律師觀點(diǎn)
肩上擔(dān)山知任重,志存云天砥礪行
守好你的個(gè)人金融信息:五個(gè)“雷”和四個(gè)“招”
關(guān)聯(lián)律師:發(fā)布時(shí)間:2022-04-02
編者按
半個(gè)月前,中國(guó)銀保監(jiān)會(huì)消保局郭武平局長(zhǎng)在“銀行業(yè)保險(xiǎn)業(yè)深入推進(jìn)金融消費(fèi)者保護(hù)”專場(chǎng)新聞發(fā)布會(huì)上指出,銀保監(jiān)會(huì)今年的重點(diǎn)工作之一是“開展銀行業(yè)保險(xiǎn)業(yè)個(gè)人信息保護(hù)專項(xiàng)整治”。
個(gè)人金融信息保護(hù)是消費(fèi)者權(quán)益保護(hù)的題中之義。一方面,金融機(jī)構(gòu)要堅(jiān)守個(gè)人信息安全保護(hù)的原則,另一方面,金融消費(fèi)者自身也需要更好地識(shí)別可能侵犯?jìng)€(gè)人信息權(quán)益的情形,明確維權(quán)途徑。
今天,《互聯(lián)網(wǎng)法律評(píng)論》刊發(fā)特約專家、北京市京師(深圳)律師事務(wù)所金融科技部副主任樊思琪律師的分析文章,供讀者“避雷躲坑”,更好地保護(hù)自身權(quán)益。
01個(gè)人金融信息保護(hù)的時(shí)代特征
2011年,中國(guó)人民銀行(以下簡(jiǎn)稱央行)對(duì)“個(gè)人金融信息”作出相對(duì)寬泛的界定,分為七大類,包括個(gè)人身份信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人賬戶信息、個(gè)人信用信息、個(gè)人金融交易信息、衍生信息以及在與個(gè)人建立業(yè)務(wù)關(guān)系過程中獲取、保存的其他個(gè)人信息。
2016年,央行在具體分類上刪除了“衍生信息”,修改為“其他反映特定個(gè)人某些情況的信息”。該文件于2020年被廢止。
2020年2月,央行發(fā)布《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》,基本沿襲了上述概念,但刪除了“信用信息”,增加了“鑒別信息”和“借貸信息”,并將個(gè)人金融信息按照敏感程度從高到低分為C3、C2、C1三個(gè)類別,對(duì)三個(gè)級(jí)別提出了不同的安全管理要求。
從監(jiān)管部門對(duì)個(gè)人金融信息的定義和范圍描述,不難看出:
首先,個(gè)人金融信息涵蓋的內(nèi)容越來越廣。隨著個(gè)人金融業(yè)務(wù)種類更多,金融產(chǎn)品更豐富,個(gè)人金融信息是個(gè)人信息在金融領(lǐng)域圍繞身份信息、賬戶信息、交易信息、財(cái)產(chǎn)信息等方面的細(xì)化,金融機(jī)構(gòu)收集個(gè)人金融信息的類型和規(guī)模更加廣泛。
其次,收集和存儲(chǔ)個(gè)人金融信息的金融機(jī)構(gòu)主體也在不斷增加且多元化。在互聯(lián)網(wǎng)經(jīng)濟(jì)和平臺(tái)經(jīng)濟(jì)的大力發(fā)展下,很多所謂大數(shù)據(jù)公司、助貸平臺(tái)、金融信息服務(wù)機(jī)構(gòu)等不具有金融牌照的機(jī)構(gòu)也會(huì)收集和處理個(gè)人金融信息。
第三,隨著網(wǎng)絡(luò)和信息環(huán)境愈加復(fù)雜,結(jié)合《個(gè)人信息保護(hù)法》以及央行發(fā)布的技術(shù)標(biāo)準(zhǔn)可以看出,對(duì)個(gè)人金融信息也將進(jìn)行分級(jí)分類管理,不同類型個(gè)人信息的安全技術(shù)規(guī)范也將有更明確的要求。
