作者简介:邢会强,中央财经大学法学院教授,博士生导师,法学博士
文章来源:《当代法学》2022年第3期
摘要:金融法视角的个人信息保护法就是个人金融信息保护法。从定位上看,个人金融信息保护法是根据金融业的特殊性而制定的个人信息保护法;个人金融信息保护法是由传统金融法升级进化而来的,是数字经济时代的金融法;个人金融信息保护法与金融消费者保护法虽有交叉、相似关系,但二者相对独立。从定向上看,个人金融信息保护法既遵循个人信息保护法的一般规律,也应根据金融业的特殊性而进行相应的调适;个人金融信息保护法虽名为“保护”但也暗含“发展”,它既注重个人金融信息和金融数据的安全问题,也重视金融服务业的发展问题。
关键词:个人信息;个人金融信息;金融数据;金融隐私
“个人信息受法律保护。”为保护个人信息,我国除了在《中华人民共和国民法典》(以下简称《民法典》)中规定了相关个人信息保护制度之外,还专门制定了单行法一《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)。个人信息保护法,是指所有的保护个人信息的法律规范的总称,它不仅包括单行法意义上的《个人信息保护法》,还包括其他法律法规中的个人信息保护法律规范。
金融领域也应遵守个人信息保护法。金融领域的个人信息,被称为“个人金融信息”,它是个人信息的子概念。自从“个人金融信息”或其前身“金融隐私”的概念诞生以来,便采用了比较宽泛的定义口径。通说认为,个人金融信息不仅仅包括个人金融账户及账户内的交易信息,还包括与此相关的金融服务机构收集的所有个人信息(如个人基本信息、生物识别信息、其他财产信息等),以及由此而衍生出的新的个人信息(如客户画像等)。个人金融信息具有多元性与复杂性并存,敏感性、精准性与高价值性共生,私人性与公共性交织等特征,因此,需要对个人金融信息予以重点保护。对此,国家立法机关和金融监管机构早已认识到这一点,已经出台且还将出台相关的法律法规。近年来,随着金融服务机构侵犯个人金融信息权益的案件时有发生,网信部门和金融监管机构也加强了个人金融信息保护的执法力度。这些侵犯个人金融信息权益的案件之所以被曝光并受到了社会各界高度关注,也是因为我国公民关于个人金融信息的权利意识正在觉醒。随着我国《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)和《个人信息保护法》等网络与信息法的相继出台,金融服务机构主动保护个人金融信息的意识也不断增强。
在上述背景下,有必要从金融法的角度系统研究个人信息保护法。法律定位决定立法方向,立法方向影响法律定位。本文主要研究、探讨个人金融信息保护法的定位与定向两大基本问题。在个人金融信息保护法的定位问题方面,研讨个人金融信息保护法在我国法律体系中的地位、在金融法体系中的地位以及与金融消费者保护法的关系问题;在个人金融信息保护法的定向问题方面,研讨个人金融信息保护法的基本价值追求和特定功能这两个基本问题。希望通过这一研讨,深化我们对个人金融信息保护法的认识,洞见个人金融信息保护法的特质,增强对个人金融信息保护法立法和执法司法的理性认识,使相关的立法更科学,法律解释及执法司法更圆融。
一、个人金融信息保护法在网络与信息法中的地位:
个人信息保护法的特别法
个人信息本来是极其隐私的事物,在大数据时代却时刻处于“裸奔”状态,时刻面临被侵犯的风险。因此,各国纷纷出台专门的个人信息保护法对个人信息进行保护。
个人信息保护法是网络与信息法的重要组成部分。我国《个人信息保护法》上承《中华人民共和国宪法》(以下简称《宪法》),在网络与信息法中具有基础性的地位。网络与信息法作为一个新兴的法律部门,与传统的刑法、行政法、民法、商法、经济法、诉讼法等部门法虽有交叉,但也具有相对独立的地位。网络与信息法包括网络法、数据法、人工智能法、区块链法等。个人信息(保护)法又是数据法的特别法,应是“数字经济秩序法”。因此,个人信息保护法不是民法的特别法,它虽与民法有交叉,但也具有相对独立的地位。
既然网络与信息法与传统的民法、行政法、经济法等部门法有交叉,我们就可以从交叉学科的视角来研究网络与信息法,包括个人信息保护法。金融法无论如何定位,是经济法的子部门法,抑或是商法和经济法的交叉子部门法,撇开这一争议,并不影响我们从金融法的视角研究个人信息保护法,也就是研究金融领域的个人信息保护法律问题。金融法视角的个人信息保护法,就是个人金融信息保护法。
笔者认为,个人金融信息保护法是个人信息保护法的特别法,二者构成特别法与一般法的关系。这是因为:第一,个人金融信息是个人信息的子概念,或者说个人金融信息是个人被金融服务机构收集的所有个人信息,二者是特别与一般的关系。第二,个人信息保护法具有普适性,无论是公权机关,还是一般的商事主体及非商事主体,都需要遵守,金融服务机构自不例外。
