金融消费者个人信息保护立法研究综述



            数据经济时代,大数据成为社会发展的重要驱动力,企业对数据的收集和挖掘利用能力已成为核心竞争力之一。随着互联网与信息技术的发展,金融业对信息与数据的依赖程度越来越高,特别是在精准营销与风险控制等方面,大数据的运用显得尤为重要,各金融机构均需要以大量的数据为支撑进行决策。为促进金融大数据体系的良性、健康发展,在鼓励金融机构有效挖掘金融大数据利用价值的同时,也需要重点关注金融消费者的个人信息保护。因此,本文对相关法律法规、政策性文件进行梳理,并对我国对金融消费者个人信息保护的立法状况进行探讨。


一、关于金融消费者个人信息保护的立法概况

        2006年银监会颁布的《商业银行金融创新指引》首次在政策性文件中使用“金融消费者”的称谓,该指引将“金融消费者”与“投资者”并列,意图将二者进行区分,但条文中并未涉及具体认定方法或区分的法律效果,该指引主要适用于银行业。2015年11月4日,国务院办公厅发布《关于加强金融消费者权益保护工作的指导意见》,该意见适用于各金融领域,其中多次使用了金融消费者这一概念,也仍未作出定义界定。在此之前,2013年修改的《消费者权益保护法》虽未明确提及金融消费者,但从第28条规定的金融服务经营者的义务可见,其已将消费者延伸至金融领域,“金融领域的消费者”涵盖了接受银行、证券、保险、基金、期货、电子票证等金融产品或服务的人,《消费者权益保护法》中的“人”原则上指自然人。至于能否将投资人纳入金融消费者之列,由于对“投资人”以及“生活需要”的解释尚存在探讨空间,目前还存在较大争议,条文中并未明确规定。

      我国就金融消费者的个人信息保护未采用统一的立法模式,金融消费者的个人信息保护散见于《消费者权益保护法》《网络安全法》《证券法》等法律之中;而关于具体权利内容的规定则更多在行政法规、部门规章或规范性文件中得以体现,如《征信业管理条例》《中国人民银行金融消费者权益保护实施办法》《证券基金经营机构信息技术管理办法》《保险销售行为可回溯管理暂行办法》等。监管机构在执法过程中颁布的文件也可成为消费者个人信息保护的依据,例如2019年为开展App违法违规收集使用个人信息专项治理工作,中共中央网络安全和信息化委员会办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了联合制定了《App违法违规收集使用个人信息行为认定方法》,在操作层面上为金融消费者的个人信息保护提供了具体指引。


二、金融消费者的个人信息保护

      (一)金融消费者个人信息保护的原则

      我国《网络安全法》《消费者权益保护法》《中国人民银行金融消费者权益保护实施办法》等均将合法、正当、必要原则作为经营者或金融机构收集、使用金融消费者个人信息的原则。其中包含了要求经营者或金融机构收集、使用金融消费者个人信息的方式、目的合法,且收集、使用该种信息是为提供产品或服务所必须的意义。对于各国或国际组织普遍规定的知情同意原则、公开性原则、目的限定原则、数据质量原则、安全保障原则等,由于我国目前尚缺乏关于金融消费者个人信息保护的统一立法,因而在现行法律中多以具体规则的形式体现。《个人信息保护法》还在制定过程中,目前发布的专家建议稿第二章中提及了个人信息保护的基本原则,包括:(1)合法性原则;(2)个人参与原则;(3)公开透明原则;(4)知情原则;(5)同意原则;(6)目的明确原则;(7)目的限定原则;(8)信息质量原则;(9)信息安全原则;(10)个人敏感信息特别保护原则;(11)未成年人个人信息特别保护原则。金融消费者的个人信息包含在个人信息的外延中,待《个人信息保护法》生效后,其中关于个人信息保护的原则性规定自然可适用于金融消费者个人信息的保护。

      (二)金融消费者对其个人信息享有的权利

      2017年通过的《民法总则》新增第111条规定“自然人的个人信息受法律保护”,为此学界对个人信息权的性质存在许多争论,但究其表述和立法安排,难以理解为已将自然人的个人信息权上升为一项独立的民事权利,更是难以根据该条款确定信息主体的权利内容。经查阅《消费者权益保护法》及金融领域的相关规定,可以概括出金融消费者对其个人信息享有以下具体权利:

