大数据时代金融隐私权保护面临的问题与对策
2021-07-30王云
王云
【關键词】 大数据 金融隐私权 法律保护
【中图分类号】DF5 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2021.10.014
随着社会经济的迅速发展,大数据在为人们日常生活提供便利之余,也引发了新的安全隐患。金融机构肆意采集、储存、使用消费者数据信息,导致电信诈骗、账户盗刷风险急剧上升。当前,不少欧美发达国家已经出台了保护金融隐私权的专项法案,而我国金融领域隐私保护的立法、执法、司法等环节相对滞后,消费者常常面临“维权无门”的困境。大数据时代,应提高金融隐私权立法层级,落实金融隐私权保护责任,增加金融隐私权救济途径,构建金融隐私权法律保护体系,为消费者金融隐私安全保驾护航。
大数据时代金融隐私权保护面临的问题
金融隐私权相关立法不健全。随着互联网与金融产业的深度融合,互联网金融公司在迅速发展的过程中,由于相关法律法规不完善,监管不严、金融违约成本低,造成侵权事件频发,影响和制约了金融服务水平的提升。[1]一是网络金融隐私权立法缺失。由于我国尚未出台互联网金融隐私权保护专项法律,对金融消费者权益保护的规定散见于《侵权责任法》《消费者权益保护法》等,法律法规模糊、宽泛而不成体系。二是大型金融机构集团金融业务法制约束不足。当前,我国网络金融平台主要由大型金融集团管控,大型金融集团资金实力雄厚,时常打着“金融创新”的旗号推广精准金融服务,在获取消费者金融信息的前提下根据消费者资金能力和消费习惯精准推送金融服务,看似是为消费者谋取福利,实则在采集用户信息的过程中侵犯了消费者的金融隐私权。三是金融隐私侵权案件尚未出台民事领域立法。当前,金融隐私权侵权案件集中于行政领域、刑事领域,尚未出台民事领域立法,公民自身合法权益未能得到充分的保护。
金融隐私权保护责任落实不到位。一是商业利益制约隐私权保护的落实。隐私权保护涉及社会生活秩序的维护和管理,但过度强调金融隐私权保护可能增加金融机构服务成本。对于金融机构而言,是以商业经济效益为先,还是以保护消费者金融隐私权为先,如何选择和权衡,关乎金融服务质量和金融创新。二是金融隐私权保护模式缺位。金融隐私权保护分为“选择进入”和“选择退出”两种模式,目前我国尚未明确金融隐私权保护模式,但多数网络金融服务机构默认“选择退出”,即除非消费者明确要求退出,否则将允许消费者金融信息在系统内部自由流通。然而,由于金融机构在使用消费者金融信息的过程中未能与消费者保持良好的沟通,金融机构与消费者之间屡屡出现由于信息不对称导致的服务质量下降的现象。三是金融数据监管机制落实不力。金融数据监管面临立法、技术等多重难题,依赖单一主体难以建立完善的监管机制。从内部监管看,金融机构缺少专门的业务监管部门;从外部监管看,银监会、证监会、保监会等相关部门虽能够履行监管职能,但各部门之间权责不清,缺乏联动监管,难以提高协同效力,一定程度上降低了监管的实效性。
金融隐私权救济途径单一、管理机制滞后。一是金融企业信息安全管理不严,应急处置能力不足。现阶段,我国的金融隐私权保护工作在事前预防、事中及事后救济等环节,缺乏完善的应急管理预案机制。金融隐私的泄露将直接影响到整个金融秩序的正常运行,侵害消费者合法权益。在应急管理预案缺位的情况下,不但无法及时有效识别金融隐私泄露问题,且一旦问题出现也很难准确响应、及时启动正确的止损程序。另外,当前关于金融隐私权救济的应急管理仅局限于金融机构,缺乏第三方专业机构的介入,金融隐私权的整体保护效力较低。二是金融信息数据使用约束机制缺位。金融机构使用消费者金融隐私数据的目的是降低金融服务成本,这意味着金融隐私数据具有经济价值,因而金融机构理应付费使用,不管数据的使用是否会对消费者权益造成侵害。当前该问题尚没有健全的制度层面的法规进行约束,特别是针对使用纠纷的赔偿问题,未作出明确规定。三是金融纠纷维权方式单一、效果不佳。当前,金融消费者遭遇隐私泄露问题,只能通过诉讼方式维权,缺乏行业协会等第三方机构的调解,这不仅需要耗费大量时间成本,维权效果也不尽理想。
大数据时代金融隐私权保护的国外经验
