大数据背景下金融隐私权的保护

2019-09-03 05:03黎四奇苗羽亭
财经理论与实践 2019年4期
关键词:隐私保护大数据

黎四奇 苗羽亭

摘要:大数据时代,金融隐私所包含的个人信息已经成为重要的资源和财富。在享受大数据、云计算带来便利的同时,我们也不得不面对其所带来的负面效应,包括但不限于信息被秘密收集、二次利用等新问题。目前,我国有关金融隐私权的保护尚未建立一个完整的法律体系。因此,为保护金融隐私权,需确立金融隐私权的基本概念,明确和强化金融机构隐私保护的义务和责任,完善金融隐私侵权的救济机制。同时,亦可考虑引入选退保护模式。

关键词:大数据;金融隐私权;隐私保护

中图分类号:DF438文献标识码:A文章编号:1003-7217(2019)04-0151-05

近些年,大数据浪潮席卷全球,数据成为企业重要的生产要素和战略资源。由于金融业本身就是基于数据与信息的产业,作为现代经济的核心,敏锐的金融行业正在积极引入大数据技术,例如花旗银行运用IBM沃森电脑为财富管理客户推荐产品。金融行业数据丰富,通过对客户个人信息、交易信息、资产信息收集和整理,再结合外部数据分析,能有效帮助金融行业精准营销、优化服务、创新产品。然而,创新是一柄双刃剑,大数据在给金融行业造就机遇的同时,也使得其客户的金融隐私保护面临严峻挑战。在凡物皆可数的大数据语境下,构建金融隐私权法制保护体系对于未来金融发展具有重大意义。

一、金融隐私权的界定及实践需求

(一)金融隐私权的界定

金融隐私权是隐私权在金融领域的延伸和扩展。美国沃伦和布兰代斯发表的《论隐私权》使“隐私权”首次进入理论视野,该文第一次将“隐私权”表述为一种民事权利。在我国《侵权责任法》出台以前,隐私是作为一种民事权益存在的。“隐私具有独立自主性,建立一个维护人尊严的防御墙,使个人得有所保留,对抗外力干预。”[1]最初含义是指个人的私生活不被打扰的权利。就该角度而言,隐私权体现的是精神利益,以维护人格尊严和自由为目的,一般不具有财产属性。因此,隐私权表现的是一种消极、被动的静态权利,只有在遭受侵害或者确认侵害发生时才能行使请求排除妨害、赔礼道歉、损害赔偿等救济途径。

随着信息技术的发展,数字空间、虚拟空间逐渐成为人们生产生活的“第五空间”。大数据、云计算、物联网等新兴技术的普及和应用,使个人在网络空间的行为均能留下“数据痕迹”。个人的数据信息以几何速度增长并被大量累积,隐私信息也逐渐以数据的形式表现出来。“信息隐私权”概念由此兴起。所谓“信息隐私权”是指公民对其私人信息所享有的控制支配权。根据权利意义所指,在没有通知权利人之前,不得将数据信息用在约定目的之外的地方。“信息隐私保护不仅仅在于讨论‘谁掌握信息,而是对于科技数字的运用,相当程度上改变了自我实现与自我定位的方式,也深刻地影响了个人与个人之间,以及个人与群体之间的互动关系。”[2]

不仅如此,当数据的收集、存储、控制、传播能力空前提升时,信息隐私权也表现出更加积极的因素。“现代社会中财产权范围的不断扩大,人格权与财产权的权利边界趋向模糊,表现出了你中有我,我中有你的发展态势,这一现象称为人格权的商品化。”[3]尤其是金融与互联网的结合,使得金融主体和金融服务提供更加多元化,隐私权的客体进一步扩展,出现了“金融隐私权”。目前,金融隐私权所包含的隐私信息可归纳为以下几个方面:一是有关身份的信息,包括姓名、身份证号、手机号等能识别出具体身份的信息;二是有关账户的信息,包括金融消费者在金融机构所开立的账户存款信息、交易信息以及消费投资偏好等意向性信息。因此,金融隐私权是指对其所拥有的的金融资产信息、信用信息所享有的控制支配权。与传统隐私权、信息隐私权相比,金融隐私权属于商事范畴,兼具经济价值和人身利益。

