应明确做出规定,对于侵犯个人金融信息安全的行为从重处罚。

[参考文献]

[1] 谢平,邹传伟. 互联网金融模式研究[J]. 金融研究,2012(12):11-22.

[2] 罗明雄. 互联网金融六大模式解析[J].高科技与产业化,2014(3):56-59.

[3] 任孚婷.大数据时代隐私保护与数据利用的博弈[J].编辑学刊,2015(6):41.

[4] 胡剑波,宋帅,石峰. 互联网金融信息安全风险及其防范[J]. 征信,2015(4):13.

[5] Charlotte A.Tschider.Experimenting with Privacy: Driving Efficiency Through a State-Informed Federal Data Breach Notification and Data Protection Law[J].Tulane Journal of Technology&Intellectual Property,2015, 18:45.

[6] [德]乌尔里希·齐白.全球风险社会与信息社会中的刑法——21世纪刑法模式的转换[M].周遵友,江溯,等,译.北京:中国法制出版社,2012:273.

[7] 赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014(1):127.

[8] 齐爱民. 中华人民共和国电子商务法草案建议稿[J]. 法学杂志,2014(10):9.