陈芊颖
上海市黄浦区人民法院,上海 200001
个人信息逐渐成为大数据时代的重要资源与财富,而金融消费者信息因其具有的可用性和稀缺性更加面临着被贩卖、被盗用的危险。《民法典》确立了个人信息权,作为其下位概念的金融消费者信息权益理应受到保护[1]。
金融消费者是消费者在金融领域的延伸和专门化,其是指购买、使用金融机构提供的金融产品和服务的自然人。金融消费者信息则是金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。
对于金融消费者信息的保护最终要通过主体权利来实现,只有当金融消费者信息中所蕴含的利益转化为法定的权利时,才能够使金融消费者的信息利益得到保护。《民法典》确定了个人信息受到法律保护,金融消费者信息作为金融这一特殊领域的个人信息,亦应作为一种法定的权利由法律予以保护。金融消费者信息权是指金融消费者在进行金融消费时,对其个人金融信息享有绝对控制的权利,包括占有、使用、收益、处分,任何人不得擅自窃取、收集、使用,否则将承担相应的责任[2]。
1.民法:原《民法总则》第一百一十一条将个人信息权从一般人格权中独立出来,确立了个人信息权为自然人的一项基本民事权利。现行《民法典》第一百一十一条延续了原《民法总则》对个人信息权的规定,而个人金融信息作为个人信息的下位概念,自然亦受到《民法典》的保护。
2.刑法:《刑法修正案(七)》增设“出售、非法提供公民个人信息罪”以及“非法获取公民个人信息罪”。《刑法修正案(九)》规定所有主体都可能构成侵犯公民个人信息的犯罪主体,并对侵犯个人信息行为的范围进行了扩充。因此,侵害公民个人信息,情节严重的甚至会上升至犯罪层面[3]。
3.金融法:《消费者权益保护法》第十四条明确要求保护消费者个人信息,还间接肯定了金融机构所提供的金融商品或金融服务的行为受到《消费者权益保护法》的规制。《商业银行法》规定了商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯以及办理个人储蓄存款业务时应当遵循为存款人保密的原则。
4.其他部门法:《网络安全法》在第四章“网络信息安全”设专章规定保护公民个人信息,其中亦包括个人金融信息。《反洗钱法》对反洗钱相关信息作出了规定。其中,新出台的《个人信息保护法》规定了个人信息处理规则,同时规定了个人的权利与信息处理者的义务,还确定了法律责任。
《征信业管理条例》规定采集个人信息的原征信机构禁止采集的个人信息范围,并设置“金融信用信息基础数据库”专章。
《中国人民银行金融消费者权益保护实施办法》(以下简称《实施办法》)吸收了个人信息保护领域最新法律文件诸如《民法典》的要求,在第三章中对个人金融信息保护设置了专门的规定。其还规定了处理消费者金融信息应当遵循的原则,限定了金融信息的使用范围等。除此之外,还有《国务院办公厅关于加强金融消费者权益保护工作的指导意见》《个人金融信息保护技术规范》等相关规范性文件[4]。
通过以上的列举,我国金融消费者信息保护的法律框架主要体现在两大范围,一是金融消费者整体权益的保护,二是个人信息的保护。在《实施办法》颁布之前,对于金融消费者信息保护的规定不仅数量少,而且体系散乱、内容滞后。同时,直接涉及金融消费者信息保护的规定大多出现在效力层级较低的规范性法律文件中,其具体保护措施并不能在实践中很好地落实,使得金融消费者无法有效进行权利救济。《实施办法》出台后才将这一局面进行了改变,其细化、落实了上位法要求的问题,并且在效力阶层上属于部门规章,相较于原《办法》的规范性文件,效力更高。
