曾刚 赵雪芹 杨一凡
DOI:10.3969/j.issn.1008-0821.2021.09.009
[中图分类号]G304 [文献标识码]A [文章编号]1008-0821(2021)09-0084-10
中国人民银行于2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》(银发[2011]17号)中首次写明“个人金融信息”是指银行业金融机构通过开展业务所收集的与个人身份、财产、账户、信用、交易有关的信息以及其他个人信息。2016年,中国人民银行发布的《中国人民银行金融消费者权益保护实施办法》(银发[2016]314号)对“个人金融信息”的概念进行了拓展。王宝刚等将个人金融信息划分为客观信息、主观信息及其他信息3类。个人金融信息是指消费者在办理金融业务过程中存档的个人信息,包括个人身份信息、信用信息、储蓄信息、金融交易信息及其他反映特定个人某些情况的信息。依据2020年发布的《中国网民权益保护调查报告》显示,有78.2%的网民表示其个人信息被泄露,而其中63.4%的网民又宣称其金融交易记录被窃取。个人金融信息泄露事件正在以每年近35%的涨幅速度频繁发生。据相关报告记载,2017年金融信息泄露事件1511起,2018年发生1967起,而2019年多达2300余起。相较于金融领域发达的欧美国家(地区)来看,我国的金融隐私保护体系尚不完善,加之传统金融产业纷纷投入互联网金融建设,致使个人金融信息保护工作面临着严峻挑战。Masete N T认为要想解决金融隐私保密与信息披露的对抗难题,其关键在于金融隐私保护法律的健全问题。杜珍媛在比较国外两种金融消费者信息安全的保护模式后,提出银行保密义务模式存在一定的局限。个人金融信息保护政策体系的健全和完善是保证国家金融隐私安全的有力举措,政策工具是实现政策目标的重要手段,因此,政策工具的合理选择和运用对政策效力的发挥起决定性作用。本文选取全国性适用范围的28份实施个人金融信息保护的政策文本,分析其政策工具利用现状,并就其中存在的不足提出参考建议。
1基于政策工具的个人金融信息保护政策文本分析框架
个人金融信息保护政策工具是我国行政部门或相关单位有效开展金融信息保护工作而采取的必要措施,并呈现于政策文本内容中。为保证我国个人金融信息保护政策文本分析的合理性,本文从基本政策工具类型和个人金融信息保护内容要素两个维度出发,设计X-Y二维分析框架。
1.1 X维度:基本政策工具类型维度
政策工具是政府部门为实现政策目标而使用的辅助手段。在目前的研究中,政策工具分类诸多,本文参考陈恒钧和黄婉玲提出的政策工具分类方法,将其划分为直接型、间接型、基础型和引导型4类政策工具,并且每种类型下又细分了若干相应的工具,这种分类方法较直观地展示了各种工具在政策参与过程中的直接性程度。基于此,依据我国的个人金融信息保护政策文本的实际情况,确定了我国在个人金融信息保护政策文本中包含4种类型,共12个政策工具,如表1所示,构成二维分析框架的X维度。
其中,直接型政策工具指有关个人金融信息保护的产品和服务都是由政府部门主导,直接与大众建立联系,而金融领域的非营利组织和企业鲜有参与,主要采取规范个人金融信息获取和利用行为,以减少信息泄露发生。此类产品作用针对性强,有较强效力,但政策制定过程中需要考虑执行成本大和弹性小等问题。包括经济管制、社会管制、课税与规费罚款等。
间接型政策工具可以考虑在金融信息保护工作中的产品或服务由政府或企业等非政府组织单独提供,或者实现公私单位联合供给。通常是通过政府机关颁发个人金融信息使用许可资格,确保个人金融信息能够在合理范围内安全使用。此类工具执行成本较低,弹性也较大,但是保护效果较不明显。包括签订契约、使用许可、特许经营等。
基础型政策工具指政府在个人金融信息保护工作中利用该类工具协助其他企事业单位达成个人金融信息保护目标,政府主要起辅助性作用。此类工具所提供的产品是实现个人金融信息有效保护目标的基本保障,是支撑其他工具运作的基石。包括公共服务、法规制定、标准规范制定等。
