1. 引言
近年来,大数据技术不断应用于我国经济社会发展中的各大重点领域,逐渐受到了政府部门以及社会公众的关注,数据已经转变为公司的关键生产要素和战略资源。由于金融行业本质上是依赖数据与信息的产业,如今的金融行业正在积极引入大数据技术,以便通过对客户各类信息进行收集与外部数据分析,有效地帮助其精准营销、优化服务和创新产品。尽管大数据为金融领域带来了可能性,但也使得客户的金融隐私保护面临严峻挑战 [1] 。在信息时代的大背景下,构建一个完善的金融隐私权法制保护体系对未来金融发展具有极其重要的意义。
2. 金融隐私权的界定及实践需求
2.1. 金融个人信息的范围
隐私道德的关键在于控制有关自己的信息的权利。中国人民银行《关于做好个人金融信息保护工作的通知》曾对个人金融信息界定为,银行业金融机构在开展业务时,通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:一是个人身份信息,包括个人姓名、性别、国籍、民族……基于此,依据其客体的不同,可以将金融个人信息归纳为三种不同的类别,第一类是金融消费者的个人基本数据,如姓名、性别、年龄、职业等,可用于核实消费者身份;第二类包括具有个人性质的金融客户的信用和财产状况,如收入水平和存款数据,可用于评估信用度;第三类包括金融客户的交易数据,如账号、密码和存款金额。未经授权收集、使用或者披露这些个人金融数据可能会侵犯金融消费者的人身权和财产权,破坏金融消费者的生活安宁。
2.2. 金融隐私权的内涵界定
在金融领域中,金融隐私权是传统意义上的隐私权的扩展。杨立新教授认为,隐私权是指个人利益的一部分,明显不同于公共利益和群体利益。它涵盖了个人不愿意让他人了解的各种信息类型、行为范围以及个人领域。随着信息技术的发展以及大数据和云计算等新兴科技的普及和应用,个人在互联网空间内的任何行为均“有迹可循” [2] 。与此同时,各类金融活动中个人信息泄露案件也呈井喷式增长。
在金融行业和互联网融合的时代背景下,学界提出了“金融隐私权”的概念,即隐私权在金融这一特殊语境下的扩展。“金融隐私权”是指金融消费者对自己在金融交易过程中获得的金融信息进行控制和支配的权利,即金融服务消费者在金融交易过程中向金融机构提供自己的资产、交易数据和其他信息后,对这些信息进行管理、收集和使用并远离非法控制的权利。与传统的隐私权相比,“金融隐私权”的概念更加强调商事属性。一般而言隐私权是不存在交易价值的,但是随着经济社会的发展,商事交易对象的范围也逐渐扩大。金融机构等主体为了扩充商业范围以便充分挖掘消费者,会存在分析并利用消费者金融隐私数据、交易消费者信息等情形,这就使得金融隐私权兼具经济价值和人身利益。
2.3. 大数据背景下金融隐私的时代挑战
伴随着大数据技术应用于金融领域步伐的加快以及金融行业内用户数据激增,金融隐私权发展面临着诸多时代挑战。
2.3.1. 金融经营者与金融消费者之间信息不对称
随着社会的发展、分工的细化、技术的进步,金融业经营者在经济实力、专业知识等方面相比于金融消费者具有极大优势,这就导致两者的社会地位、交易地位相差悬殊。为了最大限度地降低金融交易中的金融风险,金融机构要求客户必须接受金融机构提出的格式合同内容,以获取对信息资源的绝对优势。而对于这类在金融交易过程中获取的个人金融信息,金融用户则处于弱势地位,无法获得公平的利益保护。
2.3.2. 大数据技术应用导致金融隐私侵权行为更加隐蔽
互联网是一个全球性的信息共享平台,由于大数据平台和云计算技术的广泛运用,如今的计算机技术只需要进行适当的操作,对在互联网上储存的信息进行整合和分析,就可以获得他人的各方面隐私信息。例如,一些金融服务提供商利用先进的网络跟踪技术(如浏览器cookie)监控和记录消费者的网上行为,以便了解、收集和使用潜在客户的信息,进行有针对性的营销或非法信息操作。在金融领域隐私被侵犯的情况下,数据的传播和复制也打破了时间、空间的物理界限。在后续的财产追查中也存在着与传统类型案件不同程度的困难。同时,通过各种现代计算机技术收集信息往往具有极强的隐蔽性,即使是专业人士也难以有效监控。
