加强网络环境下的个人金融信息保护
摘要 安全自由是人类与生俱来的,伴随着信息社会、互联网金融的到来,使原本口口或书信才能相传的信息、面对面才能一睹的芳容可以在弹指一挥间快速传播。互联网时代,信息科技迅猛发展,网络的数字化特征使得数据成为个人金融信息的重要载体,个人信息的价值凸显,其安全风险也随之大增。个人金融信息保护的现状及问题个人金融信
安全自由是人类与生俱来的,伴随着信息社会、互联网金融的到来,使原本口口或书信才能相传的信息、面对面才能一睹的芳容可以在弹指一挥间快速传播。互联网时代,信息科技迅猛发展,网络的数字化特征使得数据成为个人金融信息的重要载体,个人信息的价值凸显,其安全风险也随之大增。
个人金融信息保护的现状及问题
个人金融信息概括为在金融交易中被金融机构所获得的,能够识别特定个人或反映特定个人交易能力、习惯、状况或趋势的信息,包括个人的身份信息、交易信息、信用信息和衍生信息。《中华人民共和国民法总则》第111条规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。此法加强了个人信息保护力度,特别明确了个人信息保护的主体责任。这表明我国开始重视个人信息的保护工作,但个人金融信息的保护仍然处于探索阶段,存在较多问题。
(一)立法分散,缺少个人信息保护的单行法规。我国在个人信息保护方面虽有一些法律条文,但各个规定分散于各类法律法规之中,缺乏统一的《个人信息保护法》。立法的分散、庞杂导致个人信息保护理念、原则、各方权责等基本问题缺乏一致的、标准的、统一的约定,极易造成各法律法规之间的矛盾和冲突,出现法律漏洞和立法空白。例如,“个人信息”的概念界定是构建整个个人信息保护制度的基本要素,直接划定了个人信息保护的范围。但一直到《网络安全法》出台,我国才首次在法律层面明确了“个人信息”的定义。尽管个人信息的“可识别性”标准已成为普遍共识,但借助网络工具,可识别的个人信息范围也在逐渐扩大,个人信息和非个人信息的界限变得愈加模糊,许多在传统信息处理方式下难以纳入个人信息范畴的碎片化数据,在互联网的改造后具有了识别的功能,因而个人信息应当是一个动态的概念,在我国现有的界定下仍然会存在分歧。
(二)缺少授权,金融监管职能难以平衡。根据《银行业监督管理法》第三条第一款,银行业监督管理的目标是促进银行业的合法、稳健运行,维护公众对银行业的信心,并没有涉及对个人金融信息的保护。我国保护金融消费者的法律依据主要是由金融监管部门发布的规章和规范性文件,虽然条文中涉及对消费者利益的保护,但不是监管的主要目标,消费者保护条款的设置也是为了实现审慎监管目标而服务。当监管机构审慎监管与消费者保护监管两项职能无法平衡时,其所面临的监管任务过重、监管目标过多,会造成监管不足的困境。
(三)管理不善,个人金融信息保护难作为。金融交易的各个阶段都会涉及到个人金融信息,法律制度和监管机构的约束,只能对金融机构产生外部作用,金融机构的内部管理和安全控制才是个人金融信息保护的源头。不断发生的金融机构泄露信息事件,暴露了其管理不善的漏洞。首先,缺乏统一明确的客户信息管理部门。如银行业务中。个人金融信息分散在各个业务环节,比如存款、贷款、支付结算、办理理财产品、开通银行卡和电子银行等,这些业务分别由不同的运营部门管理,个人信息使用审批由部门分头开展。这极容易造成各业务部门在信息处理与保护方面标准不一,出现问题互相推诿责任的情况;其次,金融机构信息内控缺乏流程制约。如信用卡业务,从办理到催收中间各个环节由不同的部门管理,甚至有些业务是外包给第三方进行处理,而在业务办理的每个环节都不可避免地要使用到个人金融信息。业务流程的中断,各流程缺乏有效的制约,工作人员没有足够的权限控制,这些都增加了信息泄露的可能性,而且加大了责任查处的难度。
