數(shù)字經(jīng)濟(jì)系列|馬上消費(fèi)研究院:數(shù)字時(shí)代個(gè)人金融信息的法治保障
時(shí)間:2022-03-19來源:未知 作者:acetouzi 點(diǎn)擊:
次
摘要:《個(gè)人信息保護(hù)法》為個(gè)人金融信息處理提供了全面的法律保障,但在數(shù)字時(shí)代的個(gè)人金融信息保護(hù)需求對(duì)現(xiàn)行相關(guān)制度以及金融機(jī)構(gòu)的個(gè)人金融信息保護(hù)管理能力都帶來了挑戰(zhàn)��。馬上消費(fèi)研究院認(rèn)為���,在數(shù)字時(shí)代���,個(gè)人金融信息保護(hù)需要轉(zhuǎn)型升級(jí)�����,法律需要明確信息和數(shù)據(jù)的權(quán)屬���,對(duì)個(gè)人金融信息實(shí)行特別保護(hù)�,完善事中和事后保護(hù)機(jī)制等���。
關(guān)鍵詞:數(shù)字時(shí)代��;個(gè)人金融信息����;法治進(jìn)路
近年來�,我國金融監(jiān)督管理部門高度重視個(gè)人金融信息保護(hù)工作。2011年�,《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》首次明確規(guī)定了“個(gè)人金融信息”的概念及范圍,并確立了個(gè)人金融信息的使用原則和基本保護(hù)框架�。2016年,《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》對(duì)個(gè)人金融信息保護(hù)作了較為全面的規(guī)定��。2018年�,中國銀行保險(xiǎn)監(jiān)管管理委員會(huì)發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》����。2019年��,中國人民銀行又起草了《個(gè)金融信息(數(shù)據(jù))保護(hù)試行辦法》(征求意見稿)�,使得個(gè)人金融信息的保護(hù)受到社會(huì)各界高度關(guān)注。2021年��,《中華人民共和國個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)第28條將“金融賬戶”等重要信息歸類為敏感個(gè)人信息加以保護(hù)����,推動(dòng)了個(gè)人金融信息保護(hù)邁入新階段。個(gè)人金融信息一般是指?jìng)€(gè)人在銀行���、證券公司�����、信托投資公司以及保險(xiǎn)公司等金融機(jī)構(gòu)有關(guān)交易記錄以及因此提供的個(gè)人資料���,包括個(gè)人的銀行卡及信用卡賬號(hào)、存取款情況����、貸款和還款情況、信用消費(fèi)和支付情況�����,以及證券交易賬號(hào)�����、所持證券品種及交易記錄�����,信托產(chǎn)品及交易記錄����,所投保險(xiǎn)及保險(xiǎn)費(fèi)繳交情況、保險(xiǎn)金額����、保單價(jià)值等。 隨著個(gè)人金融信息利用行為所隱含的技術(shù)風(fēng)險(xiǎn)增長�����,個(gè)人金融信息在技術(shù)迭代中被侵犯的事件也屢屢出現(xiàn)。同時(shí)�,金融消費(fèi)者在維護(hù)金融信息權(quán)益時(shí),面臨信息不對(duì)稱致使同意有效性降低等諸多問題�����。
一�����、數(shù)字時(shí)代個(gè)人金融信息法治保障新難題
數(shù)字時(shí)代個(gè)人金融信息已成為關(guān)鍵生產(chǎn)要素和重要競(jìng)爭(zhēng)手段���,深刻改變著市場(chǎng)競(jìng)爭(zhēng)的性質(zhì)和方式����,同時(shí)也帶來了法治保障的新難題����。
(一)信息泄露�、數(shù)據(jù)壟斷與數(shù)據(jù)不正當(dāng)競(jìng)爭(zhēng)