引导型政策工具指政府在个人金融信息保护工作中不直接参与相关产品或服务的制定,而是通过引导手段催生其他机构主动参与进来。此类工具弹性较大,发散性强,但约束力不够。包括公共信息、奖赏鼓励、宣传教育等。
1.2 Y维度:个人金融信息保护政策要素维度
基本政策工具能够显示政策为实现目标所采取的基本手段,但不能描述个人金融信息保护工作的要素特征,不能体现政策保护的具体方向。因此,需要在解读和分析我国个人金融信息保护政策的具体内容后,综合考量政策涉及的内容要素和内在特征后,从个人金融信息保护范围、个人金融信息保护责任和个人金融信息保护措施3个方面构建二维政策分析框架的Y维度一个人金融信息保护政策要素。个人金融信息保护范围,即相关政策对个人金融信息的相关定義,以及对个人金融信息保护的适用范围等进行详细界定;个人金融信息保护责任,即相关政策要求明确规定的政府部门需要承担的监管责任、金融机构需要承担的消费者信息保密责任以及用户的监督举报责任等进行明确说明:个人金融信息保护措施,即政府或相关机构通过实施制度建设、经济管制、法规制定、奖赏鼓励等措施,确保个人金融信息保护工作的顺利开展。健全的个人金融信息保护政策体系,需要内部要素保持结构均衡,才能保证政策文本分析实现客观、全面。基于上述分析,构建个人金融信息保护政策的二维分析框架,如图1所示。
2政策文本的选择及量化分析
2.1政策文本的选取
确保全面采集我国个人金融信息保护的政策条例,本研究查阅了大量个人金融信息保护的相关文献,获得“个人金融信息”“金融信息保护”“个人金融信息安全”“金融信息保密”“金融信息泄露”“金融消费者隐私权”“征信信息保护”和“储户保密”等关键词,在“北大法宝数据库”“北大法意数据库”及“威科先行法律信息库”中进行检索,这3类数据库所包含的公开政策文本较为全面,从中获取的数据能够保证来源的全面性和准确性。出于对政策文本选取代表性和准确性的考虑,本文按照以下原则收集和筛选相关数据源:一是政策效力需在全国范围内,政策制定、公布的主体是中央、省级机关部门,以及全国性法律法规,不包括地方性范围;二是政策内容与个人金融信息保护关联性强,能直接体现政策对个人金融信息保护工作采取的态度、措施;三是基于政策工具理论,选取能够直接反映政策效力的文本。该类文本是法律法规、规划、办法、意见、方案、通知、公告等能够体现政策用意的文件,对于批复、函、领导讲话和工作报告等非正式的决策文件不予选取。最终整理出有效政策样本28份,并依据政策发布单位、颁发时间顺序进行排列,具体如表2所示。
对28份政策文本进行编码,剔除掉与个人金融信息保护无相关性的政策条款,得到196条政策条款。使用Nvivo12质性分析软件,按照最小长度两个字符,剔除无用词频进行词频统计分析,得出政策文本中频次最高的1000个字符数大于等于2的关键词,得到图2所示的词语云。数据显示,金融、机构、信息、银行、个人、管理、消费者这7个词出现的次数是最多的。其中,“金融”出现了1994次,“机构”出现了1716次,“信息”出现了1604次,“银行”出现了1294次,“个人”出现了828次、“管理”出现了793次、“消费者”出现了689次。据此可发现,当前我国有关个人金融信息的保护主要从金融机构治理人手,其中银行关注度最高;政策集中点在于消费者,因此,个人金融信息研究也可以定位为金融消费者信息。同时,按照年份发展可发现,个人金融信息保护政策的适用对象由银行业发展至各个领域,从个人信息权益保护条例中独立出具体的个人金融信息保护规范。由此变化可见,当前我国正依据金融领域发展势态,对个人金融信息保护工作从全面性、针对性角度使用政策工具。
2.2政策文本内容编码
