人工智能环境下金融隐私权的法律救济研究
2019-02-15邱思萍郑启福
邱思萍,郑启福
一、人工智能对金融隐私权的挑战
随着信息网络的发展,数据信息系统的应用日趋成熟,人工智能被视为下一时代的科技制高点,将成为金融行业未来发展的核心驱动力。2017年7月,国务院发布了《新一代人工智能发展规划》,提出建设智能金融,发展金融新业态。当前,在政府、金融机构和科技公司等社会各方共同推动下,人工智能在金融领域得到了广泛运用,主要表现在:运用机器学习、知识图谱、自然语言处理和计算机视觉等人工智能技术,为金融领域的各个参与主体、各个业务环节提供产品创新、流程再造和服务升级,有力地推动了金融行业从信息化向智能化转变[1]。
目前,人工智能在金融领域内提供的服务主要有:智能支付、智能理赔、智能客服、智能营销、智能投顾、智能投研等。虽然这些服务还处于早期发展阶段,但是,其优势却越来越明显,既有利于为金融消费者提供优质的金融服务,实现真正的普惠化;也有利于金融机构降低运营成本,增强主动式风险管控能力。对这些服务进行深入探究,尤其是以指纹识别、声纹识别、人脸识别、虹膜识别等为主要手段的智能支付服务,以及通过广泛收集的客户消费、交易、社交、网络浏览等行为数据,利用深度学习相关算法进行模型构建,为金融消费者提供智能营销服务,不难发现人工智能活动的本质是通过输入海量的数据信息,对广泛联系的数据信息进行筛选、分析和归纳,并借此获得传统数据信息应用方式所无法带来的经济、社会价值的新的数据应用模式[2]。在金融领域的交易活动中,人工智能犹如一把双刃剑:金融机构掌握着金融消费者的个人身份识别、经济状况、消费能力、社交活动和投资喜好等大量信息,使得金融消费者在享受人工智能带来的便捷性、个性化和精准化服务的同时,面临着隐私权和数据信息安全的重大威胁。因此,在智能金融的大趋势下,保护金融消费者的权益,尤其是对金融隐私权的法律救济是一个重要课题。
二、金融消费者和金融隐私权概念界定
(一)金融消费者
金融消费者概念的界定,无论是学术研究还是在金融实践中都是一个难点。许多学者从不同的视角提出了定义,虽然存在一定的差异,但是比较统一的看法是:金融消费者应该成为消费者的一个种概念,将金融机构的交易相对人在法律上确认为金融消费者。由于金融消费者有其特殊性,不宜直接适用消费者的概念,需要重新定义金融消费者的概念。我们比较认同“金融消费者”即“从金融机构购买金融投资商品或接受服务的自然人、法人或其他组织,分为专业金融消费者和一般金融消费者”[3]。专业投资机构和具有一定专业能力、风险承受能力并以投资作为主要谋生方式的自然人是专业金融消费者。
在金融交易关系中,一般金融消费者对特定的、专业的和复杂的金融商品或服务的回报与风险的判断,主要依靠金融机构的推介和诱导。当一般金融消费者面对金融机构提供的个性化与精准化的智能营销时,容易被诱使而作出偏离理性甚至错误的投资决策,合法权益容易受到侵害。因此,本文探讨的金融消费者仅限于一般金融消费者。
(二)金融隐私权
隐私权作为一项具体人格权,是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权[4]。公民有权排除他人对私人正常生活的骚扰,禁止他人对私人空间(包括物质空间和虚拟空间)的入侵,排除他人对个人自主决定的妨碍,保护私人生活秘密。在金融服务领域里,金融消费者的金融隐私是指金融消费者在和金融机构进行交易和接受服务的过程中形成的不能公开的资料信息,具体包括个人信息、投资信息、信用信息、保险信息、理财信息等与财务有关的信息[5]。金融消费者有权对其在金融消费过程中产生的相关信息享有占有权、使用权、收益权和处分权。金融隐私权既具有人身权属性又具有信息财产权利的特质,其是逐渐从人格利益中分离出来并向财产利益转化的一种新型民事权利[6]。
