登录         注册

个人金融信息已经突破了传统的隐私属性而具有了隐私和财产双重属性。本文立足征信领域的法规、行业、技术、监管四个维度,分析个人金融信息隐私权和财产权保护存在的问题,并提出有针对性的政策建议。


个人金融信息与信用信息保护的理论基础


个人金融信息的概念


2017年,《人民银行金融消费者权益保护实施办法》(以下简称《实施办法》)给予个人金融信息官方定义,即“个人金融信息是指金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他反映特定个人某些情况的信息”。在理解和把握其内涵时,需注意两点:一是个人金融信息不同于个人信息。个人信息如姓名、身份证号、地址等以识别性为主要特征,而个人金融信息则以财产性为主要特征。当前的犯罪人窃取、买卖信用信息,根本目的不是识别你是谁,而是关心信息是否带来经济利益。二是个人金融信息还应包括金融服务未成功或金融服务终止后留存在相关金融机构的金融信息。这些金融信息也应受到妥善保护,否则将导致个人权益受到侵害。如广东有金融机构将业务终止的客户资料当作废纸出售,导致大量个人金融信息泄露。


个人金融信息的性质


传统观点认为,个人金融信息属于个人信息的次级概念,主要体现为对信息主体的识别。从各国有关个人信息保护的立法或判例来看,保护个人信息的目的在于保护个人隐私,二者完全相同[1]。但随着互联网金融、大数据征信等新业态的发展,个人金融信息已突破传统隐私属性,其稀缺性、可用性、可控制性的财产属性日益受到重视。个人信息财产权是指主体对其个人信息的商业价值所享有的支配权,它能且只能存在于对个人信息的商业性利用环境中[2] 。因此,一些犯罪团体已注意到个人金融信息的商业价值,倒卖个人金融信息案剧增。此外,大量不法分子通过个人金融信息进行数据画像,分析个人交易记录、消费行为、爱好习惯等,有针对性地进行业务营销甚至欺诈,以此获利。


有学者指出,隐私权已经完成从具有传统消极的人格权利的属性向既有人格权权利内容又有财产性权利内容的信息隐私权的现代转型[3]。所以,个人金融信息应兼备隐私权和财产权性质,但以财产权性质为主。财产权性质决定了个人金融信息在一定程度上可以以货币计算价值,且与物权、债权等财产权一样神圣不可侵犯,在受到侵害时造成经济损失时,信息主体可以要求以财产方式给予救济。


当前征信领域个人金融信息保护存在的问题


《征信业管理条例》(以下简称《条例》)的出台解决了征信领域无法可依的问题,但如今大量的信用信息被泄露、倒卖以及盗取的事实,说明了当前征信领域的个人金融信息保护问题依然严重。


个人信用信息保护的顶层制度设计缺失且对财产权益缺乏有效保护


从国际经验来看,美国的《公平信用报告法》《隐私权法》《金融服务现代化法》对信用报告的使用,以及征信机构、政府、金融机构采集、保存、处理、公开、使用个人信用信息的全过程作出明确规定。2018年5月生效、被称为史上最严格的数据保护法规欧盟《通用数据保护条例》规定处理数据必须有合法的理由,出于数据主体的合法利益而使用,对数据处理违规者严格问责。对比欧美征信立法,我国征信立法在个人信息保护方面有待完善。一是相关法规效力较低。我国还没有出台《个人信息保护法》来对个人信息以及个人金融信息的隐私权、知情权、支配利用权、维护权进行全面保护。《条例》是我国当前征信领域的最高法规,但其只是行政法规,效力层级较低。二是目前我国法律只承认信用信息的人格权,如隐私权、同意使用或异议更正权等,即使造成损害,也只能通过侵害隐私权要求赔偿,未承认信用信息的财产权益,如信用信息被泄露、倒卖的经济赔偿权利(目前更多的是国家机构对犯罪人处罚或让其承担刑事责任)。再如目前个人金融信息不仅包括隐私的信息,还包括非隐私的信息,通过非隐私的信息进行数据画像,是否可以要求侵权赔偿,目前没有规定。信息时代,法律保护信用信息的财产权尤为重要。