将选取的28份政策文本中的具体政策条款作为基本分析单元,按照“政策编号一章节编号一条款编号一政策工具编号”的方式编码,对个人金融信息保护政策工具及政策内容要素进行识别与-归类。如表3所示,“1-3-29-D”表示《中国人民银行金融消费者权益保护实施办法》第3章节中的第29条款“银行、支付机构处理消费者金融信息,应当遵循合法、正当、必要原则,经金融消费者或者其监护人明示同意,但是法律、行政法规另有规定的除外。银行、支付机构不得收集与业务无关的消费者金融信息,不得采取不正当方式收集消费者金融信息,不得变相强制收集消费者金融信息。”在政策工具维度编码为间接型的“使用许可”政策工具。“23-2-H”表示《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》第2条款政策内容,该项政策条款在政策工具维度编码为基础型的“个人金融信息保护制度建设”政策工具。这里需要指明的是,一项政策条例中出现多种政策工具,则对该政策按工具类别多次编码。
本文在借鉴前人对政策工具分类的方法基础上,结合政策文本内容和具体特征,总结归纳出我国个人金融信息保护政策中应用的政策工具类型。按照分类,将我国个人金融信息保护政策工具划分为11项,4大类型,如表4所示。
2.3政策文本的量化分析
2.3.1基本政策工具维度分析
由表4中的数据发现,在196条个人信息保护政策工具中,使用比例并不均匀,其中基础型政策工具占比最多(76.6%),直接型、间接型和引导型政策工具分别占比6.1%、8.6%、8.7%。这体现了我国仍希望在金融信息保护制度建设、制定法规、提供服务和厘清责任等基础性方法建构上,推动当前国内金融界对个人金融信息保护的重视和付诸行动,体现了我国政府及金融界对个人金融信息保护的推动与引导作用。同时,在查阅大量有关信息保护政策相关研究内容后发现,相较于其他类型信息保护政策而言,个人金融信息保护政策在运用政策工具过程中,4大类政策工具占比大致相似。但在间接型政策工具中,运用签订契约、使用许可两项政策工具次数明显偏多。由此可见,我国政府金融信息保护工作侧重在建立金融机构行为规范上。
1)基礎型政策工具使用过溢。在基础型政策工具中,个人金融信息保护制度建设占比最高(28.1%),其次是标准规范制定(16.8%)和法规制度(12.8%),这表明在政策制定过程中容易采用基础信息保护制度建设、信息保护技术服务创新等工具直接推动我国个人金融信息保护发展,但是仅依靠纯粹的制度建设、设施更新等物理措施并不能充分调动金融领域对于消费者金融信息保护的自觉性,责任认定(10.2%)是金融从业者对金融信息保护的认知及其行为的规束。
2)间接型、引导型政策工具使用偏少。间接型政策工具就是金融机构与政府、消费者等主体进行签订信息保护契约,利用可查证书面协议承诺保护金融消费者隐私。引导型政策工具是政府、金融机构利用现有的法规政策和资源对金融从业者、消费者等科普金融信息保护重要性,通过信息公开、宣传教育、员工培训等手段强化大众的个人金融信息安全防范意识和业务能力。但结果显示,间接型、引导型政策工具应用次数远不及基础型政策工具。其中,使用许可(6.1%)和宣传教育(8.2%)二者应用相对较为频繁,说明我国政府十分重视提升金融消费者的金融素养和信息安全意识。
3)直接型政策工具使用不够。与基础型、间接型、引导型政策工具相比较,直接型政策工具的作用效果可谓一针见血。然而,在4类政策工具的使用程度上,直接型政策工具使用占比最低,甚至是使用严重不够,这表明当前我国政府仍希望依靠保护制度建设和营造金融信息安全环境来推动个人金融信息保护工作的有效开展,却忽视了利用直接的惩罚手段来促进个人金融信息的发展更具威慑力。直接型政策工具主要由社会管制(3.6%)、规费罚款(2.5%)构成,政府通过这些政策工具来直接约束金融信息泄露、倒卖、非法利用等行为来降低金融信息风险。
2.3.2政策要素维度分析
依据基本政策工具与政策要素两个维度的X-Y二维分析框架,得出如表5所示的分布结果。为了推动国内个人金融信息保护政策的发展,政府部门在每种政策要素维度中搭配了不同的政策工具组合,呈现多样化分布。其中个人金融信息保护措施占比最大,达到66.4%,X维度中的4大类政策工具均有涉及,可见当前个人金融信息保护政策的重心集中在措施要素上。其次是个人金融信息保护责任政策要素和范围政策要素占比分别为17.3%和16.3%,这两类政策要素主要集中在基础型政策工具。3大政策要素在一定程度上体现了文本中的政策要素构成不合理,需要对其进行改进和优化。
