阅读提示:大数据时代,信息社会中的个人信息已经成为重要的资源和财富。在大数据、云计算带来便利同时,我们不得不面对大数据的负面产品--信息被非法秘密地收集、二次利用、交叉多元等新问题,而传统的信息保护模式失灵,金融信息完全脱离了金融消费者的掌控,暴露给金融机构、关联方及其他第三方。大数据时代,数据融合现象愈加突出,相较于传统隐私权下对秘密及安宁的诉求,信息保护及利用诉求显得更为迫切和强烈。大数据语境下,金融信息的保护与开发利用共同构成金融消费者信息保护制度的基础,在价值位阶上仍需遵循金融信息保护优位原则。目前,我国尚未建立个人信息法律保护体系,作为下位概念的金融信息保护立法亦存在缺位和真空,需确立个人信息权民法框架内的基础性保护制度,采用结果导向型保护思路、强化金融机构义务以及建立专门保护机构等措施进行优化和完善。
中文关键字:大数据时代;金融消费者;个人信息权;隐私权
大数据以科技进步为原点,在深刻影响我们生活并带来便利性、新动力、新机遇的同时,随之而来的是信息安全等风险骤增。2011年艾斯隆(Epsilon)、索尼(Sony)遭黑客攻击、2013年美国塔吉特(target)支付卡数据泄露及棱镜事件、2014年易趣(EBay)客户信息泄密以及携程网泄密等事件频发,让我们看到了大数据的负面效应——对个人信息的严重侵蚀。目前聚焦大数据领域的研究多集中于大数据应用、隐私安全控制及个人信息保护,而金融消费者信息保护问题常常被忽略。大数据时代的到来对金融业提出了更高的技术及安全要求,传统的金融信息保护模式面临全面颠覆。由于大数据时代数据量大且价值高,数据泄露的破坏性产生杠杆效应,微小漏洞呈现几何级扩张,对金融消费者信息安全构成更严峻的考验。
一、大数据背景下金融信息权保护的法理分析
大数据给人类生活带来的转变是多方面的,最显著的就在于数据融合造成的隐私权衰落,但传统隐私概念的衰落并不意味着以金融消费者为代表的数据主体不再对自身的信息享有任何权利,而是这种权利的核心不再拘泥于私密性和隐瞒性,正是在此背景下金融信息权理论开始崛起。
(一)大数据时代从金融隐私权到金融信息权的变迁
信息的概念最早来自1968年联合国“国际人权会议”中提出的“数据保护”(Data Protection)。1890年,美国沃伦与布兰代斯将隐私权视为“独处的权利”。从20世纪80年代,随着国内经济环境的变化,个人权利意识逐渐觉醒,我国开始了有关隐私权的讨论与研究。隐私权,指公民个人隐瞒纯属个人私事和秘密,未经信息主体允许不得公开的权利。虽然隐私权的权利外延随着时代的变迁增加了新的内容,但其基本内核更接近“秘密权”,即个人不愿向外透露的与公共利益无关的信息,并有不被他人知晓和支配的权利。因此,对于隐私权的侵害主要表现为非法披露和骚扰。在我国《侵权责任法》中,隐私权作为一项具体人格权,与姓名权、名誉权、肖像权等人格权益相并列。
一般来说,并非所有个人信息的公开与控制,都属于隐私权的保护对象。隐私权仅仅涉及未公开的个人敏感信息。相较而言,信息权所涵涉的范围已经远远突破隐私权,除了与隐私权所保护的敏感及私密信息外,还有一部分信息所体现出的是个人公开信息,这部分信息并不在隐私权的保护范围内,但信息主体仍享有对该信息的收集、处理、更正及删除的权利。隐私权突出对人性尊严的保护,其实质是对敏感信息的保密;而信息权保护的价值取向不仅仅在于对信息本身的控制,更重视信息的流通和使用价值。
大数据作为一种新型的实证探究方法,其独特之处就在于它将眼光聚焦于自动储存的数据,并对这些数据进行没有预判和偏见的研究。美国政府关于大数据的报告中均没有给大数据下一个叙述式的定义,但它描绘了大数据的“3Vs”特点,即容量大(Volume)、多样性(Variety)和速度快(Velocity),不同来源的数据在云储存和云计算等技术的支持下达到了数据的融合从而构成了大数据。随着大数据时代的降临,隐私这一概念被愈加弱化。每个人都成为了信息提供者及需求者,各种公私机构都在无时无刻提供并获取相关信息,而互联网、搜索引擎的检索及查询功能又加速了个人信息的传播、利用及共享。相较于传统隐私权下的对个人私生活秘密及安宁的法律保护诉求,个人信息的保护及利用诉求显得更为迫切和强烈。正是在这样一个数据融合的背景下,有学者提出“隐私已死”的论断。
