大數(shù)據(jù)背景下金融隱私權(quán)保護問題及對策

王 輝

（新疆財經(jīng)大學金融學院，烏魯木齊830012）

大數(shù)據(jù)技術(shù)的出現(xiàn)，使得互聯(lián)網(wǎng)與信息化更有效的結(jié)合。截止到2020年底，我國互聯(lián)網(wǎng)用戶已有8.9億，數(shù)據(jù)不論從種類還是規(guī)模上，都有了爆發(fā)式的增長。公民隱私權(quán)的客體范圍也擴大到公民的健康數(shù)據(jù)、輸入法記錄、網(wǎng)上購物記錄、搜索引擎記錄及個人行程記錄等網(wǎng)絡信息，隱私逐漸產(chǎn)生出可以量化的巨大的商業(yè)價值。由于金融消費者和金融機構(gòu)在地位和權(quán)責上的差異性，導致金融隱私極易受到侵犯，且舉證和追責較為困難。因此，完善金融隱私權(quán)保護體系的重要性不言而喻。

一、金融隱私權(quán)的界定與我國金融隱私泄露亂象

（一）金融隱私權(quán)的界定

我國對金融隱私權(quán)并沒有一個公認的定義。鄭啟福（2012）認為，金融隱私權(quán)是指金融消費者所享有的金融賬戶信息、交易信息依法受到保護，不受侵犯、干涉的權(quán)利，主要包括保密權(quán)、使用權(quán)、知情權(quán)和維護權(quán)。[1]潘建珊（2007）認為，金融隱私權(quán)是個人對于本人金融資料所享有的隱私權(quán)利，是一種特殊的個人資料權(quán)，指的是個人控制收集、揭露和使用關于其本人金融交易或事務的權(quán)利。[2]王寶剛、張立先（2013）認為，金融隱私權(quán)的概念是隱私權(quán)不斷擴展的結(jié)果。金融隱私權(quán)是指自然人控制并排除他人干涉其本人在金融市場中產(chǎn)生的個人金融信息的能力，具有人格權(quán)和財產(chǎn)權(quán)雙重屬性。主要包括社會保障號碼、住址、從事行業(yè)等。[3]綜上所述，金融隱私權(quán)可以認為是金融消費者對其個人的各種金融信息具有自由支配和控制的權(quán)利，任何人都不得干涉金融消費者個人的這項權(quán)利。

（二）我國金融隱私泄露亂象

分析《2020中國個人信息安全和隱私保護報告》可以看出：將近70%的受訪者都認為信息泄露情況嚴重，36%的人表示曾接到過詐騙或銷售電話，確定個人信息遭到泄露、販賣的調(diào)研者達到18%。而在被問到如何應對信息泄露行為時，僅有兩成受訪者選擇了積極的應對措施。

2016年湖南犯罪嫌疑人聯(lián)合某銀行前行長、保安，非法盜竊257萬條銀行個人信息，個人征信報告120余萬份。這些信息的泄露，給銀行客戶帶了諸多不便，甚至還騷擾到了客戶家人。2020年5月6日，脫口秀演員王越池公開指責中信銀行在未獲得自身允許的情況下向笑果文化公司提供其個人賬戶流水。根據(jù)《2020年數(shù)據(jù)金融APP安全觀測報告》可看出，我國金融類APP存在諸多問題，超9成金融類APP存在不同程度的安全漏洞，有問題的APP占測評APP總數(shù)的90.12%，且高、中、低各等級安全漏洞占比均有明顯增長。證券、外匯、保險、銀行及股票類的APP存在高危漏洞的比例高達90%以上。隨著科學技術(shù)的發(fā)展，違法獲取金融隱私的現(xiàn)象屢禁不止，國內(nèi)的法律法規(guī)也未能及時有效的提供保護，法律沒有對金融從業(yè)人員和金融機構(gòu)形成足夠的威懾力，對犯罪人員的處罰也不足以讓他們刻骨銘心。

二、金融隱私權(quán)保護制度的比較分析

（一）國外金融隱私權(quán)制度保護體系

1.英國率先對金融隱私權(quán)進行保護。1924年英國的“圖爾尼爾”案首次實現(xiàn)了對金融隱私權(quán)的保護。英國法院最終認定保密是合同中隱含的條款，被告銀行侵犯了原告的金融隱私權(quán)，應承擔相應責任。此后，經(jīng)過多年發(fā)展，英國對金融隱私權(quán)的保護更進一步，于1998年制定了《數(shù)據(jù)保護法》，并于2017年8月7日發(fā)布了一份《新的數(shù)據(jù)保護法案：我們的改革》的報告，旨在更新和加強對個人數(shù)據(jù)的保護。