3个人金融信息保护政策文本分析结论
3.1政策工具实质效力需提升
从收集的28份个人金融信息保护政策文本中发现,我国为推进个人金融信息的有效保护已颁布了诸多如意见、方案、通知、办法、规划等类型的政策,但就整体效力而言,绝大多数政策工具的效力较弱,约束力较强的法规条例等类型的政策工具十分贫瘠,从中可反映我国个人金融信息保护政策仍旧是重目标规划而轻强效力的弊端。也就是说,政府对金融消费者信息安全的管理主要还是从制度建设入手,而非使用成本大、弹性小的强效力政策工具。从中也能发现,在我国当前的个人金融信息保护领域建设中,因为相关的法律法规条文颁布滞后、行业监管机构未发挥作用等原因,现有政策工具体系尚未利用专门立法类的政策工具,致使当前的政策工具效力较弱,对个人金融信息保护的力度整体偏弱。
3.2政策工具整体结构不合理
依据基本政策工具维度的统计发现,我国个人金融信息保护政策文本中所使用的政策工具结构呈现出不均衡特征,具体表现为基础型政策工具使用过溢,而间接型、引导型政策工具使用偏少,直接型政策工具稀缺。基础型政策工具因其有较长的时间效力,能为个人金融信息保护建设工作提供有利的环境,但此类工具约束力较差、政策执行的弹性空间较大,容易出现有选择地执行政策,甚至出现抵制政策的现象,阻碍了政策的有效实施;直接型工具具备较强的保护力度,能够更加规范和约束个人金融信息泄露行为,但我国对于个人金融信息保护政策制度的起步较晚,至今而言仍无一部相关法律。现行的个人金融信息保护政策中,使用了制定标准规范、建立健全信息保护制度等基础性程度较高的政策工具,而执行成本较低的引导型和间接型辅助性工具严重稀缺,这不利于金融消费者信息保护政策体系的完善。从政策要素维度的分布看,3大政策要素的运用也不均衡,目前颁布的政策更多是集中在个人金融信息保护措施上,而涉及个人金融信息保护责任和范围的政策条例则明显不够,由此可以看出,我国的个人金融信息保护政策中存在政策工具选择和利用不合理的现象。
3.3政策文本可操作性待增强
目前所收录到的28份政策文本中以通知、办法、意见类型的偏多,这几类政策的实际效力并不强,缺乏实质效力强的约束性手段,在个人金融信息保护工作开展过程中,其可操作性并不理想,容易出现“钻空子”现象。我国法律一直都将隐私权归属于名誉权保护范围内,即便是2009年的《侵权责任法》和2017年的《民法总则》阐明了公民享有个人隐私权力,但都只是提供了法律参考依据,未享有具体的法律效应。在金融领域,金融机构执行消费者隐私保护规定时,能轻易通过“本人同意”及“格式条款”等逃避其义务,降低违法成本。
3.4政策工具配套措施需完善
依据我国个人金融信息保护政策工具的统计结果来看,具备实质性处罚措施的直接型工具仅占总数的6.1%,而频次多达150次的基础型政策工具中,有80%以上工具仅起到推动我国个人金融信息保护建设的倡导性作用,难在实际操作后继中形成强约束力的法律法规。同时,在196条政策工具中仅有25条法规制定,但并不存在一部完整的金融信息保护法律,可见在我国个人金融信息保护工作中,相关法律法规建设仍旧不足。从现有的政策工具来看,我国个人金融信息保护工作还需要经济管制、政府保险、金融体系等政策工具紧密配合,而使用新的政策工具,也需要同工信、工商、财政和税务等部门联合实施。
4个人金融信息保护政策体系的优化建议
4.1提升政策工具实质效力
