B3:信息
当前,金融大数据被广泛应用于客户画像、精准营销、风险管控、运营优化等诸多领域,在拓宽金融服务渠道、延伸金融服务深度、提升金融服务效率、降低金融服务成本、推进普惠金融等方面发挥了重要作用。与此同时,部分金融机构因信息泄露问题受到了监管部门的问责和社会舆论的关切,个人金融信息保护日益成为“两会”代表、委员和社会群众热议的话题,依法保护个人金融信息迫在眉睫。
客观而言,个人金融信息保护是一项复杂的系统工程,在立法上需要构建以民法基础,涵盖民事法律、行政法律、刑事法律的全方位的个人金融信息保护法律体系。近年来,我国在立法保护个人信息保护方面做了大量工作,个人信息保护立法逐步完善。在刑法保护方面,刑法修正案(九)规定了侵犯公民个人信息罪;在行政法保护方面,《消费者权益保护法》《网络安全法》分别从经营者角度和网络安全角度对个人信息保护给予了规范。特别是就个人金融信息保护问题,《商业银行法》《证券法》《反洗钱法》《征信业管理条例》等金融法律法规进一步做出了明确规定。此外,中国人民银行等金融管理部门先后出台了《关于银行业金融机构做好个人金融信息保护工作的通知》《关于金融机构进一步做好个人金融信息保护工作的通知》《金融消费者权益保护实施办法》《个人金融信息保护技术规范》等规范性文件,从责任主体、安全技术和安全管理等层面,对个人金融信息的收集、传输、存储、使用、删除、销毁等全生命周期保护给出了严格规范。但在民法保护方面,我国立法相对滞后,仅在《民法总则》第111条中对个人信息保护进行了非原则性规定,同时对个人信息的法律属性未予明确,存在基础性法律缺失问题。
2020年5月通过的《民法典》,在“人格权编”下设立“隐私权和个人信息保护”专章,首次对个人信息保护进行了相对完整的法律规定,明确了个人信息的法律性质、概念、分类、保护原则及免责条款,彰显了“以人民为中心”的立法理念,解决了个人信息保护民事立法缺失问题。众所周知,《民法典》是社会生活的百科全书、市场经济的行动指南,是推进全面依法治国、增进人民福祉的有力手段。《民法典》对个人信息保护的立法规定,解决了个人金融信息保护的基础性法律问题,完善了个人金融信息保护法律体系,具有开创性的意义。
第一,《民法典》首次明确了个人信息的法律属性,开启了个人信息的权益保护模式。一直以来我国法律界对个人信息的法律性质存在争议,没有形成定论。一种观点是把个人信息看作一项权利,或者将其归入隐私权、或者归入人格权、或者归入新型财产权、或者看作一项复合权利。另一种观点是把个人信息看作是一种权益。与权利相比,权益的范围更加广泛,不仅包括权利,还包含与权利相关的利益在内。此外,对权益的保护往往具有被动性特征,更多地是从弱者的角度进行考虑,比如我国《妇女权益保障法》《消费者权益保护法》等。我国《民法典》采用的是权益保护模式,没有使用“个人信息权”的表述,将个人信息保护与隐私权并列,更多地体现了个人信息的人格利益特征。权益保护模式的优点在于,更多的举证责任将由负有保护业务的机构或者侵权行为人承担,更加符合个人信息保护的特点。就个人金融信息而言,《民法典》实施后,金融机构对个人金融信息的保护义务将更加强化,举证责任将更加严格,对消费者的个人金融信息保护将更加有利。
第二,《民法典》区分私密信息与非私密信息,更有利于个人金融信息的保护。我国《民法典》将个人信息区分为私密信息和非私密信息,采取不同程度的保护。对于私密信息,纳入隐私权保护范围,给予比非私密信息更加严格的保护。比如,在信息的处理方面,处理他人的私密信息,应当经过权利人的明确同意或者法律规定,相比较非私密信息要严格得多。就个人信息金融信息而言,哪些属于私密信息,哪些属于非私密信息,尚未有明确规定。《个人金融信息保护技术规范》规定了个人金融信息的范围,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,并将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别,给予不同承担的保护。笔者认为,由于个人金融信息的特殊性,除了个人身份信息中的姓名、性别等极少数信息外,大部分的个人金融信息都应属于私密信息,特别是《个人金融信息保护技术规范》规定的C3、C2类信息都应归入私密信息范畴,给予严格的保护。随着《民法典》的贯彻实施和相关配套法律的完善,个人金融信息的民事保护将更加有法可依,相互衔接,大部分的个人金融信息将以私密信息为标准实施严格的保护,对个人金融信息的保护将更加有利。
第三,《民法典》首次规定了信息处理者向自然人的告知义务和向有关主管部门的报告义务,对自然人的个人信息保护措施更加完善。《民法典》第1038条规定:“信息处理者……发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”该规定既保障了自然人的知情权,防止个人信息侵害的发生或者进一步扩大,又有效连接了个人信息的私法保护与公法保护,使得个人信息发生或者可能发生泄露、篡改、丢失时,能够诉诸行政力量加强对个人信息的保护,大大提升个人信息保护的力度,最大限度降低信息泄露、篡改、丢失的风险,并及时加强对违法行为的查处,保障信息安全。
《民法典》的贯彻实施将为个人金融信息保护提供了基本的法律遵循,有效破解了大数据时代个人金融信息保护难题,开启了个人金融信息保护的新时代。笔者希望,进一步加快个人金融信息保护相关配套立法,适时出台《个人信息保护法》,将《民法典》的规定进行细化;制定专门的《个人金融信息保护条例》,加快出台《个人金融信息(数据)保护(试行)办法》,加紧修订金融领域现行相关法律,并做好法律、法规、规章及规范性文件之间的衔接,构建起强大的个人金融信息保护法律体系,为个人金融信息保护提供完备的法律支撑。 (赵学亮 张兴国)