第 1 章 绪 论
1.1 课题背景及研究意义
1.1.1 研究背景
近年来,互联网技术迅速发展,网络环境下,以手机银行为代表的移动支付等业务普遍开展,金融消费者队伍扩大。金融机构与个人在交易的过程,产生了大量的个人金融信息。从普通的姓名、地址等过渡到交易记录、账户信息,再到分析个人的投资偏好、风险能力等信息都被金融机构收入囊中。但是,技术的发展也导致个人金融信息面临着遭受泄露的风险。而且,金融领域中人数众多,直接涉及到个人财产安全,任何金融产品出现问题,都会发生大规模的消费者纠纷案件[1].譬如今年 7 月份以来,工行储户深陷“如意金积存”骗局,800 余名金融消费者的个人信息被泄露,造成了极大的经济损失。金融机构出于自身营销等目的,怠于行使保密义务,个人金融信息屡遭泄露。短信推销、骚扰电话、金融诈骗等现象屡有发生,使得金融消费者个人生活不胜其扰,也增加了个人财产受到侵害的风险。
个人金融信息的法律规范,在我国尚不完善,仅有零散的法律条文,没有形成完整的法律保护体系。其中,《消费者权益保护法》对消费者信息收集的原则、范围等内容进行规定。中国人民银行的部门规章中,对个人金融信息的使用过程,做出了规制。《刑法》相关的修正案加大了对个人金融信息的保护力度,增设了相关罪名。除此之外,对个人金融信息的保护条款,也可散见于不同的法律之中。
但是,仅局限于某些法律的部分条款,实践中难以构成完整的保护模式,实施有效的保护。
网络社会中,个人信息俨然成为一种资源,收集、处理个人信息也变得愈加容易,它影响着社会生活。因此,法律要不断地加以完善,适应现实社会的需求,对个人金融信息的保护,作出呼应[2].虽然对个人金融信息有法律规范的规制,但是可以看出,存在规范层次不一,没有系统性规范。对技术服务商、监管机关、金融机构、金融消费者个人,保护义务划分不明确,没有规定个人享有的具体权利内容等。如何在保障信息流通的前提下,给予个人金融信息以充分的保护,并构建个人金融信息的全面保护模式,解决实践中的案件,已成为法学和金融学等领域亟待解决的问题。
1.1.2 研究意义
对网络个人金融信息的法律保护,这一法律问题进行探究有着重大的理论意义和现实意义。
理论上讲:个人金融信息的学术探讨,有利于转变监管理念,补充监管理论,确定金融机构等主体保护个人金融信息的义务,完善监管机制。丰富金融信息权理论,分析其法律关系,探讨个人享有的信息更正权、退出权等权利。历次个人金融信息遭受泄露事件,与金融机构安全保护义务的懈怠履行息息相关。但是,更深层的问题是缺少基本的法律保护理念。由此带来了个人金融信息的法律保护制度不健全,实践中才出现大量的侵害个人金融信息的事件。因此,关于个人金融信息的理论要深入研究,界定各方主体的法律关系,尤其是金融机构等主体的义务。这样能构建更加完善的保护模式,对监管理念、个人金融信息理论的进行深化和发展。
从现实意义上讲:金融消费相比普通消费而言,其消费形态具有较高层次和较高水平的特征[3].基于此,个人金融信息与一般商品消费领域的个人信息有所差别,既包含姓名、地址等一般信息,还会涉及到个人的交易记录、账户状态等关系到个人财产安全的特殊信息,具有更大的敏感性与风险性。然而金融机构对个人金融信息安全保护不充分,其隐含极大的风险安全隐患,基本信息权利也难以保障,时常受到各种侵害。随着信息社会的不断发展,迫切需要利用法律对这些问题进行规制。金融机构长期追逐自身利益的最大化,忽视对个人金融信息的保护。金融消费者的个人金融信息受到侵害,遭受了财产损失,扰乱其个人生活。
久而久之,金融消费者的信赖会丧失,进而危及金融行业的稳定,不利于整个金融市场的繁荣与发展。所以,对个人金融信息展开研究,既关系到金融消费者合法利益的保护,还涉及到金融市场的稳定,对我国金融市场的发展极具现实意义。