      1.  选择同意权

      我国《消费者权益保护法》作为一部较早规定消费者个人信息保护的法律,第29条中明确了经营者的说明义务、保障消费者个人信息安全的义务,并确认消费者对其个人信息享有控制权,经营者需要经过消费者同意才可收集、使用其个人信息。《网络安全法》第22条也规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。”而对同意的方式,上述条文均未具体表述。

      关于可以收集、使用金融消费者的何种个人信息,或者是否需要经过金融消费者的明示同意,金融业各领域未作一致规定。(1)在征信领域,2013年实行的《征信业管理条例》第13条规定采集个人信息应当经本人同意;第14条进一步规定,采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息需要明确告知可能的不利后果并取得本人书面同意;而对于宗教信仰、基因、指纹、血型、疾病和病史信息、以及其他禁止采集的信息,无论是否取得本人同意,征信机构都不得采集,以列举方式规定了禁止采集的类别。(2)而对于银行业,2016年施行的《中国人民银行金融消费者权益保护实施办法》规定不得采取不正当的方式收集个人信息;2019年12月发布的《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第28条增加了关于同意的内容,金融机构收集、使用消费者金融信息,应经金融消费者明示同意,不得收集与业务无关的信息。(3)证券基金领域中,2019年施行的《证券基金经营机构信息技术管理办法》第34规定,证券基金经营机构应当公开收集、使用的规则和目的,并征得客户同意。2020年3月1日即将生效的《证券法》新增“投资者保护”一章,将投资者充分向证券公司告知其基本情况、财产状况、金融资产状况、投资知识和经验、专业能力等相关信息作为投资者接受、购买证券产品或服务的前提。(4)保险领域相关法规对保险消费者的保护多为原则性规定,但《保险销售行为可回溯管理暂行办法》第2条将通过录音录像等技术手段采集视听资料、电子数据的方式,记录和保存保险销售过程关键环节作为保险公司、保险中介机构的义务,第5条更是规定开展电话销售业务,应将电话通话过程全程录音并备份存档,并未将消费者同意作为采集、利用其个人信息的必要条件

      综上观之,金融领域大多将金融消费者的同意作为采集、使用其个人信息的合法性基础。对于同意的方式,各领域规定有所不同。由于对书面文件进行保存、查询、管理存在较大不便、成本高昂,随着无纸化的推进,此种方式难以得到普遍推广,近年来也少有规定将书面同意作为采集、使用金融消费者个人信息的合法性基础。而对于是否需要金融消费者的明示同意,各文件规定并不一致。作为国家标准的《信息安全技术 个人信息安全规范》已于2018年5月正式实施,其中第5.5条规定收集个人敏感信息应取得个人信息主体的明示同意,附录B对敏感信息进行了列举,如遵循该标准,收集、使用金融消费者的个人信息,需要取得金融消费者的明示同意。然其作为国家推荐性标准,并不具有法律的强制效力,无法起到统一规范作用。

        2.  撤回同意权、删除权

      结合各部门执法情况来看,我国对信息主体的选择同意权采用“选择进入”的规制模式。在金融领域,也少有规定消费者在同意后享有撤回同意权或删除权。仅《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第33条规定,如金融机构存在违法违规收集、使用个人信息的情形,金融消费者有权要求删除前述金融信息。其他法规均通过限制金融机构对所收集信息的保存时间来限制其使用,并未设置金融消费者主动选择退出的机制。《征信业管理条例》规定个人不良信息的保存期限为五年,《保险销售行为可回溯管理暂行办法》根据保险期限的长短对资料留存时间作了不同规定。当然,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》中也规定了自业务终止之日起,金融机构应当留存相关信息不少于三年,这可能会导致金融消费者的删除权与经营者的信息留存义务存在冲突。

      3.  信息安全权

      保障金融消费者的个人信息安全是对其进行挖掘利用的前提。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,对网络设备安全、系统安全与信息安全保护都作出了明确规定。根据《网络安全法》第21条,网络经营者须按照网络安全等级保护的要求,履行安全保护义务。国家对金融关键信息基础设施,除网络安全等级保护制度外,实行重点保护。2017年7月,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,以对运营者的安全保护义务作出进一步细化。金融各领域的法规也将金融消费者的信息安全置于首位,要求经营者在内部严格适用信息查询权限和程序,对外采用有效的技术保障措施,从内外两方面入手,在信息的采集、使用、储存、传输等全过程保护消费者的信息安全。

