上海对外经贸大学 法学院
摘要:移动通讯技术的发展使互联网金融迅速且广泛地融入了人民的经济生活,与之相伴现实的是互联网金融机构在经营过程中积累了大量的用户信息。由于我国与个人征信相关的法律法规关于个人信息采集的边界和监管尺度尚未做出足够的规范,公民的个人信息受到侵犯的情况频频发生,近年来,小规模的个人信息泄漏、买卖事件频生。从单一事件而言,小规模的个人信息泄漏违反了商业道德;如果上升到战略高度,大规模的个人信息泄漏可能会危及国家安全。因此关于互联网金融下个人信息保护的问题需要探讨。
关键词:互联网金融征信;个人信息安全;法律防治
引言
根据我国目前提供的数据可以发现我国使用互联网作为平台进行金融操作的使用者占据很大的比例,高达6.27 亿人。其中中国网贷平台达 5879 家,其中正常运营平台 2534 家,网络借贷超 3 万亿。相较于互联网金融机构,消费者是弱势群体,这样巨大的金融使用量包含了巨大数量的个人信息,导致个人信息的安全性无法得到全面的保障,甚至在目前个人信息的泄露越来越严重。在平常进行金融操作时,许多网站的安全性令人担心。在这些数目众多的网站中被系统预警过的网站达到 381家,网页存在的漏洞竟有 950 个,而在 APP中含有大约159个漏洞。个人信息的泄露主要有黑客侵袭、病毒木马攻击、系统漏洞、诈骗网站、假冒网站、垃圾诈骗短信等这些方面。金融操作时个人信息安全问题具有点多面广、高频率多人数、个人信息需求量高、缺乏有效管理措施的特点。所以面对如此复杂的个人信息泄露需要我们投入更多精力与时间去治理。个人信息保护是互联网金融发展的重要基础之一。
一、互联网金融领域个人信息保护概貌
(一)互联网金融领域个人信息保护理论概述
就我国现有立法规制来看,在法律层面没有对金融信息做出明确的规定。但是在理论界和实务届,对互联网金融领域内的个人信息都进行了界定。一方面,在理论层面个人信息来源于隐私权的学术概念,1890年,美国法学家在《法学评论》上发表《论隐私权》一文,提出“隐私权”的概念。一般认为隐私权指的是保护自然人的个人信息和私人生活,私人不对个人信息产生侵扰。自然人是隐私权的主体,个人信息和个人活动是隐私权的客体,公共利益会限制隐私权的保护。对他人来说,权利主体在何种情况下可以介入私生活,决定是否向别人公开隐私。另一方面,从实务角度来说,可以参考中国人民银行从信息来源的角度定义个人金融信息。证券业务机构、银行机构和保险机构等在业务活动的开展过程中对金融消费者个人金融信息的获取和加工成为了本文所说的个人信息。因此互联网金融领域内的个人信息包括的范围比较广泛,主要有个人财产信息、个人身份信息、个人信用信息和个人账户信息等。
我国的个人征信监管模式是以传统的征信监管模式为基础而发展的,类似于欧盟的公共征信模式,即相关的个人征信机构由政府出资设立并对其进行监管的模式。我国的互联网金融个人征信业务起步较晚,所以,对个人征信的监管工作的设置也相对滞后。自13年来,国务院颁布实施的《征信业管理条例》和央行发布的《征信机构管理办法》通过立法明确了个人征信机构的内涵,并细致规定了个人征信机构的设立条件和程序、变更和终止,高级任职人员的监督管理。随后又逐渐建立起了准入制度,在15年1月,央行又印发通知将对8家个人征信民营机构“摸底考察”并以发放个人征信牌照方式作为个人征信行业的闸门开启的方式。
(二)互联网金融领域个人信息保护现状
据《2016中国网民权益保护调查报告》显示,从2015年下半年到2018年上半年,我国网民因垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失高达915亿元。9%的网民近一年来由于各类权益侵害造成的经济损失在1000元以上;每个网民平均时间损失3.6小时。而造成互联网金融消费者信息泄露的因素主要是三个方面。一是来自互联网体系本身的威胁,互联网体系的复杂行为为恶意行为提供了滋生的温床,对于互联网金融的信息安全风险控制而言,面临的挑战包括恶意程序、钓鱼网站、恶意手机APP等。二是用户隐私的安全性威胁,通过数据挖掘和数据分析非法获得个人和企业信息,目前用户隐私面临的威胁包括拖库攻击、工作人员泄密、APT攻击等。三是网络平台的可用性威胁,主要是金融平台自身的故障和来自网络的拒绝服务攻击(DoS攻击)。