“特别法优于一般法”规则是处理一般法与特别法冲突的基本规则,早在罗马法时就存在。通常来说,当两部法律在适用范围上构成了特别与一般的关系时,调整特别关系的法是特别法,调整一般关系的法是一般法。特别法比一般法更精准。特别法是在考虑具体社会关系的特殊需要的前提下制定的,更符合它所调整的社会关系的特点,所以具有优先适用的效力《中华人民共和国立法法》第92条规定,同一机关制定的法律、行政法规、地方性法规、自治条例和单行条例、规章,特别规定与一般规定不一致的,适用特别规定。在全国人大常委会制定的“法律”中,《中华人民共和国商业银行法》(以下简称《商业银行法》)、《中华人民共和国保险法》(以下简称《保险法》)、《中华人民共和国证券法》(以下简称《证券法》)、《中华人民共和国反洗钱法》(以下简称《反洗钱法》)等都有关于个人金融信息的规范,它们如果与《个人信息保护法》的规定发生冲突,显然要优先适用前者。例如,如果我国制定了金融控股公司信息共享方面的法律或行政规章,其规定的信息共享规则与《个人信息保护法》发生冲突时,应优先适用前者。
但既然个人金融信息保护法是个人信息保护法的特别法,当二者不存在冲突时,或者金融单行法对个人金融信息没有规定时,显然要适用个人信息保护法。换言之,个人信息保护法的执法部门可以适用《个人信息保护法》对金融服务机构进行处罚。当然,在实践中,为了使这一适用更加顺畅、具体、精确,中国人民银行有必要牵头制定相关的综合性的个人金融信息保护规定,以承接和实施《个人信息保护法》,同时也进一步明确金融监管机构作为个人金融信息监管机构的地位,有权对违反《个人信息保护法》的行为作出处罚。
二、个人金融信息保护法在金融法体系中的地位:
由传统金融法进化升级而来
传统金融法严格对客户的金融隐私进行保密。保密是银行的一项悠久的历史传统。金融法诞生于工业经济时代,以银行保密法为代表。它对金融隐私只是保护而谈不上利用。进入数字经济时代,随着大数据技术在金融业的广泛运用,金融业越来越依靠大数据实现大数据风控、反欺诈、客户服务与精准营销等。在大数据时代,个人金融信息由于其精准性、敏感性、高价值性等特征,使得个人金融信息的保护格外受到人们的重视。由此,传统的金融法也就顺势而为,转型升级为大数据时代的金融法。
个人金融信息保护法在金融法体系中的地位是:它由传统金融法进化升级而来,对传统金融法进行改造和升级换代,使之适合数字经济时代人们对金融法律的期望和要求。个人金融信息保护法概念的提出,使得我们有机会更系统地审视个人金融信息保护的相关法律规范,促进其系统化。
在大数据时代,个人金融信息保护法必将出现如下几个方面的转变。首先,从单纯对金融隐私进行严格保密到对个人金融信息进行全方位全生命周期保护。对个人金融信息的保护是金融隐私保护在信息时代的新发展。金融法需要根据个人信息保护法进行系统地修改,以适应信息社会、数字社会对个人金融信息进行事前、事中和事后全方位保护的需要,将保护寓于所有的业务过程之中,贯穿信息采集、存储、使用、加工、提供、删除等各个信息流转环节。
例如,2020年10月16日,中国人民银行公布的《中华人民共和国商业银行法(修改建议稿)》(以下简称《商业银行法(修改建议稿)》)第53条除了沿用了现行《商业银行法》对个人金融信息的强保护外,尤其引人瞩目的是,第76条全面系统地规定了个人信息保护与数据安全,可谓是试图与个人信息保护法相接轨的一次努力。该条共分四款。第一款规定:“商业银行收集、保存和使用个人信息,应当符合法律、行政法规的规定,遵循合法、正当、必要原则,取得本人同意,并明示收集、保存、使用信息的目的、方式和范围。”但遗憾的是,由于《商业银行法(修改建议稿)》公布之时,《个人信息保护法》还未通过,甚至《个人信息保护法(草案)》一审稿也未面世,因此,本款将同意作为了个人信息处理的唯一合法性基础,且与《反洗钱法》的规定相冲突。此后公布的《个人信息保护法(草案)》历次审议稿和最终通过的《个人信息保护法》均规定了不需要取得个人同意也可以处理其个人信息的若干种情形,扩大了个人信息处理的合法性基础。该款的规定应与《个人信息保护法》第13条保持一致。第二款规定:“商业银行不得收集与业务无关的个人信息或者采取不正当方式收集个人信息,不得篡改、倒卖、违法使用个人信息。”这就规定了个人金融信息收集的必要性原则、诚信原则、质量原则等,与《个人信息保护法》第5、6、8、10条的规定基本一致。第三款规定:“商业银行应当保障个人信息安全,防止个人信息泄露和滥用。商业银行将个人信息处理外包给第三方的,应当确保第三方遵守个人信息保护规定,并采取有效措施保障个人信息安全。”这规定了商业银行的个人信息安全义务和委托处理,但这是一个比较原则的规定,显然不及《个人信息保护法》第21条和第59条规定的委托处理、第51条至第58条规定的个人信息处理者的义务明确、细致。第四款规定:“商业银行为处理跨境业务向境外传输境内个人信息和重要数据的,应当遵守法律、行政法规的规定,并采取有效措施,确保个人信息和重要数据的受保护水平不因出境而降低。”这规定了数据跨境,但显然不及《个人信息保护法》第三章的规定科学、周延。总之,《商业银行法(修改建议稿)》第76条并没有体现出个人金融信息的特殊性,不如将这四款合并为“商业银行处理个人信息,应当符合《中华人民共和国个人信息保护法》以及其他法律、行政法规和金融管理部门的规定。”
