试论个人金融信息权

2022-03-24 00:20孔令宇
关键词:金融信息金融机构监管

孔令宇

(中国人民银行亳州市中心支行,安徽 亳州 236800)

一、个人金融信息的权利属性

(一)个人信息权与个人金融信息权的辨析

个人金融信息是个人信息的子概念,但个人金融信息权并非是个人信息权的子集。换言之,个人信息包含个人金融信息、身份信息等种类,但个人金融信息权并非是个人信息权在金融领域的延伸或具体表现,其与个人信息权既有重合又有区别。基于权利构成视角来看,个人金融信息权的权利主体是金融消费者而非普通公民;权利客体是金融消费者的个人金融信息,包括但不限于金融消费者的身份信息、收入信息、账户信息、消费习惯、信用信息、金融交易信息等能标识出特定个人的信息和伴生的可预测信息,并非单纯的隐私、肖像等信息。基于义务指向的对象来看,个人金融信息权的义务主体主要是指金融机构和监管机构,其侵害主体更为特定。

(二)私益性与公益性的融合体

基于权利处置的视角来看,个人金融信息权属于自决权的重要范畴,具有私法的权利属性。具言之,个人金融信息权是对权利主体可被识别的基础信息以及由其所衍生经济价值的保护,权利主体可自由对其进行处分。因此,其具有强烈的私权属性。基于权利保护角度来看,个人金融信息权又属于监管机构保护的重要法益,其不仅仅属于个人的所有,更具有一定的公益属性。[1]原因如下:一是保护权利主体之正当权益的需要。金融机构拥有较好的人才储备、运行系统和科技能力,一旦金融消费者的金融信息被金融机构掌握,其便可预测、分析金融消费者的行为,进而在与金融消费者的交易中占据优势地位,掌握交易话语权。因此,为维护金融消费者的合法权益,需要相关监管机构介入,平衡交易双方的力量。二是为保护经济平稳发展的需要。金融信息虽源于个人,但也是社会信息平台搭建的基础。通过汇总海量的金融信息,可以为搭建各类金融基础信息平台提供基础。而一旦各类基础信息平台建设成功,则可极大减少金融机构间内部的审批环节,极大的提高金融交易的效率。如征信信息平台,为贷款提供了极大便利,甚至成为公民的“经济身份证”。因此,个人金融信息权虽脱胎于民事权,但其对社会的稳定发展具有重要意义,具有浓烈的公益属性。

(三)兼具私权和公权属性

1.具有私权属性。主要表现为财产权与人格权:一是财产权属性。随着金融科技的发展,金融机构也在自建各类数据库,其需要海量的数据作为基础。而公民的个人金融信息一经产生便会形成一个独立的数据,记录着该数据主体特有的消费情况。此时,这些包含个人金融的数据便会成为金融机构争抢的重要生产资料,其便具有商品的价值和使用价值,并成为一种无形商品,在金融市场间流通。二是人格权属性。人格权是以权利者的人格利益为客体的民事权利,包括但不限于尊严、健康、信息、姓名、隐私等特定信息。因此,诸如消费轨迹、交易内容、账户信息及个人身份信息等能具有独特标识性的信息,应当被理解为金融消费者的人格权益范畴,并享有别人勿扰的法定权能,因为其体现着金融消费者的人格尊严和独立意志。

2.具有公权属性。国家主权是国家独立自主处理内外事物的表现。当海量个人金融信息经加工后,其会变成金融数据,可以揭示当前居民消费情况、国民存款情况等经济运行现状及发展规律。在此基础上,如不能严格控制数据的传输和储存,将成为外敌攻击和利用的对象,国家金融安全将受到严重的挑战。基于此角度来看,个人金融信息具有公权属性。

二、个人金融信息保护面临的挑战及原因分析

(一)个人金融信息被“合法”窃取

1.电子合同影响真实意思表达。实践中,金融机构和类金融机构常通过网络媒介向用户发出邀约或订立合同。在此境况下,电子合同碍于字体小、内容多、语言晦涩、反复点击链接进行跳转阅读等原因,常导致金融消费者不能真正理解合同内容,其做出的意思表示大都是基于营销人员的口头说明,签订合同这一行为与其真实的意思表示可能有差距,或存在重大误解或意思表示不真实。基于此,填写同意选项授权金融机构合法地采集个人金融信息,潜存被侵权的可能。