二、互联网金融领域个人信息泄漏成因法律要素分析
(一)个人信息的法律内涵界定不清
我国目前没有成文的《金融消费者保护法》,只有法律条款散见于其他金融法领域中,如《证券法》、《保险法》等,且只有“公平、公正”的原则规定,缺乏实际可操作性;另外行政部门出台的有关规章,如2011年央行颁布的《关于银行业金融机构做好个人金融信息保护工作的通知》和2015年国务院出台的《国务院办公厅关于加强金融消费者权益保护工作的指导意见》都缺乏金融消费者个人信息安全权保护的具体规定;由于“金融消费者”与生活消费者概念相去甚远,《消费者权益保护法》不宜适用于对金融消费者的保护。因此,我国对金融消费者个人信息的保护仍存在法律空白,亟需出台金融消费者个人信息保护的专项立法。
(二)缺乏个人信息保护的统一立法
关于金融机构对用户信息的保密义务散见于《商业银行法》、《侵权责任法》和《刑法》的相关法律条文中,但是条款规定都呈现相对比较原则性的特点,没有具体的保密义务,并且除了《刑法》,其他都缺乏违反保密义务的具体惩罚措施。央行2011年和2012年分别发布的《个人金融信息保护工作通知》和《金融机构进一步做好客户个人金融信息保护工作的通知》也都缺乏具体的保密实施措施。具体义务和惩罚措施的缺失,导致金融机构在面对频发的信息泄露事件时,采取责任推诿的态度。中国银监会下设的金融消费者保护局缺乏具体的行动规章,并且依照的职责规定偏原则性,无法发挥监管作用。大部分金融消费者在信息安全权受损时会向银监会投诉,但是因缺乏确切的银行等金融机构信息泄露的有效证据,导致大部分投诉案件最终不了了之。消费者协会对金融消费者的投诉以其不属于《消保法》规定的消费者进行推诿,拒绝处理。因此,无论是银监会这样的机关还是消协这样的组织都无法对金融机构泄露用户信息问题进行有效地监督。
(三)互联网金融个人征信法律监管体系不够完善
互联网金融个人征信法律监管体系不健全我国现有的互联网金融个人征信行业还在萌芽期且相关法律监管体系还不健全,虽然近几年来国务院和央行出台了相关法规及配套制度,初步建构起了我国征信体系的法律监管体系的框架,但仍存在诸多方面有待细化完善。互联网金融个人征信法律监管机制不完备我国实行一元化的征信监管体制,即以央行为征信监管体系的中心监管部门对各类征信进行管理,其弊端显而易见。最明显、最关键的是,在目前的我国征信监管体制中,央行一方面是管理部门,另一方面又是法律监管体制的建设者,更是征信体制中主要的被监管者。
互联网金融个人征信法律监管水平滞后首批申请个人征信机构牌照的民间企业中,许多都利用了复杂的互联网平台、技术和海量的大数据信息,且互联网技术大大扩展了信息收集范围,拓宽了信息收集通道,加大了个人信息滥用隐患,提高了信息流通的技术保障要求。目前,互联网金融存在多头监管,空白地带多,监管标准不统一等问题。造成这种状况的主要原因在于不少互联网金融业务大多依附于传统金融企业或互联网企业,按照旧有的监管模式接受监管。在这种情况下,一旦出现业务创新或业务交叉,部分监管部门没有专业监管能力,就会出现监管空白。
三、互联网金融领域个人信息保护之法律途径
(一)厘定互联网金融领域个人信息的法律概念
保护公民个人信息安全,首要措施是要完善立法,同时还要完善相关法律解释,进一步明确法律条文的具体含义,使得以后再发生相关侵权事件的时候有法可依,有法必依。互联网金融发展相关的基础性法律立法。互联网金融的发展离不开个人信息的保护、信用体系、电子签名、证书等体系建设。这些体系构成了互联网金融发展的基础。过去一些年以来,我国制定了包括《电子签名法》在内等一系列法律法规。相较于互联网金融的快速发展,相关法律建设进度较慢,没有形成体系。建议相应的立法工作应加快步伐。
同时,互联网金融相关的部门规章和国家标准制定。互联网金融涉及的技术环节较多,如支付技术、客户识别技术、身份验证技术等。有些关键性技术环节甚至牵涉到公民权益和国家安全。当前,这些技术大多由企业自主制定,没有部门规章监管,也没有国家标准。为此,建议国家从战略高度,协调相关部委,推动相关部门出台规章,启动相应的国家标准制定工作。
(二)逐步建立并完善金融信息法律体系
