本文是一篇法律论文,本文建议坚持社会本位理念的总体方针,从立法、监管与权益救济三个层面着手,建立系统化的个人金融信息保护路径。
第一章大数据时代个人金融信息法律保护的基础理论
一、大数据时代个人金融信息的相关概念界定
(一)个人金融信息的内涵界定及分类
1、个人金融信息的内涵界定
法律论文怎么写
个人金融信息,在学界又常被称为金融消费者信息。①从字面意思看,指的是金融消费者在从事包括但不限于金融交易在内的金融活动中产生的一系列信息。我国目前没有对个人金融信息进行专门立法,有关个人金融信息的概念主要见于《个人信息保护法》、《个人金融信息保护技术规范》(以下简称“《规范》”)以及《中国人民银行金融消费者权益保护实施办法》(以下简称“《办法》”)。《个人信息保护法》这一基本法并没有针对个人金融信息提出专门的概念,只是在敏感个人信息的区间中提及了金融账户信息。《规范》与《办法》则是开宗明义,明确规定了个人金融信息的概念,并且指明它包括账户信息、金融交易信息、财产信息等其他反映特定个人某些情况的信息。虽然上述规范性文件对个人金融信息的内容与范围这类基础性问题作出了规定、为在法律层面保障个人金融信息权益提供了方向性的指导,但是仍不具有周延性:
第一,大数据时代背景下,算法技术推动金融消费者的个人信息与金融业实现深度融合,个人金融信息的收集与处理平台已经不再拘泥于银行业金融机构,支付宝、微信钱包等非银行支付机构及金融科技公司成为其重要组成部分。而前述定义并未明确将其纳入其中,这无疑会产生个人金融信息保护的漏洞。
第二,前述个人金融信息的概念是以“其他反映特定个人某些情况的信息”作为兜底的列举式定义。在金融科技持续推进的时代背景下,个人金融信息更新迭代速度不断加快、个人金融信息链条不断延伸。各方平台能够运用包括但不限于大数据、云计算技术在内的金融科技充分挖掘与利用基础个人金融信息,继而生成一系列间接反映特定个人情况的衍生信息(如金融消费者对特定个别或者特定种类的金融产品或服务的购买偏好)。由于这些衍生信息的产生没有脱离金融消费者、金融机构以及金融监管机构的主体范畴,也就未超出金融交易法律关系与金融监管法律关系的规制范畴,因而应归入个人金融信息概念。但是如果依据上述定义,这类信息在实务中能否被列入其中则具有不确定性。因此,这种列举式的定义具有一定的狭隘性,一但产生新的个人金融信息则会产生被遗漏的风险。
...........................
二、大数据时代个人金融信息所负载利益分析
充分释放并保障个人金融信息所蕴含的综合性利益以助力大数据时代背景下的金融业发展,是建设我国个人金融信息法律保护体系的重要价值基点。与此同时,以社会本位的视角研究个人金融信息、个人金融信息实现了个人性到社会性的转变,已经逐渐成为学界共识。①因此,应深刻把握个人金融信息所蕴含的多元化利益,使其能与我国的公民自由生活、社会经济发展以及国家信息安全相呼应。
(一)个人金融信息蕴含金融消费者的人格利益
金融消费者在同金融机构进行业务互动的过程中,向对方提供个人金融信息时有权依据自己的意愿向其提出公开与否、如何公开以及处理方式等要求。②即金融消费者可以不受他人干涉,依据自由意志处理个人金融信息。同时,金融机构以及金融监管部门在利用这部分金融信息时均不可以开展工作为由对金融消费者造成精神与财产上的损害。这体现为金融消费者的人格独立以及人格尊严受到法律保护。与此同时,个人金融信息因其能够反映金融消费者的身份、金融私生活动态等对于人格具有实质意义的内容,从而可以在一定意义上标表个人人格。自然人的人格自由决定了金融消费者在拥有这部分金融信息时可以在法律框架内自由发展其人格,这体现为金融消费者的人格自由。
(二)个人金融信息包含金融消费者的财产利益
金融行业是大数据时代背景下的信息化行业,其运行逻辑是高度依托大数据分析技术对金融消费者提供的海量金融信息进行内容分析,继而以分析结果作为开展金融交易活动的决策基点。以蚂蚁借呗为代表的许多金融产品与金融服务通过与淘宝等购物平台达成协议,获取消费者的购物信息后对消费者进行信用评级,以此确定金融消费者的透支额度。这就表征着,这类金融产品与金融服务本质上是一种海量金融信息的集合。金融信息集合的区间,映射着金融消费者的个人财富值波动区间。另外,金融科技的出现极大丰富了金融消费者的投资选择。以智能投顾为代表的金融科技运用算法技术分析收集而来的消费者信息,继而基于投资理论向消费者推送适合其经济与风险情况的投资建议,从而推动金融消费者的金融信息“变现”。
.......................