2.美國專門立法保護。美國是最早研究和應用大數(shù)據(jù)技術(shù)的國家，大數(shù)據(jù)技術(shù)在美國金融領域的廣泛應用，雖然推動了金融業(yè)的發(fā)展，但也增加了金融隱私權(quán)泄露風險，為了保護金融隱私，美國于1996年通過《消費者信用報告法》，2003年頒布了《公平準確信用交易法》，此后因1970年頒布的《銀行保密法》屢遭侵犯金融隱私權(quán)而受到譴責，1976年的“米勒”案更是震驚全美，于是美國在1978年通過了《金融隱私權(quán)法》，旨在對金融隱私進行更有效的保護。1999年，美國銀行被爆出盜賣客戶資料，美國國會更加堅定地通過了《金融服務現(xiàn)代化法》，其中明確規(guī)定了金融機構(gòu)有義務為客戶的隱私權(quán)進行保護。2000年11月更是聯(lián)合眾多機構(gòu)共同簽訂了《消費者隱私保護最終規(guī)則》，規(guī)定所有金融機構(gòu)務必向客戶提供金融隱私保密政策。2010年又發(fā)布了《多德弗蘭克法案》，增設專門的消費者金融保護局。至此，美國對金融隱私權(quán)的保護基本形成了完善的體系。

除英國、美國外，幾乎所有金融行業(yè)發(fā)達的國家或地區(qū)如歐盟、瑞士和我國香港地區(qū)等均制定了專門的保護金融隱私的法律法規(guī)。

（二）國內(nèi)金融隱私權(quán)制度保護體系

在法律條文方面，《中華人民共和國憲法》第38、39、40條明確規(guī)定了對隱私權(quán)的保護;《侵權(quán)責任法》第2條的民事權(quán)益的范圍明確包含隱私權(quán);《消費者權(quán)益保護法》第29條和第50條、《民法總則》第111條、《網(wǎng)絡安全法》第41條以及《關于加強網(wǎng)絡信息保護的決定》第1條都有對個人信息采集、使用等行為的規(guī)范。《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》《國務院辦公廳關于加強金融消費者權(quán)益保護工作的指導意見》等法律法規(guī)也在加強對金融隱私權(quán)的保護。

在部門規(guī)章方面，我國也出臺了《商業(yè)銀行信用卡業(yè)務監(jiān)督管理辦法》《金融機構(gòu)客戶身份識別和客戶身份資料及交易記錄保存管理辦法》《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》《電子銀行業(yè)務管理辦法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》以及《關于加強網(wǎng)絡信息保護的決定》《電信與互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等。

從上述法律法規(guī)既可以看出我國在推動金融隱私保護的努力，也可以看出我國目前并沒有對金融隱私權(quán)形成足夠的保護，法規(guī)缺乏整體性和相關性，執(zhí)行上存在彈性，使得我國金融隱私權(quán)的保護難以起到十分有效的作用。

三、金融隱私權(quán)保護的必要性

（一）金融隱私面臨來自互聯(lián)網(wǎng)的外生性風險

在大數(shù)據(jù)時代，金融消費者如果想要消費金融產(chǎn)品，就勢必會與互聯(lián)網(wǎng)產(chǎn)生交集，這一點也體現(xiàn)了大數(shù)據(jù)時代鮮明的網(wǎng)絡化和復雜化的特點，大量的個人金融信息需要由金融消費者自身去提交給金融機構(gòu)或第三方中介機構(gòu)，而這些信息在產(chǎn)生、收集和使用的過程中就存在著風險。無論是虛假APP騙取用戶資金或是機構(gòu)服務器受到攻擊，這些情況都是司空見慣，由于網(wǎng)絡技術(shù)的日新月異，而防御系統(tǒng)的更新卻需要很長的周期，導致技術(shù)漏洞被攻擊的案件屢見不鮮。公司為了保護自身利益會雇傭白客，但來自世界各地的黑客讓保護金融隱私的難度直線上升。這種技術(shù)性風險事先難以預防，而且由于法律穩(wěn)定性和滯后性，法律也很難對這些風險造成的損失作出及時有效的反應。不同于現(xiàn)實生活，在網(wǎng)絡世界確定侵權(quán)行為人是十分困難的事，在侵權(quán)行為發(fā)生后，很難通過法律手段對侵權(quán)行為人進行追責，要求其承擔刑事或民事責任，即使能夠確定，被侵權(quán)人正當權(quán)益的保護也會受到時效性的影響。