事實(shí)上,當(dāng)人類社會(huì)逐漸進(jìn)入信息化和數(shù)字化后��,數(shù)據(jù)因其規(guī)模性����、多樣性特點(diǎn)�,很容易被數(shù)據(jù)寡頭利用從而壟斷特定行業(yè)�����。數(shù)據(jù)壟斷并不僅僅是對(duì)數(shù)據(jù)本身的壟斷��,多數(shù)情況下指的是“基于數(shù)據(jù)的壟斷”�,是通過對(duì)數(shù)據(jù)的收集�、挖掘、使用等實(shí)現(xiàn)壟斷市場(chǎng)��、壟斷消費(fèi)者��、壟斷產(chǎn)品����。從數(shù)據(jù)到信息之間,需要經(jīng)過數(shù)據(jù)的收集����、處理、存儲(chǔ)���、分析過程��,提升數(shù)據(jù)集中度可提升數(shù)據(jù)生產(chǎn)效率���,相關(guān)企業(yè)會(huì)在數(shù)據(jù)的總量��、類型���、處理分析能力、應(yīng)用開發(fā)等層面展開激烈競(jìng)爭(zhēng)��,數(shù)據(jù)的集中將是行業(yè)發(fā)展的必然趨勢(shì)����。數(shù)據(jù)壟斷的危害性主要體現(xiàn)在數(shù)據(jù)壁壘方面,表現(xiàn)為擁有數(shù)據(jù)及相關(guān)的算力和算法的企業(yè)可以產(chǎn)生市場(chǎng)力量���,通過“使用者反饋”與“獲利反饋”使企業(yè)數(shù)據(jù)收集能力不斷自我增強(qiáng)�����,造成各數(shù)據(jù)收集者之間的數(shù)據(jù)鴻溝越來越大�����,而其他企業(yè)沒有替代性的數(shù)據(jù)或者無法獲得相關(guān)數(shù)據(jù)�,從而形成一種市場(chǎng)壁壘。網(wǎng)絡(luò)經(jīng)濟(jì)是一種典型的規(guī)模經(jīng)濟(jì)�����,互聯(lián)網(wǎng)平臺(tái)作為商業(yè)模式要追求規(guī)模�,所以平臺(tái)與平臺(tái)之間的競(jìng)爭(zhēng)是體系化的競(jìng)爭(zhēng)。當(dāng)實(shí)現(xiàn)以上目標(biāo)����,營銷的精準(zhǔn)化就會(huì)成為必然��。營銷的精準(zhǔn)化包括兩個(gè)層面�����,即推薦的精準(zhǔn)化和定價(jià)的精準(zhǔn)化�����。推薦的精準(zhǔn)化對(duì)于不少消費(fèi)者來說�����,可以帶來便利,但是定價(jià)的精準(zhǔn)化就變成“大數(shù)據(jù)殺熟”�,或者說基于數(shù)據(jù)畫像實(shí)施差別待遇。在數(shù)字時(shí)代��,經(jīng)營者基于自身掌握大量數(shù)據(jù)的優(yōu)勢(shì)而實(shí)施的市場(chǎng)行為��,如果妨礙到市場(chǎng)競(jìng)爭(zhēng)和社會(huì)福利���,就可能被認(rèn)定為壟斷行為�。
?����。ǘ┲讣y��、面部等生物認(rèn)證信息被大量收集
中國消費(fèi)者協(xié)會(huì)發(fā)布的《100款A(yù)PP個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》����,顯示測(cè)評(píng)的100款應(yīng)用程序(APP)中,10款A(yù)PP涉嫌過度收集個(gè)人生物特征信息���。我國《網(wǎng)絡(luò)安全法》規(guī)定了“誰收集���、誰負(fù)責(zé)”的原則����,并規(guī)定收集個(gè)人信息須經(jīng)被收集者同意��,其中包括個(gè)人生物特征信息�。但對(duì)于收集相關(guān)信息主體需要提供何種程度的保護(hù)力量、如何評(píng)估與公開��、公民個(gè)人敏感信息的保護(hù)層級(jí)�����、具體保護(hù)措施等關(guān)鍵問題���,目前均尚未制定具強(qiáng)制力的法律規(guī)范。