最后,除消費(fèi)者身份信息、資產(chǎn)狀況、交易明細(xì)等靜態(tài)信息之外,客戶交易習(xí)慣、購(gòu)買意愿、興趣愛好、風(fēng)險(xiǎn)偏好等動(dòng)態(tài)信息也會(huì)成為金融機(jī)構(gòu)收集和分析的重點(diǎn),個(gè)人金融信息的保護(hù)也應(yīng)當(dāng)考慮納入該類動(dòng)態(tài)信息。
02可能侵犯?jìng)€(gè)人金融信息權(quán)益的五類行為
結(jié)合筆者對(duì)相關(guān)案例的梳理,可能侵犯?jìng)€(gè)人金融信息權(quán)益的情形主要有以下五類:
第一,違規(guī)收集個(gè)人金融信息。
在收集環(huán)節(jié)最典型的違規(guī)行為就是對(duì)個(gè)人信息的收集范圍超過“必要性”,收集與產(chǎn)品和服務(wù)不相關(guān)的個(gè)人信息。
部分金融機(jī)構(gòu)在通過金融App收集個(gè)人信息的時(shí)候常采取“概括授權(quán)”的方式,即一次性取得關(guān)于用戶對(duì)所收集信息內(nèi)容方式的同意,這會(huì)導(dǎo)致后臺(tái)將收集一些與用戶所需產(chǎn)品弱關(guān)、無關(guān)的個(gè)人信息。
根據(jù)國(guó)家網(wǎng)信辦下發(fā)的《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)必要個(gè)人信息范圍》中,金融類App必要個(gè)人信息的收集范圍未包括通訊錄、位置信息及相機(jī)等。
因此,金融消費(fèi)者在使用金融App過程中,可以留意金融機(jī)構(gòu)所公示的《隱私政策》中所披露的個(gè)人信息收集范圍,審閱收集范圍是否超過自己享用該服務(wù)或購(gòu)買該產(chǎn)品所必需。
第二,違規(guī)查詢、存儲(chǔ)、傳輸和使用個(gè)人客戶信息。
個(gè)人信息一旦被收集后,對(duì)于金融消費(fèi)者來說就已經(jīng)屬于失控狀態(tài),而收集者為了實(shí)現(xiàn)商業(yè)價(jià)值,可能會(huì)不斷利用收集的個(gè)人信息,從而產(chǎn)生違規(guī)查詢、存儲(chǔ)、傳輸和使用個(gè)人客戶信息的行為,近年來類似案例時(shí)有發(fā)生。
案例一2021年12月,銀保監(jiān)對(duì)華夏銀行侵害消費(fèi)者權(quán)益的情形進(jìn)行通報(bào)(銀保監(jiān)消保發(fā)〔2021〕19號(hào)),其中違規(guī)行為包括“違規(guī)查詢、存儲(chǔ)、傳輸和使用個(gè)人客戶信息”,這里的違規(guī)處理個(gè)人信息的活動(dòng)包括四種:查詢、存儲(chǔ)、傳輸和使用。具體表現(xiàn)在:
未經(jīng)客戶授權(quán),以“業(yè)務(wù)營(yíng)銷需要”“核對(duì)貸款資金入賬情況”以及員工異常行為排查等為由,違規(guī)查詢個(gè)人客戶儲(chǔ)蓄存款交易信息;
違規(guī)在公用互聯(lián)網(wǎng)電腦存儲(chǔ);
通過互聯(lián)網(wǎng)郵箱向合作方傳輸姓名、身份證號(hào)、銀行賬號(hào)、信貸記錄等個(gè)人客戶信息但數(shù)據(jù)交互未實(shí)現(xiàn)全面系統(tǒng)控制;
