张可法
(兰州财经大学 马克思主义学院,甘肃 兰州 730020)
个人信息属于人格要素,有其明确的内涵和外延,可以为他人行为设定禁区,也可以成为一项具体人格权。我国《民法总则》第111条因没有提到“个人信息权”字样,引发颇多解读。该项权利属于绝对权,承认和加强对个人信息权的保护不会带来信息交流的停滞,大数据时代个人信息的财产利益属性是数据财产权的前提和基础。尤其在我国互联网金融应用中注《中国网民信息安全状况研究报告》显示,截至2016年末,通过互联网理财的网民共计9890万人,使用网上支付的网民为4.75亿人,互联网支付累计交易额约44万亿,互联网众筹约400亿。,全球化的“大数据”产业伴生的是对个人信息的滥用与传播,个人信息的“黑色产业链”侵权现象屡见不鲜注如“徐玉玉案”就是由于个人信息被泄露和滥用进而引发电信金融诈骗的典型案例。该案被告人杜天禹通过植入木马方式,非法侵入山东省2016年普通高等学校招生考试信息平台网站,窃取2016年山东省高考考生个人信息64万余条,并对外出售牟利,陈文辉等人使用所购的上述信息实施电信诈骗,拨打诈骗电话1万余次,骗取他人钱款20余万元,造成山东省临沂市罗庄区考生徐玉玉死亡。,大数据背景之下金融个人信息的保护甚为堪忧。
个人信息的法律性质如何界定,法律又当采取何种手段保护个人信息?这些疑问相对于学界已经达成共识的个人信息具有“可识别性”本质特征而言,学界众说纷纭。否定说认为个人信息在法律上不能成为民事权利的客体,因为他在技术或物理上无法控制,缺乏“权力外观”而无法为他人介入行为设定权利禁区[1]。所有权说认为个人信息是特殊的物权客体,是一种无形财产或无体物[2]。隐私权说强调个人信息属于信息隐私,如美国在立法中采用了信息隐私的概念,日本更是将隐私权概念从传统消极的私生活安宁权演变成为具有积极意义的信息隐私权[3]。一般人格权说认为个人信息系一般人格权要素,个人拥有信息自决权。人格权兼财产权说则认为个人信息既是人格要素,也是财产要素,强调个人信息权既是人格权也是财产权[4]。具体人格权说认为个人信息权是一项具体人格权[注]王利明持此观点,认为个人信息权与隐私权存在种种差异,个人信息权既然不能被隐私权完全涵盖,故应该独立。参见《论个人信息权的法律保护》,载于《现代法学》2013年第4期。,区别于一般人格权,不应该寄居于隐私权。我国在立法实践中《侵权责任法》已经认可隐私权是具体人格权,《民法总则》设有“个人信息”单独条款,且与《民法总则》中“人格尊严”的规定做了区分。
在保护个人信息方面,传统的司法路径之所以存在困境,原因在于隐私权与个人信息的性质比较特殊。目前对个人信息主张司法框架保护的观点得到了许多学者的认同。从比较法上看,域外的立法经验是隐私权经历了从隐私权到个人信息权的演变,并且都采用了司法保护模式,美国和德国即如此[注]美国“社会的发展和学说的跟进,在私法领域内隐私权被赋予了更加丰富的内涵,扩充为信息隐私权、空间隐私权和自我决定的隐私”,随后美国的隐私权体系从防御性体系向进取性的权利发展,强调主体对自身信息的支配、控制和决定。参见杨惟钦《价值维度中的个人信息权属模式考察—以利益属性为切入点》,载于《法学评论》2016年第4期,第68页。,先以私法方式对个人信息法律性质予以界定,然后将隐私权归入人格权的范畴并加以保护。德国等一些欧盟国家的私法都曾将隐私权归入人格权的范畴,以私法的方式保护隐私权益。也就是说德国等欧盟国家对个人信息法律性质的界定都经历了由隐私权到个人信息的转变。中国在2009年《侵权责任法》第2条中明确了隐私权的私法权益,将隐私权纳入人格权范畴;2017年《民法总则》第110条中确认了自然人享有隐私权,第111条规定了个人信息受法律保护。大数据时代加强个人信息权的私法保护是大势所趋。为更好地保护个人的隐私权益,个人信息权有必要明确下来,确定个人信息权的边界。我国目前对隐私权的保护属于碎片式的立法保护,大多数法律法规只针对特定行业的个人信息,偏重于宣示性的义务设定,权利义务和责任都没有系统规定。因此,需要从私法上厘清个人信息的法律地位,强化个人信息的私法保护,促进私人个体有动力和积极性维护自身利益。
