我国银行业个人金融信息保护机制构建研究
2021-11-24金朗
金 朗
(浙江金融职业学院马克思主义学院,浙江 杭州 310018)
近年来,金融机构基于业务活动需要收集和处理个人信息,实现风险控制、产品设计和精准营销,通过大数据赋能,给行业和个人生活带来便利。但随着过度收集、信息泄露、隐私侵权等风险事件的增多,从监管层面,无论是中央还是地方,都相应加大了对侵害数据安全和个人信息权益行为的惩治力度。商业银行应当对个人信息保护问题给予充分重视,方能实现信息利用和保护间的平衡。
一、个人金融信息的内涵与外延
个人金融信息作为个人信息的子概念,源于英美法中银行对客户金融隐私权的保护。在现行规范性法律文件中,这一概念最早可追溯至2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》。在该文件中,“个人金融信息”被定义为:银行业金融机构开展业务或通过接入人民银行征信、支付以及其他系统时获取、加工和保存的个人信息;具体分为:个人身份信息、财产信息、账户信息、信用信息、金融交易信息、衍生信息和其他信息等。
此后,在2016年《中国人民银行金融消费者权益保护实施办法》(以下简称为《实施办法》)中,“个人金融信息”被定义为:金融机构通过开展业务或其他渠道获取、加工和保存的个人信息;在其具体分类上删除了“衍生信息”。该文件于2020年被废止,由新的《实施办法》取代,后者虽使用“消费者金融信息”的提法,但表述与之前并无实质差别。而在2020年2月中国人民银行发布的《个人金融信息保护技术规范》中,基本沿袭了上述概念,但删除了“信用信息”、增加了“鉴别信息”和“借贷信息”。
从规范视角,《中华人民共和国民法典》(以下简称《民法典》)所定义的“个人信息”①《民法典》第一千零三十四条,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。包含双层构成要素:实质要素强调可识别性,形式要素强调记录形态和记录的可获取性。个人金融信息作为个人信息在金融领域的扩展与细化,亦可表述为:金融机构通过业务活动或其他渠道获取、加工和保存的以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人的信息。此外,从文义解释角度,因现有规范性法律文件并不能对“个人金融信息”的所有类型进行精准定位,故而立法者亦尝试通过类型列举和兜底条款来设置概念边界。
二、个人金融信息保护现状
(一)个人金融信息保护立法现状
个人金融信息作为个人信息的子类概念,要先受个人信息保护法律、法规、规章等规范性法律文件的约束。我国涉及金融数据安全与个人信息保护的主要规范性文件包括:
1.法律:《中华人民共和国民法典》《中华人民共和国刑法修正案(七)》《中华人民共和国刑法修正案(九)》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》。
2.行政法规:《征信业管理条例》《个人存款账户实名制规定》。
3.部门规章:《中国人民银行金融消费者权益保护实施办法》《商业银行互联网贷款管理暂行办法》《电信和互联网用户个人信息保护规定》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《个人信用信息基础数据库管理暂行办法》《人民币银行结算账户管理》《金融消费者权益保护实施办法》。
4.部门规范性文件:《金融信息服务管理规定》《银行业金融机构数据治理指引》《银行业消费者权益保护工作指引》《APP违法违规收集使用个人信息行为认定方法》等。
