■曾 远
随着金融科技发展,大型科技公司和互联网企业进入金融领域增加了个人金融信息安全的复杂性和风险性。为此,中国人民银行等五部委在《金融业标准化体系建设发展规划(2016—2020年)》中,将金融信息安全标准化作为规划的重要拼图。《个人金融信息保护技术规范》《信息安全技术个人信息安全规范》《支付信息保护技术规范》等个人金融信息安全标准,正逐步在监管层面发挥着其“标准化”作用,织密了个人金融信息保护制度网络,促使金融类机构在各类企业服务文本(包括隐私政策、用户服务协议、信息安全告知、服务章程)中,向监管机构和社会传达尊重并保护公民个人金融信息的态度。切换视角发现,在各类因个人金融信息安全问题所产生的侵权纠纷或合同纠纷中,金融类机构通常会以“已经建立符合国家技术标准的个人信息安全管理体系,非常重视客户个人信息的保护,视客户信息为经营生命线,严格保护客户的个人信息”,甚至以“标准不是法律”作为其免责的抗辩事由。在此类案件的司法裁判过程中,法官对事实判断、裁决依据是以《合同法》《侵权责任法》条款为主,但难以见到标准的身影。虽然在个人金融信息保护领域的行政监管与司法裁判有着各自不同的制度逻辑与规范依据,但应看到,基于个人金融信息保护的立场,法律规范与标准均可视为个人金融信息保护工具,二者在个人金融信息保护功能上具有同质性。因此,有必要追问在个人金融信息保护的制度格局中,个人金融信息安全标准化治理为金融消费者提供了何种程度的保护?
个人金融信息保护是学界对“信息权”“数据权”“隐私权”等热点议题的交叉研究投影在金融消费者保护研究领域的子命题,并随着《民法典》《个人信息保护法》等涉及个人信息保护相关立法活动的展开,呈现出高度活跃的状态。学界对个人金融信息保护的热议既有共识,亦有分歧。学界之共识在于确认强化个人金融信息保护的目标共识、以完善法律规范实现保护的路径共识。分歧则在于角度、方法与具体规则等方面:其一,对个人金融信息的法律属性存在金融消费者隐私权与个人信息权的不同立场。其二,对个人金融信息保护方法存在以金融行政监管、刑事司法规制与金融消费者民事保护等不同争议。其中刑事司法规制、金融消费者民事保护方法都存在一定制度困境。因此,强化对个人金融信息的监管是主流观点,如基于数据跨境转移、互联网金融等不同场景构建个人金融信息保护制度。其三,由于个人金融信息在采集、共享等不同使用阶段表现出不同特点,各阶段保护规则都对金融消费者的知情权和同意权、信息披露、纠纷解决与各方责任承担都有其侧重点,也产生了较多交叉性争论。但是,理论界对于个人金融信息保护的研究路径,仍局限在话语层面反复讨论个人金融信息的法律属性、保护路径等问题,但对金融标准化实践对个人金融信息保护的影响缺乏足够的理论回应。
个人金融信息保护相关研究领域均未有效关注现有标准化在个人金融信息保护制度体系中的制度定位、实质效力等问题。理论上有必要反思:个人金融信息安全标准究竟在整个规范体系中扮演着怎样的角色?为此,笔者从功能主义视角出发,以涉及金融科技行业的金融机构企业服务文本为研究样本,剖析研究样本与个人金融信息安全标准设置的契合度,进而探究个人信息安全标准的制度实践,以期为相关实践提供理论参考。
根据2017年《标准化法》规定,我国标准体系分为国家标准、行业标准、地方标准、团体标准和企业标准。而根据标准法律效力约束性的类型划分,国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准(柳经纬,2018)。金融强制性标准与金融推荐性标准根本差异在于是否具有强制性效力。强制性标准具有法律层面的约束效力,而推荐性则具有一定的特殊性,若推荐性标准经法律援引则具有法律层面的约束效力,反之则无。因此,个人金融信息安全标准也遵循上例,如《银行业金融机构数据治理指引》规定,银行业金融机构收集、使用数据涉及个人信息的,应当符合相应的国家标准。