三年磨一剑——大数据时代金融信息的法律保护

来源:数据治理苑

文章摘要
内容提要 一、信息权的权利性质辨析 (一)隐私权与信息权 不可否认,个人信息权和隐私权在很多方面具有相似性。二者的权利主体都仅限于自然人。法人不享有隐私权,法人的商业秘密是作为财产权的内容加以保护。

内容提要
一、信息权的权利性质辨析
(一)隐私权与信息权
不可否认,个人信息权和隐私权在很多方面具有相似性。二者的权利主体都仅限于自然人。法人不享有隐私权,法人的商业秘密是作为财产权的内容加以保护。同时,在侵害后果上两种权利具有竞合性。例如,侵权行为人随意散播涉及个人私生活的敏感信息,可能会涉及到对被侵权人隐私的侵犯。加之,两者的法律保护内容具有相似性。法律保护个人隐私,就是维护个人的私生活安宁、个人私密不被他人非法披露;个人信息保护在很大程度上也是维护个人信息不被非法公开、披露及滥用。尽管个人信息权和隐私权存在诸多相似性,但两者内涵及外延不能完全等同,在性质、权利内容、客体范围、救济等方面存在明显的差异性。
我国学者中支持通过隐私权扩张保护个人信息的人不在少数,该学说基本延续了英美法系国家通过隐私权模式保护个人信息的思路。为了弥补隐私权在保护个人信息方面的不足,英美法系致力于长期的隐私权扩张。1995年6月,美国政府信息基础特别小组(the Information Infrastructure Task Force, IITF)隐私工作组(privacy working group)的报告“个人隐私和国家信息基础结构(NII):个人信息的使用和提供原则”中,将隐私权界定为“个人对控制个人信息的请求权,在这一范围内收集、披露和利用确认为自己的信息”。到现在,该法系所指的隐私权已经成为包括主体对其所有人身利益(包括信息、肖像、名誉、荣誉等)自主控制并免受侵害的外延无限广的概念。
但是,这种对隐私权内涵及外延扩张的做法并不适合我国。我国法律体系的构建特别是民法深受大陆法系的影响。在这样的立法范式下,我国现行民法体系已经确立了隐私权、肖像权、姓名权、名誉权等人格权制度,彼此并列且有各自独立的保护客体。为了维护现有民事权利保护体系的完整性和一致性,我国也不适宜采用隐私权来保护个人信息。英国信息保护委员会也认为,“数据保护与传统意义上的隐私权不同,它不只是为个人设定一项权利,而旨在构建一个平衡个人、数据使用者与社会整体利益的法律框架”。加之,司法实务中已经出现采用隐私权无法周延保护个人信息的问题。故而,无论是理论还是法律实务方面,我国都不宜将个人信息置于隐私权项下进行保护。
(二)个人信息权利属性之辩
个人信息权在法律上到底是何种权利?个人信息权属于新兴权利,其法律属性直接决定着个人信息保护法律体系的构建和路径选择。信息若要进入流通领域,必须解决产权问题,因此厘清信息的法律属性成为必要前提。目前学界存在诸多争议,综合起来有以下主要观点,即基本人权说、财产权说和人格权说。
“基本人权说”认为,个人信息体现的是一种基本人权,即人的基本权利与自由。例如,德国依托基本法所规定的人性尊严和人格发展创设信息自决权,并以此为基础强化了信息收集处理过程中宪法层面的保护,并为未来国家权力的行使。但现阶段,我国并未将个人信息权纳入宪法保护的层面。