第二章大数据时代个人金融信息权益的受损风险和保护现状
一、个人金融信息权益的受损风险
大数据时代背景下,个人金融信息呈现出了高度的流动性。海量级数据汇总的社会风险性、算法黑箱问题的不可避免性以及云计算等信息技术隐患,在提升个人金融信息经济属性的同时,也滋生出侵犯金融消费者金融信息权益的现实风险。因此,理应明确金融消费者金融信息权益受损的类型化表现,才能确保法律对个人金融信息权益的保护做到有的放矢。
(一)个人金融信息被不当收集
金融消费者有权要求金融信息的收集方在收集自身的金融信息时,同时符合收集方式与收集目的的正当性与合理性。但是在实践中,金融机构往往突破自身的行为边界,违规收集个人金融信息。曾有学者做过一项测评100款银行APP对用户个人信息收集情况的实证调研,调研结果显示,这100款APP均存在过度收集用户信息的问题(比如用户需要提交手机存储、电话号码与记录等并非与金融业务直接相关的信息,以及用户位置、放开通话权限等敏感类信息)。①近些年来,算法运算同传感技术的嵌套提升了个人金融信息的收集效率,我们在向金融机构提交账户信息等直接关乎金融交易活动的信息时,相关的间接关乎金融活动的信息也因其具有数据化的形式和关联性的特征而被连带收集。金融机构主要采取两种不当收集方式:一是遮蔽所收集信息的属性,径行收集。不仅有些直接面向用户的金融机构会采取不告知用户这类信息的功能与用途的这种侵犯其知情权的做法,由金融科技驱动的作为金融机构业务承包方的第三方服务机构也存在暗自嵌入信息收集指令的“搭便车”行为。二是违背金融消费者的意志,迫使其在面对信息收集时下达一揽子授权指令。金融消费者无论是直接面向金融机构还是面对金融机构的APP,在购买金融产品或者接受金融服务时都会遭遇取消金融交易和全面同意隐私协议中的个人信息一揽子授权二选一的情况。这无疑构成了对金融消费者的信息决定权的侵害。
..........................
二、个人金融信息法律保护的现状
(一)个人金融信息的立法保护现状
宪法与法律作出了保护个人金融信息的基础性规定。《宪法》第38条中对于维护公民人格尊严的规定,虽然没有直接提及对于公民个人金融信息权益的保护,但是它应当作为保护公民金融信息权益,打击侵犯公民个人金融信息权益行为的宪法基础的理念已经逐渐在学界得到广泛认可。《宪法》第40条有关公民通信自由和通信秘密的规定,是从宪法层面规定了国家对于公民个人金融信息权益保护方式的底层法律逻辑。《民法典》第111条、第1033条第5项、第1034条第2款,以及第1038条明确了第三方对于个人金融信息的上位概念——个人信息负有从收集到传输这一全生命周期的安全保障与行为合法义务。①《个人信息保护法》的出台则标志着个人金融信息有了正式的上位法保护依据,正式规定了凡是在我国境内处理个人信息的活动均应纳入本法的规制范围。②这为规制金融机构以提供金融产品和金融服务作为获取金融消费者金融信息对价的行为提供了部门法律依据。《商业银行法(修改建议稿)》第76条作为个人信息保护专门条款,具体规定了商业银行对客户信息的全过程安全保障义务,并且还特别规定了商业银行开展客户个人金融信息外包业务时的注意事项;《证券法》第107条规定了证券公司对客户开户信息的审查义务,第151条规定了证券结算机构关于证券持有人登记信息的提供与保证信息真实性的义务,第152条规定了证券结算机构具有维护系统内金融信息安全的技术性保障义务,第172条规定了证券服务机构对客户委托的信息负有十年以上的妥善保管义务;《保险法》第116条第9项与第12项规定了保险公司及其工作人员对客户与受益人的秘密信息保密义务,以及不得利用职务之便牟取非法利益的义务。《反洗钱法(修订草案)》第28条相比旧法,同样增加了对客户身份、资金应用等信息的尽职调查义务。
........................