“金融隐私权的兴起意味着私法本质上是一个开放的权力体系,既包括了对新的法律形式的包容,也赋予了当事人组合私权的自由。”[4]“对新的权力形式和权力组合给予确认,正是私法开放性和现代性的体现。”[5]金融隐私权的核心在于对个人金融信息的控制支配,其实质在于:“信息持有者不仅是其信用信息产生的最初来源,也是其完整性、正确性的最后核查者,还是其信用信息适用范围的参与决定者,所以必须赋予信息持有者对其信息主动控制支配的权力。”[6]

(二)金融隐私权保护的实践需求

1.金融机构与金融消费者信息不对称。

随着生产力的提高,社会分工更加明确,互联网信息技术与金融的融合大大促进了金融业的发展。与此同时,金融机构庞大复杂的结构体系和完善的运行功能使得金融机构在交易过程中占据了主要地位。金融机构为了减少风险、使交易利益最大化,要求客户在接受其提供的服务时,必须同意金融机构所提供的格式合同内容,地位不平等性由此可见。另一方面,金融机构利用收集到的信息与第三方机构、非相关第三方机构进行共享。比如客户上午在银行刚贷款,下午就会有保险公司打电话询问是否购买保险,客户信息泄露,严重的将会损害金融客户的合法权益。由此可见,金融消费者在這场金融交易中处于弱势地位,其合法权益维护掌握在金融机构手中,不能完全自决,长此以往,金融市场主体博弈格局终将失衡。

2.财产权属性是金融隐私权发展的内生因素。

金融隐私权之所以被独立出来,是因为它具有不同于一般隐私权的特征。如前所述,一般隐私权是指精神权益,而金融隐私权不仅包括一般人格权,而且自带财产权属性。在信息时代,金融消费者在交易过程中涉及到的姓名、性别、年龄、身份证号、工作、兴趣、爱好等被大数据整合,分析得到的二次数据具有更高的商业价值,能为商业机构和金融机构提供决策性依据或者增加交易机会。当个人金融信息在市场上流通带来交易机会的时候就具有了财产属性。因此,金融信息如果被不法分子收集、出售、利用,金融消费者的精神权益不仅会遭受侵犯,其财产权益也不可避免受损。若没有专门的金融隐私权法律保护体系,则保护的范围过于狭窄。“只有扩充金融消费者隐私权的内涵,由被动的防御机制转化为主动的控制支配,才能更加科学、有效地保护金融消费者的隐私权。”[7]

3.科学技术进步是金融隐私权发展的客观原因。

大数据应用随着计算机网络的发展逐渐成熟,金融机构通过大数据分析、处理收集到客户信息,并据此作为营销、优化服务的数据支撑,为重大决策提供数据支持。金融消费者虽然可以便捷地利用网上操作完成金融交易,但由于计算机系统的脆弱性以及金融服务机构线上系统的固有缺陷,一旦一方被从内部或者外部突破,都有金融隐私泄露的风险。比如2008年林某出售个人信息罪一案,被告人林某作为被派遣到银行担任信息技术管理部员工期间,利用维护数据的工作便利,非法提取、复制了850万余条该银行内部存款信息和85万余条电子银行客户信息[8]。同时,金融业尤其是银行业所掌握的数据和信息拥有巨大经济价值,使得银行业近年来成为网络攻击的重点目标。据报道在2018年5月,加拿大蒙特利尔银行和帝国商业银行被网络黑客攻击,导致近9万名客户的数据被窃取[9]。可见,当金融机构掌握的信息逐渐以数据的形式展现出来的时候,严格把控外部风险、确保数据安全可控成为金融机构的重要责任。

二、我国金融隐私权的现状和问题

(一)我国有关隐私权的现有规定

我国对于金融隐私权的保护零散地分布于民法、行政法、刑法各法条之中,相关表述较为原则和粗陋。在大数据背景下,金融发展异常迅速,至今仍未出台一部专门针对金融隐私权的法律法规,这难以有效保障金融消费者的合法权益。