从内容上看,金融隐私权侧重于隐藏敏感信息,而金融信息所涵盖的范围更大,包括涉及消费者个人全部的金融信息,如住址、联系方式、从事行业、婚姻状况、信用卡交易记录、信用信息、投资偏好等等。特别是诸如投资偏好等信息,金融机构往往通过对消费者交易信息的收集、整理和分析后得到,甚至还可以从中推知其个人职业、消费习惯、朋友圈等信息,从而勾画出具有消费者专属性的主观评价。这些信息蕴含着极高的商业价值,金融机构可以据此精确了解金融消费者需求,实现产品和服务的升级更新,提高决策的效率和理性。因此,大数据时代对信息的开发利用成为与信息保护同等重要的价值追求。现阶段,如果还着眼于隐私权下的秘密状态,会使信息的流转和利用价值丧失殆尽。
在此语境下,使用金融信息权显然比金融隐私权更为妥贴。从金融隐私权到金融信息权,不仅仅是名称的变化,更是监管重点的更迭。相较于金融隐私权所强调的私秘性,金融信息权则更加强调控制性、安全性及实用性。
(二)金融信息保护与信息利用之间的平衡路径
传统时代,金融机构与金融消费者之间的信息利用关系存在两种极端的解释。一种是认为信息从金融消费者提交给金融机构开始就完成了所有权的转移,从此信息归属于金融机构,金融消费者对其再无权利;另一种则认为金融机构和金融消费者之间是“保管”关系,金融消费者为了享有金融产品及服务而提供自身的信息,金融机构只是将这些信息作为加密手段或是金融产品的附属品予以保存。但到了大数据时代,这种纯粹的保管关系及交付关系都无法满足金融信息权的周延保护。大数据时代,信息安全与自由已经成为一个生态共同体,构成民主社会的基本条件。信息同时具备流转价值和安全价值,要在这两个价值之间保持平衡,就必须给金融机构部分信息权能得以开发信息价值,同时又不至于损害金融消费者利益。毕竟信息权具有人身属性,与信息主体不可分割,而金融消费者作为信息权的最终控制人,其合法权益又必须得到保护。
从法的价值角度考量,金融信息保护与开发利用的冲突,其实质是公平与效率之间的矛盾:信息利用优位,虽实现了信息的流通价值,但人格利益及信息安全会受到减损;信息保护规则过严,虽实现了公平价值,但会大大限制信息的供给,抑制金融创新的动力,进一步加剧金融市场的信息不对称。如何进行冲突性利益的平衡,成为法律治理的难点。无论是从科斯的新古典制度经济学角度,还是从契合大陆法系思维的法教义学角度来分析,都需要解决价值判断的问题。从经济学角度来看是研究制度收益何时大于制度成本;从法学角度来看制度安排必须解决法律上和理性上正当化的问题。
法律上的正当化需要从法规范体系得出解决具体问题的正当司法结论,然而实定法秩序不同于实定法规范,法教义学的内在逻辑是抱着对实定法秩序的坚定信念进行实定法规范的自我批判,从而达到“目的理性”。而理性上的正当与否取决于:其是否优先保护“明显比较重要的利益”。对利益的衡量,需要厘清核心利益,并以涉及的社会广泛性为依据,对制度所涉具体利益作广泛的铺陈与罗列。按照庞德的观点,被法律所保护的利益可以进行层次划分与位阶排序,具有可共享性与受益主体广泛性等特征的公共利益较之私益应当受到偏重保护。具体到信息领域,人格利益及尊严价值乃人之根本性权利,属于公共利益较之信息开发利用等具体利益处于优位保护的地位。而且,根据自然法学代表人物罗尔斯的观点,公平与正义是实现与维持效率的前提。制度的设计者只有在确保公平后方能实现效率。
从域外法制角度考察,多数国家与组织通过立法形式明确了人格尊严保护优先的立场。如美国、德国都将个人信息保护纳入宪法保护的范畴;2016年4月欧盟通过了《数据保护一般规定》(The EU General Data Protection Regulation,简称GDPR),第1条开宗明义,“保护个人信息的基本权利及自由”。围绕信息保护优位的理念,很多国家及组织纷纷构建了一整套信息保护的详细规则。如,美国1978年《金融隐私权法案》强调金融消费者对于自身信息享有权利,金融机构有义务保护消费者信息,决不能将信息随意提供给联邦政府;GDPR第5条明确规定,涉及信息主体的信息处理应遵循合法、公平及透明原则;信息处理过程应当采用适当的技术及组织措施确保信息安全等。究其实质,都在信息权利保护的基础上,明确信息保护的边界,在此基础上再处理及利用信息。这种基于信息保护优位的价值判断标准,在欧洲法院近期审理的信息纠纷案中亦被反复强调,其中最典型的当属2014年谷歌西班牙公司诉西班牙数据保护监管局(Google Spain SL v. Agencia Espa ola de Protecci n de Datos)。