美国:实施单行立法保护。早在1978年,美国国会就发布了《金融隐私权法案》,对联邦机构通过金融机构使用账户信息予以明令禁止,并明确了金融机构披露政府部门行为的责任与义务。然而,该法案仅仅适用于联邦机构,而对州、地方政府、个人、民事单位均不适用。20世纪90年代末期,美国国会又发布了《金融服务现代化法》,允许美国银行、证券、保险业之间混业经营,并突出强调了对享受金融服务的消费者的保护,明确了金融机构对消费者隐私尊重和保护的义务,并规定了隐私保护的基本原则。《金融隐私权法案》与《金融服务现代化法》尽管各有短板,但是关于金融隐私权保护方面的条款较为详细,成为各国立法的重要参考。进入21世纪以后,美国针对网民隐私的保护力度进一步加大,出台了一系列的消费者隐私权法案,使得消费者对自身信息使用权的掌控力进一步加强。
英国:引入“默示条款”原则。英国针对金融隐私权的保护,最早是在上世纪20年代通过合同“默示条款”而实现的,该条款因此成为金融机构承担金融隐私权保护义务的关键法理。1924年发生“图尔尼尔案”,在金融隐私权保护方面就应用了“默示条款”,首开银行对客户负有金融隐私保护义务的先河。在该案中,由于图尔尼尔未能按时归还银行欠款,银行为了取得其详细联系方式与图尔尼尔的雇主取得了联系,透露了相关信息,致使雇主拒绝同图尔尼尔续签劳动合同,因此图尔尼尔以侵犯金融消费者隐私权为由向法院起诉银行。最终英国上诉法院援引“默示条款”原则,判定图尔尼尔胜诉。“默示条款”的使用,使得金融隐私权的保护不再仅仅局限于单纯的“不泄露”,而是上升到主动保护的层面。然而,随着此类信息泄露案件的不断增多,“默示条款”对于金融信息被泄露者的保护日渐式微。“侵权理论”随后被提出并确立,配合“默示条款”在保护金融隐私权的过程中发挥了积极作用。
欧盟:构建统一立法模式。为进一步加强金融隐私权的保护,欧盟构建了统一的立法模式,其特征主要表现在两个关键点:一是强调统一指导性,二是出台概括性法律文件。欧盟各国分别制定了适用于本国数据隐私保护的政策法规,同时,也为跨国的统一数据保护法案的制定作出了重要努力。1955年,欧盟通过《个人数据保护指令》,明确了金融机构的统一标准与程序规范,以及金融隐私保护的原则与监管方式。1980年,欧盟发布《关于隐私保护和个人数据跨疆界流动的指导原则》,提出个人隐私保护与数据处理的基本原则,并明确了非法使用个人信息及数据的赔偿责任。1995年,欧盟发布《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》,针对个人数据收集的原则予以规定。2017年,欧盟委员会发布《隐私与电子通信条例》,改变了通信隐私规则只对传统电信服务商进行约束的规定,进一步对整个电子通信行业的数据隐私进行保护与监管。总而言之,欧盟通过构建统一的立法模式,出台了诸多概括性法律文件,对跨国金融隐私权实现了统一的指导和规范。
大数据时代金融隐私权保护的对策建议
提高金融隐私权立法层级。第一,尽快出台《网络金融隐私保护法》。借鉴域外金融隐私权相关法律法规,全面保护大数据时代消费者金融隐私权。一方面,明确金融隐私权的主体、客体和保护内容,强调凡能够识别消费者身份的相关信息都应纳入保护范畴。同时,详细规制金融机构采集、使用、维护、访问数据信息行为,要求网络金融机构加密数据信息,设立直接责任人,对数据使用、传输、维护全程监控;[2]另一方面,制定金融平台技术安全标准,网络金融平台技术水平必须达到相应标准,才能开展网络金融服务。同时,鼓励网络金融平台技术创新,不断提升技术安全标准和水平。第二,制定《金融控股公司法》。一方面,依法开展金融创新,任何金融创新行为必须依据相关法律进行,一切以不侵犯消费者金融隐私权为基准,切实以消费者的合法权益为核心,按照《金融控股公司法》实施;另一方面,强化大型金融集团内控制度,推动大型金融机构集团股权多元化、分散化、合理化,健全母子公司董事会职能,完善集团内部收入分配机制,避免经理人通过侵犯金融隐私权进行短期牟利。同时,严格控制子公司风险系数,落实监管责任,防止子公司出现侵犯金融隐私权行为;对已经存在的侵权行为及时查处,经内部处理后汇报给相关监管部门。第三,出台专门的个人信息保护法律。鼓励公民积极保障自身合法权益,填补个人信息保护在民事领域的立法空白。一方面,允许消费者提出禁止性通知,当金融机构存在泄露消费者金融隐私时,消费者有权通知金融机构,要求停止侵权行为,查处金融隐私泄露原因、相关责任人,防止金融隐私泄露持续扩散;另一方面,增设金融隐私权侵权民事赔偿相关条款,侵权行为本质是对消费者合法权益造成侵害,应允许消费者提起诉讼、申请赔偿。鉴于金融机构与消费者之间存在信息不对称现象,应实施举证责任倒置,减少金融消费者维权成本。
