金融科技场域下个人信息保护制度构建
2020-02-22史博文
史博文
(天津工业大学法学院,天津300387)
一、引言
金融科技又称技术驱动的金融创新,指通过底层技术革新与进步,结合底层技术与金融服务的融合贯通,创造出新型金融服务模式。金融科技服务可有效提高金融服务效率,降低金融服务成本。根据金融稳定理事会(Financial Stability Board,简称FSB)的定义,金融科技是主要依靠区块链、人工智能、大数据等前沿技术引领和带动,对金融供给方式、产品服务方式等产生重大影响的新兴金融服务模式(王莹,2016)。然而,在金融科技快速发展带来数据信息“爆炸”的同时,我国信息保护技术、保护理念和法治建设仍处于滞后状态,具体表现为:一方面,金融科技为人们生活带来便捷,另一方面,个人关键信息泄露严重,不法分子借机牟利,造成社会信息系统的混乱与无序。在现代社会,个人信息已经具备财产权属性,并作为人格权与财产权的混合权利存在(付大学,2019)。近几年,由个人信息泄露导致的银行卡盗刷,利用个人关键信息滥贷等不法行为降低了个人和社会的信用水平,对社会产生极大的负面影响。因此,提高个人信息保护力度迫在眉睫。
二、金融科技背景下的个人信息保护现状
目前,将个人信息的不当传播视为危害公民权利的社会性问题已成为社会共识,我国立法部门也对个人信息保护制度的构建愈发重视。目前,我国的个人信息处于间接保护阶段,如《中华人民共和国侵权责任法》《中华人民共和国治安管理处罚法》等对人格尊严、信息安全、个人隐私、个人秘密的保护一直处于分散状态,始终无法从更高层次适用统一的上位概念对其进行囊括保护。近几年,间接保护范式有了较为明显地向直接保护范式转变的倾向,如全国人大2020年5月通过的《中华人民共和国民法典》第111条规定:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”2016年,第十二届全国人民代表大会常务委员会第二十四次会议正式通过的《中华人民共和国网络安全法》(简称《网络安全法》)第40条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”我国金融监管机构对个人信息的保护不断加强。2011年,央行颁布《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号,简称17号文),对与银行有关的个人金融信息进行规范性保护,强调银行主体在收集、使用个人金融信息时应坚持依法原则,同时建立银行金融机构内部控制制度,以便对个人金融信息进行更好的保护。遗憾的是,我国对个人信息保护的立法仍存在“原则导向”和“各自为政”的弊端。
我国对个人信息的保护现状可以概括为立法保护导向明确、金融机构缺乏保护动力、权利人缺乏权利意识三个方面。立法保护导向明确体现在全国人大将《中华人民共和国个人信息保护法》(简称《个人信息保护法》)的制订工作提上日程,标志着我国未来个人信息保护有法可依。在个人信息保护过程中,政府需扮演强势角色,积极维护个人信息不受侵犯。金融机构缺乏保护个人信息的动力主要原因是,金融机构在维护个人信息数据库时,需要投入巨大的系统维护与技术迭代成本,而能否抵御黑客对个人信息的窃取仍未知。同时,由于法律法规对个人信息泄露的处罚力度相对较弱,金融机构的个人信息保护情况普遍不理想。权利人对个人信息权利敏感度较低表现在权利人对个人信息在金融机构中的处理、保护与用途缺乏认知渠道和认知意愿,且多数权利人对个人信息的重要性认识处于较低层次,主观维护意愿不高(阮神裕,2020)。
三、金融科技背景下个人信息保护困局
(一)社会规范之困:公地悲剧造成法律监管缺位