信用卡中心向1.99萬名已注銷信用卡賬戶的客戶致電營(yíng)銷保險(xiǎn)產(chǎn)品,部分客戶多次明確表示拒絕來電,該行仍持續(xù)向其電話營(yíng)銷。
第三,違法違規(guī)購(gòu)買或出售消費(fèi)者個(gè)人金融信息。
購(gòu)買或出售消費(fèi)者個(gè)人金融信息的行為一直是執(zhí)法部門的打擊重點(diǎn)。
案例二2015年9月至案發(fā),諾遠(yuǎn)資產(chǎn)管理有限公司上海分公司為宣傳其理財(cái)產(chǎn)品,從第三方大量購(gòu)入消費(fèi)者個(gè)人信息,包括電話號(hào)碼、家庭住址、車牌號(hào)碼等,并逐一電話銷售推廣。
案例三拉卡拉支付旗下的考拉征信服務(wù)有限公司1從上游公司獲取接口后又違規(guī)將查詢接口出賣,并非法緩存公民個(gè)人身份信息,供下游公司查詢牟利,從而造成公民身份信息包括身份證照片的大量泄露。
在上述兩個(gè)案件中,前者是出于營(yíng)銷目的購(gòu)買個(gè)人信息,后者則是將其收集的個(gè)人信息非法賣出。
第四,違規(guī)向第三方提供客戶個(gè)人金融信息。
案例四2020年脫口秀演員池子(本名王越池)發(fā)文指責(zé)上海笑果文化傳媒有限公司(“笑果文化”)侵權(quán)一事引發(fā)社會(huì)對(duì)個(gè)人金融信息的廣泛關(guān)注。
在雙方仲裁事件中,笑果文化提供了池子在中信銀行的個(gè)人賬戶交易明細(xì)作為證據(jù),而池子并沒有書面授權(quán)中信銀行上海虹口支行。中信銀行因私自調(diào)取客戶賬戶交易信息的行為,嚴(yán)重侵害消費(fèi)者信息安全權(quán),被處以450萬元的罰款(銀保監(jiān)罰決字〔2021〕5號(hào))2。
除了上述案例,在違規(guī)向第三方提供個(gè)人信息行為中往往伴隨著的是銀行內(nèi)部員工的違法行為,銀行員工利用職務(wù)之便,查詢公民個(gè)人信息(如征信報(bào)告等)并出售的情況并非個(gè)案。
如本溪銀行員工李某利用職務(wù)之便查詢公民個(gè)人征信報(bào)告非法獲利23.23萬元[案號(hào):(2021)遼0502刑初323號(hào)]。
在這類案件中,銀行員工本身可能涉嫌侵犯公民個(gè)人信息罪的,同時(shí),金融機(jī)構(gòu)也可能因?yàn)閮?nèi)部管理制度不完善遭到行政處罰。
這也為金融機(jī)構(gòu)內(nèi)控制度敲響警鐘,隨著金融消費(fèi)者法律意識(shí)和維權(quán)意識(shí)的加強(qiáng),金融機(jī)構(gòu)將會(huì)面臨更高的合規(guī)要求,除了監(jiān)管懲處以外,還可能承擔(dān)更大的聲譽(yù)風(fēng)險(xiǎn)。
第五,違規(guī)進(jìn)行“用戶畫像”。
用戶畫像在金融行業(yè)有著廣泛的應(yīng)用,但也會(huì)給金融消費(fèi)者權(quán)益保護(hù)帶來新的問題,如:
過度收集和濫用個(gè)人信息,采取捆綁授權(quán)等方式或?qū)⑼鈧€(gè)人信息收集作為其提供服務(wù)或產(chǎn)品的前提條件;
用戶畫像常常用于精準(zhǔn)營(yíng)銷,除應(yīng)符合個(gè)人信息保護(hù)的規(guī)定之外,還應(yīng)符合廣告營(yíng)銷的相關(guān)要求;
用戶畫像可能影響產(chǎn)品定價(jià),也就是“大數(shù)據(jù)殺熟”的問題,殺熟的行為違反了消費(fèi)者享有的公平交易權(quán)。盡管畫像越精準(zhǔn),定價(jià)也越接近消費(fèi)者可以承受的價(jià)格極限,使得商家利益最大化,但定價(jià)不僅僅是金融機(jī)構(gòu)的商業(yè)決策問題,更需要法律規(guī)制。