5.国家及行业标准:《金融数据安全数据安全分级指南》(JR/T0197-2020)、《个人金融信息保护技术规范》(JR/T0171-2020)、《金融数据安全数据生命周期安全规范》(JR/T0223-2021)、《商业银行应用程序接口安全管理规范》(JR/T0185-2020)、《移动金融客户端应用软件安全管理规范》(JR/T0092-2019)等。
而继《民法典》在民事基本法层面规定了个人信息定义、个人信息处理原则、信息主体知情同意权、查阅复制权、更正权和删除权等内容后,聚焦数据安全的《中华人民共和国数据安全法》也已通过,今年9月1日起施行。但目前有关个人信息保护的专门法律《中华人民共和国个人信息保护法》尚在征求意见中,涉及个人金融信息保护的具体规定分散于不同效力级别文件的零星条款,且多为原则性规定。
目前为止,除《民法典》外,对个人金融信息保护规定最为详尽的是2020年2月开始施行的《个人金融信息保护技术规范》,该规范将个人金融信息按照敏感程度以及泄露后将造成的危害,由高到低分为三个类别;同时,还从安全技术和安全管理角度,具体规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各个流程的保护要求。在《个人信息保护法》尚未正式出台前,此类国家标准发挥了重要作用,但主要是推荐性国家标准,不具有强制性;而实践中,其仍有可能成为监管部门开展执法活动的依据,故而对金融企业活动仍有较强指导意义。[1]
(二)个人金融信息保护执法现状
自2019年以来,在中央和地方层面通过专项治理活动,打击危害数据安全和侵犯公民个人信息的行为,相关执法活动主要由人民银行、工信部门、网信部门、公安部门以及市场监督管理部门等组织实施。
人民银行执法活动的主要依据是《反洗钱法》和《中国人民银行金融消费者权益保护实施办法》等,活动具体包括:对金融机构反洗钱信息保密制度执行情况的监管,对金融机构超出必要限度收集、使用与非法存储,甚至泄露消费者金融信息行为的查处等。而根据《中国个人金融信息保护执法白皮书2020》的统计,截至2020年10月25日,中国人民银行及其分支机构当年涉及“个人金融信息”的行政处罚数量共计181件,合计处罚金额超过了1.8亿元,处罚事项主要为:未按规定保存客户身份资料和交易记录、未经授权查询个人金融信息和侵害消费者个人信息依法得到保护的权利等。
公安部门在个人信息保护执法活动中的行政处罚权主要源于《网络安全法》①第六十三条、第六十四条、第六十七条、第七十五条。的规定,执法工作具体包括对贷款类电信网络诈骗犯罪、侵犯公民个人信息的违法犯罪活动的打击,以及针对APP违法违规采集使用个人信息的专项整治。国家市场监督管理总局也依据《消费者权益保护法》,聚焦违法行为高发行业和领域,打击侵害消费者个人信息违法行为。工业和信息化部依据《网络安全法》《电信条例》和《电信和互联网用户个人信息保护规定》等,通报侵害用户权益行为APP,限期整改,依法处置。
此外,以上各部门也经常协作,采用联合执法的形式开展工作。虽然不同部门各有权限,执法对象也各有侧重,但执法中仍会遇到问题。如多头管理,不同部门可能会就同一事项重复检查却标准不一,额外增加金融机构负担;在发生个人金融信息泄露或者被侵害事件后,消费者也可能遇到推诿执法的情形,导致效率低下。
(三)个人金融信息保护司法现状
在中国裁判文书网以“银行”“个人信息”等为关键词,检索获得的民事裁判文书中,具体纠纷类型包括:他人冒领信用卡逾期导致个人产生不良征信信息、银行报送错误征信信息导致个人信用受损、银行违规查询个人信用报告等。案由分布于银行卡纠纷、侵权责任纠纷、人格权纠纷、名誉权纠纷、隐私权、个人信息保护纠纷。法律依据主要是原《侵权责任法》第二条、第六条、第十五条、第二十二条,《征信业管理条例》第二十五条、第二十六条等。责任承担形式主要包括:更正、消除征信不良记录、赔偿损失、书面道歉、恢复原状、消除影响等。