公地悲剧指在利益选择状态下,资源分配与个人自益性有所冲突的社会陷阱,在个人信息保护的法律监管层面,指个人信息权利的权属范围无法准确界定,以至于其由哪部法律进行系统性保护尚无定数。而立法部门在无法确定某一具体权利应当归属何者管辖时,会维持谦抑性的笼统保护态度,以免造成两部甚至更多部法律的规定冲突与适用不清。因此,除《网络安全法》细致规定了科学的追责制度外,其他相关法律大多只是原则性地对个人信息保护进行规定,并未就如何进行信息保护做具体细致的规定。《网络安全法》的规制范围是网络空间的个人信息窃取行为,仅依靠该法律对个人信息进行保护是以偏概全、以点概面的不科学路径,与实现个人信息全面保护的法治目标无法形成自洽的逻辑关系。个人信息保护是否属于公地悲剧在法律规制层面的体现,主要由现有法律规制资源存量、侵权行为法律资源损耗流量、立法机关对现有侵权行为进行立法补充三大因素决定(庆启宸,2019)。当现有法律资源存量无法对个人信息侵权流量有效抵御,就要寄希望于立法机关对现有侵权行为的规制补充立法。若补充立法强于侵权行为,个人信息保护的课题便得以解决,公地悲剧便会消失。若补充立法弱于侵权行为,便会出现个人信息被侵权人蚕食殆尽的现象,造成公地悲剧。目前,《个人信息保护法》尚未出台,我国对个人信息的法律保护仍处于公地悲剧中。
(二)技术壁垒之困:技术壁垒阻碍个人信息全面保护
目前,权利人的个人信息被中心化储存在各金融机构的数据库中,信息存储割裂导致规模化监管无法形成。首先,个人信息的市场主体保护已形成“山头效应”。在权利人将个人信息授予金融机构时,金融机构便对其进行碎片化处理。而各金融机构相互独立,在信息数据库领域尚未达成有效合作,由此形成中心化“数据竖井”。各个“山头”独立存在,对权利人个人信息保护缺乏集聚效应,导致市场层面个人信息保护乏力并形成技术保护壁垒。其次,金融机构个人信息运用过程的可追溯性较差。在金融机构不断通过格式合同增强个人信息可获得性的背景下,金融机构对个人信息运用的可追溯性却一直处于较低层次。权利人信息在收集、搬运、使用、保存等处理环节缺乏加密、保密与跟踪保护措施,极易造成个人信息被非法窃取、篡改和使用(常景超等,2019)。由于个人信息权具有人格权与财产权的混合属性,一旦被非法窃取和篡改,权利人将面临巨大的财产损失。央行建立的征信系统在一定程度上遏制了“山头效应”的发展趋势,实现了金融机构之间的部分信息交流互通,但该征信系统存留数据存在滞后性,无法根本解决市场主体对个人信息保护的壁垒之困。最后,金融行业缺乏统一的个人信息数据保存系统与风险抵御系统。目前,个人信息通常由各金融机构中心化分散保管,金融机构对信息安全的重视程度与保护技术存在差异。威瑞森公司公布的《2019年数据泄露调查报告》显示,经济利益驱动的网络攻击正在增长。因此,各大金融机构亟需突破技术壁垒,建立数据保护联盟,实现真正的数据保护合力,以对抗日益增长的网络犯罪。
(三)思想观念之困:权利人意识尚未苏醒
首先,权利人对个人信息权利的财产权属性认识不足。美国著名隐私权法律学者施瓦茨认为,建立个人信息财产化模型需满足五个关键要素:个人信息的权利限制、强制披露交易条件的默认规则、市场参与者退出权、损害赔偿制度、个人信息市场和惩罚侵犯隐私权行为的监管机构(Schwarty,2004)。目前,我国对以上五大要素都有条款规制,如国家标准GB/T35273-2017《信息安全技术个人信息安全规范》第7.2小节规定:“涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。防止内部非授权人员或个人信息主体之外的其他人员未经授权获取个人信息。”《征信业管理条例》第19条要求:“征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。”权利人有收回个人信息的权利,信息管理人也有不对具体权利人提供金融服务的权利,这是市场参与主体的退出权。损害赔偿制度与具有处罚权的机构(如法院)在法律应然层面都有相关规定。因此,我国个人信息权符合施瓦茨对个人信息财产化模型的推演。但我国个人信息保护仍处于起步阶段,公民作为权利人对信息权利的财产权属性认识不足,无法将个人信息与有形财产联系起来。权利人对个人信息的理解停留在“信息孤岛”阶段是我国目前个人信息保护举步维艰的内在原因。