根据全国金融标准化技术委员会(下称“金标委”)资料显示,截至2020年12月,我国涉及个人金融信息安全的国家标准有28项,行业性标准79项,但无一项强制性标准。对于金融机构而言,个人金融安全标准虽然属于非强制性标准,但经过一行两会的部门规章授权或援引,其在金融行政监管领域内具有了公法层面的适用效力,相应地,金融机构企业服务文本的各项内容也需要遵循上述规范要求。与此同时,个人金融信息保护行业标准条款也进入格式合同、隐私政策、安全告知为基础的非传统意思自治的市场秩序领域,发挥规范民事关系的作用。若个人金融信息安全标准无法律、行政法规援引,而经由当事人意思合意使用,应仅在当事人之间具有私法约束力。
个人金融信息安全标准属于推荐性标准,不具有强制实施的效力,其在进入市场秩序领域时的效力路线是作为行业规范发挥“基础通用、与强制性国家标准配套、对各有关行业起引领作用”,并作为金融机构与金融消费者个人达成金融合同内容,实现个人金融信息安全标准私法化的功能价值。
在作为机构自律与行业自律的行为准则方面。金融机构通常将金融信息安全标准作为其内部信息安全建设、监督管理、审核查验的实施准则。若业者执行不当便会遭自行业规制,成为行业规制的执行依据。因此,在机构自律与行业自律模式下,由于行业对市场、技术更为熟悉,由其发布行为准则更加可行且更容易遵守。
在作为合同组成部分方面,金融机构与金融消费者一般通过“约定”的方式,在企业服务文本(服务协议及其副本隐私政策)中根据金融法律与金融标准列明具体措施与技术要求。如《中国人民银行金融消费者权益保护实施办法》规定:“金融机构进行营销活动时应当遵循诚信原则,金融机构实际承担的义务不得低于在营销活动中通过广告、资料或者说明等形式对金融消费者所承诺的标准”。若仅在服务文本笼统约定应当符合有关法律规范或标准的情况下,也可依据服务文本规定的具体信息比对适用推荐性标准。此时个人金融信息安全标准的效力便由企业内部走向外部,成为由司法部门、仲裁机构裁判的依据。
如何评价人金融信息安全标准的私法效力机制,这需要更为宏观的视角解释。实践中,个人金融信息安全标准的私法实施存有诸多不足,例如在“风险预防”理念指导下,个人金融信息“保护门槛”被迁移至金融企业隐私政策制定等市场行为领域。但如前所述,金融机构企业服务文本内容对金融消费者个人信息安全规则的用语通常较为宽泛、模糊,如“尽量”“可能”“某些”“尽最大努力”等等,致使有些金融消费者认为金融机构会基于契约精神、市场声誉、职业道德等因素,保证其个人金融信息的安全。但事实并非全然如此,企业服务文本的被遵守程度常因金融机构的专业、态度等因素影响出现各种差异,此时的个人金融信息安全标准,面临丧失对个人信息保护的实质内核,被强调意思自治而忽略主体能力差异私法所挤压的风险。
第一,效力来源。个人金融信息安全标准之所以经行政规章援引而具有公法层面约束力,原因在于其自身的“技术权威”。在金融行业高度数字化和专业化的背景下,金融科技通过复杂数字技术,利用个人金融信息进行金融交易模式复杂性创新,形成了金融科技行业的技术壁垒,并对现代金融监管提出新的挑战。通过对金融数据的标准化处置,可以瓦解金融科技行业形成的技术壁垒,降低监管难度与成本,保护金融消费者。包括个人金融信息保护技术标准在内的金融行业标准,正逐步走向现代金融监管的核心制度领域。作为通过标准化活动,按照规定程序经协商一致制定,为各种活动或其结果提供规则、指南或特性,供共同使用和重复使用的文件(柳经纬和许林波,2018)。个人金融信息安全标准与相关法律规范的差异,不仅在于制度外观的形式差异,而且在于其处置对象的专业性差异:个人金融信息安全标准处理的全部属于个人金融信息安全技术与安全管理等专业技术问题。这一系列标准由金融从业者与监管者组成的金融标准起草委员会起草并审查通过,可见该系列标准的制定均围绕“技术性”这一核心要素展开。在以往的实践中,金融标准的内容技术水准往往高于金融法律的水准。因此,不同于法律规范等级产生的约束效力,金融标准基于“技术水准效力”的内容展现,使其得到了广泛认可。这也正是法律效力概念在理论上出现正确性效力与权威性效力之分,即正确性效力体现了规范在内容上的正确性,而权威性效力则表达了规范在形式上的权威性(俞祺,2014)。
