标题：个人金融信息保护 | 顾雷：我国个人金融信息的保护要义与监管建议
时间：2021年1月25日 (上午11:29)
分类：首页
标签：无
作者：清华金融评论

[1] 我国金融业正加速迈入互联、共享的数字化时代，个人金融信息保护日渐变得重要和紧迫。目前我国个人金融信息保护领域缺乏一部专门法律明确其内涵和外延。本文建议及时填补这一空白，出台《个人金融信息（数据）保护试行办法》，用来统筹信息安全与合理应用之间的平衡。 近年来，经济数字化转型已是大势所趋。数据显示：2019年我国数字经济增加值规模达到35.8万亿元，占国内生产总值比重达36.2%。金融业正加速迈入互联、共享的数字化时代，日益呈现出“无科技不金融，无数据不信息”的特征，一场大范围、深层次的科技与数字变革正改变着金融行业，个人金融信息保护更显重要和紧迫。 我国个人金融信息保护存在的不足 我国尚无一部专门的法律针对个人信息保护。目前，我国个人金融信息保护相关规定零散地分布在《民法通则》《刑法》《商业银行法》《证券法》《保险法》《反洗钱法》《征信业管理条例》等法律法规中，对于个人金融信息的内涵与外延均未明确界定，缺少专门的法律对个人金融信息的收集、使用、披露等行为进行规范，难以追究相关人员法律责任。 没有明确的个人金融信息保护监管部门。虽然一些部门规章或规范性文件对保护个人金融信息做了一些规定，但个人金融信息保护层面依然缺乏足够的重视，存在监管交叉或监管真空的情况，为中下游的不少乱象提供了土壤。更关键的是，我国没有较高层级监管机构来统一监管个人金融信息保护工作，金融监管部门、司法机构与行业协会各自开展监督和管理工作，相互之间的协调机制尚未成熟，没有形成监管合力，监管效率低下，信息共享和工作联动配合有待进一步加强。 对侵害行为惩处力度不够。《消费者权益保护法》对侵害消费者信息安全的民事责任有一些规定，但仅依靠监管部门对金融机构的约见谈话、要求整改、同业通报等方式监管力度并不够。一是监管方式单一，针对性不强。二是惩处力度也明显不足，对违法机构和个人法律追究机制尚不健全，影响行政监管效果。 市场存在大量不规范行为。在用户数据存储和使用上行业行为不规范。例如，按照相关法规，任何数据的采集和使用，服务结束后，数据要立刻删除，不可留存。然而，当前金融市场中，大部分金融数据都被保留下来，甚至被进行二次开发和销售。一些大数据公司还用这些数据进行二次开发，数据也会被作为催收数据，上述行为严重侵害金融消费者权益。 社会公众金融信息安全意识薄弱。金融消费者的数字金融产品、信息安全防护、投诉维权技能长期缺乏，其对自身金融信息保护意识也不强。部分社会公众缺乏警惕性，轻易将身份信息、账户信息等敏感个人金融信息告知陌生人，加大了个人金融信息的保护难度。 个人金融信息保护的重要意义 提升监管规范的层级，规范个人金融信息保护工作。通过制定《试行办法》一是明确个人金融信息内涵、外延，使保护范围覆盖到金融机构业务或者通过其他渠道获取、加工和保存的个人信息；二是细化信息主体的知情权、支配权、异议权和救济权等基本权利，明确个体金融隐私权的法律地位；三是明确金融机构作为第一义务主体在收集、保存、使用、披露个人金融信息的保密义务，在金融科技加快应用的背景下，应用科技手段提升客户金融信息保护能力，在技术层面做好客户信息收集、保管、存储等工作，防止信息遗失、毁损、泄露或者篡改，对外使用过程中，做好通道加密、传输行为审计，数据脱敏等工作，实时监测是否有黑客入侵偷取数据等，运用信息安全技术有效防范信息泄露风险，建立信息使用管理制度和信息披露机制。 构建个人金融信息保护框架，强化监督管理职能。通过《试行办法》，确定监管牵头部门及相应的监管职责，制定统一的监管规程，赋予监管机构必要的法律授权，明确监管标准，采取多种灵活的方式对商业银行机构在个人金融信息保护工作方面进行经常性的指导和提示，不仅要提高对个人金融信息的有效监管，强化金融信息主管部门的监管职能，而且对金融机构违规泄露个人金融信息可采取行政处罚或其他监管措施。 完善责任追究制度和救济渠道。《试行办法》可以对个人金融信息提供直接的行政法保护，明确金融机构责任追究机制，完善监管机构处罚措施，加大行政处罚力度，建立集体诉讼机制，降低信息个体维权成本，规定信息泄露主体的经济赔偿责任，完善民事赔偿制度。 个人金融信息的监管建议 市场征信机构合法化问题 在制定《试行办法》过程中，对市场征信的规定，更多是倾向于（金融机构）不得从非法从事个人征信业务活动的第三方获取个人金融信息。