简言之,从世界范围内来看,在信息保护与信息开发博弈之间,主流趋势以信息保护优先为核心。加之,我国信息权立法尚付阙如,人格尊严乃个人利益之根本,只有首先确保个人信息主体的权利得以充分保护,才能允许他人合理利用个人信息。
基于此,为了平衡信息保护与信息开发之间的冲突,并凸显信息保护优先的理念,在我国金融信息权保护的法律建构中,金融消费者和金融机构之间的信息法律关系宜适用准“委托-代理”关系。信息的部分权能被委托给金融机构予以行使,信息的利用价值被开发,使得金融机构不仅仅保管信息,还能对信息进行分析和加工。但只有作为信息主体的金融消费者才能对自身的信息数据享有最完整的金融信息权权能,而无论是作为信息控制者或是信息加工者的金融机构,还是第三方,其所拥有的权利都是由金融消费者所授予,受到金融消费者信息权的制约和限制。在权利义务的规则设计上,亦应倾向于保护金融消费者一方,有必要加重金融机构的法定义务,以进一步增强金融消费者参与金融市场的信心和安全感。这里,准“委托-代理”关系与传统“委托-代理”关系最大的区别在于作为委托人的金融消费者授权作为代理人的金融机构并非出于自身利益考量,而是为了充分发挥信息利用价值的制度利益。而作为被委托人的金融机构,则是在消费者授权下加工、使用消费者个人信息,必须要做到不伤及委托人利益,并充分保护其知情权。
二、大数据时代金融信息流动的负面风险
大数据时代,金融信息所面临的危险与之前有明显的不同,无论是来自外缘性危险,还是金融机构的内化危险,都因其在储存和运用方式上的特性而存在不同。外缘性危险,主要包括技术性危险、来自公权力的威胁,而内化危险则源于大数据背景下金融机构对金融信息的扩张性利用和分析。面对来自大数据的新型风险,基于管制型立法的传统规制思路存在明显不足。
(一)外缘性危险——传统风险
大数据时代,金融信息逐渐网络化,依托于互联网就无法避免要面临现代技术的漏洞危机。大数据的技术性危险来自于两方面:一是技术滞后。在大数据的储存和云计算分析上,不可避免地会存在技术上的滞后。目前对于大数据的储存已经开始虚拟化进程,将数据存储于虚拟计算机中,能够大大增加电脑容量。然而面对数据储存量的大幅增加,云计算技术的进步却不能时时与其相匹配,这就会造成数据的闲置或是无用储存率的增加。二是网络攻击。正是因为储存方法的虚拟化,信息数据库遭受网络黑客攻击的可能性大大增强。几乎每天都可以看到关于对商业企业甚至政府网站进行攻击的事件。而黑客来自方方面面,从外国政府到犯罪集团,甚至是个人的黑客行为都可能对金融信息构成威胁。然而,技术性危险难以预防和避免,法律又具有其固有的滞后性,现有立法很难穷尽尚未出现的新型技术性危险。尽管可以通过追究侵权人刑事责任、行政责任、民事责任等事后救济方式,但由于网络条件下难以确定侵权人,事后救济方式不能完全规避技术性危险。
另一方面,来自公权力的威胁也是大数据时代金融信息保护所面临的重要危险。政府对于公民个人信息的管理及使用由来已久,也是维护社会稳定所必须的重要手段之一。但是,应该如何管理及利用公民信息,如何保持公民信息权与公共安全之间的平衡一直争论不断。大数据时代,数据的价值意义更大,公权力对于民众信息的攫取欲望也更加强烈,斯诺登事件便是最好的例证。而金融信息关乎国民经济的命脉,无疑也会成为重要的数据来源。尽管法律对于政府介入已有相关的规定,但大数据时代所催生的私有商业信息中介会搜集大量的公民信息再提供给政府,以规避法律。
(二)内化性危险——新型风险
所谓内化性危险,是来自金融机构自身对于所掌握的金融信息进行的数据利用和分析,由此引发的信息安全风险。金融机构无论是根据其法定义务还是合同义务,都应该对金融消费者信息负有保密义务,这是对用户隐私权和财产权的保护。但是,在大数据背景下金融机构的运营因为数据有了更多机遇,掌握数据信息就意味着掌握财富与先机。加之,金融市场存在严重的信息不对称问题,金融机构对数据的需求相比其他机构更为强烈,这种对信息占有的强烈动力,对金融消费者信息权构成了更大威胁。