2018年5月�,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)頒布實(shí)施《信息安全技術(shù)個(gè)人信息安全規(guī)范》,作為推薦性國家標(biāo)準(zhǔn)�,其中將生物識(shí)別信息等明確歸為“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全��,極易導(dǎo)致個(gè)人名譽(yù)�����、身心健康受到損害或歧視性待遇等”的個(gè)人敏感信息。如清華法學(xué)院教授勞東燕所說“人臉數(shù)據(jù)一旦泄露就是終身泄露”�����,因?yàn)槿四樞畔⒕哂兄苯幼R(shí)別性����、方便驗(yàn)證性、易采集性����、獨(dú)特性、難更改性�。人臉信息不同于普通的數(shù)字信息,人臉信息是一種典型的個(gè)人生物信息�,一旦泄露無法更改,而且造成的損失也是不可逆的���,幾乎沒有補(bǔ)救措施�����。
?。ㄈ﹤€(gè)人信息保護(hù)與數(shù)字金融發(fā)展的難衡平
《個(gè)人信息保護(hù)法》第1條開宗明義地規(guī)定:“為了保護(hù)個(gè)人信息權(quán)益�,規(guī)范個(gè)人信息處理活動(dòng)���,促進(jìn)個(gè)人信息合理利用,根據(jù)憲法���,制定本法�����。”這一規(guī)定既表明了該法的立法依據(jù)��,同時(shí)指明了這部法律的立法目的����,即通過規(guī)范個(gè)人信息處理活動(dòng)�,達(dá)致保護(hù)個(gè)人信息權(quán)益;同時(shí)促進(jìn)個(gè)人信息的合理利用�����,也是該法的重要目的之一��。法律對(duì)于個(gè)人信息和隱私保護(hù)的立場(chǎng)完全不同�����,《個(gè)人信息保護(hù)法》雖然被稱為保護(hù)法��,但對(duì)個(gè)人信息的保護(hù)并非如同對(duì)隱私的保護(hù)����。隱私是要保護(hù)人的私密空間、私密活動(dòng)�����、私密信息等私人生活的安寧不被破壞��,強(qiáng)調(diào)維護(hù)隱私的“私密性”��;個(gè)人信息的主要價(jià)值在于社會(huì)交往的可識(shí)別性���,其功能定位于正常社會(huì)活動(dòng)和社會(huì)交往的基礎(chǔ)��,個(gè)人信息在社會(huì)交往中發(fā)揮著個(gè)人與他人及社會(huì)的媒介作用���。簡(jiǎn)單地講,信息不是為了保護(hù)而存于世間的���,相反恰恰是為了利用���。個(gè)人信息數(shù)據(jù)的經(jīng)濟(jì)價(jià)值和公共價(jià)值日益凸顯����,成為數(shù)字經(jīng)濟(jì)發(fā)展的重要原料����。與此同時(shí),受利益驅(qū)使���,利用數(shù)字技術(shù)隨意收集����、違法獲取�����、過度使用����、非法買賣個(gè)人信息���,甚至利用個(gè)人信息侵害人民群眾生活安寧�、生命健康和財(cái)產(chǎn)安全等問題日益突出。雖然近年來我國個(gè)人信息保護(hù)力度不斷加大�����,但與實(shí)踐需求相比�,此前法律規(guī)定比較分散、針對(duì)性不強(qiáng)���,仍有較大完善空間��。系統(tǒng)應(yīng)對(duì)數(shù)字經(jīng)濟(jì)發(fā)展帶來的新挑戰(zhàn)�,切實(shí)統(tǒng)籌個(gè)人信息保護(hù)與利用�����,成為個(gè)人信息保護(hù)法立法的重要任務(wù)���。
?。ㄋ模┙鹑谙M(fèi)者存在信息與專業(yè)知識(shí)的雙重劣勢(shì)
部分金融消費(fèi)者由于金融專業(yè)知識(shí)不足��、信息不對(duì)稱�、風(fēng)險(xiǎn)承受能力有限等原因,在金融活動(dòng)中處于相對(duì)弱勢(shì)地位?����;ヂ?lián)網(wǎng)金融野蠻生長����,部分網(wǎng)貸打著金融創(chuàng)新的旗號(hào),侵犯金融消費(fèi)者權(quán)益�。因此,加強(qiáng)金融消費(fèi)者權(quán)益保護(hù)����,是維護(hù)金融穩(wěn)定和社會(huì)穩(wěn)定的內(nèi)在需求,也是金融業(yè)健康長遠(yuǎn)發(fā)展的堅(jiān)實(shí)基石�����。