由此可见,在实践方面,个人信息的法律保护是沿着隐私权保护到个人信息保护的路径展开的,始终保持私法保护的主航道。从大数据时代的国情而言,加强个人信息的私法保护是必然更是应然。
美国1999年颁布的《金融服务现代化法案》定义金融消费者为个人、家庭成员或为家务目的而从金融机构得到金融产品或服务的个人[5]。判断一个主体是否为金融消费者,应该从以下几个方面进行考量:首先看购买金融产品的目的是为了满足个人和家庭的生活消费还是为了资产的大幅增值;其次从购买金融产品的主体出发,法人或其他组织购买金融产品或服务的行为可界定为投资,个人购买则界定为消费,若是企业为员工购买保险则仍界定为金融消费;三是从购买主体的知识结构看,投资者一般会具有相对专业的知识,而消费者只是为了满足个人和家庭生活的需要[6]。我国2015年5月颁布的《中国人民银行金融消费者权益实施办法》明确规定:“本办法所称金融消费者,是指在中华人民共和国领域内购买金融机构销售的商品,或者接受金融机构提供的金融服务的自然人。”[注]《中国人民银行金融消费者权益保护实施办法》第二条规定。但目前学术界对金融消费者的界定还存在分歧:一为是否完全坚持《消费者权益保护法》对消费者界定时所限定的“生活消费”的目的性标准;二是金融消费者的外延是仅限于自然人还是既包括自然人也包括法人和非法人组织;三是金融消费者的界定是否引入专业性标准[7]。个人金融信息一般是指个人在银行、证券公司、信托投资公司以及保险公司等金融机构有关交易记录以及因此提供的个人资料,包括个人的银行卡及信用卡账号、存取款情况、贷款和还款情况、信用消费和支付情况,以及证券交易账号、所持证券品种及交易记录,信托产品及交易记录,所投保险及保险费缴交情况、保险金额、保单价值等。
信息社会的危险从隐私的泄露发展到信息被预知的可能性,对数据资源量的掌控差异影响着财富的分配[注]所谓“被预知的可能性”,即能够预测我们可能生病、拖欠还款和犯罪的算法会让我们无法购买保险,无法贷款,甚至实施犯罪前就被预先逮捕。参见张家林《证券投资人工智能—人工智能时代财富管理变革》,中国经济出版社,2017年版,第179-180页。。由于数据库审计、风险评估等用户和数据安全保障的篱笆扎得不紧,在激烈的市场竞争中,金融企业为了多抢客户,过度收集个人信息、擅自披露个人信息甚至非法买卖个人信息。金融消费者数量众多,社会差异性大,收入较低和受教育程度较低的金融消费者难以了解相关金融产品和金融服务,金融机构从掌握信息资源优势和经济利益出发,将资源配置过度向中高端客户倾斜,忽视了对弱势金融消费者的权益保护。买卖个人银行卡信息事件频频发生,既暴露了银行员工的道德风险和违规牟利因素,也说明金融机构作为金融消费者和受益者在信息安全保护方面存在严重缺位。我国《民事诉讼法》第64条及相关司法解释规定,金融信息受害人负有证明自己主张的举证责任,司法实践中由于金融信息的出售和泄露行为具有隐蔽性,一旦发生信息泄露甚至引起损失,金融消费者举证艰难,维权能力更是有限。