1、数据的二次利用。金融消费者在第一次接受金融机构服务时,会提供诸如个人身份信息、住址、电话、电子邮箱等信息。金融机构取得上述信息,为了保护真正权利人,用以作后续的身份确认,属于金融消费者信息的第一次运用。但在大数据时代,如此庞大而有价值的金融消费者信息使用不会仅止于此,而是被进行第二次分析利用,通过数据分析并整理出有利于金融机构进行精准营销的商业信息,以便辅助其日后的经营决策。
现行的隐私保护法更多着眼于保护管理个人身份信息,而传统的保护模式不足以保护如今可能对过去、现在、甚至未来的信息所进行的大数据二次利用。对于金融信息进行二次利用的法律规制难点,主要在于用户隐私自主式管理(Privacy Self-Management)困局。在解决用户信息自主式管理困局时,传统信息保护模式通常采用告知与同意保护方式(Notice and consent)。即,金融机构与消费者订立交易合同时,金融机构予以提前告知并进行相应的说明。
互联网背景下,金融消费者自身即使在金融机构已经对其进行隐私及信息利用提示的情况下,也可能不阅读或没有时间阅读隐私利用条款,仅仅机械式点击“同意”进入“下一步”;而有些则即使阅读了也并不能完全理解其中的法律风险,不能预计到其信息之后可能被利用的情形和法律后果。金融市场上的信息不对称问题,在大数据时代被进一步强化,金融消费者可能是在无意识状态下授权金融机构对其信息施以完全的处分,以至于最终丧失对自身信息的有效控制。尤其是在原生性电子数据的利用上,消费者尽管是数据的创造者,却很难对数据形成有效控制,甚至有时在创造这些数据时自己都并未清醒地意识到信息本身的存在。而上述信息则被金融机构自动收集并掌握在手中。
在大数据时代,对数据的利用可能是过去式、现在进行式、也可能是未来式,如果想要完全了解金融机构所有数据的利用条款的真实意思,无论是对金融机构还是对金融消费者而言,都将耗费极大精力。加之,大数据背景下甚至连金融机构本身都无法预测到未来可能对用户信息进行何种形式及何种程度的利用,因此要在获取用户信息时进行充分的提示及告知几乎是不可能实现的。
与此同时,如果要求金融机构在利用信息之前必须告知每一位金融消费者并征求其同意,势必会大大增加了金融机构的工作量及成本。即使做到,金融信息本身的价值意义也就损失殆尽了。换言之,通过每一次大数据分析信息所获得的利益可能根本无法填补告知所需的成本,且随着数据容量的不断扩大,这种告知成本也会随之上升,通过大数据利用信息所产生的收益将越来越小,如此会阻碍大数据技术的发展,进而减损金融机构利用大数据的动力。
2、数据的交叉多元性。大数据预判力的基础是相关关系分析法,因此对于数据量的要求是极高的。金融机构要想准确预测金融消费者的购买趋势,它所需要的数据将不是某个部分的单方面数据样本,而是数据总体,从而以更加精确的大数据简单运算取代小数据复杂运算,用相关关系取代因果关系。
在此基础上,大数据所要求的数据将是非结构性数据(Unstructured Data),而不是已被组织好整理入数据库的结构性数据(Structured Data)。所谓非结构性数据主要是指自然语言文本(Natural Language Text),相比于储存于数据库的结构性数据而言,非结构性数据大多存在于原始环境,存在于每天生产出的数以百万计的个体文件之中。对于这样庞大的非结构性数据要求,金融机构要想真正利用大数据的显性优势显然不能只局限于自身数据的分析,很可能还会借助外部机构提供的数据,这就为法律规制提出了新的难题。
为了保护个人信息,按照传统的隐私保护思路,在技术上通常要求数据收集者采用去身份化(De-identification)措施,即在某些特定数据的收集和利用上可以通过剥去“个人识别信息(PII)”再进行二次利用的方式来保证不泄露用户身份。该措施可以将数据与个人身份隔离开来。然而,当数据量趋于无限大,个人身份的辨认实际上可以通过多种途径、多种数据的叠加方式来实现。大数据的运用,“使得彼此分散、割裂的数据被结合在一起实现了身份标志的复原(Re-identification)的效果”。金融消费者的个人信息可能会在不经意的数据共享与二次利用中被完整还原,从而导致泄漏。无法匿名的数据也对金融消费者隐私信息的法律保护提出了新的难题。同时,如果要采取隐匿相关个人识别信息来保证用户身份不被泄漏,又会导致信息的不完整,被删去的信息中有可能会蕴含着某些对分析目的有影响的部分,从而导致大数据分析无效或出现偏差。
