金融消费者信息保护信条:知情同意

来源:《财经》杂志 2021-04-13 17:06:31

随着现代信息与数字科技的迅猛发展,全球已进入一个以移动互联网为核心的全新数字时代,数字技术的进步推动了全球经济和社会的整体变革,信息和通信技术的发展促进国家数字化进程。金融科技(FinTech)作为时代的产物,是金融业适应信息时代所发生的深刻变革,在科技与金融的深度融合中,以人工智能、区块连、云计算、大数据四大核心技术体系为主的金融科技正在驱动金融服务业重构与蜕变,对金融业的发展创新产生着深度影响。

经济金融与社会的数字化推动金融产品和衍生模式不断创新,一系列金融科技类产品和服务如雨后春笋般涌现出来,为金融消费者提供更多选择和极大便利的同时,也大大增加了信息泄露、信息欺诈的风险,对金融消费者信息保护工作及金融安全带来了新的挑战。面对新技术、新业态发展的金融科技时代,如何通过科技赋能强化对金融消费者信息保护,以此推动增进金融消费者福利与保护信息安全的平衡,是现阶段加强金融消费权益保护工作迫切需要研究的重要课题。

金融消费者信息保护呈现新变化

当前,人类社会进入信息时代,金融领域中的个人金融信息通过智能化方式被充分利用,展现出显著的经济社会价值。金融行业尤其是数字金融新业态的快速发展,使得金融产品与服务迅速融入广大人民群众的日常生活,并日渐成为老百姓的“生活必需品”,而个人金融信息也成为人们日益关注的重要信息。但近年来,个人金融信息被侵害、信息处理者行为不够规范等问题也层出不穷。各种涉及个人金融信息的违法违规行为不断出现,信息泄露、垃圾短信、骚扰电话、精准诈骗等问题威胁着广大金融消费者的隐私、财产甚至生命安全,人民群众对此类问题深恶痛绝。

2017年12月召开的中央经济工作会议明确指出,要着力解决网上虚假信息诈骗、倒卖个人信息等突出问题。近期,中央切实规范个人金融信息相关商业行为,严厉打击涉及个人金融信息的各类违法违规活动,对于保护金融消费者合法权益,满足人民群众日益增长的金融方面美好生活需要具有重要意义。

其一,金融科技时代的消费者主体形成鲜明的新特点。信息的价值在于流通。在金融科技时代,金融消费者信息只有在最大程度上进行流通,才能获得充分的开发和利用,这已是业内共识。照此逻辑,信息处理者对金融消费者信息的利用具有天然的扩张性。同时,金融消费者信息具有鲜明的“属人性”,即根本来源在于信息主体(金融消费者)。

基于金融科技特性,当前金融消费者呈现以下特征:一是金融科技产品或服务的交易具有虚拟性;二是金融消费者存在科技信息与专业知识的双重劣势;三是交易主体双方信息不对称问题突出。

在此背景下形成的金融消费者信息内涵也发生了新的变化。根据中国人民银行2020年发布的《个人金融信息保护技术规范》要求,金融消费者信息基本内核主要包括身份信息(如姓名、性别、身份证件等在内的基本数据);交易信息(主要指与金融机构交易过程中形成的个人信息,包括银行卡信息、交易金额、交易类型等);信用信息(主要为与个人借贷还款情况有关的信用情况)三个方面,并随着金融创新的发展而不断丰富完善。与此同时也潜藏了个人信息泄露、资金被盗等风险,金融消费者信息权如何保护就显得格外重要。

其二,金融科技时代消费者使用数字新技术是一种全球化的新趋势。金融产品和服务走向场景化已是大势所趋。一方面,线上的金融服务与多元化的场景相结合,可以拓展出更多的消费方式和服务方式。另一方面,线下众多的场景有转型需求,与金融平台的对接可以大大拓展其服务范围,降低消费门槛,提高效率。

越来越多的证据表明,创新将带来科技进步、改变金融服务提供者和消费者的行为,从而对整个金融系统产生重大影响。在移动互联网和全媒体的金融科技时代,整个金融客户服务产业正发生着变化,金融科技的创新发展给广大消费者带来了更加便捷的生活方式和更多更好的金融服务,与此同时也给部分风险意识相对薄弱的消费群体产生了新的冲击。因此,在这种背景下,推动加强金融消费权益保护的重要性日益凸显。

