韦钧策
【摘 要】近年来,我国金融消费市场发展迅速,金融消费者在通过多种理财渠道进行投资理财的同时,其个人信息安全也承受着诸多风险。随着个人信息的复杂化与数据化,个人信息泄露事件频发,金融消费者信息保护已成为社会普遍关注的热点。综观我国的立法体系,金融消费者信息保护立法缺位,救济渠道有限,维权乱象严重,相关部门欲施以援手而无法可依。为此,文章欲通过探讨金融消费者信息保护的理论依据,探讨对我国金融消费者信息保护的立法构想。
【关键词】信息权;混合立法;行业自律;证明责任倒置
【中图分类号】D923.8 【文献标识码】A 【文章编号】1674-0688(2017)08-0133-04
1 金融消费者个人信息的界定
《侵害消费者权益行为处罚办法》(2015)第十一条第二款规定:“消费者个人信息是指经营者在提供商品或者服务活动中收集的消费者姓名、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息。”[1]《互联网企业个人信息保护测评标准》(2014)中规定:“个人信息是指能够切实可行地单独或通过与其他信息结合识别特定用户身份的信息或信息集合;不适用于经不可逆的匿名化或去身份化处理,使信息或信息集合无法合理识别特定用户身份的信息。”[2]《信息安全技术公共及商用服务信息系统个人信息保护指南》中3.2条规定:“个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据,并将个人信息分为个人敏感信息和个人一般信息。”[3]参照民法学界对个人信息的界定,齐爱民教授认为,个人信息是一切可以识别本人的信息的总和,包括人的生理、心理、智力、个体、社会、经济、文化、家庭等方面的信息[4]。王利明教授将个人信息概括为与特定个人具有关联性、反映个体特征,并且具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面信息[5]。刁胜先教授认为,认定个人信息的关键是能够识别信息主体[6]。综合上述定义,笔者认为,金融消费者个人信息是指个人在金融消费过程中,为金融产品提供着所知悉的个人信息。它主要包括一般信息、交易信息和信用信息。
2 保护个人信息的理论依据
2.1 信息不对称理论
信息不对称是指在商品交易市场中各类主体所掌握的交易信息不均衡的现象。在金融领域中,金融产品具有无形行、复杂性的特点,商品的特质不能一目了然,致使买卖双方对商品信息的了解严重不对称。加之销售者对产品进行劝诱性销售,夸大产品收益,这必将导致交易、投资决策产生质的偏差,从而导致资源配置的低效率。这一过程中,利益受损者,往往是金融产品的消费者。
2.2 金融交易地位不平等
消费信息的不对称性,导致了金融消费者在金融交易过程中的劣势地位。首先,金融消费者在订立金融消费合同时,由于对产品信息知之甚少,信息的不完善导致自己处于金融交易活动中的弱势地位。其次,相对于资本雄厚的金融产品提供者,金融消费者往往都是“散户”,其自身的资本、实力无法与之抗衡。最后,由于金融产品提供者掌握更多的信息,在发生争议时,即使诉诸法院,举证难是金融消费者面临的一个重要问题。
3 我国金融消费者信息保护的立法现状
(1)我国目前并没有专门的个人信息保护法,有关金融消费者信息保护的法律规范分散在《商业银行法》《保险法》《证券法》《反洗钱法》当中。由于个人信息的人格属性,对个人信息的保护主要基于法律对公民一般人格权和隐私权的保护。《中华人民共和国消费者权益保护法》中的第十四条、第二十九条、第五十六条明确提出我国消费者信息受到法律保障,违法泄漏消费者个人信息的,依有关法律、法规处罚[7]。《关于加强网络信息保护的决定》对于网络服务提供者和其他企事业单位收集、使用公民个人身份的电子信息和个人隐私的电子信息的规则做了规定。
(2)监管机关羸弱。首先,当下“三会”的职能主要侧重于维护行业的稳定发展,监督行业内金融机构及其人员的违法行为,而关于金融消费者信息的保护则适用消费者权益保护法的相关规定。其次,派出机构处理手段有限。例如,北京银监局对辖区内机构的違法行为采取监管会谈、下发监管意见书的措施,对单纯服务纠纷则引导双方协商解决。可见,我国监管机关对于处理违法行为的手段单一,力度薄弱,且法无明文规定,监管机关不敢越权行政。
4 个人信息保护面对的新挑战
