徐惠丽
(常州大学史良法学院,江苏 常州213164)
互联网新技术不断改变着个人信息的收集、处理和使用方式,对个人信息保护带来挑战,尤其在金融领域更为突出。一方面,金融机构追求利益与消费者维护自我权益相冲突;另一方面,金融机构面临信息披露与隐私保护义务的双向选择。在数据时代,金融隐私和安全与通信隐私同等重要。①如何给予金融消费者的个人信息以特殊、倾斜的保护,已成为当前研究的潮流以及各国立法的重点。
对于权利本质探讨,有“利益说”和“法力说”。叶名怡认为,固有利益是债权人在缔约时的现状利益、整体利益、维持利益。②杨立新认为,某种民事利益,法律规定以权利进行保护的,就是权利;某种民事利益法律予以保护,但未规定为权利者,即为法益。③权利的本质是利益,将特定的利益归类为类型化和有名化的权利,实质是对高阶利益的维护。法益平等保护与法益区分保护争议在于,权利主体、权利内容和权利实现机制的归属功能、排他功能与社会典型公开性,反之则为利益。任何人均负有不妨害权利人实现其权利的义务,权利人可向任何人主张权利,一般不必通过义务人的作为就可实现自己的权利。对于个人信息保护,利益上升,则为权利;利益下降,则为潜在利益。
个人信息具有相对独立性,不附着于债权保护,更不附着于“主物从物关系”的产权保护;个人信息可单独抽离,遵循区分保护原则。《民法总则》对个人信息定性以及个人信息权利的保护路径选择性忽略的原因,可能与权利概念本身的模糊性有关。
1.比较法考察
美国1999年金融现代化法案(GLBA)特别要求所有金融机构制定并实施旨在保护其收集的个人客户信息的书面安全计划;2003年公平准确信用交易法(FACT Act)要求金融机构作为其安全计划的一部分,实施妥善处理消费者信息的办法。④金融现代化法案规定:“每个金融机构都有义务尊重其客户的隐私,并保护这些客户的非公开个人信息的安全性和机密性”。金融现代化法案将“非公开个人信息”定义为:(1)消费者向金融机构提供的信息;(2)与消费者的任何交易或为消费者进行的任何服务所产生的信息;(3)由金融机构以其他方式取得的信息。⑤该法案包括三部分:金融秘密规则,借口防备规定,安全维护规则。金融机构不得在未经通知的情况下将非公开信息转让给非关联第三方,此通知必须包括一项选择退出规定,即消费者个人拥有退出向第三方传输数据的权利。⑥
韩国数据隐私法(PIPA)明确要求数据处理人员通知数据主体以下事项:(1)提供信息的目的;(2)提供给第三方的个人信息项目;(3)信息保留期;(4)数据主体拒绝同意的权利;以及(5)数据主体拒绝同意的损失。如果通知中缺少上述列举的任何一项信息,通知内容将被视为不充分,从而导致数据处理人员与第三方之间的信息共享不合法。⑦
2.权利束的生成
权利本身存在自我更新的特性,具体权利由基本权利衍生,而人身权、财产权被不断赋予新的时代内容,潜在被发展的权利成为象征母权利的“权利束”。⑧个人信息权是既有法律体系中规定的、消费者所拥有的权利集合,贯穿个人信息采集、使用、转让、存储、修改全过程。个人信息内新旧交织的权利,聚合形成了权利束。当权利束中的某项权利被侵害时,权利人可将规定某项具体权利的法律规范作为请求权基础从而得到救济。
(1)数据权
消费者享有数据权,包含自主决定的利益与被遗忘权。自主决定的利益包括:知悉个人数据被收集、被基于何种目的而加以收集以及使用的目的、方式、范围并基于此加以同意的利益。⑨对于超出收集目的,或已经过时(相对于收集目的而言)的个人信息,信息主体享有要求信息控制者立即删除的权利。⑩
(2)信息人格权
信息人格权近似于隐私权,又应当区分敏感信息和非敏感信息,在保护上前者严格于后者。[11]同时,信息人格权也包含名誉权、姓名权等权利。名誉权和姓名权在司法解释层面一定程度的扩张适用,足以补位隐私权概念滞后与社会发展之间存在的权利裂缝。[12]
(3)信用权
信用权覆盖个人基本信息与信用交易信息。民法认为在商品经济时代,信用的法律含义不同于传统道德与经济意义上的信义,而应成为自然人和法人所享有的一项独立的人格权利,信用权以个人信用和企业信用为主要表现形式,并以实现交易中的信用利益为内容。[13]个人信用权包括个人信用保有权、个人信用维护权、请求相应利益权。[14]
(4)个人信息受保护权
消费者享有个人信息免受侵害与方便救济权,有权要求金融机构合理利用并保障个人信息安全,自然人的个人信息受法律保护。侵犯个人信息的违法行为,不仅破坏了信息权利人对其个人信息的控制和支配,同时也侵害了消费者追求的信息稳定安宁。个人信息的收集者与处理者应当采取恰当的措施来防范伴随个人信息收集、储存、处理与流转的风险。[15]
总之,金融消费者信息权融合了以更新删除消极权能的数据权,以知情同意积极权能的信息人格权;以及客观确定的信用权和主观确定的个人信息受保护权。个人金融信息与个人一般信息的区别在于:不仅具有积极身份识别性,同时也具备消极财产指向性,故直接采用人格权保护模式并不可取,因此必须明确个人信息权的边界。
