我国银行业个人金融信息保护机制构建研究论文

导读:个人金融信息是金融机构通过业务活动或其他渠道获取、加工和保存的以电子或其他 方式记录的能够单独或与其他信息结合识别特定自然人的信息。《 民法典 》将个人信息纳入保护 范围,但

SCI论文(www.scipaper.net):

摘要: 个人金融信息是金融机构通过业务活动或其他渠道获取、加工和保存的以电子或其他 方式记录的能够单独或与其他信息结合识别特定自然人的信息。《 民法典 》将个人信息纳入保护 范围,但较详细规定个人金融信息保护的主要是部门规章和推荐性或指导性国家标准。相关执法 活动主要由人民银行、工信部门、网信部门、公安部门以及市场监督管理部门组织实施。民事纠纷 焦点主要围绕“ 信用信息 ”,刑事案件中重点惩治“ 侵犯公民个人信息罪 ”。大数据时代个人金融 信息保护机制的建构有赖于个人金融信息保护法的转型升级,金融机构信息合规体系建设和金融 消费者安全意识与理性的增强。

关键词: 银行; 个人信息; 个人金融信息保护; 金融消费者

近年来, 金融机构基于业务活动需要收集和 处理个人信息, 实现风险控制、产品设计和精准营 销, 通过大数据赋能, 给行业和个人生活带来便 利。但随着过度收集、信息泄露、隐私侵权等风险 事件的增多, 从监管层面, 无论是中央还是地方, 都相应加大了对侵害数据安全和个人信息权益行 为的惩治力度。商业银行应当对个人信息保护问 题给予充分重视, 方能实现信息利用和保护间的 平衡。

一、个人金融信息的内涵与外延

个人金融信息作为个人信息的子概念, 源于 英美法中银行对客户金融隐私权的保护。在现行 规范性法律文件中, 这一概念最早可追溯至 2011 年《 中国人民银行关于银行业金融机构做好个人 金融信息保护工作的通知》。在该文件中,“ 个人 金融信息 ”被定义为:银行业金融机构开展业务或 通过接入人民银行征信、支付以及其他系统时获 取、加工和保存的个人信息;具体分为:个人身份 信息、财产信息、账户信息、信用信息、金融交易 信息、衍生信息和其他信息等。


浏览大图

此后, 在 2016 年《 中国人民银行金融消费者 权益保护实施办法》(以下简称为《 实施办法》) 中,“ 个人金融信息 ”被定义为: 金融机构通过开展业务或其他渠道获取、加工和保存的个人信 息;在其具体分类上删除了“ 衍生信息 ”。该文件 于 2020 年被废止, 由新的《 实施办法》取代, 后 者虽使用“ 消费者金融信息 ”的提法, 但表述与 之前并无实质差别。而在 2020 年 2 月中国人民银 行发布的《 个人金融信息保护技术规范》中, 基 本沿袭了上述概念, 但删除了“ 信用信息 ”、增加 了“ 鉴别信息 ”和“ 借贷信息 ”。

从规范视角,《 中华人民共和国民法典》(以 下简称《 民法典》) 所定义的“ 个人信息 ”① 包含 双层构成要素:实质要素强调可识别性, 形式要素 强调记录形态和记录的可获取性。个人金融信息 作为个人信息在金融领域的扩展与细化, 亦可表 述为:金融机构通过业务活动或其他渠道获取、加 工和保存的以电子或其他方式记录的能够单独或 与其他信息结合识别特定自然人的信息。此外, 从 文义解释角度, 因现有规范性法律文件并不能对 “ 个人金融信息 ”的所有类型进行精准定位, 故而 立法者亦尝试通过类型列举和兜底条款来设置概 念边界。

二、个人金融信息保护现状

(一) 个人金融信息保护立法现状

个人金融信息作为个人信息的子类概念, 要先受个人信息保护法律、法规、规章等规范性法律 文件的约束。我国涉及金融数据安全与个人信息 保护的主要规范性文件包括:

1. 法律:《 中华人民共和国民法典》《 中华 人民共和国刑法修正案(七)》《 中华人民共和国 刑法修正案(九)》《 中华人民共和国数据安全法 》 《 中华人民共和国网络安全法》《 中华人民共和国 消费者权益保护法》《 中华人民共和国反洗钱法》。

2. 行政法规:《 征信业管理条例》《 个人存 款账户实名制规定》。

3. 部门规章:《 中国人民银行金融消费者权 益保护实施办法》《 商业银行互联网贷款管理暂 行办法》《 电信和互联网用户个人信息保护规定 》 《 金融机构客户身份识别和客户身份资料及交易记 录保存管理办法》《 个人信用信息基础数据库管 理暂行办法》《 人民币银行结算账户管理》《 金融 消费者权益保护实施办法》。

4. 部门规范性文件:《 金融信息服务管理规 定》《 银行业金融机构数据治理指引》《 银行业消 费者权益保护工作指引》《APP 违法违规收集使 用个人信息行为认定方法》等。