其次,权利人对个人信息保护的必要性认识不足。个人信息安全意识指权利人在意识领域树立的信息化工作中个人信息安全理念,也是信息化工作中对个人信息侵犯的外来风险处于警觉和戒备的心理状态。我国公民对个人信息权重要性的认识处于较落后的阶段,其根源是对无形财产权利的漠视。财产权利分为有形财产权利和无形财产权利。有形财产权利指通过对权利圆满状态或受损状态进行评估,获得有形财产增加或减少认识的权利。无形财产权利与有形财产无关或仅有间接联系。无形财产权利是否受损无法直接决定有形财产是否受损,这导致公众对无形财产权利的保护并不敏感。张捷(2020)的研究显示,我国公众隐私观总体分值为58.69,处于中等水平,公众在网上主动暴露个人信息的情况较普遍。
最后,权利人在金融信息保护运作程序中处于弱势地位。权利人将个人信息授予金融机构后,金融机构便对个人信息拥有了绝对处置权,而权利人却难以对信息的处置发表见解。造成这一现象的根本原因是权利人与金融机构双方的权利、义务意识淡薄。权利人认为个人信息既然授予金融机构,金融机构理应对个人信息享有完全处置权,自己无权干涉。同时,个人信息财产属性是隐性的,不会对财产造成直接影响,因此没有干涉的原始动机。金融机构则认为获得个人信息就获得权利人的充分授权,对信息的收集、使用、搬运和保护无需告知权利人,这是对个人信息权利的重大误解。权利人仅同意金融机构在权利人已知且同意获取金融服务的范围内享有个人信息使用权,而此权利并非无限外延。一旦金融机构对个人信息突破适用边界,就要承担相应的法律责任,但前提是权利人对个人信息采取保护态度,且能够知悉个人信息在金融机构的应用与安全状况。
四、国外个人信息保护主要模式及启示
(一)美国:消费者保护模式
在个人信息保护领域,美国采用的是消费者保护模式。即个人信息保护立法的根本目的是维护消费者正当权利,防止企业通过市场强势地位对消费者实施欺诈和胁迫。美国1973年颁布的《公平信息实践准则》开辟了美国个人信息保护的先河。从此,美国对个人信息保护确立了两个重要原则:一是权利人信息透明原则,二是权利人对信息利用的参与原则。权利人信息透明原则即信息保管人在收集、搬运、使用、转让个人信息时,应当对权利人程序透明,保障权利人知情权。权利人对信息利用的参与原则即信息保管人在对个人信息进行收集和利用时,应征得权利人同意,使权利人积极参与到个人信息的使用过程中来(Solove和Hartzog,2014)。
1914年,美国联邦贸易委员会成立,奠定了美国以消费者权益保护为主导的个人信息保护基础。联邦贸易委员会进行个人信息保护的主要法律依据包括美国各项单行法和《联邦贸易委员会法》(王叶刚,2020)。单行法包括美国国会于1974年颁布的《隐私法》、1986年颁布的《电子通信隐私法》、1998年颁布的《儿童在线隐私保护法》等十余部法律(张立彬,2020)。个人信息保护的单行法主要以碎片化的形式对不同领域的个人信息进行分散式保护。但社会发展带来的新权利领域无穷无尽,列举式立法范式无法满足现实需要,因此,单行法无法作为个人信息保护的主要法律依据。《联邦贸易委员会法》主要通过两种路径对个人信息进行保护:一是对欺诈交易行为的规制。该法认定的欺诈交易行为指经营者对消费者实施误导导致消费者产生认识错误,从而造成消费者权益损害,这其中包括个人信息权损害(Reidenberg,2015)。二是对显失公平交易行为的规制。《联邦贸易委员会法》认定的显失公平交易行为指经营者通过市场强势地位向消费者施加一定的外力,使消费者在消费中无法意识到或意识到而无法避免将要遭受的损失。总体而言,联邦贸易委员会利用隐私政策的调整,对个人信息权进行保护。
(二)欧盟:数据保护模式
欧盟主要采用数据保护模式对个人信息进行保护,即发生侵权行为时,优先确保信息数据的安全性,而非权利人的合法权益。这种保护模式剥夺了权利人在个人信息泄露案件中权益保护的优位性。欧盟于2018年颁布了《通用数据保护条例》(General Data Protection Regulation,简称GDPR),强化了数据保护模式的监管导向。GDPR的规制主体是企业,要求企业建立用户数据监控体系,完善数据监控基础设施,完善数据安全保障机制(占南,2019)。与美国消费者保护模式不同,欧盟数据保护模式通过主体分类的方式进行个人信息保护。首先,GDPR赋予数据主体多项合法权利。GDPR中的第五章至第七章用大量篇幅对数据主体权利进行列举式规定。如第五章规定的知情权,第六章规定的访问权、更正权与可携带权,第七章规定的删除权、限制处理权、反对权和自动化个人决策权等。与消费者权利相比,数据主体权利保护范围更广,权利保护无需以交易的发生为必要条件。其次,GDPR的适用主体不仅包括欧盟企业,也包括非欧盟企业。2018年5月,两家欧洲隐私与信息数据保护组织向法国有关监管机构投诉谷歌在用户个人信息授权协议上采用“强制同意”条款,并在不告知用户的情况下将个人信息作商业用途。法国国家自由与信息委员会依据GDPR的相关规定,向谷歌开出5000万欧元的罚单。谷歌也成为GDPR在欧盟生效后第一个受罚的美国科技巨头。