3. 我国互联网金融消费者隐私权保护现状及困境
互联网时代,金融交易方式多样化、便捷化,金融机构收集消费者数据更加便捷,金融隐私权保护面临新挑战。目前,我国的金融隐私监管主体包括中国人民银行和银保监会等,同时由全国人大、国务院等监管单位以制定法律法规的方式来实现对金融机构与金融消费者间的金融交易活动的指导 [3] 。
Figure 1. Diagram of the relationship between the subjects related to financial privacy
图1. 金融隐私权相关主体间关系图
在整个过程中,图1中各主体间的协同合作尤为重要。在金融隐私权保护的实践中,因金融机构管理信息不当、金融监管部门和立法部门制定规则不完善等因素的存在,极易致使金融隐私保护陷入困境。
3.1. 金融隐私权法律保护制度不完善
在金融交易中,健全立法机构所制定的法律法规,行政法规及规章,是确保金融机构合法从事金融交易,维护消费者权益的先决条件。但我国至今还没有形成一个完整的保护金融隐私权的法律体系,规定杂乱而分散,事前防范与事后救济机制欠缺。
3.1.1. 缺乏金融隐私权保护的专门法律
在我国目前的法律体系下,金融隐私权受到的法律保护十分有限,且多数是针对金融机构的间接监管,缺乏针对金融隐私权直接保护的法律。同时,相关法律模糊了金融机构在金融交易活动中权利和义务的界限,这就导致金融机构处于无所适从的活动状态。
3.1.2. 缺乏完善的事前预防机制和事后救济措施
在事前预防机制上,我国在立法上尚属空白,基于大数据环境下信息传播速度快等特点,金融消费者个人隐私的泄露,将伴随着网络、大数据分析等载体快速的扩散,带来的消极后果难以消除 [4] ;并且损害后果发生之后,若事后救济机制尚未建立完全,金融隐私权也难以得到保护。现行相关事后救济措施仅能分散地出现在《民法典》和其他法律的含混不清的原则性规定之中,其中以排除妨害和赔偿损失的规定居多,但是整体过于概括,且实践中自由裁量权的使用具有一定弹性,进而导致金融侵权纠纷不能得到公正高效的解决。
3.2. 金融机构内部信息管理存在风险
消费者金融隐私权受到侵害的现象大量出现,很大一部分原因是金融机构没有严格按照法律规范进行管理,且内部信息监管不到位。大数据环境下,金融隐私信息二次利用现象十分普遍。精准营销的背后是大数据技术对消费者隐私的侵害,使得消费者被大数据“杀熟”。当前我国大多数金融机构尚未建立起金融信息提取和利用的良性体系,对信息滥用行为的监管和惩罚力度不强 [5] 。
3.3. 金融消费者风险意识弱
金融行业屡屡发生隐私泄露事件,在一定程度上也与金融服务消费者的低风险承受能力有关。金融消费者对个人数据保护意识不足,对容易导致隐私泄露的潜在风险认识不足,如使用可公开访问的网络进行银行账户交易、银行交易数据不慎泄露、在线APP未经授权认证等。在与金融机构订立金融服务合同时,消费者往往盲目相信金融机构的格式条款,在没有自己审查合同内容的情况下订立合同,这就给予了金融机构以“可乘之机”。
4. 域外互联网金融消费者隐私保护经验梳理
近年来,在客户隐私权被侵犯、个人征信制度建立、金融机构信息披露业务面临挑战等多重因素下,世界各国对金融隐私权对探究日益增多。2018年5月,加拿大蒙特利尔银行(BMO)和帝国商业银行(CIBC)被网络黑客袭击,约9万名客户的数据信息被泄露。为加强风险管理,许多西方国家都制定了完善的金融隐私权保护法律,这些金融隐私立法保护经验对我国整体金融监管体系的搭建具有一定的借鉴意义。
4.1. 英国首创金融隐私权保护先河
1924年,英国发生了名为“图尔尼尔案”的事件。原告图尔尼尔在某家银行设立了一个账户,但在使用该账户透支之后,他未能按照分期还款的协议准时还款。在银行无法与图尔尼尔建立联系的情况下,擅自与雇主取得了联络,并向雇主透露了其账户透支的情况,这最终导致雇主不愿意与他续签劳动合同。法院认为,原告在银行账户内的透支行为是一种不正当手段,并据此判决被告停止对原告支付利息。英国上诉法院最后采纳了“默示条款”,裁定银行侵犯了原告的金融隐私,这也标志着金融隐私权得到了前所未有的保护。