3、信息来源的扩张。大数据时代信息来源也并非像传统时代如此单一,数据的极速膨胀也正是得益于这样多样化的信息来源。根据美国总统科技顾问委员会(PCAST)的报告,大数据时代信息来源可以分为两大类:一类是原生性电子信息(Born Digital),即在使用电脑或数据处理过程中诞生的数据,具有与生俱来地虚拟性及电子性,如金融消费者网上银行的浏览信息等;另一类是模拟性转换信息(Born Analog),诞生于现实世界,由电脑模拟转换为电子形态的数据,如金融消费者的照片声音等。大数据时代来临之前,金融机构所掌握的数据都只有后者,因为这种数据由实体形态转换,容易被消费者熟知,也比较容易管理。但是前一种原生性电子数据,在金融消费者本身都无意识的状态下被创造或是被储存,其治理难度就会更大。
而且,大数据时代金融消费者信息除了电子信息外,还包括元数据(Metadata),这就造成了传统的隐私立法对于大数据背景下个人信息保护的另一个不周延问题。以美国《电子通信保密法令》为例,它有效禁止了互联网服务商未经同意出售用户的电子邮件和短信内容,但是对于非内容性的元数据保护则非常有限。这种状况在金融领域同样存在,而且更为严重。相较而言,元数据更容易被创造总结出来,且一旦元数据与其他数据结合分析,很容易将用户的个人信息完整拼凑并还原出来,会使传统的隐私信息保护形同虚设。因此,除了对用户的直接信息需要进行法律保护,还必须对经过加工分析之后得出的元数据进行保护,而该领域恰恰存在规制真空,蕴含着潜在风险。
综上,大数据时代引发的新问题使得传统信息权保护模式失灵,金融信息完全脱离了金融消费者的掌控,暴露给金融机构及其他关联方及第三方。虽然大数据应用使得金融消费者得到更优化和个性化的服务,但这与其提供相关信息所创造出的巨大价值形成强烈反差,大部分的信息优势始终掌握在金融机构手中,金融信息被超目的使用甚至滥用,而低成本与高收益形成巨大反差,使得信息被侵害现象愈加严重。金融消费者虽然是信息权利主体,但对个人信息的控制却是最弱的,因此有必要进一步优化和完善对于金融消费者信息权的法律保护。
三、应对大数据金融信息负面风险的中国立法再完善
现阶段面对大数据背景下个人信息被非法收集、传输、使用及转让等诸多问题,我国信息保护立法在价值位阶上应首先考虑人格尊严、人格利益受到充分保护和尊重,即人的基本权利需求的满足,进而才能允许他人合理利用并共享信息。具体到金融领域,对金融消费者信息保护需求(社会公共利益作为核心利益)远远超出金融机构开发利用信息(当事人具体利益)所产生的价值。我国金融信息法律制度体系的构建轨道,亦应遵循金融消费者人格尊严和人格利益优先,特别是强化涉及消费者个人的隐私信息保护,在此基础上金融消费者作出一定的信息权利让渡,允许金融机构合理限度内利用、分析及处理信息,便于其经营,从而实现信息的使用价值。因此,我们需从基础性制度保障、权利义务内容及组织构架等方面同步建设。
(一)确立民法框架内个人信息权的基础性保护制度
通过考察域外法国家可以发现,对信息保护的立法轨迹遵循了“基本法权利保护——民法框架保护——专门法律保护——分领域具体权利保护”的基本路径。而在我国几乎没有体现,《宪法》并未规定、《民法通则》也未涵盖,关于个人信息保护的专门法律并不存在,更不要说专门针对大数据背景下金融领域的信息保护立法了。即便是涉及大数据治理的地方性法规,也仅仅强调大数据的发展应用,其主旨在于运用大数据促进经济发展和提升政府管理能力,并未就信息保护给予更多的关注。
《侵权责任法》仅对隐私权进行保护,侧重于事后救济和精神性损害赔偿,如前所述信息权与隐私权存在本质上差异,自身权利保护尚存在问题,毋庸讳言通过隐私来周延保护信息权了。由于我国现行立法并未对侵害个人信息的民事责任作出规定,实务中针对被侵权的行为金融消费者往往诉诸于名誉权、一般人格权保护,这也造成了事实上个人维权的尴尬。