现在,我国关于网络个人金融信息保护的理论研究尚不完善,对于基本理论的探讨也处于摸索之中。从这个意义上来说,学术界开展此项研究迫在眉睫。吸收学术界关于个人金融信息的研究成果,结合实践中出现的问题,总结个人金融信息保护工作的不足之处。完善相关法律制度,构建全面的四位一体保护模式,为我国金融市场的健康发展保驾护航。伴随法治建设的推进及金融市场的发展,金融消费者人数势必扩展。而且,与之相关的权利观念也会发生转变,开展个人金融信息保护研究的呼声势必不断提高。因此,该项研究的开展,也是对现实呼声的回应。
1.2 国内外研究现状及简析
1.2.1 国内研究现状
结合论题,查阅国内外文献,其中包括专着、期刊论文、学位论文、法律法规等,以近五年的文献为主,总结如下:
第一,关于个人信息权性质的研究。一些学者认为信息权属于人格权的一种,含有人格因素,尽管其中含有财产利益的因素。坚持人格权说的学者认为,信息权是一种人格权,一方面它具备可识别性,展现了人格利益。另一方面,有些社会组织收集其信息,并不是进行财产性的利用,而是出于社会公益等目的。而且,个人信息可以将其权利主体进行特定化,作为权利主体的个人标签。因此,其保护模式的构建,宜把人格利益置于首位,尤其含有的人格尊严和人格自由的价值意义[4].另一些学者认为,个人信息权属于综合性权利,依据其作用进行划分,以适用于人格权或者财产权的判断标准。学者刘德良认为,应当根据个人信息对主体所具有的价值、功能对其性质界定。个人信息发挥维护人格尊严等人格利益的功能和价值时,应当归属于人格权。当其发挥维护信息主体的财产利益的价值和功能时,应当归属于财产权。当其发挥维护信息主体的人格尊严和财产利益的双重功能时,应当属于人格权与财产权的综合性权利,给予双重保护[5].其发挥的功能、价值的不同,决定了权利属性的界定。
有学者认为,明确界定个人享有个人数据权,是对个人数据保护真正重视的首要表现。个人数据是依据“人的尊严”与“人的价值”,所进行创造出来的一种具体的人格权。同时,也是为了确保个人在信息社会的基本经济权利创造出来的一种新型财产权。
第二,个人信息权的权利主体。对于个人信息的权利主体,存有法人与自然人之说。有学者认为,个人信息保护适用的权利主体,只局限于自然人。个人信息的生产者是自然人,因而,只有自然人才是其权利主体,享有信息权利,法人不在此列。而且,进一步指出,根据个人信息的主体特征,个人信息主体是基于自然规律出生、具有生物学意义和法律人格,并被法律赋予民事主体资格的自然人[6].学者孔令杰认为,我国的资料保护法应采取目前的通行做法,对个人资料的概念界定中,直接定义为识别或者可识别的自然人的相关资料,而非自然人的资料保护,则不在此范围之内[7].
第三,个人信息的保护模式。个人信息的保护模式主要有以下几种:第一,统一立法模式。以欧盟立法为例,欧盟等区域性组织制定了关于个人信息保护的若干公约等文件,并向全球进行推广。第二,分散立法模式。个人信息保护的立法在美国则采取分散立法模式,并且创造了“行业自律与法律保护相结合”的模式。行业自律主要在政府的引导下进行,以此调整行业内个人信息的处理行为,同时运用分散的立法,对行业模式辅助实施。结合国外的个人金融信息立法保护模式,我国的个人信息保护学者大致有一下几种观点:
一些学者主张分散立法模式。他们提出构建以国家立法为主、行业自律为辅,二者有机结合的保护模式。即不需要强制出台统一的关于个人信息保护方面的法律规范,而要在不同的行业分别实施保护个人信息的准则。学者王利明指出,个人信息属于隐私的一种,法律保护应当是其主要的保护方式。但是,多样性与综合性相结合是个人信息的保护方式,在实践中行政手段是其保护的主要方式。因此,保护个人信息应当从私权立场出发,法律的制定也应当以私权为核心进行构建[8].学者刘德良指出,应及时完善信息网络安全法,注重对个人信息的保护,以遵循信息网络安全健康发展的客观规律,为立法指导思想。在立法完善的过程中,要以我国个人信息的司法实践为基础和导向,同时汲取国外的立法经验[9].