        4.  其他权利

      此外,金融各领域的法律法规中对金融消费者的知情权、查询权等权利虽有所提及,但均为原则性的规定,缺乏具体指引,如关于知情的时间、知情的内容、以及信息控制者的告知义务都没有具体规定,在规范层面上缺乏明确标准。值得注意的是,《中国人民银行金融消费者权益保护实施办法(征求意见稿)》第36条增加了可携权的内容,提出“鼓励金融机构在技术可行的前提下,基于金融消费者的请求,将其金融信息转移至金融消费者制定的其他金融机构。”这一规定在一定程度上强化了对数据主体的保护,被收集个人信息的金融消费者可以更积极地成为数据控制者和利用者。但是,可携权的行使有可能损害经营机构的财产权,可能阻碍可能阻碍竞争和创新。在当前仍未厘清大数据权属的背景之下,规定可携权似乎为时过早。

      总体而言,征信业主要基于对个人信息的汇总、分析而运行,因此《征信业管理条例》较早、较为全面地对信息主体的权利以及征信机构的义务作出了规定,证券、银行、保险等领域对金融消费者的保护更加侧重于交易安全。但2016年颁行的《中国人民银行金融消费者权益保护实施办法》对此作出了较大突破,作为一部专门保护金融消费者权益的规范性文件,该办法对银行银行业金融机构的信息保护义务进行了较为细致的规定。2019年发布的修订版(征求意见稿)更为系统地修订了金融消费者对其个人信息享有的权利,强调了金融信息使用过程中的用途限定,强化了金融消费者对其自身信息的控制与自主选择权,增加了金融消费者的删除权、更正权、可携权等权利。较之证券基金、保险等领域的法规,更全面的保护了金融消费者对其个人信息享有的权利。


三、金融消费者个人信息保护立法存在的问题

      (一)规范体系不合理

      通过考察域外法可以发现,对信息保护的立法轨迹遵循了“基本法权利保护——民法框架保护——专门法律保护——分领域具体权利保护”的基本路径。我国对个人信息保护的法律法规基本也可依此逻辑进行梳理,但在宏观层面的保护上仍有所不足,在专门法律保护方面,也亟待《个人信息保护法》来进行填充。金融领域下,金融消费者的个人信息保护缺乏统一、系统的规定,各行业已形成各自的规范群,关于金融消费者个人信息保护的规定散落在各行业的规范性文件之中。而各行业对个人信息的重视程度和保护力度参差不齐,真正明确具体保护规则的规范性文件效力层级普遍过低。

      (二)权利内容不完善、不具体

      我国当前对个人信息法律保护呈现“个人信息私权保护基本原则+相对抽象的分散规则”的模式。各个国家及地区对个人信息的保护基本都涵盖了知情权、查询权、更正权、删除权、反对权、封锁权、损害赔偿权等权利,由于我国个人信息保护专门法律的缺失,并无对信息主体相关权利的系统性规定,而金融各行业法规的相关规定过于零散,保护范围过于狭窄,无法实现对金融消费者的全面保护。即使是各行业都普遍规定的权利,如知情同意权,内容规范也不够具体清晰。

      (三)金融消费者的权利救济难以实现

      依据现行法律法规之规定,解决金融业个人信息纠纷的途径主要包含投诉、和解、调解、仲裁和诉讼。如果金融消费者提起民事诉讼,首先要解决的便是举证责任,经营机构获取金融消费者的个人信息之后,消费者无法知晓其权利在哪个环节收到侵害,更无法锁定责任人,按照“谁主张,谁举证”的一般规则,权利遭受侵害后,信息主体很有可能面临救济无门的无奈。此外,依据 2016 年《金融消费者权益保护实施办法》第 35 条规定,“金融消费者与金融机构产生金融消费争议时,原则上应当先向金融机构投诉。”修订后的征求意见稿沿袭此了规定,意味着如果相关权利遭受侵害的情形,对金融消费者的保护将主要依靠金融机构的自纠自查来实现,此种救济途径的合理性值得进一步探讨。


责任编辑:郑通