第二,效力等级。在确认个人金融信息安全标准的公法效力基础上,需进一步确定该系列标准的效力等级。从效力来看,法律由国家强制力保证实施,法律一经颁行即具有普遍约束力,标准若不与法律结合,则无此种强制适用的效力,标准是否得到实施,完全取决于标准使用者的志愿采用(柳经纬,2016)。据此应区分个人金融信息安全标准在公法规制领域与私法治理领域的效力。在个人金融信息保护的公法领域,标准的效力等级在很大程度上属于老生常谈的话题——属“规章”还是规章以下的“其他规范性文件”。认为只需通过认定援引或授权法律规范的等级就能界定标准的效力等级。个人金融信息安全标准由安全技术标准与安全管理标准组成,大多数金融机构对安全管理标准保持了较高遵守程度,但对安全技术标准明显缺乏遵守程度的一致性。这或许源于安全技术标准属于科学技术范畴,安全管理标准则与法律规范体系同属制度范畴,导致金融企业更重视“标准法律化后”的效力而忽视“标准法律化前”的效力。
第三,效力范围。理论上,通过援引或授权后成为公法规则后,个人金融信息安全标准即可确定其效力范围。但现状是,在法律层面并不存在相关援引或授权作为推荐性标准的个人金融信息安全标准的法律条款。仅仅是一行两会在其部门规章或规范性文件中会援引、授权个人金融信息安全标准。因此,在行政监管、行政司法领域中,经援引后的个人金融信息安全标准效力范围在实践中并无太多争议,法院一般依据具体司法案件,经过司法审查后适用于行政司法领域。
欲考察个人金融信息安全标准在公法和私法层面的实际保护力度,可利用金融企业的服务文本(包括使用章程、安全告知、隐私政策、服务协议等)对个人金融信息安全标准的引用关系进行测度。在已有的企业文本合规性审查研究中,大多采用类似法律文义解释的文本比对思路来进行合规审查研究,以保证其研究结果的客观性(李延舜,2019)。法律文义解释方法是以法律文本的文字为依凭,并且要以具有明晰含义的解释结果作为其阶段性解释目标(魏治勋,2014)。对法律文本的引用不仅能够反映个人金融信息安全标准文本的参照关系和知识扩散,而且能够反映个人金融信息安全标准对金融机构的实质影响。通过对已获取金融机构服务文本的阅读发现,多数金融机构服务文本中模糊性词汇偏多,这意味着在服务文本中模糊性词汇造成的不确定性,促使用户“模糊同意”服务文本所列条款(姜盼盼,2019),进而扩大金融机构与金融消费者发生个人信息纠纷时的回旋空间。个人金融信息保护主要是基于企业安全告知、隐私政策对法律文本引用实现的,在一定程度体现了金融企业对个人金融信息保护制度的遵守程度。因此,可对个人金融信息安全标准与金融企业服务文本的文本契合度进行比对,检验现有个人金融信息安全标准在不同层级效力的实际差异。
从性质上看,个人金融信息安全标准无论在制定主体、制定程序还是实施方式、效力来源等方面,都与法律规范体系有所不同,但我们仍可借助规范主义进路,对个人金融信息安全标准体系进行分类和分级,进而提炼其特征。根据个人金融信息安全标准的现行规定是否涉及金融消费者隐私权等实体性权利义务关系,可将所有的条款分为核心条款与一般条款。同时,根据金融消费者是否能从服务文本中直接获悉个人金融信息安全标准的条款,又可分为显性条款和隐性条款两大类。显性条款主要是金融消费者在进行浏览服务文本时能够获取的相关信息,隐性条款是金融消费者无法直接通过服务文本知悉的标准内容。两者结合形成四种类型条款:显性核心条款、显性一般条款、隐性核心条款、隐性一般条款(见表1)。