另外一些学者主张统一立法的基础上,同时鼓励行业自律模式。在国家主导的模式之下,充分鼓励信息行业实行自律管理,做到宽柔相济,保护个人信息促进信息业的发展。学者齐爱民指出,我国缺乏行业自律的传统观念,自律模式的采用,在个人信息保护方面难以发挥应有的保护与制约作用,而且会加剧国内外企业侵害个人信息的现象,起不到良好的法律效果。然而,法律机制与自律模式并不冲突,可以共同调整一种法律关系。因此,可以制定一部关于个人信息保护的基本法律,也倡导信息行业的自律机制,起到法律保护与行业自律双重作用[10].学者周汉华提出,一方面,要秉持法制,用法律进行规范。另一方面,也要尊重互联网自律,以自律解决新问题。唯有如此,法律的原则性与互联网的灵活性的优势才能得以彰显,更好地发挥二者的作用。法律与自律相结合,促进互联网的法治化[11].
第四,保护个人信息的限制。网络环境下,个人信息的正常、自由、有序流动,对社会的进步和经济的发展,都能起到积极的促进作用。加之网络的开放性和共享性,使充分的信息共享与自由流动成为现实。对个人信息的保护与限制是一对矛盾体,要在保护和披露之间进行平衡。学者齐爱民认为,不能将所有的个人信息都进行保护,否则容易导致信息禁锢的极端,信息难以进行流通,每个人都会成为称为“信息孤岛”.而信息禁闭、孤立,又不符合网络社会关于信息流通与共享的基本宗旨[12].学者张新宝提出,要保障信息安全和互联网自由,在信息时代,只有信息安全和自由得到保障,公民才会相信信息社会,广泛使用信息产品,在信息安全的前提下得到流通[13].
第五,其他方面的研究。首先,研究个人信息的称谓。有学者称之为个人信息,如王利明、齐爱民等。有学者称之为个人数据,如郭瑜。也有学者称之为个人资料,如孔令杰。还有学者称之为个人数据信息,如蒋坡等人。虽然称谓不一样,但是研究对象和内容并无本质区别。从学术界和实务界的研究出发,宜采取“个人信息”之称。
其次,研究侵害个人信息的救济方式。学者个人信息适用于等人格权救济方式。但是,对于赔偿损失的方式,也不能简单地将个人信息作为财产。应当采取精神损害赔偿与物质损害赔偿,两种责任并存的承担方式。
1.2.2 国外研究现状
从当前搜索的文献资料而言,关于个人金融信息的着述较多,国外学者的研究也更加深入:
第一,个人金融信息的范围。对于个人金融信息定义的研究,国外学者进行了深入的探讨。银行的保密义务范围较广,涵盖了银行所获得所有的客户信息,这些信息都是银行直接或者间接获得的。这些信息包括但不限于,客户的帐户状态,他们的交易细节,客户的姓名和支付地址,或从客户收到的信息[14].个人金融信息,它不仅包括消费者为获得金融产品或服务涉及提供的信息,而且包括产生或者涉及金融产品或者服务而提供的信息[15].金融机构需要保护其持有的关于个体消费者可能和覆盖的任何信息[16].在数字环境中,隐私可以被定义为个人控制他们的收集和使用个人信息的能力。在这个角度看,隐私意味着控制个人信息[17].
第二,个人金融信息的保护原则。保护原则的确定,影响了个人金融信息的保护方向。个人信息保护的最低原则应当包括:(1)目的限制;(2)数据质量和相关性;(3)处理透明度;(4)数据安全;(5)数据访问、校正和异议;(6)数据传输限制[18].其中收集个人信息,有限的集合信息必须是有目的的收集。坚持目的性的原则,在收集个人信息之前要进行通知。注重对个人信息的安全防护,谨防泄露个人信息,发生不当风险[19].
第三,个人信息退出机制。对个人信息保护,退出机制不可缺失。信息主体对其既有共享的权利,也有退出的权利。个人信息退出机制的建立,以下环节必不可少:(1)给予个人通知政策;(2)为个人提供“清晰和明显的通知”;(3)为个人信息的退出提供一个机会;(4)说明如何选择退出披露的信息[20].消费者在所谓的安排分享金融机密信息之前,享有自由选择退出的权利[21].
