大数据时代个人金融信息的保护与利用
2021-03-26邢会强
邢会强
内容摘要:个人金融信息具有多样性、敏感性、精准性、高价值等特征。大数据时代的个人金融信息保护需求对现行法律理论、相关制度与机制以及金融机构的个人信息保护管理能力都带来了挑战。在大数据时代,金融法需要被重新定义,即金融法实际上是包括企业信息和个人信息在内的数据管理、共享与利用之法。在大数据时代,个人金融信息保护法需要转型升级。法律需要明确信息和数据的权属,对个人金融信息实行特别保护,完善事中和事后保护机制,完善保密规则的例外情况。我国应发展数字信誉评分业务,推动数据开放共享。
关键词:大数据 个人信息保护法 个人金融信息 金融隐私权 金融消费者 GDPR
中图分类号:DF438 文献标识码:A 文章编号:1674-4039-(2021)01-0047-60
近几年来,我国金融监督管理部门高度重视个人金融信息保护工作。2016年发布的《中国人民银行金融消费者权益保护实施办法》(以下简称金消保办法)对个人金融信息保护作了较为全面的规定。2019年年底,央行又拟对该办法进行修订并将其升格为部门规章。2018年,中国银行保险监管管理委员会(以下简称银保监会)发布《银行业金融机构数据治理指引》。2019年10月,央行又起草了《个人金融信息(数据)保护试行办法》(征求意见稿)。个人金融信息的保护受到社会各界高度关注。因此,个人金融信息及其保护的特殊性需要深入研究。
一、个人金融信息的定义与特征
(一)个人金融信息的定义
银行对于个人金融信息的保护义务起源于英美法中银行对于金融隐私权的保护。在英美法系国家,关于银行对客户金融隐私权的保护规则的著名判例是1924年英国的Tournier案, 〔1 〕该案首开银行对金融隐私权负有保护义务之先河。〔2 〕美国在1961年的Peterson案中确认了银行对金融隐私权的保护是基于银行与客户之间契约的默示条款。〔3 〕
而英美法中银行对于金融隐私权的保护范围也一向较为宽泛。在1924年的Tournier案中,法官指出银行对客户隐私权的保护范围不限于客户的账户本身,还包括银行因其与客户关系的存在而获得的任何信息。在1961年的Peterson案中,法院将银行对金融隐私权的保护范围限于两方面:一是有关账户的信息,包括账户上所有存款项金额、资金来源和去向等信息;二是客户的交易情况,包括交易当事人以及交易价格等信息。〔4 〕
基于法律概念的借鉴与移植,我国央行对于个人金融信息的定义也比较宽泛。2016年金消保办法第27条规定:“本办法所称个人金融信息,是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息。”其实,早在2013年,央行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》就对个人金融信息进行了分类:(1)个人身份信息;(2)个人财产信息;(3)个人账户信息;(3)个人信用信息;(5)个人金融交易信息;(6)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息;(7)在与个人建立业务关系过程中获取、保存的其他个人信息。
但上述“分类”的种类太多,不够精练和周延。与其说是分类,不如说是列举,兜底条款的存在更是说明了这一点。此种列举虽然便于金融机构掌握个人金融信息的范围,但意义有限。笔者在这一分类的基础上,结合关于个人信息分为基本个人信息、伴生个人信息和预测个人信息的分类, 〔5 〕将个人金融信息重新分类如下,这一分类的权属意义更为突出:
1.个人身份信息,主要包括个人标识型信息和个人属性信息
个人标识型信息包括个人姓名、身份证件种类及号码和有效期限、联系方式(尤其是手机号码)、住所或工作单位、地址及照片等。这些信息大多可以直接识别到特定个人,或与其他信息简单结合即可识别到特定个人。个人属性信息包括性别、国籍、民族、职业、婚姻状况、家庭状况等反映个人特征的信息。个人身份信息是个人主动提供的关于本人的特定信息,能够单独或相互参照从而很容易地识别到特定个人,因此属于个人基本信息。
2.个人财务信息,包括个人的财产信息、账户信息、金融交易信息和信用信息等
个人财产信息包括个人收入状况、拥有的不动产状况、拥有的车辆状况等反映个人财产状况的信息。个人账户信息包括账号、账户开立时间、开户行等信息。个人信用信息包括信用卡还款情况、贷款偿还情况,以及个人在经济活动中形成的、能够反映其信用状况的其他信息。个人金融交易信息是指个人在接受金融机构的服务或购买金融机构提供的产品的过程中产生的交易信息等。这也是狭义上的个人金融信息,它是广义上的个人金融信息的核心。
一部分個人财务信息是个人提交的,例如个人财产信息中拥有的不动产状况、拥有的车辆状况等信息;个人在办理证券、保险业务过程中向证券公司、保险公司提交的个人账户信息等。在此意义上,它又属于个人基本信息。但也有一些个人财产信息是金融机构在提供金融服务的过程中自然获取、留存的,譬如商业银行在代发工资、账户管理等业务过程中留存的个人收入信息。在此意义上,它又属于“个人伴生信息”或“伴生个人信息”。“伴生个人信息”是个人在生活、交易或工作中形成并被信息企业记录下来的关于个人的信息,它是个人活动的副产品。金融机构留存的金融交易信息、信用信息,以及开户行留存的个人账户信息等,均属于伴生个人信息。