5. 国家及行业标准:《金融数据安全数据安全 分级指南》(JR/T0197-2020) 、《个人金融信息保护 技术规范》(JR/T0171-2020) 、《金融数据安全数据 生命周期安全规范》(JR/T0223-2021) 、《商业银行 应用程序接口安全管理规范》(JR/T0185-2020) 、 《 移动金融客户端应用软件安全管理规范》(JR/ T0092-2019) 等。

而继《 民法典》在民事基本法层面规定了个 人信息定义、个人信息处理原则、信息主体知情同 意权、查阅复制权、更正权和删除权等内容后, 聚 焦数据安全的《 中华人民共和国数据安全法》也 已通过, 今年 9 月 1 日起施行。但目前有关个人 信息保护的专门法律《 中华人民共和国个人信息 保护法》尚在征求意见中, 涉及个人金融信息保 护的具体规定分散于不同效力级别文件的零星条 款, 且多为原则性规定。

目前为止, 除《 民法典》外, 对个人金融信 息保护规定最为详尽的是 2020 年 2 月开始施行的 《 个人金融信息保护技术规范》, 该规范将个人金 融信息按照敏感程度以及泄露后将造成的危害, 由高到低分为三个类别; 同时, 还从安全技术和安 全管理角度, 具体规定了个人金融信息在收集、传 输、存储、使用、删除、销毁等生命周期各个流程 的保护要求。在《 个人信息保护法》尚未正式出台前, 此类国家标准发挥了重要作用, 但主要是推 荐性国家标准, 不具有强制性;而实践中, 其仍有 可能成为监管部门开展执法活动的依据, 故而对 金融企业活动仍有较强指导意义。 [1]


浏览大图

(二) 个人金融信息保护执法现状

自 2019 年以来, 在中央和地方层面通过专项 治理活动, 打击危害数据安全和侵犯公民个人信 息的行为, 相关执法活动主要由人民银行、工信部 门、网信部门、公安部门以及市场监督管理部门等 组织实施。

人民银行执法活动的主要依据是《 反洗钱法 》 和《 中国人民银行金融消费者权益保护实施办法 》 等, 活动具体包括:对金融机构反洗钱信息保密制 度执行情况的监管, 对金融机构超出必要限度收 集、使用与非法存储, 甚至泄露消费者金融信息行 为的查处等。而根据《 中国个人金融信息保护执 法白皮书 2020》的统计, 截至 2020 年 10 月 25 日, 中国人民银行及其分支机构当年涉及“ 个人金融 信息 ”的行政处罚数量共计 181 件, 合计处罚金额 超过了 1.8 亿元, 处罚事项主要为:未按规定保存 客户身份资料和交易记录、未经授权查询个人金 融信息和侵害消费者个人信息依法得到保护的权 利等。

公安部门在个人信息保护执法活动中的行 政处罚权主要源于《 网络安全法 》① 的规定, 执 法工作具体包括对贷款类电信网络诈骗犯罪、侵 犯公民个人信息的违法犯罪活动的打击, 以及针 对 APP 违法违规采集使用个人信息的专项整治。 国家市场监督管理总局也依据《 消费者权益保护 法》, 聚焦违法行为高发行业和领域, 打击侵害 消费者个人信息违法行为。工业和信息化部依据 《 网络安全法》《 电信条例》和《 电信和互联网用 户个人信息保护规定》等, 通报侵害用户权益行 为 APP, 限期整改, 依法处置。

此外, 以上各部门也经常协作, 采用联合执法 的形式开展工作。虽然不同部门各有权限, 执法对 象也各有侧重, 但执法中仍会遇到问题。如多头管 理, 不同部门可能会就同一事项重复检查却标准 不一, 额外增加金融机构负担;在发生个人金融信 息泄露或者被侵害事件后, 消费者也可能遇到推 诿执法的情形, 导致效率低下。

(三) 个人金融信息保护司法现状

在中国裁判文书网以“ 银行 ”“ 个人信息 ”等 为关键词, 检索获得的民事裁判文书中, 具体纠纷 类型包括:他人冒领信用卡逾期导致个人产生不良征信信息、银行报送错误征信信息导致个人信用 受损、银行违规查询个人信用报告等。案由分布于 银行卡纠纷、侵权责任纠纷、人格权纠纷、名誉权 纠纷、隐私权、个人信息保护纠纷。法律依据主要 是原《 侵权责任法》第二条、第六条、第十五条、 第二十二条,《 征信业管理条例》第二十五条、第 二十六条等。责任承担形式主要包括:更正、消除 征信不良记录、赔偿损失、书面道歉、恢复原状、 消除影响等。