再如,2021年9月27日,中国人民银行发布了《征信业务管理办法》。该办法的一大特点就是加强个人信息保护。《征信业务管理办法》严格依照国家法律法规,进一步明确征信全流程业务规则。在保障信息主体合法权益方面,规定信用信息采集的方式和原则,明确信用信息加工处理的客观性和准确性要求,全面落实信息主体的知情、同意、异议和投诉等各项权利。其中第10条明确提出了征信机构与信息提供者在开办业务及合作中应当遵守《个人信息保护法》等法律法规。第34条要求个人征信机构应设立信息安全负责人和个人信息保护负责人以及专职部门。第40条规定了数据跨境提供规则。可以说,《征信业务管理办法》体现了征信业个人信息保护的特殊性,将个人信息保护贯穿到了征信业务的全流程和各方面,重塑了征信制度。
其次,从强调保密一端到保护与利用并重。个人金融信息保护法的时代背景是数字经济时代,保护个人(金融)信息的至关重要的目的之一就是促进大数据的利用,发挥数字红利。虽然从法律名称上看,个人(金融)信息保护法只含有“保护”而未出现“利用”字样,但也是以保护为主,兼顾利用;或者说保护是利用的前提,不是单纯为了保护而保护,而是保护处理、利用过程中的个人(金融)信息所承载的广泛的权益,以更好地发挥数据的价值,促进数字经济健康发展。
例如,2019年底修订的《证券法》直接体现了个人信息保护与利用的内容,主要包括:第41条将对客户保密制度升级为投资者个人信息保护制度,新增“不得非法买卖、提供或者公开投资者的信息”的规定;第147条增加规定了证券登记结算机构可以提供信息服务的内容;第160条新增了一种新的证券服务机构种类一信息技术系统服务机构,等等。可以说,第41条加强了对个人金融信息的保护,第160条规范了证券市场的信息服务,第147条则便利了信息在证券市场上的流转、加工和增值。换言之,新修订的《证券法》既重视个人金融信息的保护,也兼顾了对个人金融信息的利用。
最后,金融法的外延得以拓展。个人金融信息保护法重构了传统的金融法,传统的金融法需要根据个人信息保护法的一般原理进行修改,或制定单行的个人金融信息保护规章。个人金融信息保护法成为金融法家族的新成员。学习、研究金融法,必须学习、研究个人金融信息保护法。
例如,2020年10月23日,中国人民银行公布的《中华人民共和国中国人民银行法(修订草案征求意见稿)》(以下简称《中国人民银行法(修订草案征求意见稿)》)除了继续规定人民银行工作人员的保守秘密义务外,也增加了个人金融信息保护的内容。例如,第19条增加一款:“人民币包括实物形式和数字形式”,以便为发行数字货币提供法律依据。但数字货币的广泛使用,则对个人金融信息保护提出了更高的要求,需要制定专门的规范予以因应。《中国人民银行法(修订草案征求意见稿)》第41条还规定了“金融业关键信息基础设施”的安全保护监督。“关键信息基础设施”是2016年制定的《网络安全法》所引入的一个新概念。《网络安全法》第31条规定了国家对关键信息基础设施实行重点保护;第37条则规定了对关键信息基础设施的运营者所收集和产生的个人信息的特别管理制度一在中华人民共和国境内运营中收集和产生的个人信息应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。《个人信息保护法》第40条也对此进行了重申。国务院于2021年4月制定的《关键信息基础设施安全保护条例》则进一步细化了有关个人信息和网络安全的保护。为进一步落实《网络安全法》《关键信息基础设施安全保护条例》,中国人民银行应牵头制定金融业关键信息基础设施安全保护办法,以加强对金融业关键信息基础设施的安全保护,强化与此相关的个人金融信息保护。《中国人民银行法(修订草案征求意见稿)》第70条还在现行《中国人民银行法》第50条的“中国人民银行的工作人员泄露国家秘密或者所知悉的商业秘密,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分”中加入了“个人隐私”,以强化对金融隐私的保护。不过,笔者认为,“个人隐私”应改为“个人金融信息”,以与《个人信息保护法》及相关刑事司法解释相呼应。
再如反洗钱法。目前,世界上大多数国家都制定了反洗钱法,反洗钱法不断突破银行保密法,重塑金融法。例如,美国于1970年制定了《银行保密法》(Bank Secrecy Act),目的是以反洗钱为中心,并要求金融机构“生成有助于调查洗钱的信息”。该信息生成的主要方法是通过现金交易报告(Currency Transaction Report),对于涉及1万美元以上的交易,金融机构必须完成现金交易报告。美国又通过1986年颁布的《洗钱控制法》(Money Laundering Control Act)和《阿农齐奥•怀利反洗钱法》(Annunzio -Wylie Anti-Money Laundering Act)扩大了金融机构的报告要求,后一部法律还为金融机构规定了另一项义务,即在该机构认为存在可疑的交易时,提交可疑交易报告(Suspicious Activity Report)。