表1 个人金融信息安全标准内容的结构化条款
续表1
基于2020年中国人民银行公布的金融科技企业试点名单、中国中关村互联网金融研究院公布的中国金融科技竞争榜单,按照服务文本可获得性、金融科技业务合规性等标准,筛选出涉足金融科技业务的商业银行、金融科技服务类公司、金融科技技术类公司等实体共76家机构的企业服务文本。样本中76个企业服务文本所牵涉单项安全标准条款的最大数值为76(即所有企业服务文本都遵守该项安全标准),因此每项安全标准的数值应不大于76,由此绘制雷达图以直观揭示在公法层面与私法层面的个人金融信息安全标准的实际保护力度差异。
图1 金融企业服务文本条款与个人金融信息安全标准条款比对图
从金融企业服务文本条款与个人金融信息安全标准条款契合度结果看,样本机构的企业服务文本在遵守作为私法规则与公法规则的个人金融安全标准的程度差异颇大。
在作为私法行为准则时,企业服务文本与其契合度相对较高的是免责条款、敏感信息提示、企业与用户权限等显性核心条款,分别有58、37、33项。其中,超过一半的金融科技服务类企业和金融科技技术类企业在个人信息的收集与使用目的条款中大量使用概括性语言。但更能体现问题的是个人金融信息范围、用户数据共享、用户信息合理使用等显性核心条款与安全运行技术要求、安全准则与策略、安全监测与风险评估、风险处理与责任承担等隐性条款的被遵守程度远低于预期,存在较大的“保护盲区”。分别有12、18、17项企业服务文本中提及保障用户信息安全运行、安全策略、安全检测与风险评估等内容,且仍以模糊语言代替具体的信息安全实施要求。虽然其中提到最多的是匿名技术和脱敏处理,但没有一家企业服务文本对安全技术内容进行披露,例如工商银行在隐私政策中提到:“我们成立了专责团队负责研发和应用多种安全技术和程序”。此外,个人金融信息安全标准详细规定了安全事件处理及应急预案、责任承担等内容。在所有的企业服务文本中,仅有13项商业银行和部分持牌金融机构服务文本明确提及发生信息安全事故后承担法律责任。几乎所有的服务文本没有明确个人信息保护的安全技术责任人和责任部门。个人金融信息安全标准普遍要求在发生个人信息安全事件后企业应将及时告知个人信息主体,但有的企业服务文本明确提及“及时通知”。
作为公法的个人金融信息安全标准实际的保护力度则显著高于作为私法时。其中敏感信息提示、个人金融信息目录用户数据共享、信息合理使用等核心条款的契合度有了明显提升,分别达到了56、58、58、49、55项。从个人金融信息安全标准条款与金融机构企业服务文本引用的结构特征看,公法规范对个人金融信息保护制度体系中的其他层面规则有着较强的影响力,但也存在样本服务文本覆盖内容不全面,满足显性核心条款数量存在特定差异,隐性安全条款方面依旧不完善,不同条款满足法定要求方面存在巨大差异等一系列问题。例如,安全运行技术要求、安全准则与策略、安全监测与风险评估、风险处理与责任承担等隐性条款被遵循的比例徘徊在27.6%(风险处理与责任承担)至48.6%(访问控制)之间。需要引起注意的是,为凸显市场声誉,有相当比例的企业服务文本是在部分个人金融信息安全标准发布前由企业自行制定。当某些安全标准颁布后,上述企业服务反而没有进一步更新,不仅如此,上述安全标准被一行两会援引后,又进一步导致上述企业服务文本陷入无法完全满足法定要求的困境。该困境显示了金融机构对个人金融信息保护方面存在明显市场驱动导向,也表明金融机构在回应市场自我规制与法律规制要求方面的态度迟缓。