相比较于我国,英国关于金融隐私权的立法层级较高,目前主要有《数据保护法》和《消费信贷法》等,同时较为详细地规定了机构获取、应用客户数据时应尽的义务。而我国目前在法律层面尚且缺少切实可行的部门法,多为中国人民银行、银保监会等发布的部门规章等,使得我国金融隐私权保护难以引起重视。
4.2. 美国立法保护经验
美国也早已开始依法保护公民金融隐私权,并在此基础上建立了多项法律制度,可以说在依法保护互联网金融机构客户隐私方面有着丰富的经验。作为一个以自由和民主著称的国家,它强调要尽量减少政府对人民自由和民主的干预,他们强调“以分散立法和行业自律相结合,保护消费者隐私权 [6] ”。
由于大数据等新兴技术的广泛应用,美国对金融隐私权的保护变得更加复杂。1978年,美国国会通过了《金融隐私权法案》(RFPA),该法禁止联邦机构通过金融机构获取账户信息,除非经法定的程序并有官方书面文件等。美国总统办公室于2014年发布的《全球大数据白皮书》规定,美国联邦机构不得从金融机构非法获取账户信息,除非有法律要求并有正式书面记录。后来,诸如《电子通信隐私法案》等保护网络隐私的法案也适时公布,在行业自律模式的配套监管下,美国已经建立起较为完善的隐私权保护体系。
4.3. 欧盟完善的统一立法保护
简单来说,金融隐私权在欧盟的发展进程也较为顺利。1995年制定的《数据保护指令》是欧盟数据保护制度的核心法律,这一法案要求欧盟各成员国必须坚持以该指令为基本原则和基本指导,分别制定单独的隐私保护法。此外,欧盟又陆续制定了《关于隐私和电子通信指令》等不同层次的法律文件,2016年的《一般数据保护规则》还额外赋予了监管机关相应的职权范围及处罚措施,使欧盟各国从立法到司法的隐私权保护模式更加完善。
5. 金融隐私权保护路径选择及现实完善
大数据背景下,新经济时代构建金融隐私权保护制度的关键是要对金融机构和第三方机构不当利用金融隐私信息进行规范的约束和监管。
5.1. 构建符合我国国情的金融隐私权保护机制
5.1.1. 明确规定金融机构义务和责任
在维护金融隐私权方面,金融机构肩负着更大的责任和义务。信息是金融的命脉,因此金融机构在搜集信息时,必须严格按照法律和法规进行。
负责金融隐私保护的主管部门应当在监管规定中明确金融机构未履行信息保护义务的法律责任,制定更为详尽的处罚措施。只有在后续立法条文中明确界定金融机构的法律义务,我们才能在法律上对金融机构产生威慑,从而使金融消费者在进行消费活动时可以合法维护自己的权益,并为审判机关的裁决提供法律依据。
5.1.2. 整合制定符合我国国情的法律法规
目前,我国在金融隐私权保护方面的法律、行政法规和部门规章分布相当分散,大部分的法律条文内容不明确,立法层次也相对较低,且我国还没有一部专门针对金融隐私保护的法律。通过整合现有的法律条文,我们可以制定具有更高立法层次的法律法规,这不仅可以增强监管机构和金融机构的关注度,还能提高金融消费者的权益保护意识,并进一步加强金融隐私权的维护。
我国目前仍在探索如何更好地保护金融隐私权。就在2021年6月10日,我国《数据安全法》出台,并明确规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”同时,我国《个人信息保护法》也于2021年8月通过,为个人信息处理活动提供了明确的法律依据。作为一个社会主义国家,我国的市场经济开始得相对较晚,因此在构建法律体系时,我们可以借鉴西方发达国家的立法经验,并根据我国的实际情况作出适当的调整。目前,我国在金融隐私权的保护方面还处于初级阶段,在构建金融隐私保护制度时,我们应该采取逐步推进的策略,而不是急功近利。
5.1.3. 完善金融隐私权救济途径