人工智能技术的发展依托移动互联、云计算、大数据和区块链等技术,发展的驱动力主要来自数据信息的收集、分析和处理。在人工智能环境下,金融隐私权存在着以下安全隐患:金融机构在采集数据过程中,可能会出现未经授权或者即使获得授权也很难保障是在金融消费者充分知晓,并理解其行为意义的情况下作出的同意的获取数据行为,这在一定程度上对金融消费者的金融隐私权构成威胁;此外,金融机构利用人工智能技术在使用大量金融消费者信息和交易数据的过程中,可能由于系统自身的缺陷以及数据的调用和访问频率急剧增加,不可避免地留下安全漏洞,导致数据泄露、信息被盗或者遭受恶意攻击等问题,也在一定程度上难以保证人工智能的安全环境,对金融消费者的金融隐私权造成侵害。
三、我国金融隐私权法律保护现状分析
目前,我国金融隐私权保护尚未建立完善的法律保护体系,一些保护性质的条款散见于其他法律法规以及部门规章中。金融隐私权保护由于缺乏系统的制度设计,导致侵害金融隐私权的纠纷频发。面对人工智能环境下的金融隐私侵权行为,金融消费者要么寻求行政救济,但金融监管部门无能为力;要么寻求司法救济,但多数也以失败告终,金融消费者的金融隐私权保护任重道远。
(一)《侵权责任法》虽有相应规定但不完善
《中华人民共和国侵权责任法》(以下简称《侵权责任法》)第2条对隐私权虽然有相应的规定,但是,仅在原则上承认隐私权是受保护的民事权益,而隐私权的定义、分类、内容以及在其权利行使过程中与其他权利发生冲突的解决办法等都无明确规定。第36条对网络侵权进行了明确规定,网络服务提供者利用网络损害他人民事权益的,需要承担网络侵权责任。例如,提供网络服务的自然人或法人泄露或者出售客户信息,直接或者间接给客户造成的财产损失和隐私侵害的,应承担侵权责任。人工智能技术在金融领域里广泛运用的同时,也给金融消费者的隐私权带来不可预测的风险。虽然各种智能金融服务使金融机构对于个人信息的获取与利用具有一定的合理性,但是,在人工智能的精准推算下,与金融隐私有关的信息范围不断扩大。这种信息利用的方式有效回避了现有法律对侵犯隐私权行为的规定,给金融消费者的隐私权保护带来了难题。例如,在智能营销服务中,金融机构运用人工智能技术,通过网络爬虫技术采集大量的金融消费者的数据,并对数据信息进行排列、整合、演算或分析,构建群体客户画像,通过画像与特定的身份识别信息进行关联,已经可以准确地分析出金融消费者未公开的其他保密信息内容。为了有效保护金融隐私权,加强人工智能环境下金融隐私权保护立法刻不容缓。
(二)《网络安全法》的“授权同意”成为金融机构的免责借口
《中华人民共和国网络安全法》(以下简称《网络安全法》)第41条对个人信息收集和使用进行了具体规定:网络运营者应当遵循合法、正当、必要的原则;明示收集、使用信息且经被收集者同意,不得收集与其提供的服务无关的个人信息。通常情况下,为了获得金融消费者的授权同意,金融机构会说明信息收集的目的、方式、范围和使用规则,但在特殊情况下,服务条款往往用晦涩难懂的专业术语刻意隐瞒了一些可能导致损害隐私权的行为。面对人工智能运用场景的多样化,大部分金融消费者的理解和认知能力不足,难以对自己的权益和风险作出准确评价。金融机构在提供智能金融服务时,往往要求金融消费者提供个人相关信息注册成会员,作为提供金融服务的前提。为了获得金融机构的相关服务,金融消费者被迫作出授权同意的决定。甚至一些金融服务机构为了获取更多的个人信息而故意扩大解释范围,将与服务无关的信息收集解释成为与其提供的金融服务具有关联性。一旦发生金融机构滥用金融消费者的金融隐私信息产生金融隐私权纠纷时,“授权同意”就成为了金融机构免责的借口。金融机构利用“授权同意”来规避法律对金融机构收集和使用金融消费者隐私的限制性或禁止性规定,逃避法律的制裁。如何打击金融机构利用“授权同意”规避法律制裁的行为,保护金融消费者隐私权,是我国金融隐私权保护在实践上面临的重大挑战。