结合个人金融信息安全标准对76家样本企业类型的约束程度分析发现:安全标准对商业银行系统、金融科技应用类公司系统、金融科技技术类公司系统产生的约束效应存在明显差异。其中,约束效应最强的是商业银行系统,表明金融科技发展必须是“正规金融持牌监管”制度框架下发展的特征。个人金融信息安全标准对金融科技服务类公司的约束效应较商业银行薄弱一些。仅有援引后的个人金融信息安全标准对金融科技服务类公司服务文本起到直接的约束效应,从侧面反映金融科技服务类公司在服务文本的重点在于符合公法规范要求,而对标准的遵守则要“看人说话”。金融科技技术类公司受个人金融信息保护公法规范和标准的约束效应最弱。无论是作为私法还是公法的个人金融信息安全标准,对其约束性均形同虚设。以上分析发现,个人金融信息安全标准在持牌类金融行业内具有“监管闸门”作用。由于个人金融信息安全标准的非强制性,对部分金融科技企业不具有约束力,使得部分持牌金融企业和非持牌金融科技企业以寻利为目的,利用其个人信息采用隐性手段损害金融消费者合法权益。这些行为源于数字金融的发展,对商业银行带来了一定负面影响(梁涵书和张艺,2021),也源于金融机构藐视消费者合法权益的傲慢态度,而这些隐性损害行为也揭示了部分金融科技企业“服务的虚伪性”(宋俊平和张俊喜,2019)。
在金融市场与信息技术双重复杂化条件下,政府监管、自我规制与社会共治的个人金融信息保护机制需要规范化的制度载体。外部监管由法律提供权力依据,自我规制依赖于市场制度供给,社会共治更需要多元化治理依据。与此同时,多元化保护机制若无合理的治理逻辑,必然产生差异乃至絮乱的治理效果。从上述意义看,无法忽视个人金融信息安全标准化的保护路线在公法与私法领域产生的“保护盲区”。
个人金融信息安全标准作为独立于金融法律之外的制度体系,其实质是一种能够满足金融市场对个人金融信息保护需求的“制度资源(System resources)”(Terlaak,2007)。市场为满足市场主体对市场秩序正常运行需求,通过市场内生型配置资源方式,将标准这一维持市场秩序的“制度资源”提供给市场主体。具有合作、协商等“市场”属性思维金融标准,有别于凸显管制、服从等“国家”色彩的金融法律。从此点出发,在“引导行为”与“规制行为”并行的规范框架下,个人金融信息安全标准的首要功能应当是引导金融机构合规使用金融消费者个人信息(Braun,2019)。例如,在2018年中国电子技术标准化研究院抽查评审100多款金融企业服务隐私条款时,发现其中38款隐私条款及相关实现机制有明显更新,22款有较小程度更新,其余40款没有更新。虽然改进程度和效果不一,但评审结束后,大多数参评企业参照《信息安全技术个人信息安全规范》继续对其企业服务隐私条款进行了再整改,体现出了个人金融信息安全标准在行业层面的引领示范效果。
当一行两会的部门规章或规范性文件援引个人金融信息安全标准,使其具有公法效力时,我们应对个人金融信息安全标准的制度属性变化保持警惕。这一逻辑无疑将个人金融信息安全标准置于与公法规范有同等效力的地位,即使一行两会对其援引的事由具有科学性的“技术权威”,这凸显出政府规制与社会自治互动关系中工具主义治理路线在金融消费者保护领域的根深蒂固。标准治理中“存在着对以往‘全能主义国家’的路径依赖,国家主义的思维和惯性催生出了一种政府支持社会组织发展的‘工具主义’模式”(唐文玉,2016),具有明显的阶段性特征:一是强调各类社会治理规范所蕴含管制、秩序的价值优先性;二是社会治理规范缺乏硬约束效力;三是公法规范对其他社会治理规范存在“选择性支持”情况。这种“工具主义”模式存在着不可忽视的限度,主要表现:其一,导致个人金融信息安全标准治理功能失调。从公共性角度审视,标准具有为市场提供维持市场秩序和宣示秩序价值的双重功能。公法规范支持其他市场规范的“工具主义”模式,强调管制、秩序的价值优先性,合作、协商的价值则被置于次要位置,导致在构建个人金融信息保护制度体系过程中,优先支持标准规范维持市场秩序的功能,对其市场秩序的宣示功能则关注较少,而金融机构也将标准的规范市场秩序功能作为其主要功能,而把宣示社会、协商治理的功能束之高阁。其二,限制了标准对个人金融信息保护的绩效水平。在“工具主义”模式下,一旦某类具体的个人金融信息标准被法律所援引,其与公法规范之间的“行为规范”和“执法依据”二元框架将演化为“权威——依附”等级化关系结构,虽然该类标准效力的属性已被转化公法效力,但也将影响其他不具有强制约束力类型标准的治理能力。