“个人信息财产权说”将个人信息视为一种财产。这样,个人就有权控制与其相关的信息,享受法律为财产提供的全套保障。应该说,该观点混淆了人格利益和财产利益。诚然,个人信息具有财产利益。个人信息的使用也体现了个人信息的财产利益,但财产利益并不等同于财产权。虽然个人信息的财产利益日渐凸显,但这并非将其归入财产权的理由。个人信息确实具有财产的因素,毕竟信息资料都蕴含着一定的商业价值,其本身也可以作为财产加以利用。但我们更应看到个人信息之上除了具有财产利益之外,还有人格利益——个人信息与个人人格密不可分。能够产生财产价值的那部分个人信息,其财产价值的源泉是因为该部分个人信息体现了信息主体的人身特征,与信息主体的人格紧密相连。虽然个人信息的商品化现象确实存在,但这并非产生了一项新的权利,也并没有改变个人信息的本质属性,它只是使个人信息权的内容增加了经济利用的性质。如果将个人信息权作为单一的财产权,势必妨害人格的平等性。
“人格权客体说”认为,个人信息体现了信息主体的人格利益,无论个人信息的收集、处理还是利用都关乎信息主体的人格尊严,对个人信息的保护应该采取人格权的保护模式。“人格权客体说”又分为“一般人格权说”及“具体人格权说”。一般人格权作为一种框架性的权利,内涵过于抽象,不易确定内容,其适用过于依赖于立法具体化或者法官对该内容的解释。而考虑到我国的司法现状,在法律未做明确规定的情况下,不同法官由于自身素质和能力的差异,针对相同或近似案件往往会做出不同的解释,很容易导致法律适用层面上的混乱,不利于司法裁判的稳定性和可预期性。
在信息和网络社会背景下,人格的物化和物化的人,使得传统的人格权与财产权的严格界分受到质疑和挑战。人身在某种程度上也具有一定财产权利益,即“人格的商业化”。事实上,不仅个人信息体现这一点,诸如肖像、姓名等人格已经表现出一定的物质利益。反之,一些特定的物本身也显现出人格价值,如具有人格象征意义的纪念品等。人的物化和物的人格化趋势表明,人身权与财产权本身并不矛盾对立,而是呈现出我中有你、你中有我的融合交叉现象。个人信息从一开始就呈现出二元属性特征,一方面个人信息具有人身属性,任何他人对信息的使用都以信息主体对信息的占有控制为前提;个人信息又具有财产价值,成为稀缺的资源,可以进行一定范围内的流动和转让,发挥其财产价值。大多数国家关于个人信息的立法原则中,都特别关注目的原则、收集使用限制原则等其实质都体现出信息主体对信息的有效控制,特别是传输方面的限制。
至于二次开发后,个人信息在收集者或使用者处(二次开发者)经分析、加工、重新排列等形成诸如征信数据库、信息数据库等,体现出更高的财产价值,表现为物质利益。该数据库可以称为商品,但个人信息本身不构成商品,而成为其组成部分。这些数据库开发者在进行交易时,亦受到信息主体的限制。个人信息的双重属性至少在现阶段不宜作双重权利客体(人格权及财产权)进行保护。在我国现有的具体人格权制度之内,也很难找到合适的制度对个人信息施以全面保护。创设一项新型权利即个人信息权(兼具财产及人身属性)不仅是法律对个人信息的结论性保护,也是对现实的自然人权利诉求的正当性回应。
二、个人信息权的权利内容
综合欧盟、欧洲主要国家以及我国香港、澳门、台湾地区规定的信息权利内容,个人信息权基本涵盖个人信息知情权、查询权、更正权、反对权、贴标隔离权、删除权或销毁权、损害赔偿权。其中,以知情权最为重要,是其他权利的前提和基础。
知情权,又被称为知悉权、资讯权,是指信息控制人在向信息主体收集资料时,应提供基本信息及其他信息,以确保信息主体知晓相关信息。应该说,这项权利事实上以信息控制人的告知义务的履行作为权利实现的基础性保障。大部分欧洲国家立法并未单独列明此项权利,但是我国澳门和台湾地区、德国以及欧盟对此权利作了非常详细的规定。
三、大数据背景下金融消费者的信息权
大数据给人类生活带来的转变是多方面的,最显著的就在于数据融合(Data fusion)造成的隐私权衰落,但传统隐私概念的衰落并不意味着以金融消费者为代表的数据主体不再对自身的信息享有任何权利,而是这种权利的核心不再拘泥于私密性和隐瞒性,也是在这种背景下金融消费者信息权理论开始崛起。