基础型工具是政策条文中通用的、能够为实现政策目标提供基础型条件的政策工具,对于个人金融信息保护政策而言,它通常是建设个人金融隐私保护所需要的技术设施平台.以及颁发相关法律法规和制定相关规范等基础措施。尽管各界都在强烈呼吁推进金融隐私保护政策的出台,也大量应用了相关基础型工具,但由于监管复杂、利益冲突等众多方面的原因,后续出台相关法规的速度仍旧缓慢。因此,政策制定过程中,需要加大高效力政策工具的应用力度,推行多元主体合作,比如提高个人金融信息保护的各类标准的制定门槛、增加直接型工具中各类惩处措施力度以及扩大各相关监管部门的责任归属范围和义务等手段。国家有关部门之间加强联系、实现跨部门沟通合作,在相互学习中提高政策工具选择利用的合理性和有效性。例如在使用较少的引导型工具时,可以与宣传部、工信部等有关部门合作,确保制定政策的科学合理,提高个人金融信息保护工作的行政效率。
4.2平衡政策工具结构比例
政策工具因其自身特性不同,所具备的功能也是互异的,在运用政策工具组合时,需要充分考虑各类政策工具的特点,设计最稳妥、适合的组合方案,在重视运用基础型工具的同时,也需要关注间接型、引导型和直接型工具。依据政策工具使用频数统计结果来看,在金融信息保护工作上,政府主要还是依靠基础型政策工具,其中个人金融信息保护制度建设内容最多。相较之下,政府及金融机构的宣传教育等引导型工具使用频次很低。基础型程度较高的政策工具通常起奠基作用,其本身实质效力不够,难以强化金融机构及消费者的金融隐私保护意识,还需要加大直接型和引导型政策工具的投入来弥补。政府部门也可以在金融隐私保护政策中适当新增未利用的政策工具,例如经济管制、奖赏鼓励等。同时,扩大签订契约、宣传教育等辅助性政策工具的使用频次,使得政策工具结构合理化。而从个人金融信息保护政策要素维度分析,需要保持3类要素结构均衡合理,确保在今后的政策制定中扩大保护范围和保护职责两类政策要素的频次。
4.3强化政策工具可操作性
政府选取具体的政策工具实施金融消费者信息保护工作时,存在过分倚重个别政策工具的现象,例如直接型、间接型、引导型3类政策工具使用频次总和还不及个人金融信息保护制度建设政策工具。为了充分发挥4类政策工具的协调效应,政府需要统筹协调各政策工具的使用比例,比如降低基础型政策工具占比,加大直接型、间接型和引导型政策工具的投入,确保4类政策工具比例结构均衡协调,以保证个人金融隐私保护工作保持良性运转。更为全面地完善金融消费者信息保护法律法规能为个人金融信息保护工作提供有利支撑,国家法律的不可触犯性不仅为个人金融信息保护提供法律依据,还能严重惩罚金融隐私泄露行为,打击犯罪。我国需要充分考量国情,积极汲取各行业人才建议,尽快出台有序稳定的个人金融信息保护相关法律。
4.4完善政策工具网络体系
首先,当前我国个人金融信息保护工作主要是由中国人民银行、银监会、保监会等部门开展,但是政策工具的选择需要依据其特定的对象,才能从其功能、效果、范围等角度发挥其作用,还需要国家工业与信息化部、国家工商行政管理总局、商务部、科学技术部等相关部门发挥其力量,因此,个人金融信息保护工作需要我国多个部门建立协调联动机制,从全局视角出发,就个人金融信息保护做出统一的战略规划,以期实现对政策工具的精准选择和综合利用。同时,不可忽视金融领域的高尖人才力量,充分汲取相关建议以保证个人金融信息保护工作的科学客观。其次,需要紧急出台相关的金融隐私保护法规条例,从立法层面规范金融信息使用行为,从政策工具层面上升至法律层面,强化其效力。最后,需要提高政策工具选择使用的合理性和系统性,扩大经济管制、政府保险、金融体系等新增工具的使用频次.联合有关部门制定相关配套措施,确保政策工具利用的科学合理,有效实现政策工具的价值。
5结束语
本文选取我国2007—2020年出台的个人金融信息保护政策文本,从政策工具视角出发,构建X-Y二維分析框架探析我国当前个人金融信息保护体系的内在特征,并就此提出建议参考。依据统计结果发现,我国目前对个人金融信息保护工作的重视程度逐步上升,在28份政策中运用了11项政策工具,分别从不同的角度去避免金融消费者信息泄露,但由于我国的个人金融信息保护意识欠缺,多项政策存在约束力弱、针对性不强等缺点,个人金融信息保护政策体系并不健全。伴随着社会和政府的逐渐重视,我国在个人金融信息保护工作上,需要多利用直接型工具提升政策效力,保持整体结构均衡,并结合实际确保政策的可操作性,努力实现个人金融信息保护的目标。