其三,金融科技时代新技术与金融的高度融合催生了新业态。金融机构通过大数据、云计算等手段,对客户进行“画像”,精准掌握消费行为、习惯、需求,并完成供需之间的信息推送与匹配,有效提高了金融服务质量和效率,带来了显著的经济效益。

但金融消费者是否知晓其信息被收集、使用的相关情况,信息处理行为会否影响金融消费者的合法权益(包括财产安全权、信息安全权、隐私权等),这些问题都在一定程度上被忽视了,金融消费者信息保护权利无法得到很好的保障。例如2018年的脸书用户信息泄露事件,严重影响公众对于互联网机构、金融科技的信任。“用户画像”在提升金融服务智能化的同时,也增加了对用户隐私的威胁。特别是如果传统银行业机构发生严重的用户信息泄露事件,极易影响金融消费者对于金融机构和金融行业的信任。因此,科技发展在为经济交往带来便利的同时,也蕴含着极大的信息安全风险,必须予以高度重视。

金融消费者信息保护面临新挑战

在当代社会,坚持以人为本的根本价值要求对信息主体给予最大限度的保护。在信息主体-信息处理者这一对关系中,金融消费者信息保护的矛盾日益凸显:前者要求保护自身权益并限缩信息利用,后者要求体现经济价值并最大限度扩展信息使用,因此不可避免地出现冲突。

在金融科技时代,金融消费者面临“新”的威胁,包括数字风险欺诈和滥用个人金融数据,数据隐私和安全漏洞以及网络犯罪等。如消费者可能对个人金融信息和账户密码的处理不当,或者数字金融服务平台对消费者个人信息保护不严格,可能会出现泄露消费者个人信息的情况。同时侵害金融消费者信息案件也呈多发态势,日常因信息泄露导致的贷款、理财、保险推销已让人目不暇接,严重侵扰生活安宁;买卖个人信息也成为刑事犯罪领域的典型黑产链,引发社会广泛关注。

从监管实践看,金融消费者信息保护工作仍面临以下挑战。

一是专门性上位法规定缺失,现有规定法律效力层级低。目前,我国直接对“个人金融信息”加以保护的规定普遍分散在各种规范性文件中的个人信息保护以及专门领域、行业的个人信息立法保护中,没有专门针对全体公民统一适用的个人金融信息保护法。

二是个人金融信息的民事定位缺乏,现有立法主要集中在公法领域。目前,我国关于个人金融信息的保护主要是通过义务主体的刑事责任和行政责任来实现,基本上属于公权力救济,对信息主体民事权利尚不明确。

三是个人金融信息内容规定不明确,可操作性较差。个人金融信息保护现有规定均以原则规定为主,简单表述为相关主体对知悉的个人信息保密、不公开、或不泄露的义务,实际操作起来较为困难。网络信息社会的个人金融信息需求已经到了非常具体和细化的程度,收集和使用个人金融信息的经营业务远比《征信业管理条例》规定的复杂,仅仅规定特许经营管理并不能对在企业经营中遇到的个人金融信息问题进行有效处理。

四是对个人金融信息保护的具体监管主体尚未明确,制度存在短板。个人金融信息保护工作由于缺乏明确的职责范围和协调机制,存在监管重叠的同时也存在监管短板。

追根溯源,较之以往,信息时代的金融消费者信息保护面临更大威胁,究其原因如下:

一是科技应用不当诱发风险。金融产品和服务凭借科技赋能,其创新力度不断加大,各类新产品、新服务、新业态、新方式方兴未艾。在金融消费者信息保护利用领域,信息被以大数据形式储存在网络云端或信息处理者的服务器中,通过复杂的数学模式和分析架构进行数据挖掘。一旦管理不善,例如分级管理不到位、信息安全防护不牢固、信息系统存在技术漏洞等问题,金融消费者信息势必被泄露或非法利用。这样的案例在世界范围内也屡屡见诸报端。正是由于科技的应用不当以及与之匹配的管理、风控措施不到位,使得金融消费者信息保护存在一定风险。

二是信息不对称导致法律地位不平等。金融机构和金融消费者在科技力量的掌握上存在力量不平衡,前者力量强大,后者相对弱势。这一科技力量对比的失衡,容易引发信息不对称,即金融机构凭借技术优势掌握海量信息,而金融消费者因其弱势地位,获取市场信息较为迟滞,在真实意思表示、作出合理决策等诸多环节都存在显著短板,极易因不当行为造成不可预期的损失。传统法律理论中的民事主体平等地位遭受挑战。金融消费者信息权利也就容易受到侵犯,且在纠纷处理中也处于维权能力较弱的不利位置。