然而,《实施办法》虽然填补了个人金融信息保护方面的制度空白,但不足以改变我国金融消费者信息保护的现实困境。目前,我国金融消费者信息侵权的救济手段之一是诉讼救济,而《实施办法》在规范银行、支付机构提供金融产品和服务的行为,以非讼方式解决金融消费争议方面尚可起到一定的作用,但作为部门规章,其在司法实践中难直接适用于裁判。因此,对于金融消费者信息权的诉讼救济仍然有赖于相关法律性文件的出台。
通过相关案例查询,笔者总结纠纷类型如下:
该类型案件多为名誉权纠纷,个别为个人信息权纠纷。诉请基本为请求被告取消不良征信记录以及赔偿侵害名誉权或者相应人格权的损失。
原告要求取消不良征信记录通常基于两种原因:一是原告的债务已清偿完毕。该类案件中,不良征信是真实的,故被告向征信机构报送真实记录,并非捏造,不存在虚构事实和侮辱、诽谤等情形。但由于债务已清偿,其原先报送的信息客观上发生了变化,根据《个人信用信息基础数据库管理暂行办法》第十一条的规定:“商业银行发现其所报送的个人信用信息不准确时,应当及时报告征信服务中心……”被告理应将更正信息及时报告征信机构,协助消除原告的不良信用记录。然而,尽管不良征信记录客观上为原告的生活和工作造成了相应的阻碍,但由于银行征信系统相对封闭,相关信用记录并未在不特定的人群中传播,未造成原告的社会评价降低,故法院仅判决被告提请征信中心消除原告的不良信用记录。
二是原告与被告之间无贷款或逾期,被告将错误的信息上报征信机构。该类案件,不良征信记录因被告的过错导致,并非真实存在。被告的错误行为客观上影响了对原告的公正评价,导致原告名誉等受损。因此法院在判决消除不良信用记录的同时也支持了名誉权等相关诉请。
公民的征信信息亦属于金融消费者的个人信息,包括贷款还款情况等个人在经济活动中形成的、能够反映其信用状况的信息。即使原告与金融机构没有形成贷款等金融法律关系,该信息亦可能由金融机构从其他渠道获取,侵害了原告的金融消费者信息权。该侵权结果可能会对金融消费者另外的金融消费产生障碍,如其因征信有不良记录,无法向其他金融机构申请贷款。因此,无论上述何种情况,都是对金融消费者信用信息的侵犯,金融机构应当承担相应的侵权责任。
该类型案件可通过两个案例来反映。案例一为原告在被告银行处办理教育代收费业务,被告未经原告同意,将原告姓名、银行卡号等信息告知学校,并发布在班级群中。法院认为,原《民法总则》规定自然人的个人信息受法律保护,《商业银行法》则规定为存款人保密,保障存款人的合法权益不受任何单位和个人的侵犯,是商业银行的法定及合同义务。故被告的行为侵犯了原告的合法权益,应承担相应侵权责任。本案中,银行办理教育代收费业务所获取的家长的个人信息为金融消费者信息,银行未经原告同意,将原告的个人金融信息发布于公开场合,侵犯了原告的金融消费者信息权。
案例二为一起隐私权纠纷:原告系“网红”,在被告银行处办理贷款的过程中,原告应被告工作人员要求手持身份证,在被告柜台处由被告工作人员拍摄照片,供贷款审批之用。后由于贷款等信息被银行泄露,经大量的媒体公众号转载并配上不实的言论后,对原告工作和生活产生极大的负面影响。
法院根据各方举证,结合日常经验法则后认为,除了照片,博主还在该微博中准确披露了原告的贷款信息。由于被告无证据证明系贷款中介或原告本人向博主披露了贷款信息、提供了照片,而涉案微博中的照片与被告系统中留存的照片相同,根据民事案件中高度盖然性的证明标准,可以推定原告的相关贷款信息及照片系自被告处泄露。贷款信息与公民个人的财务状况相关,可能会使他人对公民的财务状况产生一定联想,对公民的正常生活造成干扰,故该信息应属原告有权决定是否向不特定公众进行披露的信息,属隐私权保护的范围。被告对原告的贷款信息应妥善保管,避免信息泄露。虽无证据证明系被告员工直接向博主爆料,但涉案的贷款信息来源于被告,被告因管理不善而导致原告的贷款信息扩散,与原告贷款信息泄露存在因果关系。该信息被爆料给娱乐博主,娱乐博主在微博上公开该信息后对原告造成了一定的负面影响,故被告侵犯了原告的隐私权,应承担相应的法律责任。