个人信息基于互联网发展大数据分析,分析整合散发出全新的价值。消费者对个人信息除了拥有四项固有权利,还拥有信息利益。该项利益分为三部分,一是让渡于金融机构的部分财产利益,金融机构对这些信息经过清洗加工、脱密脱敏后有权合理使用;二是消费者保留的自用利益,例如信用利益;三是保留在消费者个人信息内未转移、未让渡的潜在财产利益,即中间层利益。个人信息保留的未让渡利益专指消费者隐含的、未利用的财产价值,该部分财产利益隐而不发,因不具有典型公开性而受到较弱保护。消费者让渡部分利益,目的是为了维护信息的总体安宁。
以金融机构视角看待个人信息潜在利益,便是积极的可得利益;而从消费者视角看待,则是消极的不可侵犯利益。信息产权理论的失误之处在于,一是把个人信息看成从物,二是对可得利益的误判;对于消费者个人信息潜在利益,金融机构负有不作为侵权义务。可见,将个人信息潜在利益定义为“可得利益”是金融机构视角下强加的概念。回归消费者本位,强调消费者对个人信息的实质态度:追求信息的稳定与安全,而非信息的利益。但破坏信息的一般的、未让渡的潜在利益,消费者有权追回收益,整个过程遵循损害填平原则。
消费者个人信息进阶形态为权益束,即包含母权利、子权利,积极的、社会典型公开性的外观权利与消极的、隐藏的潜在利益。权益束的性质决定了区分保护模式,权益平衡十分重要。实际诉讼中,可以根据案情对权益束的部分或整体进行选用,以“权益链接”形式方便消费者实施权益救济,即从消极防御到积极主动。
权益链接救济并不否认金融机构违背义务的事实成立,相反,以金融机构违约事实作为举证补充反而更能起到权益救济效果。但考虑到合同法履行利益中的实际损失与预期利益在实务中难以计算,而侵权法确有具体的赔偿标准,消费者权益保护法兼具公私法特性,故应摒弃合同法违约责任与严格责任,以侵权法+消费者权益保护法作为适法依据。
理论上,违反信息保护义务的金融机构一般承担直接责任,例如当发生内部信息侵害、信息错误录入、越权上报与强制上报情形时,金融机构负全部责任,金融消费者有权直接向金融机构寻求权益救济。但实务中存在例外情形,即饱受争议第三人外部侵权的归责问题。《消费者权益保护法》规定,经营者未尽安全保障义务,承担侵权责任。《侵权责任法》规定,发生第三人侵权,未尽安全保障的义务的管理人承担补充责任。
然而,当第三人外部侵权事由发生后,不宜适用补充责任。个人信息的外部侵权,本质是共同因果关系下,第三人作为侵权与金融机构未尽安全保障义务的不作为侵权两个行为共同作用的结果,类似于无意思联络的分别侵权,金融机构与第三人根据原因力大小承担按份责任。承担按份责任的理由如下:一是责任外观符合;二是安全风险较高;三是外部侵权为消费者固有权利损害,非财产损失;四是金融机构与第三人按责分担精神损害赔偿款,利于保护消费者权益。
在确定责任类型后,优化举证责任是金融机构承担民事责任的关键环节。在权益链接的救济框架下,采用过错推定归责原则,实施举证责任倒置,将更多的举证责任推给金融机构,消费者只需提供初步证据,方能彰显权利义务倾斜性配置的作用。例如当消费者已明确提出保密声明的情况下,金融机构仍将有关信息予以披露或者进行不正当使用且不能证明无过错的,意味着金融机构的主观过错要件已经得到满足,无需进一步确认。
信息权益义务的排列组合要求对金融机构设置更为严苛的责任分配原则,且应对金融机构免责事由进行合理限制。过错认定应囊括重大过失,免责事由仅限特定场合的信息提供(例如在诉讼或仲裁提交证据的特殊情形)、不可抗力与金融消费者的重大过错。因此,以上三种情形均应认定为侵权行为,金融机构应承担相应的侵权责任。
按照权利与利益区分保护要求,设置防御性责任体现了民事责任的扩张,而对潜在利益的有限赔偿则体现了民事责任的限制。侵害消费者信息权利,例如数据权、信息人格权、信用权和个人信息受保护权,可对金融机构施加防御性责任;侵害消费者个人信息潜在利益,则以收回金融机构获利为限对金融机构施加损害赔偿责任。
1.防御性责任
关于个人信息的预防性责任措施,也指向停止侵害和消除危险,具体包括更正、停止处理、断链、删除、隐名化等数字加密处理等。[16]防御性责任的轻重取决于金融机构侵害消费者个人信息情节,涉及精神损害赔偿。考虑到实务中金融机构违反个人信息保护义务的普遍严重现象,设置精神损害赔偿责任有助于对消费者个人信息权利止损。与此同时,根据消费者整体性,个体赔偿有时也能发挥示范作用而成为消费群体的部分主张,从而起到督促金融机构履行义务的作用,毕竟金钱付出有时比口头承认更具有说服力与威慑力。应支持金融机构在违反消费者个人信息保护义务且情节严重时承担精神损害赔偿责任。
2.损害赔偿责任