(三)日本和韩国:立法层面的统合式安排
日本和韩国在个人信息保护的立法方面具有共同特征,均采用统合式立法。统合式立法指议会、政府和相关部门与具有立法权力的社会组织针对某一事项立法形成法律体系,并依照立法主体位阶决定法律效力的位阶。
日本个人信息立法中,层次由高到低分别为:国家总括性立法(由国会通过,地位类似于信息保护领域的根本大法)、国家个别性立法(由国会通过,地位类似于各部门法)、政府主管部门颁布的重点行业规章、政府主管部门颁布的其他行业规章(ユン·ジョンス,2009)。日本信息保护立法的显著特征是将民营企业与政府部门分开规制,二者所要遵守的法律并不相同。个人信息保护领域的根本大法为《个人信息保护法》的第一章至第三章基本法部分。个别法包括《关于行政机关持有的个人信息保护法》《关于独立行政法人等持有的个人信息保护法》等部门法。政府主管部门颁布的重点行业规章包括通商产业省颁布的《关于民营部门计算机处理个人信息保护指南》、邮政省颁布的《关于电信业的个人信息保护指南》等。
韩国个人信息立法中,法律效力最高的是韩国国会于2011年通过的《个人信息保护法》,具体行业的部门法效力次之,如《电气通信事业法》《信用信息保护法》《位置信息保护法》《信息通信网法》等。
日韩两国法律运行上既有同一性,也有对立性(池建新,2016)。首先,两国在个人信息权被侵犯后的法律救济路径上具有同一性,即对个人信息的保护不仅局限于司法保护,行政保护同样注重。被侵权人除法院起诉侵权人承担赔偿责任外,还可以向行政机关投诉或申诉。两国都建立了个人信息保护行政机构,如日本的行业主管部长负责制和韩国的个人信息调解委员会。其次,两国在侵权人法律适用方面存在对立性。日本对数据保管主体的个人信息保护义务是分层规定的,原因在于日本官方认为,政府部门收集、搬运和处理个人信息的目的是提高行政效率,以便更好地履行行政职能。因此,政府部门的个人信息使用具有公益性动机,侵权主观恶性相对较小,并且政府作为公共管理部门,理应受到更多的社会监督。而民营企业的目的是利润最大化,主观恶性相对较大。但民营企业需要保持一定的灵活性,不得过度立法干涉其生产经营。韩国官方认为,出于公平性目的,应当对侵权主体一视同仁,适用同一法律进行规制。
(四)启示与比较分析
在个人信息保护的立法方面,欧盟、美国与日韩呈现出较强的地域特色。虽同为保护个人信息,但侧重点颇有不同。各国在保护倾向和立法范式始终遵循个人信息的直接保护与行政保护。
个人信息的直接保护指明确将个人信息作为一项权利列入法律保护范畴,并佐以相应的辅助性规定,如侵权定性、保护路径、监管机构和法律后果。我国目前的个人信息保护处于分散式立法阶段,看似各司其职,实则在个人信息的规范保护上无法形成强大合力。如《网络安全法》对网络信息泄露案件的规制,央行17号文对金融机构信息泄露案件的规制。不同信息领域适用不同的“小法”,容易产生权力缝隙。
个人信息的行政保护指行政机关通过对侵权人或有过失的信息保管人进行行政处罚或处分,或运用行政权力干预有个人信息泄露风险的违法交易,达到对个人信息进行保护的行政管理目的。我国对个人信息的行政保护采取“分业监管”的监管范式,如《中华人民共和国消费者权益保护法》第56条规定工商行政管理部门有权对法律、法规未作明确责任规定的经营者责令改正、警告、没收违法所得或罚款;《中华人民共和国邮政法》和《快递暂行条例》赋予邮政管理部门对个人信息侵权案件行政处罚的权力;《征信业管理条例》规定国务院征信监督部门对征信机构和金融信用信息基础数据库运行机构的个人信息侵犯与保管过失进行行政处罚的权力。分业监管的前提是在立法的应然层面和执法的实然层面,各部门法与行政主体对所管辖的领域边界清晰,否则便有可能造成个人信息保护的公地悲剧。因此,我国亟待设立或依法确立统一的个人信息保护执法机构,将个人信息保护的行政权力收归一处,再依据行业性质差异区分不同的内部机构。与分业监管范式不同的是,各内部机构虽地位平等,但个人信息保护执法机构这一上级主体可以在内部机构发生管辖权纠纷时进行指定管辖,避免个人信息保护公地悲剧的产生。