因此,从个人信息权的基础性保障制度出发,信息权的法律地位应加以明确。虽然有学者认为个人信息横跨“公私两域”,主张公私法整合保护模式;还有学者认为,通过普通民事权利保护已不适应计算机技术的发展,应通过宪法予以明确保护。宪法、行政法、刑法保护都存在其合理性,然而,笔者认为,当务之急是将个人信息权纳入民法保护框架,此乃信息权利保护之核心和基础,不可或缺。
宪法权利首先是应然的政治道德权利,是作为人享有或应当享有的、普遍不可剥夺不可转让的基本权利。宪法保护体现出国家负有保护个人的基本权利不受他人侵害的义务。民法则定位为国家实现该保护义务的手段,民法保护并不是与宪法无关,而是基本权利保障的宪法系统之内的手段。宪法保护侧重的是基本权利由普适道德权利限缩为国家法律框架内权利的指引性,具有高度概括性和抽象性的特征,需要民法保护作为实现基本权利保护义务的路径:从立法角度,民事立法确定实现保护义务的方式;从司法角度,在民事案件中依据自由裁量来履行保护义务。换言之,宪法更多体现的是基础性功能,即国家立法机关和司法机关作为国家机关,负有宪法保护的义务,并通过法的形成而提供保护,而民法保护是其保护义务的最终实现路径。
与宪法保护相似的是,行政法和刑法保护都体现出权利救济的国家保护,并且与民法保护一样,作为国家保护的实现路径,有机地统合到基本权利保障的宪法系统内,同时又在实践中体现出独当一面的特性。然而在我国“有限政府”的趋势以及刑法谦抑性原则的限制下,行政法和刑法保护作为最后屏障,在管辖范围内存在监管俘获和规制过度的风险,同时又难以覆盖私法领域的方方面面。从利益衡量的角度来看,行政法、刑法规制易引发公权与私权的对抗,其擅长解决的是不平等主体之间的利益冲突,却对平等主体之间的利益平衡略显粗犷;民法保护依靠的是由市民社会自发形成的利益平衡机制,最能反映社会成员对权利的向往和追求,是公民自然权利的最基本要求和体现,能够实现人的自由意志并产生足够的安全感,更符合个人信息权的规制逻辑。
从个人信息保护的一般原理出发,我国宜采用“民法框架下个人信息权保护的一般性规定—→分领域(如医疗、生物、传媒、金融等)个人信息权保护具体规则”的保护路径。因此,首先要构建的是民法框架内的个人信息权利保护基本制度,在民法保护的规则体系(个人信息主体所享有的权利、信息控制者、使用者基本义务及责任体系)之下再结合新时期(如互联网、大数据等)金融行业所呈现出的不同特点作分类细化。
从世界范围来看,将个人信息权作为一项独立的民事权利为国际社会之共有趋势。如前所述,信息权与隐私权虽然存在一定程度的交叉和重合,但其保护内容、范围及救济方式都有明显差异。既然信息权尚未被列入我国立法,但当其在现实生活中具有相当程度的重要性时,“或直接经由立法,或间接经由判例学说被赋予法律效力,使其成为权利”。因此,信息权从其本质上说,是一种独立的民事权利,而绝不能将其作为隐私权的附庸。也就是说,需进一步厘清隐私权与信息权之间的法律关系,形成权利之间内部协调统一的法律规范体系。
从信息权的保护内容上看,虽然各个国家及地区的表述不同,但基本都涵盖了信息决定(信息主体对个人信息的直接控制与支配)、查询、更正、补充、封锁、删除以及保密权等。我国个人信息权内容,亦应遵循一般规则,应涵盖决定、保密、查询、更正、删除、异议以及收益等。即,除了一般性人格利益的保护,还应实现信息主体财产权的保护。
在传统民法理论中,个人信息的人格权属性被反复强调和关注,财产权属性则在某种程度上被有意或无意的忽略。值得关注的是,“因社会经济活动的扩大,科技的发展,特定人格权既已进入市场而商业化,具有一定经济利益的内涵,应肯定其具有财产权的性质”。大数据时代,信息的经济价值愈加凸显,谁掌握了更多信息,谁就占有了市场先机,拥有更多的决策和话语权。忽视信息权的财产属性,将大大减损信息价值,无法实现信息主体的财产权益。大数据时代,应充分肯定信息权所包含的财产属性,不仅可以最大程度上实现信息主体的信息收益,全面贯彻法律对信息权的全面保护精神,还能促进信息的合理使用及有序流转。事实上,2015年4月公布的《民法典·民法总则专家建议稿(征求意见稿)》第114条已经将“信息”纳入民事权利客体,与商业标记、智力成果相并列,凸显了信息权的综合性,既有人身权内容,亦有财产权的属性。
(二)赋予金融消费者完整的信息权权能