相比于传统产业和传统金融行业,互联网金融行业课题宏大,业务庞杂,牵涉相关的国家部委和产业众多。甚至可以说,几乎每个行业、每家企业都能在互联网金融领域找到自己的位置。因此,加强对互联网金融行业发展的立法和监管,规范发展互联网金融,应该成为政府相关部门的一项重点工作。
保护个人信息安全需要依靠一套良好的制度体系。这是其一。其二,建立了一套良好的制度体系是个人信息保护的第一步,制度能否有效执行,执行的效果如何,需要持续进行评估和审计。其三,持续对员工进行信息安全培训,提高全员的信息保护意识是被证明行之有效的途径。技术保护措施是必要的,但通过技术系统的泄露只是信息泄露的一种,人工实施的买卖、非法获取、非法提供个人信息等问题仍然比较突出,这一问题与员工信息保护意识薄弱有关,因此防范买卖、非法获取、非法提供个人信息,全员持续培训是关键。
首先完善部门规章为主体的金融隐私保护制度体系。考虑立法程序复杂和时间成本等问题,应强化监管部门行政管理权,出台并实施保护金融消费者信息安全权的部门规章和规范性文件。其次加快专门立法进程,制定《互联网金融消费者个人信息安全保护法》。立法应当从金融机构应当承担的义务和金融消费者享受的权利及侵权救济手段等方面进行规定。最后是借鉴国外立法经验,制定适合我国国情的《金融隐私权法》,细化隐私权的内容、明确对隐私信息的保护和隐私权的侵权责任,保障隐私权人的救济权。
(三)我国互联网金融个人征信的法律监管的完善考量
加大监管力度,营造科学有序的互联网金融监管体系。为此,建议国家结合互联网金融发展的新情况,重新梳理各类金融企业的业务范围。在此基础上,明确相应企业、相应业务的监管部门,取缔未经监管许可的金融平台,建立互联网金融的行业统一数据平台。
首先,互联网金融个人征信法律监管框架的完善从目前各国的征信法律监管体系的成功经验来看,对一国国内市场的征信法律监管框架进行优化一般应从两个方面出发:第一,是于征信业务管理的法律规范,着重规范征信机构的市场准入与退出机制及其在收集、整理、形成征信产品并提供征信服务中发生的各类征信行为,将各类征信行为纳入监管范围,实现全方位的法律监管模式。
其次,互联网金融个人征信法律监管体制的改进这方面可以借鉴美国在成熟的信用交易市场环境下互联网金融个人征信监管中形成的经验,避免个人征信的监管机构对征信行业的监管的直接参与或向市场提供个人征信服务,进而避免行政部门在征信领域的公共服务,导致公私的监管与服务混乱,并严重阻碍市场信用体系的良好构建。
最后,互联网金融个人征信法律监管内容的细化首先,全新的界定互联网金融个人征信中的“信用信息”的概念。对征信机构资质认定机制的重构。针对征信需要的内容不同对企业资质、规模、征信范围、征信服务类型进行等级划分,使企业资质等级与征信信息的等级一一对应,明确各个等级资质的企业可征集的信息范围。
结语
确保互联网金融行业里个人信息的安全,不只是需要企业与政府监管的努力,同时个人也要注意保护自己的信息安全,每一个互联网金融的客户要养成良好的安全习惯。在个人信息保护的全过程中,政府部门要发挥主导作用,要进一步加大对电信、互联网等易泄露个人信息的行业的监管;要推动行业自律机制的形成,涉及个人信息保护的各个行业协会必须制定切实可行且有约束力的行业公约,一旦有企业触犯规则,可以进行通报等惩处,并及时向有关部门报告。在遇到任何不安全的情况时要注意积极取证,以方便监管部门的查证,可以维护自身的权益。相信经过大家共同的努力,可以使得互联网金融的安全问题逐渐减少,加快互联网金融行业的发展。
参考文献:
[1]中华人民共和国个人信息保护法学者建议稿[J].齐爱民.河北法学.2019(01)
[2]互联网金融与个人信息保护问题研究[J].黄伟.科技展望.2016(16)
[3]互联网金融的基础理论[J].谢平,邹传伟,刘海二.金融研究.2015(08)
[4]大数据下个人信用信息的保护与利用法律问题研究[D].李明昕.北方工业大学 2019
[5]论大数据时代个人信息权的法律保护[D].陈亚婷.河北经贸大学 2019
[6]大数据时代个人信息的民法保护研究[D].刘酒龙.吉首大学 2018
[7]论大数据背景下个人信息的保护[D].宋嵘.湘潭大学 2018
[8]个人信息泄露如何斩断利益链?.中国经济网.2018
[9]大数据坏境下个人信息保护研究.姚雨晴.华中师范大学.2018