我国2006年制定的《反洗钱法》第16条根据国际惯例建立了具有强制性的金融机构的客户身份识别义务制度。金融机构为了反洗钱而履行的客户身份识别义务,属于《个人信息保护法》第13条第一款第(三)项所述的“为履行……法定义务所必需”,其收集个人身份信息,不需要征得个人的同意。无论个人是否同意,金融机构都可以且应当收集个人身份信息,并核对、登记、保存。2021年6月1日,中国人民银行组织公布的《中华人民共和国反洗钱法(修订草案)》(以下简称《反洗钱法(修订草案)》)第28条还增加了金融机构应当履行的对客户进行尽职调查的义务,以了解客户身份、交易背景和风险状况,以及客户建立业务关系和交易的目的和性质、资金的来源和用途,识别并采取合理措施核实客户和交易的受益所有人。换言之,《反洗钱法(修订草案)》第28条扩大了金融机构应当收集的个人信息的范围,这些收集也同样无需取得个人的同意。《反洗钱法(修订草案)》第30条还规定:“金融机构进行客户尽职调查,可以向公安、市场监督管理、民政、税务、移民管理等部门依法核实客户的身份等有关信息。”换言之,这些部门提供个人信息,属于《个人信息保护法》第13条第一款第(三)项所述的“为履行法定职责……所必需”,无需取得个人的同意。
当然,从历史上看,整部金融法,既是促进信息透明,克服信息不对称之法,也是克制信息透明,为信息处理划定边界之法。金融法就是在这两方面的约束与互动中处理信息问题的。这是信息视角下的金融法。金融法虽依然还被称为金融法,但其内容已经发生变化。变化后的金融法,新添了个人金融信息保护法的内容。个人金融信息保护应融入所有的金融业务及其流程之中。个人金融信息保护法与传统的金融法是水乳交融的关系,而非“水上浮油”,彼此可分。
我国以上法律法规变化,有的侧重于个人信息保护,有的侧重于个人信息的流转、利用,但总体上看,正在进化升级的金融法既重视个人信息的保护,也重视个人信息的利用。法律法规或草案越新近,其对个人信息的保护越周延、科学。我国的个人信息保护法正在重塑我国的金融法,金融法中的这些个人金融信息相关条款,构成了系统意义上的个人金融信息保护法。
三、个人金融信息保护法与金融消费者保护法的关系:
既交叉又独立
在金融法中,最早全面规定个人金融信息保护的专门规范是中国人民银行2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》,该规范明确指出其法律依据是《中国人民银行法》《商业银行法》《反洗钱法》《个人存款账户实名制规定》等法律法规,但不包括《中华人民共和国消费者保护法》(以下简称《消费者权益保护法》),这是金融监管当局一直以来的态度。但该通知中却出现了“金融消费者”的概念,并列明其目的之一是“保护金融消费者合法权益”,意味着将个人金融信息权利作为金融消费者权利的内容。最早明确提出个人金融信息权利的规范是中国银监会于2013年发布的《银行业消费者权益保护工作指引》,其第12条规定:“银行业金融机构应当尊重银行业消费者的个人金融信息安全权,采取有效措施加强对个人金融信息的保护,不得篡改、违法使用银行业消费者个人金融信息,不得在未经银行业消费者授权或同意的情况下向第三方提供个人金融信息。”2016年颁布的《中国人民银行金融消费者权益保护实施办法》第三章则专门规定了个人金融信息保护。而在2013年修订后的《消费者权益保护法》第14条也规定,消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利;第29条还规定了个人信息的收集规则。虽然金融消费者是否适用《消费者权益保护法》一直以来颇存争议,但至少从法律保护方法的角度看,个人金融信息保护法的消费者保护法特色明显。
在域外,也有一些国家将个人(金融)信息予以金融消费者保护法化对待。例如美国即是如此。具体表现是,在立法方面有诸多从金融消费者角度切入的个人(金融)信息保护立法。如1970年的《公平信用报告法》赋予消费者纠错权,以保障消费者报告中的错误不会被用于伤害消费者的行为;1999年的《金融服务现代化法》要求金融机构保护金融消费者的个人信息隐私;2010年的《多德一弗兰克华尔街改革和消费者保护法》授权消费者金融保护局对金融隐私领域进行监管。美国白宫曾三次向国会提交《消费者隐私保护法》草案,虽未获正式通过,但“消费者法化”的态势非常明显。美国加利福尼亚州更是于2018年6月28日颁布了《美国加利福尼亚州消费者隐私法》(California Consumer Privacy Act),这是美国州层面的第一部综合性的消费者隐私信息保护法,具有较强的示范引领效应。这一法案统合了消费者的个人信息保护权利,主要包括知情权、删除权、选择不出售其个人信息的权利以及不受歧视的权利等。
在执法方面,联邦贸易委员会(FTC)作为联邦层面消费者保护专门机构,依据1914年的《联邦贸易委员会法》的“不正当或欺骗性行为”条款对个人信息进行“兜底式”保护,并陆续颁布了若干部对《金融服务现代化法》的实施细则,主要包括消费者金融信息隐私权规则、消费者信息保护标准规则和消费者报告中信息与记录的处理规则等,对商业领域信息隐私、数据安全、网络广告、行动跟踪和其他数据密集型商业行为进行监管。