我国个人金融信息安全标准的公私法效力差异是规制结构性问题。从机构设置看,我国个人金融信息保护监管权属于分散配置模式。对于监管权分散配置而言,初衷旨在希望监管机构在保护个人金融信息方面能够有针对性开展监管活动。但在分业监管模式下,监管机构条块化任务划分,使得个人金融信息保护被置于作为相对较后的责任划分区域,导致监管机构对个人金融信息保护未形成经常性执法状态。因此,对金融机构因信息泄露引发侵权事件或滥用信息导致社会热点后,监管机构方迟迟介入。前者常见于银行类金融机构与金融消费者在普通银行业务服务纠纷事件中,后者见于近年来因金融科技对个人金融信息大量复制与传播后产生的新情况。例如,蚂蚁金服在2018年向支付宝用户提供查账服务时,非法收集用户信息引发社会关注,监管机构方介入其中。此外,监管机构由于自身缺乏应对金融科技创新的技术力量,一方面,要求金融机构履行一定信息审查义务。如中国人民银行在《支付信息保护技术规范》中,要求从事支付活动的金融机构应承担审核金融消费者个人信息合法性的义务。另一方面,监管机构要求与金融机构有业务合作的金融科技公司,也应提供符合金融标准的合规数据。该数据已成为监管机构对平台内商户进行常规执法的重要参考。
追本溯源,个人金融信息安全标准化是寻求平衡市场秩序与金融创新的包容审慎原则重要手段之一。包容审慎是金融创新发展与防范风险的基本原则,其核心要义之一是确保对个人金融信息的使用不突破规制底线。从运作方式而言,个人金融信息安全标准化首先在于厘清政府与市场的边界,但标准的适用必然面临与法律规范的交融。对个人金融信息安全底线的理解在政府干预与市场自治的场域中又产生了新的分歧。若监管层秉持“拿来主义”“工具主义”的统治理念,没有区分引导性行为规范与规制性行为规范在运行机制的本质差异,没有脱离“命令——控制——制裁”的规制进路,也就难以保持个人金融信息安全标准应有的制度属性。换位审视,金融机构若缺乏足够的自治动力,若不对市场权力秩序有所敬畏,将导致个人金融信息安全标准丧失原初的制度功能,并引发监管层依照法律法规规制进路将标准纳入外部规制依据范畴,强化国家干预市场秩序的力度。进一步而言,作为市场资源的个人金融信息安全标准对供需两端的权力秩序改造,决定了其势必面临外部规制与内部自治的竞争、融合态势。而这一态势恰应从市场内外双重视角,对其作出更符合包容审慎原则的解读。
从监管层面看,个人金融信息安全标准应体现包容审慎的底线思维。在市场秩序理性运行过程中,法律介入的前提是对个人金融信息市场价值的确认,为其社会福利产出提供必要的制度保障。若金融企业的服务协议、隐私条款不符合《信息安全技术个人信息安全规范》等安全标准,但其能遵守《网络安全法》等法律规范确定行为准则,不应一概确认其条款的法律风险,而应先由市场机制来判断企业服务条款不满足标准要求所产生的市场风险。《金融科技(FinTech)发展规划(2019—2021年)》提出,针对金融业信息技术应用建立健全国家统一推行的认证机制。认证制度实施后所产生的信号传递机制、激励性规制效应,将促使金融企业尊重市场标准,使市场标准发挥其制度功能。否则,在“命令——控制——制裁”的法律规制进路下,规制主体与市场主体都将在社会包容性呼声下,迷失包容审慎的标准性,导致市场标准被法律规制所“俘获”而不是法治层面的制度吸收与转化。