普遍存在的侵犯个人隐私信息的行为,是现今金融领域面临的重大问题之一。金融机构内部对于个人信息保护管理制度不严,致使用户个人信息外流。金融机构网上系统存在漏洞,导致个人金融信息遭到侵犯。这就要求金融机构提供安全的网络交易平台,确保交易安全及用户个人信息安全。但这种弥补无法做到釜底抽薪,确实保障金融消费者个人信息安全。
5 对我国的启示
综观我国有关金融消费者个人信息保护立法现状,存在如下问题:一是缺乏专门立法,有关金融消费者信息保护的法律规范分散,内容分散不成体系。二是现有立法内容倾向于保护金融机构的利益,对消费者权益保护的重视度有待提高。三是现有立法原则性强,操作性差。四是救济渠道有限。目前常见的救济渠道有协商、信访、媒体、诉讼4种途径。为此,笔者谈谈对我国金融消费者个人信息保护的立法构想。
5.1 立法模式的选择
根据我国当今金融行业发展的情况和立法现状,笔者认为应当确立混合立法模式,即中央统一立法,作为金融消費者保护法的基本法。整合现有法律中关于金融消费者个人信息保护的规定,统一立法,颁布保护金融消费者信息的基本法律。这符合我国遵循的大陆法系立法传统,能够有效地避免因不同金融领域相关问题规定不一而产生法律上规定的冲突。同时,为避免统一立法带来的灵活性不足问题,加强建设行业自律,行业内部以行业规则、行为规范等方式,对本行业内有针对性的问题进行管理、规制。
5.2 明确金融消费者信息权
金融消费者的信息权应当包括信息自决权和信息权救济2个方面的内容[8]。信息自决权即指金融消费者对于个人信息的管理、控制、支配、处分的权利,有权了解金融机构收集、使用其个人信息的相关请情况,并以此决定是否准许金融机构收集、使用自己的个人信息。当发现有关个人信息错误或者遭受篡改的,金融消费者有权要求金融机构予以及时更正。信息权救济是指金融机构收集、使用金融消费者个人信息时,应当本着遵循事先约定情况,依法定程序收集、使用金融消费者个人信息。当出现违法收集、使用时,金融消费者有权提出救济。
权利的存在是法律保障的基础,以法律形式确定金融消费者享有信息权,是制定金融消费者信息保护法律的基础。一方面,对于立法者而言,明确金融消费者的信息权,有利于提高立法者维护消费者信息安全的意识,从而促进相关立法的出台。另一方面,对于金融消费者而言,明确信息权,有利于提高自我信息保护意识,在金融交易过程中注重个人信息的保护,避免因事前疏忽带来麻烦。再者,对于金融机构而言,明确金融消费者信息权,促使金融机构注重更新升级自身网络系统的安全性,在保障金融交易安全的同时维护消费者的信息安全。
5.3 促进行业自律发展
收益和成本理论表明,行政机关对某一行业的监管,应当考虑收益和成本的平衡。同样,对金融的监管应当同样考虑收益和成本。监管的成本即指监管主体进行监管所付出的人力、物力,还包括被监管主体遵守有关规章而付出的成本。监管的收益指经过监管所带来的社会公共利益的大小。在对金融主体保护消费者信息安全这一过程中,监管主体付出的成本是实施监管开设的分支机构、聘用的人员的开支;被监管主体所付出的成本是严格遵循现有立法而损害金融创新的发展,导致社会福利的损失[9]。而金融消费者信息保护监管带来的收益则是金融消费者个人的信息安全。个人信息体现了个人的人格和隐私利益,如果被不正当使用,个人的人格和隐私利益将会受到侵害。同时,这一权利也是自然人最基本的一项权利之一,是自然人人格权的体现,是对公民自由的保障。相比较而言,监管的成本主要在于资金的投入,而有效监管带来的收益则不仅限于投入资金的多少,甚至远超出监管的投入。因此,相对于监管成本的付出,有效监管得到的收益远大于成本的价值。
明确监管收益大于成本后,应考虑如何降低成本、提高效率。若政府统一立法监管,需要增设监管机构、安排人员,这是成本的付出。但政府统一监管,缺乏针对性、灵活性,将可能阻碍金融发展创新。若通过行业组织制定内部的行为规则、规范、标准,由行业协会行使监督权,引导行业内个人信息安全的自我规范、约束和完善,一方面减少了政府增设机构、培养监管人员的成本;另一方面各行业间,通过自我管理,提高行业内各主体守法的自觉性,针对业内特点制定有针对性的行为准则,确保金融行业灵活性发展。
5.4 构建完善的救济途径