我国也有学者认为,在现代信息社会中,以私法保护公民的隐私权益存在困境,建议通过将个人信息保护法的“消费者法化”,即我国的个人信息法律保护应当倚重消费者法保护的进路,以倾斜保护、集体保护等为原则的消费者法框架,在特定领域和特定情形中赋予个人以具体的消费者权利,消费者权益组织也可以以提起公益诉讼的形式,对个人信息权利予以保护。
我国最终出台的《个人信息保护法》也具有“消费者法”的特色:其一,它调整的是不平等的个人与信息处理者之间的关系,并将平等主体之间的个人信息侵权关系排除在调整范围之外。或者说,本法所规制的信息处理者,大部分是经营者(简称平台),个人与经营者在绝大多数场景中构成消费关系,这些经营者与个人之间看似平等,实质上不平等。因此,个人信息保护法和消费者保护法在很多场景下是重合的,即便是在互联网免费使用的情况下,个人与平台也构成消费关系。其二,我国《个人信息保护法》的确有很多制度设计与我国的《消费者权益保护法》同构或类似。如,两法从名称上看都有“保护”二字,直接保护的都是“权益”;都采用了“弱势群体的权利一强势群体的义务”的偏重保护结构,而没有规定弱势群体的义务和强势群体的权利;都规定了专门的执法部门,甚至执法部门都是多元的,市场监管部门和金融监管部门也是执法机构;都规定了违法的行政责任;都规定了公益诉讼制度。
尽管二者是有交叉、重合、同构、相似甚至神似关系,但二者也有诸多区别,互不隶属,是相对独立的关系。个人金融信息保护法与金融消费者保护法的相互独立关系体现在如下差异方面:
在法律关系方面,个人金融信息保护法调整的法律关系是个人金融信息处理关系,它不仅包括在金融消费关系中形成的个人金融信息处理关系,还包括在金融监管关系、自律管理关系中形成的个人金融信息处理关系,以及金融服务机构与不具有交易关系或金融消费关系的个人之间的个人金融信息处理关系。金融监管机构、金融市场基础设施等处理个人金融信息时,它们与个人的关系,不是金融消费法律关系,而是金融监管关系、自律管理关系。而金融消费者保护法主要调整金融服务机构与金融消费者之间的金融消费关系,以及金融监管者在监管金融消费者保护过程中发生的金融监管关系,不调整自律管理关系。此外,尽管二者都调整金融监管关系,但个人金融信息保护法调整的金融监管关系,监管的对象既包括金融服务机构,也包括个人,而金融消费者保护法调整的金融监管关系的对象主要是金融服务机构。需要说明的是,即使金融服务机构与个人之间不存在消费法律关系或交易关系,但只要其处理个人信息,就受个人金融信息保护法调整。如果我们不是割裂地而是系统地解读个人金融信息保护法,就会发现它是独立于金融消费者保护法的。
在权利主体方面,个人金融信息保护法保护的对象是自然人(个人),金融消费者保护法保护的对象是金融消费者。尽管中国人民银行简单地将所有的购买和使用金融服务的自然人客户都视为金融消费者,但域外法的经验表明,一方面,并不是所有的自然人客户都是金融消费者。近年来,出于避税的考虑,很多富豪以自然人的名义进行投资理财,但其背后却是庞大且专业的顾问和研究团队,不应归入“金融消费者”的范畴之中。另一方面,中小企业也可以成为金融消费者。例如,在英国,年营业额不超过100万英镑的企业、慈善事业和信托事业也属于“金融消费者”。
在理论基础方面,消费者保护法的理论基础是工业时代民事主体身份互换性的丧失,信息不对称、地位不对等的加剧,以至于出现了市场失灵,需要国家干预,对处于弱势地位的消费者予以倾斜保护。只有保护好“消费者”这一“上帝”,才会有放心的消费,社会商品的流通才能顺畅进行,经济秩序才能恢复。而当前如火如荼制定或修订的个人金融信息保护法的理论基础是在大数据时代个人人格尊严的危机甚至丧失,以欧盟为代表的个人信息的“个人控制”模式以及以美国为代表的个人信息自我管理保护机制失灵,更无法满足数据流通与使用的需要,而“个人信息数据是大数据的核心和基础”,因此需要制定专门的法律实现数字经济时代个人信息权益保护与个人信息合理利用之间的平衡。
在权利来源方面,个人金融信息保护法中规定的个人在个人信息处理过程中的相关权益直接来源于《宪法》所确立的国家尊重和保障人权、公民的人格尊严不受侵犯、公民的通信自由和通信秘密受法律保护等规定。这已为我国《个人信息保护法》第1条所确认。其背后的法理是,自然人有独立人格,有权自主塑造其在社会中的身份,自主决定其个人事务,因而个人有权防范他人不当处理涉及个人的信息,以维护主体尊严或人格自主,但消费者的诸项权益却并不直接来源于《宪法》。
在制度目标方面,个人金融信息保护法既要保护个人,又要促进金融信息的合理利用,发挥大数据红利。因此,我国《个人信息保护法》第1条开宗明义,明确本法的目的是“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”。与此形成对比的是,我国《消费者权益保护法》第1条规定的立法目的是“保护消费者的合法权益,维护社会经济秩序,促进社会主义市场经济健康发展”。可见,个人金融信息保护法对于大数据利用的目的更加直接,而消费者保护法则不涉及对某一资源或要素的利用问题。