国内外新探索

(一)国内实践探索。在当前金融消费者信息保护中,人民银行等部门积极推动个人金融信息保护相关制度建设等相关工作。

一是2011年和2012年出台了专门的个人金融信息保护规范性文件,首次对个人金融信息保护问题作出了专门规定。

二是2015年牵头推动出台了《国务院办公厅关于加强金融消费者权益保护工作的指导意见》(国办发〔2015〕81号),要求金融机构严格防控金融消费者信息泄露风险,保障金融消费者信息安全。

三是2016年出台了《中国人民银行金融消费者权益保护实施办法》(银发〔2016〕314号),设立专章对个人金融信息保护问题作出规定。

四是2019年将《实施办法》升格为部门规章,现已完成公开征求意见。以实现保护消费者信息安全权为要旨从信息收集、披露和告知、使用、管理、存储与保密方面进行了优化。此外,《非金融机构支付服务管理办法》(人民银行令〔2010〕第2号)、《征信机构管理办法》(人民银行令〔2013〕1号)等从支付、征信等不同角度对个人金融信息保护提出了具体要求。

五是人民银行自2013年起每年开展以个人金融信息保护为主要内容的监督检查工作,严格依法行政,促使金融市场经营主体行为逐步规范。针对近期暴露出的个别金融机构涉嫌泄露的个人金融信息情况,及时采取监管措施,加大处罚力度,积极配合公安机关打击不法分子非法买卖金融消费者相关信息行为。

六是聚焦金融信息保护主题持续开展了金融消费者教育活动,以提升金融消费者对个人信息的自我保护和防范诈骗等风险意识。

(二)国际经验借鉴。在金融消费者信息保护中,域外以欧洲和美国为典型代表形成了各具特色的实践路径,积累了丰富的经验,为我国科技赋能下的金融消费者信息保护提供了借鉴。

欧盟。在立法层面。2016年4月通过了《通用数据保护条例》,具有直接适用于各国的效力,在全面加强个人数据权利保护、强化企业维护数据安全的责任、限制企业针对个人的数据分析活动、加强对数据跨境转移的监管等方面作出了严格规定。

在监管层面。欧盟采用了“一站式”监管原则,优化监管机制,不仅明确了各成员国数据监管机构的管辖权,而且消除了监管真空并有效降低了企业的合规成本。同时增设了数据保护理事会,创设企业数据保护专员制度,全面强化了对数据的集中统一监管,提高了数据保护责任与意识。

美国。在立法层面,美国1999年颁布《金融服务现代化法》,为金融机构对客户信息的保护与利用制定了统一的法律规范。该法以金融隐私权为抓手,要求所有的金融机构均应披露对客户非公开个人信息保护的政策和使用方式,同时向客户提供选择退出权利,保护个人金融信息。

在监管层面,美国对隐私领域个人信息保护更倾向于行业自律模式。该模式是公司通过制定行业行为指引或行为规章,提供行业类保护。联邦交易委员会就网络上个人数据及隐私权益的保护规定过四项“公平信息准则”:网站搜集他人信息,应提前告知;允许客户自由选择信息;赋予客户核实个人信息真实与否的权利;要采取措施保护未经授权信息。

综上所述,欧盟更侧重于保护个人数据(信息)权利,形成以“知情同意”为基础的个人数据保护架构,是当今世界的最高标准。这种方式给予个人数据保护更高的重视程度,但在大数据时代也遭遇了诸多挑战:例如企业可能利用冗长的条款内容、不显著乃至故意隐藏的告知方式,使得客户常常越过声明直接点击同意,造成隐私条款沦为一纸空文;又或在不断创新的大数据技术面前,企业无法向客户穷尽告知个人信息二次及多次开发利用的目的等。

而美国主要更侧重于促进金融行业发展,以推动智能金融和电子商务发展的理念来对待个人数据保护,更多地将个人数据视为经济信息商品,注重信息的自由流通与其市场价值发挥,故并不设置事前的“知情同意”,而采用事后的“选择退出”。但这种方式也可能带来金融消费者对其个人数据控制程度较低,个人数据权利保护不足等问题。

中国式新路径

通过比较与借鉴,结合我国实际,笔者认为,在金融科技时代,应结合中国实际,着力构建以“知情同意”为基础的金融消费者信息数据保护架构,更加注重保护消费者个人数据的权利,从而推动金融消费者福利增进与保护信息安全的有效平衡。