(四)意识淡薄,金融消费者不重视个人信息的保护。6.27亿人拥抱了互联网金融,享受着互联网带来的便利,但大量网民的安全意识没有跟上互联网的节奏,仍然惯用传统金融的思维,个人信息的随处填写、简单的密码设置、金融服务与其他应用的互相穿插等,都埋下了安全隐患。有问卷调查显示,身份证件复印件、快递单和手机是泄露个人信息的重要载体。高达55%的人将证件复印件交给有关机构时,从不注明用途;47%的人经常将写有个人信息的快递单直接扔掉而不加处理;超过27%的人在停用、注销手机号以后,甚至不去银行、支付宝、网站等变更绑定的手机号。很多人没有意识到,在公共场所连接免费WIFI,扫描促销二维码等可能会导致你的手持终端被入侵。在P2P平台注册、参与促销活动填写的个人信息、租房信息发布、在微信朋友圈里晒机票、晒车票、晒身份证等各种看似无害行为,都有可能导致信息泄露。很多人在各种平台、邮箱注册时,为图省事,所用账户和密码相同,这为不法分子“撞库”留下了可乘之机。
当自身遭遇个人信息泄露并面临侵害时,相当一部分人抱有侥幸心态,仅有少部分人采取了积极对抗行动,大部分人选择了较为被动的处理方式,助长了侵害者的气焰。据调查,在解释未能维权的原因时,60%的人不知如何维权,56%的人因没有发现经济损失而选择了沉默。
个人金融信息保护的对策建议
(一)建立健全法律法规。一方面,完善“个人金融信息”的界定。“个人金融信息”的界定是个人信息保护法中的核心概念。考虑到在复杂的网络环境下,对所有个人信息采取一视同仁的保护并不是合理有效的做法,而应针对信息的不同性质,对保护标准作出区分;另一方面,选择有助于我国发展的个人金融信息保护模式。目前,国际上通用的模式有以美国为代表的分业保护模式和欧盟国家的统一保护模式。由于分业保护模式操作比较复杂,在保护金融客户方面因客户不同也存在差异,而统一保护模式对所有行业采取统一标准,便于操作和管理,笔者更加倾向于选择欧洲国家的统一保护模式。但中国与欧美各国具体国情不同,因此不能盲目照搬外国的经验,对于这个模式要做相应的变通。具体而言,就是可以首先选择银行业为突破口进行试点,针对个人金融信息保护制定一整套详细的法律法规,然后再将这套制度推向其他行业,最后形成一套全社会统一的、有序的个人金融信息保护模式。
(二)完善金融监管机构制度。现行的《银行业监督管理法》并没有规定个人金融信息保护的监管目标,导致实践中金融监管机构更多关注风险管控。但事实上,如果金融消费者权益得不到有效保障,难以实现“维护公众对银行业的信心”这一目标。通过法律明确授权金融消费者保护机构及其法律职责,以实现对金融消费者的良好保护,保障该部门职责的有效实施,可以在《银行业监督管理法》设置银行业监管机构的金融消费者保护职责,并以此为试点,推动整个金融监管体制的完备。
(三)规范金融机构自律保护。金融机构应该加大信息安全技术的投资力度,结合安全开发、安全产品、安全评估、安全管理等多方面,建立健全信息安全体系和安全监控体系。加大设备投入,开发安全网络系统,还要解决好信息系统安全配置和访问控制问题,制定系统使用规范,监控系统用户行为,控制系统安全风险;同时对于现有系统,应采用防火墙、数据库审计、风险评估等手段提升对用户和数据的安全保障能力。另外,软件账号服务企业、第三方支付企业和数据存储企业要保护好个人绑定银行卡时可能“留痕”的信息,在系统设置上严格限定这些信息的使用范围,并能清晰还原这些信息流动的路径,以便于追踪监控。
(四)增强金融消费者的自我保护意识。金融消费者在个人金融信息保护模式的构建中起到基础作用,必须提高其个人保护意识。金融消费者对金融消费知识的熟知程度、对金融交易的理解程度以及对个人金融信息的自我保护程度参差不齐,因而需要监管机关、金融机构、学校、社会媒体等多方主体介入,以保障个人金融信息保护工作的顺利开展,将金融教育知识普及到基层,对金融消费者全面、系统地进行宣传和教育。同时,还应提高金融消费者的权利意识,提高对个人金融信息的控制与保护能力,提醒金融消费者进行金融交易过程中的法律风险,尤其购买金融产品时,注意维护个人金融信息,告知其金融活动的权利和义务,一旦信息泄露,会用法律维护自己的相关权利。
总而言之,在网络时代,随着信息处理传播技术的不断提高,金融业在全球范围内都呈现出市场虚拟化、机构网络化和业务数字化的发展趋势,这一方面使金融服务业走向高效便捷;另一方面也极大地增加了金融消费者个人信息的安全风险,各国开始重视个人信息的保护,将其作为立法的重要组成部分。我国也应加快脚步,紧扣我国的法律文化和相关的法律实践工作,充分发挥政府、金融机构、社会组织等多元主体的作用,建立一个适合我国的个人金融信息保护体系,以全方位地实现金融消费者的信息安全。