在制度框架设计方面,尽管二者有交叉、重合、同构、相似甚至神似关系,但不少国家和地区的个人金融信息保护法都既调整个人与作为经营者的信息处理者之间的金融消费关系,也调整个人与作为国家机关的信息处理者之间的个人信息处理关系以及个人与作为金融市场基础设施之间的个人信息处理关系,而金融消费者保护法仅调整金融消费者与经营者之间的消费关系以及在此基础上形成的金融监管关系。因此,不少国家和地区的个人金融信息保护法都规定了国家机关等非经营者在个人金融信息处理中的义务。尽管在规制重点上,国家机关、金融市场基础设施与金融经营者并不相同,但在很多义务方面却是相同的,如我国《个人信息保护法》第五章规定的个人信息处理者的义务,都是适用于所有的个人信息处理者的。
在制度细节设计方面,由于个人信息侵权的复杂性、因果关系认定和损害计算的困难性,我国《个人信息保护法》第69条直接规定了过错推定责任原则,个人信息处理者须举证证明自己没有过错才能免责。这是我国《消费者权益保护法》所没有的制度。另一方面,在损害计算方面,我国《消费者权益保护法》对损害的类型以及计算方法规定的比较细致,如第49条规定了人身伤害的计算方法,第52条规定了财产损害的法律责任形式,第55条甚至规定了惩罚性赔偿责任,但当增加赔偿的金额不足500元的,直接规定为500元。但《个人信息保护法》第69条对侵害个人信息权利造成的损害的计算方法则比较原则:“损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定”,在个人因此受到的损失和个人信息处理者因此获得的利益难以确定时,则授权人民法院“根据实际情况确定赔偿数额”。
因此,个人金融信息保护法应独立于金融消费者保护法,在定位上不能将前者矮化为后者的一部分。虽然这种做法在实际工作中或便于开展个人金融信息保护工作,但在立法层面看,并不利于个人金融信息的开发、利用,也容易忽视金融监管部门、金融市场基础设施对个人金融信息的保护责任。
四、个人金融信息保护法的基本价值与特定功能
个人金融信息保护法独立于消费者保护法,个人金融信息保护法是根据金融业的特殊性而制定的个人信息保护法,它遵循个人信息保护法的一般规律,但也需要根据金融业的特殊性而进行相应的调整。张新宝教授曾提出了“两头强化,三方平衡”的个人信息保护法理论。所谓“两头强化”是指区分个人敏感信息与个人一般信息,既强化个人敏感信息的保护,又强化个人一般信息的利用。所谓“三方平衡”,是指在个人信息利益、数据企业对个人信息的利用利益和国家管理社会的公共利益之间求得平衡,个人金融信息的保护当然要遵从这一理论,但个人金融信息也有特殊性,这一理论也需要做出调适:一方面,我国《个人信息保护法》第28条已经明确,金融账户信息属于个人敏感信息。中国人民银行2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》规定,“个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等。”这些信息当然需要加强保护,但账户余额、账户交易情况却极具有利用价值,它是对个人消费能力、消费习惯、消费偏好进行个人画像的基础。而2020年发布的金融行业标准《个人金融信息保护技术规范》将个人金融信息按敏感程度分为Cl、C2、C3三个类别,每类信息的保护措施不同,这更具科学性。另一方面,在利益内容方面,“国家管理社会的公共利益”则需要划分为金融机构履行法定义务以保障的社会公共利益(如反洗钱、反恐怖融资、反金融欺诈)和维护国家金融主权、数据主权,以保障国家金融安全的国家利益。换言之,个人金融信息保护法有两项基本价值追求一安全价值与效率价值,同时具备两项基本功能——保护功能和利用功能。
(一)个人金融信息保护法的安全价值与保护功能
1. 个人金融信息安全尤其是个人金融敏感信息安全
在我国《个人信息保护法》出台之前,我国国家标准《信息安全技术个人信息安全规范》就明确规定个人敏感信息包括银行账号、财产信息、征信信息、交易信息等。这比《个人信息保护法》第28条明确列举的个人敏感信息的种类要多。在现代社会,个人的财务信息大部分掌握在金融机构手中。笔者认为,个人金融信息有广义和狭义之分。广义的个人金融信息即现行法规中的个人金融信息,泛指金融服务机构在提供金融服务和产品的过程中收集的所有个人信息,具体分为三类:第一类是金融服务机构在提供金融服务和产品的过程中收集的个人身份信息;第二类是金融服务机构在提供金融服务和产品的过程中收集和产生的“个人财务信息”,主要包括个人财产信息、账户信息、金融交易信息和信用信息等;第三类是预测个人信息,即对上述两类个人信息进行处理、分析所形成的反映特定个人某些情况的信息。第二类“个人财务信息”是广义上的个人金融信息的核心,是狭义的“个人金融信息”,其一旦被泄露或非法使用,轻则危害邻里亲朋和睦、社会和谐稳定,重则危害个人的财产安全甚至人身安全,符合《个人信息保护法》第28条关于个人敏感信息的定义。因此,将“个人财务信息”作为个人敏感信息予以保护,既有必要性,也符合法律规定。
