丁冬
这段时间,因电信诈骗引发的几起事件引发社会的广泛关注。8月19日、23日,山东临沂准大学生徐玉玉、临沭县大二学生宋振宁先后被犯罪分子以发放助学金、银行卡被透支为名骗取学费和钱款,心脏骤停离世。这几起事件发生后,引发了各界对个人信息安全的极大关注和担忧。数据采集是信息社会的基础,也是大数据时代的基本特征。大数据时代,数据的收集、存储、传播和利用因互联网技术的加码而更加便捷和迅猛。在一定意义上,我们可以说在大数据时代的当下,数据构成了隐私的载体,确保数据的安全是保障隐私权的核心要义之一。
自1890年美国著名的两位法学家沃伦和布兰代斯《论隐私权》一文发表以来,隐私权作为一项独立的法律权利逐步被各国的立法和司法实践所肯认,其内容和保护范畴也逐步丰富。个人在接受存款、贷款等金融服务过程中,有关个人的诸多私密信息为银行所掌握。这些信息的安全性逐渐为人所关注,也就在传统隐私权之外衍生出了金融隐私权的概念。1924年英国著名的图尔尼案以判例的形式确认了银行负有对客户信息的保护义务,该判例援引“默示条款”理论认为无论双方是否在契约中明确约定了此项义务,银行均负有对客户账户以及银行因与其客户的金融服务关系而获知的客户的任何信息均负有金融隐私权的保护义务。此后,银行等金融机构负有的金融隐私权保护义务逐渐为各国立法所采纳,成为银行在缔结和履行契约时必须履行的义务。
不同于传统隐私权主要系对生活安宁权等权益的保护,金融隐私权还具有明显的财产指向性特征,不仅涉及个人身份信息的安全,还涉及个人财产的安全。反观徐玉玉、宋振宁事件,个人的身份信息、银行账户等全部被泄露,导致犯罪分子利用这些信息实施诈骗行为,身份信息、财产权益被严重侵害。造成金融隐私权被侵害有诸多原因。一方面,有关金融隐私权保护的专门立法缺失。现行法律体系中关于一般隐私权的法律规定不能全部涵盖金融隐私权保护的内容,现有的有关金融隐私权保护的立法层级较低,银行等金融机构对客户金融信息的保护义务不够明晰,尚未建立起系统性的金融隐私权保护体系。另一方面,个人数据的采集利用方面存在“过度采集”、“使用随意”和“保护力度不够”等问题。以某银行的贷记申请表为例,需要申领人填写的内容有近30项之多,包括个人的姓名、出生日期、身份证、工作单位、家庭住址、手机号码、家属信息、婚姻状况等私密信息都在数据采集之列。这些信息之中哪些信息是必须采集的、哪些是没有必要采集的,尚缺乏统一的标准,过度采集、重复采集的问题比较突出。而这些数据采集之后,银行等金融机构也未能将客户个人数据的保护工作纳入到风险管理体系之中,给予足够的保护力度,在“缺乏必要的加密措施”,“中间转手环节多,管理难度大”等因素的影响下,在数据采集如此便捷的当下,无异于数据“裸奔”,数据外泄的概率大大增加。
大数据时代的金融隐私权保护涉及个人的信息安全,更关乎个人的生命财产安全,已经大大超越了传统隐私权的规制范畴。金融隐私权的保护,首先需要在立法上取得突破,通过专门的个人信息保护立法,将金融隐私权明确为个人信息保护的重要权益组成部门,明确包括银行、证券、保险等金融机构应负的保护义务和法律责任,建立金融隐私权保护的自洽法律体系。除此之外,在数据的采集、存储、利用上,政府相关部门要建立更加明晰的规则,防止数据的过度采集和随意使用,强化数据的保密。而对于金融机构而言,作为客户数据的采集者、使用者和保管者,是金融隐私权保护的第一责任人。其有义务采取必要的技术措施,完善内部管理、优化管理流程,通过强化风险管理来确保客户金融数据的安全,特别是对于可识别个人身份的数据,应该通过必要的加密措施防止数据外泄。
美国总统罗斯福1941年在国会大厦演讲时,曾经谈到所有人民都应有免于恐惧的自由。在大数据时代的当下,免于恐惧的自由也应被视为社会最基本的价值,让生长于斯的人们不因信息安全问题而忧惧。