相比一些行業(yè)領(lǐng)域���,金融的專業(yè)性����、復(fù)雜性更強(qiáng)�����,金融消費(fèi)者權(quán)益保護(hù)工作具有一定特殊性�����。為此��,我國出臺(tái)了有關(guān)金融消費(fèi)者權(quán)益保護(hù)辦法等�����,提高違法違規(guī)成本��,提升金融消費(fèi)者權(quán)益保護(hù)有效性�。但應(yīng)看到,金融科技快速發(fā)展給金融消費(fèi)者保護(hù)帶來新的挑戰(zhàn)��,發(fā)展日新月異在一定程度上導(dǎo)致金融欺詐行為更具隱蔽性�����。因此��,應(yīng)進(jìn)一步加強(qiáng)監(jiān)管��,通過完善制度設(shè)計(jì)和執(zhí)行,進(jìn)一步做好消費(fèi)者權(quán)益保護(hù)���。一方面�����,應(yīng)該通過修改完善制度細(xì)則��、發(fā)布窗口指導(dǎo)和風(fēng)險(xiǎn)提示等����,支持金融機(jī)構(gòu)良性創(chuàng)新���,提升金融服務(wù)效率和能力��;另一方面����,也應(yīng)加大監(jiān)管力度���,督促金融機(jī)構(gòu)���、互聯(lián)網(wǎng)平臺(tái)嚴(yán)格按照法律規(guī)定開展業(yè)務(wù)�,妥善保護(hù)好金融消費(fèi)者合法權(quán)益����。
二、數(shù)字時(shí)代個(gè)人金融信息保護(hù)的規(guī)范掣肘
?���。ㄒ唬﹤€(gè)人金融信息規(guī)范體系的缺陷
總體而言�,有關(guān)個(gè)人金融信息保護(hù)的法律規(guī)范存在明顯不足?��!睹穹ǖ洹返?11條規(guī)定“自然人的個(gè)人信息受法律保護(hù)”��,確立了金融企業(yè)“依法取得”和“確保信息安全”的宏觀義務(wù)���,并以“不得非法買賣、提供和公開個(gè)人信息”等規(guī)定限制金融企業(yè)對(duì)金融信息的處理行為�����?!睹穹ǖ洹返?11條對(duì)信息保護(hù)的規(guī)定較為模糊,未進(jìn)一步明確界分“個(gè)人信息”與“金融信息”這類敏感信息�����。《民法典》第1033條本質(zhì)上是對(duì)信息的分類�,列舉了信息權(quán)侵權(quán)行為,卻未對(duì)金融等特定領(lǐng)域作出規(guī)定��?��!睹穹ǖ洹返?034條再次強(qiáng)調(diào)個(gè)人信息受法律保護(hù)��,并列舉了個(gè)人信息的類型�����,其中許多屬于金融活動(dòng)過程中必定涉及的信息���。根據(jù)該條,個(gè)人的私密信息適用有關(guān)信息權(quán)的規(guī)定�,沒有規(guī)定的可以適用有關(guān)個(gè)人金融信息保護(hù)的規(guī)定。2021年8 月20日全國人大常委會(huì)公布《個(gè)人信息保護(hù)法》���,其中第28條將敏感個(gè)人信息定義為“容易導(dǎo)致自然 人的人格尊嚴(yán)受到侵害或者人身���、財(cái)產(chǎn)安全受到危害的個(gè)人信息”��,該定義涵蓋了“金融賬戶”���,確立了 “特定目的”、“充分必要性”和“采取嚴(yán)格保護(hù)措施”為基準(zhǔn)的敏感個(gè)人信息處理三要件����,但仍需通過司法解釋進(jìn)一步明確什么是金融信息以及信息保護(hù)的法律路徑。此外�����,《個(gè)人信息保護(hù)法》《商業(yè)銀行法》《反洗錢法》《銀行業(yè)監(jiān)督管理法》《消費(fèi)者權(quán)益保護(hù)法》等有關(guān)個(gè)人金融信息的法律雖然都有對(duì)個(gè)人金融信息保護(hù)的相關(guān)規(guī)定�,但是這些規(guī)定卻也存在著對(duì)個(gè)人金融信息保護(hù)的具體化不足及目標(biāo)性不明確等問題��,難以為個(gè)人金融信息提供嚴(yán)密的保護(hù)�����。