从市场层面看,应警惕金融科技竞争对个人金融信息安全标准所产生的挤出效应。阿里、腾讯等众多互联网巨头涉足金融业,打破了传统金融市场竞争不足局面,众多中小企业通过业务依附模式得以涉足金融科技市场,模糊了金融行业利益边界,重构了传统金融市场的利益均衡机制。因此,个人金融信息安全标准制定主体多元化、利益多元化,决定了单独的技术要素或规则要素均无法满足个人金融信息安全标准的产出。如《信息安全技术个人信息安全规范》的起草单位囊括了社会团体、市场企业、专业机构。与个人金融信息立法相比,市场标准的制定存在被利益主体俘获的可能性更大,并导致个人金融信息安全水平被任意界定,增加市场竞争成本,最终产生市场挤出效应,形成寡头垄断市场。
现行个人金融信息安全标准存在规制路径依赖,弱化了标准应有的制度价值与制度功能。因此,对个人金融信息安全标准定位,既不能迷信“市场万能”,将其全部留待市场自我定位;亦不能重归“国家主义”旧路,将其视为法律规制的延长线;而需从多主体、多层次的合作治理与规制的立场,利用既有法律制度融入个人金融信息安全标准,是确保其可持续发展的必然之举。
金融新业态创新与发展的前提是金融企业可以有效进入市场之中。而按照个人金融信息安全标准化思路,安全认证将形成安全闸门与准入门槛。实践表明,政策标准与市场规则、执法机构与市场主体的博弈,使得标准被束缚手脚,难以产生实质性效果。功能主义协同治理效力的正当性源自治理效力的融贯性。从保障个人金融信息安全的实质角度看,对本应贯彻共同性的标准效力事项不同区分,势必导致标准制度的虚置。尤其在安全技术使用效力方面,不同层级效力的截然不同,对金融消费者信息安全的威胁更为严重。标准不同层级的效力统合,可以在充分凸显安全标准“技术权威”优势的同时,通过政府参与确保其公共性。在协同治理模式下,可以以立法方式赋权个人金融信息安全标准,在安全技术审查标准、安全运行操作规范等方面予以明确为金融机构服务文本必备内容。从而有利于提高相应规则的遵从度,使得个人金融信息安全标准发挥更大作用,也使得政府干预更具谦抑性,并更加符合比例原则的理念追求,节约行政成本。
与此同时,金融法规制是金融新业态发展的法治底线与市场边界,应明确个人金融信息安全标准的多元化保护机制。法律规制应统筹个人金融信息合理保护与有效利用,为标准划定明确界限,使其成为“市场内”的“看门人”,确保标准成为保障个人金融信息安全生命周期的规范化标杆,协同促进个人金融信息安全标准的实施。《中华人民共和国标准化法释义》认为,在有些情况下,推荐性标准的效力会发生转化,必须执行:推荐性标准被相关法律、法规、规章引用,则该推荐性标准具有相应的强制约束力,应当按照法律、法规、规章的相关规定予以实施。因此,可在《个人信息保护法》《民法典》《网络安全法》等法律规范设置引用个人金融信息安全标准的条款,赋予其相应效力边界。然而,这一情形可能与《标准化法》第2条关于推荐性标准没有强制性例外的规定发生冲突。所以,标准的效力边界需经《标准化法》与其他法律规范进行协调。
标准的生成与完善是个人金融信息利用与保护的秩序得以稳定运行的一个重要前置性条件。包容审慎原则可以暂时容忍金融科技初创时期的利益不均衡,一旦金融信息资源配置模式的创新性被认可,标准的进一步完善是政府与市场不能回避的问题。如前文所述,个人金融信息安全标准实施所产生的“保护盲区”问题,集中体现于金融机构在安全技术运行、安全测率、安全准则以及应急处理等隐性条款自我规制上的努力。但金融机构服务文本在内容完整与保护力度实际情况远未达到理想状态,如何完善金融机构市场自律作为维护金融消费者信息安全的核心措施,无疑是一个现实抉择难题。虽然未来以标准认证实施的市场规制将继续发展,并发挥积极作用,但市场自律的效果是缓慢释放的,无法在短期内提升我国个人金融信息保护整体水平。在协同治理框架下,标准作为市场自律的依据,其生成逻辑无疑需要回应上述难题。