3.预测个人信息
对上述两大类个人信息(尤其是个人财务信息)进行处理、分析所形成的反映特定个人某些情况的信息,包括个人消费习惯、风险偏好、风险承受能力、投资意愿等。
(二)个人金融信息的特征
个人金融信息除了具有所有信息的共同特征——非排他性、非竞争性、经验品、 〔6 〕非物质性、不可分性、存在规模经济问题等之外,还存在着不同于一般数据、一般个人信息的如下特征:
第一,多元性与复杂性。与其他个人信息一样,个人金融信息也包括基本个人信息、伴生个人信息和预测个人信息三大类,从而体现出个人金融信息的多元化和复杂性。个人金融信息中的个人标识信息和个人属性信息,以及某些个人财产信息等基本个人信息,都是由个人提交的,个人的主动性、权属意识很强。在此情况下,金融机构很难主张其合法收集和留存的这些基本个人信息的权属属于金融机构。如果金融机构如此主张,也势必遭到个人的强烈反对。当然,也有很多个人金融信息属于伴生个人信息,如金融交易信息、信用信息等,它们是伴随着金融交易而产生的,但被金融机构留存。也有一些个人金融信息属于预测个人信息。在个人基本信息中,还可能包括个人生物信息,甚至还会包括未成年人的信息。〔7 〕个人金融信息的多元化和复杂性决定了相应法律制度的复杂性。
第二,敏感性、精准性与高价值。在现代社会,人们的财务信息大部分掌握在金融机构手中。商业银行、支付机构掌握了我们大部分的收入和支出,证券公司、期货公司掌握了我们大部分的证券期货资产,保险公司知道我们买了哪些保险。我们每个人在金融机构面前都是“财务透明人”。个人财务信息具有高度的敏感性,如果不当披露或泄露,轻则危害邻里和睦、社会和谐,重则危害个人的财产安全甚至人身安全。为客户保密是商业银行的一项传统。“银行对客户信息资料负有金融隐私权保护之义务是在长期的业务实践中所形成的一种惯例。” 〔8 〕“储蓄存款属于个人的私有财产。人们因为种种原因,往往不愿自己的财产状况被他人知道。储蓄机构应当尊重存款人的这一权利。同时,坚持这项原则也是为了保障存款的安全,防止存款被冒领或存款人支取后被盗的情况发生,保证存款人的财产权利不受侵犯。” 〔9 〕因此,我国国家标准《信息安全技术 个人信息安全规范》规定,“个人敏感信息”是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,并明确规定个人敏感信息包括银行账号、财产信息、征信信息、交易信息等。《中华人民共和国个人信息保护法(草案)》(以下简称个保法草案)也作了类似规定。此外,个人财务信息不但包括正面信息,如存款信息,还包括负面信息,如债务拖欠、财产被扣押等。如果被不当利用,尤其是超出了初始目的,就有可能给信息主体带来负面影响。例如,在国外,一些信用信息被征信机构出售给雇主,导致了很多欠债人找不到工作。如果这些人找不到工作就更不可能偿付其债务,这将导致恶性循环。〔10 〕个人金融信息中的个人身份信息能够直接或间接识别到个人,具有精准性。个人的财务信息也具有很高的准确性,不像个人画像等个人预测信息那样具有盖然性。正因为个人金融信息与金钱的高度相关性且能精准关联到个人,因此它也具有较高的价值,为各方所觊觎。
第三,私人性与公共性。任何个人信息都具有私人性,也具有一定的公共性。“就个人信息而言,当信息用来标识、记录、描述某个人时,并不因此而使该信息归属于该人,这些信息仍然可以用来标识、记录、描述其他人。数据或信息的公共性、可共享性,决定了个人数据本身的公共性。” 〔11 〕我们固然需要保护个人的隐私,但也应该保护社会公众的识别权和知情权,这构成了对个人隐私权的限制。个人信息若不当呈现,在其他场景中所带来的损害,总体上来讲,远不及在金融场景尤其是贷款场景中给贷款人造成的损害。如果一个人在不同的金融机构都有借款,而金融机构之间信息相互隔绝、不流通的话,金融机构就不能全面掌握借款人的所有欠债信息,就无法对其贷款安全进行全面准确的风险评估,金融业务就无法开展。在某种程度上,金融机构之间都是潜在的竞争对手,它们之间鲜有相互交换信息,必须有征信机构充当“数据交换的枢纽”。也需要建立征信体系,全面反映借款人在不同金融机构的借款信息。由于个人金融信息,尤其是一些负面信息,关涉其交易对手即金融机构的利益,而个人有强烈的动机隐藏这些负面信息。因此,法律不宜将个人金融信息(尤其是信用信息)的自决权或控制权完全赋予个人。也正因此,在一些国家,征信具有强制性,即基于公共利益,通过立法强制,由政府力量——公共征信机构进行征信。〔12 〕此外,个人金融信息的公共性还包括:金融机构为完成法定义务,必须采集个人的相关信息,甚至可以不经个人同意而强制采集。这样的法定义务比一般领域多,例如实名制要求、反洗钱义务、反客户欺诈义务、投资者适当性义务等。
二、大数据时代个人金融信息保护需求的挑战
(一)对现行法律理论和制度的挑战
大数据时代给我国的金融法理论和制度带来了挑战。金融业历来是一个重视客户信息保密的行业。我国1995年商业银行法也规定了对存款人保密的原则。但金融法不能一味地强调保密,还要强调个人信息收集、保存和处理的规范化,尊重个人的选择权,更要强调数据的共享和开放。