信用信息的共享特征与个人金融信息保护的隐私特征之间的冲突导致其边界不清

征信业是对个人信用信息依法进行产业化共享的行业[4]。然而,缺乏规范和限制地开放个人信用信息势必导致隐私权遭受严重损害。一方面,没有信息的开放与共享,征信业的发展便无从谈起。另一方面,站在保护个人隐私及其财产权益的立场,又必然希望最大限度保护个人信用信息。这就形成了个人信用信息开放与个人金融信息保护之间的冲突,同时,也意味着立法者必须在立法上对两者做出价值判断和价值选择[5] 。因此,信用信息的共享与个人金融信息的保护究竟孰轻孰重、边界如何划定,是个人信息保护的顶层设计需首要解决的问题。


从已有法规和当前征信机构的业务操作看,边界不清具体表现为信用信息的收集、查询范围过大,不符合个人金融信息采集和使用的必要和最少原则。一方面,信息收集范围过大。《条例》第十四条规定了宗教信仰、基因、指纹、血型、收入、存款、有价证券等禁止采集和不得采集的信息。反言之,除不得采集的信息,征信机构或金融机构可以通过业务中的格式条款合同一揽子授权,宽范围地采集个人金融信息和其他信息。另一方面,信息查询的范围过大。当前,个人信用报告包括姓名、身份证号、住址等非信用信息及贷款、还款记录等详细金融信用信息,无论何种用途,查询得到的结果都包括这些信息。实际上,一些用途根本不需要非信用信息,如放贷时只需知晓其是否有逾期记录即可,无须知晓电话及住址等信息。


互联网金融等新业态的出现导致信用信息泄露和滥用严重


随着互联网技术快速发展,一些机构采集个人或企业在互联网交易或使用互联网各类服务过程中留下的信息数据,并结合线下渠道采集的信息数据,利用大数据和云计算等技术对信息主体进行信用评估。信息技术给信息采集、运用和共享等带来了巨大的便利,但该领域也成为侵犯个人金融信息的重灾区。一是信用信息泄露严重。这些机构的信息采集容易受到病毒及黑客侵袭,数据库泄露和被窃取的风险大。赛门铁克发布的《2016年互联网安全威胁报告》显示,2015年我国个人信息记录失窃总量超过5亿条,规模最大的单一数据泄露事故造成了1.91亿条数据外泄。信息泄露不仅侵犯了受害者隐私,还可能带来经济损失,影响金融稳定和社会和谐[6] 。二是信息来源不合规。这些机构的数据主要来自互联网,有调查显示,在100款常用手机软件中,只有10%尽到用户告知义务。一些互联网公司只重视收集用户信息,而无视保护用户信息,如百度总裁李彦宏曾说“中国人愿意以隐私换便利”。在此情况下,互联网采集数据的合规性存疑。还有一些互联网金融服务,只有同意金融机构收集、使用个人信息才能继续往下点击以享受金融服务。三是信用信息滥用问题。部分互联网机构未经客户同意,对其消费习惯、消费能力、财务和身份等进行数据画像,定向性推销,或把数据画像结果出卖获利。四是信用评价不规范,信用评价难以全面反映个人信用状况,增大信用违约风险。


机构监管模式导致的监管缺位


互联网金融等新业态出现后,机构监管模式已明显不适应征信监管需求。一是政府公共信用信息平台建设领域出现监管真空,这些平台收集了大量的信息,且越来越多地应用于金融领域,但目前却没有机构对其监管。二是由谁监管、如何监管互联网领域的问题。《条例》的监管框架是机构监管,作为国务院征信业监督管理部门的人民银行只能按照《条例》对征信机构实施监管,网信办、工信部、公安部等部门对互联网领域进行管理,但其监管重点是网络安全和个人可识别信息保护,在个人金融信息保护的财产权益保护方面却较弱。


加强征信领域个人金融信息保护的应对之策


完善个人信用信息保护的顶层设计


可借鉴欧美国家征信立法,完善我国个人信息保护基本法。一是建议加快制定《个人信息保护法》,从国家法律的层面加强对个人信息的保护,其中应有专门章节规定个人金融信息的保护和对行政机关采集、记录、使用、提供个人信息的限制。二是建议从法律层面承认信用的财产权益。即规定个人信息的维护权能,当侵犯其信息主体相关权益时,可以要求停止侵害并赔偿损失。这里的维护权能主要是指民事赔偿,而不仅仅只是对侵权者进行罚款或要求其承担刑事责任。