2013年4月,日本富士通公司建立了自己的“大数据”交易市场(Data plaza),并将交易中介服务培育为主力业务之一,计划在2016年之前将参与企业增至千家左右,2018年基本实现服务大中型企业全覆盖。2015年2月,我国工信部将贵阳正式列为全国唯一的大数据产业发展试点示范区,同年4月14日全国首个大数据交易所——贵阳大数据交易所正式挂牌运营并完成首批大数据交易[8]。我国《合同法》第130条规定:“买卖合同是出卖人转移标的物的所有权于买受人,买受人支付价款的合同。”[9]75在大数据买卖合同中,标的物是“数据”,因此可以推断大数据具有财产性,否则将不会存在买卖关系[9]75。
金融个人信息具有人格和财产双重属性。按传统理论,现代个人信息保护重在隐私的个人人格权保护,但美国学者舍恩伯格认为应该改变当下以隐私伦理个人为中心的观念,转向以数据收集者和使用者的责任为中心的保护模式。舍恩伯格的观点涉及大数据时代个人信息保护的两个维度:一是基于个体的权利伦理维度;二是基于总体(数据收集者以及使用者)的责任伦理维度[10]。诸如阿里小贷以电商平台所获取的用户信息为主要支撑,对淘宝商户在平台中产生的交易、信用等信息进行分析,引入风险分析、资信调查模式,得出用户的信用评价,据此证明借贷人的信誉对其进行小额贷款,其中所涉及的交易信息、商户个人身份信息以及所形成的信用评价等皆为互联网金融中的个人信息[11]。由此进一步证明了金融信息的价值属性,也说明金融个人信息保护刻不容缓。
关于金融消费者提供个人信息后金融机构与个人金融信息之间存在怎样的关系,学界观点认为:一是所有权转移,认为信息从金融消费者提交给金融机构开始就完成了所有权的转移,从此信息归属于金融机构,金融消费者对其再无权利[12];二是“保管”关系,金融消费者为了享有金融产品及服务而提供自身的信息,金融机构只是将这些信息作为加密手段或是金融产品的附属品予以保存[13];三是准“委托—代理”关系[注]准“委托—代理”关系与传统“委托—代理”关系最大的区别在于作为委托人的金融消费者授权作为代理人的金融机构并非出于自身利益考量,而是为了充分发挥信息利用价值的制度利益。而作为被委托人的金融机构,则是在消费者授权下加工、使用消费者个人信息,必须要做到不伤及委托人利益,并充分保护其知情权。张继红《论我国金融消费者信息权保护的立法完善——基于大数据时代金融信息流动的负面风险分析》,载于《法学论坛》2016年第6期。,即信息的部分权能被委托给金融机构予以行使,信息的利用价值被开发,使金融机构不仅仅保管信息还能对信息进行分析和加工。仔细分析不难发现以上观点存在理论上的缺陷。其一,所有权转移观点中金融消费者个人不存在意思表示将个人信息让与金融机构,核心意思不明确,所有权转移不成立。其二,按照合同法上保管权利义务关系,寄存人只转移保管物的占有给保管人,而不转移使用和收益权,即保管人仅有权占有保管物但不能使用保管物,且保管人负有返还保管物义务。其三,委托代理关系中的核心是委托的法律后果归委托人,金融机构主要提供金融产品或服务给金融消费者,金融信息的提供是一种辅助行为,本身不产生相关后果,因此委托代理关系也不成立。承前所述,笔者认为金融业经营者与消费者之间建立的交易关系(提供金融产品和服务)实质为合同关系,金融机构对金融消费者信息合理利用及保密是金融消费合同中的附随义务。附随义务的理论根基源自诚实信用原则,具有不确定性、从属性、辅助性等特点。从消费角度而言,金融合同在缔结、履行及合同关系结束后,金融机构应承担注意、告知、协助、保密、保护和不作为等附随义务,违反附随义务的要承担相应的法律责任。