(三)《消费者权益保护法》对金融消费者的维权没有专门规定
2014年修订的《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)第28条和第29条把金融消费者及个人信息纳入其保护范围,确立了经营者收集和使用个人信息的原则,明确了经营者及其工作人员的保密义务和禁止信息侵扰等内容。如此看来,金融消费者应当是传统消费者在金融领域的延伸,利用人工智能提供金融商品或服务的经营者与传统意义上的经营者一样需要承担相同的义务。在司法实务中,法院对相关金融服务欺诈案件进行裁判时,普遍认为“三倍赔偿制度突破了违约责任的合理预见规则”,应严格适用,主张权利的金融消费者应对金融经营者的欺诈行为承担举证责任。可是,一般金融消费者往往处于绝对的弱势地位,维权举证很困难。由于运用人工智能技术的金融服务欺诈涉及到大量数据化的证据,此类证据都掌握在金融机构手中且容易被篡改或伪造。金融消费者能接触并保存的电子数据非常有限,难以满足举证责任中形成证据链的要求。金融消费者几乎不可能成功完成举证责任以证明金融经营者侵害其金融隐私权和存在欺诈行为,败诉的风险很高。例如,金融经营者在提供智能投顾服务时,如果存在利用金融消费者的金融隐私,故意诱导进行虚假推介时,会严重侵害金融消费者的权益。在现实生活中,大量打着“人工智能”旗号的投资理财机构,侵犯金融消费者的隐私权,从事金融服务欺诈活动。在金融消费者知道事实真相后,由于个人维权困难,往往结成集体维权,影响社会稳定。因此,要维护金融消费者的合法权益,完善金融消费立法是非常必要的。
(四)其他法律的有关规定缺乏可操作性
《中华人民共和国商业银行法》《中华人民共和国银行业监督管理法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》等金融法律法规都在总则和第1条有金融消费者权益保护的相关规定,但是,条款内容都较为原则和抽象,操作性不强,只能起到宣示性的作用。对金融消费者的金融隐私权保护,现行的金融法律法规既没有详细规定金融机构应该履行的具体保密义务,也没有规定违反保密义务时应当承担的具体法律责任。目前,我国金融消费者权益保护机构在行使职权时面临着缺乏法律支撑的难题。我国金融行业实行分业监管方式,相关部门在处理纠纷时大都依据的是法律效力低的行业规章制度、相关政策和指导意见等规范性文件。我国尚未建立起动态的金融科技创新产品长效监管机制,无法对金融科技创新产品进行有效的监管。由于人工智能技术引发的金融隐私权纠纷的责任主体很难界定,大部分金融消费者无法提供金融机构利用人工智能侵犯其隐私权的有效证据,因此,只能向“一行三会”(中国人民银行、中国银行业监督管理委员会、中国证券监督管理委员会和中国保险监督管理委员会)的金融消费者权益保护机构进行投诉,但是,“一行三会”对金融纠纷的处理往往缺乏共同的执行标准和相应的协调解决机制,导致大部分的投诉案件最终都是不了了之。
四、发达国家金融隐私权保护的立法借鉴
许多国家或地区都对保护金融隐私权进行了立法尝试,结合自身国情特点,设计出了一些适用性极强又各具特色的法律制度,建立了金融隐私权保护机制和纠纷解决机制,有效地保护了金融消费者的权益,为我国的立法提供了有价值的借鉴。
(一)美国的金融隐私权保护立法
美国作为金融隐私权保护立法最完善的国家之一,通过单行立法模式对金融机构规定了隐私权保护的5项原则和严格的保密义务。美国联邦法律《金融服务现代化法》规定了隐私保护的最低水平,第5章规定了金融机构对非公开的个人信息履行保护义务。金融机构必须履行尊重客户隐私的义务,在与消费者建立客户关系时以及关系存续期间,必须每年都以书面或电子文档的形式告知客户有关金融隐私披露的详细情况和具体程序。金融机构应当保护客户隐私记录的安全,防止对客户产生实质损害和未经授权而获取、使用此类记录的违法行为[6]。客户也有权拒绝金融机构将其金融隐私与关联或非关联的第三方共享。《金融隐私权法》详细规定了联邦机构获得银行客户资料和记录的途径、程序及例外情况。任何需要取得银行资料或记录的机构必须依照法定的程序进行事先申请,并应将此情况向相关的银行客户通报。银行客户有权提出抗诉,要求银行不透露与其相关的资料或情报[7]。