大数据对既有的法律体系提出了挑戰,即个人信息保护法、消费者权益保护法与金融消费者保护法之间的关系为何?金融消费者的定义究竟为何?这都需要做出理论和制度上的回答。关于金融消费者的定义,央行将购买、使用金融机构提供的金融产品和服务的自然人视为金融消费者。〔13 〕但问题是:(1)不少自然人实际上是个体工商户,是以自然人名义出现的商主体,其购买、使用金融产品和服务的目的并不是“消费”而是“经营”。(2)即便“投资”可以扩张解释为“消费”目的,但有的自然人资金实力雄厚,并不弱于机构投资者。(3)购买、使用非金融机构提供的金融产品和服务的自然人被排除在金融消费者之外。这就使得金融管理部门构筑的金融消费者保护法律体系存在内在缺陷。至于个人信息保护法、消费者权益保护法与金融消费者保护法之间的关系,它们更是避而不答。
大数据对更为基础的民法制度带来了挑战。尤其是,个人信息权属不明凸显了民法的滞后。如果将金融机构和征信机构收集到的个人金融信息都归属于收集者,则会导致信息超出初始目的的过度使用。〔14 〕如果将个人金融信息都归属于个人,在当前严格的个人信息保护法律环境下,则会出现金融机构不敢将个人金融信息进行共享、流通和交易的现象。这将造成大数据资源闲置、浪费。
大数据时代还对个人信息的保护方法提出了挑战。传统的金融隐私权法律框架将金融隐私权视为一种消极性的防御权利,其保护手段主要靠事后基于侵权法的民事诉讼救济。但在大数据时代,消极性的防御权利制度,使个人信息的财产价值无法发挥。个人信息被泄露、被用于下游犯罪的话,个人因举证难、损失计算难、成本高等问题而不愿意提起诉讼,这将导致个人信息得不到有效保护。此外,后续损害应不应由信息泄露者承担的问题,也存在着很大争议。〔15 〕由于信息的收集、流动会经过多个环节,其中必然涉及多个责任主体,每个环节都可能存在信息泄露、非法使用的风险, 〔16 〕不同主体之间的责任厘定绝非易事。由于因果关系过于遥远,个人要想获得赔偿实属不易。这无法全面地保护个人信息,发挥“大数据”的价值。
(二)对征信体系的挑战
在数字经济时代,任何可收集可聚合的东西皆会被评分。人类已经进入“数字信誉时代”。而大数据分析预测的发展正在催生商业新模式——信誉经济的崛起。〔17 〕 行为即信用。个人的购买习惯、财务状况、守信情况、身体健康状况、工作勤勉情况、职场人脉关系和社交互动情况等都是信誉的自变量。
基于这种“数字信誉”的重要价值,市场上涌现出了诸如“蚂蚁信用”“腾讯信用”等“数字信誉”评分机制。“这种信用评分名义上叫信用分,其实质上是消费积分。” 〔18 〕也就是利用大数据对个人进行“画像”。有学者认为,其不符合严格的征信定义。〔19 〕但是,这些“数字信誉”或“画像”的确可以被大科技公司用于信贷目的,甚至评分机构还可以向其他信贷机构出售这些评分,用以防范信用风险。这些机构还曾注册为“征信公司”,并被认定为“互联网征信试点企业”,只是试点期满未能获得征信牌照,但有的还继续以“信用分”的形式运行。这是否会被认为“非法从事征信业务”从而受到处罚,不无疑问。它们如果被认定为“非法从事征信业务”,就可能会扼杀大数据红利价值的释放。
(三)对现存金融监管体制和执法机制的挑战
我国规范个人金融信息的金融法律法规,都是规范持牌金融机构的。非持牌金融机构目前游离于金融监管的范围之外。目前,大科技公司正在全球金融业中崛起。大科技公司是指拥有广泛的客户网络的大型技术公司。它们自己或通过子公司提供广泛的金融服务。它们提供的金融服务涵盖支付、信贷、保险、财富管理等领域。〔20 〕中国大科技公司提供金融服务的子公司,有的是金融机构(如网商银行、微众银行、众安保险、支付宝、财富通等),有的则没有金融牌照而号称自己是科技公司。这些非持牌而实际上从事金融服务的机构,目前无法直接适用专门的个人金融信息保护规则。
我国当前的分业经营金融体制对个人信息保护法也提出了挑战。在欧洲的全能银行制度下,一个法人主体可以从事不同种类的金融业务,个人信息可以在法人内部无障碍流动,被运用于不同的金融业务。但在分业经营情况下,银行收集的个人信息,要想被同一个集团内部的保险公司、证券公司运用,可能需要经个人授权同意。我国《金融控股公司监督管理试行办法》第23条第1款即采用该制度,这使得我国的金融机构与全能银行相比没有竞争优势。
(四)对金融机构个人信息保护管理能力的挑战
我国金融机构个人信息的保护意识不强,制度不完善,这主要表现为:我国金融机构缺乏统一的客户信息保护政策;缺乏明确的客户信息牵头管理部门;缺乏独立的客户信息使用审批制度。〔21 〕商业银行现有的个人金融信息保护的理念传导、措施落实上还不够到位。与第三方合作仅仅通过签订保密条款来划分责任,对信息泄露缺乏监督检查和制约措施。〔22 〕个别银行在客户信息保护方面存在明显的操作风险,某些商业银行的个保业务人员甚至非法出售和对外提供客户信息。
三、金融法在大数据时代的重新定义
以前,人们是从资金融通的角度看金融,金融机构是融资中介,资金融通是传统银行业的核心功能,金融法被看成是融资之法。这实际上是金融发展的初级阶段或银行主导型金融体系阶段的金融观和金融法观。“在简单的发展状态下,金融在社会经济中最基本的功能是在货币资金的盈余者与短缺者之间调剂余缺, 因此将金融的本质功能界定为对资金的融通。” 〔23 〕