标准的形成有两种路径:政府引导与市场生成。政府引导的标准是政府通过标准法规推动形成的个人金融信息保护的国家标准体系;市场生成的标准是指金融市场主体自发形成的行业标准、团体标准或企业标准。如果只满足于形式上的内部生成,不赋予市场个体、团体自治权,就预示着政府规制仍将实质影响标准内部生成秩序,意味着有关团体事实上成为协助政府制定标准的工具。个人金融信息安全标准生成的动力来源在于赋予协会、企业足够的治理权限,强化其市场责任与社会责任。金融行业协会与金融机构获得自主治理权限,应符合市场等价交易准则,其对价在于市场责任与社会责任的承担。完善金融企业服务的首要工作是提高合规程度,具体措施应是在个人金融信息标准规则生成机制之内充分考虑利益相关者的权利与利益实现。经合组织认为标准制定组织应代表不同的经济利益,包括公共部门和消费者,以避免诸如只有少数制定者时可能出现的问题。通过个人信息安全标准的信息公开,提升金融消费者的议价能力,实现实质意义上个人金融信息安全标准生成的市场化驱动。
从法律解释视角看,个人金融信息安全标准对个人信息保护法律法规能起到解释作用。具体而言,应在保护个人金融信息的安全性、尊重信息使用的专业性、维护个人金融信息保护效能等前提下,在法律内容不确定时,立法明确授权行政机关制定技术标准解释的,法院应当采纳技术标准。默示授权的,法院对是否采纳技术标准,具有自由裁量权。在事实认定层面,技术标准作为证据和判断证据之证据能力以及证明力方法(包建华和陈宝贵,2019)。
个人金融信息安全标准发展瓶颈在于如何消除其不同运行机制间的盲区。个人金融信息安全标准通过在市场内权利秩序的更迭促进市场外权利秩序的变动,实现市场内外秩序交融。因此,消除制度保护盲区的关键是防止政府权力对市场标准内生机制的不当干预。个人金融信息安全标准(国家标准、行业标准)绝大部分为推荐性标准,其性质是建立金融行业内的个人金融信息保护的基础性门槛,并不限制基于门槛之上的技术创新与保护水平。因此,我国金融信息安全标准的变迁路径是以政府监管为主导,金融信息安全标准体系的“强公共性”与“弱市场性”决定了应强化对标准生成的竞争中性监督。通过竞争中性监督,一方面可以提升市场标准内生机制的竞优导向,调动金融企业市场自觉性,维护市场标准的导向机制,确保个人金融信息安全和效益的协调;另一方面可以确保政府介入金融信息市场标准生成的程度,为法律规制与市场自治衔接奠定基础。
个人金融信息安全标准竞争中性监督的使用要点:第一,强化标准制定组织的信息公开义务。若国家标准存在挤出效应或限制创新效果,应对国家标准保护个人金融信息的目标与技术要求、管理要求之间的必然联系做出详细解释,排除技术标准与管理标准以保护为“目的”行限制创新之“实”。例如,央行发布的技术文件《个人金融信息保护技术规范》“自上而下”地对个人金融信息的生命周期技术要求与安全运行技术要求,规定“必须符合法律规范与行业主管部门要求”,进而限制个人信息的收集和使用。有关金融信息生命周期技术要求以及运行技术要求的限定,都是基于有限理性进行判断的,这种“控制性”技术路线与标准的“市场化”的本质属性有所冲突,可能制约市场创新。因此,应当征求各方意见,并依法对相关政策动机进行公开和释明,降低政策施行的协调成本。第二,完善个人金融信息标准竞争中性的社会监督。个人金融信息安全环境的营造并非仅仅是监管层独立支撑,更多需要构建行业监管、社会监督、协会自律、机构自治的多位一体治理体系,共同打造全社会协同共治的治理格局,提升个人金融信息安全标准制定的公开化与透明度。美国网络安全标准开放竞争机制的经验表明,若对网络安全给予不同程度定义,并设立对应标准组,实现这些标准组的互相竞争,并由用户最终验证、判断哪个标准将最适合其特定要求,将极大降低标准治理成本(Srinivas et al.,2019)。因此,个人金融信息安全标准的开展不仅要向社会各界广泛征求意见,并且在监管层主体地位之外明确社会监督重要性。