2.概括性条款削弱自主选择权。金融机构多通过概括条款或嵌套协议要求金融消费者勾选“同意”或“不同意”选项授权其获取个人金融信息。作为消费者只有“同意”或“不同意”两种选择,如不同意则不能注册账户获得金融服务。而金融消费者一经授权同意,金融机构则可以基于概括性条款的相关规定,随意获取个人金融信息并用于分析、传输,开设其他业务,甚至用于交易。比如代理购买理财产品,开通短信提醒被推送或者被电话销售各类理财、金融衍生品等。

(二)个人金融信息被非法侵害

1.非法使用。金融消费者的个人金融信息一经产生便会成为独立的数据,存在被金融机构等利用的可能。实践中,当金融消费者在一家银行留下身份等其他信息时,其便对该信息失去了保护。因为信息系无形的财富,个人金融信息权利主体无法保障知情人是否传递给第三人或被其用于其他地方。比如,“ETC抢注”事件。车主在金融机构留下个人身份证号、手机号等信息,商业银行为了完成上级工作任务出现了提前为车主注册“ETC”开户信息,抢占资源。当车主去银行办理时,经查询会发现车主已经注册了相关信息,无法在另一家银行办理,车主的信息在不知情的情况下被银行使用并办理业务。

2.非法流转。个人金融信息作为一种数据资源被金融机构掌握后,便会在金融机构间流动。金融消费者不可能知道数据的发送方和接收方是谁,接收数据的目的是什么,是否被仅用于办理消费者授权的业务。如,当金融消费者办理汽车金融服务后,各种汽车保险、二手车买卖、汽车租赁、贷款、理财等营销电话不胜其烦,甚至还有诈骗电话。再如,某金融消费者在芝麻信用等平台注册后,其在使用“哈啰”“青柠”等共享单车时,会被调用查询信用评分,那么为什么他们会知道呢?各类信用赋分的公司又是依据哪些信息评价金融消费者信用等级呢?然而,不论原因是什么,消费者的个人金融信息依然被他人知晓,其安宁生活和隐私已存侵害之可能。

(三)个人金融信息保护不完善

1.没有顶层立法设计,保护体系缺失。我国现有对公民个人金融信息保护性规范散见于《中华人民共和国民法典》(以下简称《民法典》)《消费者权益保护法》《中国人民银行金融消费者权益保护实施办法》等法律、法规、规章及规范性文件等。在规范层面,虽然上述各效力层级的法律规范中均有涉及对公民个人金融信息的相关保护条款,但是却没有纲领性规定来进行有效统摄,更没有一个完整的法律体系对个人金融信息权进行保护。由此,不可避免的会出现法出多门,公民、执法机关等主体仅知一隅,难窥全貌,不知道有法可依;规范众多,规范间存在冲突不知如何调处;法规范的伦理解释、文理解释边界不能确定等一系列问题。

2.规则过于笼统,保护力度不足。《征信业管理条例》《个人金融信息保护技术规范》《中国人民银行金融消费者权益保护实施办法》等法律规则对个人金融信息保护的规定较为笼统,容易存在理解偏差或不便于执行的弊端。基于法律规则构成要素角度来看,关于公民个人金融信息保护的法律规则多具备假定条件、行为模式,缺少法律后果。如《民法典》第一百一十条、第一千零三十四条等,均规定自然人的信息受法律保护,其他权利主体不得从事何种行为,但是就侵权行为的法律后果没有明确依据。基于法律规则的表述来看,大都采用类似宣示性的语句表述。如建立金融消费者信息保护制度、对个人金融信息进行必要的收集等。如《中国人民银行金融消费者权益保护实施办法》第十七条规定银行、支付机构对金融产品和服务进行信息披露时,应当使用有利于金融消费者接收、理解的方式,并以适当方式供金融消费者确认其已接收完整信息。而对于什么是“有利于”“适当方式”不得而知。