《 民法典》虽明确了个人信息与隐私权的边 界, 将个人信息中的私密信息划归隐私权保护范 畴, 但实践中由于个人金融信息类型多样, 案由分 布也呈多样化。虽然随着公众个人信息保护意识 的增强, 此类纠纷数量逐年增多。但目前仍集中于 “ 信用信息 ”被侵犯的情形, 且绝大部分在出现 直接经济损失的情况下, 信息主体才会通过诉讼 解决。

《 刑法》中有关个人信息保护的罪名主要包 括:侵犯公民个人信息罪、帮助信息网络犯罪活动 罪、拒不履行信息网络安全管理义务罪、非法获取 计算机信息系统数据罪、非法控制计算机信息系 统罪、非法利用信息网络罪等。以相关案由检索中 国裁判文书网, 截至 2021 年 6 月 25 日, 涉及以上 罪名的已公布一审判决书数量最多的为帮助信息 网络犯罪活动罪, 合计 8520 件, 其次是侵犯公民 个人信息罪, 合计 7804 件。其中, 帮助信息网络 犯罪活动罪近年数量激增, 仅 2021 年公布一审判 决书已达 5514 件, 最主要原因是相关部门在打击 治理电信网络新型违法犯罪中加大了对提供互联 网接入、服务器托管、网络存储等技术支持, 以及 支付结算、广告推广等帮助行为的惩处力度。而侵 犯公民个人信息罪对于保护个人金融信息具备很 强针对性, 已公布的裁判文书中包含大量出售或 非法提供个人金融信息的案例, 亦有银行工作人 员涉案。 [2]

三、大数据时代个人金融信息保护机制的建构

(一) 个人金融信息保护法的转型升级

《 民法典》明确了“ 个人信息 ”的定义, 确立 了个人信息保护的一般规则以及信息主体的基本 权利; 而未来《 个人信息保护法》若得以通过和 实施, 将进一步扩充个人信息保护规则。高位阶法 律规范从顶层设计角度已给予个人金融信息保护 价值导向, 未来低位阶规范除继续关注个人金融 信息的应用场景、技术要求及各方主体现实利益 外, 亦应逐步转型升级:从单纯的隐私权保护向个 人信息生命周期全方位保护角度转化, 从单纯强调保密向保护与利用并重,从停留在事前保护向事中和事后延伸, 以促进信息保护与流动及以此 为基础的数字经济发展之间的平衡。而在具体实 践中, 亦可通过司法解释或典型案例, 尝试引入 举证责任倒置规则, 削弱技术和地位不对等的情 况下, 主体在个人金融信息权益受损时的举证难 度。此外, 可参考《 消费者权益保护法》第五十五 条, 经营者提供商品或服务有欺诈行为时的法定 赔偿金规则, 在个人出现金融信息被泄露、非法使 用而实际损失难以证明时, 适用最低法定赔偿金 标准。目前涉及个人金融信息保护的低位阶规范 主要是推荐性国家标准, 未来也可将其中部分重 要规则吸收升级为强制性国家标准或者规章, 以 促进个人金融信息的保护与利用。

(二) 金融机构信息合规体系的建设运行

银行业金融机构应当依据《 金融消费者权益 保护实施办法》《 个人金融信息保护技术规范 》 《 金融数据安全数据生命周期安全规范》等规范性 文件具体要求, 全面建设金融信息处理合规体系。

1. 建立个人金融信息保护评估制度

立足个人金融信息生命周期全过程, 建立安 全影响评估制度, 检查处理活动的合法合规程 度, 判断对主体合法权益可能造成的损害与风 险, 以及保护措施的有效性, 每年至少评估一次。

2. 建立个人金融信息保护内控制度

个人金 融信息 保护 内 控制 度 具 体 应 包 括: (1) 明确内部个人金融信息保护责任部门及责任 人、制定信息保护基本制度、设置岗位、统筹事务 管理;(2) 制定包括但不限于个人金融信息分类、 分级、授权、脱敏管理等内容的具体规则;(3) 充 分审查、评估外包服务供应商的资质, 通过协议明 确其职责和义务, 并采取必要措施监督其履行; (4) 建立个人金融信息安全事件应急处置机制、个 人金融信息投诉处理机制等。

四、增强金融消费者安全意识与理性

金融消费者在享受金融服务的过程中, 对于 产品和服务定价存在认识误区, 忽视“ 无成本 ” 服务或产品实质为个体让渡部分权利而获得的 对价。个体应理性分析自身与金融机构的法律关 系, 正视在金融活动中将要承担的风险、成本和责 任;妥善保管身份证件、账户等, 不向他人透露个 人信息、财产状况, 尽量亲自办理业务, 并及时销 毁作废金融单据, 不断提高风险防控能力。

参考文献

[1] 邢会强.大数据时代个人金融信息的保护与利用[J].东方法学,2021(1):47-60.
[2] 许可.《个人信息保护法(草案)》视野下个人金融信息保护[J].中国银行业,2021(1):47-50.

关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!

 

来源:SCI论文网

推荐阅读