也就是说，除了依法设立的征信机构之外，未经中国人民银行批准，任何单位和个人不得从事个人金融信息的收集处理工作，以及对外提供个人征信业务。这意味着，除了官方设立的机构外，任何机构都不得采集个人金融信息。如果《试行办法》正式沿用了此项规定，将对我国金融和数据行业产生巨大影响，金融数据行业可能推翻重建，对那些已经成立的征信机构也构成了巨大的生存威胁。例如，前几年成立的百行征信，其本意就在于将中国人民银行未能覆盖到的个人和企业客户信用数据悉数纳入，构建一个海量的数据库，与中国人民银行征信中心的国家金融信用信息基础数据库相互补充。如果将百行征信都排斥在外，对整个金融市场发展和金融消费者保护并不有利。 而对个人信息征信的立法不足是导致百行征信数据归集难题的一个关键原因。2018年3月，虽然百行征信拿到央行发放的首张个人征信牌照，但百行征信的法律地位没有明确规定，在法律上依然缺乏顶层设计。例如，手握用户信用数据的机构目前并不愿将数据共享给百行征信，导致个人征信数据归集目的无法实现，理由是认为百行征信的法律定位是商业机构，其没有权力把这些个人数据交给一家未经用户授权的商业机构。因此，有必要构建多元信息共享格局，让市场征信机构合法化，强化信息协同能力，用法律制度支撑市场征信体系。 “概括授权”的取舍与表述 当前，从立法上讲，我国立法机关似乎偏向于“概括授权”方式来表达立法意愿。这种“概括授权”表述虽然简单、直接和明确，但也存在问题。为此，我们可以继承《中国人民银行金融消费者权益保护实施办法》中有关金融机构通过特定格式条款取得个人金融信息书面使用授权或者同意的规定，使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果，达到让金融消费者一目了然的效果，让金融消费者明白自己行为的法律后果。为此，笔者建议制定《试行办法》时，就“概括授权”而言可做如下表述：“金融机构通过格式条款取得个人金融信息书面使用授权的，应该在协议的醒目位置使用通俗易懂的语言明确向金融消费者提示该授权或者同意的可能后果，不得以‘概括授权’的方式取得信息主体对收集、处理、使用和对外提供其个人金融信息的同意。” 对个人金融信息保护提供必要的保护性条款 《试行办法》应该对金融消费者信息保护增加泄露客户个人信息的具体责任条款。比如，一旦信息遗失、毁损、泄露或者篡改以后，金融机构应该承担什么样的法律责任？又如，信息发生泄露、毁损、丢失后，金融机构工作人员虽在72小时以内采取补救措施但未有结果的，应该承担什么样的法律责任？这些关键问题需要具体明确，责任处罚明朗。 金融机构向外部机构共享数据的责任与范围 笔者建议在《试行办法》加入外包机构的责任条款，明确外包机构在违反相关条款时应该承担法律责任：“金融机构在先行承担金融信息安全责任以后，有权追诉外包机构相应的法律责任。”这样一来，不仅明确了金融机构在金融信息安全方面的义务，明确了金融机构与外包机构之间的法律关系，也符合民法典有关代理法律关系的规定，使得安全条款落到实处，法律责任到位。 笔者认为，对金融数据共享做出更为严格的操作标准，除法律法规与行业主管部门另有规定或开展金融业务所必需的数据共享与转让（如转接清算等）外，《试行办法》应该体现：金融业机构原则上不应共享、转让其收集的个人金融信息，确需共享、转让的，应充分重视信息安全风险，规定向个人金融信息主体告知共享、转让个人金融信息的目的、数据接收方的类型，事先要征得个人金融信息主体明示同意。为什么要这样严格规定？因为开放式银行打破了信息垄断，通过开放应用程序接口（Application Programming Interface，简称API）或软件开发工具包（Software Development Kit，简称SDK）方式向第三方合作伙伴、客户及服务商提供接入金融服务平台接口，建立机构与机构、人与人、数据与数据的连接，金融数据就可以在银行之间以及银行和第三方非金融机构之间传播共享。因此，金融机构向外部机构共享数据必须严格规范，对金融数据共享必须有更严格的操作标准，符合数字化时代保护个人金融信息要求，并在更高层面实现信息安全和市场应用之间的平衡，有效防止个人金融信息泄露。  本文刊发于《清华金融评论》2020年12月刊，2020年12月5日出刊，本文编辑：王晔君 [1] http://www.thfr.com.cn/wp-content/uploads/2020/06/51.jpg
上一篇：个人金融信息保护 | 何杰：数据交易“伪命题”如何破解
下一篇：《商业银行负债质量管理办法》公开征求意见 负债业务创新不得变相逃避监管 | 银行与信贷