(一)坚持金融为民,注重加强金融消费者信息保护顶层设计。充分借鉴域外良好经验,将维护金融消费者的长远和根本利益作为思考问题、出台政策、强化监管的出发点,强化顶层制度设计,坚持“以人民为中心”的发展思想,积极践行“金融为民”理念,加强信息保护制度的顶层设计,着力解决困扰老百姓日常生活的个人金融信息保护难点痛点。注重金融消费者数据保护和隐私规则,探索建立综合性的消费者和数据保护方法,深入分析当前金融消费者信息保护存在的问题,全面归纳金融机构对金融消费者信息的侵害类型,重点关注与数字金融服务相关的具体问题,真正构建符合中国国情、适应科技时代发展的金融消费者信息保护“四梁八柱”构架。

(二)坚持立法先行,注重健全金融消费者信息保护法律体系。系统研究现行法律、法规、规章中与金融信息保护相关的条文,梳理各法律法规之间的承接和递进关系,推进金融信息保护立法体系结构由低级向高级、由零散向系统化演进。严格遵循《民法典》专章规定的“隐私权和个人信息保护”相关要求,结合金融科技发展趋势,加快推动专门立法,补齐短板,建立健全符合实际的金融消费者信息保护法律体系。通过制度设计,对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出具体规定,明确相关权利。在此基础上,及时修订适应数字时代的金融消费者信息保护战略,建立保护消费者身份数据隐私和安全制度,明确只有在知情同意的前提下才能使用、披露数据,构建与科技时代相适应的金融消费者信息保护法律框架。

(三)坚持科技赋能,注重强化金融消费者信息保护行为监管。一是压实信息处理者主体责任,严格规范金融信息相关商业行为。联合有关部门综合利用资质审核、监督检查、第三方评估等手段,督促各机构切实履行保密和保护义务,按照“合法、正当、必要”原则严格依法收集用户信息,纠正利用“霸王条款”强制收集使用用户信息的行为,有效防止个人信息泄露和滥用。

同时,严格督促各机构主动作为,运用科技手段提升金融信息保护能力,通过开发可访问、可负担、可验证的客户身份识别系统,提高数字金融服务的可得性,强调身份识别系统的保密性、安全性。实施数据资源分级分类管理,切实做好技术升级、应急管理等工作。建立健全金融信息保护机制,持续评估、改进金融信息保护政策和措施,搭建个人信息保护事前、事中、事后全流程规范体系。

二是强化行为监管中的科技应用,着力加大金融信息保护行为监管力度。通过建设信息系统,加强工作指导,明确开展金融信息保护的监管标准,进一步传导监管压力,提升风险监测和预警能力。同时,加强与各有关部门监管合作,明确“谁收集,谁负责”的原则,破除数据壁垒,加大对窃取、倒卖、盗用个人信息行为的打击力度,切断个人信息犯罪产业链条,依法严肃追究相应的刑事和民事法律责任,确保公民个人数据权利免受侵害。

(四)坚持教育为本,注重提升金融消费者信息保护风险意识。充分利用互联网、大数据、云计算等数字化金融知识普及方式,借助微博、微信小程序、手机App、官方网站等新媒体平台,积极组织开展金融信息保护教育宣传活动,提高宣传实效,不断提升公民金融素养,帮助广大社会公众了解掌握个人金融信息保护基础知识内容,提升涉及金融信息格式条款的辨识能力和纠纷处理能力,从而有效维护自身合法权益。督促信息处理者做到充分的信息披露,确保信息主体明晰权利义务。推动以案说法,做好警示教育,积极引导公众提高金融信息保护风险意识,依法理性维护好自身合法权益。

(五)坚持守正创新,注重畅通金融消费者信息保护救济渠道。建立稳定的追索机制,使个体在知情权等权利或隐私被侵犯时能够获得救济。进一步畅通投诉、举报、仲裁、诉讼、调解等权利救济渠道,既要压实金融信息侵害者的行政责任、刑事责任,也要明确与其侵害行为相对应的民事责任,从而提高违法成本,最大限度对利益受侵害者予以赔偿。同时,各监管部门应加强合作,最大限度发挥监管合力,畅通受理渠道,开展综合整治,持续形成高压态势,加大对信息违法查询和泄露等违法犯罪活动的打击力度,严堵信息贩卖等利益链条,切实保护广大金融消费者的长远和根本利益。

(作者为中国人民银行金融消费权益保护局副局长、研究员、博士生导师;)

本文仅代表个人研究观点。

尹优平/文