隐私与个人信息是被包含与包含的关系,其中个人信息内容涵盖更加广泛,包括但不限于自然人的姓名、住址、通讯电话、犯罪记录、财产记录等。我国在《民法总则》中首次确认“个人信息”作为民法保护的客体,但尚未确立“个人信息权”,事后救济仍然是个人信息保护的主要方式。《侵权责任法》作为事后救济的主要法律,侵犯消费者个人一般信息、隐私信息都可参考此法要求其停止侵害、赔偿损失等。此外,《民法总则》第111条、《消费者权益保护法》第29条、第50条、《关于加强网络信息保护的决定》第1条和《网络安全法》第41条等对于信息的收集、使用等也都有了明确的规定。同时,中国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》亦立足于我国现有制度的建设情况,并借鉴国外个人信息保护的有益经验,围绕个人信息处理的周期,针对各类组织提出了针对性的保护要求。

保密义务规则是银行作为信用机构通过判例和法律的形式所确立的规则。1992年由国务院发布的《储蓄管理条例》(以下简称《条例》)是我国最早记载有关隐私权保密义务的法规。其中,第32条规定“储蓄机构及其工作人员对储户的储蓄情况负有保密责任”。之后,1995年的《商业银行法》延续为存款人保密原则,要求在法律规定之外,不得允许任何单位、个人查询、冻结和扣划个人存款。此外,该法第53条特别规定了银行在职人员不得泄露有关国家秘密和商业秘密的信息,否则会被追究刑事责任。但是,唯独侵犯个人秘密没有被提及。如果银行职员利用职业便利窃取个人信息,则很难依据现行法律追究其责任。而且,《条例》和《商业银行法》关于保密的内容规定过于笼统。从实践来看,银行保密内容包括客户账户信息、客户交易信息以及在工作过程中获得的其他信息。上述法规保密内容规定不细致,必然使得司法执法机关和有关的银行业监管者面对侵犯个人秘密事件时缺乏可执行的依据,自由裁量空间过大。

为了更好地保障存款人的合法权益,《个人存款账户实名制规定》和《人民币结算账户管理办法》在保密内容上进行了补充,除但书外,不仅要求金融机构不得泄露和提供个人存款账户信息,而且金融机构有权拒绝任何单位和个人查询、冻结、扣划个人在金融机构的款项。此外,《证券法》《保险法》对于参与金融活动的个人信息也进行了多处规定。比如《证券法》第44条规定:“证券交易所、证券公司、证券登记结算机构必须依法为客户开立的账户保密”。第147条对于个人信息的保存,要求任何人不得隐匿、伪造、篡改或者毁损。该法虽然制定了较为详细的违法惩罚措施,但依旧没有明确证券公司以及从业人员泄露隐私信息应承担的法律责任。《刑法修正案(七)》非法泄露个人信息犯罪中规定了有关金融单位的工作人员不得非法出售或提供给他人所获得的公民个人信息,否则情节严重的,“处三年以下有期徒刑或者拘役,并处或者单处罚金。——单位犯前两款罪的,对单位判处罚金,并对直接责任人员和其他主管人员,依照该款的处罚规定处罚。”我国刑法首次将金融业经营者及其工作人员违规出售、提供公民个人信息纳入其保护范围,既明确其刑事责任,又可谓对金融消费者隐私权的保护提供了保障。

信息科技和大数据技术的发展和广泛应用,使得“互联网+金融”的模式对保护金融隐私提出了更大的挑战。比如,為应对线下条码(二维码)支付乱象频发,2014年央行紧急下发《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》。此举对维护支付体系稳定和保障客户权益提供了有力的帮助。同时,央行发布的[2015]43号文《非银行支付机构网络支付业务管理办法》对支付机构的客户管理和业务管理进行了具体的规定,加强监管、制定详尽的措施有效保护客户信息。此外,针对银行业务数据化的迅猛发展,中国银保监会发布的[2018]22号文《银行业金融机构数据治理指引》严格划分数据安全等级,明确访问和拷贝的权限,对数据采集和应用标准进行了规定,并且要求银行业所涉及的个人信息数据,应遵循国家个人信息保护法律法规要求。实际上,这也表明监管者已在一定程度上将客户信息安全问题正式纳入了被监管机构的合规要求中。