(四)监管层面保护有漏洞

1.监管者的“理性选择”。随着数字经济的发展,基于“公共选择理论”中理性经济人的假设,金融监管者在执法过程中会出现“理性选择”,从而造成选择性执法、监管“漏洞”等窘况。一旦金融监管出现偏差,公民个人金融信息的保护将失去有力的盾牌,沦为任人宰割的鱼肉;法律规范也将成为纸面上的“法律”,造成整个保护制度的沦陷。同时,监管者的“理性选择”也会引发金融机构或类金融机构投其所好,进而诱发监管失责,权力寻租。

2.金融监管存在盲区。在大数据背景下,很多新兴的金融服务形态使得现有的金融监管存在盲区。比如拉卡拉支付、股权众筹、互联网保险、芝麻信用、微信支付分等APP或小程序层出不穷,其中有一部分获得了央行或其他部门颁发的营业牌照,但还有很多未获许可就实施了运营。诸如此类的新兴金融科技平台在实践中游离于监管之外,并在攫取个人金融信息这块利益蛋糕。同时,碍于分业监管的大背景,许多新兴金融科技平台也难以将其划分到某一具体的监管范围中,依据现行的法律规范,监管主体很难确认其主体资格,进而加剧其成为三不管的真空地带。

三、个人金融信息保护的完善路径

基于上述分析可知,公民的个人金融信息既要面临来自金融机构“合法”窃取和非法侵害,又面临立法、执法领域保护不完善带来的诸多挑战。上述挑战不仅使得公民个人金融信息受到诸多侵害,更需要我们反思当下的保护措施是否需要更新迭代。因此,为了进一步加强对公民个人金融信息的保护,笔者认为应当以个人金融信息的权利属性为理论依据,结合当下面临的侵害来源,通过法治化手段逐个消解危害源,进而更好的保护公民的个人金融信息权益。

(一)完善个人金融信息保护法律规范

1.确定法律原则,完善顶层立法设计。应当加快个人金融信息领域专门的立法保护,为构建系统的个人金融信息保护法制度提供良好的制度框架和顶层立法设计。由此,应当尽快以《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)为基石,通过细化其内容,创设好法律原则和关于个人金融信息保护的基础性法律规则,为进一步创设配套个人金融信息保护实施条例和建设个人金融信息保护法律体系奠定基础。基于此,应坚持比例原则,尝试在立法中通过确立必要性原则、适当性原则、最小损害原则和合法性原则作为顶层立法的法律原则,进而统摄个人金融信息保护的相关法律规则。一是通过确立必要性原则,对监管机构、金融机构采集、使用个人金融信息的边界加以限制。具言之,非为办理金融业务之需要不采集信息,非为提供金融服务之需要不采集信息,非为方便金融消费者简化手续不传输信息,非基于监管机构之批准不利用信息,非基于公共利益之需要任何机关、机构、个人不得进行信息加工和交易等。二是确定适当性原则,对监管机构、金融机构等采集、使用信息的手段加以限制,即相关机构在收集、使用、交易信息时所使用的措施是否符合相关目的的要求,如果措施超过目的的范围则应禁止。三是确定最小损害原则,所有关于个人金融信息保护的法律规范均应以损害权利主体最小的利益为边界来进行创设或清理,以此规范相关机构的义务;或是通过提高违法成本,最大限度的维护权利主体的合法权益。四是确定合法性原则作为兜底条款和基础性条款。根据宪法规定,立法、执法、守法各环节的基础前提就是合法。为此,通过合法性原则,根据宪法和个人金融信息保护的顶层立法等相关规定可以及时依法清理与时代不相适应的规范,及时创设新的法律规则对新情况加以规制;确保执法部门和金融机构依法开展相关工作,切实维护好公民个人金融信息。