个人金融信息被不当利用,造成的损失应归属于潜在利益损失范畴。金融机构非法利用消费者潜在利益造成消费者损失的,应进行损害赔偿;未能及时补救所造成的损失,应承担加重责任。计算损失时,可借鉴知识产权法中确定侵权赔偿数额的做法,类推适用的计算方式,包括:以权利人的实际损失计算;以侵权人的侵权获利计算;以正常许可费为参照计算;定额赔偿。[17]对于以牟利目的侵害物质性人格权并造成严重后果的,私法赔偿的同时应承担精神损害赔偿责任;而对于侵权人以营利目的利用他人的个人信息权利,精神损害赔偿同时应将获利转归受害人,[18]即遵循获利收回原则。
金融消费者个人信息保护迫在眉睫。从金融机构和消费者不同角度看待,会产生财产收益与信息权益并存现象,并且各自追求的侧重点不同。个人信息本质是权利束,进阶形态为权益束。长久以来,消费者所拥有的数据权、信息人格权、信用权、个人信息受保护权以及信息潜在利益被忽视,而寄希望于金融机构认真遵守规定的个人信息保护义务。信息保护难题的症结在于“信息与财产一体,权利与权益混同”。分离信息与财产,权利与权益,通过保护模式的重组与责任重置,以“权益链接”救济,并将失信金融机构纳入信用规制,方能实现对消费者个人信息的精准保护。
注释
①See McElroy,W.Faith.“Closing the Financial Privacy Loophole:Defining Access in the Right to FinancialPrivacy.”Washington University Law Review,vol.94,No.4,2017,pp.1058。
②叶名怡.违约与侵权竞合实益之反思[J].法学家,2015(3):131。
③杨立新.个人信息:法益抑或民事权利——对《民法总则》第111条规定的“个人信息”之解读[J].法学论坛,2018(1):38。
④See Ketter,Andrew D.“Protecting the Personal Information of Financial Institution Customers and Consumers.”Banking Law Journal,vol.123,no.6,June 2006,pp.484。
⑤See Dunmire v.Morgan Stanley DW,Inc.,475 F.3d 956(2007),pp.4。
⑥See Waggoner,RyanL.“Privacy of Personal Information in the Financial Services Sectors of the United States and Japan:The Gramm-Leach-Bliley Act and the Financial Services Agency Guidelines.”I/S:A Journal of Law and Policy for the Information Society,vol.4,No.3,Winter 2008-2009,pp.891-892。
⑦See Kang,Taeuk,and Susan Park.“Transfer of Personal Information in a Corporate Structural Change.”Journal of Korean Law,vol.17,no.1,December 2017,pp.103-104。
⑧冯源.《民法总则》中新兴权利客体“个人信息”与“数据”的区分[J].华中科技大学学报(社会科学版),2018(3):81。
⑨程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):116。
⑩万方.终将被遗忘的权利——我国引入被遗忘权的思考[J].法学评论(双月刊),2016(6):157。
[11]龙卫球.数据新型财产权构建及其体系研究[J].政法论坛,2017(4):74。
[12]张继红.个人信用权益保护的司法困境及其解决之道——以个人信用权益纠纷的司法案例(2009-2017)为研究对象[J].法学论坛,2018(3):148。
[13]钱玉文.消费者权利变迁的实证研究[M].法律出版社,2011:97。
[14]李新天,朱琼娟.论“个人信用权”——兼谈我国个人信用法制的构建[J].中国法学,2003(5):98。
[15]丁晓东.论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析[J].现代法学,2019(3):109。
[16]叶名怡.个人信息的侵权法保护[J].法学研究,2018(4):97。
[17]刘金瑞.个人信息与权利配置——个人信息自决权的反思和出路[M].法律出版社,2017:204。
[18]郭明龙.个人信息权利的侵权法保护[M].中国法制出版社,2012:293。