盡管上述違法違規(guī)行為嚴(yán)重侵犯消費(fèi)者權(quán)利,但也具有一定隱蔽性,導(dǎo)致金融消費(fèi)者并無法馬上知悉自己的信息安全權(quán)已經(jīng)被侵犯,因此監(jiān)管部門對(duì)于金融機(jī)構(gòu)的內(nèi)控及合規(guī)制度的建立格外重視,同時(shí)也加大了外部的懲治力度。
03個(gè)人金融信息權(quán)益遭到侵害怎么辦?有四個(gè)途徑
金融消費(fèi)者可通過以下四條途徑展開維權(quán)與權(quán)利救濟(jì)。
第一,與相關(guān)金融機(jī)構(gòu)協(xié)商解決
筆者認(rèn)為,與金融機(jī)構(gòu)協(xié)商溝通應(yīng)該是每個(gè)個(gè)人信息主體維權(quán)的第一步。此前對(duì)金融消費(fèi)者個(gè)人信息權(quán)益?zhèn)戎赜谙麡O保護(hù),確保信息的安全,防止信息泄露。
但在《個(gè)人信息保護(hù)法》出臺(tái)后,更突出金融消費(fèi)者的主動(dòng)權(quán)利和救濟(jì)性權(quán)利,比如明確規(guī)定了個(gè)人享有個(gè)人信息處理活動(dòng)中的各項(xiàng)權(quán)利,包括對(duì)個(gè)人信息的查詢權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)等,金融機(jī)構(gòu)也負(fù)有更全面的信息保護(hù)義務(wù)。
隨著我國(guó)個(gè)人信息保護(hù)執(zhí)法的完善,很多金融機(jī)構(gòu)內(nèi)部已經(jīng)設(shè)置了金融消費(fèi)者權(quán)益保護(hù)的相關(guān)專門部門,且《個(gè)人信息保護(hù)法》明確規(guī)定個(gè)人信息處理者應(yīng)以顯著方式清晰易懂的語言告知其名稱和聯(lián)系方式,這也使得金融消費(fèi)者的維權(quán)更為直接、便捷和快速。
第二,向有關(guān)監(jiān)管部門投訴
如央行金融消費(fèi)權(quán)益保護(hù)局、中國(guó)銀保監(jiān)消費(fèi)權(quán)益保護(hù)局、中國(guó)證監(jiān)會(huì)投資者保護(hù)局等監(jiān)管部門均負(fù)有金融消費(fèi)者受侵害權(quán)益的救濟(jì)職責(zé),涉及相關(guān)金融機(jī)構(gòu)的個(gè)人金融信息的維權(quán)和投訴可通過上述渠道進(jìn)行。
除金融行業(yè)監(jiān)管部門之外,《個(gè)人信息保護(hù)法》第66條、67條規(guī)定了個(gè)人信息保護(hù)職責(zé)部門的執(zhí)法權(quán),如市場(chǎng)監(jiān)督管理局、國(guó)家網(wǎng)信辦及工信部均對(duì)于個(gè)人信息保護(hù)負(fù)有執(zhí)法權(quán)利以及監(jiān)管責(zé)任。
第三,請(qǐng)求消協(xié)調(diào)解
目前很多地方已經(jīng)成立了金融消費(fèi)權(quán)益保護(hù)協(xié)會(huì),如早在2014年就成立的廣東省金融消費(fèi)權(quán)益保護(hù)聯(lián)合會(huì),建立了金融消費(fèi)糾紛調(diào)處機(jī)制、體系;近期云南省和河南省兩家省級(jí)金融消費(fèi)權(quán)益保護(hù)協(xié)會(huì)也獲批成立。隨著金融消費(fèi)者權(quán)益保護(hù)協(xié)會(huì)的成立,能夠進(jìn)一步搭建金融消費(fèi)者、金融機(jī)構(gòu)和金融監(jiān)管部門之間的橋梁和紐帶,為個(gè)人金融權(quán)益的糾紛提供更多元的解決方式。