(二)欧盟的数据隐私保护立法
欧盟采取统一立法模式对人工智能涉及到的最重要客体——数据进行立法,是迄今为止覆盖面最广的全球性数据隐私保护法规。2018年5月25日,欧盟通过了《一般数据保护条例》(General Data Protection Regulation简称GDPR)。GDPR明确了个人数据和数据控制者的定义,明确了对数据主体的知情权、反对权、删除权以及数据可携权的保护。GDPR规定了保护个人数据的7项基本原则,其中的“公正性、合法性和透明性”原则要求:包括第三方在内的数据控制者处理个人数据应当有合法依据;关联企业内部信息共享也应当有合法性,即未经个人明确同意即视为反对,不认可任何形式的“缺省同意”[8];要求数据主体的同意必须是详细清晰,数据主体必须在充分知情的前提下自由作出,而且可以随时撤回同意,数据控制者应为此提供便利。当获取数据时所述的目的不再适用或数据主体撤回同意时,GDPR规定数据控制者必须删除个人数据,同时将个人数据清除请求告知第三方处理机构。“必要性”原则要求数据控制者有权合法处理数据,并详细规定满足的条件,即数据主体的授权同意、完成与数据主体所签订的契约是必要或在签订契约前基于数据主体的请求、履行其法定义务、保护数据主体或另一个自然人的核心利益、为了公共利益或基于官方授权而履行某项任务等6种情形;控制者在获取个人数据时,在必要的情况下应当向数据主体提供相关信息,尤其是涉及到自动的决策机制,“包括不被仅仅根据自动化处理——包括符合第22条的用户画像而对数据主体作出决定,要提供分析过程所涉及的逻辑程序以及对数据主体的处理过程的重要意义和设想结果”[9]等信息。
GDPR还规定了数据控制者和处理者的义务:要求数据控制者必须设立数据保护专员或者指定代表负责数据保护事项;对个人数据要采取安全保障措施,在设计产品和服务时必须嵌入数据保护;对于高风险的数据处理活动,要进行数据保护影响风险评估和事先协商;在发生数据泄露时,要及时采取必要措施并通知监管机构等。对于违反相关义务规定的行为,GDPR设置了巨额的处罚措施,将面临2 000万欧元或全球营业额4%的巨额罚款[10]。
(三)日本的个人情报保护立法
日本为了保护金融隐私权进行了一系列立法,其中《个人情报保护法》对于个人情报收集的使用目的、取得适当性、确保正确性、安全性和透明性等方面均作了规定[11]。为了在金融领域更好地保护金融消费者的隐私权,日本金融厅先后发布了《金融领域个人情报保护方针》和《金融领域个人情报保护方针之安全管理措施实务指南》。在金融领域个人情报保护机制方面,日本建立了 CRIN(credit information network)机制,建立了全国银行个人信用情报中心、日本情报中心和信用情报中心,联合规范和维护金融信用和金融隐私信息的产生、传递和存储过程中的个人金融信用情报安全[12]。为了解决金融消费者举证能力、专业性等不足的问题,实现在诉讼中金融消费者能与金融机构形成相对平等的实力抗衡,日本以保护弱势群体为原则,规定了消费者公益诉讼制度,采取了许多倾斜性保护措施。例如,在发生涉及侵害众多消费者权益的金融纠纷时,一些公益性社会团体可以提起公益诉讼,维护金融消费者的权益。法官在审理该案件中必须按照有利于大多数金融消费者利益的原则,对金融消费者予以倾斜性保护,依法作出裁判。
五、人工智能环境下金融隐私权的法律救济对策