后来,人们又从风险定价与管理的角度看金融,金融法是企业风险定价和管理之法。因为传统银行在存贷款业务的过程中,同时履行了信息、监控和风险管理等功能。但是,随着金融市场和非银行金融中介的发展,传统银行在资金融通中的优势逐渐丧失,银行通过表外业务和资产证券化创新,试图改变原来主要依靠存贷汇兑业务来盈利的经营模式,开始转变成经营综合金融业务的“百货公司”,它们日益转变成为纯粹提供信息、监控和风险管理服务的“服务中介”。〔24 〕“金融业务最本质的是全面风险管理。” 〔25 〕金融机构的本质是经营风险,为风险定价,风险是回报的源泉。在这一观念下,金融法既要充分揭示融资方的各种风险,为风险定价,又要管理和防范好资金提供方的各种风险。金融法强调投资者和金融消费者保护,其实就是为了防范他们的各种风险。这是在金融综合经营阶段或市场主导型金融体系阶段的金融观和金融法观。
现在,在大数据时代,我们需要从信息的角度看金融。其实,自古以来,没有信息交换的市场是不存在的。任何经济交易的第一步都是信息的交换。若不如此,市场参与者之间就不会相互信任,交易就不会发生。〔26 〕这无论是在原始的集贸市场,还是在复杂的现代证券市场,都是如此。由于金融产品和服务的无形性,信息在金融市场中的作用比在一般有形产品市场上的作用更重要。
信贷市场需要收集借款人的相关信息。在此过程中,征信信息尤为重要。信用报告是经济生活的“第二身份证”。〔27 〕保险市场需要收集被保险人的相关信息。为了防止被保险人不如实告知,保险法发展出最大诚信原则来解决信息不对称问题。〔28 〕证券法上的信息披露制度则是证券法的基石。发行人为了融资成功,必须向投资者披露其自身的相关信息。证券法为解决信息不对称问题,发展出了强制性信息披露制度。一部證券法的发展史,就是信息披露不断扩张的历史。〔29 〕信息披露还被引入银行法和保险法等领域。银行和保险公司等金融机构即便不上市也应公开披露其财务信息,以便客户能够“用脚投票”,对金融机构进行市场约束。
为了督促证券发行人及时、准确、完整地披露信息,法律对证券发行人的中介机构课加了勤勉尽责义务。如果这些中介机构未履行好勤勉尽责义务,极有可能会导致证券发行人披露的信息出现虚假陈述,监管机构就会对这些中介机构作出行政处罚,投资者也可以要求这些中介机构承担民事赔偿责任。中介机构勤勉尽责与否,关键是看信息的调查收集、加工处理与对外披露的水平。
金融产品的销售,关键是看信息的分析与挖掘。承销商通过宏观经济信息、行业信息以及本企业信息的全面收集、整理与分析、挖掘,为企业进行估值定价。华尔街上有句名言:“没有卖不出去的股票,只要价格合适。”它揭示了定价对于股票发售的重要性。但定价需要信息分析与挖掘。不但股票如此,其他金融产品的销售也应如此。
金融机构客户适当性义务的履行也要靠信息。金融机构对其客户,则既要“了解你的产品”,也要“了解你的客户”,并进行适当性匹配。为了“了解你的产品”,金融机构必须收集发行人及其产品的相关信息以便对产品进行风险评级。为了“了解你的客户”,金融机构必须收集投资人的相关信息以便进行风险承受能力测评。
但是,以上金融法律制度所处的时代,数据是分散的,数据产生的速度较慢,数据记录和分析依靠手工,个人信息保护的问题不突出,数据的价值难以得到充分挖掘。而目前已经处于大数据时代,一切都将被重新定义,包括金融业和金融法。
“金融业是高度信息化的行业。从技术角度看,当前各类金融产品和服务都可以视为信息集合的产物。金融机构能够不断推出创新产品和服务,很重要的一点取决于对各类金融信息挖掘、分析和运用的能力,互联网技术由于金融业务的不断融合,使得个人金融隐私信息的收集更加便利。” 〔30 〕周小川也说:“金融业本质上就是信息产业。” 〔31 〕客户与金融机构的每一次互动,都会产生数据。金融机构对这些数据进行收集和处理后,在下一次与客户互动时,能够优化响应。利用大数据,金融机构进行传统业务的创新发展,数字在重塑金融业务。我们需要“重新定义金融服务如何融合融入使用这些服务的消费者、企业和组织的生活”。〔32 〕数据、技术与金融业务深度融合,日益使金融机构走向“智慧导向型”金融机构。未来的金融机构都将是基于数据的提供24小时金融服务的金融科技公司,金融机构本质上就是大科技公司。如果金融机构不改变自己,大科技公司就会改变金融机构。“虽然大银行认为自己是政府许可的,觉得自己还有用处,但到了2025年,有能力连接银行与客户的将不会是执照,而是数据”, 〔33 〕“我们必须在客户需要这些服务的时间与地点,将服务嵌入他们的生活中。……银行服务将变得无所不在,但都不是发生在银行里”。〔34 〕大科技公司正在重塑金融行业。