2.优化法律规则,完善个人金融信息保护立法体系。应以《个人信息保护法》等顶层立法设计为基础,进一步深入开展精细化立法工作,完善相关配套实施条例,进一步增强法律规则的可操作性。[2]一是人民银行可依职权主动开展立法工作。央行可结合实际,制定个人金融信息保护管理办法等部门规章,待时机成熟后,向国务院或全国人大申请制定行政法规或法律进一步充实个人金融信息保护立法体系。二是国家金融委应充分发挥好协调机制。可依法授权由人民银行牵头开展法律法规清理工作,以宪法为根基,依据《民法典》《个人信息保护法》《中国人民银行法》等基本法对一行两会及相关部门制定的规范性法律文件进行清理,对与上位法存在抵触、与法律原则存在抵触的相关法律规范进行清理,进一步扫清个人金融信息保护法律体系建设的制度障碍。三是中国人民银行牵头开展法律汇编工作。人民银行对清理后现存的各项法律规范按照法律效力位阶进行编纂,进一步方便执法、金融机构和金融消费者查询、使用法律。在汇编过程中,坚持上位法优于下位法、特殊法优于一般法、新法优于旧法的基本调处机制,平衡好各规范性法律文件间的关系,理顺法律规范遵守的先后顺序。

(二)提高个人金融信息保护执法水平

根据央地权限划分,金融管理权属于中央事权,各地在中央的指导下可以对属地的担保等金融机构进行管理。因此,做好金融监管的关键在中央,具体在一委一行两会的职权行使。据上文分析,当前的监管现状面临选择性执法和执法盲区的现实挑战。所以,可尝试通过强化技术监管和整合监管力量来消解监管中面临的问题。

1.强化技术监管水平。监管者作为一个独立的生命个体,其本人可能会出现“理性选择”进而有趋利避害的行为。但技术作为一种无生命的管理手段则可以有效弥补上述情况。另外,伴随着金融科技的不断发展,金融产品甚至金融秩序也在悄然发生变化,并催生金融管理制度和管理理念的变化。基于此,可尝试通过建立以数据为核心的技术监管新举措,通过将掌握的个人金融信息加工成数据,并对其进行处理、分析,搭建稳定的数据平台,进而为实现实时、动态监管奠定基础,为维护金融安全奠定基础。一是强化金融信息基础设施建设。人民银行可依职权加快金融信息基础设施建设,通过加强对个人金融信息的采集、加工和梳理,建设“金融信息云平台”,从源头约束个人金融信息的传递和使用。二是强化金融技术监管措施。通过建设个人金融信息使用、传输监测平台或系统,对金融机构间传输金融信息的情况实施动态监测,有传输情况即会在系统中出现日志等记录,切实做到全流程跟踪。

2.整合金融监管力量。现有金融监管模式主要为“一委一行两会+地方金融监管局”的央地联动模式,主要是以中央金融监管为主。对大型互联网平台、国有商业银行和全国性的金融机构,中央的监管也更为有力。同时,当下金融业内部联系愈加紧密,传统的分业监管模式难以有效应对混业发展的金融态势。且从具体监管实施来看,央行、银保监会、证监会内均设有金融消费者群益保护机构,对个人金融信息保护均设置了内部的规章或制度,各部门大都依据内部规章进行相关监管工作。金融委作为协调机构,本身不具备执法权,通过开会或其他方式协调执法和调节法规冲突会耗费大量的人力物力。

所以,可以由金融委组织协调在央行内部成立综合性的金融消费者权益保护机构,进而形成统一的监管标准和统一的受理渠道,最大限度的避免资源闲置和浪费,防止各部门间的扯皮。同时,根据中央和法律法规授权,央行具有拟定金融业重要法律法规的法定权限,由央行统一开展个人金融信息保护工作,不仅有利于个人金融信息保护相关法律法规的起草,更有利于实施。另外,碍于当前个人金融信息传输的分散性,由央行及其派出机构实施监管保护,其保护的覆盖面更广,面对全国性或地方间各类金融机构均可以实施检查、处罚,有效回避了鞭长莫及的尴尬。

3.审慎划定“公益需要”的边界。对于采集、使用个人金融信息是否是基于“公益需要”的标准,应由执法机构进行界定。执法机构根据金融发展的需要,基于搭建金融信息基础设施和维护金融安全需要等,来圈定公益的边界。由执法机构结合被采集使用信息的种类、范围和传输的范围等实际情况,综合加以判定金融机构是否存在超越“公益需要”而损害金融消费者的合法权益。