(二)金融隐私权保护存在的问题

金融隐私权是传统隐私权内涵的延伸,在信息网络和大数据背景下,衍生出诸如具有财产权属性等一系列新的特征。目前,国外尤其是欧美国家较早注意到金融隐私问题,已经形成较为完备的法律保护制度。反观我国立法实践对于金融隐私权的态度,金融隐私权不仅在法律体系没有准确的定义,也没有相关专门的法律体系予以有效保障。如今大数据可以整合越来越多的个人信息,侵犯金融隐私权的行为越发频繁,总体来说,我国金融隐私权保护问题主要存在以下几个方面:

1.金融隐私权法律保护制度不统一。

我国关于金融隐私保护起步较晚,也因此相关法律规范并不完善,与之相应的法律规范大多集中于《民法总则》《侵权责任法》《信息安全技术个人信息安全规范》《保险法》《证券法》等一般性法规中,立法碎片化问题突出。法规之间缺乏相关性、系统性,内容原则化,缺乏实际可操作性。当发生金融隐私侵权的案件时,按照现有规章制度,不能有效保障金融消费者的合法权益,2015年“刘春泉诉中国工商银行股份有限公司上海市分行侵权纠纷案”一案可体现这一不足。一审法院认为“工行上海分行有义务妥善保管该信息,并在合理限度内适当地利用其所获得的个人信息”“工行上海分行单方面制定的退订方式不合理地限制了刘春泉的权力,加重了刘春泉的义务。……工行上海分行超出合理限度利用其掌握的刘春泉手机号码向其发送商业信息,因查看及删除上述信息,刘春泉的个人生活安宁受到打扰,工行上海分行的行为侵犯了刘春泉个人信息受保护的权力,应承担侵犯一般人格权的法律责任”。而二审法院持不同的观点,二审法院认为工行上海分行发送商业信息的行为虽有瑕疵,但程度尚轻,在法律层面对此行为惩罚过于严苛。最终,驳回了刘春泉的全部诉讼请求。可见,实践中对于金融隐私侵权的认定标准不统一。我国有关金融隐私的保护散布在各法律条文之间,且没有具体定义何为金融隐私权,金融隐私权的客体包含哪些,这对于金融隐私权的准确定性具有重要的影响。

2.金融机构内部保密机制不完善。

科技与金融的融合,促进金融业更快、更好地发展,但信息被盗窃等不良影响也深刻影响着金融业的创新。例如2015年,中信银行支行两位保安员工利用系统内部漏洞,大量窃取征信数据,倒卖个人征信信息[10]。此类非法获取金融信息的案件层出不穷、屡禁不止。更有甚者,银行行长也参与到征信信息倒卖的违法犯罪行为中[11]。这一方面是由于银行缺乏严密的管理系统,致使一般人员可以盗取信息;另一方面是由于金融机构在进行业务合作时,不合理共享金融消费者的信息,比如银行将客户个人信息共享给合作的保险证券机构,致使消费者经常收到陌生电话的骚扰。种种原因都将会造成客户财产受损,因此必须重视金融隐私权的保护,在相关方面明确金融隐私侵权责任,加大金融隐私侵权成本,以规避银行内部风险所造成的金融消费者资金受损风险。

3.金融机构数据处理存在瑕疵。

金融创新着重利用金融信息的财产属性。一方面,金融机构对数据的分析主要以经济利益为目标。大数据的特色是通过将原本为特定目的收集的金融消费者信息加工整合形成新的数据价值,并加以利用。这些“碎片化信息”本身很少涉及消费者的财产隐私,而且又是在消费者知悉同意的情况下收集,有可能并不构成隐私侵权。另一方面,金融机构利用收集到的信息重新定位消费者价值。通过采集的信息进行数据处理、转换、人工智能等数据挖掘技术,找出最优价值客户。同时,分析优质客户的共同特点,挖掘流失客户的共同原因,有针对性地进行营销培养[12]。鉴于我国主要是从人格权的角度保护隐私,金融隐私也不例外,但却忽视了金融隐私具有较大的财产属性。因此,利用大数据进行的金融创新对传统金融市场提出了挑战,金融隐私保护应当利用好大数据思维,进行前瞻性考虑,充分认识到金融隐私作为财产的重要体现,完善相关立法。