五、构建金融科技场域下个人信息保护制度
金融科技场域下个人信息保护制度构建应具有整体思维,通过多管齐下解决。在法律层面,应完善相关规范,设立切实可行的个人信息保护制度并形成体系;在基础设施建设层面,应坚持体用结合,在完善法规的基础上对个人信息保护基础设施与技术储备加以更新,使之更适应新时代个人信息保护的需求;在监管实操层面,协调和处理好金融数据开放与监管保护准则的关系,避免监管俘获等有碍于监管实施的情况发生。
(一)完善规范:加快制订《个人信息保护法》
世界主要发达国家在信息保护领域大多有专门立法,如美国《公平信息实践准则》和《隐私法》、欧盟的《通用数据保护条例》、日韩的《个人信息保护法》等。2017年3月,全国人大代表邵志清在第十二届全国人大第五次会议上提出议案,建议加快制定个人信息保护法,同时将《中华人民共和国个人信息保护法(草案)》作为附件提交。2020年5月25日全国人大三次会议中,全国人大常委会在工作报告中指出,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法,通过刑法修正案修改《中华人民共和国行政处罚法》和《中华人民共和国人民武装警察法》等。由此可见,《个人信息保护法》的制定已提上日程。针对《个人信息保护法》具体条款的制定,本文提出如下建议:
1.融合数据与消费者保护模式的个人信息保护路径
在信息保护领域,美国奉行的“消费者保护模式”与欧盟奉行的“数据保护模式”均有优势。结合我国国情,我国信息保护的重点应以“数据保护模式”为基础,佐以“消费者保护模式”。主要原因是我国消费者权益保护力度较弱,国情与美国存在诸多不同。突出表现为美国联邦贸易委员会是联邦机构,主要职权之一是保护消费者合法权益。而我国市场监督管理部门的职权倾向于保障市场秩序的有效运行,在市场秩序规制与消费者权益保护的选择上倾向前者。同时,中国消费者协会作为社会组织缺乏行政机关特有的职权性。因此,就消费者权益的行政职权保护而言,我国行政主体存在缺位现象。以“数据保护模式”为监管基础,权力来源更顺畅,也更适合中国现有社会状况。将金融行业纳入统一的“市场信用信息数据库”,公示侵害权利人合法权益的不诚信金融机构,使金融科技服务机构“一处失信,处处碰壁”,以此提升个人信息保护的重视程度,加大权利人个人信息保护力度。
2.构筑行政保护与司法保护结合的个人信息保护路径
在个人信息保护路径的选择上,《个人信息保护法》应坚持行政保护与司法保护并重的模式。目前,我国对个人信息的保护主要集中在司法保护领域,即被侵权人通过向人民法院起诉侵权人维护个人权利。诉讼无疑是非常有效的维权方式,法院强制执行意味着一旦形成对被侵权人有利的判决,侵权人必须承担相应的法律责任。但该方式也有明显的弊端:一方面,诉讼周期较长,被侵权人可能面临长时间的权利侵犯;另一方面,诉讼成本较高,诉讼费、律师费、保全费等造成诉讼的高成本。因此,我国在构筑个人信息保护体系时,应在保留司法保护模式的同时,强化个人信息的行政保护。
强化个人信息的行政保护是“数据保护模式”的具体体现,主体是行政机关,对象是金融科技公司,客体是个人信息。行政保护具有单向性和职权性,金融科技公司是行政相对人。金融科技公司对个人信息实施侵害主要包括直接故意侵害和丢失个人信息侵害。针对前者,行政主体根据金融科技公司的主观恶意、侵权行为和获利数额等因素考虑处罚决定。针对后者,需对丢失个人信息的性质进行尽职丢失与过失丢失的区分。同时,建立个人信息保护人尽职免责制度,即金融科技公司有证据证明其已穷尽一切手段履行信息保管义务时,可以减轻或免除其保管责任。若金融科技公司因过失泄露了个人信息,则应承担相应责任。