第四,披露个人金融信息的限制。对于个人金融信息的保护,必须在法律规定下进行限制。银行等机构包括附属公司,除外法律强迫外及向公众、客户已经同意或指示,或银行的利益需要,但不是任何用于市场营销目的,有责任同意不披露任何关于客户的形成信息[22].银行不得披露消费者信息,消费者有权要求银行不得披露,除非发生下列情况:(1)基于数据传输的必要;(2)为了验证第三方,如信贷员、商人的存在;(3)为了遵守政府机构或法院命令;(4)消费者书面同意[23].在迫在眉睫的紧急情况下,向法庭提交的一份紧急访问记录的理由证明,任何政府机关可以获得记录[24].
第五,金融消费者的保护措施。对个人金融信息打保护需要具体保护措施的实施,金融机构对此需要采取适当措施。银行等提供商提供移动应用程序、移动银行服务,以提供即时隐私披露、共享敏感信息,改善各方之间的协调工作参与提供金融服务之前,供应商要获得消费者同意[25].金融机构应采取技术和物理安全措施以此:(1)确保客户记录和信息的安全性和保密性;(2)防止任何预期的威胁或危害这些记录的安全和完整;(3)防止未经授权的访问或使用这样的记录,导致大量的信息伤害或给任何客户带来不便[26].消费者保护部门要提供技术指导,采取有效措施,保护个人信息。如安全身份识别制度、安全访问技术措施及对个人资料和文件进行加密[27].金融消费者个人必须以其自己的方式,以防止未经自己的同意,获得使用或用于其他目的的信息[28].
第六,保护个人金融信息的意义。金融信息的自由流动至关重要,市场必须平衡公众的担忧,即过度的信息共享。各个机构在共享、披露个人信息的同时,必须保护消费者的信息,维护其权益[29].个人信息的保护事关基本人权、个人自由,是法律赋予每个人的权利,每个人都有权要求他人尊重他的私人和家庭生活、他的家庭和他的信件[30].在金融监管机关、专业人士和金融公司之间的沟通,对于精心设计和执行信息共享、提高风险评估、风险管理和保护消费者都是很有必要的[31].
1.2.3 国内外研究现状简析
通过以上文献资料的分析,可知国内外学者关于网络个人金融信息的研究,学术成果集中在以下几个方面:
网络个人金融信息是特殊领域的个人信息,需要加强保护。它形成于金融交易的过程中,产生途径比较单一。但是,网络个人金融信息的范围广泛,包括身份、交易等多种信息。基于性质的研究,学界又提出了财产权与人格权两种不同的救济方法。并且,对其基本概念、相关理论也进行了研究。
网络个人金融信息的保护主体,多集中于金融机构的保密义务的研究。金融交易过程中,双方形成了合同。据此,金融机构要承担自己的保密义务,不得泄露个人金融信息。现行法律规定下,金融机构单方保密义务的承担,很显然不能起到良好的保护作用,实践中也导致了网络个人金融信息问题多发。由于,法律规定的不完善,学界又研究出法律保护与行业自律相结合的保护模式,以此更好调整个人金融信息。通过对国内外文献的分析,可以发现,关于网络个人金融信息的研究,存在以下不足。
首先,关于个人金融信息,没有权威的定论,这是最明显的不足之处。虽然定义的方式多样,包括列举法、概括法,但是至今仍没有关于个人金融信息的统一意见,对其上位概念个人信息,学界中也都存在不同主张。但是,个人金融信息的概念确定,是展开研究的前提与基础。
其次,个人金融信息的性质,存在人格权说、财产权说两种不同的观点。个人金融信息是和人格因素相关的个人信息,虽然含有财产利益的因素,但是其属于人格权,不应归属于财产权的范畴。若归属于财产权,按照返还原物、赔偿经济损失等物权的保护模式,难以对个人金融信息进行有效的保护,也容易造成信息不等价的情况。但是,在今后的立法方向上,应当确定个人金融信息的侵权性质,侵权责任的要件,赔偿责任等内容。