明确信用信息共享、开放与个人金融信息保护的法律边界


信用信息的共享应该是有条件共享,而不是无条件共享。首先,共享对象只限于信息主体明确授权的对象,但法律法规明确可以共享的除外。其次,共享范围只限于信用交易领域,不宜在其他领域广泛交叉使用。个人征信信息一般用于信用交易领域(放贷活动及贷后管理),因此,征信只共享债务人(不含政府和金融机构)的债务信息,主要目的是用于防范信用违约风险[7] 。最后,信用信息共享应遵从最少和必要的原则,即超出共享目的、不符合必要和最少原则的信息,一律不得采集和查询。为避免查询范围过大,可以根据不同业务合理确定授权细分查询范围,避免第三人接触信息主体范围过大。


强化个人金融信息安全保障,规范信用评估


针对互联网信用评估乱象,首先,针对互联网泄露个人信息、数据库保护标准等进行规范,探索完善信用信息在互联网流转痕迹技术、批量复制、下载限制技术。其次,借鉴2018年5月生效的欧盟《通用数据保护条例》关于数据画像的规定,限制对个人金融信息的滥用。除了法律法规规定、明确授权之外,均不得对信息主体进行“数据画像”。最后,为促进征信市场和征信产品的差异化发展,建议应从个人信用信息保护的角度出发,采用反向禁止模式,明确禁止纳入信用评价的信息类别。


转变监管模式,全方位加强个人金融信息保护


个人征信市场绝对不能走互联网金融“先乱后治”的老路[8] 。针对新业态出现导致的监管缺位问题,要改变传统以机构监管为主的监管模式,全方位加强对个人金融信息的保护。一是借鉴英国“监管沙箱”模式[9] ,即由监管部门对征信业务确定适用的政策、风险、个人金融信息保护的要求等测试环境,将其放入该环境中测试,只有测试合格后,才能投入市场推广使用,避免潜在风险。二是将监管重点从单一的授权监管转变到覆盖信息来源、采集、整理、加工、查询、使用等全流程、穿透式监管。三是按照行为监管的理念,建立人民银行、工信部、公安部等多部门的协同监管体系,明确部门监管重点,辅之于行业自律,防止监管真空和套利。当前,重点对地方信用信息平台建设领域和互联网领域的信息滥用和信息泄露实施监管。


[1]王利明:《民法典·人格权法重大疑难问题研究》,中国法制出版社,2007 年版,第 439 页。


[2]刘德良:《论个人信息的财产权保护》,北京人民法院出版社,2008。


[3]彭礼堂 饶传平:《网络隐私权的属性:从传统人格权到资讯自决权》,《法学评论》,2006年第1期,第59页。


[4]万存知:《个人信息保护与个人征信监管》,《中国金融》,2017 年第 11 期,第 16 页。 


[5]印雨柔:《个人征信与隐私权的冲突与平衡——关于开放和保护的思考》,《法制博览》,2017年第3期,第268页。


[6]李思敏:《我国征信业的发展与监管》,《中国金融》,2017年第17期,第86页。


[7]万存知:《个人信息保护与个人征信监管》,《中国金融》,2017 年第 11 期。


[8]万存知:《个人信息保护与个人征信监管》,《中国金融》,2017 年第 11 期。 


[9]英国金融行为监管局(FCA)的监管沙箱是为金融科技公司测试创新产品提供的监督管理机制和政策环境,使用监管沙箱 的公司可以测试创新的金融产品服务而不需要担心因此带来的监管后果。军事、科技等领域的沙箱对现实世界没有影响,而 监管沙箱允许其中的公司对一定的消费者实施测试,只是测试过程处于FCA的监督之下,同时必须遵守相关消费者保护的要求。


来源:《中国征信》2018年第5期  作者:邓湘海、张宝中、杨春,供职于人民银行四川省眉山中支


  • 中华人民共和国《企业征信业务备案证》编号:14003 人民银行备案信用代码:G1015010301246690U
  • COPYRIGHT © 2016,www.nanguazhengxin.com/www.zxfu.com,ALL RIGHTS RESERVED
  • 版权所有:内蒙古南瓜征信管理有限公司 工信部备案号:蒙ICP备16001544号-1 16001544号-2
  • 公安局备案号150121020 00132