（二）金融消費者金融隱私面臨的內(nèi)生性風險

內(nèi)生性風險存在于金融機構(gòu)以及第三方機構(gòu)在對金融消費者金融信息的分析利用過程中。隱私權(quán)和信息權(quán)具有絕對私人性和相對公共性。從隱私權(quán)和信息權(quán)的絕對私人性方面來說，金融機構(gòu)對金融消費者的金融隱私應當嚴格遵循保密義務。但是在大數(shù)據(jù)時代，擁有更多的數(shù)據(jù)和信息就相當于掌握主動，數(shù)據(jù)就是財富。在金融市場上，信息的不對稱優(yōu)勢使得金融機構(gòu)對信息具有強烈的占有欲，以人身保險為例，如果保險公司了解到了客戶的身體健康數(shù)據(jù)，對于某些險種進行拒保或收取高額的保費，這對保險公司來說絕對有益，卻損害了保險消費者的利益；又如金融機構(gòu)或第三方中介機構(gòu)等過度收集金融隱私信息，通過售賣、互換等方式為自己獲取利益。這種數(shù)據(jù)帶來的利益會讓金融機構(gòu)難以拒絕，對于數(shù)據(jù)的占有欲望無疑是懸在金融消費者頭頂?shù)倪_摩克利斯之劍。

（三）金融隱私數(shù)據(jù)存在被二次利用的風險

在大數(shù)據(jù)的時代背景下，金融機構(gòu)從金融消費者處獲得個人信息后，由于金融隱私的精準性和高價值性，金融機構(gòu)對這些信息的使用不會僅僅是確認消費者身份、保護消費者權(quán)益，消費者的金融隱私還存在被二次利用的風險，金融機構(gòu)通過對數(shù)據(jù)的綜合分析來設計更為高效的商業(yè)運營模式，更為合理地調(diào)整自身資源配置，或者創(chuàng)新盈利渠道等，從商業(yè)角度來說金融機構(gòu)這么做無可厚非，但這些對數(shù)據(jù)的應用行為并沒有得到金融消費者的許可。金融消費者在行使保護金融隱私的權(quán)利時困難重重，不論是在實體金融機構(gòu)或是金融機構(gòu)APP進行業(yè)務操作時，面對紙質(zhì)合同或是電子化格式合同，金融消費者并沒有多少的選擇去保護自己的隱私，如果想享受服務，只能將個人信息詳盡地登記于經(jīng)營者的信息庫中，消費者對于自己的金融隱私數(shù)據(jù)的保護能力幾乎不存在，只能被動地接受最終的法律結(jié)果。而且，我國金融消費者對于金融合同和相關的金融法律法規(guī)的了解還是相對較少，如果想要完全了解金融機構(gòu)所有數(shù)據(jù)的利用條款的真實意思，對于金融消費者而言不僅極為消耗精力，同時維權(quán)成本也會提高。因此，用戶的金融隱私信息在二次使用過程中很容易失控。

金融消費者金融隱私權(quán)還存在保護不周延的問題，即消費者隱私數(shù)據(jù)多源融合問題。金融隱私數(shù)據(jù)總體可分為元數(shù)據(jù)和主數(shù)據(jù)，元數(shù)據(jù)是對數(shù)據(jù)的屬性描述，是一種電子目錄式的數(shù)據(jù)，其本身不具有實質(zhì)內(nèi)容，對其進行針對性保護較為困難。更為關鍵的一點是，相對于主數(shù)據(jù)，元數(shù)據(jù)的收集難度相對很低，但它在實用性方面的價值非常高。將元數(shù)據(jù)與金融消費者的主數(shù)據(jù)進行多源融合之后，很容易完整還原消費者的個人信息，這樣一來，大大增加了消費者的金融隱私泄露的風險性。當前，對于元數(shù)據(jù)的保護幾乎處在真空狀態(tài)，這個漏洞對金融隱私的保護造成了極大的風險。

