大数据时代金融信息的法律保护

来源:数据治理苑

文章摘要
导论提要 数据不仅本身就是财富,更重要的还会创造财富。大数据的扩展以科技进步为原点,具有数据集中化、规模化、高速性、多样性等特征,正在深刻影响并改变着人们的日常生活方式、工作习惯及思考模式。

导论提要
数据不仅本身就是财富,更重要的还会创造财富。大数据的扩展以科技进步为原点,具有数据集中化、规模化、高速性、多样性等特征,正在深刻影响并改变着人们的日常生活方式、工作习惯及思考模式。其中,金融机构所掌握的数据往往是消费者最为隐秘,也是最具有经济价值的信息,同时其本身对于数据的需求量也是与日俱增。
然而,大数据在深刻影响我们的生活并带来便利性、新动力、新机遇的同时,随之而来的是隐私安全等风险骤增。巨大的经济利益驱使下,商业性短信息、电子邮件、直销电话骚扰不断。更有甚者,通过非法手段获得客户信息,并进行数据的二次分析和利用,实施“精准式”诈骗,直接威胁消费者财产及人身安全。山东考生徐玉玉事件以及清华教授被骗1760万等个人信息泄露事件频发,让我们看到了大数据的负面效应,即对个人信息的严重侵蚀。在迅速扩散的信息技术面前,一个人的信息可以被轻而易举的存储、搜索及传递,而且这一过程越来越难以为信息的主体所控制。在信息收集与处理的每一环节,消费者个人信息都面临着被扭曲及错误使用、泄露的风险。数字化的信息可以被长期存储,甚至在实践中可以被永久保存;复制起来也简单而又准确。
由于大数据时代数据量大且价值高,数据泄露的破坏性产生杠杆效应,微小漏洞呈现几何级扩张,对金融信息安全构成更严峻的考验,传统的金融信息保护方式将面临全面颠覆。金融信息安全还涉及金融核心业务及金融服务的稳健运行,任何一个环节的疏漏都可能引发系统性金融信息安全风险,与国家经济安全休戚相关。
有鉴于此,针对大数据、云计算、互联网等新兴科技,主要发达国家及地区都相继开展个人信息保护立法修缮工作,其中最有代表性的当属2016年欧盟《通用数据保护条例》。诸如正式确立“个人数据保护权”(Right to the Protection of Personal Data)以取代之前的“隐私权”(Right to Privacy),赋予数据主体广泛的权利,强化其对个人数据的控制;加重了数据控制者及处理者的义务与责任,进一步扩大数据监管机构的权力,赋予其明确的处罚权限等等,就是针对新形势下个人数据保护所面临威胁之有力回应。2018年6月28日,美国加州州长签署并公布《加利福尼亚州消费者隐私保护法案》(California Consumer Privacy Act of 2018,CCPA)(2020年1月1日正式施行)。亚洲地区的日本、韩国以及我国香港特区、澳门特区、台湾地区也积极借鉴欧盟经验加大个人信息法制的修缮工作,纷纷朝着更加严格的方向进行规则的调整和细化。
由于个人金融信息保护尚属于崭新领域,各国国情及法律文化传统也存在差异性,在其概念、性质及保护模式的确定及选择上,不同国家立法及理论学说都存在很大分歧。从世界范围内来看,金融信息保护立法模式主要分为以下三种类型:一是以美国为代表,“部门立法+行业自律”模式。个人金融信息的保护主要由《公平信用报告法》及《金融服务现代化法案》进行制定法层面的规范,辅之以判例和自律管理。二是以欧盟为代表,“综合性立法+行为守则”模式。对于金融、教育、劳动、通讯等所有公私领域的个人信息保护均由一部综合性立法加以全面规范,同时辅之以金融领域的具体行为守则。三是以意大利、我国香港特别行政区以及日本为代表,“综合性立法+部门立法+行为守则或部门指南”模式。不仅有涉及公私机构的覆盖全领域的综合性信息保护法,还就金融等特殊行业制定部门法,辅之以具有法律约束力的行为守则,更加突出分领域保护规则的制定,关注不同行业个人信息保护存在的差异性。第三种模式已经为越来越多的国家及地区所重视。
面对新技术的挑战以及频发的个人信息泄露事件,我国立法者也开始关注个人信息保护问题。我国2013年修订后的《消费者权益保护法》第14条,特别增加了消费者在购买、使用商品和接受服务时,“享有个人信息依法得到保护的权利”;2016年11月7日通过的《网络安全法》专门就“网络信息安全”作了规定;2017年3月15日通过的《民法总则》第111条明确“自然人的个人信息受法律保护”;2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对刑法第253条之一的“侵犯公民个人信息罪”作了具体解释。2017年12月29日,国家质量监督检疫总局、国家标准化管理委员会联合发布《信息安全技术个人信息安全规范》,即个人信息保护领域的第一个国家标准。
在个人信息保护在民法、经济法、行政法、刑法领域日趋完善的同时,金融领域的个人信息保护规则也开始逐步构建。2016年12月,中国人民银行出台了《金融消费者权益保护实施办法》,明确要求金融机构应当建立健全金融消费者权益保护的各项内控制度,其中就包括“个人金融信息保护机制”。
虽然我国立法对个人金融信息保护有了初步规范,但基于大数据时代所引发的新问题、新风险,立法步伐相比时代发展尚略显滞后。大数据时代金融信息具有更加动态化和宽泛化趋势,除了一般金融信息外还包括非内容性的元数据,而传统的信息保护立法并未涉及。同时,大数据使得金融消费者信息控制能力大大减弱,单纯通过选入或选退方式进行信息的流通控制已经无法实现周延保护。加之,大数据改变了传统金融隐私权的概念,它在赋予金融消费者信息以极高的利用价值的同时,也打破了金融信息在人格权保护下的秘密状态,这也要求法律进一步优化完善以防止金融消费者信息的滥用。大数据时代金融信息权所涵盖的范围比隐私权更为广泛,也不再局限于信息的保密和隐藏,更多展现的是信息交流、利用及共享。
如何在大数据背景下实现金融消费者对金融信息的有效控制,如何构建新形势下金融消费者信息权的权利内容以及金融机构的信息保护义务和责任,如何确定信息保护监管机构及其权责划分,如何规制金融机构与关联方以及非关联方之间的信息收集和利用,《大数据时代金融信息的法律保护》一书对上述问题都做了深入讨论和分析。
《大数据时代金融信息的法律保护》在系统梳理域外金融信息保护的最新立法动态基础上,结合我国信息保护实践,提出以下建议:为了平衡信息保护与开发利用之间的冲突,我国亟需构建信息权保护的基本法律框架,明确金融信息保护价值优位理念,作为信息主体的消费者享有完整的信息权权能,同时金融机构亦能在授权范围内利用并使用信息,以实现信息的开发价值。现阶段法律规制的着眼点应当集中于 “信息利用”环节,采用结果导向型保护模式以增强金融信息保护的实效性,同时需加重金融机构的信息保护义务,制定明确的信息采集、存储、传输、使用规则,完善金融信息保护的内控机制,乃是在本国法制下回应现有失衡的信息保护现状之必需。

技术驱动法律,专业成就未来