隨著信息科技與金融深度融合,金融消費者個人信息產生了巨大的商業價值,問題也與之而來。近日,一批金融領域的大數據風控公司接連"出事",再次引發人們對個人金融信息安全問題的高度關注。
近年來,非法泄露買賣個人金融信息、銀行卡盜刷、冒名辦理信用卡惡意透支、電信詐騙等侵犯金融信息主體權益的案件呈高發態勢,然而,目前我國關于個人金融信息保護立法相對薄弱,有關的規定散見于一些法律條文中,因此,構建一個系統、完整的法律體系來保護公民的個人金融信息安全迫在眉睫。
央行關于個人金融信息(數據)保護又向前邁出了一大步。10月9日,消金界、北京商報等多方媒體報道稱,《個人金融信息(數據)保護試行辦法(初稿)》(以下簡稱《辦法》)已經出爐,央行已經將文件下發至各銀行征求意見。
上述報道披露了《個人金融信息(數據)保護試行辦法(初稿)》第十二條及第十八條規定。第十二條規定為:"(金融機構)不得從非法從事個人征信業務活動的第三方獲取個人金融信息。"第十八條規定為:"金融機構不得以"概括授權"的方式取得信息主體對收集、處理、使用和對外提供其個人金融信息的同意。"
財經網向建設銀行、中信銀行等銀行工作人員多方求證,上述人員稱暫未收到該文件,但確有聽聞央行正在加快個人金融信息保護的立法進程,《個人金融信息(數據)保護試行辦法》已列入2019年4月中國人民銀行發布的《中國人民銀行2019年規章制定工作計劃》。
待到《辦法》正式出臺后,銀行將根據該辦法的要求,對提供業務數據的第三方機構進行摸排。對于不能保證數據來源合法的數據供應商,要停止合作。
個人金融信息亟需系統法律體系保護
個人金融信息的概念是從隱私權衍生而來,逐漸被各國重視并進行立法保護。從廣義的角度來講,個人金融信息包括:銀行業機構、證券與期貨業機構、保險與保險中介機構等金融機構在與客戶辦理業務過程中,所知悉、收集的個人身份、財產、信用、交易等其他個人信息。2011年中國人民銀行將個人金融信息保護范圍具體為身份信息、財產信息、賬戶信息、信用信息、金融交易信息、衍生信息及其他信息七類。
隨著信息科技與金融深度融合,金融消費者個人信息產生了巨大的商業價值,其被非法獲取、濫用甚至出售營利的風險也隨之加劇。如果消費者的個人金融信息遭受侵害后得不到有效救濟,勢必會影響社會公眾對金融行業的信心,甚至可能引發潛在的金融風險。因此,加強個人金融信息保護、完善金融機構數據信息管理、防范打擊金融信息犯罪,已成為金融監管工作亟待解決的重要課題。
陜西銀監局消保處李妙在其文章《大數據時代加強個人金融信息保護問題探析--以完善法律規制及主體責任為視角》中指出,當前我國關于個人金融信息保護立法較為薄弱。
一是在法律、行政法規層面對"個人金融信息"缺乏統一法律界定。
只有《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》(銀發[2011]17號)中以概括加列舉的方式將"個人金融信息"分為個人身份信息、個人財產信息、個人賬戶信息、個人信用信息、個人金融交易信息、衍生信息等七大類。
但該《通知》僅為規范性文件,法律效力層級較低,且只適用于銀行業金融機構。無法定概念,則更無從談起法律定性和統一規范。
二是法律體系不健全,相關規定較為散亂。
現階段有關金融消費者個人信息保護的規定不成體系,散見于各項有關法律、法規、行政規章和規范性文件當中,如《商業銀行法》《證券法》《保險法》《反洗錢法》《刑法修正案(七)》《網絡安全法》《民法總則》、國務院辦公廳《關于加強金融消費者權益保護工作的指導意見》《中國人民銀行金融消費者權益保護實施辦法》《征信業管理條例》、原銀監會《銀行業消費者權益保護工作指引》《網絡借貸資金存管業務指引》《個人信用信息基礎數據庫管理暫行辦法》《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等。
總體來看,個人金融信息保護所應遵循的基本原則、程序和制度沒有統一的規范,各項制度規定之間存在重復、空白甚至沖突的情況。