第三章大数据时代个人金融信息法律保护的不足......................25
一、个人金融信息立法保护不足...................................25
(一)应予以保护的个人金融信息主体范围不全.................25
(二)应予以保护的个人金融信息客体范围不全.................26
第四章大数据时代个人金融信息法律保护的完善建议..................34
一、完善个人金融信息保护的法律规定.............................34
(一)完善个人金融信息保护的主体规定.......................34
(二)明确金融机构保密信息的判断标准.......................35
结语..........................45
第四章大数据时代个人金融信息法律保护的完善建议
一、完善个人金融信息保护的法律规定
(一)完善个人金融信息保护的主体规定无论是在金融交易场景还是金融监管场景,都会基于机构与客户间的业务互动产生个人金融信息。因此,凡是在上述活动中出示或提供过个人金融信息的主体都应当成为个人金融信息法律规范的保护对象;同时,也应当在法律上强化个人金融信息流动过程中的实质信息处理主体的义务规定,以进一步保障个人金融信息主体权益。
一方面,在当前各类金融业务涉及的不同信息主要由各自机构负责保护的金融业分业经营背景下,应当在法律层面明确各类个人金融信息主体的范围。具体来说,可以修正案或者司法解释等形式,对《商业银行法》《保险法》等金融领域的专门法律作出进一步规定:因开展金融业务,在金融交易以及金融监管场景中出示或提交了个人金融信息的金融消费者,均应成为本法的保护主体。通过划定这一明确标准,可以极大提升个人金融信息法律规范的主体保护范围,既有利于全面保护金融消费者权益,也进一步保障了法律适用主体的统一性。同时,这种对个人金融信息主体进行统一保护的规定也迎合了金融行业混业经营的发展趋势,为下一步的金融业改革提供有益探索。
另一方面,作为个人金融信息基础法律的《个人信息保护法》,应进一步强化个人信息处理者与第三方机构双方就委托处理包括但不限于个人金融信息在内的敏感个人信息事项的义务性与惩罚性规定,在法律上实现受托方作为实质信息处理主体的身份回归。具体来说,可以参照委托方对受托方作出资质要求,即以金融公司为代表一些非金融机构应当具有不低于专门金融机构的信息安全保障水平,委托方同时负有对受托方资质条件开展尽职调查的义务。对于从达成委托约定到完成委托事务全生命周期过程中未达到资质条件的受托方,以及未充分尽到尽职调查义务导致客户个人金融信息权益受损的委托方,应当严格落实停业整改与信用降级惩罚,情节严重情况下还可根据具体情形处以罚款、行政处分。
法律论文参考
..........................
结语
大数据时代背景下,个人金融信息在金融业起着基础性作用。我国在不断吸收个人金融信息释放的经济红利的同时,也产生了严峻的个人金融信息治理难题。针对这一治理难题,学界从个人金融信息的法律属性、立法原则以及监管视角等方面各抒己见,为我国个人金融信息的治理实践提供了大量有益经验。但不可否认的是,当下的个人金融信息权益保护体系存在规制理念、制度功能等方面的局限性。如何兼顾个人金融信息主体个人利益与社会整体利益的平衡,仍是一个有待进一步探讨与完善的选题。因此,本文建议坚持社会本位理念的总体方针,从立法、监管与权益救济三个层面着手,建立系统化的个人金融信息保护路径。首先,应当在法律层面明确各类个人金融信息主体的范围、强化信息处理主体的义务性与惩罚性规定、改进“告知-同意”管理规则来补齐立法短板。其次,可以尝试建立一个协同治理理念下的多元主体内外联动监管模式。这一模式积极应用监管科技,能够发挥监管部门、金融机构、行业自律组织以及广大群众的力量,大大提升监管效能。最后,积极发挥以调解为主导的非诉救济方式,借鉴域外经验完善当下的个人金融信息侵权赔偿制度,建立个人金融信息公益诉讼基金,切实维护个人金融信息主体的权益。
目前,个人金融信息治理属于一个国际难题,各国的个人金融信息保护制度在整体上也都处于探索阶段。由于尚未有一个具有成熟运行机制的个人金融信息保护制度作为借鉴,因而本文提出的理论建议的可行性有待进一步的实践验证。同时,笔者深刻的意识到,随着信息科技的不断发展,个人金融信息治理风险也将发生转变,因而笔者提出的个人金融信息保护路径也应随之进行动态调整。
参考文献(略)