无救济即无权利。能够通过高效的纠纷解决机制来维护消费者的合法权益,是保护金融隐私权的最关键环节。但是,我国目前的制度框架并没有一个实际有效的事后纠纷处理机制,导致金融消费者在利益受到侵害后的救助路径过于狭窄。
首先,金融机构应当完善内部纠纷解决机制,建立针对网络金融服务的内部纠纷解决部门。如果金融消费者能够通过内部投诉系统与金融机构进行协商,不仅能够节省司法资源,也可以最大限度上提高金融效率;其次,完善第三方行业纠纷解决机制,消费者通过上述渠道无法维权时,可联系相关行业协会,由主管部门进行举报和监督。如果举报和监督不成功,行业协会可以主导纠纷解决程序,必要时协助金融服务消费者向法院提起诉讼。最后,可以选择设置专门线上金融仲裁组织的方式,充分利用互联网的地域广、人数多的特性。这种方式可以更好地与金融业数据化和电子化的特点相融合,且显著地提升纠纷解决的效率 [7] 。
5.2. 规范相关监督管理机制
在制定法律和实施监管的过程中,我们需要明确金融交易各个环节对应的监管实体和其职责,进一步完善金融信息监管制度,并建立规范的监管机制。
5.2.1. 明确金融隐私权保护的监管机关及职责
若在金融交易的各个环节中,金融隐私信息传递的监督主体不明晰,则容易造成监管真空和重叠。尽管我国目前存在中国人民银行、银保监会等多个金融隐私侵权的监管机构,但各主体之间职责界定仍然不够清晰。因此,立法机构应当明确金融机构在信息收集、处理和保存过程中所对应的相应监管实体,以及各监管主体的具体职责,以防止由于信息主体不明确导致的维权难题。
5.2.2. 加强和完善金融信息披露制度
对金融信息公开制度进行完善和提高金融机构的透明度,不仅有助于弥补监管的不足和完善监管结构,还促进了金融机构与监管机构之间的信息交流和共享。在金融制度的构建过程中,金融机构有责任按照既定规定公开其对用户个人金融信息的使用和保护状况,并由监管机构定期进行仔细核查,以形成监管机构与金融机构之间的良好制约机制。
5.3. 提升金融消费者风险意识
事实上,由于中国价值观传统和重集体轻个人的文化背景,中国的消费者普遍对隐私权不够重视,当金融机构侵犯他们的金融权利时,他们的权利救济意识相对较弱。因此,为了确保互联网消费者隐私得到充分保护,需要采取一系列措施来加强监管和提供金融救济,包括完善互联网消费者隐私保护机制、加大对相关企业的监管力度等,此外,也应当加强对相关消费者的金融消费者观念和消费行为的引导和规范。
同样,在金融产品迭代频繁的时代,应关注重点群体的金融知识水平,积极应对互联网新技术带来的时代挑战。在预防阶段,根据不同群体的特点,监管部门和金融机构可以采取相应的金融知识普及措施,并通过各种渠道宣传金融隐私法规信息,提高金融消费者的金融素养;在金融交易的过程中,金融机构有责任主动提醒消费者关于金融信息泄露的风险,确保消费者深刻理解金融隐私信息所带来的潜在风险。当金融消费者与金融机构签署合同时,金融机构有责任诚实并主动地明确金融隐私信息的适用界限。
此外,政府还可以利用电视、手机短信等多种媒体渠道,通过创意短视频和微电影拍摄等创新手段来进行广泛的宣传和普及,以确保内容既贴近实践又易于接受。
6. 结语
随着大数据技术的发展,金融隐私权的保护面临了许多新的时代挑战,为强化风险控制,营造良好的金融环境,金融隐私权各相关主体均应积极应对挑战。首先,我国需要建立一个与国情相匹配的金融隐私权保护机制,整合和制定相关的法律和法规,提高金融隐私权的立法水平,明确金融隐私权的详细内容和金融机构的权利与义务,并进一步完善金融隐私权的救济途径。其次,我们需要对相关的监管机制进行规范化,明确各监管实体及其各自的职责,并进一步强化金融信息的公开透明度。最后,我们应该重视提高消费者的金融认知,不断加强他们的风险防范意识。
金融隐私权的保护机制旨在维护消费者的权利、推动金融行业的健康成长,并确保金融的公正性。多年来,我国一直在努力构建金融隐私权的制度保护体系,并已经取得了一些初步的成果。但是,金融隐私权的保护之路仍然困难重重,需要各方共同努力才能建立一个完善的金融隐私权制度保护体系。