不但金融服务是基于数据的,金融监管也是基于数据的,后者被称为“监管科技”。依靠监管科技,监管机构可以采取基于风险和数据的监管,直接获取被监管者的数据,更充分地利用和分析数据,更有效地监管各类金融市场主体。〔35 〕美国证监会在2008年金融危机后就开始在证券监管中探索运用人工智能手段, 〔36 〕并于2010年在执法部门内部设立了“市场情报办公室”,以更好地运用数据进行监管。〔37 〕澳大利亚证券投资委员会建立的MAI系统,提供市场异常监测和实时报警。英国金融行为监管局利用机器学习工具对每天接收到的两千多万笔市场交易信息进行大数据处理,以发现市场滥用行为。〔38 〕在我国的证券执法前端,证监会通过电子预警、统计分析、数据挖掘等数据分析系统,实现交易行为与交易数据的实时监控和市场主体精准畫像,使证券欺诈等违法违规行为无处遁形。〔39 〕中国证监会于2018年印发的《监管科技总体建设方案》拟通过大数据、云计算、人工智能等科技手段对市场运行状态进行实时监测,及早发现和及时处置违法违规行为。
在这一背景下的金融法,则是(包括企业信息和个人信息在内的)数据管理、共享与利用之法。
信息之于金融市场非常重要,但信息不可滥用。在存贷款以及其他金融交易中,银行获取了客户的有关信息,而客户的这些信息其实就是其个人的一个缩影。这些信息的安全性备受客户关注。银行对客户信息负有金融隐私权保护义务是长期以来形成的惯例。〔40 〕现在,银行对金融隐私权的保护义务已成为各国金融法的一项基本要求,是世界各国银行业务法的重要组成部分。
但是,由于金融法诞生于工业经济社会,它对个人信息的保护只是严苛而已,谈不上系统和科学。“金融隐私保护固然重要。但适度的共享、披露是金融市场克服信息不对称的重要手段。在金融市场上,金融隐私披露或者说消费者对自身金融隐私的让渡是金融契约得以建立的前提。过于严苛的隐私保护会加剧信息不对称,不利于金融市场的健康发展。同时强调对金融隐私的绝对保护也不利于打击腐败、洗钱等违法犯罪行为。” 〔41 〕信息社会的到来,计算机大规模使用的普遍化,大数据和人工智能在金融业中的广泛使用,凸显了数据开放和共享的重要性。“未来的‘银行将由数据驱动。……我们该做的不是停止分享,而是建立稽查系统和权限,让分享数据变得更有效、安全。” 〔42 〕
数据开放、共享甚至交易是大数据时代的必然要求。金融市场的运作依赖于信息,要求信息透明。而从另外一个角度看,金融隐私保护法和个人信息保护法实际上是在对抗、克制信息的透明。或者说是限制信息透明的边界,划定信息的收集、处理、保存、流动、共享的边界,以实现个人利益、金融企业利益与社会公共利益的均衡。整部金融法,既是促进信息透明,克服信息不对称之法,也是克制信息透明,为信息处理划定边界之法。金融法就是在这两方面的约束与互动中处理信息问题的。这就是信息视角下的金融法。
四、大数据时代的个人金融信息保护法的转型升级
传统的金融隐私权保护法已然落后于时代,需要转型升级到大数据时代的个人金融信息保护法。在大数据时代,个人金融信息保护法需要体现以下几个方面的转变:
(一)从隐私(权)单纯严格保密到个人信息(权)全周期全方位保护
一方面,隐私权应进化为个人信息权。个人信息权这一概念远远超出了隐私权的范畴。个人信息权在客体范围、权利性质、权利内容等方面远远超过了隐私权。〔43 〕我国正在区分个人信息权和隐私权的基础上,制定专门的个人信息保护法。
另一方面,对信息主体的保护,不能单纯是严格保密,而应该是数据全生命周期管理和全方位保护。数据全生命周期管理要求信息企业应根据数据流转的全生命周期,在各环节采取有差异性的安全控制措施。例如,2012年澳大利亚对隐私法中的隐私原则进行了修订,规定了个人信息从采集、存储、安全、使用、发布到销毁的全生命周期管理。全方位保护意味着赋予信息主体更丰富的权能。例如,欧盟一般数据保护条例(以下简称GDPR)确定数据访问权,修改、删除与限制处理信息权,拒绝权与免受自动化决策限制权,数据可携带权,被遗忘权等。我国个保法草案规定的个人信息权能也较为丰富。对个人金融信息保护,正在由“银行义务本位”转向“客户权利本位”。〔44 〕
(二)从强调保密一端到保护与利用并重
传统金融法只强调对个人金融隐私的保密,但大数据时代的金融法需要保护与利用并重。从美国金融隐私权保护法的发展历程看,就经历了一个从单纯保密到保护与利用并重的过程。除了美国判例法对银行客户信息的保密之外,在制定法層面上,1978年的金融隐私法对银行雇员披露金融记录、联邦立法机构获取个人金融记录的方式作出了限制。〔45 〕但1999年金融服务现代化法却有了较大改进,该法规定了金融机构在处理消费者及客户的非公开个人信息时,应遵守数据安全保护规则和隐私保护规则,允许金融机构将消费者信息与关联机构分享,但金融机构需要履行通知义务并为消费者提供选出权。〔46 〕
我国也是如此。20世纪90年代我国制定的商业银行法、证券法、保险法都规定了金融机构对客户信息的保密制度,只强调保护一端。2016年的《金消保办法》第三章专门规定了个人金融信息的保护,虽然仍是保护重于利用,但毕竟规定了个人金融信息使用管理和跨境流动制度等。未来我国的个人金融信息保护法应更加注重数据的利用。
(三)保护重点从事前到事中与事后
传统的个人信息保护法注重从收集环节着手来保护信息主体。〔47 〕但这是远远不够的。大数据时代的个人信息保护法,包括个人金融信息保护法,应将对个人信息进行保护的重点从事前转移到事中、事后。在事中,个人要有权随时行使个人信息权利,以对抗信息企业的不当处理。在事中,信息企业要进行隐私风险评估,在相应场景中具体地评估数据处理行为的风险,根据风险等级采取相应程度的管理措施。〔48 〕在个人信息数据库出现泄露或被盗时,进行通知和报告。在事后,应该使受害的个人愿意拿起法律的武器,起诉侵害个人信息权的当事人,并且要使真正的受害人能够胜诉。