?����。ǘ﹤€(gè)人金融信息監(jiān)管機(jī)制的失靈
目前����,我國沒有明確的個(gè)人金融信息保護(hù)監(jiān)管部門����,雖然一些部門規(guī)章或規(guī)范性文件對(duì)保護(hù)個(gè)人金融信息做了一些規(guī)定���,但個(gè)人金融信息保護(hù)層面依然缺乏足夠的重視����,存在監(jiān)管交叉或監(jiān)管真空的情況�����,為中下游的不少亂象提供了土壤�����。更關(guān)鍵的是��,我國沒有較高層級(jí)監(jiān)管機(jī)構(gòu)來統(tǒng)一監(jiān)管個(gè)人金融信息保護(hù)工作����,金融監(jiān)管部門、司法機(jī)構(gòu)與行業(yè)協(xié)會(huì)各自開展監(jiān)督和管理工作,相互之間的協(xié)調(diào)機(jī)制尚未成熟����,沒有形成監(jiān)管合力,監(jiān)管效率低下����,信息共享和工作聯(lián)動(dòng)配合有待進(jìn)一步加強(qiáng)。我國規(guī)范個(gè)人金融信息的金融法律法規(guī)�����,都是規(guī)范持牌金融機(jī)構(gòu)的���。非持牌金融機(jī)構(gòu)目前游離于金融監(jiān)管的范圍之外。非持牌而實(shí)際上從事金融服務(wù)的機(jī)構(gòu)�����,目前無法直接適用專門的個(gè)人金融信息保護(hù)規(guī)則�,對(duì)我國當(dāng)前的分業(yè)經(jīng)營金融體制下個(gè)人金融信息的保護(hù)也提出了挑戰(zhàn)。
?����。ㄈ﹤€(gè)人信息主體救濟(jì)機(jī)制的缺位
基于《個(gè)人信息保護(hù)法》第14條,金融消費(fèi)者同意處理個(gè)人金融信息的�,該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確做出���,并且法律�、行政法規(guī)對(duì)取得單獨(dú)同意或者書面同意另有規(guī)定的應(yīng)遵從其規(guī)定��。同時(shí)�����,《民法典》第1038條設(shè)置了信息處理者兩個(gè)“不得”的禁止性條款�,但現(xiàn)實(shí)生活以其復(fù)雜性消解了該條的理想化設(shè)定,一系列具有隱蔽性強(qiáng)���、成功率高�、作案時(shí)間長�、涉案金額大等特點(diǎn)的金融大案背后都或多或少涉及對(duì)個(gè)人金融信息的侵害。當(dāng)消費(fèi)者因個(gè)人信息被侵犯提起訴訟請(qǐng)求時(shí)���,還往往面臨財(cái)產(chǎn)損失計(jì)算無法可依的困境����。作為個(gè)人信息的子概念,個(gè)人金融信息范圍的界定并不清晰�����,僅中國人民銀行制定過的《人民幣銀行結(jié)算賬戶管理辦法》《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》《金融控股公司監(jiān)督管理試行辦法》《金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等數(shù)部規(guī)范性文件����,就使用過“銀行結(jié)算賬戶信息”“客戶信息”“敏感信息”“個(gè)人金融信息”“消費(fèi)者金融信息”等名稱,涵蓋個(gè)人身份�����、財(cái)產(chǎn)�、賬戶、信用���、金融交易�、借貸以及衍生信息等多個(gè)概念��。同時(shí)�����,上述規(guī)范性文件與銀保監(jiān)會(huì)制定的《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》��,國家市場(chǎng)監(jiān)督管理總局�、國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》中對(duì)金融信息保護(hù)對(duì)象的規(guī)定也不一致。立法的滯后直接致使金融企業(yè)獲取客戶個(gè)人金融信息被肆意侵犯����,損害金融消費(fèi)者的合法權(quán)益,卻難以實(shí)現(xiàn)有效救濟(jì)��。