个人信息的行政保护虽具有效率高、程序简单、灵活性强等优势,但也存在弊端,如黑客对金融科技公司辖内金融信息数据库发起攻击,造成大量个人信息泄露,金融监管机构无权对其进行监管,需由被侵权人向人民法院进行起诉,采用司法程序对自身合法权益进行维护。因此,由行政机关对金融科技公司进行监管较为便利,而第三方对个人信息的侵权应采用司法保护模式。可以看出,构筑行政保护与司法保护相结合的个人信息保护路径十分重要。
(二)体用结合:完善信息保护基础设施与技术储备建设
2017年《网络安全法》正式生效,其中的第三章“网络运行安全”是立法亮点,即我国首次将关键信息基础设施建设提到立法层面。《网络安全法》第31条指出,关键信息基础设施是在我国重要行业及领域,其一旦遭受攻击和破坏导致系统失灵或数据泄露,可能导致重大社会利益受损。金融信息基础设施就从属于关键信息基础设施(王春晖,2017)。
完善个人信息保护的基础设施与技术储备,需从技术能力、产业倒逼、事前监督与事后监管几个层面入手。首先,技术能力的提升是内生动力。在世界各国纷纷重视“数据本地化存储”的背景下,金融科技领域的个人信息保护应借此趋势提升数据保护的技术能力。随着云计算、物联网与人工智能等新兴科技的发展,在保证国家数据安全的前提下,有关技术部门可将非核心区域内的数据储存技术授予金融科技公司,以增强数据风险抵御能力。在对金融科技公司进行审批时,相关部门应强制金融科技公司配备相应的数据保护系统,保证个人信息安全。其次,产业倒逼是完善信息保护设施的外部驱动。加快高端芯片、核心器件和新一代移动通信网络的建设,借助5G、人工智能、大数据、物联网等新兴产业快速发展带来的强大驱动力,倒逼金融科技公司强化个人信息保护的基础设施建设。再次,事前监督是预防个人信息泄露的有效手段,主要表现为对整个行业的规范。制定金融科技公司个人信息安全标准,将数据保护系统达到安全标准作为从事金融科技业务的准入门槛。最后,事后监管是对既定侵权事实进行责任分配与利益修复的过程。构筑合理的侵犯与泄露个人信息侵权的法律责任,具有修复旧的法律关系的作用,也可以震慑潜在侵权人。
(三)灵活监管:协调金融数据开放与监管保护准则
金融数据开放是继虚拟货币和人工智能后,金融科技的下一个热点。但金融数据开放不可避免的给个人信息制度化保护带来冲击。银行借助雄厚的资金实力与极高的信用评价,收集了大量个人信息,成为社会金融数据大集合的主要载体。同时,在金融数据开放性变革过程中,银行因掌握大量金融数据而处于风口浪尖。作为主要的数据开放主体,银行在维护个人信息方面投入大量成本,也取得了不错的集群性积极效应(杨帆,2019)。如果银行开放其掌握的数据,金融科技公司是否有能力保护海量个人信息,成为阻碍金融数据开放的重要问题。
开放金融数据对个人信息保护的挑战主要来自三个方面。第一,数据安全无法得到充分保障。在数据分享与开放过程中,银行、金融科技公司甚至监管机构无法保证个人信息不会被非法收集、盗用甚至篡改。第二,个人信息的使用范围及透明性缺乏有效规制。如何保障个人信息仅在授权范围内被合法使用,使用主体是否是权利人明确授权的主体,使用过程是否透明,使用完毕后是否依约进行永久数据删除等难题缺乏有效规制。第三,职责不明。金融数据开放后,个人信息被恶意泄露、篡改等情况发生时,责任承担主体、程序与形式皆不明朗,无法形成有效的权利救济链条。
在金融开放的背景下,必须协调金融数据开放与个人信息监管的关系。首先,金融数据开放应保证个人信息权得到充分保障,坚持审慎原则,将个人信息的最低保护限度作为金融数据开放的最高限度。在强化个人信息保护的能力范围内,有条件地逐步放开金融数据展示,避免造成数据大量泄露。其次,加快我国统一金融监管机构改革进程。通过机构设置调整,将金融监管权力合而为一,形成监管合力,避免出现金融信息监管的公地悲剧。最后,在加快推进金融数据开放的同时,加大个人信息保护的社会宣传力度。金融数据开放有利于打破金融行业的信息垄断,极大提升金融服务效率,是未来金融行业的发展方向。在此前提下,相关部门应加强个人信息价值与个人信息保护的社会宣传力度,增强社会公众保护个人信息的主观意愿与客观能力,从而达到金融数据开放与个人信息保护两手抓的目的。