(四)从数据封闭到数据开放
由于保密制度的严格要求,以前金融机构的数据都是封闭的,至多在本金融集团内部共享。征信制度的建立,使得征信信息汇聚于征信机构这一枢纽,但不同的金融机构之间不能直连,金融机构更不会与第三方的非金融机构共享信息。
但是,2018年以来,一场名为“开放银行”的金融变革引爆全球。开放银行其实就是开放数据。〔49 〕开放银行赋予了用户发起数据共享的权利,其源于“数据可携带权”。2018年的欧盟《第二代支付服务法令》要求银行向第三方机构开放支付接口。赋予用户对其账户信息的控制权,银行应在用户要求时,向第三方开放用户数据的访问权限,即使该第三方与银行并不存在任何合同关系。
从银行服务提供方式的角度看,银行发展至今经历了四个阶段:银行1.0,网点服务阶段;银行2.0,自助银行阶段;银行3.0,基于互联网的银行服务阶段;银行4.0,银行即服务阶段。〔50 〕即在银行4.0阶段,银行成为服务平台,通过技术,随客户所需,即时提供内嵌的、无所不在的银行服务。人们可以通过自己的授权让第三方自由使用自己的金融数据,创造了让自己享受更全面更优质金融服务的可能性。在银行4.0阶段,银行服务是完整的,背后由哪家银行提供不再是重点,而是由银行或第三方来提供无所不在的银行服务,即跨越时间和媒介的银行服务。〔51 〕法律打破了银行对数据的垄断,虽然对于银行短期不利,但也是银行正视竞争的开始,或许是未来银行的起点。〔52 〕在我国,有的银行已经觉察到开放银行带来的新契机,开始尝试数据开放,但掣肘于技术、组织和法律的滞后。
(五)从财产利益独享到财产利益共享
无论是主张个人信息的财产利益归个人所享有,还是主张归收集者即信息企业所享有,都是一种独享机制。主张个人信息的财产利益归个人所享有的观点,正确地看到了个人对其信息所享有的原初的财产利益,有利于发挥个人开放、共享其个人信息的积极性,但却忽略了信息企业的利益,忽略了信息企业对个人信息收集和加工所付出的劳动。主张个人信息的财产利益归收集者即信息企业所享有的观点,正确地看到了信息企业所付出的劳动,有利于发挥信息企业收集、处理个人信息的积极性,但却忽略了广大信息贡献者——个人——的利益,忽略了个人对其信息的产生所付出的劳动。未来的出路应该是共享机制,既应承认和保护个人对其个人信息所享有的财产权益,也应承认和保护信息企业因其收集、保存和加工、处理所付出的劳动而对个人信息所享有的财产权益。
当然,金融信息除了个人金融信息之外,还有企业金融信息。〔53 〕企业金融信息可以分为公开的企业金融信息和未公开的企业金融信息,前者如上市公司对外披露的信息,后者如还处于保密状态的企业信息。对于非公开的企业金融信息,符合商业秘密条件的,可以作为商业秘密予以保护。对于公开的企业金融信息,可以视为披露方已经放弃了商业秘密,不再作为商业秘密予以保护。
个人金融信息保护法是个人信息保护法的特别法,它具有一般个人信息保护法的一般特征,但也具有金融行业的特殊性,这一特殊性是根据个人金融信息的特殊性而产生的。
五、大数据时代个人金融信息法律保护的回应
(一)明确信息和数据的权属
党的十四届四中全会决议指出,要“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。而要由市场评价数据的贡献,让数据参与报酬的分配,则需要明确数据的权属。
金融个人信息的形成是多主体交易活动动态积累的结果。基础信息源于客户的最初金融交易和日常消费活动,金融机构有可能对这些信息运行收集、保存、分类、整理、聚合、挖掘,使之变成更高价值的数据产品。因此,个人与金融机构的利益都应该得到承认。“将金融隐私信息的产权仅仅界定给消费者或金融机构一方,并不是最优的选择,而由其两者共同享有能够带来社会福利最大化的结果。” 〔54 〕
笔者认为,应该根据个人信息的不同种类分别配置不同的产权。〔55 〕具体到个人金融信息而言,其中的个人身份信息和个人财产信息由于是客户个人自己整理、提交的,因此其财产权益完全归属于个人。大部分个人财务信息(客户个人自己整理、提交的财产信息除外)和预测个人金融信息的财产权益为个人与金融机构所共享。在前述个人财务信息中,个人的份额大于金融机构的份额。在预测个人金融信息中,金融机构的份额大于个人的份额。至于具体比例为何,则交由市场决定,即金融机构在合同中提出一个分配比例,个人有权通过选出或选入权的行使表示接受或不接受。
(二)明确相关法律之间的关系