互联网金融背景下,损害金融个人信息安全的表现形式五花八门,主要手段包括黑客侵袭、病毒木马攻击、系统漏洞、诈骗网站、假冒网站、垃圾诈骗短信等,个人金融信息屡受侵害,如各种类型的互联网金融业态、各种交易媒介形式频繁发生的恶性信息泄露事件。在大数据运用技术中各家网络企业对数据的渴求度极高,加速了“黑产数据”的流通,用户的隐私和信息公然成为贩卖品,在黑市上肆无忌惮交易已经形成一整套泄露信息的黑色产业链,违法犯罪活动猖獗。遗憾的是目前尚缺乏有效的网络技术和法制环境进行有效治理[14]。
目前,我国对个人金融信息保护的立法分散在不同的法律法规和规章中,主要有《民法通则》《商业银行法》《保险法》《证券法》《反洗钱法》《刑法修正案(七)》《个人信用信息基础数据库管理暂行办法》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等。2005年中国人民银行出台了《个人信用信息基础数据库管理暂行办法》,对个人信用信息的报送、整理、查询、异议处理等作了规定。2012年国务院通过了《征信业管理条例》,规定了征信机构的设立条件、业务规则和监管规则。这两个规范性文件主要涉及征信信息,尚未扩及个人的全部金融信息。为了加强个人金融信息保护,中国人民银行分别于2011年和2012年发布了《关于银行业金融机构做好个人金融信息保护工作的通知》和《关于银行业金融机构进一步做好客户个人金融信息保护工作的通知》,对个人金融信息进行了列举式界定,并且对金融机构的金融信息保护行为作了比较具体的列举。此外,我国《反洗钱法》和国务院颁布的《个人存款账户实名制规定》、中国人民银行与中国银行业监督管理委员会等部门联合发布的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、中国人民银行发布的《银行卡业务管理办法》等法律法规和规章中也对金融信息保护有零星规定。但现有规则缺乏系统性,效力层次较低,未能在法律层面解决金融机构的信息安全保护义务及其伴随的损害赔偿问题,个人金融信息私法保护仍困难重重。
当前,我国关于个人信息保护的民事立法比较分散,且个人信息主体的权利义务及民事救济规定碎片化,难以形成完备的民法保护体系,更不能为互联网金融民事维权提供有效、全面的法律依据。我国虽出台了一些规范性文件和法律法规,如《网络安全法》《征信业管理条例》等,其中也包含了个人信息保护的部分条款,但主要调整的不是个人信息民事法律关系,民事维权的可参考性并不大。此外,法律具有滞后性,现有法律未能符合信息时代特性,难以解决多变、复杂的个人信息侵害事件,对个人信息的法律规定难以涵盖互联网领域所涉及和将要出现的各类型个人信息,对于此类关乎个人民事权益的信息确需提供法律保护之时就会出现立法空白。可以说,我国个人信息民法保护还处于立法初期,个人信息也仅在《民法总则》出台后才正式作为一项民事权益登上民法保护的舞台,现行法律中关于“个人信息”的定义尚不明晰,《民法总则》《侵权责任法》等相关法律法规并未对“个人信息”的概念、范围进行规定,其他部门法中虽存在“个人信息”概念、范围条款,但不同法律部门的立法目的不同可能会导致对“个人信息”的保护范围不同,且现有的不同法之间规定尚未统一。我国《商业银行法》第73条的保护对象是存款信息,《反洗钱法》第5条的保护对象是金融机构基于反洗钱职责而获得的客户身份资料和交易信息,《征信业管理条例》和《个人信用信息基础数据库管理暂行办法》主要保护个人信用和征信信息安全,这些不同层级的立法并未形成统一的金融信息权概念,不利于确定个人金融信息的法律保护。