《民法典》虽明确了个人信息与隐私权的边界,将个人信息中的私密信息划归隐私权保护范畴,但实践中由于个人金融信息类型多样,案由分布也呈多样化。虽然随着公众个人信息保护意识的增强,此类纠纷数量逐年增多。但目前仍集中于“信用信息”被侵犯的情形,且绝大部分在出现直接经济损失的情况下,信息主体才会通过诉讼解决。
《刑法》中有关个人信息保护的罪名主要包括:侵犯公民个人信息罪、帮助信息网络犯罪活动罪、拒不履行信息网络安全管理义务罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、非法利用信息网络罪等。以相关案由检索中国裁判文书网,截至2021年6月25日,涉及以上罪名的已公布一审判决书数量最多的为帮助信息网络犯罪活动罪,合计8520件,其次是侵犯公民个人信息罪,合计7804件。其中,帮助信息网络犯罪活动罪近年数量激增,仅2021年公布一审判决书已达5514件,最主要原因是相关部门在打击治理电信网络新型违法犯罪中加大了对提供互联网接入、服务器托管、网络存储等技术支持,以及支付结算、广告推广等帮助行为的惩处力度。而侵犯公民个人信息罪对于保护个人金融信息具备很强针对性,已公布的裁判文书中包含大量出售或非法提供个人金融信息的案例,亦有银行工作人员涉案。[2]
三、大数据时代个人金融信息保护机制的建构
(一)个人金融信息保护法的转型升级
《民法典》明确了“个人信息”的定义,确立了个人信息保护的一般规则以及信息主体的基本权利;而未来《个人信息保护法》若得以通过和实施,将进一步扩充个人信息保护规则。高位阶法律规范从顶层设计角度已给予个人金融信息保护价值导向,未来低位阶规范除继续关注个人金融信息的应用场景、技术要求及各方主体现实利益外,亦应逐步转型升级:从单纯的隐私权保护向个人信息生命周期全方位保护角度转化,从单纯强调保密向保护与利用并重,从停留在事前保护向事中和事后延伸,以促进信息保护与流动及以此为基础的数字经济发展之间的平衡。而在具体实践中,亦可通过司法解释或典型案例,尝试引入举证责任倒置规则,削弱技术和地位不对等的情况下,主体在个人金融信息权益受损时的举证难度。此外,可参考《消费者权益保护法》第五十五条,经营者提供商品或服务有欺诈行为时的法定赔偿金规则,在个人出现金融信息被泄露、非法使用而实际损失难以证明时,适用最低法定赔偿金标准。目前涉及个人金融信息保护的低位阶规范主要是推荐性国家标准,未来也可将其中部分重要规则吸收升级为强制性国家标准或者规章,以促进个人金融信息的保护与利用。
(二)金融机构信息合规体系的建设运行
银行业金融机构应当依据《金融消费者权益保护实施办法》《个人金融信息保护技术规范》《金融数据安全数据生命周期安全规范》等规范性文件具体要求,全面建设金融信息处理合规体系。
1.建立个人金融信息保护评估制度
立足个人金融信息生命周期全过程,建立安全影响评估制度,检查处理活动的合法合规程度,判断对主体合法权益可能造成的损害与风险,以及保护措施的有效性,每年至少评估一次。
2.建立个人金融信息保护内控制度
个人金融信息保护内控制度具体应包括:(1)明确内部个人金融信息保护责任部门及责任人、制定信息保护基本制度、设置岗位、统筹事务管理;(2)制定包括但不限于个人金融信息分类、分级、授权、脱敏管理等内容的具体规则;(3)充分审查、评估外包服务供应商的资质,通过协议明确其职责和义务,并采取必要措施监督其履行;(4)建立个人金融信息安全事件应急处置机制、个人金融信息投诉处理机制等。
四、增强金融消费者安全意识与理性
金融消费者在享受金融服务的过程中,对于产品和服务定价存在认识误区,忽视“无成本”服务或产品实质为个体让渡部分权利而获得的对价。个体应理性分析自身与金融机构的法律关系,正视在金融活动中将要承担的风险、成本和责任;妥善保管身份证件、账户等,不向他人透露个人信息、财产状况,尽量亲自办理业务,并及时销毁作废金融单据,不断提高风险防控能力。