三是制度規定本身存在不足,有待完善。
上述大多數制度規定都是針對某一具體問題,內容原則性比較強,可操作性不強;在法律責任方面,目前對于金融機構及其工作人員侵害金融消費者個人信息安全權的行為,主要是追究其行政責任和刑事責任(參見《刑法》第二百五十三條),而民事責任并不突顯,對金融消費者權利救濟手段的規定也缺乏法律依據。
中國人民銀行銀川中心支行蔡芊、張青媛在其文章中指出,現階段,唯有在建立完善個人金融信息保護法律體系的基礎上,厘清、強化金融機構、監管部門和金融消費者的主體責任,方能防范和打擊個人金融信息犯罪,促進金融市場健康、穩定、持續發展。
央行的個人金融信息保護探索之路
事實上,建立健全金融科技監管體系、保護個人金融信息已被央行反復提及。
2018年,央行就下發了《中國人民銀行辦公廳關于2017年支付服務領域金融消費權益保護監督檢查情況的通報(銀辦發〔2018〕99號)》及《中國人民銀行辦公廳關于開展2018年支付服務領域金融消費權益保護監督檢查工作的通知》,要求各機構開展金融消費權益的自查和整改落實工作。
2019年4月,央行發布了《中國人民銀行2019年規章制定工作計劃》,其中,明確將《個人金融信息(數據)保護試行辦法》的制定列入章程。
2019年5月,央行辦公廳下發了《中國人民銀行辦公廳關于2018年支付服務領域金融消費權益保護監督檢查情況的通報(銀辦發〔2019〕72號)》。在通報中"金融消費者信息安全管理不規范。部分機構存在收集信息范圍過大、未經消費者授權收集其個人金融信息的情形、業務系統存儲不規范等情形。"屬于重點問題。
2019年6月14日,央行副行長朱鶴新在國務院新聞辦公室舉辦的"覆蓋全社會的征信系統建設情況"吹風會上強調,加強個人信息保護立法工作,先易后難,先研究推動個人金融信息保護立法,明確各方的權益義務,使個人金融信息保護取得實效。完善征信服務方式,優化征信維權機制,暢通征信維權渠道,提高征信維權效率,為用戶使用和維權提供便利。繼續加大對違規采集,查詢和使用個人征信信息的懲處力度,提高征信信息侵權行為的成本。
2019年9月25日,央行科技司司長李偉在"首都金融科技發展研討會"中指出,央行將多措并舉推動金融科技健康發展,建立健全金融科技監管體系,強化個人金融信息保護,嚴防個人金融信息的泄露、篡改和濫用,平衡好金融服務便捷和安全的關系。
結語
有相關人士透露,《個人金融信息(數據)保護試行辦法(初稿)》確實已經下發至各個銀行,但是文件要求,相關內容必須嚴格保密不得向外透露?,F在透露出來的兩條內容或許與近日大數據行業風波相關。
"大數據風控行業,對于個人信息的采集、使用等方面一直缺乏一個法定的'紅線',很多的個人信息使用面臨著游走在監管法律空白的問題,《辦法》的出臺將既是對于用戶的保護,也是對行業內公司的保護。"蘇寧金融研究院高級研究員黃大智向財經網解釋道。
他還告訴財經網,近幾年來,個人信息保護立法的事項一直是熱議話題,在2018年、2019年的兩會中,有幾十位代表提及對個人信息保護的立法。而個人金融信息作為個人信息中最重要的一種,其安全性直接影響到個人財產的安全,《個人金融信息(數據)保護試行辦法》的出爐對于保護個人金融信息安全、個人財產安全的意義不言而喻。
全國人大代表、中國人民銀行南京分行行長周學東此前在其署名文章《關于完善個人金融信息保護法律體系的思考中》總結稱,目前我國尚無一部專門的法律對個人信息,特別是個人金融信息的收集、使用、披露等行為進行規范。
因此,從法律層面加強對個人金融信息的保護,是保證個人信息安全、維護個人權益和金融穩定的重要課題。
央行《個人金融信息(數據)保護試行辦法(初稿)》的推出,意味著個人金融信息安全保護終于有了一部系統的、專門的法律條款,個人金融信息安全保護又邁出了一大步。個人金融信息保護所應遵循的基本原則、程序和制度有了統一的規范,各項制度規定之間存在重復、空白甚至沖突的情況將成為過去式。
"對于金融機構及其工作人員侵害金融消費者個人信息安全權的行為,終于有"法"可依。"黃大智向財經網總結稱。