在金融领域里,利用人工智能对金融消费者的交易数据进行收集、整理和分析后得到具有身份专属性的信息,这些信息属于金融隐私,具有极高的商业价值,有利于金融机构提供针对性的产品和个性化的服务。但是,金融隐私完全脱离了金融消费者,由金融机构及其他关联的第三方所掌控,若被超合理目的使用甚至滥用,则会给金融消费者的金融隐私权带来巨大的风险。我国应当结合实际国情,在借鉴国外立法经验的基础上,建立金融隐私权保护机制,制定具有中国特色的人工智能环境下保护金融消费者权益的法律法规,对金融消费者提供切实有效的法律救济。
(一)建立保护金融隐私权的法律体系
在金融领域,发展人工智能是必然趋势。人工智能对金融消费者的金融隐私权的挑战也是不可避免的。我国应将分散在各个法律法规或政策文件中涉及到金融隐私保护的内容体系化,建立具有中国特色的金融隐私权保护法律体系,其中要制定《金融隐私权保护法》,明确人工智能的法律性质、法律主体、法律责任、风险控制等问题,扬长避短,促进人工智能在金融领域的合法运用。
金融机构应当在利用人工智能向金融消费者提供合法的金融产品和金融服务之前,明确告知其使用可能存在的风险及其注意事项、人工停止损失措施和免责范围等,并保证所提供的服务能够达到适当的安全程度[13]。在法律责任认定上适用过错推定原则,应按人工智能的法律主体各自的过错程度分配民事、行政和刑事的法律责任。
1.明确金融隐私权主体的权利
金融消费者作为金融隐私权主体,应享有对金融隐私最完整的权利,包括收集、分析、转移和处理全过程,法律另有规定除外。金融机构及有关联的第三方(以下统称“金融服务者”),对金融隐私所拥有的权利都由金融消费者授权,并受授权协议的制约和限制。金融服务者需征得金融消费者的同意,且必须是在金融消费者充分知情的前提下自由作出的授权同意,以保障金融消费者的知情权。鉴于目前我国一般金融消费者还不具备专业金融认知水平和预见能力,对于个人数据信息应区分不同的场景、类别、处理环节来适用“同意规则”的做法,并不能充分保障金融消费者的金融隐私权不受侵害。因为我国金融隐私权主体和金融体制所处的发展阶段还相对较低,还不能照搬国外的立法经验。根据我国的国情,金融服务者利用人工智能技术对金融消费者的隐私占有和使用必须取得金融消费者明确清晰的同意,金融消费者有权要求金融机构提供相关信息材料,尤其是涉及到人工智能的自动决策机制。
金融服务者运用人工智能技术对金融消费者的基础信息进行收集、学习、演算和构建,根据金融消费者的需求进行匹配和设计,形成具有更高商业价值的数据,进行商业营销和商业决策所产生的收益权如何界定?这应分两种情况:一是如果金融服务者在没有获得金融消费者的授权或者在金融消费者明确表示拒绝的情况下,使用金融隐私信息所带来的收益应当属于不当得利;二是金融服务者在获得金融消费者授权并分享权益的情况下,对信息开发提升的商业价值,享有合法收益权。
2.明确金融服务者的义务
在权利与义务的规则设计上,有必要加强金融隐私的控制者——金融服务者的法定义务,以进一步保护金融隐私权。金融服务者在利用人工智能技术提供产品和服务中,凡是涉及到金融隐私的收集、使用、处理等环节应该履行的义务都应进行立法。
金融消费者在接受智能服务之前,金融服务者应当履行充分告知的义务,明确告知其使用可能存在的风险、注意事项及止损措施等。为了有效保障金融消费者的隐私权,应要求金融服务者必须设立专门的人工智能技术维护专员负责数据信息保护事项;应增加金融服务者对智能产品和智能服务进行内部或独立的风险评估管理的义务;应当采取与隐私风险相关的安全保护和防范措施。例如,对人工智能技术在设计产品或提供服务时,在其程序或系统中配置金融隐私保护程序,确保任何第三方无法获取或分享数据。一旦出现数据泄露、信息被盗或者遭受恶意攻击等问题,金融服务者有义务及时采取必要措施并通知金融监管机构,有义务协助金融监管机构和司法部门的调查工作。