上文提到,目前我国常见的救济途径包括协商、信访、社会舆论监督、诉讼。笔者认为,在这些常见的救济途径中,信访最不可取,因为信访不论结果的好坏与否,都有以行政的方式解决纠纷之嫌。而能否达到目的,要考虑的是人情关系、权力的大小,不但容易引发权力寻租,而且又碍于司法公正。因此,应以协商为首要救济方式,社会舆论为社会监督形式,诉讼为最后的救济途径。
第一,协商是平等主体之间以协商达成合意,共同解决纠纷的一种纠纷解决途径,其重点在于协商的双方主体地位平等。首先应明确受理投诉的部门,在现有的金融派出机关的机构设置中,明确受理金融消费者信息安全投诉的部门,并由该部门组织双方进行协商。其次,由于在金融纠纷中,金融消费者处于弱势地位,相对于实力雄厚的金融机构而言,金融消费者更倾向于采用纠纷解决成本较低的协商途径。这就可能出现金融消费者希望通过协商解决,而金融机构怠于协商的窘境。因此,这就要求法律作出倾斜保护,赋予金融消费者单方提出协商为条件,要求金融机构必须参与协商,以此保障金融消费者有效进入协商程序。
第二,正确发挥媒体的监督作用。媒体作为社会监督的工具具有两面性,一方面,正当合理的新闻曝光有利于促进监管机关、侵权主体自觉改正错误;另一方面,可能存在纠纷的一方主体为博得眼球,通过媒体放大或缩小部分事实,引导社会舆论,以至于呈现在民众面前的事实歪曲,达到给纠纷处理机关施压从而做出有利于自己判决的目的。显然,媒体曝光作为纠纷解决的救济途径,应当坚持适度原则。通过完善相关新闻行业立法、规定,提高媒体新闻曝光的中立性,对于故意引起舆论导向,妨碍司法公正的,予以处罚。
第三,诉讼应作为金融消费者权益保护的最有力途径。在这一过程中,需要考虑的是适格被告问题、证明责任问题。在金融消费者信息侵权的案件中,泄漏、篡改、出售、窃取用户信息的金融机构是当然的被告。但实践中存在的情况有可能是金融机构主张自己对用户的信息进行了严格的保护,不是适格被告;而拥有金融机构用户个人信息的人主张是自己并不存在窃取行为,不是适格被告。在这样的情况下,被侵权人应以谁为被告?笔者认为,应当以有可能泄漏用户信息的金融机构和非法获取、使用该信息的组织、个人为被告。原告方面,作为个体,金融消费者实力远比不上金融机构,这也是金融消费者倾向于协商解决的原因之一。因此,为确保维护金融消费者的利益,国家层面应当予以支持。在用户信息泄漏案件中,泄漏用户信息存在数量问题,这种泄漏行为是否达到危害公共安全的程度,应当做进一步认定。我国《民事诉讼法》中规定了公益诉讼制度,规定适用的案件包括环境保护法、消费者权益保护法等法律规定的机关和有关组织对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为。侵犯金融消费者信息安全的行为已有损社会公共利益,因此笔者认为金融消费者信息安全的诉讼,应当适用公益诉讼制度。最后在证明责任上,金融消费者不易获取金融机构或非法获取信息者存在过错的证据。从保护金融消费者利益的角度出发,应当采取证明责任倒置的举证方式,增加金融机构和非法信息获取者的证明责任,提高其保护金融消费者信息安全意识,切实保障金融消费者的信息权。
6 结语
金融业是投资利益和投资风险的统一体,在给金融消费者带来投资回报的同时,也蕴含着投资风险和消费信息的安全风险。在大数据时代,信息即是抢占先机的重要因素,信息安全也因此受到我们的关注。只有切实从消费者的角度出发,金融消费者的信息安全才能得到有效保障。
参 考 文 献
[1]中华人民共和国国家工商行政管理总局.侵害消费者权益行为处罚办法:第11条[Z].2015.
[2]中国科学技术法学会,北京大学互联网法律中心.互联网企业个人信息保护测评标准[Z].2014.
[3]全国信息安全标准化技术委员会.信息安全技术公共及商用服务信息系统个人信息保护指南[Z].2013.
[4]齐爱民.个人信息保护法研究[J].河北法學,2008
(4).
[5]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报,2012(3).
[6]刁勝先.论个人信息的民法保护基础——兼论个人信息、民法保护的精神利益与物质利益[J].蒙古社会科学,2001(8).
[7]中华人民共和国主席令第七号.中华人民共和国消费者权益保护法[Z].1993.
[8]齐爱民、李仪.论利益平衡视野下的个人信息权制度[J].法学评论,2011(3).
[9]羊凯.中国民间金融的自律监管体系构建[D].成都:西南财经大学,2012.
[责任编辑:高海明]