第四,民事救濟(jì)
《民法典》設(shè)立單章專門規(guī)定了隱私權(quán)和個(gè)人信息保護(hù)的內(nèi)容,《個(gè)人信息保護(hù)法》也對(duì)個(gè)人信息保護(hù)問題進(jìn)行系統(tǒng)規(guī)制,為個(gè)人金融信息的保護(hù)奠定了法律層面的基礎(chǔ)。
2021年1月1日生效的《最高人民法院關(guān)于修改〈民事案件案由規(guī)定〉的決定》(法〔2020〕346號(hào)),新增“個(gè)人信息保護(hù)糾紛案由”,使其成為能夠單獨(dú)適用的民事案由。而在此之前,多數(shù)個(gè)人信息侵害案件以名譽(yù)權(quán)、姓名權(quán)或者隱私權(quán)等其他人格權(quán)侵害作為案由。
筆者對(duì)“民事-個(gè)人信息保護(hù)糾紛”案由進(jìn)行檢索,共檢索到135個(gè)案例結(jié)果3,圍繞個(gè)人信息保護(hù)的糾紛主要包括:違法違規(guī)收集、處理個(gè)人信息,非法提供或轉(zhuǎn)移個(gè)人信息,取得他人信息后發(fā)送垃圾短信,未經(jīng)同意向中國(guó)人民銀行提供他人征信信息等情形。
盡管個(gè)人信息民事司法保護(hù)還面臨著諸多需要理論和實(shí)踐探索論證的問題,包括:是否屬于個(gè)人信息、是否存在侵權(quán)行為、如何分配證明責(zé)任、承擔(dān)何種侵權(quán)責(zé)任等,但該案由的設(shè)立以及逐漸積累的判例經(jīng)驗(yàn)無疑為個(gè)人金融信息的維權(quán)提供了一個(gè)更為明確和直接的方式。
04結(jié)語
個(gè)人金融信息具有多樣性、敏感性、精準(zhǔn)性以及高價(jià)值等特征。
從目前的立法及執(zhí)法角度來看,對(duì)個(gè)人信息主體的保護(hù)不能單純的是被動(dòng)消極的嚴(yán)格保密,而更應(yīng)該是對(duì)個(gè)人信息全生命周期的管理和全方位的保護(hù)。
這一方面要求金融機(jī)構(gòu)建立全面嚴(yán)格的信息管理體系及金融消費(fèi)者權(quán)益保護(hù)體系,另一方面,個(gè)人信息主體也應(yīng)當(dāng)培養(yǎng)信息保護(hù)意識(shí),提高維權(quán)意識(shí),積極參與金融信息安全的相關(guān)教育和培訓(xùn)。
金融消費(fèi)者信息保護(hù)不是金融機(jī)構(gòu)對(duì)大數(shù)據(jù)利用的制約,與金融創(chuàng)新發(fā)展并不矛盾,它限制的不是對(duì)信息的利用和流通,而是對(duì)個(gè)人金融信息的濫用。
只有有效保護(hù)好個(gè)人金融信息,才能更好地推動(dòng)金融數(shù)據(jù)共享和開放。
附:
信息來源:https://www.163.com/money/article/EUG9U1EK00258105.html
信息來源:https://finance.eastmoney.com/a2/202103201851901789.html
數(shù)據(jù)來源:威科先行法律信息庫(kù),檢索時(shí)間為2022年3月31日
最新業(yè)績(jī)
最新著作
最新觀點(diǎn)
最新動(dòng)態(tài)