司法实践中对于新型的互联网金融业务,如P2P和第三方支付以及不断创新的相关业务,除了信息泄露、信息买卖、信息非法收集、利用个人信息诈骗勒索等固有侵权形态,还可能出现其他新型个人信息侵权类型,但个人信息侵权责任的认定十分复杂,特别是责任主体的确定、侵权责任的归责尤为困难。在互联网金融中,信息的收集、流动会经过多个环节,其中必然涉及较多责任主体,每个环节都可能存在信息泄露、非法使用的风险,不同主体之间的责任需要厘清,而我国现有民法体系中可以作为个人信息有关侵权责任认定的法律规定主要是《侵权责任法》和相关司法解释,前者由于在立法之时我国还未正式将个人信息确定为自然人的民事权益,法条中未有“信息侵权责任”等类似规定,法律滞后导致难以妥善规范实践中层出不穷的个人信息侵权责任;而后者虽是我2012年出台的有关网络侵权的司法解释,但规定的责任主体也主要是网络服务提供者和网络使用者,对于像第三方支付、网贷等互联网金融业务中出现的信息侵权事件,介入人数众多,可能涉及更多侵权主体,若不对责任主体加以细化规定,区分不同主体的主要、次要责任,可能出现责任主体推卸责任,甚至有逃避法律制裁的可能性。此外,我国还未形成完善的侵犯公民个人信息的民事救济机制,救济途径缺乏,对于个人信息侵权主体的责任承担方式以及是否可以进行精神损害赔偿等问题,现有法律规定过于笼统,且大多数个人信息侵权发生在互联网中,侵权主体难以确定,证据收集困难,致使无法满足个人信息民事维权需求。
一般法律仅规定个人信息保护是商业银行的一项义务,而将个人信息纳入个人隐私权、人格权范畴进行充分必要的立法保护各国都经历了较长时间。如美国在1961年即在彼特森一案中通过“默示条款”,确立了银行的保密义务,但1978年在《金融隐私权利法》中将金融个人隐私信息确立为信息主体的法定权利,并围绕该项权利在其后1999年《金融服务现代化法》和2000年《消费者财务隐私保密最终规则》等一系列法律中进行扩充,实现金融信息全面保护。2010年美国颁布了被称为史上最严监管法规的《多德—弗兰克华尔街改革和消费者保护法》,形成了完整的消费者权益保护体系,并随后在对美国银行、花旗银行、德意志银行屡创新高的天价罚单事件中体现出震慑力。2018年在欧盟生效的《一般数据保护条例》致力于构建个人信息保护新秩序,具有个人信息保护里程碑意义。德国实现对个人金融信息权利保护是通过不断扩充人格权来实现的,并通过举证责任倒置、损害赔偿不设上限等立法手段,强化个人金融信息保护的人格权效力。个人金融信息保护由“银行义务本位”转向“客户权利本位”[15]也给我国制定统一的个人信息保护法规提供了立法经验。
我国现行的《民法总则》规定过于原则,最高检的司法解释适用于刑事案件,《网络安全法》只规范线上数据,法律法规层级不够,因此迫切需要制定符合我国国情和大数据时代特征的《个人信息保护法》,确定个人信息保护的立法宗旨和原则,对于个人信息内涵外延、信息主体权利、责任义务主体、信息管理环节、违法行为惩戒等做出明确规定。应尽快修改《中国人民银行法》《商业银行法》《证券法》《保险法》等,明确金融机构保护个人金融信息的义务和法律责任,金融机构更要加强部门内规章立法建设,由此形成以专门法律为核心、其他法律法规相配合、部门规章制度为补充的个人金融信息保护法律体系。