大数据作为一种新型的实证探究方法,其独特之处就在于它将眼光聚焦于自动储存的数据,并对这些数据进行没有预判和偏见的研究。相比之下,传统研究方式则是先确定研究问题再收集数据,而大数据则是从现存的数据中发现新问题。大数据时代特征,主要表现为规模巨大、极为复杂、高效处理、低密度且高价值。这些特征所构建的大数据剪影,就是将原本无意义的碎片化信息予以处理利用,使得人们能够高效获得并利用异质性需求,从而创造出一种精准预测消费者行为的商业模式。然而,这种“精准预测”依托的所谓消费者“表达”并非出于消费者自愿,甚至是消费者完全处于不知情状态。正是在这样一个数据融合的背景下,有学者提出了“隐私已死”的论断。
大数据时代信息权所涵盖的范围将比隐私权更为广泛,也不再局限于信息的保密和隐藏,更多展现出的是信息的交流、利用及共享。从内容上看,金融隐私权侧重于隐藏个人私生活相关信息,而金融信息所涵盖的范围更大,包括涉及消费者个人全部的金融信息,如住址、联系方式、从事行业、婚姻状况、信用卡交易记录、信用信息、投资偏好等等。特别是诸如投资偏好等信息,金融机构往往通过对消费者交易信息的收集、整理和分析后得到,甚至还可以从中推知其个人职业、消费习惯、朋友圈等信息,从而勾画出具有消费者专属性的主观评价。这些信息蕴含着极高的商业价值,金融机构可以据此精确了解金融消费者需求,实现产品和服务的升级更新,提高决策的效率和理性。因此,大数据时代对信息的开发利用成为与信息保护同等重要的价值追求。现阶段,如果还着眼于隐私权下的秘密状态,会使信息的流转和利用价值丧失殆尽。经过大数据处理的信息更具有公共性,在此语境下,使用金融信息权显然比金融隐私权更为妥贴。从金融隐私权到金融信息权,不仅仅是名称的变化,更是监管重点的更迭。相较于金融隐私权所强调的私秘性,金融信息权则更加强调控制性、安全性及实用性。
在前述个人信息权基础上,当涉及消费者金融交易生活时,个人应享有“金融信息权”。简言之,金融信息权是指金融消费者所享有的得以控制、收集、披露及使用关于金融交易或相关活动信息的权利。此项权利包括两方面:一方面可以对抗他人侵犯个人金融信息的行为,要求避免其信息外泄、被非法使用等;另一方面,则有权向金融机构请求披露或修正个人金融交易信息,以确保其准确性。具体而言,金融消费者所享有的权利可以分为两大类:第一类是信息权本身,即金融消费者信息权的具体权能,主要体现在金融消费者所享有的同意权和拒绝权;第二类是信息权受到侵犯后的救济权。
这里,同意权行使的两种不同模式,即选择进入(Opt-in)或者选择退出(Opt-out)。“选择进入”模式,信息收集者在收集、利用及分享个人信息前,应当取得数据主体的明示同意;“选择退出”模式要求信息收集者必须提供当事人选择退出关于个人信息收集、处理、利用及分享的机会,如果当事人不行使该项权利,将视为对于个人信息收集、处理、利用及分享的默示同意。相比之下,“选择退出”将负担加至消费者个人,即数据主体必须积极主动通知信息控制者停止关于其个人信息的收集、利用等;而“选择进入”事实上赋予了数据主体有效的控制权,相应地,加重了信息控制者的义务和负担。
从理论上分析,“选择退出”模式对于消费者个人信息的保护实效远远低于“选择进入”,即如果未取得消费者同意,金融机构不能收集、处理、利用和分享其信息。然而,即便采用“选择进入”模式,缔约强势一方仍然可能采用定型化合同,轻松取得消费者同意。而且金融机构通常提供的是准公共产品,消费者基于需要接受同意分享和利用个人信息的可能性极大。加之,选入模式建立在禁止信息自由流动的基础之上,它会阻碍信息流通、增加消费者经济活动成本、降低企业的竞争力,进而影响金融创新。因此,从这个角度来看,选择进入模式优于选择退出模式的观点也存在商榷之处。

技术驱动法律,专业成就未来