落实金融隐私权保护责任。第一,有效平衡商业利益与金融隐私。一方面,确立合理使用原则,降低金融服务成本,鼓励金融创新,允许金融机构合理使用消费者金融隐私数据,不对其进行过度干涉,但要严格基于使用目的不偏离、经过消费者授权同意等前提和条件;另一方面,确保数据信息的绝对保密。相比商业利益,金融机构应将消费者隐私权保护置于首位,确保依法合规采集和使用数据,使用过程注意数据保密,不得随意公开、共享金融数据。同时,消费者若明确表示不同意金融机构使用隐私数据,执法部门应坚决维护消费者利益,禁止金融机构继续使用相关数据。第二,创新金融隐私权保护模式。鼓励企业采用“选择进入”保护模式,经由消费者明确授权和同意,允许金融机构在服务过程中使用隐私数据,有效避免消费者不知情现象,减少服务层面的法律责任纠纷;[3]同时,金融机构应与消费者保持良好沟通,及时询问消费者意见,提高消费者的参与度,通过合理有效使用消费者金融信息,为消费者提供更优质服务,提高金融服务满意度。第三,构建多部门联动监管机制。一方面,强化金融机构内部监管责任。作为金融隐私数据的直接使用者,金融机构内部监管存在的技术壁垒较少,应依照企业规章制度,设立专门的监管部门负责数据监管工作。对于机构内部的相关安全隐患,及时报告主管负责人予以协调处理;另一方面,推进外部多部门联动监管,金融隐私数据监管工作应由人民银行统筹,银监会、证监会、保监会分管,开展协调合作、填补监管盲区,加强金融机构网络巡查、现场检查,及时披露金融机构违规违法操作,鼓励社会公众投诉举报相关侵权现象和问题,共同提升金融隐私权保护质量。
增加金融隐私权救济途径。第一,建立金融隐私应急管理预案。一方面,规范金融隐私泄露止损操作,及时切断数据传输,恢复或删除泄露数据信息,避免信息二次传播,将信息泄露危害降至最低。依法对金融机构及相关责任人进行处罚,根据侵权行为的性质、情节以及后果要求责任人承担行政责任、刑事责任,责令涉事金融机构停业整改,并处罚金。另一方面,建立完善金融机构应急管理预案。鼓励行业协会介入应急管理,帮助和指导金融机构妥善处理危机事件,消除金融隐私信息泄露的不良影响,认真总结经验教训,不断完善内部调控制度。第二,创新金融信息有偿使用制度。一方面,明确金融隐私数据归属。消费者金融隐私数据具有价值性、独立性、稀缺性和可支配性,应视为消费者个人财产,金融机构如需利用消费者金融数据降低服务成本,应采取有偿使用的方式,给予消费者适当补偿;另一方面,明确“先付费、后使用”原则,金融机构使用隐私数据,必须提前告知使用目的、使用范畴、使用时间、使用价格,经消费者同意方可达成交易,倘若事前未与消费者进行沟通或未支付相关费用,一经消费者或相关部门发现,应依法进行处罚,应处罚金额度应为合理使用费用的5~10倍。第三,建立多元金融纠纷解决机制。一方面,充分发挥行业协会的调解作用。行业协会对金融隐私侵权现象了解得更为全面,在消费者隐私权遭遇侵害后,应及时向行业协会发起投诉,由行业协会介入调查,调解双方矛盾。同时,如消费者对调解结果不满,应鼓励其继续选择仲裁、诉讼等维权途径,最大限度保障消费者的权益。另一方面,创新金融机构信用评分机制。作为服务对象,金融机构应允许消费者对其进行评价打分,并将评价结果予以公开,为其他消费者提供参考。同时,对屡次侵犯消费者隐私权、评分评级逐步降低甚至触底的金融机构,进行依法惩处,禁止其从事相关金融服务。[4]
注释
[1]臧旭恒、董婧璇:《电子银行、金融便捷及家庭消费——基于异质性消费者的角度》,《山东师范大学学报(社会科学版)》,2020年第5期,第107~124页。
[2]黎四奇、苗羽亭:《大数据背景下金融隐私权的保护》,《财经理论与实践》,2019年第7期,第151~155页。
[3]权洪森:《网络环境下金融隐私权保护制度研究》,《海南金融》,2018年第5期,第53~61页。
[4]胡文涛:《推进普惠金融应重视的问题:加强金融隐私权的保护》,《兰州学刊》,2018年第7期,第164~172页。
责 编∕张 貝