该类型案件为财产损害赔偿纠纷。原告因受他人欺骗,向被告银行开立的某账户转账,后向被告多次请求提供诈骗账号的户主信息但遭到被告的拒绝。原告认为损失与被告的重大过错有直接的因果关系,故被告应承担损害赔偿。被告辩称原告要求调阅个人信息没有法律依据,被告不得随意泄露客户的身份信息。法院认为:公民的个人信息受法律保护。而储户的身份信息、开户和销户资料均属于储户的个人信息,依照原《民法总则》及《商业银行法》的规定,被告对储户的个人信息负有保密义务,不得随意泄露。据此,对于原告请求向被告银行调取所谓诈骗账户的身份信息及开户、销户资料的诉请不予支持。
本案是从侧面反映出对金融消费者信息权的保护。银行在没有法律与事实依据的情况下,不予提供储户的个人金融信息,保障了金融消费者的合法权益。法院根据对个人信息权保护的规定,依法判决驳回原告诉请,亦是事实认定清楚、适用法律正确的公正裁判。
由于个人信息权在我国民法中确立不久,因此在涉及个人信息权的案件案由仍多以一般人格权纠纷、名誉权纠纷为主。但个人信息权同时具有身份权与财产权的双重属性,如仅以侵权人是否侵犯了人格权进行审理,很可能作出侵权人并未侵犯相关权利的认定。比如在取消不良征信记录的第一类案件中,法院审理后认为不良征信记录客观上为原告的生活和工作造成了相应的影响,但未造成原告的社会评价降低,故不成立名誉权纠纷。然而,若以侵犯个人信息权为方向,则银行因未履行及时报告征信服务中心客户信用信息改变的义务,造成对用户信息的不当使用,侵犯了用户金融信用信息权,应承担相应的责任,从而保障了金融消费者的合法权益。
金融消费者的举证困难体现在两个方面:一是由于金融消费者信息被不同金融机构所掌握,一旦发生侵权行为,金融消费者难以确认侵权的源头,从而无法确认侵权主体与方式;二是由于金融机构的专业性与保密性,金融消费者难以独自获取信息被侵犯的证据。举证困难的情况不仅使金融消费者在证明侵权行为与侵权结果之间存在因果关系上充满障碍,对于法院而言,如何分配举证责任,如何在现行法律框架内最大程度保护弱势的金融消费者群体亦颇具难度。从上述隐私权纠纷案件即可看出其需要法官合理运用举证责任分配,并对判决理由进行充分论述,才得以保障金融消费者的权益,而这无疑加大了司法审判的难度[5]。
尽管《实施办法》的出台填补了个人金融信息保护方面的制度空白,但因其部门规章的效力层级,在司法实践中很难直接适用于裁判。根据上述案例可以看出,法院据以裁判的法律法规仍以一般人格权、名誉权相关内容为主。直接涉及金融消费者权益保护法律文件的缺位是造成上述相关问题的根本所在。在《民法典》确立了个人信息权为一项基本民事权利后,《个人信息保护法》业已颁布,其作为一般法可给予消费者最基本的权利保障。《个人信息保护法》颁布后,在侵权案件中权利指向不明的问题一定程度上可以得到解决,法院在审理相关案件时可不再仅限于人格权的范围内进行裁判。
《个人信息保护法》明确了法律责任,除了行政责任之外,个人信息处理者不能证明自己没有过错,应当承担损害赔偿等侵权责任。因此,个人信息处理者在民事责任方面承担的是过错推定的侵权责任,该规定减轻了个人信息被侵犯者的举证责任,在金融领域同样适用。但正如上文所述,金融消费者在举证中的困难亦基于金融领域的专业性与保密性,仅由一般法的规制不足以完全保障金融消费者的信息权,仍需同时出台金融消费者相关的部门单元法,以形成普通法与特殊法相结合,全方面、多层级的金融消费者信息权益保护。