?�。ㄋ模﹤€(gè)人金融信息共享機(jī)制的不足
數(shù)據(jù)天生有流動(dòng)的需求���,數(shù)據(jù)在流動(dòng)中增值��。數(shù)據(jù)不僅僅需要在金融集團(tuán)內(nèi)部共享����、流動(dòng)��,也需要對(duì)外開放���、共享���、交易��、流動(dòng)�����。在對(duì)個(gè)人金融信息能夠做到切實(shí)���、有效、嚴(yán)格保護(hù)的基礎(chǔ)上����,方可放開包括個(gè)人金融信息在內(nèi)的數(shù)據(jù)的開放、共享甚至交易����。個(gè)人金融信息中的財(cái)務(wù)信息以及身份信息,要么高度敏感����,要么是個(gè)人直接提交的,因此�,對(duì)個(gè)人財(cái)務(wù)信息的采集與開放、共享����、交易,應(yīng)該采取最嚴(yán)格的授權(quán)規(guī)則����,即紙面方式選擇進(jìn)入規(guī)則。當(dāng)然��,由于個(gè)人身份信息是個(gè)人主動(dòng)提交的�����,提交行為本身可以視為一種采集授權(quán)����。對(duì)個(gè)人身份信息的開放、共享����、交易,也應(yīng)采取紙面選擇進(jìn)入規(guī)則�����,但對(duì)于個(gè)人金融信息中的預(yù)測(cè)信息的開放����、共享�����、交易��,則可以采取電子方式選擇退出規(guī)則��。
三����、數(shù)字時(shí)代個(gè)人金融信息保護(hù)的法治路徑
隨著個(gè)人金融信息完成從公共物到風(fēng)險(xiǎn)物的客體性變遷���,構(gòu)建保護(hù)個(gè)人金融信息的法律制度成為必然選擇�����。例如��,《個(gè)人信息保護(hù)法》構(gòu)建了以“告知—同意”為核心的個(gè)人信息處理規(guī)則�����,保障了個(gè)人金融信息主體在信息處理活動(dòng)中的各項(xiàng)權(quán)利��,強(qiáng)化了金融企業(yè)等個(gè)人信息處理者的義務(wù)��,但仍需進(jìn)一步完善���。
2021年實(shí)施的《民法典》����,對(duì)個(gè)人信息保護(hù)做出了詳細(xì)規(guī)定,從定義����、處理原則、條件和免責(zé)事由�,到主體權(quán)利和與之對(duì)應(yīng)的信息處理者的信息安全保障義務(wù),再到公權(quán)力機(jī)關(guān)及其工作人員的保密義務(wù)��,構(gòu)建了一個(gè)較為完整的個(gè)人信息保護(hù)框架����。另外,2020年2月央行發(fā)布了《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》����,為金融機(jī)構(gòu)加強(qiáng)個(gè)人信息保護(hù)的合規(guī)建設(shè)和金融監(jiān)管機(jī)構(gòu)的監(jiān)督、執(zhí)法工作提供參考。長遠(yuǎn)地看�,個(gè)人金融信息保護(hù)法律制度應(yīng)單獨(dú)制定。一般法律僅規(guī)定個(gè)人信息保護(hù)是商業(yè)銀行的一項(xiàng)義務(wù)�,而將個(gè)人信息納入個(gè)人隱私權(quán)、人格權(quán)范疇進(jìn)行充分必要的立法保護(hù)各國都經(jīng)歷了較長時(shí)間����。如美國1978年在《金融隱私權(quán)利法》中將金融個(gè)人隱私信息確立為信息主體的 法定權(quán)利,并圍繞該項(xiàng)權(quán)利在其后1999年《金融服務(wù)現(xiàn)代化法》和2000年《消費(fèi)者財(cái)務(wù)隱私保密最終規(guī)則》等一系列法律中進(jìn)行擴(kuò)充���,實(shí)現(xiàn)金融信息全面保護(hù)��。2010年美國頒布了被稱為史上最嚴(yán)監(jiān)管法規(guī)的《多德—弗蘭克華爾街改革和消費(fèi)者保護(hù)法》�,形成了完整的消費(fèi)者權(quán)益保護(hù)體系����,并隨后在對(duì)美國銀行、花旗銀行���、德意志銀行屢創(chuàng)新高的天價(jià)罰單事件中體現(xiàn)出震懾力����。