同时,应由执法机构尝试建立个人金融信息使用告知和补偿机制。对确因“公益需要”而采集或使用个人金融信息的应由金融机构通过短信、邮件或向监管机构备案等形式进行告知。一是为留存记录,二是为保护金融消费者的知情权。对于因金融机构“自己需要”而采集、使用个人金融信息的,应由金融机构在征求权利主体明确同意的基础上进行一定费用的补偿,进而实现权利保护的平等性,满足个人金融信息的财富属性。

(三)完善个人金融信息保护纠纷化解方式

据上文可知,金融消费者的个人金融信息常受到金融机构“合法”窃取和非法侵害。其关键原因在于金融机构内部的监督或行业自律程度不够,加之金融纠纷化解方式单一,金融消费者维权难度大,使得金融消费者难以有效进行自我保护。因此,可尝试通过强化行业自律和完善纠纷化解方式进一步提升个人金融信息保护水平。

1.强化金融业行业自律。随着市场经济的深入发展,监管者对金融业的监管也更趋向宏观监管,不断通过发挥行业内自律组织的管理和内部调节,实现自我监督和自我管理。金融业具有高度的协作性和专业性特质,行业协会具有了解金融内部交易习惯、交易规则及“合法”回避法律规定的措施等,作为“内部人”其更了解内部事。

为此,可在监管者的组织下通过构建行业自律人才库等方式,按照任期公开、平等的推选自律协会委员。由其对金融机构是否违法采集、使用个人金融信息等行为进行预先研判,并依据相关法律法规,结合金融业发展实际制定内部标准,受理相关问题投诉。具言之,由自律组织建立统一的行业标准,如设置统一的个人金融信息采集边界,设置禁止性信息采集边界及敏感信息在特定范围的使用授权方式等。由自律组织细化金融消费者投诉处理流程,对于电子合同的调取、概括性条款的识别、个人金融信息被采集的方式和被利用的情况进行分析,进而进行处置。由其向监管部门统一申报基于公益需求采集个人金融信息的范围,行业协会代表金融业对“基于公益需要”的边界进行界定,更能有利于整个行业的发展,也更能代表行业内各成员的公意。

2.借助互联网平台完善纠纷化解方式。现行金融纠纷化解方式主要以金融机构内部调解和外部监督两种方式。内部调解是纵向的纠纷化解方式,外部监督协调是横向的纠纷化解方式,内外交织构成当前的纠纷化解网络。[3]

为此,可借助互联网平台,打通线上救济渠道。由金融委与司法部门协调,借鉴“枫桥经验”,构建网上仲裁、网上调解平台,邀请人民调解员、仲裁员、投诉方、被投诉方、金融监管机构等多方共同参与的互联网调解方式。当金融消费者因被侵权提出诉求时,可在调解平台上发起申请,并自助选择网上仲裁、网上投诉、网上调解等渠道,针对每种不同的渠道,组织不同人员参与化解纠纷,对于网上调解的结论可尝试由公权力机关或人民调解委员会给予行政或司法确认,限定金融机构处置纠纷的时间,进而让网上纠纷化解具有公信力,实现对个人金融信息的跨时空保护。

同时,可由央行完善对金融机构的评级方式,主动与司法机关或市场监管部门等搭建信息共享机制,对金融机构因侵害个人金融信息而败诉、被处罚等情况予以记录并纳入评级。可参照类似“借呗”等APP中信用评分一样,当金融机构受到处罚或出现败诉时,将会被降分,分数降至一定界限时,可采取给予行政处罚,并在业内给予通报。最大限度实现对个人金融信息的保护,反向督促金融机构强化对个人金融信息的保护。

猜你喜欢
金融信息金融机构监管
银行、支付机构不得收集与业务无关的消费者金融信息
金融机构共商共建“一带一路”
综合监管=兜底的网?
我国金融机构股价和主要财务指标的相关性分析
资金结算中心:集团公司的金融机构
监管和扶持并行
媒体融合时代金融信息服务业如何转型升级
解决小微金融机构的风控难题
放开价格后的监管
实施“十个结合”有效监管网吧