三、完善金融隐私权保护的路径选择

(一)完善金融消费者隐私权立法

当前,随着金融主体和方式不断创新,世界各国越来越重视金融隐私权立法的发展。尤其是欧美国家,已经形成了一套相对完备的保护金融隐私权的法律体系。例如,美国先后出台了《银行保密法》《金融隐私权法》《金融服务现代化法》等法案,对政府机构获取个人金融隐私信息设置权限,进一步完善对金融隐私权的保护。英国的《消费信贷法》和《数据保护法》为保护金融隐私权提供了法律保障[13]。纵观域外立法经验,我国应当重视金融隐私权立法理念,着手构建金融隐私权立法体系:一是在我国《民法典》中明确金融隐私权的法律地位;二是借鉴欧美经验,立足我国法治实践,采取统一立法模式,拟定一部专门针对金融隐私权的法律规范,明晰金融隐私权内涵,有效保护消费者的合法权益。

(二)明确金融机构的义务和责任

金融机构对于保护金融隐私权承担着更大的责任和义务。信息是金融的生命,金融机构在收集信息时应当秉承着合目的性原则,依法、合规收集金融信息。大数据时代,金融混业经营成为发展趋势。为提高运行效率,金融信息在不同机构之间传递、共享。为应对金融机构共享信息导致的风险,以及利用大数据所形成的二次信息利用侵犯消费者金融隐私权,应当制定严格的保护规范。另外,为保障金融信息安全,金融机构理应建立良好的数据存储空间,保障其安全。同时,有必要构建金融信息更新机制,保证信息的及时性、准确性和有效性。有关保护金融隐私的专门机关,在监管条例中应当明确金融机构在没有尽到隐私保护义务时应当承担的法律责任,不仅是行政责任,也应包括相应的民事责任和刑事责任,促进三种责任一体化,制定更加详细的处罚措施,加大处罚力度,增加违法成本,充分保障金融消费者的金融隐私权。

(三)引入隐私权保护模式

隐私保护在数据利用越来越充分的信息社会变得愈发重要。金融机构收集到的信息在相关第三方机构之间互通互享,比如蚂蚁金服集团为了向用户提供更加完善的服务,在《蚂蚁金融隐私权》中明确规定:“我们会在蚂蚁金服内部以及包括阿里巴巴集团旗下公司在内的第三方共享您的交易信息”,并且还规定“为维护蚂蚁金服及阿里巴巴集团旗下公司和其他蚂蚁金服用户的合法权益,蚂蚁金服有权共享信息”。不仅蚂蚁金服如此,在金融混业经营和集团化趋势影响下,为降低经营成本和风险管理成本,客户信息共享成为必然的选择。为了有效规避信息共享侵权风险,有必要强化用户参与,在隐私条款设定时赋予用户更多的话语表达权和行为选择权。

英美关于金融隐私权保护模式大体分为两种:“选择进入”和“选择退出”。学界对此两种模式也引发了一阵讨论,比如金融机构运行的成本、消费者获得金融服务的便捷性以及是否有利于金融隐私权的保护。目前我国并没有隐私权保护的任何模式,根据实际情况可以借鉴“选择进入”或“选择退出”。比如根据金融混业经营的需要,在集团内部之间适用“选择退出”模式。即除非消费者明确选择退出,否則视为同意信息在集团内部自由流通、分享,以此减少金融经营者的运营成本。在集团外部适用“选择进入”模式,即除非消费者明确同意分享信息,否则不能够与外部第三方机构共享,以此充分保障客户的金融隐私权。

猜你喜欢
隐私保护大数据
基于层次和节点功率控制的源位置隐私保护策略研究
关联规则隐藏算法综述
大数据环境下用户信息隐私泄露成因分析和保护对策
大数据安全与隐私保护的必要性及措施
社交网络中的隐私关注及隐私保护研究综述
大数据时代的隐私保护关键技术研究
大数据环境下基于移动客户端的传统媒体转型思路
基于大数据背景下的智慧城市建设研究