当个人信息权在民法框架内被确立为一项独立的权利时,作为下位概念的金融消费者信息权才有了法律保护的逻辑起点。作为信息权主体,金融消费者亦应具备占有、使用、收益及处分四项权能。按照之前的准“委托—代理”关系,通常由金融机构来实际行使信息权占有和使用权能,而处分权能则最终归属金融消费者。
正是因为金融消费者享有对金融信息的最终处分权能,其始终对信息具有控制权,且这种控制权应贯穿于信息收集、分析、使用、处理等全过程。一方面,金融消费者对自身信息的处分享有同意权。虽然大数据时代大大弱化了“告知—同意”模式的保护作用,但金融机构对已收集的信息进行分析并超范围使用时,还需征求金融消费者的同意,这也是保障消费者知情权的重要体现。另一方面,对于金融机构超范围利用金融信息享有拒绝权。一旦金融机构超出最初收集信息的目的进行二次利用,必须重新获得授权,而且消费者有权随时撤回授权,并在整个信息利用流程中享有随时拒绝金融机构继续进行信息加工分析的权利。
针对金融信息利用的收益权则需要根据不同情形进行区分。最初金融消费者为了换取金融商品或服务而提交信息给金融机构时,是基于特定目的的授权,金融消费者通过金融机构信息的利用获得了相应的收益,如确保账户安全、形成良好的个人信用记录、促进其购买合适的金融产品从而满足个人财产保值增值的需求。与此同时,金融机构利用云计算、大数据等技术对金融消费者基础信息进行深度挖掘、分析、加工、整理并进行需求匹配,使之升级成为更高价值的数据,可为其商业决策提供更科学的依据。这里,毕竟金融机构为信息增值作出了应有的贡献,理应有权分享信息所带来的收益,这也是出于信息利用的效率考量。换言之,一方面,金融消费者是信息主体,享有信息的最终控制权,可以同意或拒绝金融机构使用其信息;另一方面金融机构可以在一定范围内分享信息增值带来的收益,以提升信息的开发及使用价值,只有如此才能实现共赢,更好的平衡信息保护与利用之间的利益冲突。
(三)金融信息权的保护思路——结果导向型模式
大数据的运作流程分为三个部分:数据采集、数据分析和数据利用。大数据时代使得通过对数据收集和分析过程进行政策规制缺乏实际可行性,毕竟数据收集和分析过程中经常存在一些非人为性或非目的性因素,要政策制定者预估所有因素几乎是不可能的。因此,法律及政策规制的着眼点应当集中于最后的“数据利用”环节,以这种“数据利用”是否会给信息主体带来损害为评判标准。
同时,大数据时代日新月异的技术变更,技术控制条款迅速滞后于现实发展,只依靠监督金融机构所掌握的金融消费者开户资料等档案信息来保护金融消费者信息权的话,就很有可能忽视金融消费者浏览网银或是消费纪录等其它信息的保护。通过在信息终端用途上予以把控,才能实现最好的法律规制效果。
大数据背景下结果导向型模式,突破了传统信息保护之掣肘:隐私权保护强调的是行为导向型模式,即一旦未经同意涉及他人私密即构成侵权;相比之下,大数据背景下的信息权保护则采用结果导向型治理,将治理重点放在信息利用可能造成的对信息主体的不良结果上,更具实效性。结果导向型治理思路,在立法上的重要的体现就是加重金融机构作为信息收集方、利用方的义务。
2015年2月,美国颁布了《消费者隐私权保护法案(草案)》进一步增加了金融机构的保护义务的内容:(1)针对金融机构等数据控制者的自觉性义务,合目的性和受限性收集等义务都不再仅仅强调信息收集阶段,而是被扩大到信息收集、加工和使用的整个利用链条。同时,为了体现结果导向,还增加了金融机构等数据控制者的风险评估管理义务,要求其对消费者信息可能面临的风险进行评估以决定自己的行为。(2)数据控制者应当采取与隐私风险相关的保护措施,包括但不限于向其雇员提供培训、对其隐私或信息保护进行内部或独立的评估、在其系统和实践中设计及嵌入合适的隐私和数据保护机制、确保任何与其分享数据的第三方受到法案的约束。(3)针对消费者的保障性权利,新议案也减弱了消费者启动这些保障性权利时的程序性障碍,更强调了金融机构等数据控制者对于保障消费者个人对数据控制性、透明性和矫正路径的保障作用,即必须提供给消费者合理的途径以行使权利。