金融消费者在接受金融服务者运用人工智能技术提供的智能服务时,无一例外都只有经过授权同意,才能顺利地购买产品或接受服务。由于授权同意不具有可协商性,金融消费者可能承担与收益不相匹配的风险,处于绝对的劣势地位。因此,授权同意书的内容不能完全交由主体双方意思自治,法律必须对此进行干预。法律应规定授权同意书的必备条款如数据类型、目的及目的限制、方式和频率、存储区域和期限、数据安全的措施以及处理程序等;应规定金融服务者有义务将授权同意书提交行政主管部门,由行政主管部门对其进行合法合规审查。金融服务者运用人工智能技术给金融消费者提供智能金融服务,目的不仅仅是为了给金融消费者提供优质的服务,更是为了获取能带来极大商业价值的数据信息。因此,金融服务者必须取得金融消费者的二次授权同意,并采取匿名化或加密处理的保障措施,有义务向金融消费者提供构建用户画像过程中所涉及的逻辑程序,以及与保护数据主体隐私所采取的措施等信息。只有这样,才能平衡金融消费者的金融隐私权保护和金融服务者利用金融隐私信息获得商业价值之间的冲突。
在坚持以金融隐私权优先保护为基本原则的前提下,兼顾金融消费者的合法利益、社会公共利益和国家安全所需,我国可以借鉴欧盟的“必要性”标准。为了追求必要的合法利益,金融服务者有权合法处理金融消费者的金融隐私,但应当符合以下情形:金融消费者的授权同意、基于金融消费者的合法请求、保护金融消费者的核心利益、履行其法定义务、为了公共利益和国家安全或基于国家机关依法授权以及法律规定的其他情形等。为了保障金融消费者的知情权,金融服务者必须每年都以书面或电子文档的形式告知其有关金融隐私使用和处理的详细情况。
(二)建立金融隐私权纠纷解决机制
首先,应完善金融监管机构内部投诉处理机制。我国已经建立了“一行三会”的金融消费权益保护框架,中国人民银行有必要出台金融消费者投诉处理办法,明确处理原则、程序和规范,及时处理金融消费投诉,保障金融消费者的权益;明确金融消费权益保护部门受理金融消费者投诉的职责范围、处理相关投诉的程序、调查取证程序及协调机制,既各司其职又能实现跨领域合作。金融消费权益保护部门有义务向金融消费者普及金融安全知识及相关法律法规,增强其金融风险防范意识及法律意识。
其次,建立专业化的金融消费案件纠纷仲裁机构。随着金融混业经营逐渐形成常态,金融消费者处于绝对的弱势地位,传统的纠纷解决方式无法有效地解决金融消费纠纷。为了更有利于保障金融消费者权益,可以建立专门的第三方非诉金融消费纠纷仲裁机构(以下简称“仲裁机构”),从法律层面明确仲裁机构的法律地位、管辖范围、争议处理的规则和程序、裁决效力等,处理日益增多的金融消费纠纷。仲裁机构人员由包括银行、证券、期货和保险等金融行业的专业人士、金融法学专家和律师担任。除仲裁机构的设立、收费、人事任免等事项由中国人民银行决定外,其他事项都授权仲裁机构依法处理。在纠纷争议仲裁过程中,为了解决金融消费者的举证困难,举证责任分配应强化金融机构及关联第三方的举证责任,适用过错推定原则。仲裁机构先行调解金融消费纠纷,当事人任一方不同意调解或经调解不成立,仲裁机构依法作出裁决。当事人任一方对裁决不服可以就金融消费纠纷直接向人民法院提起诉讼。裁决书经法院司法确认后具有强制执行效力。
最后,法院应对金融消费者进行倾斜性保护。我国《消费者权益保护法》虽然已经将金融消费者和个人信息纳入法律保护范围,但其条款仅有原则性规定,操作性不强。法院在审理金融消费者隐私权纠纷案件中,应本着保护弱势群体的原则,尤其在举证责任的分配和惩罚性赔偿的法律适用问题上,对金融消费者进行倾斜性保护。在利用人工智能技术提供产品或服务中,产生金融隐私权纠纷时,所有的数据信息都被金融服务者掌控,绝大多数金融消费者根本无法提供金融服务者利用人工智能侵犯其隐私权的有效证据。如果仍然采取“谁主张谁举证”的证据规则,对金融消费者极不公平,有违保护弱势群体的原则。