个人信息保护法、消费者权益保护法、金融消费者保护法与个人金融信息保护法之间的关系应该是:金融消费者保护法是消费者权益保护法的特别法,两者对(金融)消费者的倾斜保护遵从同一逻辑。个人金融信息保护法是个人信息保护法的特别法,两者对个人(金融)信息的保护遵从同一逻辑。个人信息保护法与消费者权益保护法尽管有交叉,但基本逻辑并不相同。个人信息权与消费者权利有重合、交叉,但个人信息权并不是消费者的新型权利,个人信息权的保护并不以存在消费关系为前提。政府部门、公益事业单位等所有单位所收集的个人信息同样需要遵守个人信息保护法。个人金融信息是个人信息的种类之一。金融机构对个人信息的保护也并不以存在消费关系为前提。因此,个人金融信息保护法并不从属于金融消费者保护法,在金融消費者保护法中规定个人金融信息的保护仅仅是权宜之计。长远地看,个人金融消费保护法律制度应单独制定。个体工商户作为中国特有的概念之一,在性质上属于商个人,为了对商主体进行一体保护,既然企业(金融)信息不适用个人(金融)信息保护法,那么个体工商户的(金融)信息也不应适用个人(金融)信息保护法。此外,不以个人(金融)信息保护法保护个体工商户的(金融)信息,不提供如此高强度的保护,也有利于保护其竞争者和交易对手(尤其是消费者)的利益,因为个体工商户的信息比个人信息的公共性强。
(三)发展数字信誉评分业务
央行有关官员不承认数字信誉评分为征信业务,并认为“大数据不可直接用于征信”。〔56 〕但他们也承认:“大数据可用于风控。数据公司通过数据挖掘、数据加工、应用程序开发、数据产品开发,为信贷机构或其他机构提供风险管理等服务,对企业的管理水平有重大影响,对征信具有一定的辅助作用。” 〔57 〕
既然如此,就不宜将大数据评分和“画像”认定为“征信业务”,建议在正式的法律法规或规范性文件中明确大数据评分和“画像”与“征信业务”的界限,即只要大数据评分和“画像”不涉及信贷类数据的采集,就不构成征信业务。同时,鼓励数字信誉评分业务的发展,通过制定专门的规范,引导其沿着正确的轨道发展。
(四)克服金融体制的不利影响
无论是个人信息保护法,还是金融管理部门制定的专门的个人金融信息规范,均应对金融机构和非金融机构提出一体要求。在美国,金融现代化法对个人金融信息的界定主要依赖“金融活动”这一概念。任何显著从事金融活动的机构,无论是否持牌,均是金融机构。这些机构在从事金融活动过程中提供的任何产品或服务,都是金融产品或服务。个人金融信息主要是指,这些金融机构要求消费者提供的或与消费者互动过程中产生的非公开个人信息。〔58 〕目前,在我国的机构监管理念之下,很难松动“金融机构”的定义,但可以通过对“金融业务”的扩大解释,扩大个人金融信息专门规范的管辖范围。非金融机构也可能会从事金融业务,而只要其从事了金融业务,其收集的个人信息就属于“个人金融信息”,就必须适用个人金融信息保护的专门规范,金融监督管理部门就可以以功能监管和穿透式监管原则,对非金融机构违法收集和处理个人金融信息的行为进行执法和处罚。
为了避免与全能银行竞争的劣势地位,美国1999年金融服务现代化法规定了客户信息在金融控股公司内部的关联企业之间的共享,客户不享有选择退出的权利。韩国也步其后尘,允许金融控股公司内部可不经客户同意而进行数据共享。我国也可采取美国式的做法允许集团内部自由共享客户信息,但既然金融集团之间享有全能银行制下的权利,也应尽全能银行制下的义务,即金融控股公司及其子公司应为个人金融信息的侵权承担连带赔偿责任。
(五)对个人金融信息中的财务信息实施特别保护
各国对于敏感信息的范围界定并不完全一致,“重叠共识”的前十大敏感信息依次是:健康信息、宗教信仰、政治观点和党派、性生活或性取向、民族或种族、工会身份、哲学或道德信仰、犯罪记录或行政诉讼、基因信息、生物特征。但有一些国家和地区将金融财务信息认定为敏感信息, 〔59 〕例如英国、美国和日本。〔60 〕
有学者通过对200个数据泄露案例进行的统计分析表明,财务信息被泄露、盗取的最多,被侵犯的概率最高。〔61 〕换言之,犯罪分子最感兴趣的其实是个人财务信息,而不是健康信息、宗教政治信息等。法律应该将个人财务信息视为敏感信息,对它的保护力度不能低于对健康信息、基因信息等的保护力度。
我国国家标准《信息安全技术 个人信息安全规范》的做法是正确的。该标准不但规定个人金融信息属于个人敏感信息,而且还规定收集个人敏感信息时应遵循的严格要求。该推荐性标准中的有益规定已经被个保法草案所采纳,即将上升为具有强制性的法律制度。
为了切实保护个人敏感信息的安全,还有必要规定,非法收集的信息不得使用。明知是非法收集的信息而使用的,构成非法使用个人信息的违法行为。数据处理者应对外采的第三方数据的合法性尽普通注意义务,要对第三方采集数据的合法性进行必要的审查。“毒树”之果不可食。
此外,金融机构对其收集的含个人财务信息的数据对外流动时,除了遵守知情同意原则之外,还应对数据接收方处理该等数据的合法性尽注意义务和承担连带责任。金融机构不能确保接收方处理该等数据的合法性的,或不愿意承担连带责任的,就不要向其传输该等数据。
除了金融机构掌握个人的财务信息之外,税务部门、财产登记部门、单位的财务部门也掌握了个人的财务信息。个人信息保护法应将所有的财务信息进行同等强度的保护,而不论其掌握在谁的手中。
(六)完善事中和事后保护机制
第一,承认个人信息权,规定个人信息权的诸项权能。应承认个人信息是一项权利。GDPR规定了个人信息的诸项权利(权能),我国为何不承认个人信息是一项权利呢?不承认个人信息是一种权利而仅仅是一种利益的观点,其实是在侵权法(尤其是在德国侵权法)的语境中进行探讨的。跳出侵权法,站在整体民事权利的视角看,既然民法总则规定了自然人的个人信息受法律保护,并规定了相关义务人的义务,而且承认“权利是法律保护的利益”,则个人信息权是可以成立的。