2018年在歐盟生效的《一般數(shù)據(jù)保護(hù)條例》致力于構(gòu)建個(gè)人信息保護(hù)新秩序��,具有個(gè)人信息保護(hù)里程碑意義。因此��,我國迫切需要制定符合我國國情和數(shù)字時(shí)代特征的個(gè)人金融信息保護(hù)規(guī)制���,確定個(gè)人金融信息保護(hù)的立法宗旨和原則��,對(duì)于個(gè)人金融信息內(nèi)涵外延����、信息主體權(quán)利����、責(zé)任義務(wù)主體��、信息管理環(huán)節(jié)����、違法行為懲戒等做出明確規(guī)定。應(yīng)盡快聯(lián)動(dòng)修改《中國人民銀行法》《商業(yè)銀行法》《證券法》《保險(xiǎn)法》等��,明確金融機(jī)構(gòu)保護(hù)個(gè)人金融信息的義務(wù)和法律責(zé)任����,金融機(jī)構(gòu)更要加強(qiáng)部門內(nèi)規(guī)章立法建設(shè),由此形成以專門法律為核心、其他法律法規(guī)相配合�����、部門規(guī)章制度為補(bǔ)充的個(gè)人金融信息保護(hù)法律體系���。
個(gè)人金融信息監(jiān)管機(jī)制應(yīng)當(dāng)堅(jiān)持保護(hù)與利用協(xié)同的理念��。傳統(tǒng)金融法只強(qiáng)調(diào)對(duì)個(gè)人金融隱私的保密���,但數(shù)字時(shí)代的金融法需要保護(hù)與利用并重����。從美國金融隱私權(quán)保護(hù)法的發(fā)展歷程看�����,就經(jīng)歷了一個(gè)從單純保密到保護(hù)與利用并重的過程�����。除了美國判例法對(duì)銀行客戶信息的保密之外��,在制定法層面上,1978年的金融隱私法對(duì)銀行雇員披露金融記錄����、聯(lián)邦立法機(jī)構(gòu)獲取個(gè)人金融記錄的方式作出了限制。但1999年金融服務(wù)現(xiàn)代化法卻有了較大改進(jìn)���,該法規(guī)定了金融機(jī)構(gòu)在處理消費(fèi)者及客戶的非公開個(gè)人信息時(shí)���,應(yīng)遵守?cái)?shù)據(jù)安全保護(hù)規(guī)則和隱私保護(hù)規(guī)則,允許金融機(jī)構(gòu)將消費(fèi)者信息與關(guān)聯(lián)機(jī)構(gòu)分享���,但金融機(jī)構(gòu)需要履行通知義務(wù)并為消 費(fèi)者提供選出權(quán)。未來我國的個(gè)人金融信息保護(hù)法應(yīng)更加注重?cái)?shù)據(jù)的利用����。需要確定監(jiān)管牽頭部門及相應(yīng)的監(jiān)管職責(zé),制定統(tǒng)一的監(jiān)管規(guī)程����,賦予監(jiān)管機(jī)構(gòu)必要的法律授權(quán),明確監(jiān)管標(biāo)準(zhǔn)�,采取多種靈活的方式對(duì)商業(yè)銀行機(jī)構(gòu)在個(gè)人金融信息保護(hù)工作方面進(jìn)行經(jīng)常性的指導(dǎo)和提示,不僅要提高對(duì)個(gè)人金融信息的有效監(jiān)管�����,強(qiáng)化金融信息主管部門的監(jiān)管職能,而且對(duì)金融機(jī)構(gòu)違規(guī)泄露個(gè)人金融信息可采取行政處罰或其他監(jiān)管措施����。細(xì)化管理職責(zé),杜絕空白地帶和“踢皮球”現(xiàn)象���,進(jìn)一步完善監(jiān)管體系�����,促進(jìn)互聯(lián)網(wǎng)金融健康有序發(fā)展����。要建立監(jiān)管規(guī)范和統(tǒng)一的監(jiān)管標(biāo)準(zhǔn)��、業(yè)務(wù)規(guī)范�,加強(qiáng)信息披露、非現(xiàn)場(chǎng)監(jiān)管���,加強(qiáng)資金流量管控�����。