金融机构是金融大数据的载体和存续的直接媒介,在对金融大数据进行收集、处理的过程中,能够获得大量有利于开展金融业务、扩大市场范围、增加营业利润的信息。除了金融机构,大数据技术提供商、金融管理部门和其他接触到金融大数据的主体也应当承担金融信息安全保护义务。金融大数据置于金融机构管理、控制之后,信息提供方实际上已经丧失了对其进行保护的能力,技术提供商、金融中介组织、社会媒体等也往往是通过与金融机构之间的合同安排而接触和使用金融大数据的[16]。首先,有合法收集信息义务。对于金融机构违犯法律规定或者违背客户意志收集个人金融信息的,构成对客户权利的侵犯。其次,有告知或说明义务。在大数据时代,由于数据的价值很大一部分体现在二级用途上,法律应当要求金融机构明确告知客户其收集数据的目的和用途,并且规定履行告知或说明义务不能成为免责事由。第三,有妥善管理数据义务。金融机构应当对金融信息采取适当的数据保密措施,如进行加密处理、数据脱敏等,对于外来风险金融机构应当完善防火墙等技术措施加以防范。第四,有隐私保护义务。金融机构对于金融大数据中涉及客户非公开信息的内容应当予以保护,不能擅自泄露给第三方或者公众。第五,有及时删除义务。对已经失去占有正当性的金融信息,相关主体应当及时予以删除,不能永久占有、使用。
从当前司法裁判结果看,受害人受到侵害后多数获得的仅仅是停止侵害、消除影响等名誉补偿方式,经济和精神赔偿请求往往得不到司法部门支持,尤其是因个人金融信息泄露导致资金损失,除犯罪分子承担刑事责任外,受害人难以获得经济赔偿。我国应当提高侵犯金融信息行为的违法成本,在个人信息保护法中明确规定侵犯个人信息者对其行为所产生损害的经济赔偿责任,在造成受害人精神痛苦的情况下还应进行精神损害赔偿。要设置举证责任倒置规则,由于金融消费者处于弱势地位,除了侵害后果,在侵权行为、侵权行为与损害后果之间的因果关系、主观过错这三项待证事实中,金融消费者举证困难和诉讼成本较高,即便是《最高人民法院关于民事诉讼证据的若干规定》第4条规定了实行举证责任倒置的诉讼类型,也仅包括新产品制造方法专利侵权诉讼、高危作业侵权诉讼、环境污染诉讼、建筑物致人损害诉讼等。根据我国目前的立法和司法解释,举证责任倒置制度的效力范围尚未涉及金融信息侵权案件,金融消费者维权道路依然艰难。
从保护相对人的利益出发,格式合同中对将要订入合同的条款进行提示说明是国内外立法中通行的做法。我国《合同法司法解释(二)》第6条对在格式合同中如何履行提示及说明义务规定了具体的细节:提供格式条款的一方对格式条款中免除或者限制其责任的内容,在合同订立时采用足以引起对方注意的文字、符号、字体等特别表示,并按照对方的要求对该格式条款予以说明,人民法院应当认定符合《合同法》第39条所称“采取合理的方式”。提供格式条款一方对已尽合理提示及说明义务承担举证责任。免责条款作为交易中对合同责任和风险分配的一种方式,在企业确定经营风险、维护企业合理经营方面发挥了重要作用。若双方在自愿的基础上制定的不违反法律禁止性规定和社会公共利益的免责条款,法律是承认其效力的。目前《合同法》第53条规制的只是涉及人身伤害和因故意或者重大过失造成对方财产损失的情形免责无效。建议在立法中规定提供格式条款一方违反公平原则免除其责任、加重对方责任、排除对方主要权利的,该条款无效。对于其他显失公平的条款可变更或可撤销。同时,应明确相应的互联网金融管理部门细化管理职责,杜绝空白地带和“踢皮球”现象,进一步完善监管体系,促进互联网金融健康有序发展。要建立监管规范和统一的监管标准、业务规范,加强信息披露、非现场监管,着手建立互联网金融备付金制度,加强资金流量管控,建立并完善互联网金融数据和电子证据保护、第三方存管体系。只有解决了举证问题,才有可能做好互联网金融消费者的维权保护[17]。
综上,大数据时代金融行业日新月异,个人信息在大数据金融中的隐患也更加的多样化、复杂化,个人信息权益的维护面临严峻挑战,有必要以《民法总则》的出台为契机,加快完善个人信息权的民法保护体系,增设个人信息权民事专门立法,以规范互联网金融中个人信息的处理行为,理顺民事维权途径,全面保护个人金融信息权益。