因此,宜采取举证责任倒置,适用过错推定原则,强化金融服务者的举证责任。在利用人工智能技术进行金融欺诈的案件中,适用惩罚性赔偿能对金融欺诈起到警示和惩戒作用。根据《消费者权益保护法》第28条和第55条的规定,惩罚性赔偿的规定只适用对金融消费者的知情权范围内进行服务欺诈的情形。从法学理论上分析,金融消费者即使购买了金融产品,金融消费者获得的并不是具有使用价值的物品,而是一种基于金融合同而获得的资金收益权,消费者只是接受了经营者提供的一种金融商品性服务[14]。因此,无论是购买智能金融产品还是接受智能金融服务,本质上都是金融服务。对金融服务欺诈案件进行裁判时,应该严格适用惩罚性赔偿条款,适用过错推定原则,由金融服务者承担举证责任。金融服务者必须有证据证明其向金融消费者提供智能金融产品或智能金融服务之前,已经充分了解金融消费者相关资料,并向金融消费者明示了该商品或服务涉及的用户协议(包括授权同意书)所有重要内容和采取的必要安全保护措施;充分披露可能的收益、风险(包括人工智能技术的局限性)及注意事项等,以此证明金融服务者对金融消费者不存在欺诈,对金融消费者的权益受侵害不存在故意或过失的行为。
(三)建立有中国特色的金融监管体制
《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》已经对数据使用和隐私保护作出了明确规定。但是,我国金融监管体制仍不完善,应构建多层次、全方位的金融监管体制。凡是金融领域里运用人工智能技术提供的智能产品或智能服务,必须接受中国人民银行金融科技委员会(以下简称“央行金融科委”)的严格监管。
1.进行严格的准入审核
人工智能技术在给金融机构带来巨大效益的同时,也带来巨大的金融风险。央行金融科委必须对人工智能金融服务产品加强监管,对金融服务者提供的智能产品或智能服务进行短期的、小规模的“监管沙盒”测试,指派监管人员参与测试的全过程。只有经测试确认合格的人工智能金融服务产品,才能进行准入审核程序,开展风险评估。只有审查和评估通过后,才能获得准入许可证,并允许投入市场运营。投入市场运营的智能产品或智能服务一旦发现存在重大风险或安全隐患,甚至出现无法通过技术的升级或迭代来解决的情况,应当责令金融服务者停止运营该金融产品,维护金融消费者的合法权益。
2.积极履行监管职责
央行金融科委应以科技监管应对科技风险,建立动态的科技监管机制,构建金融科技监管规则系统。为加强金融隐私保护,应建立金融监管机构的联动机制,指导各金融监管机构运用人工智能技术不定期检测金融信息的安全,督促金融服务者完善金融信息的操作规范和保护措施,加强对跨行业、跨市场交叉性侵害金融隐私行为的防范和甄别,提升金融风险化解能力。应通过披露金融服务者、金融消费者和其他民事主体运用人工智能技术侵害金融隐私的行为,纳入全国征信系统,更好地维护金融安全和秩序。对于利用人工智能技术在金融领域实施违法犯罪的行为,各金融监管机构应在央行金融科委的技术指导下依法进行侦查,直接追究其法律责任,切实维护金融消费者的权益。
六、结语
人工智能将成为金融行业未来发展的核心驱动力。由于我国金融隐私权立法、行政监管和权利救济方式滞后,人工智能金融产品和金融服务在为金融消费者带来便利的同时,也对金融消费者的隐私权造成了严重威胁。如何解决人工智能技术的发展和金融隐私权保护之间的冲突?我国应当在借鉴国外立法经验的基础上,结合实际国情,制定具有中国特色的人工智能法律法规和建立金融隐私权保护机制,明确人工智能的法律性质、法律主体、法律责任、风险控制等问题;明确金融隐私权主体的权利、金融服务者及关联第三方的义务;建立专业化的金融消费纠纷仲裁机构;适用过错推定原则,对金融消费者进行倾斜性保护。总之,通过建立健全人工智能环境下保护金融隐私权的法律法规,为金融消费者提供全方位的法律救济。