再次,关于个人金融信息的保护主体。其保护主体更多的研究是金融机构的义务,对于其它相关主体的义务没有更深层的探讨。对金融机构、技术服务商、监管机关、金融消费者个人,这四类保护主体应分别承担何种保护义务,相关的理论,四位一体的保护模式如何构建,学者没有进行分析。
最后,对于个人金融信息的整体研究。一个特点是金融消费者的权利内容着述较多,而很少从个人金融信息的角度分析。比如,学者们研究金融消费者保护的理论基础、知情权、隐私权等权利内容较为详细,但是对于个人金融信息的权利内容相关论述及研究较少,需要进一步进行探讨。以上所述国内外研究现状的不足,正是论文力图突破之处。
1.3 论文主要研究内容与研究方法
1.3.1 论文主要研究内容
论文主体主要包括三个部分,具体内容如下:
第一部分是网络个人金融信息的界定。首先从个人信息的定义谈起,进而界定个人金融信息的概念,分析其内涵与外延,理清个人信息、个人金融信息、个人金融隐私之间的关系。以及采取个人金融信息,而不是个人金融数据等称谓的原因。分析个人金融信息的权利性质,财产利益与人格利益的具体体现,尤其是含有的人格利益因素。若将其属于财产权,采取物权的保护方式是否能够进行有效的保护。探讨网络个人金融信息的性质和特征,揭示其不同于个人信息的独特地位,进行特别保护的原因。
对个人金融信息法律关系探析,分析其法律关系的构成要素。个人金融信息的法律关系是论文的重要内容,也是对此课题进行全面研究的基础。只有分析清楚具体的法律关系,才能更好地明确各自的权责。分析个人金融信息法律关系的主体、客体与内容。自然人是个人金融信息的主体,享有权利义务。但是法人等社会组织在个人金融信息的法律关系中,能否成为信息主体,也需要进行探讨。
分析在具体的收集传输、储存等环节中产生的问题,金融消费者对个人金融信息依法享有不受侵害等权利。其所享有的信息完整权、更正权、删除权等具体的个人金融信息权,以及其行使的具体条件,个人退出信息共享机制的步骤等内容。
第二部分是网络环境下个人金融信息现状。现行阶段,我国法律规范关于个人金融信息的保护不足,对其规制不够完善。而且,正是由于保护理念存在偏差,导致法律制度不健全,也造成了司法实践中问题频发。对此,需要从实践中出现的问题,分析法律保护理念的偏差。理念冲突的表现为个人金融信息保护与征信的冲突,个人利益与国家利益的冲突。具体体现在法律制度上为,法律规定不健全,可操作性不强,侵权之后救济途径单一。由此带来司法实践中,金融机构对其不重视,个人自我保护意识不强以及网络攻击严重,多重原因使个人金融信息保护现状不容乐观,问题频发。
第三部分是四位一体保护模式的构建。《网络安全法》(草案)公布之后,信息的获取已经具备了初步的法律规定。但是对于技术服务商、监管机关、金融机构及个人具体享有什么样的权利义务,法律并没有做出具体的规定。国家监管机关如何更好地进行监管,金融机构如何更好地履行自己的保密义务,网络技术服务商如何防止黑客、不法分子利用网络,侵害个人金融信息,需要逐一进行分析。特别是个人的金融信息,如交易记录、账户余额等信息被泄露之后,各个义务人如何承担自身的责任,对于泄露的金融信息如何及时地保护,需要进一步进行研究。
1.3.2 论文研究方法
论文的研究方法的,关系到论文的写作质量,以及论文的完成与否。鉴于个人金融信息的具体内容,主要采取了以下两种研究方法。
论文主要采用了文献研究法。个人金融信息的研究,离不开文献分析。个人金融信息的研究过程中,搜集了大量的国内外文献。并且通过互联网及时搜集关于个人金融系信息的新闻、报告等资料,目的在于了解我国个人金融信息的最新现状,以此提出更加切实的解决对策。
论文在写作的过程中还采规范分析法。现行法律中零散的法律规范,难以对个人金融信息有效保护。通过现行法律的不足之处,有针对性的完善相关规定,及时适应信息社会的要求,以促进个人金融信息在我国更加健康地发展。