2. 履行法定义务,维护公共利益
金融机构为履行法定义务,必须不经个人同意而采集相关信息。金融业的此类法定义务比一般领域要多,例如反洗钱义务、反电信网络诈骗义务等。
洗钱助长犯罪,扰乱正常的社会经济秩序,甚至损害国家声誉。反洗钱有利于及时发现和监控洗钱活动,遏制洗钱犯罪及其上游犯罪,维护经济安全和社会稳定;有利于发现和切断资助犯罪行为的资金来源和渠道,防范新的犯罪行为;有利于保护上游犯罪受害人的财产权;有利于维护我国良好的国际形象。当然,金融服务机构履行反洗钱义务,也有利于消除洗钱行为给金融机构带来的潜在金融风险和法律风险,有利于其海外经营。但总体而言,金融服务机构履行反洗钱义务的成本是由金融服务机构自己承担的,但其收益却是由全社会共享的,且社会共享的收益远远大于金融服务机构自身的收益。其实,金融服务机构的反电信网络诈骗义务也是如此。十三届全国人大常委会初次审议的《中华人民共和国反电信网络诈骗法(草案)》第3章专门规定了金融治理,赋予金融服务机构对客户进行尽职调查,识别并核实客户身份,了解开户目的的义务。这都非常类似于反洗钱义务,具有较强的正外部性,维护的是社会公共利益。
3.维护国家金融主权、数据主权,保障国家金融安全
在我国金融法规中,有很多关于个人金融信息、金融数据境内存储的规定。例如,中国人民银行2011年发布的《关于银行业金融机构做好个人金融信息保护工作的通知》第6条,2012年发布的《中国保险监督管理委员会关于印发〈保险公司财会工作规范〉的通知》第82条,2020年发布的《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》等,均规定了金融数据的本地化存储要求。同时,金融业的关键信息基础设施的运营者,也应该按照《网络安全法》《数据安全法》的规定,将其在我国境内运营中收集和产生的个人信息和重要数据在境内存储。
确保包括个人信息在内的金融数据安全是维护国家安全必不可少的一部分。在国家安全层面上,对金融数据的跨境流动进行限制,目的在于维护本国的网络主权、数据主权以及国家安全。在维护金融市场的整体安全层面,规制金融数据的原因在于金融风险的传导性以及金融业的战略重要性。当前,金融机构正在加速推进自身的数字化进程,重大金融数据泄露、被窃取等事件所诱发的风险会给金融机构带来巨大财产损失,甚至引发消费者的信任危机。一国秉持金融数据本地化存储战略,对于维护金融安全与稳定,防范、化解和应对金融风险极为必要。因此,在一些国际性的条约如《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)中,也允许金融数据作为跨境数据流动的例外。
(二)个人金融信息保护法的效率价值与利用功能
1.保障国内金融业利用大数据红利的经济利益
在美国物理学家约翰•惠勒看来,“万物源于比特”,世界是由比特构成的,也就是由数据构成的在大数据者的眼里,所有事物都是数据。“大数据就是利用强大的计算机去分析大量多种来源的数据集以取得数据背后所隐含的相关性和模式。本质上,大数据咒语就是‘让数据自己说话’”。机器智能发展到今天,我们可以逐步将隐藏在事物内部、背后的数据挖掘出来,捕捉到它们,并把它们存储起来,开发出针对它们的应用,这就是大数据的价值。近十几年来,随着移动互联网技术的进步,金融机构的受众迅速扩容,金融业面临重大发展机遇。金融业因为其行业特点,特别重视对业务数据的搜集。从一定意义上讲,金融业是一个数据密集型的行业。在过去几年中,大数据的蓬勃发展为金融业务开辟了新天地。大数据技术已经开始发展成为金融业提高盈利能力的核心技术。大数据在金融领域的各个层面都得到了普遍应用,不同的金融领域对大数据系统有不同的需求,但总体上看,金融业对大数据的核心需求主要可以概括为欺诈检测需求、风险控制需求、审计和合规性需求、客户服务需求、营销需求等。为满足这些需求,金融服务机构不仅自采数据,也需要外采甚至外购数据,同时,其开发、加工的数据产品也有对外共享、出售的需求。个人金融信息是大数据的重要组成部分,具有精准性和高价值性,对金融服务机构实现其需求具有重要意义。发展数字经济,发挥大数据的红利,前提之一是要保障数据企业利用大数据(含个人信息)的经济利益,金融业也不例外,即法律要增强确定性,保障金融业利用包括个人金融信息在内的金融大数据的经济利益。
2. 保障个人在大数据时代受益
保护个人金融信息,本质上是保护个人金融信息之上承载的广泛的权利和利益,主要是保障人格尊严等人身权益不被操控,不被剥夺,但也不能忽视个人的财产权益。如能使个人在贡献出其个人信息之后,能够获得经济收益,则这样的法律安排更能调动个人主动贡献其个人信息的积极性,从而提供更多的大数据红利。如果法律一味地将天平向数据企业倾斜,个人在交出其个人信息之后,毫无获得感,则个人只会退避三舍,拒绝合作。法律是平衡的艺术,也是追求共赢的艺术。大数据时代的金融法,最理想的状态是,既保障金融服务机构记录、加工数据的经济利益,也保障贡献原始数据(包含个人信息)的个人的利益,在金融服务机构和个人之间求得一个平衡点。