从上述修改内容可以看出,对于消费者作为信息主体的法律保护,美国采取逐步强化金融机构义务与责任的保护思路。毕竟尽管金融消费者是信息主体,但介于巨大的信息强弱对比差别(尤其在金融市场上,这种信息不对称的差异愈加突出),金融消费者在大数据背景下的控制能力显得极为微弱,其并不具备大数据处理及宏观性预测的知识和能力,要求金融消费者在结果导向型模式中对结果风险进行判断几乎是不可能完成的任务。因此,处于信息强势一方的金融机构必须承担更重的义务和责任。而且,在准“委托—代理”关系前提下,金融机构也实现了信息价值的开发利用,这种代理关系及收益上的不均衡性也要求金融机构应履行更多的保护义务。
我国在今后的立法完善中,有必要就金融机构的信息保护义务及责任,进行具体规则的设计,可引入金融机构对信息利用结果作出评估的强制性义务,即金融机构应当在利用消费者信息之前应当进行不利影响的评估。如果评估显示这种不利影响可能存在,则必须停止相应的信息加工。
值得注意的是,传统的“告知及同意”保护模式面对大数据带来的新型风险虽明显滞后,但是仍然有其存在的必要性。欧盟刚刚实施的GDPR也关注到网络服务条款中网络服务商滥用“同意”条款的现象,对“同意”的条件作了进一步限定。其中第7条规定,如果允许使用个人信息的“同意”是与对其他事项的认可一并作出的,那么收集和使用信息的一方在申请信息主体“同意”时,应当将其“明确、清晰的”以“可理解的方式”、通过简单通俗的语言与其他事项区分开来。具体到金融领域,金融机构所利用的数据信息仍然有相当一部分是模拟性转换信息,即由金融消费者提供、经电脑或是一定运算模式转化成电子数据的信息。此类信息的特点,即需要与数据主体发生直接接触,金融机构完全可以针对消费者信息的使用履行通知义务,即:就金融机构的信息保护政策使用最简单朴实的语言向金融消费者作完整的说明;在描述信息保护政策提示时尽量使用中立词汇,避免误导性用语;采取从整体到局部的设计以明确信息保护政策的背景,以帮助消费者更好地理解信息保护政策的要旨。
此外,为强化监管,还需建立个人信息保护的专门机构。2015年8月国务院发布的《促进大数据发展行动纲要》(以下简称《行动纲要》)已经提出了“大数据专家咨询委员会”的概念,为大数据的相关政策和法律制定提供意见和建议,并要求其它各部门予以配合。虽然委员会的职权安排并没有在《行动纲要》中作进一步的阐释,但也从一个侧面反映出我国设立专门信息保护机构的必要性。为了贯彻信息的保护与管理,很多国家设立了专门的信息保护机构,如德国联邦数据保护专员、英国数据保护专员、法国数据保护专员等。GDPR第51条要求每个成员国建立一个或更多的独立公共机构负责个人信息的保护。面对来自技术、法律、社会等层面的新问题,信息保护事宜纷繁复杂,设立专门机构不仅有利于信息保护法律规定的实施,也有利于信息纠纷的解决。该信息保护机构有权制定信息保护规范,对个人信息保护情况进行监督管理;对信息控制者相关营业场所及设施实施现场检查;督促相关机构加强信息系统的安全管理,规范数据库的使用;信息权保护教育;对违法行为,可以视情节施以行政处罚等。与此同时,“一行三会”等金融监管机构在金融消费者信息权保护中亦应负有相应职责,如配合信息保护机构监督检查金融机构对法规政策的配合执行情况、受理信息争议等。而且,金融机构亦应在其内部建立相应的信息保护部门或者设置保护专员,专门负责处理与金融消费者信息权保护的相关事宜,包括制定本机构信息保护政策、开展信息风险管理评估、处理与金融消费者之间发生的纠纷等。
结语
2015年被认为是大数据应用元年,而2016年大数据市场愈加迸发出新的活力,当前已经没有人怀疑大数据所带来的价值。如今,大数据正在渗入越来越多的传统行业,医疗大数据、交通大数据、公共服务大数据、金融大数据等应用相继出现。其中,金融大数据无疑是重头戏。特别在互联网金融的大背景下,金融业正在借助大数据加快自身业务创新,推进精准营销、助力普惠金融。大数据时代个人信息权所涵盖的范围比隐私权更为广泛,也不再局限于信息的保密和隐藏,更多展现的是信息交流、利用及共享。
为了平衡信息保护与开发利用之间的冲突,我国需构建信息权保护基本法律框架,明确金融信息保护价值优位的理念,作为信息主体的消费者享有完整的信息权权能,同时金融机构亦能在消费者授权下利用并使用信息,以实现信息的开发价值。现阶段法律规制的着眼点应当集中于最后的“信息利用”环节,采用结果导向型保护模式以增强金融信息保护的实效性,同时加重金融机构的注意义务,乃是在本国法制下回应现有失衡的信息保护现状之必需。
【来源】《法学论坛》
|
