目前我国对个人金融信息保护的法律制度建设,对信息主体享有权利的认识还不够到位,相关条文比较笼统,操作性不强,个人金融信息保护立法层级较低;保护力度欠缺,民事赔偿不足,惩戒面较小,对违法犯罪分子形成不了足够的威慑力。
□郑红卫 程文华
随着互联网的迅猛发展和广泛运用,信息、尤其个人金融信息的泄漏与被盗也成了常态。这不但对个人的财产、信誉、人身造成了危害,也在很大程度上威胁着我国经济的健康稳定发展。
个人金融信息,是指银行业金融机构在开展金融业务、提供金融服务时,或通过接入央行征信系统、支付系统以及其他系统获取、加工和保存的财产信息、账户信息、信用信息、金融交易信息以及在这些信息基础上整理加工所得的衍生信息等。广义的个人金融信息应包括所有金融机构及特定非金融机构在与自然人建立业务联系、销售金融产品和提供金融服务的过程中产生、获得的所有个人信息的总和。
事实证明,保护个人金融信息安全,仅靠宣传教育、道德约束、技术防范、自我保护是远远不够的,更需法律层面的支持。但目前我国对个人金融信息保护的法律制度建设,还存在着许多不尽如人意之处。具体说来,对个人金融信息安全权利的认识,仍停留在个人隐私权的一部分,而不是一项基本权利,造成金融业保护个人金融信息的义务没有明确的个人权利与之对等,模糊了对个人金融信息保护的法理依据;缺少对个人金融信息保护的专门法律;我国个人金融信息保护的相关条文,分散在《民法通则》、《刑法修正案(七)》、《商业银行法》、《证券法》、《反洗钱法》、《保险法》、《个人信用信息基础数据库管理暂行办法》等法律、法规和规章制度中,比较笼统,操作性不强,给个人金融信息保护相关案件的审理带来了难度;个人金融信息保护立法层级较低;个人金融信息保护的侧重点存在位移现象;现有法律保护个人金融信息力度欠缺,民事赔偿不足,惩戒面较小,对违法犯罪分子形成不了足够的威慑力等等。
保护个人金融信息安全是一项复杂的系统工程,世界各国也都在为此不懈努力。欧盟1995年出台《个人数据处理和自由流动保护指令》,把包括个人金融信息在内的一切信息统称为个人数据,明确了个人数据处理的一般原则、数据主体权利、向第三国传输个人数据规则、司法救济和监管机构等。美国实行分行业立法,针对金融行业,先后制定了《公平信用报告法》、《金融隐私权法》、《金融服务现代化法案》等多部金融法,形成了金融隐私保护法律体系。中国央行的个人征信系统已采集了6.7亿人的个人信用基础信息,这表明直接接受金融产品或服务的人群占到了我国人口的50%。面对如此巨大的信息量,若无完整、完善、完备的法律体系加以保障,是万万不可的。
据7月21日中国互联网络信息中心(CNNIC)发布的34次《中国互联网络发展状况统计报告》,截至6月,我国网民达6.32亿,较去年底增加1442万,互联网普及率达46.9%。其中,手机网民规模5.27亿,首次超越传统PC整体80.9%的使用率。移动商务类应用与消费者的关系更加紧密,手机游戏以及互联网理财也成为表现抢眼的网络应用。在新形势下,保护个人金融信息安全,法律不但不能缺位,更需要加强。针对我国在个人金融信息安全方面所存在的问题,我们认为,应尽快建立健全个人金融信息的法律保护体系,出台保护个人金融信息的专门法律,以完整的内容、完善的形式、完备的措施对个人金融信息实行全方位保护。
其一,提升个人信息法律地位。明确规定个人信息安全权利是个人独立于隐私权的一项基本权利,以平衡各方当事人权利义务,提升社会各界对个人金融信息保护的重视程度;明确个人金融信息的内涵与范围,即银行等金融机构为了开展和结算业务、防范和监控风险,向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。
其二,切实保障信息主体应享有的知情权、选择权、访问权、异议权、索赔权。个人金融信息受害人有提起相关调查程序的权利,只要符合法定条件,受害人有权要求启动相关调查程序,申请个人金融信息保护,要求侵权者停止侵权,销毁非法占有的个人金融信息并交代其来源,自查并承担相应责任,以求在源头上避免个人金融信息的外泄;当个人金融信息跨境转移时,只有当第三国确能提供充分保护的情况下,管理个人金融信息的金融机构才能向其转移;同时,鉴于金融机构的强势地位和双方信息的严重不对称,应适当降低个人提起相关诉讼的法定条件,并将主要举证责任转移给金融企业,当客户遭到损失且无法证明损害是由银行等金融机构泄露客户个人金融信息导致的情况下,银行方面需承担相应的举证责任。
其三,信息主体享有的权利,从另一方面来说,就是金融机构应尽的责任和义务。金融企业与客户间发生业务,凡涉及个人信息的,须双方签订保密合同,以“默示条款”的形式确立金融企业的保密义务与泄密违约赔偿责任;当金融企业需要将客户的信息披露给第三方时,必须征得客户的同意,否则即是违约;另外,鉴于个人金融信息受到的侵害多属民事性质,当侵权者应当承担的民事赔偿责任时,所做出的相关规定要更具针对性,更精准细致,更具操作性。
其四,法律监督机制需要强化。可考虑通过立法的形式,在央行、银监会、证监会和保监会这四家金融监管部门之外,另设专门检查金融企业保护个人金融信息的情况的监察部门,负责接收和解决当事人的投诉,并作为相关法律诉讼的前置程序,以降低个人的维权成本;并通过立法明确新闻媒体和作为第三方的网络个人在行使金融信息保护方面权利与义务的法律边界,以更好发挥社会公众的监督作用。
(作者单位:郑红卫:吉林省通化县人民银行,程文华:通化市新岭社区律师事务所)