这就需要进行数据确权,具体到个人金融信息,其附属的或加工后的财产权益部分,属于原始的个人金融信息贡献者(个人),还是属于收集、加工者(金融服务机构)?有的学者认为全部属于个人,有的学者认为全部属于收集、加工者,笔者认为应区分不同类型的个人金融信息而采取不同的划分思路,具体而言:个人金融信息应分为基本个人金融信息、伴生个人金融信息和预测个人金融信息。基本个人金融信息是指个人提交给金融服务机构的关于本人的特定信息,其财产权益为个人所独有;伴生个人金融信息是个人在金融交易过程中形成并被金融服务机构记录下来的关于个人的信息,预测个人金融信息是金融服务机构通过大数据技术对个人进行画像后得出的结论信息。伴生个人金融信息和预测个人金融信息的财产权益为个人与金融服务机构所共有;但在伴生个人金融信息的财产权益中,个人的份额大于金融服务机构的份额;在预测个人金融信息的财产权益中,金融服务机构的份额大于个人的份额。
3. 增强国内金融业的国际竞争力
在这个全球化的时代,个人金融信息的法律保护必须放到国际竞争的大背景下予以考量。欧盟《通用数据保护条例》(GDPR)固然非常严格,但欧盟的一些成员国(如德国、瑞士等)都是全能银行模式,法律允许全能银行内部不同部门之间在无需个人授权的前提下实现信息共享。这一优势使美国倍感压力,被迫于1999年出台《金融服务现代化法》予以回应,该法一方面突破了此前严格分业经营体制,允许通过设立银行控股公司,在母公司层面进行混业经营。另一方面,该法允许金融机构关联企业之间的信息共享采用“无需同意”的授权模式。
尽管近年来我国作为新兴市场国家在全球金融版图中的实力不断增强,但我们还应清醒地看到,我国金融服务业一直以来都处于国际贸易逆差,金融机构的国际竞争力欠缺。与此同时,我国金融服务业的对外开放已提上议事日程,我国金融机构面临着来自国际同行的全方位竞争。而这些域外竞争对手普遍具有混业经营的特征和优势,这将使我国分业经营体制下的金融机构很难与之展开平等的竞争。这就需要作为我国混业经营主要载体的金融控股公司有所作为。而金融控股公司的发展很大程度上依赖信息共享机制的驱动和协同。因此,如何通过法律制度的变革,便利国内金融控股公司的内部信息共享,增强国内金融业的国际竞争力,也是个人金融信息保护法面临的重要课题。但是我国对此的认识是不足的,中国人民银行于2020年9月发布的《金融控股公司监督管理试行办法》对金融控股公司的内部信息共享的特殊性也没有顾及。建议及早修改《金融控股公司监督管理试行办法》并将其升格为行政法规,对金融控股公司内部的信息共享做出不同于一般个人信息保护法的专门规定。
(三)个人金融信息保护法须坚持相对安全观
安全观或安全理念可以分为绝对安全观(理念)和相对安全观(理念)。前者将“安全第一”异化为“安全唯一”,追求绝对安全。后者则认为,安全价值具有相对性,不具有终极地位、最高地位,机遇与风险并存,不承担风险就会丧失机遇。只要发展就会有风险,不发展是最大的风险,相对安全观对风险的态度是,既要防范风险,又要抓住发展机会,并在二者之间求得一种平衡。我国的总体国家安全观,本质上也是一种相对安全观。总体国家安全观深刻揭示了发展与安全关系的本质,即发展与安全犹如硬币的“两面”,二者相互支撑、相互促进、高度融合。对个人金融信息的保护也应坚持相对安全观,既注重个人金融信息的安全、我国金融数据的安全,也重视金融服务业的发展。
结语
目前,学界对于个人金融信息保护法尚缺乏体系化的思考,金融管理部门尚未树立系统性的个人金融信息保护与利用理念,对个人金融信息保护与利用的重视程度还不够。希望通过本文,能进一步引起对个人金融信息保护法的深入研究。
法律定位意义重大。定位不清则方向不明。只有我们认识到个人金融信息保护法是个人信息保护法的特别法,不同于且位阶高于金融消费者保护法,才能将其从金融消费者保护法中独立出来,在更高层面上对个人金融信息进行全方位的保护,以及在保护基础上更充分的利用。
尽管我国相关法律法规中已有不少关于个人金融信息方面的分散规定,也有一些规定和金融行业标准专门规定了个人金融信息的保护,但呈现出一定程度的碎片化,政出多门,用语也不规范、不统一,偏重于保护并在一定程度上忽视了利用,对金融业的特殊性考虑不够,甚至简单重复《个人信息保护法》的条文。建议由中国人民银行牵头银保监会和证监会,制定一部适用于所有金融部门的统一的个人金融信息保护规章,以便对下位的金融相关规范进行引领,同时将个人金融信息保护法打造成个人金融信息的安全保护之法、开放共享之法。
总之,个人金融信息保护法,虽名为“保护”但也暗含“发展”,它既注重个人金融信息的安全、我国金融数据的安全,也重视金融服务业的发展,可谓安全与发展并举,二者相辅相成,相互促进,守护安全不忘发展,发展同时不忘忧患,坚持底线思维,筑牢安全防线,夯实发展根基。