要完善個(gè)人金融信息的救濟(jì)機(jī)制���。公法救濟(jì)方面如行政和刑事處罰��,它們可以有力地保護(hù)個(gè)人金融信息安全��,能夠作為個(gè)人金融信息保護(hù)的有力救濟(jì)手段�����。例如��,新《消法》規(guī)定侵害消費(fèi)者個(gè)人信息依法得到保護(hù)的權(quán)利的�,應(yīng)當(dāng)停止侵害�、恢復(fù)名譽(yù)����、消除影響、賠禮道歉�����,并賠償損失。除承擔(dān)相應(yīng)的民事責(zé)任外�,其他有關(guān)法律、法規(guī)對(duì)處罰機(jī)關(guān)和處罰方式有規(guī)定的��,依照相關(guān)規(guī)定執(zhí)行��;未做規(guī)定的����,由工商行政管理部門或者其他有關(guān)行政部門責(zé)令改正,可以根據(jù)情節(jié)單處或者并處警告�����、沒收違法所得�、處以違法所得一倍以上十倍以下的罰款,沒有違法所得的��,處以五十萬元以下的罰款�;情節(jié)嚴(yán)重的,責(zé)令停業(yè)整頓�、吊銷營業(yè)執(zhí)照;處罰機(jī)關(guān)還應(yīng)當(dāng)記入信用檔案���,向社會(huì)公布���。此外����,完善相應(yīng)的民事救濟(jì)和賠償機(jī)制也是個(gè)人金融信息救濟(jì)機(jī)制的重要方面���。具體來說���,可以設(shè)立個(gè)人金融信息領(lǐng)域的過錯(cuò)推定責(zé)任制度、公益訴訟制度�����、精神損害賠償制度���,還可規(guī)定由金融機(jī)構(gòu)承擔(dān)有關(guān)個(gè)人金融信息泄露案件的舉證責(zé)任����。
可以根據(jù)個(gè)人金融信息的敏感程度建立分級(jí)的共享制度���,同時(shí)強(qiáng)調(diào)敏感個(gè)人信息的保護(hù)�,強(qiáng)化各行業(yè)金融機(jī)構(gòu)的內(nèi)部合規(guī)控制。金融機(jī)構(gòu)應(yīng)重點(diǎn)關(guān)注以下四個(gè)方面:一是加強(qiáng)對(duì)相關(guān)工作人員的法規(guī)知識(shí)教育與培訓(xùn)��,強(qiáng)化其對(duì)個(gè)人金融信息的安全意識(shí)�����。組織接觸個(gè)人金融信息的員工學(xué)習(xí)關(guān)于個(gè)人信息保護(hù)的法律法規(guī)���;相關(guān)人員在上崗前必須接受培訓(xùn)�,并簽署對(duì)個(gè)人金融信息保密的承諾書�。二是設(shè)置接觸個(gè)人金融信息的專崗和訪問權(quán)限,并注重對(duì)訪問的網(wǎng)絡(luò)留痕�����,比如以留存訪問記錄的方式�,對(duì)個(gè)人金融信息的接收者、變更者以及中間經(jīng)手人員留下詳細(xì)的數(shù)字化記錄���,以便為將來出現(xiàn)風(fēng)險(xiǎn)事件后的查詢與問責(zé)提供證據(jù)��。三是完善內(nèi)部的監(jiān)督和懲罰機(jī)制�����。在金融機(jī)構(gòu)內(nèi)部�,設(shè)置個(gè)人金融信息安全監(jiān)督機(jī)制,定期進(jìn)行自查�,及時(shí)填補(bǔ)危及個(gè)人金融信息安全的漏洞;對(duì)違反國家��、行業(yè)和機(jī)構(gòu)內(nèi)部關(guān)于個(gè)人金融信息保護(hù)相關(guān)規(guī)定的人員進(jìn)行嚴(yán)厲處罰��,如予以降級(jí)或開除等���;當(dāng)員工嚴(yán)重侵害個(gè)人金融信息安全時(shí)���,還應(yīng)移交司法機(jī)構(gòu),追究其刑事責(zé)任�����。四是完善技術(shù)防護(hù)體系����,提升個(gè)人金融信息的保護(hù)能力����,比如設(shè)置雙重密碼認(rèn)證��、進(jìn)行系統(tǒng)監(jiān)控和實(shí)時(shí)監(jiān)測(cè)等�。
金融動(dòng)態(tài) NEWS