第二,引入个人信息风险评估制度。隐私风险评估是一种贯穿数据处理生命周期全程的动态控制,以便将隐私风险控制在可接受范围内。〔62 〕GDPR也规定了数据保护影响评估制度。我国应规定金融机构对个人金融信息进行大规模处理的,应进行隐私风险评估,并采取相应的保护措施。
第三,引入经设计的隐私理念。域外不少个人信息保护法都规定了经设计的隐私理念,如GDPR第25条以及韩国的个人信息保护法。经设计的隐私理念强调事先积极预防,主张从一开始就将个人信息保护的需求通过设计嵌入系统之中,成为系统核心功能的一部分,成为商业实践的默认规则,给予个人信息全生命周期的保护。〔63 〕
第四,完善法定赔偿制度。法律应该规定,如果信息企业收集的个人信息出现泄露、被盗、非法出售、非法使用、非法提供等情形,从而给个人信息主体造成损失的,收集者应对受害人受到的实际损失承担连带赔偿责任。如果受害人的实际损失难以证明,则应对每个受害人至少赔偿一定数额(如2000元人民币)的法定赔偿金。受害人受到的实际损失小于该法定赔偿金的,受害人可直接主張法定赔偿金。
第五,引入举证责任倒置规则。由于技术的不对等,个人信息权受到侵犯,个人也难以举证证明,大多数受害者只能听之任之。因此,在法律制度层面就需要对此加以平衡。要降低信息主体的举证责任,要求信息处理者证明自己没有不法行为。德国联邦数据保护法第7条第2款规定了举证责任的倒置,由被告来证明其行为并不具有故意或者过失。〔64 〕GDPR第82条也规定了举证责任倒置规则:因违反本条例而受到物质上的或非物质上的损害的任何人,都享有从控制者或处理者处获得赔偿的权利;涉及数据处理的任何控制者对因进行违反本条例的数据处理而导致的损害负有赔偿责任,而处理者仅在没有遵守本条例具体指示给处理者的义务时,或者其行为已经完全脱离或违背控制者的合法指令时才对因数据处理产生的损害负有赔偿责任;数据控制者或处理者若能证明无论如何其都不应对引发损害的事件负时,则可免除其赔偿责任。我国也应该采取举证责任倒置规则。
(七)完善保密规则的例外情况
我国商业银行法规定了银行对客户的保密义务。当然,银行的保密义务并不是绝对的。在英国银行法中,在特定情况下,银行的保密义务可以暂时解除。〔65 〕在我国,法律另有规定的,有关机关可以查询个人储蓄账户。比如,民事诉讼法第242条、刑事诉讼法第144条、海关法第6条、税收征收管理法第54条都有例外规定。美国金融服务现代化法第502条规定,依据公平信用报告法向信用报告机构披露信息的,银行不必向消费者提供选出权。新加坡2012年个人数据保护法规定,个人数据是由征信机构从其成员处收集用于制作信用报告的,或为了机构向他人行使债权清偿债务而收集数据的,可以不经个人同意而收集、使用、披露其信息。〔66 〕英国2017年数据保护法(草案)则规定,在保险合同中,如果数据控制者无法合理期待获得数据主体的同意时,可以未经数据主体同意而合理处理个人信息。〔67 〕
从我国的立法实践来看,民法总则、网络安全法等相关法律均未规定不经本人同意即可收集个人信息的情形。《信息安全技术 个人信息安全规范》弥补了上述法律的不足,它规定在若干情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。我国应在法律中规定,个人金融信息中的违约信息和借贷敞口信息,可以不经个人同意,而由经金融监管部门依法批准的征信机构或与个人发生交易的金融机构强制收集、使用和披露,或由金融、税务、工商、海关、法院等部门直接将行政处罚信息、裁判及执行信息与金融机构、征信系统共享。〔68 〕
(八)推动数据开放共享
在对个人金融信息能够做到切实、有效、严格保护的基础上,方可放开包括个人金融信息在内的数据的开放、共享甚至交易。数据天生有流动的需求,数据在流动中增值。数据不仅仅需要在金融集团内部共享、流动,也需要对外开放、共享、交易、流动。开放银行建设就肩负着这一使命。
个人金融信息中的财务信息以及身份信息,要么高度敏感,要么是个人直接提交的,因此,对个人财务信息的采集与开放、共享、交易,应该采取最严格的授权规则,即纸面方式选择进入规则。当然,由于个人身份信息是个人主动提交的,提交行为本身可以视为一种采集授权。对个人身份信息的开放、共享、交易,也应采取纸面选择进入规则,但对于个人金融信息中的预测信息的开放、共享、交易,则可以采取电子方式选择退出规则。
既然个人身份信息的财产权益为个人所独享,则其开放、共享、交易所带来的收益,信息企业可以在扣除必要的成本、费用后分配给个人。既然个人财务信息、预测个人信息为个人信息主体与信息企业所共享,但两类主体的具体份额有别,则其开放、共享、交易所带来的收益,在扣除必要的成本、费用后,也应该为两类主体按份额进行分配。当然,鉴于单个的个人信息价值还比较微小的特点,在个人信息的分配上,还可以采取基金机制,信息企业应将在大数据开放、共享、交易中个人应得的部分缴付于“个人信息分配基金”,当个人收益超过分配成本时分配给相关个人,当个人收益小于分配成本时暂不分配或者在个人同意的前提下用于个人信息保护等公益目的。〔69 〕总之,未来的大数据时代,合作共赢才是王道。