四、完善金融隱私權(quán)保護的建議

（一）加快完善金融隱私保護法律體系

從前文對國內(nèi)金融隱私權(quán)制度保護體系的描述可以看出，我國對于保護金融隱私權(quán)的法律條文沒有形成體系，法律條款的解讀不夠清晰，缺乏一致性和協(xié)調(diào)性，仍有較大的完善空間，導致金融消費者在權(quán)益受損時維權(quán)困難。因此需加快推動《個人信息保護法》《數(shù)據(jù)安全法》的制定，明確金融隱私權(quán)的重要法律地位，在法律層面予以重視，提供堅實的法律基礎和行為依據(jù)。

通過立法形式，明確金融消費者和金融隱私權(quán)的定義，對于個人金融信息的所屬方和使用方進行清晰的權(quán)責界定，為我國實施個人金融信息的保護制度提供重要的法律前提。明確金融機構(gòu)、金融中介等金融信息使用者對金融隱私的保護義務，同時建議以法律形式規(guī)定金融機構(gòu)不得過度收集個人信息，不得以任何形式強迫金融消費者提供金融隱私信息，并推廣集體訴訟制度，拓寬維權(quán)渠道。借鑒國際上的先進模式，對金融機構(gòu)和第三方機構(gòu)等個人金融信息的收集者和使用者進行層級劃分，對不同類別和層級采取針對性地金融信息監(jiān)管和保護的要求，對特定風險的個人信息的處理進行嚴格的審查，確保創(chuàng)建一個安全的金融信息使用環(huán)境。同時建立個人信息泄露預警機制和處理機制，包括發(fā)布個人信息泄露的通知，及時追查信息泄露的源頭，凍結(jié)信息傳輸?shù)那赖葯C制，最大限度地減少信息主體因個人信息泄露造成的損失。

除此之外，從法律層面明確違背金融信息所有人意圖的獲取、持有、買賣等行為的責任追究，在舉證方面，實行有利于群眾的舉證原則，降低金融消費者的金融隱私舉證成本和難度，并加大對違法人員或機構(gòu)的處罰力度，可通過巨額罰款或重判等措施增加違法成本，形成有力威懾，維護法律的尊嚴。

（二）加強金融機構(gòu)保密制度建設，塑造良好行業(yè)環(huán)境

行業(yè)協(xié)會應督促金融機構(gòu)建立完備的金融隱私保護制度，制定完備的金融消費者的信息安全管理辦法，加強風險內(nèi)控。金融信息存在于金融機構(gòu)業(yè)務流程的各個環(huán)節(jié)當中，但金融機構(gòu)對于金融信息的管理卻非常的籠統(tǒng)，無法保證金融信息收集、管理和使用等行為的合理性和規(guī)范性，金融隱私權(quán)的保護基本上只能依賴于法律法規(guī)對金融機構(gòu)規(guī)定的信息保密義務?？山梃b國外成熟的保密體系，形成行業(yè)性的基本準則，除金融機構(gòu)本身的合理使用和客戶明確的同意外，不得隨意泄露和濫用客戶的任何其他金融信息，建立起完善的追責制度。同時，積極培養(yǎng)金融從業(yè)人員對客戶隱私信息的保密意識，積極開展培訓工作，提升從業(yè)人員對金融隱私權(quán)的認知。

（三）做好金融機構(gòu)技術(shù)防護

隨著金融行業(yè)的發(fā)展，機構(gòu)本身的風險影響著社會的穩(wěn)定，再加上科技的發(fā)展，金融機構(gòu)全面迎來科技時代，實現(xiàn)無紙化辦公，金融機構(gòu)的網(wǎng)絡安全問題越來越引發(fā)人們的關注。本文第一部分提到過，我國金融APP有90%都存在著漏洞，這說明金融機構(gòu)對系統(tǒng)的安全防護不夠重視。因此為了保護金融隱私不被竊取，金融機構(gòu)要定期對電子系統(tǒng)進行檢測和升級，時刻防范技術(shù)漏洞，提高系統(tǒng)的安全性。對信息泄露的風險在事前做好防范，對信息泄露的事故及時作出反應，盡可能減少損失，對信息泄露的損失做好補償和救濟，深刻反思錯誤。